Saltar al contenido principal
Español (México)

Evaluación de postura NAC: Garantizando el cumplimiento de dispositivos gestionados antes del acceso a la red

Esta guía de referencia técnica ofrece un análisis profundo de la evaluación de postura NAC, detallando la arquitectura, los estándares y las estrategias de implementación necesarias para hacer cumplir el cumplimiento de los dispositivos gestionados. Equipa a los gerentes de TI y arquitectos de red con información práctica para mitigar riesgos y garantizar un acceso seguro a la red en entornos empresariales multisitio.

📖 6 min de lectura📝 1,352 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
Bienvenido a la serie de Informes Técnicos de Purple. Hoy nos adentraremos en una de las áreas más críticas a nivel operativo —y frecuentemente incomprendida— de la seguridad de redes empresariales: la evaluación de postura de NAC, y específicamente cómo garantizar que solo los dispositivos gestionados y conformes obtengan acceso a su red antes de que hayan enviado un solo paquete de tráfico de producción. Si usted es un gerente de TI, arquitecto de redes o CTO responsable de un patrimonio multisitio —ya sea un grupo hotelero, una cadena de retail, un estadio o una organización del sector público— esto es directamente relevante para su postura de seguridad en este momento. Vamos a cubrir la arquitectura, los estándares, los patrones de despliegue en el mundo real y los errores comunes que atrapan incluso a los equipos más experimentados. Comencemos. Entonces, ¿qué es exactamente la evaluación de postura de NAC? El Control de Acceso a la Red, o NAC, es el marco general que rige qué dispositivos pueden conectarse a su red y bajo qué condiciones. La evaluación de postura es el mecanismo específico dentro de NAC que interroga el estado de seguridad de un dispositivo antes —o inmediatamente después— de que se conecte. Piense en ello como un chequeo de salud en la puerta. El dispositivo no solo necesita demostrar quién es; debe demostrar que está en un estado adecuado para ser confiable. La arquitectura aquí tiene tres componentes principales. Primero, tiene el Punto de Aplicación de Políticas —el PEP. Este es típicamente su punto de acceso, su switch o su controlador inalámbrico. Es el guardián que controla físicamente si el tráfico fluye. Segundo, tiene el Punto de Decisión de Políticas —el PDP. Este es su motor NAC, a menudo integrado con un servidor RADIUS o AAA. Recibe los datos de postura, los evalúa frente a su política y le dice al PEP qué hacer. Tercero, tiene el propio Motor de Evaluación de Postura —este es un agente que se ejecuta en el endpoint, o un mecanismo sin agente que utiliza protocolos como SNMP, WMI o SSH para consultar el dispositivo de forma remota. Ahora, la capa de autenticación que sustenta todo esto es IEEE 802.1X. Este es el estándar de control de acceso a la red basado en puertos que ha existido desde 2001, pero que sigue siendo la columna vertebral de NAC empresarial hoy en día. 802.1X define tres roles: el Suplicante —que es el dispositivo que intenta conectarse; el Autenticador —su switch o punto de acceso; y el Servidor de Autenticación —su servidor RADIUS. El Suplicante y el Servidor de Autenticación se comunican a través de EAP —el Protocolo de Autenticación Extensible— tunelizado a través del Autenticador. EAP-TLS, que utiliza autenticación mutua basada en certificados, es el estándar de oro aquí. Es lo que debería estar implementando si se toma en serio el cumplimiento de los dispositivos gestionados. ¿Qué es lo que realmente analiza la verificación de postura? Existen seis categorías principales. El nivel de parches del sistema operativo: ¿el dispositivo ejecuta una versión de OS compatible y se aplican los parches críticos dentro del plazo definido? El estado de seguridad del endpoint: ¿está instalado, activo y con definiciones actualizadas un agente AV o EDR aprobado? El estado del firewall: ¿está habilitado el firewall basado en el host y su política intacta? El cifrado de disco: ¿está activo y no suspendido el cifrado de disco completo? La validez del certificado: ¿posee el dispositivo un certificado de máquina válido y confiable emitido por su PKI? Y finalmente, el