Pular para o conteúdo principal

Como configurar a autenticação WiFi 802.1X: um guia passo a passo

Este guia técnico fornece um passo a passo para configurar a autenticação WiFi corporativa 802.1X. Ele aborda a configuração do servidor RADIUS, a implantação de certificados e estratégias práticas de implantação para líderes de TI em locais de grande fluxo de pessoas.

📖 5 min de leitura📝 1,126 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Como Configurar a Autenticação WiFi 802.1X: Um Guia Passo a Passo Um Podcast da Purple Enterprise WiFi Intelligence [INTRODUÇÃO — aproximadamente 1 minuto] Seja bem-vindo de volta. Falo hoje como um arquiteto de soluções sênior, e se você está ouvindo isso, provavelmente está diante de um projeto de segurança de rede que envolve a autenticação 802.1X - seja porque sua equipe de conformidade sinalizou isso, sua seguradora perguntou a respeito ou você acabou de herdar uma rede que funciona com um PSK compartilhado e sabe que isso não é mais suficiente. Então, vamos direto ao assunto. O 802.1X é o padrão IEEE para controle de acesso à rede baseado em porta. É a espinha dorsal da segurança de WiFi corporativo - o mecanismo que garante que cada dispositivo conectado à sua rede seja positivamente identificado e autorizado antes de receber um único byte de tráfego. Isso não é opcional para organizações que lidam com dados de cartões de pagamento sob o PCI-DSS, não é opcional para ambientes de saúde sob a GDPR e os padrões de segurança de dados do NHS e, francamente, para qualquer organização que execute mais do que um punhado de pontos de acesso, é a arquitetura correta. Nos próximos dez minutos, vou guiar você pela arquitetura técnica, pela configuração do RADIUS, pela implantação de certificados e pelos cenários do mundo real onde isso se complica. Vamos lá. [IMERSÃO TÉCNICA — aproximadamente 5 minutos] Certo, então a estrutura do 802.1X possui três componentes. Você tem o Suplicante - que é o dispositivo cliente, o laptop, o telefone, o sensor de IoT. Você tem o Autenticador - que é o seu ponto de acesso ou o seu switch de rede, às vezes chamado de NAS, o Servidor de Acesso à Rede. E você tem o Servidor de Autenticação - quase universalmente um servidor RADIUS em implantações corporativas. Aqui está como funciona o handshake. Quando um dispositivo tenta se conectar a um SSID protegido por 802.1X, o ponto de acesso não apenas permite a entrada. Em vez disso, ele abre o que é chamado de porta controlada - um canal limitado que passa apenas tráfego EAP, o Protocolo de Autenticação Extensível. O AP envia uma Identidade de Solicitação EAP para o dispositivo. O dispositivo responde com sua identidade. O AP então encaminha isso para o servidor RADIUS, encapsulado em um pacote de Solicitação de Acesso RADIUS. O servidor RADIUS executa a autenticação - verificando as credenciais no Active Directory, em um repositório de certificados ou em qualquer backend de identidade que você tenha configurado - e envia de volta um Aceite de Acesso ou uma Rejeição de Acesso. Somente em caso de Aceite o AP abre a porta de dados completa e atribui o dispositivo à VLAN apropriada. Agora, o método EAP que você escolhe aqui importa enormemente. Existem cinco que você encontrará em implantações corporativas. O EAP-TLS é o padrão ouro. Tanto o cliente quanto o servidor apresentam certificados X.509. Não há senhas envolvidas. É a opção mais segura e a exigida para os níveis mais altos de conformidade PCI-DSS. O porém é que você precisa de uma PKI completa - uma Infraestrutura de Chaves Públicas - para emitir e gerenciar certificados de cliente. Isso significa uma Autoridade Certificadora, gerenciamento do ciclo de vida dos certificados e um mecanismo para distribuir certificados para cada dispositivo. Para organizações com Microsoft Active Directory e Active Directory Certificate Services, isso é totalmente viável. Para organizações sem essa infraestrutura, representa um investimento significativo. O PEAP-MSCHAPv2 é o método mais amplamente implantado na prática. Ele cria um túnel TLS usando apenas um certificado do lado do servidor e, em seguida, passa as credenciais de nome de usuário e senha dentro desse túnel. É compatível com praticamente todos os dispositivos prontos para uso, integra-se diretamente com o Active Directory via NPS no Windows Server e não requer certificados de cliente. O ponto negativo é que ele é vulnerável a ataques de coleta de credenciais se os usuários forem induzidos a se conectar a um AP invasor - porque o cliente não valida o certificado do servidor por padrão. Você deve impor a validação do certificado do servidor em seus perfis de suplicante. O EAP-TTLS é semelhante ao PEAP, mas mais flexível no método de autenticação interna. É comum em ambientes Linux e onde você precisa oferecer suporte a backends de autenticação legados. O EAP-FAST foi desenvolvido pela Cisco como uma resposta às fraquezas do LEAP. Ele usa Credenciais de Acesso Protegido em vez de certificados. É relevante principalmente se você estiver em um ambiente predominantemente Cisco ou lidando com dispositivos legados que não suportam os outros métodos. O EAP-SIM e o EAP-AKA são usados em implantações de nível de operadora - como OpenRoaming ou Passpoint - onde a autenticação está vinculada a um cartão SIM ou USIM. Estes são cada vez mais relevantes para WiFi em locais públicos onde você deseja uma integração segura e contínua sem um Captive Portal. Agora vamos falar sobre a configuração do RADIUS. Quer você esteja implantando Microsoft NPS, FreeRADIUS, Cisco ISE ou Aruba ClearPass, as etapas principais de configuração são as mesmas. Primeiro, você define seus clientes RADIUS - estes são seus pontos de acesso ou controladoras de LAN sem fio. Cada cliente é registrado com seu endereço IP e um segredo compartilhado. Esse segredo compartilhado é usado para autenticar as mensagens RADIUS entre o AP e o servidor. Use um mínimo de 22 caracteres, gerados aleatoriamente e exclusivos por dispositivo NAS. Segundo, você configura sua política de rede. É aqui que você define quem tem acesso a quê. Em termos de NPS, você está criando uma Política de Rede que corresponde a condições - associação a grupos no Active Directory, tipo de dispositivo, hora do dia - e atribui atributos - VLAN ID, limite de tempo de sessão, limites de largura de banda. O atributo RADIUS que você mais usará é a atribuição de VLAN, especificamente Tunnel-Type definido como VLAN, Tunnel-Medium-Type definido como 802 e Tunnel-Private-Group-ID definido como o número da sua VLAN. Terceiro, você configura sua política de solicitação de conexão. Isso informa ao NPS como lidar com as solicitações RADIUS recebidas - se devem ser autenticadas localmente ou encaminhadas para outro servidor RADIUS. Em uma implantação distribuída, você pode ter um servidor RADIUS central com proxies NPS em cada site. No lado do certificado, para PEAP e EAP-TLS, seu servidor RADIUS precisa de um certificado de servidor confiável por seus clientes. O caminho mais simples é usar um certificado de uma CA pública - DigiCert, Sectigo, Let's Encrypt - porque esses certificados raiz já são confiáveis por todos os principais sistemas operacionais. Se estiver usando uma CA interna, você precisa enviar o certificado raiz para todos os dispositivos clientes via Diretiva de Grupo ou sua plataforma MDM. Especificamente para EAP-TLS, você também precisa de certificados de cliente. Em um ambiente Active Directory, você usaria o ADCS com registro automático via Diretiva de Grupo para enviar certificados a dispositivos ingressados no domínio. Para dispositivos BYOD, você usaria seu MDM - Intune, Jamf, VMware Workspace ONE - para enviar tanto o certificado quanto o perfil de WiFi. No lado do ponto de acesso, a configuração é simples. Você cria um novo SSID, define a segurança como WPA2-Enterprise ou WPA3-Enterprise, aponta o servidor de autenticação RADIUS para o IP do seu NPS na porta UDP 1812, define o servidor de contabilidade RADIUS na porta UDP 1813, insere o segredo compartilhado e habilita a atribuição dinâmica de VLAN, se estiver usando. A maioria das plataformas de AP corporativas - Cisco Meraki, Aruba, Ruckus, Extreme - possui uma GUI para isso que leva cerca de dez minutos após o servidor RADIUS estar pronto. [RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ARMADILHAS - aproximadamente 2 minutos] Certo, vamos falar sobre onde as implantações dão errado, porque é aqui que eu justifico minhas taxas de consultoria. O ponto de falha mais comum é a validação de certificados. Já vi organizações implantarem o PEAP-MSCHAPv2 corretamente no lado do servidor e, em seguida, deixarem os perfis do suplicante cliente configurados para aceitar qualquer certificado. Isso compromete totalmente o modelo de segurança. Cada perfil de suplicante - seja enviado via Diretiva de Grupo ou MDM - deve especificar a CA raiz confiável e o nome do servidor esperado. Sem isso, você fica vulnerável a ataques de evil twin. O segundo problema comum é o gerenciamento de segredos compartilhados do RADIUS. Já vi redes de produção funcionando com o segredo compartilhado definido como "radius" ou o padrão do fornecedor. Esses segredos são as chaves para a sua infraestrutura de autenticação. Gere-os aleatoriamente, armazene-os em um gerenciador de segredos e faça a rotação deles em uma programação. Terceiro: configuração incorreta de VLAN. A atribuição dinâmica de VLAN é poderosa - ela permite que você coloque dispositivos de funcionários na VLAN corporativa, prestadores de serviços em uma VLAN restrita e dispositivos IoT em uma VLAN isolada, tudo a partir do mesmo SSID. Mas se os atributos RADIUS não forem configurados corretamente, ou se as portas de tronco do switch não estiverem transportando as VLANs corretas, os dispositivos falharão ao se conectar ou cairão no segmento errado. Teste isso minuciosamente em um laboratório antes de implantar em produção. Quarto: redundância. Seu servidor RADIUS agora é uma peça crítica de infraestrutura. Se ele cair, ninguém se conecta. Você precisa de, no mínimo, um servidor RADIUS primário e um secundário configurados em cada AP. Em grandes implantações, considere clusters de proxy RADIUS com monitoramento de status. Quinto, e isso é específico para ambientes de hotelaria e varejo: separação entre convidados e corporativo. Seu SSID corporativo 802.1X e seu SSID de WiFi para convidados devem ser completamente separados - VLANs diferentes, políticas de firewall diferentes, DNS diferente. Uma plataforma como a Purple gerencia o lado dos convidados com seu próprio Captive Portal e camada de análise, enquanto sua infraestrutura 802.1X gerencia o lado corporativo. Esses são sistemas complementares, não concorrentes. [PERGUNTAS E RESPOSTAS RÁPIDAS - aproximadamente 1 minuto] Deixe-me passar pelas perguntas que recebo com mais frequência. Posso executar o 802.1X em uma plataforma de AP gerenciada na nuvem? Sim - Meraki, Aruba Central e Ruckus Cloud suportam isso. Você configura os detalhes do servidor RADIUS no painel da nuvem, e os APs cuidam do proxy EAP. Preciso do Active Directory? Não. O FreeRADIUS pode autenticar contra LDAP, bancos de dados SQL, arquivos planos ou até mesmo APIs REST. Mas a integração com AD via NPS é, de longe, o caminho corporativo mais comum. E quanto aos dispositivos IoT que não suportam 802.1X? Use o MAC Authentication Bypass - MAB - como alternativa. O endereço MAC do dispositivo é enviado ao RADIUS como nome de usuário e senha. Não é tão seguro quanto o EAP, mas permite integrar dispositivos IoT mantendo-os em uma VLAN restrita. O 802.1X funciona com WPA3? Sim. O WPA3-Enterprise é essencialmente o WPA3 com autenticação 802.1X. Ele adiciona uma criptografia mais forte - 192 bits no modo de alta segurança - e é o padrão recomendado para novas implantações. [RESUMO E PRÓXIMOS PASSOS - aproximadamente 1 minuto] Então, para resumir: o 802.1X não é apenas um recurso opcional. Para qualquer organização que lide com dados confidenciais, processe pagamentos ou opere em um ambiente regulamentado, ele é a linha de base para a segurança do WiFi corporativo. A arquitetura está bem estabelecida, o ferramental está maduro e o caminho de implantação é claro. Comece com a seleção do seu método EAP - PEAP-MSCHAPv2 se precisar de resultados rápidos e ampla compatibilidade, EAP-TLS se você tiver a infraestrutura de PKI e precisar do nível de segurança mais forte. Configure seu servidor RADIUS e garanta sua redundância antes de tocar em um único AP. Envie seus perfis de suplicante via Diretiva de Grupo ou MDM antes de entrar em operação. E mantenha o seu WiFi para convidados completamente separado - use uma plataforma dedicada para essa camada. Se você opera um ambiente com vários locais - hotéis, redes de varejo, estádios - a complexidade aumenta com o número de sites, mas a arquitetura não muda. A chave é o RADIUS centralizado com redundância local por site e um perfil de suplicante consistente enviado por MDM em toda a sua frota de dispositivos. Obrigado por nos ouvir. O guia escrito completo, os diagramas de arquitetura e os checklists de configuração estão disponíveis em purple.ai. Se você está planejando uma implantação 802.1X e deseja discutir as especificidades do seu ambiente, entre em contato diretamente com a equipe da Purple.

