Guías técnicas

Soporte PSK múltiple en FortiWLC

La clave precompartida MPSK es un método de autenticación que se agrega al estándar de cifrado avanzado (AES) WPA/WPA2. La funcionabilidad MPSK de FortiWLC permite la generación de claves de cifrado únicas para cada usuario en un determinado SSID.

Mediante este método permitimos que varios usuarios dispongan de una contraseña propia en el mismo SSID y podemos proporcionar un control de acceso granular específico para el usuario. Cuando un usuario pierde la contraseña basta con modificar únicamente su contraseña de acceso, el resto de usuarios no se ven comprometidos, en algunos escenarios podemos llegar a sustituir la autenticación 802.1X/EAP por este método.

Cada usuario dispone de su propia credencial e incluso podemos autenticar la tupla usuarios/dispositivo configurando la MAC del dispositivo, permitiendo la autenticación para un determinado usuario desde un dispositivo con una MAC específica, e incluso asignar a ese usuario a una Vlan específica.

Las principales ventajas de esta solución son:

    • Múltiples contraseñas por usuario/dispositivo asignados a un único SSID.
    • No hay necesidad de PKI, certificados o servidores RADIUS.
    • Pueden ser credenciales basadas en el tiempo.
    • Se puede vincular a una VLAN.
    • Resuelve el problema PSK “estático” (si un usuario pierde la contraseña no es un problema crítico).
    • Menos transmisión de SSID por lo tanto, más tiempo de transmisión.

Los usuarios se puede crear uno a uno mediante el DashBoard del WLC o de forma múltiple mediante un archivo CSV que se sube al propio controlador.

Configuración en FortiWLC

A continuación paso a definir los pasos a seguir para la configuración:

    • Definir el perfil de MPSK – Navegar a Configuration > Security > Multiple PSK > Add.

El perfil PSK se configura en el perfil de seguridad y se vincula al perfil ESS (SSID).

Podemos hacer que los usuarios se creen a mano o de forma automática, que los usuarios puedan autenticar un máximo de 10 veces (0 es sin límite) e incluso definir un perfil con un rango de validez horaria.

    • Dentro del perfil creado:

Podemos crear el usuario con una contraseña predeterminada, asignarlo a una Vlan e inclusi hacer un Mac binding a un MAC determinada para que solo puede utilizar un determinado dispositivo.

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *