Pular para o conteúdo principal
Português (Brasil)

eduroam and 802.1X: Secure WiFi Authentication for Higher Education

Este guia de referência técnica autoritativo explica a arquitetura, a implantação e a segurança do eduroam e da autenticação 802.1X. Projetado para gerentes de TI e arquitetos de rede, ele aborda etapas práticas de implementação, seleção de método EAP e como os operadores de locais podem oferecer suporte seguro ao roaming acadêmico.

📖 6 min de leitura📝 1,343 palavras🔧 3 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
ROTEIRO DE PODCAST: eduroam e 802.1X — Autenticação WiFi Segura para o Ensino Superior Duração: aproximadamente 10 minutos Voz: Inglês britânico, masculino, tom de consultor sênior — confiante, conversacional, autoritário --- [INTRODUÇÃO — 1 minuto] Bem-vindo de volta. Vou passar os próximos dez minutos guiando você pelo eduroam e pelo 802.1X — o que são, como realmente funcionam nos bastidores e o que sua equipe precisa saber antes de implantar ou se integrar a qualquer um deles. Se você é gerente de TI, arquiteto de rede ou CTO em uma universidade, faculdade ou instituição de pesquisa — ou se é um operador de local que precisa entender o que seus visitantes acadêmicos esperam de sua infraestrutura sem fio —, este é o briefing ideal para você. Vamos começar com o panorama geral. eduroam significa "education roaming". É um serviço global de roaming de WiFi que permite que estudantes, pesquisadores e funcionários de instituições membros se conectem à internet em qualquer local participante — de forma automática, segura e usando as credenciais de sua instituição de origem. Sem Captive Portals de convidados. Sem códigos de voucher. Sem pedir senha na recepção. Ele funciona desde 2003, hoje cobre mais de 10.000 instituições em mais de 100 países e é o padrão de fato para redes sem fio de campus no ensino superior em todo o mundo. Se a sua organização se cruza com universidades — seja você um hotel perto de um campus, um centro de convenções que hospeda eventos acadêmicos ou uma biblioteca pública em uma cidade universitária —, entender o eduroam é diretamente relevante para a sua estratégia de rede. --- [MERGULHO TÉCNICO PROFUNDO — 5 minutos] Certo. Vamos entrar na parte mecânica. O eduroam é construído sobre o IEEE 802.1X — o padrão de controle de acesso à rede baseado em porta. O 802.1X define uma estrutura para autenticar dispositivos antes que eles recebam acesso a uma rede. Ele foi projetado originalmente para Ethernet com fio, mas se adapta perfeitamente ao sem fio e é a base do que chamamos de segurança WPA2-Enterprise ou WPA3-Enterprise. O modelo 802.1X possui três componentes. Primeiro, o Supplicant — que é o dispositivo que tenta se conectar. O laptop de um estudante, o telefone de um pesquisador. Segundo, o Authenticator — que é o seu ponto de acesso de rede ou switch gerenciado. Ele fica entre o supplicant e o restante da rede e atua como um guardião. Terceiro, o Authentication Server — quase sempre um servidor RADIUS. RADIUS significa Remote Authentication Dial-In User Service. É o componente que realmente valida as credenciais. Aqui está como funciona o handshake. O dispositivo do estudante se associa ao ponto de acesso sem fio. O ponto de acesso ainda não concede acesso total à rede — ele abre o que é chamado de porta controlada, mas apenas para tráfego EAP. O EAP é o Extensible Authentication Protocol. O ponto de acesso atua como proxy na conversa EAP entre o dispositivo e o servidor RADIUS. O servidor RADIUS desafia o dispositivo, o dispositivo responde com as credenciais — normalmente um nome de usuário e senha, ou um certificado — e, se o servidor RADIUS estiver satisfeito, ele envia de volta uma mensagem de Access-Accept. O ponto de acesso então abre a porta de rede completa. Toda essa troca leva menos de dois segundos em uma implantação bem configurada. Agora, onde o eduroam se sobrepõe a isso? O eduroam usa uma infraestrutura hierárquica de proxy RADIUS. Cada instituição participante executa seu próprio servidor RADIUS — chamado de Provedor de Identidade, ou IdP. Quando um estudante, digamos, da University of Manchester visita o Imperial College London e se conecta ao SSID eduroam, seu dispositivo envia suas credenciais no formato username@manchester.ac.uk. O servidor RADIUS da Imperial vê o domínio — que é a parte após o símbolo @ — e envia a solicitação de autenticação via proxy para o servidor RADIUS nacional, que é operado no Reino Unido pela Jisc, a rede nacional de pesquisa e educação. A Jisc então encaminha a solicitação para o servidor RADIUS da University of Manchester, que valida as credenciais e envia de volta um Accept ou Reject. Toda a cadeia se resolve em milissegundos. Esta cadeia de proxy é o que faz o eduroam funcionar através das fronteiras institucionais sem quaisquer segredos pré-compartilhados entre as instituições. Cada salto na cadeia usa um segredo RADIUS compartilhado apenas com seu vizinho imediato. A senha real do estudante nunca sai do servidor RADIUS da instituição de origem — ela é protegida de ponta a ponta pelo túnel EAP. Falando em métodos EAP — é aqui que muitas implantações dão errado, então preste atenção. Os métodos EAP mais comuns no eduroam são o PEAP — Protected EAP — e o EAP-TLS. O PEAP envolve um método de autenticação interno, geralmente o MSCHAPv2, dentro de um túnel TLS. Ele exige um certificado do lado do servidor no servidor RADIUS, mas o cliente precisa apenas de um nome de usuário e senha. O EAP-TLS é a opção mais segura — ele usa autenticação mútua por certificado, o que significa que tanto o servidor quanto o cliente apresentam certificados. É mais difícil de implantar em escala porque você precisa de uma PKI para emitir certificados de cliente, mas é essencialmente imune a phishing de credenciais. O requisito de segurança crítico que muitas instituições erram é a validação de certificado no lado do cliente. Quando um dispositivo se conecta ao eduroam usando PEAP, o dispositivo deve verificar o certificado do servidor RADIUS antes de enviar as credenciais. Se o dispositivo estiver mal configurado para aceitar qualquer certificado, um invasor pode criar um ponto de acesso não autorizado transmitindo o SSID eduroam, apresentar um certificado autoassinado e capturar credenciais. Este é um vetor de ataque conhecido. A solução é configurar seus perfis de suplicante — via MDM para dispositivos gerenciados, ou via eduroam Configuration Assistant Tool, conhecido como CAT, para dispositivos pessoais — para fixar a autoridade de certificação e o nome do servidor esperados. Do ponto de vista de padrões, espera-se que as implantações do eduroam estejam em conformidade com a Definição de Serviço de Política do eduroam, que exige TLS 1.2 ou superior para todas as conexões RADIUS sobre TLS, proíbe o uso de métodos EAP fracos como EAP-MD5 ou LEAP, e exige que todas as conexões proxy RADIUS usem RadSec — RADIUS sobre TLS — em vez de RADIUS UDP simples, sempre que possível. Isso se alinha com as orientações do NCSC no Reino Unido e do NIST SP 800-120 nos EUA. Mais um ponto técnico que vale a pena destacar: atribuição de VLAN. Em uma implantação do eduroam bem estruturada, a resposta RADIUS Access-Accept inclui atributos de VLAN que informam ao ponto de acesso qual VLAN atribuir ao dispositivo de conexão. Isso permite segmentar o tráfego — colocando estudantes visitantes em uma VLAN restrita com acesso apenas à internet, enquanto sua própria equipe é roteada para a rede interna. Isso é essencial para a conformidade, especialmente se você estiver sujeito ao PCI DSS ou precisar manter a separação entre redes de dados de pesquisa e o tráfego geral da internet. --- [RECOMENDAÇÕES DE IMPLANTAÇÃO E ARMADILHAS — 2 minutos] Deixe-me dar as orientações práticas. Se você estiver implantando o eduroam pela primeira vez, seu primeiro contato deve ser com a sua NREN nacional — no Reino Unido é a Jisc, na Irlanda a HEAnet, nos EUA a Internet2. Elas gerenciam a associação à federação e atribuirão a você um domínio RADIUS. Você não pode participar do eduroam sem ser membro da sua federação nacional. Sua lista de verificação de infraestrutura: você precisa de pontos de acesso compatíveis com 802.1X — qualquer equipamento de nível empresarial da Cisco, Aruba, Juniper, Ruckus ou Ubiquiti UniFi servirá. Você precisa de um servidor RADIUS — o FreeRADIUS é o