Saltar al contenido principal
Español (México)

RadSec: Cómo RADIUS sobre TLS mejora la seguridad de la autenticación WiFi

Esta referencia técnica autorizada explica cómo RadSec (RFC 6614) protege la autenticación WiFi empresarial al envolver el tráfico RADIUS tradicional en un cifrado TLS. Diseñado para gerentes de TI y arquitectos de redes, cubre la arquitectura, las estrategias de implementación y los pasos prácticos para mitigar los riesgos del tráfico UDP RADIUS no cifrado en redes corporativas y de invitados.

📖 4 min de lectura📝 871 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
RadSec: Cómo RADIUS sobre TLS mejora la seguridad de la autenticación WiFi Un informe de inteligencia de Purple Enterprise WiFi Tiempo aproximado de lectura: 10 minutos --- [INTRODUCCIÓN Y CONTEXTO — aprox. 1 minuto] Bienvenido a la serie de inteligencia de Purple Enterprise WiFi. Soy su anfitrión, y hoy abordaremos un tema que se encuentra justo en la intersección de la seguridad de la red y el riesgo operativo: RadSec —formalmente definido en el RFC 6614— y por qué debería estar en su hoja de ruta de infraestructura si aún no lo está. Si usted es un gerente de TI, arquitecto de redes o CTO responsable del WiFi empresarial en un grupo hotelero, una cadena de tiendas, un estadio o un campus del sector público, este informe es para usted. Vamos a cubrir qué es realmente RadSec, por qué el protocolo RADIUS tradicional lo deja expuesto, cómo implementar RadSec en un entorno del mundo real y los errores comunes que atrapan a los equipos. Nada de teoría por el simple hecho de teorizar — solo la información que necesita para tomar una decisión este trimestre. Comencemos. --- [ANÁLISIS TÉCNICO DETALLADO — aprox. 5 minutos] Empecemos con el problema. RADIUS —Remote Authentication Dial-In User Service— ha sido la columna vertebral de la autenticación WiFi empresarial desde la década de 1990. Cuando un usuario o dispositivo se conecta a su WiFi corporativo o de invitados, el punto de acceso actúa como un cliente RADIUS, reenviando las solicitudes de autenticación a un servidor RADIUS, el cual valida las credenciales contra su directorio —Active Directory, LDAP o un proveedor de identidad en la nube— y otorga o deniega el acceso. Este es el modelo de autenticación 802.1X que sustenta las redes WPA2-Enterprise y WPA3-Enterprise. El problema es que el RADIUS tradicional fue diseñado para una era diferente. Funciona sobre UDP —User Datagram Protocol— en los puertos 1812 y 1813. UDP no está orientado a la conexión, lo que significa que no hay un saludo de tres vías (handshake), no hay estado de sesión y, fundamentalmente, no hay cifrado nativo. La única protección entre su punto de acceso y su servidor RADIUS es un secreto compartido —esencialmente una contraseña— que se utiliza para ofuscar la contraseña del usuario en tránsito mediante el hash MD5. MD5, como la mayoría de ustedes sabrá, está criptográficamente roto. Ha estado roto durante años. ¿Qué significa esto en la práctica? Significa que en cualquier segmento de red donde un atacante pueda interceptar el tráfico RADIUS —lo que incluye switches comprometidos, dispositivos no autorizados en su VLAN de administración o cualquier punto entre un punto de acceso remoto y un servidor RADIUS alojado en la nube— potencialmente pueden capturar los intercambios de autenticación, intentar ataques de diccionario sin conexión contra el secreto compartido y, en algunas configuraciones, exponer las credenciales de los usuarios por completo. Para un grupo hotelero que ofrece WiFi para invitados en 200 propiedades, o una cadena de tiendas con puntos de acceso en cada sucursal que se conectan a un servidor RADIUS central a través de la internet pública, este no es un riesgo teórico. Es una superficie de ataque activa. Esto es exactamente lo que RadSec resuelve. RadSec —definido en RFC 6614 y actualizado por RFC 7360— envuelve el tráfico RADIUS dentro de un túnel TLS. En lugar de UDP, utiliza TCP en el puerto 2083. En lugar de un secreto compartido y MD5, utiliza autenticación TLS mutua con certificados X.509. Tanto el cliente RADIUS como el servidor RADIUS presentan certificados, verifican la identidad del otro y establecen una sesión cifrada antes de que se intercambie cualquier dato de autenticación. TLS 1.3 es la versión recomendada actualmente, lo que proporciona confidencialidad directa y elimina una serie de vulnerabilidades de cifrado heredadas. El efecto práctico es