Saltar al contenido principal
Español (México)

NAC (Network Access Control) explicado

Una referencia técnica autorizada para líderes de TI sobre Network Access Control (NAC), que explica su arquitectura, modelos de implementación y su papel crítico en la seguridad de WiFi empresarial. Esta guía proporciona información práctica para asegurar el acceso a la red en entornos de hospitalidad, retail y corporativos, detallando cómo plataformas como Purple se integran para hacer cumplir políticas de acceso robustas.

📖 7 min de lectura📝 1,579 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
[Música de introducción: melodía brillante, profesional y de enfoque tecnológico, disminuye gradualmente después de 5 segundos] **Anfitrión (Voz segura, autoritaria, inglés británico):** Hola y bienvenidos al Informe Técnico de Purple. Soy su anfitrión, y en los próximos diez minutos, ofreceremos una perspectiva general de nivel directivo sobre un tema de seguridad crítico: el Control de Acceso a la Red, o NAC. Si usted es gerente de TI, arquitecto o CTO responsable de la red de su organización, esto es para usted. Dejaremos de lado los tecnicismos para enfocarnos en qué es NAC, por qué es importante para su estrategia de WiFi y cómo abordar su implementación. **(Minuto 1 - Introducción y contexto)** Entonces, ¿cuál es el problema que realmente resuelve NAC? Durante años, protegimos nuestras redes con una contraseña sencilla. Pero hoy en día, con el personal, los invitados, los contratistas y una avalancha de dispositivos IoT que buscan acceso, ese único punto de falla ya no es defendible. NAC nos traslada de un modelo basado en contraseñas a un modelo basado en la identidad. Deja de preguntar "¿cuál es la contraseña?" y comienza a preguntar "¿quién eres, qué dispositivo estás usando y es seguro dejarte entrar?". Es el guardia de seguridad en la puerta de su entorno digital, que verifica identificaciones y garantiza el cumplimiento antes de permitir el acceso. **(Minuto 6 - Análisis técnico detallado)** Entremos en la arquitectura. El núcleo del NAC moderno es un estándar llamado IEEE 802.1X. Esto no es tan complejo como parece. Piense en ello como una conversación de tres partes. Primero, tiene al "Suplicante" (Supplicant): esa es la laptop o el teléfono que desea conectarse. Segundo, el "Autenticador" (Authenticator): su punto de acceso WiFi o switch. Y tercero, el "Servidor de Autenticación" (Authentication Server), que casi siempre es un servidor RADIUS. Cuando su laptop se conecta, el punto de acceso la detiene en la puerta y dice: "Espera un momento. Déjame consultar con mi jefe". Toma sus credenciales (idealmente un certificado digital, no una contraseña) y las pasa al servidor RADIUS. El servidor RADIUS verifica su identidad contra un directorio, como Active Directory. Pero aquí está la parte crucial. Una solución NAC adecuada no solo dice "sí" o "no". También realiza una verificación de estado de seguridad (posture check). Pregunta: ¿su antivirus está actualizado? ¿Su sistema operativo tiene los parches al día? ¿Su disco está cifrado? Si pasa tanto la verificación de identidad como la de estado, el servidor RADIUS le dice al punto de acceso: "Este es un dispositivo corporativo de confianza. Colócalo en la VLAN del personal". Si es un invitado, podría decir: "No conozco a esta persona. Redirígela al Captive Portal de Purple para que se registre". Y si su dispositivo no cumple con los requisitos, puede decir: "Este dispositivo no es seguro. Colócalo en la VLAN de cuarentena con acceso únicamente al servidor de remediación". Esta asignación dinámica basada en políticas es el superpoder de NAC. Es lo que le permite construir una red verdaderamente segmentada y de confianza cero (zero-trust). **(Minuto 8 - Recomendaciones de implementación y errores comunes)** Entonces, ¿cómo se implementa esto sin causar caos? Primero, no intente hacer todo a la vez. Comience en modo de solo monitoreo. Permita que la solución NAC escuche durante unas semanas para descubrir y perfilar cada uno de los dispositivos en su red. Se sorprenderá de lo que encuentre. Segundo, comience su aplicación en un segmento de bajo riesgo, como el WiFi de su propio equipo de TI. Pruebe sus políticas, perfecciónelas. Para sus dispositivos corporativos, opte por la autenticación basada en certificados. Es más segura y, una vez configurada, completamente transparente para el usuario. Para los invitados, un Captive Portal es la mejor opción. Aquí es donde entra una plataforma como Purple. Nosotros nos encargamos de la experiencia del invitado, el cumplimiento legal y la analítica, mientras que su infraestructura NAC central se encarga de la seguridad profunda de sus activos corporativos. El mayor error que vemos es la falta de planificación para la gestión de certificados y el lidiar con esos complicados dispositivos IoT sin interfaz de usuario que no son compatibles con 802.1X. Para esos, necesitará una estrategia que combine la autenticación MAC con el perfilado de dispositivos. **(Minuto 9 - Preguntas y respuestas rápidas)** Hagamos una sesión rápida de preguntas y respuestas. *Pregunta uno: ¿El NAC es solo para WiFi?* No, es tanto para redes cableadas como inalámbricas. Cualquier puerto en el que se pueda conectar un dispositivo debe estar protegido. *Pregunta dos: ¿Es esto demasiado complejo para una pequeña empresa?* Ya no. Las soluciones NAC basadas en la nube lo han hecho accesible sin necesidad de un rack de servidores locales. *Pregunta tres: ¿Esto reemplaza mi firewall?* Absolutamente no. Funciona en conjunto con su firewall. El NAC controla quién accede a la red y el firewall controla lo que pueden hacer una vez dentro. **(Minuto 10 - Resumen y próximos pasos)** En resumen: el Control de Acceso a la Red consiste en pasar de un modelo de contraseña obsoleto a un marco de seguridad moderno e impulsado por la identidad. Le permite autenticar, autorizar y auditar cada dispositivo en su red. Al utilizar estándares como 802.1X y herramientas como la evaluación de postura y VLANs dinámicas, puede construir una red que sea tanto más segura como más inteligente. ¿Su siguiente paso? Comience con el descubrimiento. No puede proteger lo que no puede ver. Identifique todo lo que hay en su red, defina sus roles y comience a crear sus políticas de acceso. Gracias por acompañarnos en este Purple Technical Briefing. Para obtener más información, visítenos en purple.ai. [Música de salida - Melodía brillante, profesional y de enfoque tecnológico, sube de volumen y suena durante 5 segundos antes de terminar]

header_image.png

Resumen Ejecutivo

El Network Access Control (NAC) ha evolucionado de ser una medida de seguridad de nicho a un componente fundamental de la estrategia de red empresarial moderna. Para los gerentes de TI, arquitectos de red y CTOs, implementar una solución NAC robusta ya no es una cuestión de si se debe hacer, sino de cuándo y cómo. Esta guía sirve como una referencia práctica y neutral respecto al proveedor para comprender y desplegar NAC, particularmente en el contexto de entornos WiFi complejos que se encuentran en hoteles, cadenas de retail y grandes recintos. Analizaremos los componentes principales de NAC, contrastándolo con los métodos de autenticación básicos para aclarar su valor en la mitigación de riesgos de seguridad. El enfoque se centra en resultados tangibles: lograr el cumplimiento de los endpoints, aplicar políticas de acceso granulares y proteger el perímetro de la red contra una gama cada vez mayor de dispositivos gestionados y no gestionados. Al ir más allá de los conceptos teóricos para abordar escenarios de despliegue del mundo real, este documento proporciona el marco necesario para tomar decisiones informadas, calcular el ROI y alinear la seguridad de la red con objetivos de negocio más amplios. También aclara dónde encajan las soluciones como la plataforma Purple dentro de una arquitectura NAC integral, cerrando la brecha entre el acceso de invitados, la seguridad del personal y la aplicación centralizada de políticas.

