Saltar al contenido principal

Cómo configurar WPA2-Enterprise en plataformas comunes de puntos de acceso (Cisco, Aruba, Ubiquiti)

Esta guía de referencia técnica proporciona a los profesionales de TI sénior y a los arquitectos de red un recorrido definitivo y específico de cada proveedor para implementar WPA2-Enterprise en plataformas Cisco, Aruba y Ubiquiti. Detalla la arquitectura, la integración con RADIUS, los requisitos de cumplimiento y los escenarios de implementación reales en entornos empresariales y recintos.

📖 6 min de lectura📝 1,309 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
Cómo configurar WPA2-Enterprise en plataformas comunes de puntos de acceso: Cisco, Aruba y Ubiquiti Una sesión informativa de Purple WiFi Intelligence [INTRO — aproximadamente 1 minuto] Le damos la bienvenida a la serie Purple WiFi Intelligence. Soy su anfitrión y hoy iremos directo al grano en uno de los temas más solicitados por nuestros clientes empresariales: cómo configurar WPA2-Enterprise en las tres plataformas de puntos de acceso más utilizadas: Cisco, Aruba y Ubiquiti. Ya sea que usted sea el director de TI de un grupo hotelero de 500 habitaciones, el arquitecto de redes de una cadena de retail nacional o el CTO de un operador de centros de convenciones, esta sesión informativa es para usted. No vamos a cubrir teoría solo por cubrirla. Vamos a guiarle a través de lo que necesita saber para tomar una decisión de implementación, ejecutarla correctamente y evitar los errores comunes que complican incluso a los equipos con más experiencia. Comencemos. [INMERSIÓN TÉCNICA PROFUNDA — aproximadamente 5 minutos] Primero, establezcamos una base rápida sobre qué es realmente WPA2-Enterprise, porque todavía existe una cantidad sorprendente de confusión en el mercado entre WPA2-Personal y WPA2-Enterprise; y la distinción es enormemente importante para el cumplimiento normativo y la postura de riesgo. WPA2-Personal (la versión con la que la mayoría de la gente está familiarizada) utiliza una única clave precompartida. Todos en la red utilizan la misma contraseña. Eso está bien para una red doméstica. Pero categóricamente no es aceptable para un entorno empresarial donde se requiere autenticación por usuario, registros de auditoría y la capacidad de revocar el acceso al instante. WPA2-Enterprise, definido bajo la norma IEEE 802.1X, reemplaza esa clave compartida con un intercambio de autenticación individual. Cada usuario o dispositivo presenta sus propias credenciales (ya sea un nombre de usuario y contraseña, un certificado digital o un token) y esas credenciales son validadas por un servidor RADIUS antes de que se conceda el acceso a la red. El punto de acceso en sí nunca ve las credenciales. Actúa puramente como un autenticador, pasando el intercambio EAP (Extensible Authentication Protocol) entre el cliente y el servidor RADIUS. Esta es una arquitectura fundamentalmente más segura y es el requisito básico para el cumplimiento de PCI-DSS en cualquier entorno que maneje datos de tarjetas de pago, además de ser altamente recomendado bajo GDPR para organizaciones que procesan datos personales a través de redes inalámbricas. Ahora, hablemos de las tres plataformas. Comenzando con Cisco. El portafolio de WiFi empresarial de Cisco - principalmente las líneas Catalyst y Meraki - es la opción habitual para implementaciones a gran escala. Cisco DNA Center proporciona una gestión de políticas centralizada, y el panel de Meraki ofrece una simplicidad administrada desde la nube para propiedades distribuidas. Para configurar WPA2-Enterprise en un punto de acceso Cisco Catalyst, trabajará a través del WLC - Wireless LAN Controller - o de DNA Center. Los pasos clave son: definir su servidor RADIUS en Security, luego AAA, después RADIUS Authentication Servers; crear un nuevo perfil WLAN; establecer la política de seguridad en WPA2 con 802.1X como método de gestión de claves; y vincular el servidor RADIUS a esa WLAN. Un punto crítico en Cisco: asegúrese de configurar el registro de RADIUS (accounting) además de la autenticación. El registro le brinda el historial de auditoría por sesión que requieren los marcos de cumplimiento. En Meraki, el proceso es aún más sencillo: navegue a Wireless, luego a SSIDs, seleccione su SSID de destino, establezca la seguridad en WPA2-Enterprise con mi servidor RADIUS e ingrese la IP de su servidor RADIUS, el puerto - típicamente 1812 para autenticación y 1813 para registro - y el secreto compartido. Meraki también admite pruebas de RADIUS directamente desde el panel, lo cual es invaluable durante la puesta en marcha. Pasando a Aruba. Aruba Networks, ahora parte de HPE, es la opción dominante en hotelería y educación superior. Aruba Central proporciona gestión en la nube y ArubaOS es la plataforma subyacente. En Aruba, la configuración de WPA2-Enterprise reside dentro del perfil SSID. Definirá un perfil AAA que haga referencia a su servidor RADIUS, luego adjuntará ese perfil AAA a su perfil de AP virtual. Vale la pena mencionar específicamente ClearPass Policy Manager de Aruba: es el motor de políticas y RADIUS propio de Aruba, y agrega una capacidad significativa en torno al perfilado de dispositivos, el control de acceso basado en roles y el registro de invitados. Si opera un entorno mixto con personal, contratistas e invitados conectándose a la misma infraestructura, ClearPass le brinda la granularidad de políticas para segmentarlos adecuadamente. Para un hotel que implementa WPA2-Enterprise en las redes del personal y operativas mientras ejecuta una solución de WiFi para invitados independiente a través de una plataforma como Purple, la segmentación de SSID de Aruba combinada con ClearPass para la autenticación del personal es una arquitectura muy limpia. Ahora Ubiquiti. La plataforma UniFi de Ubiquiti ha ganado una tracción significativa en el mercado de las PYMES y el mercado medio - y cada vez más en la hotelería boutique y el comercio minorista - debido a su precio competitivo y a una interfaz de administración genuinamente capaz. UniFi Network Controller es el lugar donde hará el trabajo pesado. Para configurar WPA2-Enterprise en UniFi, navegue a Settings, luego a WiFi, cree o edite su SSID, configure la seguridad en WPA2 Enterprise y configure su perfil de RADIUS - de nuevo, dirección IP, puerto de autenticación 1812, puerto de contabilidad 1813 y el shared secret. Una consideración importante con Ubiquiti: no viene con un servidor RADIUS integrado de la misma manera que lo hacen algunas plataformas empresariales. Necesitará un servidor RADIUS externo - ya sea Windows Server NPS, FreeRADIUS o un servicio de RADIUS en la nube. Esto no es una limitación en sí, sino una dependencia que debe planificarse. Para implementaciones más pequeñas, la UniFi Network Application sí incluye un servidor RADIUS básico, pero para entornos de producción siempre recomendaría una instancia de RADIUS dedicada. En las tres plataformas, la selección del método EAP merece atención. PEAP con MSCHAPv2 es el método más implementado porque funciona con credenciales de Active Directory sin requerir certificados del lado del cliente. EAP-TLS es más seguro - utiliza autenticación de certificado mutuo - pero requiere una infraestructura PKI y el despliegue de certificados en cada dispositivo cliente, lo que añade sobrecarga operativa. Para la mayoría de las implementaciones empresariales, PEAP-MSCHAPv2 con un servidor RADIUS configurado correctamente y validación de certificados en el lado del cliente es el equilibrio adecuado entre seguridad y manejabilidad operativa. [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES - aproximadamente 2 minutos] Ahora permítame detallar los tres modos de falla más comunes que veo en las implementaciones de WPA2-Enterprise y cómo evitarlos. Número uno: disponibilidad del servidor RADIUS. Su servidor RADIUS ahora está en la ruta crítica para cada autenticación inalámbrica. Si se cae, nadie puede conectarse. Esto significa que necesita redundancia de RADIUS - como mínimo un servidor RADIUS primario y secundario configurado en cada punto de acceso. La mayoría de las plataformas admiten esto de forma nativa. En Cisco, puede configurar grupos de servidores RADIUS con failover. En Aruba, el perfil AAA admite múltiples servidores RADIUS con valores de reintento y tiempo de espera configurables. En Ubiquiti, puede especificar un servidor RADIUS secundario en el perfil de RADIUS. No se salte este paso. Número dos: validación de certificados. Una proporción sorprendentemente alta de las implementaciones que reviso tienen dispositivos cliente configurados para aceptar cualquier certificado de servidor RADIUS. Esto debilita por completo el modelo de seguridad; lo expone a ataques de gemelo malvado donde un punto de acceso no autorizado suplanta su red y recopila credenciales. Configure el certificado de su servidor RADIUS desde una CA de confianza y configure sus suplicantes de cliente para validar ese certificado. En