Saltar al contenido principal
Español (México)

Implementación de WPA3-Enterprise para una seguridad inalámbrica mejorada

Esta guía de referencia técnica proporciona una hoja de ruta completa y práctica para los líderes de TI que realizan la transición de WPA2 a WPA3-Enterprise. Cubre los cambios de arquitectura, las mejoras de seguridad obligatorias como EAP-TLS y PMF, y las estrategias de implementación prácticas para proteger las redes corporativas en entornos empresariales complejos.

📖 6 min de lectura📝 1,275 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
Implementación de WPA3-Enterprise para una seguridad inalámbrica mejorada. Un informe de inteligencia de Purple WiFi. Bienvenido a la serie de informes técnicos de Purple. Hoy iremos directo a lo que importa: WPA3-Enterprise — qué significa realmente para su red, por qué el momento actual es crítico y cómo pasar de donde se encuentra hoy a una infraestructura inalámbrica totalmente compatible y preparada para el futuro. Si usted administra un grupo hotelero, un complejo comercial, un centro de conferencias o una instalación del sector público, este informe es para usted. No nos perderemos en teorías académicas. Hablaremos de decisiones reales, configuraciones reales y resultados reales. WPA3-Enterprise se convirtió en un requisito obligatorio para los dispositivos Wi-Fi CERTIFIED en 2020 y, sin embargo, la mayoría de los entornos empresariales siguen ejecutando WPA2. Esa brecha es su exposición al riesgo. PCI DSS 4.0, que entró en vigor en su totalidad en marzo de 2024, hace referencia explícita a estándares de autenticación más sólidos. Las obligaciones del GDPR en torno a la protección de datos por diseño se interpretan cada vez más para incluir la seguridad a nivel de red. La ventana para tratar a WPA3 como algo "deseable" se ha cerrado. Entremos en materia. Entonces, ¿qué cambia realmente con WPA3-Enterprise? Comencemos con la capa de autenticación. WPA2-Enterprise se basa en IEEE 802.1X con EAP — Protocolo de Autenticación Extensible — y esa parte no cambia con WPA3. Lo que cambia es todo lo que lo rodea: el saludo de conexión (handshake), el cifrado y la protección de tramas de gestión. Bajo WPA2, el saludo de conexión de cuatro vías utilizado para derivar las claves de sesión es vulnerable a ataques de diccionario fuera de línea. Un atacante captura el saludo de conexión, lo procesa fuera de línea y lo ejecuta contra una lista de palabras. Esta es la base del ataque KRACK — Key Reinstallation Attack — revelado en 2017. WPA3 reemplaza esto con SAE — Simultaneous Authentication of Equals —, que es un intercambio de claves basado en Diffie-Hellman. La diferencia crítica es que SAE proporciona secreto perfecto hacia adelante (forward secrecy). Incluso si un atacante captura cada paquete de una sesión y luego compromete una clave a largo plazo, no puede descifrar retroactivamente esa sesión. Cada sesión tiene sus propias claves efímeras. En el lado del cifrado, WPA2 utiliza CCMP-128 — Counter Mode con Cipher Block Chaining Message Authentication Code Protocol — basado en AES-128. WPA3-Enterprise exige GCMP-256 — Galois Counter Mode Protocol con claves de 256 bits — para su modo de seguridad de 192 bits. Este es el modo que usted desea para cualquier entorno que maneje datos confidenciales: registros médicos, datos de tarjetas de pago, información gubernamental. Luego está la Protección de Tramas de Gestión — PMF —, definida bajo IEEE 802.11w. Bajo WPA2, PMF es opcional. Bajo WPA3, es obligatorio. Las tramas de gestión son las señales de control que gestionan la asociación, desasociación y autenticación entre los clientes y los puntos de acceso. Sin PMF, un atacante puede falsificar tramas de desautenticación — forzando a los clientes a salir de la red — como un ataque de denegación de servicio o como un precursor de un ataque de intermediario (man-in-the-middle). La obligatoriedad de PMF cierra esa vía por completo.Ahora, la configuración del servidor RADIUS. Aquí es donde la mayoría de las implementaciones tienen éxito o se estancan. Su servidor RADIUS —ya sea Microsoft NPS, FreeRADIUS, Cisco ISE o Aruba ClearPass— debe estar configurado para admitir EAP-TLS como el método de autenticación principal para WPA3-Enterprise. EAP-TLS utiliza autenticación mutua basada en certificados. El cliente presenta un certificado, el servidor presenta un certificado y ambos se validan mutuamente. No hay contraseñas en este intercambio. Esto elimina por completo los ataques basados en credenciales. La infraestructura de certificados —su PKI— es la columna vertebral de esto. Necesita una Autoridad de Certificación (CA), ya sea interna mediante Microsoft Active Directory Certificate Services o un servicio de PKI basado en la nube. Cada dispositivo cliente necesita un certificado registrado, normalmente a través de su plataforma MDM —Intune, Jamf o similar. El servidor RADIUS necesita su propio certificado de servidor de una CA en la que confíen sus clientes. Y necesita un punto de conexión OCSP o CRL para que los clientes puedan validar la revocación de certificados en tiempo real. Para entornos donde el EAP-TLS completo no se puede lograr de inmediato —tal vez porque tiene una combinación de dispositivos administrados y no administrados—, EAP-TTLS o PEAP con MSCHAPv2 siguen siendo una opción como medida de transición. Pero quiero ser directo: los métodos EAP basados en credenciales son un trampolín, no el destino final. La postura de seguridad de EAP-TLS es categóricamente superior, y su hoja de ruta debería apuntar a ella. Una cosa más en el aspecto técnico: el modo de transición. La mayoría de los controladores