Saltar al contenido principal
Español

La lista de comprobación para migrar de un NAC heredado a un NAC nativo de la nube

Esta guía de referencia técnica autorizada proporciona una lista de comprobación estructurada en tres fases para migrar de un control de acceso a la red (NAC) heredado a una arquitectura nativa de la nube. Ofrece a los responsables de TI y arquitectos de red estrategias prácticas para gestionar la integración de identidades, la paridad de políticas y el cumplimiento sin interrumpir las operaciones del establecimiento.

📖 6 min de lectura📝 1,336 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
La lista de comprobación para migrar de un NAC heredado a un NAC nativo de la nube Un informe de inteligencia de Purple WiFi — aproximadamente 10 minutos --- INTRODUCCIÓN Y CONTEXTO — aproximadamente 1 minuto Le damos la bienvenida al informe de inteligencia de Purple WiFi. Soy su anfitrión, y hoy abordamos una de las decisiones de infraestructura más trascendentales a las que se enfrentan actualmente los arquitectos de redes y directores de TI: la migración de un Network Access Control heredado a una arquitectura NAC nativa de la nube. Si gestiona un grupo hotelero, una cadena de tiendas, un estadio o un campus del sector público, es muy probable que su despliegue de NAC actual esté al final de su vida útil, tenga problemas de escalabilidad o genere problemas de conformidad que sencillamente no se puede permitir de cara a la segunda mitad de esta década. La aplicación del GDPR se está endureciendo. La versión 4 de PCI DSS está plenamente en vigor. Y su parque de WiFi para clientes y personal crece más rápido de lo que su hardware local puede soportar. Por eso, hoy quiero ofrecerle una lista de comprobación práctica y estructurada, el tipo de guía que un arquitecto de soluciones sénior le presentaría antes de firmar cualquier contrato de migración. Veremos qué auditar antes de empezar, cómo ejecutar un despliegue en paralelo de forma segura, dónde residen los riesgos reales y cómo medir si la migración ha aportado valor real. Comencemos. --- ANÁLISIS TÉCNICO DETALLADO — aproximadamente 5 minutos Empecemos por lo fundamental. El NAC heredado (piense en Cisco ISE en hardware obsoleto, o en un servidor RADIUS acoplado a un directorio de hace una década) se diseñó para un mundo en el que el perímetro de la red estaba bien definido, los dispositivos eran gestionados por la empresa y el tráfico de invitados era una cuestión secundaria. Ese mundo ya no existe. El NAC nativo de la nube invierte el modelo. La aplicación de políticas se desacopla del hardware. Su plano de control reside en la nube, sus puntos de aplicación son agentes ligeros o puntos de acceso integrados mediante API, y su almacén de identidades es federado, integrándose normalmente con Azure Active Directory, Okta o una plataforma de identidad de invitados diseñada a medida como Purple. ¿Cómo es realmente esta lista de comprobación? La divido en tres fases. La primera fase es la evaluación previa a la migración. Antes de modificar una sola configuración, necesita un inventario completo de su infraestructura de NAC existente. Eso incluye cada servidor RADIUS, cada política de suplicante, cada asignación de VLAN y cada punto de integración: su SIEM, su sistema de tickets ITSM y sus servicios de directorio. Debe saber exactamente qué hace su sistema heredado antes de poder replicarlo en la nube. Dentro de ese inventario, preste especial atención a tres cosas. Primero, su despliegue IEEE 802.1X. Documente cada método EAP en uso (EAP-TLS, PEAP-MSCHAPv2 o cualquiera que esté ejecutando), ya que su NAC nativo de la nube debe admitir los mismos métodos o experimentará fallos de autenticación de endpoints desde el primer día. Segundo, sus flujos de WiFi para invitados. Si actualmente tiene un Captive Portal en funcionamiento, entienda exactamente cómo se integra con su NAC: ¿es en línea, se basa en redirección o utiliza un CoA de RADIUS para cambiar la VLAN tras la autenticación? La plataforma de WiFi para invitados de Purple, por ejemplo, gestiona esto de forma nativa con la aplicación de