Cómo mejorar la velocidad de WiFi sin comprar nuevos puntos de acceso

Cómo mejorar la velocidad de WiFi sin comprar nuevos puntos de acceso Una sesión informativa técnica de Purple — Aproximadamente 10 minutos --- INTRODUCCIÓN Y CONTEXTO (aprox. 1 minuto) --- Bienvenido a la serie de sesiones informativas técnicas de Purple. Soy su anfitrión, y hoy abordaremos una de las conversaciones más comunes que tengo con directores de TI y CTOs en recintos empresariales: el problema de la capacidad de WiFi. Tienen un hotel, un complejo comercial, un centro de conferencias o un estadio. Sus invitados y el personal se quejan de un WiFi lento. Su primer instinto —y, francamente, el instinto con el que cuenta su proveedor de infraestructura— es comprar más puntos de acceso. Hardware nuevo, una implementación más grande, una factura más alta. Pero aquí está el detalle. En la mayoría de los casos que he revisado, el problema no son los puntos de acceso en absoluto. El problema es lo que corre a través de ellos. Y eso es un problema de software, lo que significa que es una solución de software. Hoy les explicaré exactamente cómo el filtrado de DNS y la optimización a nivel de software pueden recuperar el treinta por ciento o más de su ancho de banda existente, sin tocar una sola pieza de hardware. Cubriremos la arquitectura técnica, escenarios de implementación en el mundo real y el caso de negocio que pueden presentar a su CFO. Comencemos. --- ANÁLISIS TÉCNICO DETALLADO (aprox. 5 minutos) --- Primero, establezcamos el problema central. Cuando se analiza qué está consumiendo realmente el ancho de banda en una red WiFi típica de invitados de una empresa, el desglose resulta realmente sorprendente para la mayoría de las personas. Las redes de publicidad y los rastreadores de terceros —la telemetría de fondo que cada aplicación en cada dispositivo envía constantemente— representan entre el veinticinco y el cuarenta por ciento del volumen de consultas DNS en una red de invitados típica. Estas no son solicitudes que sus invitados realicen conscientemente. Son automáticas. Cada vez que alguien abre una aplicación de noticias, una plataforma de redes sociales o una aplicación de compras en su teléfono, esa aplicación lanza docenas de búsquedas DNS a servidores de publicidad, plataformas de análisis y píxeles de seguimiento. Ninguno de esos tráficos aporta valor a sus invitados. Todo ello consume su capacidad de subida. Además de eso, está el tráfico de malware y redes de bots. Los dispositivos comprometidos —y en una gran red de invitados, habrá dispositivos comprometidos— intentan constantemente comunicarse con servidores de comando y control. Ese tráfico no solo desperdicia ancho de banda, sino que es una responsabilidad de seguridad y cumplimiento. Por lo tanto, antes de que un solo byte de tráfico legítimo —una videollamada, una página web, una transacción de pago— llegue a su enlace de subida, ya han quemado entre un tercio y la mitad de su capacidad disponible en ruido. Ahora bien, el filtrado de DNS opera en la capa de resolución. Cada solicitud de internet comienza con una consulta DNS, una búsqueda que traduce un nombre de dominio en una dirección IP. El filtrado de DNS intercepta esa consulta antes de que llegue a su enlace de subida. Si el dominio se resuelve en una red de publicidad, un host de malware conocido o una categoría restringida por políticas, la consulta se bloquea en la capa de DNS. El dispositivo recibe una respuesta nula. No se transfieren datos. No se consume ancho de banda. Esto es fundamentalmente diferente de un firewall o un proxy. Un firewall inspecciona los paquetes después de que ya han llegado. Un proxy intercepta el tráfico a mitad de camino. El filtrado de DNS detiene la solicitud antes de que comience, razón por la cual la recuperación de ancho de banda es tan significativa. No están limpiando el tráfico que ya llegó; están evitando que se solicite en primer lugar. Desde el punto de vista de la arquitectura, la implementación es sencilla. Configuran su servidor DHCP para que apunte los dispositivos cliente a su resolutor de filtrado de DNS en lugar de al DNS predeterminado de su ISP. Por lo general, ese es un cambio de dos líneas en su configuración de DHCP. Las reglas de filtrado se mantienen de forma centralizada, ya sea en la nube o de forma local según sus requisitos de cumplimiento, y se aplican de manera uniforme en todos los dispositivos conectados, independientemente del punto de acceso con el que estén asociados. Este es un punto crítico para los operadores de múltiples sitios. Una cadena minorista con doscientas tiendas, o un grupo hotelero con cincuenta propiedades, puede implementar una política de filtrado de DNS coherente en todo el patrimonio desde una única consola de administración. Sin visitas de ingeniería en el sitio. Sin configuración por sitio. Los cambios de política se propagan en minutos. Ahora, hay una consideración técnica importante aquí que quiero señalar para los arquitectos en la sala. La aparición de DNS sobre HTTPS —DoH— crea un desafío para el filtrado de DNS tradicional. Cuando un dispositivo utiliza DoH, cifra sus consultas DNS y las envía directamente a un resolutor específico —por lo general, uno operado por un proveedor de navegadores— eludiendo por completo el DNS a nivel de red. Esto significa que se evaden sus reglas de filtrado. La solución es aplicar la interceptación de DoH a nivel de red. Esto implica identificar el tráfico DoH —que se ejecuta en el puerto 443 hacia rangos de IP de resolutores conocidos— y bloquearlo o redirigirlo a su propio resolutor de filtrado compatible con DoH. Esta es una configuración más avanzada, pero es esencial para mantener la eficacia del filtrado en las redes modernas donde Chrome, Firefox e iOS utilizan cada vez más el DNS cifrado de forma predeterminada. Purple ha publicado una guía detallada sobre las implicaciones de DNS sobre HTTPS para el filtrado de WiFi público, que les recomiendo leer junto con esta sesión informativa. Más allá del filtrado de DNS, existen varias optimizaciones complementarias en la capa de software que vale la pena implementar en paralelo. El band steering es una de las que mayor impacto tiene. La mayoría de los puntos de acceso modernos admiten las bandas de 2.4 gigahercios y 5 gigahercios. La banda de 5 gigahercios ofrece un rendimiento significativamente mayor pero un alcance menor. Sin un band steering activo, los dispositivos a menudo se asociarán con la banda de 2.4 gigahercios de forma predeterminada —en particular, los dispositivos más antiguos y el hardware de IoT— lo que genera congestión en una banda que ya está saturada con tráfico heredado. Habilitar el band steering en su controlador inalámbrico empuja a los dispositivos compatibles a los 5 gigahercios, liberando los 2.4 gigahercios para los dispositivos que realmente lo necesitan. La consolidación de SSID es otra victoria rápida. Cada SSID que transmiten consume tiempo de aire a través de tramas beacon, tráfico de gestión que cada dispositivo dentro del alcance tiene que procesar. Un recinto que ejecuta ocho o diez SSIDs para diferentes departamentos, contratistas y niveles de invitados está quemando un porcentaje medible de tiempo de aire en sobrecarga de gestión. Consolidar a tres o cuatro SSIDs —invitados, personal, IoT y gestión— y utilizar el etiquetado VLAN para la segmentación en lugar de SSIDs separados puede recuperar ese tiempo de aire de inmediato. La aplicación de políticas de QoS —Calidad de Servicio— es la tercera palanca. Sin QoS, un solo invitado que transmite video en 4K puede saturar una celda de radio, degradando la experiencia de todos los demás dispositivos en ese punto de acceso. Implementar la limitación de velocidad por cliente y la priorización del tráfico —elevando el tráfico de transacciones de VoIP y POS por encima de la transmisión masiva de video— garantiza que el tráfico crítico para el negocio esté protegido incluso bajo carga pico. Finalmente, la planificación de canales y la optimización de la potencia de transmisión. A menudo, estos se configuran y se olvidan durante la implementación inicial y nunca se vuelven a revisar. A medida que cambia el entorno de RF —nuevos edificios, nuevas fuentes de interferencia, cambios en la densidad de dispositivos— sus asignaciones de canales pueden estar creando interferencias de cocanal que degradan significativamente el rendimiento. Realizar un estudio de RF pasivo y volver a optimizar las asignaciones de canales es una intervención de costo cero que puede generar mejoras sustanciales en el rendimiento. --- RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES (aprox. 2 minutos) --- Permítanme darles una secuencia de implementación práctica para un recinto de tamaño mediano, por ejemplo, un hotel de doscientas habitaciones o un centro de distribución minorista regional. Comiencen con una medición de referencia. Antes de cambiar nada, configuren su red para capturar el volumen de consultas DNS por categoría, el consumo de ancho de banda por cliente y la utilización del enlace de subida por hora del día. Esto les dará el estado inicial para el cálculo de su ROI. La mayoría de las plataformas de análisis de WiFi empresarial mostrarán estos datos de forma nativa; la plataforma de análisis de Purple, por ejemplo, proporciona visibilidad a nivel de dispositivo que facilita este ejercicio de referencia. Paso dos: implementen el filtrado de DNS en modo de monitoreo. La mayoría de las soluciones de filtrado de DNS empresariales admiten un modo pasivo donde las consultas se registran y categorizan pero no se bloquean. Ejecuten esto durante cuarenta y ocho a setenta y dos horas para comprender la composición de su tráfico antes de aplicar cualquier política. Esto evita que los falsos positivos interrumpan el tráfico legítimo desde el primer día. Paso tres: habiliten el bloqueo por fases. Comiencen con las categorías de mayor confianza: dominios de malware conocidos, comando y control de redes de bots y redes de publicidad. Estos son bloqueos de bajo riesgo con un alto impacto en el ancho de banda. Revisen los registros diariamente durante la primera semana para detectar cualquier bloqueo inesperado. Paso cuatro: incorporen QoS y band steering. Una vez que el filtrado de DNS sea estable, implementen la limitación de velocidad por cliente y el band steering. Prueben estos cambios durante las horas de menor actividad y validen que las terminales de POS, los teléfonos VoIP y otros dispositivos críticos para el negocio funcionen correctamente. Paso cinco: documenten y midan. Después de treinta días, extraigan sus métricas de utilización de ancho de banda y compárenlas con su línea de referencia. En la mayoría de las implementaciones, verán una reducción del veinte al cuarenta por ciento en la utilización del enlace de subida. Esa es su cifra de ROI. Ahora, los errores comunes. El más frecuente que veo es el bloqueo excesivo. Si habilitan categorías de filtrado de contenido agresivas sin revisar primero los registros, bloquearán servicios legítimos. El almacenamiento en la nube, las aplicaciones SaaS empresariales e incluso algunos dominios de procesamiento de pagos pueden aparecer en bloques de categorías amplias. Comiencen siempre de forma conservadora y vayan expandiendo. El segundo error es ignorar la elusión de DoH. Si implementan el filtrado de DNS sin abordar el DoH, verán disminuir la eficacia de su filtrado con el tiempo a medida que más dispositivos utilicen por defecto el DNS cifrado. Aborden esto a nivel de política de red desde el primer día. El tercer error es no segmentar el tráfico de IoT. Los dispositivos IoT —pantallas inteligentes, sistemas de gestión de edificios, señalización digital— a menudo generan un tráfico DNS significativo hacia los servidores de telemetría del fabricante. Si no segmentan el IoT en una VLAN separada con su propia política de filtrado, podrían bloquear inadvertidamente la funcionalidad del dispositivo al endurecer sus reglas de filtrado. --- PREGUNTAS Y RESPUESTAS RÁPIDAS (aprox. 1 minuto) --- Permítanme repasar las preguntas que recibo con más frecuencia. "¿Afectará el filtrado de DNS la experiencia del invitado?" En la práctica, los invitados nunca lo notan. Los dominios que se bloquean son telemetría de fondo, no contenido que estén solicitando activamente. En todo caso, su experiencia mejora porque hay más ancho de banda disponible para las cosas que realmente intentan hacer. "¿Requiere esto cambios en nuestros puntos de acceso?" No. El filtrado de DNS se configura en la capa de DHCP y del resolutor de DNS. Sus puntos de acceso no se tocan. "¿Cumple esto con el GDPR?" El filtrado de DNS registra consultas de dominio, no contenido. No están realizando una inspección profunda de paquetes. Siempre que tengan políticas de retención de datos adecuadas y su aviso de privacidad cubra el monitoreo de la red —lo cual debería hacer de todos modos— el filtrado de DNS es totalmente compatible con el GDPR. Para implementaciones en el sector público y de salud, a menudo es un requisito de cumplimiento más que una opción. "¿Qué pasa con PCI DSS?" El filtrado de DNS en realidad fortalece su postura de PCI DSS al evitar que los entornos de datos de titulares de tarjetas se comuniquen con dominios maliciosos conocidos. Es un control positivo, no un riesgo. --- RESUMEN Y PRÓXIMOS PASOS (aprox. 1 minuto) --- Para resumir: la mayoría de los problemas de rendimiento de WiFi empresarial no son problemas de hardware. Son problemas de software, específicamente, la ausencia de una gestión inteligente del tráfico en la capa de DNS. Al implementar el filtrado de DNS, pueden recuperar el treinta por ciento o más de su ancho de banda existente, extender la vida útil operativa de su infraestructura actual de puntos de acceso de dos a cuatro años y, al mismo tiempo, mejorar su postura de seguridad y cumplimiento. El tiempo de implementación se mide en horas, no en meses. El gasto de capital es una fracción de lo que costaría una actualización de hardware. Los próximos pasos prácticos son sencillos. Realicen una auditoría de tráfico DNS en su red esta semana; la mayoría de las plataformas empresariales les darán estos datos sin necesidad de herramientas adicionales. Identifiquen sus categorías de dominio que más ancho de banda consumen. Luego, evalúen una solución de filtrado de DNS frente a esas categorías. Si operan una red WiFi para invitados a gran escala —hotelería, comercio minorista, eventos, sector público— la plataforma de Purple integra el filtrado de DNS con la gestión y el análisis de WiFi para invitados en una sola implementación. Eso significa que obtienen la recuperación de ancho de banda, los controles de cumplimiento y la información de los datos de los invitados desde una sola plataforma en lugar de tres. Gracias por escuchar la sesión informativa técnica de Purple. La guía de implementación completa, los diagramas de arquitectura y los ejemplos prácticos están disponibles en la guía escrita que la acompaña. Hasta la próxima.