¿Qué es la autenticación 802.1X? Cómo funciona y por qué es importante

¿Qué es la autenticación 802.1X? Cómo funciona y por qué es importante Una sesión informativa técnica de Purple — aproximadamente 10 minutos --- INTRODUCCIÓN Y CONTEXTO — aproximadamente 1 minuto Bienvenido a la serie de sesiones informativas técnicas de Purple. Soy su anfitrión, y hoy cubriremos uno de los estándares más importantes —y más frecuentemente incomprendidos— en las redes empresariales: la autenticación IEEE 802.1X. Si usted es un gerente de TI, arquitecto de redes o CTO responsable de una implementación en múltiples sitios —ya sea un grupo hotelero, una cadena de retail, un estadio o un patrimonio del sector público— este es un estándar que necesita comprender a fondo. No porque sea académicamente interesante, sino porque implementarlo correctamente es la diferencia entre una red que protege genuinamente a su organización y una que le brinda una falsa sensación de seguridad. En los próximos diez minutos, cubriremos qué es realmente 802.1X, cómo funciona el flujo de autenticación bajo el capó, dónde encaja en su arquitectura de seguridad más amplia, cómo implementarlo sin los errores comunes y cómo se ve el caso de negocio en términos reales. Comencemos. --- INMERSIÓN TÉCNICA PROFUNDA — aproximadamente 5 minutos Entonces, ¿qué es 802.1X? En su esencia, es un estándar IEEE para el control de acceso a la red basado en puertos. La palabra clave aquí es "basado en puertos". Antes de que a un dispositivo se le permita cualquier acceso a la red —antes de que pueda enviar un solo paquete a sus recursos internos— debe autenticarse. El puerto de red, ya sea físico o inalámbrico, permanece lógicamente bloqueado hasta que la autenticación sea exitosa. Esto es fundamentalmente diferente de la forma en que funciona la mayoría del WiFi residencial. Con una configuración estándar WPA2-Personal, se tiene una clave precompartida —una contraseña— y cualquiera que conozca esa contraseña accede a la red. El problema es obvio: esa contraseña se escribe en pizarrones, se comparte en canales de Slack y se entrega a contratistas que se fueron hace seis meses. No hay responsabilidad individual, no hay pista de auditoría y revocar el acceso significa cambiar la contraseña para todos. 802.1X resuelve todo eso. El estándar define un modelo de tres partes. Está el Supplicant (Suplicante) —que es el dispositivo del usuario final, ya sea una laptop corporativa, un smartphone o un sensor IoT. Está el Authenticator (Autenticador) —típicamente su punto de acceso inalámbrico o switch administrado. Y está el Authentication Server (Servidor de Autenticación) —casi siempre un servidor RADIUS, que significa Remote Authentication Dial-In User Service. Así es como funciona el flujo. Cuando un suplicante se conecta a un puerto de red o SSID inalámbrico, el autenticador coloca ese puerto en un estado controlado; solo permite el paso de tráfico EAP. EAP significa Extensible Authentication Protocol (Protocolo de Autenticación Extensible) y es el marco que transporta el intercambio de credenciales real. El autenticador envía una solicitud de identidad EAP al suplicante. El suplicante responde con su identidad. Luego, el autenticador reenvía eso al servidor RADIUS, el cual desafía al suplicante a demostrar su identidad; esto podría ser a través de un usuario y contraseña, un certificado digital, una tarjeta inteligente o una combinación de factores. Una vez que el servidor RADIUS está satisfecho, envía un mensaje Access-Accept de vuelta al autenticador, el cual abre el puerto y permite el acceso completo a la red. Si la autenticación falla, el puerto permanece bloqueado o el dispositivo se coloca en una VLAN de invitados restringida. Ahora bien, el marco EAP es extensible por diseño; eso es lo que representa la letra E. Existen varios métodos EAP de uso común. EAP-TLS utiliza autenticación mutua basada en certificados (tanto el cliente como el servidor presentan certificados) y se considera el estándar de oro en seguridad. EAP-PEAP, que significa Protected EAP, envuelve la autenticación interna en un túnel TLS, lo que permite utilizar credenciales de usuario y contraseña de forma segura. EAP-TTLS es similar a PEAP pero más flexible en los métodos de autenticación interna que admite. Para la mayoría de las implementaciones empresariales, elegirá entre EAP-TLS para entornos de alta seguridad y PEAP-MSCHAPv2 para entornos donde la implementación de certificados no sea práctica. Ahora hablemos de cómo se integra esto con su infraestructura existente. El servidor RADIUS no autentica a los usuarios de forma aislada: consulta un almacén de identidades backend. En la mayoría de los entornos empresariales, se trata de Microsoft Active Directory o un directorio LDAP. El servidor RADIUS recibe la credencial del autenticador, la valida contra Active Directory y devuelve una decisión de política. Esa decisión de política puede incluir más que solo aceptar o rechazar: puede incluir la asignación de VLAN, políticas de ancho de banda y valores de tiempo de espera de la sesión. Aquí es donde la asignación dinámica de VLAN se vuelve poderosa. Puede definir una política que diga: si este usuario está en el grupo de Finanzas en Active Directory, asígnelo a la VLAN 20. Si es un contratista, asígnelo a la VLAN 50 con acceso exclusivo a internet. Si está en un dispositivo no administrado, colóquelo en la VLAN de invitados. Todo esto sucede de forma automática, en el punto de conexión, sin ninguna intervención manual. Para despliegues inalámbricos, 802.1X es el mecanismo de autenticación que sustenta a WPA2-Enterprise y WPA3-Enterprise. La capa de cifrado —la protección real de los datos en tránsito— se gestiona mediante el saludo de 4 vías (4-way handshake) que sigue a una autenticación 802.1X exitosa, generando claves PMK y PTK únicas por sesión. Esta es una diferencia crítica con respecto a WPA2-Personal, donde todos los clientes comparten el mismo material de derivación de claves de cifrado. En una red WPA2-Personal, un actor malicioso que capture el saludo de 4 vías y conozca la PSK puede descifrar todo el tráfico de esa red. Con WPA2-Enterprise y 802.1X, ese vector de ataque se elimina porque cada sesión utiliza material de claves único. Desde la perspectiva de cumplimiento, esto es sumamente importante. PCI DSS versión 4.0 exige controles de autenticación sólidos para cualquier red que transporte datos de titulares de tarjetas. El GDPR exige medidas técnicas adecuadas para proteger los datos personales. Si opera una red de retail donde las terminales de punto de venta comparten un segmento con la red WiFi de invitados, tiene un problema grave, y 802.1X con segmentación dinámica de VLAN es una parte fundamental de la solución. --- RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — aproximadamente 2 minutos Bien, hablemos del despliegue. El error más común que veo es que las organizaciones tratan a 802.1X como una opción binaria: o se despliega por completo en todo, o no se molestan en hacerlo. La realidad es que un enfoque por fases casi siempre es más práctico y exitoso. Comience con su SSID corporativo y sus dispositivos gestionados. Despliegue un servidor RADIUS: Microsoft NPS es gratuito y se integra de forma nativa con Active Directory; FreeRADIUS es la alternativa de código abierto para entornos que no son de Windows. Configure su infraestructura inalámbrica para utilizar WPA2-Enterprise o WPA3-Enterprise en el SSID corporativo. Envíe la configuración del suplicante 802.1X a los dispositivos gestionados a través de Directivas de Grupo o su plataforma MDM. Realice pruebas exhaustivas antes de la transición. Para el WiFi de invitados, el enfoque es diferente. Los invitados no tienen credenciales corporativas, por lo que no se utiliza 802.1X en el sentido tradicional. En su lugar, plataformas como Purple proporcionan una capa de Captive Portal que gestiona la identidad de los invitados —inicio de sesión con redes sociales, registro por correo electrónico, verificación por SMS— y luego coloca a