Saltar al contenido principal
Español (México)

Cómo configurar WPA2-Enterprise en plataformas de puntos de acceso comunes (Cisco, Aruba, Ubiquiti)

Esta guía de referencia técnica proporciona a los profesionales de TI sénior y arquitectos de red un recorrido definitivo y específico de cada proveedor para implementar WPA2-Enterprise en plataformas Cisco, Aruba y Ubiquiti. Detalla la arquitectura, la integración de RADIUS, los requisitos de cumplimiento y los escenarios de implementación del mundo real en entornos corporativos y recintos.

📖 6 min de lectura📝 1,309 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
Cómo configurar WPA2-Enterprise en plataformas de puntos de acceso comunes — Cisco, Aruba y Ubiquiti Una sesión informativa de Purple WiFi Intelligence [INTRO — aproximadamente 1 minuto] Bienvenido a la serie Purple WiFi Intelligence. Soy su anfitrión, y hoy iremos directo al grano en uno de los temas más solicitados por nuestros clientes corporativos: cómo configurar WPA2-Enterprise en las tres plataformas de puntos de acceso más implementadas: Cisco, Aruba y Ubiquiti. Ya sea que sea el director de TI de un grupo hotelero de 500 habitaciones, el arquitecto de red de una cadena minorista nacional o el CTO de un operador de centros de convenciones, esta sesión informativa es para usted. No vamos a cubrir teoría por el simple hecho de hacerlo. Vamos a repasar lo que necesita saber para tomar una decisión de implementación, ejecutarla correctamente y evitar los errores que hacen tropezar incluso a los equipos experimentados. Comencemos. [TECHNICAL DEEP-DIVE — aproximadamente 5 minutos] Primero, definamos rápidamente qué es realmente WPA2-Enterprise, porque todavía hay una sorprendente confusión en el mercado entre WPA2-Personal y WPA2-Enterprise, y la distinción es enormemente importante para el cumplimiento y la postura de riesgo. WPA2-Personal, la versión con la que la mayoría de la gente está familiarizada, utiliza una única clave precompartida. Todos en la red usan la misma contraseña. Eso está bien para una red doméstica. Pero categóricamente no es aceptable para un entorno empresarial donde se necesita autenticación por usuario, registros de auditoría y la capacidad de revocar el acceso de forma instantánea. WPA2-Enterprise, definido bajo IEEE 802.1X, reemplaza esa clave compartida con un intercambio de autenticación individual. Cada usuario o dispositivo presenta sus propias credenciales, ya sea un nombre de usuario y contraseña, un certificado digital o un token, y esas credenciales son validadas por un servidor RADIUS antes de que se conceda el acceso a la red. El punto de acceso en sí nunca ve las credenciales. Actúa puramente como un autenticador, pasando el intercambio EAP (Protocolo de Autenticación Extensible) entre el cliente y el servidor RADIUS. Esta es una arquitectura fundamentalmente más segura y es el requisito básico para el cumplimiento de PCI DSS en cualquier entorno que maneje datos de tarjetas de pago, además de ser muy recomendable bajo el GDPR para las organizaciones que procesan datos personales a través de redes inalámbricas. Ahora, hablemos de las tres plataformas. Comenzando con Cisco. El portafolio de WiFi empresarial de Cisco, principalmente las líneas Catalyst y Meraki, es la opción preferida para implementaciones a gran escala. Cisco DNA Center proporciona una gestión de políticas centralizada, y el panel de Meraki ofrece la simplicidad de la gestión en la nube para propiedades distribuidas. Para configurar WPA2-Enterprise en un punto de acceso Cisco Catalyst, trabajará a través del WLC (Wireless LAN Controller) o DNA Center. Los pasos clave son: definir su servidor RADIUS en Security, luego AAA, luego RADIUS Authentication Servers; crear un nuevo perfil de WLAN; establecer la política de seguridad en WPA2 con 802.1X como método de gestión de claves; y vincular el servidor RADIUS a esa WLAN. Un punto crítico en Cisco: asegúrese de configurar la contabilidad de RADIUS además de la autenticación. La contabilidad le brinda el registro de auditoría por sesión que requieren los marcos de cumplimiento. En Meraki, el proceso es aún más sencillo: navegue a Wireless, luego SSIDs, seleccione su SSID de destino, establezca la seguridad en WPA2-Enterprise con mi servidor RADIUS e ingrese la IP de su servidor RADIUS, el puerto (normalmente 1812 para autenticación y 1813 para contabilidad) y el secreto compartido. Meraki también admite pruebas