Saltar al contenido principal

¿Qué es un suplicante 802.1X? Tipos de clientes y configuración de dispositivos

Esta guía explica la función del suplicante 802.1X en la autenticación de WiFi empresarial. Cubre la arquitectura técnica, compara los suplicantes nativos del sistema operativo con clientes de terceros y proporciona orientación práctica de configuración para equipos de TI que implementan EAP-TLS y PEAP.

📖 5 min de lectura📝 1,091 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Hable en inglés británico con un tono seguro, autoritario y conversacional, como un consultor sénior de seguridad de redes informando a un cliente. Ritmo pausado, dicción clara, profesional pero no rígido. Pausas naturales ocasionales para enfatizar: Bienvenido a la serie de sesiones informativas técnicas de Purple. Hoy trataremos algo que se encuentra en el centro de la seguridad de la red WiFi empresarial: el suplicante 802.1X. Si alguna vez se ha preguntado por qué algunos dispositivos se conectan a su red corporativa sin solicitar contraseña, mientras que otros lanzan errores de certificado y tickets de soporte, este es el episodio para usted. [pausa media] Empecemos por lo básico. El suplicante 802.1X es el componente de software de un dispositivo cliente (un ordenador portátil, un smartphone, una tableta) que gestiona el saludo de autenticación cuando ese dispositivo intenta unirse a una red protegida por IEEE 802.1X. Piense en él como el presentador de la tarjeta de identificación del dispositivo. La red no deja entrar a cualquiera. Pide credenciales. El suplicante es el que da un paso al frente y dice: aquí está quién soy, aquí está mi certificado, déjame entrar. El propio estándar - IEEE 802.1X - define el control de acceso a la red basado en puertos. Antes de que la autenticación se realice correctamente, el punto de acceso o switch solo permite el paso de un tipo muy específico de tráfico: tramas EAPOL, que significa Protocolo de Autenticación Extensible sobre LAN. Todo lo demás está bloqueado. Una vez que el suplicante demuestra su identidad al servidor RADIUS a través del autenticador, el puerto se abre y el tráfico normal fluye. [pausa media] Ahora bien, hay tres actores en esta obra. Primero, el suplicante: el dispositivo cliente. Segundo, el autenticador: su punto de acceso o switch, hardware como Cisco Meraki, HPE Aruba, Ruckus o Juniper Mist. Tercero, el servidor de autenticación: casi siempre un servidor RADIUS, que valida las credenciales contra un directorio como Microsoft Entra ID u Okta. El suplicante inicia el proceso enviando un mensaje EAPOL-Start. El autenticador responde con una solicitud EAP-Request de identidad. El suplicante responde con su identidad. Esa identidad se reenvía al servidor RADIUS, que luego desafía al suplicante con el método EAP acordado. Si todo es correcto, el servidor RADIUS envía un Access-Accept, el puerto se abre y el dispositivo se ubica en la VLAN correspondiente. [pausa media] Hablemos de los métodos EAP, porque aquí es donde se toman la mayoría de las decisiones de implementación. EAP-TLS - que es el Protocolo de Autenticación Extensible con Seguridad en la Capa de Transporte - es el estándar de oro. Requiere que tanto el cliente como el servidor presenten certificados. Autenticación mutua. Sin contraseñas. El certificado de cliente demuestra la identidad del dispositivo; el certificado del servidor demuestra que la red es legítima, lo que protege contra ataques de "evil twin" en los que un punto de acceso no autorizado intenta recopilar credenciales. EAP-TLS se completa en doce pasos y utiliza criptografía de clave pública-privada en todo el proceso. Es el método requerido para WPA3-Enterprise en su modo de seguridad más alto y se alinea con los requisitos de NIST SP 800-171 para la verificación de identidad de dispositivos. PEAP - EAP protegido - es el punto de partida más común para las organizaciones que aún no disponen de una PKI completa. PEAP envuelve un método interno basado en contraseña, normalmente MSCHAPv2, dentro de un túnel TLS. El servidor presenta un certificado; el cliente no. Esto significa que la implantación es más sencilla - no es necesario suministrar certificados de cliente - pero es menos segura. MSCHAPv2 utiliza el cifrado MD4, que se considera comprometido desde 1995. Si un usuario se conecta a un punto de acceso no autorizado que presenta un certificado que parece de confianza, se pueden capturar sus