MENU
  1. Inicio
  2. Windows
  3. Windows Server
  4. Diagrama de flujo WPA2‑Enterprise con NPS y DHCP: guía paso a paso

Diagrama de flujo WPA2‑Enterprise con NPS y DHCP: guía paso a paso

Windows Server

Conectar un dispositivo a una red Wi‑Fi corporativa parece sencillo, pero tras ese clic ocurren decenas de intercambios entre el cliente, el punto de acceso, el servidor DHCP y el servidor NPS. Este artículo desglosa cada paso y muestra cómo encaja la condición NAS‑ID en la ecuación.

Índice

Visión general

WPA2‑Enterprise se apoya en el protocolo 802.1X y en la infraestructura RADIUS para lograr una autenticación robusta basada en EAP (Extensible Authentication Protocol). El diagrama de flujo resulta esencial para:

  • Visualizar la secuencia completa de mensajes.
  • Comprender la dependencia temporal entre 802.1X y la asignación de IP por DHCP.
  • Ubicar en qué punto el AP envía el atributo NAS‑Identifier que NPS emplea para aplicar sus políticas.

Diagrama de flujo lógico


┌───────────┐           ┌───────────┐            ┌───────────┐            ┌───────────┐
│ Cliente   │           │   Punto   │            │  Servidor │            │  Servidor │
│  Wi‑Fi    │           │  de Acceso│            │   NPS     │            │   DHCP    │
└────┬──────┘           └────┬──────┘            └────┬──────┘            └────┬──────┘
     │ Probe Request         │                       │                       │
     │──────────────────────▶│                       │                       │
     │ <i>Scan &amp; SSID</i>      │                       │                       │
     │◀──────────────────────│                       │                       │
     │                       │                       │                       │
     │ EAPOL‑Start           │                       │                       │
     │──────────────────────▶│                       │                       │
     │                       │ EAP‑Req/Id            │                       │
     │                       │──────────────────────▶│                       │
     │ EAP‑Resp/Id           │                       │ Access‑Request        │
     │──────────────────────▶│                       │(incl. NAS‑ID)         │
     │                       │                       │──────────────────────▶│
     │                       │                       │                       │
     │           &lt;&lt;&lt;   Autenticación EAP mutua (TLS, PEAP, etc.)   &gt;&gt;&gt;       │
     │                       │                       │                       │
     │                       │ Access‑Accept / Reject│                       │
     │                       │◀──────────────────────│                       │
     │ 4‑Way Handshake       │                       │                       │
     │◀──────────────────────▶│                       │                       │
     │                       │                       │                       │
     │ DHCP Discover         │                       │                       │
     │───────────────────────────────────────────────────────────────────────▶│
     │ DHCP Offer            │                       │                       │
     │◀───────────────────────────────────────────────────────────────────────│
     │ DHCP Request          │                       │                       │
     │───────────────────────────────────────────────────────────────────────▶│
     │ DHCP Ack              │                       │                       │
     │◀───────────────────────────────────────────────────────────────────────│
     │                       │                       │                       │

Secuencia detallada de mensajes

EtapaIntercambio principalPropósito
Encendido y búsquedaProbe Request / ResponseDescubrimiento de redes disponibles y selección del SSID.
Inicio 802.1XEAPOL‑StartEl cliente avisa al AP que desea autenticarse.
Petición y respuesta de identidadEAP‑Request/Identity & EAP‑Response/IdentityEl AP solicita la identidad; el cliente la envía encapsulada en RADIUS (Access‑Request) con NAS‑ID.
Autenticación EAPEAP‑TLS, PEAP, EAP‑TTLS…Validación mutua de credenciales y establecimiento de la PMK.
Access‑Accept / RejectRADIUS Access‑Accept + atributos (VLAN, ACL)El AP decide permitir o denegar el acceso y aplica parámetros.
4‑Way HandshakeANonce / SNonce, PTK, GTKDeriva claves de cifrado para el canal unicast y multicast.
DHCP (si 802.1X ok)Discover / Offer / Request / AckEntrega de dirección IP y parámetros de red.
Transmisión seguraDatos cifradosTráfico normal de usuario protegido con WPA2‑CCMP.

¿Qué es NAS‑ID y por qué importa?