cumplimiento de la configuración: ¿coincide la configuración de seguridad del dispositivo con su línea base definida? Según el resultado de estas verificaciones, el motor de políticas de su NAC asigna uno de tres estados. Cumplido: el dispositivo supera todas las verificaciones requeridas y recibe acceso completo a la red, normalmente a su VLAN o rol asignado. Condicional: el dispositivo supera las verificaciones críticas pero falla en una o más verificaciones no críticas; obtiene acceso limitado, tal vez solo a internet, con una notificación al usuario. Y No Cumplido: el dispositivo falla en una verificación crítica y se coloca en una VLAN de cuarentena con acceso únicamente a un portal de remediación. Ese portal de remediación es donde el dispositivo puede descargar parches, actualizar definiciones de AV o recibir instrucciones para la remediación manual. Ahora, ¿dónde encaja WPA3 en esto? WPA3-Enterprise, específicamente con el modo de 192 bits, fortalece la capa criptográfica debajo de 802.1X. Exige GCMP-256 para el cifrado y HMAC-SHA-384 para la integridad, lo cual es particularmente relevante para entornos que manejan datos de tarjetas de pago o datos personales sensibles bajo el GDPR. Si opera un entorno minorista dentro del alcance de PCI DSS, o una instalación de salud bajo los requisitos de gobernanza de datos del NHS, WPA3-Enterprise debería estar en su hoja de ruta para nuevas implementaciones. Hablemos de la evaluación de postura con agente frente a la evaluación sin agente, porque este es un verdadero punto de decisión arquitectónica. La evaluación basada en agentes, donde un cliente ligero se ejecuta en el endpoint, le brinda la visibilidad más profunda. Puede consultar claves de registro, procesos en ejecución, software instalado y el estado de seguridad en tiempo real. La desventaja es la sobrecarga de implementación: necesita un MDM o una plataforma de gestión de endpoints para distribuir y mantener el agente en toda su infraestructura. La evaluación sin agente utiliza interrogación basada en la red: SNMP, WMI a través de la red o llamadas de API a su plataforma MDM. Es más fácil de implementar pero ofrece una visibilidad menos profunda y es más susceptible a la evasión. Para una infraestructura corporativa gestionada, la opción basada en agentes es la respuesta correcta. Para entornos donde tiene una mezcla de dispositivos gestionados y no gestionados, piense en un centro de conferencias o en la red interna de un hotel, un enfoque híbrido tiene más sentido. Un punto arquitectónico más que vale la pena destacar: la evaluación continua de la postura frente a la evaluación en un momento específico. La mayoría de las implementaciones de NAC heredadas solo verifican la postura al momento de la conexión. Esa es una brecha significativa. Un dispositivo que cumplía con las políticas a las nueve de la mañana cuando se conectó podría tener su antivirus desactivado por un usuario a las once. Las plataformas de NAC modernas admiten la evaluación continua (revaluando la postura a intervalos definidos o en respuesta a eventos) y cambian dinámicamente el nivel de acceso a la red del dispositivo sin requerir una reconexión. Esta es la dirección en la que debería avanzar. Bien, pasemos a la práctica. Cuando implemente la evaluación de la postura de NAC, el fallo más común que veo es pasar directamente al modo de aplicación de políticas. No lo haga. Comience en modo de monitoreo, a veces llamado modo de auditoría o modo de visibilidad. Ejecute sus verificaciones de postura, registre los resultados, pero no aplique la política. Ejecute esto durante al menos dos a cuatro semanas. Es casi seguro que descubrirá dispositivos que no sabía que existían en su red, y descubrirá que una proporción significativa de sus dispositivos conocidos fallan en una o más verificaciones de postura. Utilice esos datos para corregir su entorno antes de aplicar las políticas. El segundo error común es la infraestructura de certificados. La evaluación de la postura basada en agentes con EAP-TLS requiere una PKI que funcione. Si no tiene una, o si la gestión del ciclo de vida de sus certificados es manual y ad hoc, tendrá interrupciones. Los certificados caducan. Los