significativo. Los datos de credenciales, los atributos de usuario y los tokens de sesión se cifran de extremo a extremo entre el punto de acceso —o un proxy RadSec— y el servidor RADIUS. Un atacante que intercepte el tráfico en el cable solo verá registros TLS cifrados. El secreto compartido sigue presente por compatibilidad con versiones anteriores, pero ya no realiza ningún trabajo de seguridad significativo; TLS se encarga de la carga. Hay otra dimensión aquí que es cada vez más relevante: el roaming. La federación Eduroam, utilizada por universidades e instituciones de investigación en toda Europa y más allá, ha estado ejecutando RadSec durante años como parte de su infraestructura de roaming interinstitucional. Más recientemente, el estándar OpenRoaming de la Wi-Fi Alliance —que permite un roaming de WiFi sin interrupciones en los lugares participantes— exige RadSec para todo el tráfico de la federación. Si estás implementando una infraestructura compatible con OpenRoaming, RadSec no es opcional; es un prerrequisito. Purple admite OpenRoaming bajo su licencia Connect, actuando como un proveedor de identidad dentro de la federación, y RadSec es fundamental para el funcionamiento de esa red de roaming seguro. Desde el punto de vista del cumplimiento, RadSec es cada vez más relevante para PCI DSS 4.0, que endurece los requisitos en torno a la protección de los datos de autenticación en tránsito. Si tu infraestructura de WiFi entra en contacto con entornos de tarjetas de pago —y en el sector minorista y de la hospitalidad, con frecuencia lo hace—, la brecha de cifrado en el RADIUS tradicional es un hallazgo que tarde o temprano ocurrirá. El GDPR exige de manera similar medidas técnicas adecuadas para proteger los datos personales; las credenciales de usuario y los metadatos de sesión que fluyen sin cifrar a través de tu red son difíciles de defender en una auditoría de protección de datos. Ahora hablemos de arquitectura. Existen dos patrones de implementación principales para RadSec. El primero es el soporte nativo de RadSec en tu servidor RADIUS y puntos de acceso. FreeRADIUS 3.0 y versiones superiores admiten RadSec de forma nativa. Microsoft NPS no admite RadSec de forma nativa en las versiones actuales, lo que representa una limitación significativa para las organizaciones que ejecutan una infraestructura centrada en Windows. Cisco ISE admite RadSec. Aruba ClearPass admite RadSec. Si tanto el servidor RADIUS como el proveedor de tus puntos de acceso admiten RadSec de forma nativa, este es el camino más limpio: configura certificados TLS en ambos extremos, abre el puerto TCP 2083 en tu firewall y estarás cifrando el tráfico RADIUS de extremo a extremo. El segundo patrón es un proxy RadSec. Esta es la implementación más común en la práctica, particularmente para organizaciones con infraestructura RADIUS heredada o entornos de múltiples proveedores. Un proxy RadSec — radsecproxy es la implementación de código abierto más utilizada — se ubica entre sus puntos de acceso y su servidor RADIUS. Los puntos de acceso envían RADIUS estándar sobre UDP al proxy en la red local. El proxy termina esa conexión, vuelve a encapsular el tráfico RADIUS dentro de un túnel TLS y lo reenvía al servidor RADIUS ascendente a través de TCP 2083. Este enfoque le permite agregar RadSec a una infraestructura existente sin reemplazar su servidor RADIUS, y es particularmente útil cuando su servidor RADIUS está alojado en la nube o se accede a él a través de la internet pública. La gestión de certificados es la complejidad operativa que debe planificar. Necesitará una PKI — Infraestructura de Clave Pública — para emitir y gestionar los certificados X.509 utilizados para TLS mutuo. Eso significa una Autoridad de Certificación, emisión de certificados para cada cliente y servidor RADIUS, y un proceso para la rotación de certificados antes de su vencimiento. Los certificados que vencen sin ser detectados interrumpirán la autenticación de todos los usuarios de su red simultáneamente, y ese es un escenario que desea evitar. Automatice la renovación de certificados utilizando ACME o la API de su CA, y configure alertas de monitoreo con suficiente anticipación a las fechas de vencimiento. --- [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — aprox. 2 minutos] Permítame darle las recomendaciones prácticas. Primero: realice una auditoría antes de implementar. Mapee cada cliente RADIUS — puntos de acceso, concentradores VPN, switches que realizan 802.1X — y cada servidor RADIUS en su entorno. Identifique cuáles admiten RadSec de forma nativa y cuáles necesitarán un proxy. Esta auditoría generalmente revela dispositivos heredados que no admiten TLS en absoluto, y esos deben estar en su plan de reemplazo. Segundo: comience con el tráfico de mayor riesgo. Si tiene tráfico RADIUS que atraviesa la internet pública — sitios remotos, RADIUS alojado en la nube, grupos hoteleros con múltiples propiedades —, esa es su primera prioridad. El tráfico RADIUS local en una VLAN de gestión bien segmentada es de menor riesgo, pero aun así debería estar en el plan de trabajo. Tercero: pruebe a fondo el TLS mutuo antes de la puesta en marcha. El modo de falla más común en las implementaciones de RadSec son los errores de validación de certificados: nombres comunes (Common Names) no coincidentes, certificados intermedios vencidos o clientes que no confían en la CA que firmó el certificado del servidor. Utilice openssl s_client para probar los saludos TLS (handshakes) antes de transferir el tráfico de producción. Cuarto: no descuide el monitoreo. RadSec agrega una capa de conexión TCP que el RADIUS tradicional no tiene. Las fallas de conexión TCP, los tiempos de espera de saludo TLS y los errores de certificado se manifestarán como fallas de autenticación para sus usuarios. Asegúrese de que los registros de su servidor RADIUS y los registros de su proxy se estén enviando a su SIEM o plataforma de monitoreo para que pueda distinguir un problema de conectividad RadSec de un problema de política de autenticación. El error que veo con más frecuencia es que las organizaciones implementan RadSec en el lado del servidor pero olvidan actualizar sus reglas de firewall. El puerto TCP 2083 debe estar abierto entre cada cliente RADIUS y el servidor o proxy RADIUS. Si está acostumbrado a administrar reglas UDP 1812, el puerto TCP 2083 puede pasarse por alto en el proceso de cambio de firewall. --- [PREGUNTAS Y RESPUESTAS RÁPIDAS — aprox. 1 minuto] Permítame repasar algunas preguntas que escucho con regularidad. "¿RadSec reemplaza a 802.1X?" No. RadSec asegura la capa de transporte entre el punto de acceso y el servidor RADIUS. 802.1X es el marco de autenticación entre el dispositivo cliente y el punto de acceso. Operan en diferentes capas y son complementarios. "¿RadSec es compatible con todos los proveedores de puntos de acceso?" No de forma universal. Cisco, Aruba, Ruckus y Meraki tienen diferentes niveles de soporte para RadSec; verifique su versión específica de firmware. Donde no haya soporte nativo, un proxy RadSec es su solución. "¿Qué pasa con DTLS — RADIUS sobre DTLS?" El RFC 7360 define RADIUS sobre DTLS, que utiliza UDP en lugar de TCP, conservando algunas de las características sin conexión del RADIUS tradicional al tiempo que agrega cifrado. Está menos implementado que RadSec sobre TLS, pero vale la pena evaluarlo si la latencia es una preocupación en entornos de alto rendimiento. "¿Cómo afecta esto al rendimiento del roaming?" La conexión TCP de RadSec es persistente, lo que de hecho puede mejorar el rendimiento del roaming en entornos federados al reducir la sobrecarga de configuración de la conexión para las solicitudes de autenticación posteriores. --- [RESUMEN Y PRÓXIMOS PASOS — aprox. 1 minuto] Para resumir: RadSec es la respuesta madura y basada en estándares a una brecha de seguridad real en el RADIUS tradicional. Si opera WiFi empresarial a escala —en múltiples sitios, a través de Internet o en entornos sujetos a PCI DSS o GDPR— la pregunta no es si debe implementar RadSec, sino cuándo y cómo. Sus próximos pasos: audite su infraestructura RADIUS esta semana. Identifique sus flujos de tráfico de mayor riesgo. Verifique la documentación del proveedor de su servidor RADIUS y de sus puntos de acceso para confirmar el soporte nativo de RadSec. Si utiliza FreeRADIUS, puede tener una implementación de prueba de RadSec funcionando en un día. Si utiliza Microsoft NPS, comience a evaluar un proxy o una ruta de migración a un servidor compatible con RadSec. La plataforma de Purple está diseñada para integrarse con la infraestructura RADIUS empresarial, admitiendo flujos de autenticación seguros tanto para entornos de WiFi corporativos como de invitados. Si desea comprender cómo se adapta RadSec a su implementación específica, el equipo de Purple puede guiarlo en el proceso. Gracias por escuchar. Hasta la próxima. --- FIN DEL GUION

header_image.png

Resumen Ejecutivo

El RADIUS tradicional sobre UDP (puertos 1812/1813) no fue diseñado para el panorama de amenazas empresariales modernas. Al depender únicamente de un secreto compartido y del hashing MD5, deja las credenciales de autenticación y los atributos de sesión vulnerables a la interceptación, particularmente cuando atraviesan redes públicas o grandes propiedades distribuidas como cadenas de hotelería y retail. RadSec (RADIUS sobre TLS, RFC 6614) resuelve esta brecha de seguridad fundamental al encapsular el tráfico RADIUS dentro de un túnel TLS 1.3 basado en TCP sobre el puerto 2083.

Para los CTO y arquitectos de red, implementar RadSec ya no es solo una buena práctica; es un requisito crítico para proteger el WiFi corporativo , mantener el cumplimiento de PCI DSS 4.0 y participar en marcos modernos de roaming federado como OpenRoaming. Esta guía detalla la arquitectura, los patrones de implementación y los requisitos operativos para asegurar su infraestructura de autenticación.

Análisis Técnico Profundo: RADIUS vs. RadSec

La Vulnerabilidad en el RADIUS Tradicional

En una implementación estándar de 802.1X, el punto de acceso (autenticador) reenvía las credenciales del cliente al servidor RADIUS (servidor de autenticación). En el RADIUS tradicional, esta carga útil se envía sobre UDP. La única protección es una clave precompartida (PSK) utilizada para ofuscar la contraseña a través de MD5.

Esta arquitectura presenta tres riesgos críticos:

  1. Falta de Cifrado de Transporte: Los atributos de usuario, las direcciones MAC y los datos de sesión se transmiten en texto plano.
  2. Debilidad Criptográfica: MD5 es vulnerable a ataques de diccionario fuera de línea si un atacante captura el tráfico.
  3. Sin Autenticación Mutua: El punto de acceso no puede verificar criptográficamente que se está comunicando con el servidor RADIUS legítimo, lo que permite ataques de servidores no autorizados.

La Arquitectura RadSec (RFC 6614)

RadSec aborda estas fallas al cambiar la capa de transporte de UDP a TCP y envolver toda la carga útil en TLS.

architecture_overview.png

  • Transporte: El puerto TCP 2083 garantiza una entrega confiable y conexiones con estado, mejorando el rendimiento en entornos de alta latencia.
  • Cifrado: TLS 1.2 o 1.3 proporciona un cifrado robusto de extremo a extremo de todos los atributos de RADIUS.
  • Autenticación Mutua: Tanto el cliente RADIUS (o proxy) como el servidor deben presentar certificados X.509 válidos emitidos por una Autoridad de Certificación (CA) de confianza. El secreto compartido se conserva únicamente por compatibilidad con versiones anteriores; TLS proporciona la seguridad real. Esta arquitectura es esencial para entornos distribuidos, como cadenas de Retail o establecimientos de Hospitality , donde los puntos de acceso reenvían las solicitudes de autenticación a través de la internet pública a un servidor RADIUS central o alojado en la nube.

Guía de Implementación

El despliegue de RadSec normalmente sigue uno de dos patrones: Soporte Nativo o Basado en Proxy.

Patrón 1: RadSec Nativo

Si su infraestructura lo soporta de forma nativa (por ejemplo, FreeRADIUS 3.0+, Cisco ISE, Aruba ClearPass), configure los certificados TLS directamente en el servidor RADIUS y en los puntos de acceso/controladores. Esto proporciona un cifrado real de extremo a extremo desde el borde hasta el núcleo.

Patrón 2: El Proxy RadSec

Muchos servidores RADIUS heredados (especialmente Microsoft NPS) no soportan RadSec de forma nativa. En estos entornos, se despliega un proxy (como radsecproxy).

  1. Tramo Local: El AP envía RADIUS UDP estándar al proxy local.
  2. Tramo WAN: El proxy encapsula el tráfico en TLS y lo envía a través de TCP 2083 al servidor ascendente.

Este patrón le permite asegurar el tráfico de red de área amplia sin necesidad de reemplazar la infraestructura heredada.

deployment_checklist.png

Integración con Purple

Las plataformas de Guest WiFi y WiFi Analytics de Purple se integran perfectamente con la infraestructura RADIUS empresarial. Bajo la licencia Connect, Purple actúa como un proveedor de identidad gratuito para OpenRoaming, donde RadSec es un requisito obligatorio para asegurar el tráfico de federación entre los establecimientos y el nodo central.

Mejores Prácticas

  1. Gestión del Ciclo de Vida de Certificados: TLS mutuo depende de certificados válidos. Implemente la renovación automatizada (por ejemplo, a través de ACME) y un monitoreo estricto. Un certificado vencido provocará una interrupción total de la autenticación.
  2. Configuración del Firewall: Asegúrese de que el puerto TCP 2083 esté explícitamente permitido tanto de salida desde el establecimiento como de entrada al servidor RADIUS. No asuma que se aplicarán las reglas existentes de UDP 1812.
  3. Priorizar el Tráfico de Alto Riesgo: Comience el despliegue en enlaces que atraviesan la internet pública o WANs no confiables antes de pasar a las VLAN de gestión local.

Para obtener más información sobre cómo asegurar el borde, lea nuestra guía sobre Seguridad en Puntos de Acceso: Su Guía Empresarial para 2026 .

Resolución de Problemas y Mitigación de Riesgos

Cuando RadSec falla, rara vez se trata de un problema de autenticación; casi siempre es un problema de TLS o TCP.

  • Síntoma: Los puntos de acceso se muestran como desconectados del servidor RADIUS.
    • Verificación: Reglas de firewall para TCP 2083. El RADIUS tradicional utiliza UDP; los equipos de red con frecuencia olvidan abrir el puerto TCP.
  • Síntoma: La conexión TCP se establece, pero la autenticación falla de inmediato.
    • Verificación: Validación de certificados. Verifique que el Common Name (CN) o el Subject Alternative Name (SAN) coincidan, que el certificado no haya expirado y que el cliente confíe en la CA emisora. Utilice openssl s_client -connect :2083 para depurar el handshake.

Asegúrese de que los fundamentos de su red sean sólidos. Revise nuestros consejos en Proteja su red con DNS sólido y seguridad .

ROI e impacto empresarial

Implementar RadSec es una inversión en mitigación de riesgos. El ROI se mide en la prevención de filtraciones de datos, multas por incumplimiento (PCI DSS, GDPR) y daños a la reputación. Además, permite la participación en federaciones de roaming modernas como OpenRoaming, lo que puede mejorar significativamente la experiencia del huésped en entornos de Salud y Transporte .

Escuche la sesión informativa

Para profundizar en las realidades operativas de la implementación de RadSec, escuche nuestra sesión informativa técnica de 10 minutos:

Para conocer los pasos de configuración específicos en dispositivos cliente, consulte Cómo configurar WiFi empresarial en iOS y macOS con 802.1X o la versión en portugués Como Configurar WiFi Corporativo em iOS e macOS com 802.1X .

Definiciones clave

RadSec

Una extensión del protocolo RADIUS que encapsula el tráfico RADIUS dentro de un túnel TLS a través del puerto TCP 2083.

Se utiliza para proteger el tráfico de autenticación al atravesar redes no confiables, evitando la interceptación de credenciales.

Mutual TLS (mTLS)

Un proceso de seguridad en el que tanto el cliente como el servidor presentan certificados X.509 para verificar la identidad del otro antes de establecer una conexión cifrada.

El mecanismo de autenticación principal de RadSec, que reemplaza la dependencia de secretos compartidos estáticos.

802.1X

El estándar IEEE para el control de acceso a la red basado en puertos, utilizado para autenticar dispositivos que intentan conectarse a una LAN o WLAN.

El marco que depende de RADIUS (y, por extensión, de RadSec) para validar las credenciales de los usuarios frente a un directorio.

radsecproxy

Un demonio de código abierto que actúa como proxy, convirtiendo el tráfico RADIUS UDP estándar en RadSec (TLS sobre TCP) y viceversa.

Se implementa cuando los puntos de acceso o los servidores RADIUS heredados, como Microsoft NPS, carecen de soporte nativo para RadSec.

OpenRoaming

Un estándar de federación desarrollado por la Wi-Fi Alliance que permite a los usuarios conectarse de forma segura y sin interrupciones a las redes WiFi participantes a nivel mundial.

OpenRoaming exige el uso de RadSec para proteger el tráfico de autenticación entre los establecimientos y los proveedores de identidad.

Shared Secret

Una cadena de texto estática utilizada en el RADIUS tradicional para ofuscar contraseñas y verificar el origen de las solicitudes.

Aunque técnicamente sigue presente en las configuraciones de RadSec para mantener la compatibilidad con versiones anteriores, es reemplazado por el cifrado TLS.

FreeRADIUS

Un servidor RADIUS de código abierto ampliamente implementado que ofrece soporte nativo para RadSec.

Se utiliza a menudo en entornos empresariales y federaciones de roaming debido a su flexibilidad y capacidades nativas de TLS.

PKI (Public Key Infrastructure)

El marco de funciones, políticas y software necesarios para crear, administrar, distribuir y revocar certificados digitales.

Un requisito previo para implementar RadSec, ya que se deben emitir y administrar certificados para todos los clientes y servidores RADIUS.

Ejemplos resueltos

Un grupo hotelero de 200 propiedades utiliza Microsoft NPS de forma centralizada para la autenticación del personal. Los puntos de acceso de cada hotel envían actualmente solicitudes RADIUS a través de la internet pública mediante UDP 1812. El CTO exige el cifrado de todo el tráfico de autenticación, pero reemplazar NPS no es una opción para este año.

Implementar un proxy RadSec (por ejemplo, radsecproxy) en cada hotel y un proxy correspondiente en el centro de datos central frente a los servidores NPS. Los AP locales envían UDP RADIUS al proxy local. El proxy local establece un túnel TLS mutuo sobre TCP 2083 a través de internet hacia el proxy central. El proxy central finaliza el túnel TLS y reenvía el UDP RADIUS estándar al servidor NPS.

Comentario del examinador: Este enfoque logra el objetivo principal de seguridad (cifrar los datos de autenticación a través de la WAN no confiable) sin requerir un reemplazo costoso y disruptivo de la infraestructura principal de Microsoft NPS. Introduce una carga de gestión de certificados para los proxies, la cual debe automatizarse.

Una gran universidad está implementando OpenRoaming en su campus para permitir un acceso sin fricciones a los académicos visitantes. Utilizan FreeRADIUS 3.0.

Habilitar RadSec nativo dentro de FreeRADIUS. Generar certificados X.509 de una CA de confianza para la federación OpenRoaming. Configurar el firewall del campus para permitir el tráfico TCP 2083 entrante y saliente hacia los hubs de la federación. Configurar los controladores de LAN inalámbrica para usar RadSec en todas las solicitudes de autenticación destinadas a la federación.

Comentario del examinador: Debido a que FreeRADIUS es compatible de forma nativa con RadSec, no se requiere ningún proxy. Esta es la arquitectura más limpia. La dependencia crítica aquí es garantizar que los certificados se alineen con los requisitos específicos de PKI de la federación OpenRoaming.

