Pular para o conteúdo principal
Português (Brasil)

How to Set Up Enterprise WiFi on Android Devices with EAP-TLS

Este guia de referência técnica fornece aos líderes seniores de TI um roteiro abrangente para implantar a autenticação 802.1X EAP-TLS em dispositivos Android. Ele aborda a mecânica de arquitetura, estratégias de implementação manual e orientada por MDM, e metodologias de resolução de problemas necessárias para proteger redes sem fio corporativas.

📖 5 min de leitura📝 1,161 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Como Configurar WiFi Corporativo em Dispositivos Android com EAP-TLS Um Briefing Técnico da Purple — Aproximadamente 10 Minutos --- INTRODUÇÃO E CONTEXTO — aproximadamente 1 minuto Bem-vindo à série de Briefings Técnicos da Purple. Eu sou o seu anfitrião e hoje vamos entrar nos detalhes da implantação da autenticação 802.1X EAP-TLS em dispositivos Android — quer você esteja gerenciando uma rede hoteleira, uma rede de varejo, um estádio ou um campus do setor público. Se você é responsável por uma rede que precisa autenticar dispositivos Android corporativos ou BYOD sem depender de senhas compartilhadas, este episódio é para você. O EAP-TLS é o padrão ouro para a segurança de WiFi corporativo — ele usa autenticação mútua baseada em certificados, o que significa que não há credenciais para sofrer phishing, não há senhas para rotacionar e oferece uma postura de conformidade que atende ao PCI DSS, ISO 27001 e à maioria dos frameworks de segurança do setor público. Ao final deste briefing, você entenderá exatamente como o EAP-TLS funciona no Android, quais são as suas opções de implantação e os três erros mais comuns que causam falhas nas implementações. Vamos começar. --- MERGULHO TÉCNICO PROFUNDO — aproximadamente 5 minutos Vamos começar com a arquitetura. O 802.1X é o padrão IEEE que rege o controle de acesso à rede baseado em porta. Quando um dispositivo Android se conecta a uma rede WiFi corporativa — configurada como WPA2-Enterprise ou WPA3-Enterprise —, o ponto de acesso age como o que chamamos de autenticador. Ele não toma a decisão de autenticação por si só; ele apenas intermedia a conversa entre o dispositivo e um servidor RADIUS, que é o servidor de autenticação real. O EAP-TLS — que significa Extensible Authentication Protocol com Transport Layer Security — é o método de autenticação executado dentro desse framework 802.1X. O que o diferencia do EAP-PEAP ou EAP-TTLS, que usam usuário e senha dentro de um túnel TLS, é que o EAP-TLS usa certificados X.509 em ambos os lados. O servidor RADIUS apresenta um certificado de servidor ao dispositivo, e o dispositivo apresenta um certificado de cliente de volta ao servidor RADIUS. Ambas as partes se validam mutuamente. Isso é autenticação mútua, e é o que torna o EAP-TLS a opção mais segura disponível. Agora, especificamente no Android, há algumas coisas que você precisa entender. O Android 11 e as versões posteriores introduziram requisitos de validação de certificado mais rígidos. Se você estiver implantando no Android 11 ou superior — que a esta altura representa a grande maioria dos seus dispositivos —, o dispositivo se recusará a conectar a menos que o certificado do servidor RADIUS seja explicitamente confiável. Você não pode confiar apenas no repositório de confiança do sistema; você deve enviar o certificado da CA raiz para o dispositivo ou configurar o perfil de WiFi para referenciá-lo explicitamente. Vamos falar sobre a cadeia de certificados. Você precisa de três componentes configurados antes que um único dispositivo Android possa se autenticar via EAP-TLS. Primeiro, uma Autoridade Certificadora — seja sua PKI interna, o Microsoft Active Directory Certificate Services ou uma PKI em nuvem como o SCEP via Intune. Segundo, um certificado de servidor emitido para o seu servidor RADIUS, assinado por essa CA. Terceiro, um certificado de cliente exclusivo emitido para cada dispositivo ou usuário, também assinado pela mesma CA. O dispositivo apresenta seu certificado de cliente durante o handshake TLS, e o servidor RADIUS o valida em relação à lista de revogação de certificados da CA, ou CRL, ou via OCSP — Online Certificate Status Protocol. Para o Android, o certificado de cliente e a chave privada são normalmente empacotados como um arquivo PKCS12 — que é um arquivo ponto-P12 ou ponto-PFX — que contém tanto o certificado quanto a chave privada criptografada. Em um dispositivo configurado manualmente, o usuário importa esse arquivo através de Configurações, depois Segurança e, em seguida, Instalar um Certificado. Em um dispositivo gerenciado por MDM, o certificado é enviado silenciosamente para o keystore gerenciado do dispositivo — sem necessidade de interação do usuário. Agora vamos falar sobre o perfil de WiFi em si. Ao configurar uma conexão WiFi corporativa no Android, você precisa especificar: o SSID, o tipo de segurança — WPA2-Enterprise ou WPA3-Enterprise —, o método EAP — que é TLS —, o certificado da CA para validação do servidor, o certificado do cliente para autenticação do dispositivo e a string de identidade, que normalmente é o Common Name do dispositivo ou o UPN do usuário. No Android 11 e superior, você também precisa especificar a correspondência de sufixo de domínio ou o assunto do certificado do servidor para evitar ataques man-in-the-middle. Para implantações de MDM — e é aqui que entra a verdadeira escala —, você envia tudo isso como um perfil de configuração estruturado. No Microsoft Intune, você cria um perfil de certificado SCEP que solicita e instala automaticamente um certificado de cliente exclusivo em cada dispositivo Android registrado. Em seguida, você cria um perfil de configuração de WiFi que faz referência a esse perfil de certificado. Quando o dispositivo se conecta, ele recebe tanto o certificado quanto o perfil de WiFi, conectando-se à sua rede 802.1X automaticamente. Sem interação do usuário, sem