Saltar al contenido principal
Español

Cómo configurar la autenticación WiFi 802.1X: guía paso a paso

Esta guía técnica proporciona un recorrido paso a paso para configurar la autenticación WiFi empresarial 802.1X. Cubre la configuración del servidor RADIUS, el despliegue de certificados y estrategias prácticas de implementación para líderes de TI en espacios de gran afluencia.

📖 5 min de lectura📝 1,126 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Cómo configurar la autenticación WiFi 802.1X: guía paso a paso Un podcast de Purple Enterprise WiFi Intelligence [INTRODUCCIÓN — aproximadamente 1 minuto] Bienvenidos de nuevo. Hoy les hablo como arquitecto de soluciones sénior, y si están escuchando esto, probablemente se enfrenten a un proyecto de seguridad de red que involucra la autenticación 802.1X, ya sea porque su equipo de cumplimiento normativo lo ha señalado, su aseguradora ha preguntado al respecto o simplemente acaban de heredar una red que funciona con una PSK compartida y saben que eso ya no es suficiente. Así que entremos en materia directamente. 802.1X es el estándar IEEE para el control de acceso a la red basado en puertos. Es la columna vertebral de la seguridad WiFi empresarial, el mecanismo que garantiza que cada dispositivo que se conecta a su red haya sido identificado y autorizado positivamente antes de que pase un solo byte de tráfico. Esto no es opcional para las organizaciones que manejan datos de tarjetas de pago bajo PCI DSS, no es opcional para los entornos sanitarios bajo GDPR y los estándares de seguridad de datos del NHS, y francamente, para cualquier organización que ejecute más de un puñado de puntos de acceso, es la arquitectura correcta. Durante los próximos diez minutos, los guiaré a través de la arquitectura técnica, la configuración de RADIUS, el despliegue de certificados y los escenarios del mundo real donde esto se complica. Vamos a ello. [INMERSIÓN TÉCNICA PROFUNDA — aproximadamente 5 minutos] Bien, el marco 802.1X tiene tres componentes. Tienen el suplicante: ese es el dispositivo cliente, el portátil, el teléfono, el sensor IoT. Tienen el autenticador: ese es su punto de acceso o su switch de red, a veces llamado NAS, el servidor de acceso a la red. Y tienen el servidor de autenticación, casi universalmente un servidor RADIUS en despliegues empresariales. Así es como funciona el saludo de conexión. Cuando un dispositivo intenta conectarse a un SSID protegido por 802.1X, el punto de acceso no se limita a dejarlo entrar. En su lugar, abre lo que se llama un puerto controlado, un canal limitado que solo pasa tráfico EAP, el protocolo de autenticación extensible. El AP envía un EAP-Request Identity al dispositivo. El dispositivo responde con su identidad. Luego, el AP reenvía eso al servidor RADIUS, envuelto en un paquete RADIUS Access-Request. El servidor RADIUS ejecuta la autenticación (comprobando las credenciales contra Active Directory, un almacén de certificados o cualquier backend de identidad que hayan configurado) y devuelve un Access-Accept o un Access-Reject. Solo con un Accept el AP abre el puerto de datos completo y asigna el dispositivo a la VLAN correspondiente. Ahora bien, el método EAP que elijan aquí importa enormemente. Hay cinco que encontrarán en los despliegues empresariales. EAP-TLS es el estándar de oro. Tanto el cliente como el servidor presentan certificados X.509. No hay contraseñas involucradas. Es la opción más segura y la requerida para los niveles de cumplimiento de PCI DSS más altos. El inconveniente es que necesitan una PKI completa (una infraestructura de clave pública) para emitir y gestionar certificados de cliente. Eso significa una autoridad de certificación, la gestión del ciclo de vida de los certificados y un mecanismo para enviar certificados a cada dispositivo. Para las organizaciones con Microsoft Active Directory y Active Directory Certificate Services, esto es muy viable. Para las organizaciones sin esa infraestructura, es una inversión significativa. PEAP-MSCHAPv2 es el método más implementado en la práctica. Crea un túnel TLS utilizando únicamente un certificado del lado del servidor, luego pasa las credenciales de usuario y contraseña dentro de ese túnel. Es compatible con prácticamente todos los dispositivos de forma nativa, se integra directamente con Active Directory a través de NPS en Windows Server y no requiere certificados de cliente. La contrapartida es que es vulnerable a ataques de recopilación de