Pular para o conteúdo principal
Português (Brasil)

Como Configurar WPA2-Enterprise em Plataformas de Access Point Comuns (Cisco, Aruba, Ubiquiti)

Este guia de referência técnica fornece a profissionais de TI seniores e arquitetos de rede um passo a passo definitivo e específico de cada fornecedor para implantar WPA2-Enterprise em plataformas Cisco, Aruba e Ubiquiti. Ele detalha a arquitetura, integração com RADIUS, requisitos de conformidade e cenários reais de implantação em ambientes corporativos e locais de grande circulação.

📖 6 min de leitura📝 1,309 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Como Configurar WPA2-Enterprise em Plataformas de Access Point Comuns — Cisco, Aruba e Ubiquiti Um Informativo de Inteligência Purple WiFi [INTRO — aproximadamente 1 minuto] Bem-vindo à Série de Inteligência Purple WiFi. Eu sou o seu anfitrião e hoje vamos direto ao ponto em um dos tópicos mais solicitados pelos nossos clientes corporativos: como configurar o WPA2-Enterprise nas três plataformas de access point mais implantadas — Cisco, Aruba e Ubiquiti. Seja você o diretor de TI de um grupo de hotéis de 500 quartos, o arquiteto de rede de uma rede de varejo nacional ou o CTO de uma operadora de centro de convenções, este informativo é para você. Não vamos cobrir teoria apenas por cobrir. Vamos analisar o que você precisa saber para tomar uma decisão de implantação, executá-la corretamente e evitar as armadilhas que atrapalham até mesmo equipes experientes. Vamos começar. [DEEP-DIVE TÉCNICO — aproximadamente 5 minutos] Primeiro, um rápido alinhamento sobre o que o WPA2-Enterprise realmente é, porque ainda há uma quantidade surpreendente de confusão no mercado entre WPA2-Personal e WPA2-Enterprise — e a distinção importa enormemente para a postura de conformidade e risco. O WPA2-Personal — a versão com a qual a maioria das pessoas está familiarizada — usa uma única chave pré-compartilhada. Todos na rede usam a mesma senha. Isso funciona bem para uma rede doméstica. Mas categoricamente não é aceitável para um ambiente de negócios onde você precisa de autenticação por usuário, trilhas de auditoria e a capacidade de revogar o acesso instantaneamente. O WPA2-Enterprise, definido sob o IEEE 802.1X, substitui essa chave compartilhada por uma troca de autenticação individual. Cada usuário ou dispositivo apresenta suas próprias credenciais — seja um nome de usuário e senha, um certificado digital ou um token — e essas credenciais são validadas por um servidor RADIUS antes que o acesso à rede seja concedido. O access point em si nunca vê as credenciais. Ele atua puramente como um autenticador, passando a troca EAP — Extensible Authentication Protocol — entre o cliente e o servidor RADIUS. Esta é uma arquitetura fundamentalmente mais segura e é o requisito básico para a conformidade com o PCI DSS em qualquer ambiente que lide com dados de cartões de pagamento, além de ser fortemente recomendada sob a GDPR para organizações que processam dados pessoais em redes sem fio. Agora, vamos falar sobre as três plataformas. Começando com a Cisco. O portfólio de WiFi corporativo da Cisco — principalmente as linhas Catalyst e Meraki — é a escolha tradicional para implantações em larga escala. O Cisco DNA Center fornece gerenciamento centralizado de políticas, e o painel do Meraki oferece a simplicidade do gerenciamento em nuvem para propriedades distribuídas. Para configurar o WPA2-Enterprise em um access point Cisco Catalyst, você trabalhará por meio do WLC — Wireless LAN Controller — ou do DNA Center. As etapas principais são: definir seu servidor RADIUS em Security, depois AAA, depois RADIUS Authentication Servers; criar um novo perfil de WLAN; definir a política de segurança como WPA2 com 802.1X como o método de gerenciamento de chaves; e vincular o servidor RADIUS a essa WLAN. Um ponto crítico na Cisco: certifique-se de configurar o RADIUS accounting, bem como a autenticação. O accounting fornece a trilha de auditoria por sessão que as estruturas de conformidade exigem. No Meraki, o processo é ainda mais simples — navegue até Wireless, depois SSIDs, selecione o SSID de destino, defina a segurança como WPA2-Enterprise com meu servidor RADIUS e insira o IP do servidor RADIUS, a porta — normalmente 1812 para autenticação e 1813 para accounting — e o segredo compartilhado. O Meraki também suporta testes de RADIUS