chamados de suporte. Se você estiver usando o Intune para isso, nosso guia complementar sobre como usar o Microsoft Intune para enviar certificados de WiFi para dispositivos detalha as etapas exatas de configuração — recomendo a leitura desse material junto com este briefing. Para o VMware Workspace ONE e o Jamf Connect, o processo é arquitetonicamente idêntico — perfil de certificado SCEP ou PKCS, seguido por um perfil de WiFi que faz referência a ele. A interface do usuário específica difere, mas a cadeia de certificados e os requisitos de configuração do RADIUS são os mesmos. Uma coisa que vale a pena destacar do lado do RADIUS: se você estiver executando o FreeRADIUS, Microsoft NPS ou Cisco ISE, certifique-se de que o certificado do seu servidor inclua os atributos corretos de Uso Estendido de Chave (EKU) — especificamente, Autenticação de Servidor, OID 1.3.6.1.5.5.7.3.1. O Android é rigoroso quanto a isso. Um certificado que funciona perfeitamente com clientes Windows pode falhar no Android se o EKU estiver ausente ou configurado incorretamente. --- RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ARMADILHAS — aproximadamente 2 minutos Certo, vamos falar sobre o que realmente dá errado em campo, porque é aqui que a maioria das implantações enfrenta problemas. O primeiro e mais comum erro é a confiança no certificado. O Android 11 e versões superiores não se conectarão se a cadeia de certificados do servidor RADIUS não puder ser validada. A solução é simples: envie o certificado da sua CA raiz para o armazenamento de certificados do usuário do dispositivo via MDM e faça referência explícita a ele no campo de certificado CA do perfil de WiFi. Não deixe isso como "Não validar" — isso é uma brecha de segurança e falhará em algumas versões do Android de qualquer maneira. A segunda armadilha é a expiração do certificado. Os certificados de cliente normalmente têm um período de validade de um a dois anos. Se você não tiver a renovação automatizada configurada via SCEP ou NDES, acordará uma manhã e descobrirá que metade dos seus dispositivos perdeu o acesso ao WiFi simultaneamente. Integre a automação de renovação de certificados ao seu fluxo de trabalho de MDM desde o primeiro dia, e não como uma reflexão tardia. O terceiro problema é a capacidade do servidor RADIUS. Os handshakes EAP-TLS são computacionalmente mais caros do que os handshakes PEAP devido à troca mútua completa de certificados. Em um estádio ou centro de conferências com milhares de autenticações simultâneas, um servidor RADIUS subdimensionado se tornará um gargalo. Dimensione sua infraestrutura RADIUS para o pico de autenticações concorrentes, não para a carga média. Finalmente, do lado do Android, esteja ciente de que diferentes fabricantes — Samsung, Google, Xiaomi — têm implementações ligeiramente diferentes da API de configuração de WiFi. Teste seus perfis enviados por MDM em dispositivos representativos de cada fabricante em sua empresa antes de implantar em grande escala. Os dispositivos Samsung, em particular, historicamente exigem que o campo de identidade seja definido explicitamente, mesmo quando ele pode ser deduzido a partir do certificado. --- PERGUNTAS E RESPOSTAS RÁPIDAS — aproximadamente 1 minuto Algumas perguntas rápidas que recebo regularmente. Posso usar EAP-TLS para dispositivos BYOD? Sim, mas isso exige que o usuário instale um certificado de cliente em seu dispositivo pessoal. Para BYOD em larga escala, considere se o EAP-TTLS com PAP ou PEAP-MSCHAPv2 é uma alternativa mais prática, reservando o EAP-TLS para dispositivos de propriedade da empresa. O EAP-TLS funciona com WPA3-Enterprise? Sim, e o WPA3-Enterprise com modo de 192 bits na verdade exige o EAP-TLS. Se você estiver implantando o WPA3-Enterprise em ambientes de alta segurança, o EAP-TLS é sua única opção em conformidade. Qual é a versão mínima do Android que devo segmentar? O Android 8 e superior suporta EAP-TLS nativamente. Para o Android 11 e superior, imponha a validação explícita do certificado CA. Para o Android 13 e superior, você pode aproveitar as APIs aprimoradas de gerenciamento de certificados para um controle mais granular. A plataforma da Purple pode se integrar com redes EAP-TLS? A plataforma de guest WiFi e analytics da Purple opera em um SSID separado da sua rede corporativa 802.1X. Seus dispositivos corporativos se autenticam via EAP-TLS no SSID seguro, enquanto os dispositivos de convidados usam o Captive Portal da Purple no SSID de convidados. Ambos coexistem na mesma infraestrutura de pontos de acesso, com a separação por VLAN fornecendo o limite de segurança. --- RESUMO E PRÓXIMOS PASSOS — aproximadamente 1 minuto Para resumir: o EAP-TLS no Android é o método de autenticação WiFi corporativo mais seguro disponível e, com as ferramentas modernas de MDM, é totalmente prático de implantar em escala. As três coisas que você precisa acertar são: uma PKI configurada corretamente com renovação automatizada de certificados, confiança explícita no certificado CA no Android 11 e superior, e uma infraestrutura RADIUS dimensionada para a carga de pico. Se você estiver implantando em um local com tráfego misto de corporativo e convidados, a plataforma da Purple oferece a camada de analytics e engajamento na rede de convidados, enquanto sua infraestrutura EAP-TLS protege o lado corporativo. Ambos se complementam perfeitamente. Para os seus próximos passos: revise nosso diagrama de arquitetura no guia completo, siga o passo a passo de implantação do Intune e execute um piloto em um subconjunto de dispositivos antes de implantar em toda a sua infraestrutura. Comece com um grupo controlado de cinquenta dispositivos, valide a entrega de certificados e a conectividade WiFi e, em seguida, expanda com confiança. Obrigado por ouvir o Briefing Técnico da Purple. Você encontrará o guia escrito completo, diagramas e referências de configuração em purple.ai. Até a próxima.

