Saltar al contenido principal
Español

RadSec: Cómo RADIUS sobre TLS mejora la seguridad de la autenticación WiFi

Esta referencia técnica autorizada explica cómo RadSec (RFC 6614) protege la autenticación WiFi empresarial al envolver el tráfico RADIUS tradicional en un cifrado TLS. Diseñado para responsables de TI y arquitectos de red, cubre la arquitectura, las estrategias de despliegue y los pasos prácticos para mitigar los riesgos del tráfico UDP RADIUS no cifrado en redes corporativas y de invitados.

📖 4 min de lectura📝 871 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
RadSec: Cómo RADIUS sobre TLS mejora la seguridad de la autenticación WiFi Un informe de inteligencia de Purple Enterprise WiFi Duración aproximada: 10 minutos --- [INTRODUCCIÓN Y CONTEXTO — aprox. 1 minuto] Bienvenido a la serie de inteligencia de Purple Enterprise WiFi. Soy su anfitrión, y hoy abordamos un tema que se sitúa justo en la intersección de la seguridad de red y el riesgo operativo: RadSec (definido formalmente en el RFC 6614) y por qué debería estar en su hoja de ruta de infraestructura si aún no lo está. Si es un responsable de TI, arquitecto de red o CTO responsable de la red WiFi empresarial en un grupo hotelero, un sector minorista, un estadio o un campus del sector público, este informe es para usted. Vamos a cubrir qué es realmente RadSec, por qué el protocolo RADIUS tradicional le deja expuesto, cómo desplegar RadSec en un entorno real y los errores comunes que atrapan a los equipos. Nada de teoría por amor al arte: solo la información que necesita para tomar una decisión este trimestre. Comencemos. --- [ANÁLISIS TÉCNICO DETALLADO — aprox. 5 minutos] Empecemos con el problema. RADIUS (Remote Authentication Dial-In User Service) ha sido la columna vertebral de la autenticación WiFi empresarial desde la década de 1990. Cuando un usuario o dispositivo se conecta a su WiFi corporativa o de invitados, el punto de acceso actúa como un cliente RADIUS, reenviando las solicitudes de autenticación a un servidor RADIUS, que valida las credenciales contra su directorio (Active Directory, LDAP o un proveedor de identidad en la nube) y concede o deniega el acceso. Este es el modelo de autenticación 802.1X que sustenta las redes WPA2-Enterprise y WPA3-Enterprise. El problema es que el RADIUS tradicional se diseñó para una época diferente. Funciona sobre UDP (User Datagram Protocol) en los puertos 1812 y 1813. UDP no tiene conexión, lo que significa que no hay saludo, ni estado de sesión y, lo que es más crítico, no hay cifrado nativo. La única protección entre su punto de acceso y su servidor RADIUS es un secreto compartido (esencialmente una contraseña) que se utiliza para ofuscar la contraseña del usuario en tránsito mediante el hash MD5. MD5, como la mayoría de ustedes sabrá, está criptográficamente roto. Lleva roto años. ¿Qué significa esto en la práctica? Significa que en cualquier segmento de red donde un atacante pueda interceptar el tráfico RADIUS (lo que incluye conmutadores comprometidos, dispositivos no autorizados en su VLAN de gestión o cualquier punto entre un punto de acceso remoto y un servidor RADIUS alojado en la nube), potencialmente pueden capturar los intercambios de autenticación, intentar ataques de diccionario sin conexión contra el secreto compartido y, en algunas configuraciones, exponer por completo las credenciales de los usuarios. Para un grupo hotelero que ofrece WiFi para invitados en 200 propiedades, o una cadena de tiendas con puntos de acceso en cada establecimiento que se conectan a un servidor RADIUS central a través de la internet pública, este no es un riesgo teórico. Es una superficie de ataque activa. Esto es exactamente lo que resuelve RadSec. RadSec (definido en el RFC 6614 y actualizado por el RFC 7360) envuelve el tráfico RADIUS dentro de un túnel TLS. En lugar de UDP, utiliza TCP en el puerto 2083. En lugar de un secreto compartido y MD5, utiliza autenticación TLS mutua con certificados X.509. Tanto el cliente RADIUS como el servidor RADIUS presentan certificados, verifican la identidad del otro y establecen una sesión cifrada antes de que se intercambie cualquier dato de autenticación. TLS 1.3 es la versión recomendada actualmente, lo que proporciona secreto perfecto hacia adelante y elimina una serie de vulnerabilidades de cifrado heredadas. El efecto práctico es significativo. Los datos de credenciales, los atributos de