Pular para o conteúdo principal
Português (Brasil)

Configurando Políticas RADIUS para Controle de Acesso à Rede de Grão Fino

Este guia autoritativo fornece a gerentes de TI, arquitetos de rede e diretores de operações de locais um roteiro técnico completo para configurar políticas RADIUS para alcançar um controle de acesso à rede de grão fino. Ele abrange a arquitetura 802.1X, atribuição dinâmica de VLAN, seleção de método EAP e estratégias de implantação em fases. Cenários reais de implementação nos setores de hotelaria e varejo demonstram como essas técnicas entregam conformidade, segurança e ROI operacional mensuráveis.

📖 6 min de leitura📝 1,468 palavras🔧 2 exemplos práticos3 questões práticas📚 9 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo ao Informativo Técnico da Purple. Eu sou o seu anfitrião, e hoje vamos nos aprofundar em um tema crítico para arquitetos de rede corporativa e diretores de TI: Configurando Políticas RADIUS para Controle de Acesso à Rede de Grão Fino. Se você gerencia a infraestrutura de uma rede de hotéis, uma rede de varejo ou um grande local público, sabe que os dias de depender de uma simples chave pré-compartilhada já passaram. Segurança, conformidade e experiência do usuário exigem uma abordagem mais sofisticada. Hoje, vamos detalhar a arquitetura do acesso sensível ao contexto, explorar estratégias de implementação e discutir como evitar as armadilhas mais comuns e dispendiosas. Vamos começar com o contexto. Por que estamos falando de RADIUS e 802.1X? Porque o perímetro se dissolveu. Você tem laptops corporativos, smartphones de convidados, tablets de prestadores de serviço e um fluxo massivo de dispositivos IoT, todos acessando os mesmos pontos de acesso físicos. Você precisa de um mecanismo para segmentar dinamicamente esse tráfego, impor a conformidade e ainda entregar uma experiência de usuário perfeita. É exatamente aí que entram as políticas RADIUS. Ao aproveitar o 802.1X, você passa de um modelo de 'quem sabe a senha' para 'quem é você, em qual dispositivo você está e qual é o seu contexto?' Essa mudança é fundamental. A arquitetura depende de três componentes. Primeiro, o supplicant — o cliente de software no dispositivo do usuário final. Segundo, o autenticador — geralmente seu ponto de acesso sem fio ou seu switch. E terceiro, o servidor de autenticação — seu servidor RADIUS. Quando um dispositivo se conecta, o autenticador passa as mensagens EAP para o servidor RADIUS. O servidor RADIUS verifica as credenciais em relação ao seu repositório de identidade, como Active Directory, LDAP ou um provedor baseado em nuvem como o Entra ID. Mas aqui está a parte crucial: um servidor RADIUS configurado corretamente não retorna apenas um simples sim ou não. Ele retorna Vendor-Specific Attributes — VSAs — que dizem à infraestrutura de rede exatamente como lidar com aquela sessão específica. A aplicação mais poderosa disso é a atribuição dinâmica de VLAN. Imagine um ambiente de alta densidade, como um estádio ou um grande centro de convenções. Transmitir múltiplos SSIDs para diferentes grupos de usuários cria uma sobrecarga massiva de beacons e degrada o desempenho de RF. Cada SSID que você transmite consome um tempo de transmissão valioso. Com o RADIUS, você transmite um único SSID seguro. Quando um gerente financeiro se autentica, o RADIUS diz ao ponto de acesso para direcionar seu tráfego para a VLAN 10. Quando um terminal POS se conecta, ele é colocado na VLAN 20. Quando um prestador de serviço se autentica, ele cai na VLAN 30 com acesso restrito. É limpo, é eficiente e reduz drasticamente sua superfície de ataque. Agora, vamos entrar no detalhamento técnico. Os principais atributos que você configurará em seus perfis de aplicação RADIUS são Tunnel-Type, definido como VLAN; Tunnel-Medium-Type, definido como 802; e Tunnel-Private-Group-Id, que é o ID real da sua VLAN. Esses três atributos, retornados juntos em uma mensagem Access-Accept, instruem o autenticador a colocar a sessão no segmento de rede correto. Para protocolos de autenticação, você tem várias opções. O EAP-TLS é o padrão ouro. Ele usa certificados de cliente para autenticação, o que elimina totalmente o risco de roubo de credenciais e a fadiga de senhas. É a escolha certa para dispositivos gerenciados pela empresa, onde você tem uma plataforma MDM para automatizar o provisionamento de certificados. O PEAP-MSCHAPv2 é uma escolha sólida para cenários de BYOD onde a implantação de certificados é inviável — ele usa um certificado de servidor para estabelecer um túnel TLS e, em seguida, passa as credenciais de nome de usuário e senha dentro desse túnel. Evite completamente protocolos legados como LEAP ou EAP-MD5; eles são criptograficamente fracos e não devem ser usados em nenhuma implantação moderna. Vamos falar sobre a implementação. Eu sempre recomendo uma abordagem em fases. A fase um é a Integração da Fonte de Identidade. Suas políticas RADIUS são tão boas quanto o seu diretório subjacente. Certifique-se de que seus grupos do Active Directory ou Entra ID sejam lógicos, bem estruturados e mapeiem diretamente para os segmentos de rede pretendidos. Audite seus grupos antes de começar. Remova contas inativas, consolide grupos sobrepostos e estabeleça níveis de acesso claros: Executivo, Equipe, Prestador de Serviço, Convidado e IoT. Para redes voltadas ao público, plataformas como a Purple atuam como um provedor de identidade, preenchendo a lacuna entre o acesso público de convidados e as estruturas de autenticação seguras. A fase dois é a Configuração de Políticas. Crie políticas que avaliem múltiplos fatores contextuais, não apenas credenciais. Avalie o NAS-IP-Address — que é o IP do autenticador — para entender de qual localização física a solicitação está vindo. Avalie o Called-Station-Id, que contém o nome do SSID, para entender a qual rede o usuário está se conectando. Avalie a hora do dia. O perfil de acesso de um prestador de