inalámbricos modernos admiten el modo de transición WPA3, que permite que los clientes WPA2 y WPA3 se asocien al mismo SSID simultáneamente. Esta es su ruta de migración. Habilite el modo de transición, valide que los clientes WPA3 se estén autenticando correctamente, supervise sus registros y luego —una vez que tenga confianza en el parque de dispositivos clientes— cambie a WPA3-only. No intente realizar un corte abrupto el primer día. El modo de transición existe precisamente para evitar ese riesgo. Ahora permítame presentarle los tres modos de falla más comunes que veo en las implementaciones de WPA3-Enterprise y cómo evitarlos. Primero: la gestión del ciclo de vida de los certificados. Las organizaciones implementan PKI, emiten certificados y luego olvidan que los certificados caducan. El vencimiento de un certificado en su servidor RADIUS interrumpirá la autenticación de cada uno de los clientes de su red de forma simultánea. Necesita una renovación automatizada, alertas de monitoreo a los 90, 60 y 30 días antes del vencimiento, y un manual de procedimientos de renovación probado. Esto no es opcional. He visto a grandes grupos hoteleros perder todo el acceso inalámbrico corporativo porque un certificado RADIUS caducó durante un fin de semana festivo. Segundo: suposiciones de compatibilidad de clientes. No todos los dispositivos en su propiedad serán compatibles con WPA3. Los dispositivos IoT heredados (sistemas de gestión de edificios, terminales de punto de venta más antiguos, algunos sistemas de CCTV) pueden admitir únicamente WPA2 o incluso WPA. La respuesta es la segmentación de red. Coloque sus dispositivos corporativos compatibles con WPA3 en un SSID exclusivo para WPA3. Coloque su IoT heredado en una VLAN separada y aislada con WPA2, con reglas de firewall estrictas que eviten el movimiento lateral. No comprometa la postura de seguridad de su red principal para dar cabida a dispositivos heredados. Tercero: redundancia del servidor RADIUS. Un solo servidor RADIUS es un punto único de falla. En una implementación multisitio (una cadena minorista con 200 tiendas, por ejemplo), necesita como mínimo un servidor RADIUS primario y uno secundario, con conmutación por error configurada a nivel del controlador inalámbrico. Pruebe su conmutación por error. Pruébela activamente. Simule una falla del RADIUS primario en una ventana de mantenimiento y confirme que los clientes se autentiquen contra el secundario dentro de su umbral de tiempo de espera aceptable. Específicamente para entornos de hospitalidad (cualquiera que ejecute una plataforma de WiFi para invitados), tiene un desafío de red dual. Su red corporativa transporta dispositivos del personal y sistemas de back-office, y debería ser WPA3-Enterprise con EAP-TLS. Su red de invitados es un problema completamente diferente, que normalmente se maneja a través de un Captive Portal con autenticación social o por correo electrónico. Estos son SSIDs separados, VLANs separadas y políticas de seguridad separadas. No los mezcle. Algunas preguntas que me hacen con frecuencia. ¿Necesito nuevos puntos de acceso? Probablemente no. La mayoría de los puntos de acceso fabricados después de 2019 son compatibles con WPA3 mediante una actualización de firmware. Verifique las notas de la versión de su proveedor. Ruckus, Cisco Meraki, Aruba y Ubiquiti tienen soporte para WPA3 en sus firmwares actuales. ¿Cuánto tiempo toma una implementación completa? Para una propiedad minorista de 50 sitios con un MDM y Active Directory existentes, presupueste de 12 a 16 semanas. La creación de la PKI y la distribución de certificados es la tarea que toma más tiempo. ¿Cuánto cuesta esto? Es probable que ya cuente con los componentes de infraestructura (RADIUS, PKI, MDM). El costo incremental corresponde a los servicios profesionales de configuración y pruebas, más cualquier costo de reemplazo o actualización de firmware de los puntos de acceso. Para la mayoría de las organizaciones, la mitigación del riesgo de cumplimiento por sí sola justifica la inversión. ¿Afecta WPA3 al rendimiento? De manera insignificante. GCMP-256 es computacionalmente eficiente. En la práctica, no notará una diferencia de rendimiento en el hardware moderno. Para concluir: WPA3-Enterprise no es una consideración a futuro. Es un requisito actual para cualquier organización que se tome en serio la seguridad de la red, el cumplimiento normativo y la protección de los datos de las personas que utilizan sus instalaciones. Sus siguientes pasos inmediatos: audite las versiones actuales de firmware de sus puntos de acceso y confirme la compatibilidad con WPA3. Evalúe su preparación de PKI: ¿tiene una CA interna o necesita crear una? Revise la configuración y redundancia de su servidor RADIUS. Y mapee su propiedad de dispositivos cliente para identificar cualquier dispositivo heredado que deba ser segmentado. La plataforma de Purple se integra directamente con su infraestructura inalámbrica para proporcionar la capa de análisis y gestión sobre la base de su red segura. Ya sea que dirija un grupo hotelero, una cadena de retail o un recinto público, la combinación de WPA3-Enterprise para su red corporativa y una capa de WiFi para invitados debidamente protegida le brinda tanto la postura de seguridad como la inteligencia de datos que su negocio necesita. Gracias por escuchar. Si desea profundizar en cualquiera de estos temas (autenticación de certificados, configuración de RADIUS o arquitectura de red de invitados), la guía escrita completa está disponible en el sitio web de Purple, junto con nuestra biblioteca más amplia de material de referencia técnica. Hasta la próxima.

