Pular para o conteúdo principal

eduroam e 802.1X: Autenticação WiFi Segura para o Ensino Superior

Este guia de referência técnica autoritativo explica a arquitetura, a implantação e a segurança do eduroam e da autenticação 802.1X. Desenvolvido para gerentes de TI e arquitetos de rede, ele aborda etapas práticas de implementação, seleção de métodos EAP e como os operadores de locais podem oferecer suporte seguro ao roaming acadêmico.

📖 6 min de leitura📝 1,343 palavras🔧 3 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
ROTEIRO DO PODCAST: eduroam e 802.1X - Autenticação WiFi Segura para o Ensino Superior Duração: aproximadamente 10 minutos Voz: inglês britânico, masculino, tom de consultor sênior - confiante, conversacional, autoritário --- [INTRODUÇÃO - 1 minuto] Bem-vindo de volta. Vou passar os próximos dez minutos explicando o eduroam e o 802.1X - o que são, como eles realmente funcionam nos bastidores e o que sua equipe precisa saber antes de implantar ou integrar com qualquer um deles. Se você é gerente de TI, arquiteto de rede ou CTO em uma universidade, faculdade ou instituição de pesquisa - ou se é um operador de local que precisa entender o que seus visitantes acadêmicos esperam de sua infraestrutura sem fio - este é o briefing para você. Vamos começar com o panorama geral. eduroam significa "education roaming". É um serviço global de roaming WiFi que permite que estudantes, pesquisadores e funcionários de instituições parceiras se conectem à internet em qualquer local participante - de forma automática, segura, usando as credenciais de sua instituição de origem. Sem portais de convidados. Sem códigos de voucher. Sem pedir uma senha na recepção. Ele funciona desde 2003, hoje cobre mais de 10.000 instituições em mais de 100 países e é o padrão de fato para redes sem fio de campus no ensino superior em todo o mundo. Se a sua organização interage com universidades - seja você um hotel perto de um campus, um centro de conferências que hospeda eventos acadêmicos ou uma biblioteca pública em uma cidade universitária - entender o eduroam é diretamente relevante para sua estratégia de rede. --- [MERGULHO TÉCNICO PROFUNDO - 5 minutos] Certo. Vamos entrar na mecânica. O eduroam é construído com base no IEEE 802.1X - o padrão de controle de acesso à rede baseado em porta. O 802.1X define uma estrutura para autenticar dispositivos antes que eles recebam acesso a uma rede. Ele foi originalmente projetado para Ethernet com fio, mas se adapta perfeitamente ao sem fio e é a base do que chamamos de segurança WPA2 ou WPA3. O modelo 802.1X possui três componentes. Primeiro, o Solicitante (Supplicant) - esse é o dispositivo que está tentando se conectar. O notebook de um estudante, o telefone de um pesquisador. Segundo, o Autenticador (Authenticator) - esse é o seu ponto de acesso de rede ou switch gerenciado. Ele fica entre o solicitante e o restante da rede e atua como um guardião. Terceiro, o Servidor de Autenticação (Authentication Server) - quase sempre um servidor RADIUS. RADIUS significa Remote Authentication Dial-In User Service. É o componente que realmente valida as credenciais.Veja como funciona o handshake. O dispositivo do aluno se associa ao ponto de acesso sem fio. O ponto de acesso ainda não concede acesso total à rede - ele abre o que é chamado de porta controlada, mas apenas para tráfego EAP. O EAP é o Extensible Authentication Protocol. O ponto de acesso atua como proxy na conversa EAP entre o dispositivo e o servidor RADIUS. O servidor RADIUS desafia o dispositivo, o dispositivo responde com credenciais - normalmente um nome de usuário e senha, ou um certificado - e, se o servidor RADIUS estiver satisfeito, ele envia de volta uma mensagem Access-Accept. O ponto de acesso então abre a porta de rede total. Toda essa troca leva menos de dois segundos em uma implantação bem configurada. Agora, onde o eduroam se posiciona sobre isso? O eduroam usa uma infraestrutura de proxy RADIUS hierárquica. Cada instituição participante executa seu próprio servidor RADIUS - chamado de Provedor de Identidade, ou IdP. Quando um aluno de, por exemplo, da University of Manchester visita o Imperial College London e se conecta ao SSID