Saltar al contenido principal
Español

RadSec: Cómo RADIUS sobre TLS mejora la seguridad de la autenticación WiFi

Esta referencia técnica autorizada explica cómo RadSec (RFC 6614) protege la autenticación WiFi empresarial al envolver el tráfico RADIUS tradicional en un cifrado TLS. Diseñado para responsables de TI y arquitectos de red, cubre la arquitectura, las estrategias de despliegue y los pasos prácticos para mitigar los riesgos del tráfico UDP RADIUS no cifrado en redes corporativas y de invitados.

📖 4 min de lectura📝 871 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
RadSec: Cómo RADIUS sobre TLS mejora la seguridad de la autenticación WiFi Un informe de inteligencia de Purple Enterprise WiFi Duración aproximada: 10 minutos --- [INTRODUCCIÓN Y CONTEXTO — aprox. 1 minuto] Bienvenido a la serie de inteligencia de Purple Enterprise WiFi. Soy su anfitrión, y hoy abordamos un tema que se sitúa justo en la intersección de la seguridad de red y el riesgo operativo: RadSec (definido formalmente en el RFC 6614) y por qué debería estar en su hoja de ruta de infraestructura si aún no lo está. Si es un responsable de TI, arquitecto de red o CTO responsable de la red WiFi empresarial en un grupo hotelero, un sector minorista, un estadio o un campus del sector público, este informe es para usted. Vamos a cubrir qué es realmente RadSec, por qué el protocolo RADIUS tradicional le deja expuesto, cómo desplegar RadSec en un entorno real y los errores comunes que atrapan a los equipos. Nada de teoría por amor al arte: solo la información que necesita para tomar una decisión este trimestre. Comencemos. --- [ANÁLISIS TÉCNICO DETALLADO — aprox. 5 minutos] Empecemos con el problema. RADIUS (Remote Authentication Dial-In User Service) ha sido la columna vertebral de la autenticación WiFi empresarial desde la década de 1990. Cuando un usuario o dispositivo se conecta a su WiFi corporativa o de invitados, el punto de acceso actúa como un cliente RADIUS, reenviando las solicitudes de autenticación a un servidor RADIUS, que valida las credenciales contra su directorio (Active Directory, LDAP o un proveedor de identidad en la nube) y concede o deniega el acceso. Este es el modelo de autenticación 802.1X que sustenta las redes WPA2-Enterprise y WPA3-Enterprise. El problema es que el RADIUS tradicional se diseñó para una época diferente. Funciona sobre UDP (User Datagram Protocol) en los puertos 1812 y 1813. UDP no tiene conexión, lo que significa que no hay saludo, ni estado de sesión y, lo que es más crítico, no hay cifrado nativo. La única protección entre su punto de acceso y su servidor RADIUS es un secreto compartido (esencialmente una contraseña) que se utiliza para ofuscar la contraseña del usuario en tránsito mediante el hash MD5. MD5, como la mayoría de ustedes sabrá, está criptográficamente roto. Lleva roto años. ¿Qué significa esto en la práctica? Significa que en cualquier segmento de red donde un atacante pueda interceptar el tráfico RADIUS (lo que incluye conmutadores comprometidos, dispositivos no autorizados en su VLAN de gestión o cualquier punto entre un punto de acceso remoto y un servidor RADIUS alojado en la nube), potencialmente pueden capturar los intercambios de autenticación, intentar ataques de diccionario sin conexión contra el secreto compartido y, en algunas configuraciones, exponer por completo las credenciales de los usuarios. Para un grupo hotelero que ofrece WiFi para invitados en 200 propiedades, o una cadena de tiendas con puntos de acceso en cada establecimiento que se conectan a un servidor RADIUS central a través de la internet pública, este no es un riesgo teórico. Es una superficie de ataque activa. Esto es exactamente lo que resuelve RadSec. RadSec (definido en el RFC 6614 y actualizado por el RFC 7360) envuelve el tráfico RADIUS dentro de un túnel TLS. En lugar de UDP, utiliza TCP en el puerto 2083. En lugar de un secreto compartido y MD5, utiliza autenticación TLS mutua con certificados X.509. Tanto el cliente RADIUS como el servidor RADIUS presentan certificados, verifican la identidad del otro y establecen una sesión cifrada antes de que se intercambie cualquier dato de autenticación. TLS 1.3 es la versión recomendada actualmente, lo que proporciona secreto perfecto hacia adelante y elimina una serie de vulnerabilidades de cifrado heredadas. El efecto práctico es significativo. Los datos de credenciales, los atributos de