Pular para o conteúdo principal

EAP-TLS vs EAP-TTLS: Qual Protocolo de WiFi Baseado em Certificado Você Deve Escolher?

Este guia fornece uma comparação definitiva e direta entre EAP-TLS e EAP-TTLS para autenticação de WiFi corporativo sob a norma 802.1X. Ele explica a diferença arquitetônica entre autenticação mútua por certificado e tunelamento de certificado apenas no servidor, e oferece aos gerentes de TI, arquitetos de rede e CISOs uma estrutura clara de decisão baseada em recursos de gerenciamento de dispositivos e requisitos de conformidade. A Purple suporta os caminhos de autenticação EAP-TLS e EAP-TTLS para WiFi de funcionários, e este guia ajuda as organizações a entender os prós e contras da infraestrutura antes de se comprometerem com qualquer uma das abordagens.

📖 9 min de leitura📝 2,090 palavras🔧 2 exemplos práticos4 questões práticas📚 10 definições principais

Ouça este guia

Ver transcrição do podcast
INTRODUÇÃO E CONTEXTO (0:00 - 2:00) Olá e boas-vindas a este boletim técnico da Purple. Eu sou o seu apresentador e hoje estamos analisando as diferenças críticas entre EAP-TLS e EAP-TTLS para autenticação de WiFi corporativo. Se você é um arquiteto de rede, diretor de TI ou gerencia a infraestrutura de grandes locais como redes de varejo, hospitais ou estádios, este boletim foi projetado especificamente para você. Vamos direto ao ponto e discutir a arquitetura de segurança, as vantagens e desvantagens de cada implementação e como escolher o protocolo certo para o seu ambiente. Vamos começar. Antes de nos aprofundarmos nos protocolos em si, vamos contextualizar. A maioria das implantações de WiFi corporativo hoje ainda depende de uma única senha compartilhada - uma Chave Pré-Compartilhada, ou PSK. Todos os dispositivos na rede usam a mesma credencial. Quando um funcionário sai ou um dispositivo é perdido, você tem duas opções: alterar a senha para todos ou aceitar o risco de que um ex-funcionário ou um invasor ainda tenha credenciais válidas. Nenhuma delas é aceitável para uma empresa séria. A resposta é o 802.1X, o padrão IEEE para controle de acesso à rede baseado em porta. O 802.1X fornece a cada dispositivo sua própria credencial de autenticação individual. Quando um dispositivo se conecta, o ponto de acesso não concede o acesso diretamente. Ele encaminha a solicitação de autenticação para um servidor RADIUS centralizado, que verifica a credencial e instrui o ponto de acesso se deve abrir a porta. O resultado é um controle de acesso por dispositivo, auditável e revogável. Essa é a base sobre a qual o EAP-TLS e o EAP-TTLS são construídos. Ambos os protocolos são métodos do Extensible Authentication Protocol, ou métodos EAP, que operam dentro desta estrutura do 802.1X. A questão não é usar ou não o 802.1X. A questão é qual método EAP usar dentro dele. E é exatamente isso que estamos aqui para responder hoje. ANÁLISE TÉCNICA DETALHADA DO EAP-TLS (2:00 - 5:30) Vamos começar com o EAP-TLS, que significa Transport Layer Security. O EAP-TLS é definido na RFC 5216 e é amplamente considerado o padrão de ouro para autenticação sem fio. O princípio fundamental é a autenticação mútua. Tanto o dispositivo cliente quanto o servidor RADIUS devem apresentar certificados digitais X.509 válidos para comprovar sua identidade antes que o acesso à rede seja concedido. Não há senhas envolvidas em nenhum momento do processo. Zero. Isso é extremamente importante do ponto de vista de segurança. Senhas podem ser alvo de phishing. Elas podem ser adivinhadas por força bruta. Elas podem ser roubadas em uma violação de dados em um serviço de terceiros onde seu funcionário reutilizou a mesma senha. Certificados não podem sofrer phishing, não podem ser adivinhados e estão vinculados a um dispositivo específico. Se um agente mal-intencionado quiser entrar na sua rede, ele precisará do dispositivo físico e de sua chave privada criptográfica incorporada. Esse é um modelo de ameaça fundamentalmente diferente.Deixe-me orientá-lo detalhadamente pelo handshake EAP-TLS, pois entendê-lo deixa claro por que o protocolo é tão seguro. Quando um dispositivo tenta se conectar à rede WiFi, o ponto de acesso envia uma EAP-Request para a identidade do dispositivo. O dispositivo responde. O ponto de acesso encaminha isso para o servidor RADIUS. O servidor RADIUS inicia o handshake TLS enviando uma mensagem Server Hello, junto com seu certificado X.509. O cliente valida esse certificado de servidor em relação ao seu repositório confiável de Autoridade de Certificação raiz. Se a validação falhar, o handshake é encerrado imediatamente. O dispositivo se recusa a conectar. É isso que protege contra ataques de Evil Twin, onde um hacker configura um ponto de acesso invasor para se passar pela sua rede. Se o certificado do servidor for válido, o cliente apresentará seu próprio certificado X.509 ao servidor RADIUS. O servidor RADIUS valida o certificado do cliente: ele verifica a cadeia de assinaturas de volta à CA raiz confiável, verifica se o certificado não expirou e consulta a Lista de Revogação de Certificados para garantir que o certificado não foi revogado. Somente quando ambos os lados estiverem satisfeitos, o túnel TLS é estabelecido e a mensagem EAP-Success é enviada, concedendo acesso à rede. Toda a troca usa TLS 1.2 ou 1.3, proporcionando perfect forward secrecy. Agora, esse nível de segurança vem com um requisito operacional: você precisa de uma Infraestrutura de Chaves Públicas, ou PKI. No mínimo, você precisa de uma Autoridade de Certificação raiz offline e de uma Autoridade de Certificação emissora online. A CA raiz deve ser isolada fisicamente (air-gapped), pois sua chave privada é a âncora de confiança mestre para toda a sua hierarquia de certificados. A CA emissora lida com a emissão diária de certificados e publica a Lista de Revogação de Certificados. E, fundamentalmente, você precisa de um mecanismo para implantar certificados de cliente em todos os dispositivos da rede. Para uma frota de milhares de dispositivos, isso significa