Saltar al contenido principal
Español

Cómo implementar SCEP para un BYOD seguro y registro de red en educación superior

Esta guía técnica proporciona a arquitectos de red y directores de TI un plan de acción independiente del proveedor para desplegar el registro de certificados basado en SCEP para proteger las redes de campus de educación superior. Detalla cómo migrar de PEAP basado en contraseñas a 802.1X EAP-TLS, automatizar la incorporación de BYOD y aplicar una segmentación robusta de VLAN.

📖 5 min de lectura📝 1,022 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Speak in British English with a clear, confident, authoritative tone. You are a senior network security consultant briefing a room of IT directors and CTOs at a university. Your delivery is measured, direct, and occasionally dry. You pause naturally between sections. Pace is steady and professional, not rushed: Bienvenidos a esta sesión técnica de Purple. Voy a guiarles a través de todo lo que necesitan saber sobre la implementación de SCEP - el Protocolo de Inscripción de Certificados Simple - para la inscripción segura de redes y BYOD en la educación superior. Si es director de TI o arquitecto de red en una universidad, y todavía depende de contraseñas compartidas o Captive Portals para autenticar los dispositivos de los estudiantes en el WiFi de su campus, esta sesión es para usted. [medium pause] Comencemos con el problema. La mayoría de las universidades de hoy en día utilizan lo que yo llamaría un modelo de confianza al primer uso. Un estudiante llega, se conecta al SSID del campus, introduce sus credenciales universitarias y ya está en la red. Simple. Familiar. Y, francamente, un riesgo de seguridad significativo. Las contraseñas se comparten. Las credenciales se pescan mediante phishing. Una sola cuenta comprometida puede poner miles de dispositivos en su red que no deberían estar allí. Y cuando se trata de obligaciones de GDPR, datos de investigación y sistemas de pago en la misma infraestructura, ese no es un riesgo que se pueda permitir. [medium pause] SCEP resuelve esto en la capa de identidad del dispositivo. En lugar de preguntar "¿quién eres?" a través de una contraseña, pregunta "¿qué eres?" a través de un certificado criptográfico. SCEP - definido formalmente en la norma RFC 8894 por el IETF - es un protocolo que automatiza la emisión, entrega y renovación de certificados digitales X.509 en dispositivos gestionados y no gestionados. Ha sido la columna vertebral de la PKI empresarial durante más de dos décadas, y es compatible de forma nativa con todas las principales plataformas MDM: Microsoft Intune, JAMF Pro y VMware Workspace ONE. Así es como funciona el flujo de inscripción en la práctica. Cuando el dispositivo de un estudiante se conecta a su SSID de incorporación, el agente MDM de ese dispositivo genera un par de claves y crea una Solicitud de Firma de Certificado - un CSR. Esa solicitud va a su pasarela SCEP, que valida una contraseña de desafío de un solo uso. La pasarela reenvía el CSR a su Entidad de Certificación, que lo firma y devuelve un certificado X.509 único al dispositivo. A partir de ese momento, el dispositivo utiliza ese certificado para autenticarse a través de 802.1X EAP-TLS - el método de autenticación inalámbrica más seguro definido en el estándar IEEE 802.1X. Sin contraseñas. Sin secretos compartidos. Solo prueba criptográfica de la identidad del dispositivo. [medium pause] Ahora bien, EAP-TLS - Extensible Authentication Protocol con Transport Layer Security - merece un momento de su tiempo. Requiere autenticación mutua: el dispositivo demuestra su identidad al servidor RADIUS y el servidor RADIUS demuestra su identidad al dispositivo. Esto elimina los ataques de tipo man-in-the-middle en la capa de