¿Qué es un supplicant 802.1X? Tipos de cliente y configuración de dispositivos

Esta guía explica la función del supplicant 802.1X en la autenticación de WiFi empresarial. Cubre la arquitectura técnica, compara los supplicants nativos del sistema operativo con clientes de terceros y ofrece una guía de configuración práctica para equipos de TI que implementan EAP-TLS y PEAP.

📖 5 min de lectura📝 1,091 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast

Hable en inglés británico con un tono confiado, autoritario y conversacional, como un consultor sénior de seguridad de redes que informa a un cliente. Ritmo pausado, dicción clara, profesional pero no rígido. Pausas naturales ocasionales para dar énfasis:

Bienvenido a la serie de informes técnicos de Purple. Hoy cubriremos algo que se encuentra en el corazón de la seguridad de WiFi empresarial: el suplicante 802.1X. Si alguna vez se ha preguntado por qué algunos dispositivos se conectan a su red corporativa sin solicitar una contraseña, mientras que otros presentan errores de certificado y generan tickets de soporte técnico, este es el episodio para usted.

[pausa media]

Comencemos con lo básico. El suplicante 802.1X es el componente de software en un dispositivo cliente (una laptop, un smartphone, una tablet) que gestiona el saludo de autenticación cuando ese dispositivo intenta unirse a una red protegida por IEEE 802.1X. Piense en él como el presentador de la tarjeta de identificación del dispositivo. La red no permite la entrada de cualquiera. Solicita credenciales. El suplicante es el que da un paso al frente y dice: "este es quien soy, aquí está mi certificado, déjame entrar".

El estándar en sí (IEEE 802.1X) define el control de acceso a la red basado en puertos. Antes de que la autenticación sea exitosa, el punto de acceso o switch solo permite el paso de un tipo de tráfico muy limitado: tramas EAPOL, que significa Protocolo de Autenticación Extensible sobre LAN. Todo lo demás está bloqueado. Una vez que el suplicante demuestra su identidad al servidor RADIUS a través del autenticador, el puerto se abre y el tráfico normal fluye.

[pausa media]

Ahora, hay tres actores en este escenario. Primero, el suplicante: el dispositivo cliente. Segundo, el autenticador: su punto de acceso o switch, hardware como Cisco Meraki, HPE Aruba, Ruckus o Juniper Mist. Tercero, el servidor de autenticación: casi siempre un servidor RADIUS, que valida las credenciales contra un directorio como Microsoft Entra ID u Okta.

El suplicante inicia el proceso enviando un mensaje EAPOL-Start. El autenticador responde con una solicitud EAP-Request de identidad. El suplicante responde con su identidad. Esa identidad se reenvía al servidor RADIUS, el cual luego desafía al suplicante con el método EAP acordado. Si todo es correcto, el servidor RADIUS envía un Access-Accept, el puerto se abre y el dispositivo se ubica en la VLAN correcta.

[pausa media]

Hablemos de los métodos EAP, porque aquí es donde se toman la mayoría de las decisiones de implementación.

EAP-TLS (es decir, Extensible Authentication Protocol con Transport Layer Security) es el estándar de oro. Requiere que tanto el cliente como el servidor presenten certificados. Autenticación mutua. Sin contraseñas. El certificado de cliente demuestra la identidad del dispositivo; el certificado de servidor demuestra que la red es legítima, lo que protege contra ataques de gemelo malvado (evil twin) donde un punto de acceso no autorizado intenta recopilar credenciales. EAP-TLS se completa en doce pasos y utiliza criptografía de clave pública-privada en todo el proceso. Es el método requerido para WPA3-Enterprise en su modo de seguridad más alto y se alinea con los requisitos de NIST SP 800-171 para la verificación de identidad de dispositivos.

PEAP (Protected EAP) es el punto de partida más común para las organizaciones que aún no tienen una PKI completa implementada. PEAP envuelve un método interno basado en contraseñas, típicamente MSCHAPv2, dentro de un túnel TLS. El servidor presenta un certificado; el cliente no. Esto significa que la implementación es más sencilla (no es necesario aprovisionar certificados de cliente), pero es menos segura. MSCHAPv2 utiliza el hashing MD4, el cual se considera comprometido desde 1995. Si un usuario se conecta a un punto de acceso no autorizado que presenta un certificado que parece confiable, sus credenciales pueden ser capturadas. Por lo tanto, la validación del certificado del servidor en el lado del cliente es no negociable al ejecutar PEAP.

