Pular para o conteúdo principal

Como configurar WPA2-Enterprise em plataformas comuns de Access Point (Cisco, Aruba, Ubiquiti)

Este guia de referência técnica fornece a profissionais de TI seniores e arquitetos de rede um passo a passo definitivo e específico de cada fornecedor para implantar WPA2-Enterprise em plataformas Cisco, Aruba e Ubiquiti. Ele detalha a arquitetura, integração RADIUS, requisitos de conformidade e cenários reais de implantação em ambientes corporativos e locais de grande porte.

📖 6 min de leitura📝 1,309 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Como configurar WPA2-Enterprise em plataformas comuns de Access Point — Cisco, Aruba e Ubiquiti Um Informativo de Inteligência da Purple WiFi [INTRO — aproximadamente 1 minuto] Bem-vindo à Série de Inteligência da Purple WiFi. Sou o seu anfitrião e hoje vamos direto ao ponto em um dos tópicos mais solicitados pelos nossos clientes corporativos: como configurar o WPA2-Enterprise nas três plataformas de access point mais implantadas — Cisco, Aruba e Ubiquiti. Seja você o diretor de TI de um grupo hoteleiro de 500 quartos, o arquiteto de rede de uma rede varejista nacional ou o CTO de uma operadora de centro de convenções, este informativo é para você. Não vamos abordar a teoria pela teoria. Vamos detalhar o que você precisa saber para tomar uma decisão de implantação, executá-la corretamente e evitar as armadilhas que atrapalham até mesmo equipes experientes. Vamos começar. [MERGULHO TÉCNICO PROFUNDO — aproximadamente 5 minutos] Primeiro, um rápido alinhamento sobre o que realmente é o WPA2-Enterprise, porque ainda há uma quantidade surpreendente de confusão no mercado entre WPA2-Personal e WPA2-Enterprise — e a distinção importa enormemente para a conformidade e a postura de risco. O WPA2-Personal — a versão com a qual a maioria das pessoas está familiarizada — usa uma única chave pré-compartilhada. Todos na rede usam a mesma senha. Isso é adequado para uma rede doméstica. É categoricamente inaceitável para um ambiente de negócios onde você precisa de autenticação por usuário, trilhas de auditoria e a capacidade de revogar o acesso instantaneamente. O WPA2-Enterprise, definido sob o padrão IEEE 802.1X, substitui essa chave compartilhada por uma troca de autenticação individual. Cada usuário ou dispositivo apresenta suas próprias credenciais — seja um nome de usuário e senha, um certificado digital ou um token — e essas credenciais são validadas por um servidor RADIUS antes que o acesso à rede seja concedido. O access point em si nunca vê as credenciais. Ele atua puramente como um autenticador, passando a troca EAP — Extensible Authentication Protocol — entre o cliente e o servidor RADIUS. Esta é uma arquitetura fundamentalmente mais segura e é o requisito básico para a conformidade com o PCI-DSS em qualquer ambiente que lide com dados de cartões de pagamento, além de ser fortemente recomendada sob a GDPR para organizações que processam dados pessoais em redes sem fio. Agora, vamos falar sobre as três plataformas. Começando com a Cisco. O portfólio de WiFi corporativo da Cisco - principalmente as linhas Catalyst e Meraki - é a escolha padrão para implantações de grande escala. O Cisco DNA Center oferece gerenciamento centralizado de políticas, e o painel Meraki oferece simplicidade gerenciada em nuvem para propriedades distribuídas. Para configurar WPA2-Enterprise em um ponto de acesso Cisco Catalyst, você trabalhará por meio do WLC - Wireless LAN Controller - ou do DNA Center. As etapas principais são: definir seu servidor RADIUS em Security, depois AAA, depois RADIUS Authentication Servers; criar um novo perfil de WLAN; definir a política de segurança como WPA2 com 802.1X como o método de gerenciamento de chaves; e vincular o servidor RADIUS a essa WLAN. Um ponto crítico na Cisco: certifique-se de configurar a contabilização RADIUS, bem como a autenticação. A contabilização fornece a trilha de auditoria por sessão que as estruturas de conformidade exigem. Na Meraki, o processo é ainda mais simples - navegue até Wireless, depois SSIDs, selecione seu SSID de destino, defina a segurança como WPA2-Enterprise com meu servidor RADIUS e insira o IP do seu servidor RADIUS, porta - normalmente 1812 para autenticação e 1813 para contabilização - e a chave secreta compartilhada. A Meraki também oferece suporte a testes de RADIUS diretamente do painel, o