de RADIUS directamente desde el panel, lo cual es invaluable durante la puesta en marcha. Pasemos a Aruba. Aruba Networks, ahora parte de HPE, es la opción dominante en hotelería y educación superior. Aruba Central proporciona gestión en la nube y ArubaOS es la plataforma subyacente. En Aruba, la configuración de WPA2-Enterprise reside dentro del perfil de SSID. Definirá un perfil AAA que haga referencia a su servidor RADIUS y luego adjuntará ese perfil AAA a su perfil de punto de acceso virtual. Vale la pena mencionar específicamente ClearPass Policy Manager de Aruba: es el motor de políticas y RADIUS propio de Aruba, y agrega una capacidad significativa en torno al perfilado de dispositivos, el control de acceso basado en roles y la incorporación de invitados. Si tiene un entorno mixto con personal, contratistas e invitados conectándose a la misma infraestructura, ClearPass le brinda la granularidad de políticas para segmentarlos adecuadamente. Para un hotel que implementa WPA2-Enterprise en las redes del personal y de administración interna mientras ejecuta una solución de WiFi para invitados separada a través de una plataforma como Purple, la segmentación de SSID de Aruba combinada con ClearPass para la autenticación del personal es una arquitectura muy limpia. Ahora Ubiquiti. La plataforma UniFi de Ubiquiti ha ganado una tracción significativa en el espacio de las PyMEs y el mercado medio, y cada vez más en la hotelería boutique y el comercio minorista, debido a su precio competitivo y su interfaz de gestión realmente capaz. UniFi Network Controller es donde realizará el trabajo pesado. Para configurar WPA2-Enterprise en UniFi, navegue a Settings, luego WiFi, cree o edite su SSID, establezca la seguridad en WPA2 Enterprise y configure su perfil RADIUS; nuevamente, dirección IP, puerto de autenticación 1812, puerto de contabilidad 1813 y secreto compartido. Una consideración importante con Ubiquiti: no incluye un servidor RADIUS integrado de la misma manera que algunas plataformas empresariales. Necesitará un servidor RADIUS externo, ya sea Windows Server NPS, FreeRADIUS o un servicio RADIUS en la nube. Esto no es una limitación en sí, pero es una dependencia que debe planificarse. Para implementaciones más pequeñas, la aplicación de red UniFi incluye un servidor RADIUS básico, pero para entornos de producción siempre recomendaría una instancia de RADIUS dedicada. En las tres plataformas, la selección del método EAP merece atención. PEAP con MSCHAPv2 es el método más implementado porque funciona con credenciales de Active Directory sin requerir certificados del lado del cliente. EAP-TLS es más seguro (utiliza autenticación mutua de certificados), pero requiere una infraestructura de PKI y la implementación de certificados en cada dispositivo cliente, lo que agrega sobrecarga operativa. Para la mayoría de las implementaciones empresariales, PEAP-MSCHAPv2 con un servidor RADIUS configurado correctamente y validación de certificados en el lado del cliente es el equilibrio adecuado entre seguridad y manejabilidad operativa. [IMPLEMENTATION RECOMMENDATIONS AND PITFALLS — aproximadamente 2 minutos] Ahora permítame presentarle los tres modos de falla más comunes que veo en las implementaciones de WPA2-Enterprise y cómo evitarlos. Número uno: disponibilidad del servidor RADIUS. Su servidor RADIUS ahora está en la ruta crítica para cada autenticación inalámbrica. Si se cae, nadie puede conectarse. Esto significa que necesita redundancia de RADIUS; como mínimo, un servidor RADIUS primario y secundario configurado en cada punto de acceso. La mayoría de las plataformas admiten esto de forma nativa. En Cisco, puede configurar grupos de servidores RADIUS con conmutación por error. En Aruba, el perfil AAA admite múltiples servidores RADIUS con valores configurables de reintento y tiempo de espera. En Ubiquiti, puede especificar un servidor RADIUS secundario en el perfil RADIUS. No omita este paso. Número dos: validación de certificados. Una proporción sorprendentemente alta de las implementaciones que reviso tienen dispositivos cliente configurados para aceptar cualquier certificado de servidor RADIUS. Esto socava por completo el modelo de seguridad: lo expone a ataques de Evil Twin donde un punto de acceso no autorizado se hace pasar por su red y recopila credenciales. Configure el certificado de su servidor RADIUS desde una CA de confianza y configure sus suplicantes de cliente