Saltar al contenido principal

Cómo implementar la autenticación 802.1X con Cloud RADIUS

Esta guía de referencia técnica proporciona un marco integral para implementar la autenticación 802.1X con Cloud RADIUS en entornos empresariales distribuidos. Detalla la arquitectura, la selección del método EAP, la secuencia de implementación y las estrategias de mitigación de riesgos necesarias para proteger el acceso a la red y, al mismo tiempo, eliminar los costes operativos de la infraestructura local.

📖 5 min de lectura📝 1,189 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Cómo implementar la autenticación 802.1X con Cloud RADIUS Un informe de inteligencia de Purple WiFi --- INTRODUCCIÓN Y CONTEXTO (aprox. 1 minuto) --- Le damos la bienvenida al informe de inteligencia de Purple WiFi. Soy su anfitrión y hoy vamos a analizar en detalle la autenticación 802.1X con Cloud RADIUS: qué es, por qué es importante en este momento y cómo implementarla de forma real en un patrimonio multisitio. Si gestiona la infraestructura WiFi de un grupo hotelero, una cadena de tiendas, un estadio o una organización del sector público, este es uno de esos temas recurrentes, y con razón. El panorama de las amenazas ha cambiado. Las redes PSK compartidas se consideran cada vez más un riesgo de cumplimiento normativo, no solo un inconveniente de seguridad. Reguladores, auditores y aseguradoras cibernéticas plantean preguntas cada vez más difíciles sobre el control de acceso a la red. Y la buena noticia es que el servicio RADIUS suministrado en la nube ha hecho que la tecnología 802.1X sea realmente implementable a gran escala, sin los costes de infraestructura local que antes la hacían inviable para patrimonios distribuidos. Comencemos. --- ANÁLISIS TÉCNICO DETALLADO (aprox. 5 minutos) --- En primer lugar, asegurémonos de que todos partimos de la misma definición. IEEE 802.1X es un estándar de control de acceso a la red basado en puertos. Define un marco de autenticación que se sitúa en la capa 2 del modelo OSI, por lo que opera antes de que se conceda cualquier tipo de conectividad IP a un dispositivo. Esa es la diferencia clave respecto a la autenticación en la capa de aplicación. Con la tecnología 802.1X, un dispositivo no puede acceder a la red hasta que se haya autenticado positivamente. El protocolo consta de tres componentes. El suplicante, que es el dispositivo final (ya sea un portátil, un smartphone o un terminal de punto de venta). El autenticador, que suele ser su punto de acceso WiFi o su switch gestionado. Y el servidor de autenticación, que en las implementaciones modernas es su servicio Cloud RADIUS. El flujo funciona de la siguiente manera. Un dispositivo intenta asociarse con un punto de acceso. El punto de acceso no concede acceso completo a la red de inmediato. En su lugar, abre un puerto controlado e inicia un intercambio EAP (el protocolo de autenticación extensible) con el dispositivo. El dispositivo presenta sus credenciales, que pueden ser un nombre de usuario y una contraseña, un certificado digital o una identidad basada en SIM. El punto de acceso retransmite ese intercambio al servidor RADIUS utilizando el protocolo RADIUS a través de UDP, normalmente en el puerto 1812 para la autenticación y en el 1813 para la contabilidad (accounting). El servidor RADIUS valida las credenciales con respecto a un almacén de identidades (Active Directory, Azure AD o un directorio LDAP) y devuelve un mensaje Access-Accept o Access-Reject. Si se acepta, el punto de acceso abre el puerto y el dispositivo obtiene acceso a la red. Si se rechaza, permanece bloqueado. Es sencillo en teoría, pero los detalles de la implementación son de enorme importancia. Ahora bien, la selección del método EAP es el punto donde fallan muchas implementaciones. Se utilizan habitualmente varios métodos EAP, los cuales presentan perfiles de seguridad y requisitos operativos muy diferentes. EAP-TLS es el estándar de oro. Requiere autenticación mutua por certificado - tanto el servidor como el cliente presentan un certificado. Esto elimina por completo el riesgo de robo de credenciales, ya que no hay contraseñas que robar. Sin embargo, requiere una infraestructura PKI y un mecanismo para enviar