Configuración de políticas RADIUS para el control de acceso a la red de grano fino

Te damos la bienvenida al Informe Técnico de Purple. Soy tu anfitrión y hoy profundizaremos en un tema fundamental para arquitectos de redes empresariales y directores de TI: la configuración de políticas RADIUS para un control de acceso a la red detallado. Si administras la infraestructura de una cadena hotelera, una red de retail o un gran recinto público, sabes que los días de depender de una simple clave precompartida han quedado atrás. La seguridad, el cumplimiento y la experiencia de usuario exigen un enfoque más sofisticado. Hoy analizaremos la arquitectura del acceso basado en el contexto, exploraremos estrategias de implementación y analizaremos cómo evitar los errores más comunes y costosos. Comencemos con el contexto. ¿Por qué hablamos de RADIUS y 802.1X? Porque el perímetro se ha disuelto. Tienes laptops corporativas, smartphones de invitados, tablets de contratistas y una enorme afluencia de dispositivos IoT, todos conectándose a los mismos puntos de acceso físicos. Necesitas un mecanismo para segmentar dinámicamente este tráfico, aplicar el cumplimiento y, al mismo tiempo, ofrecer una experiencia de usuario fluida. Ahí es exactamente donde entran en juego las políticas RADIUS. Al aprovechar 802.1X, pasas de un modelo de "quién conoce la contraseña" a "quién eres, en qué dispositivo estás y cuál es tu contexto". Ese cambio es fundamental. La arquitectura se basa en tres componentes. Primero, el suplicante: el cliente de software en el dispositivo del usuario final. Segundo, el autenticador: por lo general, tu punto de acceso inalámbrico o tu switch. Y tercero, el servidor de autenticación: tu servidor RADIUS. Cuando un dispositivo se conecta, el autenticador pasa los mensajes EAP al servidor RADIUS. El servidor RADIUS verifica las credenciales con tu almacén de identidades, como Active Directory, LDAP o un proveedor basado en la nube como Entra ID. Pero aquí está la parte crucial: un servidor RADIUS configurado correctamente no solo devuelve un simple sí o no. Devuelve atributos específicos del proveedor (VSA) que le indican a la infraestructura de red exactamente cómo manejar esa sesión específica. La aplicación más potente de esto es la asignación dinámica de VLAN. Imagina un entorno de alta densidad como un estadio o un gran centro de conferencias. Transmitir múltiples SSID para diferentes grupos de usuarios genera una enorme sobrecarga de balizas (beacons) y degrada el rendimiento de RF. Cada SSID que transmites consume un valioso tiempo de aire. Con RADIUS, transmites un solo SSID seguro. Cuando un gerente de finanzas se autentica, RADIUS le indica al punto de acceso que dirija su tráfico a la VLAN 10. Cuando se conecta una terminal POS, se coloca en la VLAN 20. Cuando un contratista se autentica, aterriza en la VLAN 30 con acceso restringido. Es limpio, es eficiente y reduce drásticamente tu superficie de ataque. Ahora, entremos de lleno en los detalles técnicos. Los atributos clave que configurará en sus perfiles de cumplimiento RADIUS son Tunnel-Type, establecido en VLAN; Tunnel-Medium-Type, establecido en 802; y Tunnel-Private-Group-Id, que es su ID de VLAN real. Estos tres atributos, devueltos en conjunto en un mensaje de Access-Accept, indican al autenticador que coloque la sesión en el segmento de red correcto. Para los protocolos de autenticación, tiene varias opciones. EAP-TLS es el estándar de oro. Utiliza certificados de cliente para la autenticación, lo que elimina por completo el riesgo de robo de credenciales y la fatiga de contraseñas. Es la opción adecuada para dispositivos gestionados por la empresa donde se cuenta con una plataforma MDM para automatizar el aprovisionamiento de certificados. PEAP-MSCHAPv2 es una opción sólida para escenarios BYOD donde la implementación de certificados no es práctica: utiliza un certificado de servidor para establecer un túnel TLS y luego pasa las credenciales de usuario y contraseña dentro de ese túnel. Evite por completo los protocolos heredados como LEAP o EAP-MD5; son criptográficamente débiles y no deben utilizarse en ninguna implementación moderna. Hablemos de la implementación. Siempre recomiendo un enfoque por fases. La fase uno es la Integración de Fuentes de Identidad. Sus políticas RADIUS son tan buenas como su directorio subyacente. Asegúrese de que sus grupos de Active Directory o Entra ID sean lógicos, estén bien estructurados y se asignen directamente a los segmentos de red previstos. Audite sus grupos antes de comenzar. Elimine las cuentas inactivas, consolide los grupos que se traslapen y establezca niveles de acceso claros: Ejecutivo, Personal, Contratista, Invitado e IoT. Para redes orientadas al público, plataformas como Purple actúan como un proveedor de identidad, cerrando la brecha entre el acceso de invitados públicos y los marcos de autenticación seguros. La fase dos es la Configuración de Políticas. Cree políticas que evalúen múltiples factores contextuales, no solo las credenciales. Evalúe el NAS-IP-Address (que es la IP del autenticador) para entender de qué ubicación física proviene la solicitud. Evalúe el Called-Station-Id, que contiene el nombre del SSID, para entender a qué red se está conectando el usuario. Evalúe la hora del día. El perfil de acceso de un contratista a las dos de la mañana debería verse muy diferente de su acceso a las de nueve de la mañana. Combine estas condiciones para crear políticas que realmente reconozcan el contexto. La fase tres es el despliegue. Y no puedo enfatizar esto lo suficiente: nunca implemente el cumplimiento de 802.1X en toda una empresa de forma simultánea. Comience en modo de monitoreo. En el modo de monitoreo, los fallos de autenticación se registran pero se sigue otorgando el acceso. Esto le brinda visibilidad sobre suplicantes mal configurados, dispositivos con certificados vencidos y equipos heredados que no son compatibles con 802.1X. Pase de dos a cuatro semanas en modo de monitoreo, resuelva los problemas que encuentre y luego comience a aplicar las políticas ubicación por ubicación. Ahora, hablemos de las mejores prácticas y de los errores comunes que suelen atrapar a los equipos. La causa número uno de una falla catastrófica de autenticación en un entorno 802.1X es un certificado vencido. Ya sea que venza el certificado del servidor RADIUS o el certificado de la CA raíz. Cuando eso sucede, cada dispositivo que valide el certificado del servidor no podrá conectarse. Implemente una gestión sólida del ciclo de vida de los certificados. Configure alertas automatizadas a los noventa, sesenta y treinta días antes del vencimiento. Convierta la renovación de certificados en una tarea operativa programada, no en una emergencia reactiva. El segundo gran desafío es el IoT. Muchos dispositivos (impresoras, cámaras, equipos médicos, sistemas de gestión de edificios) simplemente no son compatibles con 802.1X. Para estos, debe utilizar MAC Authentication Bypass, o MAB. La dirección MAC del dispositivo se utiliza como su credencial. Pero recuerde esta regla: nunca confíe en la MAC. Las direcciones MAC se pueden suplantar de forma trivial. Utilice MAB solo cuando sea absolutamente necesario, y coloque siempre esos dispositivos en VLAN aisladas y muy restringidas con ACL estrictas que permitan solo el tráfico específico que esos dispositivos necesitan para funcionar. El tercer obstáculo es la configuración incorrecta del suplicante. Los dispositivos del usuario final pueden estar configurados para validar el certificado del servidor pero carecen de la CA raíz necesaria en su almacén de confianza. Esto hace que el dispositivo rechace el certificado del servidor y no pueda conectarse. La solución es utilizar MDM para enviar perfiles de WiFi estandarizados a todos los dispositivos corporativos, garantizando que se confíe en la CA raíz correcta y que se configure el método EAP adecuado. Finalmente, considere su ruta de red. La alta latencia entre el autenticador y el servidor RADIUS puede causar tiempos de espera de EAP, lo que resulta en conexiones fallidas. Para empresas distribuidas con muchas ubicaciones remotas, asegúrese de que su arquitectura WAN proporcione conectividad de baja latencia a sus servicios AAA centralizados. Pasemos al ROI y al impacto empresarial. ¿Por qué hacer todo este esfuerzo? Primero, reducción de los costos operativos. Consolidar múltiples SSID en una sola red 802.1X con asignación dinámica de VLAN mejora el rendimiento de la red inalámbrica y reduce la complejidad de la gestión. Menos SSID significa menos sobrecarga de balizas (beacons), más tiempo de aire disponible y un mejor rendimiento para sus usuarios. Segundo, cumplimiento. Si se encuentra en el sector de retail, la segmentación estricta de la red es un requisito de PCI DSS. Si está en el sector de la salud, es un requisito para HIPAA. Las políticas de RADIUS proporcionan los controles verificables y auditables que necesita para aprobar las auditorías de cumplimiento y evitar sanciones financieras significativas. Tercero, la experiencia del usuario. La autenticación fluida y segura (particularmente a través de EAP-TLS o OpenRoaming) elimina la fricción de los Captive Portals para los usuarios corporativos recurrentes y los invitados VIP. En entornos de hotelería y transporte, esto influye directamente en los puntajes de satisfacción y en la repetición de negocios. Ahora, pasemos a nuestra sesión de preguntas y respuestas rápidas. Pregunta: 'Tenemos muchos dispositivos heredados. ¿Deberíamos seguir con WPA2-PSK por simplicidad?' Answer: No. Transition your capable devices to 802.1X and use MAB for the legacy devices, placing them in isolated segments. A single compromised PSK puts your entire network at risk. That is not a trade-off worth making. Question: 'How does Purple fit into a RADIUS deployment?' Answer: Purple provides deep analytics on authentication trends, session durations, and roaming behaviour, which is critical for optimising your deployment. Plus, as an identity provider for OpenRoaming, it streamlines secure access for guests without the friction of a traditional Captive Portal. Question: 'What is the quickest win for a team just starting this journey?' Answer: Deploy RADIUS in monitor mode this week. You will immediately gain visibility into your authentication landscape and identify the devices and users that will need attention before you enforce policies. Knowledge is the first step. In summary, configuring RADIUS policies for fine-grained network access control is a strategic investment in your network's security, performance, and compliance posture. Start with a clean, well-structured identity directory. Leverage dynamic VLAN assignment to consolidate your SSIDs and optimise your RF environment. Prioritise certificate-based authentication for corporate devices. Use MAB sparingly and securely for IoT. And always roll out in phases, starting with monitor mode. Thank you for joining this Purple Technical Briefing. For more detailed guides, implementation strategies, and to explore how Purple's guest WiFi and analytics platform can integrate with your network access control architecture, visit purple dot ai.