Esta guía cubre los diferentes tipos de red que puede configurar en Kandji. Para obtener instrucciones sobre cómo configurar Library Items de acceso a la red, consulte nuestros artículos de soporte Configurar el Library Item de Wi-Fi y Configurar el Library Item de Ethernet .
Autenticación Wi-Fi no empresarial
Cuando configures una red Wi-Fi en Kandji, tendrás que elegir un tipo de autenticación. Si su entorno no requiere autenticación de nivel empresarial (como 802.1X), tiene algunas opciones sólidas, cada una con sus propias fortalezas y consideraciones.
Tipos de autenticación Wi-Fi no empresarial
Las redes abiertas no requieren una contraseña. Cualquiera que esté dentro del alcance puede conectarse. Si bien eso hace que sea fácil unirse, también significa que no hay cifrado, por lo que los datos enviados a través de la red no están protegidos. Las redes abiertas se reservan mejor para situaciones en las que la seguridad no es un problema, como las redes Wi-Fi públicas para invitados o los entornos de prueba simples. Para la mayoría de los casos de uso empresarial, querrá algo más seguro.
WEP (Wired Equivalent Privacy) es un protocolo de seguridad más antiguo. Fue diseñado para ofrecer protección básica, pero ahora se considera ampliamente inseguro. WEP se puede descifrar rápidamente con herramientas ampliamente disponibles, por lo que no se recomienda a menos que tenga dispositivos heredados que no puedan usar nada más. Si necesita usar WEP, mantenga esa red aislada de cualquier información confidencial.
WPA Personal utiliza una contraseña compartida (clave previamente compartida) para el acceso a la red. Se introdujo como una actualización de WEP, pero ahora ha sido reemplazado en gran medida por WPA2 y WPA3. WPA Personal solo se recomienda para dispositivos más antiguos que no pueden usar protocolos más nuevos. Si lo usa, elija una contraseña segura y única y planifique actualizarla tan pronto como pueda.
WPA2 Personal es el estándar actual para la mayoría de las redes Wi-Fi que no utilizan la autenticación empresarial. Utiliza un cifrado más fuerte (AES) y es ampliamente compatible. Para la mayoría de las organizaciones pequeñas y medianas, WPA2 Personal logra un buen equilibrio entre seguridad y facilidad de uso. Solo asegúrese de que su contraseña sea segura; largo, aleatorio y no es algo que encontrarías en un diccionario.
WPA3 Personal es la última evolución en seguridad Wi-Fi. Está diseñado para ser aún más difícil de descifrar, incluso si alguien intenta adivinar su contraseña sin conexión. También proporciona una mejor protección de los datos, incluso si alguien logra obtener su contraseña más tarde. WPA3 es una excelente opción si sus dispositivos y equipos de red lo admiten. Si está implementando hardware nuevo, vale la pena habilitarlo.
Las redes de modo mixto le permiten habilitar WPA2 y WPA3 al mismo tiempo. Es útil si tienes una combinación de dispositivos antiguos y nuevos. Solo tenga en cuenta que los dispositivos que solo admiten WPA2 aún se conectarán usando ese protocolo, por lo que la seguridad general de su red es tan fuerte como su eslabón más débil.
Comparación de tipos de Wi-Fi no empresariales
Protocolo | Autenticación | Nivel de seguridad | Compatibilidad | Casos de uso | Notas |
|---|---|---|---|---|---|
Redes Abiertas | Ninguno | Muy bajo | Universal | Wi-Fi público, pruebas | Sin cifrado, fácil de unir pero inseguro. |
WEP (en inglés) | Clave compartida | Bajo | Dispositivos heredados | Sistemas heredados | Fácil de descifrar, no recomendado para datos confidenciales. |
WPA Personal (WPA-PSK) | Clave precompartida (PSK) | Moderado | Dispositivos más antiguos | Redes pequeñas, configuraciones temporales | Reemplazado por WPA2, úselo solo si es necesario. |
WPA2 Personal | Clave precompartida (PSK) | Alto | Dispositivos más modernos | Hogar, pequeñas y medianas empresas | Estándar actual, encriptación fuerte. |
WPA3 Personal | Autenticación simultánea de iguales (SAE) | Muy alto | Dispositivos más nuevos | Nuevos despliegues, entornos de alta seguridad | Último estándar, características de seguridad mejoradas. |
Modo mixto (WPA2/WPA3) | PSK, SAE | Variable (depende del dispositivo) | Entornos de dispositivos mixtos | Redes en transición | Permite que los dispositivos WPA2 y WPA3 se conecten, la seguridad depende del eslabón más débil. |
Autenticación Wi-Fi empresarial
El Wi-Fi empresarial utiliza la autenticación 802.1X para controlar quién puede unirse a la red. En lugar de una contraseña compartida, cada usuario o dispositivo se autentica individualmente, generalmente a través de una combinación de credenciales y certificados digitales. Este enfoque proporciona una mejor seguridad y facilita la administración del acceso a escala.
La autenticación 802.1X implica tres componentes principales:
Suplicante : este es el dispositivo (como una Mac o un iPhone) que desea conectarse.
Autenticador : por lo general, un dispositivo de red, como un punto de acceso inalámbrico, que actúa como guardián.
Servidor de autenticación : normalmente un servidor RADIUS, que comprueba las credenciales y decide si permite el acceso.
Cuando un dispositivo intenta unirse a la red, proporciona credenciales al autenticador, que las pasa al servidor de autenticación. Si se desprotegen las credenciales, se concede acceso al dispositivo.
Tipos de autenticación empresarial
WPA2 Empresa
WPA2 Enterprise combina 802.1X con cifrado fuerte (AES). Cada usuario obtiene un inicio de sesión único y puede usar contraseñas, certificados digitales o incluso autenticación multifactor. Esta configuración es ampliamente compatible y sigue siendo la opción más común para las organizaciones que necesitan una seguridad Wi-Fi sólida.
WPA3 Empresa
WPA3 Enterprise se basa en WPA2 Enterprise al agregar un cifrado más fuerte y protecciones adicionales. Requiere la validación del certificado del servidor, lo que ayuda a garantizar que los usuarios se conecten a la red correcta. WPA3 también introduce la protección de tramas de administración (MFP), que ayuda a prevenir ciertos tipos de ataques que pueden interrumpir las conexiones o engañar a los usuarios para que se unan a redes no autorizadas. También hay un modo opcional de 192 bits para entornos con datos especialmente sensibles.
Tipos de EAP
El método real utilizado para autenticar a los usuarios se denomina Protocolo de autenticación extensible (EAP). Los tipos comunes de EAP incluyen:
EAP-TLS : utiliza certificados de cliente y servidor para la autenticación mutua. Este método es muy seguro, pero requiere la administración de certificados.
PEAP y EAP-TTLS : utiliza certificados de servidor y credenciales de usuario (como nombres de usuario y contraseñas). Más fácil de administrar que EAP-TLS, pero sigue siendo seguro.
Existen otros tipos, como EAP-FAST o LEAP, pero son menos comunes y no se recomiendan para nuevas implementaciones.
¿Por qué elegir la autenticación empresarial?
Cada usuario o dispositivo tiene sus propias credenciales, por lo que no tiene que preocuparse por la fuga de una contraseña compartida.
El acceso se puede administrar de forma centralizada: deshabilite la cuenta de un usuario y perderá el acceso a Wi-Fi al instante.
Admite funciones de seguridad avanzadas como la autenticación basada en certificados y la autenticación multifactor.
Proporciona registros y auditorías detallados para el cumplimiento y la solución de problemas.
Otras consideraciones para la autenticación empresarial
La autenticación empresarial requiere una infraestructura adicional, a saber, un servidor RADIUS y, en el caso de las configuraciones basadas en certificados, una autoridad de certificación. La mayoría de las organizaciones ya los cuentan con ellos o pueden utilizar soluciones basadas en la nube. Una vez configurado, los beneficios en seguridad y capacidad de administración son significativos.