políticas basadas en la nube, pero debe mapear su flujo actual antes de poder migrarlo. Tercero, su estado de cumplimiento normativo. Si entra en el ámbito de aplicación de PCI DSS, debe documentar su segmentación de red actual, concretamente cómo se aíslan los entornos de datos de titulares de tarjetas de las redes de invitados y del personal. Un NAC nativo de la nube puede, de hecho, simplificar esto, pero la migración en sí es un evento de cambio que debe documentarse para su QSA. La fase dos es la ejecución en paralelo. Aquí es donde la mayoría de las migraciones triunfan o fracasan. El enfoque correcto es desplegar su NAC nativo de la nube en modo sombra junto con su sistema heredado. Aún no va a realizar la transición, sino que está validando la paridad de las políticas. Para cada decisión de acceso que tome su sistema heredado, querrá ver la misma decisión en el sistema nativo de la nube. Ejecute esto durante un mínimo de dos semanas, idealmente cuatro. Utilice un subconjunto de endpoints reales (un grupo piloto de dispositivos del personal, un único SSID de invitados en un centro) y compare los registros de autenticación en paralelo. Durante la ejecución en paralelo, hay tres aspectos específicos que validar. Uno: la latencia. La autenticación RADIUS nativa de la nube debería ser inferior a 100 milisegundos para la gran mayoría de las solicitudes. Si observa una latencia mayor, revise la configuración de su proxy RADIUS y la selección de la región de la nube. Dos: la fidelidad de las políticas. Cada asignación de roles, cada etiqueta de VLAN, cada restricción de acceso: ¿coincide el sistema en la nube con el sistema heredado? Cualquier divergencia es una posible brecha de seguridad o un fallo en la experiencia del usuario. Tres: el comportamiento ante fallos. ¿Qué ocurre cuando el plano de control de la nube no está disponible temporalmente? Sus puntos de control necesitan una política de respaldo definida; normalmente, "fail-open" para el tráfico de invitados o "fail-closed" para el personal e IoT. Documente esto de forma explícita. La fase tres es la transición completa y la optimización. Una vez validada la paridad de las políticas, realice la transición durante una ventana de mantenimiento. La clave aquí es la secuenciación: migre primero el tráfico de invitados; es el de menor riesgo y el más fácil de revertir. Después, los SSID del personal. Luego, el 802.1X cableado, si corresponde. Por último, las redes de IoT y de tecnología operativa, que a menudo presentan las configuraciones de autenticación más frágiles y requieren el mayor cuidado. Tras el cambio, los primeros treinta días se centran en la optimización. El NAC nativo de la nube le ofrece una telemetría de la que sencillamente no disponía antes: tasas de autenticación por dispositivo, recuentos de aciertos de políticas y marcas de comportamiento anómalo. Utilice esos datos. La plataforma de análisis de Purple WiFi, por ejemplo, muestra el tiempo de permanencia de los dispositivos, los patrones de conexión y las anomalías de autenticación en un único cuadro de mando, lo que resulta enormemente útil para ajustar las políticas posteriores a la migración. Un punto técnico más que vale la pena destacar: WPA3. Si está migrando su NAC, este es el momento adecuado para evaluar también su estándar de cifrado. WPA3-Enterprise con modo de 192 bits es ahora la recomendación para entornos de alta seguridad según el programa de certificación de seguridad de la Wi-Fi Alliance. No es obligatorio para la mayoría de las implementaciones de WiFi de invitados, pero para las redes de personal e IoT que manejan datos sensibles, la actualización merece el esfuerzo paralelo. --- RECOMENDACIONES DE IMPLEMENTACIÓN Y ESCOLLOS — aproximadamente 2 minutos Permítame presentarle los tres modos de fallo más comunes que veo en las migraciones de NAC y cómo evitarlos. Modo de fallo uno: subestimar la dependencia de la identidad. El NAC nativo de la nube es tan bueno como lo sea su infraestructura de identidad. Si su Active Directory tiene un mantenimiento deficiente (cuentas obsoletas, pertenencias a grupos incoherentes, sin