para validar ese certificado. En Windows, esto se hace a través de la directiva de grupo. En iOS y Android, se gestiona a través de perfiles MDM. Esto no es negociable para cualquier entorno que maneje datos sensibles. Número tres: asignación de VLAN. WPA2-Enterprise permite la asignación dinámica de VLAN: el servidor RADIUS puede devolver un atributo de VLAN en el mensaje Access-Accept, colocando a cada usuario autenticado en el segmento de red adecuado según su identidad o rol. Esta es una de las características más potentes de la arquitectura 802.1X y, con frecuencia, se deja sin configurar. Si gestiona un recinto con personal, administración y dispositivos IoT en la misma infraestructura física, la asignación dinámica de VLAN es la forma de aplicar la segmentación de red sin gestionar múltiples SSIDs. Por el lado de la integración con Purple: si está implementando WPA2-Enterprise para su personal y redes operativas, y ejecutando la plataforma de WiFi para invitados de Purple para la conectividad de los visitantes, estos dos sistemas coexisten limpiamente. Purple gestiona la autenticación de invitados, la captura de datos y la capa de análisis, incluidos los análisis de WiFi y la inteligencia de afluencia que los operadores de recintos utilizan para decisiones operativas, mientras que su infraestructura WPA2-Enterprise protege la red corporativa. La clave es una separación limpia de SSID y VLAN a nivel de punto de acceso, algo que las tres plataformas admiten. [RAPID-FIRE Q&A — aproximadamente 1 minuto] Repasemos algunas preguntas que surgen con regularidad. ¿Puedo ejecutar WPA2-Enterprise y una red de invitados en los mismos puntos de acceso? Sí, absolutamente. Las tres plataformas admiten múltiples SSIDs por radio, cada uno con políticas de seguridad independientes. Su SSID corporativo ejecuta WPA2-Enterprise; su SSID de invitados puede ejecutarse a través del Captive Portal de Purple con el aislamiento adecuado. ¿Necesito reemplazar mis puntos de acceso existentes para implementar WPA2-Enterprise? Casi seguro que no. WPA2-Enterprise ha sido compatible con puntos de acceso de nivel empresarial durante más de una década. Si su hardware tiene menos de ocho años y ejecuta un firmware actual, será compatible con 802.1X. ¿Cuál es la diferencia entre WPA2-Enterprise y WPA3-Enterprise? WPA3-Enterprise agrega un modo de seguridad de 192 bits utilizando criptografía Suite B, que es relevante para entornos gubernamentales y de defensa. Para la mayoría de las implementaciones comerciales, WPA2-Enterprise con métodos EAP sólidos sigue siendo el estándar. Vale la pena planificar la transición a WPA3 para nuevas implementaciones, pero no es una migración urgente para la mayoría de las organizaciones. ¿Es RADIUS en la nube una opción viable? Sí, y cada vez más. Servicios como Cisco ISE en la nube, Aruba ClearPass como servicio u opciones de terceros como JumpCloud y Foxpass proporcionan RADIUS como un servicio gestionado, lo que elimina la sobrecarga de infraestructura. Para propiedades distribuidas, piense en una cadena minorista con 200 ubicaciones, RADIUS en la nube puede reducir significativamente la complejidad operativa. [SUMMARY AND NEXT STEPS — aproximadamente 1 minuto] Para resumir: WPA2-Enterprise es la línea base no negociable para cualquier implementación inalámbrica empresarial. El proceso de configuración en Cisco, Aruba y Ubiquiti sigue el mismo patrón fundamental: definir su servidor RADIUS, crear su SSID con gestión de claves 802.1X, seleccionar su método EAP y realizar pruebas antes de entrar en producción. Las diferencias radican en las interfaces de gestión y las herramientas del ecosistema que rodean a cada plataforma. Las tres cosas que debe hacer bien: redundancia de RADIUS, validación de certificados en los clientes y asignación dinámica de VLAN. Asegure esos tres puntos y tendrá una postura de seguridad inalámbrica sólida, conforme y auditable. Para sus próximos pasos: si está evaluando plataformas, utilice el marco de comparación de proveedores en la guía adjunta. Si está listo para realizar la implementación, los recorridos de configuración paso a paso para cada plataforma se encuentran en la sección de implementación. Y si está pensando en cómo encaja el WiFi para invitados junto con su red empresarial, la documentación de la plataforma Purple cubre la arquitectura de integración en detalle. Gracias por escuchar. Nos vemos en la próxima sesión informativa.

