El papel de SCEP y NAC en la infraestructura moderna de MDM
Esta guía ofrece un desglose técnico detallado de cómo SCEP y NAC se integran con las plataformas MDM para ofrecer un acceso a la red seguro y sin intervención (zero-touch) a escala empresarial. Cubre toda la arquitectura, desde la emisión de certificados hasta la aplicación de 802.1X, con escenarios de implementación reales en los sectores de la hostelería y el comercio minorista. Diseñado para directores de TI de grandes recintos que necesitan eliminar las vulnerabilidades de las contraseñas, automatizar el aprovisionamiento de dispositivos y cumplir con los requisitos de conformidad este trimestre.
Escuchar esta guía
Ver transcripción del podcast
- Resumen Ejecutivo
- Análisis Técnico Detallado
- La Arquitectura de Tres Capas
- Cómo SCEP Automatiza la PKI a Escala
- NAC y 802.1X EAP-TLS: la capa de aplicación
- Segregación de redes de invitados
- Guía de implementación
- Paso 1: Preparación de PKI y SCEP
- Paso 2: Configuración del MDM
- Paso 3: Configuración de NAC y RADIUS
- Paso 4: Integración de la infraestructura de red
- Paso 5: Despliegue paralelo y transición
- Buenas prácticas
- Resolución de problemas y mitigación de riesgos
- Retorno de la inversión e impacto empresarial

Resumen Ejecutivo
Para los recintos corporativos - desde estadios con capacidad para 80.000 personas hasta cadenas de tiendas minoristas con múltiples sedes - la seguridad en el extremo de la red ha ido decisivamente más allá de las claves precompartidas y la gestión manual de credenciales. La proliferación de terminales corporativos, dispositivos BYOD e infraestructura IoT exige una arquitectura de confianza cero que se escale sin sobrecargar al equipo de soporte de TI.
Esta guía detalla la arquitectura técnica para integrar el Protocolo Simple de Inscripción de Certificados (SCEP) y el Control de Acceso a la Red (NAC) con la infraestructura de Gestión de Dispositivos Móviles (MDM). Al aprovechar SCEP para automatizar la distribución de certificados X.509, y NAC para aplicar la autenticación EAP-TLS IEEE 802.1X, las organizaciones pueden lograr un aprovisionamiento sin intervención, eliminar las vías de robo de credenciales y aplicar un acceso a la red dinámico y basado en el estado del dispositivo. Mientras que el acceso público se gestiona a través de una solución de Guest WiFi dedicada, esta arquitectura protege las operaciones críticas internas que mantienen el recinto en funcionamiento. El resultado es una reducción drástica de los gastos generales de TI, un mayor cumplimiento de las normativas PCI-DSS y GDPR, y la aplicación proactiva de los principios de confianza cero en el extremo de la red.
Análisis Técnico Detallado
La Arquitectura de Tres Capas
La seguridad de red moderna se basa en la identidad criptográfica en lugar del conocimiento del usuario. La pila SCEP-NAC-MDM opera en tres capas principales:
| Capa | Componentes | Función |
|---|---|---|
| Gestión de dispositivos | MDM / UEM | Autoridad central para la configuración, el cumplimiento y el ciclo de vida de los dispositivos |
| Identidad y emisión | PKI / SCEP / CA | Genera, emite y gestiona certificados digitales |
| Aplicación del acceso | NAC / RADIUS | Evalúa los certificados y el estado del dispositivo antes de conceder acceso a la red |
Estas capas no son secuenciales: funcionan en un bucle de retroalimentación continuo. El MDM informa al NAC sobre el estado de cumplimiento en tiempo real, mientras que el NAC puede activar flujos de trabajo de subsanación de MDM cuando un dispositivo no supera una comprobación de estado.

Cómo SCEP Automatiza la PKI a Escala
El despliegue manual de certificados es operativamente inviable a gran escala. Un parque de 500 dispositivos requeriría que un administrador de TI generara, firmara e instalara un certificado X.509 individual en cada dispositivo - un proceso que lleva varios minutos por dispositivo e introduce un riesgo significativo de error humano. SCEP elimina esto por completo.
