Saltar al contenido principal

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Esta guía de referencia técnica describe la arquitectura, configuración e implementación de la autenticación RADIUS para redes WiFi empresariales de invitados y empleados. Proporciona a los arquitectos de red y gerentes de TI los protocolos exactos, los estándares de seguridad y las metodologías de solución de problemas requeridas para crear sistemas de control de acceso inalámbrico seguros y escalables.

📖 8 min de lectura📝 1,876 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

header_image.png

Resumen Ejecutivo

En los entornos empresariales modernos, proteger las redes inalámbricas es un requisito operativo crítico. Los métodos de seguridad heredados, como las claves previamente compartidas (PSKs), introducen vulnerabilidades de seguridad significativas. Si un solo empleado deja una organización, o si un invitado compromete una contraseña compartida, la postura de seguridad de toda la red se ve comprometida. Esta guía detalla cómo implementar Remote Authentication Dial-In User Service (RADIUS) para centralizar el control de acceso, aplicar políticas de seguridad granulares y segmentar el tráfico de invitados y del personal.

Al realizar la transición a una arquitectura RADIUS centralizada, las organizaciones pueden implementar la autenticación 802.1X para el personal - garantizando que cada dispositivo se autentique con credenciales únicas y revocables - al mismo tiempo que utilizan Captive Portals seguros y MAC Authentication Bypass (MAB) para los usuarios invitados. Esta referencia técnica proporciona los planos arquitectónicos, los pasos de configuración y los marcos de solución de problemas necesarios para implementar una infraestructura de autenticación inalámbrica resistente y de clase empresarial.

Análisis Técnico Detallado

El Marco AAA

RADIUS opera bajo el marco AAA, que define las fases principales del control de acceso:

  1. Autenticación: Verificar la identidad del usuario o dispositivo que intenta conectarse a la red WiFi. Esto se logra mediante credenciales, certificados digitales o tokens.
  2. Autorización: Determinar el nivel de acceso a la red otorgado a la entidad autenticada. Esto incluye la asignación de VLANs específicas, la aplicación de Listas de Control de Acceso (ACLs) o la imposición de límites de ancho de banda.
  3. Contabilidad (Accounting): Monitorear el consumo de recursos de la red, incluyendo la duración de la sesión, los datos transferidos y las horas de inicio/cierre de sesión. Estos datos son críticos para la auditoría, el cumplimiento y la planificación de la red.
  4. Auditoría: Revisar los datos de contabilidad recopilados para identificar anomalías, violaciones de seguridad o incumplimientos de políticas.

Componentes de la Arquitectura RADIUS

Una implementación estándar de RADIUS para empresas consta de tres componentes principales:

  • El Suplicante (Supplicant): El software cliente que se ejecuta en el dispositivo del usuario (por ejemplo, laptop, smartphone) que solicita acceso a la red y proporciona credenciales o certificados.
  • El Autenticador (Servidor de Acceso a la Red / NAS): El dispositivo de red físico o virtual - típicamente un controlador de LAN inalámbrica (WLC) o un punto de acceso (AP) - que controla el acceso físico a la red. El autenticador no decide si las credenciales son válidas; actúa como un proxy, empaquetando la solicitud de autenticación en paquetes RADIUS y reenviándolos al servidor RADIUS.
  • El Servidor de Autenticación: El servidor central (como FreeRADIUS, Cisco ISE, Aruba ClearPass o el motor RADIUS basado en la nube de Purple) que valida las credenciales frente a un almacén de identidades (por ejemplo, Active Directory, LDAP o un proveedor de identidad en la nube) y devuelve un mensaje de Access-Accept o Access-Reject al autenticador.

Métodos EAP para el WiFi del Personal

Para redes del personal, se utiliza el Protocolo de Autenticación Extensible (EAP) dentro del marco de trabajo 802.1X para negociar la autenticación. Los dos métodos EAP empresariales más comunes son:

  • PEAP-MSCHAPv2 (EAP protegido): Este método establece un túnel TLS seguro y cifrado entre el suplicante y el servidor RADIUS utilizando el certificado digital del servidor. Dentro de este túnel seguro, el nombre de usuario y la contraseña del usuario se autentican mediante el protocolo MSCHAPv2. Esto es muy popular debido a su facilidad de implementación, ya que no requiere la instalación de certificados en los dispositivos cliente.
  • EAP-TLS: El método de autenticación más seguro disponible. Requiere autenticación mutua, lo que significa que tanto el servidor RADIUS como el dispositivo cliente deben presentar certificados digitales válidos. Esto elimina los ataques basados en contraseñas, pero requiere una Infraestructura de Clave Pública (PKI) sólida para gestionar la distribución y revocación de certificados.