[medium pause]

Ahora entremos en el suplicante en sí, específicamente en la elección entre suplicantes nativos del sistema operativo y software de cliente de terceros.

Cada sistema operativo principal incluye un suplicante 802.1X integrado. Windows lo admite de forma nativa desde XP, a través de los servicios Wireless AutoConfig y Wired AutoConfig. macOS e iOS manejan 802.1X a través de sus perfiles de configuración de red. Android lo admite a través del panel de configuración de WiFi. Estos suplicantes nativos cubren EAP-TLS y PEAP-MSCHAPv2 en todas las plataformas actuales.

La ventaja de los suplicantes nativos es obvia: no hay software adicional que implementar, no hay costos de licencia, se obtienen actualizaciones automáticas de seguridad del sistema operativo y una estrecha integración con el almacén de certificados del sistema operativo. Para las flotas de dispositivos gestionados (máquinas de Windows inscritas en Microsoft Intune, Macs gestionadas a través de Jamf), puede implementar perfiles de configuración 802.1X de forma silenciosa a través de MDM, y los usuarios nunca verán una solicitud. El dispositivo se autentica automáticamente cada vez que entra en el rango de cobertura.

Los suplicantes de terceros entran en juego en escenarios específicos. Si opera una infraestructura Cisco y desea utilizar EAP-FAST (el método EAP propietario de Cisco), necesita el software de cliente de Cisco, históricamente el Secure Services Client o AnyConnect Network Access Manager. Si necesita una gestión de configuración consistente en un entorno de sistemas operativos mixtos y desea bloquear los ajustes del suplicante para que los usuarios no puedan desconfigurarlos accidentalmente, un cliente de terceros le ofrece ese control. Las herramientas como la suite JoinNow de SecureW2 también actúan como agentes de incorporación: configuran el suplicante nativo en lugar de reemplazarlo, guiando a los usuarios a través del registro de certificados y la instalación de perfiles.

[medium pause]

Permítame guiarlo a través de dos escenarios del mundo real para concretar esto.

Primero, un hotel de 400 habitaciones. Actualmente, la propiedad opera una red para el personal en WPA2-Enterprise con PEAP-MSCHAPv2. El equipo de TI desea migrar a EAP-TLS para eliminar la autenticación basada en contraseñas y reducir el riesgo de robo de credenciales. El desafío: los dispositivos del personal son una mezcla de laptops Windows administradas a través de Intune, teléfonos personales Android utilizados para el software de gestión de la propiedad y un puñado de equipos heredados con Windows 7 en las áreas de servicio.

El enfoque aquí es gradual. Comience con la flota de Windows administrada. Implemente un perfil de configuración de Intune que instale el certificado de CA raíz del servidor RADIUS, configure el perfil de WiFi para EAP-TLS e inicie el registro de certificados basado en SCEP desde la PKI interna. Esos dispositivos se autentican automáticamente desde el primer día. Para los dispositivos personales Android, implemente un portal de incorporación de autoservicio: los usuarios visitan una URL, descargan un perfil de configuración y el suplicante se configura para ellos. Las computadoras heredadas con Windows 7 permanecen en PEAP con una validación estricta del certificado del servidor, aisladas en una VLAN separada con acceso limitado, hasta que se retiren del servicio.

[medium pause]

Segundo escenario: una gran cadena minorista con 200 tiendas. Cada tienda tiene una mezcla de terminales de punto de venta, tabletas para el personal y una red WiFi para invitados. PCI DSS requiere que los entornos de datos de titulares de tarjetas estén aislados de otros segmentos de red. El minorista utiliza 802.1X en las redes del personal y de punto de venta, con asignación de VLAN impulsada por atributos de certificado. Una terminal de punto de venta presenta un certificado de dispositivo con una unidad organizativa de "POS"; la política de RADIUS la asigna a la VLAN de PCI. Una tableta del personal presenta un certificado con "Staff"; aterriza en la VLAN del personal. Los dispositivos de los invitados se conectan a un SSID completamente diferente, gestionado por una solución de Captive Portal.