padrão de código aberto, ou você pode usar o Microsoft NPS, Cisco ISE ou Aruba ClearPass. Você precisa de um certificado TLS válido para o seu servidor RADIUS de uma CA que seja confiável para a comunidade eduroam — normalmente um certificado da PKI da sua instituição ou de uma CA comercial na lista aprovada do eduroam. Os três erros de implantação mais comuns que vejo são: primeiro, a configuração incorreta do certificado — ou o certificado RADIUS expirou ou os perfis do suplicante do cliente não estão fixados corretamente. Segundo, tempos limites (timeouts) do proxy RADIUS — se a sua conexão NREN upstream tiver problemas de latência, a autenticação expirará e os usuários verão falhas de conexão que parecem erros de credenciais. Terceiro, a configuração incorreta de VLAN — os usuários visitantes acabam no segmento de rede errado, ficando sem acesso à internet ou, pior, obtendo acesso a recursos internos que não deveriam ver. No lado do cliente, implante os perfis eduroam CAT em todos os dispositivos gerenciados por meio da sua plataforma MDM. Para dispositivos pessoais, publique o link do instalador CAT em destaque. Esta única etapa elimina a maioria dos chamados de suporte. Para locais que não são instituições de ensino superior, mas desejam oferecer acesso ao eduroam — centros de conferências, hotéis e afins —, o processo é chamado de eduroam Visitor Access, ou eVA. Ele permite que organizações não membras hospedem o SSID do eduroam e façam o proxy de autenticação para a federação sem serem membros plenos. Vale a pena investigar se você sedia regularmente conferências acadêmicas ou eventos universitários. --- [PERGUNTAS E RESPOSTAS RÁPIDAS — 1 minuto] Perguntas rápidas que recebo regularmente. "O eduroam pode substituir totalmente o nosso WiFi de convidados?" Não. O eduroam só funciona para usuários que possuem credenciais em uma instituição membra. Você ainda precisa de uma solução de WiFi de convidados separada para todos os outros — visitantes, prestadores de serviços, público em geral. "O eduroam está em conformidade com a GDPR?" Sim, com ressalvas. A arquitetura da federação significa que sua instituição processa dados de autenticação, mas você precisa garantir que seus avisos de privacidade cubram isso e que seus logs do RADIUS sejam tratados adequadamente. "Podemos usar WPA3 com o eduroam?" Sim. O WPA3-Enterprise é totalmente compatível com 802.1X e é o padrão recomendado para novas implantações. Ele adiciona criptografia de modo de 192 bits para ambientes de alta segurança. "Qual é a diferença entre eduroam e OpenRoaming?" O OpenRoaming é uma iniciativa mais ampla do setor, da Wireless Broadband Alliance, que usa a mesma arquitetura de proxy 802.1X e RADIUS, mas estende o roaming além da educação para locais comerciais. Algumas plataformas, incluindo a Purple, oferecem suporte ao OpenRoaming como parte de sua oferta de WiFi de convidados. --- [RESUMO E PRÓXIMOS PASSOS — 1 minuto] Para resumir. O eduroam é um serviço de roaming de WiFi maduro, bem governado e implantado globalmente, construído em 802.1X e em uma infraestrutura hierárquica de proxy RADIUS. Ele oferece autenticação por usuário, criptografia forte e roaming contínuo em mais de 10.000 instituições — sem senhas compartilhadas ou Captive Portals. Para equipes de TI que implantam ou atualizam a rede sem fio do campus: priorize o EAP-TLS em vez do PEAP onde sua PKI puder dar suporte, force a validação de certificado em todos os perfis de clientes, use RadSec para todas as conexões de proxy RADIUS e segmente os usuários visitantes em uma VLAN dedicada. Para operadores de locais: se você recebe visitantes acadêmicos regularmente, investigue o eduroam Visitor Access. E independentemente de implantar o eduroam ou não, sua infraestrutura de WiFi para convidados deve ser construída com base em princípios 802.1X de nível empresarial — e não em PSKs compartilhadas. Se você quiser se aprofundar em qualquer um desses tópicos — arquitetura RADIUS, design de PKI para EAP-TLS ou como plataformas como a Purple se integram ao eduroam e ao OpenRoaming — o guia escrito completo está no link das notas do programa. Obrigado por ouvir. Até a próxima. --- FIM DO ROTEIRO