usuario y los tokens de sesión se cifran de extremo a extremo entre el punto de acceso (o un proxy RadSec) y el servidor RADIUS. Un atacante que intercepte el tráfico en el cable solo verá registros TLS cifrados. El secreto compartido sigue presente por compatibilidad con versiones anteriores, pero ya no realiza ningún trabajo de seguridad significativo: TLS se encarga de la carga. Hay otra dimensión aquí que es cada vez más relevante: la itinerancia. La federación Eduroam, utilizada por universidades e instituciones de investigación en Europa y más allá, lleva años utilizando RadSec como parte de su infraestructura de itinerancia interinstitucional. Más recientemente, el estándar OpenRoaming de la Wi-Fi Alliance (que permite una itinerancia WiFi fluida en los establecimientos participantes) exige RadSec para todo el tráfico de la federación. Si está desplegando una infraestructura compatible con OpenRoaming, RadSec no es opcional; es un requisito previo. Purple admite OpenRoaming bajo su licencia Connect, actuando como proveedor de identidad dentro de la federación, y RadSec es fundamental para el funcionamiento de ese tejido de itinerancia segura. Desde el punto de vista del cumplimiento, RadSec es cada vez más relevante para PCI DSS 4.0, que endurece los requisitos en torno a la protección de los datos de autenticación en tránsito. Si su infraestructura WiFi toca entornos de tarjetas de pago (y en el comercio minorista y la hostelería, con frecuencia lo hace), la brecha de cifrado en el RADIUS tradicional es un hallazgo que tarde o temprano aparecerá en una auditoría. El GDPR exige de manera similar medidas técnicas adecuadas para proteger los datos personales; las credenciales de usuario y los metadatos de sesión que fluyen sin cifrar por su red son difíciles de defender en una auditoría de protección de datos. Hablemos ahora de arquitectura. Existen dos patrones de despliegue principales para RadSec. El primero es el soporte nativo de RadSec en su servidor RADIUS y puntos de acceso. FreeRADIUS 3.0 y versiones superiores admiten RadSec de forma nativa. Microsoft NPS no admite RadSec de forma nativa en sus versiones actuales, lo que representa una limitación importante para las organizaciones que ejecutan una infraestructura centrada en Windows. Cisco ISE admite RadSec. Aruba ClearPass admite RadSec. Si tanto su servidor RADIUS como el proveedor de sus puntos de acceso admiten RadSec de forma nativa, este es el camino más limpio: configure certificados TLS en ambos extremos, abra el puerto TCP 2083 en su cortafuegos y cifrará el tráfico RADIUS de extremo a extremo. El segundo patrón es un proxy RadSec. Este es el despliegue más común en la práctica, especialmente para organizaciones con infraestructura RADIUS heredada o entornos de múltiples proveedores. Un proxy RadSec (radsecproxy es la implementación de código abierto más desplegada) se sitúa entre sus puntos de acceso y su servidor RADIUS. Los puntos de acceso envían RADIUS estándar sobre UDP al proxy en la red local. El proxy finaliza esa conexión, vuelve a encapsular el tráfico RADIUS dentro de un túnel TLS y lo reenvía al servidor RADIUS ascendente a través de TCP 2083. Este enfoque le permite añadir RadSec a una infraestructura existente sin reemplazar su servidor RADIUS, y es especialmente útil cuando su servidor RADIUS está alojado en la nube o se accede a él a través de la internet pública. La gestión de certificados es la complejidad operativa que debe planificar. Necesitará una PKI (infraestructura de clave pública) para emitir y gestionar los certificados X.509 utilizados para la autenticación TLS mutua. Eso significa una autoridad de certificación, la emisión de certificados para cada cliente y servidor RADIUS, y un proceso para la rotación de certificados antes de su vencimiento. Los certificados que caduquen sin que nadie se dé cuenta interrumpirán la autenticación de todos los usuarios de su red simultáneamente, y ese es un escenario que querrá evitar. Automatice la renovación de certificados utilizando ACME o la API de su CA, y configure alertas de supervisión con suficiente antelación a las fechas de vencimiento. --- [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — aprox. 