dispositivos se reconstruyen sin certificados. Planifique su PKI antes de planificar su implementación de NAC. Tercero: el diseño de VLAN. Su VLAN de cuarentena debe estar genuinamente aislada, no solo ser una subred diferente en la misma infraestructura física. Debe tener acceso únicamente a su portal de remediación y, si es necesario, a Windows Update o a su servidor de gestión de parches. Si su VLAN de cuarentena tiene alguna ruta hacia los sistemas de producción, habrá creado una falsa sensación de seguridad. Cuarto: excepciones y procesos de omisión. Cada organización tiene dispositivos que no pueden ejecutar un agente: impresoras, sensores de IoT, sistemas de gestión de edificios. Necesita un proceso documentado y aprobado para otorgar la omisión de autenticación MAC a estos dispositivos, con controles de compensación. Si no define este proceso desde el principio, terminará con una lista blanca informal que nadie posee y nadie audita. Desde la perspectiva de los estándares, alinee su política de postura con los CIS Benchmarks para sus plataformas de sistemas operativos. Estos son neutrales respecto al proveedor, se actualizan regularmente y son ampliamente aceptados como la línea base para la seguridad de endpoints empresariales. Para entornos PCI DSS, el Requisito 6.3 sobre gestión de parches y el Requisito 5.3 sobre antimalware se mapean directamente con sus categorías de verificación de postura. Ahora, pasemos a unas cuantas preguntas rápidas. ¿Puede funcionar la evaluación de postura de NAC para dispositivos BYOD? Sí, pero se necesita una ruta de políticas independiente. Los dispositivos BYOD suelen pasar por un método EAP diferente (EAP-PEAP con credenciales de usuario en lugar de EAP-TLS con certificados de máquina) y reciben un segmento de red más restringido. Las comprobaciones de postura para BYOD suelen ser más ligeras: versión del sistema operativo, presencia básica de antivirus y bloqueo de pantalla activado. ¿Cómo interactúa esto con una red WiFi de invitados? No lo hace, y no debería. El WiFi de invitados es un SSID y un segmento de red completamente independientes, aislados de su infraestructura corporativa. La evaluación de postura de NAC se aplica únicamente a su SSID corporativo. Las dos redes nunca deben compartir una VLAN ni enrutarse entre sí. ¿Cuál es el plazo habitual para una implementación completa de NAC? Para una empresa mediana (por ejemplo, de quinientos a dos mil endpoints en varias ubicaciones), prevea de doce a dieciséis semanas desde el diseño hasta la aplicación total de las políticas. Esto incluye la configuración de PKI, la implementación de agentes, el modo de monitoreo, la remediación y el despliegue gradual de la aplicación de políticas. En resumen: la evaluación de postura de NAC es el mecanismo que garantiza que su marco de control de acceso a la red sea realmente efectivo. La identidad por sí sola (saber quién se conecta) no es suficiente. Es necesario conocer el estado de seguridad del dispositivo, validarlo frente a la política y aplicar consecuencias en caso de incumplimiento. La arquitectura es madura y está bien estandarizada en torno a 802.1X, RADIUS y EAP-TLS. Los retos de implementación son reales, pero manejables si se sigue un enfoque por fases. Sus siguientes pasos inmediatos: audite su parque actual de endpoints para comprobar el cumplimiento de la postura mediante su MDM existente o sus herramientas de gestión de endpoints. Evalúe su preparación para PKI. Diseñe su arquitectura de VLAN para segmentos de cumplimiento, condicionales y de cuarentena. Y planifique una implementación en modo de monitoreo antes de empezar a aplicar las políticas. Para las organizaciones que operan en entornos mixtos (el área corporativa interna junto con el WiFi público o de invitados), plataformas como Purple proporcionan la inteligencia de red y la analítica del lado del invitado que complementan su implementación corporativa de NAC, manteniendo esos dos mundos claramente separados y ofreciéndole al mismo tiempo una visibilidad total en ambos. Gracias por escucharnos. Explore la guía escrita completa en la plataforma Purple para consultar diagramas de arquitectura, ejemplos prácticos y referencias de configuración.

header_image.png

Resumen Ejecutivo

Para los líderes de TI empresariales que gestionan entornos complejos y multisitio, la identidad por sí sola ya no es una métrica suficiente para el acceso a la red. Saber quién se está conectando es secundario frente a conocer el estado de seguridad del dispositivo que está utilizando. La evaluación de postura de Network Access Control (NAC) es el mecanismo que cierra esta brecha, garantizando que solo los dispositivos gestionados y conformes obtengan acceso a la infraestructura corporativa antes de transmitir un solo paquete de tráfico de producción.

Esta guía proporciona una referencia técnica completa sobre el diseño, despliegue y gestión de la evaluación de postura de NAC. Exploramos la arquitectura subyacente —incluyendo 802.1X, RADIUS y EAP-TLS—, evaluamos las ventajas y desventajas entre la interrogación con agentes y sin agentes, y esbozamos una estrategia de despliegue por fases que minimiza la interrupción operativa. Ya sea que esté protegiendo una sede corporativa, una red de puntos de venta distribuidos o las operaciones internas en el sector de la hospitalidad, la implementación de una evaluación de postura sólida es un paso crítico en la mitigación de riesgos y el cumplimiento normativo.

Escuche nuestro podcast informativo técnico de 10 minutos a continuación para obtener una perspectiva ejecutiva de los conceptos clave y los errores comunes de despliegue.

Análisis Técnico Detallado

La Arquitectura de la Evaluación de Postura

Network Access Control rige la conectividad de los dispositivos, pero la evaluación de postura es la interrogación específica del estado de seguridad de un dispositivo. La arquitectura se basa en tres componentes principales que trabajan en conjunto:

  1. Punto de Aplicación de Políticas (PEP): Este es el guardián físico o lógico; por lo general, un punto de acceso inalámbrico, un puerto de switch o un controlador de LAN inalámbrica. El PEP controla físicamente el flujo de tráfico basándose en las instrucciones del motor de políticas.
  2. Punto de Decisión de Políticas (PDP): A menudo integrado dentro de un servidor RADIUS o AAA, el PDP es el cerebro de la arquitectura NAC. Recibe los datos de postura, los evalúa frente a las políticas de cumplimiento definidas y emite directivas de aplicación al PEP.
  3. Motor de Evaluación de Postura: Este componente recopila los datos de estado reales del endpoint. Puede ser un agente que se ejecuta localmente en el dispositivo o un mecanismo sin agentes que aprovecha protocolos de red (por ejemplo, SNMP, WMI) o integraciones de API con plataformas de Gestión de Dispositivos Móviles (MDM). nac_architecture_overview.png

El rol de IEEE 802.1X y EAP-TLS

La base del NAC empresarial es el estándar IEEE 802.1X, que define el control de acceso a la red basado en puertos. Dentro de este marco de trabajo, se definen tres roles:

  • Suplicante (Supplicant): El dispositivo de punto final que intenta conectarse.
  • Autenticador (Authenticator): El PEP (switch o punto de acceso) que facilita la conexión.
  • Servidor de autenticación (Authentication Server): El servidor RADIUS que valida las credenciales.

La comunicación entre el Suplicante y el Servidor de autenticación se realiza a través del Protocolo de autenticación extensible (EAP), tunelizado a través del Autenticador. Para los dispositivos corporativos administrados, EAP-TLS es el estándar de oro. Este exige la autenticación mutua mediante certificados digitales X.509, lo que garantiza que tanto el dispositivo como la red verifiquen sus identidades de forma criptográfica. Esto evita el robo de credenciales y los ataques de puntos de acceso no autorizados.

Categorías de evaluación de postura

Cuando un dispositivo intenta conectarse, el motor de evaluación de postura evalúa varios vectores críticos:

  • Sistema operativo y gestión de parches: Verificar que el sistema operativo sea compatible y que los parches críticos se apliquen dentro del SLA definido.
  • Seguridad del punto final (AV/EDR): Confirmar que los agentes antivirus o de detección y respuesta de puntos finales (EDR) aprobados estén instalados, activos y con las definiciones actualizadas.
  • Estado del firewall: Garantizar que el firewall basado en el host esté habilitado y que su política no haya sido alterada.
  • Cifrado de disco: Validar que el cifrado de disco completo (por ejemplo, BitLocker, FileVault) esté activo y no en estado suspendido.
  • Validación de certificados: Comprobar la presencia y validez del certificado de máquina requerido.
  • Cumplimiento de la configuración: Garantizar que la línea base de seguridad del dispositivo coincida con la política corporativa (por ejemplo, temporizadores de bloqueo de pantalla, almacenamiento masivo USB deshabilitado).

posture_compliance_checklist.png

WPA3-Enterprise y fuerza criptográfica

A medida que evoluciona la seguridad de la red, también lo hacen los estándares criptográficos subyacentes. WPA3-Enterprise, particularmente cuando opera en modo de 192 bits, proporciona mejoras significativas sobre WPA2. Exige el uso de GCMP-256 para el cifrado y HMAC-SHA-384 para la integridad. Para las organizaciones que manejan datos sensibles, como entornos de Retail sujetos a PCI DSS o instalaciones de Healthcare bajo un estricto gobierno de datos, la transición a WPA3-Enterprise es un paso necesario para preparar la infraestructura de red para el futuro.

Guía de implementación

Implementar la evaluación de postura de NAC requiere una planificación cuidadosa para evitar interrupciones generalizadas en la red. Se recomienda el siguiente enfoque por fases para entornos empresariales:

Fase 1: Preparación de la infraestructura y diseño de PKI

Antes de habilitar las comprobaciones de postura, asegúrese de que su infraestructura subyacente pueda soportar la arquitectura. Si implementa EAP-TLS, una infraestructura de clave pública (PKI) robusta no es negociable. Los certificados deben aprovisionarse y renovarse automáticamente a través de su MDM o directiva de grupo. La gestión manual de certificados provocará inevitablemente fallos de conectividad cuando estos expiren.

Fase 2: Modo de monitoreo (Fase de visibilidad)

La fase más crítica de cualquier implementación de NAC es el Modo de monitoreo. En esta fase, el sistema NAC evalúa la postura del dispositivo y registra los resultados, pero no aplica políticas. El PEP permite el acceso total independientemente del resultado de la postura.

Ejecute el Modo de monitoreo durante un mínimo de 2 a 4 semanas. Esto proporciona visibilidad sobre el estado real de cumplimiento de su parque tecnológico. Identificará dispositivos que fallan en las comprobaciones debido a agentes dañados, reinicios pendientes o configuraciones incorrectas. Utilice estos datos para remediar la situación de forma proactiva.

Fase 3: Aplicación segmentada

Una vez que la línea base de cumplimiento sea aceptable, comience con la aplicación de políticas. Los dispositivos se clasifican en tres estados según la evaluación de la política:

  1. Cumple: El dispositivo supera todas las comprobaciones críticas y se asigna a la VLAN de producción con todo el acceso necesario.
  2. Condicional: El dispositivo falla en una comprobación no crítica (por ejemplo, una actualización menor del sistema operativo está pendiente). Se le puede otorgar acceso restringido (por ejemplo, solo a internet) y se notifica al usuario para que lo solucione dentro de un plazo específico.
  3. No cumple: El dispositivo falla en una comprobación crítica (por ejemplo, AV desactivado). El PEP asigna el dispositivo a una VLAN de cuarentena.

Fase 4: Arquitectura de remediación

La VLAN de cuarentena debe estar estrictamente aislada. Solo debe permitir el tráfico a un portal de remediación, a los servidores de actualización necesarios (por ejemplo, Windows Update, servidores de definición de AV) y a los recursos internos de soporte de TI. Si un dispositivo en cuarentena puede enrutar tráfico a las subredes de producción, la arquitectura de NAC ha fallado.

Mejores prácticas

  • Evaluación continua: El NAC heredado evalúa la postura solo en el momento de la conexión. Las implementaciones modernas deben admitir la evaluación continua, reevaluando la postura a intervalos definidos o en respuesta a eventos (por ejemplo, una alerta de EDR), y actualizando dinámicamente el nivel de acceso del dispositivo a través del Cambio de Autorización (CoA).
  • Con agente frente a sin agente: Para los dispositivos corporativos administrados, un enfoque basado en agentes proporciona la visibilidad más profunda y capacidades de monitoreo continuo. La interrogación sin agente es adecuada para dispositivos no administrados o entornos donde la implementación de un agente es administrativamente prohibitiva.
  • MAC Authentication Bypass (MAB): Los dispositivos que no son compatibles con 802.1X (por ejemplo, impresoras heredadas, sensores IoT) requieren MAB. Sin embargo, MAB es intrínsecamente inseguro, ya que las direcciones MAC se pueden falsificar. Los dispositivos MAB deben ser perfilados minuciosamente y ubicados en VLANs estrictamente controladas y aisladas.
  • Alineación con Estándares: Base sus políticas de postura en marcos de trabajo establecidos, como los CIS Benchmarks. Esto garantiza que sus verificaciones de cumplimiento sean neutrales con respecto al proveedor y estén alineadas con las mejores prácticas de la industria.
  • Aislar el Tráfico de Invitados: La evaluación de postura de NAC corporativo nunca debe cruzarse con las redes de acceso público. Para los establecimientos que requieren ambos, utilice una plataforma dedicada de Guest WiFi , como la solución de WiFi Analytics de Purple, para gestionar el acceso público en una infraestructura completamente separada.

Resolución de Problemas y Mitigación de Riesgos

Modos de Falla Comunes

  1. La Aplicación del "Big Bang": Transicionar de un acceso abierto directamente a una aplicación estricta en toda la empresa de forma simultánea es una receta garantizada para la interrupción operativa. Utilice siempre implementaciones por fases, ya sea por sitio o por departamento.
  2. Fallas de PKI: Los certificados raíz o intermedios caducados, o la falla de la infraestructura de la Lista de Revocación de Certificados (CRL) / Protocolo de Estado de Certificados en Línea (OCSP), causarán fallas de autenticación generalizadas. Implemente un monitoreo robusto para su PKI.
  3. Bucles de Redirección de Corrección: Asegúrese de que los dispositivos en la VLAN de Cuarentena realmente tengan el acceso a la red necesario para descargar las actualizaciones requeridas para cumplir con las normas. Si no pueden comunicarse con los servidores de actualización, permanecerán en cuarentena de forma permanente.

ROI e Impacto de Negocio

La implementación de la evaluación de postura de NAC ofrece un valor comercial medible más allá de las métricas de seguridad puras:

  • Mitigación de Riesgos: Al garantizar que solo los dispositivos en buen estado accedan a la red, se reduce significativamente la propagación lateral de malware y ransomware, disminuyendo la probabilidad de costosas filtraciones de datos.
  • Verificación de Cumplimiento: Para sectores altamente regulados como Hospitality y Transport , la evaluación de postura automatizada proporciona evidencia continua del cumplimiento de estándares como PCI DSS y GDPR, simplificando los procesos de auditoría.
  • Eficiencia Operativa: Automatizar el proceso de cuarentena y corrección reduce la carga de trabajo del soporte técnico de TI, lo que permite a los ingenieros concentrarse en iniciativas estratégicas en lugar de limpiar manualmente los endpoints infectados.

Definiciones clave

802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos que proporciona un mecanismo de autenticación a los dispositivos que desean conectarse a una LAN o WLAN.

El protocolo fundamental que garantiza que un dispositivo debe autenticarse antes de que el puerto del switch o el punto de acceso permita el paso de cualquier tráfico IP.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security (Protocolo de autenticación extensible - Seguridad de la capa de transporte). Un marco de autenticación que utiliza certificados digitales X.509 para la autenticación mutua.

El estándar recomendado para dispositivos corporativos administrados, ya que se basa en certificados criptográficos en lugar de contraseñas que se pueden comprometer fácilmente.