NAS‑Identifier es un atributo RADIUS enviado por el AP en cada Access‑Request. Puede contener el nombre del SSID, la ubicación física del AP o cualquier cadena definida por el administrador. En NPS sirve para:

  • Políticas de conexión (Connection Request Policy): decidir si el servidor acepta o reenvía la solicitud.
  • Políticas de red (Network Policy): aplicar reglas distintas según el SSID, edificio o tipo de dispositivo.

Por ejemplo, con dos SSID (Empresa y Invitados) el AP puede enviar NAS‑ID=Empresa‑AP‑3B o NAS‑ID=Guest‑AP‑3B; NPS filtrará cada solicitud a la política correspondiente.

¿DHCP antes o después de 802.1X?

Lo habitual es que el AP bloquee todo tráfico IP hasta que el puerto 802.1X esté en estado authorized. Sin embargo, algunos fabricantes habilitan Pre‑Authentication DHCP. Ventajas y desventajas:

MétodoVentajasConsideraciones
DHCP después de 802.1XReduce ataque de DHCP starvation.
Evita abusos de Dirección IP.		El cliente tarda más en obtener conectividad de capa 3.
DHCP antes de 802.1XConexión percibida como más rápida.
Menos timeouts de aplicaciones sensibles.		Se debe aislar el tráfico L2 de los clientes no autenticados (VLAN de cuarentena).

Desglose de claves y cifrado

Una vez finalizado el EAP, ambos extremos comparten la Pairwise Master Key (PMK). El 4‑Way Handshake la combina con dos nonces (ANonce y SNonce) y las MAC de cliente y AP para derivar la Pairwise Transient Key (PTK). Dentro de la PTK, el sub‑campo KCK (Key Confirmation Key) autentica mensajes, mientras que KEK (Key Encryption Key) cifra la GTK. El resultado:

  • Unicast: cifrado con PTK (normalmente AES‑CCMP).
  • Multicast / Broadcast: cifrado con GTK, distribuida por el AP.

Problemas típicos y cómo solucionarlos

  1. Timeouts EAPOL‑Start
    • Firmware antiguo del AP o del cliente: actualiza.
    • Retransmisiones EAP configuradas demasiado bajas: incrementa a 5‑6.
  2. Errores de certificado (EAP‑TLS)
    • Fecha/hora incorrectas en el cliente: sincroniza con NTP antes de intentar EAP‑TLS.
    • Certificado CA no confiable: instala la cadena completa.
  3. Access‑Reject sin motivo claro
    • Comprueba el evento 6273 en NPS: muestra Reason Code y el valor de NAS‑ID.
    • Verifica que la Network Policy coincida con SSID y con la regla de grupo de usuarios.
  4. Asignación de VLAN incorrecta
    • Conflicto entre atributos RADIUS Tunnel‑Private‑Group‑ID y perfil del AP.
    • Revisa el orden de políticas: una política anterior puede anular la VLAN dinámica.

Buenas prácticas de implementación

  • Sincronizar relojes (NTP/AD): reduce fallos en EAP‑TLS y en logs.
  • Activar client isolation o VLAN dinámica para segmentar tráfico lateral.
  • Habilitar registros detallados en NPS y en el controlador WLAN: indispensable para auditoría.
  • Usar certificados de cliente en vez de credenciales tipo PEAP‑MSCHAPv2 si se requiere MFA.
  • Probar con scripts de wlan‑report en Windows o wpa\_supplicant‑debug en Linux para capturar secuencias EAPOL.

Checklist rápida antes de desplegar

  1. Define el formato de NAS‑ID (p. ej. %{SSID}‑%{AP‑Name}).
  2. Crea una Connection Request Policy genérica y varias Network Policies basadas en NAS‑ID.
  3. Verifica certificados raíz en clientes y servidor NPS.
  4. Asegura que la VLAN de pre‑autenticación no tenga salida a Internet.
  5. Automatiza la inscripción de certificados (GPO o SCEP) si usarás EAP‑TLS.
  6. Prueba con radclient o NTRadPing para validar respuestas RADIUS rápidamente.

Conclusión

Un diseño WPA2‑Enterprise correctamente documentado evita dolores de cabeza en soporte y refuerza la postura de seguridad. El flujo detallado —desde la primera sonda Wi‑Fi hasta la entrega de la IP— permite ubicar cuellos de botella y aplicar políticas granulares mediante NAS‑ID. A partir de esta guía, podrás dibujar tu propio diagrama o validar el existente, anticipar problemas comunes y reforzar la autenticación en tu red corporativa.

Windows Server
DHCP 802.1X RADIUS NPS WiFi WPA2‑Enterprise
Índice