credenciales. Por lo tanto, la validación del certificado del servidor en el lado del cliente no es negociable cuando se ejecuta PEAP. [medium pause] Ahora entremos en el suplicante en sí, concretamente en la elección entre los suplicantes nativos del sistema operativo y el software de cliente de terceros. Todos los sistemas operativos principales incluyen un suplicante 802.1X integrado. Windows lo admite de forma nativa desde XP, a través de los servicios de Configuración automática de redes cableadas e inalámbricas. macOS e iOS gestionan 802.1X a través de sus perfiles de configuración de red. Android lo admite a través del panel de ajustes de WiFi. Estos suplicantes nativos cubren EAP-TLS y PEAP-MSCHAPv2 en todas las plataformas actuales. La ventaja de los suplicantes nativos es obvia: no hay software adicional que implementar, no hay costes de licencia, se dispone de actualizaciones de seguridad automáticas del sistema operativo y ofrece una estrecha integración con el almacén de certificados del sistema operativo. Para flotas de dispositivos gestionados - equipos Windows registrados en Microsoft Intune o Macs gestionados a través de Jamf - se pueden enviar perfiles de configuración 802.1X de forma silenciosa a través de MDM, y los usuarios nunca verán ningún aviso. El dispositivo se autentica automáticamente cada vez que entra dentro del alcance. Los suplicantes de terceros entran en juego en escenarios específicos. Si tiene una infraestructura Cisco y desea utilizar EAP-FAST (el método EAP patentado de Cisco), necesitará el software de cliente de Cisco, históricamente el Secure Services Client o AnyConnect Network Access Manager. Si necesita una gestión de configuración coherente en un parque de sistemas operativos mixtos y desea bloquear los ajustes del suplicante para que los usuarios no puedan desconfigurarlos accidentalmente, un cliente de terceros le ofrece ese control. Las herramientas como la suite JoinNow de SecureW2 también actúan como agentes de incorporación: configuran el suplicante nativo en lugar de reemplazarlo, guiando a los usuarios a través del registro de certificados y la instalación de perfiles. [medium pause] Permítame guiarle a través de dos escenarios del mundo real para que esto sea más concreto. Primero, un hotel de 400 habitaciones. El establecimiento gestiona hoy una red para el personal en WPA2-Enterprise con PEAP-MSCHAPv2. El equipo de TI quiere migrar a EAP-TLS para eliminar la autenticación basada en contraseñas y reducir el riesgo de robo de credenciales. El desafío: los dispositivos del personal son una mezcla de portátiles Windows gestionados a través de Intune, teléfonos Android personales utilizados para el software de gestión del establecimiento y un puñado de equipos heredados con Windows 7 en las oficinas internas. El enfoque aquí es gradual. Comience con la flota administrada de Windows. Implemente un perfil de configuración de Intune que instale el certificado CA raíz del servidor RADIUS, configure el perfil de WiFi para EAP-TLS e inicie el registro de certificados basado en SCEP desde la PKI interna. Esos dispositivos se autentican automáticamente desde el primer día. Para los dispositivos BYOD de Android, implemente un portal de incorporación de autoservicio: los usuarios visitan una URL, descargan un perfil de configuración y el suplicante se configura para ellos. Las máquinas heredadas con Windows 7 se mantienen en PEAP con una validación estricta del certificado del servidor aplicada, aisladas en una VLAN independiente con acceso limitado, hasta que se retiren de servicio. [medium pause] Segundo escenario: una gran cadena de tiendas con 200 establecimientos. Cada tienda tiene una combinación de terminales de punto de venta, tabletas para el personal y una red WiFi para invitados. La normativa PCI-DSS requiere que los entornos de datos de titulares de tarjetas estén aislados de otros segmentos de la red. El minorista utiliza 802.1X en las redes de personal y POS, con asignación de VLAN impulsada por atributos de certificado. Un terminal POS presenta un certificado de dispositivo con una unidad organizativa de "POS": la política RADIUS lo asigna a la VLAN de PCI. Una tableta del personal presenta un certificado con "Staff" y aterriza en la VLAN del personal. Los dispositivos de los invitados se conectan a un SSID totalmente independiente, gestionado por una solución de Captive Portal. La configuración del suplicante en los terminales POS está bloqueada mediante MDM. No se requiere interacción del usuario. Los terminales se autentican de forma silenciosa al arrancar. La renovación de certificados se automatiza a través de SCEP, por lo que no hay intervención manual cuando expiran los certificados. [medium pause] Ahora, errores de implementación. Permítame presentarle los cuatro más comunes. Número uno: la falta de validación del certificado del servidor en despliegues PEAP. Si no se configura el suplicante para validar el certificado del servidor RADIUS y comprobar el nombre del servidor, los usuarios quedan expuestos a conectarse a un punto de acceso no autorizado. Especifique siempre la CA raíz de confianza y el nombre del servidor en el perfil del suplicante. Número dos: la caducidad de los certificados que causa fallos masivos de autenticación. Los certificados de cliente tienen un periodo de validez. Si no dispone de una renovación automatizada a través de SCEP o NDES, se enfrentará a un problema crítico en el que cientos de dispositivos dejarán de autenticarse simultáneamente. Desarrolle la automatización de la renovación antes de la puesta en marcha. Número tres: dispositivos BYOD con un comportamiento del suplicante inconsistente. Android, en particular, tiene un soporte 802.1X fragmentado entre los distintos fabricantes. Algunas versiones requieren que el usuario instale manualmente el certificado de la CA antes de que el perfil de WiFi lo acepte. Un portal de incorporación que gestione este paso reduce significativamente el volumen de consultas al servicio de soporte. Número cuatro: las actualizaciones de funciones de Windows 11 que alteran la configuración del suplicante. Microsoft ha cambiado el comportamiento de 802.1X en varias actualizaciones de Windows 11. En concreto, la actualización 24H2 introdujo cambios en la forma en que el suplicante nativo gestiona la caída a EAP-TLS. Pruebe los perfiles de su suplicante con las nuevas versiones del sistema operativo antes de distribuirlos en producción. [pausa media] Preguntas rápidas ahora. ¿Pueden los dispositivos IoT soportar 802.1X? La mayoría no. Por lo general, los dispositivos IoT carecen por completo de un suplicante. La alternativa es MAC Authentication Bypass - MAB - donde el servidor RADIUS autentica el dispositivo basándose en su dirección MAC. Las direcciones MAC se pueden suplantar, por lo que los dispositivos MAB siempre deben acabar en una VLAN de IoT aislada con reglas de firewall estrictas. ¿Necesito una PKI para ejecutar 802.1X? Para PEAP, no; solo necesita un certificado de servidor en el servidor RADIUS. Para EAP-TLS, sí; necesita una PKI para emitir certificados de cliente. Los servicios de PKI basados en la nube reducen considerablemente los costes de infraestructura. ¿Cómo interactúa 802.1X con la plataforma de acceso a la red de Purple? Purple funciona como una capa de nube sobre su hardware existente: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y otros. En las redes WiFi para empleados, el complemento SecurePass de Purple se integra con su proveedor de identidad - Microsoft Entra ID, Okta o Google Workspace - para aplicar la autenticación 802.1X y las políticas de VLAN por usuario sin necesidad de una infraestructura RADIUS local. [pausa media] Para resumir: el suplicante 802.1X es el agente del lado del dispositivo que hace que funcione el control de acceso a la red basado en puertos. La elección del método EAP - EAP-TLS para una seguridad máxima, PEAP como opción de transición - determina los requisitos de su PKI y el enfoque de configuración del suplicante. Los suplicantes nativos del sistema operativo cubren la mayoría de los escenarios de dispositivos gestionados cuando se despliegan a través de MDM. Los clientes de terceros aportan valor en casos específicos: métodos EAP propietarios, entornos con sistemas operativos mixtos que requieren una configuración coherente o incorporación de BYOD en modo de autoservicio. Las tres ideas clave que debe recordar: valide el certificado de su servidor RADIUS en cada perfil de suplicante, automatice la renovación de certificados antes de implementar EAP-TLS a gran escala e aísle los dispositivos que no admiten 802.1X - IoT, hardware heredado - en VLANs dedicadas con MAC Authentication Bypass como alternativa de respaldo. Para obtener más información sobre cómo se integra Purple con su arquitectura de acceso a la red, visite purple dot ai. Gracias por escucharnos.

