EAP-TLS vs EAP-TTLS: Qual Protocolo de WiFi Baseado em Certificado Você Deve Escolher?
Este guia fornece uma comparação definitiva e direta entre EAP-TLS e EAP-TTLS para autenticação de WiFi corporativo sob a norma 802.1X. Ele explica a diferença arquitetônica entre autenticação mútua por certificado e tunelamento de certificado apenas no servidor, e oferece aos gerentes de TI, arquitetos de rede e CISOs uma estrutura clara de decisão baseada em recursos de gerenciamento de dispositivos e requisitos de conformidade. A Purple suporta os caminhos de autenticação EAP-TLS e EAP-TTLS para WiFi de funcionários, e este guia ajuda as organizações a entender os prós e contras da infraestrutura antes de se comprometerem com qualquer uma das abordagens.
Ouça este guia
Ver transcrição do podcast
- Resumo Executivo
- Análise Técnica Detalhada
- Arquitetura do EAP-TLS
- Estrutura do EAP-TTLS
- Comparação Lado a Lado
- Guia de Implantação
- Implantando EAP-TLS para Frotas Gerenciadas
- Implantando EAP-TTLS para Ambientes Mistos
- Melhores Práticas
- Imponha a Validação de Certificado do Servidor em Todos os Clientes
- Automatize o Gerenciamento do Ciclo de Vida dos Certificados
- Segmente Sua Rede por Método de Autenticação
- Sincronize o Horário em Toda a Infraestrutura
- Solução de Problemas e Mitigação de Riscos
- Erros de CA Desconhecida
- Incompatibilidade do Método EAP
- Falhas em Massa Devido a Certificados Expirados
- Incompatibilidade de Configuração do Cliente RADIUS
- Conformidade e Alinhamento Regulatório
- Retorno sobre o Investimento (ROI) e Impacto nos Negócios

Resumo Executivo
A escolha do método EAP correto para sua implantação 802.1X determina se o seu WiFi empresarial é realmente seguro ou apenas em conformidade no papel. O EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), definido na RFC 5216, exige autenticação mútua por certificado: tanto o dispositivo cliente quanto o servidor RADIUS apresentam certificados X.509 válidos antes que o acesso à rede seja concedido. Em nenhum momento as senhas são trocadas. O EAP-TTLS (Tunneled Transport Layer Security), definido na RFC 5281, exige apenas um certificado do lado do servidor para estabelecer um túnel TLS criptografado, dentro do qual o cliente se autentica usando as credenciais de diretório existentes.
Para CTOs e arquitetos de rede que gerenciam infraestrutura em redes de varejo, locais de hospitalidade e organizações do setor público, essa decisão se resume a uma pergunta: você gerencia os dispositivos? Se você controla a frota de dispositivos via MDM, o EAP-TLS é a escolha definitiva. Se você suporta um ambiente BYOD diversificado ou não possui uma Public Key Infrastructure (PKI) robusta, o EAP-TTLS oferece uma alternativa pragmática e altamente segura. A Purple suporta ambos os caminhos de autenticação para Staff WiFi em mais de 80.000 locais ativos.

Análise Técnica Detalhada
Arquitetura do EAP-TLS
O EAP-TLS opera em um modelo de autenticação mútua dentro da estrutura de controle de acesso baseado em porta IEEE 802.1X. Cada troca de autenticação envolve três componentes principais: o suplicante (dispositivo cliente), o autenticador (ponto de acesso sem fio) e o servidor de autenticação (servidor RADIUS). O ponto de acesso não toma a decisão de autenticação por si só. Ele age como um relé transparente, encapsulando mensagens EAP em pacotes RADIUS e encaminhando-as para o servidor de autenticação. O handshake EAP-TLS ocorre da seguinte forma. O ponto de acesso envia um EAP-Request/Identity para o dispositivo de conexão. O dispositivo responde com sua identidade. O servidor RADIUS inicia o handshake TLS com uma mensagem EAP-TLS/Start. O cliente envia um ClientHello, anunciando suas suítes de cifra TLS suportadas. O servidor RADIUS responde com um ServerHello, seu certificado de servidor X.509 e uma solicitação de certificado. O cliente valida o certificado do servidor em relação ao seu repositório de CA raiz confiável. Se a validação falhar, o handshake é encerrado - fornecendo proteção contra pontos de acesso maliciosos. O cliente então apresenta seu próprio certificado X.509. O servidor RADIUS valida o certificado do cliente, verificando a cadeia de assinatura até a CA raiz confiável, confirmando que o certificado não expirou e consultando a lista de revogação de certificados (CRL) ou o OCSP. Somente quando ambas as partes estão satisfeitas o túnel TLS é estabelecido e o acesso à rede é concedido.
Como nenhuma senha é trocada, o EAP-TLS está protegido contra ataques de dicionário offline, credential stuffing e phishing. É o único método EAP que atende aos requisitos do WPA3-Enterprise de 192 bits (Suite B), sendo exigido ou fortemente recomendado pelo PCI-DSS 4.0 para ambientes de dados de portadores de cartão e pelo NIST SP 800-120 para implantações de WiFi de alta segurança.
O EAP-TLS requer uma PKI. Você precisa de pelo menos uma CA raiz offline e uma CA emissora online. A CA raiz deve ser mantida isolada fisicamente (air-gapped), pois sua chave privada é a âncora de confiança mestre para toda a sua hierarquia de certificados. A CA emissora lida com a emissão diária de certificados e publica CRLs. Os certificados de cliente são emitidos para dispositivos individuais, não para usuários - este é um modelo de identidade de dispositivo. Essa distinção é crítica para dispositivos IoT, terminais compartilhados e sistemas headless.
Estrutura do EAP-TTLS
O EAP-TTLS foi projetado para fornecer segurança 802.1X robusta sem a carga operacional de implantar certificados em cada dispositivo cliente. Ele funciona em duas fases. Na primeira fase, o servidor RADIUS apresenta seu certificado e estabelece um túnel TLS seguro. Apenas o servidor requer um certificado. Na segunda fase, o cliente é autorizado dentro desse túnel criptografado usando um método de autenticação interno. Métodos internos comuns incluem PAP (Password Authentication Protocol), CHAP e MS-CHAPv2. O cliente envia seu nome de usuário e senha, mas como essa troca ocorre dentro do túnel TLS, as credenciais são criptografadas em trânsito e nunca são expostas pelo ar.
O EAP-TTLS oferece excelente suporte multiplataforma no macOS, Linux, Android e iOS. A ressalva está no Windows: o suplicante integrado do Windows não oferece suporte nativo ao EAP-TTLS para 802.1X sem fio de forma imediata. Ambientes com um grande volume de dispositivos Windows podem exigir um suplicante de terceiros, o que aumenta a complexidade operacional. Para ambientes centrados em Windows, o PEAP com MS-CHAPv2 costuma ser a escolha mais pragmática.
A maior limitação do EAP-TTLS é que ele não elimina os riscos inerentes das senhas. Se um usuário escolhe uma senha fraca, ela permanece vulnerável a ataques de força bruta offline. Se a autenticação interna usa PAP, a senha é enviada em texto simples dentro do túnel - o que é aceitável se você confia em sua infraestrutura RADIUS, mas continua sendo um modelo de confiança essencial de se compreender.
