Saltar al contenido principal

¿Qué es un supplicant 802.1X? Tipos de clientes y configuración de dispositivos

Esta guía explica la función del supplicant 802.1X en la autenticación de WiFi empresarial. Cubre la arquitectura técnica, compara los supplicants nativos del sistema operativo con clientes de terceros y proporciona orientación práctica de configuración para equipos de TI que implementan EAP-TLS y PEAP.

📖 5 min de lectura📝 1,091 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
Hable en inglés británico con un tono seguro, autoritario y conversacional, como si fuera un consultor sénior de seguridad de red informando a un cliente. Ritmo moderado, dicción clara, profesional pero no rígido. Pausas naturales ocasionales para enfatizar: Bienvenido a la serie de sesiones informativas técnicas de Purple. Hoy cubriremos algo que se encuentra justo en el corazón de la seguridad de WiFi empresarial: el suplicante 802.1X. Si alguna vez se ha preguntado por qué algunos dispositivos se conectan a su red corporativa sin solicitar una contraseña, mientras que otros muestran errores de certificado y tickets de soporte, este es el episodio para usted. [pausa media] Comencemos con lo básico. El suplicante 802.1X es el componente de software en un dispositivo cliente (una laptop, un smartphone, una tablet) que maneja el intercambio de autenticación cuando ese dispositivo intenta unirse a una red protegida por IEEE 802.1X. Piense en él como el presentador de la tarjeta de identificación del dispositivo. La red no permite la entrada de cualquiera. Solicita credenciales. El suplicante es el que da un paso al frente y dice: aquí está quién soy, aquí está mi certificado, déjame entrar. El estándar en sí (IEEE 802.1X) define el control de acceso a la red basado en puertos. Antes de que la autenticación sea exitosa, el punto de acceso o switch solo permite el paso de un tipo muy específico de tráfico: tramas EAPOL, que significa Protocolo de Autenticación Extensible sobre LAN. Todo lo demás está bloqueado. Una vez que el suplicante demuestra su identidad al servidor RADIUS a través del autenticador, el puerto se abre y el tráfico normal fluye. [pausa media] Ahora, hay tres actores en este juego. Primero, el suplicante: el dispositivo cliente. Segundo, el autenticador: su punto de acceso o switch, hardware como Cisco Meraki, HPE Aruba, Ruckus o Juniper Mist. Tercero, el servidor de autenticación: casi siempre un servidor RADIUS, que valida las credenciales frente a un directorio como Microsoft Entra ID o Okta. El suplicante inicia el proceso enviando un mensaje EAPOL-Start. El autenticador responde con una solicitud EAP-Request de identidad. El suplicante responde con su identidad. Esa identidad se reenvía al servidor RADIUS, que luego desafía al suplicante con el método EAP acordado. Si todo es correcto, el servidor RADIUS envía un Access-Accept, el puerto se abre y el dispositivo se coloca en la VLAN correcta. [pausa media] Hablemos de los métodos EAP, porque aquí es donde se toman la mayoría de las decisiones de implementación. EAP-TLS - o sea, Extensible Authentication Protocol con Transport Layer Security - es el estándar de oro. Requiere que tanto el cliente como el servidor presenten certificados. Autenticación mutua. Sin contraseñas. El certificado de cliente demuestra la identidad del dispositivo; el certificado del servidor demuestra que la red es legítima, lo que protege contra ataques de gemelo malvado donde un punto de acceso no autorizado intenta recopilar credenciales. EAP-TLS se completa en doce pasos y utiliza criptografía de clave pública-privada en todo el proceso. Es el método requerido para WPA3-Enterprise en su modo de seguridad más alto, y se alinea con los requisitos de NIST SP 800-171 para la verificación de identidad de dispositivos. PEAP - Protected EAP - es el punto de partida más común para las organizaciones que aún no tienen una PKI completa implementada. PEAP envuelve un método interno basado en contraseña, normalmente MSCHAPv2, dentro de un túnel TLS. El servidor presenta un certificado; el cliente no. Esto significa que la implementación es más sencilla - no es necesario aprovisionar certificados de cliente - pero es menos segura. MSCHAPv2 utiliza hash MD4, que se considera comprometido desde 1995. Si un usuario se conecta a un punto de acceso no autorizado que presenta un certificado que parece confiable, sus credenciales