Cómo implementar la autenticación 802.1X con Cloud RADIUS

Esta guía de referencia técnica proporciona un marco integral para implementar la autenticación 802.1X con Cloud RADIUS en entornos empresariales distribuidos. Detalla la arquitectura, la selección del método EAP, la secuencia de despliegue y las estrategias de mitigación de riesgos necesarias para proteger el acceso a la red, eliminando al mismo tiempo los costes operativos de la infraestructura local.

📖 5 min de lectura📝 1,189 palabras🔧 2 ejemplos prácticos❓ 3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

Cómo implementar la autenticación 802.1X con Cloud RADIUS
Un informe de inteligencia de Purple WiFi

--- INTRODUCCIÓN Y CONTEXTO (aprox. 1 minuto) ---

Le damos la bienvenida al informe de inteligencia de Purple WiFi. Soy su anfitrión, y hoy vamos a analizar en detalle la autenticación 802.1X con Cloud RADIUS: qué es, por qué es tan importante en este momento y cómo implementarla de forma efectiva en un entorno multisitio.

Si gestiona la infraestructura de WiFi para un grupo hotelero, una cadena de tiendas, un estadio o una organización del sector público, este es uno de esos temas que no deja de surgir, y con razón. El panorama de las amenazas ha cambiado. Las redes con PSK compartida se consideran cada vez más un riesgo de cumplimiento normativo, y no solo un inconveniente de seguridad. Los reguladores, los auditores y las aseguradoras de ciberriesgos plantean preguntas cada vez más complejas sobre el control de acceso a la red. Y la buena noticia es que RADIUS en la nube ha hecho que 802.1X sea realmente viable de implementar a escala, sin la sobrecarga de infraestructura local que antes lo hacía inviable para entornos distribuidos.

Así que entremos en materia.

--- ANÁLISIS TÉCNICO DETALLADO (aprox. 5 minutos) ---

En primer lugar, asegurémonos de que todos partimos de la misma definición. IEEE 802.1X es un estándar de control de acceso a la red basado en puertos. Define un marco de autenticación que se sitúa en la capa 2 del modelo OSI, por lo que opera antes de que se conceda a un dispositivo cualquier tipo de conectividad IP. Esa es la diferencia clave con respecto a la autenticación en la capa de aplicación. Con 802.1X, un dispositivo no puede acceder a la red hasta que se haya autenticado positivamente.

El protocolo consta de tres componentes. El suplicante (el dispositivo final, ya sea un ordenador portátil, un smartphone o un terminal de punto de venta). El autenticador (normalmente el punto de acceso WiFi o el switch gestionado). Y el servidor de autenticación (que en las implementaciones modernas es su servicio Cloud RADIUS).

El flujo funciona de la siguiente manera. Un dispositivo intenta asociarse con un punto de acceso. El punto de acceso no concede acceso total a la red de inmediato. En su lugar, abre un puerto controlado e inicia un intercambio EAP (el protocolo de autenticación extensible) con el dispositivo. El dispositivo presenta sus credenciales, que podrían ser un nombre de usuario y contraseña, un certificado digital o una identidad basada en SIM. El punto de acceso retransmite ese intercambio al servidor RADIUS utilizando el protocolo RADIUS sobre UDP, normalmente en el puerto 1812 para la autenticación y 1813 para la contabilidad. El servidor RADIUS valida las credenciales contra un almacén de identidades (Active Directory, Azure AD o un directorio LDAP) y devuelve un mensaje Access-Accept o Access-Reject. Si se acepta, el punto de acceso abre el puerto y el dispositivo obtiene acceso a la red. Si se rechaza, permanece bloqueado. Sencillo en teoría, pero los detalles de la implementación importan enormemente.

Ahora bien, la selección del método EAP es donde fallan muchas implementaciones. Se utilizan habitualmente varios métodos EAP, y presentan perfiles de seguridad y requisitos operativos muy diferentes.