los invitados autenticados en una VLAN aislada con políticas de ancho de banda y contenido adecuadas. Esto le brinda los beneficios de captura de datos y segmentación sin requerir que los invitados tengan credenciales de directorio. Los errores a evitar: la gestión de certificados es el punto crítico más común en los despliegues de EAP-TLS. Necesita una PKI (Infraestructura de Clave Pública) para emitir y gestionar certificados de cliente. Si no cuenta con una, la carga operativa de EAP-TLS puede ser significativa. PEAP-MSCHAPv2 es más fácil de desplegar, pero requiere prestar mucha atención a la validación del certificado del servidor en el lado del cliente; si los clientes no están configurados para validar el certificado del servidor RADIUS, quedará vulnerable a ataques de puntos de acceso no autorizados. La disponibilidad del servidor RADIUS es otra consideración crítica. Si su servidor RADIUS se cae, los usuarios autenticados no podrán conectarse. Implemente RADIUS en una configuración de alta disponibilidad (como mínimo, un servidor primario y uno secundario) y asegúrese de que sus puntos de acceso estén configurados para realizar la conmutación por error correctamente. Finalmente, los dispositivos IoT. Muchos dispositivos IoT no son compatibles con los suplicantes 802.1X. Para estos, la omisión de autenticación MAC (MAB, por sus siglas en inglés) es la solución alternativa común, donde la dirección MAC del dispositivo se utiliza como credencial. Esto es más débil que un 802.1X adecuado, por lo que debe aislar los dispositivos autenticados por MAB en una VLAN restringida y monitorearlos de cerca. --- PREGUNTAS Y RESPUESTAS RÁPIDAS — aproximadamente 1 minuto Permítanme repasar algunas preguntas que me hacen con regularidad. "¿Funciona 802.1X con RADIUS basado en la nube?" Sí, los servicios como Cisco ISE, Aruba ClearPass y las ofertas de RADIUS-as-a-service nativas de la nube son compatibles con 802.1X. La plataforma de Purple se integra con estos para una autenticación unificada de invitados y personal. "¿Puedo usar 802.1X tanto en una red cableada como en una inalámbrica?" Absolutamente. El estándar se diseñó originalmente para puertos Ethernet cableados y funciona de manera idéntica en switches administrados. "¿Cuál es el impacto en el rendimiento?" Despreciable en la práctica. El saludo de autenticación (handshake) agrega unos pocos cientos de milisegundos al momento de la conexión, pero tiene un impacto nulo en el rendimiento una vez que se establece la sesión. "¿WPA3 reemplaza a 802.1X?" No. WPA3-Enterprise sigue utilizando 802.1X para la autenticación; mejora los mecanismos de cifrado y el intercambio de claves, pero el marco de autenticación sigue siendo el mismo. --- RESUMEN Y PRÓXIMOS PASOS — aproximadamente 1 minuto En resumen: 802.1X es el estándar IEEE para el control de acceso a la red basado en puertos. Proporciona autenticación por usuario, asignación dinámica de políticas, un registro de auditoría completo y las claves de cifrado por sesión que hacen que WPA2-Enterprise y WPA3-Enterprise sean genuinamente seguros. Es la opción correcta para cualquier red empresarial, de hospitalidad, retail o del sector público donde se necesite responsabilidad individual y seguridad de nivel de cumplimiento. Sus próximos pasos inmediatos: audite su modelo actual de autenticación de red. Si está utilizando una PSK compartida en su SSID corporativo, esa es su primera prioridad de remediación. Evalúe su infraestructura RADIUS; si no tiene una, Microsoft NPS o FreeRADIUS son sólidos puntos de partida. Y si está administrando WiFi para invitados junto con la infraestructura corporativa, analice cómo las plataformas como Purple pueden proporcionar la capa de identidad de invitados que complementa su implementación corporativa de 802.1X. Para obtener más detalles sobre WPA2 frente a WPA3 y cómo interactúan con 802.1X, consulte la guía de comparación de Purple que se encuentra en las notas del programa. Gracias por escuchar. Nos vemos en la próxima sesión informativa.