Cuando un dispositivo se registra en el MDM, este envía un perfil de configuración que contiene una carga útil SCEP. Dicha carga útil indica al dispositivo que genere un par de claves localmente (lo cual es crucial, ya que la clave privada nunca sale del dispositivo) y que envíe una Solicitud de Firma de Certificado (CSR) al servidor SCEP. El servidor SCEP (que suele ser el Servicio de Registro de Dispositivos de Red (NDES) de Microsoft o un equivalente basado en la nube) valida la solicitud con el MDM para confirmar que el dispositivo está autorizado. A continuación, reenvía la CSR a la Entidad de Certificación (CA), que emite el certificado X.509 firmado. El certificado se devuelve al dispositivo y se instala en su enclave seguro o en el almacén de claves del sistema.
Todo el proceso se realiza de forma silenciosa, de manera inalámbrica y sin que sea necesaria la interacción del usuario. Para un despliegue de 1.000 dispositivos, todo el conjunto de certificados se puede aprovisionar a las pocas horas de completarse el registro en el MDM.
NAC y 802.1X EAP-TLS: la capa de aplicación
Una vez que un dispositivo dispone de un certificado válido, intenta conectarse al SSID corporativo o a un puerto por cable mediante IEEE 802.1X. El punto de acceso o switch actúa como autenticador, reenviando la solicitud a un servidor RADIUS regido por el motor de políticas del NAC. El método EAP más seguro es EAP-TLS, el cual requiere autenticación mutua: tanto el cliente como el servidor RADIUS deben presentar certificados válidos, lo que evita ataques de intermediario (man-in-the-middle) a través de puntos de acceso fraudulentos. El NAC realiza varias comprobaciones críticas en secuencia:
- Validación criptográfica: ¿Es el certificado matemáticamente válido y está firmado por una CA raíz de confianza?
- Comprobación de revocación: ¿Figura el certificado en una Lista de Revocación de Certificados (CRL) o está marcado mediante el Protocolo de Estado de Certificados en Línea (OCSP)?
- Evaluación de la postura: Al consultar al MDM a través de la API, el NAC pregunta: ¿Cumple el dispositivo con las normativas? ¿Tiene el sistema operativo el nivel de parche requerido? ¿Está habilitado el cifrado de disco?
Si se superan todas las comprobaciones, el NAC envía un mensaje RADIUS Access-Accept, que suele incluir atributos específicos del proveedor (VSA) que asignan dinámicamente el dispositivo a una VLAN específica o aplican listas de control de acceso (ACL). Los dispositivos que no cumplen con los requisitos se colocan en una VLAN de remediación con permisos limitados, normalmente los justos para activar flujos de trabajo de remediación gestionados por el MDM.

Segregación de redes de invitados
En cualquier entorno de recinto, la infraestructura corporativa debe estar estrictamente segregada de las redes orientadas al público. La plataforma de Guest WiFi funciona completamente en SSIDs y VLANs independientes, sin rutas de direccionamiento hacia los recursos corporativos. La arquitectura SCEP-NAC gobierna el nivel corporativo; el nivel de invitados se controla mediante la autenticación del Captive Portal y los flujos de trabajo de captura de datos. Para los recintos que despliegan WiFi Analytics , esta segregación es un requisito previo: los datos analíticos fluyen a través de la red de invitados, mientras que los datos operativos fluyen a través de la red corporativa autenticada por certificado. Para obtener más información sobre la arquitectura de RF subyacente que soporta ambas redes, consulte Wi-Fi Frequencies: A 2026 Guide to Wi-Fi Frequencies .
Guía de implementación
El despliegue de esta arquitectura requiere una secuencia cuidadosa para evitar bloquear a los usuarios legítimos durante la transición.
Paso 1: Preparación de PKI y SCEP
Establezca una PKI interna sólida o aproveche un servicio de PKI gestionada en la nube (mPKI). Despliegue y refuerce el servidor SCEP; si utiliza Microsoft NDES, asegúrese de que se ejecute en un servidor dedicado en lugar de estar coubicado con la CA. Configure el servidor SCEP para utilizar contraseñas de desafío dinámicas generadas por dispositivo por el MDM, en lugar de un secreto compartido estático. Esto evita solicitudes de certificados no autorizadas si se descubre la URL de SCEP.
Paso 2: Configuración del MDM
Cree la carga útil SCEP en su plataforma MDM. Defina los campos del Nombre alternativo del sujeto (SAN) con cuidado: el SAN debe contener identificadores únicos (como el número de serie del dispositivo o el UPN del usuario) que el NAC utilizará para las decisiones de políticas. Envíe el perfil a un grupo piloto de dispositivos del equipo de TI en primer lugar y valide todo el flujo de registro antes de un despliegue más amplio.
Paso 3: Configuración de NAC y RADIUS
Configure su NAC para confiar en la CA raíz que emitió los certificados de cliente. Instale un certificado de servidor en el servidor RADIUS para la autenticación mutua EAP-TLS. Defina políticas de acceso basadas en los atributos del certificado y el estado de cumplimiento del MDM. Implemente reglas de asignación dinámica de VLAN: dispositivos corporativos conformes a la VLAN corporativa, dispositivos no conformes a la VLAN de remediación y dispositivos IoT a una VLAN dedicada y con acceso a internet restringido.
Paso 4: Integración de la infraestructura de red
Configure los switches y los puntos de acceso inalámbricos para 802.1X. Para escenarios con hardware de punto de venta heredado en entornos de retail , o controladores de habitaciones inteligentes en recintos de hospitality , implemente la omisión de autenticación MAC (MAB) como alternativa para los dispositivos que no puedan participar en EAP-TLS. Restrinja MAB a puertos de switch específicos y asegúrese de que la base de datos de direcciones MAC esté estrictamente controlada. Para entornos de healthcare y transport , configure reglas de evaluación de postura para cumplir con los requisitos de conformidad específicos del sector.
Paso 5: Despliegue paralelo y transición
Nunca realice la transición de inmediato. Difunda el nuevo SSID 802.1X de forma paralela a la red existente. Distribuya el nuevo perfil de WiFi a través del MDM. Supervise la adopción y resuelva los fallos de inscripción. Una vez que más del 95% de los dispositivos se autentiquen correctamente en el nuevo SSID, retire la red heredada.
-
Buenas prácticas
Exija EAP-TLS. Nunca acepte EAP-PEAP o EAP-TTLS como método de autenticación principal para dispositivos corporativos. Estos métodos dependen de credenciales de usuario/contraseña dentro de un túnel TLS y siguen siendo vulnerables a la obtención de credenciales. EAP-TLS elimina por completo esa superficie de ataque.
Implemente la revocación en tiempo real. Las descargas programadas de CRL crean ventanas de exposición. Configure el NAC para realizar comprobaciones OCSP en tiempo real. Cuando se notifique la pérdida o el robo de un dispositivo, revoque el certificado en la CA para que el dispositivo pierda el acceso a la red en su siguiente intento de autenticación - o de inmediato, si se implementa el cambio de autorización (CoA).
Establezca periodos de validez de certificados razonables. El estándar del sector es un periodo de validez de un año, con renovación automática de SCEP activada 30 días antes de la expiración. Una validez más larga aumenta la ventana de exposición si un certificado se ve comprometido; una validez más corta incrementa el riesgo de que los fallos de renovación provoquen interrupciones.
Segregue el IoT de forma estricta. Los dispositivos IoT nunca deben compartir una VLAN con los endpoints corporativos. Utilice el NAC para aplicar ACL estrictas en la VLAN de IoT, permitiendo únicamente los protocolos y destinos específicos que requiere cada clase de dispositivo. Para los recintos que despliegan servicios de ubicación, consulte Indoor WiFi Positioning Systems: How They Work and How to Deploy Them para ver cómo se integra la infraestructura de posicionamiento con la arquitectura de red más amplia.
Alinee con WPA3. Allí donde el hardware lo admita, configure los SSID corporativos para que utilicen WPA3-Enterprise, que exige marcos de gestión protegidos (PMF) y proporciona una protección criptográfica más sólida que WPA2. Para obtener detalles sobre cómo encaja esto en el panorama de conectividad empresarial más amplio, consulte SD-WAN vs MPLS: A 2026 Guide to Enterprise Networking .
-
Resolución de problemas y mitigación de riesgos
| Modo de fallo | Causa raíz | Mitigación |
|---|---|---|
| Los dispositivos fallan en EAP-TLS tras la renovación del certificado | La renovación de SCEP falla silenciosamente | Supervise los registros del servidor SCEP; configure alertas para envíos de CSR fallidos |
| La validación del certificado falla debido al desfase horario | Configuración incorrecta de NTP | Imponga la sincronización de NTP en todos los endpoints e infraestructura |
| Los dispositivos IoT no pueden autenticarse | Sin suplicante 802.1X | Implemente MAB con controles estrictos de direcciones MAC y una VLAN aislada |
| Bloqueo masivo de dispositivos tras la migración de la CA | El NAC no confía en la CA raíz heredada | Planifique las migraciones de CA por etapas; agregue la nueva CA raíz al almacén de confianza del NAC antes de revocar la antigua |
| Los dispositivos revocados conservan el acceso a la red | Revocación exclusiva por CRL con intervalos de descarga largos | Implemente OCSP y CoA para la revocación en tiempo real |
| Para dispositivos IoT específicos basados en BLE, la arquitectura de autenticación difiere de la de los terminales conectados a WiFi. Consulta BLE de bajo consumo explicado para empresas para conocer las consideraciones de seguridad específicas que se aplican a la infraestructura de Bluetooth Low Energy. |
Retorno de la inversión e impacto empresarial
El caso de negocio para la integración de SCEP-NAC-MDM es claro cuando se compara con el coste de las alternativas.
| Métrica | Antes de la implementación | Después de la implementación |
|---|---|---|
| Tickets del soporte de TI (acceso a la red) | Alto - restablecimiento de contraseñas, rotación de claves | Casi cero - ciclo de vida de certificados automatizado |
| Tiempo medio para revocar un dispositivo comprometido | Horas (proceso manual) | Segundos (OCSP + CoA) |
| Cumplimiento de control de acceso PCI-DSS | Manual, auditoría intensiva | Automatizado, aplicado continuamente |
| Tiempo de incorporación de BYOD | 15-30 minutos por dispositivo | Menos de 5 minutos sin intervención de TI |
Para un parque de 500 dispositivos, eliminar la gestión manual de certificados y los tickets de soporte relacionados con contraseñas suele reducir los costes indirectos de soporte de TI relacionados con la red en un 25-35%. El valor de la mitigación de riesgos - evitar una única brecha basada en credenciales - supera habitualmente todo el coste de implementación. Para las organizaciones sanitarias y del sector público sujetas al GDPR, la capacidad de demostrar un control de acceso automatizado y auditable es un activo de cumplimiento muy significativo.
Definiciones clave
SCEP (Protocolo de registro de certificados simple)
Un protocolo que automatiza la emisión y revocación de certificados digitales en los dispositivos sin intervención del usuario, actuando como la capa de comunicación entre la plataforma MDM y la Entidad de Certificación.
Utilizado por las plataformas MDM para desplegar de forma fluida certificados X.509 a miles de terminales a escala. Los equipos de TI se encuentran con SCEP al configurar perfiles de MDM para la autenticación WiFi 802.1X.
NAC (Control de acceso a la red)
Una solución de seguridad que aplica políticas a los dispositivos que intentan acceder a la infraestructura de red, evaluando las credenciales de autenticación, la validez de los certificados y el estado de conformidad del dispositivo antes de conceder el acceso.
Actúa como el guardián en el extremo de la red. Los equipos de TI configuran las políticas NAC para definir qué dispositivos acceden a qué VLANs en función de sus atributos de certificado y de su estado de conformidad con el MDM.
MDM (Gestión de dispositivos móviles)
Software utilizado por los departamentos de TI para supervisar, gestionar y proteger los terminales de los empleados en múltiples sistemas operativos, sirviendo como la fuente central de información sobre la identidad y conformidad de los dispositivos.
El iniciador del proceso de registro SCEP y la fuente de datos de estado consultada por el NAC. Sin la integración con MDM, el NAC no puede realizar un control de acceso basado en el estado.
