# Bypass de autenticación MAC
{% hint style="danger" %}
Dado que **las direcciones MAC pueden falsificarse fácilmente**, implementar un bypass de autenticación MAC es **fuertemente desaconsejado** a menos que sea absolutamente necesario y el administrador haya sopesado el riesgo asociado con la implementación de dicho bypass frente a la conveniencia y las limitaciones presupuestarias de actualizar el hardware obsoleto.
{% endhint %}
## Descripción general
**MAC Authentication Bypass (MAB)** es una función que permite a los dispositivos incapaces de realizar la autenticación empresarial estándar 802.1X (como impresoras heredadas, sensores simples o sistemas integrados) conectarse a una red que, de otro modo, sería segura. MAB concede acceso utilizando la dirección MAC única de un dispositivo como su único identificador frente a una lista autorizada mantenida por un servidor RADIUS.
La implementación heredada de MAB es **vulnerable a la suplantación de direcciones MAC tanto en** la conexión entre el dispositivo que se autentica y el dispositivo de red como en la conexión entre el dispositivo de red y el servidor RADIUS. Para eliminar el segundo vector de ataque, se puede utilizar una implementación más robusta de MAB, llamada **MAB-to-EAP**, que garantiza de forma efectiva la integridad de la dirección MAC transmitida al servidor RADIUS (la dirección MAC todavía puede ser suplantada en el enlace entre el dispositivo que se autentica y el dispositivo de red).
Esta guía detalla las diferencias entre el método heredado inseguro **Pure MAB** y la solución alternativa moderna con transporte seguro.
## Terminología e implementaciones de MAB
**MAB:** MAC Authentication Bypass
**EAP:** Protocolo de autenticación extensible
**Supplicant:** La entidad (como un portátil, teléfono o interfaz de red) que inicia el proceso de autenticación con un Authenticator para obtener acceso a una red.
**Authenticator:** Una entidad de red (como un switch, un punto de acceso inalámbrico o una pasarela VPN) que impone la autenticación antes de conceder a un Supplicant acceso a la red.
**Authentication Server:** Una entidad de red de confianza (como un servidor RADIUS) responsable de verificar la identidad de los Supplicants comprobando sus credenciales (como nombres de usuario, contraseñas o certificados digitales) y determinando si están autorizados a acceder a la red.
**Pure MAB** (Implementación heredada): Este método implica que el Authenticator envía la dirección MAC del cliente a un servidor RADIUS, normalmente en el `Calling-Station-Id` atributo RADIUS. El servidor RADIUS realiza una búsqueda simple y devuelve un `Access-Accept` o `Access-Reject`. La dirección MAC actúa como identificador, no como una credencial real.
**MAB-to-EAP** (Implementación segura): Como Pure MAB carece de transporte criptográficamente seguro, muchos servicios modernos (como RADIUSaaS) requieren un enfoque más sólido. En este método, el Authenticator utiliza la dirección MAC del cliente tanto como nombre de usuario como contraseña y luego intenta autenticarse en el servidor RADIUS usando un protocolo EAP seguro (p. ej., EAP-TTLS-PAP, PEAP-MSCHAPv2). El dispositivo cliente permanece ajeno a que se haya producido alguna autenticación.
## Cómo funciona Pure MAB (Base de datos RADIUS externa)
Cuando la base de datos de direcciones MAC es mantenida por un servidor RADIUS externo (la configuración empresarial habitual), para Pure MAB se aplica la siguiente secuencia:
1. Un cliente que no es 802.1X se conecta y solicita acceso a la red.
2. El Authenticator detecta la conexión y, al no ver ninguna negociación 802.1X, inicia un intento de MAB.
3. El Authenticator toma la dirección MAC del cliente (p. ej., `00:11:22:33:44:55`) y la reenvía al servidor RADIUS en un mensaje `Access-Request` . La dirección MAC normalmente se interpreta en el `Calling-Station-Id` atributo RADIUS.
4. El servidor RADIUS comprueba su base de datos configurada para verificar la presencia de la dirección MAC.
5. Devuelve un `Access-Accept` mensaje si se encuentra la MAC (Coincidencia) o un `Access-Reject` si no se encuentra (Sin coincidencia).
6. Si se recibe `Access-Accept` , el Authenticator autoriza el puerto y permite que el cliente se una a la red.
### Consideraciones de seguridad
En general, **MAB ofrece poca o ninguna seguridad** y debe usarse con extrema cautela.
* **Suplantación de MAC:** Las direcciones MAC se cambian fácilmente (se suplantan) en la mayoría de los ordenadores y tarjetas de red modernos. Un actor malicioso puede observar la dirección MAC de un dispositivo autorizado y configurar su propio dispositivo para usarla, obteniendo así acceso no autorizado.
* **Identificación, no autenticación:** MAB es simplemente una forma de identificación del dispositivo. Solo confirma qué dispositivo se está conectando, no quién es su propietario ni si es criptográficamente seguro.
Debido a estas debilidades, la mayoría de los servicios modernos de autenticación en la nube (como RADIUSaaS) no admiten Pure MAB ni protocolos heredados como PAP o CHAP. En su lugar, requieren el método MAB-to-EAP, en el que la dirección MAC se utiliza como credencial dentro de un túnel EAP criptográficamente robusto.
## Implementación de MAB con EAP (un enfoque de RADIUSaaS para MAB)
Cuando MAB está configurado en un Authenticator y un dispositivo heredado que no admite 802.1X intenta solicitar acceso a la red, el switch o AP fingirá ser ese dispositivo y asumirá la autenticación en nombre del cliente autenticándose en RADIUSaaS usando uno de los EAP compatibles [protocolos](https://docs.radiusaas.com/admin-portal/users#protocols): EAP-TTLS-PAP o PEAP-MSCHAPv2. Como parte de este proceso, RADIUSaaS comprobará si la dirección MAC figura en la base de datos de RADIUSaaS en forma de un [Usuario](/es/portal-de-administracion/users.md)añadido manualmente. (nombre de usuario = contraseña = dirección MAC), Si es así, entonces se devuelve un mensaje `Access-Accept` y la autenticación basada en EAP se completa, otorgando acceso a la red al dispositivo heredado. Dado que el Authenticator está estableciendo una conexión TLS con RADIUSaaS, debe confiar en el [Certificado de servidor](/es/portal-de-administracion/settings/settings-server.md#server-certificates) que utiliza RADIUSaaS.
El uso de la dirección MAC como nombre de usuario/contraseña para activar EAP es una solución alternativa específica implementada por el Authenticator para simular MAB mientras utiliza protocolos EAP más sólidos.
### ¿Funciona MAB con RADIUSaaS?
MAB, en su implementación original usando PAP o CHAP, no funciona con RADIUSaaS. Teniendo en cuenta las definiciones anteriores, la implementación actual de RADIUSaaS puede admitir MAB siempre que su Authenticator pueda autenticarse mediante uno de los protocolos mencionados anteriormente. Tenga en cuenta que, en cuanto se utilizan estos protocolos compatibles en la autenticación, ya no omitimos la autenticación, y es entonces cuando se utiliza el término más específico MAB-to-EAP.
### Configuración
**MAB** requiere configuración tanto en el Authenticator como en el Authentication Server.
**Authenticator:**
* Habilite 802.1X y MAC Authentication Bypass (MAB) en los puertos de acceso/SSID específicos destinados a dispositivos no 802.1X.
* Confiar en el [certificado del servidor RADIUS](/es/portal-de-administracion/settings/settings-server.md#download).
* *Nota: Los pasos de configuración dependen del proveedor; consulte la documentación de su dispositivo.*
**Authentication Server:**
* Al implementar MAB-to-EAP, debe crear una regla explícita de autorización en RADIUSaaS para asignar todos los dispositivos que se autentiquen mediante este método a una VLAN de respaldo con acceso mínimo a la red. Esto es esencial para hacer cumplir el principio de mínimo privilegio, evitando que un actor malicioso que haya suplantado una dirección MAC válida acceda a recursos críticos de la red. La regla debe configurarse en función de las políticas de autenticación de su entorno:
* Si MAB-to-EAP es el único uso de la autenticación basada en nombre de usuario/contraseña: cree una regla amplia de autorización (LAN/Wi-Fi) que asigne cualquier dispositivo que use este tipo de credenciales a la VLAN de respaldo.
* Si el nombre de usuario/contraseña se utiliza para otros clientes (p. ej., usuarios): esta regla debe ajustarse cuidadosamente mediante expresiones regulares para coincidir específicamente con el patrón de una dirección MAC en el campo de nombre de usuario (p. ej., `00:11:22:33:44:55`). Esto garantiza que solo el tráfico MAB-to-EAP se aísle en la VLAN de respaldo.
* Para admitir MAB-to-EAP, debe [añadir](/es/portal-de-administracion/users.md#add) usuarios con el formato: Nombre de usuario = Contraseña = dirección MAC. Ejemplo: `00:11:22:33:44:55` = `00:11:22:33:44:55`.
* El formato de la dirección MAC (dos puntos, guion o sin separadores) debe coincidir exactamente con el formato que su Authenticator envía en las credenciales EAP. Recomendamos usar la notación con dos puntos (p. ej., `00:11:22:33:44:55`) para mantener la coherencia.
* Si tiene varios usuarios, puede importarlos en bloque mediante un archivo [CSV](/es/portal-de-administracion/users.md#csv-import) .
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.radiusaas.com/es/otro/faqs/mac-authentication.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.