[MUSIC] Hola, ¿qué tal? Bienvenida o bienvenido a este entrenamiento de Aruba Mobility Essentials. Mi nombre es Ricardo Cobos y estoy por comenzar la parte 2-6, uso de la red inalámbrica. Determinar el uso de la red inalámbrica es fundamental para poder configurarla de manera adecuada. Hay bastantes características que tú puedes definir dependiendo de esto que incluyen, pero no están limitadas a especificar el radio o la banda donde la red se va a activar. Así como la autenticación y cifrado que tú habilitarás en esta. Entonces, hablando de este segundo punto, y un poco relacionado con el video anterior donde yo you hablé de autenticación y control de acceso. Viene obviamente los diferentes métodos de autenticación que nosotros podemos habilitar en cada una de nuestras redes. Pero una vez más, primero tenemos que definir el uso. Ahora, los usos comunes en redes inalámbricas incluyen, pero no están limitados, a empleados, ¿sí? Obviamente, en el caso de empleados es una red que, por lo general, va a tener cifrado, el cifrado más avanzado posible. Y también, dependiendo del resultado de autenticación, nosotros vamos a querer dar acceso a recursos sensibles dentro de la compañía. El siguiente uso que nosotros podríamos tener es el de invitados, o guests. En este caso, obviamente estamos esperando que los invitados, contratistas, o inclusive hasta socios, puedan acceder a la red de manera fácil, sencilla y sin tanta complicación. En este caso, normalmente tendríamos una red abierta a la cual ellos se pueden conectar. Y, a través de esta red abierta, es importante aun así poder definir algún tipo de autenticación para poder identificar a cada uno de los usuarios. Una vez que ellos hayan completado esa autenticación, normalmente le vamos a dar acceso no a los recursos internos de la red o a los recursos sensibles de la compañía, sino a lugares externos, como el Internet mismo. Finalmente, nosotros tenemos otro tipo de uso que podría ser para dispositivos como IoT, o Internet of Things. Esto puede incluir impresoras, puede incluir algunas cámaras de videovigilancia, puede incluir teléfonos, puede incluir sensores. Puede incluir cualquier otro dispositivo que realmente no está siendo utilizado en todo momento por un usuario. Es decir, el dispositivo va a estar conectado, generalmente 24/7. Y él por sí solo tiene que completar la autenticación sin tener a una persona escribiendo las credenciales. Estos dispositivos podrían no soportar sistemas avanzados de autenticación como 802.1X, y simplemente tener disponible pre-shared key. Y esta es la parte donde nosotros, una vez que hayamos identificado el uso de la red, podemos especificar el método primario de autenticación para esta. Los métodos que nosotros tenemos disponibles son 802.1X con Extensible Authentication Protocol. El cual realmente va a solicitar al cliente o al supplicant las credenciales antes de poder dar cualquier tipo de acceso a la red. Realmente la conectividad va a estar completamente bloqueada, excepto para mensajes o tramas que incluyan EAP, como el payload. Este el método general de autenticación que nosotros vamos a comúnmente implementar en redes para los empleados. Después, como el segundo método que tenemos disponible, es el portal cautivo. En el caso del portal cautivo, lo que hacemos es permitir el acceso a la red de manera sencilla a un invitado. Y automáticamente redirigir todo el tráfico web para un portal que le va a solicitar al usuario escribir sus credenciales, nombre de usuario y contraseña. O alternativamente, en caso de que él no tenga algunas credenciales, él podría, a través de este portal, generar una nueva cuenta. Es importante entender que para poder implementar esta solución de manera adecuada, normalmente necesitamos un servidor web que esté hosteando o que esté soportando esta página web. Aún cuando hay soluciones donde este portal viende denro del access point instant o puede venir dentro del mobility controller mismo, la realidad es que esos portales cautivos son poco sofisticados. Son muy básicos y no es lo que realmente nosotros queremos para una red corporativa. Por lo general, utilizamos ClearPass que él tiene una solución más sofisticada y robusta. Que tiene todas las funcionalidades como autoregistro, como sponsor approval. O realmente la aprobación de las cuentas a través de un empleado interno. Social login y muchas otras funcionalidades. Ahora, normalmente el portal cautivo es lo que nosotros utilizamos para la red de invitados. Y finalmente, como tercer método, lo que nosotros tenemos disponible es un passphrase o WPA2/WPA3 con llave precompartida. Lo que nosotros llamamos de WPA2 o WPA3 personal. En este caso, el usuario realmente no va a probar su identidad. No realmente va a probar un nombre de usuario y contraseña, o certificado digital o un token. Él simplemente sabe una llave precompartida. Entonces, aunque este es el método más común para ambientes de casa, o ambientes de restaurantes o ambientes de algún comercio pequeño, no lo recomendamos para autenticación de usuario en un ambiente corporativo. Sin embargo, aún se sigue ocupando. Por ejemplo, en el caso de dispositivos viejos que no soporten 802.1X, como algunos dispositivos IoT que realmente no puedan tener este software de supplicant. Entonces, en ese caso, lo que nosotros haríamos sería preconfigurar la red inalámbrica en estos dispositivos. Configurar la llave precompartida, y obviamente, permitirles el acceso de esa manera. Ahora, es importante entender otras características de estos métodos de autenticación. Y es que ellos por lo general vienen asociados con algún tipo de cifrado. 802.1X es una autenticación que por lo general viene acompañada de cifrado AES. Este cifrado es activado en el momento en el que nosotros nos asociamos a la red. Y se va a aplicar en todos los paquetes o tramas que cada usuario que utilizó 802.1X para su autenticación, envíe en la red. En otras palabras, si utilizamos 802.1X para empleados, entonces, como consecuencia estamos asumiendo que el tráfico que ellos envíen es cifrado por este algoritmo simétrico, AES. Y lo cual, obviamente, hace sentido porque estamos hablando de tráfico de los empleados. Que es tráfico en algunas ocasiones sensible y privado. Después tenemos en el caso de portal cautivo, este por lo general las redes inalámbricas aunque tengan este portal cautivo de autenticación, ellas seguirían estando abiertas. El problema con tener una red abierta es que, aunque nosotros estemos soportando un método de autenticación para los invitados, contratistas, socios, partners, etc. El tráfico que ellos envían no estaría cifrado por la red misma. Tendría que estar cifrado por la aplicación que el usuario esté usando. Aunque algunos podrían no preocuparse porque es una red de invitados, la realidad de las cosas es que si tú tienes algún partner, algún socio que esté llegando a la empresa y quiera enviar este tipo de tráfico sensible. Bueno, entonces el cifrado y la privacidad es algo que te debería interesar. Es por eso que con WPA3, una red abierta también puede incluir cifrado a través de algo que nosotros llamamos Opportunistic Wireless Encription, OWE. Donde, inclusive cuando la red es abierta, el usuario se está asociando sin tener ninguna llave precompartida. El cliente y el access point automáticamente lograrían la negociación de llaves de cifrado. Y ahora, a partir de ese momento, el tráfico sería cifrado con algoritmos como AES. Entonces, para esto es importante entender que va a requerir WPA3 únicamente, ¿vale? Finalmente, nosotros tenemos una red WPA2 o WPA3 personal con pre-shared key. Y en ese caso, bueno, también podríamos tener cifrado de AES, ¿vale? En este caso, importante entender, aquí tenemos un nivel de autenticación bastante elevado con un cifrado elevado al mismo tiempo. Aquí tenemos un sistema de autenticación sencillo, básico y user friendly para los invitados. Y si nosotros lo juntamos con Opportunistic Wireless Encryption, entonces también tendríamos cifrado avanzado. Sin embargo, si lo dejas como una red abierta, sin OWE, no tienes esa ventaja. Y por lo último, con WPA2 o 3 personal, aunque la autenticación es muy básica. Es simplemente una llave, y a través de esa llave no puedes validar la identidad de ningún usuario, podrías acompañar eso con un nivel de cifrado de datos elevado. Aquí tenemos en más detalle esas características, ¿vale? 802.1X con EAP, maneja una seguridad elevada de grado de gobierno. Y utiliza autenticación you sea con nombre de usuario y contraseña, o certificados digitales o también token. Esto va a depender del método de EAP que estemos utilizando. Si utilizamos PIP con Microsoft Chart versión 2, entonces pedimos a los usuarios que utilicen nombre de usuario y contraseña. Pero, si utilizamos TLS, obviamente certificados es lo que ellos ocuparían para autenticarse. El cifrado you lo mencioné, sería AES. Y bueno, esto es generalmente lo que usamos para una red de empleados. Si tenemos una red de invitados con portal cautivo, bueno, esto por lo general no es muy, muy seguro. Porque cualquier usuario se podría asociar a la red, y inclusive obtener una dirección IP. Después es cuando podríamos redirigirlo al portal cautivo que les exigiría la autenticación. Las razones por la cual esto no es considerado seguro es porque you estamos ofreciendo este acceso limitado a la red al menos en un principio. Y porque realmente el cifrado es opcional. Estaría disponible únicamente si tenemos Opportunistic Wireless Encryption. Por último, el passphrase con WPA2/WPA3 no es una autentificación. Simplemente es la validación del conocimiento de una llave y ofrece cifrado. Esa es una de las ventajas principales. Y, como mencioné, este método en un ambiente corporativo es únicamente utilizado para dispositivos IoT viejos. Soluciones de seguridad que nunca deberíamos ocupar son WEP, TKIP y la primera versión de WPA. La realidad de las cosas es que todos estos métodos de seguridad you han sido vulnerados. Y el implementar una red corporativa con estos métodos de seguridad, inclusive una red casera, podría traer graves consecuencias. Porque cualquier persona podría obtener la llave de autenticación o las llaves de cifrado que tú estás utilizando para proteger tus datos. Entonces, como consecuencia, como el tráfico en el aire, cualquiera lo puede escuchar. Estos usuarios maliciosos, o hackers, podrían realmente capturar tu tráfico, descifrarlo y utilizarlo para fines no autorizados. Entonces, espero que este video haya clarificado cuál es el motivo de definir desde un principio los usos de la red. Cuáles son las opciones de seguridad a nivel de autenticación y cifrado que nosotros tenemos disponible para cada uso. Y, obviamente, en qué momento los ocuparías. Espero que hayas encontrado este video informativo. Te veo en el siguiente con la parte 2-7 que va a ser redundancia. Muchas gracias por tu tiempo. [MUSIC]