Inmersión Técnica Profunda

En su esencia, el Network Access Control es un paradigma de seguridad que busca unificar la seguridad de los endpoints (como el antivirus y la prevención de intrusiones en el host), la autenticación de usuarios o sistemas y la aplicación de la seguridad de la red. Mientras que una red WiFi tradicional protegida por contraseña solo pregunta "¿cuál es la contraseña?", una red habilitada para NAC hace una serie de preguntas más inteligentes: "¿Quién eres?", "¿Qué dispositivo estás usando?", "¿Cumple este dispositivo con nuestras políticas de seguridad?" y "¿A qué recursos estás autorizado a acceder?".

Los Componentes Principales: 802.1X y RADIUS

La piedra angular de la mayoría de las implementaciones modernas de NAC es el estándar IEEE 802.1X. Esto no es una sola tecnología, sino un marco para el control de acceso a la red basado en puertos. Involucra a tres participantes clave:

  1. Suplicante (Supplicant): El dispositivo cliente (por ejemplo, una laptop, un smartphone) que solicita acceso a la red.
  2. Autenticador (Authenticator): El hardware de red que protege la red, típicamente un punto de acceso WiFi o un switch. Actúa como un guardián, permitiendo o bloqueando el tráfico.
  3. Servidor de Autenticación (Authentication Server): El cerebro centralizado de la operación, casi siempre un servidor RADIUS (Remote Authentication Dial-In User Service). Valida las credenciales del suplicante e instruye al autenticador sobre qué nivel de acceso otorgar.

The process works through the Extensible Authentication Protocol (EAP), which allows for various authentication methods, from simple username/passwords (EAP-PEAP) to highly secure digital certificates (EAP-TLS). When a device connects, the authenticator blocks all traffic except for 802.1X communication. It relays the supplicant's credentials to the RADIUS server, which checks them against a directory (like Active Directory). If authentication is successful, the RADIUS server sends an "Access-Accept" message back to the authenticator, often including specific policy instructions, such as assigning the device to a particular VLAN.

architecture_overview.png

NAC vs. Autenticación de WiFi Básica: Una Distinción Crítica

Es crucial que los tomadores de decisiones entiendan que NAC no es simplemente una contraseña mejorada. La diferencia es fundamental para la postura de seguridad de la red.

comparison_chart.png

Como ilustra la comparación, NAC proporciona un control impulsado por la identidad que es imposible con credenciales compartidas. Mueve el perímetro de seguridad desde el borde de la red hacia el dispositivo individual, permitiendo un enfoque Zero Trust donde el acceso nunca se asume y siempre se verifica.

El Rol del Cumplimiento de Endpoints

Una solución NAC madura va más allá de la autenticación. Realiza una evaluación de postura en los dispositivos que se conectan para garantizar que cumplan con las políticas de seguridad predefinidas antes de que se les conceda el acceso. Esto puede incluir verificaciones de:

  • Nivel de Parches del Sistema Operativo: ¿El dispositivo está ejecutando las últimas actualizaciones de seguridad?
  • Software Antivirus: ¿Está instalado, ejecutándose y actualizado un cliente de AV aprobado?
  • Cifrado de Disco: ¿Está cifrado el disco duro del dispositivo?
  • Firewall de Host: ¿Está habilitado el firewall local?

Si un dispositivo falla estas verificaciones, se puede colocar en una VLAN de cuarentena con acceso limitado; tal vez solo a servidores de remediación donde el usuario pueda descargar las actualizaciones requeridas. Esta aplicación proactiva es una herramienta poderosa para prevenir la propagación de malware desde endpoints comprometidos.

Guía de Implementación

Implementar NAC es un proyecto estratégico, no una simple instalación de software. Se recomienda un enfoque por fases para minimizar las interrupciones y garantizar el éxito.