Resumen Ejecutivo

Implementar WPA2-Enterprise ya no es una actualización de seguridad opcional; es la línea base fundamental para cualquier red inalámbrica empresarial. Para los gerentes de TI y arquitectos de red que operan en entornos de hospitalidad, retail y sector público, la transición de claves precompartidas a la autenticación 802.1X está impulsada por estrictos mandatos de cumplimiento, incluidos PCI DSS y GDPR. Esta guía de referencia técnica proporciona pasos de configuración prácticos y específicos de la plataforma para los tres proveedores dominantes de puntos de acceso: Cisco, Aruba y Ubiquiti.

Al realizar la transición a WPA2-Enterprise, las organizaciones eliminan los riesgos asociados con las credenciales compartidas, obtienen registros de auditoría detallados por sesión y permiten la segmentación dinámica de la red. Cuando se implementa correctamente, esta arquitectura no solo protege el perímetro corporativo, sino que también se integra a la perfección con las redes de visitantes administradas por una plataforma integral de Guest WiFi . Las siguientes secciones detallan la arquitectura técnica, los pasos de implementación y las estrategias de mitigación de riesgos necesarias para un despliegue exitoso.

header_image.png

Análisis Técnico Profundo

WPA2-Enterprise se basa en el estándar IEEE 802.1X para ofrecer control de acceso a la red basado en puertos. A diferencia de WPA2-Personal, que utiliza una Clave Precompartida (PSK) estática, WPA2-Enterprise requiere que cada suplicante (dispositivo cliente) se autentique individualmente contra un Servidor de Autenticación externo (normalmente un servidor RADIUS) antes de que se conceda el acceso a la red.

La arquitectura consta de tres componentes principales:

  1. El Suplicante: El dispositivo cliente que intenta conectarse a la red.
  2. El Autenticador: El punto de acceso empresarial o controlador de LAN inalámbrica (por ejemplo, Cisco WLC, Aruba Mobility Controller) que facilita el proceso de autenticación.
  3. El Servidor de Autenticación: El servidor RADIUS backend (por ejemplo, Cisco ISE, Aruba ClearPass, Windows NPS) que valida las credenciales contra un servicio de directorio como Active Directory o LDAP.

El Proceso de Intercambio EAP

El proceso de autenticación utiliza el Protocolo de Autenticación Extensible (EAP) encapsulado sobre LAN (EAPOL). El autenticador actúa puramente como un proxy de paso durante la fase inicial. Una vez que el servidor RADIUS valida las credenciales, devuelve un mensaje Access-Accept al autenticador, el cual luego deriva las claves de cifrado necesarias para asegurar la sesión inalámbrica.

La elección del método EAP es crítica. PEAP-MSCHAPv2 es el método más implementado, ya que admite la autenticación de contraseña heredada de Active Directory mientras asegura el intercambio dentro de un túnel TLS establecido por el certificado del servidor. Sin embargo, para una seguridad máxima, se recomienda EAP-TLS. EAP-TLS requiere autenticación mutua por certificados (tanto el servidor como el cliente deben presentar certificados válidos), lo que mitiga el robo de credenciales pero requiere una infraestructura de clave pública (PKI) robusta o una solución de gestión de dispositivos móviles (MDM) para la distribución de certificados.

architecture_overview.png

Guía de Implementación

Los principios fundamentales para configurar WPA2-Enterprise son consistentes entre los distintos proveedores, pero la ejecución varía según la interfaz de gestión y el ecosistema.

vendor_comparison_chart.png

Cisco (Catalyst y Meraki)

Los entornos Cisco suelen escalar desde implementaciones de campus hasta redes empresariales distribuidas.

