Saltar al contenido principal

Cómo implementar la autenticación 802.1X con Cloud RADIUS

Esta guía de referencia técnica proporciona un marco integral para implementar la autenticación 802.1X con Cloud RADIUS en propiedades empresariales distribuidas. Detalla la arquitectura, la selección del método EAP, la secuencia de implementación y las estrategias de mitigación de riesgos necesarias para proteger el acceso a la red y, al mismo tiempo, eliminar los costos operativos de la infraestructura local.

📖 5 min de lectura📝 1,189 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
Cómo implementar la autenticación 802.1X con Cloud RADIUS Un informe de inteligencia de Purple WiFi --- INTRODUCCIÓN Y CONTEXTO (aprox. 1 minuto) --- Bienvenido al informe de inteligencia de Purple WiFi. Soy su anfitrión, y hoy analizaremos a detalle la autenticación 802.1X con Cloud RADIUS - qué es, por qué es importante en este momento y cómo implementarla realmente en un patrimonio de múltiples sitios. Si gestiona la infraestructura de WiFi para un grupo hotelero, una cadena de tiendas de retail, un estadio o una organización del sector público, este es uno de esos temas que sigue surgiendo - y por una buena razón. El panorama de amenazas ha cambiado. Las redes PSK compartidas se consideran cada vez más como un riesgo de cumplimiento, no solo como un inconveniente de seguridad. Los reguladores, auditores y aseguradoras de riesgos cibernéticos están haciendo preguntas cada vez más difíciles sobre el control de acceso a la red. Y la buena noticia es que RADIUS proporcionado en la nube ha hecho que 802.1X sea genuinamente viable de implementar a escala, sin la sobrecarga de infraestructura local que solía hacerlo poco práctico para patrimonios distribuidos. Así que entremos en materia. --- ANÁLISIS TÉCNICO PROFUNDO (aprox. 5 minutos) --- Primero, asegurémonos de que todos trabajamos bajo la misma definición. IEEE 802.1X es un estándar de control de acceso a la red basado en puertos. Define un marco de autenticación que se ubica en la Capa 2 del modelo OSI - por lo que funciona antes de que a un dispositivo se le otorgue cualquier tipo de conectividad IP. Esa es la diferencia clave con la autenticación en la capa de aplicación. Con 802.1X, un dispositivo no puede ingresar a la red hasta que haya sido autenticado positivamente. El protocolo tiene tres componentes. El suplicante - ese es el dispositivo final, ya sea una laptop, un teléfono inteligente o una terminal de punto de venta. El autenticador - típicamente su punto de acceso WiFi o su switch gestionado. Y el servidor de autenticación - que en las implementaciones modernas es su servicio cloud RADIUS. El flujo funciona así. Un dispositivo intenta asociarse con un punto de acceso. El punto de acceso no otorga acceso total a la red de inmediato. En su lugar, abre un puerto controlado e inicia un intercambio EAP - que es el Protocolo de Autenticación Extensible - con el dispositivo. El dispositivo presenta sus credenciales, que podrían ser un nombre de usuario y contraseña, un certificado digital o una identidad basada en SIM. El punto de acceso retransmite ese intercambio al servidor RADIUS utilizando el protocolo RADIUS sobre UDP, típicamente en el puerto 1812 para autenticación y 1813 para contabilidad. El servidor RADIUS valida las credenciales contra un almacén de identidades - Active Directory, Azure AD o un directorio LDAP - y devuelve un mensaje de Access-Accept o Access-Reject. Si se acepta, el punto de acceso abre el puerto y el dispositivo obtiene acceso a la red. Si se rechaza, permanece bloqueado. Simple en principio, pero los detalles de la implementación importan enormemente. Ahora bien, la selección del método EAP es donde muchas implementaciones fallan. Existen varios métodos EAP de uso común, y tienen perfiles de seguridad y requisitos operativos muy diferentes. EAP-TLS es el estándar de oro. Requiere autenticación mutua por certificado - tanto el servidor como el cliente presentan un certificado. Esto elimina por completo el riesgo de robo de credenciales, ya que no hay contraseñas que robar. Sin embargo, requiere una infraestructura PKI y un mecanismo para enviar los certificados de cliente a los dispositivos, lo que normalmente significa una solución de MDM. Para entornos corporativos BYOD y despliegues de alta seguridad, esta es la respuesta correcta. PEAP con MSCHAPv2 es el método más utilizado en entornos empresariales. Solo requiere un certificado del lado del servidor y canaliza el intercambio de credenciales dentro de TLS. Es compatible de forma nativa con Active Directory, lo que simplifica su operación. El riesgo es que es vulnerable al robo de credenciales si los usuarios se conectan a un punto de acceso no autorizado con un certificado autofirmado - por lo que la validación del certificado del lado del cliente no es negociable. EAP-TTLS es similar a PEAP pero más flexible en el método de autenticación interna. Es especialmente útil en entornos con dispositivos mixtos donde se tiene una combinación de Windows, macOS, iOS y Android con diferentes capacidades de suplicante. Para el soporte de dispositivos heredados - como hardware de punto de venta antiguo o sensores IoT - EAP-FAST puede ser una opción pragmática, ya que no requiere certificados y utiliza una Credencial de Acceso Protegido en su lugar. Ahora, la pieza de RADIUS en la nube. Tradicionalmente, RADIUS era un servicio local - FreeRADIUS en un servidor Linux o Microsoft NPS en Windows Server. Ese modelo funciona, pero tiene costos operativos reales: mantenimiento de hardware, configuración de alta disponibilidad, parches y la necesidad de infraestructura local en cada sitio que requiera autenticación de baja latencia. El RADIUS en la nube cambia ese cálculo de manera significativa. Un servicio RADIUS en la nube es alojado y gestionado por el proveedor. Sus puntos de acceso envían solicitudes RADIUS a través de internet al servicio en la nube, el cual gestiona la autenticación contra su proveedor de identidad. La preocupación por la latencia es real pero manejable - los servicios modernos de RADIUS en la nube están distribuidos globalmente, y los ciclos de autenticación normalmente se completan en menos de 100 milisegundos, lo cual es imperceptible para los usuarios finales. La integración con los proveedores de identidad es la dependencia crítica. La mayoría de las plataformas RADIUS en la nube son compatibles con LDAP, LDAPS, SAML 2.0 e integración directa con Azure AD u Okta. Para las organizaciones que ya utilizan Microsoft 365, la integración con Azure AD es el camino natural - usted obtiene inicio de sesión único, políticas de acceso condicional y aplicación de MFA, todo alimentando su capa de control de acceso a la red.Para los establecimientos que implementan WiFi de invitados junto con redes para el personal, la arquitectura normalmente los separa en SSIDs distintos con diferentes políticas de autenticación. Las redes del personal utilizan 802.1X con credenciales corporativas. Las redes de invitados utilizan un portal cautivo o un flujo de inicio de sesión social. La plataforma de Purple es compatible con ambos modelos, y la capa de análisis de WiFi se sitúa sobre ambos, ofreciéndole visibilidad sobre el comportamiento de los dispositivos, el tiempo de permanencia y la utilización de la red sin comprometer la segmentación de seguridad. --- RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES (aprox. 2 minutos) --- Permítame compartirle la secuencia práctica de despliegue y señalar los modos de falla que veo con más frecuencia. Comience con la integración de su proveedor de identidad. Antes de tocar un solo punto de acceso, confirme que su servicio de RADIUS en la nube puede autenticarse contra su directorio. Realice pruebas con una cuenta de servicio, valide la vinculación LDAP y confirme que los atributos de pertenencia a grupos se devuelvan correctamente - porque los necesitará para las políticas de asignación de VLAN. En segundo lugar, planifique su estrategia de certificados. Si opta por EAP-TLS, necesita una CA, decidir si utilizará una CA pública o una interna, y necesita un plan de despliegue de MDM para los certificados de cliente. Si opta por PEAP, necesita un certificado de servidor de una CA de confianza - no autofirmado - y necesita enviar el certificado de la CA a todos los dispositivos de los clientes para que la validación de certificados funcione correctamente. Este es el paso que suele omitirse y que provoca incidentes de seguridad. En tercer lugar, configure sus clientes RADIUS - es decir, sus puntos de acceso y controladores - con el secreto compartido correcto y la dirección IP o el nombre de host del servidor. Utilice un secreto compartido fuerte y generado aleatoriamente, no una palabra de diccionario. Y si su proveedor de RADIUS en la nube es compatible con RADIUS sobre TLS - RadSec - utilícelo. Esto cifra el tráfico RADIUS en tránsito, lo cual es especialmente importante cuando dicho tráfico atraviesa el internet público. En cuarto lugar, realice pruebas con un grupo piloto antes del despliegue completo. Los fallos de autenticación a gran escala son perjudiciales y difíciles de diagnosticar bajo presión. Realice un piloto con diez a veinte dispositivos, valide los registros de autenticación, confirme que la asignación de VLAN funcione y verifique que los registros de contabilidad se escriban correctamente. Los modos de falla que veo con más frecuencia: validación de certificados desactivada en los clientes, lo que genera una vulnerabilidad de intermediario (man-in-the-middle). Secretos compartidos demasiado cortos o reutilizados en varios sitios. Lista de IPs permitidas del servidor RADIUS no configurada, por lo que las solicitudes de autenticación de nuevos sitios se descartan silenciosamente. Y perfiles MDM que no se actualizan cuando los certificados expiran, lo que provoca fallas masivas de autenticación el día de la renovación. --- PREGUNTAS Y RESPUESTAS RÁPIDAS (aprox. 1 minuto) --- Algunas preguntas que me hacen con regularidad. ¿Puedo ejecutar 802.1X en una red que también tiene dispositivos IoT que no son compatibles con EAP? Sí - utilice MAC Authentication Bypass como alternativa para los dispositivos que no pueden ejecutar un suplicante, pero coloque esos dispositivos en una VLAN restringida con reglas de firewall estrictas. ¿Reemplaza 802.1X al cifrado WPA2 o WPA3? No - 802.1X gestiona la autenticación. WPA2-Enterprise o WPA3-Enterprise gestionan el cifrado. Necesita ambos. WPA3-Enterprise con 802.1X es la mejor práctica actual para nuevas implementaciones. ¿Cuál es el impacto de la latencia en la autenticación? Con un servicio RADIUS en la nube bien configurado, espere de 50 a 150 milisegundos por autenticación. Para escenarios de roaming, la transición rápida de BSS 802.11r puede reducir significativamente la sobrecarga de reautenticación. ¿Cumple esto con PCI-DSS? 802.1X con EAP-TLS o PEAP en una red correctamente segmentada satisface el Requisito 1 y el Requisito 8 de PCI-DSS para el control de acceso a la red. Involucre a su QSA desde el principio. --- RESUMEN Y PRÓXIMOS PASOS (aprox. 1 minuto) --- Para resumir: 802.1X con RADIUS en la nube es la respuesta correcta para cualquier organización que necesite demostrar el control de acceso a la red ante los auditores, reducir el radio de impacto de una vulneración de credenciales o gestionar la autenticación de forma centralizada en todo un patrimonio distribuido. La implementación no es trivial, pero es totalmente manejable con la preparación adecuada. Asegúrese de integrar correctamente su proveedor de identidad en primer lugar. Elija su método EAP en función de su patrimonio de dispositivos y su capacidad operativa para gestionar certificados. Utilice RadSec si su infraestructura lo admite. Y realice pruebas antes de implementar a gran escala. Si opera una red mixta de invitados y personal - como lo hacen la mayoría de los operadores de hotelería y retail - las plataformas como Purple le brindan la capacidad de gestionar ambos modelos de autenticación desde un solo panel, con la capa de analíticas abarcando todo el patrimonio. Para sus próximos pasos: realice una auditoría de su postura actual de control de acceso a la red, identifique qué sitios siguen utilizando PSK compartido y elabore un plan de migración por fases. Comience con los sitios de mayor riesgo - aquellos que están dentro del alcance de PCI-DSS o que manejan datos confidenciales - y continúe con los demás. Gracias por escuchar. Hay más sesiones técnicas disponibles en purple.ai.

header_image.png

Resumen Ejecutivo

Para los tomadores de decisiones de TI que gestionan infraestructuras de red distribuidas en los sectores de hotelería, comercio minorista y sector público, garantizar la seguridad del acceso a la red ha pasado de ser una preferencia operativa a un mandato estricto de cumplimiento. Depender de claves previamente compartidas (PSK) introduce un riesgo inaceptable, no cumple con los estándares de auditoría modernos como PCI-DSS y expone a la organización a un movimiento lateral en caso de que se comprometan las credenciales. La transición al control de acceso a la red basado en puertos IEEE 802.1X mitiga estos riesgos de manera efectiva al autenticar los dispositivos antes de que se conceda la conectividad IP.

Históricamente, la implementación de 802.1X en propiedades de múltiples sitios se veía obstaculizada por la necesidad de una infraestructura RADIUS localizada para gestionar la latencia y la disponibilidad. La maduración de la arquitectura Cloud RADIUS ha cambiado fundamentalmente este panorama. Al centralizar las decisiones de autenticación e integrarse directamente con proveedores de identidad en la nube (como Azure AD o Okta), las organizaciones pueden aplicar políticas de acceso sólidas de manera uniforme en todas las ubicaciones sin el gasto de capital y la carga de mantenimiento de los servidores locales. Esta guía describe la arquitectura técnica, la metodología de implementación y las mejores prácticas operativas para implementar con éxito la autenticación 802.1X con Cloud RADIUS, garantizando que tanto el Guest WiFi empresarial como las redes corporativas sigan siendo seguros y escalables.

Análisis Técnico Detallado

La base de la seguridad inalámbrica empresarial moderna se basa en el estándar IEEE 802.1X. A diferencia de la autenticación de capa de aplicación, 802.1X opera en la Capa 2 del modelo OSI. Cuando un dispositivo (el suplicante) intenta asociarse con un punto de acceso (el autenticador), el puerto permanece en un estado no autorizado, permitiendo únicamente el tráfico del Protocolo de Autenticación Extensible (EAP). Este tráfico se encapsula en paquetes RADIUS y se reenvía al servidor de autenticación - la instancia de Cloud RADIUS. Solo al recibir un mensaje Access-Accept el autenticador cambia el puerto a un estado autorizado, otorgando acceso a la red.

Arquitectura de Cloud RADIUS

architecture_overview.png

El cambio de arquitectura de un entorno local a Cloud RADIUS elimina la necesidad de servidores distribuidos FreeRADIUS o Microsoft NPS. En el modelo en la nube, los puntos de acceso o controladores de LAN inalámbrica se comunican directamente a través de internet con un servicio RADIUS distribuido globalmente. Para proteger este tránsito, es esencial implementar RadSec (RADIUS sobre TLS), lo que cifra la carga útil de autenticación y la protege de interceptaciones. El servicio Cloud RADIUS actúa como intermediario, validando las credenciales contra un Proveedor de Identidad (IdP) central mediante LDAP, SAML o integraciones de API nativas. Esto permite la aplicación dinámica de políticas, como la asignación de VLANs según la pertenencia a grupos de Azure AD, integrando el acceso a la red de forma fluida con la estrategia general de gestión de identidades corporativas.

Selección del método EAP

La elección del método EAP determina el nivel de seguridad y la complejidad operativa de la implementación.

eap_comparison_chart.png

  • EAP-TLS (Transport Layer Security): El método más seguro, que requiere certificados tanto del servidor como del cliente para la autenticación mutua. Al no intercambiar contraseñas, elimina el riesgo de robo de credenciales. Sin embargo, requiere una Infraestructura de Clave Pública (PKI) y una Gestión de Dispositivos Móviles (MDM) para distribuir los certificados de cliente. Se recomienda ampliamente para dispositivos corporativos.
  • PEAP-MSCHAPv2 (Protected EAP): Muy utilizado gracias al soporte nativo en Windows y a que depende únicamente de un certificado en el lado del servidor. Canaliza el intercambio de credenciales dentro de una sesión TLS. Aunque es más fácil de implementar, es vulnerable a ataques de recopilación de credenciales si no se aplica estrictamente la validación del certificado del lado del cliente.
  • EAP-TTLS: Similar a PEAP pero ofrece mayor flexibilidad en el protocolo de autenticación interno, lo que lo hace adecuado para entornos con una mezcla diversa de sistemas operativos cliente.