integrar sua PKI com uma plataforma de Gerenciamento de Dispositivos Móveis usando SCEP - o Simple Certificate Enrolment Protocol. Quando um dispositivo corporativo é registrado no seu MDM, ele solicita e recebe automaticamente seu certificado sem qualquer interação do usuário. CENÁRIOS DE IMPLEMENTAÇÃO (5:30 - 8:00) Então, qual protocolo você deve implantar? A decisão depende quase inteiramente de suas capacidades de gerenciamento de dispositivos e de seus requisitos de conformidade. Deixe-me apresentar uma estrutura de decisão prática. Faça a si mesmo três perguntas. Primeira: todos os dispositivos que se conectam a essa rede são gerenciados pela empresa por meio de uma plataforma MDM como o Microsoft Intune ou Jamf? Se sim, você tem a infraestrutura para implantar certificados de cliente, e o EAP-TLS é a escolha certa. Segunda: essa rede precisa atender aos requisitos PCI-DSS 4.0, HIPAA ou WPA3 Enterprise de 192 bits? Se sim, o EAP-TLS é a escolha obrigatória. Terceira: você tem uma proporção significativa de dispositivos não gerenciados ou BYOD? Se sim, o EAP-TTLS é a escolha pragmática para esse segmento da sua rede. Deixe-me apresentar dois cenários concretos do mundo real. Cenário um: uma rede varejista nacional com quatrocentas lojas. Cada terminal de ponto de venda e scanner portátil de equipe está registrado no Microsoft Intune. A rede está no escopo do PCI-DSS 4.0. Neste ambiente, você implanta o EAP-TLS. Você estabelece uma PKI privada, usa o Intune para enviar certificados de cliente exclusivos para cada dispositivo via SCEP e configura seu servidor RADIUS para verificar a Lista de Revogação de Certificados. Se um dispositivo for roubado, você revoga seu certificado e ele estará fora da rede em minutos. Sem senha para redefinir. Sem segredo compartilhado para rotacionar em quatrocentas unidades. Cenário dois: um grande campus universitário com vinte mil alunos usando laptops pessoais, smartphones e tablets. A equipe de TI não pode instalar certificados em dispositivos pessoais. Neste ambiente, o EAP-TTLS é a escolha pragmática. Você instala um certificado confiável em seus servidores RADIUS, integra-se ao seu serviço de diretório universitário e os alunos se autenticam usando suas credenciais existentes dentro do túnel seguro. Ele suporta Windows, macOS, Linux, Android e iOS sem qualquer software adicional no lado do cliente. Em muitas grandes empresas, a resposta na verdade é utilizar ambos. Você implanta o EAP-TLS para seus dispositivos corporativos gerenciados e o EAP-TTLS ou uma rede segura separada para prestadores de serviços, visitantes e BYOD. Esse é um padrão comum em grupos de hotelaria, onde os dispositivos da equipe são gerenciados e emitidos com certificados, enquanto a infraestrutura voltada para os hóspedes usa um caminho de autenticação totalmente diferente. PERGUNTAS E RESPOSTAS RÁPIDAS (8:00 - 9:00) Deixe-me dar algumas respostas rápidas a perguntas que ouvimos com frequência de CTOs e arquitetos de rede. Pergunta um: O EAP-TLS é obrigatório para o WPA3 Enterprise? Se você estiver implementando a suíte de segurança de 192 bits do WPA3 Enterprise, sim, o EAP-TLS é o único método permitido. É o único método EAP que atende aos requisitos de 192 bits do WPA3-Enterprise da Wi-Fi Alliance. Pergunta dois: Podemos usar o EAP-TTLS para dispositivos IoT? Geralmente, não. Dispositivos IoT headless, como bombas de infusão ou sensores ambientais, geralmente não possuem a interface para lidar com métodos complexos de autenticação interna. O EAP-TLS é, na verdade, mais adequado para IoT, pois você pode provisionar o certificado durante a preparação do dispositivo. O dispositivo se autentica automaticamente, sem necessidade de interação do usuário. Pergunta três: E quanto ao BYOD em uma rede EAP-TLS? Para dispositivos pessoais não gerenciados, o EAP-TLS é operacionalmente difícil. Você pode usar portais de integração para provisionar um certificado temporário, mas isso adiciona atrito. Para BYOD, o EAP-TTLS ou uma rede de convidados dedicada com segmentação apropriada costuma ser a resposta correta. Pergunta quatro: Como isso se relaciona com os fornecedores de hardware? Tanto o EAP-TLS quanto o EAP-TTLS são suportados em todas as principais plataformas de hardware WiFi empresarial - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e Ubiquiti UniFi. Os detalhes de configuração variam de acordo com a plataforma, mas os padrões subjacentes são neutros em relação ao fornecedor. RESUMO E PRÓXIMOS PASSOS (9:00 - 10:00) Para encerrar, aqui estão as suas principais conclusões. O EAP-TLS oferece o mais alto nível de segurança por meio de autenticação mútua de certificados. Ele elimina completamente o risco de senhas e é a escolha certa para frotas de dispositivos gerenciados e ambientes regulamentados. O EAP-TTLS oferece segurança robusta por meio de certificados do lado do servidor e tunelamento de credenciais criptografadas. É a escolha certa para ambientes mistos ou BYOD. Ambos os protocolos exigem que você aplique a validação de certificado do servidor em cada cliente. Sem isso, nenhum dos protocolos protege você contra pontos de acesso invasores. E o gerenciamento do ciclo de vida dos certificados é o principal desafio operacional do EAP-TLS - automatize-o via MDM e SCEP desde o primeiro dia. Seus próximos passos? Audite sua implantação atual do 802.1X. Se você ainda depende de senhas compartilhadas, planeje sua migração. Verifique se os suplicantes de seus clientes estão validando o certificado do servidor. E se você estiver implantando em vários locais ou em uma propriedade distribuída, considere um serviço RADIUS hospedado na nuvem para reduzir a carga operacional. Obrigado por ouvir este briefing técnico da Purple. A Purple suporta caminhos de autenticação EAP-TLS e EAP-TTLS para Staff WiFi em nossos mais de 80.000 locais ativos. Para obter guias de implantação mais detalhados e entender como nossas plataformas de análise e identidade se integram às suas redes seguras, visite purple dot ai.

