Saltar al contenido principal
Español (México)

RadSec: Cómo RADIUS sobre TLS mejora la seguridad de la autenticación WiFi

Esta referencia técnica autorizada explica cómo RadSec (RFC 6614) protege la autenticación WiFi empresarial al envolver el tráfico RADIUS tradicional en un cifrado TLS. Diseñado para gerentes de TI y arquitectos de redes, cubre la arquitectura, las estrategias de implementación y los pasos prácticos para mitigar los riesgos del tráfico UDP RADIUS no cifrado en redes corporativas y de invitados.

📖 4 min de lectura📝 871 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
RadSec: Cómo RADIUS sobre TLS mejora la seguridad de la autenticación WiFi Un informe de inteligencia de Purple Enterprise WiFi Tiempo aproximado de lectura: 10 minutos --- [INTRODUCCIÓN Y CONTEXTO — aprox. 1 minuto] Bienvenido a la serie de inteligencia de Purple Enterprise WiFi. Soy su anfitrión, y hoy abordaremos un tema que se encuentra justo en la intersección de la seguridad de la red y el riesgo operativo: RadSec —formalmente definido en el RFC 6614— y por qué debería estar en su hoja de ruta de infraestructura si aún no lo está. Si usted es un gerente de TI, arquitecto de redes o CTO responsable del WiFi empresarial en un grupo hotelero, una cadena de tiendas, un estadio o un campus del sector público, este informe es para usted. Vamos a cubrir qué es realmente RadSec, por qué el protocolo RADIUS tradicional lo deja expuesto, cómo implementar RadSec en un entorno del mundo real y los errores comunes que atrapan a los equipos. Nada de teoría por el simple hecho de teorizar — solo la información que necesita para tomar una decisión este trimestre. Comencemos. --- [ANÁLISIS TÉCNICO DETALLADO — aprox. 5 minutos] Empecemos con el problema. RADIUS —Remote Authentication Dial-In User Service— ha sido la columna vertebral de la autenticación WiFi empresarial desde la década de 1990. Cuando un usuario o dispositivo se conecta a su WiFi corporativo o de invitados, el punto de acceso actúa como un cliente RADIUS, reenviando las solicitudes de autenticación a un servidor RADIUS, el cual valida las credenciales contra su directorio —Active Directory, LDAP o un proveedor de identidad en la nube— y otorga o deniega el acceso. Este es el modelo de autenticación 802.1X que sustenta las redes WPA2-Enterprise y WPA3-Enterprise. El problema es que el RADIUS tradicional fue diseñado para una era diferente. Funciona sobre UDP —User Datagram Protocol— en los puertos 1812 y 1813. UDP no está orientado a la conexión, lo que significa que no hay un saludo de tres vías (handshake), no hay estado de sesión y, fundamentalmente, no hay cifrado nativo. La única protección entre su punto de acceso y su servidor RADIUS es un secreto compartido —esencialmente una contraseña— que se utiliza para ofuscar la contraseña del usuario en tránsito mediante el hash MD5. MD5, como la mayoría de ustedes sabrá, está criptográficamente roto. Ha estado roto durante años. ¿Qué significa esto en la práctica? Significa que en cualquier segmento de red donde un atacante pueda interceptar el tráfico RADIUS —lo que incluye switches comprometidos, dispositivos no autorizados en su VLAN de administración o cualquier punto entre un punto de acceso remoto y un servidor RADIUS alojado en la nube— potencialmente pueden capturar los intercambios de autenticación, intentar ataques de diccionario sin conexión contra el secreto compartido y, en algunas configuraciones, exponer las credenciales de los usuarios por completo. Para un grupo hotelero que ofrece WiFi para invitados en 200 propiedades, o una cadena de tiendas con puntos de acceso en cada sucursal que se conectan a un servidor RADIUS central a través de la internet pública, este no es un riesgo teórico. Es una superficie de ataque activa. Esto es exactamente lo que RadSec resuelve. RadSec —definido en RFC 6614 y actualizado por RFC 7360— envuelve el tráfico RADIUS dentro de un túnel TLS. En lugar de UDP, utiliza TCP en el puerto 2083. En lugar de un secreto compartido y MD5, utiliza autenticación TLS mutua con certificados X.509. Tanto el cliente RADIUS como el servidor RADIUS presentan certificados, verifican la identidad del otro y establecen una sesión cifrada antes de que se intercambie cualquier dato de autenticación. TLS 1.3 es la versión recomendada actualmente, lo que proporciona confidencialidad directa y elimina una serie de vulnerabilidades de cifrado heredadas. El efecto práctico es significativo. Los datos de credenciales, los atributos de usuario y los tokens de sesión se cifran de extremo a extremo entre el punto de acceso —o un proxy RadSec— y el servidor RADIUS. Un atacante que intercepte el tráfico en el cable solo verá registros TLS cifrados. El secreto compartido sigue presente por compatibilidad con versiones anteriores, pero ya no realiza ningún trabajo de seguridad significativo; TLS se encarga de la carga. Hay otra dimensión aquí que es cada vez más relevante: el roaming. La federación Eduroam, utilizada por universidades e instituciones de investigación en toda Europa y más allá, ha estado ejecutando RadSec durante años como parte de su infraestructura de roaming interinstitucional. Más recientemente, el estándar OpenRoaming de la Wi-Fi Alliance —que permite un roaming de WiFi sin interrupciones en los lugares participantes— exige RadSec para todo el tráfico de la federación. Si estás implementando una infraestructura compatible con OpenRoaming, RadSec no es opcional; es un prerrequisito. Purple admite OpenRoaming bajo su licencia Connect, actuando como un proveedor de identidad dentro de la federación, y RadSec es fundamental para el funcionamiento de esa red de roaming seguro. Desde el punto de vista del cumplimiento, RadSec es cada vez más relevante para PCI DSS 4.0, que endurece los requisitos en torno a la protección de los datos de autenticación en tránsito. Si tu infraestructura de WiFi entra en contacto con entornos de tarjetas de pago —y en el sector minorista y de la hospitalidad, con frecuencia lo hace—, la brecha de cifrado en el RADIUS tradicional es un hallazgo que tarde o temprano ocurrirá. El GDPR exige de manera similar medidas técnicas adecuadas para proteger los datos personales; las credenciales de usuario y los metadatos de sesión que fluyen sin cifrar a través de tu red son difíciles de defender en una auditoría de protección de datos. Ahora hablemos de arquitectura. Existen dos patrones de implementación principales para RadSec. El primero es el soporte nativo de RadSec en tu servidor RADIUS y puntos de acceso. FreeRADIUS 3.0 y versiones superiores admiten RadSec de forma nativa. Microsoft NPS no admite RadSec de forma nativa en las versiones actuales, lo que representa una limitación significativa para las organizaciones que ejecutan una infraestructura centrada en Windows. Cisco ISE admite RadSec. Aruba ClearPass admite RadSec. Si tanto el servidor RADIUS como el proveedor de tus puntos de acceso admiten RadSec de forma nativa, este es el camino más limpio: configura certificados TLS en ambos extremos, abre el puerto TCP 2083 en tu firewall y estarás cifrando el tráfico RADIUS de extremo a extremo. El segundo patrón es un proxy RadSec. Esta es la implementación más común en la práctica, particularmente para organizaciones con infraestructura RADIUS heredada o entornos de múltiples proveedores. Un proxy RadSec — radsecproxy es la implementación de código abierto más utilizada — se ubica entre sus puntos de acceso y su servidor RADIUS. Los puntos de acceso envían RADIUS estándar sobre UDP al proxy en la red local. El proxy termina esa conexión, vuelve a encapsular el tráfico RADIUS dentro de un túnel TLS y lo reenvía al servidor RADIUS ascendente a través de TCP 2083. Este enfoque le permite agregar RadSec a una infraestructura existente sin reemplazar su servidor RADIUS, y es particularmente útil cuando su servidor RADIUS está alojado en la nube o se accede a él a través de la internet pública. La gestión de certificados es la complejidad operativa que debe planificar. Necesitará una PKI — Infraestructura de Clave Pública — para emitir y gestionar los certificados X.509 utilizados para TLS mutuo. Eso significa una Autoridad de Certificación, emisión de certificados para cada cliente y servidor RADIUS, y un proceso para la rotación de certificados antes de su vencimiento. Los certificados que vencen sin ser detectados interrumpirán la autenticación de todos los usuarios de su red simultáneamente, y ese es un escenario que desea evitar. Automatice la renovación de certificados utilizando ACME o la API de su CA, y configure alertas de monitoreo con suficiente anticipación a las fechas de vencimiento. --- [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — aprox. 2 minutos] Permítame darle las recomendaciones prácticas. Primero: realice una auditoría antes de implementar. Mapee cada cliente RADIUS — puntos de acceso, concentradores VPN, switches que realizan 802.1X — y cada servidor RADIUS en su entorno. Identifique cuáles admiten RadSec de forma nativa y cuáles necesitarán un proxy. Esta auditoría generalmente revela dispositivos heredados que no admiten TLS en absoluto, y esos deben estar en su plan de reemplazo. Segundo: comience con el tráfico de mayor riesgo. Si tiene tráfico RADIUS que atraviesa la internet pública — sitios remotos, RADIUS alojado en la nube, grupos hoteleros con múltiples propiedades —, esa es su primera prioridad. El tráfico RADIUS local en una VLAN de gestión bien segmentada es de menor riesgo, pero aun así debería estar en el plan de trabajo. Tercero: pruebe a fondo el TLS mutuo antes de la puesta en marcha. El modo de falla más común en las implementaciones de RadSec son los errores de validación de certificados: nombres comunes (Common Names) no coincidentes, certificados intermedios vencidos o clientes que no confían en la CA que firmó el certificado del servidor. Utilice openssl s_client para probar los saludos TLS (handshakes) antes de transferir el tráfico de producción. Cuarto: no descuide el monitoreo. RadSec agrega una capa de conexión TCP que el RADIUS tradicional no tiene. Las fallas de conexión TCP, los tiempos de espera de saludo TLS y los errores de certificado se manifestarán como fallas de autenticación para sus usuarios. Asegúrese de que los registros de su servidor RADIUS y los registros de su proxy se estén enviando a su SIEM o plataforma de monitoreo para que pueda distinguir un problema de conectividad RadSec de un problema de política de autenticación. El error que veo con más frecuencia es que las organizaciones implementan RadSec en el lado del servidor pero olvidan actualizar sus reglas de firewall. El puerto TCP 2083 debe estar abierto entre cada cliente RADIUS y el servidor o proxy RADIUS. Si está acostumbrado a administrar reglas UDP 1812, el puerto TCP 2083 puede pasarse por alto en el proceso de cambio de firewall. --- [PREGUNTAS Y RESPUESTAS RÁPIDAS — aprox. 1 minuto] Permítame repasar algunas preguntas que escucho con regularidad. "¿RadSec reemplaza a 802.1X?" No. RadSec asegura la capa de transporte entre el punto de acceso y el servidor RADIUS. 802.1X es el marco de autenticación entre el dispositivo cliente y el punto de acceso. Operan en diferentes capas y son complementarios. "¿RadSec es compatible con todos los proveedores de puntos de acceso?" No de forma universal. Cisco, Aruba, Ruckus y Meraki tienen diferentes niveles de soporte para RadSec; verifique su versión específica de firmware. Donde no haya soporte nativo, un proxy RadSec es su solución. "¿Qué pasa con DTLS — RADIUS sobre DTLS?" El RFC 7360 define RADIUS sobre DTLS, que utiliza UDP en lugar de TCP, conservando algunas de las características sin conexión del RADIUS tradicional al tiempo que agrega cifrado. Está menos implementado que RadSec sobre TLS, pero vale la pena evaluarlo si la latencia es una preocupación en entornos de alto rendimiento. "¿Cómo afecta esto al rendimiento del roaming?" La conexión TCP de RadSec es persistente, lo que de hecho puede mejorar el rendimiento del roaming en entornos federados al reducir la sobrecarga de configuración de la conexión para las solicitudes de autenticación posteriores. --- [RESUMEN Y PRÓXIMOS PASOS — aprox. 1 minuto] Para resumir: RadSec es la respuesta madura y basada en estándares a una brecha de seguridad real en el RADIUS tradicional. Si opera WiFi empresarial a escala —en múltiples sitios, a través de Internet o en entornos sujetos a PCI DSS o GDPR— la pregunta no es si debe implementar RadSec, sino cuándo y cómo. Sus próximos pasos: audite su infraestructura RADIUS esta semana. Identifique sus flujos de tráfico de mayor riesgo. Verifique la documentación del proveedor de su servidor RADIUS y de sus puntos de acceso para confirmar el soporte nativo de RadSec. Si utiliza FreeRADIUS, puede tener una implementación de prueba de RadSec funcionando en un día. Si utiliza Microsoft NPS, comience a evaluar un proxy o una ruta de migración a un servidor compatible con RadSec. La plataforma de Purple está diseñada para integrarse con la infraestructura RADIUS empresarial, admitiendo flujos de autenticación seguros tanto para entornos de WiFi corporativos como de invitados. Si desea comprender cómo se adapta RadSec a su implementación específica, el equipo de Purple puede guiarlo en el proceso. Gracias por escuchar. Hasta la próxima. --- FIN DEL GUION