Comparação Lado a Lado
| Recurso | EAP-TLS | EAP-TTLS |
|---|---|---|
| Padrão RFC | RFC 5216 | RFC 5281 |
| Certificado de Cliente Obrigatório | Sim | Não |
| Certificado de Servidor Obrigatório | Sim | Sim |
| Modelo de Autenticação | Mútua (Ambos os Lados) | Apenas Servidor |
| Risco de Senha | Nenhum - Sem Senha | Senha em Túnel Criptografado |
| Requisito de PKI | PKI Completa (CA Raiz + CA Emissora + MDM) | Apenas Certificado de Servidor |
| WPA3-Enterprise 192-bit | Método Obrigatório | Não Suportado |
| Alinhamento PCI-DSS 4.0 | Fortemente Recomendado | Aceitável com Autenticação Interna Forte |
| Adequação para BYOD | Baixa (Exige Certificado de Cliente) | Alta (Apenas Credenciais) |
| Adequação para Dispositivos IoT | Alta (Certificado Provisionado no Staging) | Baixa (Sem UI para Inserção de Credenciais) |
| Suporte Nativo do Windows | Sim | Parcial (Frequentemente Exige Suplicante de Terceiros) |
| Suporte macOS/Linux/Android | Sim | Sim |
| Complexidade de Implantação | Alta | Média |
Guia de Implantação
Implantando EAP-TLS para Frotas Gerenciadas
A implantação do EAP-TLS exige uma PKI funcional e uma plataforma de MDM. A instalação manual de certificados não é viável em escala empresarial. Você deve integrar sua PKI com seu MDM usando SCEP (Simple Certificate Enrolment Protocol) ou EST (Enrolment over Secure Transport). Quando um dispositivo corporativo é registrado, ele solicita e recebe automaticamente seu certificado sem a intervenção do usuário.
Para o gerenciamento de identidade, o Purple atua como um provedor de identidade gratuito para serviços como OpenRoaming sob a licença do Purple Connect, facilitando o roaming seguro entre diferentes locais usando frameworks subjacentes de certificado e identidade.
No lado do RADIUS, configure seu servidor para validar os certificados dos clientes em relação à sua CA interna e verificar as CRLs ou usar OCSP para verificação de revogação em tempo real. As plataformas RADIUS suportadas incluem FreeRADIUS, Microsoft NPS e Cisco ISE. A sobreposição de nuvem do Purple integra-se com hardware Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet.
Implantando EAP-TTLS para Ambientes Mistos
O EAP-TTLS é a escolha ideal para ambientes com dispositivos não gerenciados. Você só precisa implantar um certificado confiável em seu servidor RADIUS. Certifique-se de que seu servidor RADIUS se integre diretamente com seu serviço de diretório - Microsoft Entra ID, Okta ou Google Workspace - para validar as credenciais de autenticação interna. Configure seus perfis de WiFi implantados via MDM para impor a validação do certificado do servidor em relação à sua CA confiável específica. Sem essa etapa, o túnel TLS não oferece proteção contra pontos de acesso maliciosos.

Melhores Práticas
Imponha a Validação de Certificado do Servidor em Todos os Clientes
A etapa de configuração mais crítica tanto para EAP-TLS quanto para EAP-TTLS é impor a validação de certificado do servidor nos dispositivos de clientes. Se um dispositivo não validar o certificado do servidor RADIUS em relação a uma CA confiável específica, ele se conectará a qualquer servidor que apresente qualquer certificado - incluindo um ponto de acesso invasor. Sempre especifique a CA confiável e o nome do servidor esperado em seus perfis WiFi implantados por MDM. Essa única verificação de configuração é a melhoria de segurança mais eficaz que você pode implementar hoje.
Automatize o Gerenciamento do Ciclo de Vida dos Certificados
Certificados expiram. Se você não tiver um processo de renovação automatizado, enfrentará falhas em massa de autenticação quando os certificados expirarem simultaneamente. Use SCEP ou EST para automatizar as renovações e configure alertas de monitoramento bem antes das datas de expiração. Se um dispositivo for perdido ou um funcionário sair, revogue o certificado imediatamente. Configure seu servidor RADIUS para verificar CRLs ou use OCSP para validação em tempo real.
Segmente Sua Rede por Método de Autenticação
Em ambientes grandes ou distribuídos, considere executar ambos os protocolos em SSIDs separados. Dispositivos corporativos gerenciados se autenticam via EAP-TLS em um SSID de WiFi dedicado para funcionários. Prestadores de serviços e dispositivos BYOD se autenticam via EAP-TTLS em um SSID separado com a segmentação de VLAN apropriada. Esse padrão é comum em grupos hoteleiros como Premier Inn e Whitbread, onde os dispositivos da equipe são gerenciados e recebem certificados, enquanto a infraestrutura de hóspedes usa um caminho de autenticação separado. Para mais detalhes sobre arquitetura de SSID, consulte nosso guia Three SSIDs to rule them all: the WiFi design for guest, staff and IoT .