header_image.png

Resumo Executivo

Para instituições de ensino superior e os locais que hospedam seus estudantes e funcionários, fornecer conectividade sem fio segura e contínua não é mais um luxo — é um mandato operacional. O padrão para essa conectividade é o eduroam, um serviço de roaming global baseado na estrutura IEEE 802.1X.

Este guia fornece a gerentes de TI, arquitetos de rede e diretores de operações de locais uma referência abrangente e neutra em relação a fornecedores para entender, implantar e solucionar problemas de 802.1X e eduroam. Vamos além dos modelos teóricos básicos para abordar as realidades práticas do WiFi de campus corporativos, incluindo gerenciamento de certificados, arquitetura de proxy RADIUS e integração com estratégias mais amplas de rede de convidados.

Quer você esteja atualizando uma rede universitária antiga ou configurando um centro de conferências para apoiar visitantes acadêmicos, a implementação correta do 802.1X mitiga riscos de segurança significativos — particularmente o roubo de credenciais — ao mesmo tempo em que reduz drasticamente os custos operacionais de suporte. Para locais fora do ensino superior tradicional, compreender esses padrões é fundamental para avaliar federações de roaming comercial como o OpenRoaming, que compartilham a mesma arquitetura subjacente.

Mergulho Técnico Profundo: 802.1X e a Arquitetura eduroam

Em sua essência, o eduroam é uma implementação do IEEE 802.1X, o padrão para controle de acesso à rede baseado em porta. Embora originalmente projetado para redes cabeadas, o 802.1X forma a base da segurança WPA2-Enterprise e WPA3-Enterprise.

O Triângulo 802.1X

A estrutura 802.1X depende de três componentes distintos interagindo para autorizar o acesso:

  1. Suplicante (Supplicant): O dispositivo cliente (por exemplo, o laptop ou smartphone de um estudante) que solicita acesso à rede.
  2. Autenticador (Authenticator): O dispositivo de acesso à rede (por exemplo, um ponto de acesso sem fio ou switch gerenciado). Ele atua como um guardião, bloqueando todo o tráfego, exceto as mensagens de autenticação, até que o dispositivo seja autorizado.
  3. Servidor de Autenticação (Authentication Server): O sistema de backend que valida as credenciais, quase universalmente um servidor RADIUS (Remote Authentication Dial-In User Service).

Quando um dispositivo se conecta, o Autenticador estabelece uma porta controlada. Ele passa mensagens EAP (Extensible Authentication Protocol) entre o Suplicante e o Servidor de Autenticação. Se as credenciais forem válidas, o servidor retorna uma mensagem RADIUS Access-Accept e o Autenticador abre a porta para o tráfego IP padrão.

architecture_overview.png

A Hierarquia de Proxy RADIUS do eduroam

O que torna o eduroam único é a sua arquitetura federada. Ele permite que os usuários se autentiquem em qualquer instituição participante usando suas credenciais de origem, sem que a instituição de destino precise de uma cópia dessas credenciais.

Isso é alcançado por meio de uma cadeia hierárquica de proxies RADIUS. Quando um usuário de username@university.ac.uk se conecta ao SSID eduroam em um local de destino:

  1. O dispositivo do usuário envia uma solicitação de autenticação no formato username@university.ac.uk.
  2. O servidor RADIUS do local de destino examina o domínio (a parte após o @). Reconhecendo-o como um domínio externo, ele encaminha a solicitação via proxy para o servidor RADIUS nacional de nível superior (operado pela Rede Nacional de Pesquisa e Educação, ou NREN).
  3. O servidor nacional roteia a solicitação para o servidor RADIUS da instituição de origem (university.ac.uk).
  4. A instituição de origem valida as credenciais e retorna uma mensagem de Access-Accept ou Access-Reject ao longo da cadeia.

Todo esse processo geralmente é concluído em menos de dois segundos. Crucialmente, a senha do usuário nunca é exposta à instituição de destino ou aos proxies intermediários; ela é protegida dentro de um túnel EAP criptografado estabelecido diretamente entre o solicitante e o servidor RADIUS de origem.

