eduroam e 802.1X: Autenticação WiFi Segura para o Ensino Superior
Este guia de referência técnica autoritativo explica a arquitetura, a implantação e a segurança do eduroam e da autenticação 802.1X. Desenvolvido para gerentes de TI e arquitetos de rede, ele aborda etapas práticas de implementação, seleção de métodos EAP e como os operadores de locais podem oferecer suporte seguro ao roaming acadêmico.
Ouça este guia
Ver transcrição do podcast
- Resumo Executivo
- Aprofundamento Técnico: Arquitetura 802.1X e eduroam
- O Modelo de Triângulo 802.1X
- Hierarquia de Proxies RADIUS do eduroam
- Métodos EAP: O Equilíbrio entre Segurança e Facilidade de Implantação
- Guia de Implementação
- 1. Preparação da Infraestrutura
- 2. Gerenciamento de Certificados
- 3. Configuração do Cliente (a Ferramenta CAT)
- 4. Atribuição e Segmentação de VLAN
- Melhores Práticas e Recomendações Neutras em Relação a Fornecedores
- Resolução de Problemas e Mitigação de Riscos
- ROI e Impacto nos Negócios

Resumo Executivo
Para instituições de ensino superior, e para os locais que atendem a seus funcionários e alunos, fornecer conectividade sem fio segura e contínua não é mais um luxo - é um requisito operacional. O padrão para essa conectividade é o eduroam, um serviço de roaming global construído sobre a estrutura IEEE 802.1X.
Este guia fornece aos gerentes de TI, arquitetos de rede e diretores de operações de locais uma referência abrangente e neutra em relação a fornecedores para entender, implantar e solucionar problemas de 802.1X e eduroam. Vamos além dos modelos teóricos básicos para examinar como o WiFi de campus de nível empresarial realmente opera na prática, incluindo gerenciamento de certificados, arquitetura de proxy RADIUS e integração com uma estratégia mais ampla de rede de convidados.
Quer você esteja atualizando uma rede universitária antiga ou configurando um centro de conferências para apoiar visitantes acadêmicos, a implementação correta do 802.1X reduz significativamente o risco de segurança - particularmente o roubo de credenciais - ao mesmo tempo em que reduz drasticamente os custos operacionais de suporte. Para locais fora do ensino superior tradicional, compreender esses padrões é essencial para avaliar federações de roaming comercial, como o OpenRoaming, que compartilham a mesma arquitetura subjacente.
Aprofundamento Técnico: Arquitetura 802.1X e eduroam
Em sua essência, o eduroam é uma implementação do IEEE 802.1X, o padrão de controle de acesso à rede baseado em porta. O 802.1X foi originalmente projetado para redes cabeadas, mas forma a base da segurança WPA2-Enterprise e WPA3-Enterprise.
O Modelo de Triângulo 802.1X
A estrutura 802.1X depende da interação de três componentes distintos para autorizar o acesso:
- Supplicant (Solicitante): O dispositivo cliente que solicita acesso à rede (por exemplo, o notebook ou smartphone de um estudante).
- Authenticator (Autenticador): O dispositivo de acesso à rede (por exemplo, um ponto de acesso WiFi ou switch gerenciado). Ele atua como um guardião, bloqueando todo o tráfego, exceto as mensagens de autenticação, até que o dispositivo seja autorizado.
- Authentication Server (Servidor de Autenticação): O sistema de back-end que valida as credenciais, quase universalmente um servidor RADIUS (Remote Authentication Dial-In User Service).
Quando um dispositivo se conecta, o autenticador estabelece uma porta controlada. Ele retransmite mensagens do Protocolo de Autenticação Extensível (EAP) entre o solicitante e o servidor de autenticação. Se as credenciais forem válidas, o servidor retorna uma mensagem RADIUS Access-Accept e o autenticador abre a porta para permitir a passagem de tráfego IP padrão.

Hierarquia de Proxies RADIUS do eduroam
O que torna o eduroam único é a sua arquitetura federada. Ele permite que os usuários se autentiquem em qualquer instituição participante usando suas credenciais de origem, sem que a instituição parceira precise armazenar uma cópia dessas credenciais.
