¿Qué es un supplicant 802.1X? Tipos de cliente y configuración de dispositivos

Esta guía explica el papel del supplicant 802.1X en la autenticación WiFi empresarial. Cubre la arquitectura técnica, compara los supplicants nativos del sistema operativo con clientes de terceros y proporciona una guía de configuración práctica para equipos de TI que implementan EAP-TLS y PEAP.

📖 5 min de lectura📝 1,091 palabras🔧 2 ejemplos prácticos❓ 3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

Hable en español de España con un tono seguro, autoritario y conversacional, como un consultor sénior de seguridad de red que informa a un cliente. Ritmo pausado, dicción clara, profesional pero no rígido. Pausas naturales ocasionales para enfatizar:

Le damos la bienvenida a la serie de informes técnicos de Purple. Hoy trataremos un tema clave en la seguridad de redes WiFi empresariales: el suplicante 802.1X. Si alguna vez se ha preguntado por qué algunos dispositivos se conectan a su red corporativa sin solicitar contraseña, mientras que otros muestran errores de certificado y generan solicitudes de soporte técnico, este episodio es para usted.

[pausa media]

Comencemos con lo básico. El suplicante 802.1X es el componente de software del dispositivo cliente (un ordenador portátil, un smartphone, una tableta) que gestiona el intercambio de autenticación cuando dicho dispositivo intenta unirse a una red protegida por IEEE 802.1X. Piense en él como el presentador de la tarjeta de identificación del dispositivo. La red no permite la entrada a cualquiera. Solicita credenciales. El suplicante es el que da un paso al frente y dice: "este soy yo, aquí está mi certificado, déjame entrar".

El propio estándar (IEEE 802.1X) define el control de acceso a la red basado en puertos. Antes de que la autenticación se complete con éxito, el punto de acceso o switch solo permite el paso de un tipo muy específico de tráfico: tramas EAPOL, que significa Protocolo de Autenticación Extensible sobre LAN. Todo lo demás se bloquea. Una vez que el suplicante demuestra su identidad al servidor RADIUS a través del autenticador, el puerto se abre y el tráfico normal comienza a fluir.

[pausa media]

Ahora bien, hay tres actores en este escenario. En primer lugar, el suplicante: el dispositivo cliente. En segundo lugar, el autenticador: su punto de acceso o switch, con hardware como Cisco Meraki, HPE Aruba, Ruckus o Juniper Mist. En tercer lugar, el servidor de autenticación: casi siempre un servidor RADIUS, que valida las credenciales contrastándolas con un directorio como Microsoft Entra ID u Okta.

El suplicante inicia el proceso enviando un mensaje EAPOL-Start. El autenticador responde con una solicitud EAP-Request de identidad. El suplicante responde con su identidad. Esa identidad se reenvía al servidor RADIUS, que luego desafía al suplicante con el método EAP acordado. Si todo es correcto, el servidor RADIUS envía un Access-Accept, el puerto se abre y el dispositivo se ubica en la VLAN correspondiente.

[pausa media]

Hablemos de los métodos EAP, ya que aquí es donde se toman la mayoría de las decisiones de implementación.

EAP-TLS (es decir, Extensible Authentication Protocol con Transport Layer Security) es el estándar de oro. Requiere que tanto el cliente como el servidor presenten certificados. Autenticación mutua. Sin contraseñas. El certificado de cliente demuestra la identidad del dispositivo; el certificado de servidor demuestra que la red es legítima, lo que protege contra los ataques de tipo «evil twin», en los que un punto de acceso malicioso intenta recopilar credenciales. EAP-TLS se completa en doce pasos y utiliza criptografía de clave pública-privada en todo momento. Es el método requerido para WPA3-Enterprise en su modo de seguridad más alto y se alinea con los requisitos de NIST SP 800-171 para la verificación de la identidad del dispositivo.

PEAP (Protected EAP) es el punto de partida más común para las organizaciones que aún no disponen de una PKI completa. PEAP envuelve un método interno basado en contraseña, normalmente MSCHAPv2, dentro de un túnel TLS. El servidor presenta un certificado; el cliente no. Esto significa que la implementación es más sencilla (no es necesario suministrar certificados de cliente), pero es menos segura. MSCHAPv2 utiliza el hash MD4, que se considera comprometido desde 1995. Si un usuario se conecta a un punto de acceso malicioso que presenta un certificado que parece de confianza, se pueden capturar sus credenciales. Por lo tanto, la validación del certificado del servidor en el lado del cliente no es negociable cuando se ejecuta PEAP.

