¿Qué es la autenticación 802.1X? Cómo funciona y por qué es importante

¿Qué es la autenticación 802.1X? Cómo funciona y por qué es importante Un informe técnico de Purple — aproximadamente 10 minutos --- INTRODUCCIÓN Y CONTEXTO — aproximadamente 1 minuto Le damos la bienvenida a la serie de informes técnicos de Purple. Soy su anfitrión y hoy vamos a tratar uno de los estándares más importantes —y que más se suele malinterpretar— en las redes empresariales: la autenticación IEEE 802.1X. Si es usted responsable de TI, arquitecto de redes o CTO a cargo de un despliegue multisitio —ya sea una cadena hotelera, una red de tiendas, un estadio o un patrimonio del sector público—, este es un estándar que debe conocer a fondo. No porque sea interesante desde el punto de vista académico, sino porque implementarlo correctamente marca la diferencia entre una red que protege de verdad a su organización y otra que le da una falsa sensación de seguridad. En los próximos diez minutos, analizaremos qué es realmente el estándar 802.1X, cómo funciona el flujo de autenticación a nivel interno, dónde encaja dentro de su arquitectura de seguridad general, cómo desplegarlo sin caer en los errores habituales y cómo se traduce esto en un caso de negocio real. Comencemos. --- ANÁLISIS TÉCNICO DETALLADO — aproximadamente 5 minutos Entonces, ¿qué es 802.1X? En esencia, es un estándar IEEE para el control de acceso a la red basado en puertos. La palabra clave aquí es "basado en puertos". Antes de que un dispositivo tenga cualquier tipo de acceso a la red —antes de que pueda enviar un solo paquete a sus recursos internos—, debe autenticarse. El puerto de red, ya sea físico o inalámbrico, permanece bloqueado lógicamente hasta que la autenticación se realiza correctamente. Esto es fundamentalmente diferente de cómo funciona la mayoría de las redes WiFi domésticas. Con una configuración estándar WPA2-Personal, se tiene una clave precompartida —una contraseña— y cualquiera que la conozca accede a la red. El problema es evidente: esa contraseña se escribe en pizarras, se comparte en canales de Slack y se entrega a contratistas que se marcharon hace seis meses. No hay responsabilidad individual, no hay registro de auditoría y revocar el acceso implica cambiar la contraseña para todo el mundo. 802.1X soluciona todo eso. El estándar define un modelo de tres partes. Está el Suplicante (Supplicant), que es el dispositivo del usuario final, ya sea un portátil corporativo, un smartphone o un sensor IoT. Está el Autenticador (Authenticator), que suele ser su punto de acceso inalámbrico o switch gestionado. Y está el Servidor de Autenticación (Authentication Server), que casi siempre es un servidor RADIUS (Remote Authentication Dial-In User Service). Así es como funciona el flujo. Cuando un suplicante se conecta a un puerto de red o SSID inalámbrico, el autenticador coloca ese puerto en un estado controlado: solo permite el paso de tráfico EAP. EAP significa Extensible Authentication Protocol (Protocolo de Autenticación Extensible) y es el marco que transporta el intercambio de credenciales real. El autenticador envía una solicitud de identidad EAP al suplicante. El suplicante responde con su identidad. Luego, el autenticador la reenvía al servidor RADIUS, que desafía al suplicante a demostrar su identidad; esto podría ser mediante un nombre de usuario y contraseña, un certificado digital, una tarjeta inteligente o una combinación de factores. Una vez que el servidor RADIUS está conforme, envía un mensaje Access-Accept de vuelta al autenticador, que luego abre el puerto y permite el acceso completo a la red. Si la autenticación falla, el puerto permanece bloqueado o el dispositivo se coloca en una VLAN de invitados restringida. Ahora bien, el marco EAP es extensible por diseño, que es lo que representa la letra E. Existen varios métodos EAP de uso común. EAP-TLS utiliza autenticación mutua basada en certificados (tanto el cliente como el servidor presentan certificados) y se considera el estándar de oro para la