Sincronize o Horário em Toda a Infraestrutura
A validação de certificados depende do horário preciso do sistema. O desvio de horário nos dispositivos dos clientes ou nos servidores RADIUS gera erros de certificado "ainda não válido" ou "expirado" que são difíceis de diagnosticar. Certifique-se de que todos os componentes da infraestrutura estejam sincronizados com servidores NTP confiáveis.
Solução de Problemas e Mitigação de Riscos
Erros de CA Desconhecida
Se os logs do RADIUS mostrarem "CA desconhecida", o dispositivo do cliente não confia na CA que emitiu o certificado do servidor RADIUS. Verifique se o seu perfil MDM inclui o certificado da CA raiz e se o solicitante está configurado para confiar nele. Após uma rotação de CA ou renovação de certificado, envie novamente o pacote de CA atualizado para todos os dispositivos.
Incompatibilidade do Método EAP
Se os dispositivos se conectarem ao access point mas a autenticação falhar, verifique se o método EAP configurado no cliente corresponde ao método aceito pelo servidor RADIUS. Um perfil de dispositivo configurado para EAP-TLS falhará em um servidor RADIUS configurado apenas para PEAP.
Falhas em Massa Devido a Certificados Expirados
Se um grande número de dispositivos falhar ao se autenticar simultaneamente, verifique primeiro as datas de expiração dos certificados. Esta é a causa mais comum de falhas massivas de 802.1X em implantações EAP-TLS. Implemente um sistema de monitoramento que envie alertas 60 dias, 30 dias e sete dias antes da expiração.
Incompatibilidade de Configuração do Cliente RADIUS
Cada access point ou controladora wireless deve ser definido como um cliente RADIUS com o endereço IP e segredo compartilhado corretos. Incompatibilidades causam tempos limite de autenticação que geralmente são atribuídos incorretamente ao método EAP. Ative o log detalhado do RADIUS desde o primeiro dia. Para obter mais orientações sobre solução de problemas de WiFi, consulte nosso guia Troubleshooting Public WiFi: Fixing 'Connected, No Internet' and Splash Page Redirection Failures .
-
Conformidade e Alinhamento Regulatório
Para CISOs e arquitetos de rede, compreender o cenário regulatório é essencial ao decidir entre EAP-TLS e EAP-TTLS. A escolha do método EAP afeta diretamente sua postura de conformidade em várias estruturas importantes.
PCI DSS 4.0 (Payment Card Industry Data Security Standard) exige autenticação criptográfica forte para redes sem fio em ambientes de dados de portadores de cartão. O Requisito 8.3 exige autenticação multifator para todo o acesso ao CDE, e as redes sem fio no escopo devem utilizar mecanismos de autenticação forte. O EAP-TLS, com autenticação mútua baseada em certificado, atende definitivamente a esse requisito. O EAP-TTLS com MS-CHAPv2 é aceitável se a autenticação interna for devidamente protegida e a validação do certificado do servidor for aplicada, mas o EAP-TLS é a escolha mais robusta e amigável para auditores. HIPAA (Health Insurance Portability and Accountability Act) exige que as entidades cobertas implementem salvaguardas técnicas que protejam as informações eletrônicas de saúde protegidas (ePHI) transmitidas por redes de comunicações eletrônicas. A Regra de Segurança HIPAA não exige protocolos específicos, mas a expectativa de criptografia e controle de acesso para redes sem fio que transportam ePHI pende fortemente a favor do EAP-TLS para frotas de dispositivos médicos gerenciados e do EAP-TTLS com validação obrigatória de certificado de servidor para dispositivos de funcionários. WPA3-Enterprise 192-bit (também conhecido como modo Suite B ou CNSA) é o nível de segurança mais alto da certificação WPA3 da Wi-Fi Alliance. Ele define o EAP-TLS como o único método de autenticação permitido, exige TLS 1.2 ou superior com conjuntos de cifras específicos (ECDHE com P-384, AES-256-GCM) e exige certificados ECDSA ou RSA-3072. Organizações que implantam WPA3-Enterprise 192-bit para aplicações governamentais, de defesa ou de infraestrutura crítica devem usar EAP-TLS. O ISO/IEC 27001 não exige protocolos específicos, mas requer que as organizações implementem controles de acesso apropriados para recursos de rede. Uma implantação de 802.1X com EAP-TLS ou EAP-TTLS (com validação obrigatória de certificado de servidor) atende aos requisitos de controle de acesso à rede do Anexo A.9.1 e A.13.1.
-
Retorno sobre o Investimento (ROI) e Impacto nos Negócios
A migração para o EAP-TLS exige um investimento inicial na integração de PKI e MDM, mas elimina a sobrecarga operacional de redefinições de senha e o risco financeiro de violações de rede devido a credenciais comprometidas. Para uma rede de varejo com 400 lojas, uma única senha comprometida em uma rede PSK compartilhada pode colocar em risco todo o patrimônio. O EAP-TLS elimina completamente esse vetor de ataque.
Para ambientes multi-inquilino e hubs de transporte, a autenticação segura garante que apenas usuários autorizados acessem a largura de banda da rede, otimizando assim a utilização da infraestrutura. A atribuição dinâmica de VLAN por meio de atributos de certificado RADIUS permite a segmentação de rede aplicada criptograficamente, garantindo que os dispositivos sejam colocados no segmento de rede correto com base nas propriedades do certificado, em vez de depender da seleção de SSID ou filtragem de endereço MAC.
A plataforma de WiFi Analytics da Purple se integra a ambos os caminhos de autenticação, oferecendo visibilidade sobre o número de dispositivos, a duração das sessões e a utilização da rede em todo o seu patrimônio. Para orientações de implantação específicas para o seu setor, explore nossos recursos para Hospitalidade , Varejo , Saúde e Transporte .
Definições principais
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
Um método de autenticação 802.1X definido na RFC 5216 que exige que o dispositivo cliente e o servidor RADIUS apresentem certificados X.509 válidos. Nenhuma senha é trocada. A autenticação é mútua e vinculada criptograficamente.
O padrão ouro para segurança sem fio empresarial. Necessário para WPA3-Enterprise de 192 bits e fortemente recomendado para ambientes de dados de portadores de cartão PCI-DSS 4.0.
EAP-TTLS (Extensible Authentication Protocol - Tunneled Transport Layer Security)
Um método de autenticação 802.1X definido na RFC 5281 que exige apenas um certificado do lado do servidor para estabelecer um túnel TLS criptografificado. O cliente se autentica dentro do túnel usando um método de autenticação interno secundário, normalmente um nome de usuário e senha.
A escolha preferida para ambientes BYOD e redes com sistemas operacionais mistos onde a implantação de certificados de cliente é operacionalmente inviável.
802.1X
Um padrão IEEE para controle de acesso à rede baseado em porta que fornece um mecanismo de autenticação para dispositivos que se conectam a uma LAN ou WLAN. Ele define as funções de suplicante, autenticador e servidor de autenticação.
A estrutura fundamental que permite que as redes corporativas autentiquem dispositivos individuais em vez de depender de uma única senha compartilhada. Tanto o EAP-TLS quanto o EAP-TTLS operam dentro desta estrutura.
RADIUS (Remote Authentication Dial-In User Service)
Um protocolo de rede que fornece gerenciamento centralizado de autenticação, autorização e tarifação para usuários que se conectam a um serviço de rede. Em implantações 802.1X, o servidor RADIUS é o servidor de autenticação que verifica certificados ou credenciais.