que é inestimável durante o comissionamento. Passando para a Aruba. A Aruba Networks, agora parte da HPE, é a escolha dominante em hotelaria e ensino superior. O Aruba Central oferece gerenciamento em nuvem, e o ArubaOS é a plataforma subjacente. Na Aruba, a configuração WPA2-Enterprise reside no perfil do SSID. Você definirá um perfil AAA que faz referência ao seu servidor RADIUS e, em seguida, anexará esse perfil AAA ao seu perfil de AP virtual. O ClearPass Policy Manager da Aruba merece uma menção específica aqui - é o mecanismo de políticas e RADIUS próprio da Aruba, e adiciona capacidade significativa em termos de perfil de dispositivos, controle de acesso baseado em funções e integração de convidados. Se você estiver executando um ambiente misto com funcionários, contratados e convidados, todos se conectando à mesma infraestrutura, o ClearPass oferece a granularidade de políticas para segmentá-los adequadamente. Para um hotel que implanta WPA2-Enterprise em redes de funcionários e de retaguarda enquanto executa uma solução separada de WiFi para convidados por meio de uma plataforma como a Purple, a segmentação de SSID da Aruba combinada com o ClearPass para autenticação de funcionários é uma arquitetura muito limpa. Agora a Ubiquiti. A plataforma UniFi da Ubiquiti ganhou uma tração significativa no mercado de pequenas e médias empresas e no mercado médio - e cada vez mais no setor de hotelaria boutique e varejo - devido ao seu preço competitivo e à sua interface de gerenciamento genuinamente capaz. O UniFi Network Controller é onde você fará o trabalho pesado. Para configurar WPA2-Enterprise no UniFi, navegue até Configurações, depois WiFi, crie ou edite seu SSID, defina a segurança como WPA2 Enterprise e configure seu perfil RADIUS - novamente, endereço IP, porta de autenticação 1812, porta de tarifação 1813 e segredo compartilhado. Uma consideração importante com a Ubiquiti: ela não vem com um servidor RADIUS integrado da mesma forma que algumas plataformas corporativas. Você precisará de um servidor RADIUS externo - seja o Windows Server NPS, FreeRADIUS ou um serviço de RADIUS em nuvem. Isso não é uma limitação em si, mas é uma dependência que precisa ser planejada. Para implantações menores, o UniFi Network Application inclui um servidor RADIUS básico, mas para ambientes de produção eu sempre recomendaria uma instância RADIUS dedicada. Em todas as três plataformas, a seleção do método EAP merece atenção. O PEAP com MSCHAPv2 é o método mais amplamente implantado porque funciona com credenciais do Active Directory sem exigir certificados do lado do cliente. O EAP-TLS é mais seguro - ele usa autenticação mútua de certificados - mas exige uma infraestrutura de PKI e implantação de certificados em cada dispositivo cliente, o que adiciona sobrecarga operacional. Para a maioria das implantações corporativas, o PEAP-MSCHAPv2 com um servidor RADIUS configurado corretamente e validação de certificado no lado do cliente é o equilíbrio certo entre segurança e capacidade de gerenciamento operacional. [RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS - aproximadamente 2 minutos] Agora deixe-me apresentar os três modos de falha mais comuns que vejo em implantações de WPA2-Enterprise e como evitá-los. Número um: disponibilidade do servidor RADIUS. Seu servidor RADIUS agora está no caminho crítico para cada autenticação sem fio. Se ele cair, ninguém conseguirá se conectar. Isso significa que você precisa de redundância de RADIUS - no mínimo um servidor RADIUS primário e secundário configurado em cada ponto de acesso. A maioria das plataformas suporta isso nativamente. No Cisco, você pode configurar grupos de servidores RADIUS com failover. No Aruba, o perfil AAA suporta múltiplos servidores RADIUS com valores configuráveis de repetição e tempo limite. No Ubiquiti, você pode especificar um servidor RADIUS secundário no perfil RADIUS. Não pule esta etapa. Número dois: validação de certificado. Uma proporção assustadoramente alta de implantações que analiso tem dispositivos de cliente configurados para aceitar qualquer certificado de servidor RADIUS. Isso prejudica completamente o modelo de segurança - abre as portas para ataques de evil twin (gêmeo maligno), onde um ponto de acesso invasor se passa pela sua rede e coleta credenciais. Configure o certificado do seu servidor RADIUS a partir de uma CA confiável e configure os suplicantes do cliente para validar esse certificado. No Windows, isso é feito por meio de Diretiva de Grupo. No iOS e Android, é gerenciado por meio de perfis de MDM. Isso é inegociável para qualquer ambiente que lide com dados confidenciais. Número três: atribuição de VLAN. O WPA2-Enterprise permite a atribuição dinâmica de VLAN - o servidor RADIUS pode retornar um atributo de VLAN na mensagem Access-Accept, colocando cada usuário autenticado no segmento de rede apropriado com base em sua identidade ou função. Esse é um dos recursos mais poderosos da arquitetura 802.1X e frequentemente não é configurado. Se você estiver gerenciando um local com funcionários, gerência e dispositivos IoT, todos na mesma infraestrutura física, a atribuição dinâmica de VLAN é como você impõe a segmentação de rede sem gerenciar múltiplos SSIDs. Do lado da integração com a Purple: se você estiver implantando WPA2-Enterprise para seus funcionários e redes operacionais, e executando a plataforma de guest WiFi da Purple para conectividade de visitantes, esses dois sistemas coexistem perfeitamente. A Purple lida com a autenticação de convidados, captura de dados e camada de análise - incluindo a análise de WiFi e inteligência de fluxo de pessoas que os operadores de locais usam para decisões operacionais - enquanto sua infraestrutura WPA2-Enterprise protege a rede corporativa. A chave é uma separação limpa de SSID e VLAN no nível do ponto de acesso, o que todas as três plataformas suportam. [PERGUNTAS E RESPOSTAS RÁPIDAS - aproximadamente 1 minuto] Deixe-me passar por algumas perguntas que surgem regularmente. Posso executar WPA2-Enterprise e uma rede de convidados nos mesmos pontos de acesso? Sim, absolutamente. Todas as três plataformas suportam múltiplos SSIDs por rádio, cada uma com políticas de segurança independentes. Seu SSID corporativo executa WPA2-Enterprise; seu SSID de convidado pode ser executado através do Captive Portal da Purple com o isolamento apropriado. Preciso substituir meus pontos de acesso existentes para implantar WPA2-Enterprise? Quase certamente não. O WPA2-Enterprise é compatível com pontos de acesso de nível corporativo há mais de uma década. Se o seu hardware tiver menos de oito anos e estiver executando o firmware atual, ele suportará 802.1X. Qual é a diferença entre WPA2-Enterprise e WPA3-Enterprise? O WPA3-Enterprise adiciona o modo de segurança de 192 bits usando a criptografia Suite B, relevante para ambientes governamentais e de defesa. Para a maioria das implantações comerciais, o WPA2-Enterprise com métodos EAP fortes continua sendo o padrão. Vale a pena planejar a transição para o WPA3 para novas implantações, mas não é uma migração urgente para a maioria das organizações. O RADIUS em nuvem é uma opção viável? Sim, e cada vez mais. Serviços como Cisco ISE na nuvem, Aruba ClearPass como serviço ou opções de terceiros como JumpCloud e Foxpass fornecem RADIUS como um serviço gerenciado, o que elimina a sobrecarga de infraestrutura. Para propriedades distribuídas - pense em uma rede de varejo com 200 locais - o RADIUS em nuvem pode reduzir significativamente a complexidade operacional. [RESUMO E PRÓXIMOS PASSOS - aproximadamente 1 minuto] Para encerrar: WPA2-Enterprise é a linha de base inegociável para qualquer implantação corporativa de rede sem fio. O processo de configuração na Cisco, Aruba e Ubiquiti segue o mesmo padrão fundamental - definir seu servidor RADIUS, criar seu SSID com gerenciamento de chaves 802.1X, selecionar seu método EAP e testar antes de entrar no ar. As diferenças estão nas interfaces de gerenciamento e nas ferramentas de ecossistema em torno de cada plataforma. As três coisas para acertar: redundância RADIUS, validação de certificado em clientes e atribuição dinâmica de VLAN. Acerte essas três e você terá uma postura de segurança de rede sem fio sólida, em conformidade e auditável. Para seus próximos passos: se você estiver avaliando plataformas, use a estrutura de comparação de fornecedores no guia que acompanha. Se você estiver pronto para implantar, os tutoriais de configuração passo a passo para cada plataforma estão na seção de implementação. E se você estiver pensando em como o WiFi de visitantes se encaixa ao lado de sua rede corporativa, a documentação da plataforma Purple cobre a arquitetura de integração em detalhes. Obrigado por ouvir. Vejo você no próximo briefing.

Resumo Executivo

A implantação do WPA2-Enterprise não é mais uma atualização de segurança opcional - é a linha de base essencial para qualquer rede sem fio de nível empresarial. Para gerentes de TI e arquitetos de rede que operam em ambientes de hotelaria, varejo e setor público, a transição de Pre-Shared Keys para a autenticação 802.1X é impulsionada por mandatos de conformidade rigorosos, incluindo PCI-DSS e GDPR. Este guia de referência técnica fornece etapas de configuração concretas, acionáveis e específicas de plataforma para os três principais fornecedores de pontos de acesso: Cisco, Aruba e Ubiquiti.

Ao fazer a transição para o WPA2-Enterprise, as organizações empresariais podem eliminar os riscos associados a credenciais compartilhadas, obter trilhas de auditoria detalhadas por sessão e permitir a segmentação dinâmica de rede. Quando implementada corretamente, esta arquitetura não apenas protege o perímetro corporativo, mas também se integra perfeitamente com redes de visitantes gerenciadas por meio de uma plataforma abrangente de Guest WiFi . As seções a seguir detalham a arquitetura técnica, as etapas de implantação e as estratégias de mitigação de riscos necessárias para uma implantação bem-sucedida.

header_image.png

Aprofundamento Técnico

O WPA2-Enterprise depende do padrão IEEE 802.1X para fornecer controle de acesso à rede baseado em porta. Ao contrário do WPA2-Personal, que usa uma Pre-Shared Key (PSK) estática, o WPA2-Enterprise exige que cada suplicante (dispositivo cliente) se autentique individualmente em um servidor de autenticação externo - normalmente um servidor RADIUS - antes de receber acesso à rede.

A arquitetura consiste em três componentes principais:

  1. O Suplicante: O dispositivo cliente que tenta se conectar à rede.
  2. O Autenticador: O ponto de acesso de nível empresarial ou controlador de LAN sem fio (por exemplo, um Cisco WLC ou Aruba Mobility Controller) que facilita o processo de autenticação.
  3. O Servidor de Autenticação: O servidor RADIUS de back-end (por exemplo, Cisco ISE, Aruba ClearPass ou Windows NPS), que valida as credenciais em relação a um serviço de diretório como Active Directory ou LDAP.

O Processo de Troca EAP

O processo de autenticação utiliza o Extensible Authentication Protocol over LAN (EAPOL). Durante a fase inicial, o autenticador atua puramente como um proxy transparente. Assim que o servidor RADIUS valida as credenciais, ele retorna uma mensagem Access-Accept para o autenticador, que então deriva as chaves de criptografia necessárias para proteger a sessão WiFi.