header_image.png

Executive Summary

Traditional RADIUS over UDP (ports 1812/1813) was not designed for the modern enterprise threat landscape. Relying solely on a shared secret and MD5 hashing, it leaves authentication credentials and session attributes vulnerable to interception, particularly when traversing public networks or large distributed estates like hospitality and retail chains. RadSec (RADIUS over TLS, RFC 6614) solves this fundamental security gap by encapsulating RADIUS traffic within a TCP-based TLS 1.3 tunnel over port 2083.

For CTOs and network architects, deploying RadSec is no longer just a best practice—it is a critical requirement for protecting corporate wifi , maintaining PCI DSS 4.0 compliance, and participating in modern federated roaming frameworks like OpenRoaming. This guide details the architecture, implementation patterns, and operational requirements for securing your authentication infrastructure.

Technical Deep-Dive: RADIUS vs. RadSec

The Vulnerability in Traditional RADIUS

In a standard 802.1X deployment, the access point (authenticator) forwards client credentials to the RADIUS server (authentication server). In traditional RADIUS, this payload is sent over UDP. The only protection is a pre-shared key (PSK) used to obfuscate the password via MD5.

This architecture presents three critical risks:

  1. Lack of Transport Encryption: User attributes, MAC addresses, and session data are transmitted in cleartext.
  2. Cryptographic Weakness: MD5 is vulnerable to offline dictionary attacks if an attacker captures the traffic.
  3. No Mutual Authentication: The access point cannot cryptographically verify it is talking to the legitimate RADIUS server, enabling rogue server attacks.

The RadSec Architecture (RFC 6614)

RadSec addresses these flaws by shifting the transport layer from UDP to TCP and wrapping the entire payload in TLS.

architecture_overview.png

  • Transport: TCP Port 2083 ensures reliable delivery and stateful connections, improving performance in high-latency environments.
  • Encryption: TLS 1.2 or 1.3 provides robust, end-to-end encryption of all RADIUS attributes.
  • Mutual Authentication: Both the RADIUS client (or proxy) and the server must present valid X.509 certificates issued by a trusted Certificate Authority (CA). The shared secret is retained only for backwards compatibility; TLS provides the actual security. This architecture is essential for distributed environments, such as Retail chains or Hospitality venues, where access points backhaul authentication requests over the public internet to a central or cloud-hosted RADIUS server.

Implementation Guide

Deploying RadSec typically follows one of two patterns: Native Support or Proxy-based.

Pattern 1: Native RadSec

If your infrastructure supports it natively (e.g., FreeRADIUS 3.0+, Cisco ISE, Aruba ClearPass), you configure TLS certificates directly on the RADIUS server and the access points/controllers. This provides true end-to-end encryption from the edge to the core.

Pattern 2: The RadSec Proxy

Many legacy RADIUS servers (notably Microsoft NPS) do not natively support RadSec. In these environments, a proxy (such as radsecproxy) is deployed.

  1. Local Leg: The AP sends standard UDP RADIUS to the local proxy.
  2. WAN Leg: The proxy encapsulates the traffic in TLS and sends it over TCP 2083 to the upstream server.

This pattern allows you to secure wide-area traffic without replacing legacy infrastructure.

deployment_checklist.png

Integration with Purple

Purple's Guest WiFi and WiFi Analytics platforms integrate seamlessly with enterprise RADIUS infrastructure. Under the Connect licence, Purple acts as a free identity provider for OpenRoaming, where RadSec is a mandatory requirement for securing federation traffic between venues and the central hub.

Best Practices

  1. Certificate Lifecycle Management: Mutual TLS relies on valid certificates. Implement automated renewal (e.g., via ACME) and strict monitoring. An expired certificate will cause a total authentication outage.
  2. Firewall Configuration: Ensure TCP port 2083 is explicitly allowed both outbound from the venue and inbound to the RADIUS server. Do not assume existing UDP 1812 rules will apply.
  3. Prioritise High-Risk Traffic: Begin deployment on links that traverse the public internet or untrusted WANs before moving to local management VLANs.

For more on securing the edge, read our guide on Access Point Security: Your 2026 Enterprise Guide .

Troubleshooting & Risk Mitigation

When RadSec fails, it is rarely an authentication issue; it is almost always a TLS or TCP issue.

  • Symptom: Access points show as disconnected from the RADIUS server.
    • Check: Firewall rules for TCP 2083. Traditional RADIUS uses UDP; network teams frequently forget to open the TCP port.
  • Symptom: TCP connection establishes, but authentication fails immediately.
    • Check: Certificate validation. Verify that the Common Name (CN) or Subject Alternative Name (SAN) matches, the certificate has not expired, and the client trusts the signing CA. Use openssl s_client -connect :2083 to debug the handshake.

Ensure your network fundamentals are solid. Review our advice on Protect Your Network with Strong DNS and Security .

ROI & Business Impact

Implementing RadSec is a risk mitigation investment. The ROI is measured in the avoidance of data breaches, compliance fines (PCI DSS, GDPR), and reputational damage. Furthermore, it enables participation in modern roaming federations like OpenRoaming, which can significantly enhance the guest experience in Healthcare and Transport environments.

Listen to the Briefing

For a deeper dive into the operational realities of deploying RadSec, listen to our 10-minute technical briefing:

For specific configuration steps on client devices, refer to How to Set Up Enterprise WiFi on iOS and macOS with 802.1X or the Portuguese version Como Configurar WiFi Corporativo em iOS e macOS com 802.1X .

Definiciones clave

RadSec

Una extensión del protocolo RADIUS que encapsula el tráfico RADIUS dentro de un túnel TLS a través del puerto TCP 2083.

Se utiliza para proteger el tráfico de autenticación al atravesar redes no confiables, evitando la interceptación de credenciales.

Mutual TLS (mTLS)

Un proceso de seguridad en el que tanto el cliente como el servidor presentan certificados X.509 para verificar la identidad del otro antes de establecer una conexión cifrada.

El mecanismo de autenticación principal de RadSec, que reemplaza la dependencia de secretos compartidos estáticos.

802.1X

El estándar IEEE para el control de acceso a la red basado en puertos, utilizado para autenticar dispositivos que intentan conectarse a una LAN o WLAN.

El marco que depende de RADIUS (y, por extensión, de RadSec) para validar las credenciales de los usuarios frente a un directorio.

radsecproxy

Un demonio de código abierto que actúa como proxy, convirtiendo el tráfico RADIUS UDP estándar en RadSec (TLS sobre TCP) y viceversa.

Se implementa cuando los puntos de acceso o los servidores RADIUS heredados, como Microsoft NPS, carecen de soporte nativo para RadSec.

OpenRoaming

Un estándar de federación desarrollado por la Wi-Fi Alliance que permite a los usuarios conectarse de forma segura y sin interrupciones a las redes WiFi participantes a nivel mundial.

OpenRoaming exige el uso de RadSec para proteger el tráfico de autenticación entre los establecimientos y los proveedores de identidad.

Shared Secret

Una cadena de texto estática utilizada en el RADIUS tradicional para ofuscar contraseñas y verificar el origen de las solicitudes.

Aunque técnicamente sigue presente en las configuraciones de RadSec para mantener la compatibilidad con versiones anteriores, es reemplazado por el cifrado TLS.

FreeRADIUS

Un servidor RADIUS de código abierto ampliamente implementado que ofrece soporte nativo para RadSec.

Se utiliza a menudo en entornos empresariales y federaciones de roaming debido a su flexibilidad y capacidades nativas de TLS.

PKI (Public Key Infrastructure)

El marco de funciones, políticas y software necesarios para crear, administrar, distribuir y revocar certificados digitales.

Un requisito previo para implementar RadSec, ya que se deben emitir y administrar certificados para todos los clientes y servidores RADIUS.

Ejemplos resueltos

Un grupo hotelero de 200 propiedades utiliza Microsoft NPS de forma centralizada para la autenticación del personal. Los puntos de acceso de cada hotel envían actualmente solicitudes RADIUS a través de la internet pública mediante UDP 1812. El CTO exige el cifrado de todo el tráfico de autenticación, pero reemplazar NPS no es una opción para este año.

Implementar un proxy RadSec (por ejemplo, radsecproxy) en cada hotel y un proxy correspondiente en el centro de datos central frente a los servidores NPS. Los AP locales envían UDP RADIUS al proxy local. El proxy local establece un túnel TLS mutuo sobre TCP 2083 a través de internet hacia el proxy central. El proxy central finaliza el túnel TLS y reenvía el UDP RADIUS estándar al servidor NPS.

Comentario del examinador: Este enfoque logra el objetivo principal de seguridad (cifrar los datos de autenticación a través de la WAN no confiable) sin requerir un reemplazo costoso y disruptivo de la infraestructura principal de Microsoft NPS. Introduce una carga de gestión de certificados para los proxies, la cual debe automatizarse.

Una gran universidad está implementando OpenRoaming en su campus para permitir un acceso sin fricciones a los académicos visitantes. Utilizan FreeRADIUS 3.0.

Habilitar RadSec nativo dentro de FreeRADIUS. Generar certificados X.509 de una CA de confianza para la federación OpenRoaming. Configurar el firewall del campus para permitir el tráfico TCP 2083 entrante y saliente hacia los hubs de la federación. Configurar los controladores de LAN inalámbrica para usar RadSec en todas las solicitudes de autenticación destinadas a la federación.

Comentario del examinador: Debido a que FreeRADIUS es compatible de forma nativa con RadSec, no se requiere ningún proxy. Esta es la arquitectura más limpia. La dependencia crítica aquí es garantizar que los certificados se alineen con los requisitos específicos de PKI de la federación OpenRoaming.

Preguntas de práctica

Q1. Su equipo ha implementado RadSec nativo entre los puntos de acceso de sus sucursales remotas y su servidor FreeRADIUS central. Los AP pueden hacer ping al servidor, pero las solicitudes de autenticación están agotando el tiempo de espera por completo y ningún tráfico llega a los registros de RADIUS.

Sugerencia: RadSec utiliza un protocolo de transporte y un puerto diferentes a los de RADIUS tradicional.

Ver respuesta modelo

Es probable que el firewall esté bloqueando el puerto TCP 2083. Los equipos de red acostumbrados al RADIUS tradicional a menudo solo permiten los puertos UDP 1812/1813. Debe permitir explícitamente el puerto TCP 2083 de salida desde la sucursal y de entrada al servidor RADIUS.

Q2. Está auditando la arquitectura de WiFi de un cliente minorista. Utilizan Microsoft NPS de forma centralizada. Los AP de sus tiendas envían solicitudes de autenticación a través de Internet mediante una VPN IPsec. ¿Se requiere RadSec en este caso?

Sugerencia: Considere las capas de cifrado que ya están implementadas.

Ver respuesta modelo

Aunque RadSec es una buena práctica, la VPN IPsec ya proporciona cifrado de capa de transporte para el tráfico RADIUS UDP a través de la red pública de Internet. Implementar RadSec aquí proporcionaría defensa en profundidad, pero es menos urgente que si el tráfico estuviera atravesando Internet de forma nativa.

Q3. Una semana después de una implementación exitosa del proxy RadSec, toda la autenticación WiFi en la empresa falla simultáneamente a las 09:00 AM de un lunes. El equipo de red confirma que las reglas del firewall no han cambiado.

Sugerencia: ¿Cuál es el mecanismo de autenticación principal para el propio túnel TLS?

Ver respuesta modelo

Es probable que los certificados X.509 utilizados para la autenticación TLS mutua hayan expirado. Cuando los certificados expiran, el saludo TLS falla, la conexión TCP se cae y el tráfico RADIUS no puede fluir. Implemente el monitoreo y la rotación automatizada de certificados para evitar esto.

Continúe leyendo esta serie

Cómo segregar de forma segura las redes WiFi del personal y de invitados

Esta guía técnica autorizada proporciona a los líderes de TI estrategias prácticas para segregar de forma segura las redes WiFi del personal, invitados e IoT mediante VLANs y 802.1X. Detalla cómo proteger la infraestructura empresarial, mantener el cumplimiento de PCI-DSS y aprovechar los Captive Portals para capturar datos de primera mano.

Leer la guía →

Best DNS filtering: a comprehensive guide for businesses

Esta guía de referencia técnica explica cómo el filtrado DNS empresarial protege las redes públicas al bloquear dominios maliciosos en la capa de resolución, antes de que se establezca una conexión. Ofrece a los directores de TI, arquitectos de red y equipos de operaciones de establecimientos la arquitectura de implementación, la configuración de firewall y el contexto de cumplimiento que necesitan para proteger el WiFi de invitados en entornos de hotelería, comercio minorista y sector público. Purple Shield bloquea malware, botnets y contenido inapropiado a nivel DNS en más de 80,000 establecimientos activos.

Leer la guía →

Comprensión de Cisco SUDI: Identidad anclada por hardware en el control de acceso seguro a la red

Esta guía explica cómo Cisco SUDI proporciona una identidad criptográficamente segura y anclada por hardware para la infraestructura de red empresarial. Aprenda cómo reemplazar las direcciones MAC vulnerables a la suplantación por certificados 802.1AR inmutables para proteger el control de acceso a la red de su recinto.

Leer la guía →