Saltar al contenido principal
Español

Cómo configurar WPA2-Enterprise en plataformas de puntos de acceso comunes (Cisco, Aruba, Ubiquiti)

Esta guía de referencia técnica proporciona a los profesionales de TI sénior y arquitectos de red una guía definitiva y específica de cada proveedor para implementar WPA2-Enterprise en plataformas Cisco, Aruba y Ubiquiti. Detalla la arquitectura, la integración de RADIUS, los requisitos de cumplimiento y los escenarios de implementación del mundo real en entornos corporativos y recintos.

📖 6 min de lectura📝 1,309 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Cómo configurar WPA2-Enterprise en plataformas de puntos de acceso comunes: Cisco, Aruba y Ubiquiti Un informe de inteligencia de Purple WiFi [INTRO — aproximadamente 1 minuto] Bienvenido a la serie de inteligencia de Purple WiFi. Soy su anfitrión, y hoy vamos a ir directos al grano en uno de los temas más solicitados por nuestros clientes empresariales: cómo configurar WPA2-Enterprise en las tres plataformas de puntos de acceso más implementadas: Cisco, Aruba y Ubiquiti. Tanto si es el director de TI de un grupo hotelero de 500 habitaciones, el arquitecto de red de una cadena minorista nacional o el CTO de un operador de centros de conferencias, este informe es para usted. No vamos a hablar de teoría por el mero hecho de hacerlo. Vamos a repasar lo que necesita saber para tomar una decisión de implementación, ejecutarla correctamente y evitar los errores que hacen tropezar incluso a los equipos experimentados. Comencemos. [INMERSIÓN TÉCNICA — aproximadamente 5 minutos] En primer lugar, una rápida puesta a punto sobre qué es realmente WPA2-Enterprise, porque todavía hay una sorprendente confusión en el mercado entre WPA2-Personal y WPA2-Enterprise, y la distinción es enormemente importante para el cumplimiento normativo y la postura de riesgo. WPA2-Personal (la versión con la que la mayoría de la gente está familiarizada) utiliza una única clave precompartida. Todos los usuarios de la red utilizan la misma contraseña. Eso está bien para una red doméstica. Es categóricamente inaceptable para un entorno empresarial donde se necesita autenticación por usuario, pistas de auditoría y la capacidad de revocar el acceso al instante. WPA2-Enterprise, definido bajo IEEE 802.1X, reemplaza esa clave compartida con un intercambio de autenticación individual. Cada usuario o dispositivo presenta sus propias credenciales (ya sea un nombre de usuario y contraseña, un certificado digital o un token) y esas credenciales son validadas por un servidor RADIUS antes de que se conceda el acceso a la red. El propio punto de acceso nunca ve las credenciales. Actúa puramente como un autenticador, pasando el intercambio EAP (Protocolo de autenticación extensible) entre el cliente y el servidor RADIUS. Esta es una arquitectura fundamentalmente más segura y es el requisito básico para el cumplimiento de PCI DSS en cualquier entorno que maneje datos de tarjetas de pago, además de ser muy recomendable bajo el GDPR para organizaciones que procesan datos personales a través de redes inalámbricas. Ahora, hablemos de las tres plataformas. Comenzando con Cisco. La cartera de WiFi empresarial de Cisco —principalmente las líneas Catalyst y Meraki— es la opción de referencia para despliegues a gran escala. Cisco DNA Center proporciona una gestión de políticas centralizada, y el panel de control de Meraki ofrece la sencillez de la gestión en la nube para entornos distribuidos. Para configurar WPA2-Enterprise en un punto de acceso Cisco Catalyst, trabajará a través del WLC —Wireless LAN Controller— o de DNA Center. Los pasos clave son: definir su servidor RADIUS en Security, luego AAA y después RADIUS Authentication Servers; crear un nuevo perfil de WLAN; establecer la política de seguridad en WPA2 con 802.1X como método de gestión de claves; y vincular el servidor RADIUS a esa WLAN. Un punto crítico en Cisco: asegúrese de configurar tanto la contabilidad (accounting) de RADIUS como la autenticación. La contabilidad le proporciona el registro de auditoría por sesión que requieren los marcos de cumplimiento normativo. En Meraki, el proceso es aún más sencillo: navegue a Wireless, luego a SSIDs, seleccione su SSID de destino, establezca la seguridad en WPA2-Enterprise con mi servidor RADIUS e introduzca la IP de su servidor RADIUS, el puerto —normalmente 1812 para autenticación y 1813 para contabilidad— y el secreto compartido. Meraki también admite pruebas de RADIUS directamente