La configuración del suplicante en las terminales de punto de venta se bloquea a través de MDM. No se requiere interacción del usuario. Las terminales se autentican silenciosamente al arrancar. La renovación de certificados se automatiza a través de SCEP, por lo que no hay intervención manual cuando los certificados expiran.

[medium pause]

Ahora, errores comunes de implementación. Permítame presentarle los cuatro más comunes.

Número uno: falta de validación del certificado del servidor en implementaciones PEAP. Si no configura el suplicante para validar el certificado del servidor RADIUS y verificar el nombre del servidor, los usuarios quedan vulnerables a conectarse a un punto de acceso no autorizado. Especifique siempre la CA raíz de confianza y el nombre del servidor en el perfil del suplicante.

Número dos: la expiración de certificados que causa fallas de autenticación masivas. Los certificados de cliente tienen un período de validez. Si no cuenta con una renovación automatizada a través de SCEP o NDES, se enfrentará a un colapso repentino en el que cientos de dispositivos dejarán de autenticarse simultáneamente. Configure la automatización de la renovación antes de la puesta en marcha.

Número tres: dispositivos BYOD con un comportamiento del suplicante inconsistente. Android, en particular, tiene un soporte fragmentado de 802.1X entre fabricantes. Algunas versiones requieren que el usuario instale manualmente el certificado de la CA antes de que el perfil de WiFi lo acepte. Un portal de incorporación que maneje este paso reduce significativamente el volumen del soporte técnico.

Número cuatro: las actualizaciones de funciones de Windows 11 que alteran la configuración del suplicante. Microsoft ha cambiado el comportamiento de 802.1X en varias actualizaciones de Windows 11. Específicamente, la actualización 24H2 introdujo cambios en la forma en que el suplicante nativo maneja la degradación (fallback) a EAP-TLS. Pruebe sus perfiles de suplicante con las nuevas versiones de sistemas operativos antes de implementarlos en producción.

[medium pause]

Preguntas rápidas ahora.

¿Pueden los dispositivos IoT soportar 802.1X? La mayoría no. Los dispositivos IoT suelen carecer por completo de un suplicante. La alternativa es MAC Authentication Bypass (MAB), donde el servidor RADIUS autentica el dispositivo basándose en su dirección MAC. Las direcciones MAC se pueden suplantar, por lo que los dispositivos MAB siempre deben asignarse a una VLAN de IoT aislada con reglas de firewall estrictas.

¿Necesito una PKI para ejecutar 802.1X? Para PEAP, no; solo necesita un certificado de servidor en el servidor RADIUS. Para EAP-TLS, sí; necesita una PKI para emitir certificados de cliente. Los servicios de PKI basados en la nube reducen considerablemente la carga de infraestructura.

¿Cómo interactúa 802.1X con la plataforma de acceso a la red de Purple? Purple funciona como una superposición en la nube sobre su hardware existente: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, entre otros. En las redes WiFi del personal, el complemento SecurePass de Purple se integra con su proveedor de identidad (Microsoft Entra ID, Okta o Google Workspace) para aplicar la autenticación 802.1X y las políticas de VLAN por usuario sin requerir infraestructura RADIUS local.

[medium pause]

Para concluir: el suplicante 802.1X es el agente del lado del dispositivo que permite que funcione el control de acceso a la red basado en puertos. Su elección de método EAP (EAP-TLS para una seguridad máxima, PEAP como opción de transición) define sus requisitos de PKI y su enfoque de configuración del suplicante. Los suplicantes nativos del sistema operativo cubren la mayoría de los escenarios de dispositivos administrados cuando se implementan mediante MDM. Los clientes de terceros aportan valor en casos específicos: métodos EAP propietarios, entornos con sistemas operativos mixtos que requieren una configuración uniforme o incorporación BYOD en modalidad de autoservicio.

Las tres conclusiones clave: valide el certificado de su servidor RADIUS en cada perfil de suplicante, automatice la renovación de certificados antes de implementar EAP-TLS a escala y aísle los dispositivos que no admiten 802.1X (IoT, hardware heredado) en VLANs dedicadas con MAC Authentication Bypass como alternativa.