los certificados de cliente a los dispositivos, lo que normalmente implica una solución MDM. Para entornos corporativos BYOD y despliegues de alta seguridad, esta es la respuesta adecuada. PEAP con MSCHAPv2 es el método más extendido en entornos empresariales. Solo requiere un certificado en el lado del servidor y canaliza el intercambio de credenciales dentro de TLS. Es compatible de forma nativa con Active Directory, lo que simplifica enormemente las operaciones. El riesgo es que resulta vulnerable a la obtención de credenciales si los usuarios se conectan a un punto de acceso no autorizado con un certificado autofirmado, por lo que la validación de certificados en el lado del cliente es innegociable. EAP-TTLS es similar a PEAP pero más flexible en el método de autenticación interno. Resulta especialmente útil en entornos con dispositivos mixtos en los que se dispone de una combinación de dispositivos Windows, macOS, iOS y Android con distintas capacidades de suplicante. Para ofrecer soporte a dispositivos antiguos - como hardware de punto de venta antiguo o sensores IoT -, EAP-FAST puede ser una opción práctica, ya que no requiere certificados y utiliza en su lugar una credencial de acceso protegido (PAC). Ahora, hablemos de la parte de RADIUS en la nube. Tradicionalmente, RADIUS era un servicio local: FreeRADIUS en un servidor Linux o Microsoft NPS en Windows Server. Ese modelo funciona, pero conlleva costes operativos reales: mantenimiento de hardware, configuración de alta disponibilidad, parches y la necesidad de una infraestructura local en cada sitio que requiera autenticación de baja latencia. El servicio RADIUS en la nube cambia significativamente ese cálculo. Un servicio RADIUS en la nube es alojado y gestionado por el proveedor. Sus puntos de acceso envían solicitudes RADIUS a través de Internet al servicio en la nube, que se encarga de la autenticación frente a su proveedor de identidad. La preocupación por la latencia es real pero manejable: los servicios RADIUS en la nube modernos están distribuidos globalmente y los tiempos de ida y vuelta de la autenticación suelen completarse en menos de 100 milisegundos, lo que resulta imperceptible para los usuarios finales. La integración con los proveedores de identidad es la dependencia crítica. La mayoría de las plataformas RADIUS en la nube son compatibles con LDAP, LDAPS, SAML 2.0 y la integración directa con Azure AD u Okta. Para las organizaciones que ya utilizan Microsoft 365, la integración con Azure AD es el camino natural: se obtiene inicio de sesión único, políticas de acceso condicional y aplicación de MFA, todo ello conectado a su capa de control de acceso a la red. Para los establecimientos que despliegan WiFi para invitados junto con redes para el personal, la arquitectura suele separar estas en SSID distintos con diferentes políticas de autenticación. Las redes de personal utilizan 802.1X con credenciales corporativas. Las redes de invitados utilizan un Captive Portal o un flujo de inicio de sesión social. La plataforma de Purple es compatible con ambos modelos, y la capa de WiFi analytics abarca ambos, lo que le ofrece visibilidad sobre el comportamiento de los dispositivos, el tiempo de permanencia y la utilización de la red sin comprometer la segmentación de seguridad. --- RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES (aprox. 2 minutos) --- Permítame detallar la secuencia de despliegue práctica y señalar los fallos que veo con más frecuencia. Comience con la integración de su proveedor de identidad. Antes de tocar un solo punto de acceso, confirme que su servicio de RADIUS en la nube puede autenticarse contra su directorio. Realice una prueba con una cuenta de servicio, valide la vinculación LDAP y confirme que los atributos de pertenencia a grupos se devuelven correctamente - ya que los necesitará para las políticas de asignación de VLAN. En segundo lugar, planifique su estrategia de certificados. Si opta por EAP-TLS, necesita una CA, debe decidir si va a utilizar una CA pública o una interna, y necesita un plan de despliegue de MDM para los certificados de cliente. Si opta por PEAP, necesita un certificado de servidor de una CA de confianza - no autofirmado - y debe enviar el certificado de la CA a todos los dispositivos cliente para que la validación del certificado funcione correctamente. Este es el paso que suele omitirse y que provoca incidentes de seguridad. En tercer lugar, configure sus clientes RADIUS - es decir, sus puntos de acceso y controladores - con el secreto compartido correcto y la IP o nombre de host del servidor. Utilice un secreto compartido seguro, generado de forma aleatoria, no una palabra de diccionario. Y si su proveedor de RADIUS en la nube admite RADIUS sobre TLS - RadSec - utilícelo. Cifra el tráfico RADIUS en tránsito, lo cual es especialmente importante cuando ese tráfico atraviesa la internet pública. En cuarto lugar, realice pruebas con un grupo piloto antes del despliegue completo. Los fallos de autenticación a gran escala son perjudiciales y difíciles de diagnosticar bajo presión. Realice un piloto con diez a veinte dispositivos, valide los registros de autenticación, confirme que la asignación de VLAN funciona y compruebe que los registros de contabilidad se escriben correctamente. Los fallos que veo con más frecuencia: validación de certificados desactivada en los clientes, lo que genera vulnerabilidad a ataques de intermediario (man-in-the-middle). Secretos compartidos demasiado cortos o reutilizados en varios sitios. La lista de permitidos de IP del servidor RADIUS no está configurada, por lo que las solicitudes de autenticación de nuevos sitios se descartan silenciosamente. Y los perfiles de MDM no se actualizan cuando los certificados caducan, lo que provoca fallos masivos de autenticación el día de la renovación. --- PREGUNTAS Y RESPUESTAS RÁPIDAS (aprox. 1 minuto) --- Algunas preguntas que me hacen con regularidad. ¿Puedo ejecutar 802.1X en una red que también tiene dispositivos IoT que no admiten EAP? Sí - utilice MAC Authentication Bypass como alternativa para los dispositivos que no pueden ejecutar un suplicante, pero coloque esos dispositivos en una VLAN restringida con reglas de firewall estrictas. ¿Reemplaza 802.1X al cifrado WPA2 o WPA3? No, 802.1X gestiona la autenticación. WPA2-Enterprise o WPA3-Enterprise gestionan el cifrado. Necesita ambos. WPA3-Enterprise con 802.1X es la mejor práctica actual para nuevos despliegues. ¿Cuál es el impacto de la latencia en la autenticación? Con un servicio RADIUS en la nube bien configurado, cabe esperar entre 50 y 150 milisegundos por autenticación. Para escenarios de itinerancia (roaming), la transición rápida de BSS 802.11r puede reducir significativamente la sobrecarga de reautenticación. ¿Cumple esto con PCI-DSS? 802.1X con EAP-TLS o PEAP en una red adecuadamente segmentada cumple con el Requisito 1 y el Requisito 8 de PCI-DSS para el control de acceso a la red. Involucre a su QSA desde el principio. - RESUMEN Y PRÓXIMOS PASOS (aprox. 1 minuto) - Para resumir: 802.1X con RADIUS en la nube es la respuesta adecuada para cualquier organización que necesite demostrar el control de acceso a la red ante los auditores, reducir el radio de impacto de un compromiso de credenciales o gestionar la autenticación de forma centralizada en un entorno distribuido. El despliegue no es trivial, pero es absolutamente manejable con la preparación adecuada. Asegúrese de que la integración con su proveedor de identidad sea correcta en primer lugar. Elija su método EAP en función de su parque de dispositivos y su capacidad operativa para gestionar certificados. Utilice RadSec si su infraestructura lo admite. Y realice pruebas antes de un despliegue a gran escala. Si gestiona una red mixta de invitados y personal (como la mayoría de los operadores de hostelería y retail), las plataformas como Purple le ofrecen la capacidad de gestionar ambos modelos de autenticación desde un único panel, con la capa de análisis abarcando todo el entorno. Para sus próximos pasos: audite su situación actual en materia de control de acceso a la red, identifique qué sedes siguen utilizando PSK compartido y elabore un plan de migración por fases. Empiece por las sedes de mayor riesgo (aquellas que entran en el alcance de PCI-DSS o que manejan datos sensibles) y continúe hacia el resto. Gracias por su atención. Encontrará más sesiones técnicas en purple.ai.