header_image.png

Resumo Executivo

A escolha do método EAP correto para sua implantação 802.1X determina se o seu WiFi empresarial é realmente seguro ou apenas em conformidade no papel. O EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), definido na RFC 5216, exige autenticação mútua por certificado: tanto o dispositivo cliente quanto o servidor RADIUS apresentam certificados X.509 válidos antes que o acesso à rede seja concedido. Em nenhum momento as senhas são trocadas. O EAP-TTLS (Tunneled Transport Layer Security), definido na RFC 5281, exige apenas um certificado do lado do servidor para estabelecer um túnel TLS criptografado, dentro do qual o cliente se autentica usando as credenciais de diretório existentes.

Para CTOs e arquitetos de rede que gerenciam infraestrutura em redes de varejo, locais de hospitalidade e organizações do setor público, essa decisão se resume a uma pergunta: você gerencia os dispositivos? Se você controla a frota de dispositivos via MDM, o EAP-TLS é a escolha definitiva. Se você suporta um ambiente BYOD diversificado ou não possui uma Public Key Infrastructure (PKI) robusta, o EAP-TTLS oferece uma alternativa pragmática e altamente segura. A Purple suporta ambos os caminhos de autenticação para Staff WiFi em mais de 80.000 locais ativos.

comparison_chart.png


Análise Técnica Detalhada

Arquitetura do EAP-TLS

O EAP-TLS opera em um modelo de autenticação mútua dentro da estrutura de controle de acesso baseado em porta IEEE 802.1X. Cada troca de autenticação envolve três componentes principais: o suplicante (dispositivo cliente), o autenticador (ponto de acesso sem fio) e o servidor de autenticação (servidor RADIUS). O ponto de acesso não toma a decisão de autenticação por si só. Ele age como um relé transparente, encapsulando mensagens EAP em pacotes RADIUS e encaminhando-as para o servidor de autenticação. O handshake EAP-TLS ocorre da seguinte forma. O ponto de acesso envia um EAP-Request/Identity para o dispositivo de conexão. O dispositivo responde com sua identidade. O servidor RADIUS inicia o handshake TLS com uma mensagem EAP-TLS/Start. O cliente envia um ClientHello, anunciando suas suítes de cifra TLS suportadas. O servidor RADIUS responde com um ServerHello, seu certificado de servidor X.509 e uma solicitação de certificado. O cliente valida o certificado do servidor em relação ao seu repositório de CA raiz confiável. Se a validação falhar, o handshake é encerrado - fornecendo proteção contra pontos de acesso maliciosos. O cliente então apresenta seu próprio certificado X.509. O servidor RADIUS valida o certificado do cliente, verificando a cadeia de assinatura até a CA raiz confiável, confirmando que o certificado não expirou e consultando a lista de revogação de certificados (CRL) ou o OCSP. Somente quando ambas as partes estão satisfeitas o túnel TLS é estabelecido e o acesso à rede é concedido.

Como nenhuma senha é trocada, o EAP-TLS está protegido contra ataques de dicionário offline, credential stuffing e phishing. É o único método EAP que atende aos requisitos do WPA3-Enterprise de 192 bits (Suite B), sendo exigido ou fortemente recomendado pelo PCI-DSS 4.0 para ambientes de dados de portadores de cartão e pelo NIST SP 800-120 para implantações de WiFi de alta segurança.

O EAP-TLS requer uma PKI. Você precisa de pelo menos uma CA raiz offline e uma CA emissora online. A CA raiz deve ser mantida isolada fisicamente (air-gapped), pois sua chave privada é a âncora de confiança mestre para toda a sua hierarquia de certificados. A CA emissora lida com a emissão diária de certificados e publica CRLs. Os certificados de cliente são emitidos para dispositivos individuais, não para usuários - este é um modelo de identidade de dispositivo. Essa distinção é crítica para dispositivos IoT, terminais compartilhados e sistemas headless.

Estrutura do EAP-TTLS

O EAP-TTLS foi projetado para fornecer segurança 802.1X robusta sem a carga operacional de implantar certificados em cada dispositivo cliente. Ele funciona em duas fases. Na primeira fase, o servidor RADIUS apresenta seu certificado e estabelece um túnel TLS seguro. Apenas o servidor requer um certificado. Na segunda fase, o cliente é autorizado dentro desse túnel criptografado usando um método de autenticação interno. Métodos internos comuns incluem PAP (Password Authentication Protocol), CHAP e MS-CHAPv2. O cliente envia seu nome de usuário e senha, mas como essa troca ocorre dentro do túnel TLS, as credenciais são criptografadas em trânsito e nunca são expostas pelo ar.

O EAP-TTLS oferece excelente suporte multiplataforma no macOS, Linux, Android e iOS. A ressalva está no Windows: o suplicante integrado do Windows não oferece suporte nativo ao EAP-TTLS para 802.1X sem fio de forma imediata. Ambientes com um grande volume de dispositivos Windows podem exigir um suplicante de terceiros, o que aumenta a complexidade operacional. Para ambientes centrados em Windows, o PEAP com MS-CHAPv2 costuma ser a escolha mais pragmática.

A maior limitação do EAP-TTLS é que ele não elimina os riscos inerentes das senhas. Se um usuário escolhe uma senha fraca, ela permanece vulnerável a ataques de força bruta offline. Se a autenticação interna usa PAP, a senha é enviada em texto simples dentro do túnel - o que é aceitável se você confia em sua infraestrutura RADIUS, mas continua sendo um modelo de confiança essencial de se compreender.

Comparação Lado a Lado

Recurso EAP-TLS EAP-TTLS
Padrão RFC RFC 5216 RFC 5281
Certificado de Cliente Obrigatório Sim Não
Certificado de Servidor Obrigatório Sim Sim
Modelo de Autenticação Mútua (Ambos os Lados) Apenas Servidor
Risco de Senha Nenhum - Sem Senha Senha em Túnel Criptografado
Requisito de PKI PKI Completa (CA Raiz + CA Emissora + MDM) Apenas Certificado de Servidor
WPA3-Enterprise 192-bit Método Obrigatório Não Suportado
Alinhamento PCI-DSS 4.0 Fortemente Recomendado Aceitável com Autenticação Interna Forte
Adequação para BYOD Baixa (Exige Certificado de Cliente) Alta (Apenas Credenciais)
Adequação para Dispositivos IoT Alta (Certificado Provisionado no Staging) Baixa (Sem UI para Inserção de Credenciais)
Suporte Nativo do Windows Sim Parcial (Frequentemente Exige Suplicante de Terceiros)
Suporte macOS/Linux/Android Sim Sim
Complexidade de Implantação Alta Média

Guia de Implantação

Implantando EAP-TLS para Frotas Gerenciadas

A implantação do EAP-TLS exige uma PKI funcional e uma plataforma de MDM. A instalação manual de certificados não é viável em escala empresarial. Você deve integrar sua PKI com seu MDM usando SCEP (Simple Certificate Enrolment Protocol) ou EST (Enrolment over Secure Transport). Quando um dispositivo corporativo é registrado, ele solicita e recebe automaticamente seu certificado sem a intervenção do usuário.

Para o gerenciamento de identidade, o Purple atua como um provedor de identidade gratuito para serviços como OpenRoaming sob a licença do Purple Connect, facilitando o roaming seguro entre diferentes locais usando frameworks subjacentes de certificado e identidade.

No lado do RADIUS, configure seu servidor para validar os certificados dos clientes em relação à sua CA interna e verificar as CRLs ou usar OCSP para verificação de revogação em tempo real. As plataformas RADIUS suportadas incluem FreeRADIUS, Microsoft NPS e Cisco ISE. A sobreposição de nuvem do Purple integra-se com hardware Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet.

Implantando EAP-TTLS para Ambientes Mistos

O EAP-TTLS é a escolha ideal para ambientes com dispositivos não gerenciados. Você só precisa implantar um certificado confiável em seu servidor RADIUS. Certifique-se de que seu servidor RADIUS se integre diretamente com seu serviço de diretório - Microsoft Entra ID, Okta ou Google Workspace - para validar as credenciais de autenticação interna. Configure seus perfis de WiFi implantados via MDM para impor a validação do certificado do servidor em relação à sua CA confiável específica. Sem essa etapa, o túnel TLS não oferece proteção contra pontos de acesso maliciosos. decision_framework.png


Melhores Práticas

Imponha a Validação de Certificado do Servidor em Todos os Clientes

A etapa de configuração mais crítica tanto para EAP-TLS quanto para EAP-TTLS é impor a validação de certificado do servidor nos dispositivos de clientes. Se um dispositivo não validar o certificado do servidor RADIUS em relação a uma CA confiável específica, ele se conectará a qualquer servidor que apresente qualquer certificado - incluindo um ponto de acesso invasor. Sempre especifique a CA confiável e o nome do servidor esperado em seus perfis WiFi implantados por MDM. Essa única verificação de configuração é a melhoria de segurança mais eficaz que você pode implementar hoje.

Automatize o Gerenciamento do Ciclo de Vida dos Certificados

Certificados expiram. Se você não tiver um processo de renovação automatizado, enfrentará falhas em massa de autenticação quando os certificados expirarem simultaneamente. Use SCEP ou EST para automatizar as renovações e configure alertas de monitoramento bem antes das datas de expiração. Se um dispositivo for perdido ou um funcionário sair, revogue o certificado imediatamente. Configure seu servidor RADIUS para verificar CRLs ou use OCSP para validação em tempo real.

Segmente Sua Rede por Método de Autenticação

Em ambientes grandes ou distribuídos, considere executar ambos os protocolos em SSIDs separados. Dispositivos corporativos gerenciados se autenticam via EAP-TLS em um SSID de WiFi dedicado para funcionários. Prestadores de serviços e dispositivos BYOD se autenticam via EAP-TTLS em um SSID separado com a segmentação de VLAN apropriada. Esse padrão é comum em grupos hoteleiros como Premier Inn e Whitbread, onde os dispositivos da equipe são gerenciados e recebem certificados, enquanto a infraestrutura de hóspedes usa um caminho de autenticação separado. Para mais detalhes sobre arquitetura de SSID, consulte nosso guia Three SSIDs to rule them all: the WiFi design for guest, staff and IoT .

Sincronize o Horário em Toda a Infraestrutura

A validação de certificados depende do horário preciso do sistema. O desvio de horário nos dispositivos dos clientes ou nos servidores RADIUS gera erros de certificado "ainda não válido" ou "expirado" que são difíceis de diagnosticar. Certifique-se de que todos os componentes da infraestrutura estejam sincronizados com servidores NTP confiáveis.


Solução de Problemas e Mitigação de Riscos

Erros de CA Desconhecida

Se os logs do RADIUS mostrarem "CA desconhecida", o dispositivo do cliente não confia na CA que emitiu o certificado do servidor RADIUS. Verifique se o seu perfil MDM inclui o certificado da CA raiz e se o solicitante está configurado para confiar nele. Após uma rotação de CA ou renovação de certificado, envie novamente o pacote de CA atualizado para todos os dispositivos.

Incompatibilidade do Método EAP

Se os dispositivos se conectarem ao access point mas a autenticação falhar, verifique se o método EAP configurado no cliente corresponde ao método aceito pelo servidor RADIUS. Um perfil de dispositivo configurado para EAP-TLS falhará em um servidor RADIUS configurado apenas para PEAP.

Falhas em Massa Devido a Certificados Expirados

Se um grande número de dispositivos falhar ao se autenticar simultaneamente, verifique primeiro as datas de expiração dos certificados. Esta é a causa mais comum de falhas massivas de 802.1X em implantações EAP-TLS. Implemente um sistema de monitoramento que envie alertas 60 dias, 30 dias e sete dias antes da expiração.

Incompatibilidade de Configuração do Cliente RADIUS

Cada access point ou controladora wireless deve ser definido como um cliente RADIUS com o endereço IP e segredo compartilhado corretos. Incompatibilidades causam tempos limite de autenticação que geralmente são atribuídos incorretamente ao método EAP. Ative o log detalhado do RADIUS desde o primeiro dia. Para obter mais orientações sobre solução de problemas de WiFi, consulte nosso guia Troubleshooting Public WiFi: Fixing 'Connected, No Internet' and Splash Page Redirection Failures .

-

Conformidade e Alinhamento Regulatório

Para CISOs e arquitetos de rede, compreender o cenário regulatório é essencial ao decidir entre EAP-TLS e EAP-TTLS. A escolha do método EAP afeta diretamente sua postura de conformidade em várias estruturas importantes.

PCI DSS 4.0 (Payment Card Industry Data Security Standard) exige autenticação criptográfica forte para redes sem fio em ambientes de dados de portadores de cartão. O Requisito 8.3 exige autenticação multifator para todo o acesso ao CDE, e as redes sem fio no escopo devem utilizar mecanismos de autenticação forte. O EAP-TLS, com autenticação mútua baseada em certificado, atende definitivamente a esse requisito. O EAP-TTLS com MS-CHAPv2 é aceitável se a autenticação interna for devidamente protegida e a validação do certificado do servidor for aplicada, mas o EAP-TLS é a escolha mais robusta e amigável para auditores. HIPAA (Health Insurance Portability and Accountability Act) exige que as entidades cobertas implementem salvaguardas técnicas que protejam as informações eletrônicas de saúde protegidas (ePHI) transmitidas por redes de comunicações eletrônicas. A Regra de Segurança HIPAA não exige protocolos específicos, mas a expectativa de criptografia e controle de acesso para redes sem fio que transportam ePHI pende fortemente a favor do EAP-TLS para frotas de dispositivos médicos gerenciados e do EAP-TTLS com validação obrigatória de certificado de servidor para dispositivos de funcionários. WPA3-Enterprise 192-bit (também conhecido como modo Suite B ou CNSA) é o nível de segurança mais alto da certificação WPA3 da Wi-Fi Alliance. Ele define o EAP-TLS como o único método de autenticação permitido, exige TLS 1.2 ou superior com conjuntos de cifras específicos (ECDHE com P-384, AES-256-GCM) e exige certificados ECDSA ou RSA-3072. Organizações que implantam WPA3-Enterprise 192-bit para aplicações governamentais, de defesa ou de infraestrutura crítica devem usar EAP-TLS. O ISO/IEC 27001 não exige protocolos específicos, mas requer que as organizações implementem controles de acesso apropriados para recursos de rede. Uma implantação de 802.1X com EAP-TLS ou EAP-TTLS (com validação obrigatória de certificado de servidor) atende aos requisitos de controle de acesso à rede do Anexo A.9.1 e A.13.1.