serviço às duas da manhã deve ser muito diferente do seu acesso às nove da manhã. Combine essas condições para criar políticas verdadeiramente sensíveis ao contexto. A fase três é a implementação. E eu não posso enfatizar isso o suficiente: nunca implante a aplicação do 802.1X em toda a empresa simultaneamente. Comece no modo de monitoramento. No modo de monitoramento, as falhas de autenticação são registradas, mas o acesso ainda é concedido. Isso oferece visibilidade sobre supplicants mal configurados, dispositivos com certificados expirados e equipamentos legados que não suportam o 802.1X. Passe de duas a quatro semanas no modo de monitoramento, resolva os problemas encontrados e, em seguida, comece a aplicar as políticas local por local. Agora, vamos falar sobre as melhores práticas e as armadilhas que costumam surpreender as equipes. A causa número um de uma falha catastrófica de autenticação em um ambiente 802.1X é um certificado expirado. Ou o certificado do servidor RADIUS expira, ou o certificado da CA raiz expira. Quando isso acontece, cada dispositivo que valida o certificado do servidor falhará ao se conectar. Implemente uma gestão robusta do ciclo de vida dos certificados. Configure alertas automatizados para noventa dias, sessenta dias e trinta dias antes da expiração. Torne a renovação de certificados uma tarefa operacional agendada, não uma emergência reativa. O segundo grande desafio é a IoT. Muitos dispositivos — impressoras, câmeras, equipamentos médicos, sistemas de gestão predial — simplesmente não suportam o 802.1X. Para estes, você deve usar o MAC Authentication Bypass, ou MAB. O endereço MAC do dispositivo é usado como sua credencial. Mas lembre-se desta regra: nunca confie no MAC. Endereços MAC podem ser facilmente clonados por spoofing. Use o MAB apenas quando for absolutamente necessário, e sempre coloque esses dispositivos em VLANs isoladas e altamente restritas, com ACLs estritas que permitam apenas o tráfego específico que esses dispositivos precisam para funcionar. A terceira armadilha é a má configuração do supplicant. Os dispositivos dos usuários finais podem estar configurados para validar o certificado do servidor, mas carecem da CA raiz necessária em seu repositório de confiança. Isso faz com que o dispositivo rejeite o certificado do servidor e falhe ao se conectar. A solução é usar o MDM para enviar perfis sem fio padronizados para todos os dispositivos corporativos, garantindo que a CA raiz correta seja confiável e o método EAP correto esteja configurado. Por fim, considere o caminho da sua rede. A alta latência entre o autenticador e o servidor RADIUS pode causar timeouts de EAP, resultando em falhas de conexão. Para empresas distribuídas com muitas filiais remotas, certifique-se de que sua arquitetura WAN forneça conectividade de baixa latência para seus serviços AAA centralizados. Vamos passar para o ROI e o impacto nos negócios. Por que passar por todo esse esforço? Primeiro, redução da sobrecarga operacional. Consolidar múltiplos SSIDs em uma única rede 802.1X com atribuição dinâmica de VLAN melhora o desempenho sem fio e reduz a complexidade de gerenciamento. Menos SSIDs significam menos sobrecarga de beacons, mais tempo de transmissão disponível e melhor rendimento para seus usuários. Segundo, conformidade. Se você está no varejo, a segmentação estrita de rede é um requisito do PCI DSS. Se você está na área da saúde, é exigida pela HIPAA. As políticas RADIUS fornecem os controles verificáveis e auditáveis que você precisa para passar em auditorias de conformidade e evitar penalidades financeiras significativas. Terceiro, experiência do usuário. A autenticação contínua e segura — particularmente via EAP-TLS ou OpenRoaming — elimina o atrito dos Captive Portals para usuários corporativos recorrentes e convidados VIP. Em ambientes de hotelaria e transporte, isso impacta diretamente os índices de satisfação e a fidelização de clientes. Agora, para o nosso perguntas e respostas rápido. Pergunta: 'Temos muitos dispositivos legados. Devemos continuar com o WPA2-PSK por simplicidade?' Resposta: Não. Faça a transição dos seus dispositivos compatíveis para o 802.1X e use o MAB para os dispositivos legados, colocando-os em segmentos isolados. Um único PSK comprometido coloca toda a sua rede em risco. Essa não é uma troca que valha a pena fazer. Pergunta: 'Como a Purple se encaixa em uma implantação RADIUS?' Resposta: A Purple fornece análises profundas sobre tendências de autenticação, duração das sessões e comportamento de roaming, o que é crítico para otimizar sua implantação. Além disso, como provedora de identidade para o OpenRoaming, ela simplifica o acesso seguro para convidados sem o atrito de um Captive Portal tradicional. Pergunta: 'Qual é o ganho mais rápido para uma equipe que está começando essa jornada?' Resposta: Implante o RADIUS em modo de monitoramento esta semana. Você ganhará visibilidade imediata sobre o seu cenário de autenticação e identificará os dispositivos e usuários que precisarão de atenção antes de aplicar as políticas. O conhecimento é o primeiro passo. Em resumo, configurar políticas RADIUS para controle de acesso à rede de grão fino é um investimento estratégico na segurança, no desempenho e na postura de conformidade da sua rede. Comece com um diretório de identidade limpo e bem estruturado. Aproveite a atribuição dinâmica de VLAN para consolidar seus SSIDs e otimizar seu ambiente de RF. Priorize a autenticação baseada em certificado para dispositivos corporativos. Use o MAB com moderação e segurança para IoT. E sempre faça a implementação em fases, começando com o modo de monitoramento. Obrigado por acompanhar este Informativo Técnico da Purple. Para guias mais detalhados, estratégias de implementação e para explorar como a plataforma de WiFi para convidados e análises da Purple pode se integrar com sua arquitetura de controle de acesso à rede, visite purple dot ai.

header_image.png

Resumo Executivo

Para locais corporativos — de complexos de varejo expansivos a estádios de alta densidade — a segurança da rede e a experiência do usuário estão intrinsecamente ligadas. Configurar políticas RADIUS para controle de acesso à rede granular fornece o mecanismo para segmentar o tráfego dinamicamente, garantindo que os ativos corporativos permaneçam isolados de redes de convidados e dispositivos IoT vulneráveis. Isso não é mais um upgrade discricionário; é um requisito fundamental impulsionado por mandatos de conformidade, incluindo PCI DSS e GDPR.

Este guia oferece um roteiro técnico detalhado para a implantação de controle de acesso baseado em RADIUS. Examinamos a arquitetura da autenticação IEEE 802.1X, a mecânica da atribuição dinâmica de VLAN via Atributos Específicos do Fornecedor (VSAs) e a integração de provedores de identidade, incluindo Active Directory, Entra ID e o provedor de identidade OpenRoaming da Purple. Ao ir além das chaves pré-compartilhadas (PSKs) básicas para a aplicação de políticas sensíveis ao contexto, os líderes de TI podem mitigar riscos, simplificar as operações e aproveitar plataformas como a Purple para transformar o WiFi de convidados de um centro de custo em um ativo estratégico. O foco em todo o documento é em estratégias acionáveis e neutras em relação ao fornecedor que entregam ROI mensurável e resiliência operacional.