pueden ser capturadas. Por lo tanto, la validación del certificado del servidor en el lado del cliente no es negociable cuando se ejecuta PEAP. [medium pause] Ahora entremos en el suplicante en sí - específicamente la elección entre suplicantes nativos del SO y software de cliente de terceros. Cada sistema operativo principal viene con un suplicante 802.1X integrado. Windows lo admite de forma nativa desde XP, a través de los servicios Wireless AutoConfig y Wired AutoConfig. macOS y iOS manejan 802.1X a través de sus perfiles de configuración de red. Android lo admite a través del panel de configuración de WiFi. Estos suplicantes nativos cubren EAP-TLS y PEAP-MSCHAPv2 en todas las plataformas actuales. La ventaja de los suplicantes nativos es obvia: no hay software adicional que implementar, sin costo de licencia, actualizaciones automáticas de seguridad del SO y una estrecha integración con el almacén de certificados del sistema operativo. Para flotas de dispositivos administrados - máquinas Windows inscritas en Microsoft Entra ID o administradas mediante MDM, Macs administradas a través de Jamf - puede enviar perfiles de configuración de 802.1X de forma silenciosa, y los usuarios nunca verán un aviso. El dispositivo se autentica automáticamente cada vez que entra en el rango de cobertura. Los supplicants de terceros entran en juego en escenarios específicos. Si tiene una infraestructura Cisco y desea utilizar EAP-FAST - el método EAP propietario de Cisco - necesita el software de cliente de Cisco, históricamente Secure Services Client o AnyConnect Network Access Manager. Si necesita una gestión de configuración uniforme en un entorno de sistemas operativos mixtos y desea bloquear los ajustes del supplicant para que los usuarios no puedan desconfigurarlos accidentalmente, un cliente de terceros le ofrece ese control. Las herramientas como la suite JoinNow de SecureW2 también actúan como agentes de incorporación: configuran el supplicant nativo en lugar de reemplazarlo, guiando a los usuarios a través de la inscripción de certificados y la instalación de perfiles. [medium pause] Permítame guiarlo a través de dos escenarios del mundo real para que esto sea más concreto. Primero, un hotel de 400 habitaciones. La propiedad opera hoy en día una red para el personal en WPA2-Enterprise con PEAP-MSCHAPv2. El equipo de TI desea migrar a EAP-TLS para eliminar la autenticación basada en contraseñas y reducir el riesgo de robo de credenciales. El desafío: los dispositivos del personal son una mezcla de laptops Windows administradas a través de Intune, teléfonos Android personales utilizados para el software de administración de la propiedad y un puñado de máquinas heredadas con Windows 7 en las oficinas de administración. El enfoque aquí es gradual. Comience con la flota administrada de Windows. Envíe un perfil de configuración de Intune que instale el certificado CA raíz del servidor RADIUS, configure el perfil de WiFi para EAP-TLS e inicie la inscripción de certificados basada en SCEP desde la PKI interna. Esos dispositivos se autentican automáticamente desde el primer día. Para los dispositivos Android de uso personal (BYOD), implemente un portal de incorporación de autoservicio: los usuarios visitan una URL, descargan un perfil de configuración y el supplicant se configura para ellos. Las máquinas heredadas con Windows 7 permanecen en PEAP con una validación estricta del certificado del servidor aplicada, aisladas en una VLAN independiente con acceso limitado, hasta que se retiren de servicio. [medium pause] Segundo escenario: una gran cadena de retail con 200 tiendas. Cada tienda tiene una combinación de terminales de punto de venta, tablets del personal y una red WiFi para invitados. PCI-DSS exige que los entornos de datos de los titulares de tarjetas estén aislados de otros segmentos de la red. El minorista utiliza 802.1X en las redes de personal y de puntos de venta, con una asignación de VLAN impulsada por los atributos del certificado. Una terminal de punto de venta presenta un certificado de dispositivo con una unidad organizativa de "POS"; la política de RADIUS la asigna a la VLAN de PCI. Una tablet de personal presenta un certificado con "Staff" e ingresa a la VLAN de personal. Los dispositivos de invitados se conectan a un SSID completamente independiente, gestionado por una solución de Captive Portal. La configuración del supplicant en las terminales