Configurar y administrar claves precompartidas
Comprenda los beneficios de las claves precompartidas, agréguelas a su WLAN y actualícelas periódicamente.
¿Qué son las claves precompartidas (PSK)?
Los puntos de acceso de Juniper admiten claves precompartidas (PSK) para proporcionar cifrado de canal seguro sin un servidor de autenticación adicional. Cuando está habilitado para una WLAN, los clientes deben presentar la frase de contraseña PSK segura para conectarse a la red inalámbrica.
El uso de PSK simplifica la incorporación de nuevos usuarios al SSID: reciben un correo electrónico con un código QR en el SSID y se autentican con el PSK. Puede asignar PSK individualmente, por usuario o por grupos, a varios usuarios a través de la clave múltiple precompartida (MPSK). También puede limitar un PSK determinado a un número determinado de dispositivos (requiere la versión de firmware 0.10 o posterior).
Cada PSK en la plataforma de Mist tiene su propio nombre de clave, que es esencialmente una identidad que se puede aprovechar para la responsabilidad a nivel de usuario de las políticas de WxLAN, la rotación de claves y la visibilidad en el panel de control de Mist. Por ejemplo, puede asignar PSK individualmente a las VLAN correspondientes para la segmentación dinámica de la red dentro del mismo SSID. Esto es especialmente útil para los dispositivos de IoT en, por ejemplo, entornos de atención médica o de almacén, ya que puede agrupar dispositivos del mismo tipo, asignar un PSK o segmentar los distintos grupos a diferentes VLAN.
Seguridad WLAN y PSK
Tenga en cuenta las siguientes opciones al configurar su WLAN.
-
WPA3/802.1X, WPA3 (acceso protegido por Wi-Fi 3) PSK requiere el firmware de AP v0.9.x o posterior.
-
WPA3/SAE requiere el firmware de AP v0.8.x o posterior.
En aras de la compatibilidad con dispositivos heredados, Juniper Mist también admite (pero no recomienda) WPA-PSK y el Protocolo de integridad de clave temporal (TKIP), el protocolo de seguridad de acceso protegido por wifi (WPA) y la privacidad equivalente por cable (WEP), todos los cuales tienen vulnerabilidades conocidas. Estas opciones heredadas no están disponibles de forma predeterminada. Si debe habilitar WPA con claves PSK/TKIP, multimodo o WEP, comuníquese con el equipo de soporte de Juniper Mist creando un ticket de soporte.
-
Para configurar la opción de frase de contraseña múltiple con WPA3, necesita la versión de firmware de AP 0.14 o superior.
-
Con WPA2, hay dos métodos de búsqueda MPSK para WLAN en el portal de Mist: Local y RADIUS. Con WPA3, puede habilitar RADIUS PSK.
(Solo WPA2) Con la búsqueda local , las claves se almacenan en el AP y se pueden crear tanto a nivel del sitio como de la organización. No requiere conectividad a la nube de Mist. Local se usa normalmente para IoT, donde los PSK se configuran por dispositivo. La rotación de claves se produce a la hora de caducidad. La búsqueda local admite hasta 5000 PSK por AP. Es una buena opción cuando desea admitir dispositivos en lugar de clientes y cuando no es necesario cambiar las claves con frecuencia.
(WPA2 y WPA3) Con la búsqueda de RADIUS , los PSK se almacenan en el servidor de RADIUS y el AP le envía una solicitud de autenticación MAC. El servidor RADIUS devuelve la frase de contraseña mediante Cisco AVPair. RADIUS se utiliza normalmente cuando se integra con un servicio de alojamiento de PSK de terceros. El soporte de búsqueda de RADIUS incluye Identity Services Engine (Cisco ISE), Aruba ClearPass, RG Nets y Eleven Wireless. La búsqueda de RADIUS requiere una versión de firmware 0.8x o posterior.
Opciones adicionales con Access Assurance
Access Assurance para funciones adicionales
Si tiene una suscripción a Access Assurance, puede habilitar funciones adicionales de MPSK, como las siguientes:
- Búsqueda de PSK basada en la nube.
- Soporte para más de 5000 PSK a nivel de organización.
- Incorporación automática de clientes y portales de PSK.
- Funciones de la gestión del ciclo de vida del PSK, incluida la caducidad del PSK, la rotación y la contabilidad y visibilidad por PSK (en la página Clientes de Wi-Fi del portal de Mist).
La suscripción de Access Assurance se calcula de acuerdo con la cantidad de dispositivos de cliente activos y simultáneos que usan MPSK agregados durante un período de siete días (que se adapta a los picos de uso).
Configurar PSK
Puede agregar, ver y modificar claves precompartidas en la página Configuración de WLAN, la página Claves precompartidas y la página Clientes wifi.
-
Página de configuración de WLAN: navegue hasta su WLAN o cree una nueva (consulte Agregar una WLAN).
-
Tipo de seguridad: seleccione WPA3 con personal (SAE) o WPA2 con personal (PSK).
- Ingrese la frase de contraseña o habilite Varias frases de contraseña.
-
-
Página de claves precompartidas: en el menú de la izquierda, seleccione Sitio >Claves inalámbricas > precompartidas.
-
Para ver las claves de un sitio: seleccione un sitio en la parte superior de la página.
Nota:Con una suscripción a Access Assurance, también puede ver claves precompartidas en el nivel de la organización.
-
Para cambiar la frase de contraseña, la función, la VLAN u otras propiedades de una clave, haga clic en la clave que desea cambiar. Realice los cambios y, a continuación, haga clic en Guardar.
-
Para agregar o eliminar claves: use los botones en la esquina superior derecha de la página: Importar, Exportar, Agregar clave y Eliminar clave.
-
-
Página Clientes wifi: en el menú de la izquierda, seleccione Clientes > Clientes WiFi.
-
Para ver las claves de un sitio o WLAN, seleccione un sitio en la parte superior de la página o ingrese un SSID en el cuadro Filtro .
-
Para cambiar la frase de contraseña, haga clic en el SSID para ir a la página de la WLAN. En Seguridad, ingrese un nuevo PSK. Luego haga clic en Guardar en la esquina superior derecha de la página.
-
Como práctica recomendada, actualice el PSK semanalmente.
Puede automatizar el proceso de rotación por correo electrónico. Consulte Rotación de PSK.