Mergulho Técnico Profundo

A Arquitetura do Acesso Sensível ao Contexto

Em sua essência, a configuração de políticas RADIUS para controle de acesso à rede granular baseia-se no padrão IEEE 802.1X. Essa estrutura facilita o controle de acesso à rede baseado em porta, garantindo que apenas dispositivos autenticados e autorizados obtenham entrada em segmentos de rede específicos. A arquitetura consiste em três componentes principais: o suplicante (dispositivo cliente), o autenticador (ponto de acesso sem fio ou switch) e o servidor de autenticação (RADIUS).

radius_architecture_overview.png

Quando um dispositivo se conecta, o autenticador encapsula as mensagens do Protocolo de Autenticação Extensível (EAP) e as encaminha para o servidor RADIUS. O servidor RADIUS avalia as credenciais em relação a um repositório de identidade — como Active Directory, LDAP ou um provedor de identidade baseado em nuvem. Crucialmente, as implementações modernas de RADIUS não retornam apenas uma mensagem de Access-Accept ou Access-Reject. Elas retornam Atributos Específicos do Fornecedor (VSAs) que ditam o contexto de rede do usuário: atribuição de VLAN, aplicação de Lista de Controle de Acesso (ACL) e parâmetros de limitação de largura de banda.

Para implantações corporativas, entender Frequências de Wi-Fi: Um Guia para Frequências de Wi-Fi em 2026 é essencial, pois as características da camada física impactam diretamente o desempenho dos handshakes de autenticação em ambientes de alta densidade.

Atribuição Dinâmica de VLAN e Micro-segmentação

A aplicação mais poderosa das políticas RADIUS é a atribuição dinâmica de VLAN. Em vez de transmitir múltiplos SSIDs para diferentes grupos de usuários — o que degrada o desempenho de RF devido à sobrecarga de beacons — um único SSID habilitado para 802.1X pode atender a todos os usuários corporativos. O servidor RADIUS determina a VLAN apropriada com base na associação de grupo do usuário e em fatores contextuais.

Por exemplo, quando um membro da equipe de finanças se autentica, o servidor RADIUS instrui o ponto de acesso a colocar seu tráfego na VLAN 10. Quando um dispositivo IoT se autentica via MAC Authentication Bypass (MAB), ele é colocado em uma VLAN 40 isolada com ACLs rígidas. Essa abordagem reduz drasticamente a superfície de ataque e simplifica o ambiente de RF simultaneamente. Para implementações específicas de fornecedores, consulte Como Configurar Políticas de NAC para Direcionamento de VLAN no Cisco Meraki .

radius_policy_decision_flow.png

Seleção do Método EAP

A escolha do método EAP tem implicações significativas tanto para a postura de segurança quanto para a complexidade operacional. A tabela abaixo resume as principais opções:

Método EAP Mecanismo de Autenticação Caso de Uso Recomendado Nível de Segurança
EAP-TLS Baseado em certificado mútuo Dispositivos gerenciados corporativos com MDM Mais alto
PEAP-MSCHAPv2 Certificado do servidor + usuário/senha BYOD, dispositivos de funcionários Alto
EAP-TTLS Certificado do servidor + credenciais internas Ambientes mistos Alto
MAB Endereço MAC como credencial IoT sem interface gráfica, dispositivos legados Baixo (usar com ACLs rígidas)

Evite completamente protocolos legados como LEAP e EAP-MD5; eles são criptograficamente fracos e não devem aparecer em nenhuma implantação moderna.

Guia de Implantação

A implantação de uma infraestrutura RADIUS robusta exige planejamento meticuloso e execução em fases. As etapas a seguir descrevem uma abordagem neutra em relação ao fornecedor para configurar políticas RADIUS para controle de acesso à rede granular.

Fase 1: Integração da Fonte de Identidade

A base de qualquer política é um diretório de identidade limpo e bem estruturado. Seja utilizando o Active Directory local ou soluções nativas da nuvem como Entra ID ou Okta, os grupos do diretório devem ser mapeados diretamente para os segmentos de rede pretendidos.

  1. Auditar Grupos Existentes: Certifique-se de que os grupos de usuários sejam lógicos e mutuamente exclusivos sempre que possível. Remova contas inativas e consolide grupos sobrepostos.
  2. Definir Níveis de Acesso:** Estabeleça níveis claros — Executivo, Equipe, Terceirizado, Convidado, IoT — com direitos de acesso documentados para cada um.
  3. Integrar a Purple como Provedor de Identidade: Para redes voltadas ao público, a Purple atua como um provedor de identidade gratuito para serviços como OpenRoaming sob a licença Connect. Isso preenche perfeitamente a lacuna entre o acesso público de Guest WiFi e frameworks de autenticação seguros, eliminando a necessidade de um Captive Portal tradicional para usuários recorrentes.

Fase 2: Configuração de Políticas e Mapeamento de Atributos

Configure o servidor RADIUS para avaliar as solicitações recebidas com base em múltiplos fatores contextuais, não apenas em credenciais.

  • Protocolos de Autenticação: Exija EAP-TLS para dispositivos corporativos. Implante PEAP-MSCHAPv2 para BYOD. Imponha-os por meio da política do RADIUS, rejeitando conexões que tentem métodos mais fracos.
  • Correspondência de Condições: Crie políticas que avaliem o NAS-IP-Address (o IP do autenticador), o Called-Station-Id (o SSID) e a hora do dia. O perfil de acesso de um terceirizado às 02:00 deve diferir materialmente de seu perfil às 09:00.
  • Perfis de Imposição: Defina os atributos RADIUS a serem retornados. Os atributos padrão de atribuição de VLAN são: Tunnel-Type=VLAN, Tunnel-Medium-Type=802 e Tunnel-Private-Group-Id=[VLAN_ID].

Fase 3: Implantação Gradual e Monitoramento

Nunca implante a imposição do 802.1X em toda a empresa simultaneamente.

  1. Modo de Monitoramento: Implante políticas no modo de monitoramento ou auditoria, onde as falhas de autenticação são registradas, mas o acesso ainda é concedido. Isso identifica suplicantes mal configurados e dispositivos legados antes que a imposição comece.
  2. Imposição Direcionada: Ative a imposição por local ou por departamento, resolvendo os problemas antes de expandir o escopo.
  3. Integração de Analytics: Aproveite plataformas como o WiFi Analytics da Purple para monitorar taxas de sucesso de autenticação, durações de sessão e comportamento de roaming. Esses dados são críticos para identificar lacunas de cobertura e gargalos de autenticação.

Boas Práticas

Ao configurar políticas RADIUS para controle de acesso à rede refinado, a adesão aos padrões do setor garante estabilidade e segurança a longo prazo.

Autenticação Baseada em Certificado (EAP-TLS): Sempre que possível, implante o EAP-TLS. Ele elimina os riscos associados ao roubo de credenciais e à fadiga de senhas. Plataformas de Gerenciamento de Dispositivos Móveis (MDM) podem automatizar o provisionamento de certificados em escala.

Implementar Mitigação de Randomização de MAC: Os sistemas operacionais móveis modernos utilizam a randomização de endereços MAC para proteger a privacidade do usuário. Para implantações de Guest WiFi , garanta que seu Captive Portal e sistemas de bilhetagem RADIUS lidem com a mudança de endereços MAC de forma suave — por exemplo, confiando em tokens de sessão ou perfis de dispositivos persistentes gerados durante a integração inicial.

Redundância e Failover: O RADIUS é um componente de infraestrutura crítico. Implante servidores RADIUS em clusters de alta disponibilidade em locais geograficamente diversos. Configure autenticadores com IPs de servidores primários e secundários e estabeleça valores agressivos de timeout e repetição para minimizar atrasos de autenticação durante eventos de failover.

Aproveitar Dados Contextuais: Incorpore dados de localização nas decisões de política. Um terceirizado pode ter acesso concedido a recursos internos quando conectado a um AP no bloco de engenharia, mas restrito ao acesso apenas à internet quando conectado na cafeteria. As tecnologias discutidas em BLE Low Energy Explained for Enterprise podem aumentar esse contexto de localização com dados de posicionamento de precisão.

Solução de Problemas e Mitigação de Riscos

A complexidade das implantações 802.1X introduz modos de falha específicos. A mitigação proativa de riscos é essencial para manter o tempo de atividade.

Modos de Falha Comuns

Modo de Falha Causa Raiz Mitigação
Falha de autenticação em massa Servidor RADIUS expirado ou certificado de CA raiz Gerenciamento do ciclo de vida do certificado com alertas automatizados em 90/60/30 dias
Falhas em dispositivos individuais Má configuração do suplicante ou ausência de CA raiz Perfis sem fio enviados por MDM com o repositório de confiança correto
Timeout de EAP Alta latência de WAN para RADIUS centralizado Otimizar o caminho da WAN; considerar RADIUS distribuído ou proxy RADIUS
Falhas em dispositivos IoT O dispositivo não suporta 802.1X Implantar MAB com isolamento estrito de VLAN e ACLs

Para empresas distribuídas, a arquitetura discutida em SD WAN vs MPLS: The 2026 Enterprise Network Guide é diretamente relevante para garantir conectividade de baixa latência para serviços AAA centralizados em vários locais.

ROI e Impacto nos Negócios

Investir o esforço de engenharia necessário para configurar políticas RADIUS para controle de acesso à rede refinado gera retornos substanciais e mensuráveis em várias dimensões.

