Tres SSIDs para gobernarlos a todos: guía de configuración de WiFi para invitados, personal e IoT

GUION DE PODCAST: 'Tres SSIDs para gobernarlos a todos: guía de configuración de WiFi para invitados, personal e IoT' [INTRODUCCIÓN Y CONTEXTO - 1 min] Usted es un consultor sénior de redes que ofrece una sesión informativa de confianza y autoritaria a un cliente. Hable en inglés británico con un tono claro, medido y profesional. Autoridad tranquila, no académica. Conversacional pero preciso. El ritmo es constante y deliberado: Bienvenido a la serie de sesiones informativas técnicas de Purple WiFi Intelligence. Hoy cubriremos el diseño de WiFi de tres SSIDs: la arquitectura que separa el tráfico de invitados, personal e IoT en redes distintas y aisladas utilizando una sola infraestructura inalámbrica. Si administra el WiFi de un hotel, establecimiento comercial, centro de conferencias, estadio o cualquier lugar donde opere redes tanto operativas como de cara al público, esta sesión informativa es directamente relevante para usted. [INMERSIÓN TÉCNICA PROFUNDA - 5 min] Permítame establecer el contexto primero. La mayoría de los establecimientos empresariales de hoy en día ejecutan al menos cinco o seis SSIDs. Hay uno para invitados, uno para el personal, uno para terminales de punto de venta, uno para dispositivos IoT, tal vez uno oculto para contratistas y, a menudo, uno heredado que nadie recuerda muy bien por qué existe. Cada de esos SSIDs transmite una trama de baliza (beacon frame) cada 100 milisegundos a la velocidad de datos más baja de la radio. En un recinto denso con 50 puntos de acceso en el mismo canal, eso representa cientos de tramas de administración por segundo que consumen tiempo de aire antes de que se transmita un solo byte de datos de usuario. El consenso de la industria es claro: no transmita más de tres SSIDs por radio. Tres es el número que equilibra la segmentación de seguridad con el rendimiento inalámbrico. Así que el diseño de tres SSIDs es este. SSID uno: una red WiFi de invitados abierta con un Captive Portal para el acceso de visitantes. SSID dos: una red WPA2 o WPA3-Enterprise para el personal e invitados seguros, que utiliza autenticación 802.1X y RADIUS. SSID tres: una red xPSK para dispositivos IoT, terminales de tarjetas, señalización digital e impresoras, que utiliza claves precompartidas por dispositivo para asignar dinámicamente VLANs según la identidad del dispositivo. Tres SSIDs. Tres segmentos de red completamente aislados. Una infraestructura inalámbrica física. Revisemos cada uno en detalle. Revisemos cada uno en detalle. El SSID uno es su WiFi de invitados. Configure esto como una red abierta: sin clave precompartida, sin contraseña WPA2-Personal. El punto de acceso transmite el SSID sin cifrado en la capa de asociación. Cuando un visitante se conecta, su dispositivo obtiene una dirección IP de un servidor DHCP en su VLAN de invitados, normalmente la VLAN 10. Cada consulta de DNS y solicitud HTTP es interceptada por el controlador inalámbrico o un dispositivo Captive Portal dedicado, que redirige el navegador del visitante a su página de portal. Aquí es donde se integra la plataforma de Purple. El Captive Portal maneja la autenticación del visitante, ya sea mediante inicio de sesión con redes sociales, registro por correo electrónico, verificación por SMS o un código de cupón. Captura el consentimiento bajo el GDPR, registra los datos del visitante como first-party data y luego le indica al controlador que otorgue acceso a internet. La sesión del visitante se etiqueta en la VLAN 10 y su firewall aplica una política estricta: solo acceso a internet, con una regla explícita de denegar todo que bloquea cualquier ruta hacia su espacio de direcciones interno RFC 1918. El walled garden es un paso de configuración crítico aquí. Antes de que un visitante complete el inicio de sesión en el portal, su dispositivo necesita llegar a la página del portal. Usted configura un walled garden: una lista blanca de direcciones IP y dominios a los que se puede acceder sin autenticación. Esto debe incluir la IP o el nombre de host del servidor de su Captive Portal, cualquier endpoint de CDN que utilice y los endpoints de proveedores de inicio de sesión social, como los servidores OAuth de Facebook o los de autenticación de Google. El SSID dos es su Staff WiFi. Este utiliza WPA2-Enterprise o WPA3-Enterprise, lo que significa autenticación 802.1X. Cuando un miembro del personal se conecta, su dispositivo inicia un intercambio EAP con el punto de acceso, que actúa como autenticador y reenvía las credenciales a su servidor RADIUS. El servidor RADIUS valida la identidad frente a su proveedor de identidad y devuelve un mensaje Access-Accept. La clave para la asignación dinámica de VLAN son tres atributos RADIUS específicos en ese mensaje Access-Accept. El atributo 64, Tunnel-Type, debe establecerse en el valor 13, que significa VLAN. El atributo 65, Tunnel-Medium-Type, debe establecerse en el valor 6, que significa IEEE 802. Y el atributo 81, Tunnel-Private-Group-ID, contiene el ID de VLAN real como una cadena de texto. Cuando el punto de acceso recibe estos atributos, etiqueta dinámicamente esa sesión con la VLAN especificada. Un miembro del personal del equipo de finanzas se autentica y accede a la VLAN 20. Un contratista se autentica con una credencial diferente y accede a la VLAN 30 con un acceso más restringido. Mismo SSID, misma red física, segmentos lógicos completamente diferentes. El servicio RADIUS en la nube de Purple maneja la capa de autenticación RADIUS para Staff WiFi, integrándose con su proveedor de identidad y devolviendo los atributos de VLAN dinámica correctos por usuario. El SSID tres es su IoT WiFi. xPSK resuelve un problema que ni las redes abiertas ni el estándar 802.1X pueden abordar de manera limpia. Los dispositivos IoT, las terminales de tarjetas, las pantallas de señalización digital y las impresoras no pueden autenticarse con 802.1X. Pero no puede colocarlos en una red plana WPA2-Personal con una sola contraseña compartida, porque un dispositivo comprometido tendría acceso a todos los demás dispositivos de ese segmento. xPSK mantiene una base de datos de contraseñas únicas, una por dispositivo o grupo de dispositivos. El dispositivo se conecta mediante su clave única. El controlador valida la clave y devuelve los atributos de VLAN dinámica. Una terminal de tarjetas se conecta y se asigna a la VLAN 50, su red de pago aislada por PCI DSS. Un termostato inteligente se conecta y se asigna a la VLAN 40, su red IoT con enrutamiento restringido. La terminología del proveedor varía. Cisco Meraki lo llama iPSK. HPE Aruba lo llama MPSK. Ruckus lo llama DPSK. Juniper Mist y Ubiquiti UniFi lo llaman PPSK. La arquitectura subyacente es idéntica en los cinco proveedores. [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES - 2 min] Usted es un consultor senior de redes que ofrece una sesión informativa de manera segura y autoritaria a un cliente. Hable en inglés británico con un tono claro, pausado y profesional. Autoridad tranquila, no académica. Conversacional pero preciso. El ritmo es constante y deliberado: Ahora hablemos de los errores comunes de implementación y de los escenarios del mundo real. El primer error común son los puertos troncales mal configurados. Los puertos de su switch que transportan múltiples VLAN deben configurarse como puertos troncales 802.1Q, no como puertos de acceso. Si un puerto troncal se configura accidentalmente como un puerto de acceso, todo el tráfico se colapsa en una sola VLAN y su segmentación desaparece silenciosamente. Audite siempre la configuración de su switch después de cualquier cambio. El segundo error común es un walled garden incompleto. Si su página de Captive Portal no se carga porque no ha agregado a la lista permitida los endpoints correctos, los visitantes verán una pantalla en blanco y asumirán que el WiFi no funciona. Pruebe su walled garden desde un dispositivo nuevo sin caché de DNS antes de ponerlo en marcha. El tercer error común es la aleatorización de direcciones MAC. Los dispositivos modernos con iOS y Android utilizan una dirección MAC aleatoria para cada red a la que se unen. Si su sistema xPSK depende de la vinculación de direcciones MAC para asociar un dispositivo con su clave única, tendrá fallas de autenticación cuando un dispositivo cambie su dirección. Utilice implementaciones de proveedores que vinculen la sesión a la clave misma en lugar de a la MAC. Permítame presentarle dos escenarios del mundo real. Escenario uno: un hotel de 200 habitaciones. El hotel necesita proporcionar WiFi para huéspedes en todas las habitaciones y áreas públicas, WiFi para el personal de recepción, limpieza y administración, y conectividad IoT para termostatos inteligentes, sistemas IPTV y controladores de cerraduras de puertas. Despliegan tres SSIDs en sus puntos de acceso Cisco Meraki. El SSID uno, la red de huéspedes, utiliza el captive portal de Purple con registro de correo electrónico y captura de consentimiento que cumple con el GDPR. Los huéspedes se autentican, se asignan a la VLAN 10 y obtienen acceso exclusivo a internet con un límite de velocidad de 20 megabits por segundo por cliente. El SSID dos, la red del personal, utiliza WPA3-Enterprise con autenticación RADIUS contra Microsoft Entra ID. El personal de recepción se asigna a la VLAN 20 con acceso al sistema de gestión de la propiedad. El personal de limpieza se asigna a la VLAN 21 con acceso únicamente a la aplicación de limpieza. El SSID tres, la red IoT, utiliza Meraki iPSK. Cada termostato inteligente tiene una clave única mapeada a la VLAN 40. Cada controlador de cerradura de puerta tiene una clave única mapeada a la VLAN 41. Los sistemas IPTV tienen claves mapeadas a la VLAN 42. Todas las VLANs de IoT no tienen acceso a internet y cuentan con reglas de firewall estrictas que limitan la comunicación a sus servidores de gestión específicos. [Q&A rápido - 1 min] Ahora, algunas preguntas rápidas. ¿Necesito un servidor RADIUS independiente para xPSK? Depende del proveedor y de la escala. Para implementaciones pequeñas, Cisco Meraki iPSK y HPE Aruba MPSK-Local pueden almacenar claves directamente en el controlador sin un servidor RADIUS. Para escala empresarial, se necesita un servidor RADIUS central, ya sea su propia instancia de FreeRADIUS o NPS, o un servicio RADIUS en la nube como el de Purple. ¿Es obligatorio WPA3-Enterprise? Aún no, pero despliéguelo donde los dispositivos cliente lo admitan. El modo de seguridad de 192 bits de WPA3 y las Tramas de Gestión Protegidas (Protected Management Frames) eliminan varios vectores de ataque presentes en WPA2. Ejecute WPA3 en modo de transición para mantener la compatibilidad con versiones anteriores. ¿Cómo gestiono BYOD en el SSID del personal? Utilice PEAP-MSCHAPv2 para la autenticación basada en credenciales, la cual funciona con dispositivos personales sin requerir el despliegue de certificados. Si necesita mayor seguridad, despliegue EAP-TLS con certificados enviados a través de su MDM. ¿Cuál es la configuración mínima viable para un establecimiento pequeño? Tres SSIDs, tres VLANs, un firewall con reglas inter-VLAN y un captive portal para huéspedes. Ese es su punto de partida. Puede agregar RADIUS y xPSK a medida que crezca su flota de dispositivos. [Resumen y próximos pasos - 1 min] En resumen: el diseño de tres SSIDs le brinda la segmentación que necesita sin la sobrecarga de tiempo de transmisión (airtime) que implica ejecutar cinco o seis redes independientes. El WiFi para huéspedes con un captive portal gestiona el acceso de visitantes y el cumplimiento del GDPR. El WiFi para el personal con 802.1X y asignación dinámica de VLAN gestiona el control de acceso basado en la identidad. El WiFi para IoT con xPSK gestiona dispositivos sin pantalla (headless) con aislamiento por dispositivo. Sus siguientes pasos: auditar su cantidad actual de SSID. Si está transmitiendo más de tres, planifique una consolidación. Revise su diseño de VLAN y las reglas de firewall inter-VLAN. Y si aún no utiliza un captive portal gestionado con captura de datos conforme a GDPR, ese es el cambio de mayor valor que puede realizar en su red de invitados hoy. La plataforma de Purple es compatible con esta arquitectura de tres SSID en más de 80,000 establecimientos activos en todo el mundo. Ofrecemos el captive portal de Guest WiFi, el RADIUS en la nube para Staff WiFi y las integraciones con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y Ubiquiti UniFi para que todo el diseño funcione como un único sistema gestionado. Gracias por escuchar este informe técnico de Purple. Los enlaces a la guía escrita completa y a los diagramas de arquitectura se encuentran en las notas del programa.