2 minutos] Permítame darle algunas recomendaciones prácticas. Primero: realice una auditoría antes de desplegar. Identifique cada cliente RADIUS (puntos de acceso, concentradores VPN, conmutadores que realizan 802.1X) y cada servidor RADIUS en su entorno. Entienda cuáles admiten RadSec de forma nativa y cuáles necesitarán un proxy. Esta auditoría suele revelar dispositivos heredados que no admiten TLS en absoluto, y estos deben incluirse en su hoja de ruta de sustitución. Segundo: comience con el tráfico de mayor riesgo. Si tiene tráfico RADIUS que atraviesa la internet pública (sitios remotos, RADIUS alojado en la nube, grupos hoteleros con múltiples propiedades), esa es su primera prioridad. El tráfico RADIUS local en una VLAN de gestión bien segmentada presenta un riesgo menor, pero aun así debería estar en la hoja de ruta. Tercero: pruebe a fondo TLS mutuo antes de la puesta en marcha. El modo de fallo más común en los despliegues de RadSec son los errores de validación de certificados: nombres comunes que no coinciden, certificados intermedios caducados o clientes que no confían en la CA que firmó el certificado del servidor. Utilice openssl s_client para probar los saludos TLS antes de transferir el tráfico de producción. Cuarto: no descuide la supervisión. RadSec añade una capa de conexión TCP que el RADIUS tradicional no tiene. Los fallos de conexión TCP, los tiempos de espera de saludo TLS y los errores de certificado se manifestarán como fallos de autenticación para sus usuarios. Asegúrese de que los registros de su servidor RADIUS y los registros de su proxy se envíen a su SIEM o plataforma de supervisión para que pueda distinguir un problema de conectividad de RadSec de un problema de política de autenticación. El error que veo con más frecuencia es que las organizaciones despliegan RadSec en el lado del servidor pero olvidan actualizar las reglas de su cortafuegos. El puerto TCP 2083 debe estar abierto entre cada cliente RADIUS y el servidor o proxy RADIUS. Si está acostumbrado a gestionar reglas UDP 1812, el puerto TCP 2083 puede pasarse por alto en el proceso de cambio del cortafuegos. --- [PREGUNTAS Y RESPUESTAS RÁPIDAS — aprox. 1 minuto] Permítame repasar algunas preguntas que escucho con regularidad. "¿Reemplaza RadSec a 802.1X?" No. RadSec protege la capa de transporte entre el punto de acceso y el servidor RADIUS. 802.1X es el marco de autenticación entre el dispositivo cliente y el punto de acceso. Operan en capas diferentes y son complementarios. "¿Está admitido RadSec en todos los proveedores de puntos de acceso?" No universalmente. Cisco, Aruba, Ruckus y Meraki tienen diferentes niveles de soporte para RadSec; verifique su versión específica de firmware. Allí donde no haya soporte nativo, un proxy RadSec es su solución. "¿Qué pasa con DTLS (RADIUS sobre DTLS)?" El RFC 7360 define RADIUS sobre DTLS, que utiliza UDP en lugar de TCP, conservando algunas de las características sin conexión del RADIUS tradicional al tiempo que añade cifrado. Está menos desplegado que RadSec sobre TLS, pero vale la pena evaluarlo si la latencia es una preocupación en entornos de alto rendimiento. "¿Cómo afecta esto al rendimiento de la itinerancia?" La conexión TCP de RadSec es persistente, lo que en realidad puede mejorar el rendimiento de la itinerancia en entornos federados al reducir la sobrecarga de configuración de la conexión para las solicitudes de autenticación posteriores. --- [RESUMEN Y PRÓXIMOS PASOS — aprox. 1 minuto] Para resumir: RadSec es la respuesta madura y basada en estándares a una brecha de seguridad real en el RADIUS tradicional. Si gestiona WiFi empresarial a gran escala (en múltiples ubicaciones, a través de internet o en entornos sujetos a PCI DSS o GDPR), la pregunta no es si debe desplegar RadSec, sino cuándo y cómo. Sus próximos pasos: audite su infraestructura RADIUS esta semana. Identifique sus flujos de tráfico de mayor riesgo. Consulte la documentación del proveedor de su servidor RADIUS y de sus puntos de acceso para verificar el soporte nativo de RadSec. Si utiliza FreeRADIUS, puede tener un despliegue de prueba de RadSec funcionando en un día. Si utiliza Microsoft NPS, comience a evaluar un proxy o una ruta de migración a un servidor compatible con RadSec. La plataforma de Purple está diseñada para integrarse con la infraestructura RADIUS empresarial, admitiendo flujos de autenticación seguros tanto para entornos WiFi corporativos como de invitados. Si desea comprender cómo encaja RadSec en su despliegue específico, el equipo de Purple puede guiarle en el proceso. Gracias por escuchar. Hasta la próxima. --- FIN DEL GUION