header_image.png

Resumen Ejecutivo

Cuando un dispositivo se conecta a una red empresarial, el suplicante 802.1X es el componente de software responsable de demostrar su identidad. Para los directores de TI y los arquitectos de red de grandes espacios, comprender cómo funciona el suplicante es vital para proteger el acceso a la red sin generar tickets de soporte técnico. Esta guía desmitifica el agente del lado del dispositivo en la autenticación IEEE 802.1X, contrastando las capacidades nativas del sistema operativo con el software suplicante de terceros. Examinaremos cómo configurar los suplicantes para EAP-TLS y PEAP-MSCHAPv2, exploraremos escenarios de implementación en el mundo real en los sectores de hostelería y retail, y detallaremos cómo la configuración adecuada del suplicante se integra con las Redes Basadas en la Identidad para optimizar el acceso. Ya sea que gestione un hotel de 200 habitaciones o un gran recinto con un aforo de más de 80.000 personas, la configuración correcta del suplicante es un pilar fundamental para crear un WiFi seguro y fiable.

Análisis Técnico Profundo

El estándar IEEE 802.1X define el control de acceso a la red basado en puertos. Funciona bajo una premisa sencilla: bloquear todo el tráfico en el extremo de la red hasta que un dispositivo demuestre su identidad. El suplicante es el participante del lado del cliente en este proceso.

Los Tres Componentes de 802.1X

La autenticación requiere tres entidades distintas:

  1. Suplicante: El dispositivo cliente (portátil, smartphone o tableta) que solicita acceso a la red.
  2. Autenticador: El dispositivo de acceso a la red, como un punto de acceso Cisco Meraki, HPE Aruba, Ruckus o Juniper Mist.
  3. Servidor de Autenticación: El servidor RADIUS que valida las credenciales contra un proveedor de identidad como Microsoft Entra ID o Okta.

Antes de la autenticación, el puerto del autenticador se encuentra en un estado no autorizado, permitiendo únicamente el tráfico de Protocolo de Autenticación Extensible sobre LAN (EAPOL). El suplicante inicia el proceso con una trama EAPOL-Start. El autenticador solicita la identidad y el suplicante responde. Esta identidad se reenvía al servidor RADIUS, que determina el método EAP que se va a utilizar. Tras una validación correcta, el servidor RADIUS envía un mensaje Access-Accept, el puerto pasa a un estado autorizado y el dispositivo se asigna normalmente a una VLAN específica.

architecture_overview.png

Métodos EAP: El Idioma del Suplicante

El suplicante y el servidor RADIUS deben acordar un método de Protocolo de Autenticación Extensible (EAP). La elección del método EAP dicta el nivel de seguridad y la carga de configuración en el suplicante.

EAP-TLS (Transport Layer Security) EAP-TLS requiere una autenticación mutua basada en certificados. El suplicante proporciona un certificado de cliente para demostrar su identidad, y el servidor RADIUS proporciona un certificado de servidor para demostrar la legitimidad de la red. Este método sin contraseña elimina el robo de credenciales y es requerido por marcos de seguridad estrictos como NIST SP 800-171. El suplicante debe estar configurado para confiar en la Autoridad de Certificación (CA) emisora y poseer un certificado de cliente válido.

PEAP (Protected EAP) En escenarios donde no es factible una infraestructura de clave pública (PKI) completa, PEAP se utiliza ampliamente. Encapsula un método de autenticación interno (normalmente MSCHAPv2) dentro de un túnel TLS seguro. El servidor RADIUS proporciona un certificado, pero el suplicante solo necesita proporcionar un nombre de usuario y una contraseña. Aunque PEAP es más fácil de implementar, es muy vulnerable a la recopilación de credenciales si el suplicante no está estrictamente configurado para validar el certificado del servidor.

Guía de implementación

Al implementar 802.1X, los equipos de TI deben decidir entre utilizar el suplicante nativo integrado en el sistema operativo o implementar software suplicante de terceros.

Suplicantes nativos del SO

Todos los sistemas operativos modernos incluyen un suplicante 802.1X nativo. Windows utiliza los servicios Wired AutoConfig y WLAN AutoConfig. Los dispositivos Apple utilizan perfiles de red. Android integra esto dentro de sus ajustes de WiFi.

Los suplicantes nativos son ideales para flotas administradas. Mediante el uso de plataformas de gestión de dispositivos móviles (MDM) como Microsoft Intune o Jamf, los administradores de TI pueden insertar de forma silenciosa perfiles de configuración que definen el SSID, el método EAP, las CA raíz de confianza y los procesos de inscripción de certificados a través de SCEP. La experiencia del usuario es fluida; el dispositivo se autentica en segundo plano.