autenticación. Compare esto con PEAP-MSCHAPv2, que todavía se implementa ampliamente y presenta vulnerabilidades conocidas ante la recopilación de credenciales. Si actualmente utiliza PEAP, migrar a EAP-TLS mediante SCEP es una mejora de seguridad significativa, no un cambio incremental. [medium pause] Permítame presentarle una arquitectura concreta. Supongamos que utiliza tres SSIDs. El primero es su SSID seguro para estudiantes - llamémoslo UniSecure - en la VLAN 10. Está autenticado mediante certificado a través de 802.1X EAP-TLS. Solo pueden unirse los dispositivos con un certificado válido emitido por su entidad de certificación (CA). El segundo es su SSID para el personal en la VLAN 20, donde los dispositivos gestionados reciben certificados automáticamente a través de Intune o JAMF durante el registro del dispositivo. El tercero es su WiFi para invitados en la VLAN 30 - un Captive Portal para visitantes, completamente aislado de su red académica. Su servidor RADIUS - ya sea Microsoft NPS, Cisco ISE o HPE Aruba ClearPass - se ubica entre los puntos de acceso y su entidad de certificación, aplicando políticas en cada intento de autenticación. [medium pause] En cuanto al hardware, esta arquitectura se ejecuta sin problemas en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y Ubiquiti UniFi. La puerta de enlace SCEP puede ser su servidor Microsoft NDES existente, un servicio SCEP en la nube o una plataforma PKI dedicada. Si ya utiliza Microsoft Entra ID - anteriormente Azure Active Directory - la integración con el conector de certificados de Intune es sencilla y está bien documentada. [medium pause] Permítame ahora guiarle a través de dos escenarios del mundo real. El primero es una gran universidad con 30.000 estudiantes repartidos en un campus principal y cuatro sedes satélite. Su desafío: los estudiantes llegan en septiembre con una combinación de portátiles Windows, MacBooks, iPhones y dispositivos Android. Anteriormente, utilizaban PEAP con credenciales universitarias. El intercambio de credenciales era endémico. Migraron a SCEP con Intune para los dispositivos gestionados del personal y a un portal de incorporación de autoservicio para los dispositivos personales (BYOD) de los estudiantes. Los estudiantes visitan una página web, se autentican con el inicio de sesión único de su universidad y el portal envía un perfil SCEP a su dispositivo. El dispositivo se registra, recibe un certificado y se conecta al SSID seguro de forma automática. Las llamadas al soporte de TI relacionadas con la autenticación WiFi disminuyeron un 60% en el primer trimestre. La autenticación basada en certificados también les proporcionó un registro de auditoría limpio para el cumplimiento de GDPR - podían demostrar con precisión qué dispositivo accedió a qué segmento de red en cualquier momento dado. [medium pause] El segundo escenario es un centro de educación secundaria que gestiona una combinación de Chromebooks propiedad de los estudiantes y dispositivos Windows compartidos en laboratorios informáticos. Utilizaban JAMF para los dispositivos macOS y la gestión de certificados de Google Workspace para los Chromebooks. Los perfiles SCEP se distribuían a través de cada MDM durante el registro de los dispositivos. Los dispositivos compartidos de los laboratorios recibieron certificados de máquina en lugar de certificados de usuario, por lo que la autenticación se basaba en el dispositivo en lugar de estar vinculada a un inicio de sesión individual. Esto permitía a los estudiantes sentarse en cualquier equipo del laboratorio y conectarse sin pasos de autenticación adicionales. El centro también segmentó los dispositivos IoT (proyectores, impresoras, pizarras inteligentes) en una VLAN independiente sin enrutamiento a Internet, reduciendo