aplicación de MFA), replicará esos problemas en la nube a gran escala y con una mayor visibilidad para los atacantes. Antes de migrar su NAC, realice una auditoría de higiene de identidad. Limpie las cuentas obsoletas. Aplique MFA en todas las identidades privilegiadas. Federe la identidad de sus invitados a través de una plataforma diseñada específicamente para ello, en lugar de intentar integrar a los invitados en su directorio corporativo. Modo de fallo dos: ignorar el IoT. En entornos de hostelería y comercio minorista, los dispositivos IoT (controladores de puertas, sensores de climatización, señalización digital, terminales de punto de venta) a menudo se autentican mediante la omisión de la dirección MAC, que es un método de autenticación débil que el NAC heredado ha tolerado históricamente. El NAC nativo de la nube le brinda la oportunidad de aplicar una autenticación basada en certificados adecuada para IoT, pero esto requiere un proyecto de implementación de certificados de dispositivo que muchas organizaciones subestiman. Presupueste este proceso por separado. Modo de fallo tres: tratar la migración como un proyecto de una sola vez. El NAC nativo de la nube no es una implementación que se configura y se olvida. El valor reside en la telemetría continua y la automatización de políticas. Si no asigna la propiedad de la plataforma tras la migración (un ingeniero de seguridad de red designado o un socio de servicios gestionados), volverá a tener las mismas lagunas de cumplimiento y visibilidad que tenía con su sistema heredado en un plazo de doce meses. --- PREGUNTAS Y RESPUESTAS RÁPIDAS — aproximadamente 1 minuto Algunas preguntas que me hacen con frecuencia. "¿Cuánto suele durar una migración típica?" Para una implementación en un solo centro, entre cuatro y ocho semanas desde la evaluación hasta el cambio completo. Para una propiedad de varios centros (por ejemplo, un grupo hotelero con cincuenta propiedades), prevea de seis a doce meses, ejecutando un programa progresivo centro por centro."¿Necesitamos sustituir nuestros puntos de acceso?" No necesariamente. La mayoría de las plataformas NAC nativas de la nube admiten la autenticación RADIUS estándar, por lo que sus puntos de acceso actuales compatibles con 802.1X funcionarán. Sin embargo, si sus puntos de acceso tienen más de cinco años y no admiten WPA3 o las API de gestión modernas, la migración es un buen catalizador para renovar el hardware simultáneamente. "¿Qué ocurre con el GDPR y los datos de los invitados?" El NAC nativo de la nube, combinado con una plataforma de WiFi para invitados adecuada, de hecho mejora su postura de cumplimiento del GDPR. Obtiene una gestión centralizada del consentimiento, controles de residencia de datos y políticas de retención automatizadas, todo lo cual es considerablemente más difícil de implementar en una infraestructura local heredada. --- RESUMEN Y PRÓXIMOS PASOS — aproximadamente 1 minuto En resumen: migrar de un NAC heredado a un NAC nativo de la nube no es solo una renovación de la infraestructura; es un cambio estratégico en la forma de gestionar el acceso a la red, el cumplimiento normativo y la inteligencia de invitados a escala. La lista de comprobación es clara. Audite a fondo su infraestructura existente antes de empezar. Realice un despliegue en paralelo para validar la paridad de las políticas. Realice la transición de forma secuenciada y con bajo riesgo. E invierta en la telemetría continua y la automatización de políticas que hacen que el NAC nativo de la nube sea genuinamente superior a lo anterior. Si está evaluando plataformas, las capacidades de análisis y WiFi para invitados de Purple se integran de forma nativa con las arquitecturas NAC nativas de la nube, lo que le ofrece un panel único para la identidad de los invitados, la política de red y el análisis de las instalaciones. Vale la pena hablar con el equipo. Gracias por escuchar el Purple WiFi Intelligence Briefing. Toda la documentación técnica, los diagramas de arquitectura y la versión escrita de esta lista de comprobación están disponibles en purple.ai. Hasta la próxima.