Cisco Catalyst (WLC/DNA Center):

  1. Definir Servidores RADIUS: Vaya a la pestaña Security, seleccione AAA y configure los servidores RADIUS de Autenticación y Contabilidad primarios y secundarios. Asegúrese de que el secreto compartido coincida con la configuración del servidor RADIUS.
  2. Crear Perfil de WLAN: En la pestaña WLANs, cree un nuevo perfil.
  3. Configurar Políticas de Seguridad: Establezca Layer 2 Security en WPA+WPA2 y habilite 802.1X como el método de Administración de Claves de Autenticación (AKM).
  4. Vincular Servidores AAA: Asocie los servidores RADIUS previamente definidos al perfil de WLAN. Habilite 'AAA Override' si se requiere la asignación dinámica de VLAN.

Cisco Meraki:

  1. Configuración de SSID: En el Dashboard de Meraki, vaya a Wireless > SSIDs y seleccione la red de destino.
  2. Control de Acceso: Establezca el requisito de asociación en 'WPA2-Enterprise con mi servidor RADIUS'.
  3. Configuración de RADIUS: Ingrese las direcciones IP, el puerto de autenticación (normalmente 1812), el puerto de contabilidad (1813) y los secretos compartidos para su infraestructura RADIUS. El dashboard de Meraki incluye una herramienta de prueba integrada para verificar la conectividad RADIUS antes de la implementación.

Aruba Networks

Aruba es la plataforma dominante en Hospitality y educación superior, aprovechando fuertemente su ClearPass Policy Manager para un control de acceso avanzado.

  1. Definir Perfil AAA: En Aruba Central o en la interfaz de usuario del Mobility Controller, cree un nuevo perfil AAA. Este perfil dicta cómo se maneja la autenticación.
  2. Configurar Grupo de Servidores RADIUS: Agregue sus servidores RADIUS a un grupo de servidores, especificando las reglas de failover y los valores de tiempo de espera. Adjunte este grupo al perfil AAA.
  3. Configuración de AP Virtual: Cree o modifique un perfil de AP Virtual (SSID). Establezca el tipo de seguridad en WPA2-Enterprise.
  4. Adjuntar Perfiles: Vincule el perfil AAA al perfil de AP Virtual. Si utiliza ClearPass, asegúrese de que el puerto RADIUS CoA (Cambio de Autorización) (3799) esté permitido a través de cualquier firewall intermedio para permitir la aplicación dinámica de políticas.

Ubiquiti (UniFi)

Ubiquiti proporciona una solución rentable para entornos de Retail y PyMEs a través del UniFi Network Controller.

  1. Perfil RADIUS Creación: Vaya a Settings > Profiles > RADIUS. Cree un nuevo perfil con la dirección IP, los puertos (1812/1813) y el secreto compartido de su servidor RADIUS externo.
  2. Configuración de SSID: Vaya a Settings > WiFi y cree una nueva red inalámbrica.
  3. Configuración de Seguridad: Seleccione 'WPA2 Enterprise' como protocolo de seguridad y asocie el perfil RADIUS recién creado.
  4. Nota sobre la Infraestructura RADIUS: A diferencia de los controladores empresariales que pueden ofrecer RADIUS local con capacidad de supervivencia, UniFi depende en gran medida de servidores externos (por ejemplo, FreeRADIUS, Windows NPS). Asegure una conectividad confiable entre los AP de UniFi y el backend de RADIUS.