eduroam, seu dispositivo envia suas credenciais no formato username@manchester.ac.uk. O servidor RADIUS da Imperial vê o realm - que é a parte após o símbolo @ - e envia a solicitação de autenticação por proxy para o servidor RADIUS nacional, que é operado no Reino Unido pela Jisc, a rede nacional de pesquisa e educação. A Jisc então encaminha a solicitação para o servidor RADIUS da University of Manchester, que valida as credenciais e envia de volta um Accept ou Reject. Toda a cadeia é resolvida em milissegundos. Essa cadeia de proxy é o que faz o eduroam funcionar além das fronteiras institucionais sem nenhum segredo compartilhado previamente entre as instituições. Cada salto na cadeia usa um segredo RADIUS compartilhado apenas com seu vizinho imediato. A senha real do aluno nunca sai do servidor RADIUS da instituição de origem - ela é protegida de ponta a ponta pelo túnel EAP. Falando em métodos EAP - é aqui que muitas implantações dão errado, então preste atenção. Os métodos EAP mais comuns no eduroam são o PEAP - Protected EAP - e o EAP-TLS. O PEAP envolve um método de autenticação interno, geralmente MSCHAPv2, dentro de um túnel TLS. Ele requer um certificado do lado do servidor no servidor RADIUS, mas o cliente precisa apenas de um nome de usuário e senha. O EAP-TLS é a opção mais segura - ele usa autenticação de certificado mútuo, o que significa que tanto o servidor quanto o cliente apresentam certificados. É mais difícil de implantar em escala porque você precisa de uma PKI para emitir certificados de cliente, mas é essencialmente imune a phishing de credenciais. O requisito crítico de segurança que muitas instituições erram é a validação de certificado no lado do cliente. Quando um dispositivo se conecta ao eduroam usando PEAP, o dispositivo deve verificar o certificado do servidor RADIUS antes de enviar as credenciais. Se o dispositivo estiver configurado incorretamente para aceitar qualquer certificado, um invasor pode criar um ponto de acesso malicioso transmitindo o SSID eduroam, apresentar um certificado autoassinado e roubar credenciais. Este é um vetor de ataque conhecido. A solução é configurar seus perfis de suplicante - via MDM para dispositivos gerenciados, ou via eduroam Configuration Assistant Tool, conhecido como CAT, para dispositivos pessoais - para fixar a autoridade de certificação e o nome do servidor esperados. Sob a perspectiva de padrões, espera-se que as implantações do eduroam estejam em conformidade com a Definição de Serviço de Política do eduroam, que exige TLS 1.2 ou superior para todas as conexões RADIUS sobre TLS, proíbe o uso de métodos EAP fracos como EAP-MD5 ou LEAP, e exige que todas as conexões de proxy RADIUS usem RadSec - RADIUS sobre TLS - em vez de RADIUS UDP simples, sempre que possível. Isso se alinha com as orientações do NCSC no Reino Unido e do NIST SP 800-120 nos EUA. Mais um ponto técnico que vale a pena destacar: atribuição de VLAN. Em uma implantação eduroam bem arquitetada, a resposta RADIUS Access-Accept inclui atributos de VLAN que informam ao ponto de acesso qual VLAN atribuir ao dispositivo de conexão. Isso permite segmentar o tráfego - colocando estudantes visitantes em uma VLAN restrita apenas com acesso à internet, enquanto sua própria equipe é roteada para a rede interna. Isso é essencial para a conformidade, particularmente se você estiver sujeito ao PCI-DSS ou precisar manter a separação entre redes de dados de pesquisa e o tráfego geral de internet. - - - [RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ARMADILHAS — 2 minutos] Deixe-me dar as orientações práticas. Se você estiver implantando o eduroam pela primeira vez, seu primeiro contato deve ser com a NREN nacional - no Reino Unido é a Jisc, na Irlanda a HEAnet, nos EUA a Internet2. Eles lidam com a associação à federação e atribuirão a você um domínio RADIUS. Você não pode participar do eduroam sem ser um membro da sua federação nacional. Sua lista de verificação de infraestrutura: você precisa de pontos de acesso compatíveis com 802.1X - qualquer equipamento de nível corporativo da Cisco, Aruba, Juniper, Ruckus ou Ubiquiti UniFi fará isso. Você precisa de um servidor RADIUS - o FreeRADIUS é o padrão de código aberto, ou você pode usar Microsoft NPS, Cisco ISE ou Aruba ClearPass. Você precisa de um certificado TLS válido para o seu servidor RADIUS de uma CA que seja confiável para a comunidade eduroam - normalmente um certificado da PKI da sua instituição ou de uma CA comercial na lista aprovada do eduroam. Os três erros de implantação mais comuns que vejo são: primeiro, a configuração incorreta do certificado - ou o certificado RADIUS expirou ou os perfis de suplicante do cliente não estão fixados corretamente. Segundo, limites de tempo (timeouts) do proxy RADIUS - se a sua conexão upstream do NREN tiver problemas de latência, a autenticação expirará e os usuários verão falhas de conexão que parecem erros de credencial. Terceiro, configuração incorreta de VLAN - os usuários visitantes acabam no segmento de rede errado, não obtendo acesso à internet ou, pior, obtendo acesso a recursos internos que não deveriam ver. No lado do cliente, implante os perfis CAT do eduroam em todos os dispositivos gerenciados por meio de sua plataforma MDM. Para dispositivos pessoais, publique o link do instalador CAT em destaque. Essa única etapa elimina a maior parte dos chamados de suporte. Para locais que não são instituições de ensino superior, mas desejam oferecer acesso ao eduroam - centros de conferências, hotéis e afins - o processo é chamado de eduroam Visitor Access, ou eVA. Ele permite que organizações não membras hospedem o SSID do eduroam e façam o proxy de autenticação para a federação sem serem membros plenos. Vale a pena investigar se você costuma sediar conferências acadêmicas ou eventos universitários. - - - [PERGUNTAS E RESPOSTAS RÁPIDAS - 1 minuto] Perguntas frequentes que recebo regularmente. "O eduroam pode substituir completamente o nosso WiFi de convidados?" Não. O eduroam funciona apenas para usuários que possuem credenciais em uma instituição membro. Você ainda precisa de uma solução de WiFi de convidados separada para todos os outros - visitantes, prestadores de serviços, público em geral. "O eduroam está em conformidade com o GDPR?" Sim, com ressalvas. A arquitetura da federação significa que sua instituição processa dados de autenticação, mas você precisa garantir que seus avisos de privacidade cubram isso e que seus logs RADIUS sejam tratados adequadamente. "Podemos usar WPA3 com eduroam?" Sim. O WPA3-Enterprise é totalmente compatível com 802.1X e é o padrão recomendado para novas implantações. Ele adiciona criptografia no modo de 192 bits para ambientes de alta segurança. "Qual é a diferença entre eduroam e OpenRoaming?" O OpenRoaming é uma iniciativa mais ampla do setor, da Wireless Broadband Alliance, que usa a mesma arquitetura de proxy 802.1X e RADIUS, mas estende o roaming além da educação para locais comerciais. Algumas plataformas, incluindo a Purple, oferecem suporte ao OpenRoaming como parte de sua oferta de WiFi de convidados. - - - [RESUMO E PRÓXIMAS ETAPAS - 1 minuto] Para finalizar. O eduroam é um serviço de roaming de WiFi maduro, bem governado e implantado globalmente, baseado em 802.1X e em uma infraestrutura hierárquica de proxy RADIUS. Ele oferece autenticação por usuário, criptografia forte e roaming contínuo em mais de 10.000 instituições - sem senhas compartilhadas ou Captive Portals. Para equipes de TI que implantam ou atualizam redes sem fio em campus: priorize o EAP-TLS em relação ao PEAP onde sua PKI puder suportá-lo, aplique a validação de certificado em todos os perfis de cliente, use RadSec para todas as conexões de proxy RADIUS e segmente os usuários visitantes em uma VLAN dedicada. Para operadores de locais: se você hospeda visitantes acadêmicos regularmente, investigue o eduroam Visitor Access. E independentemente de você implantar o eduroam, sua infraestrutura de WiFi de convidados deve ser construída com base em princípios 802.1X de nível empresarial - não PSKs compartilhados. Se você quiser se aprofundar em qualquer um desses tópicos - arquitetura RADIUS, design de PKI para EAP-TLS ou como plataformas como a Purple se integram com o eduroam e OpenRoaming - o guia escrito completo está vinculado nas notas do programa. Obrigado por ouvir. Até a próxima. --- FIM DO SCRIPT