seguridad. EAP-PEAP, que significa Protected EAP, envuelve la autenticación interna en un túnel TLS, lo que permite utilizar credenciales de nombre de usuario y contraseña de forma segura. EAP-TTLS es similar a PEAP pero más flexible en los métodos de autenticación interna que admite. Para la mayoría de las implementaciones empresariales, elegirá entre EAP-TLS para entornos de alta seguridad y PEAP-MSCHAPv2 para entornos donde la implementación de certificados no sea práctica. Ahora hablemos de cómo se integra esto con su infraestructura existente. El servidor RADIUS no autentica a los usuarios de forma aislada: consulta un almacén de identidades backend. En la mayoría de los entornos empresariales, se trata de Microsoft Active Directory o un directorio LDAP. El servidor RADIUS recibe la credencial del autenticador, la valida contra Active Directory y devuelve una decisión de política. Esa decisión de política puede incluir más que solo aceptar o rechazar: puede incluir la asignación de VLAN, políticas de ancho de banda y valores de tiempo de espera de sesión. Aquí es donde la asignación dinámica de VLAN se vuelve potente. Puede definir una política que diga: si este usuario está en el grupo de Finanzas en Active Directory, asígnelo a la VLAN 20. Si es un contratista, asígnelo a la VLAN 50 con acceso exclusivo a internet. Si está en un dispositivo no gestionado, colóquelo en la VLAN de invitados. Todo esto sucede de forma automática, en el punto de conexión, sin ninguna intervención manual. Para despliegues inalámbricos, 802.1X es el mecanismo de autenticación que sustenta WPA2-Enterprise y WPA3-Enterprise. La capa de cifrado —la protección real de los datos en tránsito— se gestiona mediante el saludo de 4 vías (4-way handshake) que sigue a una autenticación 802.1X exitosa, generando claves PMK y PTK únicas por sesión. Esta es una distinción crítica respecto a WPA2-Personal, donde todos los clientes comparten el mismo material de derivación de claves de cifrado. En una red WPA2-Personal, un actor malicioso que capture el saludo de 4 vías y conozca la PSK puede descifrar todo el tráfico de esa red. Con WPA2-Enterprise y 802.1X, ese vector de ataque se elimina porque cada sesión utiliza material de clave único. Desde la perspectiva del cumplimiento normativo, esto es de enorme importancia. PCI DSS versión 4.0 exige controles de autenticación fuertes para cualquier red que transporte datos de titulares de tarjetas. El GDPR exige medidas técnicas adecuadas para proteger los datos personales. Si gestiona una red de retail donde los terminales de punto de venta comparten segmento con la red WiFi de invitados, tiene un problema grave, y 802.1X con segmentación dinámica de VLAN es una parte fundamental de la solución. --- RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — aproximadamente 2 minutos Bien, hablemos del despliegue. El error más común que veo es que las organizaciones tratan 802.1X como una opción binaria: o se despliega por completo en todo, o no se molestan en hacerlo. La realidad es que un enfoque por fases es casi siempre más práctico y exitoso. Comience con su SSID corporativo y sus dispositivos gestionados. Despliegue un servidor RADIUS: Microsoft NPS es gratuito y se integra de forma nativa con Active Directory; FreeRADIUS es la alternativa de código abierto para entornos que no son de Windows. Configure su infraestructura inalámbrica para utilizar WPA2-Enterprise o WPA3-Enterprise en el SSID corporativo. Envíe la configuración del suplicante 802.1X a los dispositivos gestionados a través de Directivas de Grupo o de su plataforma MDM. Realice pruebas exhaustivas antes de la transición definitiva. Para la red WiFi de invitados, el enfoque es diferente. Los invitados no tienen credenciales corporativas, por lo que no se utiliza 802.1X en el sentido tradicional. En su lugar, plataformas como Purple proporcionan una capa de Captive Portal que gestiona la identidad de los invitados —inicio de sesión social, registro por correo electrónico, verificación por SMS— y