Saltar al contenido principal
Español (México)

Entendiendo Cisco SUDI: Identidad de Dispositivo Basada en Hardware en el Control de Acceso a la Red

Esta guía detalla la arquitectura técnica de Cisco SUDI, explicando cómo la identidad anclada en hardware asegura el control de acceso a la red. Proporciona pasos de implementación prácticos para que los líderes de TI desplieguen la autenticación 802.1X EAP-TLS y automaticen el Zero Touch Provisioning en entornos empresariales.

📖 6 min de lectura📝 1,346 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
Entendiendo Cisco SUDI: Identidad de Dispositivo Basada en Hardware en el Control de Acceso a la Red Un Informe Técnico de Purple - Guion Completo del Podcast (aprox. 10 minutos) --- SEGMENTO 1: INTRODUCCIÓN Y CONTEXTO (aprox. 1 minuto) Hola y bienvenidos a un informe técnico de Purple. Voy a pasar los próximos diez minutos explicándoles Cisco SUDI (Secure Unique Device Identifier), qué es en realidad, cómo encaja en su arquitectura de control de acceso a la red y qué deben hacer al respecto si operan infraestructura de Cisco a gran escala. Esto está dirigido a arquitectos de red, gerentes de TI y directores de tecnología (CTO) en recintos (hoteles, complejos comerciales, estadios, centros de conferencias), en cualquier lugar donde operen WiFi empresarial y necesiten tener la certeza de que el hardware de su red es exactamente lo que afirma ser. Comencemos con el problema que resuelve SUDI. En cualquier red de un recinto grande, se tienen decenas o cientos de puntos de acceso, switches y controladores. La pregunta de la que depende su postura de seguridad es: ¿cómo sabe que cada uno de esos dispositivos es un producto Cisco genuino y no modificado, y no una imitación, una unidad comprometida o un dispositivo que ha sido alterado en tránsito? Ese es el vacío que cierra SUDI. --- SEGMENTO 2: ANÁLISIS TÉCNICO DETALLADO (aprox. 5 minutos) SUDI significa Secure Unique Device Identifier (Identificador Único de Dispositivo Seguro). Es un certificado X.509 versión 3 (el mismo formato de certificado utilizado en HTTPS y TLS), pero en lugar de emitirse a una persona o a un servidor, se emite a una pieza de hardware específica durante su fabricación. Contiene el identificador de producto y el número de serie del dispositivo, y está arraigado en la propia infraestructura de clave pública de Cisco. Esto es lo que diferencia a SUDI de un certificado de software que usted mismo instalaría. El certificado SUDI, junto con su par de claves asociado, reside dentro de un chip resistente a manipulaciones llamado módulo Trust Anchor, o TAm. La clave privada se genera dentro de ese chip y nunca sale de él. No se puede exportar. No se puede clonar. Si alguien manipula físicamente el chip, la clave se destruye. Esa es la raíz de confianza basada en hardware. SUDI es la implementación de Cisco del estándar IEEE 802.1AR, el estándar de la industria para Identificadores de Dispositivos Seguros, o DevIDs. Bajo el estándar 802.1AR, la credencial instalada por el fabricante se denomina Identificador Inicial de Dispositivo, o IDevID. El SUDI de Cisco es exactamente eso: un IDevID que Cisco instala en la fábrica. Puede complementarlo con un Identificador de Dispositivo Localmente Significativo, o LDevID, que emite su propia PKI para políticas de autorización locales. Ahora, ¿cómo se conecta esto con el control de acceso a la red? El punto de integración más común es IEEE 802.1X, el estándar de control de acceso a la red basado en puertos. Cuando un punto de acceso o switch de Cisco se conecta, puede presentar su certificado SUDI a un servidor RADIUS (normalmente Cisco ISE, Identity Services Engine) utilizando EAP-TLS, que es el Protocolo de Autenticación Extensible con Seguridad en la Capa de Transporte. El servidor RADIUS valida el certificado frente a la autoridad de certificación pública de Cisco, confirma que el dispositivo es original y luego aplica la política de red adecuada. Esto