Implantando SCEP para BYOD Seguro no Ensino Superior e Autenticação WiFi

Este guia técnico fornece aos arquitetos de rede e gerentes de TI um modelo independente de fornecedor para implantar o registro de certificados baseado em SCEP para proteger o WiFi no ensino superior. Ele detalha a transição da autenticação vulnerável baseada em senha para o EAP-TLS, focando na integração escalável de BYOD e MDM.

📖 5 min de leitura📝 1,242 palavras🔧 2 exemplos práticos❓ 3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo ao Purple Technical Briefing. Sou o seu anfitrião e hoje vamos abordar algo que surge constantemente no TI do ensino superior: a implantação do SCEP para autenticação segura de BYOD e WiFi.

Se você está executando PEAP-MSCHAPv2 na rede do seu campus, este briefing é diretamente relevante para você. E se você já está planejando a transição para a autenticação baseada em certificados, apresentaremos a arquitetura, as armadilhas e a sequência de implementação para chegar lá.

Vamos começar com o problema. As universidades são, por design, ambientes abertos. Os alunos chegam em setembro com dois, três, às vezes cinco dispositivos pessoais. Eles esperam se conectar imediatamente, de forma segura e sem precisar acionar o helpdesk. A realidade para a maioria das instituições é uma fila de helpdesk que atinge dois mil chamados em até quarenta e oito horas após o início do período letivo. Isso não é um problema de equipe. Isso é um problema de arquitetura.

A causa raiz é quase sempre a mesma: autenticação WiFi baseada em senha. Ao executar o WPA2-Enterprise com PEAP e MSCHAPv2, você está solicitando que os alunos configurem manualmente as definições de 802.1X em cada dispositivo. Uma única configuração incorreta e eles ficam vulneráveis a um ataque man-in-the-middle. Pior ainda: quando a universidade força uma redefinição de senha a cada noventa dias, todos os dispositivos no campus perdem o acesso WiFi simultaneamente. Esse é um desastre previsível e evitável.

A resposta é a autenticação baseada em certificados usando EAP-TLS, e o mecanismo que a torna escalável é o SCEP: o Simple Certificate Enrollment Protocol. O SCEP foi formalizado pelo IETF na RFC 8894 em 2020, embora esteja em uso desde o início dos anos 2000. Ele automatiza o processo de solicitação e instalação de certificados digitais X.509 nos dispositivos, sem exigir qualquer intervenção manual do TI por dispositivo.

Veja como funciona em alto nível. Sua plataforma MDM, seja o Microsoft Intune ou o Jamf, envia um payload SCEP para cada dispositivo registrado. Esse payload contém duas coisas: a URL do gateway SCEP e uma senha de desafio compartilhada. O dispositivo gera uma Solicitação de Assinatura de Certificado, envia-a ao gateway SCEP, que valida a senha de desafio e encaminha a solicitação para a sua Autoridade Certificadora (CA). A CA assina o certificado e o devolve ao dispositivo. A partir desse momento, o dispositivo se autentica na sua rede WiFi usando EAP-TLS: o certificado comprova a identidade do dispositivo para o servidor RADIUS, e o certificado do servidor RADIUS comprova a identidade da rede para o dispositivo. Autenticação mútua. Sem troca de senhas pelo ar.

Essa etapa de autenticação mútua é essencial. Com o PEAP, um aluno que se conectar a um ponto de acesso invasor que esteja transmitindo o seu SSID entregará alegremente suas credenciais. Com o EAP-TLS, o dispositivo verifica o certificado do servidor RADIUS antes de prosseguir. Se não corresponder à CA confiável, a conexão falha silenciosamente. Com isso, você elimina toda a classe de ataques de evil twin.

Agora vamos falar de arquitetura. Uma implantação de SCEP em produção para uma universidade possui seis componentes principais. Primeiro, seu provedor de identidade: Microsoft Entra ID, Okta ou Google Workspace. Segundo, sua plataforma de MDM: Intune para Windows e Android, Jamf para macOS e iOS. Terceiro, sua Autoridade Certificadora (CA): seja o Microsoft Active Directory Certificate Services on-premises ou uma PKI em nuvem. Quarto, seu gateway SCEP: o endpoint HTTP que recebe as solicitações de certificado. Quinto, seu servidor RADIUS para autenticação. Sexto, sua camada de acesso: pontos de acesso Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist configurados para 802.1X.

