Control de Acceso a la Red (NAC)

¿Qué es NAC?

NAC (Network Access Control) es una tecnología de seguridad que decide quién entra a tu red, cómo entra y qué puede hacer una vez dentro.
👉 Piensa en un NAC como el guardián sagrado de tu castillo digital. No solo pide la contraseña (como el portero), sino que revisa que tu armadura esté completa, que no lleves peste (virus), y que no intentes colarte con malas intenciones.

¿Qué hace exactamente un NAC?

  1. Autenticación: ¿Quién eres tú y desde qué dispositivo vienes?

  2. Autorización: ¿Qué puedes hacer según tu perfil y estado?

  3. Evaluación de postura: ¿Estás saludable y cumples las normas?

  4. Remediación o cuarentena: Si algo va mal, ¿te dejo entrar en una zona restringida? ¿Te doy medicinas?

¿Qué verifica un NAC?

  • Sistema operativo (¿Está actualizado?)

  • Estado del antivirus y firewall

  • Versiones de parches críticos

  • Presencia de software no permitido

  • Tipo de dispositivo (laptop, móvil, IoT)

  • Ubicación (¿estás dentro o fuera de la empresa?)

Métodos de implementación

Método ¿Cómo funciona?

  • Con agente Se instala software en el dispositivo. Analiza en detalle el sistema.
  • Sin agente Se analiza desde fuera. Detecta el dispositivo por huella DHCP, escaneo de red.
  • 👉 Con agente: más potente, más intrusivo
  • 👉 Sin agente: más universal, menos información


Integración con VLAN

NAC y VLANs trabajan juntos como un equipo táctico:

  • VLAN dinámica: Se asigna automáticamente una VLAN según el perfil del usuario o el estado del dispositivo.

    • Visitante → VLAN Internet

    • Empleado limpio → VLAN Corporativa

    • Dispositivo sospechoso → VLAN de Cuarentena

Alegoría:
Imagina un edificio con pisos:

  • Planta 1: sala de espera (internet solo)

  • Planta 2: oficinas generales (usuarios normales)

  • Planta 3: laboratorio secreto (solo ingenieros NAC-compatibles)

NAC te escanea y te lleva al piso que te corresponde.


¿Qué hace NAC si algo va mal?

  • Puede bloquear el acceso

  • Puede mover el dispositivo a una VLAN de cuarentena

  • Puede permitir acceso limitado solo a herramientas de remediación (como el servidor de parches)

  • Puede notificar al equipo Blue Team vía correo o alerta SIEM

🌐 Ejemplo con PacketFence

PacketFence es una herramienta NAC de código abierto muy popular.
Con ella puedes:

  • Ver las violaciones de seguridad

  • Crear políticas por tipo de usuario o ubicación

  • Integrarla con Active Directory y firewall

  • Hacer cuarentenas automáticas

  • Usarla en entornos BYOD o IoT

🧠 Conceptos clave

  • Postura de seguridad Estado de salud del dispositivo: ¿seguro o no?
  • Remediación Acciones para corregir problemas automáticamente
  • VLAN dinámica Asignación de red automática según perfil y estado
  • Quarantine VLAN Red aislada donde va el dispositivo si no cumple
  • BYOD Bring Your Own Device → empleados usan sus propios dispositivos
  • IoT Dispositivos inteligentes conectados (cámaras, sensores, etc.)

🎯 Aplicación práctica en una empresa

  1. Un nuevo empleado conecta su portátil → el NAC detecta que falta el antivirus → se le redirige a una VLAN de remediación donde descarga el software → tras cumplir las políticas, se le pasa a la VLAN interna segura.

  2. Un móvil de un visitante se conecta a la red Wi-Fi → el NAC lo detecta como dispositivo no corporativo → se le da solo acceso a internet (nada interno).

  3. Un IoT comprometido intenta escanear la red → el NAC lo detecta por tráfico inusual y lo mueve automáticamente a una VLAN de cuarentena.