es significativamente más sólido que la omisión de direcciones MAC (MAC address bypass), que es la alternativa que la mayoría de las redes utilizan para los dispositivos de infraestructura. Las direcciones MAC se pueden suplantar en menos de un minuto. Un certificado vinculado al hardware en un chip resistente a manipulaciones no se puede suplantar sin destruir físicamente el dispositivo. En el contexto de un recinto, esto es importante por tres razones. Primero, elimina el riesgo de que puntos de acceso no autorizados se unan a su red. Un dispositivo falsificado o no autorizado simplemente no puede presentar un SUDI válido. Segundo, permite el aprovisionamiento automatizado y sin intervención (Zero Touch Provisioning): un nuevo dispositivo se envía a su recinto, se enciende, presenta su SUDI y su sistema de gestión lo verifica contra su inventario antes de enviar la configuración. Sin intervención manual. Tercero, le brinda un registro de auditoría verificable criptográficamente. Cada dispositivo que se autenticó en su red lo hizo con un certificado que demuestra que es un producto Cisco específico y con nombre. Permítame hablar sobre el módulo Trust Anchor con un poco más de detalle, porque es la base sobre la que se asienta todo lo demás. El TAm es un chip patentado de Cisco que proporciona tres cosas: almacenamiento seguro no volátil para el SUDI y las claves, servicios criptográficos que incluyen la generación de números aleatorios y la huella digital del hardware. Vale la pena destacar esto último: Cisco registra la huella digital de los componentes de hardware críticos de un dispositivo durante la fabricación y la almacena en el TAm. Cuando el dispositivo arranca, compara la huella digital del hardware detectada con la almacenada. Si no coinciden, el dispositivo no arrancará. Esto detecta la manipulación del hardware en tránsito, una preocupación real para implementaciones en grandes recintos donde el hardware puede pasar por varias manos antes de la instalación. Un problema operativo que debe tener en cuenta: los certificados SUDI emitidos antes de mayo de 2019 vencen a los diez años de la fecha de fabricación o el 14 de mayo de 2029, lo que ocurra primero. Cisco ha solucionado esto con una nueva generación de certificados llamada SUDI-2099, válidos hasta diciembre de 2099. Si tiene hardware de la serie Catalyst 9000 fabricado antes de 2019, debe verificar las fechas de vencimiento de su SUDI ahora mismo. El comando es show crypto pki certificate en IOS-XE. Busque el trustpoint CISCO_IDEVID_SUDI y verifique la fecha de finalización. Si utiliza Catalyst 9200, actualice a IOS-XE 17.12.2 o posterior para asegurarse de que está utilizando el certificado 2099 correcto. --- SEGMENTO 3: RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES (aprox. 2 minutos) Permítame darle un panorama de la implementación práctica. Si está desplegando autenticación basada en SUDI en el entorno de un establecimiento, esta es la secuencia que funciona. Comience con su infraestructura RADIUS. Cisco ISE es la opción natural si ya se encuentra en el ecosistema de Cisco, pero cualquier servidor RADIUS que admita EAP-TLS y pueda validar contra una CA externa funcionará. Necesita importar la CA raíz de Cisco y los certificados de la CA ACT2 SUDI en su almacén de confianza de RADIUS. Estos están disponibles públicamente en el portal PKI de Cisco. Luego, configure su política 802.1X para requerir autenticación basada en certificados para los dispositivos de infraestructura. Separe esto de su política de autenticación de usuarios finales: los flujos de autenticación de personal y de invitados son diferentes y deben estar en conjuntos de políticas distintos en ISE. Para nuevos despliegues, habilite Zero Touch Provisioning. Su sistema de gestión de red (Cisco DNA Centre o Catalyst Centre) puede utilizar SUDI para verificar la identidad del dispositivo antes de enviar la configuración. Esto elimina el proceso de preparación manual y