header_image.png

Resumen ejecutivo

La migración de un Control de Acceso a la Red (NAC) heredado a una arquitectura nativa de la nube ya no es una actualización discrecional; es un requisito fundamental para mantener la seguridad, la escalabilidad y el cumplimiento en los entornos empresariales modernos. Los sistemas heredados, que a menudo dependen de un hardware local antiguo y de estructuras de directorio rígidas, tienen dificultades para soportar el crecimiento explosivo de los dispositivos IoT, la movilidad dinámica del personal y las estrictas exigencias del acceso de invitados moderno. Para los directores de operaciones de espacios y los responsables de TI de los sectores de la hostelería, el comercio minorista y el sector público, la transición a un NAC nativo de la nube mitiga los riesgos de fallo de hardware y la fragmentación de políticas, al tiempo que permite la automatización impulsada por API.

Esta guía de referencia técnica proporciona una lista de verificación exhaustiva para ejecutar esta migración. Describe un enfoque estructurado en tres fases: Evaluación previa a la migración, Ejecución en paralelo y validación, y Transición completa y optimización. Al desacoplar la aplicación de políticas del hardware y federar los almacenes de identidad, las organizaciones pueden lograr un aprovisionamiento sin intervención (zero-touch), una aplicación robusta de IEEE 802.1X y una integración fluida con las herramientas del ecosistema. De manera crucial, esta guía detalla cómo aprovechar plataformas como Purple para unificar la identidad de los invitados y la política de red, garantizando que la migración ofrezca un ROI operativo inmediato y una postura de seguridad mejorada.

Análisis técnico detallado

El cambio fundamental al pasar de un NAC heredado a uno nativo de la nube implica desacoplar el plano de control del plano de datos. Las arquitecturas heredadas suelen depender de servidores RADIUS monolíticos y appliances físicos desplegados en el extremo (edge) o agregados en un centro de datos central. Este modelo crea cuellos de botella, aumenta la latencia para los sitios distribuidos y exige una intervención manual constante para mantener la coherencia de las políticas.

El NAC nativo de la nube abstrae el motor de políticas y el proveedor de identidad (IdP) en un entorno de nube escalable. El cumplimiento se desplaza al extremo, ya sea a través de agentes de software ligeros o mediante la integración directa de API con puntos de acceso y switches modernos. Esta arquitectura altera fundamentalmente la forma en que se procesan la autenticación y la autorización.

Federación de identidad y RADIUS

En el centro de la migración se encuentra la transición de la gestión de identidades. El NAC heredado a menudo depende de enlaces LDAP directos a Active Directory local. Las soluciones nativas de la nube prefieren integraciones SAML o OIDC con proveedores de identidad en la nube como Azure AD u Okta. Al migrar, la infraestructura RADIUS debe modernizarse. Los servicios de RADIUS en la nube gestionan las autenticaciones IEEE 802.1X (por ejemplo, EAP-TLS, PEAP-MSCHAPv2) a nivel global, reduciendo la latencia al enrutar las solicitudes al punto de presencia geográfico más cercano. Es fundamental documentar todos los métodos de Protocolo de Autenticación Extensible (EAP) que se estén utilizando actualmente. No admitir los tipos de EAP existentes en el nuevo entorno provocará fallos de autenticación inmediatos en los puntos finales. Además, para el acceso de invitados, la integración de una plataforma sólida de Guest WiFi como Purple permite aplicar políticas basadas en la nube, abstrayendo la complejidad de la autorización de cambio (CoA) de RADIUS y las asignaciones de VLAN del hardware local.

Segmentación de red y cumplimiento normativo

El NAC moderno no se limita al acceso, sino que se centra en la segmentación dinámica. En entornos sujetos a PCI DSS o GDPR, la capacidad de asignar VLAN de forma dinámica o aplicar políticas de microsegmentación basadas en el rol del usuario, el estado del dispositivo y la ubicación es primordial. El NAC nativo de la nube evalúa el contexto (quién, qué, dónde y cuándo) antes de conceder el acceso.

Durante la migración, las asignaciones de VLAN estáticas existentes deben asignarse a políticas dinámicas. Por ejemplo, un terminal de punto de venta (POS) debe estar aislado de la red de invitados y de la red general del personal. El motor de políticas en la nube evalúa la dirección MAC del dispositivo (o, idealmente, un certificado de dispositivo) e indica a la infraestructura de red que lo ubique en la zona segura que cumple con la normativa PCI.

architecture_overview.png

Guía de implementación

Llevar a cabo la migración requiere un enfoque disciplinado y por fases para minimizar las interrupciones en los centros activos y en las operaciones comerciales críticas.