Windows, esto se realiza a través de Group Policy. En iOS y Android, se gestiona a través de perfiles MDM. Esto no es negociable para cualquier entorno que maneje datos sensibles. Número tres: asignación de VLAN. WPA2-Enterprise permite la asignación dinámica de VLAN: el servidor RADIUS puede devolver un atributo VLAN en el mensaje Access-Accept, colocando a cada usuario autenticado en el segmento de red adecuado según su identidad o rol. Esta es una de las características más potentes de la arquitectura 802.1X, y con frecuencia se deja sin configurar. Si opera un establecimiento con personal, administración y dispositivos IoT en la misma infraestructura física, la asignación dinámica de VLAN es la forma en que aplica la segmentación de red sin gestionar múltiples SSIDs. En cuanto a la integración con Purple: si está implementando WPA2-Enterprise para su personal y redes operativas, y ejecutando la plataforma de WiFi para invitados de Purple para la conectividad de los visitantes, estos dos sistemas coexisten sin problemas. Purple gestiona la autenticación de invitados, la captura de datos y la capa de analíticas - incluyendo las analíticas de WiFi e inteligencia de afluencia que los operadores de establecimientos utilizan para decisiones operativas - mientras que su infraestructura WPA2-Enterprise protege la red corporativa. La clave es una separación clara de SSID y VLAN a nivel de punto de acceso, lo cual es compatible con las tres plataformas. [Preguntas y respuestas rápidas - aproximadamente 1 minuto] Permítame repasar rápidamente algunas preguntas que surgen con regularidad. ¿Puedo ejecutar WPA2-Enterprise y una red de invitados en los mismos puntos de acceso? Sí, absolutamente. Las tres plataformas admiten múltiples SSIDs por radio, cada uno con políticas de seguridad independientes. Su SSID corporativo ejecuta WPA2-Enterprise; su SSID de invitados puede ejecutarse a través del Captive Portal de Purple con el aislamiento adecuado. ¿Necesito reemplazar mis puntos de acceso existentes para implementar WPA2-Enterprise? Casi con seguridad que no. WPA2-Enterprise ha sido compatible con puntos de acceso de calidad empresarial durante más de una década. Si su hardware tiene menos de ocho años y ejecuta el firmware actual, admitirá 802.1X. ¿Cuál es la diferencia entre WPA2-Enterprise y WPA3-Enterprise? WPA3-Enterprise añade un modo de seguridad de 192 bits utilizando criptografía Suite B, que es relevante para entornos gubernamentales y de defensa. Para la mayoría de las implementaciones comerciales, WPA2-Enterprise con métodos EAP sólidos sigue siendo el estándar. Vale la pena planificar la transición a WPA3 para nuevas implementaciones, pero no es una migración urgente para la mayoría de las organizaciones. ¿Es el RADIUS en la nube una opción viable? Sí, y cada vez más. Los servicios como Cisco ISE en la nube, Aruba ClearPass como servicio, o las opciones de terceros como JumpCloud y Foxpass proporcionan RADIUS como servicio administrado, lo que elimina la sobrecarga de infraestructura. Para propiedades distribuidas - piense en una cadena de retail con 200 ubicaciones - el RADIUS en la nube puede reducir significativamente la complejidad operativa. [RESUMEN Y PRÓXIMOS PASOS - aproximadamente 1 minuto] Para concluir: WPA2-Enterprise es el estándar básico no negociable para cualquier implementación inalámbrica empresarial. El proceso de configuración en Cisco, Aruba y Ubiquiti sigue el mismo patrón fundamental - defina su servidor RADIUS, cree su SSID con gestión de claves 802.1X, seleccione su método EAP y realice pruebas antes de ponerlo en marcha. Las diferencias radican en las interfaces de administración y las herramientas del ecosistema alrededor de cada plataforma. Las tres cosas que debe hacer bien: redundancia RADIUS, validación de certificados en los clientes y asignación dinámica de VLAN. Logre configurar correctamente esas tres y tendrá una postura de seguridad inalámbrica sólida, de conformidad y auditable. Para sus próximos pasos: si está evaluando plataformas, utilice el marco de comparación de proveedores en la guía complementaria. Si está listo para la implementación, las guías paso a paso de configuración para cada plataforma se encuentran en la sección de implementación. Y si está pensando en cómo encaja el WiFi para invitados junto con su red empresarial, la documentación de la plataforma Purple cubre la arquitectura de integración en detalle. Gracias por escuchar. Nos vemos en la próxima sesión informativa.

