Saltar al contenido principal
Español

Evaluación de la postura del NAC: Garantizar el cumplimiento de los dispositivos gestionados antes del acceso a la red

Esta guía de referencia técnica ofrece un análisis profundo sobre la evaluación de la postura del NAC, detallando la arquitectura, los estándares y las estrategias de implementación necesarias para hacer cumplir la conformidad de los dispositivos gestionados. Proporciona a los responsables de TI y a los arquitectos de red información útil y práctica para mitigar riesgos y garantizar un acceso seguro a la red en entornos empresariales multisede.

📖 6 min de lectura📝 1,352 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Te damos la bienvenida a la serie de sesiones técnicas de Purple. Hoy vamos a profundizar en una de las áreas más críticas a nivel operativo —y que con más frecuencia se malinterpreta— de la seguridad de red empresarial: la evaluación de postura de NAC, y concretamente cómo garantizar que solo los dispositivos gestionados y conformes accedan a tu red antes incluso de haber enviado un único paquete de tráfico de producción. Si eres responsable de TI, arquitecto de redes o CTO a cargo de una infraestructura multisitio (ya sea un grupo hotelero, una cadena de retail, un estadio o una organización del sector público), esto es directamente relevante para tu postura de seguridad actual. Vamos a cubrir la arquitectura, los estándares, los patrones de implementación en el mundo real y los errores comunes que atrapan incluso a los equipos más experimentados. Comencemos. Entonces, ¿qué es exactamente la evaluación de postura de NAC? El control de acceso a la red, o NAC, es el marco general que rige qué dispositivos pueden conectarse a tu red y bajo qué condiciones. La evaluación de postura es el mecanismo específico dentro de NAC que interroga el estado de seguridad de un dispositivo antes —o inmediatamente después— de que se conecte. Imagínalo como un control de salud en la puerta. El dispositivo no solo tiene que demostrar quién es; tiene que demostrar que está en un estado apto para ser de confianza. La arquitectura aquí consta de tres componentes principales. Primero, tienes el Punto de Aplicación de Políticas (PEP). Este suele ser tu punto de acceso, tu switch o tu controlador inalámbrico. Es el guardián que controla físicamente si fluye el tráfico. Segundo, tienes el Punto de Decisión de Políticas (PDP). Este es tu motor de NAC, a menudo integrado con un servidor RADIUS o AAA. Recibe los datos de postura, los evalúa frente a tu política y le dice al PEP qué hacer. Tercero, tienes el propio Motor de Evaluación de Postura, que es un agente que se ejecuta en el endpoint o un mecanismo sin agente que utiliza protocolos como SNMP, WMI o SSH para consultar el dispositivo de forma remota. Ahora bien, la capa de autenticación que sustenta todo esto es IEEE 802.1X. Este es el estándar de control de acceso a la red basado en puertos que existe desde 2001, pero que sigue siendo la columna vertebral de NAC empresarial hoy en día. 802.1X define tres roles: el suplicante (el dispositivo que intenta conectarse), el autenticador (tu switch o punto de acceso) y el servidor de autenticación (tu servidor RADIUS). El suplicante y el servidor de autenticación se comunican a través de EAP (el protocolo de autenticación extensible), tunelizado a través del autenticador. EAP-TLS, que utiliza autenticación mutua basada en certificados, es el estándar de oro aquí. Es lo que deberías implementar si te tomas en serio la conformidad de los dispositivos gestionados. ¿Qué examina exactamente la comprobación de estado? Existen seis categorías principales. Nivel de parches del sistema operativo: ¿el dispositivo ejecuta una versión de sistema operativo compatible y se aplican los parches críticos dentro del periodo definido? Estado de seguridad del endpoint: ¿está instalado, activo y con las definiciones actualizadas un agente AV o EDR aprobado? Estado del firewall: ¿está habilitado el firewall del host y su política intacta? Cifrado de disco: ¿está activo y no suspendido el cifrado de disco completo? Validez del certificado: ¿dispone el dispositivo de un certificado de máquina válido y de confianza emitido por su