Evaluación de postura

El proceso de evaluar el estado de seguridad y la configuración de un dispositivo terminal frente a una política corporativa definida.

Garantiza que un dispositivo no solo esté autenticado, sino que también esté "sano" (con parches aplicados, cifrado, protegido) antes de que se le conceda acceso a la red.

Punto de aplicación de políticas (PEP)

El dispositivo de red (switch, controlador inalámbrico o punto de acceso) que bloquea o permite físicamente el tráfico según la política de NAC.

El componente que realmente ejecuta el comando de "permitir" o "poner en cuarentena" emitido por el servidor NAC.

Punto de decisión de políticas (PDP)

El servidor o motor central (a menudo un servidor RADIUS) que evalúa las solicitudes de autenticación y los datos de postura para determinar los derechos de acceso.

El cerebro de la operación que contiene la base de reglas y decide qué nivel de acceso debe recibir un dispositivo específico.

Bypass de autenticación MAC (MAB)

Un método de autenticación de respaldo que utiliza la dirección MAC de un dispositivo como su credencial cuando no puede realizar la autenticación 802.1X.

Se utiliza para dispositivos sin interfaz de usuario, como impresoras o sensores IoT. Es intrínsecamente débil y debe combinarse con una segmentación de red estricta.

Cambio de autorización (CoA)

Una extensión de RADIUS que permite al servidor NAC cambiar dinámicamente el estado de autorización de una sesión activa.

Crucial para la evaluación continua; si un dispositivo deja de cumplir con las políticas mientras está conectado, el CoA permite que el servidor NAC lo mueva instantáneamente a una VLAN de cuarentena sin necesidad de desconectarlo.

VLAN de cuarentena

Un segmento de red estrictamente aislado diseñado para contener dispositivos que no cumplen con las políticas, proporcionando acceso únicamente a los recursos de remediación.

Evita que un dispositivo infectado o vulnerable se comunique con los sistemas de producción mientras descarga las actualizaciones o parches necesarios.

Ejemplos resueltos

Un hotel de 400 habitaciones requiere que las laptops del personal corporativo accedan de forma segura al sistema de gestión de propiedades (PMS) interno. Sin embargo, el establecimiento también alberga numerosos dispositivos IoT no gestionados (termostatos inteligentes, señalización digital) que no pueden ejecutar un agente NAC.

Implementar una política 802.1X EAP-TLS para todas las laptops del personal corporativo, aplicando controles estrictos de postura (AV activo, disco cifrado, parches actualizados). Estos dispositivos se asignan dinámicamente a la VLAN corporativa tras un cumplimiento exitoso. Para los dispositivos IoT, implementar MAC Authentication Bypass (MAB) combinado con un perfilado profundo de dispositivos. Asegurar que estos dispositivos MAB se ubiquen en VLANs de IoT dedicadas y aisladas, con ACLs que restrinjan su acceso únicamente a los controladores específicos con los que necesitan comunicarse. Bajo ninguna circunstancia la VLAN de IoT debe enrutarse a la VLAN corporativa o al PMS.

Comentario del examinador: Este enfoque segmenta correctamente la red en función de la capacidad del dispositivo y el perfil de riesgo. Aplica una alta seguridad para los dispositivos gestionados al tiempo que proporciona un método de acceso práctico y controlado para el hardware IoT sin interfaz de usuario, mitigando los riesgos inherentes de MAB.

Una cadena de tiendas de autoservicio está implementando nuevas terminales de punto de venta (POS) en 50 ubicaciones. El equipo de TI desea hacer cumplir el cumplimiento de postura para cumplir con los requisitos de PCI DSS, pero le preocupa interrumpir las operaciones de las tiendas durante el despliegue.

Implementar la arquitectura NAC en Modo de Monitoreo durante 30 días. Durante este período, el sistema NAC autenticará las terminales POS y evaluará su postura frente a la línea base de PCI DSS (por ejemplo, firewall activo, sin software no autorizado), pero registrará las fallas sin bloquear el acceso. El equipo de TI revisará los registros semanalmente, identificará las terminales que no superen las comprobaciones y las corregirá a través de la plataforma MDM. Una vez que la tasa de cumplimiento alcance el 100%, la política se cambiará a Modo de Ejecución sitio por sitio durante las ventanas de mantenimiento.