header_image.png

执行摘要

对于企业 IT 领导者来说,向 WPA3-Enterprise 的过渡不再是未来的路线图项目;它是当前的运营要求。自 2020 年起,WPA3 已成为所有 Wi-Fi 认证设备的强制性要求,然而许多企业网络——涵盖酒店、零售和公共部门场所——仍停留在 WPA2。这一差距代表着显著的风险暴露,特别是因为合规框架如 PCI DSS 4.0 和 GDPR 日益要求强大、先进的网络安全控制。

本指南提供了 WPA3-Enterprise 的全面技术剖析,重点关注其相对于 WPA2 的根本架构改进。我们详细说明了向更强加密(GCMP-256)的强制性转变、受保护管理帧 (PMF) 的必要性,以及通过 EAP-TLS 实现基于证书的相互身份验证的关键实施。本文档面向网络架构师和 CTO,避开学术理论,提供可操作的部署策略、故障排除方法和真实案例研究,以确保安全、可扩展和合规的无线基础设施。

收听配套的技术简报播客,了解执行概述:

技术深潜:WPA3-Enterprise 架构

WPA2 和 WPA3-Enterprise 的根本区别不在于底层的 802.1X 框架,该框架仍然是基于端口的网络访问控制的标准,而在于围绕它构建的加密协议和管理帧保护。WPA3 解决了其前身的系统性漏洞,特别针对离线字典攻击和管理帧操纵。