reduce el tiempo de aprovisionamiento de horas a minutos por dispositivo. Ahora, los errores comunes. El más frecuente que veo es mezclar la autenticación SUDI con la omisión de dirección MAC en el mismo puerto. Si recurre a MAB cuando falla SUDI, habrá debilitado el modelo de seguridad. Defina una política clara: los dispositivos compatibles con SUDI deben autenticarse a través de SUDI, y punto. Los dispositivos que no son compatibles con SUDI van a una VLAN de cuarentena en espera de una revisión manual. El segundo error común es el vencimiento de los certificados. Configure el monitoreo de las fechas de vencimiento de SUDI en toda su infraestructura ahora mismo. No espere a que ocurra una interrupción del servicio para descubrir que sus puntos de acceso ya no pueden autenticarse. La plataforma de Purple se integra con Cisco Meraki y otros proveedores de hardware para mostrar las señales de salud de los dispositivos (incluido el estado de autenticación) en un único panel de control, lo que hace que este tipo de monitoreo proactivo sea práctico a gran escala. El tercer error común es la pérdida de enfoque del alcance. SUDI autentica el dispositivo de hardware. No autentica al usuario que se conecta a través de ese dispositivo. Aún necesita una capa de identidad independiente para invitados, personal y residentes. Ahí es donde entra una plataforma como Purple: nosotros nos encargamos de la capa de identidad humana, la captura de consentimiento, la asignación de VLAN para el tráfico de invitados y la analítica, mientras que SUDI se encarga de la capa de infraestructura subyacente. --- SEGMENTO 4: PREGUNTAS Y RESPUESTAS RÁPIDAS (aprox. 1 minuto) Permítame responder rápidamente a tres preguntas que me hacen con frecuencia. ¿SUDI reemplaza mi PKI existente? No. SUDI es un IDevID instalado por el fabricante. Demuestra que el dispositivo es hardware genuino de Cisco. Su PKI empresarial emite LDevIDs y certificados de usuario para todo lo demás. Funcionan en paralelo. ¿Puedo usar SUDI en hardware que no sea de Cisco? No. SUDI es específico de Cisco. HPE Aruba tiene un equivalente llamado certificados de aprovisionamiento IAP. Ruckus y Juniper Mist tienen sus propios mecanismos de identidad de dispositivos. El estándar subyacente (IEEE 802.1AR) es neutral en cuanto al proveedor, pero cada fabricante lo implementa de manera diferente. ¿Qué sucede cuando un certificado SUDI expira? Los servicios que dependen de SUDI para la autenticación (HTTPS, SSH con autenticación de certificado, Zero Touch Provisioning) fallarán. El dispositivo en sí continúa funcionando, pero ya no puede probar su identidad de manera criptográfica. Es por eso que la migración a SUDI-2099 es tan importante. --- SEGMENTO 5: RESUMEN Y PRÓXIMOS PASOS (aprox. 1 minuto) Para resumir: Cisco SUDI le brinda una identidad de dispositivo arraigada en el hardware que no se puede suplantar, clonar ni exportar. Es la base de una capa de infraestructura confiable. Combinado con IEEE 802.1X y una política RADIUS bien configurada, elimina el riesgo de dispositivos no autorizados y permite el aprovisionamiento automatizado a escala. Sus tres acciones inmediatas: uno, audite su inventario de Cisco para identificar las fechas de vencimiento de SUDI utilizando show crypto pki certificate. Dos, importe la CA raíz de Cisco en su almacén de confianza RADIUS y configure políticas EAP-TLS para dispositivos de infraestructura. Tres, separe su política de autenticación de infraestructura de su política de autenticación de usuario final; sirven para propósitos diferentes y deben administrarse de forma independiente. Si desea profundizar en cómo Purple se integra con Cisco Meraki y otros proveedores de hardware para ofrecer segmentación de red basada en la identidad para invitados, personal y residentes, visite purple.ai o lea las guías relacionadas que se encuentran enlazadas debajo de este episodio. Gracias por escuchar. Nos vemos en el próximo informe. --- FIN DEL GUION

