Pular para o conteúdo principal
Português (Brasil)

Como Configurar um Servidor RADIUS para Autenticação WiFi

Este guia definitivo oferece aos líderes de TI e arquitetos de rede um blueprint abrangente para a implantação de um servidor RADIUS para autenticação WiFi corporativa. Ele aborda as compensações arquitetônicas entre implantações locais e hospedadas na nuvem, seleção de método EAP, integração com Active Directory e atribuição dinâmica de VLAN. Operadores de locais físicos e equipes de TI encontrarão etapas de implementação práticas, estudos de caso reais e estratégias de mitigação de risco para migrar de um ambiente PSK inseguro para uma infraestrutura 802.1X robusta ainda este trimestre.

📖 8 min de leitura📝 1,860 palavras🔧 2 exemplos práticos3 questões práticas📚 9 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo ao Informativo Técnico da Purple. Hoje estamos abordando uma decisão de infraestrutura crítica para qualquer líder de TI corporativo: como configurar um servidor RADIUS para autenticação WiFi. Se você está gerenciando uma implantação em larga escala — seja uma rede de hotéis, uma rede de varejo ou um campus universitário em expansão — confiar em uma chave pré-compartilhada simples é um risco de segurança significativo. Nós precisamos do 802.1X, e isso significa que precisamos do RADIUS. Vamos começar pelo contexto. O RADIUS, ou Remote Authentication Dial-In User Service, atua como o guardião da sua rede. Quando um dispositivo tenta se conectar a um ponto de acesso WiFi, o ponto de acesso atua como um autenticador e encaminha as credenciais para o servidor RADIUS. O servidor verifica essas credenciais em um diretório — como o Active Directory ou um banco de dados LDAP — e depois retorna uma mensagem de aceitação ou rejeição. Ele é a base da segurança WiFi corporativa e é o mecanismo que permite aplicar políticas de acesso granulares em escala. Agora vamos entrar na análise técnica detalhada. A primeira grande decisão arquitetônica que você enfrentará é escolher entre um servidor RADIUS on-premise e uma solução hospedada na nuvem. Historicamente, as soluções on-premise, como o Network Policy Server (NPS) da Microsoft, ou o FreeRADIUS de código aberto, eram o padrão. Elas oferecem controle total sobre a infraestrutura e não dependem de uma conexão de internet externa para autenticação. No entanto, exigem hardware dedicado, manutenção contínua e configuração manual de redundância. Se você tem um único data center e uma equipe de TI bem estruturada, esta é uma abordagem perfeitamente válida. Por outro lado, as soluções de RADIUS na nuvem tornaram-se cada vez mais populares, especialmente para ambientes distribuídos, como redes de varejo ou locais de hospitalidade. O RADIUS na nuvem abstrai totalmente o gerenciamento de hardware, oferece alta disponibilidade integrada e se integra perfeitamente com provedores de identidade na nuvem, como o Azure Active Directory ou Okta. O ponto de compensação é que a autenticação requer uma conexão de internet confiável e há um custo de assinatura contínuo. Para um operador de locais que gerencia cinquenta ou cem pontos, a economia operacional por não implantar e manter servidores on-premise em cada local certamente superará esse custo. Ao implantar o RADIUS, o Extensible Authentication Protocol — EAP — é a peça fundamental. Ele define como o cliente e o servidor negociam e realizam a autenticação. O EAP-TLS é o padrão ouro de segurança porque utiliza certificados digitais tanto no cliente quanto no servidor, eliminando completamente a necessidade de senhas. Isso significa que, mesmo que um invasor capture a troca de autenticação, não há credenciais para roubar. No entanto, a implantação de certificados de cliente pode ser administrativamente complexa. Você precisa de uma Infraestrutura de Chaves Públicas e de uma solução de MDM para distribuir os certificados para cada dispositivo. PEAP-MSCHAPv2 é a alternativa mais comum. Ele utiliza um certificado do lado do servidor para estabelecer um túnel TLS criptografado, dentro do qual o usuário se autentica com um nome de usuário e senha. Isso é significativamente mais fácil de implantar do que o EAP-TLS porque você só precisa gerenciar um único certificado — o do servidor. No entanto, e isso é crucial — se os clientes não estiverem configurados rigidamente para validar o certificado do servidor, eles estarão vulneráveis a pontos de acesso falsos (rogue access points). Um invasor pode criar um ponto de acesso falso, apresentar um certificado fraudulento e capturar credenciais. Este não é um ataque teórico. É uma ameaça real e bem documentada. Vamos falar sobre recomendações de implementação e armadilhas. A primeira recomendação é impor uma validação rígida de certificado em cada dispositivo cliente. Use Objetos de Diretiva de Grupo (GPO) para dispositivos Windows e perfis de MDM — seja Intune, Jamf ou outra solução — para macOS e dispositivos móveis. O perfil deve especificar exatamente em qual Autoridade Certificadora confiar e qual é o nome esperado do servidor. Não deixe isso para o usuário final configurar manualmente. A segunda recomendação é implementar a atribuição dinâmica de VLAN. Em vez de colocar todos os usuários autenticados na mesma rede plana, configure o servidor RADIUS para instruir o ponto de acesso a colocar o usuário em uma VLAN específica com base em sua associação de grupo no diretório. Isso é essencial para segmentar dispositivos corporativos de dispositivos BYOD ou de convidados. Um membro da equipe financeira deve estar em um segmento de rede diferente de um prestador de serviços que está visitando pelo dia. A terceira recomendação diz respeito ao acesso de convidados. Para locais que precisam fornecer WiFi a visitantes — hotéis, lojas de varejo, centros de conferências — integrar sua infraestrutura RADIUS com uma solução de Captive Portal como a plataforma de Guest WiFi da Purple é uma combinação poderosa. A equipe e os dispositivos corporativos se autenticam silenciosamente via 802.1X, enquanto os convidados são direcionados para um portal personalizado para autenticação. A plataforma da Purple captura dados proprietários (first-party data) e fornece análises sobre o comportamento dos visitantes, transformando sua rede de um centro de custo em um ativo de inteligência de negócios. Agora, uma rápida sessão de perguntas e respostas. Primeira pergunta: Preciso de um servidor dedicado para RADIUS? Para implantações on-premise, sim, é altamente recomendável executá-lo em uma máquina virtual dedicada, em vez de compartilhar recursos com um controlador de domínio. A autenticação é uma operação sensível à latência, e a disputa por recursos pode causar falhas intermitentes que são muito difíceis de diagnosticar. Segunda pergunta: O RADIUS pode lidar com a autenticação de dispositivos headless, como impressoras ou sensores de IoT? Sim, por meio do MAC Authentication Bypass, ou MAB. Isso permite que dispositivos sem recursos 802.1X sejam autenticados com base em seu endereço MAC. No entanto, como os endereços MAC são facilmente forjados, os dispositivos autenticados por MAB devem sempre ser colocados em uma VLAN altamente restrita. Terceira pergunta: Como faço para lidar com a redundância do servidor RADIUS? Sempre implante pelo menos dois servidores RADIUS — um primário e um secundário. Configure todos os pontos de acesso para fazer failover para o secundário se o primário ficar inacessível. Para RADIUS em nuvem, essa redundância geralmente é integrada e gerenciada pelo provedor. Para resumir os principais pontos da apresentação de hoje. Chaves pré-compartilhadas não são aceitáveis para WiFi empresarial. Implemente o 802.1X. Escolha seu modelo de implantação — on-premise ou nuvem — com base em seus recursos de TI, no número de locais que você está gerenciando e em sua infraestrutura de identidade existente. Se você for distribuído e focado primeiro na nuvem, o RADIUS em nuvem é quase certamente a resposta certa. Imponha uma validação de certificado rigorosa nos clientes. Isso é inegociável. Use a atribuição dinâmica de VLAN para segmentar sua rede. E, finalmente, considere como sua infraestrutura de autenticação pode se integrar com plataformas mais amplas para fornecer valor comercial além de simplesmente controlar o acesso. Para leituras adicionais, recomendamos explorar os guias da Purple sobre a configuração de autenticação WiFi 802.1X e a segurança de sua rede com políticas de DNS robustas. Obrigado por ouvir.

header_image.png

Resumo Executivo

Para ambientes corporativos — seja um campus universitário em expansão, um estádio de alta densidade ou uma rede de varejo distribuída — depender de uma Chave Pré-Compartilhada (PSK) para acesso WiFi é uma vulnerabilidade de segurança significativa. Uma única credencial comprometida expõe toda a rede, e revogar o acesso exige a alteração da senha de todos os dispositivos do local. A implementação da autenticação 802.1X por meio de um servidor RADIUS (Remote Authentication Dial-In User Service) elimina esse problema por completo: cada usuário se autentica individualmente, o acesso pode ser revogado instantaneamente e a segmentação de rede é aplicada de forma dinâmica.

Este guia fornece um roteiro definitivo para gerentes de TI e arquitetos de rede implantarem a autenticação RADIUS. Abordamos as compensações arquitetônicas entre implantações locais e hospedadas em nuvem, a configuração de métodos do Extensible Authentication Protocol (EAP) e a integração com serviços de diretório como o Active Directory. Também demonstramos como uma camada de autenticação robusta se integra com soluções de Guest WiFi para fornecer acesso contínuo aos visitantes, enquanto captura os dados de WiFi Analytics que transformam sua rede em um ativo de inteligência de negócios.

Aprofundamento Técnico

A Arquitetura 802.1X

O padrão IEEE 802.1X define o Controle de Acesso à Rede baseado em porta (PNAC). No contexto sem fio, ele envolve três funções principais trabalhando em conjunto:

Função Componente Responsabilidade
Suplicante Dispositivo cliente (laptop, smartphone) Apresenta credenciais para solicitar acesso à rede
Autenticador Ponto de Acesso WiFi ou Controladora Aplica o controle de acesso; retransmite mensagens EAP
Servidor de Autenticação Servidor RADIUS Valida credenciais; retorna atributos de aceitação/rejeição e política

Quando um suplicante se associa a um ponto de acesso, o AP bloqueia todo o tráfego de dados, exceto as mensagens EAP (Extensible Authentication Protocol). O AP encapsula essas mensagens EAP em pacotes RADIUS e as encaminha para o servidor RADIUS. O servidor verifica as credenciais em um banco de dados de back-end — normalmente LDAP ou Active Directory — e retorna uma mensagem Access-Accept ou Access-Reject. Se aceito, o AP desbloqueia a porta e o tráfego do cliente flui livremente.

architecture_overview.png

Escolhendo um Método EAP

A segurança da sua implantação RADIUS depende muito do método EAP selecionado. Os dois mais predominantes em implantações corporativas são: EAP-TLS (Transport Layer Security) é o padrão ouro. Ele exige certificados digitais tanto no servidor RADIUS quanto em cada dispositivo cliente, eliminando completamente as senhas. Mesmo que um invasor capture a troca de autenticação completa, não há credenciais para extrair. O contraponto é a sobrecarga administrativa: implantar e gerenciar certificados de cliente requer uma Infraestrutura de Chaves Públicas (ICP) em funcionamento e uma solução de MDM (por exemplo, Microsoft Intune, Jamf) para distribuir os certificados aos endpoints.

PEAP-MSCHAPv2 (PEAP Protegido) é o método mais amplamente implantado na prática. Ele usa um certificado do lado do servidor para estabelecer um túnel TLS criptografado, dentro do qual o cliente se autentica com um nome de usuário e senha. Isso é significativamente mais fácil de implantar do que o EAP-TLS porque apenas um certificado — o do servidor — precisa ser gerenciado. No entanto, traz uma ressalva crítica: se os dispositivos clientes não forem configurados explicitamente para validar o certificado do servidor RADIUS, eles ficarão vulneráveis a ataques de Man-in-the-Middle (MitM) por meio de pontos de acesso falsos.

> Nota de Segurança Crítica: Deixar de impor uma validação estrita de certificado nos dispositivos clientes anula efetivamente os benefícios de segurança do PEAP-MSCHAPv2. Um invasor pode implantar um AP falso, apresentar um certificado fraudulento e capturar as credenciais do usuário em texto simples. Isso não é um risco teórico — é um vetor de ataque bem documentado que tem sido explorado em ambientes reais.

Guia de Implementação

Passo 1: Decisão Arquitetônica — RADIUS On-Premise vs. Cloud

A primeira decisão é onde hospedar a infraestrutura RADIUS. Esta é principalmente uma questão operacional e de custo, não de segurança — ambos os modelos podem ser implantados de forma segura.

comparison_chart.png

RADIUS On-Premise (por exemplo, Microsoft NPS, FreeRADIUS, Cisco ISE) é adequado para organizações com equipe de TI dedicada, infraestrutura de diretório local existente e requisitos rigorosos de soberania de dados ou conformidade. Ele não depende de conectividade com a internet para autenticação, o que é uma vantagem significativa para ambientes onde o tempo de atividade da internet não pode ser garantido.

Cloud RADIUS é cada vez mais o modelo preferido para ambientes distribuídos — redes de Varejo , grupos de Hospitalidade e hubs de Transporte onde a implantação de servidores em cada local é operacionalmente inviável. O Cloud RADIUS integra-se nativamente com provedores de identidade em nuvem (Azure AD, Google Workspace, Okta) e oferece alta disponibilidade integrada e escalabilidade global.

Passo 2: Instalar e Configurar o Servidor RADIUS

Para uma implantação on-premise usando o Microsoft NPS (a escolha mais comum em ambientes centrados em Windows):

  1. Instale a função de Servidor de Políticas de Rede (NPS) através do Gerenciador de Servidores.
  2. Registre o servidor NPS no Active Directory para permitir que ele leia as propriedades de discagem do usuário.
  3. Crie uma entrada de Cliente RADIUS para cada ponto de acesso ou controladora sem fio, especificando o endereço IP do AP e um Shared Secret forte e exclusivo.
  4. Configure uma Política de Rede definindo as condições (ex: associação a grupos de usuários) e restrições (ex: método EAP, tempo limite da sessão) para o acesso.
  5. Configure a Política de Solicitação de Conexão para processar as solicitações localmente.

Para FreeRADIUS no Linux:

  1. Instale via gerenciador de pacotes: sudo apt-get install freeradius freeradius-ldap.
  2. Configure /etc/freeradius/3.0/clients.conf para definir os clientes RADIUS (APs) e seus secrets compartilhados.
  3. Configure o módulo LDAP em /etc/freeradius/3.0/mods-available/ldap para apontar para o seu Active Directory ou servidor LDAP.
  4. Habilite o módulo LDAP: sudo ln -s /etc/freeradius/3.0/mods-available/ldap /etc/freeradius/3.0/mods-enabled/.
  5. Defina os métodos EAP em /etc/freeradius/3.0/mods-available/eap.

Passo 3: Configurar os Pontos de Acesso

Na sua controladora sem fio ou nos pontos de acesso individuais:

  1. Defina o(s) endereço(s) IP do servidor RADIUS e a porta de autenticação (padrão: UDP 1812).
  2. Configure o Shared Secret — use no mínimo 22 caracteres, mesclando caracteres alfanuméricos e especiais. Use um secret exclusivo por local ou grupo de APs.
  3. Configure o SSID para usar o modo de segurança WPA2-Enterprise ou WPA3-Enterprise com gerenciamento de chaves 802.1X.
  4. Configure um servidor RADIUS secundário para failover.

Passo 4: Integração de Diretório

Para integração com AD local, o servidor RADIUS deve estar associado ao domínio ou ter acesso de leitura LDAP. Certifique-se de que as contas de serviço usadas para vinculação LDAP tenham as permissões mínimas necessárias. Para RADIUS em nuvem, configure a sincronização baseada em API ou a integração SAML/OIDC com seu IdP.

Defina grupos de usuários claros em seu diretório, pois eles direcionarão as políticas de autorização. Estrutura de grupo recomendada:

Grupo VLAN Nível de Acesso
Corp_Staff VLAN 10 Rede interna total
Corp_Contractors VLAN 20 Internet + recursos internos específicos
Corp_IoT VLAN 30 Isolado, apenas portas específicas do dispositivo
Corp_Guests VLAN 100 Apenas internet via Captive Portal

Passo 5: Configuração do Cliente e Validação de Certificado

Este é o passo operacionalmente mais crítico. Use a Diretiva de Grupo (GPO) para Windows e perfis MDM para macOS/iOS/Android para enviar silenciosamente as configurações de WiFi para os dispositivos gerenciados. O perfil deve especificar:

  • A CA Raiz que emitiu o certificado do servidor RADIUS.
  • O nome do servidor esperado (CN ou SAN do certificado do servidor).
  • O método EAP e o protocolo de autenticação interna.

Para dispositivos BYOD não gerenciados, forneça instruções claras de autoatendimento para integração, idealmente por meio de um portal de Controle de Acesso à Rede (NAC).

Passo 6: Implementar Atribuição Dinâmica de VLAN

Configure o servidor RADIUS para retornar os atributos de atribuição de VLAN na resposta Access-Accept:

  • Tunnel-Type = VLAN (13)
  • Tunnel-Medium-Type = IEEE-802 (6)
  • Tunnel-Private-Group-Id = ``

O ponto de acesso lê esses atributos e coloca o cliente autenticado na VLAN especificada — sem a necessidade de reconfiguração manual à medida que os usuários mudam de função ou local.

Melhores Práticas

A redundância é inegociável. Implante no mínimo dois servidores RADIUS (primário e secundário) e configure todos os pontos de acesso para failover automático. Para implantações locais (on-premise), considere colocar o servidor secundário em um local físico ou zona de disponibilidade diferente. Uma interrupção do RADIUS significa que ninguém pode se autenticar, o que representa uma queda total de rede para SSIDs protegidos por 802.1X.

Monitore a expiração de certificados proativamente. A expiração do certificado do servidor RADIUS é uma das causas mais comuns de falhas de autenticação repentinas e generalizadas. Implemente o monitoramento para alertar os administradores pelo menos 30 dias antes da expiração. Isso se aplica tanto ao certificado do servidor quanto a quaisquer certificados de CA intermediária na cadeia.

Trate o Segredo Compartilhado como uma credencial crítica. O segredo compartilhado entre o AP e o servidor RADIUS criptografa os pacotes RADIUS. Use segredos exclusivos por local ou grupo de APs, armazene-os em um gerenciador de segredos e faça a rotação periodicamente. Consulte nosso guia sobre Proteja sua Rede com DNS Forte e Segurança para recomendações mais amplas de higiene de segurança de rede.

Alinhe-se com frameworks de conformidade. Para ambientes sujeitos ao PCI DSS (por exemplo, redes de pagamento de varejo), a autenticação 802.1X oferece suporte direto aos requisitos de controle de acesso à rede e registro de auditoria. Para conformidade com a GDPR, os logs de contabilidade do RADIUS (porta 1813) fornecem uma trilha de auditoria detalhada de quem acessou a rede, de onde e quando — valiosa para resposta a incidentes. Para ambientes de Saúde , a segmentação de rede via atribuição dinâmica de VLAN oferece suporte aos requisitos da HIPAA para proteger informações eletrônicas de saúde protegidas (ePHI).

Resolução de Problemas e Mitigação de Riscos

Modo de Falha Sintoma Resolução
Expiração de certificado Falhas repentinas de autenticação em massa Monitorar expiração; renovar e implantar novamente o certificado
Dessincronização de NTP Falhas intermitentes de EAP-TLS Garantir que o servidor RADIUS e os DCs sincronizem com a mesma fonte NTP
Perda de conectividade LDAP A autenticação falha quando o AD está inacessível Implantar DCs redundantes; configurar o RADIUS para armazenar em cache autenticações recentes
Segredo Compartilhado Incorreto Logs do AP mostram RADIUS timeout ou Bad authenticator Verificar se o segredo coincide tanto no AP quanto no servidor RADIUS
Incompatibilidade de certificado do cliente Falhas de EAP-TLS para dispositivos específicos Verificar se o certificado do cliente foi emitido por uma CA confiável; verificar o período de validade do certificado
VLAN não atribuída Usuário autenticado, mas no segmento de rede errado Verificar se os atributos do RADIUS são retornados corretamente; verificar a configuração de VLAN do AP

For a deeper dive into the 802.1X configuration process itself, the How to Configure 802.1X WiFi Authentication: A Step-by-Step Guide provides granular, vendor-specific configuration walkthroughs.

ROI & Impacto nos Negócios

A transição de PSK para 802.1X baseado em RADIUS exige um investimento inicial em configuração e, potencialmente, licenciamento para soluções em nuvem ou hardware para implantações locais. O caso de ROI é direto:

Mitigação de riscos: O custo médio de uma violação de dados no Reino Unido ultrapassa os £3 milhões (Relatório do Custo de uma Violação de Dados da IBM). Uma PSK comprometida pode expor toda a rede. O 802.1X limita o raio de impacto a uma única conta de usuário comprometida, que pode ser desativada em segundos por meio do diretório.

Eficiência operacional: A atribuição dinâmica de VLAN elimina a reconfiguração manual da rede conforme os funcionários mudam de função. Integrar um novo funcionário significa adicioná-lo ao grupo correto do AD — o acesso à rede é concedido de forma automática.

Postura de conformidade: Para organizações sujeitas a PCI DSS, ISO 27001 ou Cyber Essentials Plus, o 802.1X é um controle direto que os auditores esperam ver. Implementá-lo fortalece sua postura de conformidade e reduz os custos de remediação de auditoria.

Experiência do visitante e análise de dados: Para operadores de locais físicos, a integração do RADIUS para autenticação de funcionários com a plataforma Guest WiFi da Purple cria um modelo de acesso unificado e em camadas. Os funcionários se autenticam silenciosamente via 802.1X; os visitantes se conectam por meio de um Captive Portal personalizado. A plataforma WiFi Analytics da Purple fornece visibilidade em tempo real sobre o tempo de permanência dos visitantes, taxas de retorno e métricas de engajamento — dados que influenciam diretamente nos investimentos de marketing e nas decisões operacionais do local.

For further reading, see the Como Configurar a Autenticação 802.1X WiFi: Um Guia Passo a Passo for Portuguese-language implementation guidance, and What Is a Leased Line? Dedicated Business Internet for guidance on ensuring the underlying connectivity meets enterprise requirements.

Definições principais

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilidade (AAA) para usuários que se conectam a um serviço de rede. Definido na RFC 2865.

O componente principal do servidor que valida as credenciais do usuário em um diretório antes de conceder acesso ao WiFi. Toda implantação de WiFi corporativo usando 802.1X requer um servidor RADIUS.

802.1X

Um padrão IEEE para Controle de Acesso à Rede baseado em porta (PNAC). Ele fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN, bloqueando todo o tráfego não-EAP até que a autenticação seja bem-sucedida.

A estrutura padrão abrangente que define como o Supplicant, o Authenticator e o Servidor de Autenticação se comunicam. Quando as equipes de TI se referem à "segurança de WiFi corporativo", geralmente se referem ao WPA2/WPA3-Enterprise com 802.1X.

Supplicant

O dispositivo cliente — ou, mais precisamente, a pilha de software 802.1X nesse dispositivo — que inicia o processo de autenticação apresentando as credenciais à rede.

No Windows, o supplicant integrado é o serviço Wireless AutoConfig. No macOS e iOS, ele é nativo do sistema operacional. Garantir que o supplicant esteja configurado corretamente (especialmente para validação de certificados) é a fonte mais comum de problemas de implantação.

Authenticator

O dispositivo de rede — normalmente um ponto de acesso WiFi ou controlador sem fio — que atua como intermediário entre o Supplicant e o servidor RADIUS, aplicando o controle de acesso com base no resultado da autenticação.

O AP bloqueia todo o tráfego de dados na porta até receber um Access-Accept do servidor RADIUS. Ele também lê os atributos do RADIUS (por exemplo, atribuição de VLAN) da resposta Access-Accept e os aplica à sessão.

EAP (Extensible Authentication Protocol)

Uma estrutura de autenticação definida na RFC 3748 que fornece um mecanismo de transporte padronizado para vários métodos de autenticação (TLS, PEAP, TTLS, etc.) entre o Supplicant e o Servidor de Autenticação.

O EAP é o "idioma" falado entre o cliente e o servidor RADIUS. A escolha do método EAP (EAP-TLS vs PEAP) determina a força de segurança e a complexidade de implantação do sistema de autenticação.

PEAP (Protected EAP)

Um método EAP que primeiro estabelece um túnel TLS usando o certificado do servidor e, em seguida, executa uma autenticação secundária (normalmente MSCHAPv2 com nome de usuário/senha) dentro desse túnel criptografado.

O método de autenticação de WiFi corporativo mais comum devido ao seu equilíbrio entre segurança e simplicidade de implantação. Requer apenas um certificado do lado do servidor, tornando-o muito mais fácil de implantar do que o EAP-TLS.

Dynamic VLAN Assignment

Um recurso do RADIUS no qual o servidor inclui atributos específicos de VLAN (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-Id) na resposta Access-Accept, instruindo o AP a colocar o cliente autenticado em uma VLAN específica.

Permite que um único SSID atenda a várias populações de usuários com diferentes requisitos de segurança. Elimina a necessidade de transmitir múltiplos SSIDs para diferentes grupos de usuários, reduzindo a sobrecarga de RF e simplificando a experiência do usuário.

Shared Secret

Uma string de texto pré-configurada conhecida apenas pelo Authenticator (AP) e pelo servidor RADIUS, usada para assinar e criptografar pacotes RADIUS, garantindo a integridade e a autenticidade da comunicação.

Um elemento crítico de configuração de segurança. Se o shared secret for fraco ou estiver comprometido, um invasor poderá forjar respostas Access-Accept do RADIUS, concedendo acesso não autorizado à rede. Use segredos exclusivos por local e armazene-os em um gerenciador de segredos.

MAC Authentication Bypass (MAB)

Um mecanismo de autenticação alternativo em que o endereço MAC de um dispositivo é usado como sua credencial de identidade, permitindo o acesso à rede para dispositivos que não suportam supplicants 802.1X.

Usado para dispositivos headless (impressoras, sensores de IoT, câmeras IP). Como os endereços MAC são visíveis publicamente e fáceis de falsificar, o MAB fornece identificação de dispositivo em vez de uma autenticação forte. Sempre combine com atribuição restritiva de VLAN.

Exemplos práticos

Uma rede varejista nacional com 500 lojas precisa implementar WiFi seguro para os tablets dos gerentes de loja e terminais de PDV. Atualmente, eles usam uma única PSK em todas as lojas, que é frequentemente compartilhada com funcionários e prestadores de serviço não autorizados. Eles utilizam o Azure AD para gestão de identidade e não possuem equipe de TI dedicada nas filiais.

Implantar uma solução de Cloud RADIUS integrada diretamente com o Azure AD. Isso elimina a necessidade de implantar e gerenciar servidores RADIUS locais em 500 filiais. A equipe de TI usa o Microsoft Intune para distribuir um perfil de WiFi para todos os tablets dos gerentes e terminais de PDV configurados para PEAP-MSCHAPv2, exigindo estritamente a validação do certificado do servidor Cloud RADIUS. A política do Cloud RADIUS verifica a associação do usuário aos grupos do Azure AD antes de conceder o acesso: o grupo 'Store_Managers' recebe a VLAN 10 (acesso total ao PDV e back-office), o grupo 'Contractors' recebe a VLAN 20 (apenas internet). Quando o contrato de um prestador de serviço termina, sua remoção do grupo do Azure AD revoga imediatamente o seu acesso WiFi em todas as 500 lojas simultaneamente — sem a necessidade de alterar a PSK.

Comentário do examinador: Esta abordagem resolve a vulnerabilidade principal (PSK compartilhada) ao mesmo tempo que respeita as restrições operacionais (ausência de equipe de TI nas filiais, ambiente Azure AD). O Cloud RADIUS oferece a escalabilidade necessária e se integra nativamente com o provedor de identidade existente. O uso de atribuição dinâmica de VLAN garante que, mesmo que o dispositivo de um prestador de serviço esteja no local após o término do contrato, removê-lo do grupo do diretório é a única ação necessária para revogar o acesso.

Um hotel de 400 quartos no centro da cidade precisa fornecer WiFi seguro tanto para a equipe (recepção, governança, gerência) quanto para os hóspedes. A equipe precisa de acesso ao sistema de gestão hoteleira (PMS) e aos servidores internos. Os hóspedes precisam apenas de acesso à internet. O hotel possui um único ambiente local Windows Server.

Implantar o Microsoft NPS em uma VM Windows Server dedicada. Configurar dois SSIDs na infraestrutura sem fio: 'Hotel_Staff' (WPA2-Enterprise, 802.1X) e 'Hotel_Guest' (aberto ou WPA2-Personal, redirecionando para um Captive Portal). Para o SSID da equipe, o NPS valida as credenciais no Active Directory e retorna atribuições dinâmicas de VLAN: grupo 'Management' do AD → VLAN 10 (acesso total), 'FrontDesk' → VLAN 20 (acesso ao PMS), 'Housekeeping' → VLAN 30 (apenas internet + app de escala). Para os hóspedes, integre o Captive Portal com a plataforma Guest WiFi da Purple para fornecer uma experiência de login personalizada com a marca, coletar dados primários (e-mail, consentimento de marketing) e obter análises sobre tempo de permanência e visitas recorrentes. O modelo de dois SSIDs mantém o tráfego de funcionários e hóspedes completamente separado na camada de rede.

Comentário do examinador: O modelo de dois SSIDs é a abordagem correta neste caso, em vez de um único SSID com roteamento de políticas complexo. Ele oferece uma separação operacional clara e simplifica a resolução de problemas. Integrar a Purple para o SSID de hóspedes é a decisão comercial mais inteligente: transforma a rede de hóspedes de um centro de custo em um canal de captura de dados e marketing, com ROI mensurável por meio de taxas de retorno e engajamento em campanhas de e-mail marketing.

Questões práticas

Q1. Sua organização está migrando 2.000 notebooks Windows de uma PSK compartilhada para 802.1X com PEAP-MSCHAPv2. Sua equipe de segurança alerta que o PEAP é vulnerável à coleta de credenciais por meio de access points invasores. Qual é a etapa de configuração única mais importante para mitigar esse risco e como você a implanta em escala?

Dica: Considere o que impede um cliente de confiar em um servidor RADIUS fraudulento que apresenta um certificado autoassinado.

Ver resposta modelo

A etapa crítica é impor a validação estrita do certificado do servidor em cada dispositivo cliente. Usando Objetos de Diretiva de Grupo (GPO), envie um perfil de WiFi para todos os 2.000 notebooks especificando: (1) o certificado da CA Raiz exato que emitiu o certificado do servidor RADIUS, (2) o nome do servidor esperado (CN/SAN) e (3) que o cliente não deve solicitar ao usuário que confie em novos certificados. Isso garante que, mesmo que um invasor implante um AP invasor com um certificado fraudulento, o cliente rejeitará o handshake TLS e se recusará a enviar credenciais. Sem essa configuração, o PEAP não oferece proteção significativa contra ataques de AP invasor.

Q2. Um diretor de TI de um hospital precisa fornecer acesso à rede para 300 dispositivos IoT médicos (bombas de infusão, equipamentos de monitoramento) que não suportam 802.1X. Esses dispositivos ficam ao lado das estações de trabalho da equipe na mesma infraestrutura sem fio. Como a infraestrutura RADIUS deve lidar com esses dispositivos e quais controles de rede devem estar em vigor?

Dica: Pense no método de autenticação disponível para dispositivos sem interface de usuário (headless) e como compensar sua fraqueza inerente.

Ver resposta modelo

Configure o MAC Authentication Bypass (MAB) no servidor RADIUS para esses dispositivos específicos. Registre o endereço MAC de cada dispositivo em um grupo dedicado do Active Directory ou banco de dados RADIUS. Como os endereços MAC são facilmente falsificados, o servidor RADIUS deve usar a Atribuição Dinâmica de VLAN para colocar todos os dispositivos autenticados por MAB em uma VLAN dedicada e altamente restrita (por exemplo, VLAN 30 - IoT). Essa VLAN deve ser protegida por firewall para permitir a comunicação apenas com endereços IP de servidores médicos específicos e bloquear todo o outro tráfego, incluindo acesso à internet e movimento lateral para as VLANs da equipe. As estações de trabalho da equipe autenticam-se via 802.1X e são colocadas em uma VLAN separada. Essa arquitetura atende aos requisitos de segmentação de rede da HIPAA para dispositivos adjacentes a ePHI.

Q3. Você é o arquiteto de rede de uma rede de restaurantes com 50 locais. A autenticação está funcionando corretamente em 49 locais usando Cloud RADIUS, mas um local específico relata que todos os dispositivos falham ao autenticar. O portal de gerenciamento do Cloud RADIUS mostra zero solicitações de autenticação vindas daquele local. Qual é a sua abordagem de diagnóstico?

Dica: Se o servidor RADIUS não estiver recebendo nenhuma solicitação, o problema está no caminho de comunicação entre o Autenticador e o servidor — não na lógica de autenticação em si.

Ver resposta modelo

Como o servidor RADIUS está recebendo zero solicitações desse local, a falha está entre os access points e o servidor Cloud RADIUS. Etapas de diagnóstico em ordem: (1) Verifique o endereço IP do servidor RADIUS e a porta (UDP 1812) configurados nos APs ou controladora sem fio do local — um erro de digitação aqui é a causa mais comum. (2) Verifique as regras de firewall ou roteador local naquele local para confirmar se o tráfego UDP 1812 de saída é permitido para a faixa de IP do Cloud RADIUS. (3) Verifique se o Segredo Compartilhado (Shared Secret) configurado nos APs coincide com o segredo configurado para aquele local no portal Cloud RADIUS — uma divergência faz com que o servidor RADIUS descarte os pacotes silenciosamente. (4) Verifique se a conexão de internet do local está funcionando — o Cloud RADIUS requer conectividade de internet confiável. Executar uma captura de pacotes no AP ou no roteador upstream confirmará se os pacotes RADIUS estão sendo enviados e se as respostas estão sendo recebidas.

Continue a ler esta série

Per-Device PSK por Vendor: Comparativo de iPSK, DPSK, MPSK e PPSK (e Suporte a WPA3)

Uma comparação abrangente das implementações de PSK por dispositivo no Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet e Ubiquiti UniFi. Saiba como o WPA3-SAE impacta as estratégias de chaves por dispositivo e quando implantar modos de transição em vez de migrar para o 802.1X.

Ler o guia →

Métodos de Autenticação de Captive Portal Comparados

Este guia de referência técnica definitivo avalia as compensações arquitetônicas, operacionais e de conformidade de cinco métodos principais de autenticação de captive portal. Ele fornece a arquitetos de rede, diretores de TI e gerentes de marketing os dados quantitativos e as estruturas de decisão necessários para equilibrar a fricção no onboarding de convidados com os requisitos de coleta de dados em locais corporativos.

Ler o guia →

O que é autenticação por endereço MAC? Quando usar e quando evitar

Este guia de referência técnica abrangente aborda a autenticação por endereço MAC em ambientes de WiFi corporativos — como a autenticação MAC baseada em RADIUS funciona na Camada 2, suas vulnerabilidades de segurança inerentes (incluindo spoofing de MAC e o impacto da randomização de MAC no nível do SO) e os contextos operacionais precisos onde ela continua sendo uma ferramenta válida para gerenciar IoT e dispositivos headless. Ele fornece orientações de implantação práticas para gerentes de TI e arquitetos de rede em setores como hotelaria, varejo, saúde e locais públicos, com exemplos práticos reais, estruturas de decisão e contexto de integração para a plataforma de guest WiFi e analytics da Purple.

Ler o guia →