Redução de Custos Operacionais: A consolidação de múltiplos SSIDs em uma única rede 802.1X com atribuição dinâmica de VLAN reduz a interferência de RF, melhora o tempo de transmissão disponível e simplifica o gerenciamento contínuo. As equipes relatam uma redução significativa nos chamados de suporte relacionados à conectividade WiFi assim que uma implantação estável do 802.1X é estabelecida.

Melhoria na Postura de Conformidade: Para setores como Varejo e Saúde , a segmentação estrita de rede é um requisito regulatório — PCI DSS e HIPAA, respectivamente. As políticas RADIUS fornecem os controles verificáveis e auditáveis necessários para passar em auditorias de conformidade e evitar penalidades financeiras substanciais. Para organizações do setor público, as obrigações da GDPR em relação à segregação de dados são tratadas de forma semelhante.

Melhoria na Experiência do Usuário: A autenticação contínua e segura — particularmente via EAP-TLS ou OpenRoaming — elimina o atrito dos Captive Portals para usuários corporativos recorrentes e convidados VIP. Em locais de Hospitalidade e Transporte , isso afeta diretamente as métricas de satisfação e o engajamento recorrente.

Definições principais

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA) para usuários que se conectam e usam um serviço de rede. Definido na RFC 2865.

O mecanismo central para controle de acesso à rede corporativa, determinando quem entra na rede, o que pode acessar e registrando a atividade para fins de auditoria.

IEEE 802.1X

Um padrão IEEE para Controle de Acesso à Rede Baseado em Porta (PNAC). Ele fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN, bloqueando todo o tráfego até que a autenticação seja concluída.

O padrão que força um dispositivo a provar sua identidade antes de ser permitido enviar qualquer tráfego de dados na rede. O mecanismo de aplicação que torna as políticas RADIUS acionáveis.

EAP (Extensible Authentication Protocol)

Uma estrutura de autenticação frequentemente usada em redes sem fio e conexões ponto a ponto. Ela fornece uma camada de transporte para métodos de autenticação (métodos EAP), como TLS ou MSCHAPv2.

O envelope que carrega as credenciais de autenticação reais entre o cliente e o servidor RADIUS. A escolha do método EAP determina o nível de segurança da troca de autenticação.

VSA (Vendor-Specific Attribute)

Atributos dentro de uma mensagem RADIUS que permitem aos fornecedores suportar atributos estendidos não definidos nas RFCs RADIUS básicas. Usados para transmitir instruções de política de rede do servidor RADIUS para o autenticador.

O mecanismo pelo qual o RADIUS instrui o hardware de rede a atribuir um usuário a uma VLAN específica, aplicar uma função de firewall ou impor limites de largura de banda. Sem VSAs, o RADIUS só pode permitir ou negar o acesso.

Dynamic VLAN Assignment

O processo onde um servidor RADIUS instrui um ponto de acesso ou switch a colocar o tráfego de um usuário em uma VLAN específica com base em sua identidade, associação de grupo ou atributos contextuais.

A técnica fundamental para microsegmentação de rede. Permite que uma única infraestrutura física suporte com segurança múltiplos grupos de usuários distintos sem transmitir múltiplos SSIDs.

Supplicant

O cliente de software em um dispositivo de usuário final (laptop, smartphone, dispositivo IoT) que inicia e negocia a troca de autenticação 802.1X com o autenticador de rede.

Integrado em sistemas operacionais modernos (Windows, macOS, iOS, Android). Supplicants mal configurados — particularmente configurações incorretas de confiança de certificado — são a fonte mais comum de problemas de conectividade 802.1X.

Authenticator

O dispositivo de rede (ponto de acesso sem fio ou switch Ethernet) que atua como o ponto de aplicação em uma implantação 802.1X. Ele retransmite mensagens EAP entre o supplicant e o servidor RADIUS e aplica a decisão de política.

O guardião. O autenticador bloqueia todo o tráfego de uma porta ou associação sem fio até que o servidor RADIUS retorne uma mensagem Access-Accept, momento em que ele aplica as VSAs retornadas.

MAB (MAC Authentication Bypass)

Um método de autenticação de fallback onde o endereço MAC do dispositivo de rede é enviado como sua credencial para o servidor RADIUS. Usado para dispositivos que não suportam supplicants 802.1X.

Uma ferramenta operacional necessária para dispositivos IoT legados e headless, mas inerentemente menos segura do que a autenticação criptográfica. Deve sempre ser combinada com isolamento estrito de VLAN e ACLs.

EAP-TLS (EAP Transport Layer Security)

Um método EAP baseado em certificado que fornece autenticação mútua entre o cliente e o servidor RADIUS usando certificados X.509. Considerado o método EAP mais seguro disponível.

O método de autenticação recomendado para dispositivos gerenciados pela empresa. Elimina completamente os riscos de credenciais baseadas em senha. Requer uma infraestrutura PKI e MDM para provisionamento de certificados.

Exemplos práticos

Um grande centro de convenções precisa fornecer acesso WiFi seguro e segmentado para a equipe do evento, expositores e participantes em geral. Atualmente, eles transmitem três SSIDs separados, o que está causando interferência de canal adjacente significativa e baixo desempenho em pavilhões de exposição de alta densidade.

O local faz a transição para um único SSID habilitado para 802.1X chamado 'Conference_Secure'. Eles implementam um servidor RADIUS integrado com seu banco de dados de gestão de eventos.

  1. A equipe do evento se autentica usando suas credenciais corporativas via PEAP-MSCHAPv2. A política RADIUS corresponde ao seu grupo do Active Directory e retorna Tunnel-Private-Group-Id=10 (VLAN da Equipe), concedendo acesso aos sistemas internos de gestão de AV.
  2. Os expositores recebem credenciais exclusivas e com limite de tempo vinculadas à reserva do seu estande. Após a autenticação, o servidor RADIUS retorna Tunnel-Private-Group-Id=20 (VLAN do Expositor), que possui ACLs que permitem o acesso a servidores de apresentação específicos e saída para a internet.
  3. Os participantes em geral usam um SSID aberto separado com um Captive Portal integrado com a Purple para coleta de dados de marketing, gestão de consentimento e acesso básico à internet.

O resultado é uma redução de 40% na sobrecarga de quadros de gerenciamento, melhora mensurável no rendimento nos pavilhões de exposição e uma trilha de auditoria clara para fins de conformidade.

Comentário do examinador: Esta abordagem resolve o problema de interferência de RF ao reduzir a sobrecarga de SSID de três para dois (um seguro, um aberto para convidados). A atribuição dinâmica de VLAN alcança uma segmentação de rede rigorosa sem sacrificar a experiência do usuário. A integração da Purple para a rede de participantes em geral garante que os objetivos de marketing sejam alcançados, mantendo a segurança para as operações internas. As credenciais com limite de tempo para expositores são uma prática particularmente forte — elas expiram automaticamente, eliminando o risco de reutilização de credenciais após o evento.

Uma rede de varejo precisa proteger milhares de terminais de Ponto de Venda (POS) sem fio em 500 locais. Atualmente, eles usam WPA2-PSK, e a TI está preocupada com o risco operacional de rotacionar a chave pré-compartilhada em 500 sites, bem como com as descobertas de auditoria do PCI DSS.

A equipe de TI implanta uma infraestrutura RADIUS centralizada e configura os terminais POS para autenticação EAP-TLS.

  1. Uma solução MDM envia um certificado de cliente exclusivo para cada terminal POS durante o provisionamento.
  2. Os pontos de acesso sem fio em cada loja são configurados para encaminhar solicitações de autenticação para os servidores RADIUS centrais através da estrutura SD-WAN.
  3. A política RADIUS verifica o certificado do cliente em relação à PKI interna e retorna atributos para colocar o dispositivo na VLAN POS isolada (VLAN 50), atendendo aos requisitos de segmentação de rede do PCI DSS.
  4. Uma lista de revogação de certificados (CRL) é mantida, permitindo que a TI coloque instantaneamente em quarentena um terminal perdido ou roubado, revogando seu certificado — sem impactar nenhum outro dispositivo.
Comentário do examinador: A migração de PSK para EAP-TLS para dispositivos headless é uma atualização de segurança significativa que aborda diretamente os requisitos do PCI DSS para segmentação de rede e controle de acesso. A capacidade de revogação de certificados é uma grande vantagem operacional sobre o PSK — em vez de rotacionar um segredo compartilhado em 500 sites, um único certificado pode ser revogado em segundos. O uso de certificados exclusivos por dispositivo também fornece uma trilha de auditoria completa de qual terminal específico se conectou, quando e de qual local.

Questões práticas

Q1. Um hospital precisa implantar novas bombas de infusão sem fio em três enfermarias. Esses dispositivos não suportam supplicants 802.1X. O CISO exige que esses dispositivos sejam completamente isolados da rede corporativa e possam se comunicar apenas com o servidor de gestão clínica específico em 10.5.1.20. Como você deve configurar a política de controle de acesso à rede?

