Implemente WPA2-Enterprise o WPA3-Enterprise con 802.1X en sus puntos de acceso existentes. Cada usuario se autentica contra su proveedor de identidad, cada dispositivo obtiene una clave de sesión única y el acceso se puede revocar por dispositivo con un solo clic. Purple opera la infraestructura de RADIUS y certificados como un servicio en la nube; usted conserva el hardware que ya posee.
El estándar WPA tiene dos modos. WPA-Personal (WPA2-PSK, WPA3-SAE) utiliza una única contraseña compartida por todos los que se unen al SSID. Suficiente para un hogar. WPA-Enterprise autentica a cada usuario o dispositivo individualmente a través de 802.1X contra un servidor RADIUS. Requerido para cualquier establecimiento que se preocupe por la revocación, la auditoría o el cumplimiento.
| WPA-Personal (PSK / SAE) | WPA-Enterprise (802.1X) | |
|---|---|---|
| Credencial | Frase de contraseña compartida | Certificado por usuario, contraseña o iPSK |
| Infraestructura | Solo los puntos de acceso | APs + servidor RADIUS (o RADIUS-as-a-Service) |
| Revocación | Rotar la frase de contraseña de toda la red | Deshabilitar a un usuario en el IdP |
| Pista de auditoría | Ninguna — todos los dispositivos se ven idénticos | Registros de sesión por usuario |
| Ideal para | Hogares, establecimientos pequeños de confianza única | Oficinas, hoteles, campus, estadios, cualquier entorno regulado |
WPA3 no es solo un WPA2 más grande. Cuatro cambios son fundamentales para las implementaciones empresariales.
Los clientes deben verificar el certificado del servidor RADIUS antes de enviar las credenciales. Esto cierra el ataque de 'gemelo malvado' que afectaba a las implementaciones de WPA2-Enterprise mal configuradas.
Las tramas de desautenticación y desasociación están firmadas criptográficamente, por lo que los atacantes ya no pueden desconectar a los clientes de la red con tramas falsificadas.
Modo opcional de alta seguridad para gobierno, defensa e infraestructura crítica. Criptografía Suite B en todo momento: intercambio de claves, cifrado y MAC.
WPA3-Enterprise puede ejecutarse en modo de transición en el mismo SSID que WPA2, por lo que no necesita un cambio radical. Los clientes más nuevos negocian WPA3; los más antiguos recurren a WPA2-Enterprise.
Tres actores, un saludo (handshake). La secuencia es la misma ya sea que use EAP-TLS, PEAP o EAP-TTLS.
Access-Accept con la VLAN y la política; el AP abre el puerto controlado al segmento correcto.Purple opera el RADIUS y (opcionalmente) la autoridad de certificación como servicios en la nube. Usted conserva sus puntos de acceso existentes.
WPA-Enterprise es el modo de seguridad IEEE 802.11 diseñado para organizaciones. En lugar de una única contraseña compartida (WPA-Personal), cada usuario o dispositivo se autentica individualmente contra un servidor RADIUS a través de 802.1X, normalmente con un certificado (EAP-TLS) o nombre de usuario y contraseña (PEAP). Cada sesión obtiene una clave de cifrado única y el acceso se puede revocar por dispositivo sin interrumpir el resto de la red.
WPA3-Enterprise corrige debilidades conocidas en WPA2-Enterprise. Los cambios más importantes: la validación del certificado del servidor ahora es obligatoria (cierra el vector de ataque de gemelo malvado que afectaba a WPA2), las tramas de gestión están protegidas y el modo opcional Suite B de 192 bits ofrece criptografía de grado de defensa. WPA3-Enterprise es compatible con versiones anteriores de WPA2-Enterprise en un modo de transición, por lo que puede actualizar gradualmente.
Participan tres partes. El suplicante (dispositivo del cliente) solicita unirse. El autenticador (punto de acceso) mantiene al cliente en un estado de cuarentena y reenvía sus mensajes EAP a un servidor de autenticación (RADIUS). El servidor RADIUS valida la credencial — certificado, contraseña o token — e indica al punto de acceso si debe admitirlo o rechazarlo. Cada sesión exitosa obtiene una clave de cifrado única derivada de la autenticación, por lo que un dispositivo comprometido no puede descifrar a otro.
EAP-TLS utiliza un saludo TLS con autenticación mutua de certificados. El cliente demuestra su identidad con un certificado de dispositivo, el servidor demuestra su identidad con un certificado de servidor y la clave de sesión se negocia dentro del túnel cifrado. No hay contraseña que pescar (phishing) o robar; habría que extraer la clave privada del propio dispositivo. Para flotas gestionadas con un MDM, EAP-TLS es la opción predeterminada correcta.
La mayoría de los puntos de acceso de grado empresarial lanzados a partir de 2020 admiten WPA3-Enterprise en el firmware. Normalmente, se habilita WPA3-Enterprise en el SSID y se mantiene WPA2 como respaldo durante la transición. Los AP más antiguos pueden admitir solo WPA2-Enterprise; estos siguen siendo seguros cuando se combinan con RADIUS en la nube y EAP-TLS, por lo que rara vez se necesita una actualización total del hardware.
Sí, WPA-Enterprise se define en torno a un servidor de autenticación externo, lo que en la práctica significa RADIUS. Puede ejecutarlo de forma local (FreeRADIUS, Microsoft NPS, Cisco ISE) o consumirlo como un servicio. Purple RADIUS-as-a-Service es la opción alojada en la nube que la mayoría de los clientes eligen cuando no quieren operar servidores.
Sí, cuando se implementa correctamente. Los ataques conocidos contra WPA2-Enterprise requieren un cliente mal configurado (sin validación de certificado de servidor, que es lo que WPA3 hace obligatorio) o acceso físico a un dispositivo. Aplicar la validación del certificado del servidor a través de MDM y usar EAP-TLS cierra los riesgos prácticos. Se sigue prefiriendo WPA3-Enterprise de ahora en adelante, pero no hay razón para migrar por pánico una implementación de WPA2-Enterprise que funcione.
Dos buenas opciones. Primero, iPSK (Identity PSK) otorga a cada dispositivo una clave precompartida única en un solo SSID: la experiencia de usuario de WPA-Personal con la revocación por dispositivo de WPA-Enterprise. Segundo, MAC Authentication Bypass (MAB) admite direcciones MAC conocidas en una VLAN restringida. Purple admite ambos junto con WPA2/3-Enterprise en la misma red.
See how wpa-enterprise works in venues like yours, and how Purple compares to alternatives.
Purple añade capas de WPA2/3-Enterprise, RADIUS en la nube y certificados gestionados sobre Cisco, Aruba, Ruckus, Juniper Mist, Meraki o Ubiquiti. Listo en días.