Curiosidades, claves importantes y visión estratégica del NAC con VLAN dinámica


1. NAC no es solo control, es conciencia de red

La magia real de NAC es su capacidad para ver y entender todo lo que pasa en tiempo real. Cada dispositivo que se conecta es inspeccionado, clasificado y guiado.

  • ¿Es un portátil corporativo? ➜ Se revisa si tiene antivirus, parches, etc.

  • ¿Es un smartphone personal? ➜ Se puede aislar en una VLAN solo con acceso a internet.

  • ¿Es un dispositivo IoT? ➜ Se lo pone en una VLAN con reglas más estrictas.

🔐 NAC se convierte así en una barrera dinámica de seguridad viva, que evoluciona a cada segundo.


2. La VLAN dinámica es el caballo de Troya inverso

En vez de que los atacantes usen un caballo de Troya para infiltrarse, tú usas la VLAN dinámica para contener y canalizar todo el tráfico sospechoso o inseguro hacia zonas controladas.

  • Ejemplo real: un dispositivo con software obsoleto o sin antivirus se detecta por NAC → se le mueve automáticamente a una VLAN de cuarentena, sin que el usuario lo sepa.

  • Una vez que cumple los requisitos, se le libera hacia su VLAN operativa, todo automáticamente.

✨ Esto convierte tu red en un organismo vivo, que se adapta y reacciona.


3. Modelos de implementación NAC (visión Purple Team)

Tipo Ventaja Desventaja Ideal para
Con agente persistente Control total + remediación automática Requiere instalación previa Corporativo
Con agente disoluble No instala nada permanentemente Sin remediación automatizada Invierno BYOD
Sin agente Compatible con todo (IoT, printers, invitados) Visibilidad limitada IoT / Zonas abiertas

🧠 Claves como CISO:

  • Combina con y sin agente según el riesgo de cada tipo de usuario.

  • Establece perfiles de acceso: empleados, invitados, terceros, dispositivos especiales.

  • Usa NAC para segmentar dinámicamente: cada tipo de entidad a su VLAN, con sus propias reglas de firewall y monitoreo.


4. Curiosidades importantes

  1. 🔄 La asignación VLAN puede cambiar en tiempo real: si un endpoint cambia de estado (por ejemplo, se infecta), el NAC lo puede mover sin desconectar al usuario.

  2. 📡 NAC + MDM (Mobile Device Management): se integran para verificar la postura de seguridad de móviles y tablets, no solo portátiles.

  3. 🧱 NAC + Zero Trust: NAC puede ser el orquestador del acceso dinámico en una arquitectura Zero Trust, integrando identidad, contexto, salud y localización para decidir quién accede a qué.

  4. 🛑 El error común más peligroso: implementar NAC pero no usar VLAN dinámica ni segmentación → es como tener una cerradura de alta seguridad pero dejar la puerta abierta de par en par una vez entras.


5. Ideas avanzadas para reforzar

  • Integración con SIEM: cada evento de autenticación o cambio de estado puede enviarse a un SIEM para detección de anomalías.

  • Remediación automática: instalar parches, forzar actualización de antivirus, restringir acceso temporal.

  • Alertas personalizadas: si un empleado intenta conectar desde una VLAN de invitados, se le puede enviar una alerta automática por correo o push.

NAC + VLAN Dinámica: Nivel Avanzado Purple Team

Esta parte conecta con análisis forense, visibilidad total y protección integral. Ideal para cuando lideras un entorno corporativo híbrido con BYOD, IoT, Wi-Fi y amenazas internas.

1. NAC y VLAN dinámica como base del modelo Zero Trust

Zero Trust Network Access (ZTNA) implica:

  • ✅ Verificar cada dispositivo.

  • ✅ Aplicar el principio de mínimo privilegio.

  • ✅ No confiar ni en dispositivos internos sin validación.

🔗 NAC + VLAN dinámica = Implementación física de Zero Trust.

  • Cada conexión es autenticada.

  • Cada dispositivo evaluado.