Guía de implementación

La implementación de 802.1X con Cloud RADIUS requiere un enfoque sistemático y por fases para minimizar las interrupciones en la empresa existente.

  1. Integración del proveedor de identidad: Establezca y valide la conexión entre el servicio Cloud RADIUS y el IdP corporativo. Asegúrese de que la sincronización del directorio sea precisa y de que los atributos de usuario necesarios (como la pertenencia a grupos) estén disponibles para la toma de decisiones sobre políticas.
  2. Gestión de certificados: Para implementaciones de PEAP, obtenga un certificado de servidor de una Autoridad de Certificación (CA) pública de confianza. Es fundamental configurar los clientes mediante MDM o Directivas de grupo para que confíen explícitamente en esta CA y validen el nombre del certificado del servidor. Para EAP-TLS, implemente la infraestructura de CA interna y comience a emitir certificados de cliente para los dispositivos gestionados.
  3. Configuración de la infraestructura de red: Configure los controladores inalámbricos y los puntos de acceso para que apunten a los endpoints de Cloud RADIUS. Implemente RadSec en los casos en que el proveedor de hardware lo admita. Defina secretos compartidos de RADIUS utilizando cadenas criptográficamente seguras y robustas, asegurando que el secreto sea único por sitio o clúster de controladores.
  4. Definición de políticas: Cree las políticas de autenticación dentro de la plataforma Cloud RADIUS. Defina condiciones basadas en el grupo de usuarios, el tipo de dispositivo o la ubicación para asignar VLANs de forma dinámica o aplicar Listas de Control de Acceso (ACLs) una vez realizada la autenticación con éxito.
  5. Piloto y despliegue gradual: Seleccione un subconjunto representativo de usuarios y dispositivos para el piloto inicial. Monitoree de cerca los registros de autenticación para identificar problemas de latencia, fallas en la validación de certificados o asignaciones incorrectas de VLAN. Tras un piloto exitoso, ejecute un despliegue gradual, priorizando las ubicaciones de alto riesgo, como las oficinas ejecutivas o los sitios que manejan datos confidenciales.

Mejores Prácticas

  • Obligar la validación de certificados del lado del cliente: La vulnerabilidad más común en los despliegues de PEAP es la falta de obligatoriedad en la validación del certificado del servidor en el cliente. Si se permite que los clientes confíen ciegamente en cualquier certificado presentado, quedan totalmente expuestos a ataques de puntos de acceso no autorizados.
  • Implementar MAC Authentication Bypass (MAB) con precaución: Para dispositivos sin interfaz de usuario que no pueden ejecutar un suplicante 802.1X (como impresoras y sensores IoT), se puede utilizar MAB. Sin embargo, las direcciones MAC se pueden suplantar fácilmente. Los dispositivos MAB deben aislarse en VLANs fuertemente restringidas, con reglas de firewall estrictas que limiten su acceso a la red.
  • Aprovechar 802.11r para el roaming: En entornos donde los dispositivos se mueven con frecuencia entre puntos de acceso, el proceso completo de autenticación 802.1X puede introducir una latencia inaceptable que interrumpe las aplicaciones en tiempo real, como la voz. La implementación de 802.11r (Fast BSS Transition) agiliza el roaming al almacenar en caché las claves de autenticación.
  • Integrar con analíticas: Para los establecimientos que operan tanto una red corporativa 802.1X como una red de acceso público, integrar la infraestructura de autenticación con WiFi Analytics proporciona una visión integral de la utilización de la red y el comportamiento de los dispositivos en todo el complejo.

Resolución de Problemas y Mitigación de Riesgos

Las fallas de autenticación en un entorno 802.1X pueden causar interrupciones generalizadas de la conectividad. Un proceso sólido de resolución de problemas es esencial.