EAP-TLS es el estándar de oro. Requiere autenticación mutua por certificado: tanto el servidor como el cliente presentan un certificado. Esto elimina por completo el riesgo de robo de credenciales, ya que no hay contraseñas que robar. Sin embargo, requiere una infraestructura PKI y un mecanismo para distribuir los certificados de cliente a los dispositivos, lo que normalmente implica una solución MDM. Para entornos corporativos BYOD y despliegues de alta seguridad, esta es la respuesta correcta.

PEAP con MSCHAPv2 es el método más implantado en entornos empresariales. Solo requiere un certificado en el lado del servidor y canaliza el intercambio de credenciales dentro de TLS. Es compatible de forma nativa con Active Directory, lo que simplifica enormemente su gestión operativa. El riesgo es que resulta vulnerable a la recopilación de credenciales si los usuarios se conectan a un punto de acceso no autorizado con un certificado autofirmado, por lo que la validación del certificado en el lado del cliente es innegociable.

EAP-TTLS es similar a PEAP pero más flexible en el método de autenticación interno. Es especialmente útil en entornos con dispositivos mixtos donde convive una combinación de equipos Windows, macOS, iOS y Android con diferentes capacidades de suplicante.

Para el soporte de dispositivos heredados (como terminales de punto de venta antiguos o sensores IoT), EAP-FAST puede ser una opción pragmática, ya que no requiere certificados y utiliza en su lugar una credencial de acceso protegido (PAC).

Ahora, hablemos de la pieza de RADIUS en la nube. Tradicionalmente, RADIUS era un servicio local: FreeRADIUS en un servidor Linux o Microsoft NPS en Windows Server. Ese modelo funciona, pero conlleva costes operativos reales: mantenimiento de hardware, configuración de alta disponibilidad, parches y la necesidad de infraestructura local en cada ubicación que requiera autenticación de baja latencia. El RADIUS en la nube cambia esa ecuación significativamente.

Un servicio RADIUS en la nube está alojado y gestionado por el proveedor. Sus puntos de acceso envían solicitudes RADIUS a través de internet al servicio en la nube, que se encarga de la autenticación contra su proveedor de identidad. La preocupación por la latencia es real pero manejable: los servicios RADIUS en la nube modernos están distribuidos globalmente y los viajes de ida y vuelta de autenticación suelen completarse en menos de 100 milisegundos, lo que resulta imperceptible para los usuarios finales.

La integración con los proveedores de identidad es la dependencia crítica. La mayoría de las plataformas RADIUS en la nube admiten LDAP, LDAPS, SAML 2.0 e integración directa con Azure AD o Okta. Para las organizaciones que ya utilizan Microsoft 365, la integración con Azure AD es el camino natural: se obtiene inicio de sesión único, políticas de acceso condicional y aplicación de MFA, todo ello integrado en su capa de control de acceso a la red.

Para los establecimientos que despliegan WiFi para invitados junto con redes para el personal, la arquitectura suele separar estas en SSIDs distintos con diferentes políticas de autenticación. Las redes del personal utilizan 802.1X con credenciales corporativas. Las redes de invitados utilizan un Captive Portal o un flujo de inicio de sesión social. La plataforma de Purple admite ambos modelos, y la capa de analítica de WiFi se sitúa en ambos, lo que le ofrece visibilidad sobre el comportamiento de los dispositivos, el tiempo de permanencia y la utilización de la red sin comprometer la segmentación de seguridad.

--- RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES (aprox. 2 minutos) ---

Permítame detallar la secuencia práctica de despliegue y señalar los modos de fallo que veo con más frecuencia.

Comience con la integración de su proveedor de identidad. Antes de tocar un solo punto de acceso, confirme que su servicio RADIUS en la nube puede autenticarse contra su directorio. Realice pruebas con una cuenta de servicio, valide la vinculación LDAP y confirme que los atributos de pertenencia a grupos se devuelven correctamente, ya que los necesitará para las políticas de asignación de VLAN.

En segundo lugar, planifique su estrategia de certificados. Si opta por EAP-TLS, necesita una CA, debe decidir si utilizará una CA pública o una interna, y necesita un plan de despliegue de MDM para los certificados de cliente. Si opta por PEAP, necesita un certificado de servidor de una CA de confianza (no autofirmado) y debe distribuir el certificado de la CA a todos los dispositivos cliente para que la validación del certificado funcione correctamente. Este es el paso que suele omitirse y que provoca incidentes de seguridad.

En tercer lugar, configure sus clientes RADIUS (es decir, sus puntos de acceso y controladores) con el secreto compartido y la IP o el nombre de host del servidor correctos. Utilice un secreto compartido fuerte y generado aleatoriamente, no una palabra de diccionario. Y si su proveedor de RADIUS en la nube admite RADIUS sobre TLS (RadSec), utilícelo. Cifra el tráfico RADIUS en tránsito, lo cual es especialmente importante cuando dicho tráfico atraviesa la internet pública.

En cuarto lugar, realice pruebas con un grupo piloto antes del despliegue completo. Los fallos de autenticación a gran escala son perjudiciales y difíciles de diagnosticar bajo presión. Realice un piloto con diez a veinte dispositivos, valide los registros de autenticación, confirme que la asignación de VLAN funciona y compruebe que los registros de contabilidad se escriben correctamente.

Los modos de fallo que veo con más frecuencia son: validación de certificados desactivada en los clientes, lo que genera vulnerabilidad de tipo "man-in-the-middle"; secretos compartidos demasiado cortos o reutilizados en varios sitios; lista de IPs permitidas del servidor RADIUS no configurada, por lo que las solicitudes de autenticación de nuevos sitios se descartan silenciosamente; y perfiles de MDM que no se actualizan cuando caducan los certificados, lo que provoca fallos masivos de autenticación el día de la renovación.

--- PREGUNTAS Y RESPUESTAS RÁPIDAS (aprox. 1 minuto) ---

Algunas preguntas que me hacen con regularidad.

¿Puedo ejecutar 802.1X en una red que también tiene dispositivos IoT que no admiten EAP? Sí, utilice MAC Authentication Bypass como alternativa para los dispositivos que no pueden ejecutar un suplicante, pero coloque esos dispositivos en una VLAN restringida con reglas de firewall estrictas.

¿Reemplaza 802.1X al cifrado WPA2 o WPA3? No, 802.1X se encarga de la autenticación. WPA2-Enterprise o WPA3-Enterprise se encargan del cifrado. Necesita ambos. WPA3-Enterprise con 802.1X es la mejor práctica actual para nuevos despliegues.

¿Cuál es el impacto de la latencia en la autenticación? Con un servicio RADIUS en la nube bien configurado, prevea entre 50 y 150 milisegundos por autenticación. Para escenarios de itinerancia (roaming), la transición rápida de BSS 802.11r puede reducir significativamente la sobrecarga de la reautenticación.

¿Cumple esto con PCI DSS? 802.1X con EAP-TLS o PEAP en una red correctamente segmentada cumple con el Requisito 1 y el Requisito 8 de PCI DSS para el control de acceso a la red. Involucre a su QSA desde el principio.

--- RESUMEN Y PRÓXIMOS PASOS (aprox. 1 minuto) ---

En resumen: 802.1X con RADIUS en la nube es la respuesta adecuada para cualquier organización que necesite demostrar el control de acceso a la red ante los auditores, reducir el radio de impacto de una filtración de credenciales o gestionar la autenticación de forma centralizada en un entorno distribuido.

El despliegue no es trivial, pero es totalmente manejable con la preparación adecuada. En primer lugar, asegúrese de que la integración con su proveedor de identidad sea correcta. Elija su método EAP en función de su parque de dispositivos y de su capacidad operativa para gestionar certificados. Utilice RadSec si su infraestructura lo admite. Y realice pruebas antes de implementarlo a gran escala.

Si gestiona una red mixta de invitados y personal (como ocurre en la mayoría de los operadores de hostelería y comercio minorista), plataformas como Purple le ofrecen la capacidad de gestionar ambos modelos de autenticación desde un único panel de control, con la capa analítica aplicada a todo el entorno.

Para sus próximos pasos: audite su estado actual de control de acceso a la red, identifique qué ubicaciones siguen utilizando PSK compartida y elabore un plan de migración por fases. Comience con los centros de mayor riesgo (aquellos que entran en el ámbito de PCI DSS o que manejan datos confidenciales) y avance hacia el resto.

Gracias por su atención. En purple.ai dispone de más sesiones informativas técnicas.

Conclusiones clave

✓802.1X proporciona control de acceso basado en puertos, autenticando los dispositivos antes de conceder el acceso a la red, eliminando los riesgos de las PSK compartidas.
✓Cloud RADIUS centraliza la autenticación, eliminando la necesidad de servidores locales distribuidos y reduciendo los costes de mantenimiento.
✓PEAP-MSCHAPv2 es el más fácil de implementar, pero requiere una validación estricta del certificado en el lado del cliente para evitar la recopilación de credenciales.
✓EAP-TLS ofrece la máxima seguridad mediante la autenticación mutua por certificados, ideal para dispositivos corporativos gestionados.
✓Se debe utilizar RadSec para cifrar el tráfico RADIUS que atraviesa la red pública de internet entre los puntos de acceso y el servicio en la nube.
✓Los dispositivos heredados que carecen de soporte para 802.1X pueden utilizar MAC Authentication Bypass (MAB), siempre que estén aislados en VLAN restringidas.
✓La integración de 802.1X con proveedores de identidad centrales (como Azure AD) permite la aplicación de políticas dinámicas, como la asignación de VLAN basada en roles.

执行摘要

对于管理酒店、零售和公共部门等分布式网络环境的 IT 决策者而言，保护网络访问已从一种运营偏好转变为严格的合规性强制要求。依赖预共享密钥 (PSK) 会带来不可接受的风险，无法满足 PCI DSS 等现代审计标准，并在凭据泄露时使组织面临横向移动的风险。过渡到基于 IEEE 802.1X 端口的网络访问控制，通过在授予 IP 连接之前对设备进行身份验证，可以有效降低这些风险。

从历史上看，由于需要本地化的 RADIUS 基础设施来管理延迟和可用性，在多站点资产中部署 802.1X 受到阻碍。Cloud RADIUS 架构的成熟从根本上改变了这一现状。通过集中身份验证决策并直接与云身份提供商（如 Azure AD 或 Okta）集成，组织可以在所有位置统一实施强大的访问策略，而无需承担本地服务器的资本支出和维护负担。本指南概述了成功实施基于 Cloud RADIUS 的 802.1X 身份验证的技术架构、部署方法和运营最佳实践，确保企业 Guest WiFi 和企业网络的安全性与可扩展性。

技术深度解析

现代企业无线安全的基础建立在 IEEE 802.1X 标准之上。与应用层身份验证不同，802.1X 运行在 OSI 模型的第 2 层。当设备（客户端）尝试与接入点（认证系统）关联时，端口保持在未授权状态，仅允许通过可扩展身份验证协议 (EAP) 流量。该流量被封装在 RADIUS 数据包中并转发到身份验证服务器（Cloud RADIUS 实例）。只有在收到 Access-Accept 消息后，认证系统才会将端口转换为授权状态，从而授予网络访问权限。

Cloud RADIUS 架构

从本地到 Cloud RADIUS 的架构转变消除了对分布式 FreeRADIUS 或 Microsoft NPS 服务器的需求。在云模式中，接入点或无线局域网控制器通过互联网直接与全球分布的 RADIUS 服务进行通信。为了确保此传输的安全，实施 RadSec (RADIUS over TLS) 至关重要，它对身份验证负载进行加密，防止其被拦截。Cloud RADIUS 服务充当中介，通过 LDAP、SAML 或原生 API 集成，对照中央身份提供商 (IdP) 验证凭据。这实现了动态策略实施，例如基于 Azure AD 组群成员身份分配 VLAN，将网络访问与更广泛的企业身份管理策略无缝集成。

EAP 方法选择

EAP 方法的选择决定了部署的安全态势和运营复杂度。

EAP-TLS (传输层安全): 最安全的方法，需要服务器和客户端证书进行双向身份验证。由于不交换密码，它消除了凭据被盗的风险。但是，它需要公共密钥基础设施 (PKI) 和移动设备管理 (MDM) 来分发客户端证书。强烈推荐用于企业设备。
PEAP-MSCHAPv2 (受保护的 EAP): 由于在 Windows 中获得原生支持且仅依赖服务器端证书，因此部署广泛。它在 TLS 会话中对凭据交换进行隧道传输。虽然更易于部署，但如果未严格执行客户端证书验证，它很容易受到凭据收集攻击。
EAP-TTLS: 类似于 PEAP，但在内部身份验证协议中提供了更大的灵活性，使其适用于具有多种客户端操作系统的环境。

实施指南

使用 Cloud RADIUS 部署 802.1X 需要采用分阶段、系统化的方法，以尽量减少对现有业务的中断。

身份提供商集成: 建立并验证 Cloud RADIUS 服务与企业 IdP 之间的连接。确保目录同步准确，并且必要的用户属性（例如组群成员身份）可用于策略制定。
证书管理: 对于 PEAP 部署，从受信任的公共证书颁发机构 (CA) 获取服务器证书。至关重要的是，通过 MDM 或组策略配置客户端，以明确信任此 CA 并验证服务器证书名称。对于 EAP-TLS，部署内部 CA 基础设施并开始向托管设备颁发客户端证书。
网络基础设施配置: 配置无线控制器和接入点以指向 Cloud RADIUS 端点。如果硬件供应商支持，请实施 RadSec。使用强加密安全字符串定义 RADIUS 共享密钥，确保每个站点或控制器集群的密钥唯一。
策略定义: 在 Cloud RADIUS 平台内构建身份验证策略。根据用户组、设备类型或位置定义条件，以便在成功身份验证后动态分配 VLAN 或应用访问控制列表 (ACL)。
试点和分阶段推广: 选择具有代表性的用户和设备子集进行初始试点。密切监控身份验证日志，以识别延迟问题、证书验证n 次失败，或错误的 VLAN 分配。在试点成功后，执行分阶段部署，优先考虑高风险场所，例如行政办公室或处理敏感数据的场所。

最佳实践

强制执行客户端证书验证： PEAP 部署中最常见的漏洞是未能强制客户端进行服务器证书验证。如果允许客户端盲目信任任何呈现的证书，它们就很容易受到流氓接入点攻击。
谨慎实施 MAC 身份验证绕过 (MAB)： 对于无法运行 802.1X 客户端的无头设备（例如打印机、IoT 传感器），可以使用 MAB。然而，MAC 地址极易被伪造。MAB 设备必须隔离在受到严格限制的 VLAN 上，并配合严格的防火墙规则来限制其网络访问。
利用 802.11r 进行漫游： 在设备频繁在接入点之间移动的环境中，完整的 802.1X 身份验证过程可能会引入不可接受的延迟，从而干扰语音等实时应用。实施 802.11r（快速 BSS 过渡）通过缓存身份验证密钥来简化漫游。
与分析系统集成： 对于同时运营企业 802.1X 网络和公共访问网络的场所，将身份验证基础设施与 WiFi Analytics 集成，可以全面了解整个区域的网络利用率和设备行为。