  • Cada acceso segmentado dinámicamente.

Ejemplo: Un portátil con malware intenta conectarse. El NAC lo detecta y lo reubica en la VLAN de cuarentena sin intervención humana. ¿Y si es persistente? Activas automatización con el SIEM para revocar su certificado digital.

2. Integración con SIEM, SOAR y EDR

💥 Para tener una respuesta coordinada, el NAC debe integrarse con:

  • 🧠 SIEM: Recolecta logs y eventos de cambio de estado, autenticaciones fallidas, asignaciones de VLAN.

  • SOAR: Automatiza acciones ante eventos NAC como mover a cuarentena, alertar al Blue Team, o iniciar escaneo EDR.

  • 🛡️ EDR/XDR: Provee info adicional del host para reforzar la decisión NAC.

Ejemplo de orquestación Purple:

  • NAC detecta un host vulnerable.

  • Lo mueve a VLAN de cuarentena.

  • SOAR activa escaneo EDR.

  • EDR confirma infección → el SOAR bloquea el host en firewall y desconecta del switch.

3. NAC + VLAN en redes cableadas y Wi-Fi

Entorno Método recomendado Observaciones clave
LAN cableada 802.1X con VLAN dinámica Requiere switches gestionables
Wi-Fi empresa WPA2/WPA3 Enterprise con EAP-TLS o PEAP Usa RADIUS + AD, permite control total
Red de invitados Captive Portal con VLAN de acceso limitado VLAN solo para navegación y aislamiento
IoT NAC sin agente + VLAN dedicada Aísla de toda la red crítica

🔐 En Wi-Fi: Puedes usar Dynamic VLAN Assignment via RADIUS con Aruba, Cisco, UniFi o TP-Link Omada (en modo empresarial).

4. NAC en entornos híbridos (corporativo + remoto)

NAC tradicional es para redes locales, pero en entornos híbridos:

  • Integra con VPN concentrators para aplicar NAC en conexiones remotas.

  • Usa MDM y Azure Conditional Access si es entorno Microsoft.

  • Aplica políticas de postura del endpoint (posture check) también a trabajadores remotos.

💡 Si no pasa la verificación → no accede a la red VPN corporativa.

5. Auditoría, testeo y evaluación continua

Haz simulaciones tipo Purple Team:

  • Simulación Resultado esperado
  • Portátil sin parche conectándose NAC lo detecta → VLAN de cuarentena + alerta
  • Conexión cableada sin 802.1X Se bloquea el puerto automáticamente
  • Host desconocido en red Wi-Fi Captive portal + validación o cuarentena
  • Dispositivo con MAC spoofing VLAN de mínimos privilegios + alerta SIEM

Consejo avanzado: Usa herramientas como Nmap, Netdiscover o Rogue Detection desde tu SOC para validar si el NAC realmente está protegiendo el perímetro.

6. Automatizaciones avanzadas

  • Integración con Active Directory: usar grupos para asignar políticas dinámicas.

  • Acciones automáticas desde logs NAC: vía syslog/SOAR.

  • Integración con Microsoft Intune o MobileIron (MDM) para evaluar dispositivos BYOD.

🔄 Remediación automática:
→ No cumple → VLAN cuarentena
→ Se actualiza → NAC reevalúa → retorna a VLAN segura

7. Recomendaciones prácticas finales

  • 💡 Siempre usar certificados en Wi-Fi empresarial (EAP-TLS) para evitar credenciales reutilizadas.

  • 📉 Reducir el uso de PSK o WPA2-Personal en entornos corporativos.

  • 🎯 Segmenta por usuario, rol y contexto, no solo por tipo de dispositivo.

  • 🧪 Haz pentests internos para detectar VLAN hopping o bypasses NAC.

  • 🗂️ Documenta tus políticas NAC y VLAN con diagramas para visibilidad del equipo Blue y Red.

EJEMPLO 1 – Nivel Avanzado

Ataque: Rogue Access Point (Evil Twin)

🔴 Red Team ataca

  • Monta un punto de acceso malicioso (Evil Twin) con el mismo SSID que una red corporativa real usando airbase-ng o hostapd.