Software suplicante de terceros

Los suplicantes de terceros, como Cisco AnyConnect Network Access Manager o SecureW2 JoinNow, son necesarios en escenarios específicos:

  • Protocolos propietarios: El uso de Cisco EAP-FAST requiere un suplicante de Cisco.
  • Incorporación de BYOD: Las herramientas de terceros a menudo actúan como asistentes de incorporación, guiando a los usuarios para instalar certificados en dispositivos no administrados donde la configuración nativa es compleja (particularmente en entornos fragmentados de Android).
  • Control estricto de la configuración: Los suplicantes de terceros pueden bloquear los ajustes, evitando que los usuarios desactiven la validación del certificado del servidor.

native_vs_thirdparty_comparison.png

Configuración de la validación del certificado del servidor

Independientemente del suplicante elegido, configurar la validación del certificado del servidor es fundamental, especialmente para PEAP. Si el suplicante no valida el certificado del servidor RADIUS, enviará a ciegas las credenciales a un punto de acceso no autorizado que imite su SSID.

En Windows, esto significa marcar "Comprobar la identidad del servidor validando el certificado" en las propiedades de PEAP, seleccionar la Entidad de certificación raíz de confianza (CA raíz) y especificar los nombres de servidor exactos que el cliente debe esperar. En los dispositivos Apple, el perfil de configuración debe enumerar explícitamente los certificados de confianza.

Buenas prácticas

  1. Forzar la validación del servidor: Al implementar PEAP, nunca lo haga sin configurar los suplicantes para que validen el certificado del servidor RADIUS. Esta es la principal línea de defensa contra los ataques de tipo "evil twin".
  2. Automatizar el ciclo de vida de los certificados: Al utilizar EAP-TLS, automatice el registro y la renovación de los certificados de cliente a través de MDM mediante SCEP o NDES. La gestión manual de certificados no es escalable y provoca fallos de autenticación repentinos.
  3. Segregar por identidad: Utilice atributos RADIUS para asignar VLANs en función de la identidad validada. Los dispositivos de los empleados y los terminales de punto de venta deben autenticarse en el mismo SSID pero acabar en VLANs completamente diferentes.
  4. Planificar para el IoT: La mayoría de los dispositivos IoT carecen de suplicantes 802.1X. Para estos dispositivos, utilice la omisión de dirección MAC (MAB), pero asegúrese de que estén estrictamente aislados en una VLAN dedicada para IoT.

Resolución de problemas y mitigación de riesgos

Cuando un dispositivo no se conecta, el problema casi siempre está en la configuración del cliente o en la cadena de certificados.

  • "Conectado, sin Internet": Esto suele indicar un fallo en la asignación de la VLAN o problemas de DHCP posteriores a la autenticación. Revise los registros de RADIUS para verificar que el mensaje Access-Accept contiene el Tunnel-Private-Group-Id correcto.
  • Fallos silenciosos en Windows 11: Las actualizaciones de funciones recientes de Windows 11 (como la versión 24H2) han cambiado la forma en que el suplicante nativo gestiona el fallback de EAP-TLS. Pruebe siempre los perfiles con las nuevas compilaciones del sistema operativo antes de un despliegue generalizado.
  • Caducidad de certificados: Si un lote de dispositivos se desconecta repentinamente, compruebe el periodo de validez de los certificados de cliente. Asegúrese de que su MDM los renueve correctamente antes de que caduquen.

ROI e impacto empresarial

La migración a 802.1X con suplicantes correctamente configurados ofrece un valor empresarial medible. Al eliminar las contraseñas compartidas (claves precompartidas o PSK), se elimina por completo la carga operativa de cambiar las contraseñas cuando los empleados se van. Pasar a EAP-TLS puede eliminar por completo los tickets de restablecimiento de contraseñas, lo que libera un tiempo de productividad considerable para el servicio de asistencia.

Además, 802.1X permite el aislamiento de la red basado en la identidad en un único SSID. En lugar de transmitir redes separadas para el WiFi de invitados (Guest WiFi), el personal y las operaciones, un único SSID puede enrutar el tráfico de forma segura según las credenciales del cliente. Esto reduce la interferencia de canales y mejora el rendimiento general de la red, respaldando directamente el enfoque de superposición en la nube de Purple para la gestión de red independiente del hardware. Para obtener análisis más detallados, explore nuestra función de WiFi Analytics .