header_image.png

Resumen ejecutivo

Para los responsables de la toma de decisiones de TI que gestionan redes distribuidas en los sectores de hostelería, retail y sector público, la seguridad en el acceso a la red ha pasado de ser una preferencia operativa a un estricto mandato de cumplimiento. Depender de claves precompartidas (PSK) introduce un riesgo inaceptable, no supera los estándares de auditoría modernos como PCI-DSS y expone a la organización a movimientos laterales en caso de compromiso de credenciales. La transición al control de acceso a la red basado en puertos IEEE 802.1X mitiga estos riesgos de manera eficaz al autenticar los dispositivos antes de que se conceda la conectividad IP.

Históricamente, la implantación de 802.1X en entornos con múltiples sedes se veía obstaculizada por la necesidad de una infraestructura RADIUS local para gestionar la latencia y la disponibilidad. La maduración de la arquitectura Cloud RADIUS ha cambiado fundamentalmente este panorama. Al centralizar las decisiones de autenticación e integrarse directamente con los proveedores de identidad en la nube (como Azure AD o Okta), las organizaciones pueden aplicar políticas de acceso sólidas de forma uniforme en todas las ubicaciones sin el gasto de capital y la carga de mantenimiento que suponen los servidores locales. Esta guía describe la arquitectura técnica, la metodología de despliegue y las mejores prácticas operativas para implementar con éxito la autenticación 802.1X con Cloud RADIUS, garantizando que tanto el WiFi para invitados empresarial ( Guest WiFi ) como las redes corporativas sigan siendo seguros y escalables.

Análisis técnico detallado

La base de la seguridad inalámbrica empresarial moderna se basa en el estándar IEEE 802.1X. A diferencia de la autenticación en la capa de aplicación, 802.1X opera en la Capa 2 del modelo OSI. Cuando un dispositivo (el suplicante) intenta asociarse con un punto de acceso (el autenticador), el puerto permanece en un estado no autorizado, permitiendo únicamente el tráfico del protocolo de autenticación extensible (EAP). Este tráfico se encapsula en paquetes RADIUS y se reenvía al servidor de autenticación, la instancia de Cloud RADIUS. Solo tras recibir un mensaje de Access-Accept, el autenticador cambia el estado del puerto a autorizado, concediendo acceso a la red.

Arquitectura de Cloud RADIUS

architecture_overview.png

La transición arquitectónica de entornos locales a Cloud RADIUS elimina la necesidad de servidores distribuidos FreeRADIUS o Microsoft NPS. En el modelo en la nube, los puntos de acceso o controladores de red inalámbrica se comunican directamente a través de internet con un servicio RADIUS distribuido globalmente. Para proteger este tránsito, es esencial implementar RadSec (RADIUS sobre TLS), cifrando el payload de autenticación y protegiéndolo contra intercepciones. El servicio Cloud RADIUS actúa como intermediario, validando las credenciales frente a un Proveedor de Identidad (IdP) central a través de LDAP, SAML o integraciones nativas de API. Esto permite la aplicación dinámica de políticas, como la asignación de VLANs en función de la pertenencia a grupos de Azure AD, integrando el acceso a la red de forma fluida con la estrategia general de gestión de identidades corporativas.

Selección del método EAP

La elección del método EAP determina el nivel de seguridad y la complejidad operativa del despliegue.

eap_comparison_chart.png

  • EAP-TLS (Transport Layer Security): El método más seguro, que requiere certificados tanto de servidor como de cliente para la autenticación mutua. Al no intercambiarse contraseñas, elimina el riesgo de robo de credenciales. Sin embargo, requiere una Infraestructura de Clave Pública (PKI) y una Gestión de Dispositivos Móviles (MDM) para distribuir los certificados de cliente. Muy recomendado para dispositivos corporativos.
  • PEAP-MSCHAPv2 (PEAP protegido): Muy utilizado gracias al soporte nativo en Windows y a que solo depende de un certificado en el lado del servidor. Canaliza el intercambio de credenciales dentro de una sesión TLS. Aunque es más fácil de implementar, es vulnerable a ataques de recopilación de credenciales si no se exige estrictamente la validación del certificado en el lado del cliente.
  • EAP-TTLS: Similar a PEAP pero ofrece una mayor flexibilidad en el protocolo de autenticación interna, lo que lo hace adecuado para entornos con una mezcla diversa de sistemas operativos de cliente.