PKI? Y, por último, conformidad de la configuración: ¿coincide la configuración de seguridad del dispositivo con su línea base definida? En función del resultado de estas comprobaciones, el motor de políticas de su NAC asigna uno de estos tres estados. Cumplidor: el dispositivo supera todas las comprobaciones requeridas y recibe acceso total a la red, normalmente a su VLAN o rol asignado. Condicional: el dispositivo supera las comprobaciones críticas pero falla en una o más comprobaciones no críticas; obtiene acceso limitado, quizás solo a internet, con una notificación al usuario. Y No Cumplidor: el dispositivo falla en una comprobación crítica y se le ubica en una VLAN de cuarentena con acceso únicamente a un portal de corrección. Ese portal de corrección es el lugar donde el dispositivo puede descargar parches, actualizar definiciones de AV o recibir instrucciones para la corrección manual. Ahora bien, ¿dónde encaja WPA3 en todo esto? WPA3-Enterprise, concretamente con el modo de 192 bits, refuerza la capa criptográfica que subyace a 802.1X. Exige GCMP-256 para el cifrado y HMAC-SHA-384 para la integridad, lo que resulta especialmente relevante para entornos que manejan datos de tarjetas de pago o datos personales sensibles bajo la normativa GDPR. Si gestiona un entorno de retail dentro del alcance de PCI DSS, o un centro sanitario bajo los requisitos de gobernanza de datos del NHS, WPA3-Enterprise debería estar en su hoja de ruta para nuevos despliegues. Hablemos de la evaluación de estado basada en agentes frente a la evaluación sin agentes, ya que este es un verdadero punto de decisión arquitectónica. La evaluación basada en agentes, en la que se ejecuta un cliente ligero en el endpoint, ofrece la visibilidad más profunda. Permite consultar claves de registro, procesos en ejecución, software instalado y el estado de seguridad en tiempo real. La contrapartida es la sobrecarga de despliegue: se necesita un MDM o una plataforma de gestión de endpoints para distribuir y mantener el agente en toda su infraestructura. La evaluación sin agentes utiliza una interrogación basada en red: SNMP, WMI a través de la red o llamadas API a su plataforma MDM. Es más fácil de desplegar pero ofrece una visibilidad menor y es más susceptible a la evasión. Para una infraestructura corporativa gestionada, la opción basada en agentes es la respuesta correcta. Para entornos donde dispone de una combinación de dispositivos gestionados y no gestionados (piense en un centro de conferencias o en la red interna de un hotel), un enfoque híbrido tiene más sentido. Otro punto de arquitectura que vale la pena destacar: la evaluación continua de la postura frente a la evaluación en un momento puntual. La mayoría de las implementaciones de NAC heredadas solo comprueban la postura en el momento de la conexión. Eso es una brecha importante. Un dispositivo que cumplía con las directivas a las nueve de la mañana cuando se conectó podría tener su antivirus desactivado por un usuario a las once. Las plataformas NAC modernas admiten la evaluación continua (revaluando la postura a intervalos definidos o en respuesta a eventos) y cambiando dinámicamente el nivel de acceso a la red del dispositivo sin necesidad de volver a conectarse. Esta es la dirección en la que debería avanzar. Bien, pasemos a la práctica. Al implementar la evaluación de la postura de NAC, el fallo más común que veo es pasar directamente al modo de aplicación. No lo haga. Comience en modo de monitorización, a veces llamado modo de auditoría o modo de visibilidad. Ejecute sus comprobaciones de postura, registre los resultados, pero no aplique la política. Ejecute esto durante al menos dos a cuatro semanas. Es casi seguro que descubrirá dispositivos que no sabía que existían en su red, y descubrirá que una proporción significativa de sus dispositivos conocidos fallan en una o más comprobaciones de postura. Utilice esos datos para sanear su entorno antes de aplicar las políticas. El segundo error es la infraestructura de certificados. La evaluación de postura basada en agentes con EAP-TLS requiere una PKI en funcionamiento. Si no dispone de una, o si la gestión del ciclo de vida de sus certificados es manual y ad hoc, sufrirá