header_image.png

Resumen Ejecutivo

La autenticación de hardware protege la base física de las redes empresariales. El Cisco Secure Unique Device Identifier (SUDI) proporciona una identidad inmutable y verificable criptográficamente para los dispositivos de infraestructura, integrada directamente en un chip resistente a manipulaciones durante la fabricación. Para los líderes de TI que gestionan implementaciones a gran escala en los sectores de hotelería, retail y sector público, SUDI elimina el riesgo de hardware no autorizado y permite el aprovisionamiento automatizado Zero Touch Provisioning.

Esta guía detalla la arquitectura técnica de Cisco SUDI, su integración con el Control de Acceso a la Red (NAC) IEEE 802.1X y los pasos operativos necesarios para implementar y mantener la identidad basada en hardware a escala. Aprenderá cómo realizar la transición de un bypass de dirección MAC débil a una autenticación EAP-TLS robusta, gestionar el ciclo de vida del certificado SUDI-2099 y alinear la seguridad de la infraestructura con las plataformas de gestión de identidad de usuarios como Purple.

Análisis Técnico Detallado

La Arquitectura de la Identidad de Hardware

El Cisco Secure Unique Device Identifier (SUDI) es un certificado X.509v3 que proporciona una identidad permanente para los dispositivos de red. A diferencia de los certificados de software que los equipos de TI generan e implementan, Cisco inyecta el certificado SUDI y su par de claves asociado en el dispositivo durante el proceso de fabricación.

El certificado se almacena de forma segura en el módulo Trust Anchor (TAm), un chip patentado y resistente a manipulaciones. El TAm genera la clave privada internamente, lo que garantiza que nunca se pueda exportar ni clonar. Esta raíz de confianza de hardware garantiza que si un dispositivo se autentica correctamente utilizando su SUDI, se trata de un producto Cisco genuino.

SUDI implementa el estándar IEEE 802.1AR para Identificadores de Dispositivos Seguros. Bajo este estándar, el certificado proporcionado por el fabricante se conoce como Identificador Inicial de Dispositivo (IDevID). Las organizaciones pueden complementar el IDevID con un Identificador de Dispositivo Localmente Significativo (LDevID) emitido por su propia Infraestructura de Clave Pública (PKI) empresarial.

sudi_architecture_overview.png

Integración con el Control de Acceso a la Red

En un entorno empresarial, SUDI se integra con los sistemas de Control de Acceso a la Red (NAC) principalmente a través de la autenticación basada en puertos IEEE 802.1X. Cuando un punto de acceso o switch de Cisco se conecta a la red, actúa como un suplicante y presenta su certificado SUDI a un servidor RADIUS, como Cisco Identity Services Engine (ISE).

El proceso de autenticación utiliza el Protocolo de Autenticación Extensible con Seguridad en la Capa de Transporte (EAP-TLS). El servidor RADIUS valida el certificado SUDI contra la Infraestructura de Clave Pública de Cisco. Una vez validado, el servidor RADIUS autoriza el dispositivo y lo asigna a la VLAN correcta según la política de acceso a la red.

Este enfoque reemplaza a MAC Address Bypass (MAB), un método heredado que depende de direcciones MAC fáciles de falsificar. MAB ofrece cero garantía criptográfica de la identidad del dispositivo, dejando a las redes vulnerables a puntos de acceso no autorizados.

Huella digital de hardware y detección de manipulación

El módulo Trust Anchor proporciona más que un almacenamiento seguro. Protege activamente el dispositivo contra la manipulación física durante el tránsito o la implementación.

Durante la fabricación, Cisco registra una huella digital criptográfica de los componentes de hardware críticos, como las CPU y los ASIC. Esta huella digital se almacena de forma permanente en el TAm. Cuando el dispositivo arranca, el firmware UEFI calcula una nueva huella digital del hardware observado y la compara con la huella digital maestra en el TAm. Si las huellas digitales no coinciden, el dispositivo detiene el proceso de arranque. Este mecanismo garantiza que el hardware implementado en un hotel o tienda minorista no haya sido comprometido entre la fábrica y el sitio de instalación.