故障排除与风险缓解

802.1X 环境中的身份验证失败可能导致大范围的连接中断。强大的故障排除流程至关重要。

证书过期： 服务器或客户端证书过期将导致立即的身份验证失败。对证书有效期实施自动化监控和告警，确保在过期前尽早处理更新。
延迟和超时： 如果 Cloud RADIUS 服务或 IdP 出现高延迟，认证器可能会超时并断开连接。在无线控制器上配置适当的超时值（通常为 5-10 秒），并部署备份 RADIUS 服务器以提供冗余。
RADIUS 共享密钥不匹配： 认证器上配置的共享密钥与 RADIUS 服务器上的不匹配将导致数据包被静默丢弃。标准化密钥管理，并尽可能避免手动输入。

ROI 与业务影响

过渡到带有 Cloud RADIUS 的 802.1X 可带来可衡量的业务价值。它通过消除共享密码，极大地减少了攻击面，直接支持符合 PCI DSS（要求 1 和 8）以及 GDPR 数据保护指令。在运营方面，它实现了集中式访问控制，使 IT 团队只需在中央目录中禁用用户帐户，即可立即撤销其在全球所有地点的访问权限。此外，通过停用传统的本地 RADIUS 服务器，企业降低了硬件维护成本、软件许可费用，以及修补和管理分布式基础设施的行政负担。对于 Retail 和 Hospitality 等行业的全面部署，这种集中式的安全态势是实现安全数字化转型的关键推动力。

听听我们关于该主题的全面简报：

Definiciones clave

Suplicante

El cliente de software en un dispositivo de usuario final (portátil, smartphone) que negocia el acceso a la red utilizando EAP.

Los equipos de TI deben asegurarse de que el suplicante esté configurado correctamente (a menudo a través de MDM) para validar los certificados del servidor y evitar el robo de credenciales.

Autenticador

El dispositivo de red (normalmente un punto de acceso WiFi o un switch) que controla el acceso físico o lógico a la red en función del estado de autenticación.

El autenticador actúa como intermediario, transmitiendo los mensajes EAP entre el suplicante y el servidor RADIUS.

Cloud RADIUS

Un servicio de autenticación centralizado y alojado en la nube que procesa las solicitudes RADIUS de la infraestructura de red distribuida sin necesidad de servidores locales.

Esencial para organizaciones con múltiples sedes que buscan implementar seguridad de nivel empresarial sin los costes de mantenimiento de hardware.

EAP (Extensible Authentication Protocol)

El marco de trabajo utilizado para encapsular los mensajes de autenticación entre el suplicante y el servidor de autenticación.

La elección del método EAP adecuado (por ejemplo, PEAP frente a EAP-TLS) determina el nivel de seguridad y la complejidad de despliegue de la red inalámbrica.

RadSec

Un protocolo que transmite datos RADIUS a través de un túnel TLS, garantizando el cifrado del tráfico de autenticación en tránsito.

Crucial al utilizar Cloud RADIUS, ya que protege los intercambios de credenciales confidenciales frente a interceptaciones en la internet pública.

Asignación dinámica de VLAN

El proceso mediante el cual el servidor RADIUS indica al autenticador que coloque un dispositivo en un segmento de red virtual específico en función de la identidad del usuario o de su pertenencia a un grupo.

Permite a TI transmitir un único SSID segmentando el tráfico de forma segura (por ejemplo, colocando al personal de RR. HH. y al de TI en subredes diferentes).

Autenticación mutua

Un proceso de seguridad en el que tanto el cliente verifica la identidad del servidor como el servidor verifica la identidad del cliente (normalmente mediante certificados).

La característica definitoria de EAP-TLS, que lo hace altamente resistente a los ataques de intermediario (man-in-the-middle).

MAC Authentication Bypass (MAB)

Un método de autenticación alternativo que utiliza la dirección MAC de un dispositivo como credencial cuando este no es compatible con un suplicante 802.1X.

Se utiliza para hardware heredado como impresoras o dispositivos IoT, pero requiere una segmentación de red estricta debido a la facilidad de la suplantación de MAC.

