Tema 10

10. Autenticación de acceso a la red: 802.1X, RADIUS, TACACS+ y NAC

No basta con segmentar y filtrar. También es necesario decidir quién puede conectarse a la red, desde qué dispositivo, con qué credenciales y bajo qué condiciones. Las tecnologías de autenticación y control de acceso permiten que la conectividad deje de ser implícita y pase a ser verificada.

Objetivo Controlar quién entra a la red y cómo
Enfoque Identidad, acceso y postura
Resultado Entender el rol de 802.1X, AAA y NAC

10.1 Introducción

Durante mucho tiempo, muchas redes asumieron que conectar un cable o asociarse a una red Wi-Fi bastaba para obtener acceso. Ese modelo es demasiado débil para entornos modernos. Hoy es necesario validar identidad de usuarios y dispositivos antes de conceder conectividad, y en muchos casos también evaluar el estado del equipo que intenta entrar.

Las tecnologías de control de acceso a la red permiten justamente eso: sustituir la confianza implícita por una decisión basada en autenticación, autorización y políticas. En este contexto aparecen 802.1X, RADIUS, TACACS+ y NAC.

Aunque estos términos suelen mencionarse juntos, no significan lo mismo. Algunos actúan sobre el acceso del dispositivo a la red, otros sobre autenticación centralizada y otros sobre la administración de equipos o la postura del endpoint.

10.2 Qué problema resuelve la autenticación de acceso

Sin autenticación de acceso, cualquier equipo que logre conectarse físicamente o asociarse lógicamente a la red puede empezar a intercambiar tráfico, al menos dentro del alcance del segmento. Eso favorece conexiones no autorizadas, dispositivos desconocidos, ataques internos y abuso de redes compartidas.

Controlar el acceso ayuda a responder preguntas clave:

  • ¿Quién es el usuario o dispositivo que intenta conectarse?
  • ¿Está autorizado a usar esta red?
  • ¿Debe recibir acceso total, limitado o nulo?
  • ¿Cumple con ciertas condiciones mínimas de seguridad?
  • ¿Qué registro queda de esa decisión?

10.3 AAA: autenticación, autorización y accounting

Antes de profundizar en protocolos concretos conviene entender el modelo AAA, muy presente en control de acceso.

Componente Qué responde Ejemplo
Authentication ¿Quién eres? Validación de credenciales de un usuario o equipo
Authorization ¿Qué puedes hacer? Asignación de VLAN, permisos o comandos permitidos
Accounting ¿Qué hiciste y cuándo? Registro de accesos, sesiones y acciones

Una solución madura de control de acceso rara vez se limita a autenticar. También necesita autorizar y registrar.

10.4 Qué es 802.1X

802.1X es un estándar de control de acceso a la red basado en puertos. Su función es impedir que un dispositivo obtenga conectividad normal hasta que se autentique correctamente. Se usa tanto en redes cableadas como inalámbricas.

En términos simples, 802.1X convierte al puerto o al punto de acceso en un punto de decisión inicial. Antes de dejar pasar tráfico útil, exige un proceso de autenticación.

10.5 Componentes de 802.1X

El funcionamiento básico de 802.1X se apoya en tres actores:

  • Suplicante: el cliente que intenta autenticarse, por ejemplo una notebook o un teléfono.
  • Autenticador: el dispositivo de acceso, como un switch o un access point, que intermedia el proceso.
  • Servidor de autenticación: generalmente un servidor RADIUS, que valida las credenciales y devuelve la decisión.
802.1X no suele validar por sí mismo las credenciales. Normalmente delega esa validación a un servidor central, típicamente RADIUS.

10.6 Flujo general de 802.1X

  1. El dispositivo se conecta a un puerto o intenta asociarse a una red protegida.
  2. El autenticador bloquea el acceso normal mientras espera autenticación.
  3. Se intercambian mensajes de autenticación entre cliente y servidor, mediados por el autenticador.
  4. El servidor decide si aceptar, rechazar o aplicar una política específica.
  5. El acceso se habilita con los permisos correspondientes, o se deniega.