Guía de implementación

El despliegue de 802.1X con Cloud RADIUS requiere un enfoque sistemático y por fases para minimizar las interrupciones en el negocio actual.

  1. Integración del proveedor de identidad: Establezca y valide la conexión entre el servicio Cloud RADIUS y el IdP corporativo. Asegúrese de que la sincronización del directorio sea precisa y de que los atributos de usuario necesarios (como la pertenencia a grupos) estén disponibles para la toma de decisiones sobre políticas.
  2. Gestión de certificados: Para despliegues PEAP, obtenga un certificado de servidor de una Autoridad de Certificación (CA) pública de confianza. Es fundamental configurar los clientes a través de MDM o políticas de grupo para que confíen explícitamente en esta CA y validen el nombre del certificado de servidor. Para EAP-TLS, despliegue la infraestructura de CA interna y comience a emitir certificados de cliente para los dispositivos gestionados.
  3. Configuración de la infraestructura de red: configure los controladores inalámbricos y los puntos de acceso para que apunten a los endpoints de Cloud RADIUS. Implemente RadSec cuando el proveedor de hardware lo admita. Defina los secretos compartidos de RADIUS mediante cadenas seguras con cifrado fuerte, garantizando que el secreto sea único por sitio o clúster de controladores.
  4. Definición de políticas: cree las políticas de autenticación dentro de la plataforma Cloud RADIUS. Defina las condiciones según el grupo de usuarios, el tipo de dispositivo o la ubicación para asignar dinámicamente VLAN o aplicar listas de control de acceso (ACL) tras una autenticación correcta.
  5. Prueba piloto y despliegue por fases: seleccione un subgrupo representativo de usuarios y dispositivos para la prueba piloto inicial. Supervise de cerca los registros de autenticación para identificar problemas de latencia, fallos de validación de certificados o asignaciones de VLAN incorrectas. Tras una prueba piloto exitosa, ejecute un despliegue por fases, priorizando las ubicaciones de alto riesgo, como las oficinas ejecutivas o los sitios que manejan datos confidenciales.

Mejores prácticas

  • Forzar la validación de certificados en el lado del cliente: la vulnerabilidad más común en los despliegues de PEAP es la falta de obligatoriedad en la validación del certificado del servidor en el cliente. Si se permite que los clientes confíen ciegamente en cualquier certificado presentado, quedan totalmente expuestos a ataques de puntos de acceso no autorizados.
  • Implementar MAC Authentication Bypass (MAB) con precaución: para los dispositivos sin interfaz de usuario que no pueden ejecutar un suplicante 802.1X (como impresoras y sensores IoT), se puede utilizar MAB. Sin embargo, las direcciones MAC se pueden suplantar fácilmente. Los dispositivos con MAB deben aislarse en VLAN muy restringidas, con reglas de firewall estrictas que limiten su acceso a la red.
  • Aprovechar 802.11r para el roaming: en entornos donde los dispositivos se mueven con frecuencia entre puntos de acceso, el proceso completo de autenticación 802.1X puede introducir una latencia inaceptable que interrumpa las aplicaciones en tiempo real, como la voz. La implementación de 802.11r (Fast BSS Transition) agiliza el roaming al almacenar en caché las claves de autenticación.
  • Integrar con analíticas: para los establecimientos que operan tanto una red corporativa 802.1X como una red de acceso público, integrar la infraestructura de autenticación con WiFi Analytics proporciona una visión integral de la utilización de la red y el comportamiento de los dispositivos en todas las instalaciones.

Resolución de problemas y mitigación de riesgos

Los fallos de autenticación en un entorno 802.1X pueden provocar interrupciones generalizadas de la conectividad. Es esencial disponer de un proceso de resolución de problemas sólido.

  • Caducidad de certificados: un certificado de servidor o cliente caducado provocará un fallo de autenticación inmediato. Implemente la supervisión y las alertas automatizadas sobre los periodos de validez de los certificados, garantizando que las renovaciones se gestionen mucho antes de que caduquen.
  • Latencia y tiempos de espera: si el servicio Cloud RADIUS o el IdP experimentan una latencia alta, el autenticador puede agotar el tiempo de espera y perder la conexión. Configure valores de tiempo de espera adecuados en los controladores inalámbricos (normalmente de 5 a 10 segundos) y despliegue servidores RADIUS de respaldo para proporcionar redundancia.
  • Falta de coincidencia en la clave secreta compartida de RADIUS: si la clave secreta compartida configurada en el autenticador no coincide con la del servidor RADIUS, los paquetes se descartarán de forma silenciosa. Normalice la gestión de claves secretas y evite la introducción manual siempre que sea posible.

ROI e impacto empresarial

La transición a 802.1X con Cloud RADIUS ofrece un valor empresarial cuantificable. Al eliminar las contraseñas compartidas, reduce drásticamente la superficie de ataque, respaldando directamente el cumplimiento de PCI-DSS (requisitos 1 y 8) y las directrices de protección de datos del GDPR. Desde el punto de vista operativo, permite un control de acceso centralizado, lo que permite a los equipos de TI revocar instantáneamente el acceso de un usuario en cualquier ubicación del mundo con solo desactivar su cuenta en el directorio central. Además, al retirar los servidores RADIUS locales heredados, las organizaciones reducen los costes de mantenimiento de hardware, las tarifas de licencias de software y la carga administrativa de parchear y gestionar infraestructuras distribuidas. Para despliegues en todo el patrimonio en sectores como el comercio minorista y la hostelería , esta postura de seguridad centralizada es un elemento clave para una transformación digital segura.

Escuche nuestro informe completo sobre el tema:

Definiciones clave

Suplicante

El cliente de software en un dispositivo de usuario final (ordenador portátil, smartphone) que negocia el acceso a la red mediante EAP.

Los equipos de TI deben asegurarse de que el suplicante esté configurado correctamente (a menudo a través de MDM) para validar los certificados del servidor a fin de evitar el robo de credenciales.

Autenticador

El dispositivo de red (normalmente un punto de acceso WiFi o un conmutador) que controla el acceso físico o lógico a la red según el estado de la autenticación.

El autenticador actúa como intermediario, transmitiendo los mensajes EAP entre el suplicante y el servidor RADIUS.

Cloud RADIUS

Un servicio de autenticación centralizado y alojado en la nube que procesa solicitudes RADIUS desde una infraestructura de red distribuida sin necesidad de servidores locales.

Esencial para organizaciones con múltiples ubicaciones que buscan implementar seguridad de nivel empresarial sin los costes de mantenimiento del hardware.

EAP (Protocolo de Autenticación Extensible)

El marco utilizado para encapsular los mensajes de autenticación entre el suplicante y el servidor de autenticación.

La elección del método EAP adecuado (por ejemplo, PEAP frente a EAP-TLS) determina el nivel de seguridad y la complejidad de la implementación de la red inalámbrica.

RadSec

Un protocolo que transmite datos RADIUS a través de un túnel TLS, garantizando el cifrado del tráfico de autenticación en tránsito.

Crucial cuando se utiliza Cloud RADIUS, ya que protege de la interceptación en internet pública los intercambios de credenciales confidenciales.

Asignación dinámica de VLAN

El proceso mediante el cual el servidor RADIUS indica al autenticador que coloque un dispositivo en un segmento de red virtual específico en función de la identidad del usuario o de su pertenencia a un grupo.

Permite al departamento de TI transmitir un único SSID segmentando el tráfico de forma segura (por ejemplo, colocando al personal de RR. HH. y al de TI en subredes diferentes).

Autenticación mutua

Un proceso de seguridad en el que tanto el cliente verifica la identidad del servidor como el servidor verifica la identidad del cliente (normalmente mediante certificados).

La característica definitoria de EAP-TLS, que lo hace altamente resistente a los ataques de tipo man-in-the-middle.

Bypass de autenticación MAC (MAB)

Un método de autenticación alternativo que utiliza la dirección MAC de un dispositivo como su credencial cuando no puede admitir un suplicante 802.1X.

Utilizado para hardware heredado como impresoras o dispositivos IoT, pero requiere una segmentación de red estricta debido a la facilidad de la suplantación de MAC.

Ejemplos prácticos

Un hotel de 200 habitaciones que utiliza una red PSK heredada para las operaciones internas (tabletas de limpieza, terminales de punto de venta, ordenadores portátiles de los directores) necesita cumplir con la norma PCI-DSS antes de una próxima auditoría. Carecen de personal de TI en las instalaciones y no pueden implementar servidores locales.

El hotel debe implementar una solución Cloud RADIUS integrada directamente con su inquilino central de Azure AD. Para los ordenadores portátiles de los directores (Windows/macOS), deben implementar PEAP-MSCHAPv2, utilizando un perfil de MDM para distribuir el certificado de servidor de confianza y aplicar la validación. Para los terminales de punto de venta que puedan carecer de suplicantes robustos, deben utilizar la omisión de autenticación MAC (MAB), pero asignando estrictamente estos dispositivos a una VLAN aislada que solo permita la comunicación con la pasarela de pago. La implementación requiere configurar los puntos de acceso gestionados en la nube existentes para que apunten a las direcciones IP de Cloud RADIUS, protegiendo la conexión con RadSec.

Comentario del examinador: Este enfoque cumple con el requisito de PCI de identificación de usuario única (PEAP para el personal) y segmentación de red (MAB + VLAN aislada para el punto de venta). Al utilizar Cloud RADIUS, el hotel evita la complejidad de implementar y mantener un servidor FreeRADIUS local, que sería inmanejable sin personal de TI en las instalaciones. El uso de RadSec es fundamental en este caso para proteger el tráfico de autenticación que atraviesa el internet público.

Una cadena minorista nacional está implementando una nueva flota de tabletas corporativas para la gestión de inventario en 500 tiendas. Quieren asegurarse de que, incluso si roban una tableta, esta no se pueda utilizar para acceder a la red, y quieren eliminar las solicitudes de asistencia técnica relacionadas con las contraseñas.

El minorista debe implementar EAP-TLS. Implementará una Autoridad de Certificación (CA) interna y la integrará con su plataforma de MDM. Cuando se aprovisiona una tableta, el MDM envía un certificado de cliente único al dispositivo. El servicio Cloud RADIUS se configura para autenticar los dispositivos basándose únicamente en la presencia de un certificado de cliente válido. Si se informa del robo de una tableta, el equipo de TI simplemente revoca ese certificado específico en la CA. El servicio Cloud RADIUS, al comprobar la Lista de Revocación de Certificados (CRL) o a través de OCSP, denegará inmediatamente el acceso a la red.

Comentario del examinador: EAP-TLS es la opción óptima en este caso. Proporciona el nivel más alto de seguridad y elimina por completo las contraseñas de usuario del flujo de autenticación, logrando el objetivo de reducir las solicitudes de asistencia técnica. La capacidad de revocación centralizada es esencial para gestionar el riesgo de robo de hardware en un entorno minorista distribuido.

Preguntas de práctica

Q1. Tu organización está migrando de una PSK compartida a 802.1X utilizando PEAP-MSCHAPv2. Durante la fase piloto, los usuarios informan de que pueden conectarse, pero una auditoría de seguridad revela que los dispositivos aceptan silenciosamente cualquier certificado de servidor que se les presente. ¿Cuál es el riesgo inmediato y cómo debe remediarse?

Sugerencia: Piensa en lo que ocurre si un atacante configura un punto de acceso que emita el SSID de tu empresa.

Ver respuesta modelo

El riesgo inmediato es un ataque Man-in-the-Middle (MitM) a través de un punto de acceso no autorizado. Un atacante puede emitir el SSID corporativo, presentar un certificado autofirmado y recopilar las credenciales de los usuarios a medida que los dispositivos intentan autenticarse. Para remediarlo, el equipo de TI debe configurar los perfiles de los suplicantes (mediante MDM o directivas de grupo) para validar explícitamente el certificado del servidor. Esto implica especificar la CA raíz de confianza exacta que emitió el certificado del servidor RADIUS y definir estrictamente el nombre de host del servidor esperado.