Ejemplos prácticos

Un hotel de 200 habitaciones que opera una red PSK heredada para operaciones internas (tabletas de limpieza, terminales de punto de venta, portátiles de gestión) necesita cumplir con la normativa PCI DSS antes de una próxima auditoría. Carecen de personal de TI en las instalaciones y no pueden desplegar servidores locales.

El hotel debe desplegar una solución Cloud RADIUS integrada directamente con su inquilino central de Azure AD. Para los portátiles de gestión (Windows/macOS), deben implementar PEAP-MSCHAPv2, utilizando un perfil de MDM para distribuir el certificado de servidor de confianza y exigir la validación. Para los terminales de punto de venta que puedan carecer de suplicantes robustos, deben utilizar MAC Authentication Bypass (MAB), pero asignando estrictamente estos dispositivos a una VLAN aislada que solo permita la comunicación con la pasarela de pago. El despliegue requiere configurar los puntos de acceso existentes gestionados desde la nube para que apunten a las direcciones IP de Cloud RADIUS, protegiendo la conexión con RadSec.

Comentario del examinador: Este enfoque cumple con el requisito de PCI de identificación de usuario única (PEAP para el personal) y segmentación de red (MAB + VLAN aislada para el punto de venta). Al utilizar Cloud RADIUS, el hotel evita la complejidad de desplegar y mantener un servidor FreeRADIUS local, lo cual sería inviable sin personal de TI en las instalaciones. El uso de RadSec es fundamental en este caso para proteger el tráfico de autenticación que viaja a través de la internet pública.

Una cadena minorista nacional está implementando una nueva flota de tabletas corporativas para la gestión de inventario en 500 tiendas. Quieren asegurarse de que, incluso si roban una tableta, esta no pueda utilizarse para acceder a la red, y desean eliminar los tickets de soporte técnico relacionados con contraseñas.

El minorista debe implementar EAP-TLS. Desplegarán una Autoridad de Certificación (CA) interna y la integrarán con su plataforma MDM. Cuando se aprovisiona una tableta, el MDM envía un certificado de cliente único al dispositivo. El servicio Cloud RADIUS se configura para autenticar los dispositivos basándose únicamente en la presencia de un certificado de cliente válido. Si se denuncia el robo de una tableta, el equipo de TI simplemente revoca ese certificado específico en la CA. El servicio Cloud RADIUS, al consultar la Lista de Revocación de Certificados (CRL) o mediante OCSP, denegará el acceso a la red de inmediato.

Comentario del examinador: EAP-TLS es la opción óptima en este caso. Proporciona el nivel más alto de seguridad y elimina por completo las contraseñas de usuario del flujo de autenticación, logrando el objetivo de reducir los tickets de soporte técnico. La capacidad de revocación centralizada es esencial para gestionar el riesgo de robo de hardware en un entorno minorista distribuido.

Preguntas de práctica

Q1. Su organización está migrando de una PSK compartida a 802.1X utilizando PEAP-MSCHAPv2. Durante la fase piloto, los usuarios informan que pueden conectarse, pero una auditoría de seguridad revela que los dispositivos están aceptando silenciosamente cualquier certificado de servidor que se les presente. ¿Cuál es el riesgo inmediato y cómo debe remediarse?

Sugerencia: Considere qué ocurre si un atacante configura un punto de acceso que emite el SSID corporativo.

Ver respuesta modelo

El riesgo inmediato es un ataque Man-in-the-Middle (MitM) a través de un punto de acceso no autorizado. Un atacante puede emitir el SSID corporativo, presentar un certificado autofirmado y recopilar las credenciales de los usuarios cuando los dispositivos intenten autenticarse. Para remediar esto, el equipo de TI debe configurar los perfiles de suplicante (a través de MDM o directivas de grupo) para validar explícitamente el certificado del servidor. Esto implica especificar la CA raíz de confianza exacta que emitió el certificado del servidor RADIUS y definir estrictamente el nombre de host del servidor esperado.