header_image.png

Executive Summary

Traditional RADIUS over UDP (ports 1812/1813) was not designed for the modern enterprise threat landscape. Relying solely on a shared secret and MD5 hashing, it leaves authentication credentials and session attributes vulnerable to interception, particularly when traversing public networks or large distributed estates like hospitality and retail chains. RadSec (RADIUS over TLS, RFC 6614) solves this fundamental security gap by encapsulating RADIUS traffic within a TCP-based TLS 1.3 tunnel over port 2083.

For CTOs and network architects, deploying RadSec is no longer just a best practice—it is a critical requirement for protecting corporate wifi , maintaining PCI DSS 4.0 compliance, and participating in modern federated roaming frameworks like OpenRoaming. This guide details the architecture, implementation patterns, and operational requirements for securing your authentication infrastructure.

Technical Deep-Dive: RADIUS vs. RadSec

The Vulnerability in Traditional RADIUS

In a standard 802.1X deployment, the access point (authenticator) forwards client credentials to the RADIUS server (authentication server). In traditional RADIUS, this payload is sent over UDP. The only protection is a pre-shared key (PSK) used to obfuscate the password via MD5.

This architecture presents three critical risks:

  1. Lack of Transport Encryption: User attributes, MAC addresses, and session data are transmitted in cleartext.
  2. Cryptographic Weakness: MD5 is vulnerable to offline dictionary attacks if an attacker captures the traffic.
  3. No Mutual Authentication: The access point cannot cryptographically verify it is talking to the legitimate RADIUS server, enabling rogue server attacks.

The RadSec Architecture (RFC 6614)

RadSec addresses these flaws by shifting the transport layer from UDP to TCP and wrapping the entire payload in TLS.

architecture_overview.png

  • Transport: TCP Port 2083 ensures reliable delivery and stateful connections, improving performance in high-latency environments.
  • Encryption: TLS 1.2 or 1.3 provides robust, end-to-end encryption of all RADIUS attributes.
  • Mutual Authentication: Both the RADIUS client (or proxy) and the server must present valid X.509 certificates issued by a trusted Certificate Authority (CA). The shared secret is retained only for backwards compatibility; TLS provides the actual security. This architecture is essential for distributed environments, such as Retail chains or Hospitality venues, where access points backhaul authentication requests over the public internet to a central or cloud-hosted RADIUS server.

Implementation Guide

Deploying RadSec typically follows one of two patterns: Native Support or Proxy-based.

Pattern 1: Native RadSec

If your infrastructure supports it natively (e.g., FreeRADIUS 3.0+, Cisco ISE, Aruba ClearPass), you configure TLS certificates directly on the RADIUS server and the access points/controllers. This provides true end-to-end encryption from the edge to the core.

Pattern 2: The RadSec Proxy

Many legacy RADIUS servers (notably Microsoft NPS) do not natively support RadSec. In these environments, a proxy (such as radsecproxy) is deployed.

  1. Local Leg: The AP sends standard UDP RADIUS to the local proxy.
  2. WAN Leg: The proxy encapsulates the traffic in TLS and sends it over TCP 2083 to the upstream server.

This pattern allows you to secure wide-area traffic without replacing legacy infrastructure.

deployment_checklist.png

Integration with Purple

Purple's Guest WiFi and WiFi Analytics platforms integrate seamlessly with enterprise RADIUS infrastructure. Under the Connect licence, Purple acts as a free identity provider for OpenRoaming, where RadSec is a mandatory requirement for securing federation traffic between venues and the central hub.

Best Practices

  1. Certificate Lifecycle Management: Mutual TLS relies on valid certificates. Implement automated renewal (e.g., via ACME) and strict monitoring. An expired certificate will cause a total authentication outage.
  2. Firewall Configuration: Ensure TCP port 2083 is explicitly allowed both outbound from the venue and inbound to the RADIUS server. Do not assume existing UDP 1812 rules will apply.
  3. Prioritise High-Risk Traffic: Begin deployment on links that traverse the public internet or untrusted WANs before moving to local management VLANs.

For more on securing the edge, read our guide on Access Point Security: Your 2026 Enterprise Guide .

Troubleshooting & Risk Mitigation

When RadSec fails, it is rarely an authentication issue; it is almost always a TLS or TCP issue.

  • Symptom: Access points show as disconnected from the RADIUS server.
    • Check: Firewall rules for TCP 2083. Traditional RADIUS uses UDP; network teams frequently forget to open the TCP port.
  • Symptom: TCP connection establishes, but authentication fails immediately.
    • Check: Certificate validation. Verify that the Common Name (CN) or Subject Alternative Name (SAN) matches, the certificate has not expired, and the client trusts the signing CA. Use openssl s_client -connect :2083 to debug the handshake.

Ensure your network fundamentals are solid. Review our advice on Protect Your Network with Strong DNS and Security .

ROI & Business Impact

Implementing RadSec is a risk mitigation investment. The ROI is measured in the avoidance of data breaches, compliance fines (PCI DSS, GDPR), and reputational damage. Furthermore, it enables participation in modern roaming federations like OpenRoaming, which can significantly enhance the guest experience in Healthcare and Transport environments.

Listen to the Briefing

For a deeper dive into the operational realities of deploying RadSec, listen to our 10-minute technical briefing:

For specific configuration steps on client devices, refer to How to Set Up Enterprise WiFi on iOS and macOS with 802.1X or the Portuguese version Como Configurar WiFi Corporativo em iOS e macOS com 802.1X .

Definiciones clave

RadSec

Una extensión del protocolo RADIUS que encapsula el tráfico RADIUS dentro de un túnel TLS a través del puerto TCP 2083.

Se utiliza para proteger el tráfico de autenticación cuando atraviesa redes no confiables, evitando la interceptación de credenciales.

Mutual TLS (mTLS)

Un proceso de seguridad en el que tanto el cliente como el servidor presentan certificados X.509 para verificar la identidad del otro antes de establecer una conexión cifrada.

El mecanismo de autenticación principal de RadSec, que sustituye la dependencia de secretos compartidos estáticos.

802.1X

El estándar IEEE para el control de acceso a la red basado en puertos, utilizado para autenticar dispositivos que intentan conectarse a una LAN o WLAN.

El marco que se apoya en RADIUS (y, por extensión, en RadSec) para validar las credenciales de usuario contra un directorio.

radsecproxy

Un demonio de código abierto que actúa como proxy, convirtiendo el tráfico UDP RADIUS estándar en RadSec (TLS sobre TCP) y viceversa.

Se despliega cuando los puntos de acceso o los servidores RADIUS heredados como Microsoft NPS carecen de soporte nativo para RadSec.

OpenRoaming

Un estándar de federación desarrollado por la Wi-Fi Alliance que permite a los usuarios conectarse de forma fluida y segura a las redes WiFi participantes a nivel mundial.

OpenRoaming exige el uso de RadSec para proteger el tráfico de autenticación entre los establecimientos y los proveedores de identidad.

Shared Secret

Una cadena de texto estática utilizada en el RADIUS tradicional para ofuscar contraseñas y verificar el origen de las solicitudes.

Aunque técnicamente sigue presente en las configuraciones de RadSec para mantener la compatibilidad con versiones anteriores, queda reemplazado por el cifrado TLS.

FreeRADIUS

Un servidor RADIUS de código abierto ampliamente desplegado que proporciona soporte nativo para RadSec.

Se utiliza a menudo en entornos empresariales y federaciones de itinerancia debido a su flexibilidad y capacidades nativas de TLS.

PKI (Public Key Infrastructure)

El marco de funciones, políticas y software necesarios para crear, gestionar, distribuir y revocar certificados digitales.

Un requisito previo para desplegar RadSec, ya que se deben emitir y gestionar certificados para todos los clientes y servidores RADIUS.

Ejemplos prácticos

Un grupo hotelero de 200 propiedades utiliza Microsoft NPS de forma centralizada para la autenticación del personal. Los puntos de acceso de cada hotel envían actualmente solicitudes RADIUS a través de la internet pública mediante UDP 1812. El CTO exige el cifrado de todo el tráfico de autenticación, pero sustituir NPS no es una opción para este año.

Desplegar un proxy RadSec (por ejemplo, radsecproxy) en cada hotel y un proxy correspondiente en el centro de datos central frente a los servidores NPS. Los AP locales envían UDP RADIUS al proxy local. El proxy local establece un túnel TLS mutuo sobre TCP 2083 a través de internet hacia el proxy central. El proxy central finaliza el túnel TLS y reenvía el tráfico UDP RADIUS estándar al servidor NPS.

Comentario del examinador: Este enfoque logra el objetivo principal de seguridad (cifrar los datos de autenticación a través de la WAN no confiable) sin requerir una sustitución costosa e disruptiva de la infraestructura principal de Microsoft NPS. Introduce una sobrecarga de gestión de certificados para los proxies, la cual debe automatizarse.

Una gran universidad está desplegando OpenRoaming en todo su campus para permitir un acceso fluido a los académicos visitantes. Utilizan FreeRADIUS 3.0.

Habilitar RadSec nativo dentro de FreeRADIUS. Generar certificados X.509 de una CA de confianza para la federación OpenRoaming. Configurar el cortafuegos del campus para permitir el tráfico TCP 2083 entrante y saliente hacia los nodos de la federación. Configurar los controladores de LAN inalámbrica para utilizar RadSec en todas las solicitudes de autenticación destinadas a la federación.

Comentario del examinador: Dado que FreeRADIUS admite RadSec de forma nativa, no se requiere ningún proxy. Esta es la arquitectura más limpia. La dependencia crítica aquí es garantizar que los certificados se alineen con los requisitos específicos de PKI de la federación OpenRoaming.

Preguntas de práctica

Q1. Su equipo ha desplegado RadSec nativo entre los puntos de acceso de sus sucursales remotas y su servidor FreeRADIUS central. Los AP pueden hacer ping al servidor, pero las solicitudes de autenticación se agotan por completo y ningún tráfico llega a los registros de RADIUS.

Sugerencia: RadSec utiliza un protocolo de transporte y un puerto diferentes a los del RADIUS tradicional.

Ver respuesta modelo

Es probable que el cortafuegos esté bloqueando el puerto TCP 2083. Los equipos de red acostumbrados al RADIUS tradicional a menudo solo permiten los puertos UDP 1812/1813. Debe permitir explícitamente el puerto TCP 2083 de salida desde la sucursal y de entrada al servidor RADIUS.

Q2. Está auditando la arquitectura WiFi de un cliente de comercio minorista. Utilizan Microsoft NPS de forma centralizada. Los AP de sus tiendas envían solicitudes de autenticación a través de internet mediante una VPN IPsec. ¿Es necesario RadSec en este caso?

Sugerencia: Considere las capas de cifrado que ya están implementadas.

Ver respuesta modelo

Aunque RadSec es una buena práctica, la VPN IPsec ya proporciona cifrado en la capa de transporte para el tráfico UDP RADIUS a través de la internet no confiable. Desplegar RadSec aquí proporcionaría defensa en profundidad, pero es menos urgente que si el tráfico atravesara internet de forma nativa.

Q3. Una semana después de un despliegue exitoso del proxy RadSec, toda la autenticación WiFi en la empresa falla simultáneamente a las 09:00 AM de un lunes. El equipo de red confirma que las reglas del cortafuegos no han cambiado.

Sugerencia: ¿Cuál es el mecanismo de autenticación principal para el propio túnel TLS?

Ver respuesta modelo

Es probable que los certificados X.509 utilizados para la autenticación TLS mutua hayan caducado. Cuando los certificados caducan, el saludo TLS falla, la conexión TCP se cae y el tráfico RADIUS no puede fluir. Implemente la supervisión y rotación automatizada de certificados para evitar esto.

Continúe leyendo esta serie

Cómo segregar de forma segura las redes WiFi de empleados y de invitados

Esta guía técnica autorizada proporciona a los responsables de TI estrategias prácticas para segregar de forma segura las redes WiFi de empleados, invitados e IoT utilizando VLANs y 802.1X. Detalla cómo proteger la infraestructura empresarial, mantener el cumplimiento de PCI-DSS y aprovechar los Captive Portals para capturar datos de origen.

Leer la guía →

La mejor filtración DNS: una guía completa para empresas

Esta guía de referencia técnica explica cómo la filtración DNS empresarial protege las redes públicas al bloquear dominios maliciosos en la capa de resolución - antes de que se establezca una conexión. Proporciona a los directores de TI, arquitectos de redes y equipos de operaciones de las instalaciones la arquitectura de despliegue, la configuración del firewall y el contexto de cumplimiento normativo que necesitan para proteger el WiFi de invitados en entornos de hostelería, comercio minorista y sector público. Purple Shield bloquea el malware, las botnets y el contenido inapropiado a nivel de DNS en más de 80.000 instalaciones activas.

Leer la guía →

Comprensión de Cisco SUDI: Identidad con Anclaje por Hardware en el Control de Acceso Seguro a la Red

Esta guía explica cómo Cisco SUDI proporciona una identidad con anclaje por hardware y criptográficamente segura para la infraestructura de red empresarial. Aprenda a sustituir las direcciones MAC suplantables por certificados 802.1AR inmutables para proteger el control de acceso a la red de su recinto.

Leer la guía →