Fase 1: Descubrimiento y Definición de Políticas

Before enforcing anything, you must understand what is on your network. The initial phase should be a passive, discovery-only mode. The NAC solution will monitor network traffic to profile every connected device—from corporate laptops and staff smartphones to guest devices and IoT hardware like smart TVs, POS terminals, and HVAC systems. This visibility is critical for building a comprehensive access policy. During this phase, you will define roles (e.g., Corporate User, Guest, Contractor, IoT Device) and map out the access rights for each.

Phase 2: Phased Enforcement

Begin enforcement on a limited, low-risk segment of the network, such as the IT department's staff WiFi. This allows the team to refine policies and troubleshoot issues in a controlled environment. For corporate devices, deploying 802.1X with certificate-based authentication (EAP-TLS) is the gold standard, offering the most secure and seamless user experience. For guest and BYOD access, a captive portal approach is more practical.

Phase 3: Integrating Guest and Staff Access with Purple

In venues with distinct user populations, separating guest and staff traffic is paramount. This is where a platform like Purple integrates into the NAC architecture. The NAC policy on the authenticator (AP/switch) can identify guest traffic and redirect it to the Purple captive portal for authentication and policy acceptance. Meanwhile, staff devices can be authenticated silently via 802.1X against a RADIUS server.

purple_nac_deployment.png

This hybrid model provides the best of both worlds:

  • Guest Network: Managed by Purple for a branded user journey, social login options, data analytics, and compliance with data privacy regulations like GDPR. The underlying network is isolated in a guest VLAN.
  • Staff Network: Secured via 802.1X for robust, certificate-based authentication, with devices placed into a corporate VLAN with access to internal resources.
  • IoT/Operational Network: Devices like POS terminals or building management systems are placed in their own highly restricted VLAN, often using MAC-based authentication as a baseline control.

Phase 4: Full Deployment and Monitoring

Once the policies have been validated and the integration tested, enforcement can be rolled out across the entire organization. Continuous monitoring is essential. The NAC dashboard becomes a primary tool for security operations, providing real-time visibility into network access events, compliance status, and potential threats.

Best Practices

  • Prioritize Certificate-Based Authentication (EAP-TLS): For corporate-managed devices, avoid passwords. Certificates are more secure and provide a frictionless user experience.
  • Implemente el direccionamiento dinámico de VLAN: Utilice atributos RADIUS para asignar automáticamente los dispositivos al segmento de red correcto según su rol y postura. Esta es la esencia de la aplicación de políticas.
  • Diseñe para fallas: ¿Qué sucede si el servidor RADIUS no está disponible? Configure los autenticadores para que fallen en modo abierto (permitir el acceso, menos seguro) o en modo cerrado (denegar el acceso, más seguro) según una evaluación de riesgos del segmento de red específico.
  • No intente abarcarlo todo a la vez: Comience con una política simple y vaya iterando. Un punto de partida común es aplicar verificaciones de postura para los dispositivos corporativos y proporcionar un acceso básico solo a Internet para los invitados.
  • Intégrelo con su ecosistema de seguridad: Una solución NAC moderna debe integrarse con firewalls, SIEM y herramientas de gestión de endpoints para permitir una respuesta automatizada ante amenazas. Por ejemplo, si un firewall detecta tráfico malicioso de un endpoint, puede enviar una señal a la solución NAC para poner ese dispositivo en cuarentena automáticamente.

Resolución de problemas y mitigación de riesgos

  • Problemas del suplicante 802.1X: El dolor de cabeza más común es el soporte inconsistente para 802.1X en diferentes sistemas operativos y controladores de dispositivos. Asegúrese de que los dispositivos estén configurados correctamente a través de MDM o GPO.
  • Gestión de certificados: EAP-TLS requiere una infraestructura de clave pública (PKI). Gestionar el ciclo de vida de los certificados (emisión, renovación, revocación) puede ser complejo. Planifique este costo operativo adicional.
  • Aleatorización de direcciones MAC: Los dispositivos móviles modernos (iOS, Android) utilizan direcciones MAC aleatorias para evitar el rastreo, lo que puede romper las reglas de autenticación basadas en MAC. Para las redes de invitados, esto refuerza la necesidad de un inicio de sesión basado en portal. Para el BYOD corporativo, requiere un flujo de autenticación basado en el usuario.
  • Incorporación de IoT: Muchos dispositivos IoT no son compatibles con 802.1X. A menudo se requiere una combinación de autenticación basada en MAC y creación de perfiles. La solución NAC debe ser capaz de identificar un dispositivo como, por ejemplo, una Smart TV de Samsung y asignarlo automáticamente a la VLAN de IoT adecuada.

ROI e impacto empresarial

Invertir en NAC no es solo un gasto de seguridad; ofrece un valor empresarial tangible.

Área de impacto empresarial Métrica de medición Resultado esperado
Mitigación de riesgos Reducción de incidentes de seguridad originados por endpoints comprometidos. Menor costo de remediación de brechas y recuperación de datos.
Cumplimiento Auditorías exitosas de PCI DSS, GDPR, HIPAA. Prevención de multas regulatorias y daños a la reputación.
Eficiencia operativa Reducción de tickets de soporte de TI por problemas de acceso a la red. La automatización de la incorporación y la aplicación de políticas libera al personal de TI para proyectos estratégicos.
Experiencia del usuario Experiencia de conexión más rápida y fluida para el personal. Mayor productividad y menor frustración de los usuarios.
Inteligencia empresarial (Con Purple) Análisis detallados sobre el comportamiento y la demografía de los invitados. Decisiones basadas en datos para marketing, operaciones y diseño del establecimiento.

Al cuantificar estos beneficios, los líderes de TI pueden construir un caso de negocio convincente para la implementación de NAC, presentándolo como un habilitador estratégico de un espacio de trabajo digital seguro y eficiente.

Referencias

[1] IBM, "Cost of a Data Breach Report 2023." [2] PCI Security Standards Council, "Guidance for PCI DSS Scoping and Network Segmentation." [3] IEEE, "IEEE 802.1X-2020 - IEEE Standard for Port-Based Network Access Control."

Definiciones clave

Network Access Control (NAC)

Una solución de seguridad de red que utiliza un conjunto de protocolos para definir e implementar una política que describe cómo asegurar el acceso de los dispositivos a los nodos de red cuando intentan acceder a ella por primera vez.

Los equipos de TI implementan NAC para evitar que usuarios no autorizados y dispositivos que no cumplen con las políticas accedan a las redes corporativas o privadas, reduciendo así la superficie de ataque.

IEEE 802.1X

Un estándar IEEE para el Control de Acceso a Red basado en puertos (PNAC). Forma parte del grupo de protocolos de red IEEE 802.1 y proporciona un mecanismo de autenticación para los dispositivos que desean conectarse a una LAN o WLAN.

Este es el estándar fundamental para la autenticación de nivel empresarial tanto en redes cableadas como inalámbricas, lo que permite la verificación de identidad por usuario y por dispositivo.

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red que proporciona una gestión centralizada de Autenticación, Autorización y Contabilidad (AAA) para los usuarios y dispositivos que se conectan y utilizan un servicio de red.

En una arquitectura NAC, el servidor RADIUS es el cerebro. Recibe solicitudes de autenticación de switches y AP, valida las credenciales contra un directorio de usuarios y devuelve las decisiones de política.

Endpoint Compliance (Posture Assessment)

El proceso de verificación de un dispositivo durante la autenticación para garantizar que cumple con un conjunto predefinido de políticas de seguridad, como tener un sistema operativo actualizado, antivirus activo y firewall habilitado.

Esta es una característica clave de las soluciones NAC avanzadas. Garantiza que un dispositivo no solo esté autorizado, sino que también sea seguro antes de permitirle el acceso a la red, evitando la propagación de malware.

VLAN (Virtual Local Area Network)

Una agrupación lógica de dispositivos en el mismo dominio de difusión. Las VLANs se configuran normalmente en los switches colocando algunas interfaces en un dominio de difusión y otras en otro.

NAC utiliza VLANs como herramienta principal de aplicación de políticas. Según la identidad y el estado del dispositivo, la solución NAC indica al switch que lo coloque en una VLAN específica (por ejemplo, "Invitado", "Corporativo"), segmentando la red de manera efectiva.

Captive Portal

Una página web que el usuario de una red de acceso público está obligado a ver e interactuar con ella antes de que se le conceda el acceso. Los Captive Portals suelen ser utilizados por centros de negocios, aeropuertos, vestíbulos de hoteles y otros lugares que ofrecen Wi-Fi gratuito.

Aunque no son tan seguros como 802.1X, los Captive Portals son el estándar para la autenticación de invitados. Plataformas como Purple los utilizan para gestionar los términos de servicio, recopilar datos de marketing y aplicar políticas de acceso para usuarios no corporativos.

EAP (Extensible Authentication Protocol)

Un marco de autenticación utilizado con frecuencia en conexiones de red e internet. Está definido en RFC 3748 y proporciona una forma estándar para que se utilicen diferentes métodos de autenticación dentro del marco 802.1X.

Los arquitectos de TI eligen diferentes tipos de EAP según las necesidades de seguridad. EAP-TLS (que utiliza certificados) es altamente seguro, mientras que PEAP (que utiliza contraseñas) es más fácil de implementar pero menos seguro.

PCI DSS

El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago. Un conjunto de estándares de seguridad diseñados para garantizar que todas las empresas que aceptan, procesan, almacenan o transmiten información de tarjetas de crédito mantengan un entorno seguro.

Un factor clave para la implementación de NAC en el sector minorista y de hospitalidad es el requisito 1.2.1 de PCI DSS, que exige la segmentación de la red donde se almacenan los datos de los titulares de tarjetas de las redes de invitados u otras redes.

Ejemplos resueltos

A 500-room luxury hotel needs to provide secure WiFi for guests, staff, and a growing number of IoT devices (smart TVs, thermostats, mini-bar sensors) while ensuring PCI DSS compliance for its payment systems.

  1. Network Segmentation: Deploy a NAC solution to create distinct SSIDs and VLANs: "HotelGuest", "HotelStaff", and "HotelIoT". A fourth, wired-only VLAN is created for the PCI-compliant payment terminals.
  2. Guest Access: The "HotelGuest" SSID redirects users to a Purple Captive Portal. Guests authenticate via social login or an email form, accepting the terms of service. Purple manages GDPR consent and provides the hotel with visitor analytics. The NAC policy places all guest devices into the Guest VLAN, which has internet-only access and is isolated from all internal hotel systems.
  3. Staff Access: The "HotelStaff" SSID is configured for WPA3-Enterprise with 802.1X EAP-TLS. Corporate-issued devices (laptops, tablets) are provisioned with client certificates via an MDM solution. When staff connect, their device is authenticated by the RADIUS server and placed into the Staff VLAN, granting access to internal resources like the Property Management System (PMS).
  4. IoT Access: The "HotelIoT" SSID uses MAC authentication. The MAC addresses of all deployed IoT devices are pre-registered in the NAC system. When a smart TV connects, its MAC is verified, and it is placed in the IoT VLAN, which only has access to its specific management server and is blocked from both the guest and staff networks.
Comentario del examinador: This tiered approach correctly applies the principle of least privilege. It uses the most appropriate authentication method for each user and device type, balancing security and usability. Integrating Purple for the guest experience offloads the complexity of consent management and provides valuable marketing data, while the robust 802.1X framework secures sensitive corporate traffic. This segmentation is critical for achieving PCI DSS compliance by isolating the payment systems from all other networks.

A multi-site retail chain with 150 stores wants to replace its insecure, shared WPA2-PSK network. They need to secure corporate devices, provide guest WiFi, and ensure that in-store POS terminals are isolated.

  1. Centralized RADIUS: A cloud-hosted RADIUS server is deployed to manage authentication for all 150 stores, ensuring consistent policy application.
  2. Corporate Devices: Store manager tablets and employee handheld scanners are configured via MDM to connect to a "Corporate" SSID using 802.1X certificate-based authentication. The NAC policy also performs a posture check to ensure the devices are running the company's approved software version.
  3. Guest WiFi: A public "RetailGuest" SSID uses a Captive Portal (like Purple) to provide internet access. This isolates guest traffic and allows the chain to run targeted marketing campaigns based on location analytics.
  4. POS Terminal Isolation: The POS terminals are connected via wired ports. The switch ports are configured with MAC-based authentication, locking them to the specific MAC addresses of the terminals. These ports are assigned to a dedicated, highly restricted PCI VLAN that can only communicate with the payment processor.
  5. Phased Rollout: The solution is first deployed to a single pilot store. Once validated, the configuration is pushed remotely to the other 149 stores, leveraging the centralized NAC and MDM platforms.
Comentario del examinador: The key to success in this multi-site scenario is centralization. A cloud-based NAC and RADIUS solution avoids the need for dedicated servers in each store, dramatically reducing cost and management overhead. The use of wired connections and MAC authentication for the static POS terminals is a robust and practical solution for PCI compliance. The phased rollout is a critical risk mitigation strategy for a project of this scale.

Preguntas de práctica

Q1. Un estadio albergará un evento deportivo importante y necesita proporcionar WiFi para los aficionados, la prensa y el personal operativo. La prensa requiere un mayor ancho de banda y acceso a servidores de medios específicos. ¿Cómo diseñaría la política de acceso a la red?

Sugerencia: Considere utilizar diferentes SSIDs y direccionamiento de VLAN basado en RADIUS.

Ver respuesta modelo
  1. WiFi para aficionados: Un SSID abierto, "StadiumFanWiFi", redirige a todos los usuarios a un Captive Portal para su autenticación. El portal puede gestionar conexiones de alta densidad y aplicar limitación de ancho de banda para garantizar un uso justo. Todos los aficionados se ubican en una VLAN de acceso general, solo para internet.
  2. WiFi para prensa: Un SSID oculto, "StadiumPress", se protege con WPA2/3-Enterprise (802.1X). Se proporcionan credenciales a los miembros de la prensa previamente registrados. Tras la autenticación, el servidor RADIUS los identifica como parte del grupo "Prensa" y los asigna a una VLAN de prensa dedicada. Esta VLAN tiene un perfil de QoS más alto y acceso a los servidores de medios internos.
  3. WiFi para el personal: Un tercer SSID oculto, "StadiumOps", también utiliza 802.1X para el personal operativo. Se les asigna a una VLAN de operaciones segura con acceso a los sistemas de boletaje, seguridad y gestión del edificio.

Q2. Su empresa está implementando una política BYOD (Bring Your Own Device). Un empleado desea conectar su laptop personal a la red corporativa. ¿Cuáles son las comprobaciones de postura mínimas que su solución NAC debería realizar antes de otorgar el acceso?

Sugerencia: Piense en los vectores más comunes para el malware y la fuga de datos.

Ver respuesta modelo

La evaluación de postura mínima para un dispositivo BYOD debe incluir:

  1. Firewall funcional: El firewall basado en el host del dispositivo debe estar habilitado para evitar conexiones entrantes no solicitadas.
  2. Antivirus actualizado: Se debe instalar y ejecutar una solución antivirus aprobada, la cual debe haber recibido actualizaciones de firmas dentro de las últimas 24 a 48 horas.
  3. Actualizaciones del sistema operativo: El sistema operativo debe tener instalados todos los parches de seguridad críticos. La política podría especificar que el sistema operativo no debe tener más de un mes de retraso con respecto a la última versión del parche.
  4. Sin software no aprobado: Una comprobación de aplicaciones prohibidas específicas, como clientes de intercambio de archivos peer-to-peer, que podrían introducir riesgos. Si el dispositivo falla alguna de estas comprobaciones, se le debe denegar el acceso o colocarlo en una VLAN de remediación.

Q3. Un hospital desea implementar nuevas bombas de infusión conectadas por WiFi. Estos dispositivos no admiten 802.1X. ¿Cómo puede incorporarlos y gestionarlos de forma segura utilizando una solución NAC?

Sugerencia: Considere un enfoque de múltiples factores para dispositivos sin interfaz de usuario que no admiten autenticación avanzada.

Ver respuesta modelo

Dado que las bombas no admiten 802.1X, se necesita un enfoque por capas:

  1. Autenticación MAC: Registre la dirección MAC de cada bomba de infusión en el sistema NAC. Esto proporciona un nivel básico de identidad.
  2. Perfilado de dispositivos: La solución NAC debe configurarse para perfilar el dispositivo en función de su tráfico de red (por ejemplo, la huella digital DHCP, los protocolos utilizados). Debe identificar el dispositivo como "Bomba de infusión Modelo X".
  3. Política combinada: Cree una política que requiera TANTO que la dirección MAC esté en la lista de permitidos COMO que el perfil del dispositivo coincida con la huella digital esperada. Esto evita la suplantación de MAC, ya que la laptop de un atacante podría tener una MAC válida pero no se comportará como una bomba de infusión en la red.
  4. VLAN y ACL estrictas: Una vez autenticada, la bomba se coloca en una VLAN "Medical_IoT" altamente restringida. Se aplica una Lista de Control de Acceso (ACL) a su tráfico, permitiéndole comunicarse ÚNICAMENTE con la dirección IP específica del servidor de gestión de bombas de infusión y nada más. Todo el demás tráfico se deniega explícitamente.

Continúe leyendo esta serie

How to Configure SCEP for Automated Enterprise WiFi Certificate Enrollment

Esta guía explica cómo configurar SCEP (Simple Certificate Enrollment Protocol) para el registro automatizado de certificados de WiFi empresariales, abarcando toda la arquitectura desde PKI y NDES hasta la implementación de perfiles MDM y la validación RADIUS. Está dirigida a gerentes de TI, arquitectos de red y CTOs en hoteles, cadenas de retail, estadios, centros de convenciones y organizaciones del sector público que necesitan ir más allá de las claves precompartidas e implementar una autenticación 802.1X EAP-TLS escalable y basada en la identidad. La plataforma de superposición en la nube de Purple, que es agnóstica al hardware, se integra directamente con esta arquitectura, proporcionando la capa de WiFi para invitados y BYOD que coexiste junto con la red de personal autenticada por certificado.

Leer la guía →

La guía empresarial de SCEP: Implementación de Simple Certificate Enrollment Protocol para la seguridad automatizada de WiFi en campus

Esta guía de referencia técnica proporciona un diseño arquitectónico definitivo y una estrategia de implementación paso a paso para la distribución de certificados de WiFi empresarial mediante SCEP. Cubre las diferencias críticas entre SCEP y PKCS, la secuencia exacta de implementación requerida para el éxito y las estrategias de mitigación de riesgos del mundo real para los líderes de TI.

Leer la guía →

Cómo implementar SCEP para la inscripción automatizada de certificados WiFi

Esta guía explica cómo implementar SCEP (Simple Certificate Enrollment Protocol) para la inscripción automatizada de certificados WiFi en entornos empresariales. Cubre el diseño completo de la arquitectura, desde el diseño de PKI y la integración con MDM hasta la secuencia obligatoria de implementación de tres pasos, y muestra a los gerentes de TI y arquitectos de red cómo eliminar las credenciales compartidas, automatizar la gestión del ciclo de vida de los certificados y cumplir con los requisitos de PCI DSS y GDPR a escala.

Leer la guía →