circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search

Omisión de autenticación por MAC

Este artículo tiene como objetivo aclarar qué es la Omisión de Autenticación por MAC, cómo difiere de MAB-a-EAP y cuál de ellos funciona con RADIUSaaS.

triangle-exclamation

Desde Las direcciones MAC se pueden falsificar fácilmente, implementar una omisión de autenticación por MAC es fuertemente desaconsejado a menos que sea absolutamente necesario y el administrador haya sopesado el riesgo asociado con implementar dicha omisión frente a la conveniencia y las limitaciones presupuestarias de actualizar hardware obsoleto.

hashtag
Descripción general

Omisión de Autenticación por MAC (MAB) es una función que permite a dispositivos incapaces de realizar la autenticación empresarial 802.1X estándar (como impresoras heredadas, sensores simples o sistemas embebidos) conectarse a una red que de otro modo sería segura. MAB concede acceso utilizando la dirección MAC única de un dispositivo como su único identificador frente a una lista autorizada mantenida por un servidor RADIUS.

La implementación heredada de MAB es vulnerable a la falsificación de direcciones MAC tanto en la conexión entre el autenticador y el dispositivo de red como en la conexión entre el dispositivo de red y el servidor RADIUS. Para eliminar el segundo vector de ataque, se puede usar una implementación de MAB más fuerte, llamada MAB-a-EAP, que puede utilizarse, lo que garantiza efectivamente la integridad de la dirección MAC transmitida al servidor RADIUS (la dirección MAC aún puede ser falsificada en el enlace entre el autenticador y el dispositivo de red).

Esta guía detalla las diferencias entre el método heredado inseguro MAB Puro y la solución moderna con transporte asegurado.

hashtag
Terminología e Implementaciones de MAB

MAB: Omisión de Autenticación por MAC

EAP: Protocolo Extensible de Autenticación

Supplicant: La entidad (como un portátil, teléfono o interfaz de red) que inicia el proceso de autenticación con un Autenticador para obtener acceso a una red.

Autenticador: Una entidad de red (como un switch, punto de acceso inalámbrico o gateway VPN) que hace cumplir la autenticación antes de conceder a un Supplicant acceso a la red.

Servidor de Autenticación: Una entidad de red de confianza (como un servidor RADIUS) responsable de verificar la identidad de los Supplicants comprobando sus credenciales (como nombres de usuario, contraseñas o certificados digitales) y determinando si están autorizados para acceder a la red.

MAB Puro (Implementación heredada): Este método implica que el Autenticador envíe la dirección MAC del cliente a un servidor RADIUS, generalmente en el atributo Calling-Station-Id RADIUS. El servidor RADIUS realiza una búsqueda simple y devuelve un Access-Accept o Access-Reject. La dirección MAC actúa como el identificador, no como una credencial verdadera.

MAB-a-EAP (Implementación Asegurada): Debido a que el MAB Puro carece de transporte criptográficamente seguro, muchos servicios modernos (como RADIUSaaS) requieren un enfoque más sólido. En este método, el Autenticador usa la dirección MAC del cliente tanto como nombre de usuario como contraseña y luego intenta autenticarse en el servidor RADIUS usando un protocolo EAP seguro (p. ej., EAP-TTLS-PAP, PEAP-MSCHAPv2). El dispositivo cliente permanece ajeno a que haya ocurrido alguna autenticación.

hashtag
Cómo Funciona el MAB Puro (Base de Datos RADIUS Externa)

Cuando la base de datos de direcciones MAC la mantiene un servidor RADIUS externo (la configuración empresarial común), la siguiente secuencia se aplica para MAB Puro:

  1. Un cliente no 802.1X se conecta y solicita acceso a la red.

  2. El Autenticador detecta la conexión y, al no ver negociación 802.1X, inicia un intento de MAB.

  3. El Autenticador toma la dirección MAC del cliente (p. ej., 00:11:22:33:44:55) y la reenvía al servidor RADIUS en un Access-Request mensaje. La dirección MAC normalmente se analiza en el Calling-Station-Id atributo RADIUS.

  4. El servidor RADIUS comprueba en su base de datos configurada la presencia de la dirección MAC.

  5. Devuelve un Access-Accept mensaje si la MAC se encuentra (Coincidencia) o un Access-Reject si no se encuentra (Sin Coincidencia).

  6. Si Access-Accept se recibe, el Autenticador autoriza el puerto y permite que el cliente se una a la red.

Drawing

hashtag
Consideraciones de Seguridad

En general, MAB ofrece poca o ninguna seguridad y debe usarse con extrema precaución.