Ese modelo permite que la red no sea un recurso abierto por defecto.

10.7 Beneficios de usar 802.1X

  • Evita que cualquier dispositivo conectado obtenga acceso automático.
  • Centraliza la validación en una fuente de identidad confiable.
  • Permite aplicar políticas dinámicas según usuario, dispositivo o grupo.
  • Reduce el riesgo de conexiones no autorizadas en puertos físicos y Wi-Fi.
  • Mejora trazabilidad de quién se conectó y desde dónde.

10.8 Qué es RADIUS

RADIUS, Remote Authentication Dial-In User Service, es un protocolo ampliamente usado para AAA. En redes modernas suele actuar como servidor central de autenticación y autorización para acceso 802.1X, VPN, Wi-Fi empresarial y otros servicios de acceso.

Su rol principal es recibir solicitudes de autenticación, verificar credenciales contra una fuente de identidad y devolver una respuesta acompañada, si corresponde, por atributos de política.

10.9 Qué puede devolver un servidor RADIUS

La respuesta de RADIUS no se limita a aceptar o rechazar. También puede incluir instrucciones que afectan el acceso final.

  • Asignación de VLAN dinámica.
  • Aplicación de ACL o perfil de acceso.
  • Permisos diferenciados según grupo o postura.
  • Políticas para usuarios invitados, corporativos o administrativos.

Esto permite que el acceso a la red no sea binario, sino contextual.

10.10 Dónde se usa RADIUS habitualmente

Escenario Rol de RADIUS Valor de seguridad
Wi-Fi empresarial Autenticación centralizada de usuarios/dispositivos Acceso individual y trazable
802.1X cableado Validación antes de habilitar el puerto Control del acceso físico lógico
VPN AAA para acceso remoto Políticas coherentes entre acceso local y remoto
NAC Motor de decisión o integración AAA Acceso contextual y basado en postura

10.11 Qué es TACACS+

TACACS+ es otro protocolo usado para AAA, pero su uso más habitual se vincula a la administración de dispositivos de red y no tanto al acceso general de usuarios a la red como ocurre con RADIUS.

Se lo valora especialmente en entornos donde interesa separar con mayor detalle autenticación, autorización y accounting de administradores sobre routers, switches, firewalls y otros equipos de infraestructura.

10.12 Diferencias prácticas entre RADIUS y TACACS+

Aspecto RADIUS TACACS+
Uso típico Acceso a red de usuarios y dispositivos Administración de equipos de red
Granularidad de autorización Buena, orientada a acceso y perfiles Muy alta, incluso por comandos
Contexto habitual 802.1X, Wi-Fi, VPN, NAC AAA de operadores y administradores
Valor principal Controlar quién entra a la red Controlar quién administra infraestructura y qué puede hacer

Ambos protocolos pueden coexistir porque resuelven necesidades relacionadas pero distintas.

10.13 Qué es NAC

NAC, Network Access Control, es un enfoque más amplio para gobernar el acceso a la red. Suele combinar autenticación, perfilado de dispositivos, verificación de postura, asignación dinámica de permisos y automatización de decisiones sobre conectividad.

En términos simples, NAC no solo intenta responder "quién eres", sino también "qué tipo de dispositivo eres", "en qué estado estás" y "qué nivel de acceso corresponde darte".

10.14 Qué puede evaluar una solución NAC

  • Identidad del usuario.
  • Tipo de dispositivo conectado.
  • Sistema operativo o perfil del endpoint.
  • Estado de cumplimiento básico, como antivirus o actualizaciones.
  • Ubicación de conexión, método y horario.
  • Rol organizativo o grupo del usuario.

Con esa información, NAC puede aplicar acceso completo, acceso restringido, cuarentena o directamente denegar la conexión.