de punto de venta se bloquea mediante MDM. No se requiere interacción del usuario. Las terminales se autentican de forma silenciosa al arrancar. La renovación de certificados se automatiza a través de SCEP, por lo que no hay intervención manual cuando los certificados expiran. [medium pause] Ahora, los errores comunes de implementación. Permítame presentarle los cuatro más comunes. Número uno: falta de validación del certificado del servidor en implementaciones PEAP. Si no configura el suplicante para validar el certificado del servidor RADIUS y verificar el nombre del servidor, los usuarios quedan vulnerables a conectarse a un punto de acceso no autorizado. Especifique siempre la CA raíz de confianza y el nombre del servidor en el perfil del suplicante. Número dos: el vencimiento del certificado provoca fallas masivas de autenticación. Los certificados de cliente tienen un período de validez. Si no cuenta con una renovación automatizada a través de SCEP o NDES, se enfrentará a un escenario crítico en el que cientos de dispositivos dejarán de autenticarse simultáneamente. Cree la automatización de la renovación antes de iniciar la puesta en marcha. Número tres: dispositivos BYOD con un comportamiento del suplicante inconsistente. Android en particular tiene un soporte 802.1X fragmentado entre los distintos fabricantes. Algunas versiones requieren que el usuario instale manualmente el certificado de la CA antes de que el perfil de WiFi lo acepte. Un portal de incorporación que maneje este paso reduce significativamente el volumen de solicitudes al soporte técnico. Número cuatro: las actualizaciones de funciones de Windows 11 rompen la configuración del suplicante. Microsoft ha cambiado el comportamiento de 802.1X en varias actualizaciones de Windows 11. Específicamente, la actualización 24H2 introdujo cambios en la forma en que el suplicante nativo maneja la reversión de EAP-TLS. Pruebe sus perfiles de suplicante con las nuevas versiones del sistema operativo antes de implementarlos en producción. [medium pause] Preguntas rápidas ahora. ¿Pueden los dispositivos IoT admitir 802.1X? La mayoría no puede. Los dispositivos IoT suelen carecer por completo de un suplicante. La alternativa es MAC Authentication Bypass - MAB - donde el servidor RADIUS autentica el dispositivo en función de su dirección MAC. Las direcciones MAC se pueden falsificar, por lo que los dispositivos MAB siempre deben ubicarse en una VLAN de IoT aislada con reglas de firewall estrictas. ¿Necesito una PKI para ejecutar 802.1X? Para PEAP, no - solo necesita un certificado de servidor en el servidor RADIUS. Para EAP-TLS, sí - necesita una PKI para emitir certificados de cliente. Los servicios de PKI basados en la nube reducen considerablemente los costos de infraestructura. ¿Cómo interactúa 802.1X con la plataforma de acceso a la red de Purple? Purple funciona como una capa en la nube sobre su hardware existente - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y otros. En las redes de WiFi para el personal, el complemento SecurePass de Purple se integra con su proveedor de identidad - Microsoft Entra ID, Okta o Google Workspace - para aplicar la autenticación 802.1X y las políticas de VLAN por usuario sin requerir infraestructura RADIUS local. [medium pause] Para concluir: el suplicante 802.1X es el agente del lado del dispositivo que hace que funcione el control de acceso a la red basado en puertos. Su elección del método EAP - EAP-TLS para máxima seguridad, PEAP como opción de transición - determina sus requisitos de PKI y su enfoque de configuración del suplicante. Los suplicantes nativos del sistema operativo cubren la mayoría de los escenarios de dispositivos administrados cuando se implementan a través de MDM. Los clientes de terceros aportan valor en casos específicos: métodos EAP patentados, entornos de sistemas operativos mixtos que requieren una configuración uniforme o incorporación de BYOD de autoservicio. Las tres conclusiones clave: valide el certificado de su servidor RADIUS en cada perfil de suplicante, automatice la renovación de certificados antes de implementar EAP-TLS a escala e aísle los dispositivos que no admiten 802.1X - IoT, hardware heredado - en VLANs dedicadas con MAC Authentication Bypass como alternativa. Para obtener más información sobre cómo Purple se integra con su arquitectura de acceso a la red, visite purple dot ai. Gracias por escuchar.

header_image.png

Resumen Ejecutivo

Cuando un dispositivo se conecta a una red empresarial, el suplicante 802.1X es el componente de software responsable de demostrar su identidad. Para los administradores de TI y arquitectos de red en grandes recintos, comprender cómo funciona el suplicante es vital para asegurar el acceso a la red sin generar tickets de soporte técnico. Esta guía desmitifica al agente del lado del dispositivo en la autenticación IEEE 802.1X, contrastando las capacidades nativas del sistema operativo con el software suplicante de terceros. Examinaremos cómo configurar suplicantes para EAP-TLS y PEAP-MSCHAPv2, exploraremos escenarios de implementación en el mundo real en los sectores de hospitalidad y retail, y detallaremos cómo la configuración adecuada del suplicante se integra con las Redes Basadas en la Identidad para optimizar el acceso. Ya sea que administre un hotel de 200 habitaciones o un recinto activo con más de 80,000 asientos, la configuración correcta del suplicante es un pilar fundamental para construir un WiFi seguro y confiable.

Análisis Técnico Profundo

El estándar IEEE 802.1X define el control de acceso a la red basado en puertos. Funciona bajo una premisa simple: bloquear todo el tráfico en el extremo de la red hasta que un dispositivo demuestre su identidad. El suplicante es el participante del lado del cliente en este proceso.

Los Tres Componentes de 802.1X

La autenticación requiere tres entidades distintas:

  1. Suplicante: El dispositivo cliente (laptop, smartphone o tableta) que solicita acceso a la red.
  2. Autenticador: El dispositivo de acceso a la red, como un punto de acceso Cisco Meraki, HPE Aruba, Ruckus o Juniper Mist.
  3. Servidor de Autenticación: El servidor RADIUS que valida las credenciales frente a un proveedor de identidad como Microsoft Entra ID u Okta.

Antes de la autenticación, el puerto del autenticador se encuentra en un estado no autorizado, permitiendo únicamente el tráfico de Protocolo de Autenticación Extensible sobre LAN (EAPOL). El suplicante inicia el proceso con una trama EAPOL-Start. El autenticador solicita la identidad y el suplicante responde. Esta identidad se reenvía al servidor RADIUS, el cual determina el método EAP a utilizar. Tras una validación exitosa, el servidor RADIUS envía un mensaje Access-Accept, el puerto cambia a un estado autorizado y el dispositivo se asigna normalmente a una VLAN específica.

architecture_overview.png

Métodos EAP: El Idioma del Suplicante

El suplicante y el servidor RADIUS deben acordar un método de Protocolo de Autenticación Extensible (EAP). La elección del método EAP dicta la postura de seguridad y la carga de configuración en el suplicante.

EAP-TLS (Seguridad de la Capa de Transporte) EAP-TLS requiere una autenticación mutua basada en certificados. El suplicante proporciona un certificado de cliente para demostrar su identidad, y el servidor RADIUS proporciona un certificado de servidor para demostrar la legitimidad de la red. Este método sin contraseña elimina el robo de credenciales y es requerido por marcos de seguridad estrictos como NIST SP 800-171. El suplicante debe estar configurado para confiar en la Autoridad de Certificación (CA) emisora y poseer un certificado de cliente válido.

PEAP (Protected EAP) En escenarios donde una Infraestructura de Clave Pública (PKI) completa no es factible, PEAP es ampliamente utilizado. Encapsula un método de autenticación interno (normalmente MSCHAPv2) dentro de un túnel TLS seguro. El servidor RADIUS proporciona un certificado, pero el suplicante solo necesita proporcionar un nombre de usuario y contraseña. Aunque PEAP es más fácil de implementar, es altamente vulnerable a la recolección de credenciales si el suplicante no está estrictamente configurado para validar el certificado del servidor.

Guía de Implementación

Al implementar 802.1X, los equipos de TI deben decidir entre utilizar el suplicante nativo integrado en el sistema operativo o implementar un software suplicante de terceros.

Suplicantes Nativos del SO

Cada sistema operativo moderno incluye un suplicante 802.1X nativo. Windows utiliza los servicios Wired AutoConfig y WLAN AutoConfig. Los dispositivos Apple utilizan perfiles de red. Android integra esto dentro de su configuración de WiFi.

Los suplicantes nativos son ideales para flotas administradas. Al utilizar plataformas de gestión de dispositivos móviles (MDM) como Microsoft Intune o Jamf, los administradores de TI pueden insertar de forma silenciosa perfiles de configuración que definen el SSID, el método EAP, las CA raíz de confianza y los procesos de inscripción de certificados a través de SCEP. La experiencia del usuario es fluida; el dispositivo se autentica en segundo plano.