Definiciones clave

Suplicante 802.1X

El componente de software en un dispositivo cliente que gestiona el proceso de autenticación necesario para unirse a una red protegida por IEEE 802.1X.

Los equipos de TI configuran el suplicante para definir cómo demuestra un dispositivo su identidad ante la red.

Autenticador

El dispositivo de red (conmutador o punto de acceso) que bloquea el tráfico hasta que el suplicante se autentica correctamente.

El hardware de fabricantes como Cisco Meraki o HPE Aruba actúa como autenticador, retransmitiendo mensajes entre el dispositivo y el servidor.

RADIUS

Remote Authentication Dial-In User Service. El servidor que verifica las credenciales proporcionadas por el suplicante.

El servidor RADIUS comprueba la identidad frente a directorios como Okta o Microsoft Entra ID antes de conceder el acceso.

EAP-TLS

Extensible Authentication Protocol with Transport Layer Security. Un método de autenticación que requiere certificados digitales tanto del cliente como del servidor.

Considerado el método más seguro para redes empresariales, ya que elimina la necesidad de contraseñas.

PEAP

Protected Extensible Authentication Protocol. Un método de autenticación que crea un túnel TLS seguro para proteger la autenticación basada en contraseña.

Comúnmente utilizado en entornos BYOD donde la distribución de certificados de cliente a dispositivos no gestionados es demasiado compleja.

EAPOL

Extensible Authentication Protocol over LAN. El protocolo utilizado para encapsular mensajes EAP entre el supplicant y el autenticador.

Antes de la autenticación, EAPOL es el único tipo de tráfico que el autenticador permite pasar a través del puerto.

MAC Authentication Bypass (MAB)

Un método de autenticación alternativo en el que la red utiliza la dirección MAC del dispositivo como su identidad.

Utilizado para impresoras, cámaras y dispositivos IoT que carecen de un supplicant 802.1X.

Asignación de VLAN

El proceso de ubicar dinámicamente un dispositivo autenticado en un segmento de red virtual específico.

El servidor RADIUS indica al autenticador qué VLAN asignar en función de la identidad del supplicant.

Ejemplos prácticos

Un hotel de 200 habitaciones necesita proteger su red de personal. Actualmente utilizan WPA2-Personal con una contraseña compartida y quieren migrar a 802.1X. El personal utiliza una combinación de portátiles Windows propiedad de la empresa y teléfonos Android personales para la programación de turnos. ¿Cómo deberían configurar los suplicantes?

El hotel debería implementar un enfoque híbrido. Para los portátiles Windows corporativos, deberían utilizar el suplicante nativo de Windows configurado a través de Microsoft Intune. El perfil de MDM debe aplicar los ajustes de EAP-TLS, instalar la CA raíz y automatizar la inscripción de certificados de cliente a través de SCEP. Para los teléfonos Android personales, deberían implementar un agente de incorporación de terceros (como SecureW2) a través de un portal de autoservicio. El miembro del personal inicia sesión en el portal utilizando sus credenciales de Microsoft Entra ID y el agente configura automáticamente el suplicante nativo de Android para PEAP-MSCHAPv2, garantizando que la validación del certificado del servidor quede bloqueada.

Comentario del examinador: Este enfoque equilibra la seguridad con la realidad operativa. EAP-TLS se impone donde existe control de MDM, proporcionando la máxima seguridad. PEAP se utiliza para BYOD, donde la distribución de certificados de cliente es compleja, pero el agente de incorporación garantiza que el suplicante esté configurado de forma segura, mitigando el riesgo de puntos de acceso no autorizados.

Una gran cadena minorista con 50 tiendas está implementando nuevas tabletas de punto de venta (POS) móviles. PCI-DSS exige un aislamiento estricto de la red. ¿Cómo debe garantizar el cumplimiento la configuración del suplicante?

Las tabletas deben gestionarse a través de MDM. El MDM aplica un perfil de configuración del suplicante nativo que impone EAP-TLS. Cada tableta recibe un certificado de cliente único que contiene un atributo que la identifica como dispositivo POS. Cuando el suplicante de la tableta se autentica, el servidor RADIUS lee este atributo y devuelve una asignación de VLAN específicamente para el segmento de red compatible con PCI. La configuración del suplicante debe estar bloqueada para que el personal de la tienda no pueda modificar los ajustes de red.