considerablemente su superficie de ataque. [medium pause] Hablemos de los errores de implementación más comunes, ya que hay algunos que suelen pillar desprevenidos a los equipos. El primero es la gestión de contraseñas de desafío. En SCEP puro, la contraseña de desafío es un secreto compartido. Si es estática y duradera, representa una vulnerabilidad. Utilice su MDM para generar contraseñas de desafío de un solo uso por cada registro de dispositivo. Intune realiza esto automáticamente a través de su Certificate Connector. Si utiliza un servidor SCEP independiente, configure ventanas de expiración cortas; un valor predeterminado razonable es 15 minutos. El segundo error es la gestión del ciclo de vida de los certificados. Los certificados caducan. Si no dispone de una renovación automatizada, se encontrará con estudiantes que no pueden conectarse a la WiFi la mañana de un examen. Configure la renovación para que se active al 80 % del periodo de validez del certificado. La mayoría de los MDM gestionan esto de forma automática, pero verifique su configuración antes de la puesta en marcha. El tercer error es la pérdida de control del alcance de BYOD. No todos los dispositivos personales que posee un estudiante deben estar en su VLAN académica. Defina claramente su política de registro: qué tipos de dispositivos son aptos, qué controles de conformidad son necesarios (versión de SO, bloqueo de pantalla, cifrado) y qué sucede cuando un dispositivo no cumple con la conformidad. Las políticas de acceso condicional de su MDM aplican esto automáticamente una vez configuradas. [medium pause] Una sección rápida de preguntas frecuentes para las dudas que recibo más a menudo. ¿Puede SCEP funcionar con dispositivos personales no gestionados? Sí, a través de un portal de incorporación de autoservicio que distribuye un perfil SCEP ligero. El dispositivo no necesita estar registrado por completo en el MDM. ¿Sustituye SCEP a eduroam? No - eduroam utiliza 802.1X con federación RADIUS, y SCEP es el mecanismo que entrega los certificados que dichos dispositivos utilizan para autenticarse en eduroam. Son complementarios. ¿Cumple SCEP con el GDPR? La autenticación basada en certificados genera un registro de auditoría limpio y atribuible (identidad del dispositivo, marca de tiempo, asignación de VLAN) que respalda sus obligaciones del Artículo 32 del GDPR en relación con las medidas de seguridad técnica adecuadas. ¿Cambia algo WPA3? WPA3-Enterprise con el modo de 192 bits exige EAP-TLS, lo que requiere certificados. SCEP es el mecanismo de entrega natural. Adoptar WPA3 y SCEP conjuntamente es la dirección arquitectónica correcta. [medium pause] En resumen. SCEP automatiza la entrega de certificados a los dispositivos de estudiantes y personal, lo que permite la autenticación 802.1X EAP-TLS en la WiFi de su campus. Elimina las contraseñas compartidas, reduce el riesgo de phishing de credenciales y ofrece un registro de auditoría criptográficamente atribuible. La arquitectura es independiente del hardware - funciona en Cisco Meraki, HPE Aruba, Ruckus y Juniper Mist. Se integra con Microsoft Entra ID, Okta y Google Workspace. Y se escala desde un centro de educación superior de un solo campus hasta una universidad del Russell Group con múltiples sedes. Si está evaluando la postura de seguridad de la WiFi de su campus este año, SCEP con EAP-TLS es el estándar hacia el que debería avanzar. La plataforma de Purple se integra con esta arquitectura en la capa de WiFi para invitados y analítica, proporcionándole datos de primera mano sobre el comportamiento de los visitantes sin comprometer la seguridad de su red académica. Gracias por su atención. Si desea profundizar en cualquiera de estos aspectos, la guía técnica completa está disponible en purple.ai.