Q2. Una sucursal minorista remota ha perdido su conexión a internet. Los puntos de acceso locales siguen encendidos. ¿Seguirán conectados los dispositivos del personal conectados actualmente a la red 802.1X y podrán autenticarse los nuevos dispositivos? Asume una arquitectura Cloud RADIUS estándar sin nodos de supervivencia local.

Sugerencia: Piensa en la ruta que debe seguir una solicitud de autenticación y en el estado de los puertos ya autorizados.

Ver respuesta modelo

Los dispositivos que ya están autenticados y conectados normalmente seguirán conectados hasta que expire el tiempo de espera de su sesión o se desconecten, ya que el puerto del autenticador ya está en estado autorizado. Sin embargo, los nuevos dispositivos que intenten conectarse, o los dispositivos que intenten volver a autenticarse, fallarán. Dado que la conexión a internet está caída, los puntos de acceso no pueden comunicarse con el servidor Cloud RADIUS para procesar el intercambio EAP. Esto resalta la importancia de contar con enlaces WAN resilientes cuando se depende de la autenticación basada en la nube.

Q3. Necesitas proteger el acceso a la red para una flota de escáneres de códigos de barras heredados en un almacén. Estos escáneres no admiten suplicantes 802.1X y solo son compatibles con WPA2-Personal (PSK). No puedes actualizar el hardware. ¿Cómo integras estos dispositivos en una arquitectura de red segura junto con tus dispositivos corporativos 802.1X?

Sugerencia: Necesitas una alternativa a 802.1X que siga proporcionando control de acceso, combinada con aislamiento a nivel de red.

Ver respuesta modelo

El enfoque recomendado es utilizar MAC Authentication Bypass (MAB) para los escáneres de códigos de barras. El punto de acceso utilizará la dirección MAC del escáner como identidad y la enviará al servidor RADIUS. Dado que las direcciones MAC son fáciles de suplantar, esto proporciona una autenticación débil. Por lo tanto, el servidor RADIUS debe configurarse para devolver un atributo VLAN específico tras una autenticación MAB exitosa. Esta VLAN debe estar fuertemente restringida mediante cortafuegos o ACL, permitiendo que los escáneres se comuniquen únicamente con los servidores de inventario específicos que necesitan, y bloqueando cualquier otro acceso lateral a la red.

Continúe leyendo esta serie

Las ventajas de seguridad de RADIUS as a Service para plantillas híbridas

Esta guía técnica de referencia explica cómo RADIUS as a Service protege el acceso a la red para plantillas híbridas en centros distribuidos. Abarca la arquitectura, las ventajas de seguridad y los pasos de implementación para sustituir la infraestructura RADIUS local por un servicio de autenticación gestionado en la nube. Diseñada para responsables de TI y arquitectos de redes de hoteles, cadenas de tiendas, estadios y organismos del sector público, esta guía aporta los argumentos necesarios para evaluar y ejecutar la migración a un RADIUS en la nube este trimestre.

Leer la guía →

Integración de RADIUS as a Service con directorios en la nube (Azure AD y Google Workspace)

Esta guía de referencia técnica detalla cómo integrar RADIUS as a Service con directorios en la nube (Microsoft Entra ID y Google Workspace) para la autenticación WiFi empresarial. Cubre la transición arquitectónica de NPS local a RADIUS nativo de la nube, el despliegue de la autenticación EAP-TLS basada en certificados y las mejores prácticas operativas para proteger el acceso inalámbrico en entornos de hostelería, comercio minorista y sector público. Para los responsables de TI y arquitectos de redes que ya han invertido en identidad en la nube, esta guía cierra la brecha entre la gestión de directorios y la seguridad de la red física.

Leer la guía →

¿Qué es Cloud RADIUS? Una guía completa sobre RADIUS-as-a-Service

Esta guía completa analiza Cloud RADIUS (RADIUS-as-a-Service), detallando su arquitectura, métodos de EAP y estrategias de implementación. Proporciona a los líderes de TI información práctica sobre la migración de servidores locales a un modelo de autenticación en la nube escalable, seguro y compatible.

Leer la guía →