interrupciones de servicio. Los certificados caducan. Los dispositivos se reconstruyen sin certificados. Planifique su PKI antes de planificar su despliegue de NAC. Tercero: el diseño de VLAN. Su VLAN de cuarentena debe estar realmente aislada, no solo ser una subred diferente en la misma infraestructura física. Debe tener acceso únicamente a su portal de remediación y, si es necesario, a Windows Update o a su servidor de gestión de parches. Si su VLAN de cuarentena tiene alguna ruta hacia los sistemas de producción, habrá creado una falsa sensación de seguridad. Cuarto: excepciones y procesos de omisión. Toda organización tiene dispositivos que no pueden ejecutar un agente: impresoras, sensores IoT, sistemas de gestión de edificios. Necesita un proceso documentado y aprobado para conceder la omisión de autenticación MAC a estos dispositivos, con controles compensatorios. Si no define este proceso de antemano, acabará con una lista blanca informal que nadie posee y nadie audita. Desde el punto de vista de los estándares, alinee su política de postura con los CIS Benchmarks para sus plataformas de sistemas operativos. Estos son neutros respecto al fabricante, se actualizan periódicamente y están ampliamente aceptados como la línea de base para la seguridad de endpoints empresariales. Para entornos PCI DSS, el Requisito 6.3 sobre gestión de parches y el Requisito 5.3 sobre antimalware se corresponden directamente con sus categorías de comprobación de postura. Ahora, pasemos a unas cuantas preguntas rápidas. ¿Puede funcionar la evaluación del estado de salud de NAC en dispositivos BYOD? Sí, pero se necesita una línea de políticas independiente. Los dispositivos BYOD suelen pasar por un método EAP diferente (EAP-PEAP con credenciales de usuario en lugar de EAP-TLS con certificados de máquina) y reciben un segmento de red más restringido. Las comprobaciones del estado de salud para BYOD suelen ser más ligeras: versión del SO, presencia básica de antivirus y bloqueo de pantalla activado. ¿Cómo interactúa esto con una red WiFi para invitados? No lo hace, y no debería. El WiFi para invitados es un SSID y un segmento de red completamente independientes, aislados de su infraestructura corporativa. La evaluación del estado de salud de NAC se aplica únicamente a su SSID corporativo. Las dos redes nunca deben compartir una VLAN ni enrutarse entre sí. ¿Cuál es el plazo habitual para un despliegue completo de NAC? Para una mediana empresa (por ejemplo, de quinientos a dos mil endpoints en varias sedes), prevea de doce a dieciséis semanas desde el diseño hasta la aplicación total. Esto incluye la configuración de PKI, el despliegue de agentes, el modo de monitorización, la remediación y el despliegue de la aplicación por fases. En resumen: la evaluación del estado de salud de NAC es el mecanismo que garantiza que su marco de control de acceso a la red tenga fuerza real. La identidad por sí sola (saber quién se conecta) no es suficiente. Es necesario conocer el estado de seguridad del dispositivo, validarlo con respecto a la política y aplicar consecuencias en caso de incumplimiento. La arquitectura está madura y bien estandarizada en torno a 802.1X, RADIUS y EAP-TLS. Los retos de implementación son reales, pero manejables si se sigue un enfoque por fases. Sus próximos pasos inmediatos: audite su parque actual de endpoints para comprobar el cumplimiento del estado de salud utilizando su MDM actual o sus herramientas de gestión de endpoints. Evalúe su preparación de PKI. Diseñe su arquitectura de VLAN para segmentos conformes, condicionales y de cuarentena. Y planifique un despliegue en modo de monitorización antes de pasar a la aplicación. Para las organizaciones que operan en entornos mixtos (red corporativa interna junto con WiFi pública o para invitados), plataformas como Purple proporcionan la inteligencia de red y analítica del lado del invitado que complementan su despliegue corporativo de NAC, manteniendo esos dos mundos claramente separados al tiempo que le ofrecen una visibilidad completa de ambos. Gracias por escucharnos. Explore la guía escrita completa en la plataforma Purple para ver diagramas de arquitectura, ejemplos prácticos y referencias de configuración.

header_image.png

Resumen Ejecutivo

Para los responsables de TI de grandes empresas que gestionan entornos complejos y multisitio, la identidad por sí sola ya no es una métrica suficiente para el acceso a la red. Saber quién se conecta es secundario en comparación con conocer el estado de seguridad del dispositivo que está utilizando. La evaluación de postura de Network Access Control (NAC) es el mecanismo que cierra esta brecha, garantizando que solo los dispositivos gestionados y conformes obtengan acceso a la infraestructura corporativa antes de que transmitan un solo paquete de tráfico de producción.

Esta guía proporciona una referencia técnica exhaustiva sobre el diseño, despliegue y gestión de la evaluación de postura de NAC. Analizamos la arquitectura subyacente (incluyendo 802.1X, RADIUS y EAP-TLS), evaluamos las ventajas y desventajas entre la interrogación basada en agentes y la sin agentes, y definimos una estrategia de despliegue por fases que minimiza la interrupción operativa. Ya sea para proteger una sede corporativa, una red de tiendas distribuidas o las operaciones internas en el sector de la hostelería, la implementación de una evaluación de postura robusta es un paso crítico para la mitigación de riesgos y el cumplimiento normativo.

Escuche nuestro podcast informativo técnico de 10 minutos a continuación para obtener una visión ejecutiva de los conceptos principales y los errores de despliegue más comunes.

Análisis Técnico Detallado

La Arquitectura de la Evaluación de Postura

Network Access Control regula la conectividad de los dispositivos, pero la evaluación de postura es la interrogación específica del estado de seguridad de un dispositivo. La arquitectura se basa en tres componentes principales que funcionan en conjunto:

  1. Punto de Aplicación de Políticas (PEP): Este es el guardián físico o lógico (normalmente un punto de acceso inalámbrico, un puerto de switch o un controlador LAN inalámbrico). El PEP controla físicamente el flujo de tráfico basándose en las instrucciones del motor de políticas.
  2. Punto de Decisión de Políticas (PDP): A menudo integrado dentro de un servidor RADIUS o AAA, el PDP es el cerebro de la arquitectura NAC. Recibe los datos de postura, los evalúa según las políticas de cumplimiento definidas y emite directivas de aplicación al PEP.
  3. Motor de Evaluación de Postura: Este componente recopila los datos reales de estado del endpoint. Puede ser un agente que se ejecuta localmente en el dispositivo o un mecanismo sin agentes que aprovecha protocolos de red (por ejemplo, SNMP, WMI) o integraciones de API con plataformas de Gestión de Dispositivos Móviles (MDM). nac_architecture_overview.png

El papel de IEEE 802.1X y EAP-TLS

La base del NAC empresarial es el estándar IEEE 802.1X, que define el control de acceso a la red basado en puertos. Dentro de este marco, se definen tres roles:

  • Suplicante (Supplicant): El dispositivo de punto final que intenta conectarse.
  • Autenticador: El PEP (switch o punto de acceso) que facilita la conexión.
  • Servidor de autenticación: El servidor RADIUS que valida las credenciales.

La comunicación entre el suplicante y el servidor de autenticación se realiza a través del Protocolo de autenticación extensible (EAP), tunelizado a través del autenticador. Para los dispositivos corporativos gestionados, EAP-TLS es el estándar de oro. Exige autenticación mutua mediante certificados digitales X.509, lo que garantiza que tanto el dispositivo como la red verifiquen la identidad del otro de forma criptográfica. Esto evita el robo de credenciales y los ataques de puntos de acceso no autorizados.

Categorías de evaluación de estado (Posture Check)

Cuando un dispositivo intenta conectarse, el motor de evaluación de estado evalúa varios vectores críticos:

  • Gestión de SO y parches: Verificar que el sistema operativo sea compatible y que los parches críticos se apliquen dentro del SLA definido.
  • Seguridad del punto final (AV/EDR): Confirmar que los agentes antivirus o de respuesta y detección de puntos finales (EDR) aprobados estén instalados, activos y con las definiciones actualizadas.
  • Estado del cortafuegos: Garantizar que el cortafuegos basado en el host esté habilitado y que su política no haya sido manipulada.
  • Cifrado de disco: Validar que el cifrado de disco completo (por ejemplo, BitLocker, FileVault) esté activo y no en estado suspendido.
  • Validación de certificados: Comprobar la presencia y validez del certificado de máquina requerido.
  • Cumplimiento de la configuración: Garantizar que la línea base de seguridad del dispositivo coincida con la política corporativa (por ejemplo, temporizadores de bloqueo de pantalla, almacenamiento masivo USB deshabilitado).