header_image.png

Resumen Ejecutivo

Las redes de educación superior se enfrentan a un conjunto único de desafíos: picos masivos de incorporación estacional, alta rotación de dispositivos, uso compartido generalizado de credenciales y requisitos normativos estrictos. Los modelos tradicionales de autenticación basados en contraseña (como PEAP-MSCHAPv2) no cumplen con los estándares de seguridad modernos y generan una sobrecarga significativa para el equipo de soporte de TI.

Esta guía detalla cómo implementar el Protocolo de Inscripción de Certificados Simple (SCEP) para automatizar la entrega de certificados digitales X.509 tanto a los dispositivos gestionados del personal como a los terminales BYOD (Bring Your Own Device) no gestionados de los estudiantes. Al migrar a la autenticación 802.1X EAP-TLS basada en certificados, las universidades pueden eliminar las contraseñas compartidas, neutralizar el phishing de credenciales y establecer un registro de auditoría verificable criptográficamente. Analizamos la mecánica interna del protocolo, las arquitecturas de referencia para la segmentación multi-VLAN, la integración con plataformas de gestión de dispositivos móviles (MDM) y la transición operativa necesaria para proteger el WiFi del campus a gran escala.

Análisis Técnico Detallado

Las Limitaciones de la Autenticación Heredada

Muchas redes universitarias todavía dependen de PEAP (Protected Extensible Authentication Protocol) con credenciales universitarias. Este modelo de confianza en el primer uso presenta graves riesgos:

  1. Cosecha de Credenciales: Los atacantes pueden emitir SSIDs falsificados para capturar las credenciales de los estudiantes.
  2. Uso Compartido de Contraseñas: Los estudiantes comparten credenciales con frecuencia, lo que debilita el control de acceso a la red y la asignación de ancho de banda.
  3. Sobrecarga de Soporte: Los restablecimientos de contraseña y los errores de configuración manual disparan el volumen de incidencias en el helpdesk durante el inicio del año académico.

Arquitectura SCEP y EAP-TLS

SCEP, definido en el RFC 8894, automatiza el ciclo de vida de los certificados digitales. En lugar de autenticar al usuario mediante una contraseña, la red autentica al dispositivo a través de un certificado X.509 único. Esto permite el uso de EAP-TLS (Extensible Authentication Protocol con Transport Layer Security), que requiere autenticación mutua entre el dispositivo cliente y el servidor RADIUS.

scep_enrollment_flow.png

El flujo de inscripción SCEP funciona de la siguiente manera:

  1. Conexión Inicial: El dispositivo se conecta a un portal de incorporación o recibe un perfil MDM.
  2. Generación de CSR: El dispositivo genera un par de claves y crea una Solicitud de Firma de Certificado (CSR).
  3. Validación del Desafío: La pasarela SCEP valida una contraseña de desafío dinámica y de un solo uso proporcionada por el MDM o el portal de incorporación.
  4. Emisión del Certificado: La Entidad Certificadora (CA) firma la CSR y devuelve el certificado X.509.5. Autenticación: El dispositivo presenta el certificado al servidor RADIUS a través de 802.1X EAP-TLS para obtener acceso a la VLAN segura.

Componentes de la infraestructura

La implementación de SCEP requiere varios componentes integrados:

  • Entidad de certificación (CA): La raíz de confianza que emite los certificados (por ejemplo, Microsoft AD CS, una PKI en la nube).
  • Pasarela SCEP: El intermediario que valida las solicitudes antes de enviarlas a la CA (por ejemplo, Microsoft NDES, SecureW2, IronWiFi).
  • Plataforma de MDM / incorporación: Gestiona el despliegue de los perfiles SCEP (por ejemplo, Microsoft Intune, JAMF Pro, Google Workspace).
  • Servidor RADIUS: Aplica la política de acceso a la red basada en la validez del certificado (por ejemplo, Cisco ISE, HPE Aruba ClearPass, Microsoft NPS).
  • Infraestructura inalámbrica: Los puntos de acceso y controladores que aplican 802.1X (por ejemplo, Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist).

Guía de implementación

Paso 1: Establecer la PKI y la pasarela SCEP

Si su universidad utiliza Microsoft Entra ID, la integración de Intune con una PKI en la nube o un servidor NDES local es el enfoque estándar. La pasarela SCEP debe ser accesible externamente si tiene la intención de aprovisionar dispositivos antes de que lleguen al campus.

Paso 2: Configurar los perfiles de MDM

Para los dispositivos gestionados (portátiles del personal, equipos de laboratorio), configure los perfiles SCEP en su MDM. Asegúrese de que el perfil especifique:

  • Formato de nombre de sujeto: CN={{AAD_Device_ID}} o similar, para identificar de forma única el dispositivo.
  • Uso de claves: Firma digital y cifrado de claves.
  • Uso extendido de claves: Autenticación de cliente.
  • Tipo de desafío: Dinámico (contraseña de un solo uso), nunca estático.

Paso 3: Desplegar el portal de incorporación BYOD

Para los dispositivos de estudiantes no gestionados, despliegue un portal de incorporación de autoservicio. Los estudiantes se autentican a través del proveedor de inicio de sesión único (SSO) de la universidad (por ejemplo, Microsoft Entra ID, Okta). El portal verifica su estado de inscripción activo y envía un perfil SCEP ligero a su dispositivo, automatizando la solicitud de certificado sin requerir una gestión de MDM completa.

Paso 4: Implementar la segmentación de VLAN

Configure su servidor RADIUS para asignar VLANs dinámicamente en función de los atributos del certificado o del grupo de usuarios en su directorio.

byod_network_segmentation.png

  • VLAN 10 (BYOD de estudiantes): Autenticado mediante EAP-TLS. Acceso a recursos académicos e internet.
  • VLAN 20 (Gestionado por el personal): Autenticado mediante EAP-TLS. Acceso a sistemas administrativos y servidores internos.
  • VLAN 30 (WiFi de invitados): Autenticado mediante Captive Portal. Solo acceso a internet, aislado de la red principal.

Buenas prácticas

  • Contraseñas de desafío dinámicas: Nunca utilice un secreto compartido estático para su pasarela SCEP. Asegúrese de que su MDM o plataforma de incorporación genere contraseñas de desafío de un solo uso para cada solicitud de inscripción.
  • Automated Renewal: Configure certificates to renew automatically at 80% of their validity period. This prevents mass expirations during critical academic periods.
  • Device Compliance: Use MDM conditional access policies to ensure devices meet security baselines (e.g., OS version, encryption) before the SCEP profile is delivered.
  • Revocation Checking: Ensure your RADIUS server is configured to check the Certificate Revocation List (CRL) or use the Online Certificate Status Protocol (OCSP) to block access immediately if a device is reported lost or stolen.

Troubleshooting & Risk Mitigation

Common Failure Modes

  1. NDES/SCEP Gateway Unreachable: If the SCEP gateway is not externally accessible, devices cannot enroll off-campus. Ensure the gateway is published securely via an application proxy.
  2. Certificate Chain Trust Errors: The client device must trust the Root CA that issued the RADIUS server's certificate. Ensure the Root CA certificate is pushed alongside the SCEP profile.
  3. RADIUS Timeout: EAP-TLS requires multiple round trips. Ensure your wireless controllers and RADIUS servers are configured with adequate timeout values to accommodate latency, especially during peak onboarding.

ROI & Business Impact

Migrating to SCEP and EAP-TLS delivers measurable business outcomes for university IT departments:

  • Reduced Support Costs: By automating enrollment, universities typically see a 50-70% reduction in WiFi-related helpdesk tickets during the start of the academic year.
  • Enhanced Security Posture: Eliminating shared passwords and migrating to cryptographic device identity neutralises credential harvesting attacks.
  • Regulatory Compliance: Certificate-based authentication provides a robust, attributable audit log, supporting GDPR Article 32 requirements for technical security measures.

Purple's platform integrates with this architecture at the guest WiFi layer. While your academic and staff networks remain secured via SCEP and EAP-TLS, Purple provides seamless captive portal onboarding for visitors, capturing first-party data and delivering analytics without compromising the security of the core network.

Definiciones clave

SCEP (Simple Certificate Enrollment Protocol)

Un protocolo IETF que automatiza el proceso de solicitud, emisión e instalación de certificados digitales en dispositivos de red sin intervención manual.

Utilizado por los equipos de TI para desplegar certificados a escala en miles de dispositivos de estudiantes y personal simultáneamente.

EAP-TLS (Extensible Authentication Protocol with Transport Layer Security)

El método de autenticación 802.1X más seguro, que requiere que tanto el dispositivo cliente como el servidor RADIUS demuestren sus identidades utilizando certificados digitales.

El estándar de autenticación de destino para universidades que buscan eliminar el acceso WiFi basado en contraseñas.

CSR (Certificate Signing Request)

Un bloque de texto cifrado generado por el dispositivo cliente que contiene su clave pública e información de identificación, enviado a la CA para solicitar un certificado.

El primer paso técnico en el proceso de registro de SCEP después de que el dispositivo se conecta a la pasarela.

MDM (Mobile Device Management)

Plataformas de software como Microsoft Intune o JAMF Pro utilizadas para gestionar las configuraciones de los dispositivos, aplicar el cumplimiento normativo y desplegar perfiles SCEP.

El plano de control administrativo para los dispositivos del personal y el punto de integración para los desafíos dinámicos de SCEP.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA) para los usuarios que se conectan y utilizan un servicio de red.

El servidor (como Cisco ISE o ClearPass) que valida el certificado del dispositivo y lo asigna a la VLAN correcta.

NDES (Network Device Enrollment Service)

Un rol de Microsoft Windows Server que actúa como una pasarela SCEP, lo que permite que los dispositivos sin credenciales de Active Directory obtengan certificados de una CA empresarial.

La pasarela SCEP tradicional local que se utiliza en entornos Microsoft, a menudo integrada con Intune.

VLAN (Virtual Local Area Network)

Una subred lógica que agrupa una colección de dispositivos de diferentes LAN físicas, aislando el tráfico de difusión y aplicando límites de seguridad.

Se utiliza para separar el tráfico BYOD de los estudiantes de los dispositivos del personal, el acceso de invitados y la infraestructura de IoT.

BYOD (Bring Your Own Device)

La práctica de permitir que los estudiantes y el personal utilicen sus ordenadores portátiles, smartphones y tabletas personales para acceder a la red universitaria.

El principal motor para la implementación de portales de incorporación automatizados y SCEP en la educación superior.

Ejemplos prácticos

Una universidad con 30 000 estudiantes está migrando de PEAP a EAP-TLS. Utilizan Microsoft Entra ID e Intune para el personal, pero necesitan una solución para ordenadores portátiles y smartphones BYOD no gestionados de estudiantes. ¿Cómo deberían diseñar la arquitectura del registro?

Desplegar un portal de incorporación de autoservicio integrado con Microsoft Entra ID para SSO. Los dispositivos del personal reciben perfiles SCEP de forma automática a través de Intune durante el aprovisionamiento del dispositivo. Los estudiantes se conectan a un SSID de "Incorporación" abierto, se autentican a través del portal utilizando sus credenciales universitarias y el portal envía un perfil SCEP temporal al dispositivo. El dispositivo genera una CSR, la pasarela SCEP valida el desafío dinámico y la CA emite el certificado. A continuación, el dispositivo se vuelve a conectar automáticamente al SSID seguro "eduroam" o "Estudiantes" utilizando EAP-TLS.

Comentario del examinador: Este enfoque separa correctamente los dispositivos gestionados de los BYOD no gestionados. Al utilizar un portal de incorporación dinámico para los estudiantes, la universidad logra una seguridad basada en certificados sin la carga administrativa de obligar a registrar por completo los dispositivos personales en un MDM.

Un centro de educación secundaria y formación profesional necesita proteger los ordenadores compartidos de las aulas de informática Windows y los dispositivos IoT (proyectores, pizarras inteligentes) junto con su red BYOD. ¿Cómo deberían gestionar la autenticación para dispositivos sin un usuario específico?

Para los ordenadores compartidos de las aulas, despliegue certificados de máquina a través de SCEP utilizando SCCM o Intune. Los dispositivos se autentican en la red utilizando EAP-TLS a nivel de máquina, lo que permite a cualquier estudiante iniciar sesión sin activar un evento de autenticación de red independiente. Para los dispositivos IoT que no admiten 802.1X o SCEP, implemente Identity PSK (iPSK) o MAC Authentication Bypass (MAB), y segméntelos en una VLAN de IoT dedicada y aislada sin acceso a la red académica.

Comentario del examinador: La solución identifica correctamente que SCEP puede emitir certificados de máquina para hardware compartido. También reconoce la limitación práctica de que muchos dispositivos IoT carecen de suplicantes 802.1X, recomendando adecuadamente iPSK y una segmentación estricta de VLAN como control de compensación.