-

Retorno sobre o Investimento (ROI) e Impacto nos Negócios

A migração para o EAP-TLS exige um investimento inicial na integração de PKI e MDM, mas elimina a sobrecarga operacional de redefinições de senha e o risco financeiro de violações de rede devido a credenciais comprometidas. Para uma rede de varejo com 400 lojas, uma única senha comprometida em uma rede PSK compartilhada pode colocar em risco todo o patrimônio. O EAP-TLS elimina completamente esse vetor de ataque.

Para ambientes multi-inquilino e hubs de transporte, a autenticação segura garante que apenas usuários autorizados acessem a largura de banda da rede, otimizando assim a utilização da infraestrutura. A atribuição dinâmica de VLAN por meio de atributos de certificado RADIUS permite a segmentação de rede aplicada criptograficamente, garantindo que os dispositivos sejam colocados no segmento de rede correto com base nas propriedades do certificado, em vez de depender da seleção de SSID ou filtragem de endereço MAC.

A plataforma de WiFi Analytics da Purple se integra a ambos os caminhos de autenticação, oferecendo visibilidade sobre o número de dispositivos, a duração das sessões e a utilização da rede em todo o seu patrimônio. Para orientações de implantação específicas para o seu setor, explore nossos recursos para Hospitalidade , Varejo , Saúde e Transporte .

Definições principais

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Um método de autenticação 802.1X definido na RFC 5216 que exige que o dispositivo cliente e o servidor RADIUS apresentem certificados X.509 válidos. Nenhuma senha é trocada. A autenticação é mútua e vinculada criptograficamente.

O padrão ouro para segurança sem fio empresarial. Necessário para WPA3-Enterprise de 192 bits e fortemente recomendado para ambientes de dados de portadores de cartão PCI-DSS 4.0.

EAP-TTLS (Extensible Authentication Protocol - Tunneled Transport Layer Security)

Um método de autenticação 802.1X definido na RFC 5281 que exige apenas um certificado do lado do servidor para estabelecer um túnel TLS criptografificado. O cliente se autentica dentro do túnel usando um método de autenticação interno secundário, normalmente um nome de usuário e senha.

A escolha preferida para ambientes BYOD e redes com sistemas operacionais mistos onde a implantação de certificados de cliente é operacionalmente inviável.

802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta que fornece um mecanismo de autenticação para dispositivos que se conectam a uma LAN ou WLAN. Ele define as funções de suplicante, autenticador e servidor de autenticação.

A estrutura fundamental que permite que as redes corporativas autentiquem dispositivos individuais em vez de depender de uma única senha compartilhada. Tanto o EAP-TLS quanto o EAP-TTLS operam dentro desta estrutura.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gerenciamento centralizado de autenticação, autorização e tarifação para usuários que se conectam a um serviço de rede. Em implantações 802.1X, o servidor RADIUS é o servidor de autenticação que verifica certificados ou credenciais.

O componente do servidor que verifica os certificados ou senhas e instrui o ponto de acesso se deve conceder ou negar o acesso à rede. As plataformas suportadas incluem FreeRADIUS, Microsoft NPS e Cisco ISE.

PKI (Public Key Infrastructure)

Um conjunto de funções, políticas, hardware, software e procedimentos necessários para criar, gerenciar, distribuir, usar, armazenar e revogar certificados digitais. Uma PKI corporativa típica consiste em uma CA raiz offline e uma CA emissora online.

A infraestrutura de backend necessária para emitir os certificados de cliente e servidor usados na autenticação EAP-TLS. Sem uma PKI, o EAP-TLS não pode ser implantado.

MDM (Mobile Device Management)

Software usado por departamentos de TI para monitorar, gerenciar e proteger dispositivos móveis e notebooks de funcionários. Plataformas de MDM como o Microsoft Intune e Jamf podem automatizar a implantação de certificados e perfis de WiFi para dispositivos registrados.

Essencial para automatizar a implantação de certificados de cliente para EAP-TLS em escala. Sem a integração com MDM, a instalação manual de certificados em milhares de dispositivos é operacionalmente impossível.

SCEP (Simple Certificate Enrollment Protocol)

Um protocolo usado para automatizar a emissão de certificados digitais para dispositivos de rede. Plataformas de MDM usam o SCEP para solicitar e instalar silenciosamente certificados em dispositivos corporativos registrados, sem a interação do usuário.

O mecanismo padrão para provisionamento de certificados sem toque em implantações EAP-TLS. Suportado pelo Microsoft Intune, Jamf e a maioria das plataformas de MDM corporativas.

CRL (Certificate Revocation List)

Uma lista de certificados digitais que foram revogados pela Autoridade Certificadora emissora antes da sua data de expiração programada. Os servidores RADIUS verificam a CRL para validar se o certificado do dispositivo que está se conectando ainda é válido.

O mecanismo que permite bloquear imediatamente um dispositivo roubado ou comprometido da rede revogando seu certificado. Os servidores RADIUS devem ser configurados para verificar a CRL com frequência ou usar o OCSP para validação em tempo real.

X.509

Um padrão ITU-T que define o formato de certificados de chave pública. O EAP-TLS e o EAP-TTLS utilizam certificados X.509 para autenticação de servidor. O EAP-TLS também exige certificados X.509 no dispositivo cliente.