IEEE 802.1X
Un estándar de IEEE para el control de acceso a la red basado en puertos que proporciona un mecanismo de autenticación para los dispositivos que desean conectarse a una LAN o WLAN, requiriendo una autenticación satisfactoria antes de que se abra el puerto.
El protocolo subyacente que obliga a los dispositivos a autenticarse antes de que el conmutador o el punto de acceso permitan el paso de cualquier tráfico. Se configura tanto en la infraestructura de red como en el suplicante 802.1X del dispositivo.
EAP-TLS (Protocolo de autenticación extensible - Seguridad de la capa de transporte)
El estándar EAP más seguro, que requiere autenticación mutua, donde tanto el dispositivo cliente como el servidor RADIUS deben presentar certificados digitales válidos, eliminando los ataques a las credenciales basados en contraseñas.
El estándar de oro para la seguridad inalámbrica empresarial. Los arquitectos de TI deben exigir EAP-TLS en lugar de PEAP o TTLS siempre que exista una infraestructura de certificados de dispositivo.
CSR (Solicitud de firma de certificado)
Un bloque de texto codificado generado por un dispositivo que contiene su clave pública y los detalles de su identidad, que se envía a la Entidad de Certificación para solicitar un certificado X.509 firmado.
Generada automáticamente por el dispositivo durante el proceso de registro SCEP. La clave privada correspondiente a la CSR nunca sale del dispositivo, lo que garantiza que el certificado no se pueda duplicar.
MAB (Bypass de autenticación MAC)
Un método de autenticación de reserva en el que la red utiliza la dirección MAC de hardware del dispositivo como su credencial, utilizado para dispositivos que carecen de la capacidad de suplicante 802.1X.
Utilizado para dispositivos IoT heredados, como impresoras, sensores y controladores de salas inteligentes que no pueden participar en EAP-TLS. Siempre debería dar lugar a la asignación a una VLAN muy restringida.
OCSP (Protocolo de estado de certificados en línea)
Un protocolo de Internet utilizado para obtener el estado de revocación de un certificado digital X.509 en tiempo real, proporcionando una alternativa a la descarga y el análisis de las Listas de Revocación de Certificados.
Crítico para los sistemas NAC que necesitan bloquear inmediatamente el acceso a la red cuando un dispositivo se ve comprometido o se denuncia su robo. OCSP proporciona el estado en tiempo real; las descargas de CRL crean una ventana de revocación.
CoA (Cambio de autorización)
Una extensión de RADIUS (RFC 5176) que permite al NAC modificar o finalizar dinámicamente una sesión de red activa sin esperar a que expire la sesión o a que el dispositivo se vuelva a autenticar.
Se utiliza para desconectar inmediatamente un dispositivo cuando se revoca su certificado o cambia su estado de cumplimiento de MDM. Es esencial para la aplicación de zero-trust en tiempo real.
Ejemplos prácticos
Un complejo hotelero de lujo de 500 habitaciones necesita proteger su red de operaciones internas. El personal utiliza tabletas compartidas para la gestión del servicio de limpieza y la dirección utiliza portátiles corporativos. La red WPA2-PSK actual ha sufrido varias filtraciones de la clave precompartida, lo que ha provocado dos incidentes de seguridad en el último año. ¿Cómo debe realizar el equipo de TI la transición a la autenticación basada en certificados sin interrumpir las operaciones?
Fase 1 - Preparación (Semanas 1-2): Implementar una solución RADIUS/NAC basada en la nube e integrarla con el MDM existente. Configurar un perfil SCEP en el MDM para enviar certificados basados en dispositivos a todas las tabletas y portátiles. Utilizar certificados basados en dispositivos (vinculados al número de serie del dispositivo) en lugar de certificados basados en usuarios, de modo que las tabletas compartidas se autentiquen automáticamente independientemente del miembro del personal que las utilice. Fase 2 - Implementación paralela (Semanas 3-4): Transmitir un nuevo SSID oculto configurado para 802.1X EAP-TLS. Enviar el nuevo perfil de WiFi a través de MDM a todos los dispositivos registrados. Supervisar el panel de control de NAC para confirmar que las autenticaciones se realizan correctamente. Fase 3 - Transición (Semana 5): Una vez que más del 95 % de los dispositivos estén conectados al nuevo SSID, retirar la red WPA2-PSK heredada. Revocar la antigua PSK de toda la documentación y de los puntos de acceso.