Mejores Prácticas

Para garantizar un despliegue resiliente y seguro, los arquitectos de red deben adherirse a varias mejores prácticas críticas:

  1. Exigir la Validación de Certificados: Los dispositivos cliente deben estar configurados explícitamente para validar el certificado del servidor RADIUS contra una Autoridad de Certificación (CA) de confianza. No hacerlo expone a la red a ataques de tipo 'Evil Twin', donde puntos de acceso no autorizados recopilan credenciales de usuario.
  2. Implementar Redundancia RADIUS: El servidor RADIUS se encuentra en la ruta crítica para el acceso a la red. Configure siempre servidores RADIUS primarios y secundarios. En entornos distribuidos, considere soluciones RADIUS alojadas en la nube para una alta disponibilidad.
  3. Aprovechar la Asignación Dinámica de VLAN: Utilice atributos RADIUS (por ejemplo, Tunnel-Pvt-Group-ID) para asignar dinámicamente a los usuarios a VLANs específicas según su pertenencia a grupos de Active Directory. Esto impone la segmentación de la red sin necesidad de transmitir múltiples SSIDs.
  4. Habilitar el Registro de RADIUS (Accounting): No configure únicamente la autenticación. El registro de RADIUS (Puerto 1813) es obligatorio para generar las pistas de auditoría requeridas por los marcos de cumplimiento normativo.
  5. Proteger el Límite de la Red: Lea más sobre cómo asegurar su infraestructura en nuestra guía sobre cómo Proteger su Red con DNS Sólido y Seguridad .

Resolución de Problemas y Mitigación de Riesgos

Incluso con una planificación cuidadosa, los despliegues pueden presentar problemas. Los modos de falla comunes incluyen:

  • Discrepancias en el Secreto Compartido: Un simple error de dedo en el secreto compartido de RADIUS provocará fallas de autenticación silenciosas. Verifique los secretos tanto en el autenticador como en el servidor RADIUS.
  • Errores de Sincronización de Tiempo: La validación de certificados requiere un mantenimiento preciso de la hora. Asegúrese de que todos los AP, controladores y servidores RADIUS estén sincronizados a través de una fuente NTP confiable.
  • Bloqueo de Tráfico RADIUS por Firewall: Asegúrese de que los puertos UDP 1812 (Autenticación) y 1813 (Registro/Accounting) estén abiertos entre los AP/Controladores y el servidor RADIUS. Si utiliza CoA, asegúrese de que el puerto UDP 3799 esté abierto.
  • Mala Configuración del Suplicante del Cliente: El problema más común es que el dispositivo cliente no está configurado para confiar en la CA que emitió el certificado del servidor RADIUS. Utilice MDM o Directivas de Grupo para implementar los perfiles inalámbricos correctos en los dispositivos corporativos.

Para una comprensión más amplia de los protocolos de autenticación, revise Cómo Configurar la Autenticación WiFi 802.1X: Una Guía Paso a Paso .

ROI e Impacto en el Negocio

La transición a WPA2-Enterprise ofrece un valor comercial significativo más allá de las mejoras de seguridad puras.

  • Mitigación de Riesgos: Eliminar las contraseñas compartidas reduce drásticamente la superficie de ataque y el riesgo de una filtración de datos, lo que puede acarrear severas sanciones financieras y de reputación.
  • Eficiencia Operativa: Integrar la autenticación WiFi con los proveedores de identidad existentes (como Active Directory) automatiza la incorporación y desvinculación de empleados. Cuando un empleado se va, deshabilitar su cuenta de AD revoca instantáneamente su acceso a la WiFi.
  • Facilitación del Cumplimiento: Las pistas de auditoría detalladas y la autenticación por usuario son requisitos previos para el cumplimiento de PCI DSS e ISO 27001.
  • Infraestructura Unificada: Al utilizar la asignación dinámica de VLAN, los establecimientos pueden operar el tráfico corporativo, operativo (back-of-house) y de IoT de forma segura sobre el mismo hardware físico utilizado para el acceso de invitados. La red de invitados puede entonces monetizarse y analizarse utilizando una solución dedicada de WiFi Analytics , maximizando el retorno de la inversión en hardware. Asegúrese de contar con el ancho de banda necesario entendiendo ¿Qué es una Línea Arrendada? Internet Dedicado para Empresas .

Definiciones clave

WPA2-Enterprise

Un protocolo de seguridad para redes inalámbricas que utiliza IEEE 802.1X para proporcionar autenticación por usuario a través de un servidor externo, en lugar de una única contraseña compartida.