Guía de implementación

La implementación de la autenticación basada en SUDI requiere la coordinación entre su infraestructura de conmutación, su servidor RADIUS y su plataforma de gestión de red. Siga estos pasos para implementar la identidad de hardware.

Paso 1: Configurar la confianza de RADIUS

Su servidor RADIUS debe confiar en la Autoridad de Certificación de Cisco que emitió el SUDI.

  1. Descargue los certificados Cisco Root CA y ACT2 SUDI CA desde el portal PKI de Cisco.
  2. Importe estos certificados en el almacén de certificados de confianza de su servidor RADIUS (por ejemplo, Cisco ISE).
  3. Configure el servidor RADIUS para utilizar estos certificados para la autenticación EAP-TLS.

Paso 2: Definir políticas 802.1X

Cree políticas de autenticación específicas para los dispositivos de infraestructura, independientes de las políticas de autenticación de usuarios.

  1. Cree un conjunto de políticas en Cisco ISE que coincida con los atributos del certificado SUDI (por ejemplo, haciendo coincidir el Nombre Alternativo del Sujeto con los PID esperados del dispositivo).
  2. Asigne las autenticaciones exitosas a la VLAN de gestión de infraestructura.
  3. Configure una VLAN de cuarentena para los dispositivos que fallen la autenticación SUDI. No configure una alternativa a MAB para los puertos de infraestructura.

Paso 3: Habilitar el aprovisionamiento sin contacto (Zero Touch Provisioning)

Utilice SUDI para automatizar la incorporación de dispositivos.

  1. Configure su sistema de gestión de red (como Cisco Catalyst Center) para que actúe como el servidor ZTP.
  2. Cuando un nuevo dispositivo se conecta, presenta su certificado SUDI.
  3. El sistema de gestión verifica el certificado, confirma el número de serie del dispositivo contra la base de datos de inventario y envía la configuración inicial. sudi_lifecycle_diagram.png

Paso 4: Gestionar la migración a SUDI-2099

Los certificados SUDI emitidos antes de mayo de 2019 vencen a los 10 años de la fecha de fabricación o el 14 de mayo de 2029, lo que ocurra primero. Cuando un SUDI vence, las funciones que dependen de él, incluidos HTTPS, SSH y Zero Touch Provisioning, fallarán.

Cisco ha introducido los certificados SUDI-2099, que siguen siendo válidos hasta diciembre de 2099. Para garantizar la continuidad:

  1. Audite su inventario utilizando el comando show crypto pki certificate en dispositivos IOS-XE. Verifique la end date del trustpoint CISCO_IDEVID_SUDI.
  2. Actualice el hardware afectado a las versiones de software recomendadas. Por ejemplo, los switches Catalyst 9200 requieren IOS-XE 17.12.2 o posterior para manejar correctamente la fecha de vencimiento de 2099.

Mejores prácticas

Para maximizar los beneficios de seguridad de la identidad de hardware, siga estos principios neutrales del proveedor.

  1. Aplicar EAP-TLS estricto: Requiera EAP-TLS para todos los dispositivos de infraestructura. No permita métodos EAP más débiles como PEAP para la autenticación de dispositivos.
  2. Aislar la identidad de la infraestructura de la identidad del usuario: SUDI autentica el hardware, no al usuario. Utilice una plataforma dedicada para gestionar la identidad humana. Por ejemplo, use Purple para gestionar la autenticación de invitados, la captura de consentimiento y la recopilación de datos de primera mano, mientras confía en SUDI para proteger el hardware subyacente de Cisco Meraki o HPE Aruba.
  3. Automatizar el monitoreo de certificados: Implemente herramientas de monitoreo para rastrear las fechas de vencimiento de los certificados en toda su infraestructura. El monitoreo proactivo evita fallas repentinas de autenticación.
  4. Implementar microsegmentación: Utilice la identidad verificada por SUDI para asignar dispositivos a VLAN estrictamente controladas. Un punto de acceso solo debe tener alcance de red hacia su controlador y sistemas de gestión, nada más.

Resolución de problemas y mitigación de riesgos

Al implementar la autenticación basada en SUDI, prepárese para estos modos de falla comunes.