Isso é alcançado por meio de uma cadeia hierárquica de proxies RADIUS. Quando um usuário de username@university.ac.uk se conecta ao SSID eduroam em um local parceiro:
- O dispositivo do usuário envia uma solicitação de autenticação no formato
username@university.ac.uk. - O servidor RADIUS do local parceiro inspeciona o domínio (a parte após o símbolo
@). Reconhecendo-o como um domínio externo, ele faz o proxy da solicitação para o servidor RADIUS nacional de nível superior (operado pela Rede Nacional de Pesquisa e Educação, ou NREN). - O servidor nacional encaminha a solicitação para o servidor RADIUS da instituição de origem (
university.ac.uk). - A instituição de origem valida as credenciais e retorna uma mensagem de
Access-AcceptouAccess-Rejectde volta pela cadeia.
Todo o processo geralmente é concluído em menos de dois segundos. Fundamentalmente, a senha do usuário nunca é exposta à instituição parceira ou aos servidores proxy intermediários; ela é protegida dentro de um túnel EAP criptografado estabelecido diretamente entre o dispositivo do usuário e o servidor RADIUS de origem.
Métodos EAP: O Equilíbrio entre Segurança e Facilidade de Implantação
A escolha do método EAP determina como o túnel criptografado é formado e como as credenciais são trocadas. A definição da política de serviço do eduroam limita estritamente os métodos permitidos para garantir a segurança.
- PEAP (Protected EAP): O método de implantação mais comum. Ele usa um certificado do lado do servidor no servidor RADIUS para estabelecer um túnel TLS. O cliente então se autentica dentro desse túnel, normalmente usando MSCHAPv2 (usuário e senha). É relativamente fácil de implantar, mas é vulnerável a ataques de pontos de acesso falsos se os clientes não forem configurados para validar estritamente o certificado do servidor.
- EAP-TLS: O padrão ouro em segurança. Ele exige autenticação mútua, o que significa que tanto o servidor RADIUS quanto o dispositivo cliente devem apresentar certificados válidos. Embora seja imune a phishing de credenciais, ele exige uma infraestrutura de chaves públicas (PKI) robusta para emitir e gerenciar certificados de clientes, tornando a implantação em larga escala mais complexa.
Guia de Implementação
A implantação do 802.1X e do eduroam exige uma coordenação cuidadosa entre a infraestrutura de rede, o gerenciamento de identidade e a configuração do cliente.
1. Preparação da Infraestrutura
Certifique-se de que seus pontos de acesso sem fio e controladores suportem WPA2-Enterprise/WPA3-Enterprise e 802.1X. Qualquer hardware moderno de classe corporativa (Cisco, Aruba, Juniper e outros) atenderá a esse requisito. Você também deve implantar uma infraestrutura RADIUS robusta (como FreeRADIUS, Cisco ISE ou Aruba ClearPass) capaz de lidar com a carga de autenticação esperada e com o proxy de solicitações.
2. Gerenciamento de Certificados
Para implantações PEAP, seu servidor RADIUS precisa de um certificado TLS emitido por uma autoridade certificadora (CA) confiável para seus clientes. Nunca use certificados autoassinados em uma implantação de produção do eduroam. Os certificados devem ser renovados regularmente para evitar interrupções na autenticação.
3. Configuração do Cliente (a Ferramenta CAT)
O ponto de falha mais comum em implantações do eduroam é a configuração incorreta do cliente. Quando os usuários se conectam manualmente, eles geralmente falham ao configurar a validação do certificado, deixando-os expostos a ataques de roubo de credenciais.
Para mitigar esse risco, as instituições devem usar a eduroam Configuration Assistant Tool (CAT) ou uma solução MDM para distribuir perfis pré-configurados. Esses perfis configuram automaticamente o método EAP correto, vinculam o certificado do servidor RADIUS esperado e definem o protocolo de autenticação interna apropriado.
4. Atribuição e Segmentação de VLAN
Uma implantação madura usa atributos RADIUS para atribuir VLANs dinamicamente com base na identidade do usuário.
- Usuários internos: Atribuídos a VLANs internas com acesso apropriado aos recursos do campus.
- Usuários visitantes: Atribuídos a uma VLAN de convidados restrita que oferece apenas acesso à internet.
Essa segmentação é crítica para a segurança e a conformidade, garantindo que os dispositivos dos visitantes não alcancem redes internas confidenciais.