Q2. Una sucursal minorista remota ha perdido su conexión a internet. Los puntos de acceso locales siguen encendidos. ¿Seguirán conectados los dispositivos del personal que están conectados actualmente a la red 802.1X y podrán autenticarse los nuevos dispositivos? Asuma una arquitectura Cloud RADIUS estándar sin nodos de supervivencia local.

Sugerencia: Piense en la ruta que debe seguir una solicitud de autenticación y en el estado de los puertos que ya están autorizados.

Ver respuesta modelo

Los dispositivos que ya están autenticados y conectados normalmente seguirán conectados hasta que expire el tiempo de espera de su sesión o se desconecten, ya que el puerto del autenticador ya está en estado autorizado. Sin embargo, los nuevos dispositivos que intenten conectarse, o los dispositivos que intenten volver a autenticarse, fallarán. Debido a que la conexión a internet está caída, los puntos de acceso no pueden comunicarse con el servidor Cloud RADIUS para procesar el intercambio EAP. Esto resalta la importancia de contar con enlaces WAN resilientes cuando se depende de la autenticación basada en la nube.

Q3. Debe proteger el acceso a la red para una flota de escáneres de códigos de barras heredados en un almacén. Estos escáneres no son compatibles con suplicantes 802.1X y solo admiten WPA2-Personal (PSK). No puede actualizar el hardware. ¿Cómo integra estos dispositivos en una arquitectura de red segura junto con sus dispositivos corporativos 802.1X?

Sugerencia: Necesita una alternativa a 802.1X que siga proporcionando control de acceso, combinada con aislamiento a nivel de red.

Ver respuesta modelo

El enfoque recomendado es utilizar MAC Authentication Bypass (MAB) para los escáneres de códigos de barras. El punto de acceso utilizará la dirección MAC del escáner como identidad y la enviará al servidor RADIUS. Dado que las direcciones MAC se pueden suplantar fácilmente, esto proporciona una autenticación débil. Por lo tanto, el servidor RADIUS debe configurarse para devolver un atributo de VLAN específico tras una autenticación MAB exitosa. Esta VLAN debe estar fuertemente restringida mediante firewalls o ACL, permitiendo que los escáneres se comuniquen únicamente con los servidores de inventario específicos que requieren, y bloqueando cualquier otro acceso de red lateral.

Continúe leyendo esta serie

Las ventajas de seguridad de RADIUS as a Service para plantillas híbridas

Esta guía técnica de referencia explica cómo RADIUS as a Service protege el acceso a la red para plantillas híbridas en centros distribuidos. Abarca la arquitectura, las ventajas de seguridad y los pasos de implementación para sustituir la infraestructura RADIUS local por un servicio de autenticación gestionado en la nube. Diseñada para responsables de TI y arquitectos de redes de hoteles, cadenas de tiendas, estadios y organismos del sector público, esta guía aporta los argumentos necesarios para evaluar y ejecutar la migración a un RADIUS en la nube este trimestre.

Integración de RADIUS as a Service con directorios en la nube (Azure AD y Google Workspace)

Esta guía de referencia técnica detalla cómo integrar RADIUS as a Service con directorios en la nube (Microsoft Entra ID y Google Workspace) para la autenticación WiFi empresarial. Cubre la transición arquitectónica de NPS local a RADIUS nativo de la nube, el despliegue de la autenticación EAP-TLS basada en certificados y las mejores prácticas operativas para proteger el acceso inalámbrico en entornos de hostelería, comercio minorista y sector público. Para los responsables de TI y arquitectos de redes que ya han invertido en identidad en la nube, esta guía cierra la brecha entre la gestión de directorios y la seguridad de la red física.

¿Qué es Cloud RADIUS? Una guía completa de RADIUS como servicio

Esta guía completa analiza Cloud RADIUS (RADIUS como servicio), detallando su arquitectura, métodos EAP y estrategias de implementación. Proporciona a los líderes de TI información práctica sobre la migración de servidores locales a un modelo de autenticación basado en la nube, escalable, seguro y conforme a las normativas.