credenciales si se engaña a los usuarios para que se conecten a un AP no autorizado, porque el cliente no valida el certificado del servidor de forma predeterminada. Deben aplicar la validación del certificado del servidor en sus perfiles de suplicante. EAP-TTLS es similar a PEAP pero más flexible en el método de autenticación interno. Es común en entornos Linux y donde se necesita dar soporte a backends de autenticación heredados. EAP-FAST fue desarrollado por Cisco como respuesta a las debilidades de LEAP. Utiliza credenciales de acceso protegido en lugar de certificados. Es relevante principalmente si se encuentran en un entorno con gran presencia de Cisco o si tratan con dispositivos heredados que no pueden admitir los otros métodos. EAP-SIM y EAP-AKA se utilizan en despliegues de nivel de operador (piensen en OpenRoaming o Passpoint) donde la autenticación está vinculada a una tarjeta SIM o USIM. Estos son cada vez más relevantes para el WiFi de lugares públicos donde se desea una incorporación fluida y segura sin un Captive Portal. Hablemos ahora de la configuración de RADIUS. Ya sea que estén desplegando Microsoft NPS, FreeRADIUS, Cisco ISE o Aruba ClearPass, los pasos principales de configuración son los mismos. Primero, definen sus clientes RADIUS: estos son sus puntos de acceso o controladores de LAN inalámbrica. Cada cliente se registra con su dirección IP y un secreto compartido. Ese secreto compartido se utiliza para autenticar los mensajes RADIUS entre el AP y el servidor. Utilicen un mínimo de 22 caracteres, generados aleatoriamente y únicos por dispositivo NAS. Segundo, configuran su política de red. Aquí es donde definen quién tiene acceso a qué. En términos de NPS, están creando una política de red que coincide con condiciones (pertenencia a grupos en Active Directory, tipo de dispositivo, hora del día) y asigna atributos (ID de VLAN, tiempo de espera de sesión, límites de ancho de banda). El atributo RADIUS que más utilizarán es la asignación de VLAN, específicamente Tunnel-Type establecido en VLAN, Tunnel-Medium-Type establecido en 802 y Tunnel-Private-Group-ID establecido en su número de VLAN. Tercero, configuran su política de solicitud de conexión. Esto le indica a NPS cómo manejar las solicitudes RADIUS entrantes: si autenticarse localmente o reenviarlas a otro servidor RADIUS. En un despliegue distribuido, podrían tener un servidor RADIUS central con proxies NPS en cada sitio. Por el lado de los certificados, para PEAP y EAP-TLS, su servidor RADIUS necesita un certificado de servidor en el que confíen sus clientes. El camino más sencillo es utilizar un certificado de una CA pública (DigiCert, Sectigo, Let's Encrypt) porque esos certificados raíz ya son de confianza para todos los principales sistemas operativos. Si utilizan una CA interna, deben enviar el certificado raíz a todos los dispositivos cliente a través de directivas de grupo o su plataforma MDM. Para EAP-TLS específicamente, también necesitan certificados de cliente. En un entorno de Active Directory, utilizarían ADCS con inscripción automática a través de directivas de grupo para enviar certificados a los dispositivos unidos al dominio. Para dispositivos BYOD, utilizarían su MDM (Intune, Jamf, VMware Workspace ONE) para enviar tanto el certificado como el perfil WiFi. Por el lado del punto de acceso, la configuración es sencilla. Crean un nuevo SSID, establecen la seguridad en WPA2-Enterprise o WPA3-Enterprise, apuntan el servidor de autenticación RADIUS a la IP de su NPS en el puerto UDP 1812, establecen el servidor de contabilidad RADIUS en el puerto UDP 1813, introducen el secreto compartido y habilitan la asignación dinámica de VLAN si la están utilizando. La mayoría de las plataformas de AP empresariales (Cisco Meraki, Aruba, Ruckus, Extreme) tienen una interfaz gráfica para esto que lleva unos diez minutos una vez que el servidor RADIUS está listo. [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — aproximadamente 2 minutos] Bien, hablemos de dónde suelen fallar los despliegues, porque aquí es donde me gano mis honorarios de consultoría. El punto de fallo más común es la validación de certificados. He visto organizaciones desplegar PEAP-MSCHAPv2 correctamente en el lado del servidor y luego dejar los perfiles de suplicante del cliente configurados para aceptar cualquier certificado. Eso socava por completo el modelo de seguridad. Cada perfil de suplicante, ya sea enviado a través de directivas de grupo o