身份验证和密钥交换

WPA2-Enterprise 依赖 4 次握手来派生会话密钥,这一过程已被证明容易受到密钥重装攻击 (KRACK) 和离线字典暴力破解(如果使用弱凭据)的攻击。WPA3 通过实施同时等值身份验证 (SAE) 来缓解这一问题,这是一种基于 Diffie-Hellman 的密钥交换协议。SAE 确保了前向保密性;即使攻击者获取了长期密钥,也无法追溯解密捕获的流量,因为每个会话都使用临时的、唯一的密钥。

对于企业环境,核心身份验证机制果断转向 EAP-TLS(可扩展身份验证协议-传输层安全)。虽然 WPA2 允许使用较弱的基于凭据的方法,如 PEAP 或 EAP-TTLS,但 WPA3-Enterprise 强烈建议,并在高安全性 192 位模式中强制要求 EAP-TLS。这需要基于证书的相互身份验证,完全消除密码并中和凭据窃取途径。

加密增强

WPA2 使用基于 AES-128 的 CCMP-128(计数器模式及密码块链接消息身份验证码协议)。WPA3-Enterprise 引入了一个可选但强烈推荐的 192 位安全套件,与商业国家安全算法 (CNSA) 套件保持一致。此模式强制使用 GCMP-256(256 位密钥的 Galois/计数器模式协议)进行强健加密,同时使用 384 位椭圆曲线密码学进行密钥建立和管理。

wpa3_vs_wpa2_comparison.png

受保护管理帧 (PMF)

根据 IEEE 802.11w,受保护管理帧保护管理客户端关联、取消关联和身份验证的控制信号。在 WPA2 中,PMF 是可选的,使网络容易受到伪造的取消身份验证帧的攻击——这是拒绝服务或中间人攻击的常见前兆。WPA3 强制要求所有连接使用 PMF,从根本上关闭了这一攻击途径。

实施指南:部署 WPA3-Enterprise

在数百个零售地点或庞大的酒店综合体上过渡企业网络需要分阶段、有条不紊的方法。以下步骤概述了一种与供应商无关的部署策略。

wpa3_architecture_overview.png

第 1 阶段:基础设施审计和 PKI 准备

实施 WPA3-Enterprise(特别是使用 EAP-TLS)的先决条件是强大的公钥基础设施 (PKI)。

  1. 评估 RADIUS 能力: 确保您的 RADIUS 服务器(例如,Cisco ISE、Aruba ClearPass、FreeRADIUS)支持 WPA3 参数并已配置 EAP-TLS。
  2. 建立证书颁发机构 (CA): 部署内部 CA(如 Microsoft AD CS)或利用基于云的 PKI 服务。
  3. MDM 集成: 利用移动设备管理 (MDM) 平台(Intune、Jamf)自动向受管设备部署客户端证书。这对可扩展性至关重要。

有关证书部署的进一步阅读,请参阅 WiFi 证书身份验证:数字证书如何保护无线网络

第 2 阶段:启用 WPA3 过渡模式

在多样化的企业环境中,硬切换很少可行。大多数企业无线局域网控制器支持 WPA3 过渡模式,允许单个 SSID 同时接受 WPA2 和 WPA3 客户端。

  1. 配置过渡 SSID: 在公司 SSID 上启用 WPA3 过渡模式。
  2. 监控客户端关联: 使用无线管理仪表板监控客户端连接。确保现代设备成功协商 WPA3,而旧设备回退到 WPA2。
  3. 解决兼容性问题: 识别无法关联的设备。通常,旧无线驱动程序难以满足 WPA3 的强制性 PMF 要求,即使在过渡模式下也是如此。尽可能更新驱动程序。

第 3 阶段:网络分段和遗留设备隔离

并非所有设备都支持 WPA3。遗留物联网设备、较旧的销售点系统或 医疗保健 环境中的专业医疗设备通常缺乏必要的硬件或固件更新。

  1. 隔离遗留设备: 为这些设备创建一个专用的、隔离的 VLAN 和一个单独的仅 WPA2 的 SSID。
  2. 实施严格的访问控制: 对此遗留 VLAN 应用严格的防火墙规则,防止横向移动到安全的 WPA3 公司网络。