posture_compliance_checklist.png

WPA3-Enterprise y resistencia criptográfica

A medida que evoluciona la seguridad de la red, también lo hacen los estándares criptográficos subyacentes. WPA3-Enterprise, en particular cuando funciona en modo de 192 bits, ofrece mejoras significativas con respecto a WPA2. Exige el uso de GCMP-256 para el cifrado y HMAC-SHA-384 para la integridad. Para las organizaciones que manejan datos sensibles, como entornos de Retail sujetos a PCI DSS o centros de Healthcare bajo un estricto gobierno de datos, la transición a WPA3-Enterprise es un paso necesario para preparar la infraestructura de red para el futuro.

Guía de implementación

Implementar la evaluación de postura de NAC requiere una planificación cuidadosa para evitar interrupciones generalizadas de la red. Se recomienda el siguiente enfoque por fases para entornos empresariales:

Fase 1: Preparación de la infraestructura y diseño de PKI

Antes de habilitar las comprobaciones de postura, asegúrese de que su infraestructura subyacente pueda soportar la arquitectura. Si implementa EAP-TLS, una Infraestructura de Clave Pública (PKI) robusta es innegociable. Los certificados deben aprovisionarse y renovarse automáticamente a través de su MDM o directiva de grupo. La gestión manual de certificados provocará inevitablemente fallos de conectividad cuando estos expiren.

Fase 2: Modo de monitorización (Fase de visibilidad)

La fase más crítica de cualquier despliegue de NAC es el Modo de monitorización. En esta fase, el sistema NAC evalúa la postura del dispositivo y registra los resultados, pero no aplica ninguna directiva. El PEP permite el acceso completo independientemente del resultado de la postura.

Ejecute el Modo de monitorización durante un mínimo de 2 a 4 semanas. Esto proporciona visibilidad sobre el estado real de cumplimiento de su parque tecnológico. Identificará los dispositivos que fallan en las comprobaciones debido a agentes rotos, reinicios pendientes o configuraciones erróneas. Utilice estos datos para corregir el estado de forma proactiva.

Fase 3: Aplicación segmentada

Una vez que la línea base de cumplimiento sea aceptable, comience con la aplicación de directivas. Los dispositivos se clasifican en tres estados según la evaluación de la directiva:

  1. Cumple (Compliant): El dispositivo supera todas las comprobaciones críticas y se asigna a la VLAN de producción con todo el acceso necesario.
  2. Condicional: El dispositivo falla una comprobación no crítica (por ejemplo, está pendiente una actualización menor del sistema operativo). Se le puede conceder acceso restringido (por ejemplo, solo a Internet) y se notifica al usuario para que lo solucione en un plazo de tiempo específico.
  3. No cumple (Non-Compliant): El dispositivo falla una comprobación crítica (por ejemplo, antivirus desactivado). El PEP asigna el dispositivo a una VLAN de cuarentena.

Fase 4: Arquitectura de remediación

La VLAN de cuarentena debe estar estrictamente aislada. Solo debe permitir el tráfico a un portal de remediación, a los servidores de actualización necesarios (por ejemplo, Windows Update, servidores de definición de antivirus) y a los recursos internos de soporte de TI. Si un dispositivo en cuarentena puede enrutar tráfico a subredes de producción, la arquitectura NAC ha fallado.

Buenas prácticas

  • Evaluación continua: El NAC heredado evalúa la postura solo en el momento de la conexión. Los despliegues modernos deben admitir la evaluación continua, reevaluando la postura a intervalos definidos o en respuesta a eventos (por ejemplo, una alerta de EDR), y actualizando dinámicamente el nivel de acceso del dispositivo mediante el Cambio de Autorización (CoA).
  • Con agente frente a sin agente: Para los dispositivos corporativos gestionados, un enfoque basado en agentes proporciona la visibilidad más profunda y capacidades de monitorización continua. La interrogación sin agente es adecuada para dispositivos no gestionados o entornos donde implementar un agente resulta administrativamente prohibitivo.* MAC Authentication Bypass (MAB): Los dispositivos que no admiten 802.1X (por ejemplo, impresoras antiguas, sensores de IoT) requieren MAB. Sin embargo, MAB es intrínsecamente inseguro, ya que las direcciones MAC se pueden suplantar. Los dispositivos MAB deben perfilarse rigurosamente y ubicarse en VLAN aisladas y estrictamente controladas.
  • Alineación con los estándares: Base sus políticas de estado en marcos establecidos, como los CIS Benchmarks. Esto garantiza que sus comprobaciones de cumplimiento sean independientes del proveedor y estén alineadas con las mejores prácticas del sector.
  • Aislar el tráfico de invitados: La evaluación del estado de NAC corporativo nunca debe cruzarse con las redes de acceso público. Para los establecimientos que requieran ambos, utilice una plataforma de Guest WiFi dedicada, como la solución de WiFi Analytics de Purple, para gestionar el acceso público en una infraestructura completamente independiente.

Resolución de problemas y mitigación de riesgos

Modos de fallo comunes

  1. La implementación del "Big Bang": Pasar directamente de un acceso abierto a una aplicación estricta en toda la infraestructura a la vez es una receta garantizada para la interrupción operativa. Realice siempre despliegues graduales por centro o departamento.
  2. Fallos de PKI: Los certificados raíz o intermedios caducados, o el fallo de la infraestructura de la Lista de revocación de certificados (CRL) / Protocolo de estado de certificados en línea (OCSP), provocarán fallos de autenticación generalizados. Implemente una supervisión sólida para su PKI.
  3. Bucles de remediación: Asegúrese de que los dispositivos en la VLAN de cuarentena tengan realmente el acceso a la red necesario para descargar las actualizaciones requeridas para cumplir con las directivas. Si no pueden acceder a los servidores de actualización, permanecerán en cuarentena de forma permanente.

ROI e impacto empresarial

La implementación de la evaluación del estado de NAC ofrece un valor empresarial cuantificable que va más allá de las meras métricas de seguridad:

  • Mitigación de riesgos: Al garantizar que solo los dispositivos en buen estado accedan a la red, se reduce significativamente la propagación lateral de malware y ransomware, disminuyendo la probabilidad de costosas filtraciones de datos.
  • Verificación del cumplimiento: Para sectores muy regulados como la Hostelería y el Transporte , la evaluación automatizada del estado proporciona pruebas continuas de cumplimiento con estándares como PCI DSS y GDPR, lo que simplifica los procesos de auditoría.
  • Eficiencia operativa: La automatización del proceso de cuarentena y remediación reduce la carga de trabajo del soporte técnico de TI, lo que permite a los ingenieros centrarse en iniciativas estratégicas en lugar de limpiar manualmente los endpoints infectados.

Definiciones clave

802.1X

Un estándar IEEE para el control de acceso a redes basado en puertos que proporciona un mecanismo de autenticación a los dispositivos que desean conectarse a una LAN o WLAN.

El protocolo fundamental que garantiza que un dispositivo debe autenticarse antes de que el puerto del switch o el punto de acceso permita el paso de cualquier tráfico IP.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un marco de autenticación que utiliza certificados digitales X.509 para la autenticación mutua.

El estándar recomendado para dispositivos corporativos gestionados, ya que se basa en certificados criptográficos en lugar de contraseñas fácilmente vulnerables.

Posture Assessment

El proceso de evaluar el estado de seguridad y la configuración de un dispositivo endpoint frente a una política corporativa definida.

Garantiza que un dispositivo no solo esté autenticado, sino que también esté "sano" (actualizado, cifrado, protegido) antes de que se le conceda acceso a la red.

Policy Enforcement Point (PEP)

El dispositivo de red (switch, controlador inalámbrico o punto de acceso) que bloquea o permite físicamente el tráfico basándose en la política de NAC.

El componente que ejecuta realmente la orden de "permitir" o "poner en cuarentena" emitida por el servidor NAC.

Policy Decision Point (PDP)

El servidor o motor central (a menudo un servidor RADIUS) que evalúa las solicitudes de autenticación y los datos de estado para determinar los derechos de acceso.

El cerebro de la operación que contiene la base de reglas y decide qué nivel de acceso debe recibir un dispositivo específico.

MAC Authentication Bypass (MAB)

Un método de autenticación alternativo que utiliza la dirección MAC de un dispositivo como su credencial cuando este no puede realizar la autenticación 802.1X.

Utilizado para dispositivos sin interfaz de usuario (headless), como impresoras o sensores IoT. Es intrínsecamente débil y debe combinarse con una segmentación de red estricta.

Change of Authorization (CoA)

Una extensión de RADIUS que permite al servidor NAC cambiar dinámicamente el estado de autorización de una sesión activa.

Crucial para la evaluación continua; si un dispositivo deja de cumplir las políticas mientras está conectado, CoA permite al servidor NAC moverlo instantáneamente a una VLAN de cuarentena sin necesidad de desconectarlo.

Quarantine VLAN

Un segmento de red estrictamente aislado diseñado para contener dispositivos que no cumplen las políticas, proporcionando acceso únicamente a los recursos de remediación.

Evita que un dispositivo infectado o vulnerable se comunique con los sistemas de producción mientras descarga las actualizaciones o parches necesarios.

Ejemplos prácticos

Un hotel de 400 habitaciones requiere que los portátiles del personal corporativo accedan de forma segura al sistema de gestión hotelera (PMS) interno. Sin embargo, el establecimiento también alberga numerosos dispositivos IoT no gestionados (termostatos inteligentes, señalización digital) que no pueden ejecutar un agente NAC.

Implementar una política 802.1X EAP-TLS para todos los portátiles del personal corporativo, aplicando controles de postura estrictos (antivirus activo, disco cifrado, parches actualizados). Estos dispositivos se asignan dinámicamente a la VLAN corporativa tras verificar que cumplen las directivas. Para los dispositivos IoT, implementar MAC Authentication Bypass (MAB) combinado con un perfilado profundo de dispositivos. Asegurarse de que estos dispositivos MAB se ubiquen en VLAN dedicadas y aisladas para IoT, con ACL que restrinjan su acceso exclusivamente a los controladores específicos con los que necesitan comunicarse. Bajo ninguna circunstancia se debe permitir el enrutamiento de la VLAN de IoT a la VLAN corporativa o al PMS.

Comentario del examinador: Este enfoque segmenta correctamente la red en función de la capacidad del dispositivo y su perfil de riesgo. Aplica una alta seguridad para los dispositivos gestionados al tiempo que proporciona un método de acceso práctico y controlado para el hardware IoT sin interfaz de usuario (headless), mitigando los riesgos inherentes de MAB.

Una cadena de tiendas minoristas está implementando nuevos terminales de punto de venta (POS) en 50 ubicaciones. El equipo de TI desea hacer cumplir la conformidad de la postura de seguridad para cumplir con los requisitos PCI DSS, pero le preocupa interrumpir las operaciones de las tiendas durante la fase de despliegue.

Implementar la arquitectura NAC en Modo Monitor durante 30 días. Durante este período, el sistema NAC autenticará los terminales POS y evaluará su postura frente a la línea base de PCI DSS (por ejemplo, cortafuegos activo, sin software no autorizado), pero registrará los fallos sin bloquear el acceso. El equipo de TI revisará los registros semanalmente, identificará los terminales que no superen los controles y los corregirá mediante la plataforma MDM. Una vez que la tasa de conformidad alcance el 100%, la política se cambiará a Modo de Aplicación sede por sede durante las ventanas de mantenimiento.

Comentario del examinador: El enfoque por fases que utiliza el Modo Monitor es fundamental para la continuidad del negocio. Permite al equipo de seguridad identificar y resolver las brechas de conformidad sin afectar a las operaciones de los terminales POS que generan ingresos.

Preguntas de práctica

Q1. Una solución de NAC recientemente desplegada en una oficina corporativa está causando problemas de conectividad generalizados. Los dispositivos que ayer cumplían con las normativas se están asignando hoy a la VLAN de cuarentena. El soporte técnico de TI informa que los dispositivos parecen estar en buen estado, con el antivirus en ejecución y los parches aplicados. ¿Cuál es el fallo de arquitectura más probable?