diretamente do painel, o que é inestimável durante o comissionamento. Passando para a Aruba. A Aruba Networks, agora parte da HPE, é a escolha dominante em hotelaria e ensino superior. O Aruba Central fornece gerenciamento em nuvem, e o ArubaOS é a plataforma subjacente. Na Aruba, a configuração do WPA2-Enterprise reside no perfil do SSID. Você definirá um perfil AAA que faz referência ao seu servidor RADIUS e, em seguida, anexará esse perfil AAA ao seu perfil de AP virtual. O Aruba ClearPass Policy Manager merece uma menção específica aqui — é o mecanismo de RADIUS e políticas próprio da Aruba, e adiciona recursos significativos em termos de perfil de dispositivos, controle de acesso baseado em funções e integração de convidados. Se você estiver executando um ambiente misto com funcionários, prestadores de serviços e convidados, todos se conectando à mesma infraestrutura, o ClearPass oferece a granularidade de política para segmentá-los adequadamente. Para um hotel que implanta WPA2-Enterprise nas redes de funcionários e internas enquanto executa uma solução de WiFi de convidados separada por meio de uma plataforma como a Purple, a segmentação de SSID da Aruba combinada com o ClearPass para autenticação de funcionários é uma arquitetura muito limpa. Agora, a Ubiquiti. A plataforma UniFi da Ubiquiti ganhou força significativa no espaço de PMEs e no mercado intermediário — e cada vez mais em hotéis boutique e varejo — devido ao seu preço competitivo e interface de gerenciamento genuinamente capaz. O UniFi Network Controller é onde você fará o trabalho pesado. Para configurar o WPA2-Enterprise no UniFi, navegue até Settings, depois WiFi, crie ou edite seu SSID, defina a segurança como WPA2 Enterprise e configure seu perfil de RADIUS — novamente, endereço IP, porta de autenticação 1812, porta de accounting 1813 e segredo compartilhado. Uma consideração importante com a Ubiquiti: ela não vem com um servidor RADIUS integrado da mesma forma que algumas plataformas corporativas. Você precisará de um servidor RADIUS externo — seja o Windows Server NPS, FreeRADIUS ou um serviço de RADIUS na nuvem. Isso não é uma limitação por si só, mas é uma dependência que precisa ser planejada. Para implantações menores, o UniFi Network Application inclui um servidor RADIUS básico, mas para ambientes de produção eu sempre recomendaria uma instância de RADIUS dedicada. Em todas as três plataformas, a seleção do método EAP merece atenção. O PEAP com MSCHAPv2 é o método mais amplamente implantado porque funciona com credenciais do Active Directory sem exigir certificados no lado do cliente. O EAP-TLS é mais seguro — usa autenticação mútua por certificado — mas exige uma infraestrutura de PKI e implantação de certificados em cada dispositivo cliente, o que adiciona sobrecarga operacional. Para a maioria das implantações corporativas, o PEAP-MSCHAPv2 com um servidor RADIUS configurado corretamente e validação de certificado no lado do cliente é o equilíbrio certo entre segurança e capacidade de gerenciamento operacional. [RECOMENDAÇÕES DE IMPLANTAÇÃO E ARMADILHAS — aproximadamente 2 minutos] Agora, deixe-me apresentar os três modos de falha mais comuns que vejo em implantações de WPA2-Enterprise e como evitá-los. Número um: disponibilidade do servidor RADIUS. Seu servidor RADIUS agora está no caminho crítico para cada autenticação sem fio. Se ele cair, ninguém conseguirá se conectar. Isso significa que você precisa de redundância de RADIUS — no mínimo, um servidor RADIUS primário e secundário configurado em cada access point. A maioria das plataformas suporta isso nativamente. Na Cisco, você pode configurar grupos de servidores RADIUS com failover. Na Aruba, o perfil AAA suporta múltiplos servidores RADIUS com valores configuráveis de repetição e tempo limite. No Ubiquiti, você pode especificar um servidor RADIUS secundário no perfil de RADIUS. Não pule esta etapa. Número dois: validação de certificado. Uma proporção assustadoramente alta de implantações que analiso tem dispositivos clientes configurados para aceitar qualquer certificado de servidor RADIUS. Isso compromete totalmente o modelo de segurança — abrindo margem para ataques de evil twin, onde um access point invasor se passa pela sua rede e coleta credenciais. Configure o certificado do seu servidor RADIUS a partir de uma CA confiável e configure seus supplicants clientes