MDM, debe especificar la CA raíz de confianza y el nombre del servidor esperado. Sin eso, son vulnerables a ataques de tipo Evil Twin. El segundo problema común es la gestión de secretos compartidos de RADIUS. He visto redes de producción funcionando con el secreto compartido establecido en "radius" o el valor predeterminado del proveedor. Estos secretos son las claves de su infraestructura de autenticación. Genérenlos de forma aleatoria, almacénenlos en un gestor de secretos y rótenlos según un calendario. Tercero: configuración incorrecta de VLAN. La asignación dinámica de VLAN es potente: les permite colocar los dispositivos del personal en la VLAN corporativa, a los contratistas en una VLAN restringida y a los dispositivos IoT en una VLAN aislada, todo desde el mismo SSID. Pero si los atributos de RADIUS no están configurados correctamente, o los puertos troncales del switch no transportan las VLAN correctas, los dispositivos no podrán conectarse o terminarán en el segmento equivocado. Prueben esto a fondo en un laboratorio antes de lanzarlo a producción. Cuarto: redundancia. Su servidor RADIUS es ahora una pieza crítica de la infraestructura. Si se cae, nadie se conecta. Necesitan como mínimo un servidor RADIUS primario y secundario configurado en cada AP. En despliegues grandes, consideren clústeres de proxy RADIUS con monitorización de estado. Quinto, y esto es específico para entornos de hostelería y retail: separación de invitados y corporativo. Su SSID corporativo 802.1X y su SSID de WiFi de invitados deben estar completamente separados: diferentes VLAN, diferentes políticas de firewall, diferentes DNS. Una plataforma como Purple maneja el lado de invitados con su propio Captive Portal y capa de analíticas, mientras que su infraestructura 802.1X maneja el lado corporativo. Estos son sistemas complementarios, no competidores. [PREGUNTAS Y RESPUESTAS RÁPIDAS — aproximadamente 1 minuto] Permítanme repasar las preguntas que recibo con más frecuencia. ¿Puedo ejecutar 802.1X en una plataforma de AP gestionada en la nube? Sí, Meraki, Aruba Central y Ruckus Cloud lo admiten. Configuran los detalles del servidor RADIUS en el panel de control de la nube y los AP se encargan del proxying de EAP. ¿Necesito Active Directory? No. FreeRADIUS puede autenticar contra LDAP, bases de datos SQL, archivos planos o incluso API REST. Pero la integración de AD a través de NPS es, con diferencia, la ruta empresarial más común. ¿Qué pasa con los dispositivos IoT que no admiten 802.1X? Utilicen MAC Authentication Bypass (MAB) como alternativa. La dirección MAC del dispositivo se envía a RADIUS como usuario y contraseña. No es tan seguro como EAP, pero les permite incorporar dispositivos IoT manteniéndolos en una VLAN restringida. ¿Funciona 802.1X con WPA3? Sí. WPA3-Enterprise es esencialmente WPA3 con autenticación 802.1X. Añade un cifrado más fuerte (de 192 bits en el modo de alta seguridad) y es el estándar recomendado para nuevos despliegues. [RESUMEN Y PRÓXIMOS PASOS — aproximadamente 1 minuto] Para resumir: 802.1X no es algo opcional. Para cualquier organización que maneje datos sensibles, procese pagos o funcione en un entorno regulado, es la línea base para la seguridad WiFi empresarial. La arquitectura está bien establecida, las herramientas son maduras y la ruta de despliegue es clara. Comiencen con la selección de su método EAP: PEAP-MSCHAPv2 si necesitan resultados rápidos y una amplia compatibilidad, EAP-TLS si tienen la infraestructura de PKI y necesitan la postura de seguridad más sólida. Configuren su servidor RADIUS y su redundancia antes de tocar un solo AP. Envíen sus perfiles de suplicante a través de directivas de grupo o MDM antes de entrar en producción. Y mantengan su WiFi de invitados completamente separado: utilicen una plataforma diseñada específicamente para esa capa. Si operan en un entorno de múltiples sedes (hoteles, cadenas de tiendas, estadios), la complejidad escala con el número de sitios, pero la arquitectura no cambia. La clave es un RADIUS centralizado con redundancia local en cada sitio y un perfil de suplicante consistente enviado por MDM a toda su flota de dispositivos. Gracias por escuchar. La guía escrita completa, los diagramas de arquitectura y las listas de verificación de configuración están disponibles en purple.ai. Si están planeando un despliegue de 802.1X y desean hablar sobre los detalles específicos de su entorno, pónganse en contacto directamente con el equipo de Purple.

header_image.png

Resumen Ejecutivo

Para las redes empresariales, las claves compartidas o PSK (Pre-Shared Keys) ya no son suficientes para proteger la infraestructura corporativa. A medida que las organizaciones se enfrentan a mandatos de cumplimiento más estrictos (PCI DSS, GDPR) y a una superficie de ataque en expansión, la transición a la autenticación 802.1X es un imperativo de seguridad crítico.

Esta guía proporciona un recorrido de despliegue práctico e independiente del proveedor para configurar 802.1X en puntos de acceso empresariales. Cubrimos la arquitectura principal (Suplicante, Autenticador y Servidor de Autenticación), junto con la gestión de certificados, la configuración de RADIUS y los errores de despliegue más comunes. Para los responsables de TI y arquitectos de red que operan en entornos de retail, hostelería o sector público, esta referencia proporciona los pasos prácticos necesarios para implementar un control de acceso a la red robusto y basado en la identidad, manteniendo el tráfico corporativo y de invitados estrictamente separado.

Escuche nuestro podcast complementario a continuación para obtener un resumen de 10 minutos sobre la arquitectura y las estrategias de implementación.

Análisis Técnico Detallado: La Arquitectura 802.1X

El estándar IEEE 802.1X define el control de acceso a la red basado en puertos. En un contexto inalámbrico, impide que un dispositivo cliente envíe o reciba tráfico de datos hasta que se haya autenticado correctamente contra un directorio central.

architecture_overview.png

Los Tres Componentes Principales

  1. El Suplicante (Dispositivo Cliente): El software en el ordenador portátil, smartphone o dispositivo IoT que solicita el acceso. Debe ser compatible con el método EAP (Extensible Authentication Protocol) elegido.
  2. El Autenticador (Punto de Acceso / WLC): El dispositivo de red que actúa como guardián. Abre un "puerto controlado" que solo permite tráfico EAP hasta que la autenticación se realiza con éxito.
  3. El Servidor de Autenticación (RADIUS): El servidor central (por ejemplo, Microsoft NPS, FreeRADIUS, Cisco ISE) que valida las credenciales contra un almacén de identidades (como Active Directory) y devuelve un mensaje de Access-Accept o Access-Reject.

Métodos EAP: Elegir la Postura de Seguridad Adecuada

La elección del método EAP determina su nivel de seguridad y la complejidad del despliegue.

eap_comparison_chart.png

  • EAP-TLS (Transport Layer Security): El estándar de oro. Requiere certificados tanto de servidor como de cliente. No se transmiten contraseñas. Es esencial para entornos de alta seguridad, pero requiere una infraestructura de clave pública (PKI) completa.
  • PEAP-MSCHAPv2 (Protected EAP): El despliegue empresarial más común. Utiliza un certificado en el lado del servidor para crear un túnel TLS seguro, dentro del cual el cliente envía un nombre de usuario y una contraseña. Es más fácil de desplegar, pero vulnerable a la obtención de credenciales si los dispositivos cliente no están configurados para validar estrictamente el certificado del servidor.
  • EAP-SIM/AKA: Utiliza las credenciales de la tarjeta SIM para la autenticación. Cada vez más relevante para una incorporación fluida en centros de Transporte y grandes recintos públicos.

Guía de Implementación: Configuración Paso a Paso

El despliegue de 802.1X requiere una configuración coordinada en su servidor RADIUS, sus puntos de acceso y sus dispositivos cliente.

Paso 1: Preparación del Servidor RADIUS

Tanto si utiliza Microsoft Network Policy Server (NPS) como otra alternativa, los principios fundamentales siguen siendo los mismos.

  1. Definir Clientes RADIUS: Registre cada Punto de Acceso (o controlador de LAN inalámbrica) en su servidor RADIUS. Asigne un Secreto Compartido fuerte y generado aleatoriamente (mínimo 22 caracteres) para proteger las comunicaciones entre el AP y el servidor RADIUS.
  2. Instalar el Certificado de Servidor: Para PEAP o EAP-TLS, instale un certificado X.509 en el servidor RADIUS. El uso de un certificado de una Autoridad de Certificación (CA) pública de confianza simplifica el despliegue para entornos BYOD, ya que los sistemas operativos de los clientes ya confían en el certificado raíz.

Paso 2: Configuración de Políticas

Configure sus políticas de red para dictar los derechos de acceso en función de la identidad.

  1. Políticas de Solicitud de Conexión: Defina cómo gestiona el servidor RADIUS las solicitudes entrantes. Normalmente, esto implica hacer coincidir el NAS-Port-Type (Wireless - IEEE 802.11) y autenticar las solicitudes localmente.
  2. Políticas de Red: Asocie grupos de Active Directory con derechos de acceso a la red. Por ejemplo, asocie el grupo 'Domain Computers' a la VLAN corporativa. Utilice atributos RADIUS (Tunnel-Type=VLAN, Tunnel-Medium-Type=802, Tunnel-Private-Group-ID=[VLAN_ID]) para asignar VLANs de forma dinámica tras una autenticación correcta.

Paso 3: Configuración del Punto de Acceso

Configure el SSID en su infraestructura inalámbrica (por ejemplo, Meraki, Aruba, Cisco).

  1. Cree un nuevo SSID y seleccione WPA2-Enterprise o WPA3-Enterprise.
  2. Introduzca la dirección IP de sus servidores RADIUS principal y secundario.
  3. Introduzca el Secreto Compartido definido en el Paso 1.
  4. Habilite la Asignación Dinámica de VLAN si su servidor RADIUS está enviando atributos de VLAN.

Paso 4: Aprovisionamiento del Suplicante del Cliente

Este es el paso más crítico y que más se suele pasar por alto. No dependa de que los usuarios configuren manualmente sus dispositivos.

  • Dispositivos Corporativos: Utilice Objetos de Directiva de Grupo (GPO) o su plataforma de gestión de dispositivos móviles (MDM) para enviar el perfil de WiFi. El perfil debe especificar la CA raíz de confianza y el nombre exacto del servidor de su servidor RADIUS para evitar ataques de tipo Evil Twin.
  • BYOD: Implemente un portal de incorporación o una solución MDM para enviar perfiles seguros a los empleados-dispositivos en propiedad.

Buenas prácticas y estándares del sector

Para garantizar un despliegue robusto, siga las siguientes buenas prácticas de arquitectura:

  1. Validación estricta de certificados: No permita nunca que los clientes acepten a ciegas cualquier certificado de servidor. Este es el principal vector para la obtención de credenciales PEAP.
  2. Aislar el tráfico de invitados: Su infraestructura 802.1X es para acceso corporativo. El tráfico de invitados debe permanecer completamente segregado. Implemente una plataforma dedicada de Guest WiFi con su propio Captive Portal y capa de analítica. Como se analiza en nuestra guía sobre Proteja su red con DNS y seguridad sólidos , la separación lógica es fundamental para la defensa de la red.
  3. Implementar redundancia: RADIUS es un servicio de ruta crítica. Despliegue servidores RADIUS primarios y secundarios. En entornos distribuidos, como las grandes cadenas de Retail , considere el uso de proxies RADIUS locales para garantizar la supervivencia si se cae el enlace WAN.

Resolución de problemas y mitigación de riesgos

Cuando los despliegues fallan, suele deberse a unos pocos errores de configuración comunes:

  • Errores de tiempo de espera (Timeout) de RADIUS: A menudo causados por un secreto compartido (Shared Secret) incorrecto entre el AP y el servidor RADIUS, o por reglas de firewall que bloquean los puertos UDP 1812 (Autenticación) y 1813 (Contabilidad).
  • Rechazo del cliente: Compruebe los registros de eventos de RADIUS (por ejemplo, Visor de eventos de Windows -> Vistas personalizadas -> Roles de servidor -> Servicios de acceso y directivas de red). Busque el ID de evento 6273. Las causas comunes incluyen certificados de cliente caducados o que el cliente no confíe en la cadena de certificados del servidor.
  • Fallos en la asignación de VLAN: Si la autenticación se realiza correctamente pero el cliente no obtiene ninguna dirección IP, verifique que el puerto del switch conectado al AP esté configurado como puerto troncal (trunk) que permita la VLAN asignada dinámicamente.

ROI e impacto empresarial

La implementación de 802.1X genera un importante ROI operativo y de seguridad:

  • Mitigación de riesgos: Elimina el riesgo de que una sola PSK comprometida vulnere toda la red corporativa, apoyando directamente los esfuerzos de cumplimiento de PCI DSS y GDPR.
  • Eficiencia operativa: Centraliza el control de acceso. Cuando un empleado se marcha, al desactivar su cuenta de Active Directory se revoca inmediatamente su acceso WiFi. No es necesario cambiar las PSK en toda la empresa.
  • Visibilidad de la red: Proporciona visibilidad detallada de exactamente quién está en la red y qué dispositivo está utilizando, lo que permite una mejor planificación de la capacidad y la búsqueda de amenazas.

Para entornos complejos y de alta densidad, como estadios o locales de Hospitality , gestionar la seguridad corporativa junto con el acceso de invitados es todo un reto. Al proteger los activos corporativos con 802.1X y aprovechar una sólida plataforma de WiFi Analytics para el tráfico de visitantes, los responsables de TI pueden ofrecer una conectividad segura y escalable que sirva tanto a la empresa como a sus clientes. Para obtener más información sobre la gestión de entornos de alta densidad, consulte nuestra Guía de conectividad para recintos de gran afluencia: WiFi para zoos y parques temáticos .

Definiciones clave

802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos que proporciona un mecanismo de autenticación a los dispositivos que desean conectarse a una LAN o WLAN.

El protocolo fundamental para la seguridad WiFi empresarial, que reemplaza las contraseñas compartidas vulnerables.

Supplicant

El dispositivo cliente o la aplicación de software que solicita acceso a la red.

Los equipos de TI deben gestionar la configuración del suplicante mediante MDM para garantizar conexiones seguras.

Authenticator

El dispositivo de red (punto de acceso o switch) que facilita el proceso de autenticación actuando como un proxy entre el suplicante y el servidor de autenticación.

Configurado con la IP del servidor RADIUS y un secreto compartido para reenviar de forma segura el tráfico EAP.

RADIUS

Remote Authentication Dial-In User Service; un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA).

El servidor backend (como Microsoft NPS) que realmente valida las credenciales del usuario contra un directorio.

EAP (Extensible Authentication Protocol)

Un marco de autenticación utilizado con frecuencia en redes inalámbricas y conexiones punto a punto, que admite múltiples métodos de autenticación.

El 'idioma' que se habla entre el suplicante y el servidor RADIUS.

EAP-TLS

Un método EAP que utiliza Transport Layer Security, requiriendo certificados tanto del lado del servidor como del cliente para la autenticación mutua.

El método más seguro disponible, a menudo obligatorio para entornos de alta seguridad o clasificados.

PEAP

Protected Extensible Authentication Protocol; encapsula EAP dentro de un túnel TLS cifrado y autenticado.

El método empresarial más implementado, que equilibra la seguridad con la facilidad de despliegue al requerir únicamente un certificado del lado del servidor.

Dynamic VLAN Assignment

El proceso mediante el cual un servidor RADIUS indica al punto de acceso que coloque a un usuario autenticado en una VLAN específica según su pertenencia a un grupo de directorio.

Crucial para segmentar el tráfico de red (por ejemplo, separar recursos humanos, ingeniería y dispositivos IoT) mientras se transmite un único SSID corporativo.

Ejemplos prácticos

Un hotel de lujo de 300 habitaciones necesita proteger su red operativa interna (tabletas del personal, teléfonos VoIP, portátiles de gestión) manteniéndola completamente separada de la red de invitados. Actualmente utilizan una única PSK para el personal.

  1. Desplegar Microsoft NPS vinculado al Active Directory existente del hotel.
  2. Configurar PEAP-MSCHAPv2, utilizando un certificado público (por ejemplo, DigiCert) en el servidor NPS para simplificar la incorporación de tabletas.
  3. Crear un SSID 802.1X ('Hotel_Ops') en los AP.
  4. Utilizar la plataforma MDM del hotel para enviar el perfil WiFi 'Hotel_Ops' a todas las tabletas y portátiles del personal, configurando explícitamente el perfil para que confíe en la CA raíz de DigiCert y valide el nombre del servidor NPS.
  5. Mantener el SSID de invitados abierto existente, enrutándolo a través del Captive Portal de Purple para la aceptación de términos y analíticas, garantizando que las VLAN de invitados no puedan enrutarse a las VLAN operativas.
Comentario del examinador: Este enfoque equilibra la seguridad con la complejidad del despliegue. Al utilizar un certificado público en el servidor RADIUS, el hotel evita la sobrecarga de desplegar una PKI completa y, al mismo tiempo, elimina el riesgo de la PSK compartida. La estricta separación del tráfico de invitados y corporativo mediante VLAN y mecanismos de autenticación distintos se alinea con los requisitos de PCI DSS para los sistemas de punto de venta del hotel.

Un campus universitario se está migrando a 802.1X y necesita dar soporte a un entorno BYOD masivo para 15 000 estudiantes en varios sistemas operativos.

  1. Desplegar un clúster RADIUS robusto (por ejemplo, FreeRADIUS o Cisco ISE) con equilibrio de carga.
  2. Implementar PEAP-MSCHAPv2 para una amplia compatibilidad de dispositivos.
  3. Desplegar un portal de incorporación (por ejemplo, SecureW2) que configure automáticamente el suplicante del dispositivo del estudiante para usar la configuración EAP correcta y confiar en el certificado del servidor RADIUS de la universidad.
  4. Utilizar la asignación dinámica de VLAN mediante atributos RADIUS para ubicar a los estudiantes en las subredes adecuadas según su ubicación en el campus para gestionar los dominios de difusión.
Comentario del examinador: En la educación superior, el BYOD es el principal desafío. Depender de la configuración manual por parte de los estudiantes garantiza un alto volumen de incidencias en el servicio de asistencia técnica y configuraciones inseguras (usuarios que aceptan certificados no válidos). El portal de incorporación es el factor crítico de éxito aquí, ya que garantiza que el suplicante esté bloqueado para evitar la recopilación de credenciales.

Preguntas de práctica

Q1. Su organización está desplegando 802.1X utilizando PEAP-MSCHAPv2. Durante las pruebas, los usuarios informan que se les solicita 'Aceptar un certificado' al conectarse por primera vez. ¿Cómo debería solucionar esto?

Sugerencia: Considere las implicaciones de seguridad de permitir que los usuarios tomen decisiones de confianza con respecto a la infraestructura de red.

Ver respuesta modelo

Debe configurar los perfiles de suplicante del cliente (a través de MDM o directivas de grupo) para que confíen explícitamente en la CA raíz que emitió el certificado del servidor RADIUS y para que validen el nombre del servidor específico. Depender de que los usuarios acepten manualmente los certificados los entrena para ignorar las advertencias de seguridad y deja la red vulnerable a ataques de tipo Evil Twin (recopilación de credenciales).

Q2. Necesita proteger una flota de escáneres de códigos de barras de almacén. Admiten WPA2-Enterprise pero no tienen un mecanismo para instalar certificados de cliente ni unirse a Active Directory. ¿Cuál es el enfoque de despliegue más seguro?

Sugerencia: Evalúe los métodos EAP que no requieren certificados del lado del cliente pero que aún proporcionan autenticación cifrada.

Ver respuesta modelo

Despliegue PEAP-MSCHAPv2. Cree una cuenta de servicio dedicada en su directorio para los escáneres. Configure el servidor RADIUS con un certificado de servidor para establecer el túnel TLS y configure los escáneres para que se autentiquen utilizando las credenciales de la cuenta de servicio dentro del túnel. Asegúrese de que la política de RADIUS restrinja esta cuenta de servicio a una VLAN de almacén específica y aislada.

Q3. Después de configurar los AP y el servidor RADIUS, los dispositivos cliente se autentican correctamente (verificado en los registros de RADIUS con un Access-Accept), pero no reciben una dirección IP y no pueden acceder a la red. ¿Cuál es el problema de infraestructura más probable?

Sugerencia: La autenticación se ha realizado correctamente, lo que significa que la fase 802.1X se ha completado. El problema radica en la fase posterior de aprovisionamiento de red.

Ver respuesta modelo

El problema más probable es una configuración incorrecta de la VLAN en la red cableada. Si el servidor RADIUS está utilizando la asignación dinámica de VLAN para colocar al cliente en una VLAN específica (por ejemplo, VLAN 20), el puerto del switch que conecta el punto de acceso debe estar configurado como un puerto troncal 802.1Q que permita la VLAN 20. Si la VLAN no está troncalizada al AP, las solicitudes DHCP del cliente se descartarán.

Continúe leyendo esta serie

PSK por dispositivo según el fabricante: comparación de iPSK, DPSK, MPSK y PPSK (y compatibilidad con WPA3)

Una comparación exhaustiva de las implementaciones de PSK por dispositivo en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet y Ubiquiti UniFi. Descubra cómo afecta WPA3-SAE a las estrategias de claves por dispositivo y cuándo implementar modos de transición en lugar de migrar a 802.1X.

Leer la guía →

Comparativa de métodos de autenticación de Captive Portal

Esta guía de referencia técnica autorizada evalúa las ventajas y desventajas arquitectónicas, operativas y de cumplimiento de cinco métodos principales de autenticación de Captive Portal. Proporciona a los arquitectos de red, directores de TI y directores de marketing los datos cuantitativos y los marcos de decisión necesarios para equilibrar la fricción en el registro de invitados con los requisitos de recopilación de datos en los recintos empresariales.

Leer la guía →

¿Qué es la autenticación por dirección MAC? Cuándo usarla y cuándo evitarla

Esta guía de referencia técnica autorizada aborda la autenticación por dirección MAC en entornos WiFi empresariales: cómo funciona la autenticación MAC basada en RADIUS en la Capa 2, sus vulnerabilidades de seguridad inherentes (incluido el spoofing de MAC y el impacto de la aleatorización de MAC a nivel de sistema operativo) y los contextos operativos precisos donde sigue siendo una herramienta válida para gestionar dispositivos IoT y headless. Proporciona orientación de despliegue práctica para responsables de TI y arquitectos de red en sectores como hostelería, retail, sanidad y espacios públicos, con ejemplos prácticos reales, marcos de decisión y contexto de integración para la plataforma de analítica y WiFi de invitados de Purple.

Leer la guía →