Autenticación 802.1X explicada para redes corporativas

Explicación de la autenticación 802.1X para redes corporativas. Un informe de inteligencia de Purple WiFi. Bienvenido. Si eres responsable de la seguridad de la red en una organización multisitio —ya sea un grupo hotelero, una cadena de retail, un estadio o un patrimonio del sector público—, este informe es para ti. Durante los próximos diez minutos, cubriremos todo lo que necesitas saber sobre la autenticación 802.1X: qué es, cómo funciona internamente, cómo implementarla correctamente y los errores comunes que atrapan a la mayoría de las organizaciones. Comencemos. Sección uno: Contexto y por qué esto importa ahora mismo. El panorama de amenazas para el WiFi corporativo ha cambiado drásticamente. Las redes con clave precompartida —esas en las que todos conocen la contraseña de WiFi— ya no son aceptables para las redes de empleados en entornos regulados. Bajo la versión 4.0 de PCI DSS, que entró en pleno vigor en 2024, las organizaciones que manejan datos de tarjetas de pago deben implementar controles de acceso estrictos en cualquier red que tenga contacto con el entorno de datos de los titulares de tarjetas. El GDPR impone obligaciones similares en cualquier red que transporte datos personales. Y dado que el trabajo híbrido implica que el personal se conecta desde dispositivos gestionados y no gestionados en docenas de ubicaciones, el antiguo modelo de perímetro simplemente ya no es viable. 802.1X es el estándar IEEE que resuelve esto. Proporciona control de acceso a la red basado en puertos, lo que significa que un dispositivo no puede unirse a la red en absoluto hasta que haya sido autenticado frente a un almacén de identidad central. No solo una contraseña compartida. Una identidad verificada real. Ese es el cambio fundamental. Sección dos: Inmersión técnica profunda. Analicemos la arquitectura. 802.1X define tres roles. El suplicante: ese es el dispositivo final, la laptop o el smartphone que intenta conectarse. El autenticador: ese es el punto de acceso inalámbrico o el switch de red. Y el servidor de autenticación: que en prácticamente cualquier implementación empresarial es un servidor RADIUS. Así es como funciona el saludo de conexión (handshake). Cuando un dispositivo intenta conectarse a un SSID protegido, el punto de acceso coloca ese dispositivo en un estado no autenticado. No puede acceder a la red. El AP envía una trama EAP Request Identity al dispositivo. EAP significa Protocolo de Autenticación Extensible (Extensible Authentication Protocol); es el marco que transporta las credenciales reales. El dispositivo responde con su identidad. El AP reenvía esto al servidor RADIUS, encapsulado en un paquete RADIUS Access-Request. Luego, el servidor RADIUS desafía al dispositivo; el desafío específico depende del método EAP que estés utilizando. El dispositivo responde con sus credenciales. El servidor RADIUS valida esas credenciales frente a tu almacén de identidad —Active Directory, LDAP o un IdP en la nube— y devuelve un Access-Accept o un Access-Reject. Si es un Accept, el AP abre el puerto y el dispositivo obtiene acceso a la red. Si es un Reject, el dispositivo permanece bloqueado. Todo el intercambio toma menos de un segundo. Ahora bien, la selección del método EAP es donde la mayoría de los arquitectos pasan su tiempo. Tienes cuatro opciones principales. EAP-TLS es el estándar de oro. Requiere un certificado de cliente en cada dispositivo, lo que significa que necesitas una infraestructura PKI, pero proporciona autenticación mutua: el servidor demuestra su identidad al cliente y el cliente demuestra su identidad al servidor. No se pueden suplantar credenciales mediante phishing porque no hay contraseñas de por medio. Esta es la elección correcta para flotas de dispositivos totalmente administradas. PEAP (Protected EAP) es el método más implementado en la práctica. Crea un túnel TLS utilizando únicamente un certificado de servidor, y luego pasa las credenciales de usuario y contraseña dentro de ese túnel. Es significativamente más fácil de implementar que EAP-TLS porque no necesitas certificados de cliente, y es compatible de forma nativa en todos los sistemas operativos principales. La desventaja es que depende de que los usuarios validen el certificado del servidor, lo que en la práctica a menudo no hacen. Una implementación adecuada de PEAP requiere bloquear la configuración del suplicante para que solo confíe en el certificado de tu servidor RADIUS específico. EAP-TTLS es similar a PEAP pero más flexible en el método de autenticación interno. Es particularmente útil en entornos con dispositivos heredados o endpoints que no son de Windows. EAP-FAST fue desarrollado por Cisco como una alternativa más rápida que utiliza Credenciales de Acceso Protegido en lugar de certificados, pero se implementa con menos frecuencia en nuevas infraestructuras. El servidor RADIUS en sí merece atención. Las dos opciones de código abierto dominantes son FreeRADIUS, que impulsa una proporción significativa de las implementaciones empresariales a nivel mundial, y Microsoft NPS (Network Policy Server), que se incluye con Windows Server y se integra de forma nativa con Active Directory. Las opciones comerciales incluyen Cisco ISE, Aruba ClearPass y Portnox Cloud, que ofrece un modelo de RADIUS-as-a-service nativo de la nube que elimina por completo la necesidad de una infraestructura de servidores locales. La asignación de VLAN es una de las características más potentes de una implementación de 802.1X configurada correctamente. El servidor RADIUS puede devolver atributos de VLAN en la respuesta Access-Accept, asignando dinámicamente el dispositivo autenticado al segmento de red adecuado. Un miembro del personal se autentica y aterriza en la VLAN del personal. Un contratista se autentica con credenciales diferentes y aterriza en una VLAN restringida con acceso limitado. Un dispositivo que falla la validación del certificado se coloca en una VLAN de cuarentena. Esto es segmentación dinámica y es un control de seguridad muy importante. Sección tres: Recomendaciones de implementación y los errores que se deben evitar. Permítame darle la secuencia de implementación que funciona. Comience con una auditoría de red. Antes de tocar una sola configuración, documente cada dispositivo que necesitará autenticarse. Esto incluye impresoras, teléfonos IP, sistemas de gestión de edificios, cámaras de CCTV; cualquier dispositivo que se conecte a la red. Estos dispositivos sin interfaz de usuario no tienen un suplicante y no pueden realizar 802.1X. Necesitará una estrategia para ellos, normalmente MAC Authentication Bypass con una lista blanca estricta de direcciones MAC y colocación en una VLAN aislada. Paso dos: levante su infraestructura RADIUS. Para garantizar la resiliencia, necesita como mínimo un servidor RADIUS primario y uno secundario. Configure sus puntos de acceso para que realicen la conmutación por error de forma automática. Una interrupción de RADIUS que bloquee a todo el personal de la red es un incidente P1. No permita que suceda por haber implementado un solo servidor. Paso tres: implemente su PKI si va a utilizar EAP-TLS. Utilice sus Active Directory Certificate Services existentes o un proveedor de PKI en la nube. El autoinscripción a través de Directivas de grupo hace que la implementación de certificados de cliente sea manejable a escala. Paso cuatro: configure sus políticas de red. Defina sus políticas de autenticación en RADIUS: qué usuarios o grupos de dispositivos obtienen qué asignaciones de VLAN, qué sucede con las autenticaciones fallidas, cómo maneja el tráfico de invitados frente al del personal. Aquí es donde se aplica el principio de privilegio mínimo en la capa de red. Paso cinco: realice un piloto antes del lanzamiento. Tome una ubicación, un piso, un SSID. Pruebe cada tipo de dispositivo. Pruebe escenarios de falla. Pruebe qué sucede cuando el servidor RADIUS no está disponible. Solo entonces expándase. Ahora, los errores comunes. El más frecuente que veo es la configuración incorrecta de la validación de certificados en implementaciones PEAP. Si su política de suplicante no exige la validación del certificado del servidor, es vulnerable a ataques de AP no autorizados, donde un atacante configura un punto de acceso falso y recopila credenciales. Bloquee sus perfiles de suplicante a través de Directivas de grupo o MDM. El segundo error común es ignorar los dispositivos que no son 802.1X hasta el día del lanzamiento. Los dispositivos IoT, las impresoras y los sistemas heredados arruinarán su implementación si no los ha planificado. MAC Authentication Bypass es su aliado aquí, pero debe configurarse antes de activar el interruptor. El tercer error común son los puntos únicos de falla en RADIUS. He visto organizaciones implementar un solo servidor NPS y descubrir que toda la red de su personal se cae durante un reinicio por actualización de Windows. Siempre implemente una infraestructura RADIUS redundante. Sección cuatro: Preguntas rápidas. ¿Puede funcionar 802.1X junto con una red WiFi de invitados? Absolutamente. Su SSID de invitados funciona por separado, normalmente utilizando un enfoque de Captive Portal, mientras que su SSID de personal aplica 802.1X. Son SSIDs completamente independientes con VLANs separadas. La plataforma de Purple maneja el lado de los invitados, con herramientas de analítica y engagement superpuestas, mientras que su infraestructura 802.1X asegura el lado del personal. ¿Reemplaza el 802.1X a una VPN? No. 802.1X controla la admisión a la red: quién puede unirse a ella. Una VPN cifra el tráfico en tránsito y extiende la red corporativa sobre conexiones no confiables. Cumplen propósitos diferentes y a menudo se utilizan juntas. ¿Cuál es el impacto en el rendimiento del roaming? Con 802.1X, cada vez que un dispositivo realiza roaming entre puntos de acceso, necesita volver a autenticarse. Para la mayoría de las implementaciones empresariales, esto es imperceptible. El almacenamiento en caché de PMK y OKC (Opportunistic Key Caching) reducen significativamente la sobrecarga de reautenticación. Para entornos de alta densidad como estadios o centros de conferencias, vale la pena configurar esto de forma explícita. ¿Es WPA3-Enterprise un reemplazo para 802.1X? No; WPA3-Enterprise utiliza 802.1X para la autenticación. WPA3 mejora la capa de cifrado, exigiendo específicamente el modo de seguridad de 192 bits para las implementaciones más sensibles. 802.1X es el marco de autenticación subyacente. Sección cinco: Resumen y próximos pasos. Esto es lo que debe llevarse de esta sesión informativa. 802.1X es el único mecanismo de autenticación de nivel empresarial para WiFi corporativo. Las claves precompartidas no son aceptables para entornos regulados. Elija su método EAP en función de su flota de dispositivos: EAP-TLS si tiene dispositivos gestionados y una PKI, PEAP si necesita una compatibilidad más amplia. Planifique para los dispositivos que no son de 802.1X antes de la implementación, no después. Implemente una infraestructura RADIUS redundante: un solo servidor es un punto único de falla. Utilice la asignación dinámica de VLAN para aplicar la segmentación de red al momento de la autenticación. Y realice una prueba piloto exhaustiva antes de implementarlo en toda su infraestructura. Si está desarrollando una implementación multisitio y necesita analizar la arquitectura, el equipo técnico de Purple trabaja todos los días con arquitectos de red en los sectores de hotelería, retail y sector público. La combinación de un WiFi seguro para el personal a través de 802.1X y un WiFi de invitados inteligente a través de la plataforma de Purple le brinda una estrategia de red completa y segmentada que cumple tanto con sus obligaciones de seguridad como con sus requisitos de experiencia para los invitados. Con esto concluimos esta sesión informativa. Gracias por escuchar.