Comentario del examinador: El enfoque por fases que utiliza el Modo de Monitoreo es fundamental para la continuidad del negocio. Permite al equipo de seguridad identificar y resolver las brechas de cumplimiento sin afectar las operaciones de POS que generan ingresos.

Preguntas de práctica

Q1. A recently deployed NAC solution in a corporate office is causing widespread connectivity issues. Devices that were compliant yesterday are now being placed in the Quarantine VLAN. The IT helpdesk reports that the devices appear healthy, with AV running and patches applied. What is the most likely architectural failure?

Sugerencia: Consider the lifecycle of the credentials used in EAP-TLS.

Ver respuesta modelo

The most likely cause is a failure in the Public Key Infrastructure (PKI). If the machine certificates used for EAP-TLS authentication have expired, or if the NAC server cannot reach the Certificate Revocation List (CRL) or OCSP responder, the authentication will fail regardless of the device's actual security posture. The NAC system defaults to a fail-closed or quarantine state.

Q2. You are designing the VLAN architecture for a new NAC deployment. The security team insists that the Quarantine VLAN must allow access to the corporate proxy server so users can browse the internet while their devices remediate. Is this a sound design?

Sugerencia: Evaluate the risk of allowing a potentially compromised device access to shared infrastructure.

Ver respuesta modelo

No, this is a flawed design. Allowing a quarantined device access to the corporate proxy introduces significant risk. If the device is infected with malware, it could use the proxy to establish command-and-control communication or attempt to pivot to other internal systems accessible via the proxy. The Quarantine VLAN must be strictly isolated, permitting access only to specific remediation servers (e.g., Windows Update, AV definition servers) and the remediation portal itself.

Q3. A hospital IT team needs to secure network access for a fleet of new wireless medical infusion pumps. These devices do not support 802.1X supplicants and cannot run a posture agent. How should network access be controlled for these devices?

Sugerencia: Consider alternative authentication methods and the principle of least privilege.

Ver respuesta modelo

The devices must be authenticated using MAC Authentication Bypass (MAB). Because MAB is inherently weak (MAC addresses can be spoofed), the network access must be heavily restricted. The infusion pumps should be placed in a dedicated, isolated Medical IoT VLAN. Access Control Lists (ACLs) must be applied to this VLAN, permitting communication only with the specific central management servers required for their operation, and blocking all other lateral movement or internet access.

Continúe leyendo esta serie

Hotel Guest WiFi Management: Integrating PMS, Portals, and Brand Standards

Esta guía técnica detalla cómo estructurar redes WiFi hoteleras de nivel empresarial, enfocándose en la segmentación de VLAN, la integración de PMS para la gestión automatizada de sesiones y la optimización del Captive Portal para la captura de datos conforme a GDPR.

Leer la guía →

How to Set Up Guest WiFi: A Secure Enterprise Configuration Guide

Esta guía autorizada proporciona a los líderes de TI y arquitectos de red un plan definitivo para implementar un WiFi de invitados empresarial seguro. Cubre la arquitectura esencial, la migración a WPA3, la segmentación de VLAN y la integración de Captive Portal para proteger los sistemas internos mientras se recopilan datos de primera mano en cumplimiento con las normativas.

Leer la guía →

Gestión de ancho de banda para WiFi de personal: modelado, QoS y reducción de tráfico

Esta guía detalla métodos prácticos para gestionar el ancho de banda para el WiFi de personal en entornos empresariales. Cubre el modelado de tráfico, la implementación de QoS y cómo el despliegue de Purple Shield reduce la carga de la red sin requerir actualizaciones de infraestructura.

Leer la guía →
Evaluación de postura NAC: Garantizando el cumplimiento de dispositivos gestionados antes del acceso a la red | Guías técnicas | Purple