  • Vencimiento de certificados: Un certificado de servidor o cliente vencido causará una falla de autenticación inmediata. Implemente monitoreo y alertas automatizadas sobre los periodos de validez de los certificados, asegurando que las renovaciones se gestionen mucho antes de su vencimiento.
  • Latencia y tiempos de espera: Si el servicio Cloud RADIUS o el IdP experimentan una alta latencia, el autenticador puede agotar el tiempo de espera y perder la conexión. Configure valores de tiempo de espera adecuados en los controladores inalámbricos (normalmente de 5 a 10 segundos) y despliegue servidores RADIUS de respaldo para proporcionar redundancia.
  • Falta de coincidencia en el secreto compartido de RADIUS: Un secreto compartido configurado en el autenticador que no coincida con el del servidor RADIUS provocará que los paquetes se descarten silenciosamente. Estandarice la gestión de secretos y evite la entrada manual siempre que sea posible.

ROI e Impacto de Negocio

La transición a 802.1X con Cloud RADIUS ofrece un valor empresarial medible. Al eliminar las contraseñas compartidas, reduce drásticamente la superficie de ataque, respaldando directamente el cumplimiento de PCI-DSS (Requisitos 1 y 8) y los mandatos de protección de datos de GDPR. Desde el punto de vista operativo, permite un control de acceso centralizado, lo que permite a los equipos de TI revocar instantáneamente el acceso de un usuario en cualquier ubicación del mundo con solo deshabilitar su cuenta en el directorio central. Además, al retirar los servidores RADIUS locales heredados, las organizaciones reducen los costos de mantenimiento de hardware, las tarifas de licencias de software y la carga administrativa de parchear y gestionar la infraestructura distribuida. Para despliegues en todo el patrimonio en sectores como Retail y Hospitality , esta postura de seguridad centralizada es un habilitador clave para la transformación digital segura.

Escuche nuestro informe completo sobre el tema:

Definiciones clave

Suplicante

El cliente de software en un dispositivo de usuario final (computadora portátil, teléfono inteligente) que negocia el acceso a la red utilizando EAP.

Los equipos de TI deben asegurarse de que el suplicante esté configurado correctamente (a menudo a través de MDM) para validar los certificados del servidor a fin de evitar el robo de credenciales.

Autenticador

El dispositivo de red (normalmente un punto de acceso WiFi o un switch) que controla el acceso físico o lógico a la red en función del estado de autenticación.

El autenticador actúa como intermediario, retransmitiendo los mensajes EAP entre el suplicante y el servidor RADIUS.

Cloud RADIUS

Un servicio de autenticación centralizado y alojado en la nube que procesa solicitudes RADIUS desde una infraestructura de red distribuida sin necesidad de servidores locales.

Esencial para organizaciones con múltiples sitios que buscan implementar seguridad de nivel empresarial sin los costos de mantenimiento de hardware.

EAP (Protocolo de Autenticación Extensible)

El marco de trabajo utilizado para encapsular los mensajes de autenticación entre el suplicante y el servidor de autenticación.

La elección del método EAP correcto (por ejemplo, PEAP frente a EAP-TLS) determina la solidez de la seguridad y la complejidad de la implementación de la red inalámbrica.

RadSec

Un protocolo que transmite datos RADIUS a través de un túnel TLS, garantizando el cifrado del tráfico de autenticación en tránsito.

Crucial al usar Cloud RADIUS, ya que protege de la interceptación a través de la red de internet pública los intercambios de credenciales confidenciales.

Asignación Dinámica de VLAN

El proceso mediante el cual el servidor RADIUS indica al autenticador que coloque un dispositivo en un segmento de red virtual específico según la identidad del usuario o su pertenencia a un grupo.

Permite a TI transmitir un solo SSID mientras segmenta el tráfico de manera segura (por ejemplo, colocando al personal de recursos humanos y al de TI en diferentes subredes).

Autenticación Mutua

Un proceso de seguridad donde tanto el cliente verifica la identidad del servidor como el servidor verifica la identidad del cliente (generalmente utilizando certificados).

La característica definitoria de EAP-TLS, lo que lo hace altamente resistente a los ataques de intermediario (man-in-the-middle).