A cadeia de confiança funciona assim. A CA emite um certificado raiz. Essa raiz é distribuída para cada dispositivo via MDM, estabelecendo a confiança. A CA então emite certificados de cliente para os dispositivos via SCEP. Quando a conexão é estabelecida, o dispositivo apresenta seu certificado de cliente ao servidor RADIUS, e o servidor RADIUS apresenta seu certificado de servidor ao dispositivo. Ambos os lados realizam a verificação em relação à raiz confiável. O acesso é concedido ou negado com base na validade do certificado, e não em uma senha.

Permita-me guiar você pela sequência de implementação. Esta é a ordem que funciona.

Passo um: limpe seu repositório de identidades. Certifique-se de que seu Active Directory ou Entra ID possua grupos bem definidos para alunos, funcionários e convidados. As políticas de certificado e atribuições de VLAN estarão vinculadas a esses grupos.

Passo dois: implante sua Autoridade Certificadora. Se estiver usando o Microsoft ADCS, configure uma hierarquia de duas camadas: uma CA raiz offline e uma CA emissora online. A CA raiz deve ser mantida em air-gap após a configuração inicial.

Passo três: configure seu gateway SCEP. Este é o endpoint HTTP para o qual seu MDM direcionará os dispositivos. Certifique-se de que ele esteja acessível a partir do segmento de rede onde os dispositivos realizam o registro inicial, normalmente seu SSID de integração.

Passo quatro: configure seu servidor RADIUS. Importe o certificado da CA emissora como uma CA confiável. Configure o EAP-TLS como seu método de autenticação. Configure os atributos de retorno de VLAN para que o RADIUS possa atribuir dinamicamente os alunos ao segmento de rede correto.

Passo cinco: configure seus perfis de MDM. No Intune, crie primeiro um perfil de Certificado Confiável, depois um perfil de Certificado SCEP e, em seguida, um perfil de WiFi que faça referência ao certificado SCEP. Implante-os exatamente nessa ordem. Cada um depende da existência do anterior.

Passo seis: configure seus pontos de acesso. No Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist, configure seu SSID seguro para WPA2-Enterprise ou WPA3-Enterprise. Defina o timeout do RADIUS para pelo menos cinco segundos para acomodar a latência de validação de certificados durante os períodos de pico de integração.

Agora, as armadilhas. Já vi isso comprometer implantações repetidamente.

A primeira delas é implantar os perfis de MDM na ordem errada. Se o perfil de WiFi chegar ao dispositivo antes do perfil de certificado SCEP, o dispositivo não terá nenhum certificado para se autenticar. A conexão falhará e o usuário ligará para o suporte.O segundo erro é esquecer os dispositivos BYOD. O Intune e o Jamf gerenciam sua frota de propriedade da instituição. Mas os dispositivos pessoais dos alunos não estão registrados no seu MDM. Para esses, você precisa de um portal de integração self-service. O aluno se autentica via Single Sign-On usando suas credenciais universitárias, e o portal usa SCEP para provisionar o certificado. A plataforma da Purple integra esse fluxo de onboarding diretamente na experiência do Captive Portal, para que os alunos concluam o registro em menos de dois minutos, sem qualquer envolvimento da TI.

O terceiro erro são as falhas de timeout do RADIUS durante o pico de integração. Faça testes de carga na sua infraestrutura RADIUS antes de setembro, não durante. Implemente o balanceamento de carga em pelo menos dois nós RADIUS.

O quarto erro é a revogação de certificados. Quando um aluno sai, ou um dispositivo é perdido ou roubado, você precisa revogar o certificado imediatamente. Certifique-se de que sua CA publique uma Lista de Revogação de Certificados e que seu servidor RADIUS a verifique a cada autenticação.

Agora, uma rápida sessão de perguntas e respostas sobre as dúvidas que ouvimos com mais frequência.

O SCEP pode funcionar sem um MDM? Tecnicamente sim, mas na prática não. Sem um MDM para enviar o payload do SCEP e o perfil de WiFi, você volta para a configuração manual do dispositivo.

Qual deve ser o tempo de validade do certificado? Para dispositivos de alunos, de um a dois anos é o padrão. Longo o suficiente para durar o ano letivo sem o atrito de renovação, curto o suficiente para limitar a exposição se um certificado for comprometido.