  • Despliega una captive portal falsa para recolectar credenciales de empleados que se conectan.

  • Analiza el tráfico con Wireshark para capturar handshake y realizar un ataque de diccionario a WPA2-PSK.

🔵 Blue Team defiende

  • Habilita detección de Rogue APs y SSID spoofing en el WLC o el sistema NAC (como Cisco ISE o PacketFence).

  • Monitorea los logs de RADIUS y WLC para detectar autenticaciones sospechosas.

  • Verifica que todos los WAP estén usando WPA3-SAE y tengan deshabilitado WPS.

🟣 Purple Team gestiona

  • Coordina un simulacro controlado de ataque con un Rogue AP en laboratorio.

  • Mide tiempos de detección, respuesta y efectividad de alertas.

  • Redacta un playbook de detección y contención de Evil Twin:

    • ✔ Verificar BSSID legítimos

    • ✔ Aislar clientes que se conecten a redes no autorizadas

    • ✔ Enviar a VLAN de cuarentena temporalmente


EJEMPLO 2 – Nivel Experto

Ataque: Evasion de NAC mediante MAC Spoofing + VLAN Hopping

🔴 Red Team ataca

  • Clona la MAC address de un dispositivo autorizado para evadir políticas NAC.

  • Intenta cambiar de VLAN usando técnicas de VLAN hopping (como switch spoofing o doble tagging).

  • Lanza un escaneo de red desde la VLAN asignada para descubrir dispositivos accesibles.

🔵 Blue Team defiende

  • Aplica MACsec o certificación 802.1X + RADIUS por identidad y no por MAC.

  • Configura port security en los switches para limitar direcciones MAC por puerto.

  • Habilita detección de cambios de VLAN y aplica aislamiento inmediato (VLAN de cuarentena).

🟣 Purple Team gestiona

  • Establece una política de NAC con VLAN dinámica basada en atributos RADIUS como:

    • Tipo de dispositivo

    • Usuario autenticado

    • Salud del sistema (estado AV, SO actualizado)

  • Crea reglas de correlación SIEM para detectar cambios anómalos de VLAN o MAC duplicadas.

  • Documenta el caso con un análisis forense:

    • Tiempo de evasión

    • Comportamiento lateral

    • Efectividad del aislamiento


EJEMPLO 3 – Nivel Maestro

Ataque: Intrusión persistente con compromiso de dispositivos IoT + bypass de controles NAC

🔴 Red Team ataca

  • Aprovecha un dispositivo IoT (ej: cámara IP sin NAC) con firmware desactualizado.

  • Gana acceso root, configura un reverse shell persistente.

  • Utiliza el dispositivo para pivotar lateralmente hacia la red interna, eludiendo NAC.

🔵 Blue Team defiende

  • Aplica microsegmentación: cada IoT se aísla en su propia VLAN dedicada sin rutas internas.

  • Monitorea tráfico anómalo de dispositivos IoT con NDR (Network Detection and Response).

  • Aplica parches y verifica integridad de firmware con escaneos regulares.

🟣 Purple Team gestiona

  • Implementa un sistema de comprobación de postura IoT vía NAC sin agente:

    • Detección por fingerprinting (puertos, firmas, SNMP)

  • Simula el ataque y evalúa la capacidad de respuesta del SOC y del equipo de redes.

  • Diseña e implementa una política Zero Trust IoT:

    • Solo puede comunicarse con su controlador

    • Cuarentena automática ante cualquier escaneo o tráfico lateral


Mentalidad Avanzada Purple Team

🔁 Iteración constante: Cada simulacro se revisa, documenta y se alimenta en las políticas NAC y WAP.
🔎 Análisis profundo: No basta con detectar. El Purple Team aprende cómo, cuándo y por qué sucedió.
🔐 Seguridad basada en identidad + contexto + salud: No hay confianza sin verificación.

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar