- Soporte de red: Asegúrese de que su infraestructura de red, incluidos los puntos de acceso y los controladores, admita WPA3 y (si lo desea) el OWE opcional para redes abiertas. Si bien muchos dispositivos de red más nuevos son compatibles con WPA3, el hardware más antiguo puede requerir actualizaciones o reemplazos. Si desea utilizar cierta funcionalidad opcional en WPA3, investigue y considere todos los requisitos para esa característica. Por ejemplo, para utilizar la seguridad de 192 bits para el modo empresarial, su servidor RADIUS debe admitir ciertos modos EAP y debe implementar EAP-TLS con certificados del lado del servidor y del cliente para la autenticación 802.1X. El controlador inalámbrico puede brindar soporte o es posible que deba utilizar un servidor RADIUS externo.
- Atención al cliente: Verifique que los dispositivos que se conectan a su red admitan WPA3. Si bien la mayoría de los teléfonos inteligentes, tabletas y computadoras portátiles modernos son compatibles con WPA3, algunos dispositivos heredados pueden requerir actualizaciones o reemplazos. Si no todos los dispositivos cliente admiten WPA3, puede ejecutar la red en modo mixto WPA2/WPA3.
- Actualizaciones de software: Aunque es posible que su red y el hardware del cliente ya sean compatibles con WPA3 y OWE, busque actualizaciones de firmware y controladores en caso de que se hayan lanzado más características y funcionalidades de WPA3 para admitir más estándares. La actualización puede agregar opciones de implementación adicionales.
- Configuración: Debe configurar su controlador/puntos de acceso para permitir el uso de protocolos de autenticación y cifrado WPA3 y/o OWE. Tampoco todos los equipos de red admitirán exactamente las mismas opciones de implementación.
Consejos para usar WPA3
A continuación se ofrecen algunos consejos para maximizar los beneficios de WPA3 en su red empresarial:
- Utilice el modo mixto WPA2/WPA3: A menos que esté trabajando con una red más pequeña y controlada donde pueda asegurarse de que todos los clientes admitan WPA3, es probable que desee seguir admitiendo clientes WPA2. Esto es posible con los modos mixto o de transición WPA2/WPA3. Aunque no es lo mejor en cuanto a rendimiento, aún será posible que los clientes más antiguos se conecten.
- Comprenda las diferentes configuraciones de implementación: Al configurar equipos que admitan WPA3, encontrará muchas opciones de implementación nuevas con respecto a la seguridad. Esto es algo a considerar incluso antes de la implementación, al seleccionar su equipo, para asegurarse de que sea compatible con los métodos deseados. Para WPA3-Personal, puede encontrar opciones como Hash-to-Element (H2E) para la generación de contraseñas o una opción opcional con Transición rápida habilitada. Otro ejemplo: algunos equipos de red pueden admitir solo WPA3 para SSID que transmiten en la banda de 6 GHz, mientras que otros pueden admitir el modo mixto WPA2/WPA3 para la banda más nueva. Para WPA3-Enterprise, es posible que vea compatibilidad con diferentes opciones de implementación, como 802.1X-SHA256 AES CCMP 128, GCMP128 SuiteB 1x y GCMP256 SuiteB 192 bits. Si tiene alguna preferencia, asegúrese de que el equipo que seleccione la admita. Investigue cada una de las configuraciones de implementación admitidas para comprender cuál es la mejor para su LAN inalámbrica y sus clientes.
- Utilice el modo mixto DEBE: Si desea activar OWE para conexiones abiertas mejoradas de Wi-Fi, considere el modo mixto o de transición. De esa manera, la red acepta tanto conexiones tradicionales no cifradas de clientes más antiguos como conexiones cifradas de clientes más nuevos que admiten OWE.
- Utilice contraseñas seguras en todas partes: Incluso con la seguridad mejorada de WPA3, las contraseñas débiles siempre serán una especie de vulnerabilidad. Utilice contraseñas de Wi-Fi complejas y difíciles de adivinar y, si utiliza el modo empresarial con contraseñas de usuario, aplique contraseñas de usuario seguras a través del servidor RADIUS. Además, con todas estas nuevas e innovadoras técnicas de cifrado, no se olvide de las viejas vulnerabilidades, como las contraseñas de administrador débiles en los componentes de la red.
- Actualice periódicamente el firmware y los controladores: Mantenga actualizado el firmware de su infraestructura de red para asegurarse de tener los últimos parches y mejoras de seguridad, especialmente actualizaciones de WPA3. La misma idea se aplica a los dispositivos cliente; El nuevo software de controlador puede agregar soporte para una funcionalidad WPA3 nueva o mejor.
- Supervise los AP no autorizados, mal configurados y que interfieran: Puede configurar la mejor seguridad Wi-Fi y cifrado de grado militar en sus puntos de acceso, pero un punto de acceso no autorizado conectado a la red por un empleado o atacante puede abrir un agujero enorme. O un AP aprobado podría estar mal configurado. Por lo tanto, habilite cualquier detección o monitoreo de AP no autorizado que tenga disponible.
Recuerde, existen mejoras significativas en WPA3, que abordan vulnerabilidades e introducen nuevas funciones de seguridad. Sin embargo, hay muchos requisitos a considerar sin siquiera tocar los demás aspectos de Wi-Fi 6. El esfuerzo puede valer la pena para utilizar el cifrado mucho más seguro y el secreto de reenvío con el modo personal o para obtener la seguridad de 192 bits para el modo empresarial. Además, no olvide que si desea utilizar Wi-Fi Enhanced Open para Wi-Fi público, debe buscar equipos de red y clientes que realmente lo admitan.
La implementación exitosa de WPA3 requiere una infraestructura de red actualizada, compatibilidad con el cliente y una configuración cuidadosa. Usar modos mixtos o de transición para WPA2/WPA3 y OWE, aplicar contraseñas seguras y mantener el firmware y los controladores actualizados son consejos esenciales para maximizar los beneficios de WPA3 y garantizar una seguridad Wi-Fi sólida.