O componente do servidor que verifica os certificados ou senhas e instrui o ponto de acesso se deve conceder ou negar o acesso à rede. As plataformas suportadas incluem FreeRADIUS, Microsoft NPS e Cisco ISE.
PKI (Public Key Infrastructure)
Um conjunto de funções, políticas, hardware, software e procedimentos necessários para criar, gerenciar, distribuir, usar, armazenar e revogar certificados digitais. Uma PKI corporativa típica consiste em uma CA raiz offline e uma CA emissora online.
A infraestrutura de backend necessária para emitir os certificados de cliente e servidor usados na autenticação EAP-TLS. Sem uma PKI, o EAP-TLS não pode ser implantado.
MDM (Mobile Device Management)
Software usado por departamentos de TI para monitorar, gerenciar e proteger dispositivos móveis e notebooks de funcionários. Plataformas de MDM como o Microsoft Intune e Jamf podem automatizar a implantação de certificados e perfis de WiFi para dispositivos registrados.
Essencial para automatizar a implantação de certificados de cliente para EAP-TLS em escala. Sem a integração com MDM, a instalação manual de certificados em milhares de dispositivos é operacionalmente impossível.
SCEP (Simple Certificate Enrollment Protocol)
Um protocolo usado para automatizar a emissão de certificados digitais para dispositivos de rede. Plataformas de MDM usam o SCEP para solicitar e instalar silenciosamente certificados em dispositivos corporativos registrados, sem a interação do usuário.
O mecanismo padrão para provisionamento de certificados sem toque em implantações EAP-TLS. Suportado pelo Microsoft Intune, Jamf e a maioria das plataformas de MDM corporativas.
CRL (Certificate Revocation List)
Uma lista de certificados digitais que foram revogados pela Autoridade Certificadora emissora antes da sua data de expiração programada. Os servidores RADIUS verificam a CRL para validar se o certificado do dispositivo que está se conectando ainda é válido.
O mecanismo que permite bloquear imediatamente um dispositivo roubado ou comprometido da rede revogando seu certificado. Os servidores RADIUS devem ser configurados para verificar a CRL com frequência ou usar o OCSP para validação em tempo real.
X.509
Um padrão ITU-T que define o formato de certificados de chave pública. O EAP-TLS e o EAP-TTLS utilizam certificados X.509 para autenticação de servidor. O EAP-TLS também exige certificados X.509 no dispositivo cliente.
O formato de certificado utilizado em todas as implantações de PKI corporativas. Quando as equipes de TI se referem a "certificados digitais" no contexto de 802.1X, elas estão se referindo aos certificados X.509.
Método de autenticação interna
O protocolo de autenticação secundário utilizado dentro do túnel TLS criptografado estabelecido pelo EAP-TTLS. Métodos internos comuns incluem PAP (Password Authentication Protocol), CHAP e MS-CHAPv2.
A escolha do método de autenticação interna afeta as propriedades de segurança de uma implantação EAP-TTLS. O PAP envia a senha em texto simples dentro do túnel; o MS-CHAPv2 utiliza um mecanismo de desafio e resposta. O túnel criptografa todo o tráfego de autenticação interna.
Exemplos práticos
Uma rede de varejo nacional com 400 lojas precisa proteger seus terminais de ponto de venda (POS) e leitores portáteis de equipe. O ambiente está no escopo da PCI-DSS 4.0. Todos os dispositivos estão registrados no Microsoft Intune. Qual protocolo eles devem implantar e quais são as etapas fundamentais de configuração?
Implante EAP-TLS. Etapa 1: Estabelecer uma PKI de duas camadas com uma CA raiz offline isolada e uma CA emissora online. Etapa 2: Configurar o Microsoft Intune com um perfil de certificado SCEP direcionado a todos os dispositivos de POS e leitores. Etapa 3: Implantar um servidor RADIUS (Microsoft NPS ou RADIUS em nuvem) e configurá-lo para validar os certificados de cliente em relação à CA interna. Etapa 4: Habilitar a verificação de CRL ou OCSP no servidor RADIUS. Etapa 5: Distribuir um perfil de WiFi via Intune especificando o SSID, o EAP-TLS como método de autenticação, a CA raiz confiável e o nome do servidor RADIUS esperado. Etapa 6: Testar com um grupo piloto de 10 dispositivos antes de implantar em todos os 400 locais. Etapa 7: Estabelecer um processo de monitoramento de expiração de certificados com alertas em 60, 30 e sete dias antes do vencimento.
O campus de uma grande universidade precisa fornecer WiFi seguro para 20.000 estudantes usando uma mistura de laptops pessoais, smartphones e tablets (BYOD). A equipe de TI não pode instalar certificados em dispositivos pessoais. A universidade usa o Microsoft Entra ID para gerenciamento de identidade. Qual protocolo eles devem implantar?
Implante EAP-TTLS com MS-CHAPv2 como o método de autenticação interno, integrado ao Microsoft Entra ID via RADIUS. Etapa 1: Obter um certificado de servidor de uma CA pública confiável por todos os principais sistemas operacionais, ou implantar uma CA interna e distribuir o certificado raiz através das ferramentas de gerenciamento de dispositivos da universidade para dispositivos gerenciados. Etapa 2: Configurar o servidor RADIUS para autenticar no Microsoft Entra ID usando LDAP ou proxy RADIUS. Etapa 3: Criar um guia de integração de WiFi para estudantes especificando o SSID, EAP-TTLS, MS-CHAPv2 e a CA confiável. Etapa 4: Aplicar políticas de senha forte no nível do Entra ID e considerar a ativação de autenticação multifator para o registro inicial. Etapa 5: Configurar o perfil de WiFi para impor a validação do certificado do servidor e especificar a CA confiável e o nome do servidor RADIUS.
Questões práticas
Q1. Você está implantando EAP-TLS para uma frota de 5.000 notebooks corporativos em 50 escritórios. Após enviar o perfil de WiFi via Microsoft Intune, os dispositivos não conseguem se conectar. Os logs do servidor RADIUS exibem "Unknown CA" para cada tentativa de autenticação com falha. Qual é a causa mais provável e como você resolve isso?
Dica: Considere a cadeia de validação de certificados no lado do cliente e o que o perfil MDM deve incluir além da configuração do método EAP.
Ver resposta modelo
Os dispositivos clientes não estão configurados para confiar na Autoridade Certificadora interna que emitiu o certificado do servidor RADIUS. O perfil de WiFi do MDM deve incluir o certificado da CA raiz (e quaisquer certificados de CA intermediários) e configurar o suplicante para confiar neles para validação do servidor. Sem isso, o cliente rejeita o certificado do servidor RADIUS e encerra o handshake. Resolução: atualize o perfil de WiFi do Intune para incluir o certificado da CA raiz confiável na configuração "Certificado raiz para validação de servidor" e envie o perfil novamente para todos os dispositivos.
Q2. Sua organização implantou EAP-TTLS para um ambiente misto de BYOD. Durante uma auditoria de segurança, sua equipe de testes de intrusão demonstrou que eles conseguem capturar as credenciais dos usuários configurando um ponto de acesso falso com um certificado autoassinado. Como mitigar essa vulnerabilidade sem migrar para EAP-TLS?
Dica: Pense no que ocorre antes da autenticação interna e qual configuração no lado do cliente impede que o túnel TLS seja estabelecido com um servidor não confiável.
Ver resposta modelo
A vulnerabilidade existe porque os dispositivos clientes não estão configurados para validar o certificado do servidor RADIUS. Mitigação: atualize todos os perfis de WiFi (via MDM para dispositivos gerenciados e via um novo guia de integração para BYOD) para exigir a validação do certificado do servidor. Especifique a CA confiável e o nome do servidor RADIUS esperado no perfil. Os clientes configurados dessa forma se recusarão a estabelecer o túnel TLS com qualquer servidor que não apresente um certificado assinado pela CA confiável especificada, eliminando o vetor de ataque de ponto de acesso falso.
