Habilitar la seguridad empresarial WPA2/WPA3 (802.1X) en una WLAN

Habilite WPA2/WPA3 Enterprise en su WLAN para la autenticación avanzada mediante un servidor RADIUS.

Estos temas lo guían a través de los pasos básicos para habilitar la seguridad 802.1x y agregar su servidor RADIUS, con información adicional sobre varias opciones.

Establezca el tipo de seguridad de WLAN y agregue su servidor RADIUS

Wi-Fi 7 (802.11be), así como el uso del espectro de radio de 6 GHz, requieren tipos de seguridad WPA3 o abiertos mejorados (basados en OWE). Para Wi-Fi 7, también debe habilitar la opción Seguridad de Wi-Fi 7 . Aunque son compatibles, los tipos de seguridad WPA2 y Open no están disponibles de forma predeterminada. Para usarlos, debe anular la selección de Wi-Fi 6 y Wi-Fi 7 en Protocolos de Wi-Fi, y anular la selección de 6 GHz en Banda de radio en la plantilla de WLAN o en la página de configuración.

Los AP de Juniper Mist Wi-Fi 7 y Wi-Fi 6E con la versión de firmware 0.15.34098 o posterior admiten la seguridad de Wi-Fi 7.

Para establecer el tipo de seguridad de WLAN y agregar el servidor RADIUS:

Vaya a la WLAN.
- Si el WLAN está en una plantilla de WLAN, seleccione Organización > Conexión inalámbrica | Plantillas de WLAN, haga clic en la plantilla y, a continuación, haga clic en WLAN.
- Para obtener una WLAN a nivel de sitio, seleccione Site > Wireless> WLAN y, a continuación, haga clic en el WLAN.
En la sección Seguridad de la ventana Editar WLAN:
1. Haga clic en WPA3 o WPA2.
2. Haga clic en Enterprise (802.1X).
La autenticación RADIUS solo está disponible cuando seleccionó WPA2/WPA3 y Enterprise (802.1X) en la sección Seguridad.
En la sección Servidores de autenticación, agregue el servidor.
1. Seleccione RADIUS como tipo de servidor.
2. Haga clic en Agregar servidor.
3. Escriba el nombre de host y el secreto compartido.
  
  Nota:
  Puede utilizar variables de sitio en lugar de escribir el nombre de host. Consulte (Opcional) Usar variables de sitio para agregar un servidor.
4. Haga clic en el botón de marca de verificación.
(Opcional) Configure opciones adicionales para su WLAN si es necesario (como se describe en las secciones restantes de este documento).
Guarde la configuración de la WLAN y guarde los cambios de plantilla (si la WLAN forma parte de una plantilla de WLAN).

(Opcional) Usar variables de sitio para agregar un servidor

Mediante el uso de variables de sitio para identificar su servidor RADIUS, puede aplicar fácilmente la misma configuración de WLAN a AP en diferentes sitios, aunque ciertos atributos sean diferentes. En este escenario, imagine que el sitio A y el sitio B usan servidores RADIUS diferentes. Utilizará variables para agregar el servidor RADIUS en la configuración de WLAN. A continuación, definirá las variables de forma diferente en las dos configuraciones de sitio.

Para usar variables de sitio para agregar un servidor:

Defina las variables de sitio en la configuración del sitio para el primer sitio:
1. Seleccione Configuración del sitio > la organización en el menú de la izquierda del portal de Mist Juniper.
2. Haga clic en el sitio que desea configurar, como el sitio A.
3. En la sección Variables del sitio, haga clic en Agregar variable.
4. Escriba un nombre y un valor de variable para la dirección IP del servidor RADIUS y, a continuación, haga clic en Guardar.
  
  Como se muestra a continuación, ingrese {{RADIUS_IP}} para Variable. Ingrese la dirección IP real para Valor.
5. Agregue una variable para el secreto compartido, como {{RADIUS_Secret}}, e ingrese el secreto compartido real para este servidor como valor.
  
  Después de agregar las dos variables, aparecen en la sección Variables del sitio de la página Configuración del sitio.
Agregue las mismas variables al siguiente sitio (sitio B) e introduzca los valores correctos para el servidor RADIUS de ese sitio.
Por ejemplo, en la configuración del sitio para el sitio B, agregue la misma variable {{RADIUS_Server}}. En el campo Valor , escriba la dirección IP real del servidor RADIUS del sitio B. Agregue también la misma variable {{RADIUS_Secret}} e ingrese el secreto compartido correcto para el valor.
Haga clic en Guardar en la esquina superior derecha de la página Configuración del sitio.
Establezca el tipo de seguridad de WLAN y agregue su servidor RADIUS, e ingrese variables para los detalles del servidor.

Por ejemplo, utilice variables al agregar un servidor RADIUS o un servidor CoA/DM.

En este ejemplo, el nombre de host es {{RADIUS_IP}} y el secreto compartido es {{RADIUS_Secret}}.
Guarde la configuración de WLAN.

(Opcional) Agregar un identificador NAS y una dirección IP de NAS

Cuando habilita la seguridad 802.1X en una WLAN, puede agregar un identificador de NAS o una dirección IP de NAS para personalizar la información que se transfiere a su servidor de RADIUS.

Por ejemplo, puede introducir el ID de sitio (en una WLAN a nivel de sitio) o una variable de nombre de sitio (en una plantilla WLAN) como identificador NAS. Con este enfoque, puede asociar toda la actividad con un sitio para facilitar sus procesos de auditoría o contabilidad o para crear diferentes reglas de RADIUS para diferentes sitios. Otro ejemplo es ingresar la palabra Mist como identificador NAS. De esta manera, puede crear una regla de RADIUS o una experiencia de portal de invitados diferente para el tráfico proveniente de Mist.

Si deja el campo Identificador de NAS en blanco, el ID de WLAN se utilizará como ID de NAS.

Puede introducir variables y texto sin formato. Las siguientes variables son válidas en este campo:

Nombre del dispositivo: {{DEVICE_NAME}}
Modelo: {{DEVICE_MODEL}}
Dirección MAC: {{DEVICE_MAC}}
Nombre del sitio: {{SITE_NAME}}

En este ejemplo, se muestra cómo se puede utilizar tanto el texto como las variables en el ID.

Example: Using Variables in the NAS Identifier Field

Como se muestra a continuación, cuando un AP en esta WLAN envía una solicitud de acceso, las variables se transforman para identificar el AP.

Example: Access-Request Contents Including NAS-ID

Como alternativa, especifique una dirección IP de NAS. Normalmente, Mist pasa a través de la dirección IP real del AP. Pero es posible que desee especificar una dirección IP que se utilizará para toda la actividad, de modo que pueda hacer referencia a ella en sus políticas de RADIUS.

Puede agregar el identificador NAS o la dirección IP de NAS en la ventana Editar/Crear WLAN.

(Opcional) Agregar un servidor CoA/DM

Cuando habilita la seguridad 802.1X en una WLAN, también puede agregar un servidor CoA/DM.

El cambio de autorización (CoA) le permite modificar sesiones de RADIUS autorizadas después de la autenticación inicial para cumplir con los requisitos de acceso cambiantes. Por ejemplo, habilite casos de uso como restablecimientos de sesión iniciados por el administrador.

Nota:

Para obtener más información, consulte Cambio de autorización (CoA).

(Opcional) Activar RadSec

RadSec es un protocolo que permite a los servidores de RADIUS transferir datos a través de TCP y TLS para una mayor seguridad. Con las capacidades de RadSec, puede transferir paquetes de RADIUS a través de redes públicas mientras garantiza la seguridad de extremo a extremo a través de la capa de transporte.

Para habilitar RadSec e instalar los certificados:

Después de establecer el tipo de seguridad de WLAN y agregar el servidor RADIUS, agregue el servidor RadSec:
1. En la sección Servidores de autenticación, seleccione RadSec en la lista desplegable.
2. Escriba el nombre del servidor.
3. Haga clic en Agregar servidor e ingrese el nombre de host.
4. Haga clic en el botón de marca de verificación para agregar el servidor.
5. Guarde la configuración de la WLAN y guarde los cambios de plantilla (si la WLAN forma parte de una plantilla de WLAN).
Obtén tu certificado de Mist desde la configuración de tu organización:
1. Seleccione Configuración > organización en el menú de la izquierda del portal de Mist Juniper.
2. En Certificado de Mist, haga clic en Ver certificado. Copie el certificado. Lo necesitarás para el siguiente paso.
Vaya a su servidor RadSec y complete estas tareas:
1. Cargue el certificado de Mist copiado.
2. Copie su certificado RadSec de su servidor RadSec. Lo necesitarás para el siguiente paso.
Regrese a la página Configuración de la organización en el portal de Juniper Mist y agregue su certificado RadSec:
1. En Certificados RadSec, haga clic en Agregar un certificado RadSec.
2. Pegue el contenido del certificado desde su servidor RadSec.
3. Haga clic en Agregar.
(Opcional) Si desea utilizar sus propios certificados AP RadSec (en lugar del certificado único que Mist genera para cada AP), haga clic en Agregar certificado RadSec AP y, luego, ingrese la clave privada y el certificado firmado para el certificado AC.
Haga clic en Guardar en la esquina superior derecha de la página Configuración de la organización.

EN ESTA PÁGINA