Flujo de autenticación de WiFi para invitados

Las redes de invitados suelen utilizar un flujo diferente para equilibrar la seguridad con la comodidad del usuario. En lugar de 802.1X, las redes de invitados a menudo utilizan un SSID abierto combinado con un Captive Portal.

Cuando un invitado se conecta, el autenticador utiliza la omisión de autenticación MAC (MAB) o una política de redirección para enviar al usuario a un captive portal alojado por una plataforma como Purple. Una vez que el usuario completa el proceso de registro o inicio de sesión en el portal, la plataforma del portal se comunica con el servidor RADIUS, que luego envía un mensaje Access-Accept al WLC/AP, autorizando la dirección MAC del invitado para el acceso a la red durante una duración de sesión específica.

Transporte seguro: RadSec

El tráfico RADIUS tradicional se envía a través de UDP (puertos 1812 para autenticación y 1813 para contabilidad) en texto claro, con solo el campo de contraseña del usuario ofuscado mediante un secreto compartido. Esto introduce riesgos de seguridad al enrutar el tráfico de autenticación a través de conexiones WAN públicas o internet.

Para mitigar esto, se debe implementar RadSec (RADIUS sobre TLS). RadSec envuelve los paquetes RADIUS estándar dentro de un túnel TLS seguro (normalmente utilizando el puerto TCP 2083). Esto garantiza que todos los datos de autenticación y contabilidad, incluidos los nombres de usuario, las direcciones MAC y los atributos de la sesión, estén completamente cifrados durante el tránsito entre la red local y los servidores RADIUS basados en la nube.

Guía de implementación

Paso 1: Definir clientes RADIUS en el servidor

Antes de que cualquier dispositivo de red pueda comunicarse con el servidor RADIUS, debe registrarse como cliente.

  1. Inicie sesión en la consola de administración de su servidor RADIUS.
  2. Navegue a la sección Clientes o Dispositivos de red.
  3. Añada una nueva entrada de cliente para cada WLC o AP.
  4. Introduzca la dirección IP o subred del autenticador.
  5. Genere un secreto compartido de alta entropía. Este secreto debe tener al menos 22 caracteres de longitud y contener una mezcla de letras mayúsculas, letras minúsculas, números y caracteres especiales. Evite el uso de palabras sencillas de diccionario.

Paso 2: Configurar el controlador de LAN inalámbrica (WLC) / puntos de acceso

Configure su hardware inalámbrico para que apunte al servidor RADIUS para la autenticación y el registro de actividad (accounting).

  1. Inicie sesión en la interfaz de administración de su WLC o AP.
  2. Vaya a Security > AAA > RADIUS > Authentication.
  3. Agregue un nuevo servidor de autenticación RADIUS:
    • Server IP Address: Ingrese la dirección IP de su servidor RADIUS primario.
    • Shared Secret: Ingrese la clave secreta compartida exacta configurada en el Paso 1.
    • Port: 1812 (o 2083 si utiliza RadSec).
    • Timeout: Establézcalo en 5 segundos para permitir la latencia de red.
    • Retry Count: Establézcalo en 3.
  4. Vaya a RADIUS Accounting y agregue una nueva entrada de servidor utilizando el puerto 1813 (o 2083 para RadSec).
  5. Repita estos pasos para agregar un servidor RADIUS secundario (de respaldo) para alta disponibilidad.

Step 3: Configure the Staff SSID (802.1X)

  1. Cree un nuevo SSID llamado Staff_Enterprise.
  2. Establezca el tipo de seguridad en WPA3-Enterprise (o modo de transición WPA2/WPA3-Enterprise si se requiere compatibilidad con dispositivos heredados).
  3. Seleccione 802.1X como el protocolo de gestión de claves.
  4. Asocie el SSID con los servidores de autenticación y registro RADIUS configurados en el Paso 2.
  5. Asigne el SSID a la VLAN segura de personal (por ejemplo, VLAN 10).