para validar esse certificado. No Windows, isso é feito por meio de Diretiva de Grupo. No iOS e Android, é gerenciado por meio de perfis de MDM. Isso é inegociável para qualquer ambiente que lide com dados confidenciais. Número três: atribuição de VLAN. O WPA2-Enterprise permite a atribuição dinâmica de VLAN — o servidor RADIUS pode retornar um atributo de VLAN na mensagem Access-Accept, colocando cada usuário autenticado no segmento de rede apropriado com base em sua identidade ou função. Este é um dos recursos mais poderosos da arquitetura 802.1X e frequentemente é deixado sem configuração. Se você gerencia um local com funcionários, gerência e dispositivos IoT na mesma infraestrutura física, a atribuição dinâmica de VLAN é como você aplica a segmentação de rede sem gerenciar múltiplos SSIDs. Do lado da integração com a Purple: se você estiver implantando o WPA2-Enterprise para suas redes corporativas e operacionais, e executando a plataforma de WiFi de convidados da Purple para conectividade de visitantes, esses dois sistemas coexistem perfeitamente. A Purple lida com a autenticação de convidados, captura de dados e camada de analytics — incluindo o WiFi analytics e inteligência de fluxo de visitantes que os operadores de locais usam para decisões operacionais — enquanto sua infraestrutura WPA2-Enterprise protege a rede corporativa. A chave é uma separação limpa de SSID e VLAN no nível do access point, o que as três plataformas suportam. [PERGUNTAS E RESPOSTAS RÁPIDAS — aproximadamente 1 minuto] Deixe-me passar por algumas perguntas que surgem regularmente. Posso executar o WPA2-Enterprise e uma rede de convidados nos mesmos access points? Sim, com certeza. Todas as três plataformas suportam múltiplos SSIDs por rádio, cada um com políticas de segurança independentes. Seu SSID corporativo executa o WPA2-Enterprise; seu SSID de convidados pode ser executado por meio do captive portal da Purple com o isolamento apropriado. Preciso substituir meus access points existentes para implantar o WPA2-Enterprise? Quase certamente não. O WPA2-Enterprise é suportado em access points de classe corporativa há mais de uma década. Se o seu hardware tiver menos de oito anos e estiver executando o firmware atual, ele suportará o 802.1X. Qual é a diferença entre WPA2-Enterprise e WPA3-Enterprise? O WPA3-Enterprise adiciona o modo de segurança de 192 bits usando criptografia Suite B, o que é relevante para ambientes governamentais e de defesa. Para a maioria das implantações comerciais, o WPA2-Enterprise com métodos EAP fortes continua sendo o padrão. Vale a pena planejar a transição para o WPA3 para novas implantações, mas não é uma migração urgente para a maioria das organizações. O RADIUS na nuvem é uma opção viável? Sim, e cada vez mais. Serviços como o Cisco ISE na nuvem, Aruba ClearPass como serviço ou opções de terceiros como JumpCloud e Foxpass fornecem RADIUS como um serviço gerenciado, o que elimina a sobrecarga de infraestrutura. Para propriedades distribuídas — pense em uma rede de varejo com 200 locais — o RADIUS na nuvem pode reduzir significativamente a complexidade operacional. [RESUMO E PRÓXIMOS PASSOS — aproximadamente 1 minuto] Para encerrar: o WPA2-Enterprise é a linha de base inegociável para qualquer implantação sem fio corporativa. O processo de configuração na Cisco, Aruba e Ubiquiti segue o mesmo padrão fundamental — definir seu servidor RADIUS, criar seu SSID com gerenciamento de chaves 802.1X, selecionar seu método EAP e testar antes de entrar em produção. As diferenças estão nas interfaces de gerenciamento e nas ferramentas do ecossistema em torno de cada plataforma. As três coisas que você precisa acertar: redundância de RADIUS, validação de certificado nos clientes e atribuição dinâmica de VLAN. Acerte essas três coisas e você terá uma postura de segurança sem fio sólida, em conformidade e auditável. Para os seus próximos passos: se você estiver avaliando plataformas, use a estrutura de comparação de fornecedores no guia complementar. Se estiver pronto para implantar, os passo a passos de configuração detalhados para cada plataforma estão na seção de implementação. E se você estiver pensando em como o WiFi de convidados se integra à sua rede corporativa, a documentação da plataforma Purple cobre a arquitetura de integração em detalhes. Obrigado por ouvir. Nos vemos no próximo informativo.

Resumo Executivo

A implantação do WPA2-Enterprise não é mais uma atualização de segurança opcional; é a linha de base fundamental para qualquer rede sem fio corporativa. Para gerentes de TI e arquitetos de rede que operam em ambientes de hotelaria, varejo e setor público, a transição de chaves pré-compartilhadas para a autenticação 802.1X é impulsionada por mandatos de conformidade rigorosos, incluindo PCI DSS e GDPR. Este guia de referência técnica fornece etapas de configuração acionáveis e específicas da plataforma para os três principais fornecedores de pontos de acesso: Cisco, Aruba e Ubiquiti.

Ao fazer a transição para o WPA2-Enterprise, as organizações eliminam os riscos associados a credenciais compartilhadas, obtêm trilhas de auditoria granulares por sessão e ativam a segmentação dinâmica de rede. Quando implementada corretamente, essa arquitetura não apenas protege o perímetro corporativo, mas também se integra perfeitamente com redes de visitantes gerenciadas por uma plataforma abrangente de Guest WiFi . As seções a seguir detalham a arquitetura técnica, as etapas de implantação e as estratégias de mitigação de risco necessárias para uma implementação bem-sucedida.

header_image.png

Visão Técnica Detalhada

O WPA2-Enterprise depende do padrão IEEE 802.1X para fornecer controle de acesso à rede baseado em porta. Ao contrário do WPA2-Personal, que usa uma Chave Pré-Compartilhada (PSK) estática, o WPA2-Enterprise exige que cada suplicante (dispositivo cliente) se autentique individualmente em um Servidor de Autenticação externo (normalmente um servidor RADIUS) antes que o acesso à rede seja concedido.

A arquitetura consiste em três componentes principais:

  1. O Suplicante: O dispositivo cliente que tenta se conectar à rede.
  2. O Autenticador: O ponto de acesso corporativo ou controlador de LAN sem fio (por exemplo, Cisco WLC, Aruba Mobility Controller) que facilita o processo de autenticação.
  3. O Servidor de Autenticação: O servidor RADIUS de backend (por exemplo, Cisco ISE, Aruba ClearPass, Windows NPS) que valida as credenciais em um serviço de diretório como Active Directory ou LDAP.

O Processo de Troca EAP

O processo de autenticação utiliza o Protocolo de Autenticação Extensível (EAP) encapsulado sobre LAN (EAPOL). O autenticador atua puramente como um proxy de passagem durante a fase inicial. Assim que o servidor RADIUS valida as credenciais, ele retorna uma mensagem Access-Accept para o autenticador, que então deriva as chaves de criptografia necessárias para proteger a sessão sem fio.

A escolha do método EAP é crítica. O PEAP-MSCHAPv2 é o método mais amplamente implantado, pois oferece suporte à autenticação de senha legada do Active Directory, ao mesmo tempo em que protege a troca dentro de um túnel TLS estabelecido pelo certificado do servidor. No entanto, para segurança máxima, o EAP-TLS é recomendado. O EAP-TLS exige autenticação mútua de certificados — tanto o servidor quanto o cliente devem apresentar certificados válidos —, o que mitiga o roubo de credenciais, mas exige uma infraestrutura de chave pública (PKI) robusta ou uma solução de gerenciamento de dispositivos móveis (MDM) para distribuição de certificados.

architecture_overview.png

Guia de Implementação

Os princípios fundamentais de configuração do WPA2-Enterprise são consistentes entre os fornecedores, mas a execução varia com base na interface de gerenciamento e no ecossistema.

vendor_comparison_chart.png

Cisco (Catalyst e Meraki)

Os ambientes Cisco normalmente variam de implantações em campus a redes corporativas distribuídas.

Cisco Catalyst (WLC/DNA Center):

  1. Definir Servidores RADIUS: Navegue até a guia Security, selecione AAA e configure os servidores RADIUS de Autenticação e Contabilização primários e secundários. Certifique-se de que o segredo compartilhado corresponda à configuração do servidor RADIUS.
  2. Criar Perfil de WLAN: Na guia WLANs, crie um novo perfil.
  3. Configurar Políticas de Segurança: Defina a Segurança de Camada 2 como WPA+WPA2 e ative o 802.1X como o método de Gerenciamento de Chaves de Autenticação (AKM).
  4. Vincular Servidores AAA: Mapeie os servidores RADIUS definidos anteriormente para o perfil de WLAN. Ative 'AAA Override' se a atribuição dinâmica de VLAN for necessária.

Cisco Meraki:

  1. Configuração de SSID: No painel do Meraki, navegue até Wireless > SSIDs e selecione a rede de destino.
  2. Controle de Acesso: Defina o requisito de associação como 'WPA2-Enterprise com meu servidor RADIUS'.
  3. Configurações de RADIUS: Insira os endereços IP, a porta de autenticação (normalmente 1812), a porta de contabilização (1813) e os segredos compartilhados para sua infraestrutura RADIUS. O painel do Meraki inclui uma ferramenta de teste integrada para verificar a conectividade do RADIUS antes da implantação.

Aruba Networks

A Aruba é a plataforma dominante em Hospitality e ensino superior, aproveitando fortemente seu ClearPass Policy Manager para controle de acesso avançado.

  1. Definir Perfil AAA: No Aruba Central ou na UI do Mobility Controller, crie um novo perfil AAA. Esse perfil dita como a autenticação é tratada.
  2. Configurar Grupo de Servidores RADIUS: Adicione seus servidores RADIUS a um grupo de servidores, especificando regras de failover e valores de tempo limite. Anexe este grupo ao perfil AAA.
  3. Configuração de AP Virtual: Crie ou modifique um perfil de AP Virtual (SSID). Defina o tipo de segurança como WPA2-Enterprise.
  4. Vincular Perfis: Vincule o perfil AAA ao perfil de AP Virtual. Se estiver usando o ClearPass, certifique-se de que a porta RADIUS CoA (Alteração de Autorização) (3799) seja permitida em quaisquer firewalls intermediários para permitir a aplicação dinâmica de políticas.

Ubiquiti (UniFi)

A Ubiquiti fornece uma solução econômica para ambientes de Retail e PMEs por meio do UniFi Network Controller.

  1. Perfil RADIUS Criação: Navegue até Configurações > Perfis > RADIUS. Crie um novo perfil com o endereço IP, portas (1812/1813) e o segredo compartilhado do seu servidor RADIUS externo.
  2. Configuração de SSID: Vá para Configurações > WiFi e crie uma nova rede sem fio.
  3. Configurações de Segurança: Selecione 'WPA2 Enterprise' como o protocolo de segurança e associe o perfil RADIUS recém-criado.
  4. Nota sobre a Infraestrutura RADIUS: Ao contrário de controladoras corporativas que podem oferecer RADIUS local sobrevivente, a UniFi depende fortemente de servidores externos (ex: FreeRADIUS, Windows NPS). Garanta uma conectividade confiável entre os APs UniFi e o backend RADIUS.

Melhores Práticas

Para garantir uma implantação resiliente e segura, os arquitetos de rede devem aderir a várias práticas recomendadas críticas:

  1. Exigir Validação de Certificado: Os dispositivos clientes devem ser configurados explicitamente para validar o certificado do servidor RADIUS em relação a uma Autoridade Certificadora (CA) confiável. Não fazer isso expõe a rede a ataques de 'Evil Twin', onde pontos de acesso falsos coletam credenciais de usuários.
  2. Implementar Redundância de RADIUS: O servidor RADIUS está no caminho crítico para o acesso à rede. Sempre configure servidores RADIUS primários e secundários. Em ambientes distribuídos, considere soluções RADIUS hospedadas na nuvem para alta disponibilidade.
  3. Aproveitar a Atribuição Dinâmica de VLAN: Use atributos RADIUS (ex: Tunnel-Pvt-Group-ID) para atribuir dinamicamente usuários a VLANs específicas com base em sua associação ao grupo do Active Directory. Isso impõe a segmentação de rede sem a necessidade de transmitir múltiplos SSIDs.
  4. Habilitar a Contabilização RADIUS: Não configure apenas a autenticação. A contabilização RADIUS (Porta 1813) é obrigatória para gerar as trilhas de auditoria exigidas pelas estruturas de conformidade.
  5. Proteger a Borda da Rede: Leia mais sobre como proteger sua infraestrutura em nosso guia sobre como Proteger sua Rede com DNS Forte e Segurança .

Solução de Problemas e Mitigação de Riscos

Mesmo com um planejamento cuidadoso, as implantações podem encontrar problemas. Os modos de falha comuns incluem:

  • Incompatibilidade de Segredo Compartilhado: Um simples erro de digitação no segredo compartilhado do RADIUS resultará em falhas silenciosas de autenticação. Verifique os segredos tanto no autenticador quanto no servidor RADIUS.
  • Erros de Sincronização de Tempo: A validação de certificado requer uma marcação de tempo precisa. Certifique-se de que todos os APs, controladoras e servidores RADIUS estejam sincronizados por meio de uma fonte NTP confiável.
  • Firewall Bloqueando o Tráfego RADIUS: Certifique-se de que as portas UDP 1812 (Autenticação) e 1813 (Contabilização) estejam abertas entre os APs/Controladoras e o servidor RADIUS. Se estiver usando CoA, certifique-se de que a porta UDP 3799 esteja aberta.
  • Configuração Incorreta do Suplicante do Cliente: O problema mais comum é o dispositivo cliente não estar configurado para confiar na CA que emitiu o certificado do servidor RADIUS. Use MDM ou Diretiva de Grupo para enviar os perfis sem fio corretos para os dispositivos corporativos.

Para uma compreensão mais ampla dos protocolos de autenticação, revise Como Configurar a Autenticação WiFi 802.1X: Um Guia Passo a Passo .

Retorno sobre o Investimento (ROI) e Impacto nos Negócios

A transição para o WPA2-Enterprise oferece um valor comercial significativo além das melhorias brutas de segurança.

  • Mitigação de Riscos: A eliminação de senhas compartilhadas reduz drasticamente a superfície de ataque e o risco de uma violação de dados, o que pode acarretar severas penalidades financeiras e de reputação.
  • Eficiência Operacional: A integração da autenticação WiFi com provedores de identidade existentes (como o Active Directory) automatiza a integração e o desligamento de funcionários. Quando um funcionário sai, desativar sua conta no AD revoga instantaneamente seu acesso ao WiFi.
  • Habilitação de Conformidade: Trilhas de auditoria detalhadas e autenticação por usuário são pré-requisitos para a conformidade com PCI DSS e ISO 27001.
  • Infraestrutura Unificada: Ao usar a atribuição dinâmica de VLAN, os locais podem executar o tráfego corporativo, administrativo e de IoT de forma segura sobre o mesmo hardware físico usado para o acesso de visitantes. A rede de visitantes pode então ser monetizada e analisada usando uma solução dedicada de WiFi Analytics , maximizando o retorno do investimento em hardware. Certifique-se de ter a largura de banda necessária entendendo O que é um Link Dedicado? Internet Dedicada para Empresas .

Definições principais

WPA2-Enterprise

Um protocolo de segurança para redes sem fio que usa IEEE 802.1X para fornecer autenticação por usuário por meio de um servidor externo, em vez de uma única senha compartilhada.

O padrão obrigatório para proteger redes WiFi corporativas e operacionais em ambientes empresariais.

802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta que fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN.

A estrutura subjacente que faz o WPA2-Enterprise funcionar.

RADIUS

Remote Authentication Dial-In User Service; um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Accounting (AAA).

O componente de servidor que valida as credenciais do usuário em um banco de dados como o Active Directory.

Supplicant

O cliente de software em um dispositivo (laptop, smartphone) que se comunica com o autenticador para solicitar acesso à rede.

O endpoint que deve ser configurado com as configurações de EAP corretas e confiança de certificado.

Authenticator

O dispositivo de rede (Access Point ou Switch) que facilita o processo de autenticação passando mensagens entre o supplicant e o servidor de autenticação.

O hardware Cisco, Aruba ou Ubiquiti gerenciado pela equipe de TI.

EAP (Extensible Authentication Protocol)

Uma estrutura de autenticação frequentemente usada em redes sem fio e conexões ponto a ponto, suportando múltiplos métodos de autenticação.

O protocolo usado para encapsular a troca de credenciais.

PEAP-MSCHAPv2

Um método EAP que encapsula a troca de senhas MSCHAPv2 dentro de um túnel TLS seguro estabelecido pelo certificado do servidor.

O método de implantação mais comum, pois equilibra segurança com a conveniência de usar senhas padrão do AD.

Dynamic VLAN Assignment

O processo em que um servidor RADIUS instrui o access point a colocar um usuário autenticado em uma VLAN específica com base em sua identidade ou associação de grupo.

Crucial para a segmentação de rede, permitindo que diferentes tipos de usuários compartilhem os mesmos APs físicos com segurança.

Exemplos práticos

Um hotel de 200 quartos precisa implantar WiFi seguro para sua equipe interna (serviço de quarto, gerência) usando os access points Aruba existentes, mantendo o tráfego da equipe estritamente separado da rede de convidados.

A equipe de TI configura um único SSID 'Hotel_Staff' usando WPA2-Enterprise. Eles integram o Aruba ClearPass com o Active Directory do hotel. No ClearPass, configuram políticas de aplicação: se um usuário estiver no grupo de AD 'Management', o ClearPass retorna um atributo RADIUS atribuindo-o à VLAN 10 (Rede de Gerência). Se o usuário estiver no grupo 'Housekeeping', ele é atribuído à VLAN 20 (Rede de Operações). Os APs são configurados para aplicar essas atribuições dinâmicas de VLAN.

Comentário do examinador: Essa abordagem demonstra o poder da atribuição dinâmica de VLAN. Ela evita a interferência de RF e a sobrecarga de gerenciamento de transmitir múltiplos SSIDs ('Hotel_Management', 'Hotel_Housekeeping'), garantindo uma segmentação de rede rigorosa e aproveitando as identidades de diretório existentes.

Uma rede nacional de varejo com 50 lojas usa Cisco Meraki. Eles precisam proteger seus terminais de ponto de venda (POS) via WiFi para atender à conformidade PCI DSS, substituindo sua antiga configuração WPA2-Personal.

O arquiteto de rede implanta um serviço RADIUS hospedado na nuvem para evitar a implantação de servidores locais em cada loja. No painel do Meraki, eles configuram o SSID 'Retail_POS' para WPA2-Enterprise e o apontam para os IPs do RADIUS na nuvem. Eles geram certificados de cliente exclusivos para cada terminal POS por meio de sua plataforma MDM e configuram o servidor RADIUS para exigir EAP-TLS. Os APs Meraki são configurados para enviar dados de Autenticação e Accounting do RADIUS para o serviço de nuvem.

Comentário do examinador: Este cenário destaca a transição para o EAP-TLS para ambientes de alta segurança. Ao usar certificados em vez de senhas, os terminais POS se autenticam de forma silenciosa e segura. A inclusão do RADIUS Accounting garante que a rede atenda aos requisitos do PCI DSS para auditoria de acesso.

Questões práticas

Q1. Sua organização está implantando o WPA2-Enterprise usando access points Ubiquiti UniFi. Durante os testes, os clientes conseguem se conectar com sucesso, mas a equipe de conformidade observa que não há registros de duração das sessões dos usuários ou uso de dados no sistema de log central. Qual é a omissão de configuração mais provável?

Dica: A autenticação concede acesso, mas outro processo rastreia o uso.

Ver resposta modelo

A porta de RADIUS Accounting (1813) não foi configurada ou está sendo bloqueada por um firewall. Embora a Autenticação (porta 1812) esteja funcionando, o Accounting deve ser explicitamente ativado para gerar trilhas de auditoria de sessão.

Q2. Um usuário relata que não consegue se conectar à rede WPA2-Enterprise corporativa. Você verifica os logs do Cisco WLC e vê que o AP está passando o EAP-Request, mas os logs do servidor RADIUS mostram um 'Access-Reject' devido a 'Unknown CA'. O que precisa ser corrigido?

Dica: Pense na relação de confiança estabelecida durante a configuração do túnel TLS.

Ver resposta modelo

O supplicant do dispositivo cliente não está configurado para confiar na Autoridade Certificadora (CA) que emitiu o certificado do servidor RADIUS. O cliente está encerrando a conexão para evitar um possível ataque de Evil Twin. O certificado da CA deve ser enviado para o dispositivo cliente.

Q3. Você está projetando uma rede para um estádio. Você precisa oferecer suporte à equipe corporativa, terminais de bilheteria e WiFi de convidados. Como você deve arquitetar os SSIDs para minimizar a interferência de RF e manter a segurança?

Dica: Evite transmitir um SSID para cada caso de uso individual.

Ver resposta modelo

Implante no máximo dois SSIDs. Um SSID para Convidados usando um Captive Portal (como o Purple). Um segundo SSID para todas as operações corporativas usando WPA2-Enterprise. Use Dynamic VLAN Assignment via servidor RADIUS para segmentar a equipe corporativa em uma VLAN e os terminais de bilheteria em outra com base em suas credenciais de autenticação.

Continue a ler esta série

Per-Device PSK por Vendor: Comparativo de iPSK, DPSK, MPSK e PPSK (e Suporte a WPA3)

Uma comparação abrangente das implementações de PSK por dispositivo no Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet e Ubiquiti UniFi. Saiba como o WPA3-SAE impacta as estratégias de chaves por dispositivo e quando implantar modos de transição em vez de migrar para o 802.1X.

Ler o guia →

Métodos de Autenticação de Captive Portal Comparados

Este guia de referência técnica definitivo avalia as compensações arquitetônicas, operacionais e de conformidade de cinco métodos principais de autenticação de captive portal. Ele fornece a arquitetos de rede, diretores de TI e gerentes de marketing os dados quantitativos e as estruturas de decisão necessários para equilibrar a fricção no onboarding de convidados com os requisitos de coleta de dados em locais corporativos.

Ler o guia →

O que é autenticação por endereço MAC? Quando usar e quando evitar

Este guia de referência técnica abrangente aborda a autenticação por endereço MAC em ambientes de WiFi corporativos — como a autenticação MAC baseada em RADIUS funciona na Camada 2, suas vulnerabilidades de segurança inerentes (incluindo spoofing de MAC e o impacto da randomização de MAC no nível do SO) e os contextos operacionais precisos onde ela continua sendo uma ferramenta válida para gerenciar IoT e dispositivos headless. Ele fornece orientações de implantação práticas para gerentes de TI e arquitetos de rede em setores como hotelaria, varejo, saúde e locais públicos, com exemplos práticos reais, estruturas de decisão e contexto de integração para a plataforma de guest WiFi e analytics da Purple.

Ler o guia →