header_image.png

Resumo Executivo

Para redes corporativas, um PSK (chave pré-compartilhada) compartilhado não é mais suficiente para proteger a infraestrutura corporativa. À medida que as organizações enfrentam requisitos de conformidade mais rigorosos (PCI-DSS, GDPR) e uma superfície de ataque em expansão, a transição para a autenticação 802.1X tornou-se um imperativo de segurança crítico.

Este guia fornece um passo a passo prático e agnóstico de fornecedor para configurar 802.1X em pontos de acesso corporativos. Abordamos a arquitetura principal - suplicante, autenticador e servidor de autenticação - bem como o gerenciamento de certificados, configuração RADIUS e armadilhas comuns de implantação. Para gerentes de TI e arquitetos de rede que operam nos setores de varejo, hospitalidade ou setor público, esta referência fornece as etapas acionáveis necessárias para implementar um controle de acesso à rede robusto e baseado em identidade, mantendo o tráfego corporativo e de visitantes estritamente separado.

Ouça nosso podcast complementar abaixo para uma visão geral de 10 minutos sobre a arquitetura e as estratégias de implementação.

Análise Profunda: Arquitetura 802.1X

O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta. Em um ambiente sem fio, ele impede que os dispositivos clientes enviem ou recebam tráfego de dados até que tenham se autenticado com sucesso em um diretório central.

architecture_overview.png

Os Três Componentes Principais

  1. Suplicante (Dispositivo Cliente): O software no notebook, smartphone ou dispositivo IoT que solicita o acesso. Ele deve suportar o método EAP (Extensible Authentication Protocol) escolhido.
  2. Autenticador (Ponto de Acesso/WLC): O dispositivo de rede que atua como o guardião. Ele abre uma "porta controlada" que só permite tráfego EAP até que a autenticação seja bem-sucedida.
  3. Servidor de Autenticação (RADIUS): O servidor central (por exemplo, Microsoft NPS, FreeRADIUS, Cisco ISE) que valida as credenciais em um repositório de identidade (como o Active Directory) e retorna uma mensagem de Access-Accept ou Access-Reject.

Métodos EAP: Escolhendo a Postura de Segurança Adequada

A escolha do método EAP determina seu nível de segurança e complexidade de implantação.

eap_comparison_chart.png

  • EAP-TLS (Transport Layer Security): O padrão ouro. Exige certificados tanto no servidor quanto no cliente. Nenhuma senha é transmitida. Crucial para ambientes de alta segurança, mas requer uma Infraestrutura de Chaves Públicas (PKI) completa.
  • PEAP-MSCHAPv2 (PEAP Protegido): A implantação empresarial mais comum. Usa um certificado do lado do servidor para criar um túnel TLS seguro dentro do qual o cliente envia um nome de usuário e senha. Mais simples de implantar, mas vulnerável à captura de credenciais se os dispositivos dos clientes não forem configurados para validar estritamente o certificado do servidor.
  • EAP-SIM/AKA: Utiliza credenciais do cartão SIM para autenticação. Cada vez mais relevante em hubs de transporte e grandes locais públicos para uma integração contínua.

Guia de Implantação: Configuração Passo a Passo

A implantação do 802.1X requer uma configuração coordenada em seu servidor RADIUS, pontos de acesso e dispositivos clientes.

Passo 1: Preparação do Servidor RADIUS

Independentemente de estar usando o Microsoft Network Policy Server (NPS) ou uma alternativa, os princípios básicos permanecem os mesmos.

  1. Definir Clientes RADIUS: Registre cada ponto de acesso (ou controlador sem fio) no servidor RADIUS. Atribua um segredo compartilhado forte e gerado aleatoriamente (com pelo menos 22 caracteres) para proteger a comunicação entre o AP e o servidor RADIUS.
  2. Instalar Certificado do Servidor: Para PEAP ou EAP-TLS, instale um certificado X.509 no servidor RADIUS. O uso de um certificado de uma Autoridade Certificadora (CA) pública confiável simplifica as implantações de BYOD, pois o certificado raiz já é confiável para os sistemas operacionais dos clientes.

Passo 2: Configuração de Políticas

Configure políticas de rede para ditar o acesso com base na identidade.

  1. Políticas de Solicitação de Conexão: Defina como o servidor RADIUS lida com as solicitações recebidas. Normalmente, isso envolve a correspondência do NAS-Port-Type (Wireless - IEEE 802.11) e a autenticação local das solicitações.
  2. Políticas de Rede: Mapeie grupos do Active Directory para privilégios de acesso à rede. Por exemplo, mapeie o grupo "Computadores do Domínio" para a VLAN corporativa. Use atributos RADIUS (Tunnel-Type=VLAN, Tunnel-Medium-Type=802, Tunnel-Private-Group-ID=[VLAN_ID]) para atribuir VLANs dinamicamente após a autenticação bem-sucedida.

Passo 3: Configuração do Ponto de Acesso

Configure o SSID em sua infraestrutura sem fio (por exemplo, Meraki, Aruba, Cisco).

  1. Crie um novo SSID e selecione WPA2-Enterprise ou WPA3-Enterprise como o tipo de segurança.
  2. Insira os endereços IP dos seus servidores RADIUS primário e secundário.
  3. Insira o segredo compartilhado definido no Passo 1.
  4. Ative a Atribuição Dinâmica de VLAN se o seu servidor RADIUS estiver enviando atributos de VLAN.

Passo 4: Configuração do Suplicante do Cliente

Este é o passo mais crítico e frequentemente negligenciado. Não dependa dos usuários para configurar manualmente seus dispositivos.

  • Dispositivos Corporativos: Use Objetos de Diretiva de Grupo (GPO) ou sua plataforma de Gerenciamento de Dispositivos Móveis (MDM) para implantar perfis de WiFi. Os perfis devem especificar a CA raiz confiável e os nomes exatos dos servidores RADIUS para evitar ataques man-in-the-middle (evil twin).
  • BYOD: Implemente um portal de integração ou solução de MDM para implantar perfis seguros em dispositivos de propriedade dos funcionários.

Melhores Práticas e Padrões do Setor

Para garantir uma implantação robusta, siga estas melhores práticas de arquitetura:

  1. Exija Validação Rígida de Certificado: Nunca permita que os clientes aceitem cegamente qualquer certificado de servidor. Este é o principal vetor para coleta de credenciais PEAP.
  2. Isole o Tráfego de Visitantes: Sua infraestrutura 802.1X é para acesso corporativo. O tráfego de visitantes deve permanecer completamente isolado. Implante uma plataforma dedicada de Guest WiFi , equipada com seu próprio Captive Portal e camada de análise. Conforme discutido em nosso guia Segurança da Sua Rede: DNS Robusto e Segurança , o isolamento lógico é fundamental para a defesa da rede.
  3. Implemente Redundância: O RADIUS é um serviço de caminho crítico. Implante servidores RADIUS primários e secundários. Em ambientes distribuídos, como grandes redes de varejo , considere proxies RADIUS locais para manter a sobrevivência caso o link WAN caia.

Solução de Problemas e Mitigação de Riscos

Quando as implantações falham, geralmente isso se deve a alguns erros comuns de configuração:

  • Erros de Timeout do RADIUS: Geralmente causados por uma incompatibilidade de segredo compartilhado entre o AP e o servidor RADIUS, ou regras de firewall bloqueando as portas UDP 1812 (autenticação) e 1813 (accounting).
  • Rejeições de Clientes: Verifique os logs de eventos do RADIUS (por exemplo, Visualizador de Eventos do Windows -> Exibições Personalizadas -> Funções de Servidor -> Serviços de Acesso e Diretiva de Rede). Procure pelo ID de Evento 6273. As causas comuns incluem certificados de cliente expirados ou o cliente falhando em confiar na cadeia de certificados do servidor.
  • Falhas de Atribuição de VLAN: Se a autenticação for bem-sucedida, mas o cliente não obtiver um endereço IP, verifique se a porta do switch conectada ao AP está configurada como uma porta de tronco (trunk), permitindo VLANs atribuídas dinamicamente.

ROI e Impacto nos Negócios

A implementação do 802.1X oferece um ROI operacional e de segurança significativo:

  • Mitigação de Riscos: Elimina o risco de que uma única PSK comprometida coloque em risco toda a rede corporativa, apoiando diretamente os esforços de conformidade com PCI-DSS e GDPR.
  • Eficiência Operacional: Centraliza o controle de acesso. Quando um funcionário sai, desativar sua conta no Active Directory revoga imediatamente seu acesso ao WiFi. Não há necessidade de alternar PSKs em toda a empresa.
  • Visibilidade da Rede: Fornece visibilidade granular sobre exatamente quem está na rede e quais dispositivos estão usando, permitindo um planejamento de capacidade e caça a ameaças superiores.

Para ambientes complexos e de alta densidade, como estádios esportivos ou o setor de hospitalidade , gerenciar a segurança corporativa enquanto se oferece acesso para visitantes é um desafio. Ao proteger os ativos corporativos com 802.1X e aproveitar uma plataforma robusta de análise de WiFi para lidar com o tráfego de visitantes, os líderes de TI podem oferecer conectividade segura e escalável que atende tanto à empresa quanto aos seus clientes. Para insights sobre o gerenciamento de ambientes de alta densidade, consulte nosso WiFi para Zoológicos e Parques Temáticos: Guia de Conectividade para Locais de Grande Movimento .

Definições principais

802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta que fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN.

O protocolo fundamental para a segurança de WiFi corporativa, substituindo senhas compartilhadas vulneráveis.

Suplicante

O dispositivo cliente ou aplicativo de software que solicita acesso à rede.

As equipes de TI devem gerenciar a configuração do suplicante via MDM para garantir conexões seguras.

Autenticador

O dispositivo de rede (Access Point ou Switch) que facilita o processo de autenticação agindo como um proxy entre o Suplicante e o Servidor de Autenticação.

Configurado com o IP do servidor RADIUS e um segredo compartilhado para encaminhar com segurança o tráfego EAP.

RADIUS

Remote Authentication Dial-In User Service; um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Auditoria (AAA).

O servidor de backend (como o Microsoft NPS) que realmente valida as credenciais do usuário em um diretório.

EAP (Extensible Authentication Protocol)

Uma estrutura de autenticação frequentemente usada em redes sem fio e conexões ponto a ponto, que suporta múltiplos métodos de autenticação.

O 'idioma' falado entre o Suplicante e o servidor RADIUS.

EAP-TLS

Um método EAP que usa Transport Layer Security, exigindo certificados do lado do servidor e do cliente para autenticação mútua.

O método mais seguro disponível, frequentemente exigido para ambientes de alta segurança ou confidenciais.

PEAP

Protected Extensible Authentication Protocol; encapsula o EAP dentro de um túnel TLS criptografado e autenticado.

O método empresarial mais amplamente implantado, equilibrando segurança e facilidade de implantação ao exigir apenas um certificado do lado do servidor.

Dynamic VLAN Assignment

O processo em que um servidor RADIUS instrui o Access Point a colocar um usuário autenticado em uma VLAN específica com base em sua associação de grupo de diretório.

Crucial para segmentar o tráfego de rede (por exemplo, separando RH, Engenharia e dispositivos de IoT) enquanto transmite apenas um único SSID corporativo.

Exemplos práticos

Um hotel de luxo com 300 quartos precisa proteger sua rede operacional interna (tablets da equipe, telefones VoIP, notebooks da gerência), mantendo-a totalmente separada da rede de convidados. Atualmente, eles usam uma única PSK para a equipe.

  1. Implante o Microsoft NPS vinculado ao Active Directory existente do hotel.
  2. Configure o PEAP-MSCHAPv2, usando um certificado público (por exemplo, DigiCert) no servidor NPS para simplificar a integração de tablets.
  3. Crie um SSID 802.1X ('Hotel_Ops') nos APs.
  4. Use a plataforma de MDM do hotel para enviar o perfil de WiFi 'Hotel_Ops' para todos os tablets e notebooks da equipe, configurando explicitamente o perfil para confiar na CA raiz da DigiCert e validar o nome do servidor NPS.
  5. Mantenha o SSID de convidados aberto existente, roteando-o através do Captive Portal da Purple para aceitação de termos e análise de dados, garantindo que as VLANs de convidados não possam rotear para as VLANs operacionais.
Comentário do examinador: Esta abordagem equilibra segurança com complexidade de implantação. Ao usar um certificado público no servidor RADIUS, o hotel evita a sobrecarga de implantar uma PKI completa, ao mesmo tempo em que elimina o risco de uma PSK compartilhada. A separação rígida do tráfego de convidados e corporativo por meio de VLANs e mecanismos de autenticação distintos está alinhada com os requisitos PCI-DSS para os sistemas de ponto de venda do hotel.

Um campus universitário está migrando para o 802.1X e precisa oferecer suporte a um ambiente BYOD massivo para 15.000 alunos em vários sistemas operacionais.

  1. Implante um cluster RADIUS robusto (por exemplo, FreeRADIUS ou Cisco ISE) com balanceamento de carga.
  2. Implemente o PEAP-MSCHAPv2 para ampla compatibilidade de dispositivos.
  3. Implante um portal de integração (por exemplo, SecureW2) que configura automaticamente o suplicante do dispositivo do aluno para usar as configurações EAP corretas e confiar no certificado do servidor RADIUS da universidade.
  4. Use a atribuição dinâmica de VLAN via atributos RADIUS para colocar os alunos nas sub-redes apropriadas com base em sua localização no campus para gerenciar os domínios de broadcast.
Comentário do examinador: No ensino superior, o BYOD é o principal desafio. Depender da configuração manual por parte dos alunos garante um alto volume de chamados no suporte e configurações inseguras (usuários aceitando certificados inválidos). O portal de integração é o fator crítico de sucesso aqui, garantindo que o suplicante seja protegido para evitar o roubo de credenciais.

Questões práticas

Q1. Sua organização está implantando o 802.1X usando PEAP-MSCHAPv2. Durante os testes, os usuários relatam que são solicitados a 'Aceitar um Certificado' ao se conectarem pela primeira vez. Como você deve resolver isso?

Dica: Considere as implicações de segurança de permitir que os usuários tomem decisões de confiança em relação à infraestrutura de rede.

Ver resposta modelo

Você deve configurar os perfis de suplicante do cliente (via MDM ou Diretiva de Grupo) para confiar explicitamente na CA Raiz que emitiu o certificado do servidor RADIUS e para validar o nome específico do servidor. Depender de os usuários aceitarem certificados manualmente os treina a ignorar avisos de segurança e deixa a rede vulnerável a ataques de Evil Twin (coleta de credenciais).

Q2. Você precisa proteger uma frota de leitores de código de barras de armazém. Eles suportam WPA2-Enterprise, mas não possuem um mecanismo para instalar certificados de cliente ou ingressar no Active Directory. Qual é a abordagem de implantação mais segura?

Dica: Avalie os métodos EAP que não exigem certificados do lado do cliente, mas ainda fornecem autenticação criptografada.

Ver resposta modelo

Implante o PEAP-MSCHAPv2. Crie uma conta de serviço dedicada em seu diretório para os leitores. Configure o servidor RADIUS com um certificado de servidor para estabelecer o túnel TLS e configure os leitores para autenticar usando as credenciais da conta de serviço dentro do túnel. Certifique-se de que a política do RADIUS restrinja essa conta de serviço a uma VLAN de armazém específica e isolada.

Q3. Após configurar os APs e o servidor RADIUS, os dispositivos clientes se autenticam com sucesso (verificado nos logs do RADIUS com um Access-Accept), mas falham ao receber um endereço IP e não conseguem acessar a rede. Qual é o problema de infraestrutura mais provável?

Dica: A autenticação foi bem-sucedida, o que significa que a fase do 802.1X está concluída. O problema está na fase subsequente de provisionamento de rede.

Ver resposta modelo

O problema mais provável é uma configuração incorreta de VLAN na rede cabeada. Se o servidor RADIUS estiver usando dynamic VLAN assignment para colocar o cliente em uma VLAN específica (por exemplo, VLAN 20), a porta do switch que conecta o Access Point deve ser configurada como uma porta trunk 802.1Q que permite a VLAN 20. Se a VLAN não estiver em modo trunk para o AP, as solicitações DHCP do cliente serão descartadas.

Continue a ler esta série

Configurando Autenticação RADIUS para Redes WiFi de Convidados e Funcionários

Este guia de referência técnica descreve a arquitetura, configuração e implantação da autenticação RADIUS para redes WiFi corporativas de convidados e funcionários. Ele fornece aos arquitetos de rede e gerentes de TI os protocolos exatos, padrões de segurança e metodologias de solução de problemas necessários para criar sistemas de controle de acesso sem fio seguros e escaláveis.

Ler o guia →

Passpoint and OpenRoaming: Complete Guide

Este guia de referência técnica fornece uma análise abrangente das estruturas Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Ele detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implantação necessárias para estabelecer uma conectividade de visitantes segura e sem atrito. Arquitetos de rede e líderes de TI aprenderão como projetar, implementar e solucionar problemas desses padrões para eliminar as barreiras de login manual, mantendo a segurança de nível empresarial.

Ler o guia →

Como Implementar SCEP para BYOD Seguro e Registro de Rede no Ensino Superior

Este guia técnico fornece aos arquitetos de rede e gerentes de TI um modelo neutro de fornecedor para implantar o registro de certificados baseado em SCEP para proteger redes de campus de ensino superior. Ele detalha como migrar do PEAP baseado em senha para o 802.1X EAP-TLS, automatizar a integração de BYOD e aplicar uma segmentação robusta de VLAN.

Ler o guia →