usuario y los tokens de sesión se cifran de extremo a extremo entre el punto de acceso (o un proxy RadSec) y el servidor RADIUS. Un atacante que intercepte el tráfico en el cable solo verá registros TLS cifrados. El secreto compartido sigue presente por compatibilidad con versiones anteriores, pero ya no realiza ningún trabajo de seguridad significativo: TLS se encarga de la carga. Hay otra dimensión aquí que es cada vez más relevante: la itinerancia. La federación Eduroam, utilizada por universidades e instituciones de investigación en Europa y más allá, lleva años utilizando RadSec como parte de su infraestructura de itinerancia interinstitucional. Más recientemente, el estándar OpenRoaming de la Wi-Fi Alliance (que permite una itinerancia WiFi fluida en los establecimientos participantes) exige RadSec para todo el tráfico de la federación. Si está desplegando una infraestructura compatible con OpenRoaming, RadSec no es opcional; es un requisito previo. Purple admite OpenRoaming bajo su licencia Connect, actuando como proveedor de identidad dentro de la federación, y RadSec es fundamental para el funcionamiento de ese tejido de itinerancia segura. Desde el punto de vista del cumplimiento, RadSec es cada vez más relevante para PCI DSS 4.0, que endurece los requisitos en torno a la protección de los datos de autenticación en tránsito. Si su infraestructura WiFi toca entornos de tarjetas de pago (y en el comercio minorista y la hostelería, con frecuencia lo hace), la brecha de cifrado en el RADIUS tradicional es un hallazgo que tarde o temprano aparecerá en una auditoría. El GDPR exige de manera similar medidas técnicas adecuadas para proteger los datos personales; las credenciales de usuario y los metadatos de sesión que fluyen sin cifrar por su red son difíciles de defender en una auditoría de protección de datos. Hablemos ahora de arquitectura. Existen dos patrones de despliegue principales para RadSec. El primero es el soporte nativo de RadSec en su servidor RADIUS y puntos de acceso. FreeRADIUS 3.0 y versiones superiores admiten RadSec de forma nativa. Microsoft NPS no admite RadSec de forma nativa en sus versiones actuales, lo que representa una limitación importante para las organizaciones que ejecutan una infraestructura centrada en Windows. Cisco ISE admite RadSec. Aruba ClearPass admite RadSec. Si tanto su servidor RADIUS como el proveedor de sus puntos de acceso admiten RadSec de forma nativa, este es el camino más limpio: configure certificados TLS en ambos extremos, abra el puerto TCP 2083 en su cortafuegos y cifrará el tráfico RADIUS de extremo a extremo. El segundo patrón es un proxy RadSec. Este es el despliegue más común en la práctica, especialmente para organizaciones con infraestructura RADIUS heredada o entornos de múltiples proveedores. Un proxy RadSec (radsecproxy es la implementación de código abierto más desplegada) se sitúa entre sus puntos de acceso y su servidor RADIUS. Los puntos de acceso envían RADIUS estándar sobre UDP al proxy en la red local. El proxy finaliza esa conexión, vuelve a encapsular el tráfico RADIUS dentro de un túnel TLS y lo reenvía al servidor RADIUS ascendente a través de TCP 2083. Este enfoque le permite añadir RadSec a una infraestructura existente sin reemplazar su servidor RADIUS, y es especialmente útil cuando su servidor RADIUS está alojado en la nube o se accede a él a través de la internet pública. La gestión de certificados es la complejidad operativa que debe planificar. Necesitará una PKI (infraestructura de clave pública) para emitir y gestionar los certificados X.509 utilizados para la autenticación TLS mutua. Eso significa una autoridad de certificación, la emisión de certificados para cada cliente y servidor RADIUS, y un proceso para la rotación de certificados antes de su vencimiento. Los certificados que caduquen sin que nadie se dé cuenta interrumpirán la autenticación de todos los usuarios de su red simultáneamente, y ese es un escenario que querrá evitar. Automatice la renovación de certificados utilizando ACME o la API de su CA, y configure alertas de supervisión con suficiente antelación a las fechas de vencimiento. --- [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — aprox. 2 minutos] Permítame darle algunas recomendaciones prácticas. Primero: realice una auditoría antes de desplegar. Identifique cada cliente RADIUS (puntos de acceso, concentradores VPN, conmutadores que realizan 802.1X) y cada servidor RADIUS en su entorno. Entienda cuáles admiten RadSec de forma nativa y cuáles necesitarán un proxy. Esta auditoría suele revelar dispositivos heredados que no admiten TLS en absoluto, y estos deben incluirse en su hoja de ruta de sustitución. Segundo: comience con el tráfico de mayor riesgo. Si tiene tráfico RADIUS que atraviesa la internet pública (sitios remotos, RADIUS alojado en la nube, grupos hoteleros con múltiples propiedades), esa es su primera prioridad. El tráfico RADIUS local en una VLAN de gestión bien segmentada presenta un riesgo menor, pero aun así debería estar en la hoja de ruta. Tercero: pruebe a fondo TLS mutuo antes de la puesta en marcha. El modo de fallo más común en los despliegues de RadSec son los errores de validación de certificados: nombres comunes que no coinciden, certificados intermedios caducados o clientes que no confían en la CA que firmó el certificado del servidor. Utilice openssl s_client para probar los saludos TLS antes de transferir el tráfico de producción. Cuarto: no descuide la supervisión. RadSec añade una capa de conexión TCP que el RADIUS tradicional no tiene. Los fallos de conexión TCP, los tiempos de espera de saludo TLS y los errores de certificado se manifestarán como fallos de autenticación para sus usuarios. Asegúrese de que los registros de su servidor RADIUS y los registros de su proxy se envíen a su SIEM o plataforma de supervisión para que pueda distinguir un problema de conectividad de RadSec de un problema de política de autenticación. El error que veo con más frecuencia es que las organizaciones despliegan RadSec en el lado del servidor pero olvidan actualizar las reglas de su cortafuegos. El puerto TCP 2083 debe estar abierto entre cada cliente RADIUS y el servidor o proxy RADIUS. Si está acostumbrado a gestionar reglas UDP 1812, el puerto TCP 2083 puede pasarse por alto en el proceso de cambio del cortafuegos. --- [PREGUNTAS Y RESPUESTAS RÁPIDAS — aprox. 1 minuto] Permítame repasar algunas preguntas que escucho con regularidad. "¿Reemplaza RadSec a 802.1X?" No. RadSec protege la capa de transporte entre el punto de acceso y el servidor RADIUS. 802.1X es el marco de autenticación entre el dispositivo cliente y el punto de acceso. Operan en capas diferentes y son complementarios. "¿Está admitido RadSec en todos los proveedores de puntos de acceso?" No universalmente. Cisco, Aruba, Ruckus y Meraki tienen diferentes niveles de soporte para RadSec; verifique su versión específica de firmware. Allí donde no haya soporte nativo, un proxy RadSec es su solución. "¿Qué pasa con DTLS (RADIUS sobre DTLS)?" El RFC 7360 define RADIUS sobre DTLS, que utiliza UDP en lugar de TCP, conservando algunas de las características sin conexión del RADIUS tradicional al tiempo que añade cifrado. Está menos desplegado que RadSec sobre TLS, pero vale la pena evaluarlo si la latencia es una preocupación en entornos de alto rendimiento. "¿Cómo afecta esto al rendimiento de la itinerancia?" La conexión TCP de RadSec es persistente, lo que en realidad puede mejorar el rendimiento de la itinerancia en entornos federados al reducir la sobrecarga de configuración de la conexión para las solicitudes de autenticación posteriores. --- [RESUMEN Y PRÓXIMOS PASOS — aprox. 1 minuto] Para resumir: RadSec es la respuesta madura y basada en estándares a una brecha de seguridad real en el RADIUS tradicional. Si gestiona WiFi empresarial a gran escala (en múltiples ubicaciones, a través de internet o en entornos sujetos a PCI DSS o GDPR), la pregunta no es si debe desplegar RadSec, sino cuándo y cómo. Sus próximos pasos: audite su infraestructura RADIUS esta semana. Identifique sus flujos de tráfico de mayor riesgo. Consulte la documentación del proveedor de su servidor RADIUS y de sus puntos de acceso para verificar el soporte nativo de RadSec. Si utiliza FreeRADIUS, puede tener un despliegue de prueba de RadSec funcionando en un día. Si utiliza Microsoft NPS, comience a evaluar un proxy o una ruta de migración a un servidor compatible con RadSec. La plataforma de Purple está diseñada para integrarse con la infraestructura RADIUS empresarial, admitiendo flujos de autenticación seguros tanto para entornos WiFi corporativos como de invitados. Si desea comprender cómo encaja RadSec en su despliegue específico, el equipo de Purple puede guiarle en el proceso. Gracias por escuchar. Hasta la próxima. --- FIN DEL GUION