Software Suplicante de Terceros

Los suplicantes de terceros, como Cisco AnyConnect Network Access Manager o SecureW2 JoinNow, son necesarios en escenarios específicos:

  • Protocolos Propietarios: El uso de Cisco EAP-FAST requiere un suplicante de Cisco.
  • Incorporación de BYOD: Las herramientas de terceros a menudo actúan como asistentes de incorporación, guiando a los usuarios para instalar certificados en dispositivos no administrados donde la configuración nativa es compleja (particularmente en entornos fragmentados de Android).
  • Control de Configuración Estricto: Los suplicantes de terceros pueden bloquear las configuraciones, evitando que los usuarios deshabiliten la validación del certificado del servidor.

native_vs_thirdparty_comparison.png

Configuración de la Validación del Certificado del Servidor

Independientemente del suplicante elegido, configurar la validación del certificado del servidor es fundamental, especialmente para PEAP. Si el suplicante no valida el certificado del servidor RADIUS, enviará a ciegas las credenciales a un punto de acceso no autorizado que imite su SSID.

In Windows, esto significa marcar "Verify the server's identity by validating the certificate" en las propiedades de PEAP, seleccionar la Autoridad de Certificación Raíz de Confianza (Root CA) y especificar los nombres de servidor exactos que el cliente debe esperar. En dispositivos Apple, el perfil de configuración debe enumerar explícitamente los certificados de confianza.

Mejores Prácticas

  1. Forzar la Validación del Servidor: Al implementar PEAP, nunca lo haga sin configurar los suplicantes para validar el certificado del servidor RADIUS. Esta es la principal línea de defensa contra los ataques de "gemelo malvado".
  2. Automatizar el Ciclo de Vida de los Certificados: Al usar EAP-TLS, automatice la inscripción y renovación de certificados de cliente a través de MDM utilizando SCEP o NDES. La gestión manual de certificados no es escalable y provoca fallas de autenticación repentinas.
  3. Segregar por Identidad: Utilice atributos RADIUS para asignar VLANs según la identidad validada. Los dispositivos de los empleados y las terminales POS deben autenticarse en el mismo SSID pero terminar en VLANs completamente diferentes.
  4. Planificar para IoT: La mayoría de los dispositivos IoT carecen de suplicantes 802.1X. Para estos dispositivos, utilice la omisión de dirección MAC (MAB), pero asegúrese de que estén estrictamente aislados en una VLAN dedicada para IoT.

Resolución de Problemas y Mitigación de Riesgos

Cuando un dispositivo no logra conectarse, el problema casi siempre se encuentra en la configuración del cliente o en la cadena de certificados.

  • "Conectado, sin Internet": Esto generalmente apunta a una falla en la asignación de VLAN o a problemas de DHCP posteriores a la autenticación. Revise los registros de RADIUS para verificar que el mensaje Access-Accept contenga el Tunnel-Private-Group-Id correcto.
  • Fallas Silenciosas en Windows 11: Las actualizaciones de características recientes de Windows 11 (como la versión 24H2) han cambiado la forma en que el suplicante nativo maneja la alternativa de EAP-TLS. Pruebe siempre los perfiles con las nuevas compilaciones del sistema operativo antes de una implementación masiva.
  • Vencimiento de Certificados: Si un lote de dispositivos se desconecta repentinamente, verifique el período de validez de los certificados de cliente. Asegúrese de que su MDM los renueve con éxito antes de que venzan.

ROI e Impacto Comercial

Migrar a 802.1X con suplicantes correctamente configurados ofrece un valor comercial medible. Al eliminar las contraseñas compartidas (claves previamente compartidas o PSK), elimina por completo la carga operativa de rotar contraseñas cuando los empleados se van. Cambiar a EAP-TLS puede eliminar por completo los tickets de restablecimiento de contraseñas, lo que libera un tiempo de productividad significativo para la mesa de ayuda.

Además, 802.1X permite el aislamiento de red basado en la identidad en un solo SSID. En lugar de transmitir redes separadas para Guest WiFi , personal y operaciones, un solo SSID puede enrutar el tráfico de forma segura según las credenciales del cliente. Esto reduce la interferencia de canales y mejora el rendimiento general de la red, respaldando directamente el enfoque de superposición en la nube de Purple para la gestión de red independiente del hardware. Para obtener información analítica más detallada, explore nuestra función de WiFi Analytics .

Definiciones clave

Supplicant 802.1X

El componente de software en un dispositivo cliente que maneja el proceso de autenticación requerido para unirse a una red protegida por IEEE 802.1X.

Los equipos de TI configuran el supplicant para definir cómo un dispositivo demuestra su identidad ante la red.

Autenticador

El dispositivo de red (switch o punto de acceso) que bloquea el tráfico hasta que el supplicant se autentica con éxito.

El hardware de proveedores como Cisco Meraki o HPE Aruba actúa como el autenticador, transmitiendo mensajes entre el dispositivo y el servidor.

RADIUS

Remote Authentication Dial-In User Service. El servidor que verifica las credenciales proporcionadas por el supplicant.

El servidor RADIUS verifica la identidad frente a directorios como Okta o Microsoft Entra ID antes de otorgar el acceso.

EAP-TLS

Extensible Authentication Protocol con Transport Layer Security. Un método de autenticación que requiere certificados digitales tanto del cliente como del servidor.

Considerado el método más seguro para redes empresariales, eliminando la necesidad de contraseñas.

PEAP

Protected Extensible Authentication Protocol. Un método de autenticación que crea un túnel TLS seguro para proteger la autenticación basada en contraseñas.

Comúnmente utilizado en entornos BYOD donde implementar certificados de cliente en dispositivos no gestionados es demasiado complejo.

EAPOL

Extensible Authentication Protocol over LAN. El protocolo utilizado para encapsular mensajes EAP entre el supplicant y el autenticador.

Antes de la autenticación, EAPOL es el único tipo de tráfico que el autenticador permite pasar a través del puerto.

MAC Authentication Bypass (MAB)

Un método de autenticación alternativo donde la red utiliza la dirección MAC del dispositivo como su identidad.

Utilizado para impresoras, cámaras y dispositivos IoT que carecen de un supplicant 802.1X.

Asignación de VLAN

El proceso de colocar dinámicamente un dispositivo autenticado en un segmento de red virtual específico.

El servidor RADIUS le indica al autenticador qué VLAN asignar en función de la identidad del supplicant.

Ejemplos resueltos

Un hotel de 200 habitaciones necesita asegurar la red de su personal. Actualmente utilizan WPA2-Personal con una contraseña compartida y desean migrar a 802.1X. El personal utiliza una combinación de laptops Windows propiedad de la empresa y teléfonos Android personales para la programación de horarios. ¿Cómo deben configurar los supplicants?

El hotel debe implementar un enfoque híbrido. Para las laptops Windows corporativas, deben utilizar el supplicant nativo de Windows configurado a través de Microsoft Intune. El perfil de MDM debe enviar la configuración de EAP-TLS, instalar la CA raíz y automatizar la inscripción de certificados de cliente a través de SCEP. Para los teléfonos Android personales, deben implementar un agente de incorporación de terceros (como SecureW2) a través de un portal de autoservicio. El miembro del personal inicia sesión en el portal utilizando sus credenciales de Microsoft Entra ID y el agente configura automáticamente el supplicant nativo de Android para PEAP-MSCHAPv2, garantizando que la validación del certificado del servidor quede bloqueada.

Comentario del examinador: Este enfoque equilibra la seguridad con la realidad operativa. EAP-TLS se aplica donde existe control de MDM, proporcionando la máxima seguridad. PEAP se utiliza para BYOD donde la distribución de certificados de cliente es compleja, pero el agente de incorporación garantiza que el supplicant se configure de forma segura, mitigando el riesgo de puntos de acceso no autorizados.

Una gran cadena de tiendas de retail con 50 sucursales está implementando nuevas tabletas de punto de venta (POS) móviles. PCI-DSS requiere un aislamiento de red estricto. ¿Cómo debe garantizar el cumplimiento la configuración del supplicant?

Las tabletas deben gestionarse a través de MDM. El MDM envía un perfil de configuración del supplicant nativo que aplica EAP-TLS. Cada tableta recibe un certificado de cliente único que contiene un atributo que la identifica como un dispositivo POS. Cuando el supplicant de la tableta se autentica, el servidor RADIUS lee este atributo y devuelve una asignación de VLAN específicamente para el segmento de red que cumple con PCI. La configuración del supplicant debe estar bloqueada para que el personal de la tienda no pueda modificar los ajustes de red.