Sugerencia: Considere el ciclo de vida de las credenciales utilizadas en EAP-TLS.

Ver respuesta modelo

La causa más probable es un fallo en la Infraestructura de Clave Pública (PKI). Si los certificados de máquina utilizados para la autenticación EAP-TLS han caducado, o si el servidor NAC no puede acceder a la Lista de Revocación de Certificados (CRL) o al respondedor OCSP, la autenticación fallará independientemente del estado de seguridad real del dispositivo. El sistema NAC se configurará por defecto en un estado de fallo de denegación o cuarentena.

Q2. Está diseñando la arquitectura de VLAN para un nuevo despliegue de NAC. El equipo de seguridad insiste en que la VLAN de cuarentena debe permitir el acceso al servidor proxy corporativo para que los usuarios puedan navegar por internet mientras se corrigen sus dispositivos. ¿Es este un diseño sólido?

Sugerencia: Evalúe el riesgo de permitir que un dispositivo potencialmente comprometido acceda a la infraestructura compartida.

Ver respuesta modelo

No, es un diseño defectuoso. Permitir que un dispositivo en cuarentena acceda al proxy corporativo introduce un riesgo significativo. Si el dispositivo está infectado con malware, podría utilizar el proxy para establecer comunicación de comando y control o intentar pivotar hacia otros sistemas internos accesibles a través del proxy. La VLAN de cuarentena debe estar estrictamente aislada, permitiendo el acceso únicamente a servidores de corrección específicos (p. ej., Windows Update, servidores de firmas de antivirus) y al propio portal de corrección.

Q3. El equipo de TI de un hospital necesita asegurar el acceso a la red para una flota de nuevas bombas de infusión médica inalámbricas. Estos dispositivos no son compatibles con suplicantes 802.1X y no pueden ejecutar un agente de evaluación de estado. ¿Cómo se debe controlar el acceso a la red de estos dispositivos?

Sugerencia: Considere métodos de autenticación alternativos y el principio de mínimo privilegio.

Ver respuesta modelo

Los dispositivos deben autenticarse mediante Bypass de Autenticación MAC (MAB). Debido a que MAB es inherentemente débil (las direcciones MAC se pueden suplantar), el acceso a la red debe estar fuertemente restringido. Las bombas de infusión deben ubicarse en una VLAN de IoT médica dedicada y aislada. Se deben aplicar Listas de Control de Acceso (ACL) a esta VLAN, permitiendo la comunicación únicamente con los servidores de gestión central específicos necesarios para su funcionamiento, y bloqueando cualquier otro movimiento lateral o acceso a internet.

Continúe leyendo esta serie

Hotel Guest WiFi Management: Integrating PMS, Portals, and Brand Standards

Esta guía técnica detalla cómo diseñar redes WiFi de hotel de nivel empresarial, centrándose en la segmentación de VLAN, la integración de PMS para la gestión automatizada de sesiones y la optimización del Captive Portal para la captura de datos de conformidad con el GDPR.

Leer la guía →

Cómo configurar un WiFi de invitados: Guía de configuración empresarial segura

Esta guía de referencia ofrece a los líderes de TI y arquitectos de red un plan definitivo para implementar un WiFi de invitados empresarial seguro. Cubre la arquitectura esencial, la migración a WPA3, la segmentación de VLAN y la integración de Captive Portal para proteger los sistemas internos al tiempo que se recopilan datos de primera mano conformes a la normativa.

Leer la guía →

Gestión del ancho de banda para WiFi de empleados: modelado, QoS y reducción de tráfico

Esta guía detalla métodos prácticos para gestionar el ancho de banda para WiFi de empleados en entornos empresariales. Cubre el modelado de tráfico, la implementación de QoS y cómo el despliegue de Purple Shield reduce la carga de la red sin necesidad de actualizar la infraestructura.

Leer la guía →
Evaluación de la postura del NAC: Garantizar el cumplimiento de los dispositivos gestionados antes del acceso a la red | Guías técnicas | Purple