MAC Authentication Bypass (MAB)

Un método de autenticación de respaldo que utiliza la dirección MAC de un dispositivo como su credencial cuando no puede admitir un suplicante 802.1X.

Se utiliza para hardware heredado como impresoras o dispositivos IoT, pero requiere una segmentación de red estricta debido a la facilidad de la suplantación de MAC.

Ejemplos resueltos

Un hotel de 200 habitaciones que opera una red PSK heredada para las operaciones internas (tabletas de limpieza, terminales de punto de venta, computadoras portátiles de gerentes) necesita lograr el cumplimiento de PCI-DSS antes de una próxima auditoría. Carecen de personal de TI en el sitio y no pueden implementar servidores locales.

El hotel debe implementar una solución Cloud RADIUS integrada directamente con su inquilino central de Azure AD. Para las computadoras portátiles de los gerentes (Windows/macOS), deben implementar PEAP-MSCHAPv2, utilizando un perfil de MDM para insertar el certificado de servidor confiable y aplicar la validación. Para las terminales de punto de venta que puedan carecer de suplicantes robustos, deben utilizar MAC Authentication Bypass (MAB) pero asignar estrictamente estos dispositivos a una VLAN aislada que solo permita la comunicación con la pasarela de pago. La implementación requiere configurar los puntos de acceso administrados en la nube existentes para que apunten a las direcciones IP de Cloud RADIUS, protegiendo la conexión con RadSec.

Comentario del examinador: Este enfoque cumple con el requisito de PCI para la identificación única de usuarios (PEAP para el personal) y la segmentación de red (MAB + VLAN aislada para POS). Al utilizar Cloud RADIUS, el hotel evita la complejidad de implementar y mantener un servidor FreeRADIUS local, lo cual sería imposible de administrar sin personal de TI en el sitio. El uso de RadSec es fundamental aquí para proteger el tráfico de autenticación que viaja a través de la internet pública.

Una cadena minorista nacional está implementando una nueva flota de tabletas propiedad de la empresa para la gestión de inventario en 500 tiendas. Quieren asegurarse de que, incluso si roban una tableta, esta no se pueda usar para acceder a la red, y desean eliminar los tickets de soporte técnico relacionados con contraseñas.

El minorista debe implementar EAP-TLS. Implementarán una Autoridad de Certificación (CA) interna y la integrarán con su plataforma MDM. Cuando se aprovisiona una tableta, el MDM inserta un certificado de cliente único en el dispositivo. El servicio Cloud RADIUS se configura para autenticar dispositivos basándose únicamente en la presencia de un certificado de cliente válido. Si se reporta el robo de una tableta, el equipo de TI simplemente revoca ese certificado específico en la CA. El servicio Cloud RADIUS, al verificar la Lista de Revocación de Certificados (CRL) o mediante OCSP, denegará el acceso a la red de inmediato.

Comentario del examinador: EAP-TLS es la opción óptima en este caso. Proporciona el nivel más alto de seguridad y elimina por completo las contraseñas de usuario del flujo de autenticación, logrando el objetivo de reducir los tickets de soporte técnico. La capacidad de revocación centralizada es esencial para gestionar el riesgo de robo de hardware en un entorno minorista distribuido.

Preguntas de práctica

Q1. Tu organización está migrando de una PSK compartida a 802.1X utilizando PEAP-MSCHAPv2. Durante la fase piloto, los usuarios informan que pueden conectarse, pero una auditoría de seguridad revela que los dispositivos aceptan silenciosamente cualquier certificado de servidor que se les presente. ¿Cuál es el riesgo inmediato y cómo debe remediarse?

Sugerencia: Considera qué sucede si un atacante configura un punto de acceso que transmite el SSID de tu empresa.

Ver respuesta modelo

El riesgo inmediato es un ataque de intermediario (Man-in-the-Middle o MitM) a través de un punto de acceso no autorizado. Un atacante puede transmitir el SSID corporativo, presentar un certificado autofirmado y recopilar credenciales de usuario a medida que los dispositivos intentan autenticarse. Para remediar esto, el equipo de TI debe configurar los perfiles de suplicante (a través de MDM o directivas de grupo) para validar explícitamente el certificado del servidor. Esto implica especificar la CA raíz de confianza exacta que emitió el certificado del servidor RADIUS y definir estrictamente el nombre de host esperado del servidor.