[medium pause]

Ahora entremos en el suplicante en sí, específicamente en la elección entre los suplicantes nativos del sistema operativo y el software de cliente de terceros.

Todos los sistemas operativos principales incluyen un suplicante 802.1X integrado. Windows lo admite de forma nativa desde XP, a través de los servicios de Configuración automática inalámbrica y Configuración automática de red cableada. macOS e iOS gestionan 802.1X a través de sus perfiles de configuración de red. Android lo admite a través del panel de configuración de WiFi. Estos suplicantes nativos cubren EAP-TLS y PEAP-MSCHAPv2 en todas las plataformas actuales.

La ventaja de los suplicantes nativos es obvia: no hay software adicional que implementar, no hay costes de licencia, se incluyen actualizaciones automáticas de seguridad del sistema operativo y una estrecha integración con el almacén de certificados del sistema operativo. Para flotas de dispositivos gestionados (máquinas Windows registradas en Microsoft Intune, Macs gestionados a través de Jamf), puede enviar perfiles de configuración 802.1X de forma silenciosa a través de MDM, y los usuarios nunca verán un aviso. El dispositivo se autentica automáticamente cada vez que entra en el rango de alcance.

Los suplicantes de terceros entran en juego en escenarios específicos. Si tiene una infraestructura Cisco y desea utilizar EAP-FAST (el método EAP propietario de Cisco), necesitará el software cliente de Cisco, históricamente el Secure Services Client o AnyConnect Network Access Manager. Si necesita una gestión de configuración coherente en un entorno con sistemas operativos mixtos y desea bloquear los ajustes del suplicante para que los usuarios no los desconfiguren accidentalmente, un cliente de terceros le ofrece ese control. Las herramientas como la suite JoinNow de SecureW2 también actúan como agentes de incorporación: configuran el suplicante nativo en lugar de reemplazarlo, guiando a los usuarios a través del registro de certificados y la instalación de perfiles.

[medium pause]

Permítame guiarle a través de dos escenarios del mundo real para concretar esto.

Primero, un hotel de 400 habitaciones. Actualmente, el establecimiento cuenta con una red para el personal con WPA2-Enterprise con PEAP-MSCHAPv2. El equipo de TI desea migrar a EAP-TLS para eliminar la autenticación basada en contraseñas y reducir el riesgo de robo de credenciales. El reto: los dispositivos del personal son una mezcla de portátiles Windows gestionados a través de Intune, teléfonos Android personales utilizados para el software de gestión del establecimiento y un puñado de equipos heredados con Windows 7 en la zona de administración.

El enfoque aquí es gradual. Comience con la flota de Windows gestionada. Envíe un perfil de configuración de Intune que instale el certificado de CA raíz del servidor RADIUS, configure el perfil de WiFi para EAP-TLS e inicie el registro de certificados basado en SCEP desde la PKI interna. Esos dispositivos se autentican automáticamente desde el primer día. Para los dispositivos BYOD Android, implemente un portal de incorporación de autoservicio: los usuarios visitan una URL, descargan un perfil de configuración y el suplicante se configura para ellos. Los equipos heredados con Windows 7 se mantienen en PEAP con una validación estricta del certificado del servidor aplicada, aislados en una VLAN independiente con acceso limitado, hasta que se retiren del servicio.

[medium pause]

Segundo escenario: una gran cadena de tiendas con 200 establecimientos. Cada tienda tiene una mezcla de terminales de punto de venta, tabletas del personal y una red WiFi para invitados. La norma PCI DSS exige que los entornos de datos de titulares de tarjetas estén aislados de otros segmentos de red. El minorista utiliza 802.1X en las redes de personal y de TPV, con asignación de VLAN basada en los atributos del certificado. Un terminal TPV presenta un certificado de dispositivo con una unidad organizativa de "POS": la política RADIUS lo asigna a la VLAN de PCI. Una tableta del personal presenta un certificado con "Staff" y aterriza en la VLAN del personal. Los dispositivos de los invitados se conectan a un SSID completamente diferente, gestionado por una solución de Captive Portal.

La configuración del suplicante en los terminales TPV se bloquea mediante MDM. No se requiere interacción del usuario. Los terminales se autentican de forma silenciosa al arrancar. La renovación de certificados se automatiza mediante SCEP, por lo que no hay intervención manual cuando expiran los certificados.

[medium pause]

Ahora, los errores comunes de implementación. Permítame presentarle los cuatro más habituales.

Número uno: falta de validación del certificado del servidor en implementaciones PEAP. Si no configura el suplicante para validar el certificado del servidor RADIUS y comprobar el nombre del servidor, los usuarios serán vulnerables a conectarse a un punto de acceso fraudulento. Especifique siempre la CA raíz de confianza y el nombre del servidor en el perfil del suplicante.

Número dos: la caducidad del certificado provoca fallos de autenticación masivos. Los certificados de cliente tienen un periodo de validez. Si no dispone de una renovación automatizada a través de SCEP o NDES, se enfrentará a un problema crítico en el que cientos de dispositivos dejarán de autenticarse simultáneamente. Cree la automatización de la renovación antes de la puesta en marcha.

Número tres: dispositivos BYOD con un comportamiento del suplicante inconsistente. Android, en particular, presenta un soporte fragmentado de 802.1X según el fabricante. Algunas versiones requieren que el usuario instale manualmente el certificado de la CA antes de que el perfil de WiFi lo acepte. Un portal de incorporación que gestione este paso reduce significativamente el volumen de soporte técnico.

Número cuatro: las actualizaciones de funciones de Windows 11 rompen la configuración del suplicante. Microsoft ha cambiado el comportamiento de 802.1X en varias actualizaciones de Windows 11. En concreto, la actualización 24H2 introdujo cambios en la forma en que el suplicante nativo gestiona el fallback de EAP-TLS. Pruebe sus perfiles de suplicante con las nuevas versiones del sistema operativo antes de implementarlos en producción.

[medium pause]

Preguntas rápidas ahora.

¿Pueden los dispositivos IoT soportar 802.1X? La mayoría no puede. Los dispositivos IoT suelen carecer por completo de un suplicante. La alternativa es MAC Authentication Bypass (MAB), donde el servidor RADIUS autentica el dispositivo en función de su dirección MAC. Las direcciones MAC se pueden suplantar, por lo que los dispositivos MAB siempre deben ubicarse en una VLAN de IoT aislada con reglas de firewall estrictas.

¿Necesito una PKI para ejecutar 802.1X? Para PEAP, no: solo necesita un certificado de servidor en el servidor RADIUS. Para EAP-TLS, sí: necesita una PKI para emitir certificados de cliente. Los servicios de PKI basados en la nube reducen considerablemente los costes de infraestructura.

¿Cómo interactúa 802.1X con la plataforma de acceso a la red de Purple? Purple funciona como una superposición de nube sobre su hardware existente: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y otros. En las redes WiFi para empleados, el complemento SecurePass de Purple se integra con su proveedor de identidad (Microsoft Entra ID, Okta o Google Workspace) para aplicar la autenticación 802.1X y las políticas de VLAN por usuario sin necesidad de una infraestructura RADIUS local.

[medium pause]

Para terminar: el suplicante 802.1X es el agente del lado del dispositivo que hace posible el control de acceso a la red basado en puertos. Su elección del método EAP (EAP-TLS para una seguridad máxima, PEAP como opción de transición) define sus requisitos de PKI y su enfoque de configuración del suplicante. Los suplicantes nativos del sistema operativo cubren la mayoría de los escenarios de dispositivos gestionados cuando se implementan a través de MDM. Los clientes de terceros aportan valor en casos específicos: métodos EAP propietarios, entornos con sistemas operativos mixtos que requieren una configuración coherente o incorporación de BYOD en autoservicio.

Las tres conclusiones clave son: valide el certificado de su servidor RADIUS en cada perfil de suplicante, automatice la renovación de certificados antes de implementar EAP-TLS a gran escala y aísle los dispositivos que no admiten 802.1X (IoT, hardware heredado) en VLAN dedicadas con MAC Authentication Bypass como alternativa.

Para saber más sobre cómo Purple se integra con su arquitectura de acceso a la red, visite purple punto ai. Gracias por escucharnos.

Conclusiones clave

✓El suplicante 802.1X es el software de un dispositivo cliente que gestiona la autenticación de red.
✓EAP-TLS proporciona la máxima seguridad al requerir certificados tanto de cliente como de servidor.
✓PEAP simplifica la implementación al requerir únicamente un certificado de servidor, pero exige una configuración estricta del suplicante para evitar el robo de credenciales.
✓Los suplicantes nativos del sistema operativo son suficientes para la mayoría de los entornos gestionados cuando se implementan a través de MDM.
✓El software de cliente de terceros es útil para la incorporación de BYOD o para imponer protocolos propietarios.
✓Configure siempre el suplicante para que valide el certificado del servidor RADIUS para evitar ataques de gemelo malvado.
✓Automatice la renovación de certificados de cliente para evitar fallos de autenticación masivos.

执行摘要

当设备连接到企业网络时，802.1X 客户端 (Supplicant) 是负责证明其身份的软件组件。对于大型场馆的 IT 经理和网络架构师而言，了解客户端的工作原理对于在不产生服务台工单的情况下确保网络访问安全至关重要。本指南将揭秘 IEEE 802.1X 认证中的设备端代理，对比原生操作系统功能与第三方客户端软件。我们将研究如何为 EAP-TLS 和 PEAP-MSCHAPv2 配置客户端，探讨酒店和零售行业的实际部署场景，并详细介绍正确的客户端配置如何与基于身份的网络（Identity-Based Networks）集成以优化访问。无论您是管理 200 间客房的酒店，还是管理拥有 80,000 多个座位的活动场馆，正确配置客户端都是构建安全、可靠 WiFi 的基石。

技术深挖

IEEE 802.1X 标准定义了基于端口的网络访问控制。它基于一个简单的原则：在设备证明其身份之前，阻断网络边缘的所有流量。客户端是此过程中的客户端参与者。

802.1X 的三个组成部分

认证需要三个不同的实体：

客户端 (Supplicant)：请求网络访问的客户端设备（笔记本电脑、智能手机或平板电脑）。
认证器 (Authenticator)：网络访问设备，例如 Cisco Meraki、HPE Aruba、Ruckus 或 Juniper Mist 接入点。
认证服务器 (Authentication Server)：根据 Microsoft Entra ID 或 Okta 等身份提供商验证凭据的 RADIUS 服务器。

在认证之前，认证器的端口处于未授权状态，仅允许局域网上的可扩展身份验证协议 (EAPOL) 流量。客户端通过 EAPOL-Start 帧发起该过程。认证器请求身份，客户端进行响应。该身份将被转发到 RADIUS 服务器，由其决定要使用的 EAP 方法。验证成功后，RADIUS 服务器会发送 Access-Accept 消息，端口转换为授权状态，设备通常会被分配到特定的 VLAN。

EAP 方法：客户端的语言

客户端和 RADIUS 服务器必须就可扩展身份验证协议 (EAP) 方法达成一致。EAP 方法的选择决定了安全状况以及客户端的配置负担。

EAP-TLS（传输层安全协议） EAP-TLS 需要使用数字证书进行双向身份验证。客户端（Supplicant）提供客户端证书以证明其身份，RADIUS 服务器提供服务器证书以证明网络的合法性。这种无密码方法消除了凭据窃取，并且是 NIST SP 800-171 等严格安全框架所要求的。客户端必须配置为信任颁发证书颁发机构 (CA) 并拥有有效的客户端证书。

PEAP (Protected EAP) 在无法使用完整公钥基础设施 (PKI) 的情况下，PEAP 被广泛使用。它在 TLS 隧道内封装了一个内部身份验证方法（通常是 MSCHAPv2）。RADIUS 服务器提供证书，但客户端只需提供用户名和密码。虽然 PEAP 更易于部署，但如果未严格配置客户端来验证服务器证书，它很容易受到凭据收集攻击。

实施指南

在部署 802.1X 时，IT 团队必须在选择使用操作系统内置的原生客户端，还是部署第三方客户端软件之间做出决定。

原生系统客户端

每个现代操作系统都包含一个原生的 802.1X 客户端。Windows 使用有线自动配置 (Wired AutoConfig) 和无线自动配置 (WLAN AutoConfig) 服务。Apple 设备使用网络配置文件。Android 将其集成在 WiFi 设置中。

原生客户端是托管设备群的理想选择。使用 Microsoft Intune 或 Jamf 等移动设备管理 (MDM) 平台，IT 管理员可以静默推送配置文件，这些文件通过 SCEP 定义了 SSID、EAP 方法、受信任的根 CA 以及证书注册过程。用户体验是无缝的；设备在后台进行身份验证。

第三方客户端软件

在特定场景下，需要使用第三方客户端，例如 Cisco AnyConnect 网络访问管理器或 SecureW2 JoinNow：

专有协议：使用 Cisco EAP-FAST 需要 Cisco 客户端。
BYOD 准入：第三方工具通常充当准入助手，引导用户在原生配置较为复杂的非托管设备上安装证书（特别是在碎片化的 Android 环境中）。
严格的配置控制：第三方客户端可以锁定设置，防止用户禁用服务器证书验证。

配置服务器证书验证

无论选择哪种客户端，配置服务器证书验证都至关重要，特别是对于 PEAP。如果客户端不验证 RADIUS 服务器的证书，它会毫无防备地将凭据发送给模仿您 SSID 的恶意接入点。

在 Windows 中，这意味着勾选 PEAP 属性中的“验证服务器证书”、选择受信任的根证书颁发机构（Root CA），并指定客户端应期望的确切服务器名称。在 Apple 设备上，配置文件必须明确列出受信任的证书。

最佳实践

强制服务器验证：部署 PEAP 时，切勿在未配置客户端验证 RADIUS 服务器证书的情况下进行。这是防御“邪恶双胞胎”（evil twin）攻击的首要防线。
自动化证书生命周期：使用 EAP-TLS 时，应通过 MDM 使用 SCEP 或 NDES 自动执行客户端证书的注册和更新。手动证书管理难以扩展，且会导致突发性的身份验证失败。
按身份进行隔离：使用 RADIUS 属性根据验证的身份分配 VLAN。员工设备和 POS 终端应验证到同一个 SSID，但最终落在不同的 VLAN 上。
为物联网（IoT）做好规划：大多数 IoT 设备缺乏 802.1X 客户端。对于这些设备，请使用 MAC 地址绕过认证（MAB），但必须将其严格隔离在专用的 IoT VLAN 上。

故障排查与风险缓解

当设备无法连接时，问题几乎总是出在客户端配置或证书链上。

“已连接，无互联网”：这通常表明 VLAN 分配失败或身份验证后出现 DHCP 问题。请检查 RADIUS 日志以确认 Access-Accept 消息中是否包含了正确的 Tunnel-Private-Group-Id。
Windows 11 上的静默失败：最近的 Windows 11 功能更新（如 24H2）改变了原生客户端处理 EAP-TLS 回退的方式。在广泛部署之前，请务必针对新的操作系统版本测试配置文件。
证书过期：如果一批设备突然掉网，请检查客户端证书的有效期。确保您的 MDM 在证书过期之前成功对其进行了更新。

投资回报率（ROI）与业务影响

迁移到配置了正确客户端的 802.1X 可以带来可衡量的业务价值。通过消除共享密码（预共享密钥/PSK），您可以彻底免除在员工离职时轮换密码的操作开销。转向 EAP-TLS 可以完全消除密码重置工单，从而为服务台释放大量的生产力时间。

此外，802.1X 允许在单个 SSID 上实现基于身份的网络隔离。无需为 Guest WiFi 、员工和运营广播独立的网络，单个 SSID 即可根据客户端的凭据安全地路由流量。这减少了信道干扰并提高了整体网络性能，直接支持了 Purple 的云端覆盖方法来进行与硬件无关的网络管理。如需更深入地了解分析，请探索我们的 WiFi Analytics 功能。

Definiciones clave

Supplicant 802.1X

El componente de software en un dispositivo cliente que gestiona el proceso de autenticación requerido para unirse a una red protegida por IEEE 802.1X.

Los equipos de TI configuran el supplicant para definir cómo demuestra un dispositivo su identidad ante la red.

Autenticador

El dispositivo de red (conmutador o punto de acceso) que bloquea el tráfico hasta que el supplicant se autentica correctamente.

El hardware de proveedores como Cisco Meraki o HPE Aruba actúa como autenticador, retransmitiendo mensajes entre el dispositivo y el servidor.

RADIUS

Remote Authentication Dial-In User Service. El servidor que verifica las credenciales proporcionadas por el supplicant.

El servidor RADIUS comprueba la identidad con directorios como Okta o Microsoft Entra ID antes de conceder el acceso.

EAP-TLS

Extensible Authentication Protocol with Transport Layer Security. Un método de autenticación que requiere certificados digitales tanto del cliente como del servidor.

Considerado el método más seguro para redes empresariales, eliminando la necesidad de contraseñas.

PEAP

Protected Extensible Authentication Protocol. Un método de autenticación que crea un túnel TLS seguro para proteger la autenticación basada en contraseña.

Comúnmente utilizado en entornos BYOD donde implementar certificados de cliente en dispositivos no gestionados es demasiado complejo.

EAPOL

Extensible Authentication Protocol over LAN. El protocolo utilizado para encapsular mensajes EAP entre el suplicante y el autenticador.

Antes de la autenticación, EAPOL es el único tipo de tráfico que el autenticador permite a través del puerto.

MAC Authentication Bypass (MAB)

Un método de autenticación alternativo en el que la red utiliza la dirección MAC del dispositivo como su identidad.

Utilizado para impresoras, cámaras y dispositivos IoT que carecen de un suplicante 802.1X.

Asignación de VLAN

El proceso de ubicar dinámicamente un dispositivo autenticado en un segmento de red virtual específico.

El servidor RADIUS indica al autenticador qué VLAN asignar en función de la identidad del suplicante.

Ejemplos prácticos

Un hotel de 200 habitaciones necesita asegurar su red para el personal. Actualmente utilizan WPA2-Personal con una contraseña compartida y quieren migrar a 802.1X. El personal utiliza una combinación de portátiles Windows propiedad de la empresa y teléfonos personales Android para la programación de turnos. ¿Cómo deberían configurar los supplicants?

El hotel debería implementar un enfoque híbrido. Para los portátiles Windows corporativos, deberían utilizar el supplicant nativo de Windows configurado a través de Microsoft Intune. El perfil de MDM debe aplicar los ajustes de EAP-TLS, instalar la CA raíz y automatizar la inscripción de certificados de cliente a través de SCEP. Para los teléfonos Android personales, deberían implementar un agente de incorporación de terceros (como SecureW2) a través de un portal de autoservicio. El miembro del personal inicia sesión en el portal utilizando sus credenciales de Microsoft Entra ID, y el agente configura automáticamente el supplicant nativo de Android para PEAP-MSCHAPv2, garantizando que la validación del certificado del servidor quede bloqueada.

Comentario del examinador: Este enfoque equilibra la seguridad con la realidad operativa. EAP-TLS se aplica donde existe control de MDM, proporcionando la máxima seguridad. PEAP se utiliza para BYOD, donde la distribución de certificados de cliente es compleja, pero el agente de incorporación garantiza que el supplicant se configure de forma segura, mitigando el riesgo de puntos de acceso no autorizados.

Una gran cadena minorista con 50 tiendas está implementando nuevas tabletas de punto de venta (POS) móviles. PCI DSS requiere un aislamiento estricto de la red. ¿Cómo debe garantizar el cumplimiento la configuración del supplicant?

Las tabletas deben gestionarse a través de MDM. El MDM aplica un perfil de configuración del supplicant nativo que impone EAP-TLS. Cada tableta recibe un certificado de cliente único que contiene un atributo que la identifica como un dispositivo POS. Cuando el supplicant de la tableta se autentica, el servidor RADIUS lee este atributo y devuelve una asignación de VLAN específicamente para el segmento de red que cumple con PCI. La configuración del supplicant debe estar bloqueada para que el personal de la tienda no pueda modificar los ajustes de red.

Comentario del examinador: El uso de EAP-TLS con asignación de VLAN basada en certificados es el método de manual para lograr el cumplimiento de PCI en redes inalámbricas. Elimina el error humano de la segmentación de la red y garantiza que el dispositivo no se conecte accidentalmente a las redes menos seguras del personal o de invitados de [Retail](/industries/retail).

Preguntas de práctica

Q1. Su organización está implementando PEAP-MSCHAPv2 para una nueva red BYOD de personal. Durante las pruebas, observa que los dispositivos pueden conectarse a un punto de acceso de prueba que emite el mismo SSID, a pesar de que no está conectado a su servidor RADIUS. ¿Qué paso de configuración del suplicante se omitió?

Sugerencia: Considere cómo el suplicante verifica la identidad de la red antes de enviar las credenciales MSCHAPv2.

Ver respuesta modelo

El suplicante no se configuró para validar el certificado del servidor. En PEAP, el suplicante debe configurarse explícitamente para confiar en la CA raíz específica que emitió el certificado del servidor RADIUS y para verificar el nombre de dominio del servidor. Sin esto, el suplicante establecerá un túnel TLS con cualquier servidor que presente un certificado, exponiendo las credenciales del usuario a un punto de acceso no autorizado.

Q2. Una universidad está migrando su flota de portátiles Windows administrados de PEAP a EAP-TLS. Envían el nuevo perfil de configuración mediante MDM, pero todos los dispositivos fallan al autenticarse. Los registros de RADIUS muestran "EAP-TLS failed SSL/TLS handshake". ¿Cuál es la causa más probable?

Sugerencia: EAP-TLS requiere autenticación mutua. ¿Qué necesita el cliente que no requería para PEAP?

Ver respuesta modelo

Los dispositivos de los clientes carecen de un certificado de cliente válido. EAP-TLS requiere que el suplicante presente un certificado al servidor RADIUS. El perfil MDM no solo debe configurarse para establecer el método EAP en TLS, sino también para activar un protocolo como SCEP para solicitar e instalar un certificado de cliente desde la PKI de la organización antes de intentar la autenticación.

Q3. Debe conectar 50 Smart TV a la red en un entorno de [Atención médica](/industries/healthcare). Las TV solo admiten WPA2-Personal (clave previamente compartida) y no disponen de suplicante 802.1X. ¿Cómo asegura su acceso manteniendo 802.1X para los dispositivos del personal?

Sugerencia: Si el dispositivo no puede comunicarse mediante EAP, el autenticador debe identificarlo de otra manera.

Ver respuesta modelo

Debe utilizar MAC Authentication Bypass (MAB). El autenticador utilizará la dirección MAC de la Smart TV como nombre de usuario y contraseña enviados al servidor RADIUS. Dado que las direcciones MAC se pueden suplantar, el servidor RADIUS debe estar configurado para asignar estos dispositivos a una VLAN de IoT altamente restringida y aislada que solo permita el tráfico necesario.

Continúe leyendo esta serie

Server RADIUS: una guía completa para empresas

Esta guía proporciona a directores de TI, arquitectos de redes y directores de tecnología (CTO) una referencia técnica definitiva sobre la autenticación mediante server RADIUS para WiFi empresarial. Cubre el marco AAA, la arquitectura 802.1X, la selección del método EAP, las ventajas y desventajas del despliegue en la nube frente a local y la asignación dinámica de VLAN. Los operadores de recintos del sector de la hostelería, retail, eventos y el sector público encontrarán pautas de implementación prácticas, casos de estudio reales y los marcos de decisión necesarios para migrar de claves precompartidas no seguras a una arquitectura de control de acceso a la red segura y basada en la identidad.

Aruba ClearPass vs. Purple WiFi: comparativa de funciones y codespliegue

Una guía técnica exhaustiva que detalla la arquitectura de codespliegue de Aruba ClearPass y Purple WiFi. Cubre la configuración de proxy RADIUS, la asignación dinámica de VLAN y las mejores prácticas para ofrecer redes de invitados seguras y basadas en analítica junto con el NAC empresarial.

Cisco ISE vs. Purple WiFi: How They Compare and Work Together

Esta guía explica cómo Cisco ISE y Purple WiFi desempeñan funciones distintas pero complementarias en las redes empresariales. Detalla cómo utilizar Cisco ISE para un acceso corporativo 802.1X seguro, al tiempo que se aprovecha Purple para ofrecer un WiFi de invitados que cumpla con el GDPR, análisis de marketing e integración con CRM.