header_image.png

Resumo Executivo

Para instituições de ensino superior, e para os locais que atendem a seus funcionários e alunos, fornecer conectividade sem fio segura e contínua não é mais um luxo - é um requisito operacional. O padrão para essa conectividade é o eduroam, um serviço de roaming global construído sobre a estrutura IEEE 802.1X.

Este guia fornece aos gerentes de TI, arquitetos de rede e diretores de operações de locais uma referência abrangente e neutra em relação a fornecedores para entender, implantar e solucionar problemas de 802.1X e eduroam. Vamos além dos modelos teóricos básicos para examinar como o WiFi de campus de nível empresarial realmente opera na prática, incluindo gerenciamento de certificados, arquitetura de proxy RADIUS e integração com uma estratégia mais ampla de rede de convidados.

Quer você esteja atualizando uma rede universitária antiga ou configurando um centro de conferências para apoiar visitantes acadêmicos, a implementação correta do 802.1X reduz significativamente o risco de segurança - particularmente o roubo de credenciais - ao mesmo tempo em que reduz drasticamente os custos operacionais de suporte. Para locais fora do ensino superior tradicional, compreender esses padrões é essencial para avaliar federações de roaming comercial, como o OpenRoaming, que compartilham a mesma arquitetura subjacente.

Aprofundamento Técnico: Arquitetura 802.1X e eduroam

Em sua essência, o eduroam é uma implementação do IEEE 802.1X, o padrão de controle de acesso à rede baseado em porta. O 802.1X foi originalmente projetado para redes cabeadas, mas forma a base da segurança WPA2-Enterprise e WPA3-Enterprise.

O Modelo de Triângulo 802.1X

A estrutura 802.1X depende da interação de três componentes distintos para autorizar o acesso:

  1. Supplicant (Solicitante): O dispositivo cliente que solicita acesso à rede (por exemplo, o notebook ou smartphone de um estudante).
  2. Authenticator (Autenticador): O dispositivo de acesso à rede (por exemplo, um ponto de acesso WiFi ou switch gerenciado). Ele atua como um guardião, bloqueando todo o tráfego, exceto as mensagens de autenticação, até que o dispositivo seja autorizado.
  3. Authentication Server (Servidor de Autenticação): O sistema de back-end que valida as credenciais, quase universalmente um servidor RADIUS (Remote Authentication Dial-In User Service).

Quando um dispositivo se conecta, o autenticador estabelece uma porta controlada. Ele retransmite mensagens do Protocolo de Autenticação Extensível (EAP) entre o solicitante e o servidor de autenticação. Se as credenciais forem válidas, o servidor retorna uma mensagem RADIUS Access-Accept e o autenticador abre a porta para permitir a passagem de tráfego IP padrão.

architecture_overview.png

Hierarquia de Proxies RADIUS do eduroam

O que torna o eduroam único é a sua arquitetura federada. Ele permite que os usuários se autentiquem em qualquer instituição participante usando suas credenciais de origem, sem que a instituição parceira precise armazenar uma cópia dessas credenciais.

Isso é alcançado por meio de uma cadeia hierárquica de proxies RADIUS. Quando um usuário de username@university.ac.uk se conecta ao SSID eduroam em um local parceiro:

  1. O dispositivo do usuário envia uma solicitação de autenticação no formato username@university.ac.uk.
  2. O servidor RADIUS do local parceiro inspeciona o domínio (a parte após o símbolo @). Reconhecendo-o como um domínio externo, ele faz o proxy da solicitação para o servidor RADIUS nacional de nível superior (operado pela Rede Nacional de Pesquisa e Educação, ou NREN).
  3. O servidor nacional encaminha a solicitação para o servidor RADIUS da instituição de origem (university.ac.uk).
  4. A instituição de origem valida as credenciais e retorna uma mensagem de Access-Accept ou Access-Reject de volta pela cadeia.

Todo o processo geralmente é concluído em menos de dois segundos. Fundamentalmente, a senha do usuário nunca é exposta à instituição parceira ou aos servidores proxy intermediários; ela é protegida dentro de um túnel EAP criptografado estabelecido diretamente entre o dispositivo do usuário e o servidor RADIUS de origem.

Métodos EAP: O Equilíbrio entre Segurança e Facilidade de Implantação

A escolha do método EAP determina como o túnel criptografado é formado e como as credenciais são trocadas. A definição da política de serviço do eduroam limita estritamente os métodos permitidos para garantir a segurança.

  • PEAP (Protected EAP): O método de implantação mais comum. Ele usa um certificado do lado do servidor no servidor RADIUS para estabelecer um túnel TLS. O cliente então se autentica dentro desse túnel, normalmente usando MSCHAPv2 (usuário e senha). É relativamente fácil de implantar, mas é vulnerável a ataques de pontos de acesso falsos se os clientes não forem configurados para validar estritamente o certificado do servidor.
  • EAP-TLS: O padrão ouro em segurança. Ele exige autenticação mútua, o que significa que tanto o servidor RADIUS quanto o dispositivo cliente devem apresentar certificados válidos. Embora seja imune a phishing de credenciais, ele exige uma infraestrutura de chaves públicas (PKI) robusta para emitir e gerenciar certificados de clientes, tornando a implantação em larga escala mais complexa.

Guia de Implementação

A implantação do 802.1X e do eduroam exige uma coordenação cuidadosa entre a infraestrutura de rede, o gerenciamento de identidade e a configuração do cliente.

1. Preparação da Infraestrutura

Certifique-se de que seus pontos de acesso sem fio e controladores suportem WPA2-Enterprise/WPA3-Enterprise e 802.1X. Qualquer hardware moderno de classe corporativa (Cisco, Aruba, Juniper e outros) atenderá a esse requisito. Você também deve implantar uma infraestrutura RADIUS robusta (como FreeRADIUS, Cisco ISE ou Aruba ClearPass) capaz de lidar com a carga de autenticação esperada e com o proxy de solicitações.

2. Gerenciamento de Certificados

Para implantações PEAP, seu servidor RADIUS precisa de um certificado TLS emitido por uma autoridade certificadora (CA) confiável para seus clientes. Nunca use certificados autoassinados em uma implantação de produção do eduroam. Os certificados devem ser renovados regularmente para evitar interrupções na autenticação.

3. Configuração do Cliente (a Ferramenta CAT)

O ponto de falha mais comum em implantações do eduroam é a configuração incorreta do cliente. Quando os usuários se conectam manualmente, eles geralmente falham ao configurar a validação do certificado, deixando-os expostos a ataques de roubo de credenciais.

Para mitigar esse risco, as instituições devem usar a eduroam Configuration Assistant Tool (CAT) ou uma solução MDM para distribuir perfis pré-configurados. Esses perfis configuram automaticamente o método EAP correto, vinculam o certificado do servidor RADIUS esperado e definem o protocolo de autenticação interna apropriado.

4. Atribuição e Segmentação de VLAN

Uma implantação madura usa atributos RADIUS para atribuir VLANs dinamicamente com base na identidade do usuário.

  • Usuários internos: Atribuídos a VLANs internas com acesso apropriado aos recursos do campus.
  • Usuários visitantes: Atribuídos a uma VLAN de convidados restrita que oferece apenas acesso à internet.

Essa segmentação é crítica para a segurança e a conformidade, garantindo que os dispositivos dos visitantes não alcancem redes internas confidenciais.

comparison_chart.png

Melhores Práticas e Recomendações Neutras em Relação a Fornecedores

  • Priorize o WPA3: Para novas implantações, ative o WPA3-Enterprise para obter criptografia obrigatória de 192 bits e melhor proteção contra ataques de dicionário offline.
  • Exija a validação de certificado: Exija o uso de perfis de configuração (via CAT ou MDM) para garantir que o solicitante valide estritamente o certificado do servidor RADIUS antes de transmitir as credenciais.
  • Use RadSec: Ao configurar conexões de proxy RADIUS com a federação nacional, use RadSec (RADIUS sobre TLS) em vez de UDP simples. Isso criptografa o tráfego de proxy e melhora a confiabilidade em links de longa distância.
  • Integre com uma solução de convidados: O eduroam atende apenas a usuários com credenciais acadêmicas. Você deve manter uma solução de Guest WiFi separada e segura para prestadores de serviços, público em geral e participantes de eventos.
  • Revise a infraestrutura relacionada: Certifique-se de que sua rede subjacente esteja segura. Leia nosso guia Protegendo sua rede com DNS robusto e segurança para mais detalhes. Se estiver implantando uma infraestrutura temporária para eventos universitários, consulte Event WiFi: Planejamento e Implantação de Redes Sem Fio Temporárias ou a versão em português Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias .

Resolução de Problemas e Mitigação de Riscos

Quando a autenticação falha, a resolução sistemática de problemas é essencial.

  1. Isole o domínio de falha: Determine se a falha é local (afetando usuários em sua própria rede), remota (afetando seus usuários em outros locais) ou de entrada (afetando visitantes em sua rede).
  2. Verifique os logs do RADIUS: Os logs do servidor RADIUS são a fonte definitiva da verdade. Procure por mensagens de Access-Reject (indicando credenciais incorretas ou violações de política) ou limites de tempo excedidos (indicando problemas de conectividade de proxy).
  3. Verifique a validade do certificado: Certifique-se de que o certificado do servidor RADIUS não expirou e que a cadeia de certificados completa está sendo apresentada aos clientes.
  4. Monitore a latência de upstream: Uma latência alta para o proxy RADIUS nacional pode causar limites de tempo excedidos no cliente, resultando em falhas de conexão mesmo quando as credenciais estão corretas.

ROI e Impacto nos Negócios

Para instituições de ensino superior, o retorno de uma implementação do eduroam implantada corretamente se reflete em uma redução drástica nos chamados de suporte. Ao eliminar Captive Portals e a inserção manual de senhas, os helpdesks de TI observam uma queda significativa nas chamadas relacionadas à conectividade. (O compromisso da Purple com este setor é claro; veja Purple appoints Tim Peers as VP of Education, underlining its higher education ambitions ).

Para estabelecimentos comerciais - como hospitalidade , varejo , saúde ou transporte - o suporte ao eduroam Visitor Access (eVA) ou federações semelhantes, como o OpenRoaming, proporciona uma experiência sem atritos para um público de alto valor. Isso garante que os visitantes acadêmicos se conectem de forma automática e segura, melhorando a satisfação e permitindo que o estabelecimento mantenha uma segmentação de rede rigorosa. Se o seu estabelecimento precisa de banda larga dedicada para suportar essa demanda, considere a leitura de O que é um link dedicado? Internet feita para empresas .

Ao planejar atualizações de rede, a integração da capacidade 802.1X garante que sua infraestrutura esteja pronta para redes modernas baseadas em identidade, estabelecendo as bases para recursos avançados de WiFi Analytics e serviços baseados em localização.

Definições principais

802.1X

Um padrão IEEE para Controle de Acesso à Rede Baseado em Porta (PNAC). Ele fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN.

O protocolo fundamental para a segurança WiFi de nível empresarial, substituindo senhas compartilhadas (PSKs) por autenticação individualizada.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA) para usuários que se conectam e utilizam um serviço de rede.

O servidor de backend em uma implantação 802.1X que realmente verifica as credenciais do usuário em um diretório (como o Active Directory).

EAP (Extensible Authentication Protocol)

Uma estrutura de autenticação frequentemente usada em redes sem fio e conexões ponto a ponto. Ela fornece o transporte e uso de vários mecanismos de autenticação.

O idioma falado entre o dispositivo cliente e o servidor RADIUS durante o handshake 802.1X.

Suplicante (Supplicant)

O dispositivo cliente (ex: notebook, smartphone) ou o software nesse dispositivo que tenta se autenticar em uma rede usando 802.1X.

A entidade que solicita o acesso. Sua configuração (especialmente em relação à validação de certificados) é crítica para a segurança.

Autenticador

O dispositivo de rede (ex: ponto de acesso sem fio, switch Ethernet) que facilita o processo de autenticação 802.1X, transmitindo mensagens entre o Suplicante e o Servidor de Autenticação.

O guardião que bloqueia o tráfego de rede até que o servidor RADIUS dê sinal verde.

PEAP (Protected Extensible Authentication Protocol)

Um método EAP que encapsula a transação EAP dentro de um túnel TLS estabelecido por meio de um certificado do lado do servidor, protegendo a autenticação interna (geralmente uma senha).

O método de autenticação mais comum para o eduroam, equilibrando segurança com facilidade de implantação.

RadSec

Um protocolo para transmissão de dados RADIUS sobre TCP e TLS, em vez do tradicional UDP.