header_image.png

Resumen Ejecutivo

El RADIUS tradicional sobre UDP (puertos 1812/1813) no fue diseñado para el panorama de amenazas de la empresa moderna. Al depender únicamente de un secreto compartido y del hashing MD5, deja las credenciales de autenticación y los atributos de sesión vulnerables a la interceptación, especialmente cuando atraviesan redes públicas o grandes entornos distribuidos como cadenas de hostelería y retail. RadSec (RADIUS sobre TLS, RFC 6614) resuelve esta brecha de seguridad fundamental encapsulando el tráfico RADIUS dentro de un túnel TLS 1.3 basado en TCP sobre el puerto 2083.

Para los CTO y arquitectos de red, implementar RadSec ya no es solo una buena práctica: es un requisito crítico para proteger el WiFi corporativo , mantener el cumplimiento de PCI DSS 4.0 y participar en marcos modernos de roaming federado como OpenRoaming. Esta guía detalla la arquitectura, los patrones de implementación y los requisitos operativos para proteger su infraestructura de autenticación.

Análisis Técnico Profundo: RADIUS frente a RadSec

La Vulnerabilidad en el RADIUS Tradicional

En una implementación 802.1X estándar, el punto de acceso (autenticador) reenvía las credenciales del cliente al servidor RADIUS (servidor de autenticación). En el RADIUS tradicional, esta carga útil se envía sobre UDP. La única protección es una clave precompartida (PSK) utilizada para ofuscar la contraseña mediante MD5.

Esta arquitectura presenta tres riesgos críticos:

  1. Falta de Cifrado de Transporte: Los atributos de usuario, las direcciones MAC y los datos de sesión se transmiten en texto plano.
  2. Debilidad Criptográfica: MD5 es vulnerable a ataques de diccionario sin conexión si un atacante captura el tráfico.
  3. Sin Autenticación Mutua: El punto de acceso no puede verificar criptográficamente que está hablando con el servidor RADIUS legítimo, lo que permite ataques de servidores no autorizados.

La Arquitectura RadSec (RFC 6614)

RadSec aborda estas fallas cambiando la capa de transporte de UDP a TCP y envolviendo toda la carga útil en TLS.

architecture_overview.png

  • Transporte: El puerto TCP 2083 garantiza una entrega confiable y conexiones con estado, mejorando el rendimiento en entornos de alta latencia.
  • Cifrado: TLS 1.2 o 1.3 proporciona un cifrado sólido de extremo a extremo de todos los atributos de RADIUS.
  • Autenticación Mutua: Tanto el cliente RADIUS (o proxy) como el servidor deben presentar certificados X.509 válidos emitidos por una Autoridad de Certificación (CA) de confianza. El secreto compartido se conserva únicamente por compatibilidad con versiones anteriores; TLS proporciona la seguridad real.

Esta arquitectura es esencial para entornos distribuidos, como cadenas de Retail o establecimientos de Hospitality , donde los puntos de acceso envían las solicitudes de autenticación a través de la internet pública a un servidor RADIUS central o alojado en la nube.

Guía de Implementación

La implementación de RadSec suele seguir uno de dos patrones: Soporte Nativo o Basado en Proxy.

Patrón 1: RadSec Nativo

Si su infraestructura lo admite de forma nativa (por ejemplo, FreeRADIUS 3.0+, Cisco ISE, Aruba ClearPass), configure los certificados TLS directamente en el servidor RADIUS y en los puntos de acceso/controladores. Esto proporciona un cifrado real de extremo a extremo desde el extremo hasta el núcleo.

Patrón 2: El Proxy RadSec

Muchos servidores RADIUS heredados (en particular, Microsoft NPS) no admiten RadSec de forma nativa. En estos entornos, se implementa un proxy (como radsecproxy).

  1. Tramo Local: El AP envía RADIUS UDP estándar al proxy local.
  2. Tramo WAN: El proxy encapsula el tráfico en TLS y lo envía a través de TCP 2083 al servidor ascendente.

Este patrón le permite proteger el tráfico de área amplia sin reemplazar la infraestructura heredada.

deployment_checklist.png

Integración con Purple

Las plataformas de Guest WiFi y WiFi Analytics de Purple se integran perfectamente con la infraestructura RADIUS empresarial. Bajo la licencia Connect, Purple actúa como un proveedor de identidad gratuito para OpenRoaming, donde RadSec es un requisito obligatorio para proteger el tráfico de federación entre los establecimientos y el nodo central.

Buenas Prácticas

  1. Gestión del Ciclo de Vida de los Certificados: TLS mutuo depende de certificados válidos. Implemente la renovación automatizada (por ejemplo, a través de ACME) y una supervisión estricta. Un certificado caducado provocará una interrupción total de la autenticación.
  2. Configuración del Cortafuegos: Asegúrese de que el puerto TCP 2083 esté explícitamente permitido tanto de salida desde el establecimiento como de entrada al servidor RADIUS. No asuma que se aplicarán las reglas UDP 1812 existentes.
  3. Priorizar el Tráfico de Alto Riesgo: Comience la implementación en los enlaces que atraviesan la internet pública o WAN no confiables antes de pasar a las VLAN de gestión local.

Para obtener más información sobre cómo proteger el extremo, lea nuestra guía sobre Access Point Security: Your 2026 Enterprise Guide .

Resolución de Problemas y Mitigación de Riesgos

Cuando RadSec falla, rara vez se trata de un problema de autenticación; casi siempre es un problema de TLS o TCP.

  • Síntoma: Los puntos de acceso se muestran como desconectados del servidor RADIUS.
    • Verificación: Reglas de cortafuegos para TCP 2083. El RADIUS tradicional utiliza UDP; los equipos de red suelen olvidar abrir el puerto TCP.
  • Síntoma: Se establece la conexión TCP, pero la autenticación falla de inmediato.
    • Verificación: Validación de certificados. Verifique que el Nombre Común (CN) o el Nombre Alternativo del Sujeto (SAN) coincidan, que el certificado no haya caducado y que el cliente confíe en la CA emisora. Utilice openssl s_client -connect :2083 para depurar el saludo.

Asegúrese de que los fundamentos de su red sean sólidos. Revise nuestros consejos en Protect Your Network with Strong DNS and Security .

ROI y Business Impact

Implementing RadSec is a risk mitigation investment. The ROI is measured in the avoidance of data breaches, compliance fines (PCI DSS, GDPR), and reputational damage. Furthermore, it enables participation in modern roaming federations like OpenRoaming, which can significantly enhance the guest experience in Healthcare and Transport environments.

Listen to the Briefing

For a deeper dive into the operational realities of deploying RadSec, listen to our 10-minute technical briefing:

For specific configuration steps on client devices, refer to How to Set Up Enterprise WiFi on iOS and macOS with 802.1X or the Portuguese version Como Configurar WiFi Corporativo em iOS e macOS com 802.1X .

Definiciones clave

RadSec

Una extensión del protocolo RADIUS que encapsula el tráfico RADIUS dentro de un túnel TLS a través del puerto TCP 2083.

Se utiliza para proteger el tráfico de autenticación cuando atraviesa redes no confiables, evitando la interceptación de credenciales.

Mutual TLS (mTLS)

Un proceso de seguridad en el que tanto el cliente como el servidor presentan certificados X.509 para verificar la identidad del otro antes de establecer una conexión cifrada.

El mecanismo de autenticación principal de RadSec, que sustituye la dependencia de secretos compartidos estáticos.

802.1X

El estándar IEEE para el control de acceso a la red basado en puertos, utilizado para autenticar dispositivos que intentan conectarse a una LAN o WLAN.

El marco que se apoya en RADIUS (y, por extensión, en RadSec) para validar las credenciales de usuario contra un directorio.

radsecproxy

Un demonio de código abierto que actúa como proxy, convirtiendo el tráfico UDP RADIUS estándar en RadSec (TLS sobre TCP) y viceversa.

Se despliega cuando los puntos de acceso o los servidores RADIUS heredados como Microsoft NPS carecen de soporte nativo para RadSec.

OpenRoaming

Un estándar de federación desarrollado por la Wi-Fi Alliance que permite a los usuarios conectarse de forma fluida y segura a las redes WiFi participantes a nivel mundial.

OpenRoaming exige el uso de RadSec para proteger el tráfico de autenticación entre los establecimientos y los proveedores de identidad.

Shared Secret

Una cadena de texto estática utilizada en el RADIUS tradicional para ofuscar contraseñas y verificar el origen de las solicitudes.

Aunque técnicamente sigue presente en las configuraciones de RadSec para mantener la compatibilidad con versiones anteriores, queda reemplazado por el cifrado TLS.

FreeRADIUS

Un servidor RADIUS de código abierto ampliamente desplegado que proporciona soporte nativo para RadSec.

Se utiliza a menudo en entornos empresariales y federaciones de itinerancia debido a su flexibilidad y capacidades nativas de TLS.

PKI (Public Key Infrastructure)

El marco de funciones, políticas y software necesarios para crear, gestionar, distribuir y revocar certificados digitales.

Un requisito previo para desplegar RadSec, ya que se deben emitir y gestionar certificados para todos los clientes y servidores RADIUS.

Ejemplos prácticos

Un grupo hotelero de 200 propiedades utiliza Microsoft NPS de forma centralizada para la autenticación del personal. Los puntos de acceso de cada hotel envían actualmente solicitudes RADIUS a través de la internet pública mediante UDP 1812. El CTO exige el cifrado de todo el tráfico de autenticación, pero sustituir NPS no es una opción para este año.

Desplegar un proxy RadSec (por ejemplo, radsecproxy) en cada hotel y un proxy correspondiente en el centro de datos central frente a los servidores NPS. Los AP locales envían UDP RADIUS al proxy local. El proxy local establece un túnel TLS mutuo sobre TCP 2083 a través de internet hacia el proxy central. El proxy central finaliza el túnel TLS y reenvía el tráfico UDP RADIUS estándar al servidor NPS.

Comentario del examinador: Este enfoque logra el objetivo principal de seguridad (cifrar los datos de autenticación a través de la WAN no confiable) sin requerir una sustitución costosa e disruptiva de la infraestructura principal de Microsoft NPS. Introduce una sobrecarga de gestión de certificados para los proxies, la cual debe automatizarse.

Una gran universidad está desplegando OpenRoaming en todo su campus para permitir un acceso fluido a los académicos visitantes. Utilizan FreeRADIUS 3.0.

Habilitar RadSec nativo dentro de FreeRADIUS. Generar certificados X.509 de una CA de confianza para la federación OpenRoaming. Configurar el cortafuegos del campus para permitir el tráfico TCP 2083 entrante y saliente hacia los nodos de la federación. Configurar los controladores de LAN inalámbrica para utilizar RadSec en todas las solicitudes de autenticación destinadas a la federación.

Comentario del examinador: Dado que FreeRADIUS admite RadSec de forma nativa, no se requiere ningún proxy. Esta es la arquitectura más limpia. La dependencia crítica aquí es garantizar que los certificados se alineen con los requisitos específicos de PKI de la federación OpenRoaming.

Preguntas de práctica

Q1. Su equipo ha desplegado RadSec nativo entre los puntos de acceso de sus sucursales remotas y su servidor FreeRADIUS central. Los AP pueden hacer ping al servidor, pero las solicitudes de autenticación se agotan por completo y ningún tráfico llega a los registros de RADIUS.

Sugerencia: RadSec utiliza un protocolo de transporte y un puerto diferentes a los del RADIUS tradicional.

Ver respuesta modelo

Es probable que el cortafuegos esté bloqueando el puerto TCP 2083. Los equipos de red acostumbrados al RADIUS tradicional a menudo solo permiten los puertos UDP 1812/1813. Debe permitir explícitamente el puerto TCP 2083 de salida desde la sucursal y de entrada al servidor RADIUS.

Q2. Está auditando la arquitectura WiFi de un cliente de comercio minorista. Utilizan Microsoft NPS de forma centralizada. Los AP de sus tiendas envían solicitudes de autenticación a través de internet mediante una VPN IPsec. ¿Es necesario RadSec en este caso?

Sugerencia: Considere las capas de cifrado que ya están implementadas.

Ver respuesta modelo

Aunque RadSec es una buena práctica, la VPN IPsec ya proporciona cifrado en la capa de transporte para el tráfico UDP RADIUS a través de la internet no confiable. Desplegar RadSec aquí proporcionaría defensa en profundidad, pero es menos urgente que si el tráfico atravesara internet de forma nativa.

Q3. Una semana después de un despliegue exitoso del proxy RadSec, toda la autenticación WiFi en la empresa falla simultáneamente a las 09:00 AM de un lunes. El equipo de red confirma que las reglas del cortafuegos no han cambiado.

Sugerencia: ¿Cuál es el mecanismo de autenticación principal para el propio túnel TLS?

Ver respuesta modelo

Es probable que los certificados X.509 utilizados para la autenticación TLS mutua hayan caducado. Cuando los certificados caducan, el saludo TLS falla, la conexión TCP se cae y el tráfico RADIUS no puede fluir. Implemente la supervisión y rotación automatizada de certificados para evitar esto.

Continúe leyendo esta serie

Cómo configurar SCEP para el registro automatizado de certificados WiFi corporativos

Esta guía explica cómo configurar SCEP (Simple Certificate Enrollment Protocol) para el registro automatizado de certificados WiFi corporativos, abarcando toda la arquitectura desde PKI y NDES hasta el despliegue de perfiles MDM y la validación RADIUS. Está dirigida a directores de TI, arquitectos de red y CTO de hoteles, cadenas de retail, estadios, centros de conferencias y organizaciones del sector público que necesitan ir más allá de las claves precompartidas e implementar una autenticación 802.1X EAP-TLS escalable y basada en la identidad. La plataforma de superposición en la nube de Purple, que es independiente del hardware, se integra directamente con esta arquitectura, proporcionando la capa de WiFi para invitados y BYOD que coexiste junto a la red de personal autenticada por certificado.

Leer la guía →

La guía empresarial de SCEP: Despliegue de Simple Certificate Enrollment Protocol para la seguridad automatizada de WiFi en campus

Esta guía de referencia técnica proporciona un diseño arquitectónico definitivo y una estrategia de implementación paso a paso para el despliegue de certificados WiFi empresariales mediante SCEP. Cubre las diferencias críticas entre SCEP y PKCS, la secuencia exacta de despliegue requerida para el éxito y estrategias reales de mitigación de riesgos para líderes de TI.

Leer la guía →

Cómo implementar SCEP para el registro automatizado de certificados WiFi

Esta guía explica cómo implementar SCEP (Simple Certificate Enrollment Protocol) para el registro automatizado de certificados WiFi en entornos empresariales. Cubre el diseño arquitectónico completo, desde el diseño de PKI y la integración con MDM hasta la secuencia de despliegue obligatoria de tres pasos, y muestra a los responsables de TI y arquitectos de red cómo eliminar las credenciales compartidas, automatizar la gestión del ciclo de vida de los certificados y cumplir con los requisitos de PCI DSS y GDPR a escala.

Leer la guía →