Q2. Una sucursal minorista remota ha perdido su conexión a internet. Los puntos de acceso locales siguen encendidos. ¿Seguirán conectados los dispositivos del personal que están actualmente conectados a la red 802.1X y podrán autenticarse nuevos dispositivos? Supón una arquitectura estándar de Cloud RADIUS sin nodos de supervivencia locales.

Sugerencia: Piensa en la ruta que debe tomar una solicitud de autenticación y el estado de los puertos que ya han sido autorizados.

Ver respuesta modelo

Los dispositivos que ya están autenticados y conectados generalmente permanecerán conectados hasta que expire el tiempo de espera de su sesión o se desconecten, ya que el puerto del autenticador ya está en estado autorizado. Sin embargo, los nuevos dispositivos que intenten conectarse, o los dispositivos que intenten volver a autenticarse, fallarán. Debido a que la conexión a internet está caída, los puntos de acceso no pueden comunicarse con el servidor Cloud RADIUS para procesar el intercambio EAP. Esto resalta la importancia de contar con enlaces WAN resilientes cuando se depende de la autenticación basada en la nube.

Q3. Necesitas asegurar el acceso a la red para una flota de escáneres de código de barras heredados en un almacén. Estos escáneres no admiten suplicantes 802.1X y solo admiten WPA2-Personal (PSK). No puedes actualizar el hardware. ¿Cómo integras estos dispositivos en una arquitectura de red segura junto con tus dispositivos corporativos 802.1X?

Sugerencia: Necesitas una alternativa a 802.1X que siga proporcionando control de acceso, combinada con aislamiento a nivel de red.

Ver respuesta modelo

El enfoque recomendado es utilizar MAC Authentication Bypass (MAB) para los escáneres de códigos de barras. El punto de acceso utilizará la dirección MAC del escáner como identidad y la enviará al servidor RADIUS. Debido a que las direcciones MAC se pueden suplantar fácilmente, esto proporciona una autenticación débil. Por lo tanto, el servidor RADIUS debe configurarse para devolver un atributo VLAN específico tras una autenticación MAB exitosa. Esta VLAN debe estar fuertemente restringida mediante firewalls o ACL, permitiendo que los escáneres se comuniquen únicamente con los servidores de inventario específicos que requieren, y bloqueando cualquier otro acceso lateral a la red.

Continúe leyendo esta serie

Los beneficios de seguridad de RADIUS as a Service para fuerzas de trabajo híbridas

Esta guía de referencia técnica explica cómo RADIUS as a Service protege el acceso a la red para fuerzas de trabajo híbridas en instalaciones distribuidas. Cubre la arquitectura, los beneficios de seguridad y los pasos de implementación para reemplazar la infraestructura RADIUS local por un servicio de autenticación gestionado en la nube. Para gerentes de TI y arquitectos de red en hoteles, cadenas de retail, estadios y organizaciones del sector público, esta guía proporciona la evidencia necesaria para evaluar y actuar en una migración a RADIUS en la nube este trimestre.

Leer la guía →

Integrating RADIUS as a Service with Cloud Directories (Azure AD & Google Workspace)

This technical reference guide details how to integrate RADIUS as a Service with cloud directories - Microsoft Entra ID and Google Workspace - for enterprise WiFi authentication. It covers the architectural shift from on-premise NPS to cloud-native RADIUS, the deployment of certificate-based EAP-TLS authentication, and the operational best practices for securing wireless access across hospitality, retail, and public-sector environments. For IT managers and network architects already invested in cloud identity, this guide bridges the gap between directory management and physical network security.

Leer la guía →

¿Qué es Cloud RADIUS? Una guía completa de RADIUS-as-a-Service

Esta guía completa explora Cloud RADIUS (RADIUS-as-a-Service), detallando su arquitectura, métodos EAP y estrategias de implementación. Proporciona a los líderes de TI información práctica sobre la migración de servidores locales a un modelo de autenticación en la nube escalable, seguro y compatible.

Leer la guía →