Resumen Ejecutivo

Implementar WPA2-Enterprise ya no es una actualización de seguridad opcional - es la base esencial para cualquier red inalámbrica de nivel empresarial. Para los directores de TI y arquitectos de redes que operan en entornos de hotelería, comercio minorista y sector público, la transición de las claves precompartidas hacia la autenticación 802.1X está impulsada por estrictos mandatos de cumplimiento, incluidos PCI-DSS y GDPR. Esta guía de referencia técnica proporciona pasos de configuración concretos, prácticos y específicos de plataforma para los tres proveedores líderes de puntos de acceso: Cisco, Aruba y Ubiquiti.

Al realizar la transición a WPA2-Enterprise, las organizaciones empresariales pueden eliminar los riesgos asociados con las credenciales compartidas, obtener registros de auditoría detallados por sesión y permitir la segmentación dinámica de la red. Cuando se implementa correctamente, esta arquitectura no solo protege el perímetro corporativo, sino que también se integra a la perfección con las redes de visitantes gestionadas a través de una plataforma integral de Guest WiFi . Las siguientes secciones detallan la arquitectura técnica, los pasos de implementación y las estrategias de mitigación de riesgos necesarias para un despliegue exitoso.

header_image.png

Análisis Técnico Detallado

WPA2-Enterprise se basa en el estándar IEEE 802.1X para ofrecer control de acceso a la red basado en puertos. A diferencia de WPA2-Personal, que utiliza una clave precompartida (PSK) estática, WPA2-Enterprise requiere que cada suplicante (dispositivo cliente) se autentique individualmente contra un servidor de autenticación externo - típicamente un servidor RADIUS - antes de recibir acceso a la red.

La arquitectura consta de tres componentes principales:

  1. El suplicante: El dispositivo cliente que intenta conectarse a la red.
  2. El autenticador: El punto de acceso de nivel empresarial o controlador de LAN inalámbrica (por ejemplo, un Cisco WLC o Aruba Mobility Controller) que facilita el proceso de autenticación.
  3. El servidor de autenticación: El servidor RADIUS de back-end (por ejemplo, Cisco ISE, Aruba ClearPass o Windows NPS), que valida las credenciales contra un servicio de directorio como Active Directory o LDAP.

El Proceso de Intercambio EAP

El proceso de autenticación utiliza el Protocolo de Autenticación Extensible sobre LAN (EAPOL). Durante la fase inicial, el autenticador actúa puramente como un proxy transparente. Una vez que el servidor RADIUS ha validado las credenciales, devuelve un mensaje Access-Accept al autenticador, el cual luego deriva las claves de cifrado necesarias para asegurar la sesión WiFi.

La elección del método EAP es fundamental. PEAP-MSCHAPv2 es el método más implementado porque admite la autenticación tradicional con contraseña de Active Directory mientras protege el intercambio dentro de un túnel TLS establecido por el certificado del servidor. Sin embargo, para una seguridad máxima, se recomienda EAP-TLS. EAP-TLS requiere autenticación de certificados mutua (tanto el servidor como el cliente deben presentar certificados válidos), lo que protege contra el robo de credenciales pero exige una infraestructura de clave pública (PKI) robusta o una solución de administración de dispositivos móviles (MDM) para la distribución de certificados.

architecture_overview.png

Guía de implementación

Los principios fundamentales para configurar WPA2-Enterprise son constantes entre los diferentes fabricantes, pero la ejecución varía según la interfaz de administración y el ecosistema.

vendor_comparison_chart.png

Cisco (Catalyst y Meraki)

Los entornos Cisco suelen variar en escala, desde implementaciones en campus hasta redes empresariales distribuidas.

Cisco Catalyst (WLC/DNA Center):

  1. Definir los servidores RADIUS: Navegue a la pestaña "Seguridad", seleccione "AAA" y configure los servidores RADIUS de autenticación y contabilidad principales y secundarios. Asegúrese de que el secreto compartido coincida con la configuración del servidor RADIUS.
  2. Crear un perfil de WLAN: En la pestaña "WLANs", cree un nuevo perfil.
  3. Configurar la política de seguridad: Establezca la Seguridad de Capa 2 en WPA+WPA2 y habilite 802.1X como el método de administración de claves de autenticación (AKM).
  4. Vincular los servidores AAA: Asocie los servidores RADIUS definidos anteriormente al perfil de WLAN. Si se requiere la asignación dinámica de VLAN, habilite "AAA Override".

Cisco Meraki:

  1. Configuración de SSID: En el panel de Meraki, navegue a Wireless > SSIDs y seleccione la red de destino.
  2. Control de acceso: Establezca el requisito de asociación en "WPA2-Enterprise con mi servidor RADIUS".
  3. Configuración de RADIUS: Ingrese la dirección IP de su infraestructura RADIUS, el puerto de autenticación (normalmente 1812), el puerto de contabilidad (1813) y el secreto compartido. El panel de Meraki incluye una herramienta de prueba integrada para verificar la conectividad RADIUS antes de la implementación.

Aruba Networks

Aruba es la plataforma dominante en Hospitalidad y educación superior, y utiliza ampliamente su ClearPass Policy Manager para el control de acceso avanzado.

  1. Definir un perfil AAA: En Aruba Central o en la interfaz de usuario de Mobility Controller, cree un nuevo perfil AAA. Este perfil determina cómo se maneja la autenticación.
  2. Configurar un grupo de servidores RADIUS: Agregue sus servidores RADIUS a un grupo de servidores, especificando las reglas de failover y los valores de tiempo de espera. Adjunte este grupo al perfil AAA.
  3. Configuración de AP virtual: Crea o modifica el perfil de AP virtual (SSID). Establece el tipo de seguridad en WPA2-Enterprise.
  4. Asocia los perfiles: Vincula el perfil AAA al perfil de AP virtual. Si utilizas ClearPass, asegúrate de que el puerto RADIUS CoA (Cambio de autorización) (3799) esté permitido a través de cualquier firewall intermedio para habilitar la aplicación dinámica de políticas.

Ubiquiti (UniFi)

Ubiquiti, a través de UniFi Network Controller, ofrece una solución rentable para entornos de Retail y PyMEs.

  1. Crea un perfil RADIUS: Ve a Settings > Profiles > RADIUS. Crea un nuevo perfil utilizando la dirección IP, los puertos (1812/1813) y el secreto compartido de tu servidor RADIUS externo.
  2. Configuración de SSID: Ve a Settings > WiFi y crea una nueva red inalámbrica.
  3. Ajustes de seguridad: Selecciona "WPA2 Enterprise" como protocolo de seguridad y vincula el perfil RADIUS recién creado.
  4. Consideraciones de arquitectura RADIUS: A diferencia de los controladores de nivel empresarial que pueden ofrecer RADIUS con supervivencia local, UniFi depende en gran medida de servidores externos (por ejemplo, FreeRADIUS o Windows NPS). Asegura una conectividad confiable entre los AP de UniFi y el back-end de RADIUS.

Mejores Prácticas

Para garantizar que la implementación sea tanto resiliente como segura, los arquitectos de red deben seguir varias mejores prácticas críticas:

  1. Exige la validación de certificados: Los dispositivos cliente deben estar configurados explícitamente para validar el certificado del servidor RADIUS contra una Autoridad de Certificación (CA) de confianza. De lo contrario, se expone la red a ataques de "Evil Twin", lo que permite que un punto de acceso no autorizado recopile credenciales de usuario.
  2. Implementa redundancia de RADIUS: El servidor RADIUS se encuentra en la ruta crítica para el acceso a la red. Configura siempre servidores RADIUS primarios y secundarios. En entornos distribuidos, considera una solución de RADIUS alojada en la nube para una alta disponibilidad.
  3. Aprovecha la asignación dinámica de VLAN: Utiliza atributos RADIUS (como Tunnel-Pvt-Group-ID) para asignar dinámicamente a los usuarios a VLANs específicas según su membresía de grupo en Active Directory. Esto aplica la segmentación de red sin necesidad de transmitir múltiples SSIDs.
  4. Habilita RADIUS Accounting: No configures únicamente la autenticación. RADIUS Accounting (puerto 1813) es obligatorio para generar los registros de auditoría requeridos por los marcos de cumplimiento.
  5. Protege el borde de la red: Lee más sobre cómo proteger tu infraestructura en nuestra guía Protecting Your Network with Robust DNS and Security .

Solución de Problemas y Mitigación de Riesgos

Incluso con una planificación cuidadosa, las implementaciones pueden presentar problemas. Los modos de falla comunes incluyen:

  • Discrepancia en el secreto compartido: Un simple error de escritura en el secreto compartido de RADIUS provoca fallas de autenticación silenciosas. Verifica el secreto tanto en el autenticador como en el servidor RADIUS.
  • Errores de sincronización de hora: La validación de certificados requiere marcas de tiempo precisas. Asegúrate de que todos los AP, controladores y servidores RADIUS estén sincronizados a través de una fuente NTP confiable.
  • Firewalls que bloquean el tráfico RADIUS: Asegúrate de que los puertos UDP 1812 (autenticación) y 1813 (accounting) estén abiertos entre los AP/controladores y los servidores RADIUS. Si utilizas CoA, asegúrate de que el puerto UDP 3799 esté abierto.
  • Error de configuración del cliente: El problema más común es que los dispositivos cliente no están configurados para confiar en la CA que emitió el certificado del servidor RADIUS. Utiliza MDM o políticas de grupo para enviar el perfil inalámbrico correcto a los dispositivos corporativos.

Para comprender mejor el protocolo de autenticación, consulta la Guía paso a paso: Cómo configurar la autenticación WiFi 802.1X .

ROI e impacto empresarial

Más allá de la mejora tangible en seguridad, la transición a WPA2-Enterprise ofrece un valor empresarial significativo.

  • Reducción de riesgos: Eliminar las contraseñas compartidas reduce drásticamente la superficie de ataque y el riesgo de una filtración de datos, lo que puede acarrear graves consecuencias financieras y de reputación.
  • Eficiencia operativa: Integrar la autenticación WiFi con tu proveedor de identidad existente (como Active Directory) permite automatizar el alta y baja del personal. Cuando un empleado se va, inhabilitar su cuenta de AD revoca instantáneamente su acceso a la red WiFi.
  • Alineación con el cumplimiento normativo: El registro detallado de auditoría y la autenticación por usuario son requisitos previos para el cumplimiento de PCI-DSS e ISO 27001.
  • Infraestructura unificada: Al utilizar la asignación dinámica de VLAN, los establecimientos pueden ejecutar de forma segura el tráfico corporativo, administrativo y de IoT en el mismo hardware físico que se utiliza para el acceso de invitados. Posteriormente, la red de invitados se puede monetizar y analizar mediante una solución dedicada de WiFi Analytics , lo que maximiza el retorno de la inversión en hardware. Asegúrate de contar con suficiente ancho de banda comprendiendo ¿Qué es una línea arrendada? Internet dedicado para empresas .

Definiciones clave

WPA2-Enterprise

Un protocolo de seguridad para redes inalámbricas que utiliza IEEE 802.1X para proporcionar autenticación por usuario a través de un servidor externo, en lugar de una única contraseña compartida.

El estándar obligatorio para proteger las redes WiFi corporativas y operativas en entornos empresariales.

802.1X

Un estándar IEEE para el control de acceso a redes basado en puertos que proporciona un mecanismo de autenticación a los dispositivos que desean conectarse a una LAN o WLAN.

El marco subyacente que hace que WPA2-Enterprise funcione.

RADIUS

Remote Authentication Dial-In User Service - un protocolo de red que proporciona una gestión centralizada de Autenticación, Autorización y Contabilidad (AAA).

El componente de servidor que valida las credenciales de usuario contra una base de datos como Active Directory.

Supplicant

El cliente de software en un dispositivo (computadora portátil, teléfono inteligente) que se comunica con el autenticador para solicitar acceso a la red.

El dispositivo final que debe configurarse con los ajustes de EAP y la confianza de certificado correctos.

Authenticator

El dispositivo de red (Punto de Acceso o Switch) que facilita el proceso de autenticación al pasar mensajes entre el supplicant y el servidor de autenticación.

El hardware de Cisco, Aruba o Ubiquiti administrado por el equipo de TI.

EAP (Extensible Authentication Protocol)

Un marco de autenticación utilizado con frecuencia en redes inalámbricas y conexiones de punto a punto, que admite múltiples métodos de autenticación.

El protocolo utilizado para encapsular el intercambio de credenciales.

PEAP-MSCHAPv2

Un método EAP que encapsula el intercambio de contraseñas MSCHAPv2 dentro de un túnel TLS seguro establecido por el certificado del servidor.

El método de implementación más común, ya que equilibra la seguridad con la conveniencia de usar contraseñas estándar de AD.

Dynamic VLAN Assignment

El proceso mediante el cual un servidor RADIUS indica al punto de acceso que coloque a un usuario autenticado en una VLAN específica según su identidad o pertenencia a un grupo.

Crucial para la segmentación de red, lo que permite que diferentes tipos de usuarios compartan los mismos AP físicos de forma segura.

Ejemplos resueltos

Un hotel de 200 habitaciones necesita implementar WiFi seguro para su personal interno (limpieza, administración) utilizando los puntos de acceso Aruba existentes, mientras mantiene el tráfico del personal estrictamente separado de la red de invitados.

El equipo de TI configura un único SSID "Hotel_Staff" utilizando WPA2-Enterprise. Integran Aruba ClearPass con el Active Directory del hotel. En ClearPass, configuran políticas de aplicación: si un usuario está en el grupo de AD "Management", ClearPass devuelve un atributo RADIUS asignándolo a la VLAN 10 (Red de Administración). Si el usuario está en el grupo "Housekeeping", se le asigna a la VLAN 20 (Red de Operaciones). Los AP se configuran para aplicar estas asignaciones dinámicas de VLAN.

Comentario del examinador: Este enfoque demuestra el poder de la asignación dinámica de VLAN. Evita la interferencia de RF y la sobrecarga de gestión de transmitir múltiples SSID ("Hotel_Management", "Hotel_Housekeeping") al tiempo que garantiza una segmentación de red estricta y aprovecha las identidades de directorio existentes.

Una cadena minorista nacional con 50 ubicaciones utiliza Cisco Meraki. Necesitan proteger sus terminales de punto de venta (POS) a través de WiFi para cumplir con la certificación PCI-DSS, reemplazando su antigua configuración WPA2-Personal.

El arquitecto de red implementa un servicio RADIUS alojado en la nube para evitar la implementación de servidores locales en cada tienda. En el panel de Meraki, configuran el SSID "Retail_POS" para WPA2-Enterprise y lo dirigen a las direcciones IP del RADIUS en la nube. Generan certificados de cliente únicos para cada terminal POS a través de su plataforma MDM y configuran el servidor RADIUS para requerir EAP-TLS. Los AP de Meraki están configurados para enviar datos de autenticación y contabilidad de RADIUS al servicio en la nube.

Comentario del examinador: Este escenario destaca la transición a EAP-TLS para entornos de alta seguridad. Al utilizar certificados en lugar de contraseñas, los terminales POS se autentican de forma silenciosa y segura. La inclusión de la contabilidad de RADIUS garantiza que la cadena cumpla con los requisitos de PCI-DSS para la auditoría de acceso.

Preguntas de práctica

Q1. Su organización está implementando WPA2-Enterprise utilizando puntos de acceso Ubiquiti UniFi. Durante las pruebas, los clientes pueden conectarse con éxito, pero el equipo de cumplimiento nota que no hay registros de la duración de las sesiones de los usuarios ni del uso de datos en el sistema de registro central. ¿Cuál es la omisión de configuración más probable?

Sugerencia: La autenticación otorga acceso, pero otro proceso rastrea el uso.

Ver respuesta modelo

El puerto de RADIUS Accounting (1813) no se ha configurado o está siendo bloqueado por un firewall. Aunque la autenticación (puerto 1812) funciona, se debe habilitar explícitamente Accounting para generar registros de auditoría de sesión.

Q2. Un usuario informa que no puede conectarse a la red corporativa WPA2-Enterprise. Al revisar los registros del Cisco WLC, observa que el AP está transmitiendo la solicitud EAP-Request, pero los registros del servidor RADIUS muestran un error "Access-Reject" debido a una "CA desconocida". ¿Qué debe solucionarse?

Sugerencia: Piense en la relación de confianza establecida durante la configuración del túnel TLS.

Ver respuesta modelo

El suplicante del dispositivo cliente no está configurado para confiar en la Autoridad de Certificación (CA) que emitió el certificado del servidor RADIUS. El cliente interrumpe la conexión para evitar un posible ataque de Evil Twin. El certificado de la CA debe enviarse al dispositivo cliente.

Q3. Está diseñando una red para un estadio. Debe dar soporte al personal corporativo, terminales de venta de boletos y WiFi para invitados. ¿Cómo debería estructurar los SSIDs para minimizar la interferencia de RF manteniendo la seguridad?

Sugerencia: Evite transmitir un SSID para cada caso de uso individual.

Ver respuesta modelo

Implemente un máximo de dos SSIDs. Un SSID para invitados utilizando un Captive Portal (como Purple). Un segundo SSID para todas las operaciones corporativas mediante WPA2-Enterprise. Utilice Dynamic VLAN Assignment a través del servidor RADIUS para segmentar al personal corporativo en una VLAN y a las terminales de venta de boletos en otra según sus credenciales de autenticación.

Continúe leyendo esta serie

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Esta guía de referencia técnica describe la arquitectura, configuración e implementación de la autenticación RADIUS para redes WiFi empresariales de invitados y empleados. Proporciona a los arquitectos de red y gerentes de TI los protocolos exactos, los estándares de seguridad y las metodologías de solución de problemas requeridas para crear sistemas de control de acceso inalámbrico seguros y escalables.

Leer la guía →

Passpoint y OpenRoaming: Guía completa

Esta guía de referencia técnica proporciona un análisis exhaustivo de los frameworks Passpoint (Hotspot 2.0) y WBA OpenRoaming dentro de las redes WiFi empresariales. Detalla los protocolos de autenticación subyacentes, los componentes arquitectónicos y las estrategias de despliegue requeridas para establecer una conectividad de invitados segura y sin fricciones. Los arquitectos de red y los líderes de TI aprenderán a diseñar, implementar y solucionar problemas de estos estándares para eliminar las barreras de inicio de sesión manual mientras se mantiene la seguridad de nivel empresarial.

Leer la guía →

Cómo implementar SCEP para un BYOD seguro y el registro de redes en la educación superior

Esta guía técnica proporciona a los arquitectos de red y directores de TI un plan de acción independiente del proveedor para implementar el registro de certificados basado en SCEP para proteger las redes de campus de educación superior. Detalla cómo migrar de PEAP basado en contraseñas a 802.1X EAP-TLS, automatizar la incorporación de BYOD y aplicar una segmentación robusta de VLAN.

Leer la guía →