Preguntas de práctica

Q1. Su equipo ha implementado RadSec nativo entre los puntos de acceso de sus sucursales remotas y su servidor FreeRADIUS central. Los AP pueden hacer ping al servidor, pero las solicitudes de autenticación están agotando el tiempo de espera por completo y ningún tráfico llega a los registros de RADIUS.

Sugerencia: RadSec utiliza un protocolo de transporte y un puerto diferentes a los de RADIUS tradicional.

Ver respuesta modelo

Es probable que el firewall esté bloqueando el puerto TCP 2083. Los equipos de red acostumbrados al RADIUS tradicional a menudo solo permiten los puertos UDP 1812/1813. Debe permitir explícitamente el puerto TCP 2083 de salida desde la sucursal y de entrada al servidor RADIUS.

Q2. Está auditando la arquitectura de WiFi de un cliente minorista. Utilizan Microsoft NPS de forma centralizada. Los AP de sus tiendas envían solicitudes de autenticación a través de Internet mediante una VPN IPsec. ¿Se requiere RadSec en este caso?

Sugerencia: Considere las capas de cifrado que ya están implementadas.

Ver respuesta modelo

Aunque RadSec es una buena práctica, la VPN IPsec ya proporciona cifrado de capa de transporte para el tráfico RADIUS UDP a través de la red pública de Internet. Implementar RadSec aquí proporcionaría defensa en profundidad, pero es menos urgente que si el tráfico estuviera atravesando Internet de forma nativa.

Q3. Una semana después de una implementación exitosa del proxy RadSec, toda la autenticación WiFi en la empresa falla simultáneamente a las 09:00 AM de un lunes. El equipo de red confirma que las reglas del firewall no han cambiado.

Sugerencia: ¿Cuál es el mecanismo de autenticación principal para el propio túnel TLS?

Ver respuesta modelo

Es probable que los certificados X.509 utilizados para la autenticación TLS mutua hayan expirado. Cuando los certificados expiran, el saludo TLS falla, la conexión TCP se cae y el tráfico RADIUS no puede fluir. Implemente el monitoreo y la rotación automatizada de certificados para evitar esto.

Continúe leyendo esta serie

How to Configure SCEP for Automated Enterprise WiFi Certificate Enrollment

Esta guía explica cómo configurar SCEP (Simple Certificate Enrollment Protocol) para el registro automatizado de certificados de WiFi empresariales, abarcando toda la arquitectura desde PKI y NDES hasta la implementación de perfiles MDM y la validación RADIUS. Está dirigida a gerentes de TI, arquitectos de red y CTOs en hoteles, cadenas de retail, estadios, centros de convenciones y organizaciones del sector público que necesitan ir más allá de las claves precompartidas e implementar una autenticación 802.1X EAP-TLS escalable y basada en la identidad. La plataforma de superposición en la nube de Purple, que es agnóstica al hardware, se integra directamente con esta arquitectura, proporcionando la capa de WiFi para invitados y BYOD que coexiste junto con la red de personal autenticada por certificado.

Leer la guía →

La guía empresarial de SCEP: Implementación de Simple Certificate Enrollment Protocol para la seguridad automatizada de WiFi en campus

Esta guía de referencia técnica proporciona un diseño arquitectónico definitivo y una estrategia de implementación paso a paso para la distribución de certificados de WiFi empresarial mediante SCEP. Cubre las diferencias críticas entre SCEP y PKCS, la secuencia exacta de implementación requerida para el éxito y las estrategias de mitigación de riesgos del mundo real para los líderes de TI.

Leer la guía →

Cómo implementar SCEP para la inscripción automatizada de certificados WiFi

Esta guía explica cómo implementar SCEP (Simple Certificate Enrollment Protocol) para la inscripción automatizada de certificados WiFi en entornos empresariales. Cubre el diseño completo de la arquitectura, desde el diseño de PKI y la integración con MDM hasta la secuencia obligatoria de implementación de tres pasos, y muestra a los gerentes de TI y arquitectos de red cómo eliminar las credenciales compartidas, automatizar la gestión del ciclo de vida de los certificados y cumplir con los requisitos de PCI DSS y GDPR a escala.

Leer la guía →