Para obtener más información sobre cómo se integra Purple con su arquitectura de acceso a la red, visite purple dot ai. Gracias por escuchar.

Puntos clave

✓El supplicant 802.1X es el software en un dispositivo cliente que maneja la autenticación de red.
✓EAP-TLS proporciona la máxima seguridad al requerir certificados tanto del cliente como del servidor.
✓PEAP simplifica la implementación al requerir únicamente un certificado de servidor, pero necesita una configuración estricta del supplicant para evitar el robo de credenciales.
✓Los supplicants nativos del sistema operativo son suficientes para la mayoría de los entornos administrados cuando se implementan a través de MDM.
✓El software de cliente de terceros es útil para la incorporación de BYOD o para aplicar protocolos propietarios.
✓Configure siempre el supplicant para validar el certificado del servidor RADIUS para evitar ataques de gemelo malvado.
✓Automatice la renovación de certificados de cliente para evitar fallas masivas de autenticación.

执行摘要

当设备连接到企业网络时，802.1X 客户端 (Supplicant) 是负责证明其身份的软件组件。对于大型场馆的 IT 经理和网络架构师而言，了解客户端的工作原理对于在不产生服务台工单的情况下确保网络访问安全至关重要。本指南将揭秘 IEEE 802.1X 认证中的设备端代理，对比原生操作系统功能与第三方客户端软件。我们将研究如何为 EAP-TLS 和 PEAP-MSCHAPv2 配置客户端，探讨酒店和零售行业的实际部署场景，并详细介绍正确的客户端配置如何与基于身份的网络（Identity-Based Networks）集成以优化访问。无论您是管理 200 间客房的酒店，还是管理拥有 80,000 多个座位的活动场馆，正确配置客户端都是构建安全、可靠 WiFi 的基石。

技术深挖

IEEE 802.1X 标准定义了基于端口的网络访问控制。它基于一个简单的原则：在设备证明其身份之前，阻断网络边缘的所有流量。客户端是此过程中的客户端参与者。

802.1X 的三个组成部分

认证需要三个不同的实体：

客户端 (Supplicant)：请求网络访问的客户端设备（笔记本电脑、智能手机或平板电脑）。
认证器 (Authenticator)：网络访问设备，例如 Cisco Meraki、HPE Aruba、Ruckus 或 Juniper Mist 接入点。
认证服务器 (Authentication Server)：根据 Microsoft Entra ID 或 Okta 等身份提供商验证凭据的 RADIUS 服务器。

在认证之前，认证器的端口处于未授权状态，仅允许局域网上的可扩展身份验证协议 (EAPOL) 流量。客户端通过 EAPOL-Start 帧发起该过程。认证器请求身份，客户端进行响应。该身份将被转发到 RADIUS 服务器，由其决定要使用的 EAP 方法。验证成功后，RADIUS 服务器会发送 Access-Accept 消息，端口转换为授权状态，设备通常会被分配到特定的 VLAN。

EAP 方法：客户端的语言

客户端和 RADIUS 服务器必须就可扩展身份验证协议 (EAP) 方法达成一致。EAP 方法的选择决定了安全状况以及客户端的配置负担。

EAP-TLS（传输层安全协议） EAP-TLS 需要使用数字证书进行双向身份验证。客户端（Supplicant）提供客户端证书以证明其身份，RADIUS 服务器提供服务器证书以证明网络的合法性。这种无密码方法消除了凭据窃取，并且是 NIST SP 800-171 等严格安全框架所要求的。客户端必须配置为信任颁发证书颁发机构 (CA) 并拥有有效的客户端证书。

PEAP (Protected EAP) 在无法使用完整公钥基础设施 (PKI) 的情况下，PEAP 被广泛使用。它在 TLS 隧道内封装了一个内部身份验证方法（通常是 MSCHAPv2）。RADIUS 服务器提供证书，但客户端只需提供用户名和密码。虽然 PEAP 更易于部署，但如果未严格配置客户端来验证服务器证书，它很容易受到凭据收集攻击。

实施指南

在部署 802.1X 时，IT 团队必须在选择使用操作系统内置的原生客户端，还是部署第三方客户端软件之间做出决定。

原生系统客户端

每个现代操作系统都包含一个原生的 802.1X 客户端。Windows 使用有线自动配置 (Wired AutoConfig) 和无线自动配置 (WLAN AutoConfig) 服务。Apple 设备使用网络配置文件。Android 将其集成在 WiFi 设置中。