Dica: Considere como os dispositivos sem recursos 802.1X podem ser identificados e o princípio do menor privilégio ao definir a ACL.

Ver resposta modelo

Implemente o MAC Authentication Bypass (MAB). Registre os endereços MAC de todas as bombas de infusão no banco de dados RADIUS durante o processo de provisionamento. Crie uma política RADIUS específica que corresponda a esses endereços MAC e retorne VSAs atribuindo-os a uma VLAN IoT isolada (por exemplo, VLAN 60). Aplique ACLs estritas a esta VLAN permitindo tráfego de saída apenas para 10.5.1.20 nas portas de gestão clínica exigidas, e bloqueando todo o outro tráfego inter-VLAN e de internet. Adicionalmente, configure DHCP snooping e inspeção ARP dinâmica na VLAN IoT para evitar ataques de spoofing.

Q2. Após uma aquisição recente, uma empresa agora possui dois domínios distintos do Active Directory: corp.acme.com e corp.legacy.com. Eles querem que todos os funcionários de ambas as entidades usem o mesmo SSID 'ACME_Corporate' sem migrar o domínio legado. Como o RADIUS pode facilitar isso?

Dica: Pense em como o RADIUS lida com o roteamento de autenticação com base no domínio de identidade e como os servidores de política podem fazer proxy de solicitações para diferentes diretórios de backend.

Ver resposta modelo

Configure a infraestrutura RADIUS (usando um servidor de política como Cisco ISE, Aruba ClearPass ou um proxy RADIUS) para avaliar o sufixo de domínio fornecido na identidade EAP do usuário — por exemplo, usuario@corp.acme.com versus usuario@corp.legacy.com . Crie políticas de roteamento que encaminhem as solicitações de autenticação para o domínio do Active Directory de backend apropriado com base no domínio. Defina perfis de aplicação padronizados que retornem VSAs de VLAN consistentes, independentemente do domínio de backend, garantindo que os usuários de ambas as entidades recebam o posicionamento de rede correto. Esta abordagem evita uma migração de diretório disruptiva, mantendo uma experiência de usuário unificada.

Q3. Você está projetando o WiFi para um estádio de 60.000 assentos. O design atual do cliente especifica 8 SSIDs separados para diferentes funções da equipe: Bilheteria, Segurança, Concessões, Médico, Mídia, Operações, VIP e Manutenção. Qual é a sua recomendação e por quê?

Dica: Considere o impacto da sobrecarga de quadros de gerenciamento no desempenho sem fio em um ambiente de RF de alta densidade.

Ver resposta modelo

Aconselhe fortemente contra a transmissão de 8 SSIDs. Em um ambiente de alta densidade, cada SSID gera quadros de beacon em cada ponto de acesso em intervalos regulares, consumindo um tempo de transmissão significativo e reduzindo a capacidade disponível para o tráfego de dados real. A recomendação é consolidar todas as funções da equipe em um único SSID habilitado para 802.1X. Utilize a atribuição dinâmica de VLAN do RADIUS para segmentar o tráfego no backend — quando um dispositivo de bilheteria se autentica, o RADIUS o coloca na VLAN de Bilheteria; quando um dispositivo médico se autentica, ele vai para la VLAN Médica com as ACLs apropriadas. Isso fornece a separação lógica necessária enquanto otimiza o ambiente de RF físico. Um SSID aberto separado com um Captive Portal pode lidar com o acesso do público em geral.

Continue a ler esta série

Gerenciamento de WiFi para Hóspedes de Hotel: Integrando PMS, Portais e Padrões de Marca

Este guia técnico detalha como arquitetar redes WiFi de hotel de nível empresarial, focando na segmentação de VLAN, integração de PMS para gerenciamento automatizado de sessões e otimização de Captive Portal para captura de dados em conformidade com a GDPR.

Ler o guia →

How to Set Up Guest WiFi: A Secure Enterprise Configuration Guide

Este guia definitivo oferece aos líderes de TI e arquitetos de rede um modelo definitivo para implantar um guest WiFi corporativo seguro. Ele abrange a arquitetura essencial, migração para WPA3, segmentação de VLAN e integração de Captive Portal para proteger os sistemas internos enquanto captura dados primários em conformidade.

Ler o guia →

Gerenciamento de largura de banda para WiFi de funcionários: Modelagem, QoS e redução de tráfego

Este guia detalha métodos práticos para gerenciar a largura de banda do WiFi de funcionários em ambientes corporativos. Ele aborda modelagem de tráfego, implementação de QoS e como a implantação do Purple Shield reduz a carga da rede sem a necessidade de atualizações de infraestrutura.

Ler o guia →