Step 4: Configure the Guest SSID with Captive Portal

  1. Cree un nuevo SSID llamado Guest_WiFi.
  2. Establezca el tipo de seguridad en Open (o Enhanced Open / OWE para cifrado inalámbrico oportunista).
  3. Habilite MAC Filtering o MAC Authentication y apúntelo al servidor RADIUS.
  4. Habilite la redirección de Captive Portal / Web Portal.
  5. Configure la URL de redirección para que apunte a la página de inicio de sesión del Captive Portal de Purple.
  6. Configure el Walled Garden (ACL previas a la autenticación) para permitir el tráfico al dominio del Captive Portal, servidores DNS y los recursos de CDN necesarios antes de que se complete la autenticación.
  7. Asigne el SSID a una VLAN de invitados aislada (por ejemplo, VLAN 20).

Mejores prácticas

Alta disponibilidad y redundancia

Implemente siempre servidores RADIUS en pares redundantes (primario y secundario). Asegúrese de que estos servidores estén ubicados en hardware físico diferente o en diferentes zonas de disponibilidad en la nube. Configure sus WLC para realizar una conmutación por error sin problemas al servidor secundario si el servidor primario deja de responder. Implemente el equilibrio de carga cuando sea apropiado para distribuir el tráfico de autenticación de manera uniforme.

Gestión de certificados

Para implementaciones PEAP y EAP-TLS, la validez y la confianza del certificado del servidor RADIUS son primordiales.

  • Utilice un certificado emitido por una Autoridad de Certificación (CA) pública de confianza para los portales de invitados y las implementaciones PEAP para evitar avisos de advertencia de certificado en los dispositivos de los usuarios.
  • Para EAP-TLS, establezca una CA privada interna dedicada para emitir y gestionar certificados de cliente y servidor.
  • Monitoree de cerca las fechas de vencimiento de los certificados e implemente procesos de renovación automatizados (como SCEP o ACME) para evitar fallas repentinas de autenticación en toda la red.

Segmentación de VLAN

Segmente estrictamente el tráfico de su red mediante VLANs. El tráfico de invitados debe estar completamente aislado de los recursos corporativos. Implemente reglas de firewall en el switch principal o gateway para evitar el enrutamiento inter-VLAN entre la VLAN de invitados y las VLANs de personal/administración. Permita únicamente que el tráfico de invitados se enrute directamente a internet.

Tiempo de espera de sesión e intervalos de contabilidad

Configure tiempos de espera de sesión adecuados para evitar que las sesiones inactivas consuman direcciones IP y recursos de red.

  • Para redes de personal, establezca un tiempo de espera de sesión de 8 a 12 horas, alineándose con un turno de trabajo estándar.
  • Para redes de invitados, establezca un tiempo de espera de sesión más corto, de 2 a 4 horas.
  • Configure el intervalo de actualización provisional de contabilidad de RADIUS entre 10 y 15 minutos. Esto garantiza que el servidor RADIUS reciba actualizaciones periódicas sobre la conectividad del dispositivo y el uso de datos sin saturar al servidor con paquetes de contabilidad.

Solución de problemas y mitigación de riesgos

Errores comunes y soluciones

1. Discordancia de secreto compartido (Shared Secret)

  • Síntoma: Los registros del WLC muestran "El servidor RADIUS no responde" y los registros del servidor RADIUS muestran "Paquete descartado - autenticador no válido" o "Autenticador incorrecto en la solicitud".
  • Causa raíz: El secreto compartido configurado en el WLC no coincide con el secreto compartido configurado en el servidor RADIUS.
  • Mitigación: Vuelva a ingresar el secreto compartido en ambos dispositivos, asegurándose de que no se copien espacios al final ni caracteres ocultos.

2. Problemas de confianza de certificados

  • Síntoma: Los dispositivos cliente no pueden conectarse al SSID de personal, mostrando errores como "Certificado de servidor no confiable" o "Conexión rechazada".
  • Causa raíz: El dispositivo cliente no confía en la CA que firmó el certificado del servidor RADIUS, o el certificado ha expirado.
  • Mitigación: Asegúrese de que los certificados de CA raíz e intermedias estén instalados en el almacén de raíces de confianza del dispositivo cliente. Para dispositivos administrados por la empresa, distribuya estos certificados a través de MDM o políticas de grupo.

3. Bloqueos de firewall

  • Síntoma: El servidor RADIUS no recibe tráfico del WLC, aunque se haya verificado el enrutamiento.
  • Causa raíz: Los firewalls intermedios están bloqueando los puertos UDP 1812 y 1813.
  • Mitigación: Cree reglas de firewall explícitas para permitir UDP 1812 y 1813 (o TCP 2083 para RadSec) entre la IP de administración del WLC y la IP del servidor RADIUS.

4. Tiempos de espera provocados por la latencia

  • Síntoma: Fallas de autenticación intermitentes, particularmente durante las horas pico o al usar servidores RADIUS basados en la nube.
  • Causa raíz: La latencia de la red supera el umbral de tiempo de espera de RADIUS del WLC, lo que hace que el WLC asuma que el servidor está fuera de línea.
  • Mitigación: Aumente la configuración del tiempo de espera de RADIUS del WLC de su valor predeterminado (normalmente 2 segundos) a 5 o 7 segundos. Optimice el enrutamiento WAN o implemente proxies RADIUS locales para almacenar en caché las solicitudes de autenticación.

ROI e impacto empresarial

La transición a un modelo de autenticación RADIUS centralizado ofrece un valor empresarial medible en varias áreas clave:

  • Reducción de la carga operativa: Elimina el esfuerzo manual requerido para rotar las contraseñas compartidas de WiFi cuando el personal deja la organización. Las cuentas de usuario se pueden deshabilitar instantáneamente en Active Directory o en su proveedor de identidad, revocando de inmediato su acceso a la red.
  • Mejor postura de seguridad: Mitiga el riesgo de filtraciones de datos causadas por el robo de credenciales o el acceso no autorizado a la red. Al aplicar la autenticación basada en certificados y 802.1X, las organizaciones garantizan que solo los dispositivos autorizados y que cumplen con las normativas puedan acceder a los recursos corporativos confidenciales.
  • Operaciones de recintos optimizadas: Al integrar el WiFi de invitados con la plataforma cloud RADIUS de Purple, los operadores de los recintos recopilan valiosos datos demográficos y de comportamiento. Estos datos se pueden utilizar para diseñar campañas de marketing dirigidas, mejorar la interacción con los visitantes y optimizar el uso del espacio físico con base en análisis de afluencia.
  • Cumplimiento normativo: Los registros de contabilidad centralizados de RADIUS proporcionan un historial de auditoría del acceso a la red, lo que ayuda a las organizaciones a cumplir con los requisitos de cumplimiento de estándares como PCI-DSS, ISO 27001 y GDPR.

Definiciones clave

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad para los usuarios que se conectan y utilizan un servicio de red.

Es el protocolo estándar de la industria que se utiliza para conectar el hardware de red inalámbrica con bases de datos de identidad centrales.

Suplicante

El software de cliente o dispositivo (como una laptop, teléfono o tableta) que solicita acceso a una red y proporciona credenciales o certificados para su verificación.

El suplicante debe ser compatible con el método EAP específico configurado en el servidor RADIUS para autenticarse correctamente.

Autenticador

El dispositivo de red (normalmente un Wireless LAN Controller o Access Point) que controla el acceso físico a la red y actúa como proxy entre el suplicante y el servidor RADIUS.

El autenticador no valida las credenciales por sí mismo; simplemente las reenvía al servidor RADIUS.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un método de autenticación extremadamente seguro que utiliza certificados digitales mutuos tanto en el cliente como en el servidor para la verificación de la identidad.

Es el método de autenticación preferido para dispositivos gestionados por la empresa en redes WiFi del personal.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol con Microsoft Challenge Handshake Authentication Protocol versión 2. Un método de autenticación basado en credenciales que protege la transmisión de contraseñas dentro de un túnel TLS cifrado.

Se utiliza ampliamente en redes del personal porque no requiere certificados del lado del cliente, lo que facilita su implementación en comparación con EAP-TLS.