10.15 Acceso basado en postura

Una de las ideas más importantes del NAC es la postura del dispositivo. No todos los equipos que presentan credenciales válidas están necesariamente en condiciones de entrar a la red con el mismo nivel de acceso.

Por ejemplo, un equipo corporativo actualizado y gestionado podría acceder a recursos internos, mientras que un equipo desconocido, desactualizado o no conforme podría quedar restringido a una red de remediación o a internet limitada.

Identidad válida no siempre implica confianza suficiente. El estado del dispositivo también forma parte de la decisión de acceso.

10.16 Casos de uso típicos

  • Wi-Fi corporativa: autenticación individual de usuarios o equipos, con asignación dinámica de políticas.
  • Puertos cableados: impedir que cualquier dispositivo se conecte y obtenga acceso automáticamente.
  • Acceso de invitados: separar visitantes de la red corporativa.
  • Entornos mixtos: distinguir entre endpoints gestionados, BYOD, IoT y dispositivos no confiables.
  • Administración de infraestructura: registrar y controlar qué hacen los operadores mediante TACACS+.

10.17 Beneficios de una estrategia de acceso madura

  • Reduce conexiones no autorizadas.
  • Mejora trazabilidad de usuarios y dispositivos.
  • Permite segmentación dinámica según identidad o rol.
  • Disminuye el riesgo de puertos abiertos y redes implícitamente confiables.
  • Integra mejor control de acceso con políticas corporativas.
  • Ayuda a contener dispositivos de bajo nivel de confianza.

10.18 Desafíos operativos

Estas tecnologías aportan mucho valor, pero también introducen complejidad. Un despliegue mal planificado puede generar fricción operativa, bloqueo de dispositivos legítimos o dependencia excesiva de componentes centrales.

Desafíos habituales:

  • Inventario insuficiente de dispositivos y perfiles.
  • Compatibilidad irregular con equipos antiguos o IoT.
  • Políticas demasiado estrictas sin fase de ajuste.
  • Dependencia crítica del servidor AAA.
  • Falta de trazabilidad sobre excepciones temporales.

10.19 Errores frecuentes

  • Confiar en puertos abiertos sin control de autenticación.
  • Usar credenciales compartidas para acceso administrativo.
  • No diferenciar entre usuarios, invitados y dispositivos especiales.
  • Aplicar una misma política a todo tipo de endpoints.
  • No registrar suficientemente los accesos ni las decisiones AAA.
  • Habilitar bypass permanentes que anulan el modelo de control.

10.20 Relación con segmentación y Zero Trust

La autenticación de acceso se complementa naturalmente con la segmentación. Primero se decide quién o qué puede entrar; luego se decide a qué puede acceder. Este enfoque encaja bien con principios de Zero Trust, donde la red deja de asumir confianza automática por ubicación.

En otras palabras, entrar a la red no debería equivaler a recibir acceso amplio. La autenticación es el primer filtro, no el último.

10.21 Qué debes recordar de este tema

  • 802.1X controla el acceso inicial a la red antes de habilitar conectividad normal.
  • RADIUS centraliza autenticación y autorización para muchos escenarios de acceso.
  • TACACS+ se usa especialmente para AAA de administración de infraestructura.
  • NAC amplía el control evaluando identidad, tipo de dispositivo y postura.
  • La autenticación de acceso reduce confianza implícita y fortalece la seguridad de la red desde el primer punto de contacto.

10.22 Conclusión

Una red madura no entrega conectividad automáticamente a cualquiera que logre conectarse física o lógicamente. Verifica identidad, aplica políticas y registra decisiones. 802.1X, RADIUS, TACACS+ y NAC permiten construir ese control inicial sobre el acceso, lo que mejora tanto la seguridad preventiva como la trazabilidad operativa.

En el próximo tema estudiaremos la seguridad en switching y redes LAN, incluyendo VLAN, STP, DHCP snooping y port security.

Volver al índice