O formato de certificado utilizado em todas as implantações de PKI corporativas. Quando as equipes de TI se referem a "certificados digitais" no contexto de 802.1X, elas estão se referindo aos certificados X.509.

Método de autenticação interna

O protocolo de autenticação secundário utilizado dentro do túnel TLS criptografado estabelecido pelo EAP-TTLS. Métodos internos comuns incluem PAP (Password Authentication Protocol), CHAP e MS-CHAPv2.

A escolha do método de autenticação interna afeta as propriedades de segurança de uma implantação EAP-TTLS. O PAP envia a senha em texto simples dentro do túnel; o MS-CHAPv2 utiliza um mecanismo de desafio e resposta. O túnel criptografa todo o tráfego de autenticação interna.

Exemplos práticos

Uma rede de varejo nacional com 400 lojas precisa proteger seus terminais de ponto de venda (POS) e leitores portáteis de equipe. O ambiente está no escopo da PCI-DSS 4.0. Todos os dispositivos estão registrados no Microsoft Intune. Qual protocolo eles devem implantar e quais são as etapas fundamentais de configuração?

Implante EAP-TLS. Etapa 1: Estabelecer uma PKI de duas camadas com uma CA raiz offline isolada e uma CA emissora online. Etapa 2: Configurar o Microsoft Intune com um perfil de certificado SCEP direcionado a todos os dispositivos de POS e leitores. Etapa 3: Implantar um servidor RADIUS (Microsoft NPS ou RADIUS em nuvem) e configurá-lo para validar os certificados de cliente em relação à CA interna. Etapa 4: Habilitar a verificação de CRL ou OCSP no servidor RADIUS. Etapa 5: Distribuir um perfil de WiFi via Intune especificando o SSID, o EAP-TLS como método de autenticação, a CA raiz confiável e o nome do servidor RADIUS esperado. Etapa 6: Testar com um grupo piloto de 10 dispositivos antes de implantar em todos os 400 locais. Etapa 7: Estabelecer um processo de monitoramento de expiração de certificados com alertas em 60, 30 e sete dias antes do vencimento.

Comentário do examinador: O EAP-TLS é a escolha correta porque a PCI-DSS 4.0 recomenda fortemente a autenticação mútua por certificado para redes sem fio no ambiente de dados de portadores de cartão. Depender de senhas (EAP-TTLS) para dispositivos de POS introduz um risco inaceitável de roubo de credenciais. A integração de MDM via SCEP é essencial - a instalação manual de certificados em 400 locais é operacionalmente inviável. O ponto de falha mais comum neste cenário é esquecer de impor a validação do certificado do servidor no perfil de WiFi do Intune, o que deixaria os dispositivos vulneráveis a ataques de Evil Twin, apesar da implantação do EAP-TLS.

O campus de uma grande universidade precisa fornecer WiFi seguro para 20.000 estudantes usando uma mistura de laptops pessoais, smartphones e tablets (BYOD). A equipe de TI não pode instalar certificados em dispositivos pessoais. A universidade usa o Microsoft Entra ID para gerenciamento de identidade. Qual protocolo eles devem implantar?

Implante EAP-TTLS com MS-CHAPv2 como o método de autenticação interno, integrado ao Microsoft Entra ID via RADIUS. Etapa 1: Obter um certificado de servidor de uma CA pública confiável por todos os principais sistemas operacionais, ou implantar uma CA interna e distribuir o certificado raiz através das ferramentas de gerenciamento de dispositivos da universidade para dispositivos gerenciados. Etapa 2: Configurar o servidor RADIUS para autenticar no Microsoft Entra ID usando LDAP ou proxy RADIUS. Etapa 3: Criar um guia de integração de WiFi para estudantes especificando o SSID, EAP-TTLS, MS-CHAPv2 e a CA confiável. Etapa 4: Aplicar políticas de senha forte no nível do Entra ID e considerar a ativação de autenticação multifator para o registro inicial. Etapa 5: Configurar o perfil de WiFi para impor a validação do certificado do servidor e especificar a CA confiável e o nome do servidor RADIUS.

Comentário do examinador: O EAP-TTLS é a escolha pragmática aqui. Gerenciar uma PKI para 20.000 dispositivos pessoais não gerenciados é operacionalmente impossível. O EAP-TTLS fornece um túnel seguro para as credenciais, protegendo-as contra interceptação aérea enquanto suporta diversos sistemas operacionais, incluindo Windows, macOS, Linux, Android e iOS. O risco crítico neste cenário é os alunos configurarem incorretamente seus dispositivos para ignorar a validação do certificado do servidor. Publicar um guia de integração claro com as etapas exatas de configuração e usar um certificado de servidor publicamente confiável reduz significativamente esse risco.

Questões práticas

Q1. Você está implantando EAP-TLS para uma frota de 5.000 notebooks corporativos em 50 escritórios. Após enviar o perfil de WiFi via Microsoft Intune, os dispositivos não conseguem se conectar. Os logs do servidor RADIUS exibem "Unknown CA" para cada tentativa de autenticação com falha. Qual é a causa mais provável e como você resolve isso?

Dica: Considere a cadeia de validação de certificados no lado do cliente e o que o perfil MDM deve incluir além da configuração do método EAP.

Ver resposta modelo

Os dispositivos clientes não estão configurados para confiar na Autoridade Certificadora interna que emitiu o certificado do servidor RADIUS. O perfil de WiFi do MDM deve incluir o certificado da CA raiz (e quaisquer certificados de CA intermediários) e configurar o suplicante para confiar neles para validação do servidor. Sem isso, o cliente rejeita o certificado do servidor RADIUS e encerra o handshake. Resolução: atualize o perfil de WiFi do Intune para incluir o certificado da CA raiz confiável na configuração "Certificado raiz para validação de servidor" e envie o perfil novamente para todos os dispositivos.