Modo de falla Causa raíz Estrategia de mitigación
Falla la autenticación EAP-TLS El servidor RADIUS no tiene los certificados CA raíz o intermedios de Cisco correctos. Verifique que la cadena de confianza completa de Cisco esté instalada en el almacén de confianza del servidor RADIUS.
El dispositivo se niega a arrancar La huella digital de hardware calculada al arrancar no coincide con la huella digital maestra en el TAm. Trate el dispositivo como comprometido. Devuelva el hardware al proveedor a través del proceso RMA.
Falla el acceso de gestión El certificado SUDI ha vencido, lo que interrumpe la autenticación de certificados HTTPS y SSH. Actualice el firmware del dispositivo a una versión compatible con SUDI-2099, o implemente un LDevID utilizando la PKI de su empresa.
Rogue Device Gains Access The switch port is configured to fall back to MAC Address Bypass (MAB) if 802.1X fails. Remove MAB fallback configurations from infrastructure ports. Enforce strict 802.1X policy.

ROI & Impacto de Negocio

La implementación de la identidad de dispositivos basada en hardware ofrece un valor empresarial medible en tres áreas clave.

1. Reducción de Costos de Aprovisionamiento El aprovisionamiento Zero Touch (ZTP) asegurado por SUDI elimina la configuración manual previa. En lugar de que un ingeniero dedique 45 minutos a preconfigurar un punto de acceso antes de enviarlo a una tienda minorista, el dispositivo se envía directamente desde el distribuidor. Se autentica de forma segura al conectarse y descarga su configuración automáticamente. Para un despliegue minorista de 500 sitios, esto ahorra aproximadamente 375 horas de ingeniería.

2. Eliminación del Riesgo de Dispositivos No Autorizados Al dejar de utilizar MAC Address Bypass en favor de la identidad criptográfica por hardware, se elimina el riesgo de que un atacante conecte un dispositivo no autorizado a un puerto de infraestructura. Esto respalda directamente el cumplimiento de los requisitos de PCI DSS e ISO 27001 para el control de acceso a la red.

3. Límites de Identidad Claros La implementación de SUDI establece un límite arquitectónico limpio. La capa de hardware se autentica criptográficamente, lo que le permite concentrar sus recursos en la capa de identidad del usuario. Cuando integra una plataforma como Purple para gestionar Guest WiFi y WiFi Analytics , lo hace sobre una base de infraestructura verificable y segura.

Definiciones clave

SUDI (Secure Unique Device Identifier)

Un certificado X.509v3 y una clave privada asociada integrados en un dispositivo Cisco durante su fabricación para proporcionar una identidad de hardware inmutable.

Utilizado por los equipos de TI para verificar criptográficamente que un dispositivo que se conecta a la red es un producto Cisco genuino.

TAm (Trust Anchor module)

Un chip de hardware patentado y resistente a manipulaciones que almacena de forma segura el certificado SUDI, genera claves criptográficas y gestiona la huella digital del hardware.

Proporciona la raíz de confianza del hardware. Si el TAm se ve comprometido, el dispositivo no podrá arrancar ni autenticarse.

IDevID (Initial Device Identifier)

El identificador de dispositivo seguro instalado por el fabricante, definido por el estándar IEEE 802.1AR. Cisco SUDI es una implementación de un IDevID.

Proporciona la identidad fundacional de un dispositivo antes de integrarse en el entorno PKI propio de una organización.

LDevID (Locally Significant Device Identifier)

Un certificado de dispositivo emitido por la propia Infraestructura de Clave Pública empresarial de una organización, que complementa al IDevID del fabricante.

Se utiliza cuando los equipos de TI requieren que los dispositivos se autentiquen mediante certificados emitidos por su CA corporativa interna en lugar de la CA del proveedor.

IEEE 802.1X

El estándar IEEE para el control de acceso a la red basado en puertos, que proporciona un mecanismo de autenticación a los dispositivos que desean conectarse a una LAN o WLAN.

El protocolo principal utilizado para aplicar la seguridad de la red, garantizando que solo los dispositivos y usuarios autorizados puedan enviar tráfico a través de un puerto de switch.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Un protocolo de autenticación altamente seguro que requiere que tanto el cliente como el servidor de autenticación demuestren sus identidades mediante certificados digitales.

El método específico utilizado dentro de 802.1X para validar el certificado SUDI entre el dispositivo de red y el servidor RADIUS.

Zero Touch Provisioning (ZTP)

Un proceso automatizado que permite aprovisionar y configurar dispositivos de red de forma automática sin intervención manual.

SUDI protege ZTP al garantizar que el sistema de gestión solo envíe configuraciones a hardware verificado y genuino.

MAC Address Bypass (MAB)

Un método de autenticación heredado en el que un switch utiliza la dirección MAC del dispositivo que se conecta como su credencial de identidad.

Un método de respaldo inseguro que debe eliminarse y reemplazarse por la autenticación 802.1X basada en SUDI.

Ejemplos resueltos

Un hotel de 400 habitaciones está actualizando su infraestructura de red y necesita desplegar 250 nuevos puntos de acceso Cisco Catalyst. El equipo de TI quiere evitar la configuración manual de cada dispositivo antes de la instalación, garantizando al mismo tiempo que ningún dispositivo no autorizado pueda unirse a la VLAN de gestión.

  1. El equipo de TI configura Cisco ISE con la CA Raíz de Cisco para confiar en los certificados SUDI.
  2. Crean una política 802.1X en ISE que asigna los dispositivos que presenten un SUDI válido a una VLAN de aprovisionamiento restringida.
  3. Los puntos de acceso se envían directamente al hotel y se conectan a los switches PoE.
  4. Cada AP arranca, presenta su SUDI a través de EAP-TLS y es autenticado por ISE.
  5. El sistema de gestión (Catalyst Center) verifica el número de serie, aprovisiona el AP e ISE cambia el puerto a la VLAN de gestión de producción.
Comentario del examinador: Este enfoque utiliza Zero Touch Provisioning asegurado por identidad de hardware. Elimina los costos de preparación manual y evita que dispositivos no autorizados exploten puertos de aprovisionamiento abiertos. El uso de Cambio de Autorización (CoA) para mover el dispositivo de una VLAN de aprovisionamiento a una VLAN de producción demuestra una sólida segmentación de red.

Una cadena minorista nacional con 1,200 tiendas descubre que sus switches heredados utilizan la omisión de dirección MAC (MAB) para autenticar los puntos de acceso. Necesitan migrar a un estándar seguro sin causar interrupciones en las tiendas.

  1. El equipo de red audita el inventario de switches para confirmar que todos los dispositivos son compatibles con 802.1X y SUDI.
  2. Despliegan los certificados CA de Cisco en su infraestructura RADIUS.
  3. Configuran los puertos de los switches en 'modo de monitoreo' (autenticación abierta), lo que permite a los dispositivos intentar 802.1X EAP-TLS utilizando SUDI, recurriendo a MAB si fallan, pero registrando los resultados.
  4. Después de verificar en los registros de RADIUS que todos los AP legítimos se están autenticando correctamente a través de SUDI, cambian los puertos a 'modo cerrado', aplicando estrictamente 802.1X y desactivando MAB.
Comentario del examinador: La migración gradual utilizando el modo de monitoreo es el enfoque operativo correcto para una gran red de tiendas. Permite al equipo validar la cadena de confianza de PKI y la validez de los certificados sin arriesgar el aislamiento de red para los puntos de acceso. Eliminar MAB por completo es el paso final necesario para asegurar el entorno.

Preguntas de práctica

Q1. Está implementando 50 nuevos switches Cisco Catalyst en el entorno de un estadio. La política de seguridad exige una autenticación estricta 802.1X para todos los dispositivos de infraestructura. Durante las pruebas, los switches no logran autenticarse en su servidor Cisco ISE. ¿Cuál es la causa más probable?

Sugerencia: Considere la cadena de confianza requerida para la autenticación EAP-TLS.

Ver respuesta modelo

Al servidor Cisco ISE le faltan los certificados Cisco Root CA o ACT2 SUDI CA en su almacén de certificados de confianza. Sin estos, ISE no puede validar el certificado SUDI presentado por los switches. Debe descargar los certificados desde el portal Cisco PKI e importarlos a ISE.

Q2. Un ingeniero de redes propone configurar los puertos del switch para que intenten primero la autenticación 802.1X, pero que recurran a MAC Address Bypass (MAB) si el dispositivo no tiene un certificado válido. ¿Por qué debería rechazar esta propuesta para los puertos de infraestructura?

Sugerencia: Evalúe la solidez de seguridad del mecanismo de respaldo.

Ver respuesta modelo

Recurrir a MAB debilita todo el modelo de seguridad. Un atacante podría simplemente conectar un dispositivo no autorizado, esperar a que expire el tiempo de espera de 802.1X y suplantar la dirección MAC de un punto de acceso legítimo para obtener acceso a la VLAN de infraestructura. Los puertos de infraestructura deben exigir un 802.1X estricto con SUDI, y los dispositivos no conformes deben colocarse en una VLAN de cuarentena restringida.

Q3. Está auditando una red de switches Catalyst 9200 implementados en 2018. Ejecuta el comando 'show crypto pki certificate' y nota que el punto de confianza CISCO_IDEVID_SUDI expira en mayo de 2029. ¿Qué medida debe tomar para evitar futuras interrupciones del servicio?

Sugerencia: Revise los requisitos de migración de SUDI-2099 para hardware heredado.

Ver respuesta modelo

Debe actualizar el software IOS-XE en los switches Catalyst 9200 a la versión 17.12.2 o posterior. Esta actualización garantiza que el hardware admita correctamente la extensión de certificado SUDI-2099, extendiendo la identidad válida del dispositivo hasta diciembre de 2099 y evitando fallas de autenticación para servicios como HTTPS y ZTP.

Continúe leyendo esta serie

How to Configure SCEP for Automated Enterprise WiFi Certificate Enrollment

Esta guía explica cómo configurar SCEP (Simple Certificate Enrollment Protocol) para el registro automatizado de certificados de WiFi empresariales, abarcando toda la arquitectura desde PKI y NDES hasta la implementación de perfiles MDM y la validación RADIUS. Está dirigida a gerentes de TI, arquitectos de red y CTOs en hoteles, cadenas de retail, estadios, centros de convenciones y organizaciones del sector público que necesitan ir más allá de las claves precompartidas e implementar una autenticación 802.1X EAP-TLS escalable y basada en la identidad. La plataforma de superposición en la nube de Purple, que es agnóstica al hardware, se integra directamente con esta arquitectura, proporcionando la capa de WiFi para invitados y BYOD que coexiste junto con la red de personal autenticada por certificado.

Leer la guía →

La guía empresarial de SCEP: Implementación de Simple Certificate Enrollment Protocol para la seguridad automatizada de WiFi en campus

Esta guía de referencia técnica proporciona un diseño arquitectónico definitivo y una estrategia de implementación paso a paso para la distribución de certificados de WiFi empresarial mediante SCEP. Cubre las diferencias críticas entre SCEP y PKCS, la secuencia exacta de implementación requerida para el éxito y las estrategias de mitigación de riesgos del mundo real para los líderes de TI.

Leer la guía →

Cómo implementar SCEP para la inscripción automatizada de certificados WiFi

Esta guía explica cómo implementar SCEP (Simple Certificate Enrollment Protocol) para la inscripción automatizada de certificados WiFi en entornos empresariales. Cubre el diseño completo de la arquitectura, desde el diseño de PKI y la integración con MDM hasta la secuencia obligatoria de implementación de tres pasos, y muestra a los gerentes de TI y arquitectos de red cómo eliminar las credenciales compartidas, automatizar la gestión del ciclo de vida de los certificados y cumplir con los requisitos de PCI DSS y GDPR a escala.

Leer la guía →