E quanto aos dispositivos IoT que não oferecem suporte a 802.1X? Use o MAC Authentication Bypass com um portal de registro de dispositivos self-service. Os alunos registram o endereço MAC de seu console de videogame ou smart TV, e seu sistema NAC o coloca na VLAN correta.

Isso funciona com o eduroam? Sim. O EAP-TLS é totalmente suportado pela federação eduroam. Certificados emitidos pela CA do seu campus podem autenticar alunos no eduroam em qualquer instituição participante em todo o mundo.

Para encerrar, aqui estão as três decisões que definem uma implantação SCEP bem-sucedida.

Primeiro: escolha sua arquitetura de CA antes de qualquer outra coisa. O ADCS local oferece controle total. A PKI em nuvem oferece simplicidade operacional. A escolha errada aqui custará meses de retrabalho.

Segundo: automatize a integração de BYOD desde o primeiro dia. Não presuma que os alunos configurarão seus dispositivos pessoais manualmente. Eles não farão isso. Crie o portal self-service antes do início do período letivo.

Terceiro: teste a capacidade do seu RADIUS sob carga antes de setembro. Uma interrupção do RADIUS no primeiro dia de aula é totalmente evitável.

A plataforma da Purple oferece suporte a esses três pilares: integração de PKI de sobreposição em nuvem, integração de BYOD self-service por meio de nosso Captive Portal e infraestrutura RADIUS testada em oitenta mil locais ativos com noventa e nove vírgula nove nove nove por cento de uptime.

Obrigado por participar do Purple Technical Briefing. Para obter mais orientações, acesse purple.ai.

Principais conclusões

✓O WiFi baseado em senha (PEAP-MSCHAPv2) gera filas imensas no suporte e expõe as universidades ao roubo de credenciais.
✓A autenticação baseada em certificado (EAP-TLS) fornece autenticação mútua, eliminando ataques de evil twin.
✓O SCEP automatiza o provisionamento de certificados, tornando o EAP-TLS escalável para dezenas de milhares de dispositivos.
✓Dispositivos de propriedade da instituição recebem certificados silenciosamente por meio de plataformas MDM como Intune ou Jamf.
✓Dispositivos BYOD de estudantes exigem um captive portal de autoatendimento para registro de certificado automatizado e orientado pelo usuário.
✓O desacoplamento do acesso WiFi das senhas de diretório reduz os chamados de suporte em até 70% durante os períodos de pico.
✓Dispositivos IoT headless em residências estudantis exigem MAC Authentication Bypass (MAB) por meio de um portal de registro.

Resumo Executivo

Para as equipes de TI do ensino superior, o início do ano letivo traz um teste de estresse imediato. Milhares de estudantes chegam ao campus com múltiplos dispositivos não gerenciados, esperando conectividade instantânea e segura. Quando as universidades dependem de autenticação baseada em senha, como o PEAP-MSCHAPv2, esse fluxo previsivelmente resulta em filas massivas no helpdesk, erros de configuração e vulnerabilidades graves ao roubo de credenciais via pontos de acesso evil twin.

A solução arquitetônica para esse desafio de escala e segurança é a autenticação baseada em certificados usando EAP-TLS. Para tornar a implantação de certificados viável em dezenas de milhares de endpoints, as universidades devem implementar o Simple Certificate Enrollment Protocol (SCEP). O SCEP automatiza o provisionamento de certificados digitais tanto para dispositivos gerenciados via MDM quanto para dispositivos de estudantes não gerenciados via portais de autoatendimento. Este guia detalha os requisitos técnicos para implantar o SCEP em um ambiente de ensino superior, fornecendo etapas acionáveis para eliminar chamados de helpdesk relacionados a senhas e proteger o perímetro do campus.

A Arquitetura do Registro de Certificados SCEP

A transição para o WiFi baseado em certificado exige uma mudança fundamental da validação do conhecimento do usuário (uma senha) para a validação da identidade do dispositivo (um certificado). O protocolo SCEP atua como a ponte entre a sua camada de gerenciamento de dispositivos e a sua Public Key Infrastructure (PKI).

Componentes Principais da Infraestrutura

Uma implantação SCEP pronta para produção requer seis componentes integrados trabalhando em sequência:

Provedor de Identidade (IdP): O diretório autoritativo (Microsoft Entra ID, Okta ou Google Workspace) que verifica a identidade do usuário antes da emissão do certificado.
Gerenciamento de Dispositivos Móveis (MDM): Plataformas como Microsoft Intune ou Jamf que enviam o payload SCEP para dispositivos de propriedade da instituição.
Autoridade Certificadora (CA): O motor PKI que assina e emite os certificados. Pode ser uma implantação local do Microsoft ADCS ou uma camada PKI nativa em nuvem.
Gateway SCEP: O endpoint HTTP que recebe as solicitações de assinatura de certificado (CSRs) dos dispositivos, valida a senha de desafio e encaminha a solicitação para a CA.
Servidor RADIUS: O servidor de autenticação que avalia o certificado do cliente apresentado em relação às políticas de acesso à rede durante a troca 802.1X EAP-TLS.
Rede de Acesso Sem Fio: Os pontos de acesso físicos (Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist) configurados para impor a autenticação 802.1X.

O Fluxo de Registro SCEP

The enrollment process executes without user intervention on managed devices. The MDM platform pushes a configuration profile containing the SCEP gateway URL and a dynamically generated challenge password. The device generates a private key locally and constructs a CSR. It then transmits this CSR to the SCEP gateway over HTTP.

The gateway intercepts the request and validates the challenge password against the MDM API to confirm the device is authorised. Once verified, the gateway forwards the CSR to the CA. The CA signs the certificate and returns it through the gateway to the device. The private key never leaves the endpoint, ensuring cryptographic integrity.

Implementation Guide: A Phased Deployment Strategy

Deploying SCEP requires precise sequencing. Profile dependencies mean that executing these steps out of order will result in authentication failures.

Step 1: Directory Synchronisation and Group Policy

Before touching certificates, ensure your identity store is clean. Create distinct security groups for students, staff, and faculty in Entra ID or Active Directory. Your RADIUS server will use these group memberships, embedded as Subject Alternative Names (SAN) in the certificates, to assign devices to the correct VLANs dynamically.

Step 2: PKI and SCEP Gateway Configuration

Establish your CA hierarchy. If building on-premises, deploy an offline Root CA and an online Issuing CA. For higher education environments looking to reduce infrastructure footprint, cloud PKI solutions offer operational simplicity. Configure the SCEP gateway to communicate with your CA and expose the enrollment endpoint to the network segment where devices will initially connect.

Step 3: RADIUS Server Integration

Import the Issuing CA certificate into your RADIUS server's trusted certificate store. Configure the authentication protocol strictly to EAP-TLS. Define network policies that map certificate attributes (such as the User Principal Name) to specific VLAN return attributes, enabling micro-segmentation across the campus.

Step 4: MDM Profile Sequencing

For institution-owned devices managed by Intune or Jamf, profile deployment order is critical. You must deploy profiles in this exact sequence:

Trusted Certificate Profile: Distributes the Root CA certificate to establish trust.
SCEP Certificate Profile: Directs the device to the gateway to obtain its client certificate.
WiFi Profile: Configures the SSID to use WPA3-Enterprise with EAP-TLS, explicitly referencing the certificate acquired in the previous step.

Step 5: BYOD Self-Service Onboarding

Os alunos não devem instalar certificados manualmente em seus dispositivos pessoais. Você deve fornecer um caminho de integração automatizado. Implante um SSID aberto que restrinja o tráfego exclusivamente ao Captive Portal e ao gateway SCEP. Quando um aluno se conecta, o portal solicita que ele se autentique via Single Sign-On usando suas credenciais universitárias. Após a autenticação bem-sucedida, o portal fornece o payload SCEP para o dispositivo. O Purple integra esse fluxo de onboarding diretamente na experiência do Captive Portal, permitindo que os alunos concluam a inscrição em menos de dois minutos sem a intervenção da TI.

Melhores Práticas e Mitigação de Riscos

A transição para o EAP-TLS elimina o roubo de credenciais, mas introduz novas considerações operacionais. Os arquitetos de rede devem antecipar eventos de escala e ciclo de vida.

Planejamento de Capacidade RADIUS

O consumo computacional da validação de certificados EAP-TLS é significativamente maior do que a verificação de senha PEAP. Durante a primeira semana de aulas, milhares de dispositivos tentarão se autenticar simultaneamente. Um único nó RADIUS provavelmente esgotará seus recursos e descartará solicitações, levando a falhas generalizadas de conexão. Você deve implementar o balanceamento de carga em vários nós RADIUS e aumentar o timeout de autenticação em seus pontos de acesso para pelo menos cinco segundos para acomodar o pico de latência.

Gerenciamento de Ciclo de Vida do Certificado

Os certificados para dispositivos de alunos devem, normalmente, ter um período de validade de um a dois anos. Essa duração cobre o ciclo acadêmico, limitando a exposição caso um dispositivo seja comprometido. Crucialmente, você deve implementar um mecanismo de revogação robusto. Quando um aluno se forma ou relata a perda de um dispositivo, o certificado deve ser revogado imediatamente. Certifique-se de que sua CA publique uma Lista de Revogação de Certificados (CRL) ou opere um respondente do Protocolo de Status de Certificado Online (OCSP) e configure seu servidor RADIUS para verificar o status de revogação em cada tentativa de autenticação.

Lidando com Dispositivos IoT Headless

Smart TVs, consoles de jogos e impressoras sem fio nos dormitórios carecem dos suplicantes 802.1X nativos necessários para o registro do SCEP. Para esses dispositivos, implemente o MAC Authentication Bypass (MAB). Forneça um portal de autoatendimento para registro de dispositivos, onde os alunos possam cadastrar os endereços MAC de seus hardwares IoT. O sistema de Controle de Acesso à Rede (NAC) autentica esses endereços registrados e os coloca na VLAN de alunos apropriada.

Ouça o Briefing Técnico

Para um aprofundamento na arquitetura e em cenários reais de implantação, ouça nosso podcast de briefing técnico de 10 minutos.

ROI e Impacto no Negócio

A viabilidade comercial da implantação do SCEP no ensino superior baseia-se em dois pilares: postura de segurança e eficiência operacional.

Sob a perspectiva de segurança, o EAP-TLS oferece autenticação mútua. O dispositivo verifica o certificado do servidor RADIUS antes de transmitir qualquer dado, mitigando inteiramente o risco de pontos de acesso clone ("evil twins") interceptarem credenciais. Essa arquitetura se alinha aos princípios de zero-trust, garantindo que apenas dispositivos criptograficamente verificados acessem a rede do campus.

Operacionalmente, dissociar a autenticação WiFi das senhas de diretório gera retornos financeiros imediatos. Quando uma universidade força uma redefinição de senha a cada 90 dias, os estudantes que utilizam PEAP precisam atualizar suas credenciais em todos os dispositivos. Inevitavelmente, muitos falham, resultando em um pico de chamados no helpdesk. Com o SCEP e o EAP-TLS, o certificado permanece válido independentemente de alterações de senha. Universidades que implantam a integração automatizada de certificados relatam consistentemente uma redução de até 70% nos chamados de suporte relacionados a WiFi durante períodos de pico, permitindo que a equipe de TI se concentre em iniciativas estratégicas, em vez de na resolução de problemas básicos de conectividade.

Definições principais

SCEP (Simple Certificate Enrollment Protocol)

Um protocolo que automatiza a solicitação e a emissão de certificados digitais para dispositivos de rede sem intervenção manual.

Essencial para dimensionar implantações EAP-TLS, pois permite que MDMs e portais de integração forneçam certificados para dezenas de milhares de dispositivos de alunos de forma transparente.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

O método de autenticação 802.1X mais seguro, exigindo um certificado do lado do servidor e outro do lado do cliente para autenticação mútua.

Substitui protocolos vulneráveis baseados em senha, como o PEAP, eliminando o risco de roubo de credenciais por meio de pontos de acesso falsos (evil twin).

MDM (Mobile Device Management)

Plataformas de software como Microsoft Intune ou Jamf usadas para administrar e proteger dispositivos de propriedade da instituição.

Usado para enviar payloads SCEP e perfis de WiFi de forma silenciosa para dispositivos gerenciados, garantindo que estejam configurados para acesso à rede antes da implantação.

CSR (Certificate Signing Request)

Um bloco de texto codificado gerado pelo dispositivo cliente que contém a chave pública e informações de identidade, enviado à CA para solicitar um certificado.

Em um fluxo de trabalho SCEP, o dispositivo gera a chave privada localmente e envia apenas o CSR para o gateway, garantindo que a chave privada permaneça segura no endpoint.

RADIUS (Remote Authentication Dial-In User Service)

O protocolo de rede que fornece gerenciamento centralizado de autenticação, autorização e contabilização.

O servidor que avalia o certificado do cliente apresentado pelo dispositivo durante a troca do 802.1X e dita a atribuição de VLAN.

Ataque Evil Twin

Uma exploração de segurança na qual um invasor configura um ponto de acesso invasor com o mesmo SSID da rede legítima para interceptar credenciais de usuários.

O EAP-TLS previne isso porque o dispositivo cliente verifica o certificado do servidor RADIUS antes de transmitir qualquer dado; se o invasor não possuir o certificado de servidor confiável, a conexão cai.

MAB (MAC Authentication Bypass)

Um método de autenticação alternativo que utiliza o endereço MAC do dispositivo como sua credencial.

Necessário para a integração de dispositivos IoT headless (como consoles de videogame) em residências estudantis que não suportam 802.1X ou SCEP.

CRL (Certificate Revocation List)

Uma lista publicada pela Autoridade Certificadora contendo os números de série de certificados que foram invalidados antes de sua data de expiração.

Crucial para a segurança da rede; o servidor RADIUS deve verificar a CRL para garantir que dispositivos roubados ou estudantes formados tenham o acesso negado imediatamente.

Exemplos práticos

Uma universidade com 20.000 alunos está migrando do PEAP-MSCHAPv2 para o EAP-TLS. Eles usam o Microsoft Intune para 3.000 laptops Windows pertencentes à universidade, mas os 45.000 dispositivos restantes são BYOD de alunos (telefones, tablets, laptops pessoais). Como eles devem arquitetar a implantação de certificados para garantir que todos os dispositivos possam se autenticar no primeiro dia de aula?

A universidade deve implementar uma estratégia de registro bifurcada. Para os 3.000 laptops gerenciados pelo Intune, a equipe de TI configura um perfil de certificado SCEP dentro do Intune, enviando a URL do gateway e a senha de desafio silenciosamente para os dispositivos. Para os 45.000 dispositivos BYOD, eles implantam um SSID de "Onboarding" aberto que restringe o tráfego a um Captive Portal de autoatendimento e ao gateway SCEP. Os alunos se conectam ao SSID de Onboarding, autenticam-se via SSO SAML no Entra ID e baixam um payload de configuração que aciona o registro SCEP. Assim que o certificado é instalado, o dispositivo se associa automaticamente ao SSID seguro "eduroam" usando EAP-TLS.

Comentário do examinador: Esta abordagem identifica corretamente que o MDM sozinho não pode resolver o desafio do BYOD. Ao aproveitar um Captive Portal para dispositivos não gerenciados, a universidade alcança 100% de cobertura de certificado sem exigir que os alunos configurem manualmente as definições do 802.1X, evitando assim um fluxo massivo de chamados no suporte.

Durante a primeira semana de aula, o suporte de uma universidade recebe relatórios de que os alunos conseguem se conectar ao WiFi com seus laptops, mas seus alto-falantes inteligentes e consoles de videogame nos dormitórios não conseguem se conectar à rede 802.1X. Como o arquiteto de rede deve resolver isso?

O arquiteto deve implementar o MAC Authentication Bypass (MAB) para dispositivos sem tela (headless). Como alto-falantes inteligentes e consoles não possuem suplicantes 802.1X, eles não podem processar payloads SCEP ou apresentar certificados de cliente. A universidade deve implantar um portal de autoatendimento para registro de dispositivos, onde os alunos fazem login com suas credenciais universitárias e inserem os endereços MAC de seus dispositivos IoT. O servidor RADIUS é configurado para aceitar esses endereços MAC registrados via MAB e atribuí-los à VLAN específica de cada quarto do aluno.

Comentário do examinador: Esta solução aborda a limitação técnica dos dispositivos IoT sem tela, mantendo a segmentação de rede. Ao usar um portal de autoatendimento, a equipe de TI evita a entrada manual de endereços MAC, escalando a solução para acomodar milhares de dispositivos de consumo nos dormitórios.

Questões práticas

Q1. Sua universidade está implantando o EAP-TLS. Você configurou o gateway SCEP e os perfis MDM. No entanto, quando os dispositivos de teste tentam se conectar ao SSID seguro, a conexão falha silenciosamente. Os logs do RADIUS mostram que o certificado do cliente é válido, mas o dispositivo está rejeitando o servidor. Qual é o erro de configuração mais provável?

Dica: Considere os requisitos para autenticação mútua e o que o dispositivo precisa para confiar no servidor.

Ver resposta modelo

O perfil de Certificado Confiável do MDM provavelmente está ausente ou mal configurado. No EAP-TLS, a autenticação mútua exige que o dispositivo verifique o certificado do servidor RADIUS. Se o dispositivo não tiver o certificado da CA Raiz instalado em seu repositório confiável, ele não poderá validar o certificado do servidor e interromperá a conexão para evitar um possível ataque evil twin.

Q2. Um estudante relata que seu notebook, que foi registrado com sucesso por meio do portal BYOD e possui um certificado de cliente válido, não consegue mais acessar a rede após a alteração de sua senha no diretório da universidade. Que falha de arquitetura isso indica?

Dica: A autenticação EAP-TLS depende inteiramente do certificado, não da senha.

Ver resposta modelo

Isso indica que a rede não está de fato usando EAP-TLS, mas provavelmente está recorrendo ao PEAP-MSCHAPv2 ou a outro protocolo baseado em senha. Se o EAP-TLS real estiver configurado, o servidor RADIUS valida a assinatura criptográfica do certificado, desconectando totalmente o acesso à rede da senha do diretório. O arquiteto de rede deve impor políticas rígidas de EAP-TLS no servidor RADIUS e desabilitar protocolos de fallback.

Q3. Durante a primeira semana de aulas, os servidores RADIUS estão apresentando alta utilização de CPU e erros de timeout intermitentes, causando falhas generalizadas de autenticação. Os servidores estão adequadamente dimensionados para o número total de sessões simultâneas. O que está causando os timeouts?

Dica: Considere a diferença na sobrecarga computacional entre verificar uma senha e validar uma cadeia de certificados durante a fase de conexão inicial.

Ver resposta modelo

Os timeouts são causados pela pesada sobrecarga computacional dos handshakes criptográficos do EAP-TLS durante a sobrecarga inicial de autenticação dos estudantes que retornam. O arquiteto deve aumentar o valor de timeout do RADIUS nos pontos de acesso sem fio (por exemplo, Cisco Meraki ou HPE Aruba) para pelo menos 5 segundos para acomodar a latência, e garantir que o balanceamento de carga esteja distribuindo uniformemente as solicitações de autenticação total inicial entre todos os nós do RADIUS.

Continue a ler esta série

Per-Device PSK por Vendor: Comparativo de iPSK, DPSK, MPSK e PPSK (e Suporte a WPA3)

Uma comparação abrangente das implementações de PSK por dispositivo no Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet e Ubiquiti UniFi. Saiba como o WPA3-SAE impacta as estratégias de chaves por dispositivo e quando implantar modos de transição em vez de migrar para o 802.1X.

Métodos de Autenticação de Captive Portal Comparados

Este guia de referência técnica definitivo avalia as compensações arquitetônicas, operacionais e de conformidade de cinco métodos principais de autenticação de captive portal. Ele fornece a arquitetos de rede, diretores de TI e gerentes de marketing os dados quantitativos e as estruturas de decisão necessários para equilibrar a fricção no onboarding de convidados com os requisitos de coleta de dados em locais corporativos.

O que é autenticação por endereço MAC? Quando usar e quando evitar

Este guia de referência técnica abrangente aborda a autenticação por endereço MAC em ambientes de WiFi corporativos — como a autenticação MAC baseada em RADIUS funciona na Camada 2, suas vulnerabilidades de segurança inerentes (incluindo spoofing de MAC e o impacto da randomização de MAC no nível do SO) e os contextos operacionais precisos onde ela continua sendo uma ferramenta válida para gerenciar IoT e dispositivos headless. Ele fornece orientações de implantação práticas para gerentes de TI e arquitetos de rede em setores como hotelaria, varejo, saúde e locais públicos, com exemplos práticos reais, estruturas de decisão e contexto de integração para a plataforma de guest WiFi e analytics da Purple.