Melhores Práticas e Recomendações Neutras em Relação a Fornecedores
- Priorize o WPA3: Para novas implantações, ative o WPA3-Enterprise para obter criptografia obrigatória de 192 bits e melhor proteção contra ataques de dicionário offline.
- Exija a validação de certificado: Exija o uso de perfis de configuração (via CAT ou MDM) para garantir que o solicitante valide estritamente o certificado do servidor RADIUS antes de transmitir as credenciais.
- Use RadSec: Ao configurar conexões de proxy RADIUS com a federação nacional, use RadSec (RADIUS sobre TLS) em vez de UDP simples. Isso criptografa o tráfego de proxy e melhora a confiabilidade em links de longa distância.
- Integre com uma solução de convidados: O eduroam atende apenas a usuários com credenciais acadêmicas. Você deve manter uma solução de Guest WiFi separada e segura para prestadores de serviços, público em geral e participantes de eventos.
- Revise a infraestrutura relacionada: Certifique-se de que sua rede subjacente esteja segura. Leia nosso guia Protegendo sua rede com DNS robusto e segurança para mais detalhes. Se estiver implantando uma infraestrutura temporária para eventos universitários, consulte Event WiFi: Planejamento e Implantação de Redes Sem Fio Temporárias ou a versão em português Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias .
Resolução de Problemas e Mitigação de Riscos
Quando a autenticação falha, a resolução sistemática de problemas é essencial.
- Isole o domínio de falha: Determine se a falha é local (afetando usuários em sua própria rede), remota (afetando seus usuários em outros locais) ou de entrada (afetando visitantes em sua rede).
- Verifique os logs do RADIUS: Os logs do servidor RADIUS são a fonte definitiva da verdade. Procure por mensagens de
Access-Reject(indicando credenciais incorretas ou violações de política) ou limites de tempo excedidos (indicando problemas de conectividade de proxy). - Verifique a validade do certificado: Certifique-se de que o certificado do servidor RADIUS não expirou e que a cadeia de certificados completa está sendo apresentada aos clientes.
- Monitore a latência de upstream: Uma latência alta para o proxy RADIUS nacional pode causar limites de tempo excedidos no cliente, resultando em falhas de conexão mesmo quando as credenciais estão corretas.
ROI e Impacto nos Negócios
Para instituições de ensino superior, o retorno de uma implementação do eduroam implantada corretamente se reflete em uma redução drástica nos chamados de suporte. Ao eliminar Captive Portals e a inserção manual de senhas, os helpdesks de TI observam uma queda significativa nas chamadas relacionadas à conectividade. (O compromisso da Purple com este setor é claro; veja Purple appoints Tim Peers as VP of Education, underlining its higher education ambitions ).
Para estabelecimentos comerciais - como hospitalidade , varejo , saúde ou transporte - o suporte ao eduroam Visitor Access (eVA) ou federações semelhantes, como o OpenRoaming, proporciona uma experiência sem atritos para um público de alto valor. Isso garante que os visitantes acadêmicos se conectem de forma automática e segura, melhorando a satisfação e permitindo que o estabelecimento mantenha uma segmentação de rede rigorosa. Se o seu estabelecimento precisa de banda larga dedicada para suportar essa demanda, considere a leitura de O que é um link dedicado? Internet feita para empresas .
Ao planejar atualizações de rede, a integração da capacidade 802.1X garante que sua infraestrutura esteja pronta para redes modernas baseadas em identidade, estabelecendo as bases para recursos avançados de WiFi Analytics e serviços baseados em localização.
Definições principais
802.1X
Um padrão IEEE para Controle de Acesso à Rede Baseado em Porta (PNAC). Ele fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN.
O protocolo fundamental para a segurança WiFi de nível empresarial, substituindo senhas compartilhadas (PSKs) por autenticação individualizada.
RADIUS (Remote Authentication Dial-In User Service)
Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA) para usuários que se conectam e utilizam um serviço de rede.
O servidor de backend em uma implantação 802.1X que realmente verifica as credenciais do usuário em um diretório (como o Active Directory).
EAP (Extensible Authentication Protocol)
Uma estrutura de autenticação frequentemente usada em redes sem fio e conexões ponto a ponto. Ela fornece o transporte e uso de vários mecanismos de autenticação.
O idioma falado entre o dispositivo cliente e o servidor RADIUS durante o handshake 802.1X.