Métodos EAP: Segurança vs. Facilidade de Implantação

A escolha do método EAP dita como o túnel criptografado é formado e como as credenciais são trocadas. A Definição de Política de Serviço do eduroam restringe fortemente os métodos permitidos para garantir a segurança.

  • PEAP (Protected EAP): A implantação mais comum. Estabelece um túnel TLS usando um certificado do lado do servidor no servidor RADIUS. O cliente então se autentica dentro deste túnel, normalmente usando MSCHAPv2 (nome de usuário e senha). É relativamente fácil de implantar, mas vulnerável a ataques de pontos de acesso falsos (rogue APs) se os clientes não forem configurados para validar estritamente o certificado do servidor.
  • EAP-TLS: O padrão ouro para segurança. Requer autenticação mútua, o que significa que tanto o servidor RADIUS quanto o dispositivo cliente devem apresentar certificados válidos. Embora imune a phishing de credenciais, exige uma Infraestrutura de Chaves Públicas (ICP/PKI) robusta para emitir e gerenciar certificados de clientes, tornando sua implantação em escala mais complexa.

Guia de Implementação

A implantação do 802.1X e do eduroam requer uma coordenação cuidadosa entre a infraestrutura de rede, o gerenciamento de identidade e a configuração do cliente.

1. Preparação da Infraestrutura

Certifique-se de que seus pontos de acesso sem fio e controladores suportem WPA2-Enterprise/WPA3-Enterprise e 802.1X. Qualquer hardware moderno de classe empresarial (Cisco, Aruba, Juniper, etc.) atenderá a esse requisito. Você também deve implantar uma infraestrutura RADIUS robusta (por exemplo, FreeRADIUS, Cisco ISE, Aruba ClearPass) capaz de lidar com a carga de autenticação esperada e com o proxy de solicitações.

2. Gerenciamento de Certificados

Para implantações PEAP, seu servidor RADIUS requer um certificado TLS emitido por uma Autoridade Certificadora (CA) confiável para seus clientes. Não use certificados autoassinados para implantações eduroam de produção. O certificado deve ser renovado regularmente para evitar interrupções de autenticação.

3. Configuração do Cliente (A Ferramenta CAT)

O ponto de falha mais comum em implantações eduroam é a configuração incorreta do cliente. Usuários que se conectam manualmente muitas vezes deixam de configurar a validação de certificado, tornando-os vulneráveis à captura de credenciais.

Para mitigar isso, as instituições devem usar a eduroam Configuration Assistant Tool (CAT) ou uma solução MDM para distribuir perfis pré-configurados. Esses perfis configuram automaticamente o método EAP correto, fixam o certificado do servidor RADIUS esperado e definem os protocolos de autenticação interna apropriados.

4. Atribuição e Segmentação de VLAN

Uma implantação madura utiliza atributos RADIUS para atribuir VLANs dinamicamente com base na identidade do usuário.

  • Usuários Locais: Atribuídos a VLANs internas com acesso apropriado aos recursos do campus.
  • Usuários Visitantes: Atribuídos a uma VLAN de visitantes restrita com acesso apenas à internet.

Essa segmentação é vital para a segurança e conformidade, garantindo que dispositivos de visitantes não possam acessar redes internas confidenciais.

comparison_chart.png

Boas Práticas e Recomendações Neutras de Fornecedor

  • Priorize o WPA3: Para novas implantações, habilite o WPA3-Enterprise para se beneficiar da criptografia obrigatória de 192 bits e de uma melhor proteção contra ataques de dicionário offline.
  • Exija a Validação de Certificado: Torne obrigatório o uso de perfis de configuração (via CAT ou MDM) para garantir que os suplicantes validem estritamente o certificado do servidor RADIUS antes de transmitir as credenciais.
  • Use RadSec: Ao configurar conexões proxy RADIUS para a federação nacional, use RadSec (RADIUS sobre TLS) em vez de UDP simples. Isso criptografa o tráfego de proxy e melhora a confiabilidade em links WAN.
  • Integre com Soluções de Visitantes: O eduroam atende apenas usuários com credenciais acadêmicas. Você deve manter uma solução separada e segura de Guest WiFi para prestadores de serviços, visitantes públicos e participantes de eventos.
  • Revise a Infraestrutura Relacionada: Certifique-se de que sua rede subjacente esteja segura. Leia nosso guia para Protect Your Network with Strong DNS and Security para mais detalhes. Se estiver implantando infraestrutura temporária para eventos universitários, consulte Event WiFi: Planning and Deploying Temporary Wireless Networks ou a versão em português Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias .

Resolução de Problemas e Mitigação de Riscos

Quando a autenticação falha, a resolução sistemática de problemas é essencial.

  1. Isole o Domínio de Falha: Determine se a falha é local (afetando seus próprios usuários em sua própria rede), remota (afetando seus usuários em outro lugar) ou de entrada (afetando visitantes em sua rede).
  2. Verifique os Logs do RADIUS: Os logs do servidor RADIUS são a fonte definitiva da verdade. Procure por mensagens de Access-Reject (indicando credenciais incorretas ou violações de política) ou timeouts (indicando problemas de conectividade do proxy).
  3. Verifique a Validade do Certificado: Certifique-se de que o certificado do servidor RADIUS não expirou e que a cadeia de certificados completa está sendo apresentada ao cliente.
  4. Monitore a Latência de Upstream: A alta latência na conexão com o proxy RADIUS nacional pode causar timeouts no cliente, resultando em falhas de conexão mesmo com credenciais corretas.

ROI e Impacto nos Negócios

Para instituições de ensino superior, o ROI de uma implantação adequada do eduroam é medido pela redução drástica nos chamados de suporte. Ao eliminar Captive Portals e a inserção manual de senhas, os helpdesks de TI observam uma queda significativa nas chamadas relacionadas à conectividade. (O compromisso da Purple com este setor é evidente; consulte Purple Signals Higher Education Ambitions with Appointment of VP Education Tim Peers ).

Para estabelecimentos comerciais — como os de Hospitalidade , Varejo , Saúde ou Transporte — oferecer suporte ao eduroam Visitor Access (eVA) ou federações semelhantes como o OpenRoaming proporciona uma experiência sem atritos para públicos de alto valor. Isso garante que os visitantes acadêmicos possam se conectar de forma automática e segura, aumentando a satisfação e permitindo que o estabelecimento mantenha uma segmentação de rede rigorosa. Se o seu estabelecimento precisar de largura de banda dedicada para suportar isso, considere ler What Is a Leased Line? Dedicated Business Internet .

Ao planejar atualizações de rede, a integração de recursos 802.1X garante que a infraestrutura esteja pronta para redes modernas baseadas em identidade, preparando o terreno para recursos avançados de WiFi Analytics e serviços baseados em localização.

Definições principais

802.1X

Um padrão IEEE para Controle de Acesso à Rede baseado em porta (PNAC). Ele fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN.

O protocolo fundamental para a segurança de WiFi de nível empresarial, substituindo senhas compartilhadas (PSKs) por autenticação individualizada.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA) para usuários que se conectam e utilizam um serviço de rede.

O servidor de backend em uma implantação 802.1X que realmente verifica as credenciais do usuário em um diretório (como o Active Directory).

EAP (Extensible Authentication Protocol)

Uma estrutura de autenticação frequentemente usada em redes sem fio e conexões ponto a ponto. Ela fornece o transporte e a utilização de vários mecanismos de autenticação.

O idioma falado entre o dispositivo cliente e o servidor RADIUS durante o handshake do 802.1X.

Supplicant

O dispositivo cliente (ex: notebook, smartphone) ou o software nesse dispositivo que tenta se autenticar em uma rede usando 802.1X.

A entidade que solicita o acesso. Sua configuração (especialmente em relação à validação de certificados) é crítica para a segurança.

Authenticator

O dispositivo de rede (ex: ponto de acesso sem fio, switch Ethernet) que facilita o processo de autenticação 802.1X, transmitindo mensagens entre o Supplicant e o Servidor de Autenticação.

O guardião que bloqueia o tráfego de rede até que o servidor RADIUS dê o sinal verde.

PEAP (Protected Extensible Authentication Protocol)

Um método EAP que encapsula a transação EAP dentro de um túnel TLS estabelecido usando um certificado do lado do servidor, protegendo a autenticação interna (geralmente uma senha).

O método de autenticação mais comum para o eduroam, equilibrando segurança com facilidade de implantação.

RadSec

Um protocolo para transmissão de dados RADIUS sobre TCP e TLS, em vez do tradicional UDP.

Recomendado para proteger as conexões de proxy entre as instituições e a federação nacional do eduroam, evitando a interceptação do tráfego de autenticação.

Realm

A parte da identidade de um usuário que segue o símbolo '@' (ex: 'university.ac.uk' em 'user@university.ac.uk').

Usado por servidores proxy RADIUS para determinar para onde rotear a solicitação de autenticação em um ambiente federado como o eduroam.

Exemplos práticos

Um hotel de conferências de 400 quartos adjacente a uma grande universidade frequentemente sedia simpósios acadêmicos. O Diretor de TI deseja permitir que os acadêmicos visitantes se conectem automaticamente sem usar o Captive Portal padrão do hotel, mas deve garantir que esses visitantes não possam acessar a rede corporativa do hotel ou a VLAN da rede de convidados padrão.

O hotel deve implementar o eduroam Visitor Access (eVA) ou se associar a uma federação comercial como o OpenRoaming.

  1. O hotel configura um novo SSID ('eduroam' ou 'OpenRoaming') em seus pontos de acesso corporativos.
  2. Os APs são configurados para usar WPA2-Enterprise/802.1X.
  3. O hotel implanta um servidor RADIUS local configurado para fazer proxy de solicitações de autenticação de domínios externos para a federação nacional (para o eduroam) ou para o hub OpenRoaming.
  4. Crucialmente, o servidor RADIUS local é configurado para retornar um atributo de ID de VLAN específico na mensagem Access-Accept para todas as autenticações com proxy.
  5. Os pontos de acesso colocam esses usuários autenticados em uma VLAN isolada, apenas com acesso à internet, completamente segmentada do tráfego corporativo e de convidados padrão do hotel.
Comentário do examinador: Esta abordagem aproveita corretamente a arquitetura de proxy RADIUS para terceirizar a autenticação para as instituições de origem dos visitantes. Ao usar a atribuição dinâmica de VLAN via atributos RADIUS, o hotel mantém uma segmentação de rede rigorosa, atendendo aos requisitos de segurança e proporcionando uma experiência de usuário sem atritos.

Uma equipe de TI universitária percebe um pico de contas de estudantes comprometidas. A investigação revela que os alunos estão se conectando a um ponto de acesso não autorizado (rogue AP) que transmite o SSID 'eduroam' em uma cafeteria local. O rogue AP está usando um certificado autoassinado para coletar credenciais via PEAP.

A equipe de TI deve impor imediatamente a validação estrita de certificados em todos os dispositivos clientes.

  1. Eles devem parar de orientar os alunos a se conectarem manualmente ao SSID e 'aceitarem o aviso de certificado'.
  2. Eles implantam a eduroam Configuration Assistant Tool (CAT) para dispositivos BYOD e atualizam os perfis de MDM para dispositivos gerenciados.
  3. Esses perfis configuram o solicitante para confiar apenas na Autoridade Certificadora (CA) específica que emitiu o certificado do servidor RADIUS da universidade e para verificar o Common Name (CN) do servidor.
  4. Uma vez configurado, se o dispositivo de um aluno encontrar o rogue AP, o estabelecimento do túnel EAP falhará porque o certificado não autorizado não corresponde à CA/CN fixada, impedindo a transmissão de credenciais.
Comentário do examinador: Este cenário destaca a vulnerabilidade mais crítica em implantações PEAP. A solução identifica corretamente que a correção é a configuração do lado do cliente. Confiar na educação do usuário para detectar certificados falsos é ineficaz; controles técnicos (fixação de perfil) são obrigatórios.

Uma rede de varejo deseja oferecer OpenRoaming em 50 locais usando sua infraestrutura de WiFi de convidados existente, que atualmente depende de um SSID aberto com um Captive Portal.

A rede de varejo deve atualizar sua rede para suportar 802.1X e proxy RADIUS.

  1. A equipe de rede habilita um novo SSID transmitindo o OpenRoaming Consortium OI (Organization Identifier).
  2. Eles configuram os pontos de acesso para autenticar via 802.1X.
  3. Eles configuram seu servidor RADIUS central para fazer proxy de solicitações para o hub da federação OpenRoaming.
  4. Eles garantem que seu backhaul de internet possa suportar o aumento esperado nas conexões automatizadas, potencialmente atualizando para linhas dedicadas (leased lines), se necessário.
Comentário do examinador: Isso destaca que a transição de um Captive Portal para um modelo 802.1X federado exige mudanças arquitetônicas fundamentais, especificamente a implementação de proxy RADIUS e a capacidade de lidar com um aumento de conexões automatizadas.