原生客户端是托管设备群的理想选择。使用 Microsoft Intune 或 Jamf 等移动设备管理 (MDM) 平台，IT 管理员可以静默推送配置文件，这些文件通过 SCEP 定义了 SSID、EAP 方法、受信任的根 CA 以及证书注册过程。用户体验是无缝的；设备在后台进行身份验证。

第三方客户端软件

在特定场景下，需要使用第三方客户端，例如 Cisco AnyConnect 网络访问管理器或 SecureW2 JoinNow：

专有协议：使用 Cisco EAP-FAST 需要 Cisco 客户端。
BYOD 准入：第三方工具通常充当准入助手，引导用户在原生配置较为复杂的非托管设备上安装证书（特别是在碎片化的 Android 环境中）。
严格的配置控制：第三方客户端可以锁定设置，防止用户禁用服务器证书验证。

配置服务器证书验证

无论选择哪种客户端，配置服务器证书验证都至关重要，特别是对于 PEAP。如果客户端不验证 RADIUS 服务器的证书，它会毫无防备地将凭据发送给模仿您 SSID 的恶意接入点。

在 Windows 中，这意味着勾选 PEAP 属性中的“验证服务器证书”、选择受信任的根证书颁发机构（Root CA），并指定客户端应期望的确切服务器名称。在 Apple 设备上，配置文件必须明确列出受信任的证书。

最佳实践

强制服务器验证：部署 PEAP 时，切勿在未配置客户端验证 RADIUS 服务器证书的情况下进行。这是防御“邪恶双胞胎”（evil twin）攻击的首要防线。
自动化证书生命周期：使用 EAP-TLS 时，应通过 MDM 使用 SCEP 或 NDES 自动执行客户端证书的注册和更新。手动证书管理难以扩展，且会导致突发性的身份验证失败。
按身份进行隔离：使用 RADIUS 属性根据验证的身份分配 VLAN。员工设备和 POS 终端应验证到同一个 SSID，但最终落在不同的 VLAN 上。
为物联网（IoT）做好规划：大多数 IoT 设备缺乏 802.1X 客户端。对于这些设备，请使用 MAC 地址绕过认证（MAB），但必须将其严格隔离在专用的 IoT VLAN 上。

故障排查与风险缓解

当设备无法连接时，问题几乎总是出在客户端配置或证书链上。

“已连接，无互联网”：这通常表明 VLAN 分配失败或身份验证后出现 DHCP 问题。请检查 RADIUS 日志以确认 Access-Accept 消息中是否包含了正确的 Tunnel-Private-Group-Id。
Windows 11 上的静默失败：最近的 Windows 11 功能更新（如 24H2）改变了原生客户端处理 EAP-TLS 回退的方式。在广泛部署之前，请务必针对新的操作系统版本测试配置文件。
证书过期：如果一批设备突然掉网，请检查客户端证书的有效期。确保您的 MDM 在证书过期之前成功对其进行了更新。

投资回报率（ROI）与业务影响

迁移到配置了正确客户端的 802.1X 可以带来可衡量的业务价值。通过消除共享密码（预共享密钥/PSK），您可以彻底免除在员工离职时轮换密码的操作开销。转向 EAP-TLS 可以完全消除密码重置工单，从而为服务台释放大量的生产力时间。

此外，802.1X 允许在单个 SSID 上实现基于身份的网络隔离。无需为 Guest WiFi 、员工和运营广播独立的网络，单个 SSID 即可根据客户端的凭据安全地路由流量。这减少了信道干扰并提高了整体网络性能，直接支持了 Purple 的云端覆盖方法来进行与硬件无关的网络管理。如需更深入地了解分析，请探索我们的 WiFi Analytics 功能。

Definiciones clave

Supplicant 802.1X

El componente de software en un dispositivo cliente que gestiona el proceso de autenticación requerido para unirse a una red protegida por IEEE 802.1X.

Los equipos de TI configuran el supplicant para definir cómo un dispositivo demuestra su identidad ante la red.

Autenticador

El dispositivo de red (switch o punto de acceso) que bloquea el tráfico hasta que el supplicant se autentica correctamente.

El hardware de proveedores como Cisco Meraki o HPE Aruba actúa como autenticador, retransmitiendo mensajes entre el dispositivo y el servidor.

RADIUS

Remote Authentication Dial-In User Service. El servidor que verifica las credenciales proporcionadas por el supplicant.

El servidor RADIUS comprueba la identidad frente a directorios como Okta o Microsoft Entra ID antes de conceder el acceso.

EAP-TLS

Extensible Authentication Protocol with Transport Layer Security. Un método de autenticación que requiere certificados digitales tanto del cliente como del servidor.

Considerado el método más seguro para redes empresariales, eliminando la necesidad de contraseñas.

PEAP

Protected Extensible Authentication Protocol. Un método de autenticación que crea un túnel TLS seguro para proteger la autenticación basada en contraseñas.

Comúnmente utilizado en entornos BYOD donde implementar certificados de cliente en dispositivos no gestionados es demasiado complejo.

EAPOL

Extensible Authentication Protocol over LAN. El protocolo utilizado para encapsular mensajes EAP entre el supplicant y el autenticador.

Antes de la autenticación, EAPOL es el único tipo de tráfico que el autenticador permite pasar a través del puerto.

MAC Authentication Bypass (MAB)

Un método de autenticación alternativo donde la red utiliza la dirección MAC del dispositivo como su identidad.

Utilizado para impresoras, cámaras y dispositivos IoT que carecen de un supplicant 802.1X.

Asignación de VLAN

El proceso de colocar de manera dinámica un dispositivo autenticado en un segmento de red virtual específico.

El servidor RADIUS le indica al autenticador qué VLAN asignar en función de la identidad del supplicant.

Ejemplos resueltos

Un hotel de 200 habitaciones necesita asegurar su red para el personal. Actualmente utilizan WPA2-Personal con una contraseña compartida y desean migrar a 802.1X. El personal utiliza una mezcla de laptops de Windows propiedad de la empresa y teléfonos Android personales para la programación de horarios. ¿Cómo deben configurar los supplicants?

El hotel debe implementar un enfoque híbrido. Para las laptops Windows de la empresa, deben utilizar el supplicant nativo de Windows configurado a través de Microsoft Intune. El perfil de MDM debe enviar los ajustes de EAP-TLS, instalar la CA raíz y automatizar la inscripción de certificados de cliente a través de SCEP. Para los teléfonos Android personales, deben implementar un agente de incorporación de terceros (como SecureW2) a través de un portal de autoservicio. El miembro del personal inicia sesión en el portal con sus credenciales de Microsoft Entra ID y el agente configura automáticamente el supplicant nativo de Android para PEAP-MSCHAPv2, asegurando que la validación del certificado del servidor quede bloqueada.

Comentario del examinador: Este enfoque equilibra la seguridad con la realidad operativa. EAP-TLS se aplica donde existe control de MDM, proporcionando la máxima seguridad. PEAP se utiliza para BYOD donde la distribución de certificados de cliente es compleja, pero el agente de incorporación garantiza que el supplicant se configure de forma segura, mitigando el riesgo de puntos de acceso no autorizados.

Una gran cadena minorista con 50 tiendas está implementando nuevas tabletas de punto de venta (POS) móviles. PCI DSS requiere un aislamiento estricto de la red. ¿Cómo debe garantizar el cumplimiento la configuración del supplicant?

Las tabletas deben gestionarse a través de MDM. El MDM envía un perfil de configuración del supplicant nativo que aplica EAP-TLS. Cada tableta recibe un certificado de cliente único que contiene un atributo que la identifica como un dispositivo POS. Cuando el supplicant de la tableta se autentica, el servidor RADIUS lee este atributo y devuelve una asignación de VLAN específicamente para el segmento de red que cumple con PCI. La configuración del supplicant debe estar bloqueada para que el personal de la tienda no pueda modificar los ajustes de red.

Comentario del examinador: El uso de EAP-TLS con asignación de VLAN basada en certificados es el método de libro para lograr el cumplimiento de PCI en redes inalámbricas. Elimina el error humano de la segmentación de red y garantiza que el dispositivo no se conecte accidentalmente a las redes menos seguras del personal o de invitados de [Retail](/industries/retail).