Suplicante (Supplicant)
O dispositivo cliente (ex: notebook, smartphone) ou o software nesse dispositivo que tenta se autenticar em uma rede usando 802.1X.
A entidade que solicita o acesso. Sua configuração (especialmente em relação à validação de certificados) é crítica para a segurança.
Autenticador
O dispositivo de rede (ex: ponto de acesso sem fio, switch Ethernet) que facilita o processo de autenticação 802.1X, transmitindo mensagens entre o Suplicante e o Servidor de Autenticação.
O guardião que bloqueia o tráfego de rede até que o servidor RADIUS dê sinal verde.
PEAP (Protected Extensible Authentication Protocol)
Um método EAP que encapsula a transação EAP dentro de um túnel TLS estabelecido por meio de um certificado do lado do servidor, protegendo a autenticação interna (geralmente uma senha).
O método de autenticação mais comum para o eduroam, equilibrando segurança com facilidade de implantação.
RadSec
Um protocolo para transmissão de dados RADIUS sobre TCP e TLS, em vez do tradicional UDP.
Recomendado para proteger as conexões de proxy entre instituições e a federação nacional do eduroam, evitando a interceptação do tráfego de autenticação.
Realm
A parte da identidade de um usuário que segue o símbolo "@" (por exemplo, "university.ac.uk" em "user@university.ac.uk").
Usado por servidores proxy RADIUS para determinar para onde encaminhar a solicitação de autenticação em um ambiente federado como o eduroam.
Exemplos práticos
Um hotel de convenções de 400 quartos adjacente a uma grande universidade frequentemente hospeda simpósios acadêmicos. O Diretor de TI deseja permitir que os acadêmicos visitantes se conectem de forma automática sem usar o Captive Portal padrão do hotel, mas deve garantir que esses visitantes não possam acessar a rede corporativa do hotel ou a VLAN da rede de convidados padrão.
O hotel deve implementar o eduroam Visitor Access (eVA) ou associar-se a uma federação comercial como o OpenRoaming.
- O hotel configura um novo SSID ('eduroam' ou 'OpenRoaming') em seus pontos de acesso corporativos.
- Os APs são configurados para usar WPA2-Enterprise/802.1X.
- O hotel implanta um servidor RADIUS local configurado para encaminhar (proxy) as solicitações de autenticação de domínios externos para a federação nacional (para o eduroam) ou para o hub do OpenRoaming.
- Fundamentalmente, o servidor RADIUS local é configurado para retornar um atributo de ID de VLAN específico na mensagem
Access-Acceptpara todas as autenticações via proxy. - Os pontos de acesso colocam esses usuários autenticados em uma VLAN isolada, apenas com acesso à internet, totalmente segmentada do tráfego corporativo e de convidados padrão do hotel.
Uma equipe de TI universitária percebe um pico de contas de estudantes comprometidas. A investigação revela que os estudantes estão se conectando a um ponto de acesso invasor que transmite o SSID 'eduroam' em uma cafeteria local. O AP invasor está usando um certificado autoassinado para coletar credenciais via PEAP.
A equipe de TI deve aplicar imediatamente uma validação rigorosa de certificados em todos os dispositivos clientes.
- Eles devem parar de orientar os alunos a se conectarem manualmente ao SSID e 'aceitarem o aviso de certificado'.
- Eles implantam a eduroam Configuration Assistant Tool (CAT) para dispositivos BYOD e atualizam os perfis de MDM para dispositivos gerenciados.
- Esses perfis configuram o suplicante para confiar apenas na Autoridade Certificadora (CA) específica que emitiu o certificado do servidor RADIUS da universidade e para verificar o Common Name (CN) do servidor.
- Uma vez configurado, se o dispositivo de um estudante encontrar o AP invasor, o estabelecimento do túnel EAP falhará porque o certificado invasor não corresponderá à CA/CN fixada, impedindo a transmissão de credenciais.
Uma rede de varejo deseja oferecer OpenRoaming em 50 locais usando sua infraestrutura de guest WiFi existente, que atualmente depende de um SSID aberto com um Captive Portal.
A rede de varejo deve atualizar sua rede para suportar 802.1X e proxy RADIUS.
- A equipe de rede habilita um novo SSID transmitindo o OpenRoaming Consortium OI (Organisation Identifier).