Fase 1: Evaluación previa a la migración

Antes de modificar cualquier configuración, es obligatorio realizar un inventario completo del ecosistema NAC existente. Esto incluye mapear todos los servidores RADIUS, configuraciones de suplicantes, esquemas de VLAN e integraciones de terceros (como plataformas SIEM o ITSM).

  1. Auditar las fuentes de identidad: Identifique todos los directorios y bases de datos utilizados para la autenticación. Limpie las cuentas inactivas y aplique la autenticación multifactor (MFA) en las identidades con privilegios.
  2. Mapear métodos EAP: Documente todos los métodos IEEE 802.1X en uso en las redes cableadas e inalámbricas.
  3. Analizar los flujos de invitados: Documente la integración actual del Captive Portal. Evalúe cómo una solución moderna de Guest WiFi puede agilizar este proceso.
  4. Revisar los dispositivos IoT: Identifique los dispositivos que dependen del bypass de autenticación MAC (MAB) y planifique la autenticación basada en certificados siempre que sea posible.

Fase 2: Ejecución paralela y validación

La estrategia más eficaz consiste en desplegar el NAC nativo de la nube en modo espejo (shadow mode) junto con el sistema heredado. Esto permite la validación de políticas sin afectar al tráfico de producción.

  1. Desplegar Cloud RADIUS: Configure el NAC en la nube para recibir solicitudes de autenticación en paralelo con el sistema heredado.
  2. Validar la paridad de políticas: Compare las decisiones de acceso (rol, VLAN, ACL) tomadas por ambos sistemas. Cualquier divergencia debe investigarse y resolverse.3. Probar la latencia: asegúrese de que las solicitudes de autenticación en la nube se completen dentro de los umbrales aceptables (normalmente menos de 100 ms).
  3. Grupos piloto: migre un pequeño subconjunto de usuarios (por ejemplo, el personal de TI) o un SSID específico que no sea crítico al nuevo sistema para validar la funcionalidad de extremo a extremo.

migration_phases_diagram.png

Fase 3: Transición completa y optimización

Una vez que se confirme la paridad, ejecute la transición durante una ventana de mantenimiento programada.

  1. Secuenciar la transición: comience con las redes de menor riesgo. Migre primero las redes de invitados, seguidas por la red inalámbrica del personal, la red cableada 802.1X y, por último, las redes IoT/OT.
  2. Supervisar la telemetría: utilice la visibilidad mejorada de la plataforma en la nube para supervisar las tasas de éxito de la autenticación e identificar comportamientos anómalos.
  3. Integrar analíticas: envíe la telemetría a una plataforma de WiFi Analytics para obtener información sobre el tiempo de permanencia de los dispositivos, los patrones de conexión y la utilización del espacio.
  4. Retirar el hardware heredado: una vez lograda la estabilidad, borre de forma segura y retire los dispositivos NAC heredados.

Buenas prácticas

Para garantizar un despliegue resiliente y escalable, cumpla con las siguientes buenas prácticas del sector:

  • Adoptar WPA3-Enterprise: siempre que el hardware lo admita, exija WPA3-Enterprise con el modo de 192 bits para redes de alta seguridad (por ejemplo, finanzas, recursos humanos). Esto se alinea con los últimos estándares de seguridad de Wi-Fi Alliance. Para profundizar en la comprensión de los estándares inalámbricos modernos, consulte nuestra guía sobre Wi Fi Frequencies: A Guide to Wi-Fi Frequencies in 2026 .
  • Federar la identidad de los invitados: no gestione las cuentas de los invitados en los directorios corporativos. Utilice una plataforma diseñada específicamente como Purple para gestionar la incorporación de invitados, la gestión de consentimientos y la residencia de datos, garantizando el cumplimiento de la GDPR.
  • Implementar principios de Zero Trust: deje atrás la confianza implícita basada en la ubicación de la red. Aplique una evaluación continua del estado de seguridad de todos los terminales antes de conceder el acceso.
  • Automatizar la incorporación de IoT: realice la transición para dejar de usar MAB mediante la implementación del aprovisionamiento automatizado de certificados para dispositivos sin pantalla.