Recomendado para proteger as conexões de proxy entre instituições e a federação nacional do eduroam, evitando a interceptação do tráfego de autenticação.

Realm

A parte da identidade de um usuário que segue o símbolo "@" (por exemplo, "university.ac.uk" em "user@university.ac.uk").

Usado por servidores proxy RADIUS para determinar para onde encaminhar a solicitação de autenticação em um ambiente federado como o eduroam.

Exemplos práticos

Um hotel de convenções de 400 quartos adjacente a uma grande universidade frequentemente hospeda simpósios acadêmicos. O Diretor de TI deseja permitir que os acadêmicos visitantes se conectem de forma automática sem usar o Captive Portal padrão do hotel, mas deve garantir que esses visitantes não possam acessar a rede corporativa do hotel ou a VLAN da rede de convidados padrão.

O hotel deve implementar o eduroam Visitor Access (eVA) ou associar-se a uma federação comercial como o OpenRoaming.

  1. O hotel configura um novo SSID ('eduroam' ou 'OpenRoaming') em seus pontos de acesso corporativos.
  2. Os APs são configurados para usar WPA2-Enterprise/802.1X.
  3. O hotel implanta um servidor RADIUS local configurado para encaminhar (proxy) as solicitações de autenticação de domínios externos para a federação nacional (para o eduroam) ou para o hub do OpenRoaming.
  4. Fundamentalmente, o servidor RADIUS local é configurado para retornar um atributo de ID de VLAN específico na mensagem Access-Accept para todas as autenticações via proxy.
  5. Os pontos de acesso colocam esses usuários autenticados em uma VLAN isolada, apenas com acesso à internet, totalmente segmentada do tráfego corporativo e de convidados padrão do hotel.
Comentário do examinador: Esta abordagem aproveita corretamente a arquitetura de proxy RADIUS para descarregar a autenticação para as instituições de origem dos visitantes. Ao usar a atribuição dinâmica de VLAN via atributos RADIUS, o hotel mantém uma segmentação de rede rigorosa, atendendo aos requisitos de segurança e proporcionando uma experiência de usuário sem atritos.

Uma equipe de TI universitária percebe um pico de contas de estudantes comprometidas. A investigação revela que os estudantes estão se conectando a um ponto de acesso invasor que transmite o SSID 'eduroam' em uma cafeteria local. O AP invasor está usando um certificado autoassinado para coletar credenciais via PEAP.

A equipe de TI deve aplicar imediatamente uma validação rigorosa de certificados em todos os dispositivos clientes.

  1. Eles devem parar de orientar os alunos a se conectarem manualmente ao SSID e 'aceitarem o aviso de certificado'.
  2. Eles implantam a eduroam Configuration Assistant Tool (CAT) para dispositivos BYOD e atualizam os perfis de MDM para dispositivos gerenciados.
  3. Esses perfis configuram o suplicante para confiar apenas na Autoridade Certificadora (CA) específica que emitiu o certificado do servidor RADIUS da universidade e para verificar o Common Name (CN) do servidor.
  4. Uma vez configurado, se o dispositivo de um estudante encontrar o AP invasor, o estabelecimento do túnel EAP falhará porque o certificado invasor não corresponderá à CA/CN fixada, impedindo a transmissão de credenciais.
Comentário do examinador: Este cenário destaca a vulnerabilidade mais crítica em implantações PEAP. A solução identifica corretamente que a correção é a configuração do lado do cliente. Confiar no treinamento do usuário para detectar certificados falsos é ineficaz; os controles técnicos (fixação de perfil) são obrigatórios.

Uma rede de varejo deseja oferecer OpenRoaming em 50 locais usando sua infraestrutura de guest WiFi existente, que atualmente depende de um SSID aberto com um Captive Portal.

A rede de varejo deve atualizar sua rede para suportar 802.1X e proxy RADIUS.

  1. A equipe de rede habilita um novo SSID transmitindo o OpenRoaming Consortium OI (Organisation Identifier).
  2. Eles configuram os pontos de acesso para autenticar via 802.1X.
  3. Eles configuram seu servidor RADIUS central para encaminhar solicitações via proxy para o hub da federação OpenRoaming.
  4. Eles garantem que seu backhaul de internet possa suportar o aumento esperado nas conexões automatizadas, potencialmente atualizando para links dedicados se necessário.
Comentário do examinador: Isso destaca que a transição de um Captive Portal para um modelo 802.1X federado exige mudanças arquitetônicas fundamentais, especificamente a implementação de proxy RADIUS e a capacidade de lidar com um maior volume de conexões automatizadas.

Questões práticas

Q1. Sua universidade está implantando uma nova rede sem fio. O CISO exige que o roubo de credenciais (phishing) por meio de pontos de acesso falsos seja matematicamente impossível. Qual método EAP você deve selecionar?

Dica: Considere qual método depende de senhas e qual depende inteiramente de chaves criptográficas.

Ver resposta modelo

Você deve selecionar EAP-TLS. Ao contrário do PEAP, que depende de uma senha dentro de um túnel TLS, o EAP-TLS exige autenticação mútua por certificado. Como o dispositivo cliente se autentica usando um certificado criptográfico em vez de uma senha, não há credenciais para um ponto de acesso falso roubar.

Q2. Um pesquisador visitante de outra universidade reclama que não consegue se conectar à sua rede eduroam. Seus usuários locais estão se conectando normalmente. Você verifica os logs do seu servidor RADIUS local e vê a solicitação chegando, mas ela expira (timeout) antes que um Access-Accept seja recebido. Qual é a causa mais provável?

Dica: Pense no caminho que a solicitação de autenticação faz para um usuário visitante em comparação com um usuário local.

Ver resposta modelo

A causa mais provável é um problema de conectividade ou latência entre o seu servidor RADIUS local e o proxy RADIUS nacional da NREN. Como os usuários locais se autenticam diretamente no seu servidor, eles não são afetados. A solicitação do usuário visitante deve ser encaminhada via proxy upstream, e um timeout indica que a resposta da instituição de origem não está retornando a tempo.

Q3. Você é um arquiteto de rede de uma rede de varejo localizada perto de uma grande universidade. Você deseja oferecer WiFi de forma integrada para estudantes usando o eduroam Visitor Access (eVA), mas precisa manter a conformidade com o PCI-DSS para seus terminais de ponto de venda. Como você integra o eVA com segurança?

Dica: Como o 802.1X permite que o ponto de acesso à rede diferencie o tráfego após a autenticação?

Ver resposta modelo

Você integra o eVA configurando seu servidor RADIUS para atribuir todas as autenticações eVA bem-sucedidas a uma VLAN de convidados dedicada e exclusiva para internet. A mensagem Access-Accept do servidor RADIUS deve incluir o ID da VLAN específico. Isso garante que os dispositivos dos alunos fiquem totalmente segmentados da VLAN em conformidade com PCI usada pelos terminais de ponto de venda, atendendo aos requisitos de conformidade.

Continue a ler esta série

Como Implementar SCEP para BYOD Seguro e Registro de Rede no Ensino Superior

Este guia técnico fornece aos arquitetos de rede e gerentes de TI um modelo neutro de fornecedor para implantar o registro de certificados baseado em SCEP para proteger redes de campus de ensino superior. Ele detalha como migrar do PEAP baseado em senha para o 802.1X EAP-TLS, automatizar a integração de BYOD e aplicar uma segmentação robusta de VLAN.

Ler o guia →

Server RADIUS: um guia completo para empresas

Este guia fornece a gerentes de TI, arquitetos de rede e CTOs uma referência técnica definitiva sobre autenticação de server RADIUS para WiFi corporativo. Ele aborda a estrutura AAA, arquitetura 802.1X, seleção de método EAP, compensações de implantação em nuvem versus local e atribuição dinâmica de VLAN. Operadores de locais nos setores de hospitalidade, varejo, eventos e setor público encontrarão orientações práticas de implementação, estudos de caso do mundo real e as estruturas de decisão necessárias para migrar de chaves pré-compartilhadas inseguras para uma arquitetura de controle de acesso à rede segura e orientada por identidade.

Ler o guia →

Aruba ClearPass vs. Purple WiFi: Comparando Recursos e Co-implantação

Um guia técnico abrangente detalhando a arquitetura de co-implantação do Aruba ClearPass e Purple WiFi. Ele aborda a configuração de proxy RADIUS, atribuição dinâmica de VLAN e melhores práticas para fornecer redes de convidados seguras e orientadas por análise de dados junto com o NAC corporativo.

Ler o guia →