El estándar obligatorio para proteger redes WiFi corporativas y operativas en entornos empresariales.

802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos que proporciona un mecanismo de autenticación a los dispositivos que desean conectarse a una LAN o WLAN.

El marco subyacente que hace que WPA2-Enterprise funcione.

RADIUS

Remote Authentication Dial-In User Service; un protocolo de red que proporciona una gestión centralizada de Autenticación, Autorización y Contabilidad (AAA).

El componente del servidor que valida las credenciales de los usuarios frente a una base de datos como Active Directory.

Suplicante

El cliente de software en un dispositivo (computadora portátil, teléfono inteligente) que se comunica con el autenticador para solicitar acceso a la red.

El endpoint que debe configurarse con los ajustes de EAP correctos y la confianza del certificado.

Autenticador

El dispositivo de red (punto de acceso o switch) que facilita el proceso de autenticación al pasar mensajes entre el suplicante y el servidor de autenticación.

El hardware de Cisco, Aruba o Ubiquiti gestionado por el equipo de TI.

EAP (Protocolo de Autenticación Extensible)

Un marco de autenticación utilizado con frecuencia en redes inalámbricas y conexiones punto a punto, que admite múltiples métodos de autenticación.

El protocolo utilizado para encapsular el intercambio de credenciales.

PEAP-MSCHAPv2

Un método EAP que encapsula el intercambio de contraseñas MSCHAPv2 dentro de un túnel TLS seguro establecido por el certificado del servidor.

El método de implementación más común, ya que equilibra la seguridad con la comodidad de usar contraseñas estándar de AD.

Asignación dinámica de VLAN

El proceso mediante el cual un servidor RADIUS indica al punto de acceso que coloque a un usuario autenticado en una VLAN específica en función de su identidad o pertenencia a un grupo.

Crucial para la segmentación de la red, permitiendo que diferentes tipos de usuarios compartan los mismos puntos de acceso físicos de forma segura.

Ejemplos resueltos

Un hotel de 200 habitaciones necesita implementar WiFi seguro para su personal interno (limpieza, administración) utilizando los puntos de acceso Aruba existentes, manteniendo el tráfico del personal estrictamente separado de la red de invitados.

El equipo de TI configura un único SSID 'Hotel_Staff' usando WPA2-Enterprise. Integran Aruba ClearPass con el Active Directory del hotel. En ClearPass, configuran políticas de cumplimiento: si un usuario está en el grupo de AD 'Management', ClearPass devuelve un atributo RADIUS que lo asigna a la VLAN 10 (Red de Administración). Si el usuario está en el grupo 'Housekeeping', se le asigna a la VLAN 20 (Red de Operaciones). Los puntos de acceso están configurados para aplicar estas asignaciones dinámicas de VLAN.

Comentario del examinador: Este enfoque demuestra el poder de la asignación dinámica de VLAN. Evita la interferencia de RF y la sobrecarga de gestión de transmitir múltiples SSIDs ('Hotel_Management', 'Hotel_Housekeeping') al tiempo que garantiza una segmentación de red estricta y aprovecha las identidades de directorio existentes.

Una cadena minorista nacional con 50 ubicaciones utiliza Cisco Meraki. Necesitan proteger sus terminales de punto de venta (POS) a través de WiFi para cumplir con la norma PCI DSS, reemplazando su antigua configuración WPA2-Personal.

El arquitecto de red implementa un servicio RADIUS alojado en la nube para evitar el despliegue de servidores locales en cada tienda. En el panel de Meraki, configuran el SSID 'Retail_POS' para WPA2-Enterprise y lo apuntan a las direcciones IP de RADIUS en la nube. Generan certificados de cliente únicos para cada terminal POS a través de su plataforma MDM y configuran el servidor RADIUS para requerir EAP-TLS. Los puntos de acceso Meraki están configurados para enviar datos de autenticación y contabilidad (Accounting) de RADIUS al servicio en la nube.

Comentario del examinador: Este escenario destaca la transición a EAP-TLS para entornos de alta seguridad. Al usar certificados en lugar de contraseñas, las terminales POS se autentican de forma silenciosa y segura. La inclusión de la contabilidad de RADIUS garantiza que la cadena cumpla con los requisitos de PCI DSS para la auditoría de acceso.