Q3. Um diretor de TI de um hospital deseja implantar 802.1X para seus dispositivos IoT médicos (bombas de infusão, monitores de pacientes, sensores ambientais). Eles estão considerando o EAP-TTLS por acreditarem que o gerenciamento de certificados é muito complexo. Por que esse raciocínio é equivocado e qual é a abordagem correta?
Dica: Considere como os dispositivos IoT sem interface tratam solicitações de autenticação e o que acontece quando um dispositivo não consegue inserir credenciais.
Ver resposta modelo
O raciocínio é falho por dois motivos. Primeiro, a maioria dos dispositivos IoT médicos sem tela (headless) não possui uma interface de usuário para inserir credenciais, tornando a autenticação interna de nome de usuário/senha do EAP-TTLS operacionalmente impossível. Segundo, o EAP-TLS é na verdade mais simples para IoT na prática: os certificados podem ser provisionados durante a preparação do dispositivo antes da implantação, e o dispositivo se autentica automaticamente sem interação do usuário. A abordagem correta é o EAP-TLS com certificados provisionados por meio do sistema de gerenciamento de dispositivos usado durante a preparação. Isso também atende aos requisitos da HIPAA para autenticação sem fio forte em ambientes de saúde.
Q4. Você é o arquiteto de rede de um grupo hoteleiro com 200 propriedades. Você precisa proteger o WiFi da equipe para 3.000 dispositivos gerenciados (registrados no Intune) e também fornecer um WiFi seguro para contratados e fornecedores terceirizados que trazem seus próprios notebooks. Desenhe a arquitetura de autenticação.
Dica: Considere se um único SSID com um único método EAP pode atender a ambas as populações e quais implicações de segmentação de rede surgem dos dois tipos de usuários.
Ver resposta modelo
Implante dois SSIDs separados com diferentes métodos de autenticação e atribuições de VLAN. SSID 1 (WiFi da equipe): EAP-TLS, certificados distribuídos via Intune SCEP, VLAN atribuída ao segmento de rede da equipe com acesso total aos sistemas de gerenciamento do hotel. SSID 2 (WiFi de contratados): EAP-TTLS com MS-CHAPv2, credenciais validadas em um diretório separado ou em uma conta de contratado com tempo limitado no Microsoft Entra ID, VLAN atribuída a um segmento isolado apenas para internet, sem acesso aos sistemas internos. Ambos os SSIDs devem exigir a validação do certificado do servidor. Essa arquitetura oferece à equipe a máxima segurança, ao mesmo tempo em que fornece aos contratados um método de autenticação prático, e a segmentação de rede garante que uma credencial de contratado comprometida não consiga acessar os sistemas internos de gerenciamento do hotel.
Continue a ler esta série
Configurando Autenticação RADIUS para Redes WiFi de Convidados e Funcionários
Este guia de referência técnica descreve a arquitetura, configuração e implantação da autenticação RADIUS para redes WiFi corporativas de convidados e funcionários. Ele fornece aos arquitetos de rede e gerentes de TI os protocolos exatos, padrões de segurança e metodologias de solução de problemas necessários para criar sistemas de controle de acesso sem fio seguros e escaláveis.
Passpoint and OpenRoaming: Complete Guide
Este guia de referência técnica fornece uma análise abrangente das estruturas Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Ele detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implantação necessárias para estabelecer uma conectividade de visitantes segura e sem atrito. Arquitetos de rede e líderes de TI aprenderão como projetar, implementar e solucionar problemas desses padrões para eliminar as barreiras de login manual, mantendo a segurança de nível empresarial.
Como Implementar SCEP para BYOD Seguro e Registro de Rede no Ensino Superior
Este guia técnico fornece aos arquitetos de rede e gerentes de TI um modelo neutro de fornecedor para implantar o registro de certificados baseado em SCEP para proteger redes de campus de ensino superior. Ele detalha como migrar do PEAP baseado em senha para o 802.1X EAP-TLS, automatizar a integração de BYOD e aplicar uma segmentação robusta de VLAN.