luego ubica a los invitados autenticados en una VLAN aislada con políticas de ancho de banda y contenido adecuadas. Esto le ofrece las ventajas de la captura de datos y la segmentación sin necesidad de que los invitados tengan credenciales de directorio. Los errores que debe vigilar: la gestión de certificados es el punto crítico más común en los despliegues de EAP-TLS. Necesita una PKI —una infraestructura de clave pública— para emitir y gestionar los certificados de cliente. Si no dispone de una, la carga operativa de EAP-TLS puede ser significativa. PEAP-MSCHAPv2 es más fácil de desplegar, pero requiere prestar especial atención a la validación del certificado del servidor en el lado del cliente; si los clientes no están configurados para validar el certificado del servidor RADIUS, quedará expuesto a ataques de puntos de acceso no autorizados. La disponibilidad del servidor RADIUS es otra consideración crítica. Si su servidor RADIUS se cae, los usuarios autenticados no podrán conectarse. Despliegue RADIUS en una configuración de alta disponibilidad (como mínimo, un servidor primario y otro secundario) y asegúrese de que sus puntos de acceso estén configurados para realizar la conmutación por error correctamente. Por último, los dispositivos IoT. Muchos dispositivos IoT no son compatibles con los suplicantes 802.1X. Para estos, la omisión de autenticación MAC (MAB, por sus siglas en inglés) es la solución habitual, donde la dirección MAC del dispositivo se utiliza como credencial. Esto es más débil que un 802.1X adecuado, por lo que debe aislar los dispositivos autenticados por MAB en una VLAN restringida y supervisarlos de cerca. --- PREGUNTAS Y RESPUESTAS RÁPIDAS — aproximadamente 1 minuto Permítame repasar algunas preguntas que me hacen con regularidad. "¿Funciona 802.1X con RADIUS basado en la nube?" Sí; servicios como Cisco ISE, Aruba ClearPass y las ofertas de RADIUS como servicio nativas de la nube son compatibles con 802.1X. La plataforma de Purple se integra con estos para ofrecer una autenticación unificada de invitados y personal. "¿Puedo utilizar 802.1X tanto en una red cableada como inalámbrica?" Absolutamente. El estándar se diseñó originalmente para puertos Ethernet cableados y funciona de forma idéntica en switches gestionados. "¿Cuál es el impacto en el rendimiento?" Despreciable en la práctica. El intercambio de autenticación añade unos cientos de milisegundos en el momento de la conexión, pero tiene un impacto nulo en el rendimiento una vez establecida la sesión. "¿Reemplaza el WPA3 al 802.1X?" No. WPA3-Enterprise sigue utilizando 802.1X para la autenticación; mejora los mecanismos de cifrado e intercambio de claves, pero el marco de autenticación sigue siendo el mismo. --- RESUMEN Y PRÓXIMOS PASOS — aproximadamente 1 minuto En resumen: 802.1X es el estándar IEEE para el control de acceso a la red basado en puertos. Proporciona autenticación por usuario, asignación dinámica de políticas, un registro de auditoría completo y las claves de cifrado por sesión que hacen que WPA2-Enterprise y WPA3-Enterprise sean genuinamente seguros. Es la opción adecuada para cualquier red corporativa, de hostelería, comercio minorista o del sector público en la que se necesite responsabilidad individual y seguridad de nivel de cumplimiento normativo. Sus próximos pasos inmediatos: audite su modelo actual de autenticación de red. Si utiliza una PSK compartida en su SSID corporativo, esa es su primera prioridad de solución. Evalúe su infraestructura RADIUS; si no dispone de una, Microsoft NPS o FreeRADIUS son excelentes puntos de partida. Y si gestiona WiFi para invitados junto con la infraestructura corporativa, analice cómo plataformas como Purple pueden proporcionar la capa de identidad de invitados que complementa su despliegue corporativo de 802.1X. Para obtener más detalles sobre WPA2 frente a WPA3 y cómo interactúan con 802.1X, consulte la guía comparativa de Purple que aparece en las notas del programa. Gracias por escuchar. Nos vemos en la próxima sesión informativa.