Evaluación de postura NAC: Garantizando el cumplimiento de dispositivos gestionados antes del acceso a la red

Bienvenido a la serie de Informes Técnicos de Purple. Hoy nos adentraremos en una de las áreas más críticas a nivel operativo —y frecuentemente incomprendida— de la seguridad de redes empresariales: la evaluación de postura de NAC, y específicamente cómo garantizar que solo los dispositivos gestionados y conformes obtengan acceso a su red antes de que hayan enviado un solo paquete de tráfico de producción. Si usted es un gerente de TI, arquitecto de redes o CTO responsable de un patrimonio multisitio —ya sea un grupo hotelero, una cadena de retail, un estadio o una organización del sector público— esto es directamente relevante para su postura de seguridad en este momento. Vamos a cubrir la arquitectura, los estándares, los patrones de despliegue en el mundo real y los errores comunes que atrapan incluso a los equipos más experimentados. Comencemos. Entonces, ¿qué es exactamente la evaluación de postura de NAC? El Control de Acceso a la Red, o NAC, es el marco general que rige qué dispositivos pueden conectarse a su red y bajo qué condiciones. La evaluación de postura es el mecanismo específico dentro de NAC que interroga el estado de seguridad de un dispositivo antes —o inmediatamente después— de que se conecte. Piense en ello como un chequeo de salud en la puerta. El dispositivo no solo necesita demostrar quién es; debe demostrar que está en un estado adecuado para ser confiable. La arquitectura aquí tiene tres componentes principales. Primero, tiene el Punto de Aplicación de Políticas —el PEP. Este es típicamente su punto de acceso, su switch o su controlador inalámbrico. Es el guardián que controla físicamente si el tráfico fluye. Segundo, tiene el Punto de Decisión de Políticas —el PDP. Este es su motor NAC, a menudo integrado con un servidor RADIUS o AAA. Recibe los datos de postura, los evalúa frente a su política y le dice al PEP qué hacer. Tercero, tiene el propio Motor de Evaluación de Postura —este es un agente que se ejecuta en el endpoint, o un mecanismo sin agente que utiliza protocolos como SNMP, WMI o SSH para consultar el dispositivo de forma remota. Ahora, la capa de autenticación que sustenta todo esto es IEEE 802.1X. Este es el estándar de control de acceso a la red basado en puertos que ha existido desde 2001, pero que sigue siendo la columna vertebral de NAC empresarial hoy en día. 802.1X define tres roles: el Suplicante —que es el dispositivo que intenta conectarse; el Autenticador —su switch o punto de acceso; y el Servidor de Autenticación —su servidor RADIUS. El Suplicante y el Servidor de Autenticación se comunican a través de EAP —el Protocolo de Autenticación Extensible— tunelizado a través del Autenticador. EAP-TLS, que utiliza autenticación mutua basada en certificados, es el estándar de oro aquí. Es lo que debería estar implementando si se toma en serio el cumplimiento de los dispositivos gestionados. ¿Qué es lo que realmente analiza la verificación de postura? Existen seis categorías principales. El nivel de parches del sistema operativo: ¿el dispositivo ejecuta una versión de OS compatible y se aplican los parches críticos dentro del plazo definido? El estado de seguridad del endpoint: ¿está instalado, activo y con definiciones actualizadas un agente AV o EDR aprobado? El estado del firewall: ¿está habilitado el firewall basado en el host y su política intacta? El cifrado de disco: ¿está activo y no suspendido el cifrado de disco completo? La validez del certificado: ¿posee el dispositivo un certificado de máquina válido y confiable emitido por su PKI? Y finalmente, el cumplimiento de la configuración: ¿coincide la configuración de seguridad del dispositivo con su línea base definida? Según el resultado de estas verificaciones, el motor de políticas de su NAC asigna uno de tres estados. Cumplido: el dispositivo supera todas las verificaciones requeridas y recibe acceso completo a la red, normalmente a su VLAN o rol asignado. Condicional: el dispositivo supera las verificaciones críticas pero falla en una o más verificaciones no críticas; obtiene acceso limitado, tal vez solo a internet, con una notificación al usuario. Y No Cumplido: el dispositivo falla en una verificación crítica y se coloca en una VLAN de cuarentena con acceso únicamente a un portal de remediación. Ese portal de remediación es donde el dispositivo puede descargar parches, actualizar definiciones de AV o recibir instrucciones para la remediación manual. Ahora, ¿dónde encaja WPA3 en esto? WPA3-Enterprise, específicamente con el modo de 192 bits, fortalece la capa criptográfica debajo de 802.1X. Exige GCMP-256 para el cifrado y HMAC-SHA-384 para la integridad, lo cual es particularmente relevante para entornos que manejan datos de tarjetas de pago o datos personales sensibles bajo el GDPR. Si opera un entorno minorista dentro del alcance de PCI DSS, o una instalación de salud bajo los requisitos de gobernanza de datos del NHS, WPA3-Enterprise debería estar en su hoja de ruta para nuevas implementaciones. Hablemos de la evaluación de postura con agente frente a la evaluación sin agente, porque este es un verdadero punto de decisión arquitectónica. La evaluación basada en agentes, donde un cliente ligero se ejecuta en el endpoint, le brinda la visibilidad más profunda. Puede consultar claves de registro, procesos en ejecución, software instalado y el estado de seguridad en tiempo real. La desventaja es la sobrecarga de implementación: necesita un MDM o una plataforma de gestión de endpoints para distribuir y mantener el agente en toda su infraestructura. La evaluación sin agente utiliza interrogación basada en la red: SNMP, WMI a través de la red o llamadas de API a su plataforma MDM. Es más fácil de implementar pero ofrece una visibilidad menos profunda y es más susceptible a la evasión. Para una infraestructura corporativa gestionada, la opción basada en agentes es la respuesta correcta. Para entornos donde tiene una mezcla de dispositivos gestionados y no gestionados, piense en un centro de conferencias o en la red interna de un hotel, un enfoque híbrido tiene más sentido. Un punto arquitectónico más que vale la pena destacar: la evaluación continua de la postura frente a la evaluación en un momento específico. La mayoría de las implementaciones de NAC heredadas solo verifican la postura al momento de la conexión. Esa es una brecha significativa. Un dispositivo que cumplía con las políticas a las nueve de la mañana cuando se conectó podría tener su antivirus desactivado por un usuario a las once. Las plataformas de NAC modernas admiten la evaluación continua (revaluando la postura a intervalos definidos o en respuesta a eventos) y cambian dinámicamente el nivel de acceso a la red del dispositivo sin requerir una reconexión. Esta es la dirección en la que debería avanzar. Bien, pasemos a la práctica. Cuando implemente la evaluación de la postura de NAC, el fallo más común que veo es pasar directamente al modo de aplicación de políticas. No lo haga. Comience en modo de monitoreo, a veces llamado modo de auditoría o modo de visibilidad. Ejecute sus verificaciones de postura, registre los resultados, pero no aplique la política. Ejecute esto durante al menos dos a cuatro semanas. Es casi seguro que descubrirá dispositivos que no sabía que existían en su red, y descubrirá que una proporción significativa de sus dispositivos conocidos fallan en una o más verificaciones de postura. Utilice esos datos para corregir su entorno antes de aplicar las políticas. El segundo error común es la infraestructura de certificados. La evaluación de la postura basada en agentes con EAP-TLS requiere una PKI que funcione. Si no tiene una, o si la gestión del ciclo de vida de sus certificados es manual y ad hoc, tendrá interrupciones. Los certificados caducan. Los dispositivos se reconstruyen sin certificados. Planifique su PKI antes de planificar su implementación de NAC. Tercero: el diseño de VLAN. Su VLAN de cuarentena debe estar genuinamente aislada, no solo ser una subred diferente en la misma infraestructura física. Debe tener acceso únicamente a su portal de remediación y, si es necesario, a Windows Update o a su servidor de gestión de parches. Si su VLAN de cuarentena tiene alguna ruta hacia los sistemas de producción, habrá creado una falsa sensación de seguridad. Cuarto: excepciones y procesos de omisión. Cada organización tiene dispositivos que no pueden ejecutar un agente: impresoras, sensores de IoT, sistemas de gestión de edificios. Necesita un proceso documentado y aprobado para otorgar la omisión de autenticación MAC a estos dispositivos, con controles de compensación. Si no define este proceso desde el principio, terminará con una lista blanca informal que nadie posee y nadie audita. Desde la perspectiva de los estándares, alinee su política de postura con los CIS Benchmarks para sus plataformas de sistemas operativos. Estos son neutrales respecto al proveedor, se actualizan regularmente y son ampliamente aceptados como la línea base para la seguridad de endpoints empresariales. Para entornos PCI DSS, el Requisito 6.3 sobre gestión de parches y el Requisito 5.3 sobre antimalware se mapean directamente con sus categorías de verificación de postura. Ahora, pasemos a unas cuantas preguntas rápidas. ¿Puede funcionar la evaluación de postura de NAC para dispositivos BYOD? Sí, pero se necesita una ruta de políticas independiente. Los dispositivos BYOD suelen pasar por un método EAP diferente (EAP-PEAP con credenciales de usuario en lugar de EAP-TLS con certificados de máquina) y reciben un segmento de red más restringido. Las comprobaciones de postura para BYOD suelen ser más ligeras: versión del sistema operativo, presencia básica de antivirus y bloqueo de pantalla activado. ¿Cómo interactúa esto con una red WiFi de invitados? No lo hace, y no debería. El WiFi de invitados es un SSID y un segmento de red completamente independientes, aislados de su infraestructura corporativa. La evaluación de postura de NAC se aplica únicamente a su SSID corporativo. Las dos redes nunca deben compartir una VLAN ni enrutarse entre sí. ¿Cuál es el plazo habitual para una implementación completa de NAC? Para una empresa mediana (por ejemplo, de quinientos a dos mil endpoints en varias ubicaciones), prevea de doce a dieciséis semanas desde el diseño hasta la aplicación total de las políticas. Esto incluye la configuración de PKI, la implementación de agentes, el modo de monitoreo, la remediación y el despliegue gradual de la aplicación de políticas. En resumen: la evaluación de postura de NAC es el mecanismo que garantiza que su marco de control de acceso a la red sea realmente efectivo. La identidad por sí sola (saber quién se conecta) no es suficiente. Es necesario conocer el estado de seguridad del dispositivo, validarlo frente a la política y aplicar consecuencias en caso de incumplimiento. La arquitectura es madura y está bien estandarizada en torno a 802.1X, RADIUS y EAP-TLS. Los retos de implementación son reales, pero manejables si se sigue un enfoque por fases. Sus siguientes pasos inmediatos: audite su parque actual de endpoints para comprobar el cumplimiento de la postura mediante su MDM existente o sus herramientas de gestión de endpoints. Evalúe su preparación para PKI. Diseñe su arquitectura de VLAN para segmentos de cumplimiento, condicionales y de cuarentena. Y planifique una implementación en modo de monitoreo antes de empezar a aplicar las políticas. Para las organizaciones que operan en entornos mixtos (el área corporativa interna junto con el WiFi público o de invitados), plataformas como Purple proporcionan la inteligencia de red y la analítica del lado del invitado que complementan su implementación corporativa de NAC, manteniendo esos dos mundos claramente separados y ofreciéndole al mismo tiempo una visibilidad total en ambos. Gracias por escucharnos. Explore la guía escrita completa en la plataforma Purple para consultar diagramas de arquitectura, ejemplos prácticos y referencias de configuración.