Para obtener más información sobre la evolución de la seguridad de la red, revise The Future of Wi-Fi Security: AI-Driven NAC and Threat Detection y su equivalente en español, El Futuro de la Seguridad Wi-Fi: NAC Impulsado por IA y Detección de Amenazas .

Resolución de problemas y mitigación de riesgos

Las migraciones conllevan riesgos de forma inherente. Anticipar los fallos más comunes es fundamental para una transición fluida.

Modo de fallo: problemas de sincronización de identidad Si el IdP de la nube no se sincroniza con los directorios locales, la autenticación fallará. Mitigación: Implemente una monitorización sólida en los agentes de sincronización de directorios. Configure conectores de sincronización redundantes en diferentes sitios físicos.

Modo de fallo: Alta latencia de autenticación El enrutamiento del tráfico RADIUS a una región de nube lejana puede causar tiempos de espera (timeouts) en el suplicante del endpoint. Mitigación: Seleccione una región de nube geográficamente cercana a los recintos. Implemente proxies RADIUS locales o dispositivos de sucursal con capacidad de supervivencia para sitios críticos como grandes tiendas de Retail o centros de Healthcare .

Modo de fallo: Pérdida de conectividad IoT Los dispositivos IoT heredados a menudo tienen configuraciones de red predefinidas o carecen de soporte para métodos EAP modernos. Mitigación: Mantenga un SSID dedicado y aislado con respaldo MAB específicamente para dispositivos IoT heredados hasta que puedan ser reemplazados. Asegúrese de que esta VLAN tenga ACL estrictas que limiten el movimiento lateral.

ROI e impacto empresarial

La transición a un NAC nativo de la nube ofrece un valor empresarial medible que va más allá de la mejora de la seguridad.

  • Eficiencia operativa: El aprovisionamiento sin intervención (zero-touch) y la gestión centralizada de políticas reducen drásticamente las horas de ingeniería necesarias para movimientos, adiciones y cambios (MAC).
  • Ahorro en hardware: El desmantelamiento de los dispositivos locales elimina los costes asociados de energía, refrigeración y contratos de mantenimiento.
  • Experiencia de invitado mejorada: La integración de NAC con una plataforma moderna de Guest WiFi reduce las fricciones en el registro, lo que se traduce en mayores tasas de participación voluntaria (opt-in) y una recopilación de datos más enriquecedora para los equipos de marketing en los sectores de Hospitality y Transport .
  • Reducción de riesgos: Los informes de cumplimiento automatizados y la segmentación dinámica reducen la probabilidad y el impacto potencial de una brecha de datos, reduciendo las primas de los ciberseguros y protegiendo la reputación de la marca.

Definiciones clave

Control de Acceso a la Red (NAC)

Una solución de seguridad que aplica políticas a los dispositivos y usuarios que intentan acceder a una red.

Esencial para garantizar que solo los dispositivos autorizados y conformes se conecten a las redes corporativas o de invitados.

Arquitectura nativa de la nube

Diseño de aplicaciones específicamente para aprovechar los modelos de computación en la nube, normalmente utilizando microservicios y APIs.

Permite que el NAC se escale de forma infinita y desacople la gestión de políticas de las limitaciones del hardware local.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona una gestión centralizada de Autenticación, Autorización y Contabilización (AAA).

El protocolo principal utilizado por los switches y AP de red para comunicarse con el motor de políticas NAC.

IEEE 802.1X

Un estándar IEEE para el Control de Acceso a la Red basado en puertos, que proporciona un mecanismo de autenticación para los dispositivos que desean conectarse a una LAN o WLAN.

El estándar de oro para la autenticación de red segura y de nivel empresarial para los dispositivos del personal.

Bypass de Autenticación MAC (MAB)

Un método para conceder acceso a la red basado en la dirección MAC del dispositivo en lugar de en un nombre de usuario/contraseña o un certificado.