Una cadena nacional de comercio minorista va a implantar 3.000 nuevos terminales de punto de venta en 150 tiendas. El equipo de seguridad exige una estricta segmentación de red para cumplir con PCI-DSS y un acceso de confianza cero (zero-trust). El plazo de implantación es de 8 semanas. ¿Cómo facilitan SCEP y NAC este proceso a gran escala sin necesidad de que haya personal de TI en cada tienda?
Preimplementación: El proveedor de los terminales de punto de venta registra previamente los 3.000 dispositivos en el MDM del minorista utilizando el programa de registro zero-touch del proveedor. El MDM se configura con un perfil SCEP que se activará automáticamente al arrancar el dispositivo por primera vez. Implementación: Cuando se enciende un terminal de punto de venta en la tienda, se conecta a un SSID de incorporación temporal (solo internet, sin acceso corporativo). Se envía el perfil de MDM, se activa la carga útil de SCEP y el dispositivo solicita y recibe su certificado X.509 de la CA. A continuación, el MDM envía el perfil de WiFi corporativo. Acceso a la red: Cuando el punto de venta se conecta al puerto del conmutador de la tienda, el conmutador inicia 802.1X. El NAC valida el certificado, consulta al MDM para confirmar que el punto de venta cumple con las normativas (cifrado habilitado, agente MDM activo, sin detección de jailbreak) y asigna dinámicamente el puerto del conmutador a la VLAN de PCI-DSS. El punto de venta ya está operativo. No se ha requerido la presencia de personal de TI en la tienda.
Preguntas de práctica
Q1. Su organización está migrando de WPA2-Enterprise con PEAP-MSCHAPv2 a EAP-TLS. Durante la fase piloto, los portátiles Windows y los iPhones se conectan correctamente, pero 200 escáneres de códigos de barras de almacén no consiguen autenticarse. Los escáneres son compatibles con 802.1X, pero no pueden procesar la carga útil de SCEP del MDM (ejecutan un sistema operativo integrado propietario sin soporte para agentes MDM). ¿Cuál es la solución arquitectónica más segura que mantiene la segmentación de la red sin necesidad de sustituir los escáneres?
Sugerencia: Considere mecanismos alternativos de entrega de certificados que no requieran un agente MDM, y qué controles de segmentación de red deberían aplicarse a los dispositivos que no pueden participar en una evaluación completa del estado de seguridad.
Ver respuesta modelo
Dado que los escáneres son compatibles con 802.1X pero no con SCEP ni con el registro en el MDM, el enfoque más seguro consiste en aprovisionar manualmente los certificados de dispositivo mediante una plantilla de certificados dedicada con un perfil de uso de clave restringido. Los certificados se instalan una sola vez durante una ventana de mantenimiento. El NAC se configura para aceptar estos certificados pero asigna los escáneres a una VLAN de operaciones de almacén dedicada con ACL estrictas (no a la VLAN corporativa completa), ya que no es posible realizar una evaluación del estado de seguridad. Como alternativa, si el aprovisionamiento manual de certificados no es escalable operativamente, configure MAB como alternativa específica para las OUI de MAC del hardware de los escáneres, haciendo que el NAC los asigne a la misma VLAN restringida. Registre esto como una excepción conocida en su registro de riesgos y planifique la sustitución de los escáneres en el próximo ciclo de renovación de hardware.
Q2. Un responsable de seguridad de red observa que cuando un empleado denuncia el robo de un portátil, el MDM envía un comando de borrado remoto, pero el dispositivo permanece conectado al WiFi corporativo hasta 12 horas (el tiempo de espera de la sesión RADIUS actual). Durante este intervalo, el dispositivo podría utilizarse para exfiltrar datos. ¿Cómo debería modificarse la arquitectura para interrumpir el acceso a la red inmediatamente después de que se denuncie el robo de un dispositivo?
