Saltar al contenido principal

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Esta guía de referencia técnica describe la arquitectura, configuración y despliegue de la autenticación RADIUS para redes WiFi empresariales de invitados y de personal. Proporciona a los arquitectos de redes y responsables de TI los protocolos exactos, los estándares de seguridad y las metodologías de resolución de problemas necesarios para crear sistemas de control de acceso inalámbrico seguros y escalables.

📖 8 min de lectura📝 1,876 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

header_image.png

Resumen Ejecutivo

En los entornos empresariales modernos, garantizar la seguridad de las redes inalámbricas es un requisito operativo crítico. Los métodos de seguridad heredados, como las claves previamente compartidas (PSK), introducen importantes vulnerabilidades de seguridad. Si un solo empleado abandona la organización, o si un invitado pone en peligro una contraseña compartida, toda la seguridad de la red se ve comprometida. Esta guía detalla cómo implementar el Servicio de autenticación de usuarios de acceso telefónico (RADIUS) para centralizar el control de acceso, aplicar políticas de seguridad granulares y segmentar el tráfico de invitados y del personal.

Al realizar la transición a una arquitectura RADIUS centralizada, las organizaciones pueden implementar la autenticación 802.1X para el personal - garantizando que cada dispositivo se autentique con credenciales únicas y revocables - al tiempo que utilizan Captive Portals seguros y la derivación de autenticación de direcciones MAC (MAB) para los usuarios invitados. Esta referencia técnica proporciona los planos arquitectónicos, los pasos de configuración y los marcos de resolución de problemas necesarios para desplegar una infraestructura de autenticación inalámbrica resistente y de nivel empresarial.

Análisis Técnico Detallado

El Marco AAA

RADIUS opera bajo el marco AAA, que define las fases principales del control de acceso:

  1. Autenticación (Authentication): Verificación de la identidad del usuario o dispositivo que intenta conectarse a la red WiFi. Esto se consigue mediante credenciales, certificados digitales o tokens.
  2. Autorización (Authorization): Determinación del nivel de acceso a la red concedido a la entidad autenticada. Esto incluye la asignación de VLANs específicas, la aplicación de listas de control de acceso (ACL) o la imposición de límites de ancho de banda.
  3. Contabilidad (Accounting): Seguimiento del consumo de recursos de la red, incluida la duración de la sesión, los datos transferidos y las horas de inicio y cierre de sesión. Estos datos son fundamentales para la auditoría, el cumplimiento y la planificación de la red.
  4. Auditoría (Auditing): Revisión de los datos de contabilidad recopilados para identificar anomalías, brechas de seguridad o infracciones de las políticas.

Componentes de la Arquitectura RADIUS

Un despliegue de RADIUS empresarial estándar consta de tres componentes principales:

  • El Suplicante (Supplicant): El software cliente que se ejecuta en el dispositivo del usuario (por ejemplo, ordenador portátil, smartphone) que solicita acceso a la red y proporciona credenciales o certificados.
  • El Autenticador (Servidor de Acceso a la Red / NAS): El dispositivo de red físico o virtual - normalmente un controlador de LAN inalámbrica (WLC) o un punto de acceso (AP) - que controla el acceso físico a la red. El autenticador no decide si las credenciales son válidas; actúa como un proxy, empaquetando la solicitud de autenticación en paquetes RADIUS y reenviándolos al servidor RADIUS.
  • El Servidor de Autenticación: El servidor central (como FreeRADIUS, Cisco ISE, Aruba ClearPass o el motor RADIUS basado en la nube de Purple) que valida las credenciales frente a un almacén de identidades (por ejemplo, Active Directory, LDAP o un proveedor de identidades en la nube) y devuelve un mensaje Access-Accept o Access-Reject al autenticador.

Métodos EAP para el WiFi del Personal

Para las redes de personal, se utiliza el Protocolo de Autenticación Extensible (EAP) dentro del marco 802.1X para negociar la autenticación. Los dos métodos EAP empresariales más comunes son:

  • PEAP-MSCHAPv2 (EAP protegido): Este método establece un túnel TLS seguro y cifrado entre el suplicante y el servidor RADIUS mediante el certificado digital del servidor. Dentro de este túnel seguro, el nombre de usuario y la contraseña del usuario se autentican mediante el protocolo MSCHAPv2. Es muy popular por su facilidad de despliegue, ya que no requiere la instalación de certificados en los dispositivos cliente.
  • EAP-TLS: El método de autenticación más seguro disponible. Requiere autenticación mutua, lo que significa que tanto el servidor RADIUS como el dispositivo cliente deben presentar certificados digitales válidos. Esto elimina los ataques basados en contraseñas, pero requiere una Infraestructura de Clave Pública (PKI) robusta para gestionar la distribución y revocación de certificados.

Flujo de autenticación de WiFi de invitados

Las redes de invitados suelen utilizar un flujo diferente para equilibrar la seguridad con la comodidad del usuario. En lugar de 802.1X, las redes de invitados a menudo utilizan un SSID abierto combinado con un Captive Portal.

Cuando un invitado se conecta, el autenticador utiliza el bypass de autenticación MAC (MAB) o una política de redirección para enviar al usuario a un Captive Portal alojado por una plataforma como Purple. Una vez que el usuario completa el proceso de registro o inicio de sesión en el portal, la plataforma del portal se comunica con el servidor RADIUS, que luego envía un mensaje de Access-Accept al WLC/AP, autorizando la dirección MAC del invitado para el acceso a la red durante una duración de sesión específica.

Transporte seguro: RadSec

El tráfico RADIUS tradicional se envía a través de UDP (puertos 1812 para autenticación y 1813 para contabilidad) en texto claro, con solo el campo de contraseña del usuario ofuscado mediante un secreto compartido. Esto introduce riesgos de seguridad al enrutar el tráfico de autenticación a través de conexiones WAN públicas o Internet.

Para mitigar esto, se debe implementar RadSec (RADIUS sobre TLS). RadSec envuelve los paquetes RADIUS estándar dentro de un túnel TLS seguro (normalmente utilizando el puerto TCP 2083). Esto garantiza que todos los datos de autenticación y contabilidad, incluidos los nombres de usuario, las direcciones MAC y los atributos de la sesión, estén completamente cifrados durante el tránsito entre la red local y los servidores RADIUS basados en la nube.

Guía de implementación

Paso 1: Definir los clientes RADIUS en el servidor

Antes de que cualquier dispositivo de red pueda comunicarse con el servidor RADIUS, debe estar registrado como cliente.

  1. Inicie sesión en la consola de administración de su servidor RADIUS.
  2. Vaya a la sección Clientes o Dispositivos de red.
  3. Añada una nueva entrada de cliente para cada WLC o AP.
  4. Introduzca la dirección IP o la subred del autenticador.
  5. Genere un secreto compartido de alta entropía. Este secreto debe tener al menos 22 caracteres de longitud y contener una mezcla de letras mayúsculas, letras minúsculas, números y caracteres especiales. Evite el uso de palabras sencillas de diccionario.

Paso 2: Configurar el controlador de LAN inalámbrica (WLC) / puntos de acceso

Configure su hardware inalámbrico para que apunte al servidor RADIUS para la autenticación y la contabilidad (accounting).

  1. Inicie sesión en la interfaz de gestión de su WLC o AP.
  2. Vaya a Security > AAA > RADIUS > Authentication.
  3. Añada un nuevo servidor de autenticación RADIUS:
    • Server IP Address: Introduzca la dirección IP de su servidor RADIUS principal.
    • Shared Secret: Introduzca el secreto compartido exacto configurado en el paso 1.
    • Port: 1812 (o 2083 si utiliza RadSec).
    • Timeout: Establézcalo en 5 segundos para tener en cuenta la latencia de la red.
    • Retry Count: Establézcalo en 3.
  4. Vaya a RADIUS Accounting y añada una nueva entrada de servidor utilizando el puerto 1813 (o 2083 para RadSec).
  5. Repita estos pasos para añadir un servidor RADIUS secundario (de respaldo) para garantizar la alta disponibilidad.

Paso 3: Configurar el SSID del personal (802.1X)

  1. Cree un nuevo SSID llamado Staff_Enterprise.
  2. Establezca el tipo de seguridad en WPA3-Enterprise (o modo de transición WPA2/WPA3-Enterprise si se requiere compatibilidad con dispositivos heredados).
  3. Seleccione 802.1X como protocolo de gestión de claves.
  4. Asocie el SSID con los servidores de autenticación y contabilidad RADIUS configurados en el paso 2.
  5. Asocie el SSID a la VLAN segura del personal (por ejemplo, VLAN 10).

Paso 4: Configurar el SSID de invitados con Captive Portal

  1. Cree un nuevo SSID llamado Guest_WiFi.
  2. Establezca el tipo de seguridad en Open (o Enhanced Open / OWE para cifrado inalámbrico oportunista).
  3. Habilite MAC Filtering o MAC Authentication y apunte al servidor RADIUS.
  4. Habilite la redirección de Captive Portal / Web Portal.
  5. Configure la URL de redirección para que apunte a la página de inicio de sesión del Captive Portal de Purple.
  6. Configure el Walled Garden (ACL de preautenticación) para permitir el tráfico al dominio del Captive Portal, a los servidores DNS y a los recursos CDN necesarios antes de que se complete la autenticación.
  7. Asocie el SSID a una VLAN de invitados aislada (por ejemplo, VLAN 20).

Mejores prácticas

Alta disponibilidad y redundancia

Despliegue siempre servidores RADIUS en pares redundantes (primario y secundario). Asegúrese de que estos servidores estén ubicados en hardware físico diferente o en diferentes zonas de disponibilidad de la nube. Configure sus WLC para realizar una conmutación por error sin problemas al servidor secundario si el servidor primario deja de responder. Implemente el equilibrio de carga cuando sea apropiado para distribuir el tráfico de autenticación de manera uniforme.

Gestión de certificados

Para los despliegues PEAP y EAP-TLS, la validez y la confianza del certificado del servidor RADIUS son fundamentales.

  • Utilice un certificado emitido por una Autoridad de Certificación (CA) pública de confianza para los portales de invitados y los despliegues PEAP para evitar avisos de advertencia de certificado en los dispositivos de los usuarios.
  • Para EAP-TLS, establezca una CA privada interna dedicada para emitir y gestionar certificados de cliente y servidor.
  • Supervise de cerca las fechas de caducidad de los certificados e implemente procesos de renovación automatizados (como SCEP o ACME) para evitar fallos repentinos de autenticación en toda la red.

Segmentación de VLAN

Segmente estrictamente el tráfico de su red utilizando VLANs. El tráfico de invitados debe estar completamente aislado de los recursos corporativos. Implemente reglas de firewall en el switch principal o gateway para evitar el enrutamiento inter-VLAN entre la VLAN de invitados y las VLANs de empleados/gestión. Permita únicamente que el tráfico de invitados se enrute directamente a Internet.

Tiempo de espera de sesión e intervalos de contabilidad

Configure tiempos de espera de sesión adecuados para evitar que las sesiones inactivas consuman direcciones IP y recursos de red.

  • Para redes de empleados, establezca un tiempo de espera de sesión de 8 a 12 horas, alineándose con un turno de trabajo estándar.
  • Para redes de invitados, establezca un tiempo de espera de sesión más corto, de 2 a 4 horas.
  • Configure el intervalo de actualización intermedia (interim-update) de contabilidad RADIUS a 10 o 15 minutos. Esto garantiza que el servidor RADIUS reciba actualizaciones periódicas sobre la conectividad del dispositivo y el uso de datos sin saturar el servidor con paquetes de contabilidad.

Resolución de problemas y mitigación de riesgos

Fallos comunes y soluciones

1. Discordancia en el secreto compartido

  • Síntoma: Los logs del WLC muestran "RADIUS server not responding" (el servidor RADIUS no responde) y los logs del servidor RADIUS muestran "Packet dropped - invalid authenticator" (paquete descartado: autenticador no válido) o "Bad authenticator in request" (autenticador incorrecto en la solicitud).
  • Causa principal: El secreto compartido configurado en el WLC no coincide con el secreto configurado en el servidor RADIUS.
  • Mitigación: Vuelva a introducir el secreto compartido en ambos dispositivos, asegurándose de que no se hayan copiado espacios finales ni caracteres ocultos.

2. Problemas de confianza con los certificados

  • Síntoma: Los dispositivos de los clientes no logran conectarse al SSID de empleados, mostrando errores como "Untrusted Server Certificate" (certificado de servidor no confiable) o "Connection Rejected" (conexión rechazada).
  • Causa principal: El dispositivo del cliente no confía en la CA que firmó el certificado del servidor RADIUS, o el certificado ha caducado.
  • Mitigación: Asegúrese de que los certificados de CA raíz e intermediarios estén instalados en el almacén de entidades de certificación raíz de confianza del dispositivo cliente. Para dispositivos gestionados por la empresa, distribuya estos certificados mediante MDM o directivas de grupo.

3. Bloqueos de firewall

  • Síntoma: El servidor RADIUS no recibe tráfico del WLC, a pesar de que se ha verificado el enrutamiento.
  • Causa principal: Los firewalls intermedios están bloqueando los puertos UDP 1812 y 1813.
  • Mitigación: Cree reglas de firewall explícitas para permitir UDP 1812 y 1813 (o TCP 2083 para RadSec) entre la IP de gestión del WLC y la IP del servidor RADIUS.

4. Tiempos de espera provocados por la latencia

  • Síntoma: Fallos de autenticación intermitentes, especialmente durante las horas de mayor actividad o al utilizar servidores RADIUS basados en la nube.
  • Causa principal: La latencia de la red supera el umbral de tiempo de espera de RADIUS del WLC, lo que hace que el WLC asuma que el servidor está fuera de línea.
  • Mitigación: Aumente el ajuste de tiempo de espera de RADIUS del WLC del valor predeterminado (normalmente 2 segundos) a 5 o 7 segundos. Optimice el enrutamiento WAN o implemente proxies RADIUS locales para almacenar en caché las solicitudes de autenticación.

ROI e impacto empresarial

La transición a un modelo de autenticación RADIUS centralizado ofrece un valor empresarial medible en varias áreas clave:

  • Menor sobrecarga operativa: elimina el esfuerzo manual requerido para cambiar las contraseñas de WiFi compartidas cuando el personal deja la organización. Las cuentas de usuario se pueden desactivar instantáneamente en Active Directory o en su proveedor de identidad, revocando inmediatamente su acceso a la red.
  • Mejora de la postura de seguridad: mitiga el riesgo de brechas de datos causadas por el robo de credenciales o el acceso no autorizado a la red. Al aplicar 802.1X y la autenticación basada en certificados, las organizaciones garantizan que solo los dispositivos autorizados y conformes puedan acceder a los recursos corporativos confidenciales.
  • Operaciones de recintos optimizadas: al integrar el WiFi de invitados con la plataforma RADIUS en la nube de Purple, los operadores de los recintos capturan valiosos datos demográficos y de comportamiento. Estos datos se pueden utilizar para diseñar campañas de marketing personalizadas, mejorar la interacción con los visitantes y optimizar el uso del espacio físico basándose en análisis de afluencia.
  • Cumplimiento normativo: los registros de contabilidad de RADIUS centralizados proporcionan una pista de auditoría del acceso a la red, lo que ayuda a las organizaciones a cumplir con los requisitos de conformidad de estándares como PCI-DSS, ISO 27001 y GDPR.

Definiciones clave

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad para los usuarios que se conectan y utilizan un servicio de red.

Es el protocolo estándar de la industria utilizado para conectar el hardware de la red inalámbrica con las bases de datos de identidad centrales.

Supplicant

El software de cliente o dispositivo (como un portátil, teléfono o tableta) que solicita acceso a una red y proporciona credenciales o certificados para su verificación.

El supplicant debe ser compatible con el método EAP específico configurado en el servidor RADIUS para poder autenticarse correctamente.

Authenticator

El dispositivo de red (normalmente un Wireless LAN Controller o punto de acceso) que controla el acceso físico a la red y actúa como proxy entre el supplicant y el servidor RADIUS.

El authenticator no valida las credenciales por sí mismo; simplemente las reenvía al servidor RADIUS.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un método de autenticación extremadamente seguro que utiliza certificados digitales mutuos tanto en el cliente como en el servidor para la verificación de la identidad.

Es el método de autenticación preferido para dispositivos gestionados por la empresa en las redes WiFi del personal.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol con Microsoft Challenge Handshake Authentication Protocol versión 2. Un método de autenticación basado en credenciales que protege la transmisión de contraseñas dentro de un túnel TLS cifrado.

Se utiliza ampliamente en las redes del personal porque no requiere certificados en el lado del cliente, lo que facilita su despliegue en comparación con EAP-TLS.

RadSec

Un protocolo que protege el tráfico RADIUS encapsulando los paquetes RADIUS estándar dentro de un túnel Transport Layer Security (TLS), que normalmente se ejecuta sobre el puerto TCP 2083.

Esencial para redes WiFi gestionadas en la nube donde el tráfico de autenticación debe viajar a través de internet público.

Captive Portal

Página web que se muestra a los usuarios inalámbricos recién conectados antes de que se les conceda un acceso más amplio a la red. Se utiliza habitualmente para la autenticación de invitados, la aceptación de los términos del servicio y la recopilación de datos de marketing.

Purple proporciona un captive portal alojado en la nube que se integra con el hardware de red local a través de RADIUS.

MAC Authentication Bypass (MAB)

Mecanismo que permite el control de acceso a la red basado en la dirección MAC de un dispositivo cliente. Se suele utilizar para dispositivos que no admiten la autenticación 802.1X.

Se utiliza a menudo en redes WiFi de invitados para permitir que los dispositivos se vuelvan a conectar sin problemas y sin tener que ver el Captive Portal repetidamente.

Ejemplos prácticos

Una marca minorista con múltiples sedes y 150 tiendas quiere desplegar una red WiFi segura para el personal. Actualmente utilizan una única clave precompartida (PSK) en todas las tiendas, que se filtra con frecuencia. Necesitan una solución que se integre con su Microsoft Azure Active Directory existente (ahora Microsoft Entra ID) y que garantice que el personal solo pueda autenticarse utilizando ordenadores portátiles gestionados por la empresa.

Para resolver esto, implementaremos WPA3-Enterprise con autenticación EAP-TLS, integrado con Microsoft Entra ID a través de un servicio RADIUS basado en la nube.

  1. Establecer una CA privada: Desplegar una infraestructura de clave pública (PKI) basada en la nube o utilizar un despliegue existente de Active Directory Certificate Services (AD CS) para emitir certificados de dispositivo a todos los ordenadores portátiles gestionados por la empresa.
  2. Distribución de certificados: Configurar el sistema de gestión de dispositivos móviles (MDM) de la organización (por ejemplo, Microsoft Intune) para distribuir automáticamente el certificado de la CA raíz y un certificado de cliente único a cada portátil gestionado. El certificado de cliente debe incluir el nombre de host o el número de serie del dispositivo en el Nombre alternativo del sujeto (SAN).
  3. Configurar el servidor RADIUS en la nube: Configurar un servicio RADIUS en la nube que se integre con Microsoft Entra ID. Configurar el servidor RADIUS para validar los certificados de cliente entrantes con respecto a la CA privada de confianza.
  4. Configurar los WLC/AP: En los controladores inalámbricos de cada tienda minorista, configurar un nuevo SSID llamado Retail_Staff. Establecer la seguridad en WPA3-Enterprise y dirigir la autenticación a las IP del servidor RADIUS en la nube utilizando RadSec (puerto TCP 2083) para proteger el tráfico de autenticación a través de la internet pública.
  5. Definir políticas de acceso: En el servidor RADIUS, crear una política que permita el acceso solo si el certificado de cliente es válido, el certificado no está revocado (verificado a través de CRL u OCSP) y la identidad del dispositivo existe y está activa dentro de Microsoft Entra ID.
Comentario del examinador: Esta solución aborda tanto la seguridad como la escalabilidad. Al elegir EAP-TLS en lugar de PEAP-MSCHAPv2, la marca elimina el riesgo de ataques basados en credenciales (como el password spraying o los ataques man-in-the-middle). El uso de RadSec es fundamental aquí porque el tráfico de autenticación debe viajar a través de la internet pública desde las tiendas minoristas individuales hasta el servidor RADIUS en la nube. Esto garantiza el cifrado completo de la carga útil de autenticación.

Un gran centro de convenciones que alberga hasta 20.000 usuarios simultáneos necesita desplegar una red WiFi para invitados. La red debe ofrecer una experiencia de inicio de sesión fluida a través de un Captive Portal, imponer un límite de sesión de 3 horas para evitar el acaparamiento de ancho de banda y recopilar el consentimiento de marketing de conformidad con el GDPR. La infraestructura consta de WLC de Cisco Catalyst.

Desplegaremos un SSID abierto con MAC Authentication Bypass (MAB) y redirección a un captive portal integrado con la plataforma Purple.

  1. Configurar el SSID de invitados: En el Cisco WLC, cree un SSID llamado Convention_Guest. Establezca la seguridad como Open. Active el filtrado MAC y seleccione el grupo de servidores RADIUS asociado con Purple.
  2. Configurar la redirección: Configure una política de autenticación web (Web Auth) en el WLC para redirigir a los usuarios no autenticados a la URL del captive portal de Purple: https://portal.purplewifi.net/....
  3. Configurar el Walled Garden: Cree una lista de control de acceso (ACL) en el WLC llamada GUEST_RED_ACL. Esta ACL debe permitir el tráfico DNS (puerto UDP 53), el tráfico DHCP (puertos UDP 67 y 68) y el tráfico hacia y desde los rangos de IP y CDN de Purple. Todo el resto de tráfico HTTP/HTTPS debe ser redirigido.
  4. Configurar la contabilidad RADIUS: Active la contabilidad RADIUS en el WLC, apuntando a los servidores de contabilidad de Purple con un intervalo de actualización provisional (interim-update) de 10 minutos.
  5. Configurar los límites de sesión: En el panel de control del portal de Purple, configure el proceso de acceso para imponer un tiempo de espera de sesión de 3 horas. Una vez que el usuario completa el inicio de sesión y acepta las condiciones de marketing que cumplen con la GDPR, el servidor RADIUS de Purple envía un paquete Access-Accept al Cisco WLC que contiene el atributo Session-Timeout establecido en 10800 segundos (3 horas).
  6. Flujo de reautenticación: Después de 3 horas, el WLC finaliza la sesión. Si el usuario intenta volver a conectarse, se le redirige de nuevo al captive portal para que se reautentique.
Comentario del examinador: En entornos de alta densidad como los centros de convenciones, la gestión de los pools de direcciones IP y los estados de las sesiones es fundamental. Imponer un tiempo de espera de sesión estricto de 3 horas a través de atributos RADIUS garantiza que los dispositivos inactivos no retengan las direcciones IP, lo que evita el agotamiento del pool DHCP. El uso de MAB garantiza que, una vez autenticado, la dirección MAC del usuario se guarde en caché durante la sesión, lo que evita molestas desconexiones si el dispositivo entra temporalmente en modo de suspensión.

Preguntas de práctica

Q1. Una organización ha renovado recientemente el certificado SSL en su servidor RADIUS. Inmediatamente después, varios portátiles Windows administrados por la empresa no pudieron conectarse a la red WiFi del personal, mientras que los dispositivos macOS y iOS se conectaron sin problemas. ¿Cuál es la causa más probable de este problema y cómo debería resolverse?

Sugerencia: Considere cómo validan los diferentes sistemas operativos los certificados de servidor y el papel de la cadena de la entidad emisora de certificados (CA).

Ver respuesta modelo

La causa más probable es que el nuevo certificado del servidor RADIUS haya sido emitido por una entidad emisora de certificados (CA) o una CA intermedia diferente en la que no confían los portátiles Windows afectados, o que la directiva de grupo de Windows esté configurada para validar la conexión a un nombre de servidor o CA raíz específico que no coincide con el nuevo certificado. Los dispositivos macOS y iOS suelen ser más permisivos o piden al usuario que confíe en el nuevo certificado de forma manual, mientras que las configuraciones empresariales de Windows bloquean estrictamente las conexiones a certificados no fiables sin preguntar. Para resolverlo, verifique que los certificados raíz e intermedios de la nueva CA se distribuyan a todos los dispositivos Windows a través de una directiva de grupo o MDM, y actualice la configuración del perfil inalámbrico para confiar en la nueva CA.

Q2. Durante las horas de máxima afluencia en un gran estadio deportivo, los usuarios de la red WiFi de invitados informan de que completan con éxito el registro en el Captive Portal pero no se les redirige a Internet. En su lugar, se les vuelve a mostrar repetidamente la página de inicio de sesión del Captive Portal. Los registros del WLC muestran "RADIUS authentication timeout". ¿Cómo diagnosticaría y resolvería este problema?

Sugerencia: Analice la ruta del paquete RADIUS y los ajustes de tiempo de espera en el controlador inalámbrico.

Ver respuesta modelo

Se trata de un problema clásico de tiempo de espera provocado por la latencia. Durante las horas de máxima afluencia, el gran volumen de tráfico provoca congestión en el enlace WAN o una elevada utilización de la CPU en el servidor RADIUS, lo que retrasa la respuesta RADIUS Access-Accept. Dado que el tiempo de espera por defecto del WLC está configurado con un valor demasiado bajo (normalmente 2 segundos), el WLC asume que el servidor RADIUS está fuera de línea y corta la sesión, lo que obliga al usuario a volver al Captive Portal. Para diagnosticarlo, compruebe el tiempo de ida y vuelta (RTT) de los paquetes RADIUS durante las horas de máxima afluencia. Para resolverlo: 1) Aumente el tiempo de espera de RADIUS en el WLC a 5 o 7 segundos. 2) Aumente el número de reintentos a 3. 3) Implemente la calidad de servicio (QoS) en la puerta de enlace WAN para priorizar el tráfico RADIUS (UDP 1812/1813) sobre el tráfico de Internet general de los invitados.

Q3. Una auditoría de seguridad revela que los usuarios de la WiFi de invitados pueden acceder a las interfaces de gestión interna de los switches de red y los WLC. La red de invitados está configurada como un Open SSID con un Captive Portal. ¿Qué cambios de arquitectura se deben realizar para solucionar esta vulnerabilidad?

Sugerencia: Piense en la segmentación de red y en dónde se deben aplicar las políticas de control de acceso.

Ver respuesta modelo

Para subsanar esta vulnerabilidad, se debe aplicar una segmentación de red estricta. En primer lugar, asegúrese de que el SSID de invitados esté asignado a una VLAN de invitados dedicada (por ejemplo, VLAN 20) que esté completamente separada de la VLAN de personal y de la VLAN de gestión (donde se encuentran los switches y los WLC). En segundo lugar, configure listas de control de acceso (ACL) o reglas de firewall en el router principal o puerta de enlace para bloquear todo el tráfico originado en la VLAN de invitados con destino a cualquier subred de IP privada interna (rangos RFC 1918), dirigiéndose específicamente a las IP de gestión de la infraestructura de red. La VLAN de invitados solo debe tener rutas de enrutamiento hacia internet y hacia los servidores DNS específicos y las IP de captive portal necesarias para la autenticación previa.

Continúe leyendo esta serie

Passpoint y OpenRoaming: Guía completa

Esta guía de referencia técnica proporciona un análisis exhaustivo de los frameworks Passpoint (Hotspot 2.0) y WBA OpenRoaming dentro de las redes WiFi empresariales. Detalla los protocolos de autenticación subyacentes, los componentes arquitectónicos y las estrategias de despliegue necesarias para establecer una conectividad de invitados segura y sin fricciones. Los arquitectos de redes y los líderes de TI aprenderán a diseñar, implementar y solucionar problemas de estos estándares para eliminar las barreras de inicio de sesión manual mientras mantienen una seguridad de nivel empresarial.

Leer la guía →

Cómo implementar SCEP para un BYOD seguro y registro de red en educación superior

Esta guía técnica proporciona a arquitectos de red y directores de TI un plan de acción independiente del proveedor para desplegar el registro de certificados basado en SCEP para proteger las redes de campus de educación superior. Detalla cómo migrar de PEAP basado en contraseñas a 802.1X EAP-TLS, automatizar la incorporación de BYOD y aplicar una segmentación robusta de VLAN.

Leer la guía →

Server RADIUS: una guía completa para empresas

Esta guía proporciona a directores de TI, arquitectos de redes y directores de tecnología (CTO) una referencia técnica definitiva sobre la autenticación mediante server RADIUS para WiFi empresarial. Cubre el marco AAA, la arquitectura 802.1X, la selección del método EAP, las ventajas y desventajas del despliegue en la nube frente a local y la asignación dinámica de VLAN. Los operadores de recintos del sector de la hostelería, retail, eventos y el sector público encontrarán pautas de implementación prácticas, casos de estudio reales y los marcos de decisión necesarios para migrar de claves precompartidas no seguras a una arquitectura de control de acceso a la red segura y basada en la identidad.

Leer la guía →