Configurar y administrar claves previamente compartidas
Comprenda las ventajas de las claves previamente compartidas, agréguelas a su WLAN y actualícelas periódicamente.
¿Qué son las claves precompartidas (PSK)?
Los puntos de acceso de Juniper admiten claves precompartidas (PSK) para proporcionar cifrado de canal seguro sin un servidor de autenticación adicional. Cuando se habilita para una WLAN, los clientes deben presentar la frase de contraseña segura PSK para conectarse a la red inalámbrica.
El uso de PSK simplifica la incorporación de nuevos usuarios al SSID: reciben un correo electrónico con un código QR en el SSID y se autentican mediante el PSK. Puede asignar PSK individualmente, por usuario o por grupos, a varios usuarios a través de la clave multiprecompartida (MPSK). También puede limitar un PSK determinado a un número determinado de dispositivos (requiere la versión de firmware 0.10 o posterior).
Cada PSK en la plataforma de Mist tiene su propio nombre de clave, que es esencialmente una identidad que se puede aprovechar para la responsabilidad a nivel de usuario de las políticas de WxLAN, la rotación de claves y la visibilidad en el panel de control de Mist. Por ejemplo, puede asignar PSK individualmente a las VLAN correspondientes para la segmentación de red dinámica dentro del mismo SSID. Esto es especialmente útil para dispositivos IoT en, por ejemplo, entornos de atención médica o de almacén, ya que puede agrupar dispositivos del mismo tipo, asignar un PSK o segmentar los diferentes grupos a diferentes VLAN.
Seguridad WLAN y PSK
Tenga en cuenta las siguientes opciones al configurar la WLAN.
-
WPA3/802.1X WPA3 (Wi-Fi Protected Access 3) PSK requiere firmware AP v0.9.x o posterior.
-
WPA3/SAE requiere el firmware AP v0.8.x o posterior.
En aras de la compatibilidad con dispositivos heredados, Juniper Mist también admite (pero no recomienda) WPA-PSK y el Protocolo de integridad de clave temporal (TKIP), el protocolo de seguridad de acceso protegido Wi-Fi (WPA) y la privacidad equivalente por cable (WEP), todos los cuales tienen vulnerabilidades conocidas. Estas opciones heredadas no están disponibles de forma predeterminada. Si debe habilitar WPA con claves PSK/TKIP, multimodo o WEP, cree un ticket de soporte al equipo de soporte de Juniper Mist.
-
Para configurar la opción de contraseña múltiple con WPA3, necesita la versión 0.14 o superior del firmware del AP.
-
Con WPA2, hay dos métodos de búsqueda MPSK para WLAN en el portal de Mist: Local y RADIUS. Con WPA3, puede habilitar RADIUS PSK.
(Solo WPA2) Con la búsqueda local , las claves se almacenan en el punto de acceso y se pueden crear tanto a nivel de sitio como de organización. No requiere conectividad a la nube de Mist. Local se usa normalmente para IoT, donde los PSK se configuran por dispositivo. La rotación de claves se produce en la hora de expiración. La búsqueda local admite hasta 5000 PSK por AP. Es una buena opción cuando desea admitir dispositivos en lugar de clientes y cuando no es necesario cambiar las teclas con frecuencia.
(WPA2 y WPA3) Con la búsqueda RADIUS , los PSK se almacenan en el servidor RADIUS y el AP le envía una solicitud de autenticación MAC. El servidor RADIUS devuelve la frase de contraseña utilizando Cisco AVPair. RADIUS se utiliza normalmente cuando se integra con un servicio de alojamiento PSK de terceros. El soporte de búsqueda de RADIUS incluye Identity Services Engine (Cisco ISE), Aruba ClearPass, RG Nets y Eleven Wireless. La búsqueda RADIUS requiere la versión de firmware 0.8x o posterior.
Opciones adicionales con Access Assurance
Acceda a la garantía para funciones adicionales
Si tiene una suscripción a Access Assurance, puede habilitar características adicionales de MPSK, entre las que se incluyen:
- Búsqueda de PSK basada en la nube.
- Soporte para más de 5000 PSK a nivel de organización.
- Incorporación automática de clientes y portales PSK.
- Características de la administración del ciclo de vida de PSK, incluida la expiración de PSK, la rotación y la contabilidad y visibilidad por PSK (en la página Clientes de Wi-Fi del portal de Mist).
La suscripción de Access Assurance se calcula de acuerdo con el número de dispositivos cliente activos y simultáneos que usan MPSK agregados durante un período de siete días (que se adapta a los picos de uso).
Configurar PSK
Puede agregar, ver y modificar claves precompartidas en la página Configuración de WLAN, la página Claves precompartidas y la página Clientes wifi.
-
Página de configuración de WLAN: navegue hasta su WLAN o cree una nueva (consulte Agregar una WLAN).
-
Tipo de seguridad: seleccione WPA3 con Personal (SAE) o seleccione WPA2 con Personal (PSK).
- Introduzca la frase de contraseña o habilite Varias frases de contraseña.
-
-
Página Claves precompartidas: en el menú de la izquierda, seleccione Sitio >Claves inalámbricas > precompartidas.
-
Para ver las claves de un sitio: seleccione un sitio en la parte superior de la página.
Nota:Con una suscripción a Access Assurance, también puede ver claves previamente compartidas en el nivel de la organización.
-
Para cambiar la frase de contraseña, el rol, la VLAN u otras propiedades de una clave: haga clic en la clave que desea cambiar. Realice los cambios y, a continuación, haga clic en Guardar.
-
Para agregar o quitar claves: use los botones que se encuentran en la esquina superior derecha de la página: Importar, Exportar, Agregar clave y Eliminar clave.
-
-
Página Clientes Wi-Fi: en el menú de la izquierda, seleccione Clientes > Clientes Wi-Fi.
-
Para ver las claves de un sitio o WLAN: seleccione un sitio en la parte superior de la página o introduzca un SSID en el cuadro Filtro .
-
Para cambiar la frase de contraseña: haga clic en el SSID para ir a la página WLAN. En Seguridad, escriba un nuevo PSK. A continuación, haga clic en Guardar en la esquina superior derecha de la página.
-
Como práctica recomendada, actualice el PSK semanalmente.
Puede automatizar el proceso de rotación por correo electrónico. Consulte PSK rotativos.