Sugerencia: El NAC debe ser informado del cambio de estado al instante, en lugar de esperar al siguiente ciclo de autenticación. Considere tanto el mecanismo de finalización de sesión como el mecanismo de prevención de reautenticación.
Ver respuesta modelo
Implemente dos controles complementarios. En primer lugar, configure el MDM para que envíe un webhook al NAC inmediatamente después de que un dispositivo se marque como perdido o robado. A continuación, el NAC envía un mensaje de solicitud de desconexión (Disconnect-Request) de cambio de autorización (CoA) de RADIUS al punto de acceso o puerto de switch específico, lo que interrumpe la sesión activa de inmediato. En segundo lugar, revoque el certificado del dispositivo en la CA y asegúrese de que el NAC está configurado para la comprobación OCSP en tiempo real en lugar de la revocación basada en CRL. Esto significa que incluso si el dispositivo se vuelve a conectar antes de que se procese la CoA, la autenticación EAP-TLS fallará en la comprobación OCSP. Ambos controles juntos reducen el intervalo de exposición de 12 horas a menos de 60 segundos.
Q3. Durante una auditoría de seguridad de la red de un gran centro de conferencias, se descubre que el servidor SCEP está expuesto a la internet pública utilizando una contraseña de desafío estática para permitir el registro remoto de dispositivos. El auditor lo señala como una vulnerabilidad crítica. ¿Cómo debería rediseñarse el proceso de registro SCEP para mantener la capacidad de registro remoto eliminando al mismo tiempo el riesgo de la contraseña estática?
Sugerencia: El servidor SCEP necesita una forma de verificar que el dispositivo que solicita un certificado está realmente autorizado por el MDM, sin depender de un secreto compartido que pueda extraerse de un dispositivo o interceptarse.
Ver respuesta modelo
Sustituya la contraseña de comprobación estática por contraseñas de comprobación dinámicas y de un solo uso por dispositivo, generadas por el MDM. El flujo de trabajo pasa a ser: (1) El MDM genera una contraseña de comprobación única y con límite de tiempo para cada dispositivo durante el registro. (2) El MDM incluye esta comprobación en la carga útil SCEP enviada al dispositivo. (3) El dispositivo incluye la comprobación en su CSR. (4) El servidor SCEP valida la comprobación con el MDM a través de la API antes de enviar la CSR a la CA. (5) La comprobación se invalida inmediatamente después de su uso. Esto garantiza que solo los dispositivos gestionados por el MDM puedan obtener un certificado correctamente y que, incluso si se descubre la URL de SCEP, un atacante no pueda generar certificados válidos sin una comprobación de un solo uso válida. Además, restrinja el servidor SCEP únicamente a HTTPS e implemente una lista de IP permitidas para las IP de salida del MDM siempre que sea posible.
Continúe leyendo esta serie
Staff WiFi vs. Guest WiFi: mejores prácticas para la segmentación de redes corporativas
Una guía técnica completa para líderes de TI sobre cómo segmentar las redes de staff y guest WiFi. Cubre la arquitectura VLAN, la autenticación 802.1X, las políticas de firewall y el impacto empresarial de un diseño de red seguro.
Soluciones de WiFi para apartamentos: una guía completa para empresas
Esta guía cubre la arquitectura, el despliegue y el caso de negocio de las soluciones de WiFi para apartamentos en propiedades de Build to Rent y de múltiples viviendas. Explica cómo la tecnología Identity Pre-Shared Key (iPSK) crea burbujas de red seguras y aisladas para cada residente, a la vez que admite dispositivos inteligentes e IoT. Los promotores inmobiliarios, propietarios y operadores de BTR encontrarán orientación práctica de despliegue, datos de ROI y escenarios de implementación resueltos.
Cox business managed WiFi: a comprehensive guide for businesses
Esta guía detalla cómo los promotores inmobiliarios y los operadores de BTR pueden implementar redes escalables y seguras utilizando Cox Business managed WiFi. Cubre la arquitectura de red, la implementación de hardware independiente del proveedor y el impacto comercial de transformar la conectividad de un dolor de cabeza operativo a una infraestructura confiable.