Despliegue de NAC con VLAN Dinámica - Guía paso a paso

Escenario real:

Empresa de tamaño medio con oficinas físicas y usuarios remotos. Se usan portátiles corporativos, móviles personales (BYOD) y algunos dispositivos IoT.
Objetivo: Implementar control de acceso NAC con asignación automática de VLAN según perfil del dispositivo.

Tecnologías sugeridas, puedes usar alternativas:

  • 🔐 NAC: PacketFence (open source) o Cisco ISE

  • 🔧 Switches gestionables: Cisco, HP o compatibles con 802.1x

  • 🛜 RADIUS: Integrado en el NAC (ej: FreeRADIUS)

  • 🌐 Active Directory (opcional pero recomendable)

  • 🧑‍💼 Usuarios y dispositivos corporativos y BYOD

🔎 Fase 1 – Preparación

1.1 Inventario y planificación

  • Lista de VLAN actuales (ej: Internet, Oficina, Cuarentena)

  • Tipos de dispositivos: empleados, invitados, IoT

  • ¿Tienes switches gestionables compatibles con 802.1x?

  • ¿Autenticación con AD, LDAP o base local?

1.2 Asignación de VLAN por tipo

Perfil VLAN

  • Empleados válidos VLAN 20 – Oficina segura
  • Invitados VLAN 40 – Internet solo
  • IoT VLAN 60 – Red aislada
  • No conforme VLAN 99 – Cuarentena

⚙️ Fase 2 – Instalación del NAC

2.1 Instala PacketFence (opción open source)

Puedes hacerlo en una máquina virtual con Debian/CentOS

bash# 

Ejemplo con Debian 

sudo apt install packetfence

El asistente te guiará por los pasos iniciales: interfaz de red, base de datos, servicios...

2.2 Accede al panel web

  • IP: https://<tu_ip>:1443

  • Usuario admin, configura contraseña

🛡️ Fase 3 – Integración de RADIUS y switches

3.1 Configura el servidor RADIUS interno en PacketFence

  • Añade los switches como clientes RADIUS:

bash# 

Switch: 

IP: 192.168.1.10 

Shared Secret: ClaveSegura123

3.2 Configura los switches para 802.1x

Ejemplo en Cisco:

plaintext #

interface FastEthernet0/1 

switchport mode access authentication port-control auto 

dot1x pae authenticator 

mab 

spanning-tree portfast

🔐 mab (MAC Authentication Bypass) sirve para dispositivos sin soporte 802.1x (ej: cámaras IoT).

🔀 Fase 4 – Activar VLAN dinámica

4.1 En PacketFence:

  • Crea grupos de dispositivos (según MAC, tipo o usuario)

  • Asigna roles con acciones: VLAN 20, VLAN 40, etc.

  • Usa plantillas de políticas: "empleado con antivirus", "invitado BYOD", "IoT sin agente"

4.2 Prueba de conexión

  1. Un portátil se conecta al puerto del switch.

  2. El switch consulta al NAC vía RADIUS.

  3. NAC verifica:

    • ¿Es corporativo?

    • ¿Cumple postura de seguridad?

  4. Respuesta:

    • ✅ Cumple: VLAN 20

    • ⚠️ BYOD: VLAN 40

    • ❌ Sin antivirus: VLAN 99

🔄 Fase 5 – Evaluación de postura (opcional)

5.1 Activar escaneo o agente

  • PacketFence permite usar:

    • 🧪 Agente disoluble (no se instala)

    • 🕵️‍♂️ Escaneo de puertos y servicios

    • 🛡️ Comprobación de antivirus, SO, parches

📉 Fase 6 – Remediación y cuarentena

  • Si un dispositivo no cumple:

    • Se mueve a la VLAN 99

    • Se le muestra un portal web de remediación

    • Ahí puede:

      • Descargar antivirus

      • Ver instrucciones

      • Solicitar desbloqueo

    • Una vez corregido, puede reconectarse y volver a la VLAN 20

📡 Fase 7 – Supervisión, alertas y SIEM

  • PacketFence puede integrarse con:

    • SIEM (AlienVault, Splunk, Graylog…)

    • Email de alertas para dispositivos sospechosos

    • Logs detallados por usuario, MAC, IP y VLAN asignada

Consejos Purple

  • 🛠 Como Blue Team: defines reglas y bloqueas amenazas antes de que entren.

  • 🩻 Como Red Team: exploras bypass al NAC, spoofing de MAC o ataques DoS al switch.

  • 🧠 Como Purple Team: evalúas continuamente las políticas para adaptarlas a nuevos dispositivos, usuarios remotos y amenazas emergentes.

Resultado final

✅ El acceso está controlado y segmentado.
✅ Se aísla automáticamente a los dispositivos inseguros.
✅ Se aplican políticas en tiempo real sin intervención manual.
✅ Puedes monitorizar, remediar y actuar proactivamente.

Guía paso a paso para desplegar NAC con VLAN dinámica

🗝️ Metáfora: NAC es como un portero de una empresa de élite. Solo deja pasar a las personas que traen su invitación personal privada, van vestidos correctamente y tienen una misión autorizada.


🧭 PASO 1: Definir políticas de acceso y segmentación

Antes de instalar nada, necesitas pensar como arquitecta:

  • ¿Quién accede a qué?

  • ¿Qué dispositivos se permiten?

  • ¿Cómo se identifican los invitados, BYOD, IoT?

  • ¿Qué VLANs necesitas?

📌 Crea tu tabla de segmentación:

Tipo de usuario VLAN Acceso permitido
Empleado VLAN10 Recursos internos, internet
Invitado VLAN20 Solo internet
IoT VLAN30 Servidor central de IoT
No cumple requisitos VLAN40 Cuarentena, sin acceso


⚙️PASO 2: Preparar la infraestructura de red

  1. Activa 802.1X en tus switches y puntos de acceso (Wi-Fi).

  2. Configura soporte para VLAN dinámica (en switches gestionables).

  3. Si usas Wi-Fi, asegúrate de que el controlador del AP (como Cisco WLC, Aruba, etc.) también soporte VLANs y RADIUS.


🔐 PASO 3: Implementar servidor RADIUS (AAA)

Usa por ejemplo FreeRADIUS, Microsoft NPS, o ClearPass.

  • Configura políticas por grupo de usuarios/dispositivos.

  • Define atributos RADIUS para asignar VLAN según:

    • Identidad del usuario.

    • Tipo de dispositivo (mediante fingerprinting).

    • Resultado de la evaluación de seguridad.

💡 Consejo Purple: Integra RADIUS con Active Directory para gestión de usuarios centralizada.


🧠 PASO 4: Desplegar el NAC

Usa una solución como:

  • PacketFence (opensource)

  • Cisco ISE

  • Aruba ClearPass

  • FortiNAC

🧪 Elige si será:

  • Con agente: empleados fijos.

  • Agente disoluble: visitantes corporativos o BYOD.

  • Sin agente: IoT, impresoras, cámaras.


🧰 PASO 5: Crear políticas de evaluación de dispositivos

Define los requisitos para acceso completo:

  • ¿Tiene antivirus actualizado?

  • ¿Sistema operativo parcheado?

  • ¿Firewall activado?

  • ¿No tiene software prohibido?

🔄 Si no cumple → redireccionar automáticamente a VLAN cuarentena.


🧬 PASO 6: Probar todos los escenarios

Antes de pasar a producción:

  • Empleado cumple requisitos → acceso completo

  • Empleado sin parches → VLAN cuarentena

  • Invitado → VLAN aislada

  • Dispositivo IoT → VLAN específica sin acceso lateral

  • Ataque simulado → ¿el NAC lo bloquea?


🚀 PASO 7: Monitorear, ajustar, automatizar

  • Integra NAC con tu SIEM para visibilidad total.

  • Configura remediación automática.

  • Revisa logs de cambios de VLAN, accesos sospechosos, anomalías.

  • Audita semanalmente.


⚠️ Errores comunes a evitar

  1. No definir bien las políticas antes de implementar

    • Solución: haz un mapa de accesos por rol antes de tocar switches.

  2. No probar en entorno de pruebas

    • Solución: haz un entorno piloto con unos pocos usuarios.

  3. No configurar bien las VLANs en los switches

    • Solución: asegúrate de que todos los switches soportan y están configurados para VLAN dinámica.

  4. Confundir cliente RADIUS con usuario final

    • Recuerda: el cliente RADIUS es el switch o el punto de acceso, no el portátil del empleado.

  5. No tener plan de remediación

    • Solución: define qué hacer si un dispositivo no cumple. ¿Lo parcheas automáticamente? ¿Lo rediriges? ¿Bloqueas?


✅ Buenas prácticas esenciales

  • 🧪 Primero en modo monitor: observa sin bloquear.

  • 🛡️ Siempre audita los cambios de política.

  • 📊 Conecta el NAC a tu SIEM para alertas tempranas.

  • 🧩 Segmenta por contexto (no solo por tipo de usuario: considera la hora, la ubicación, el riesgo).

  • 🔄 Automatiza actualizaciones de parches y cumplimiento desde el NAC (por ejemplo, integración con MDM).

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar