Pular para o conteúdo principal
Português (Brasil)

Como configurar a autenticação WiFi 802.1X: um guia passo a passo

Este guia técnico oferece um passo a passo para configurar a autenticação WiFi empresarial 802.1X. Ele abrange a configuração do servidor RADIUS, a implantação de certificados e estratégias práticas de implementação para líderes de TI em locais de grande circulação.

📖 5 min de leitura📝 1,126 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Como Configurar a Autenticação WiFi 802.1X: Um Guia Passo a Passo Um Podcast da Purple Enterprise WiFi Intelligence [INTRODUÇÃO — aproximadamente 1 minuto] Seja bem-vindo de volta. Estou falando hoje como arquiteto de soluções sênior e, se você está ouvindo isso, provavelmente está encarando um projeto de segurança de rede que envolve a autenticação 802.1X — seja porque sua equipe de conformidade sinalizou isso, sua seguradora perguntou a respeito ou você acabou de herdar uma rede que funciona com um PSK compartilhado e sabe que isso não é mais suficiente. Então, vamos direto ao assunto. O 802.1X é o padrão IEEE para controle de acesso à rede baseado em porta. É a espinha dorsal da segurança de WiFi corporativa — o mecanismo que garante que cada dispositivo que se conecta à sua rede seja positivamente identificado e autorizado antes de passar um único byte de tráfego. Isso não é opcional para organizações que lidam com dados de cartões de pagamento sob o PCI DSS, não é opcional para ambientes de saúde sob a GDPR e os padrões de segurança de dados do NHS e, francamente, para qualquer organização que opere mais do que um punhado de pontos de acesso, é a arquitetura correta. Nos próximos dez minutos, vou orientá-lo pela arquitetura técnica, pela configuração do RADIUS, pela implantação de certificados e pelos cenários do mundo real onde isso se complica. Vamos lá. [APROFUNDAMENTO TÉCNICO — aproximadamente 5 minutos] Certo, então a estrutura do 802.1X tem três componentes. Você tem o Suplicante — que é o dispositivo cliente, o laptop, o telefone, o sensor de IoT. Você tem o Autenticador — que é o seu ponto de acesso ou switch de rede, às vezes chamado de NAS, o Network Access Server. E você tem o Servidor de Autenticação — quase universalmente um servidor RADIUS em implantações corporativas. É assim que o handshake funciona. Quando um dispositivo tenta se conectar a um SSID protegido por 802.1X, o ponto de acesso não apenas permite a entrada. Em vez disso, ele abre o que é chamado de porta controlada — um canal limitado que só passa tráfego EAP, o Extensible Authentication Protocol. O AP envia uma solicitação de identidade EAP (EAP-Request Identity) para o dispositivo. O dispositivo responde com sua identidade. O AP então encaminha isso para o servidor RADIUS, empacotado em um pacote RADIUS Access-Request. O servidor RADIUS executa a autenticação — verificando as credenciais no Active Directory, em um repositório de certificados ou em qualquer back-end de identidade que você tenha configurado — e envia de volta um Access-Accept ou um Access-Reject. Somente após um Accept o AP abre a porta de dados completa e atribui o dispositivo à VLAN apropriada. Agora, o método EAP que você escolhe aqui importa enormemente. Existem cinco que você encontrará em implantações corporativas. O EAP-TLS é o padrão-ouro. Tanto o cliente quanto o servidor apresentam certificados X.509. Não há senhas envolvidas. É a opção mais segura e a exigida para os níveis mais altos de conformidade com o PCI DSS. O detalhe é que você precisa de uma PKI completa — uma Infraestrutura de Chaves Públicas — para emitir e gerenciar certificados de cliente. Isso significa uma Autoridade Certificadora, gerenciamento do ciclo de vida dos certificados e um mecanismo para enviar os certificados para cada dispositivo. Para organizações com o Microsoft Active Directory e o Active Directory Certificate Services, isso é totalmente viável. Para organizações sem essa infraestrutura, representa um investimento significativo. O PEAP-MSCHAPv2 é o método mais amplamente implantado na prática. Ele cria um túnel TLS usando apenas um certificado do lado do servidor e, em seguida, transmite as credenciais de usuário e senha dentro desse túnel. É compatível com praticamente todos os dispositivos prontos para uso, integra-se diretamente com o Active Directory via NPS no Windows Server e não requer certificados de cliente. O ponto negativo é que ele é vulnerável a ataques de coleta