Comúnmente utilizado para dispositivos IoT sin interfaz (impresoras, cámaras) que no admiten 802.1X, aunque es intrínsecamente menos seguro.

Segmentación dinámica

La capacidad de asignar políticas de acceso a la red (como VLAN o ACL) de forma dinámica en función de la identidad del usuario, el tipo de dispositivo o el contexto.

Crucial para aislar diferentes tipos de tráfico (por ejemplo, mantener los terminales de punto de venta separados del WiFi de invitados).

Proveedor de identidad (IdP)

Una entidad del sistema que crea, mantiene y gestiona la información de identidad de los principales y proporciona servicios de autenticación.

El NAC nativo de la nube se basa en IdP modernos (Azure AD, Okta) en lugar de servidores LDAP locales heredados.

Cambio de autorización (CoA)

Una extensión RADIUS que permite al servidor NAC cambiar dinámicamente los permisos de acceso de una sesión activa.

Se utiliza ampliamente en los portales de WiFi de invitados para cambiar a un usuario de una VLAN de preautenticación restringida a una VLAN de acceso completo después de que acepte los términos.

Ejemplos prácticos

Un hotel de 500 habitaciones está migrando a un NAC nativo de la nube. Actualmente utilizan un servidor RADIUS local heredado para el 802.1X del personal (PEAP) y un Captive Portal básico para los huéspedes. Tienen 200 dispositivos IoT (smart TVs, cerraduras inteligentes) que se autentican mediante MAB. ¿Cómo deberían secuenciar la migración para minimizar las molestias a los huéspedes?

  1. Implementar el NAC en la nube e integrarlo con el IdP existente para el personal. 2. Integrar Purple Guest WiFi con el NAC en la nube para el acceso de invitados. 3. Transición de Fase 1: Migrar el SSID de invitados al nuevo flujo del Captive Portal. Esto es de bajo riesgo y proporciona un ROI de marketing inmediato. 4. Transición de Fase 2: Migrar el 802.1X del personal. Asegurar que los endpoints del personal confíen en el nuevo certificado del servidor RADIUS para evitar advertencias. 5. Transición de Fase 3: Migrar los dispositivos IoT. Crear una política específica en el NAC en la nube para MAB, asegurando que estos dispositivos se ubiquen en una VLAN aislada.
Comentario del examinador: Este enfoque secuenciado aísla el riesgo. Migrar primero a los invitados proporciona una victoria rápida y valida la arquitectura en la nube. Dejar el IoT para el final da tiempo para mapear meticulosamente las direcciones MAC y asegurar que las nuevas políticas de MAB estén configuradas correctamente antes de la transición.

Una gran cadena de tiendas con 150 establecimientos está experimentando una alta latencia (más de 500 ms) durante la fase de ejecución paralela de su migración al NAC en la nube, lo que provoca que los terminales de punto de venta (TPV) sufran tiempos de espera agotados (timeout) durante la autenticación.

Es probable que la latencia se deba a la distancia geográfica entre las tiendas y la región de RADIUS en la nube, o a búsquedas de directorio ineficientes. La solución es: 1. Verificar que el tenant del NAC en la nube esté alojado en la región geográfica óptima. 2. Desplegar un proxy RADIUS ligero o un dispositivo perimetral con capacidad de supervivencia en los hubs regionales para almacenar en caché las autenticaciones y gestionar las terminaciones EAP locales. 3. Asegurar que la integración del IdP utilice búsquedas rápidas e indexadas (por ejemplo, integración nativa con Azure AD en lugar de consultar un servidor LDAP local a través de una VPN).

Comentario del examinador: Los entornos de retail son muy sensibles a la latencia, especialmente los sistemas TPV. La solución identifica correctamente la necesidad de acercar la decisión de autenticación al extremo (edge), ya sea geográficamente o mediante almacenamiento en caché local, lo cual es un patrón arquitectónico estándar para empresas distribuidas.

Preguntas de práctica

Q1. Su organización está migrando de Cisco ISE a un NAC nativo de la nube. Durante el funcionamiento en paralelo, observa que un grupo específico de escáneres de códigos de barras más antiguos en su almacén falla en la autenticación en el NAC de la nube, pero tiene éxito en ISE. ¿Cuál es la causa más probable y cómo debería solucionarlo?