Comentario del examinador: El uso de EAP-TLS con asignación de VLAN basada en certificados es el método estándar para lograr el cumplimiento de PCI en redes inalámbricas. Elimina el error humano de la segmentación de red y garantiza que el dispositivo no pueda conectarse accidentalmente a las redes menos seguras del personal o de invitados de [Retail](/industries/retail).

Preguntas de práctica

Q1. Tu organización está implementando PEAP-MSCHAPv2 para una nueva red BYOD de personal. Durante las pruebas, notas que los dispositivos pueden conectarse a un punto de acceso de prueba que transmite el mismo SSID, a pesar de que no está conectado a tu servidor RADIUS. ¿Qué paso de configuración del supplicant se omitió?

Sugerencia: Considera cómo el supplicant verifica la identidad de la red antes de enviar las credenciales MSCHAPv2.

Ver respuesta modelo

El supplicant no fue configurado para validar el certificado del servidor. En PEAP, el supplicant debe configurarse explícitamente para confiar en la CA Raíz específica que emitió el certificado del servidor RADIUS, y para verificar el nombre de dominio del servidor. Sin esto, el supplicant establecerá un túnel TLS con cualquier servidor que presente un certificado, exponiendo las credenciales del usuario a un punto de acceso no autorizado.

Q2. Una universidad está migrando su flota de laptops Windows administradas de PEAP a EAP-TLS. Envían el nuevo perfil de configuración a través de MDM, pero todos los dispositivos fallan al autenticarse. Los registros de RADIUS muestran "EAP-TLS failed SSL/TLS handshake". ¿Cuál es la causa más probable?

Sugerencia: EAP-TLS requiere autenticación mutua. ¿Qué necesita el cliente que no necesitaba para PEAP?

Ver respuesta modelo

Los dispositivos cliente carecen de un certificado de cliente válido. EAP-TLS requiere que el supplicant presente un certificado al servidor RADIUS. El perfil MDM debe estar configurado no solo para establecer el método EAP en TLS, sino también para activar un protocolo como SCEP para solicitar e instalar un certificado de cliente desde la PKI de la organización antes de intentar la autenticación.

Q3. Necesitas conectar 50 smart TVs a la red en un entorno de [Salud](/industries/healthcare). Las televisiones solo son compatibles con WPA2-Personal (Clave Precompartida) y no tienen un supplicant 802.1X. ¿Cómo aseguras su acceso mientras mantienes 802.1X para los dispositivos del personal?

Sugerencia: Si el dispositivo no puede comunicarse mediante EAP, el autenticador debe identificarlo de otra manera.

Ver respuesta modelo

Debes utilizar MAC Authentication Bypass (MAB). El autenticador utilizará la dirección MAC de la smart TV como el nombre de usuario y la contraseña enviados al servidor RADIUS. Debido a que las direcciones MAC se pueden falsificar, el servidor RADIUS debe estar configurado para asignar estos dispositivos a una VLAN de IoT altamente restringida e aislada que solo permita el tráfico necesario.

Continúe leyendo esta serie

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Esta guía de referencia técnica describe la arquitectura, configuración e implementación de la autenticación RADIUS para redes WiFi empresariales de invitados y empleados. Proporciona a los arquitectos de red y gerentes de TI los protocolos exactos, los estándares de seguridad y las metodologías de solución de problemas requeridas para crear sistemas de control de acceso inalámbrico seguros y escalables.

Leer la guía →

Passpoint y OpenRoaming: Guía completa

Esta guía de referencia técnica proporciona un análisis exhaustivo de los frameworks Passpoint (Hotspot 2.0) y WBA OpenRoaming dentro de las redes WiFi empresariales. Detalla los protocolos de autenticación subyacentes, los componentes arquitectónicos y las estrategias de despliegue requeridas para establecer una conectividad de invitados segura y sin fricciones. Los arquitectos de red y los líderes de TI aprenderán a diseñar, implementar y solucionar problemas de estos estándares para eliminar las barreras de inicio de sesión manual mientras se mantiene la seguridad de nivel empresarial.

Leer la guía →

Cómo implementar SCEP para un BYOD seguro y el registro de redes en la educación superior

Esta guía técnica proporciona a los arquitectos de red y directores de TI un plan de acción independiente del proveedor para implementar el registro de certificados basado en SCEP para proteger las redes de campus de educación superior. Detalla cómo migrar de PEAP basado en contraseñas a 802.1X EAP-TLS, automatizar la incorporación de BYOD y aplicar una segmentación robusta de VLAN.

Leer la guía →