第 4 阶段:全面强制 WPA3

一旦绝大多数公司设备成功使用 WPA3,并且遗留设备已分段,将主要公司 SSID 转换为仅 WPA3-Enterprise。

企业环境最佳实践

实施技术只是成功的一半;维护其完整性需要持续的运营纪律。

  • 自动化证书生命周期管理: EAP-TLS 失败的最常见原因是证书过期。实施自动续订流程和警报机制,在 RADIUS 服务器证书到期前 90 天、60 天和 30 天提醒。
  • 确保 RADIUS 冗余: 单个 RADIUS 服务器是单点故障。在地理位置不同的位置部署主 RADIUS 服务器和辅助 RADIUS 服务器,在无线控制器上配置无缝故障切换。
  • 分离访客和公司网络: 绝不要将公司安全策略与访客访问混淆。公司网络需要具有 EAP-TLS 的 WPA3-Enterprise。访客网络应使用隔离的 VLAN,通常通过 Captive Portal 管理。Purple 的 Guest WiFi 解决方案提供安全、合规的访客访问,同时捕获有价值的 WiFi Analytics
  • 利用 OpenRoaming 为了在不同场所实现无缝、安全的连接,考虑实施 Passpoint/Hotspot 2.0。Purple 在 Connect 许可证下作为 OpenRoaming 等服务的免费身份提供商,促进无摩擦、安全的访问,而不会损害企业安全标准。

故障排除与风险缓解

即使经过精心规划,部署也会遇到摩擦。以下是常见故障模式和缓解策略。

症状:启用过渡模式时客户端无法连接。

根本原因: 旧客户端驱动程序在遇到接入点在过渡模式中广播的强制性 PMF(受保护管理帧)时经常失败,即使它们尝试进行 WPA2 连接。 缓解措施: 更新客户端无线网络接口 (NIC) 驱动程序。如果更新不可用,必须将设备移至隔离的仅 WPA2 的 SSID。

症状:所有设备普遍身份验证失败。

根本原因: RADIUS 服务器证书已过期,或者根 CA 证书已被吊销或从客户端信任存储中删除。 缓解措施: 立即续订并部署 RADIUS 服务器证书。查看自动化生命周期管理警报以防止再次发生。

症状:在接入点之间漫游时延迟高。

根本原因: 802.11r(快速 BSS 过渡)配置错误或与正在使用的特定 EAP 方法不兼容。 缓解措施: 确保 802.11r 已明确启用,并受 WLAN 控制器和客户端设备为 WPA3 SSID 支持。在维护窗口期间测试漫游性能。

投资回报率和业务影响

向 WPA3-Enterprise 的过渡需要对专业服务、潜在的硬件更新和 PKI 基础设施进行投资。然而,投资回报是通过风险缓解和合规性遵守来衡量的。

对于大型 零售 连锁店,涉及支付卡信息的数据泄露成本远远超过 WPA3 的部署成本。PCI DSS 4.0 合规要求强健的加密和身份验证;WPA3-Enterprise 直接满足这些要求,简化合规审计并避免潜在罚款。

此外,现代化无线基础设施为未来的数字计划提供了稳定、高性能的基础,无论是在 酒店业 部署先进的物联网传感器,还是启用安全的移动销售点系统。业务影响是一个弹性、合规且面向未来的网络架构。

Definiciones clave

WPA3-Enterprise

El estándar actual para la seguridad inalámbrica empresarial, que exige un cifrado más fuerte, tramas de gestión protegidas y secreto hacia adelante, generalmente implementado con 802.1X y RADIUS.

Requerido para el cumplimiento normativo (PCI DSS, GDPR) y para proteger los datos corporativos contra ataques criptográficos modernos.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Un marco de autenticación que requiere que tanto el cliente como el servidor RADIUS presenten certificados digitales para verificar la identidad del otro.

El estándar de oro para la autenticación WPA3-Enterprise, eliminando la dependencia de contraseñas de usuario vulnerables.

PMF (Protected Management Frames)

Un estándar de seguridad (802.11w) que cifra las tramas de control utilizadas para la asociación y desasociación de clientes.

Obligatorio en WPA3, PMF evita que los atacantes falsifiquen paquetes de desautenticación para desconectar a los usuarios de la red o ejecutar ataques de intermediario (man-in-the-middle).

SAE (Simultaneous Authentication of Equals)

Un protocolo seguro de establecimiento de claves utilizado en WPA3 que reemplaza el vulnerable saludo de conexión de 4 vías (4-way handshake) de WPA2.

SAE proporciona secreto hacia adelante y protege contra ataques de diccionario fuera de línea, garantizando que incluso si una contraseña es débil, el saludo de conexión (handshake) no se pueda descifrar por fuerza bruta.

GCMP-256 (Galois/Counter Mode Protocol)

Un protocolo de cifrado altamente seguro y eficiente que utiliza claves de 256 bits.

Obligatorio para la suite de seguridad de 192 bits de WPA3-Enterprise, requerido para entornos que manejan datos altamente confidenciales como registros gubernamentales o financieros.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red centralizado que proporciona gestión de Autenticación, Autorización y Contabilidad (AAA) para los usuarios que se conectan a un servicio de red.

El servidor backend central en una implementación de WPA3-Enterprise que valida los certificados o credenciales del cliente antes de otorgar acceso a la red.

Forward Secrecy

Una característica criptográfica que garantiza que las claves de sesión sean efímeras; comprometer una clave a largo plazo en el futuro no permitirá a un atacante descifrar sesiones grabadas en el pasado.

Una mejora crítica en WPA3 proporcionada por el saludo de conexión SAE, que protege los datos históricos.

PKI (Public Key Infrastructure)

El marco de roles, políticas, hardware, software y procedimientos necesarios para crear, gestionar, distribuir, utilizar, almacenar y revocar certificados digitales.

La infraestructura previa necesaria para implementar la autenticación EAP-TLS en un entorno WPA3-Enterprise.

Ejemplos resueltos

Un hotel de lujo de 200 habitaciones está actualizando su red corporativa a WPA3-Enterprise. Tienen una combinación de laptops corporativas modernas, iPads utilizados por el personal de conserjería y cerraduras de puertas heredadas con Wi-Fi que solo admiten WPA2. ¿Cómo debería el arquitecto de red diseñar los SSID y las VLAN para garantizar la máxima seguridad sin afectar la funcionalidad operativa?

El arquitecto debe emplear la segmentación de red.

  1. Crear un SSID corporativo principal ('HotelCorp_Secure') configurado únicamente para WPA3-Enterprise, utilizando EAP-TLS. Distribuir certificados a todas las laptops corporativas e iPads a través de la solución MDM del hotel. Asignar este SSID a la VLAN corporativa principal.
  2. Crear un SSID secundario y oculto ('Hotel_IoT_Legacy') configurado para WPA2-Personal (PSK) o WPA2-Enterprise (si las cerraduras lo admiten), utilizando una frase de contraseña compleja y rotativa o la omisión de autenticación MAC (MAB).
  3. Asignar el SSID heredado a una VLAN aislada y fuertemente restringida. Configurar reglas de firewall para permitir que las cerraduras de las puertas se comuniquen ÚNICAMENTE con el servidor de gestión de puertas específico, ya sea local o en la nube, bloqueando todo movimiento lateral hacia la VLAN corporativa o a internet.
Comentario del examinador: Este enfoque prioriza correctamente la seguridad para los dispositivos compatibles mientras se adapta al hardware heredado. Intentar utilizar el modo de transición WPA3 en un solo SSID a menudo falla porque los dispositivos IoT heredados suelen fallar al encontrar tramas PMF obligatorias. La segmentación física/lógica es el único método seguro para gestionar entornos con capacidades mixtas.

Una organización del sector público ha implementado WPA3-Enterprise con EAP-TLS. Un lunes por la mañana, ningún miembro del personal puede conectarse a la red inalámbrica. El controlador inalámbrico muestra que los clientes se están asociando, pero fallan en la autenticación RADIUS. ¿Cuál es la causa más probable y cuál es el paso de remediación inmediato?