Preguntas de práctica

Q1. Su organización está implementando PEAP-MSCHAPv2 para una nueva red BYOD de personal. Durante las pruebas, nota que los dispositivos pueden conectarse a un punto de acceso de prueba que transmite el mismo SSID, aunque no esté conectado a su servidor RADIUS. ¿Qué paso de configuración del supplicant se omitió?

Sugerencia: Considere cómo el supplicant verifica la identidad de la red antes de enviar las credenciales MSCHAPv2.

Ver respuesta modelo

El supplicant no se configuró para validar el certificado del servidor. En PEAP, el supplicant debe estar configurado explícitamente para confiar en la CA raíz específica que emitió el certificado del servidor RADIUS y para verificar el nombre de dominio del servidor. Sin esto, el supplicant establecerá un túnel TLS con cualquier servidor que presente un certificado, exponiendo las credenciales del usuario a un punto de acceso falso.

Q2. Una universidad está migrando su flota de laptops Windows administradas de PEAP a EAP-TLS. Envían el nuevo perfil de configuración a través de MDM, pero todos los dispositivos fallan al autenticarse. Los registros de RADIUS muestran 'EAP-TLS failed SSL/TLS handshake'. ¿Cuál es la causa más probable?

Sugerencia: EAP-TLS requiere autenticación mutua. ¿Qué necesita el cliente que no requería para PEAP?

Ver respuesta modelo

Los dispositivos cliente carecen de un certificado de cliente válido. EAP-TLS requiere que el supplicant presente un certificado al servidor RADIUS. El perfil MDM debe configurarse no solo para establecer el método EAP en TLS, sino también para activar un protocolo como SCEP para solicitar e instalar un certificado de cliente desde la PKI de la organización antes de intentar la autenticación.

Q3. Necesita conectar 50 smart TVs a la red en un entorno de [Salud](/industries/healthcare). Las televisiones solo admiten WPA2-Personal (Clave Precompartida) y no tienen un supplicant 802.1X. ¿Cómo asegura su acceso manteniendo al mismo tiempo 802.1X para los dispositivos del personal?

Sugerencia: Si el dispositivo no puede comunicarse mediante EAP, el autenticador debe identificarlo de otra manera.

Ver respuesta modelo

Debe utilizar MAC Authentication Bypass (MAB). El autenticador utilizará la dirección MAC de la smart TV como el nombre de usuario y la contraseña enviados al servidor RADIUS. Debido a que las direcciones MAC se pueden suplantar, el servidor RADIUS debe estar configurado para asignar estos dispositivos a una VLAN de IoT altamente restringida y aislada que solo permita el tráfico necesario.

Continúe leyendo esta serie

Server RADIUS: una guía completa para empresas

Esta guía proporciona a directores de TI, arquitectos de redes y directores de tecnología una referencia técnica definitiva sobre la autenticación de server RADIUS para WiFi empresarial. Abarca el marco AAA, la arquitectura 802.1X, la selección del método EAP, las ventajas y desventajas de la implementación en la nube frente a la local, y la asignación dinámica de VLAN. Los operadores de recintos en los sectores de hotelería, comercio minorista, eventos y el sector público encontrarán orientación de implementación práctica, casos de estudio del mundo real y los marcos de decisión necesarios para migrar de claves precompartidas inseguras a una arquitectura de control de acceso a la red segura y basada en la identidad.

Aruba ClearPass vs. Purple WiFi: Comparando Funciones y Co-implementación

Una guía técnica exhaustiva que detalla la arquitectura de co-implementación de Aruba ClearPass y Purple WiFi. Cubre la configuración del proxy RADIUS, la asignación dinámica de VLAN y las mejores prácticas para ofrecer redes de invitados seguras y basadas en analíticas junto con el NAC empresarial.

Cisco ISE vs. Purple WiFi: How They Compare and Work Together

Esta guía explica cómo Cisco ISE y Purple WiFi desempeñan funciones distintas pero complementarias en las redes empresariales. Detalla cómo utilizar Cisco ISE para un acceso corporativo seguro 802.1X, al tiempo que se aprovecha Purple para ofrecer WiFi para invitados que cumpla con el GDPR, análisis de marketing e integración con CRM.