Questões práticas

Q1. Sua universidade está implantando uma nova rede sem fio. O CISO exige que o phishing de credenciais por meio de pontos de acesso falsos (rogue APs) seja matematicamente impossível. Qual método EAP você deve selecionar?

Dica: Considere qual método depende de senhas em oposição ao que depende inteiramente de chaves criptográficas.

Ver resposta modelo

Você deve selecionar o EAP-TLS. Ao contrário do PEAP, que depende de uma senha dentro de um túnel TLS, o EAP-TLS exige autenticação mútua por certificado. Como o dispositivo cliente se autentica usando um certificado criptográfico em vez de uma senha, não há credenciais para um ponto de acesso falso pescar (phishing).

Q2. Um pesquisador visitante de outra universidade reclama que não consegue se conectar à sua rede eduroam. Seus usuários locais estão se conectando normalmente. Você verifica os logs do seu servidor RADIUS local e vê a solicitação chegando, mas ela expira (timeout) antes que um Access-Accept seja recebido. Qual é a causa mais provável?

Dica: Pense no caminho que a solicitação de autenticação faz para um usuário visitante em comparação com um usuário local.

Ver resposta modelo

A causa mais provável é um problema de conectividade ou latência entre o seu servidor RADIUS local e o proxy RADIUS da NREN nacional. Como os usuários locais se autenticam diretamente no seu servidor, eles não são afetados. A solicitação do usuário visitante deve ser enviada ao proxy upstream, e um timeout indica que a resposta da instituição de origem não está retornando a tempo.

Q3. Você é um arquiteto de rede de uma rede de varejo localizada perto de uma grande universidade. Você deseja oferecer WiFi contínuo para estudantes usando o eduroam Visitor Access (eVA), mas deve cumprir o PCI DSS para seus terminais de ponto de venda. Como você integra o eVA de forma segura?

Dica: Como o 802.1X permite que o ponto de acesso à rede diferencie o tráfego após a autenticação?

Ver resposta modelo

Você integra o eVA configurando seu servidor RADIUS para atribuir todas as autenticações eVA bem-sucedidas a uma VLAN de convidados dedicada, apenas para internet. A mensagem Access-Accept do servidor RADIUS deve incluir o ID da VLAN específico. Isso garante que os dispositivos dos estudantes fiquem completamente segmentados da VLAN compatível com PCI usada pelos terminais de ponto de venda, atendendo aos requisitos de conformidade.

Continue a ler esta série

Per-Device PSK por Vendor: Comparativo de iPSK, DPSK, MPSK e PPSK (e Suporte a WPA3)

Uma comparação abrangente das implementações de PSK por dispositivo no Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet e Ubiquiti UniFi. Saiba como o WPA3-SAE impacta as estratégias de chaves por dispositivo e quando implantar modos de transição em vez de migrar para o 802.1X.

Ler o guia →

Métodos de Autenticação de Captive Portal Comparados

Este guia de referência técnica definitivo avalia as compensações arquitetônicas, operacionais e de conformidade de cinco métodos principais de autenticação de captive portal. Ele fornece a arquitetos de rede, diretores de TI e gerentes de marketing os dados quantitativos e as estruturas de decisão necessários para equilibrar a fricção no onboarding de convidados com os requisitos de coleta de dados em locais corporativos.

Ler o guia →

O que é autenticação por endereço MAC? Quando usar e quando evitar

Este guia de referência técnica abrangente aborda a autenticação por endereço MAC em ambientes de WiFi corporativos — como a autenticação MAC baseada em RADIUS funciona na Camada 2, suas vulnerabilidades de segurança inerentes (incluindo spoofing de MAC e o impacto da randomização de MAC no nível do SO) e os contextos operacionais precisos onde ela continua sendo uma ferramenta válida para gerenciar IoT e dispositivos headless. Ele fornece orientações de implantação práticas para gerentes de TI e arquitetos de rede em setores como hotelaria, varejo, saúde e locais públicos, com exemplos práticos reais, estruturas de decisão e contexto de integração para a plataforma de guest WiFi e analytics da Purple.

Ler o guia →