Preguntas de práctica

Q1. Su organización está implementando WPA2-Enterprise utilizando puntos de acceso Ubiquiti UniFi. Durante las pruebas, los clientes pueden conectarse con éxito, pero el equipo de cumplimiento señala que no hay registros de la duración de las sesiones de los usuarios ni del uso de datos en el sistema de registro central. ¿Cuál es la omisión de configuración más probable?

Sugerencia: La autenticación otorga acceso, pero otro proceso rastrea el uso.

Ver respuesta modelo

El puerto de contabilidad de RADIUS (1813) no se ha configurado o está siendo bloqueado por un firewall. Mientras que la autenticación (puerto 1812) está funcionando, la contabilidad debe habilitarse explícitamente para generar registros de auditoría de sesión.

Q2. Un usuario informa que no puede conectarse a la red corporativa WPA2-Enterprise. Revisa los registros del WLC de Cisco y ve que el punto de acceso está pasando la solicitud EAP-Request, pero los registros del servidor RADIUS muestran un 'Access-Reject' debido a 'Unknown CA'. ¿Qué se debe solucionar?

Sugerencia: Piense en la relación de confianza establecida durante la configuración del túnel TLS.

Ver respuesta modelo

El suplicante del dispositivo cliente no está configurado para confiar en la Autoridad de Certificación (CA) que emitió el certificado del servidor RADIUS. El cliente está terminando la conexión para evitar un posible ataque de Evil Twin. El certificado de la CA debe enviarse al dispositivo cliente.

Q3. Está diseñando una red para un estadio. Debe dar soporte al personal corporativo, terminales de venta de boletos y WiFi para invitados. ¿Cómo debería diseñar la arquitectura de los SSIDs para minimizar la interferencia de RF manteniendo la seguridad?

Sugerencia: Evite transmitir un SSID para cada caso de uso individual.

Ver respuesta modelo

Implemente un máximo de dos SSIDs. Un SSID para invitados que utilice un Captive Portal (como Purple). Un segundo SSID para todas las operaciones corporativas utilizando WPA2-Enterprise. Utilice la asignación dinámica de VLAN a través del servidor RADIUS para segmentar al personal corporativo en una VLAN y a las terminales de venta de boletos en otra en función de sus credenciales de autenticación.

Continúe leyendo esta serie

Per-Device PSK por proveedor: comparación de iPSK, DPSK, MPSK y PPSK (y soporte de WPA3)

Una comparación exhaustiva de las implementaciones de per-device PSK en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet y Ubiquiti UniFi. Conozca cómo WPA3-SAE afecta las estrategias de claves por dispositivo y cuándo implementar modos de transición en lugar de migrar a 802.1X.

Leer la guía →

Captive Portal Authentication Methods Compared

Esta guía de referencia técnica autorizada evalúa las ventajas y desventajas arquitectónicas, operativas y de cumplimiento de cinco métodos principales de autenticación de Captive Portal. Proporciona a los arquitectos de red, directores de TI y gerentes de marketing los datos cuantitativos y los marcos de decisión necesarios para equilibrar la fricción del registro de invitados con los requisitos de recopilación de datos en los establecimientos empresariales.

Leer la guía →

¿Qué es la autenticación por dirección MAC? Cuándo usarla y cuándo evitarla

Esta guía de referencia técnica autorizada cubre la autenticación por dirección MAC en entornos de WiFi empresariales: cómo funciona la autenticación MAC basada en RADIUS en la Capa 2, sus vulnerabilidades de seguridad inherentes (incluyendo el spoofing de MAC y el impacto de la aleatorización de MAC a nivel de sistema operativo) y los contextos operativos precisos donde sigue siendo una herramienta válida para gestionar dispositivos IoT y headless. Proporciona orientación de implementación práctica para gerentes de TI y arquitectos de redes en sectores como hotelería, retail, salud y espacios públicos, con ejemplos prácticos del mundo real, marcos de decisión y contexto de integración para la plataforma de analítica y WiFi de invitados de Purple.

Leer la guía →