La causa más probable es un certificado de servidor RADIUS vencido. Debido a que EAP-TLS se basa en la autenticación mutua, si el servidor presenta un certificado vencido, los clientes rechazarán inmediatamente la conexión y finalizarán el saludo (handshake).

Remediación inmediata: El equipo de TI debe generar una nueva Solicitud de Firma de Certificado (CSR) desde el servidor RADIUS, hacer que la firme la CA interna y vincular el nuevo certificado a la política de autenticación EAP-TLS en el servidor RADIUS. Posteriormente, se deben reiniciar los servicios.

Comentario del examinador: Este escenario resalta la importancia crítica de la gestión del ciclo de vida de los certificados. EAP-TLS es altamente seguro pero frágil si los procesos administrativos fallan. La organización debe implementar alertas automatizadas para el vencimiento de certificados para evitar futuras interrupciones del servicio.

Preguntas de práctica

Q1. Usted es el arquitecto de red de una gran cadena de tiendas que está implementando WPA3-Enterprise. Durante la fase piloto en tres tiendas que utilizan WPA3 Transition Mode, varios escáneres de códigos de barras más antiguos se desconectan con frecuencia de la red y requieren reinicios manuales para volver a conectarse. Las tablets modernas se conectan sin problemas. ¿Cuál es la respuesta arquitectónica más adecuada?

Sugerencia: Considere cómo los controladores inalámbricos heredados manejan las tramas de administración desconocidas transmitidas en Transition Mode.

Ver respuesta modelo

Es probable que los escáneres de códigos de barras se estén bloqueando debido a las Protected Management Frames (PMF) obligatorias transmitidas por los AP en Transition Mode. La respuesta adecuada es abandonar el Transition Mode para estos dispositivos. Cree un SSID exclusivo y oculto solo para WPA2, asignado a una VLAN aislada específicamente para los escáneres, y configure el SSID corporativo principal en WPA3-Enterprise únicamente para las tablets modernas.

Q2. Un CTO ordena la implementación de WPA3-Enterprise en todas las oficinas corporativas en un plazo de 60 días para cumplir con los nuevos requisitos de conformidad. El entorno actual utiliza WPA2-Enterprise con PEAP-MSCHAPv2 (usuario/contraseña). La organización no cuenta actualmente con una Autoridad de Certificación (CA) interna ni con una solución de gestión de dispositivos móviles (MDM). ¿Es realista este plazo y cuál es la ruta crítica?

Sugerencia: Evalúe los requisitos previos para el método de autenticación WPA3 recomendado (EAP-TLS).

Ver respuesta modelo

El plazo de 60 días es sumamente poco realista. Para implementar correctamente WPA3-Enterprise, la organización debería migrar a EAP-TLS para eliminar las vulnerabilidades de las credenciales. La ruta crítica requiere diseñar e implementar una PKI (Autoridad de Certificación) e implementar una solución MDM para distribuir los certificados de cliente. Construir esta infraestructura desde cero, probarla y registrar todos los dispositivos corporativos casi con seguridad superará los 60 días. El arquitecto debe comunicar esta dependencia al CTO.

Q3. Durante una auditoría de seguridad, un examinador observa que sus servidores RADIUS están configurados para EAP-TLS, pero la función de 'comprobación de la Lista de Revocación de Certificados (CRL)' está desactivada en los controladores inalámbricos y en los servidores RADIUS. ¿Por qué es este un hallazgo de seguridad importante en un entorno WPA3?

Sugerencia: ¿Qué sucede si roban una laptop corporativa, pero su certificado aún no ha expirado?

Ver respuesta modelo

Sin la comprobación de CRL u OCSP activada, el servidor RADIUS no tiene forma de saber si un certificado presentado ha sido revocado por la CA antes de su fecha de expiración natural. Si se pierde un dispositivo o se despide a un empleado, su certificado debe ser revocado. Si la comprobación de revocación está desactivada, ese certificado comprometido aún se puede utilizar para autenticarse con éxito y acceder a la red WPA3-Enterprise, anulando por completo el propósito de la autenticación mutua.

Continúe leyendo esta serie