Comentario del examinador: El uso de EAP-TLS con asignación de VLAN basada en certificados es el método de manual para lograr el cumplimiento de PCI en redes inalámbricas. Elimina el error humano de la segmentación de la red y garantiza que el dispositivo no pueda conectarse accidentalmente a las redes de personal o de invitados de [Retail](/industries/retail), que son menos seguras.

Preguntas de práctica

Q1. Su organización está implementando PEAP-MSCHAPv2 para una nueva red BYOD del personal. Durante las pruebas, observa que los dispositivos pueden conectarse a un punto de acceso de prueba que emite el mismo SSID, a pesar de que no está conectado a su servidor RADIUS. ¿Qué paso de configuración del supplicant se omitió?

Sugerencia: Considere cómo el supplicant verifica la identidad de la red antes de enviar las credenciales MSCHAPv2.

Ver respuesta modelo

No se configuró el supplicant para validar el certificado del servidor. En PEAP, el supplicant debe estar configurado explícitamente para confiar en la CA raíz específica que emitió el certificado del servidor RADIUS y para verificar el nombre de dominio del servidor. Sin esto, el supplicant establecerá un túnel TLS con cualquier servidor que presente un certificado, exponiendo las credenciales del usuario a un punto de acceso falso.

Q2. Una universidad está migrando su flota de portátiles administrados Windows de PEAP a EAP-TLS. Envían el nuevo perfil de configuración a través de MDM, pero todos los dispositivos fallan al autenticarse. Los registros de RADIUS muestran "EAP-TLS failed SSL/TLS handshake". ¿Cuál es la causa más probable?

Sugerencia: EAP-TLS requiere autenticación mutua. ¿Qué necesita el cliente que no necesitaba para PEAP?

Ver respuesta modelo

Los dispositivos cliente carecen de un certificado de cliente válido. EAP-TLS requiere que el supplicant presente un certificado al servidor RADIUS. El perfil MDM debe estar configurado no solo para establecer el método EAP en TLS, sino también para activar un protocolo como SCEP para solicitar e instalar un certificado de cliente desde la PKI de la organización antes de intentar la autenticación.

Q3. Necesita conectar 50 Smart TV a la red en un entorno de [Sanidad](/industries/healthcare). Los televisores solo son compatibles con WPA2-Personal (clave previamente compartida) y no tienen un supplicant 802.1X. ¿Cómo protege su acceso mientras mantiene 802.1X para los dispositivos del personal?

Sugerencia: Si el dispositivo no puede comunicarse mediante EAP, el autenticador debe identificarlo de otra manera.

Ver respuesta modelo

Debe utilizar MAC Authentication Bypass (MAB). El autenticador utilizará la dirección MAC de la Smart TV como el nombre de usuario y la contraseña enviados al servidor RADIUS. Dado que las direcciones MAC se pueden suplantar, el servidor RADIUS debe estar configurado para asignar estos dispositivos a una VLAN de IoT aislada y altamente restringida que solo permita el tráfico necesario.

Continúe leyendo esta serie

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Esta guía de referencia técnica describe la arquitectura, configuración y despliegue de la autenticación RADIUS para redes WiFi empresariales de invitados y de personal. Proporciona a los arquitectos de redes y responsables de TI los protocolos exactos, los estándares de seguridad y las metodologías de resolución de problemas necesarios para crear sistemas de control de acceso inalámbrico seguros y escalables.

Leer la guía →

Passpoint y OpenRoaming: Guía completa

Esta guía de referencia técnica proporciona un análisis exhaustivo de los frameworks Passpoint (Hotspot 2.0) y WBA OpenRoaming dentro de las redes WiFi empresariales. Detalla los protocolos de autenticación subyacentes, los componentes arquitectónicos y las estrategias de despliegue necesarias para establecer una conectividad de invitados segura y sin fricciones. Los arquitectos de redes y los líderes de TI aprenderán a diseñar, implementar y solucionar problemas de estos estándares para eliminar las barreras de inicio de sesión manual mientras mantienen una seguridad de nivel empresarial.

Leer la guía →

Cómo implementar SCEP para un BYOD seguro y registro de red en educación superior

Esta guía técnica proporciona a arquitectos de red y directores de TI un plan de acción independiente del proveedor para desplegar el registro de certificados basado en SCEP para proteger las redes de campus de educación superior. Detalla cómo migrar de PEAP basado en contraseñas a 802.1X EAP-TLS, automatizar la incorporación de BYOD y aplicar una segmentación robusta de VLAN.

Leer la guía →