Q2. Sua organização implantou EAP-TTLS para um ambiente misto de BYOD. Durante uma auditoria de segurança, sua equipe de testes de intrusão demonstrou que eles conseguem capturar as credenciais dos usuários configurando um ponto de acesso falso com um certificado autoassinado. Como mitigar essa vulnerabilidade sem migrar para EAP-TLS?

Dica: Pense no que ocorre antes da autenticação interna e qual configuração no lado do cliente impede que o túnel TLS seja estabelecido com um servidor não confiável.

Ver resposta modelo

A vulnerabilidade existe porque os dispositivos clientes não estão configurados para validar o certificado do servidor RADIUS. Mitigação: atualize todos os perfis de WiFi (via MDM para dispositivos gerenciados e via um novo guia de integração para BYOD) para exigir a validação do certificado do servidor. Especifique a CA confiável e o nome do servidor RADIUS esperado no perfil. Os clientes configurados dessa forma se recusarão a estabelecer o túnel TLS com qualquer servidor que não apresente um certificado assinado pela CA confiável especificada, eliminando o vetor de ataque de ponto de acesso falso.

Q3. Um diretor de TI de um hospital deseja implantar 802.1X para seus dispositivos IoT médicos (bombas de infusão, monitores de pacientes, sensores ambientais). Eles estão considerando o EAP-TTLS por acreditarem que o gerenciamento de certificados é muito complexo. Por que esse raciocínio é equivocado e qual é a abordagem correta?

Dica: Considere como os dispositivos IoT sem interface tratam solicitações de autenticação e o que acontece quando um dispositivo não consegue inserir credenciais.

Ver resposta modelo

O raciocínio é falho por dois motivos. Primeiro, a maioria dos dispositivos IoT médicos sem tela (headless) não possui uma interface de usuário para inserir credenciais, tornando a autenticação interna de nome de usuário/senha do EAP-TTLS operacionalmente impossível. Segundo, o EAP-TLS é na verdade mais simples para IoT na prática: os certificados podem ser provisionados durante a preparação do dispositivo antes da implantação, e o dispositivo se autentica automaticamente sem interação do usuário. A abordagem correta é o EAP-TLS com certificados provisionados por meio do sistema de gerenciamento de dispositivos usado durante a preparação. Isso também atende aos requisitos da HIPAA para autenticação sem fio forte em ambientes de saúde.

Q4. Você é o arquiteto de rede de um grupo hoteleiro com 200 propriedades. Você precisa proteger o WiFi da equipe para 3.000 dispositivos gerenciados (registrados no Intune) e também fornecer um WiFi seguro para contratados e fornecedores terceirizados que trazem seus próprios notebooks. Desenhe a arquitetura de autenticação.

Dica: Considere se um único SSID com um único método EAP pode atender a ambas as populações e quais implicações de segmentação de rede surgem dos dois tipos de usuários.

Ver resposta modelo

Implante dois SSIDs separados com diferentes métodos de autenticação e atribuições de VLAN. SSID 1 (WiFi da equipe): EAP-TLS, certificados distribuídos via Intune SCEP, VLAN atribuída ao segmento de rede da equipe com acesso total aos sistemas de gerenciamento do hotel. SSID 2 (WiFi de contratados): EAP-TTLS com MS-CHAPv2, credenciais validadas em um diretório separado ou em uma conta de contratado com tempo limitado no Microsoft Entra ID, VLAN atribuída a um segmento isolado apenas para internet, sem acesso aos sistemas internos. Ambos os SSIDs devem exigir a validação do certificado do servidor. Essa arquitetura oferece à equipe a máxima segurança, ao mesmo tempo em que fornece aos contratados um método de autenticação prático, e a segmentação de rede garante que uma credencial de contratado comprometida não consiga acessar os sistemas internos de gerenciamento do hotel.

Continue a ler esta série

Configurando Autenticação RADIUS para Redes WiFi de Convidados e Funcionários

Este guia de referência técnica descreve a arquitetura, configuração e implantação da autenticação RADIUS para redes WiFi corporativas de convidados e funcionários. Ele fornece aos arquitetos de rede e gerentes de TI os protocolos exatos, padrões de segurança e metodologias de solução de problemas necessários para criar sistemas de controle de acesso sem fio seguros e escaláveis.

Ler o guia →

Passpoint and OpenRoaming: Complete Guide

Este guia de referência técnica fornece uma análise abrangente das estruturas Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Ele detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implantação necessárias para estabelecer uma conectividade de visitantes segura e sem atrito. Arquitetos de rede e líderes de TI aprenderão como projetar, implementar e solucionar problemas desses padrões para eliminar as barreiras de login manual, mantendo a segurança de nível empresarial.

Ler o guia →

Como Implementar SCEP para BYOD Seguro e Registro de Rede no Ensino Superior

Este guia técnico fornece aos arquitetos de rede e gerentes de TI um modelo neutro de fornecedor para implantar o registro de certificados baseado em SCEP para proteger redes de campus de ensino superior. Ele detalha como migrar do PEAP baseado em senha para o 802.1X EAP-TLS, automatizar a integração de BYOD e aplicar uma segmentação robusta de VLAN.

Ler o guia →