Despliegue WPA2-Enterprise o WPA3-Enterprise con 802.1X en sus puntos de acceso existentes. Cada usuario se autentica contra su proveedor de identidad, cada dispositivo obtiene una clave de sesión única y el acceso puede revocarse por dispositivo con un solo clic. Purple opera la infraestructura de RADIUS y certificados como un servicio en la nube; usted conserva el hardware que ya posee.
El estándar WPA tiene dos modos. WPA-Personal (WPA2-PSK, WPA3-SAE) utiliza una única contraseña compartida por todos los que se unen al SSID. Suficiente para un hogar. WPA-Enterprise autentica a cada usuario o dispositivo individualmente mediante 802.1X contra un servidor RADIUS. Necesario para cualquier establecimiento que se preocupe por la revocación, la auditoría o el cumplimiento normativo.
| WPA-Personal (PSK / SAE) | WPA-Enterprise (802.1X) | |
|---|---|---|
| Credencial | Contraseña compartida | Certificado por usuario, contraseña o iPSK |
| Infraestructura | Solo los puntos de acceso | APs + servidor RADIUS (o RADIUS-as-a-Service) |
| Revocación | Rotar la contraseña de toda la red | Deshabilitar a un usuario en el IdP |
| Pista de auditoría | Ninguna: todos los dispositivos parecen idénticos | Registros de sesión por usuario |
| Adecuado para | Hogares, establecimientos pequeños de confianza única | Oficinas, hoteles, campus, estadios, cualquier sector regulado |
WPA3 no es solo un WPA2 más grande. Hay cuatro cambios importantes para los despliegues empresariales.
Los clientes deben verificar el certificado del servidor RADIUS antes de enviar las credenciales. Esto cierra el ataque de 'gemelo malvado' (evil-twin) que afectaba a los despliegues de WPA2-Enterprise mal configurados.
Las tramas de desautenticación y desasociación están firmadas criptográficamente, por lo que los atacantes ya no pueden desconectar a los clientes de la red con tramas falsificadas.
Modo opcional de alta seguridad para gobierno, defensa e infraestructuras críticas. Criptografía Suite B en todo momento: intercambio de claves, cifrado y MAC.
WPA3-Enterprise puede ejecutarse en modo de transición en el mismo SSID que WPA2, por lo que no es necesario un cambio radical. Los clientes más nuevos negocian WPA3; los más antiguos recurren a WPA2-Enterprise.
Tres actores, un saludo (handshake). La secuencia es la misma tanto si se utiliza EAP-TLS, PEAP o EAP-TTLS.
Access-Accept con la VLAN y la política; el AP abre el puerto controlado al segmento correcto.Purple opera el RADIUS y (opcionalmente) la autoridad de certificación como servicios en la nube. Usted conserva sus puntos de acceso existentes.
WPA-Enterprise es el modo de seguridad IEEE 802.11 diseñado para organizaciones. En lugar de una única contraseña compartida (WPA-Personal), cada usuario o dispositivo se autentica individualmente contra un servidor RADIUS mediante 802.1X, normalmente con un certificado (EAP-TLS) o un nombre de usuario y contraseña (PEAP). Cada sesión obtiene una clave de cifrado única y el acceso puede revocarse por dispositivo sin interrumpir el resto de la red.
WPA3-Enterprise soluciona debilidades conocidas de WPA2-Enterprise. Los cambios más importantes: la validación del certificado del servidor ahora es obligatoria (cierra el vector de ataque de 'gemelo malvado' que afectaba a WPA2), las tramas de gestión están protegidas y el modo opcional Suite B de 192 bits ofrece criptografía de grado de defensa. WPA3-Enterprise es compatible con versiones anteriores de WPA2-Enterprise en un modo de transición, por lo que puede actualizarse gradualmente.
Intervienen tres partes. El suplicante (dispositivo cliente) solicita unirse. El autenticador (punto de acceso) mantiene al cliente en un estado de cuarentena y reenvía sus mensajes EAP a un servidor de autenticación (RADIUS). El servidor RADIUS valida la credencial (certificado, contraseña o token) e indica al punto de acceso que admita o rechace la conexión. Cada sesión exitosa obtiene una clave de cifrado única derivada de la autenticación, por lo que un dispositivo comprometido no puede descifrar a otro.
EAP-TLS utiliza un saludo (handshake) TLS con autenticación mutua de certificados. El cliente demuestra su identidad con un certificado de dispositivo, el servidor demuestra su identidad con un certificado de servidor y la clave de sesión se negocia dentro del túnel cifrado. No hay ninguna contraseña que pescar (phishing) o robar; habría que extraer la clave privada del propio dispositivo. Para flotas gestionadas con un MDM, EAP-TLS es la opción predeterminada adecuada.
La mayoría de los puntos de acceso de grado empresarial lanzados a partir de 2020 admiten WPA3-Enterprise en el firmware. Normalmente, se habilita WPA3-Enterprise en el SSID y se mantiene WPA2 como alternativa durante la transición. Es posible que los AP más antiguos solo admitan WPA2-Enterprise; estos siguen siendo seguros cuando se combinan con RADIUS en la nube y EAP-TLS, por lo que rara vez es necesaria una actualización completa del hardware.
Sí, WPA-Enterprise se define en torno a un servidor de autenticación externo, lo que en la práctica significa RADIUS. Puede ejecutarlo de forma local (FreeRADIUS, Microsoft NPS, Cisco ISE) o consumirlo como un servicio. Purple RADIUS-as-a-Service es la opción alojada en la nube que la mayoría de los clientes eligen cuando no quieren operar servidores.
Sí, cuando se despliega correctamente. Los ataques conocidos a WPA2-Enterprise requieren un cliente mal configurado (sin validación del certificado del servidor, que es lo que WPA3 hace obligatorio) o acceso físico a un dispositivo. Aplicar la validación del certificado del servidor a través de MDM y usar EAP-TLS cierra los riesgos prácticos. Se sigue prefiriendo WPA3-Enterprise de cara al futuro, pero no hay razón para migrar con pánico un despliegue de WPA2-Enterprise que funcione.
Dos buenas opciones. Primero, iPSK (Identity PSK) otorga a cada dispositivo una clave precompartida única en un solo SSID: la experiencia de usuario de WPA-Personal con la revocación por dispositivo de WPA-Enterprise. Segundo, el bypass de autenticación MAC (MAB) admite direcciones MAC conocidas en una VLAN restringida. Purple admite ambos junto con WPA2/3-Enterprise en la misma red.
See how wpa-enterprise works in venues like yours, and how Purple compares to alternatives.
Purple añade capas de WPA2/3-Enterprise, RADIUS en la nube y certificados gestionados sobre Cisco, Aruba, Ruckus, Juniper Mist, Meraki o Ubiquiti. En funcionamiento en cuestión de días.