desde el panel de control, lo cual es de un valor incalculable durante la puesta en marcha. Pasando a Aruba. Aruba Networks, que ahora forma parte de HPE, es la opción dominante en el sector hotelero y en la educación superior. Aruba Central proporciona gestión en la nube, y ArubaOS es la plataforma subyacente. En Aruba, la configuración de WPA2-Enterprise reside dentro del perfil de SSID. Deberá definir un perfil AAA que haga referencia a su servidor RADIUS y, a continuación, asociar ese perfil AAA a su perfil de AP virtual. Vale la pena mencionar específicamente ClearPass Policy Manager de Aruba: es el motor de políticas y RADIUS propio de Aruba, y añade una capacidad significativa en torno al perfilado de dispositivos, el control de acceso basado en roles y la incorporación de invitados. Si gestiona un entorno mixto con personal, contratistas e invitados que se conectan a la misma infraestructura, ClearPass le ofrece la granularidad de políticas necesaria para segmentarlos adecuadamente. Para un hotel que despliega WPA2-Enterprise en las redes del personal y de administración interna mientras ejecuta una solución de WiFi para invitados independiente a través de una plataforma como Purple, la segmentación de SSID de Aruba combinada con ClearPass para la autenticación del personal es una arquitectura muy limpia. Ahora pasemos a Ubiquiti. La plataforma UniFi de Ubiquiti ha ganado una tracción significativa en el mercado de las pymes y empresas medianas —y cada vez más en el sector de la hostelería boutique y el comercio minorista— debido a su precio competitivo y a una interfaz de gestión realmente capaz. El UniFi Network Controller es donde realizará el trabajo pesado. Para configurar WPA2-Enterprise en UniFi, navegue a Settings, luego a WiFi, cree o edite su SSID, establezca la seguridad en WPA2 Enterprise y configure su perfil RADIUS; de nuevo, dirección IP, puerto de autenticación 1812, puerto de contabilidad 1813 y secreto compartido. Una consideración importante con Ubiquiti: no incluye un servidor RADIUS integrado de la misma manera que lo hacen algunas plataformas empresariales. Necesitará un servidor RADIUS externo, ya sea Windows Server NPS, FreeRADIUS o un servicio RADIUS en la nube. Esto no es una limitación en sí, sino una dependencia que debe planificarse. Para implementaciones más pequeñas, la aplicación UniFi Network incluye un servidor RADIUS básico, pero para entornos de producción siempre recomendaría una instancia RADIUS dedicada. En las tres plataformas, la selección del método EAP merece especial atención. PEAP con MSCHAPv2 es el método más implementado porque funciona con credenciales de Active Directory sin requerir certificados en el lado del cliente. EAP-TLS es más seguro —utiliza autenticación mutua por certificado— pero requiere una infraestructura PKI y la distribución de certificados a cada dispositivo cliente, lo que añade carga operativa. Para la mayoría de las implementaciones empresariales, PEAP-MSCHAPv2 con un servidor RADIUS correctamente configurado y validación de certificados en el lado del cliente es el equilibrio adecuado entre seguridad y manejabilidad operativa. [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — aproximadamente 2 minutos] Ahora permítame detallar los tres modos de fallo más comunes que veo en las implementaciones de WPA2-Enterprise y cómo evitarlos. Número uno: disponibilidad del servidor RADIUS. Su servidor RADIUS se encuentra ahora en la ruta crítica para cada autenticación inalámbrica. Si se cae, nadie podrá conectarse. Esto significa que necesita redundancia RADIUS; como mínimo, un servidor RADIUS primario y otro secundario configurados en cada punto de acceso. La mayoría de las plataformas lo admiten de forma nativa. En Cisco, puede configurar grupos de servidores RADIUS con conmutación por error. En Aruba, el perfil AAA admite múltiples servidores RADIUS con valores configurables de reintento y tiempo de espera. En Ubiquiti, puede especificar un servidor RADIUS secundario en el perfil RADIUS. No se salte este paso. Número dos: validación de certificados. Una proporción sorprendentemente alta de los despliegues que reviso tienen dispositivos cliente configurados para aceptar cualquier certificado de servidor RADIUS. Esto socava por completo el modelo de seguridad: te expone a ataques de gemelo malvado (evil twin) donde un punto de acceso no autorizado suplanta tu red y recopila credenciales. Configura el certificado de tu servidor RADIUS desde una CA de confianza y configura tus suplicantes cliente para que validen ese certificado. En Windows, esto se hace a través de Directivas de Grupo. En iOS y Android, se gestiona a través de perfiles MDM. Esto no es negociable para cualquier entorno que maneje datos sensibles. Número tres: asignación de VLAN. WPA2-Enterprise permite la asignación dinámica de VLAN: el servidor RADIUS puede devolver un atributo de VLAN en el mensaje Access-Accept, ubicando a cada usuario autenticado en el segmento de red adecuado según su identidad o rol. Esta es una de las características más potentes de la arquitectura 802.1X y, con frecuencia, se deja sin configurar. Si gestionas un recinto con personal, administración y dispositivos IoT en la misma infraestructura física, la asignación dinámica de VLAN es la forma de aplicar la segmentación de red sin tener que gestionar múltiples SSIDs. Por el lado de la integración de Purple: si estás desplegando WPA2-Enterprise para tu personal y redes operativas, y ejecutando la plataforma de guest WiFi de Purple para la conectividad de los visitantes, estos dos sistemas coexisten perfectamente. Purple gestiona la autenticación de invitados, la captura de datos y la capa de analítica —incluyendo la analítica de WiFi y la inteligencia de afluencia que los operadores de recintos utilizan para decisiones operativas— mientras que tu infraestructura WPA2-Enterprise protege la red corporativa. La clave es una separación limpia de SSID y VLAN a nivel de punto de acceso, algo que las tres plataformas admiten. [PREGUNTAS Y RESPUESTAS RÁPIDAS — aproximadamente 1 minuto] Permíteme repasar algunas preguntas que surgen con regularidad. ¿Puedo ejecutar WPA2-Enterprise y una red de invitados en los mismos puntos de acceso? Sí, por supuesto. Las tres plataformas admiten múltiples SSIDs por radio, cada una con políticas de seguridad independientes. Tu SSID corporativo ejecuta WPA2-Enterprise; tu SSID de invitados puede ejecutarse a través del Captive Portal de Purple con el aislamiento adecuado. ¿Necesito reemplazar mis puntos de acceso existentes para desplegar WPA2-Enterprise? Casi con total seguridad, no. WPA2-Enterprise ha sido compatible con puntos de acceso de nivel empresarial durante más de una década. Si tu hardware tiene menos de ocho años y ejecuta un firmware actual, admitirá 802.1X. ¿Cuál es la diferencia entre WPA2-Enterprise y WPA3-Enterprise? WPA3-Enterprise añade un modo de seguridad de 192 bits utilizando criptografía Suite B, lo cual es relevante para entornos gubernamentales y de defensa. Para la mayoría de los despliegues comerciales, WPA2-Enterprise con métodos EAP sólidos sigue siendo el estándar. Vale la pena planificar la transición a WPA3 para nuevos despliegues, pero no es una migración urgente para la mayoría de las organizaciones. ¿Es el RADIUS en la nube una opción viable? Sí, y cada vez más. Servicios como Cisco ISE en la nube, Aruba ClearPass como servicio, u opciones de terceros como JumpCloud y Foxpass proporcionan RADIUS como un servicio gestionado, lo que elimina la sobrecarga de infraestructura. Para entornos distribuidos —piense en una cadena de tiendas con 200 ubicaciones—, el RADIUS en la nube puede reducir significativamente la complejidad operativa. [RESUMEN Y PRÓXIMOS PASOS — aproximadamente 1 minuto] Para resumir: WPA2-Enterprise es la base no negociable para cualquier despliegue inalámbrico empresarial. El proceso de configuración en Cisco, Aruba y Ubiquiti sigue el mismo patrón fundamental: definir su servidor RADIUS, crear su SSID con gestión de claves 802.1X, seleccionar su método EAP y realizar pruebas antes de la puesta en marcha. Las diferencias radican en las interfaces de gestión y en las herramientas del ecosistema de cada plataforma. Las tres cosas que debe hacer bien: redundancia de RADIUS, validación de certificados en los clientes y asignación dinámica de VLAN. Si acierta en estos tres aspectos, dispondrá de una postura de seguridad inalámbrica sólida, conforme a las normativas y auditable. Para sus próximos pasos: si está evaluando plataformas, utilice el marco de comparación de proveedores de la guía adjunta. Si está listo para el despliegue, los tutoriales de configuración paso a paso para cada plataforma se encuentran en la sección de implementación. Y si está pensando en cómo encaja el WiFi de invitados junto a su red empresarial, la documentación de la plataforma Purple cubre la arquitectura de integración en detalle. Gracias por su atención. Nos vemos en la próxima sesión informativa.

Resumen Ejecutivo

Implementar WPA2-Enterprise ya no es una actualización de seguridad opcional; es la base fundamental para cualquier red inalámbrica empresarial. Para los responsables de TI y arquitectos de red que operan en entornos de hostelería, retail y sector público, la transición de claves precompartidas a la autenticación 802.1X viene impulsada por estrictos mandatos de cumplimiento, incluidos PCI DSS y GDPR. Esta guía de referencia técnica proporciona pasos de configuración prácticos y específicos para las plataformas de los tres principales proveedores de puntos de acceso: Cisco, Aruba y Ubiquiti.

Al realizar la transición a WPA2-Enterprise, las organizaciones eliminan los riesgos asociados con las credenciales compartidas, obtienen registros de auditoría detallados por sesión y permiten la segmentación dinámica de la red. Cuando se implementa correctamente, esta arquitectura no solo protege el perímetro corporativo, sino que también se integra a la perfección con las redes de visitas gestionadas por una plataforma integral de Guest WiFi . Las siguientes secciones detallan la arquitectura técnica, los pasos de implementación y las estrategias de mitigación de riesgos necesarias para un despliegue exitoso.

header_image.png

Análisis Técnico Detallado

WPA2-Enterprise se basa en el estándar IEEE 802.1X para ofrecer control de acceso a la red basado en puertos. A diferencia de WPA2-Personal, que utiliza una clave precompartida (PSK) estática, WPA2-Enterprise requiere que cada suplicante (dispositivo cliente) se autentique individualmente contra un Servidor de Autenticación externo (normalmente un servidor RADIUS) antes de que se le conceda acceso a la red.

La arquitectura consta de tres componentes principales:

  1. El Suplicante: El dispositivo cliente que intenta conectarse a la red.
  2. El Autenticador: El punto de acceso empresarial o controlador de LAN inalámbrica (por ejemplo, Cisco WLC, Aruba Mobility Controller) que facilita el proceso de autenticación.
  3. El Servidor de Autenticación: El servidor RADIUS backend (por ejemplo, Cisco ISE, Aruba ClearPass, Windows NPS) que valida las credenciales contra un servicio de directorio como Active Directory o LDAP.

El Proceso de Intercambio EAP

El proceso de autenticación utiliza el Protocolo de Autenticación Extensible (EAP) encapsulado sobre LAN (EAPOL). El autenticador actúa puramente como un proxy de paso durante la fase inicial. Una vez que el servidor RADIUS valida las credenciales, devuelve un mensaje Access-Accept al autenticador, que luego deriva las claves de cifrado necesarias para asegurar la sesión Wi-Fi.

La elección del método EAP es fundamental. PEAP-MSCHAPv2 es el método más implementado, ya que admite la autenticación de contraseñas heredada de Active Directory al tiempo que protege el intercambio dentro de un túnel TLS establecido por el certificado del servidor. Sin embargo, para una seguridad máxima, se recomienda EAP-TLS. EAP-TLS requiere autenticación mutua de certificados (tanto el servidor como el cliente deben presentar certificados válidos), lo que mitiga el robo de credenciales pero requiere una infraestructura de clave pública (PKI) robusta o una solución de gestión de dispositivos móviles (MDM) para la distribución de certificados.

architecture_overview.png

Guía de implementación

Los principios fundamentales para configurar WPA2-Enterprise son coherentes entre los distintos proveedores, pero la ejecución varía según la interfaz de gestión y el ecosistema.

vendor_comparison_chart.png

Cisco (Catalyst y Meraki)

Los entornos Cisco suelen escalar desde implementaciones en campus hasta redes empresariales distribuidas.

Cisco Catalyst (WLC/DNA Center):

  1. Definir servidores RADIUS: Vaya a la pestaña Seguridad, seleccione AAA y configure los servidores RADIUS de autenticación y contabilidad primarios y secundarios. Asegúrese de que el secreto compartido coincida con la configuración del servidor RADIUS.
  2. Crear perfil WLAN: En la pestaña WLAN, cree un nuevo perfil.
  3. Configurar políticas de seguridad: Establezca la seguridad de Capa 2 en WPA+WPA2 y habilite 802.1X como método de gestión de claves de autenticación (AKM).
  4. Vincular servidores AAA: Asocie los servidores RADIUS definidos anteriormente al perfil WLAN. Habilite "AAA Override" si se requiere la asignación dinámica de VLAN.

Cisco Meraki:

  1. Configuración de SSID: En el panel de Meraki, vaya a Wireless > SSIDs y seleccione la red de destino.
  2. Control de acceso: Establezca el requisito de asociación en "WPA2-Enterprise con mi servidor RADIUS".
  3. Configuración de RADIUS: Introduzca las direcciones IP, el puerto de autenticación (normalmente 1812), el puerto de contabilidad (1813) y los secretos compartidos para su infraestructura RADIUS. El panel de Meraki incluye una herramienta de prueba integrada para verificar la conectividad RADIUS antes de la implementación.

Aruba Networks

Aruba es la plataforma dominante en Hostelería y educación superior, y aprovecha en gran medida su ClearPass Policy Manager para un control de acceso avanzado.

  1. Definir perfil AAA: En Aruba Central o en la interfaz de usuario de Mobility Controller, cree un nuevo perfil AAA. Este perfil determina cómo se gestiona la autenticación.
  2. Configurar grupo de servidores RADIUS: Añada sus servidores RADIUS a un grupo de servidores, especificando las reglas de conmutación por error y los valores de tiempo de espera. Adjunte este grupo al perfil AAA.
  3. Configuración de AP Virtual: Cree o modifique un perfil de AP Virtual (SSID). Establezca el tipo de seguridad en WPA2-Enterprise.
  4. Asociar Perfiles: Vincule el perfil AAA al perfil de AP Virtual. Si utiliza ClearPass, asegúrese de que el puerto RADIUS CoA (Change of Authorization) (3799) esté permitido a través de cualquier firewall intermedio para permitir la aplicación dinámica de políticas.

Ubiquiti (UniFi)

Ubiquiti proporciona una solución rentable para entornos de Retail y pymes a través de UniFi Network Controller.

  1. Creación de Perfil RADIUS: Vaya a Settings > Profiles > RADIUS. Cree un nuevo perfil con la dirección IP, los puertos (1812/1813) y el secreto compartido de su servidor RADIUS externo.
  2. Configuración de SSID: Vaya a Settings > WiFi y cree una nueva red inalámbrica.
  3. Configuración de Seguridad: Seleccione 'WPA2 Enterprise' como protocolo de seguridad y asocie el perfil RADIUS recién creado.
  4. Nota sobre la Infraestructura RADIUS: A diferencia de los controladores empresariales que pueden ofrecer un RADIUS local con capacidad de supervivencia, UniFi depende en gran medida de servidores externos (por ejemplo, FreeRADIUS, Windows NPS). Garantice una conectividad fiable entre los AP de UniFi y el backend de RADIUS.

Buenas Prácticas

Para garantizar un despliegue resistente y seguro, los arquitectos de red deben adherirse a varias buenas prácticas críticas:

  1. Forzar la Validación de Certificados: Los dispositivos cliente deben estar configurados explícitamente para validar el certificado del servidor RADIUS contra una Entidad Certificadora (CA) de confianza. No hacerlo expone la red a ataques de tipo 'Evil Twin' (gemelo malvado) donde puntos de acceso no autorizados recopilan credenciales de usuario.
  2. Implementar Redundancia RADIUS: El servidor RADIUS se encuentra en la ruta crítica para el acceso a la red. Configure siempre servidores RADIUS primarios y secundarios. En entornos distribuidos, considere soluciones RADIUS alojadas en la nube para una alta disponibilidad.
  3. Aprovechar la Asignación Dinámica de VLAN: Utilice atributos RADIUS (por ejemplo, Tunnel-Pvt-Group-ID) para asignar dinámicamente a los usuarios a VLAN específicas en función de su pertenencia a grupos de Active Directory. Esto aplica la segmentación de red sin necesidad de transmitir múltiples SSIDs.
  4. Habilitar el Registro de RADIUS (Accounting): No configure únicamente la autenticación. El registro de RADIUS (Puerto 1813) es obligatorio para generar los registros de auditoría requeridos por los marcos de cumplimiento normativo.
  5. Proteger el Límite de la Red: Obtenga más información sobre cómo proteger su infraestructura en nuestra guía sobre cómo Proteger su red con DNS sólido y seguridad .

Resolución de Problemas y Mitigación de Riesgos

Incluso con una planificación cuidadosa, los despliegues pueden presentar problemas. Los modos de fallo más comunes incluyen:

  • Discrepancias en el Secreto Compartido: Un simple error tipográfico en el secreto compartido de RADIUS provocará fallos de autenticación silenciosos. Verifique los secretos tanto en el autenticador como en el servidor RADIUS.
  • Errores de Sincronización Horaria: La validación de certificados requiere un registro horario preciso. Asegúrese de que todos los AP, controladores y servidores RADIUS estén sincronizados a través de una fuente NTP fiable.
  • Bloqueo de tráfico RADIUS por el Firewall: Asegúrese de que los puertos UDP 1812 (Autenticación) y 1813 (Contabilidad) estén abiertos entre los APs/Controladoras y el servidor RADIUS. Si utiliza CoA, asegúrese de que el puerto UDP 3799 esté abierto.
  • Configuración incorrecta del suplicante del cliente: El problema más común es que el dispositivo cliente no esté configurado para confiar en la CA que emitió el certificado del servidor RADIUS. Utilice MDM o Directivas de grupo para aplicar los perfiles inalámbricos correctos en los dispositivos corporativos.

Para comprender mejor los protocolos de autenticación, consulte Cómo configurar la autenticación WiFi 802.1X: Guía paso a paso .

ROI e impacto empresarial

La transición a WPA2-Enterprise ofrece un valor empresarial significativo que va más allá de las mejoras de seguridad puras.

  • Mitigación de riesgos: La eliminación de las contraseñas compartidas reduce drásticamente la superficie de ataque y el riesgo de una brecha de datos, lo que puede acarrear graves sanciones financieras y de reputación.
  • Eficiencia operativa: La integración de la autenticación WiFi con los proveedores de identidad existentes (como Active Directory) automatiza la incorporación y desvinculación de los empleados. Cuando un empleado se marcha, la desactivación de su cuenta de AD revoca instantáneamente su acceso a la WiFi.
  • Facilitación del cumplimiento normativo: Los registros de auditoría detallados y la autenticación por usuario son requisitos previos para el cumplimiento de PCI DSS e ISO 27001.
  • Infraestructura unificada: Mediante el uso de la asignación dinámica de VLAN, los establecimientos pueden gestionar el tráfico corporativo, de back-of-house y de IoT de forma segura sobre el mismo hardware físico utilizado para el acceso de invitados. La red de invitados puede entonces monetizarse y analizarse mediante una solución dedicada de WiFi Analytics , maximizando el retorno de la inversión en hardware. Asegúrese de disponer del ancho de banda necesario consultando ¿Qué es una línea dedicada? Internet dedicado para empresas .

Definiciones clave

WPA2-Enterprise

Un protocolo de seguridad para redes inalámbricas que utiliza IEEE 802.1X para proporcionar autenticación por usuario a través de un servidor externo, en lugar de una única contraseña compartida.

El estándar obligatorio para proteger redes WiFi corporativas y operativas en entornos empresariales.

802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos que proporciona un mecanismo de autenticación a los dispositivos que desean conectarse a una LAN o WLAN.

El marco subyacente que hace que WPA2-Enterprise funcione.

RADIUS

Remote Authentication Dial-In User Service; un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA).

El componente de servidor que valida las credenciales de usuario contra una base de datos como Active Directory.

Supplicant

El cliente de software en un dispositivo (portátil, smartphone) que se comunica con el autenticador para solicitar acceso a la red.

El endpoint que debe configurarse con los ajustes de EAP y la confianza de certificado correctos.

Authenticator

El dispositivo de red (punto de acceso o switch) que facilita el proceso de autenticación transmitiendo mensajes entre el supplicant y el servidor de autenticación.

El hardware de Cisco, Aruba o Ubiquiti gestionado por el equipo de TI.

EAP (Extensible Authentication Protocol)

Un marco de autenticación utilizado frecuentemente en redes inalámbricas y conexiones punto a punto, compatible con múltiples métodos de autenticación.

El protocolo utilizado para encapsular el intercambio de credenciales.

PEAP-MSCHAPv2

Un método EAP que encapsula el intercambio de contraseñas MSCHAPv2 dentro de un túnel TLS seguro establecido por el certificado del servidor.

El método de despliegue más común, ya que equilibra la seguridad con la comodidad de utilizar contraseñas estándar de AD.

Dynamic VLAN Assignment

El proceso mediante el cual un servidor RADIUS indica al punto de acceso que coloque a un usuario autenticado en una VLAN específica en función de su identidad o pertenencia a un grupo.

Crucial para la segmentación de red, lo que permite que diferentes tipos de usuarios compartan los mismos AP físicos de forma segura.

Ejemplos prácticos

Un hotel de 200 habitaciones necesita implementar WiFi seguro para su personal interno (limpieza, administración) utilizando los puntos de acceso Aruba existentes, manteniendo el tráfico del personal estrictamente separado de la red de invitados.

El equipo de TI configura un único SSID 'Hotel_Staff' utilizando WPA2-Enterprise. Integran Aruba ClearPass con el Active Directory del hotel. En ClearPass, configuran políticas de cumplimiento: si un usuario está en el grupo de AD 'Management', ClearPass devuelve un atributo RADIUS que lo asigna a la VLAN 10 (Red de Administración). Si el usuario está en el grupo 'Housekeeping', se le asigna a la VLAN 20 (Red de Operaciones). Los AP se configuran para aplicar estas asignaciones dinámicas de VLAN.

Comentario del examinador: Este enfoque demuestra el poder de la asignación dinámica de VLAN. Evita la interferencia de RF y la sobrecarga de gestión que supone transmitir múltiples SSIDs ('Hotel_Management', 'Hotel_Housekeeping'), al tiempo que garantiza una segmentación de red estricta y aprovecha las identidades de directorio existentes.

Una cadena minorista nacional con 50 ubicaciones utiliza Cisco Meraki. Necesitan proteger sus terminales de punto de venta (POS) a través de WiFi para cumplir con la normativa PCI DSS, reemplazando su antigua configuración WPA2-Personal.

El arquitecto de red implementa un servicio RADIUS alojado en la nube para evitar el despliegue de servidores locales en cada tienda. En el panel de Meraki, configuran el SSID 'Retail_POS' para WPA2-Enterprise y lo apuntan a las IPs de RADIUS en la nube. Generan certificados de cliente únicos para cada terminal POS a través de su plataforma MDM y configuran el servidor RADIUS para requerir EAP-TLS. Los AP de Meraki se configuran para enviar tanto los datos de autenticación como los de contabilidad (Accounting) de RADIUS al servicio en la nube.

Comentario del examinador: Este escenario destaca la transición a EAP-TLS para entornos de alta seguridad. Al utilizar certificados en lugar de contraseñas, los terminales POS se autentican de forma silenciosa y segura. La inclusión de RADIUS Accounting garantiza que la cadena cumpla con los requisitos de PCI DSS para la auditoría de acceso.

Preguntas de práctica

Q1. Su organización está desplegando WPA2-Enterprise utilizando puntos de acceso Ubiquiti UniFi. Durante las pruebas, los clientes se conectan correctamente, pero el equipo de cumplimiento normativo observa que no hay registros de la duración de las sesiones de usuario ni del uso de datos en el sistema de registro central. ¿Cuál es la omisión de configuración más probable?

Sugerencia: La autenticación concede el acceso, pero otro proceso realiza el seguimiento del uso.

Ver respuesta modelo

El puerto de RADIUS Accounting (1813) no se ha configurado o está siendo bloqueado por un cortafuegos. Mientras que la autenticación (puerto 1812) funciona, Accounting debe habilitarse explícitamente para generar las trazas de auditoría de las sesiones.

Q2. Un usuario informa de que no puede conectarse a la red corporativa WPA2-Enterprise. Al revisar los registros del Cisco WLC, observa que el AP está transmitiendo la solicitud EAP-Request, pero los registros del servidor RADIUS muestran un 'Access-Reject' debido a 'Unknown CA'. ¿Qué se debe solucionar?

Sugerencia: Piense en la relación de confianza establecida durante la configuración del túnel TLS.

Ver respuesta modelo

El suplicante del dispositivo cliente no está configurado para confiar en la Autoridad de Certificación (CA) que emitió el certificado del servidor RADIUS. El cliente está finalizando la conexión para evitar un posible ataque de tipo Evil Twin. Se debe distribuir el certificado de la CA al dispositivo cliente.

Q3. Está diseñando una red para un estadio. Debe dar soporte al personal corporativo, a los terminales de venta de entradas y al WiFi para invitados. ¿Cómo debería estructurar los SSIDs para minimizar la interferencia de RF manteniendo la seguridad?

Sugerencia: Evite difundir un SSID para cada caso de uso individual.

Ver respuesta modelo

Despliegue un máximo de dos SSIDs. Un SSID para invitados que utilice un Captive Portal (como Purple). Un segundo SSID para todas las operaciones corporativas utilizando WPA2-Enterprise. Utilice la asignación dinámica de VLAN a través del servidor RADIUS para segmentar al personal corporativo en una VLAN y a los terminales de venta de entradas en otra, basándose en sus credenciales de autenticación.

Continúe leyendo esta serie

PSK por dispositivo según el fabricante: comparación de iPSK, DPSK, MPSK y PPSK (y compatibilidad con WPA3)

Una comparación exhaustiva de las implementaciones de PSK por dispositivo en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet y Ubiquiti UniFi. Descubra cómo afecta WPA3-SAE a las estrategias de claves por dispositivo y cuándo implementar modos de transición en lugar de migrar a 802.1X.

Leer la guía →

Comparativa de métodos de autenticación de Captive Portal

Esta guía de referencia técnica autorizada evalúa las ventajas y desventajas arquitectónicas, operativas y de cumplimiento de cinco métodos principales de autenticación de Captive Portal. Proporciona a los arquitectos de red, directores de TI y directores de marketing los datos cuantitativos y los marcos de decisión necesarios para equilibrar la fricción en el registro de invitados con los requisitos de recopilación de datos en los recintos empresariales.

Leer la guía →

¿Qué es la autenticación por dirección MAC? Cuándo usarla y cuándo evitarla

Esta guía de referencia técnica autorizada aborda la autenticación por dirección MAC en entornos WiFi empresariales: cómo funciona la autenticación MAC basada en RADIUS en la Capa 2, sus vulnerabilidades de seguridad inherentes (incluido el spoofing de MAC y el impacto de la aleatorización de MAC a nivel de sistema operativo) y los contextos operativos precisos donde sigue siendo una herramienta válida para gestionar dispositivos IoT y headless. Proporciona orientación de despliegue práctica para responsables de TI y arquitectos de red en sectores como hostelería, retail, sanidad y espacios públicos, con ejemplos prácticos reales, marcos de decisión y contexto de integración para la plataforma de analítica y WiFi de invitados de Purple.

Leer la guía →