Preguntas de práctica

Q1. Su universidad está implementando SCEP a través de Microsoft NDES e Intune. Durante las pruebas, los ordenadores portátiles Windows se registran correctamente, pero los dispositivos iOS no reciben el certificado. Los registros del servidor NDES no muestran solicitudes entrantes de los dispositivos Apple. ¿Cuál es el problema arquitectónico más probable?

Sugerencia: Considere la ubicación de red de los dispositivos durante la fase de registro inicial.

Ver respuesta modelo

Es probable que el servidor NDES (pasarela SCEP) no esté publicado externamente. Los dispositivos Windows podrían estar registrándose mientras están en la red interna o VPN, mientras que los dispositivos iOS intentan registrarse a través de datos móviles o una red externa. La pasarela SCEP debe publicarse de forma segura en internet (por ejemplo, a través de Azure AD Application Proxy) para permitir el registro fuera del campus.

Q2. Un estudiante informa que no puede conectarse al WiFi del campus. Su dispositivo tiene un certificado emitido a través de SCEP hace dos años. La CA funciona y el servidor RADIUS está en línea. ¿Qué práctica recomendada de configuración se omitió probablemente?

Sugerencia: Los certificados digitales tienen una vida útil definida.

Ver respuesta modelo

Es probable que la renovación automática de certificados no se haya configurado o haya fallado. El certificado del estudiante ha caducado. Las prácticas recomendadas exigen configurar el perfil de MDM o SCEP para solicitar automáticamente una renovación cuando el certificado alcance el 80 % de su período de validez.

Q3. Está diseñando la segmentación de red para un nuevo edificio del campus. Ha implementado EAP-TLS para el personal y los estudiantes. El equipo de instalaciones necesita conectar 50 nuevos sensores de HVAC inalámbricos que no admiten 802.1X ni certificados. ¿Cómo protege estos dispositivos?

Sugerencia: Estos dispositivos no pueden usar SCEP. Considere métodos de autenticación alternativos y el aislamiento de red.

Ver respuesta modelo

Implemente Identity PSK (iPSK) o MAC Authentication Bypass (MAB) para los sensores de HVAC. Es fundamental segmentar estos dispositivos en una VLAN de IoT dedicada. Configure reglas de firewall para bloquear el acceso de esta VLAN a internet o a las subredes académicas y del personal, restringiendo el tráfico únicamente al servidor de gestión de HVAC interno específico.

Continúe leyendo esta serie

Server RADIUS: una guía completa para empresas

Esta guía proporciona a directores de TI, arquitectos de redes y directores de tecnología (CTO) una referencia técnica definitiva sobre la autenticación mediante server RADIUS para WiFi empresarial. Cubre el marco AAA, la arquitectura 802.1X, la selección del método EAP, las ventajas y desventajas del despliegue en la nube frente a local y la asignación dinámica de VLAN. Los operadores de recintos del sector de la hostelería, retail, eventos y el sector público encontrarán pautas de implementación prácticas, casos de estudio reales y los marcos de decisión necesarios para migrar de claves precompartidas no seguras a una arquitectura de control de acceso a la red segura y basada en la identidad.

Leer la guía →

Aruba ClearPass vs. Purple WiFi: comparativa de funciones y codespliegue

Una guía técnica exhaustiva que detalla la arquitectura de codespliegue de Aruba ClearPass y Purple WiFi. Cubre la configuración de proxy RADIUS, la asignación dinámica de VLAN y las mejores prácticas para ofrecer redes de invitados seguras y basadas en analítica junto con el NAC empresarial.

Leer la guía →

Cisco ISE vs. Purple WiFi: How They Compare and Work Together

Esta guía explica cómo Cisco ISE y Purple WiFi desempeñan funciones distintas pero complementarias en las redes empresariales. Detalla cómo utilizar Cisco ISE para un acceso corporativo 802.1X seguro, al tiempo que se aprovecha Purple para ofrecer un WiFi de invitados que cumpla con el GDPR, análisis de marketing e integración con CRM.

Leer la guía →