  • Suplantación de MAC: Las direcciones MAC se pueden cambiar (suplantar) fácilmente en la mayoría de ordenadores y tarjetas de red modernas. Un actor malintencionado puede observar la dirección MAC de un dispositivo autorizado y configurar su propio dispositivo para usarla, obteniendo así acceso no autorizado.

  • Identificación, No Autenticación: MAB es meramente una forma de identificación de dispositivo. Solo confirma qué dispositivo se está conectando, no quién lo posee ni si es criptográficamente seguro.

Debido a estas debilidades, la mayoría de los servicios modernos de autenticación basados en la nube (como RADIUSaaS) no admiten MAB Puro ni protocolos heredados como PAP o CHAP. En su lugar, requieren el método MAB-a-EAP donde la dirección MAC se usa como credenciales dentro de un túnel EAP criptográficamente fuerte.

hashtag
Implementación de MAB con EAP (un enfoque de RADIUSaaS para MAB)

Cuando MAB está configurado en un Autenticador y un dispositivo heredado que no admite 802.1X intenta solicitar acceso a la red, el switch o AP fingirá ser ese dispositivo y se hará cargo de la autenticación en nombre del cliente autenticándose en RADIUSaaS usando uno de los protocolos EAParrow-up-right: EAP-TTLS-PAP o PEAP-MSCHAPv2. Como parte de este proceso, RADIUSaaS comprobará si la dirección MAC está listada en la base de datos de RADIUSaaS en forma de un Usuarioagregado manualmente. (usuario = contraseña = dirección MAC), Si es así, entonces se devuelve un Access-Accept mensaje, y la autenticación basada en EAP se completa dando al dispositivo heredado acceso a la red. Dado que el Autenticador está estableciendo una conexión TLS con RADIUSaaS, debe confiar en los Certificado del servidor que RADIUSaaS utiliza.

El uso de la dirección MAC como nombre de usuario/contraseña para activar EAP es una solución específica implementada por el Autenticador para simular MAB mientras utiliza protocolos EAP más fuertes.

hashtag
¿Funciona MAB con RADIUSaaS?

MAB en su implementación original usando PAP o CHAP no funciona con RADIUSaaS. Con las definiciones anteriores en mente, la implementación actual de RADIUSaaS puede admitir MAB siempre que su Autenticador pueda autenticarse mediante uno de los protocolos mencionados. Tenga en cuenta que en cuanto se usan estos protocolos compatibles en la autenticación, ya no estamos omitiendo la autenticación, y es cuando se utiliza el término más específico MAB-a-EAP.

hashtag
Configuración

MAB requiere configuración tanto en el Autenticador como en el Servidor de Autenticación.

Autenticador:

  • Habilite 802.1X y Omisión de Autenticación por MAC (MAB) en los puertos de acceso/SSID específicos destinados a dispositivos no 802.1X.

  • Confíe en el certificado del servidor RADIUS.

  • Nota: Los pasos de configuración son específicos del proveedor; consulte la documentación de su dispositivo.

Servidor de Autenticación:

  • Al implementar MAB-a-EAP, debe crear una regla de autorización explícita en RADIUSaaS para asignar todos los dispositivos que se autentican mediante este método a una VLAN de respaldo con acceso de red mínimo. Esto es esencial para aplicar el principio de mínimos privilegios, impidiendo que un actor malintencionado que haya suplantado una dirección MAC válida acceda a recursos críticos de la red. La regla debe configurarse según las políticas de autenticación de su entorno:

    • Si MAB-a-EAP es el único uso para la autenticación basada en nombre de usuario/contraseña: Cree una regla de autorización amplia (LAN/Wi‑Fi) que asigne cualquier dispositivo que use este tipo de credenciales a la VLAN de respaldo.

    • Si el nombre de usuario/contraseña se utiliza para otros clientes (p. ej., usuarios): Esta regla debe ajustarse cuidadosamente usando expresiones regulares para coincidir específicamente con el patrón de una dirección MAC en el campo de nombre de usuario (p. ej., 00:11:22:33:44:55). Esto asegura que solo el tráfico MAB-a-EAP se aísle en la VLAN de respaldo.

  • Para soportar MAB-a-EAP, usted debe añadir usuarios formateados como: Nombre de usuario = Contraseña = dirección MAC. Ejemplo: 00:11:22:33:44:55 = 00:11:22:33:44:55.

  • El formato de la dirección MAC (dos puntos, guion o sin separadores) debe coincidir exactamente con el formato que su Autenticador envía en las credenciales EAP. Recomendamos usar la notación con dos puntos (p. ej., 00:11:22:33:44:55) para mayor consistencia.

  • Si tiene varios usuarios, puede importarlos en masa usando un CSV archivo.

Última actualización

¿Te fue útil?