A escolha do método EAP é crítica. O PEAP-MSCHAPv2 é o método mais amplamente implantado porque suporta a autenticação tradicional por senha do Active Directory, protegendo a troca de informações dentro de um túnel TLS estabelecido pelo certificado do servidor. No entanto, para segurança máxima, o EAP-TLS é recomendado. O EAP-TLS exige autenticação mútua por certificado (tanto o servidor quanto o cliente devem apresentar certificados válidos), o que protege contra o roubo de credenciais, mas exige uma infraestrutura de chave pública (PKI) robusta ou uma solução de gerenciamento de dispositivos móveis (MDM) para a distribuição de certificados.

architecture_overview.png

Guia de Implementação

Os princípios fundamentais de configuração do WPA2-Enterprise são consistentes entre os fabricantes, mas a execução varia de acordo com a interface de gerenciamento e o ecossistema.

vendor_comparison_chart.png

Cisco (Catalyst e Meraki)

Ambientes Cisco normalmente variam em escala, desde implantações em campi até redes corporativas distribuídas.

Cisco Catalyst (WLC/DNA Center):

  1. Defina os servidores RADIUS: Navegue até a guia "Segurança", selecione "AAA" e configure os servidores RADIUS de autenticação e tarifação primários e secundários. Certifique-se de que o segredo compartilhado corresponda à configuração do servidor RADIUS.
  2. Crie um perfil WLAN: Na guia "WLANs", crie um novo perfil.
  3. Configure a política de segurança: Defina a Segurança de Camada 2 como WPA+WPA2 e habilite o 802.1X como o método de gerenciamento de chave de autenticação (AKM).
  4. Associe os servidores AAA: Mapeie os servidores RADIUS definidos anteriormente para o perfil WLAN. Se a atribuição dinâmica de VLAN for necessária, habilite "AAA Override".

Cisco Meraki:

  1. Configuração do SSID: No painel Meraki, navegue até Wireless > SSIDs e selecione a rede de destino.
  2. Controle de acesso: Defina o requisito de associação como "WPA2-Enterprise com meu servidor RADIUS".
  3. Configurações de RADIUS: Insira o endereço IP da sua infraestrutura RADIUS, a porta de autenticação (geralmente 1812), a porta de tarifação (1813) e o segredo compartilhado. O painel Meraki inclui uma ferramenta de teste integrada para verificar a conectividade do RADIUS antes da implantação.

Aruba Networks

A Aruba é a plataforma dominante no setor de Hospitalidade e ensino superior, utilizando amplamente o seu ClearPass Policy Manager para controle de acesso avançado.

  1. Defina um perfil AAA: No Aruba Central ou na interface do Mobility Controller, crie um novo perfil AAA. Este perfil determina como a autenticação é tratada.
  2. Configure um grupo de servidores RADIUS: Adicione seus servidores RADIUS a um grupo de servidores, especificando regras de failover e valores de timeout. Vincule este grupo ao perfil AAA.
  3. Configuração de Virtual AP: Crie ou modifique o perfil de Virtual AP (SSID). Defina o tipo de segurança como WPA2-Enterprise.
  4. Vincule os perfis: Vincule o perfil AAA ao perfil de Virtual AP. Se estiver usando ClearPass, certifique-se de que a porta RADIUS CoA (Change of Authorization) (3799) seja permitida em quaisquer firewalls intermediários para habilitar a aplicação de políticas dinâmicas.

Ubiquiti (UniFi)

A Ubiquiti, por meio do UniFi Network Controller, oferece uma solução econômica para ambientes de Varejo e PMEs.

  1. Crie um perfil RADIUS: Navegue até Configurações > Perfis > RADIUS. Crie um novo perfil usando o endereço IP, as portas (1812/1813) e o segredo compartilhado do seu servidor RADIUS externo.
  2. Configuração de SSID: Vá para Configurações > WiFi e crie uma nova rede sem fio.
  3. Configurações de segurança: Selecione "WPA2 Enterprise" como o protocolo de segurança e vincule o perfil RADIUS recém-criado.
  4. Considerações de arquitetura RADIUS: Ao contrário dos controladores de nível corporativo que podem oferecer RADIUS local de sobrevivência, o UniFi depende muito de servidores externos (por exemplo, FreeRADIUS ou Windows NPS). Garanta conectividade confiável entre os APs UniFi e o back-end RADIUS.

