Saltar al contenido principal

Cómo configurar WPA2-Enterprise en plataformas comunes de puntos de acceso (Cisco, Aruba, Ubiquiti)

Esta guía de referencia técnica proporciona a los profesionales de TI sénior y arquitectos de redes una guía paso a paso definitiva y específica de cada proveedor para implementar WPA2-Enterprise en plataformas Cisco, Aruba y Ubiquiti. Detalla la arquitectura, la integración de RADIUS, los requisitos de cumplimiento y los escenarios de implementación reales en entornos corporativos y recintos.

📖 6 min de lectura📝 1,309 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Cómo configurar WPA2-Enterprise en plataformas de puntos de acceso comunes: Cisco, Aruba y Ubiquiti Una sesión informativa de Purple WiFi Intelligence [INTRODUCCIÓN - aproximadamente 1 minuto] Le damos la bienvenida a las series Purple WiFi Intelligence. Soy su anfitrión y hoy iremos directos al grano con uno de los temas más solicitados por nuestros clientes de empresa: cómo configurar WPA2-Enterprise en las tres plataformas de puntos de acceso más utilizadas: Cisco, Aruba y Ubiquiti. Tanto si es el director de TI de un grupo hotelero con 500 habitaciones, el arquitecto de redes de una cadena nacional de tiendas o el director de tecnología de un operador de centros de conferencias, esta sesión informativa es para usted. No nos detendremos en la teoría por el simple hecho de explicarla. Vamos a analizar detalladamente todo lo que necesita saber para tomar una decisión sobre la implementación, ejecutarla correctamente y evitar los problemas habituales en los que suelen caer incluso los equipos con experiencia. Comencemos. [ANÁLISIS TÉCNICO DETALLADO - aproximadamente 5 minutos] En primer lugar, hagamos una breve aclaración sobre qué es realmente WPA2-Enterprise, ya que todavía existe una cantidad sorprendente de confusión en el mercado entre WPA2-Personal y WPA2-Enterprise, y esta diferencia es enormemente importante para el cumplimiento y la postura ante el riesgo. WPA2-Personal (la versión con la que la mayoría de la gente está familiarizada) utiliza una única clave precompartida. Todos los usuarios de la red utilizan la misma contraseña. Esto es adecuado para una red doméstica, pero es totalmente inaceptable en un entorno empresarial donde se requiere autenticación por usuario, registros de auditoría y la capacidad de revocar el acceso de forma instantánea. WPA2-Enterprise, definido bajo la norma IEEE 802.1X, sustituye esa clave compartida por un proceso de autenticación individual. Cada usuario o dispositivo presenta sus propias credenciales (ya sea un nombre de usuario y contraseña, un certificado digital o un token de seguridad) y un servidor RADIUS valida dichas credenciales antes de conceder el acceso a la red. El punto de acceso en sí nunca ve las credenciales. Actúa estrictamente como autenticador, transmitiendo el intercambio EAP (Extensible Authentication Protocol o protocolo de autenticación extensible) entre el cliente y el servidor RADIUS. Esta es una arquitectura fundamentalmente más segura y constituye el requisito básico para cumplir con la norma PCI-DSS en cualquier entorno que gestione datos de tarjetas de pago, además de estar firmemente recomendado en el marco del GDPR para las organizaciones que procesan datos personales a través de redes inalámbricas. Ahora, hablemos de las tres plataformas. Empezando por Cisco. La cartera de WiFi empresarial de Cisco - principalmente las líneas Catalyst y Meraki - es la opción de referencia para implementaciones a gran escala. Cisco DNA Center proporciona una gestión centralizada de políticas, y el panel de control de Meraki ofrece la simplicidad de la gestión en la nube para entornos distribuidos. Para configurar WPA2-Enterprise en un punto de acceso Cisco Catalyst, deberá trabajar a través del WLC - Wireless LAN Controller - o de DNA Center. Los pasos clave son: definir su servidor RADIUS en Security, luego AAA, y después RADIUS Authentication Servers; crear un nuevo perfil de WLAN; establecer la política de seguridad en WPA2 con 802.1X como método de gestión de claves; y vincular el servidor RADIUS a esa WLAN. Un punto crítico en Cisco: asegúrese de configurar el registro de actividad (accounting) de RADIUS además de la autenticación. El registro de actividad le proporciona la pista de auditoría por sesión que requieren los marcos de cumplimiento normativo. En Meraki, el proceso es aún más sencillo: navegue a Wireless, luego a SSIDs, seleccione su SSID de destino, establezca la seguridad en WPA2-Enterprise con su servidor RADIUS e introduzca la IP de su servidor RADIUS, el puerto - normalmente 1812 para autenticación y 1813 para registro de actividad - y el secreto compartido. Meraki también admite pruebas de RADIUS directamente desde el panel de control, lo cual es de gran valor durante la puesta en marcha. Pasando a Aruba. Aruba Networks, que ahora forma parte de HPE, es la opción dominante en el sector hotelero y en la educación superior. Aruba Central proporciona gestión en la nube y ArubaOS es la plataforma subyacente. En Aruba, la configuración de WPA2-Enterprise reside dentro del perfil SSID. Definirá un perfil AAA que haga referencia a su servidor RADIUS y, a continuación, asociará ese perfil AAA a su perfil de AP virtual. Vale la pena mencionar específicamente el ClearPass Policy Manager de Aruba: es el motor de políticas y RADIUS propio de Aruba, y añade una capacidad significativa en torno al perfilado de dispositivos, el control de acceso basado en roles y la incorporación de invitados. Si tiene un entorno mixto con personal, contratistas e invitados que se conectan a la misma infraestructura, ClearPass le ofrece la granularidad de políticas necesaria para segmentarlos adecuadamente. Para un hotel que implementa WPA2-Enterprise en las redes del personal y de administración mientras ejecuta una solución de WiFi para invitados independiente a través de una plataforma como Purple, la segmentación de SSID de Aruba combinada con ClearPass para la autenticación del personal constituye una arquitectura muy limpia. Ahora pasemos a Ubiquiti. La plataforma UniFi de Ubiquiti ha ganado una tracción significativa en el mercado de las pymes y empresas medianas - y cada vez más en el sector de la hostelería boutique y el comercio minorista - gracias a su precio competitivo y a una interfaz de gestión realmente capaz. UniFi Network Controller es el lugar donde realizará el trabajo pesado. Para configurar WPA2-Enterprise en UniFi, navegue a Settings, luego a WiFi, cree o edite su SSID, establezca la seguridad en WPA2 Enterprise y configure su perfil RADIUS - de nuevo, dirección IP, puerto de autenticación 1812, puerto de contabilidad 1813 y secreto compartido. Una consideración importante con Ubiquiti: no incluye un servidor RADIUS integrado de la misma manera que lo hacen algunas plataformas empresariales. Necesitará un servidor RADIUS externo - ya sea Windows Server NPS, FreeRADIUS o un servicio RADIUS en la nube. Esto no es una limitación en sí, pero es una dependencia que debe planificarse. Para implementaciones más pequeñas, la UniFi Network Application incluye un servidor RADIUS básico, pero para entornos de producción siempre recomendaría una instancia RADIUS dedicada. En las tres plataformas, la selección del método EAP merece especial atención. PEAP con MSCHAPv2 es el método más implantado porque funciona con credenciales de Active Directory sin necesidad de certificados en el lado del cliente. EAP-TLS es más seguro - utiliza autenticación mutua por certificado - pero requiere una infraestructura PKI y el despliegue de certificados en cada dispositivo cliente, lo que añade costes operativos. Para la mayoría de los despliegues empresariales, PEAP-MSCHAPv2 con un servidor RADIUS correctamente configurado y validación de certificados en el lado del cliente ofrece el equilibrio adecuado entre seguridad y facilidad de gestión operativa. [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — aproximadamente 2 minutos] Permítame ahora indicarle los tres modos de fallo más comunes que veo en los despliegues de WPA2-Enterprise y cómo evitarlos. Número uno: disponibilidad del servidor RADIUS. Su servidor RADIUS está ahora en la ruta crítica para cada autenticación inalámbrica. Si se cae, nadie podrá conectarse. Esto significa que necesita redundancia RADIUS - como mínimo un servidor RADIUS primario y otro secundario configurados en cada punto de acceso. La mayoría de las plataformas lo admiten de forma nativa. En Cisco, puede configurar grupos de servidores RADIUS con conmutación por error. En Aruba, el perfil AAA admite múltiples servidores RADIUS con valores configurables de reintento y tiempo de espera. En Ubiquiti, puede especificar un servidor RADIUS secundario en el perfil RADIUS. No se salte este paso. Número dos: validación de certificados. Una proporción sorprendentemente alta de los despliegues que reviso tienen dispositivos clientes configurados para aceptar cualquier certificado de servidor RADIUS. Esto socava por completo el modelo de seguridad; le expone a ataques de tipo "evil twin" en los que un punto de acceso malicioso se hace pasar por su red y recopila credenciales. Configure el certificado de su servidor RADIUS desde una CA de confianza y configure sus suplicantes de cliente para que validen ese certificado. En Windows, esto se hace a través de directivas de grupo. En iOS y Android, se gestiona a través de perfiles MDM. Esto no es negociable para cualquier entorno que maneje datos sensibles. Número tres: asignación de VLAN. WPA2-Enterprise permite la asignación dinámica de VLAN; el servidor RADIUS puede devolver un atributo de VLAN en el mensaje Access-Accept, colocando a cada usuario autenticado en el segmento de red adecuado según su identidad o rol. Esta es una de las funciones más potentes de la arquitectura 802.1X, y con frecuencia se deja sin configurar. Si gestiona un recinto con personal, administración y dispositivos IoT en la misma infraestructura física, la asignación dinámica de VLAN es la forma de aplicar la segmentación de red sin tener que gestionar múltiples SSID. Por el lado de la integración de Purple: si está desplegando WPA2-Enterprise para su personal y redes operativas, y ejecutando la plataforma de WiFi para invitados de Purple para la conectividad de los visitantes, estos dos sistemas coexisten a la perfección. Purple gestiona la autenticación de invitados, la captura de datos y la capa de análisis - incluyendo el WiFi analytics y la inteligencia de afluencia que los operadores de recintos utilizan para las decisiones operativas - mientras que su infraestructura WPA2-Enterprise protege la red corporativa. La clave es una separación limpia de SSID y VLAN a nivel de punto de acceso, algo que las tres plataformas soportan. [PREGUNTAS Y RESPUESTAS RÁPIDAS - aproximadamente 1 minuto] Permítame repasar algunas preguntas que surgen con regularidad. ¿Puedo tener WPA2-Enterprise y una red de invitados en los mismos puntos de acceso? Sí, por supuesto. Las tres plataformas admiten múltiples SSID por radio, cada uno con políticas de seguridad independientes. Su SSID corporativo ejecuta WPA2-Enterprise; su SSID de invitados puede funcionar a través del Captive Portal de Purple con el aislamiento adecuado. ¿Necesito sustituir mis puntos de acceso actuales para desplegar WPA2-Enterprise? Casi seguro que no. WPA2-Enterprise ha sido compatible con los puntos de acceso de calidad empresarial durante más de una década. Si su hardware tiene menos de ocho años y ejecuta un firmware actual, será compatible con 802.1X. ¿Cuál es la diferencia entre WPA2-Enterprise y WPA3-Enterprise? WPA3-Enterprise añade el modo de seguridad de 192 bits utilizando criptografía Suite B, que es relevante para entornos gubernamentales y de defensa. Para la mayoría de los despliegues comerciales, WPA2-Enterprise con métodos EAP potentes sigue siendo el estándar. Merece la pena planificar la transición a WPA3 para los nuevos despliegues, pero no es una migración urgente para la mayoría de las organizaciones. ¿Es RADIUS en la nube una opción viable? Sí, y cada vez más. Servicios como Cisco ISE en la nube, Aruba ClearPass como servicio u opciones de terceros como JumpCloud y Foxpass proporcionan RADIUS como un servicio gestionado (RADIUS-as-a-Service), lo que elimina la sobrecarga de infraestructura. Para entornos distribuidos (piense en una cadena de tiendas con 200 ubicaciones), RADIUS en la nube puede reducir significativamente la complejidad operativa. [RESUMEN Y PRÓXIMOS PASOS - aproximadamente 1 minuto] Para resumir: WPA2-Enterprise es el punto de partida no negociable para cualquier despliegue inalámbrico empresarial. El proceso de configuración en Cisco, Aruba y Ubiquiti sigue el mismo patrón fundamental: definir su servidor RADIUS, crear su SSID con gestión de claves 802.1X, seleccionar su método EAP y realizar pruebas antes de la puesta en marcha. Las diferencias radican en las interfaces de gestión y las herramientas del ecosistema de cada plataforma. Las tres cosas que debe hacer bien: redundancia RADIUS, validación de certificados en los clientes y asignación dinámica de VLAN. Si consigue dominar estas tres áreas, dispondrá de una postura de seguridad inalámbrica sólida, conforme a las normativas y auditable. Para sus próximos pasos: si está evaluando plataformas, utilice el marco de comparación de proveedores en la guía adjunta. Si está listo para el despliegue, las guías de configuración paso a paso para cada plataforma se encuentran en la sección de implementación. Y si está pensando en cómo encaja el WiFi de invitados junto a su red empresarial, la documentación de la plataforma Purple cubre la arquitectura de integración en detalle. Gracias por su atención. Nos vemos en la próxima sesión informativa.

Resumen Ejecutivo

Implementar WPA2-Enterprise ya no es una actualización de seguridad opcional: es la base esencial para cualquier red inalámbrica de nivel empresarial. Para los responsables de TI y arquitectos de red que operan en los sectores de hostelería, retail y sector público, abandonar las claves precompartidas para adoptar la autenticación 802.1X es una necesidad impulsada por estrictos mandatos de cumplimiento, incluidos PCI-DSS y GDPR. Esta guía de referencia técnica proporciona pasos de configuración concretos, prácticos y específicos para las plataformas de los tres principales proveedores de puntos de acceso: Cisco, Aruba y Ubiquiti.

Al realizar la transición a WPA2-Enterprise, las organizaciones empresariales pueden eliminar los riesgos asociados con las credenciales compartidas, obtener registros de auditoría detallados por sesión y permitir la segmentación dinámica de la red. Cuando se implementa correctamente, esta arquitectura no solo protege el perímetro corporativo, sino que también se integra a la perfección con las redes de visitas gestionadas a través de una plataforma integral de Guest WiFi . Las siguientes secciones detallan la arquitectura técnica, los pasos de implementación y las estrategias de mitigación de riesgos necesarias para una puesta en marcha exitosa.

header_image.png

Análisis Técnico Detallado

WPA2-Enterprise se basa en el estándar IEEE 802.1X para ofrecer control de acceso a la red basado en puertos. A diferencia de WPA2-Personal, que utiliza una clave precompartida (PSK) estática, WPA2-Enterprise requiere que cada suplicante (dispositivo cliente) se autentique individualmente contra un servidor de autenticación externo - normalmente un servidor RADIUS - antes de que se le conceda acceso a la red.

La arquitectura consta de tres componentes principales:

  1. El suplicante: El dispositivo cliente que intenta conectarse a la red.
  2. El autenticador: El punto de acceso de nivel empresarial o el controlador de LAN inalámbrica (por ejemplo, un Cisco WLC o un Aruba Mobility Controller) que facilita el proceso de autenticación.
  3. El servidor de autenticación: El servidor RADIUS back-end (por ejemplo, Cisco ISE, Aruba ClearPass o Windows NPS), que valida las credenciales contra un servicio de directorio como Active Directory o LDAP.

El proceso de intercambio EAP

El proceso de autenticación utiliza el protocolo de autenticación extensible sobre LAN (EAPOL). Durante la fase inicial, el autenticador actúa puramente como un proxy transparente. Una vez que el servidor RADIUS ha validado las credenciales, devuelve un mensaje Access-Accept al autenticador, el cual deriva las claves de cifrado necesarias para asegurar la sesión WiFi.

La elección del método EAP es fundamental. PEAP-MSCHAPv2 es el método más implantado porque admite la autenticación tradicional por contraseña de Active Directory mientras protege el intercambio dentro de un túnel TLS establecido por el certificado del servidor. Sin embargo, para obtener la máxima seguridad, se recomienda EAP-TLS. EAP-TLS requiere autenticación de certificados mutua (tanto el servidor como el cliente deben presentar certificados válidos), lo que protege contra el robo de credenciales pero exige una infraestructura de clave pública (PKI) robusta o una solución de gestión de dispositivos móviles (MDM) para la distribución de certificados.

architecture_overview.png

Guía de implementación

Los principios fundamentales para configurar WPA2-Enterprise son coherentes en todos los proveedores, pero la ejecución varía según la interfaz de gestión y el ecosistema.

vendor_comparison_chart.png

Cisco (Catalyst y Meraki)

Los entornos de Cisco suelen variar en escala, desde implantaciones en campus hasta redes corporativas distribuidas.

Cisco Catalyst (WLC/DNA Center):

  1. Definir los servidores RADIUS: vaya a la pestaña "Security", seleccione "AAA" y configure los servidores RADIUS de autenticación y contabilidad principales y secundarios. Asegúrese de que el secreto compartido coincida con la configuración del servidor RADIUS.
  2. Crear un perfil WLAN: en la pestaña "WLANs", cree un nuevo perfil.
  3. Configurar la política de seguridad: establezca la seguridad de capa 2 en WPA+WPA2 y habilite 802.1X como método de gestión de claves de autenticación (AKM).
  4. Asociar los servidores AAA: asocie los servidores RADIUS definidos anteriormente al perfil WLAN. Si se requiere una asignación dinámica de VLAN, habilite "AAA Override".

Cisco Meraki:

  1. Configuración de SSID: en el panel de Meraki, vaya a Wireless > SSIDs y seleccione la red de destino.
  2. Control de acceso: establezca el requisito de asociación en "WPA2-Enterprise with my RADIUS server".
  3. Configuración de RADIUS: introduzca la dirección IP de su infraestructura RADIUS, el puerto de autenticación (normalmente 1812), el puerto de contabilidad (1813) y el secreto compartido. El panel de Meraki incluye una herramienta de prueba integrada para verificar la conectividad RADIUS antes de la implantación.

Aruba Networks

Aruba es la plataforma dominante en Hostelería y educación superior, y utiliza ampliamente su ClearPass Policy Manager para el control de acceso avanzado.

  1. Definir un perfil AAA: en Aruba Central o en la interfaz de usuario de Mobility Controller, cree un nuevo perfil AAA. Este perfil determina cómo se gestiona la autenticación.
  2. Configurar un grupo de servidores RADIUS: añada sus servidores RADIUS a un grupo de servidores, especificando las reglas de conmutación por error y los valores de tiempo de espera. Adjunte este grupo al perfil AAA.
  3. Configuración de AP virtual: crea o modifica el perfil de AP virtual (SSID). Establece el tipo de seguridad en WPA2-Enterprise.
  4. Vincula los perfiles: vincula el perfil AAA al perfil de AP virtual. Si utilizas ClearPass, asegúrate de que el puerto RADIUS CoA (Change of Authorization) (3799) esté permitido a través de cualquier cortafuegos intermedio para habilitar la aplicación de políticas dinámicas.

Ubiquiti (UniFi)

Ubiquiti, a través de UniFi Network Controller, ofrece una solución rentable para entornos minoristas o de Retail y pymes.

  1. Crea un perfil RADIUS: ve a Settings > Profiles > RADIUS. Crea un nuevo perfil utilizando la dirección IP, los puertos (1812/1813) y el secreto compartido de tu servidor RADIUS externo.
  2. Configuración de SSID: ve a Settings > WiFi y crea una nueva red inalámbrica.
  3. Ajustes de seguridad: selecciona "WPA2 Enterprise" como protocolo de seguridad y vincula el perfil RADIUS recién creado.
  4. Consideraciones sobre la arquitectura RADIUS: a diferencia de las controladoras de nivel empresarial que pueden ofrecer RADIUS con supervivencia local, UniFi depende en gran medida de servidores externos (por ejemplo, FreeRADIUS o Windows NPS). Garantiza una conectividad fiable entre los AP de UniFi y el back-end de RADIUS.

Buenas prácticas

Para garantizar que el despliegue sea tanto resiliente como seguro, los arquitectos de red deben seguir varias buenas prácticas críticas:

  1. Obligar a la validación de certificados: los dispositivos cliente deben estar configurados explícitamente para validar el certificado del servidor RADIUS frente a una autoridad de certificación (CA) de confianza. De lo contrario, se expone la red a ataques "Evil Twin", lo que permite que un punto de acceso no autorizado recopile credenciales de usuario.
  2. Implementar redundancia de RADIUS: el servidor RADIUS se encuentra en la ruta crítica para el acceso a la red. Configura siempre servidores RADIUS principales y secundarios. En entornos distribuidos, considera una solución RADIUS alojada en la nube para una alta disponibilidad.
  3. Aprovechar la asignación dinámica de VLAN: utiliza los atributos de RADIUS (como Tunnel-Pvt-Group-ID) para asignar dinámicamente a los usuarios a VLAN específicas en función de su pertenencia a grupos de Active Directory. Esto impone la segmentación de la red sin necesidad de emitir múltiples SSIDs.
  4. Habilitar RADIUS Accounting: no configures únicamente la autenticación. RADIUS Accounting (puerto 1813) es obligatorio para generar los registros de auditoría requeridos por los marcos de cumplimiento normativo.
  5. Proteger el extremo de la red: obtén más información sobre cómo proteger tu infraestructura en nuestra guía Protecting Your Network with Robust DNS and Security .

Resolución de problemas y mitigación de riesgos

Incluso con una planificación minuciosa, los despliegues pueden experimentar problemas. Los fallos habituales incluyen:

  • Discrepancia en el secreto compartido: una simple errata en el secreto compartido de RADIUS provoca fallos de autenticación silenciosos. Verifica el secreto tanto en el autenticador como en el servidor RADIUS.
  • Errores de sincronización de hora: la validación de certificados requiere marcas de tiempo precisas. Asegúrate de que todos los AP, controladoras y servidores RADIUS estén sincronizados a través de una fuente NTP fiable.
  • Firewalls que bloquean el tráfico RADIUS: Asegúrese de que los puertos UDP 1812 (autenticación) y 1813 (accounting) estén abiertos entre los puntos de acceso/controladores y los servidores RADIUS. Si utiliza CoA, asegúrese de que el puerto UDP 3799 esté abierto.
  • Error de configuración del cliente: El problema más común es que los dispositivos de los clientes no están configurados para confiar en la CA que emitió el certificado del servidor RADIUS. Utilice un MDM o directivas de grupo para aplicar el perfil de red inalámbrica correcto a los dispositivos corporativos.

Para obtener una comprensión más amplia del protocolo de autenticación, consulte Cómo configurar la autenticación WiFi 802.1X: Una guía paso a paso .

ROI e impacto empresarial

Más allá de la mejora tangible de la seguridad, la transición a WPA2-Enterprise aporta un valor empresarial significativo.

  • Reducción de riesgos: La eliminación de las contraseñas compartidas reduce drásticamente la superficie de ataque y el riesgo de una filtración de datos, lo que puede acarrear graves consecuencias financieras y de reputación.
  • Eficiencia operativa: La integración de la autenticación WiFi con su proveedor de identidad existente (como Active Directory) permite automatizar el proceso de incorporación y baja del personal. Cuando un empleado se marcha, la desactivación de su cuenta de AD revoca instantáneamente su acceso a la red WiFi.
  • Cumplimiento normativo: Los registros de auditoría detallados y la autenticación por usuario son requisitos previos para el cumplimiento de PCI-DSS e ISO 27001.
  • Infraestructura unificada: Mediante el uso de la asignación dinámica de VLAN, los establecimientos pueden ejecutar de forma segura el tráfico corporativo, de gestión interna (back-of-house) y de IoT en el mismo hardware físico utilizado para el acceso de invitados. La red de invitados se puede monetizar y analizar mediante una solución dedicada de Analítica WiFi , maximizando el retorno de la inversión en hardware. Asegúrese de disponer de suficiente ancho de banda comprendiendo ¿Qué es una línea dedicada? Internet dedicado para empresas .

Definiciones clave

WPA2-Enterprise

Un protocolo de seguridad para redes inalámbricas que utiliza IEEE 802.1X para proporcionar autenticación por usuario a través de un servidor externo, en lugar de una única contraseña compartida.

El estándar obligatorio para proteger las redes WiFi corporativas y operativas en entornos empresariales.

802.1X

Un estándar IEEE para el control de acceso a redes basado en puertos que proporciona un mecanismo de autenticación a los dispositivos que desean conectarse a una LAN o WLAN.

El marco subyacente que hace que WPA2-Enterprise funcione.

RADIUS

Remote Authentication Dial-In User Service; un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA).

El componente de servidor que valida las credenciales de los usuarios frente a una base de datos como Active Directory.

Suplicante

El cliente de software en un dispositivo (portátil, smartphone) que se comunica con el autenticador para solicitar acceso a la red.

El extremo que debe configurarse con los ajustes de EAP y la confianza de certificado correctos.

Autenticador

El dispositivo de red (punto de acceso o switch) que facilita el proceso de autenticación transmitiendo mensajes entre el suplicante y el servidor de autenticación.

El hardware Cisco, Aruba o Ubiquiti gestionado por el equipo de TI.

EAP (Protocolo de Autenticación Extensible)

Un marco de autenticación utilizado con frecuencia en redes inalámbricas y conexiones de punto a punto, compatible con múltiples métodos de autenticación.

El protocolo utilizado para encapsular el intercambio de credenciales.

PEAP-MSCHAPv2

Un método EAP que encapsula el intercambio de contraseñas de MSCHAPv2 dentro de un túnel TLS seguro establecido por el certificado del servidor.

El método de implementación más común, ya que equilibra la seguridad con la comodidad de utilizar contraseñas estándar de AD.

Dynamic VLAN Assignment

El proceso mediante el cual un servidor RADIUS indica al punto de acceso que sitúe a un usuario autenticado en una VLAN específica en función de su identidad o de su pertenencia a un grupo.

Crucial para la segmentación de redes, ya que permite que diferentes tipos de usuarios compartan los mismos puntos de acceso físicos de forma segura.

Ejemplos prácticos

Un hotel de 200 habitaciones necesita implementar un WiFi seguro para su personal interno (limpieza, administración) utilizando los puntos de acceso Aruba existentes, manteniendo el tráfico del personal estrictamente separado de la red de invitados.

El equipo de TI configura un único SSID "Hotel_Staff" utilizando WPA2-Enterprise. Integran Aruba ClearPass con el Active Directory del hotel. En ClearPass, configuran políticas de cumplimiento: si un usuario está en el grupo de AD "Management", ClearPass devuelve un atributo RADIUS que lo asigna a la VLAN 10 (red de administración). Si el usuario está en el grupo "Housekeeping", se le asigna a la VLAN 20 (red de operaciones). Los AP se configuran para aplicar estas asignaciones dinámicas de VLAN.

Comentario del examinador: Este enfoque demuestra la potencia de la asignación dinámica de VLAN. Evita la interferencia de RF y la sobrecarga de gestión que supone emitir múltiples SSID ("Hotel_Management", "Hotel_Housekeeping"), al tiempo que garantiza una segmentación de red estricta y aprovecha las identidades de directorio existentes.

Una cadena de tiendas minoristas nacional con 50 ubicaciones utiliza Cisco Meraki. Necesitan proteger sus terminales de punto de venta (POS) a través de WiFi para cumplir con la normativa PCI-DSS, sustituyendo su antigua configuración WPA2-Personal.

El arquitecto de redes despliega un servicio RADIUS alojado en la nube para evitar la instalación de servidores locales en cada tienda. En el panel de Meraki, configuran el SSID "Retail_POS" para WPA2-Enterprise y lo apuntan a las IP de RADIUS en la nube. Generan certificados de cliente únicos para cada terminal POS a través de su plataforma MDM y configuran el servidor RADIUS para que requiera EAP-TLS. Los AP de Meraki se configuran para enviar tanto los datos de autenticación como los de contabilidad (Accounting) de RADIUS al servicio en la nube.

Comentario del examinador: Este escenario destaca la transición a EAP-TLS para entornos de alta seguridad. Al utilizar certificados en lugar de contraseñas, los terminales POS se autentican de forma silenciosa y segura. La inclusión de RADIUS Accounting garantiza que la cadena cumpla con los requisitos de PCI-DSS para la auditoría de accesos.

Preguntas de práctica

Q1. Su organización está desplegando WPA2-Enterprise mediante puntos de acceso Ubiquiti UniFi. Durante las pruebas, los clientes pueden conectarse con éxito, pero el equipo de cumplimiento normativo observa que no hay registros de la duración de las sesiones de los usuarios ni del uso de datos en el sistema de registro centralizado. ¿Cuál es la omisión de configuración más probable?

Sugerencia: La autenticación concede el acceso, pero otro proceso realiza el seguimiento del uso.

Ver respuesta modelo

El puerto de RADIUS Accounting (1813) no se ha configurado o está siendo bloqueado por un cortafuegos. Mientras que la autenticación (puerto 1812) funciona, se debe habilitar explícitamente Accounting para generar pistas de auditoría de las sesiones.

Q2. Un usuario informa de que no puede conectarse a la red corporativa WPA2-Enterprise. Comprueba los registros del Cisco WLC y observa que el punto de acceso está transmitiendo la solicitud EAP (EAP-Request), pero los registros del servidor RADIUS muestran un "Access-Reject" debido a "CA desconocida". ¿Qué se debe solucionar?

Sugerencia: Piense en la relación de confianza establecida durante la configuración del túnel TLS.

Ver respuesta modelo

El suplicante del dispositivo cliente no está configurado para confiar en la Autoridad de Certificación (CA) que emitió el certificado del servidor RADIUS. El cliente interrumpe la conexión para evitar un posible ataque Evil Twin. El certificado de la CA debe enviarse al dispositivo cliente.

Q3. Está diseñando una red para un estadio. Debe dar soporte al personal corporativo, a los terminales de venta de entradas y al WiFi para invitados. ¿Cómo debería estructurar los SSID para minimizar las interferencias de RF manteniendo la seguridad?

Sugerencia: Evite transmitir un SSID para cada caso de uso individual.

Ver respuesta modelo

Despliegue un máximo de dos SSID. Un SSID para invitados que utilice un Captive Portal (como Purple). Un segundo SSID para todas las operaciones corporativas mediante WPA2-Enterprise. Utilice Dynamic VLAN Assignment a través del servidor RADIUS para segmentar al personal corporativo en una VLAN y a los terminales de venta de entradas en otra en función de sus credenciales de autenticación.

Continúe leyendo esta serie

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Esta guía de referencia técnica describe la arquitectura, configuración y despliegue de la autenticación RADIUS para redes WiFi empresariales de invitados y de personal. Proporciona a los arquitectos de redes y responsables de TI los protocolos exactos, los estándares de seguridad y las metodologías de resolución de problemas necesarios para crear sistemas de control de acceso inalámbrico seguros y escalables.

Leer la guía →

Passpoint y OpenRoaming: Guía completa

Esta guía de referencia técnica proporciona un análisis exhaustivo de los frameworks Passpoint (Hotspot 2.0) y WBA OpenRoaming dentro de las redes WiFi empresariales. Detalla los protocolos de autenticación subyacentes, los componentes arquitectónicos y las estrategias de despliegue necesarias para establecer una conectividad de invitados segura y sin fricciones. Los arquitectos de redes y los líderes de TI aprenderán a diseñar, implementar y solucionar problemas de estos estándares para eliminar las barreras de inicio de sesión manual mientras mantienen una seguridad de nivel empresarial.

Leer la guía →

Cómo implementar SCEP para un BYOD seguro y registro de red en educación superior

Esta guía técnica proporciona a arquitectos de red y directores de TI un plan de acción independiente del proveedor para desplegar el registro de certificados basado en SCEP para proteger las redes de campus de educación superior. Detalla cómo migrar de PEAP basado en contraseñas a 802.1X EAP-TLS, automatizar la incorporación de BYOD y aplicar una segmentación robusta de VLAN.

Leer la guía →