- Eles configuram os pontos de acesso para autenticar via 802.1X.
- Eles configuram seu servidor RADIUS central para encaminhar solicitações via proxy para o hub da federação OpenRoaming.
- Eles garantem que seu backhaul de internet possa suportar o aumento esperado nas conexões automatizadas, potencialmente atualizando para links dedicados se necessário.
Questões práticas
Q1. Sua universidade está implantando uma nova rede sem fio. O CISO exige que o roubo de credenciais (phishing) por meio de pontos de acesso falsos seja matematicamente impossível. Qual método EAP você deve selecionar?
Dica: Considere qual método depende de senhas e qual depende inteiramente de chaves criptográficas.
Ver resposta modelo
Você deve selecionar EAP-TLS. Ao contrário do PEAP, que depende de uma senha dentro de um túnel TLS, o EAP-TLS exige autenticação mútua por certificado. Como o dispositivo cliente se autentica usando um certificado criptográfico em vez de uma senha, não há credenciais para um ponto de acesso falso roubar.
Q2. Um pesquisador visitante de outra universidade reclama que não consegue se conectar à sua rede eduroam. Seus usuários locais estão se conectando normalmente. Você verifica os logs do seu servidor RADIUS local e vê a solicitação chegando, mas ela expira (timeout) antes que um Access-Accept seja recebido. Qual é a causa mais provável?
Dica: Pense no caminho que a solicitação de autenticação faz para um usuário visitante em comparação com um usuário local.
Ver resposta modelo
A causa mais provável é um problema de conectividade ou latência entre o seu servidor RADIUS local e o proxy RADIUS nacional da NREN. Como os usuários locais se autenticam diretamente no seu servidor, eles não são afetados. A solicitação do usuário visitante deve ser encaminhada via proxy upstream, e um timeout indica que a resposta da instituição de origem não está retornando a tempo.
Q3. Você é um arquiteto de rede de uma rede de varejo localizada perto de uma grande universidade. Você deseja oferecer WiFi de forma integrada para estudantes usando o eduroam Visitor Access (eVA), mas precisa manter a conformidade com o PCI-DSS para seus terminais de ponto de venda. Como você integra o eVA com segurança?
Dica: Como o 802.1X permite que o ponto de acesso à rede diferencie o tráfego após a autenticação?
Ver resposta modelo
Você integra o eVA configurando seu servidor RADIUS para atribuir todas as autenticações eVA bem-sucedidas a uma VLAN de convidados dedicada e exclusiva para internet. A mensagem Access-Accept do servidor RADIUS deve incluir o ID da VLAN específico. Isso garante que os dispositivos dos alunos fiquem totalmente segmentados da VLAN em conformidade com PCI usada pelos terminais de ponto de venda, atendendo aos requisitos de conformidade.
Continue a ler esta série
Como Implementar SCEP para BYOD Seguro e Registro de Rede no Ensino Superior
Este guia técnico fornece aos arquitetos de rede e gerentes de TI um modelo neutro de fornecedor para implantar o registro de certificados baseado em SCEP para proteger redes de campus de ensino superior. Ele detalha como migrar do PEAP baseado em senha para o 802.1X EAP-TLS, automatizar a integração de BYOD e aplicar uma segmentação robusta de VLAN.
Server RADIUS: um guia completo para empresas
Este guia fornece a gerentes de TI, arquitetos de rede e CTOs uma referência técnica definitiva sobre autenticação de server RADIUS para WiFi corporativo. Ele aborda a estrutura AAA, arquitetura 802.1X, seleção de método EAP, compensações de implantação em nuvem versus local e atribuição dinâmica de VLAN. Operadores de locais nos setores de hospitalidade, varejo, eventos e setor público encontrarão orientações práticas de implementação, estudos de caso do mundo real e as estruturas de decisão necessárias para migrar de chaves pré-compartilhadas inseguras para uma arquitetura de controle de acesso à rede segura e orientada por identidade.
Aruba ClearPass vs. Purple WiFi: Comparando Recursos e Co-implantação
Um guia técnico abrangente detalhando a arquitetura de co-implantação do Aruba ClearPass e Purple WiFi. Ele aborda a configuração de proxy RADIUS, atribuição dinâmica de VLAN e melhores práticas para fornecer redes de convidados seguras e orientadas por análise de dados junto com o NAC corporativo.