Autenticação 802.1X Explicada para Redes Corporativas

Autenticação 802.1X Explicada para Redes Corporativas. Um Informativo de Inteligência da Purple WiFi. Bem-vindo. Se você é responsável pela segurança de rede em uma organização com várias unidades — seja um grupo de hotéis, uma rede de varejo, um estádio ou um patrimônio do setor público — este informativo é para você. Nos próximos dez minutos, abordaremos tudo o que você precisa saber sobre a autenticação 802.1X: o que é, como funciona nos bastidores, como implantá-la corretamente e as armadilhas que pegam a maioria das organizações de surpresa. Vamos começar. Seção um: Contexto e por que isso importa agora. O cenário de ameaças para redes WiFi corporativas mudou drasticamente. Redes com chave pré-compartilhada — do tipo em que todos sabem a senha do WiFi — não são mais aceitáveis para redes de funcionários em ambientes regulamentados. Sob a versão 4.0 do PCI DSS, que entrou em vigor em 2024, as organizações que lidam com dados de cartões de pagamento devem implementar controles de acesso fortes em qualquer rede que toque o ambiente de dados do titular do cartão. A GDPR impõe obrigações semelhantes a qualquer rede que trafegue dados pessoais. E com o trabalho híbrido significando que os funcionários estão se conectando a partir de dispositivos gerenciados e não gerenciados em dezenas de locais, o antigo modelo de perímetro simplesmente não se sustenta. O 802.1X é o padrão IEEE que resolve isso. Ele fornece controle de acesso à rede baseado em porta — o que significa que um dispositivo não pode ingressar na rede de forma alguma até que tenha sido autenticado em um repositório de identidade central. Não apenas uma senha compartilhada. Uma identidade real e verificada. Essa é a mudança fundamental. Seção dois: Mergulho técnico profundo. Vamos analisar a arquitetura. O 802.1X define três funções. O suplicante — que é o dispositivo final, o laptop ou smartphone tentando se conectar. O autenticador — que é o ponto de acesso sem fio ou o switch de rede. E o servidor de autenticação — que em praticamente toda implantação corporativa é um servidor RADIUS. Veja como funciona o handshake. Quando um dispositivo tenta se conectar a um SSID protegido, o ponto de acesso coloca esse dispositivo em um estado não autenticado. Ele não consegue acessar a rede. O AP envia um quadro EAP Request Identity para o dispositivo. EAP significa Extensible Authentication Protocol — é a estrutura que carrega as credenciais reais. O dispositivo responde com sua identidade. O AP encaminha isso para o servidor RADIUS, encapsulado em um pacote RADIUS Access-Request. O servidor RADIUS então desafia o dispositivo — o desafio específico depende de qual método EAP você está usando. O dispositivo responde com suas credenciais. O servidor RADIUS valida essas credenciais em seu repositório de identidade — Active Directory, LDAP ou um IdP em nuvem — e envia de volta um Access-Accept ou um Access-Reject. Se for um Accept, o AP abre a porta e o dispositivo obtém acesso à rede. Se for um Reject, o dispositivo permanece bloqueado. Toda a troca leva menos de um segundo. Agora, a seleção do método EAP é onde a maioria dos arquitetos passa a maior parte do tempo. Você tem quatro opções principais. O EAP-TLS é o padrão ouro. Ele exige um certificado de cliente em cada dispositivo, o que significa que você precisa de uma infraestrutura PKI, mas ele fornece autenticação mútua — o servidor prova sua identidade para o cliente, e o cliente prova sua identidade para o servidor. Nenhuma credencial pode ser alvo de phishing porque não há senhas envolvidas. Esta é a escolha certa para frotas de dispositivos totalmente gerenciadas. O PEAP — Protected EAP — é o método mais amplamente implantado na prática. Ele cria um túnel TLS usando apenas um certificado de servidor e, em seguida, passa as credenciais de usuário e senha dentro desse túnel. É significativamente mais fácil de implantar do que o EAP-TLS porque você não precisa de certificados de cliente, e ele é suportado nativamente em todos os principais sistemas operacionais. A desvantagem é que ele depende de os usuários validarem o certificado do servidor, o que na prática eles geralmente não fazem. A implantação adequada do PEAP exige o bloqueio da configuração do suplicante para que ele confie apenas no certificado do seu servidor RADIUS específico. O EAP-TTLS é semelhante ao PEAP, mas mais flexível no método de autenticação interna. É particularmente útil em ambientes com dispositivos legados ou endpoints que não sejam Windows. O EAP-FAST foi desenvolvido pela Cisco como uma alternativa mais rápida que usa Credenciais de Acesso Protegido em vez de certificados, mas é menos comumente implantado em novas estruturas. O próprio servidor RADIUS merece atenção. As duas opções de código aberto dominantes são o FreeRADIUS, que alimenta uma proporção significativa de implantações corporativas globalmente, e o Microsoft NPS — Network Policy Server — que está incluído no Windows Server e se integra nativamente com o Active Directory. As opções comerciais incluem Cisco ISE, Aruba ClearPass e Portnox Cloud, que oferece um modelo de RADIUS-as-a-service nativo em nuvem que elimina totalmente a necessidade de infraestrutura de servidor local. A atribuição de VLAN é um dos recursos mais poderosos de uma implantação 802.1X configurada corretamente. O servidor RADIUS pode retornar atributos de VLAN na resposta Access-Accept, atribuindo dinamicamente o dispositivo autenticado ao segmento de rede apropriado. Um membro da equipe se autentica e entra na VLAN da equipe. Um prestador de serviços se autentica com credenciais diferentes e entra em uma VLAN restrita com acesso limitado. Um dispositivo que falha na validação do certificado é colocado em uma VLAN de quarentena. Isso é segmentação dinâmica, e é um controle de segurança significativo. Seção três: Recomendações de implementação e as armadilhas a serem evitadas. Deixe-me apresentar a sequência de implantação que funciona. Comece com uma auditoria de rede. Antes de tocar em uma única configuração, documente todos os dispositivos que precisarão se autenticar. Isso inclui impressoras, telefones IP, sistemas de automação predial, câmeras de CFTV — qualquer dispositivo que se conecte à rede. Esses dispositivos headless não possuem um supplicant e não podem realizar o 802.1X. Você precisará de uma estratégia para eles, normalmente MAC Authentication Bypass com lista de permissões estrita de endereços MAC e alocação em uma VLAN isolada. Passo dois: configure sua infraestrutura RADIUS. Para resiliência, você precisa de, no mínimo, um servidor RADIUS primário e um secundário. Configure seus pontos de acesso para realizar o failover automaticamente. Uma interrupção do RADIUS que bloqueie todos os funcionários da rede é um incidente P1. Não permita que isso aconteça por ter implantado um único servidor. Passo três: implante sua PKI se estiver usando EAP-TLS. Use o Active Directory Certificate Services existente ou um provedor de PKI em nuvem. O auto-enrolment por meio de Diretiva de Grupo torna a implantação de certificados de cliente gerenciável em escala. Passo quatro: configure suas políticas de rede. Defina suas políticas de autenticação no RADIUS — quais usuários ou grupos de dispositivos recebem quais atribuições de VLAN, o que acontece com autenticações com falha, como você lida com o tráfego de convidados versus funcionários. É aqui que você aplica o princípio do menor privilégio na camada de rede. Passo cinco: faça um piloto antes de implementar. Escolha um local, um andar, um SSID. Teste todos os tipos de dispositivos. Teste cenários de falha. Teste o que acontece quando o servidor RADIUS está inacessível. Só então expanda. Agora, as armadilhas. A mais comum que vejo é a configuração incorreta da validação de certificado em implantações PEAP. Se a sua política de supplicant não exigir a validação do certificado do servidor, você estará vulnerável a ataques de APs falsos, onde um invasor configura um ponto de acesso falso e captura credenciais. Bloqueie seus perfis de supplicant por meio de Diretiva de Grupo ou MDM. A segunda armadilha é ignorar dispositivos não-802.1X até o dia do go-live. Dispositivos IoT, impressoras e sistemas legados vão comprometer sua implantação se você não tiver planejado para eles. O MAC Authentication Bypass é seu aliado aqui, mas precisa ser configurado antes de você ativar a chave. A terceira armadilha são os pontos únicos de falha no RADIUS. Já vi organizações implantarem um único servidor NPS e descobrirem que toda a rede de funcionários cai durante a reinicialização de uma atualização do Windows. Sempre implante uma infraestrutura RADIUS redundante. Seção quatro: Perguntas rápidas. O 802.1X pode funcionar junto com uma rede WiFi de convidados? Com certeza. Seu SSID de convidados funciona separadamente — normalmente usando uma abordagem de Captive Portal — enquanto seu SSID de funcionários exige o 802.1X. Eles são SSIDs completamente independentes com VLANs separadas. A plataforma da Purple gerencia o lado dos convidados, com ferramentas de analytics e engajamento integradas, enquanto sua infraestrutura 802.1X protege o lado dos funcionários. O 802.1X substitui uma VPN? Não. O 802.1X controla a admissão à rede — quem pode se conectar a ela. Uma VPN criptografa o tráfego em trânsito e estende a rede corporativa por meio de conexões não confiáveis. Elas servem a propósitos diferentes e frequentemente são usadas em conjunto. Qual é o impacto no desempenho do roaming? Com o 802.1X, cada vez que um dispositivo faz roaming entre pontos de acesso, ele precisa se autenticar novamente. Para a maioria das implantações corporativas, isso é imperceptível. O cache PMK e o OKC — Opportunistic Key Caching — reduzem significativamente a sobrecarga de reautenticação. Para ambientes de alta densidade, como estádios ou centros de convenções, vale a pena configurar isso explicitamente. O WPA3-Enterprise substitui o 802.1X? Não — o WPA3-Enterprise usa o 802.1X para autenticação. O WPA3 melhora a camada de criptografia, exigindo especificamente o modo de segurança de 192 bits para as implantações mais confidenciais. O 802.1X é a estrutura de autenticação subjacente. Seção cinco: Resumo e próximos passos. Aqui está o que você deve levar deste briefing. O 802.1X é o único mecanismo de autenticação de nível corporativo para WiFi corporativo. Chaves pré-compartilhadas não são aceitáveis para ambientes regulamentados. Escolha seu método EAP com base na sua frota de dispositivos — EAP-TLS se você tiver dispositivos gerenciados e uma PKI, PEAP se precisar de maior compatibilidade. Planeje para dispositivos não compatíveis com 802.1X antes de implantar, não depois. Implante uma infraestrutura RADIUS redundante — um único servidor é um ponto único de falha. Use a atribuição dinâmica de VLAN para impor a segmentação de rede no momento da autenticação. E faça um piloto completo antes de implementar em toda a sua propriedade. Se você está estruturando uma implantação em vários locais e precisa pensar na arquitetura, a equipe técnica da Purple trabalha diariamente com arquitetos de rede nos setores de hotelaria, varejo e setor público. A combinação de WiFi seguro para funcionários por meio do 802.1X e WiFi inteligente para convidados por meio da plataforma da Purple oferece uma estratégia de rede completa e segmentada que atende tanto às suas obrigações de segurança quanto aos seus requisitos de experiência do cliente. Chegamos ao fim deste briefing. Obrigado por ouvir.