Melhores Práticas

Para garantir que a implantação seja resiliente e segura, os arquitetos de rede devem seguir várias práticas recomendadas cruciais:

  1. Imponha a validação de certificados: Os dispositivos clientes devem ser explicitamente configurados para validar o certificado do servidor RADIUS em relação a uma Autoridade Certificadora (CA) confiável. Deixar de fazer isso expõe a rede a ataques "Evil Twin", permitindo que um ponto de acesso invasor colete credenciais de usuários.
  2. Implemente redundância RADIUS: O servidor RADIUS está no caminho crítico para o acesso à rede. Sempre configure servidores RADIUS primários e secundários. Em ambientes distribuídos, considere uma solução RADIUS hospedada na nuvem para alta disponibilidade.
  3. Aproveite a atribuição dinâmica de VLAN: Use atributos RADIUS (como Tunnel-Pvt-Group-ID) para atribuir dinamicamente usuários a VLANs específicas com base em sua associação ao grupo do Active Directory. Isso reforça a segmentação de rede sem transmitir múltiplos SSIDs.
  4. Habilite a Contabilização RADIUS: Não configure apenas a autenticação. A contabilização RADIUS (porta 1813) é obrigatória para gerar as trilhas de auditoria exigidas pelas estruturas de conformidade.
  5. Proteja a borda da rede: Leia mais sobre como proteger sua infraestrutura em nosso guia Protegendo sua Rede com DNS Robusto e Segurança .

Solução de Problemas e Mitigação de Riscos

Mesmo com um planejamento cuidadoso, as implantações podem apresentar problemas. Os modos de falha comuns incluem:

  • Incompatibilidade de segredo compartilhado: Um simples erro de digitação no segredo compartilhado RADIUS causa falhas silenciosas de autenticação. Verifique o segredo tanto no autenticador quanto no servidor RADIUS.
  • Erros de sincronização de tempo: A validação de certificados requer carimbos de data/hora precisos. Certifique-se de que todos os APs, controladores e servidores RADIUS estejam sincronizados por meio de uma fonte NTP confiável.
  • Firewalls bloqueando o tráfego RADIUS: Certifique-se de que as portas UDP 1812 (autenticação) e 1813 (accounting) estejam abertas entre os APs/controladoras e os servidores RADIUS. Se estiver usando CoA, garanta que a porta UDP 3799 esteja aberta.
  • Instabilidade de configuração no cliente: O problema mais comum ocorre quando os dispositivos dos clientes não estão configurados para confiar na CA que emitiu o certificado do servidor RADIUS. Use MDM ou Diretiva de Grupo para enviar o perfil de rede sem fio correto para os dispositivos corporativos.

Para uma compreensão mais ampla do protocolo de autenticação, consulte Como Configurar a Autenticação WiFi 802.1X: Um Guia Passo a Passo .

ROI e Impacto no Negócio

Além do aumento tangível na segurança, a transição para o WPA2-Enterprise gera um valor comercial significativo.

  • Redução de riscos: A eliminação de senhas compartilhadas reduz drasticamente a superfície de ataque e o risco de uma violação de dados, o que pode trazer graves consequências financeiras e de reputação.
  • Eficiência operacional: A integração da autenticação WiFi com seu provedor de identidade existente (como o Active Directory) permite a automação da admissão e desligamento de funcionários. Quando um funcionário sai, a desativação de sua conta no AD revoga instantaneamente seu acesso ao WiFi.
  • Alinhamento de conformidade: Registros de auditoria detalhados e autenticação por usuário são pré-requisitos para a conformidade com PCI-DSS e ISO 27001.
  • Infraestrutura unificada: Ao usar a atribuição dinâmica de VLAN, os estabelecimentos podem executar com segurança o tráfego corporativo, administrativo e de IoT no mesmo hardware físico usado para o acesso de visitantes. A rede de visitantes pode então ser monetizada e analisada usando uma solução dedicada de WiFi Analytics , maximizando o retorno sobre o investimento em hardware. Garanta que você tenha largura de banda suficiente compreendendo O Que É um Link Dedicado? Internet Dedicada para Empresas .

Definições principais

WPA2-Enterprise

Um protocolo de segurança para redes sem fio que usa 802.1X para fornecer autenticação por usuário por meio de um servidor externo, em vez de uma única senha compartilhada.

O padrão obrigatório para proteger redes WiFi corporativas e operacionais em ambientes empresariais.

802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta que fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN.

A estrutura subjacente que faz o WPA2-Enterprise funcionar.

RADIUS

Remote Authentication Dial-In User Service; um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Tarifação (AAA).

O componente de servidor que valida as credenciais do usuário em um banco de dados como o Active Directory.

Supplicant

O cliente de software em um dispositivo (laptop, smartphone) que se comunica com o autenticador para solicitar acesso à rede.

O endpoint que deve ser configurado com as configurações de EAP e de confiança de certificado corretas.

Authenticator

O dispositivo de rede (Access Point ou Switch) que facilita o processo de autenticação passando mensagens entre o supplicant e o servidor de autenticação.

O hardware Cisco, Aruba ou Ubiquiti gerenciado pela equipe de TI.

EAP (Extensible Authentication Protocol)

Uma estrutura de autenticação frequentemente usada em redes sem fio e conexões ponto a ponto, compatível com vários métodos de autenticação.

O protocolo usado para encapsular a troca de credenciais.

PEAP-MSCHAPv2

Um método EAP que encapsula a troca de senha MSCHAPv2 dentro de um túnel TLS seguro estabelecido pelo certificado do servidor.

O método de implantação mais comum, pois equilibra a segurança com a conveniência de usar senhas padrão do AD.

Dynamic VLAN Assignment

O processo no qual um servidor RADIUS instrui o ponto de acesso a colocar um usuário autenticado em uma VLAN específica com base em sua identidade ou associação de grupo.

Crucial para a segmentação de rede, permitindo que diferentes tipos de usuários compartilhem os mesmos APs físicos com segurança.

Exemplos práticos

Um hotel de 200 quartos precisa implantar WiFi seguro para sua equipe interna (limpeza, gerência) usando os access points Aruba existentes, mantendo o tráfego da equipe estritamente separado da rede de convidados.

A equipe de TI configura um único SSID "Hotel_Staff" usando WPA2-Enterprise. Eles integram o Aruba ClearPass com o Active Directory do hotel. No ClearPass, eles configuram políticas de aplicação: se um usuário estiver no grupo do AD "Management", o ClearPass retorna um atributo RADIUS atribuindo-o à VLAN 10 (Rede de Gerência). Se o usuário estiver no grupo "Housekeeping", ele será atribuído à VLAN 20 (Rede de Operações). Os APs são configurados para aplicar essas atribuições dinâmicas de VLAN.

Comentário do examinador: Essa abordagem demonstra o poder da atribuição dinâmica de VLAN. Ela evita a interferência de RF e a sobrecarga de gerenciamento de transmitir múltiplos SSIDs ("Hotel_Management", "Hotel_Housekeeping"), ao mesmo tempo em que garante uma segmentação de rede rigorosa e aproveita as identidades de diretório existentes.

Uma rede varejista nacional com 50 locais usa Cisco Meraki. Eles precisam proteger seus terminais de ponto de venda (POS) via WiFi para atender à conformidade PCI DSS, substituindo sua antiga configuração WPA2-Personal.

O arquiteto de rede implanta um serviço RADIUS hospedado na nuvem para evitar a implantação de servidores locais em cada loja. No painel Meraki, eles configuram o SSID "Retail_POS" para WPA2-Enterprise e o direcionam para os IPs do RADIUS na nuvem. Eles geram certificados de cliente exclusivos para cada terminal POS por meio de sua plataforma MDM e configuram o servidor RADIUS para exigir EAP-TLS. Os APs Meraki são configurados para enviar dados de autenticação e tarifação (Accounting) do RADIUS para o serviço de nuvem.

Comentário do examinador: Este cenário destaca a transição para EAP-TLS para ambientes de alta segurança. Ao usar certificados em vez de senhas, os terminais POS se autenticam de forma silenciosa e segura. A inclusão do RADIUS Accounting garante que a rede atenda aos requisitos do PCI DSS para auditoria de acesso.

Questões práticas

Q1. Sua organização está implantando WPA2-Enterprise usando pontos de acesso Ubiquiti UniFi. Durante os testes, os clientes conseguem se conectar com sucesso, mas a equipe de conformidade observa que não há registros de duração das sessões dos usuários ou uso de dados no sistema de log central. Qual é a omissão de configuração mais provável?

Dica: A autenticação concede acesso, mas outro processo rastreia o uso.

Ver resposta modelo

A porta de RADIUS Accounting (1813) não foi configurada ou está sendo bloqueada por um firewall. Embora a Autenticação (porta 1812) esteja funcionando, o Accounting deve ser explicitamente habilitado para gerar trilhas de auditoria de sessão.

Q2. Um usuário relata que não consegue se conectar à rede WPA2-Enterprise corporativa. Você verifica os logs do Cisco WLC e vê que o AP está passando o EAP-Request, mas os logs do servidor RADIUS mostram um "Access-Reject" devido a "Unknown CA". O que precisa ser corrigido?

Dica: Pense no relacionamento de confiança estabelecido durante a configuração do túnel TLS.

Ver resposta modelo

O suplicante do dispositivo cliente não está configurado para confiar na Autoridade Certificadora (CA) que emitiu o certificado do servidor RADIUS. O cliente está encerrando a conexão para evitar um possível ataque Evil Twin. O certificado da CA deve ser enviado para o dispositivo cliente.

Q3. Você está projetando uma rede para um estádio. Você precisa dar suporte à equipe corporativa, terminais de bilheteria e WiFi de convidados. Como você deve arquitetar os SSIDs para minimizar a interferência de RF mantendo a segurança?

Dica: Evite transmitir um SSID para cada caso de uso individual.

Ver resposta modelo

Implante no máximo dois SSIDs. Um SSID para Convidados usando um Captive Portal (como o Purple). Um segundo SSID para todas as operações corporativas usando WPA2-Enterprise. Use Dynamic VLAN Assignment por meio do servidor RADIUS para segmentar a equipe corporativa em uma VLAN e os terminais de bilheteria em outra com base em suas credenciais de autenticação.

Continue a ler esta série

Configurando Autenticação RADIUS para Redes WiFi de Convidados e Funcionários

Este guia de referência técnica descreve a arquitetura, configuração e implantação da autenticação RADIUS para redes WiFi corporativas de convidados e funcionários. Ele fornece aos arquitetos de rede e gerentes de TI os protocolos exatos, padrões de segurança e metodologias de solução de problemas necessários para criar sistemas de controle de acesso sem fio seguros e escaláveis.

Ler o guia →

Passpoint and OpenRoaming: Complete Guide

Este guia de referência técnica fornece uma análise abrangente das estruturas Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Ele detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implantação necessárias para estabelecer uma conectividade de visitantes segura e sem atrito. Arquitetos de rede e líderes de TI aprenderão como projetar, implementar e solucionar problemas desses padrões para eliminar as barreiras de login manual, mantendo a segurança de nível empresarial.

Ler o guia →

Como Implementar SCEP para BYOD Seguro e Registro de Rede no Ensino Superior

Este guia técnico fornece aos arquitetos de rede e gerentes de TI um modelo neutro de fornecedor para implantar o registro de certificados baseado em SCEP para proteger redes de campus de ensino superior. Ele detalha como migrar do PEAP baseado em senha para o 802.1X EAP-TLS, automatizar a integração de BYOD e aplicar uma segmentação robusta de VLAN.

Ler o guia →