de credenciais se os usuários forem induzidos a se conectar a um AP invasor — porque o cliente não valida o certificado do servidor por padrão. Você deve impor a validação do certificado do servidor em seus perfis de suplicante. O EAP-TTLS é semelhante ao PEAP, mas mais flexível no método de autenticação interno. É comum em ambientes Linux e onde você precisa oferecer suporte a backends de autenticação legados. O EAP-FAST foi desenvolvido pela Cisco em resposta às vulnerabilidades do LEAP. Ele usa Credenciais de Acesso Protegido em vez de certificados. É relevante principalmente se você estiver em um ambiente focado em Cisco ou lidando com dispositivos legados que não suportam os outros métodos. O EAP-SIM e o EAP-AKA são usados em implantações de nível de operadora — pense em OpenRoaming ou Passpoint — onde a autenticação está vinculada a um cartão SIM ou USIM. Estes são cada vez mais relevantes para WiFi em locais públicos, onde você deseja um onboarding contínuo e seguro sem um Captive Portal. Agora vamos falar sobre a configuração do RADIUS. Quer você esteja implantando o Microsoft NPS, FreeRADIUS, Cisco ISE ou Aruba ClearPass, as etapas principais de configuração são as mesmas. Primeiro, você define seus clientes RADIUS — estes são seus pontos de acesso ou controladores de LAN sem fio. Cada cliente é registrado com seu endereço IP e um segredo compartilhado. Esse segredo compartilhado é usado para autenticar as mensagens RADIUS entre o AP e o servidor. Use um mínimo de 22 caracteres, gerados aleatoriamente e exclusivos por dispositivo NAS. Segundo, você configura sua política de rede. É aqui que você define quem tem acesso a quê. Em termos de NPS, você está criando uma Política de Rede que corresponde a condições — associação a grupos no Active Directory, tipo de dispositivo, hora do dia — e atribui atributos — ID de VLAN, limite de tempo de sessão, limites de largura de banda. O atributo RADIUS que você mais usará é a atribuição de VLAN, especificamente Tunnel-Type definido como VLAN, Tunnel-Medium-Type definido como 802 e Tunnel-Private-Group-ID definido como o número da sua VLAN. Terceiro, você configura sua política de solicitação de conexão. Isso informa ao NPS como lidar com as solicitações RADIUS recebidas — se deve autenticar localmente ou encaminhar para outro servidor RADIUS. Em uma implantação distribuída, você pode ter um servidor RADIUS central com proxies NPS em cada localidade. No lado do certificado, para PEAP e EAP-TLS, seu servidor RADIUS precisa de um certificado de servidor confiável para seus clientes. O caminho mais simples é usar um certificado de uma CA pública — DigiCert, Sectigo, Let's Encrypt — porque esses certificados raiz já são confiáveis para todos os principais sistemas operacionais. Se você estiver usando uma CA interna, precisará enviar o certificado raiz para todos os dispositivos clientes via Diretiva de Grupo ou sua plataforma de MDM. Especificamente para EAP-TLS, você também precisa de certificados de cliente. Em um ambiente Active Directory, você usaria o ADCS com inscrição automática via Diretiva de Grupo para enviar certificados para dispositivos ingressados no domínio. Para dispositivos BYOD, você usaria seu MDM — Intune, Jamf, VMware Workspace ONE — para enviar tanto o certificado quanto o perfil de WiFi. No lado do ponto de acesso, a configuração é simples. Você cria um novo SSID, define a segurança como WPA2-Enterprise ou WPA3-Enterprise, aponta o servidor de autenticação RADIUS para o IP do seu NPS na porta UDP 1812, define o servidor de contabilidade RADIUS na porta UDP 1813, insere o segredo compartilhado e ativa a atribuição de VLAN dinâmica se estiver usando-a. A maioria das plataformas de AP corporativas — Cisco Meraki, Aruba, Ruckus, Extreme — possui uma GUI para isso que leva cerca de dez minutos após o servidor RADIUS estar pronto. [RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS — aproximadamente 2 minutos] Certo, vamos falar sobre onde as implantações costumam falhar, porque é aqui que eu justifico meus honorários de consultoria. O ponto de falha mais comum é a validação de certificado. Já vi organizações implantarem o PEAP-MSCHAPv2 corretamente no lado do servidor e, em seguida, deixarem os perfis de suplicantes dos clientes configurados para aceitar qualquer certificado. Isso compromete totalmente o modelo de segurança. Todo perfil de suplicante — seja enviado via Diretiva de Grupo ou MDM — deve especificar a CA raiz confiável e o nome de servidor esperado. Sem isso, você fica vulnerável a ataques de evil twin (clone malicioso). O segundo problema comum é o gerenciamento do segredo compartilhado do RADIUS. Já vi redes de produção rodando com o segredo compartilhado definido como "radius" ou com o padrão do fabricante. Esses segredos são as chaves para a sua infraestrutura de autenticação. Gere-os aleatoriamente, armazene-os em um gerenciador de segredos e faça a rotação deles periodicamente. Terceiro: configuração incorreta de VLAN. A atribuição de VLAN dinâmica é poderosa — ela permite colocar os dispositivos dos funcionários na VLAN corporativa, prestadores de serviço em uma VLAN restrita e dispositivos de IoT em uma VLAN isolada, tudo a partir do mesmo SSID. Mas se os atributos RADIUS não forem configurados corretamente ou se as portas de tronco do switch não estiverem transportando as VLANs corretas, os dispositivos falharão na conexão ou cairão no segmento errado. Teste isso minuciosamente em laboratório antes de colocar em produção. Quarto: redundância. Seu servidor RADIUS agora é uma peça crítica de infraestrutura. Se ele cair, ninguém se conecta. Você precisa de, no mínimo, um servidor RADIUS primário e um secundário configurados em cada AP. Em grandes implantações, considere clusters de proxy RADIUS com monitoramento de integridade. Quinto, e isso é específico para ambientes de hotelaria e varejo: separação entre rede de convidados e corporativa. Seu SSID corporativo 802.1X e seu SSID de WiFi de convidados devem ser completamente separados — VLANs diferentes, políticas de firewall diferentes, DNS diferente. Uma plataforma como a Purple gerencia o lado dos convidados com seu próprio Captive Portal e camada de analytics, enquanto sua infraestrutura 802.1X gerencia o lado corporativo. Esses são sistemas complementares, não concorrentes. [PERGUNTAS E RESPOSTAS RÁPIDAS — aproximadamente 1 minuto] Deixe-me passar pelas perguntas que recebo com mais frequência. Posso executar o 802.1X em uma plataforma de AP gerenciada na nuvem? Sim — Meraki, Aruba Central e Ruckus Cloud suportam essa função. Você configura os detalhes do servidor RADIUS no painel da nuvem, e os APs cuidam do proxying EAP. Preciso de Active Directory? Não. O FreeRADIUS pode autenticar em LDAP, bancos de dados SQL, arquivos simples ou até mesmo APIs REST. Mas a integração AD via NPS é, de longe, o caminho corporativo mais comum. E quanto aos dispositivos IoT que não suportam 802.1X? Use o MAC Authentication Bypass — MAB — como alternativa. O endereço MAC do dispositivo é enviado ao RADIUS como nome de usuário e senha. Não é tão seguro quanto o EAP, mas permite integrar dispositivos IoT mantendo-os em uma VLAN restrita. O 802.1X funciona com WPA3? Sim. O WPA3-Enterprise é essencialmente o WPA3 com autenticação 802.1X. Ele adiciona uma criptografia mais forte — 192 bits no modo de alta segurança — e é o padrão recomendado para novas implantações. [RESUMO E PRÓXIMOS PASSOS — aproximadamente 1 minuto] Para resumir: o 802.1X não é um recurso opcional. Para qualquer organização que lide com dados confidenciais, processe pagamentos ou opere em um ambiente regulamentado, ele é a base para a segurança de WiFi corporativo. A arquitetura está bem estabelecida, o ferramental está maduro e o caminho de implantação é claro. Comece com a seleção do seu método EAP — PEAP-MSCHAPv2 se você precisa de resultados rápidos e ampla compatibilidade, EAP-TLS se você tiver a infraestrutura de PKI e precisar do nível mais forte de segurança. Configure seu servidor RADIUS e garanta sua redundância antes de tocar em um único AP. Distribua seus perfis de suplicante via Diretiva de Grupo ou MDM antes de entrar em operação. E mantenha seu WiFi de convidados completamente separado — use uma plataforma dedicada para essa camada. Se você opera um ambiente com vários locais — hotéis, redes de varejo, estádios — a complexidade aumenta com o número de sites, mas a arquitetura não muda. A chave é o RADIUS centralizado com redundância local por site e um perfil de suplicante consistente distribuído via MDM em toda a sua frota de dispositivos. Obrigado por nos ouvir. O guia escrito completo, os diagramas de arquitetura e as listas de verificação de configuração estão disponíveis em purple.ai. Se você está planejando uma implantação do 802.1X e quer discutir as especificidades do seu ambiente, entre em contato diretamente com a equipe do Purple.

header_image.png

Resumo Executivo

Para redes corporativas, PSKs (Pre-Shared Keys) compartilhadas não são mais suficientes para proteger a infraestrutura corporativa. À medida que as organizações enfrentam mandatos de conformidade mais rigorosos (PCI DSS, GDPR) e uma superfície de ataque em expansão, a transição para a autenticação 802.1X é um imperativo de segurança crítico.

Este guia fornece um roteiro prático e neutro de fornecedor para configurar o 802.1X em pontos de acesso corporativos. Abordamos a arquitetura principal — Supplicant, Authenticator e Authentication Server — juntamente com o gerenciamento de certificados, configuração RADIUS e armadilhas comuns de implantação. Para gerentes de TI e arquitetos de rede que operam em ambientes de varejo, hospitalidade ou setor público, esta referência fornece as etapas acionáveis necessárias para implementar um controle de acesso à rede robusto e baseado em identidade, mantendo o tráfego corporativo e de visitantes estritamente separados.

Ouça nosso podcast complementar abaixo para uma visão geral de 10 minutos sobre as estratégias de arquitetura e implementação.

Aprofundamento Técnico: A Arquitetura 802.1X

O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta. Em um contexto sem fio, ele impede que um dispositivo cliente envie ou receba tráfego de dados até que tenha se autenticado com sucesso em um diretório central.

architecture_overview.png

Os Três Componentes Principais

  1. O Supplicant (Dispositivo Cliente): O software no laptop, smartphone ou dispositivo IoT que solicita o acesso. Ele deve suportar o método EAP (Extensible Authentication Protocol) escolhido.
  2. O Authenticator (Ponto de Acesso / WLC): O dispositivo de rede que atua como o guardião. Ele abre uma "porta controlada" que só permite o tráfego EAP até que a autenticação seja bem-sucedida.
  3. O Authentication Server (RADIUS): O servidor central (por exemplo, Microsoft NPS, FreeRADIUS, Cisco ISE) que valida as credenciais em um repositório de identidade (como o Active Directory) e retorna uma mensagem de Access-Accept ou Access-Reject.

Métodos EAP: Escolhendo a Postura de Segurança Correta

A escolha do método EAP dita o seu nível de segurança e a complexidade da implantação.

eap_comparison_chart.png

  • EAP-TLS (Transport Layer Security): O padrão ouro. Requer certificados de servidor e cliente. Nenhuma senha é transmitida. Essencial para ambientes de alta segurança, mas requer uma Infraestrutura de Chaves Públicas (ICP/PKI) completa.
  • PEAP-MSCHAPv2 (Protected EAP): A implantação corporativa mais comum. Usa um certificado do lado do servidor para criar um túnel TLS seguro, dentro do qual o cliente envia um nome de usuário e senha. Mais fácil de implantar, mas vulnerável à coleta de credenciais se os dispositivos dos clientes não forem configurados para validar estritamente o certificado do servidor.
  • EAP-SIM/AKA: Utiliza credenciais do cartão SIM para autenticação. Cada vez mais relevante para integração integrada em centros de Transporte e grandes locais públicos.

Guia de Implementação: Configuração Passo a Passo

A implantação do 802.1X requer configuração coordenada em seu servidor RADIUS, em seus pontos de acesso e nos dispositivos dos clientes.

Passo 1: Preparação do Servidor RADIUS

Independentemente de você estar usando o Network Policy Server (NPS) da Microsoft ou uma alternativa, os princípios fundamentais permanecem os mesmos.

  1. Definir Clientes RADIUS: Registre cada Ponto de Acesso (ou Controlador LAN sem fio) em seu servidor RADIUS. Atribua um Segredo Compartilhado forte e gerado aleatoriamente (mínimo de 22 caracteres) para proteger as comunicações entre o AP e o servidor RADIUS.
  2. Instalar o Certificado do Servidor: Para PEAP ou EAP-TLS, instale um certificado X.509 no servidor RADIUS. O uso de um certificado de uma Autoridade Certificadora (CA) pública confiável simplifica a implantação para ambientes BYOD, pois o certificado raiz já é confiável para os sistemas operacionais dos clientes.

Passo 2: Configuração de Políticas

Configure suas políticas de rede para ditar os direitos de acesso com base na identidade.

  1. Políticas de Solicitação de Conexão: Defina como o servidor RADIUS lida com as solicitações recebidas. Normalmente, isso envolve corresponder ao NAS-Port-Type (Sem fio - IEEE 802.11) e autenticar as solicitações localmente.
  2. Políticas de Rede: Mapeie grupos do Active Directory para direitos de acesso à rede. Por exemplo, mapeie o grupo 'Domain Computers' para a VLAN corporativa. Use atributos RADIUS (Tunnel-Type=VLAN, Tunnel-Medium-Type=802, Tunnel-Private-Group-ID=[VLAN_ID]) para atribuir VLANs dinamicamente após a autenticação bem-sucedida.

Passo 3: Configuração do Ponto de Acesso

Configure o SSID em sua infraestrutura sem fio (ex: Meraki, Aruba, Cisco).

  1. Crie um novo SSID e selecione WPA2-Enterprise ou WPA3-Enterprise.
  2. Insira o endereço IP dos seus servidores RADIUS primário e secundário.
  3. Insira o Segredo Compartilhado definido no Passo 1.
  4. Habilite a Atribuição Dinâmica de VLAN se o seu servidor RADIUS estiver enviando atributos de VLAN.

Passo 4: Provisionamento do Suplicante do Cliente

Esta é a etapa mais crítica e frequentemente negligenciada. Não dependa dos usuários para configurar manualmente seus dispositivos.

  • Dispositivos Corporativos: Use Objetos de Diretiva de Grupo (GPO) ou sua plataforma de Gerenciamento de Dispositivos Móveis (MDM) para implantar o perfil de WiFi. O perfil deve especificar a CA Raiz confiável e o nome exato do seu servidor RADIUS para evitar ataques do tipo Evil Twin.
  • BYOD: Implemente um portal de integração ou solução de MDM para implantar perfis seguros em dispositivos de propriedade dos funcionários.

Melhores Práticas e Padrões da Indústria

Para garantir uma implantação robusta, adote as seguintes melhores práticas de arquitetura:

  1. Validação Estrita de Certificado: Nunca permita que os clientes aceitem cegamente qualquer certificado de servidor. Este é o principal vetor para a captura de credenciais PEAP.
  2. Isole o Tráfego de Visitantes: Sua infraestrutura 802.1X é para acesso corporativo. O tráfego de visitantes deve permanecer completamente segregado. Implemente uma plataforma dedicada de Guest WiFi com seu próprio Captive Portal e camada de análise de dados. Conforme discutido em nosso guia sobre Proteja sua Rede com DNS Forte e Segurança , a separação lógica é fundamental para a defesa da rede.
  3. Implemente Redundância: O RADIUS é um serviço de caminho crítico. Implante servidores RADIUS primários e secundários. Em ambientes distribuídos, como grandes redes de Varejo , considere proxies RADIUS locais para sobrevivência caso o link de WAN caia.

Resolução de Problemas e Mitigação de Riscos

Quando as implantações falham, geralmente isso se deve a alguns erros comuns de configuração:

  • Erros de Timeout do RADIUS: Frequentemente causados por uma incompatibilidade de Segredo Compartilhado (Shared Secret) entre o AP e o servidor RADIUS, ou regras de firewall bloqueando as portas UDP 1812 (Autenticação) e 1813 (Contabilização/Accounting).
  • Rejeição do Cliente: Verifique os logs de eventos do RADIUS (por exemplo, Visualizador de Eventos do Windows -> Exibições Personalizadas -> Funções de Servidor -> Serviços de Acesso e Diretiva de Rede). Procure pelo ID de Evento 6273. Causas comuns incluem certificados de cliente expirados ou o cliente falhando em confiar na cadeia de certificados do servidor.
  • Falhas de Atribuição de VLAN: Se a autenticação for bem-sucedida, mas o cliente não obtiver um endereço IP, verifique se a porta do switch conectada ao AP está configurada como uma porta trunk que permite a VLAN atribuída dinamicamente.

Retorno sobre o Investimento (ROI) e Impacto nos Negócios

A implementação do 802.1X gera um ROI operacional e de segurança significativo:

  • Mitigação de Riscos: Elimina o risco de uma única PSK comprometida violar toda a rede corporativa, apoiando diretamente os esforços de conformidade com o PCI DSS e GDPR.
  • Eficiência Operacional: Centraliza o controle de acesso. Quando um funcionário sai, desativar sua conta no Active Directory revoga imediatamente seu acesso ao WiFi. Não há necessidade de alternar PSKs em toda a empresa.
  • Visibilidade de Rede: Fornece visibilidade granular de exatamente quem está na rede e qual dispositivo está usando, permitindo um melhor planejamento de capacidade e detecção de ameaças. Para ambientes complexos e de alta densidade, como estádios ou locais de Hospitality , gerenciar a segurança corporativa paralelamente ao acesso de visitantes é um desafio. Ao proteger os ativos corporativos com 802.1X e aproveitar uma plataforma robusta de WiFi Analytics para o tráfego de visitantes, os líderes de TI podem oferecer conectividade segura e escalável que atende tanto à empresa quanto aos seus clientes. Para obter insights sobre o gerenciamento de ambientes de alta densidade, consulte nosso Zoo and Theme Park WiFi: High-Footfall Venue Connectivity Guide .

Definições principais

802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta que fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN.

O protocolo fundamental para a segurança de WiFi corporativo, substituindo senhas compartilhadas vulneráveis.

Supplicant

O dispositivo cliente ou aplicativo de software que solicita acesso à rede.

As equipes de TI devem gerenciar a configuração do supplicant via MDM para garantir conexões seguras.

Autenticador

O dispositivo de rede (Access Point ou Switch) que facilita o processo de autenticação agindo como um proxy entre o Supplicant e o Servidor de Autenticação.

Configurado com o IP do servidor RADIUS e um segredo compartilhado para encaminhar o tráfego EAP de forma segura.

RADIUS

Remote Authentication Dial-In User Service; um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA).

O servidor de backend (como o Microsoft NPS) que de fato valida as credenciais do usuário em um diretório.

EAP (Extensible Authentication Protocol)

Uma estrutura de autenticação frequentemente usada em redes sem fio e conexões ponto a ponto, compatível com múltiplos métodos de autenticação.

O "idioma" falado entre o Supplicant e o servidor RADIUS.

EAP-TLS

Um método EAP que usa Transport Layer Security, exigindo certificados tanto do lado do servidor quanto do cliente para autenticação mútua.

O método mais seguro disponível, frequentemente exigido para ambientes de alta segurança ou confidenciais.

PEAP

Protected Extensible Authentication Protocol; encapsula o EAP dentro de um túnel TLS criptografado e autenticado.

O método corporativo mais amplamente implantado, equilibrando segurança com facilidade de implantação ao exigir apenas um certificado do lado do servidor.

Atribuição Dinâmica de VLAN

O processo no qual um servidor RADIUS instrui o Access Point a colocar um usuário autenticado em uma VLAN específica com base em sua associação de grupo no diretório.

Crucial para segmentar o tráfego de rede (por exemplo, separando RH, Engenharia e dispositivos IoT) enquanto transmite apenas um único SSID corporativo.

Exemplos práticos

Um hotel de luxo com 300 quartos precisa proteger sua rede operacional interna (tablets da equipe, telefones VoIP, notebooks da gerência), mantendo-a totalmente separada da rede de hóspedes. Atualmente, eles usam uma única PSK para a equipe.

  1. Implante o Microsoft NPS vinculado ao Active Directory existente do hotel.
  2. Configure o PEAP-MSCHAPv2, usando um certificado público (ex: DigiCert) no servidor NPS para simplificar a integração dos tablets.
  3. Crie um SSID 802.1X ('Hotel_Ops') nos APs.
  4. Use a plataforma de MDM do hotel para enviar o perfil de WiFi 'Hotel_Ops' para todos os tablets e notebooks da equipe, configurando explicitamente o perfil para confiar na CA raiz da DigiCert e validar o nome do servidor NPS.
  5. Mantenha o SSID de hóspedes aberto existente, roteando-o através do Captive Portal da Purple para aceitação de termos e análise de dados, garantindo que as VLANs de hóspedes não possam ser roteadas para as VLANs operacionais.
Comentário do examinador: Essa abordagem equilibra segurança com complexidade de implantação. Ao usar um certificado público no servidor RADIUS, o hotel evita a sobrecarga de implantar uma PKI completa, eliminando o risco de uma PSK compartilhada. A separação rigorosa do tráfego de hóspedes e corporativo por meio de VLANs e mecanismos de autenticação distintos está alinhada com os requisitos do PCI DSS para os sistemas de ponto de venda do hotel.

Um campus universitário está migrando para o 802.1X e precisa oferecer suporte a um ambiente BYOD massivo para 15.000 alunos em vários sistemas operacionais.

  1. Implante um cluster RADIUS robusto (ex: FreeRADIUS ou Cisco ISE) com balanceamento de carga.
  2. Implemente o PEAP-MSCHAPv2 para ampla compatibilidade de dispositivos.
  3. Implante um portal de integração (ex: SecureW2) que configure automaticamente o suplicante do dispositivo do aluno para usar as configurações de EAP corretas e confiar no certificado do servidor RADIUS da universidade.
  4. Use a atribuição dinâmica de VLAN via atributos RADIUS para colocar os alunos nas sub-redes apropriadas com base em sua localização no campus para gerenciar domínios de transmissão.
Comentário do examinador: No ensino superior, o BYOD é o principal desafio. Depender da configuração manual por parte dos alunos garante um alto volume de chamados de suporte e configurações inseguras (usuários aceitando certificados inválidos). O portal de integração é o fator crítico de sucesso aqui, garantindo que o suplicante seja configurado corretamente para evitar a interceptação de credenciais.

Questões práticas

Q1. Sua organização está implantando o 802.1X usando PEAP-MSCHAPv2. Durante os testes, os usuários relatam que são solicitados a "Aceitar um Certificado" ao se conectarem pela primeira vez. Como você deve resolver isso?

Dica: Considere as implicações de segurança ao permitir que os usuários tomem decisões de confiança em relação à infraestrutura de rede.

Ver resposta modelo

Você deve configurar os perfis do suplicante do cliente (via MDM ou Diretiva de Grupo) para confiar explicitamente na CA Raiz que emitiu o certificado do servidor RADIUS e para validar o nome do servidor específico. Depender de os usuários aceitarem certificados manualmente os treina para ignorar avisos de segurança e deixa a rede vulnerável a ataques de Evil Twin (coleta de credenciais).

Q2. Você precisa proteger uma frota de leitores de código de barras de depósito. Eles suportam WPA2-Enterprise, mas não possuem um mecanismo para instalar certificados de cliente ou ingressar no Active Directory. Qual é a abordagem de implantação mais segura?

Dica: Avalie os métodos EAP que não exigem certificados do lado do cliente, mas ainda fornecem autenticação criptografada.

Ver resposta modelo

Implante o PEAP-MSCHAPv2. Crie uma conta de serviço dedicada em seu diretório para os leitores. Configure o servidor RADIUS com um certificado de servidor para estabelecer o túnel TLS e configure os leitores para autenticar usando as credenciais da conta de serviço dentro do túnel. Certifique-se de que a política do RADIUS restrinja essa conta de serviço a uma VLAN de depósito específica e isolada.

Q3. Após configurar os APs e o servidor RADIUS, os dispositivos dos clientes se autenticam com sucesso (verificado nos logs do RADIUS com um Access-Accept), mas eles não conseguem receber um endereço IP e não conseguem acessar a rede. Qual é o problema de infraestrutura mais provável?

Dica: A autenticação foi bem-sucedida, o que significa que a fase 802.1X está concluída. O problema reside na fase subsequente de provisionamento de rede.

Ver resposta modelo

O problema mais provável é uma configuração incorreta de VLAN na rede cabeada. Se o servidor RADIUS estiver usando atribuição dinâmica de VLAN para colocar o cliente em uma VLAN específica (por exemplo, VLAN 20), a porta do switch que conecta o Access Point deve ser configurada como uma porta trunk 802.1Q que permite a VLAN 20. Se a VLAN não estiver em modo trunk para o AP, as solicitações DHCP do cliente serão descartadas.

Continue a ler esta série

Per-Device PSK por Vendor: Comparativo de iPSK, DPSK, MPSK e PPSK (e Suporte a WPA3)

Uma comparação abrangente das implementações de PSK por dispositivo no Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet e Ubiquiti UniFi. Saiba como o WPA3-SAE impacta as estratégias de chaves por dispositivo e quando implantar modos de transição em vez de migrar para o 802.1X.

Ler o guia →

Métodos de Autenticação de Captive Portal Comparados

Este guia de referência técnica definitivo avalia as compensações arquitetônicas, operacionais e de conformidade de cinco métodos principais de autenticação de captive portal. Ele fornece a arquitetos de rede, diretores de TI e gerentes de marketing os dados quantitativos e as estruturas de decisão necessários para equilibrar a fricção no onboarding de convidados com os requisitos de coleta de dados em locais corporativos.

Ler o guia →

O que é autenticação por endereço MAC? Quando usar e quando evitar

Este guia de referência técnica abrangente aborda a autenticação por endereço MAC em ambientes de WiFi corporativos — como a autenticação MAC baseada em RADIUS funciona na Camada 2, suas vulnerabilidades de segurança inerentes (incluindo spoofing de MAC e o impacto da randomização de MAC no nível do SO) e os contextos operacionais precisos onde ela continua sendo uma ferramenta válida para gerenciar IoT e dispositivos headless. Ele fornece orientações de implantação práticas para gerentes de TI e arquitetos de rede em setores como hotelaria, varejo, saúde e locais públicos, com exemplos práticos reais, estruturas de decisão e contexto de integração para a plataforma de guest WiFi e analytics da Purple.

Ler o guia →