RadSec

Un protocolo que protege el tráfico RADIUS al empaquetar paquetes RADIUS estándar dentro de un túnel de Transport Layer Security (TLS), que normalmente se ejecuta a través del puerto TCP 2083.

Es fundamental para redes WiFi gestionadas en la nube donde el tráfico de autenticación debe viajar a través de la internet pública.

Captive Portal

Una página web que se muestra a los usuarios inalámbricos recién conectados antes de que se les conceda un acceso más amplio a la red. Se utiliza comúnmente para la autenticación de invitados, la aceptación de los términos de servicio y la recopilación de datos de marketing.

Purple proporciona un captive portal alojado en la nube que se integra con el hardware de red local a través de RADIUS.

MAC Authentication Bypass (MAB)

Un mecanismo que permite el control de acceso a la red basado en la dirección MAC de un dispositivo cliente. Normalmente se utiliza para dispositivos que no son compatibles con la autenticación 802.1X.

A menudo se utiliza en redes WiFi de invitados para permitir que los dispositivos se vuelvan a conectar sin problemas sin tener que ver el Captive Portal repetidamente.

Ejemplos resueltos

Una marca minorista multisitio con 150 tiendas desea implementar una red WiFi segura para sus empleados. Actualmente utilizan una única clave precompartida (PSK) en todas las tiendas, la cual se filtra con frecuencia. Requieren una solución que se integre con su Microsoft Azure Active Directory existente (ahora Microsoft Entra ID) y que garantice que el personal solo pueda autenticarse utilizando laptops administradas por la corporación.

Para resolver esto, implementaremos WPA3-Enterprise con autenticación EAP-TLS, integrado con Microsoft Entra ID a través de un servicio RADIUS basado en la nube.

  1. Establecer una CA privada: Implemente una infraestructura de clave pública (PKI) basada en la nube o utilice una implementación existente de Active Directory Certificate Services (AD CS) para emitir certificados de dispositivo a todas las laptops administradas por la empresa.
  2. Distribución de certificados: Configure el sistema de gestión de dispositivos móviles (MDM) de la organización (por ejemplo, Microsoft Intune) para distribuir automáticamente el certificado de la CA raíz y un certificado de cliente único a cada laptop administrada. El certificado de cliente debe incluir el nombre de host o el número de serie del dispositivo en el Nombre alternativo del sujeto (SAN).
  3. Configurar el servidor RADIUS en la nube: Configure un servicio RADIUS en la nube que se integre con Microsoft Entra ID. Configure el servidor RADIUS para validar los certificados de cliente entrantes contra la CA privada de confianza.
  4. Configurar los WLC/AP: En los controladores inalámbricos de cada tienda minorista, configure un nuevo SSID llamado Retail_Staff. Establezca la seguridad en WPA3-Enterprise y dirija la autenticación a las IP del servidor RADIUS en la nube utilizando RadSec (puerto TCP 2083) para proteger el tráfico de autenticación a través de internet público.
  5. Definir políticas de acceso: En el servidor RADIUS, cree una política que permita el acceso solo si el certificado de cliente es válido, el certificado no ha sido revocado (verificado mediante CRL u OCSP) y la identidad del dispositivo existe y está activa dentro de Microsoft Entra ID.
Comentario del examinador: Esta solución aborda tanto la seguridad como la escalabilidad. Al elegir EAP-TLS en lugar de PEAP-MSCHAPv2, la marca elimina el riesgo de ataques basados en credenciales (como el password spraying o ataques de intermediario). El uso de RadSec es fundamental en este caso porque el tráfico de autenticación debe viajar a través de internet público desde las tiendas minoristas individuales hasta el servidor RADIUS en la nube. Esto garantiza el cifrado completo de la carga útil de autenticación.

Un gran centro de convenciones que alberga hasta 20,000 usuarios simultáneos necesita implementar una red WiFi para invitados. La red debe ofrecer una experiencia de inicio de sesión fluida a través de un Captive Portal, aplicar un límite de sesión de 3 horas para evitar el acaparamiento de ancho de banda y recopilar el consentimiento de marketing de conformidad con el GDPR. La infraestructura consta de WLC Cisco Catalyst.

Desplegaremos un SSID abierto con Bypass de Autenticación MAC (MAB) y redirección a un captive portal integrado con la plataforma Purple.

  1. Configurar el SSID para invitados: En el Cisco WLC, cree un SSID llamado Convention_Guest. Establezca la seguridad como abierta. Habilite el filtrado MAC y seleccione el grupo de servidores RADIUS asociado con Purple.
  2. Configurar la redirección: Configure una política de autenticación web en el WLC para redireccionar a los usuarios no autenticados a la URL del captive portal de Purple: https://portal.purplewifi.net/....
  3. Configurar el Walled Garden: Cree una lista de control de acceso (ACL) en el WLC llamada GUEST_RED_ACL. Esta ACL debe permitir el tráfico DNS (puerto UDP 53), el tráfico DHCP (puertos UDP 67 y 68) y el tráfico hacia y desde los rangos de IP y CDN de Purple. Todo el demás tráfico HTTP/HTTPS debe ser redireccionado.
  4. Configurar la contabilidad de RADIUS: Habilite la contabilidad de RADIUS en el WLC, apuntando a los servidores de contabilidad de Purple con un intervalo de actualización provisional de 10 minutos.
  5. Configurar límites de sesión: En el panel del portal de Purple, configure el proceso de acceso para exigir un límite de tiempo de sesión de 3 horas. Una vez que el usuario completa el inicio de sesión y acepta los términos de marketing que cumplen con el GDPR, el servidor RADIUS de Purple envía un paquete Access-Accept al Cisco WLC que contiene el atributo Session-Timeout establecido en 10800 segundos (3 horas).
  6. Flujo de reautenticación: Después de 3 horas, el WLC finaliza la sesión. Si el usuario intenta reconectarse, es redireccionado de nuevo al captive portal para reautenticarse.
Comentario del examinador: In entornos de alta densidad como centros de convenciones, la gestión de los pools de direcciones IP y los estados de sesión es fundamental. Exigir un límite de tiempo de sesión estricto de 3 horas mediante atributos RADIUS garantiza que los dispositivos inactivos no retengan direcciones IP, lo que evita el agotamiento del pool DHCP. El uso de MAB garantiza que, una vez autenticado, la dirección MAC del usuario se almacene en caché durante la sesión, evitando molestas desconexiones si el dispositivo entra temporalmente en modo de suspensión.

Preguntas de práctica

Q1. Una organización renovó recientemente el certificado SSL en su servidor RADIUS. Inmediatamente después, varias laptops Windows administradas por la empresa no pudieron conectarse a la red WiFi del personal, mientras que los dispositivos macOS y iOS se conectaron sin problemas. ¿Cuál es la causa más probable de este problema y cómo debería resolverse?

Sugerencia: Considere cómo los diferentes sistemas operativos validan los certificados de servidor y el papel de la cadena de la Autoridad de Certificación (CA).

Ver respuesta modelo

La causa más probable es que el nuevo certificado del servidor RADIUS fue emitido por una Autoridad de Certificación (CA) diferente o una CA intermedia que no es de confianza para las laptops Windows afectadas, o la Directiva de grupo de Windows está configurada para validar la conexión a un nombre de servidor específico o a una CA raíz que no coincide con el nuevo certificado. Los dispositivos macOS y iOS suelen ser más permisivos o solicitan al usuario que confíe en el nuevo certificado de forma manual, mientras que las configuraciones empresariales de Windows bloquean estrictamente las conexiones a certificados no confiables sin previo aviso. Para resolver esto, verifique que los certificados raíz e intermedios de la nueva CA se distribuyan a todos los dispositivos Windows a través de la Directiva de grupo o MDM, y actualice la configuración del perfil inalámbrico para confiar en la nueva CA.

Q2. Durante las horas pico en un importante estadio deportivo, los usuarios de la red WiFi de invitados informan que completan con éxito el registro en el Captive Portal pero no son redirigidos a Internet. En su lugar, se les muestra repetidamente la página de inicio de sesión del Captive Portal. Los registros del WLC muestran "tiempo de espera de autenticación RADIUS expirado". ¿Cómo diagnosticaría y resolvería este problema?

Sugerencia: Analice la ruta del paquete RADIUS y los ajustes de tiempo de espera en el controlador inalámbrico.

Ver respuesta modelo

Este es un problema clásico de tiempo de espera provocado por la latencia. Durante las horas pico, el alto volumen de tráfico causa congestión en el enlace WAN o una alta utilización de CPU en el servidor RADIUS, lo que retrasa la respuesta RADIUS Access-Accept. Debido a que el tiempo de espera predeterminado del WLC está configurado demasiado bajo (normalmente 2 segundos), el WLC asume que el servidor RADIUS está fuera de línea y cancela la sesión, obligando al usuario a volver al Captive Portal. Para diagnosticar, verifique el tiempo de ida y vuelta (RTT) de los paquetes RADIUS durante las horas pico. Para resolverlo: 1) Aumente el tiempo de espera de RADIUS en el WLC a 5 o 7 segundos. 2) Aumente el recuento de reintentos a 3. 3) Implemente la Calidad de Servicio (QoS) en el gateway WAN para priorizar el tráfico RADIUS (UDP 1812/1813) sobre el tráfico general de Internet de los invitados.

Q3. Una auditoría de seguridad revela que los usuarios de la red WiFi de invitados pueden acceder a las interfaces de gestión interna de los switches de red y los WLC. La red de invitados está configurada como un SSID abierto con un Captive Portal. ¿Qué cambios de arquitectura se deben realizar para mitigar esta vulnerabilidad?

Sugerencia: Piense en la segmentación de red y dónde se deben aplicar las políticas de control de acceso.

Ver respuesta modelo

Para mitigar esta vulnerabilidad, se debe aplicar una segmentación de red estricta. Primero, asegúrese de que el SSID de invitados esté asignado a una VLAN de invitados dedicada (por ejemplo, VLAN 20) que esté completamente separada de la VLAN del personal y de la VLAN de gestión (donde residen los switches y los WLC). Segundo, configure Listas de Control de Acceso (ACL) o reglas de firewall en el router principal o gateway para bloquear todo el tráfico originado en la VLAN de invitados con destino a cualquier subred de IP privada interna (rangos RFC 1918), apuntando específicamente a las direcciones IP de gestión de la infraestructura de red. La VLAN de invitados solo debe tener rutas de enlace hacia Internet y hacia los servidores DNS específicos y las direcciones IP del Captive Portal requeridas para la preautenticación.

Continúe leyendo esta serie

Passpoint y OpenRoaming: Guía completa

Esta guía de referencia técnica proporciona un análisis exhaustivo de los frameworks Passpoint (Hotspot 2.0) y WBA OpenRoaming dentro de las redes WiFi empresariales. Detalla los protocolos de autenticación subyacentes, los componentes arquitectónicos y las estrategias de despliegue requeridas para establecer una conectividad de invitados segura y sin fricciones. Los arquitectos de red y los líderes de TI aprenderán a diseñar, implementar y solucionar problemas de estos estándares para eliminar las barreras de inicio de sesión manual mientras se mantiene la seguridad de nivel empresarial.

Leer la guía →

Cómo implementar SCEP para un BYOD seguro y el registro de redes en la educación superior

Esta guía técnica proporciona a los arquitectos de red y directores de TI un plan de acción independiente del proveedor para implementar el registro de certificados basado en SCEP para proteger las redes de campus de educación superior. Detalla cómo migrar de PEAP basado en contraseñas a 802.1X EAP-TLS, automatizar la incorporación de BYOD y aplicar una segmentación robusta de VLAN.

Leer la guía →

Server RADIUS: una guía completa para empresas

Esta guía proporciona a directores de TI, arquitectos de redes y directores de tecnología una referencia técnica definitiva sobre la autenticación de server RADIUS para WiFi empresarial. Abarca el marco AAA, la arquitectura 802.1X, la selección del método EAP, las ventajas y desventajas de la implementación en la nube frente a la local, y la asignación dinámica de VLAN. Los operadores de recintos en los sectores de hotelería, comercio minorista, eventos y el sector público encontrarán orientación de implementación práctica, casos de estudio del mundo real y los marcos de decisión necesarios para migrar de claves precompartidas inseguras a una arquitectura de control de acceso a la red segura y basada en la identidad.

Leer la guía →