Sugerencia: Considere cómo los dispositivos más antiguos gestionan el cifrado y la negociación de protocolos.

Ver respuesta modelo

La causa más probable es una discrepancia en los métodos EAP compatibles o en las suites de cifrado. Es posible que el NAC en la nube haya dejado de admitir protocolos más antiguos y menos seguros (como TLS 1.0 o cifrados débiles específicos) que el servidor ISE heredado todavía permitía. Para solucionar esto, debe actualizar el firmware/suplicante en los escáneres de códigos de barras para que admitan protocolos modernos o, si eso no es posible, configurar una política específica y aislada en el NAC de la nube para permitir temporalmente el protocolo más antiguo estrictamente para ese grupo de dispositivos, mitigando el riesgo de seguridad mediante una segmentación de red estricta.

Q2. Un campus universitario quiere implementar WPA3-Enterprise para su red de personal junto con la migración de NAC. Sin embargo, el 15% de los portátiles del personal tienen tarjetas de red inalámbricas más antiguas que no son compatibles con WPA3. ¿Cómo debería diseñar los SSID el arquitecto de red?

Sugerencia: Considere los modos de transición y el impacto en la postura de seguridad.

Ver respuesta modelo

El arquitecto debe configurar el SSID del personal para utilizar el modo de transición WPA3-Enterprise. Esto permite que los dispositivos compatibles se conecten mediante WPA3-Enterprise, mientras que los dispositivos más antiguos recurren a WPA2-Enterprise. Alternativamente, si se requiere un cumplimiento estricto de la seguridad para departamentos específicos, se puede crear un SSID dedicado solo para WPA3 para los dispositivos compatibles, dejando el SSID heredado activo hasta que se actualice el hardware restante.

Q3. Durante la Fase 1 (Evaluación previa a la migración), descubre que el WiFi de invitados actual depende en gran medida de RADIUS CoA para mover a los usuarios de una VLAN de portal cautivo a una VLAN de acceso a Internet. Los nuevos AP en la nube no admiten CoA de manera confiable a través de la WAN. ¿Cuál es el cambio arquitectónico recomendado?

Sugerencia: Considere cómo las plataformas de invitados modernas gestionan la aplicación de políticas sin depender de una conmutación de VLAN local compleja.

Ver respuesta modelo

El enfoque recomendado es abandonar la conmutación de VLAN local y utilizar una plataforma de WiFi de invitados gestionada en la nube (como Purple). En este modelo, el AP coloca todo el tráfico de invitados en una única VLAN de invitados. El Captive Portal y la aplicación de políticas (limitación de ancho de banda, filtrado de contenido, tiempo de sesión) se gestionan mediante el cortafuegos integrado del AP o una pasarela en la nube, lo que elimina por completo la necesidad de RADIUS CoA y simplifica la configuración del extremo.

Continúe leyendo esta serie

Hotel Guest WiFi Management: Integrating PMS, Portals, and Brand Standards

Esta guía técnica detalla cómo diseñar redes WiFi de hotel de nivel empresarial, centrándose en la segmentación de VLAN, la integración de PMS para la gestión automatizada de sesiones y la optimización del Captive Portal para la captura de datos de conformidad con el GDPR.

Leer la guía →

Cómo configurar un WiFi de invitados: Guía de configuración empresarial segura

Esta guía de referencia ofrece a los líderes de TI y arquitectos de red un plan definitivo para implementar un WiFi de invitados empresarial seguro. Cubre la arquitectura esencial, la migración a WPA3, la segmentación de VLAN y la integración de Captive Portal para proteger los sistemas internos al tiempo que se recopilan datos de primera mano conformes a la normativa.

Leer la guía →

Gestión del ancho de banda para WiFi de empleados: modelado, QoS y reducción de tráfico

Esta guía detalla métodos prácticos para gestionar el ancho de banda para WiFi de empleados en entornos empresariales. Cubre el modelado de tráfico, la implementación de QoS y cómo el despliegue de Purple Shield reduce la carga de la red sin necesidad de actualizar la infraestructura.

Leer la guía →