Autenticación 802.1X explicada para redes corporativas

Explicación de la autenticación 802.1X para redes corporativas. Un informe de inteligencia de Purple WiFi. Bienvenido. Si es responsable de la seguridad de la red en una organización con múltiples sedes (ya sea un grupo hotelero, una cadena de tiendas, un estadio o un patrimonio del sector público), este informe es para usted. En los próximos diez minutos, cubriremos todo lo que necesita saber sobre la autenticación 802.1X: qué es, cómo funciona internamente, cómo implementarla correctamente y los errores comunes en los que caen la mayoría de las organizaciones. Comencemos. Sección uno: Contexto y por qué esto es importante ahora mismo. El panorama de amenazas para el WiFi corporativo ha cambiado drásticamente. Las redes con clave precompartida (el tipo de red en el que todos conocen la contraseña de WiFi) ya no son aceptables para las redes de empleados en entornos regulados. Bajo la versión 4.0 de PCI DSS, que entró plenamente en vigor en 2024, las organizaciones que gestionan datos de tarjetas de pago deben implementar controles de acceso estrictos en cualquier red que esté en contacto con el entorno de datos de los titulares de tarjetas. El GDPR impone obligaciones similares a cualquier red que transporte datos personales. Y dado que el trabajo híbrido implica que los empleados se conectan desde dispositivos gestionados y no gestionados en docenas de ubicaciones, el antiguo modelo de perímetro simplemente ya no es válido. 802.1X es el estándar IEEE que resuelve esto. Proporciona control de acceso a la red basado en puertos, lo que significa que un dispositivo no puede unirse a la red en absoluto hasta que se haya autenticado contra un almacén de identidad central. No se trata solo de una contraseña compartida, sino de una identidad real verificada. Ese es el cambio fundamental. Sección dos: Análisis técnico detallado. Analicemos la arquitectura. 802.1X define tres roles. El suplicante (que es el dispositivo final, el portátil o smartphone que intenta conectarse). El autenticador (que es el punto de acceso inalámbrico o el switch de red). Y el servidor de autenticación (que en prácticamente cualquier implementación empresarial es un servidor RADIUS). Así es como funciona el saludo de conexión (handshake). Cuando un dispositivo intenta conectarse a un SSID protegido, el punto de acceso coloca ese dispositivo en un estado no autenticado. No puede acceder a la red. El AP envía una trama EAP Request Identity al dispositivo. EAP significa Protocolo de Autenticación Extensible (Extensible Authentication Protocol); es el marco que transporta las credenciales reales. El dispositivo responde con su identidad. El AP reenvía esto al servidor RADIUS, encapsulado en un paquete RADIUS Access-Request. A continuación, el servidor RADIUS desafía al dispositivo (el desafío específico depende del método EAP que esté utilizando). El dispositivo responde con sus credenciales. El servidor RADIUS valida esas credenciales contra su almacén de identidad (Active Directory, LDAP o un IdP en la nube) y devuelve un Access-Accept o un Access-Reject. Si es un Accept, el AP abre el puerto y el dispositivo obtiene acceso a la red. Si es un Reject, el dispositivo permanece bloqueado. Todo el intercambio tarda menos de un segundo. Ahora bien, la selección del método EAP es donde la mayoría de los arquitectos pasan su tiempo. Tiene cuatro opciones principales. EAP-TLS es el estándar de oro. Requiere un certificado de cliente en cada dispositivo, lo que significa que necesita una infraestructura PKI, pero proporciona autenticación mutua: el servidor demuestra su identidad al cliente y el cliente demuestra su identidad al servidor. No se pueden suplantar credenciales mediante phishing porque no hay contraseñas de por medio. Esta es la opción correcta para flotas de dispositivos totalmente gestionadas. PEAP (Protected EAP) es el método más implementado en la práctica. Crea un túnel TLS utilizando únicamente un certificado de servidor y, a continuación, pasa las credenciales de usuario y contraseña dentro de ese túnel. Es significativamente más fácil de implementar que EAP-TLS porque no se necesitan certificados de cliente, y es compatible de forma nativa en todos los sistemas operativos principales. La contrapartida es que depende de que los usuarios validen el certificado del servidor, algo que en la práctica no suelen hacer. Una implementación adecuada de PEAP requiere bloquear la configuración del suplicante para que solo confíe en el certificado de su servidor RADIUS específico. EAP-TTLS es similar a PEAP pero más flexible en el método de autenticación interno. Es especialmente útil en entornos con dispositivos heredados o terminales que no son de Windows. EAP-FAST fue desarrollado por Cisco como una alternativa más rápida que utiliza credenciales de acceso protegido en lugar de certificados, pero se implementa con menos frecuencia en nuevas infraestructuras. El propio servidor RADIUS merece atención. Las dos opciones de código abierto dominantes son FreeRADIUS, que impulsa una proporción significativa de las implementaciones empresariales a nivel mundial, y Microsoft NPS (Network Policy Server), que se incluye con Windows Server y se integra de forma nativa con Active Directory. Las opciones comerciales incluyen Cisco ISE, Aruba ClearPass y Portnox Cloud, que ofrece un modelo de RADIUS-as-a-service nativo de la nube que elimina por completo la necesidad de una infraestructura de servidores locales. La asignación de VLAN es una de las características más potentes de una implementación de 802.1X configurada correctamente. El servidor RADIUS puede devolver atributos de VLAN en la respuesta Access-Accept, asignando dinámicamente el dispositivo autenticado al segmento de red adecuado. Un miembro del personal se autentica y aterriza en la VLAN del personal. Un contratista se autentica con credenciales diferentes y aterriza en una VLAN restringida con acceso limitado. Un dispositivo que falla la validación del certificado se coloca en una VLAN de cuarentena. Esto es segmentación dinámica y es un control de seguridad muy importante. Sección tres: Recomendaciones de implementación y errores que se deben evitar. Permítame detallarle la secuencia de despliegue que funciona. Comience con una auditoría de red. Antes de tocar una sola configuración, documente cada dispositivo que necesitará autenticarse. Esto incluye impresoras, teléfonos IP, sistemas de gestión de edificios, cámaras de videovigilancia... cualquier dispositivo que se conecte a la red. Estos dispositivos sin interfaz de usuario no tienen un suplicante y no pueden realizar 802.1X. Necesitará una estrategia para ellos, normalmente MAC Authentication Bypass con una lista blanca estricta de direcciones MAC y su ubicación en una VLAN aislada. Paso dos: ponga en marcha su infraestructura RADIUS. Para garantizar la resiliencia, necesita como mínimo un servidor RADIUS primario y otro secundario. Configure sus puntos de acceso para que realicen una conmutación por error automática. Una caída de RADIUS que bloquee el acceso de todo el personal a la red es una incidencia de prioridad 1 (P1). No permita que ocurra por haber desplegado un único servidor. Paso tres: despliegue su PKI si va a utilizar EAP-TLS. Utilice sus Active Directory Certificate Services existentes o un proveedor de PKI en la nube. El autorregistro a través de directivas de grupo (Group Policy) hace que el despliegue de certificados de cliente sea gestionable a escala. Paso cuatro: configure sus directivas de red. Defina sus políticas de autenticación en RADIUS: qué usuarios o grupos de dispositivos reciben qué asignaciones de VLAN, qué ocurre con las autenticaciones fallidas, cómo gestiona el tráfico de invitados frente al del personal. Aquí es donde se aplica el principio de mínimo privilegio en la capa de red. Paso cinco: realice un piloto antes del lanzamiento definitivo. Elija una ubicación, una planta, un SSID. Pruebe cada tipo de dispositivo. Pruebe escenarios de fallo. Pruebe qué ocurre cuando el servidor RADIUS no está accesible. Solo entonces expanda el despliegue. Ahora, los errores más comunes. El más habitual que observo es la configuración incorrecta de la validación de certificados en despliegues PEAP. Si su política de suplicante no exige la validación del certificado del servidor, será vulnerable a ataques de puntos de acceso no autorizados (rogue AP), donde un atacante monta un punto de acceso falso y recopila credenciales. Proteja sus perfiles de suplicante mediante directivas de grupo o MDM. El segundo error es ignorar los dispositivos que no son 802.1X hasta el día del lanzamiento. Los dispositivos IoT, las impresoras y los sistemas heredados arruinarán su despliegue si no los ha planificado con antelación. MAC Authentication Bypass es su aliado en este caso, pero debe estar configurado antes de activar el interruptor. El tercer error son los puntos únicos de fallo en RADIUS. He visto a organizaciones desplegar un único servidor NPS y descubrir que toda la red de su personal se cae durante el reinicio de una actualización de Windows. Despliegue siempre una infraestructura RADIUS redundante. Sección cuatro: Preguntas rápidas. ¿Puede funcionar 802.1X junto con una red WiFi de invitados? Por supuesto. Su SSID de invitados funciona por separado —normalmente mediante un enfoque de Captive Portal— mientras que su SSID de personal exige 802.1X. Son SSIDs completamente independientes con VLANs separadas. La plataforma de Purple gestiona la parte de invitados, con herramientas de analítica y fidelización integradas, mientras que su infraestructura 802.1X protege la parte del personal.¿Reemplaza el 802.1X a una VPN? No. El 802.1X controla la admisión a la red: quién puede unirse a ella. Una VPN cifra el tráfico en tránsito y extiende la red corporativa a través de conexiones no confiables. Cumplen propósitos diferentes y a menudo se utilizan de forma conjunta. ¿Cuál es el impacto en el rendimiento del roaming? Con 802.1X, cada vez que un dispositivo realiza roaming entre puntos de acceso, necesita volver a autenticarse. Para la mayoría de las implementaciones empresariales, esto es imperceptible. El almacenamiento en caché de PMK y OKC (Opportunistic Key Caching) reducen significativamente la sobrecarga de la reautenticación. Para entornos de alta densidad, como estadios o centros de conferencias, vale la pena configurar esto de forma explícita. ¿Es WPA3-Enterprise un reemplazo para 802.1X? No; WPA3-Enterprise utiliza 802.1X para la autenticación. WPA3 mejora la capa de cifrado, exigiendo específicamente el modo de seguridad de 192 bits para las implementaciones más sensibles. 802.1X es el marco de autenticación subyacente. Sección cinco: Resumen y próximos pasos. Esto es lo que debería extraer de esta sesión informativa. El 802.1X es el único mecanismo de autenticación de nivel empresarial para el WiFi corporativo. Las claves precompartidas no son aceptables para entornos regulados. Elija su método EAP en función de su flota de dispositivos: EAP-TLS si dispone de dispositivos gestionados y una PKI, PEAP si necesita una compatibilidad más amplia. Planifique para los dispositivos que no son 802.1X antes de realizar la implementación, no después. Implemente una infraestructura RADIUS redundante: un único servidor es un punto único de fallo. Utilice la asignación dinámica de VLAN para aplicar la segmentación de red en el momento de la autenticación. Y realice una prueba piloto exhaustiva antes de implementarlo en todo su parque de dispositivos. Si está desarrollando una implementación multisitio y necesita diseñar la arquitectura, el equipo técnico de Purple trabaja a diario con arquitectos de red de los sectores de la hostelería, el comercio minorista y el sector público. La combinación de un WiFi seguro para el personal a través de 802.1X y un WiFi inteligente para invitados a través de la plataforma de Purple le ofrece una estrategia de red completa y segmentada que cumple tanto con sus obligaciones de seguridad como con los requisitos de experiencia de sus invitados. Con esto concluye esta sesión informativa. Gracias por escucharnos.