header_image.png

Resumo Executivo

Proteger redes sem fio corporativas contra roubo de credenciais e acesso não autorizado exige ir além de senhas compartilhadas. Para frotas de dispositivos Android em ambientes corporativos, o 802.1X EAP-TLS (Extensible Authentication Protocol com Transport Layer Security) representa o padrão definitivo de segurança. Ao aproveitar a autenticação mútua baseada em certificados, o EAP-TLS elimina os riscos associados à fadiga de senhas, phishing e credenciais fracas.

Este guia de referência técnica fornece a arquitetos de rede, gerentes de TI e CTOs estratégias acionáveis para implantar o EAP-TLS em dispositivos Android. Seja gerenciando terminais de ponto de venda no setor de Varejo , dispositivos clínicos em Saúde ou operações de back-of-house em Hospitalidade , dominar essa implantação garante conformidade robusta de segurança (PCI DSS, GDPR, ISO 27001), ao mesmo tempo em que oferece uma experiência de conexão contínua para os usuários finais. Cobrimos tanto a configuração manual para ambientes BYOD quanto o provisionamento MDM zero-touch para frotas de propriedade da empresa.

Ouça o Briefing

Aprofundamento Técnico

A Arquitetura 802.1X e a Mecânica do EAP-TLS

Em sua essência, o 802.1X é um padrão IEEE para controle de acesso à rede baseado em porta. Em um contexto sem fio, o ponto de acesso atua como o Autenticador, facilitando a comunicação entre o dispositivo Android (o Suplicante) e o servidor RADIUS (o Servidor de Autenticação).

Ao contrário do PEAP ou TTLS, que encapsulam a autenticação de senha legada dentro do TLS, o EAP-TLS depende inteiramente de certificados X.509. Isso cria um paradigma de autenticação mútua:

  1. O servidor RADIUS apresenta seu certificado ao dispositivo Android para provar que a rede é legítima.
  2. O dispositivo Android apresenta seu certificado de cliente exclusivo ao servidor RADIUS para provar que é um endpoint autorizado.

eap_tls_architecture_overview.png

Requisitos de Certificado Específicos do Android

A implantação no Android introduz restrições específicas, particularmente a partir do Android 11. O Google descontinuou a opção "Não validar" para certificados de servidor para mitigar ataques de man-in-the-middle (MitM). Consequentemente, o dispositivo Android deve possuir o certificado da CA Raiz que assinou o certificado do servidor RADIUS.

Além disso, o certificado do servidor RADIUS deve conter os atributos corretos de Extended Key Usage (EKU) — especificamente Server Authentication (OID 1.3.6.1.5.5.7.3.1). Sem isso, o suplicante Android rejeitará silenciosamente o handshake TLS.

No lado do cliente, o Android exige que a chave privada e o certificado estejam empacotados, normalmente em um formato PKCS#12 (.p12 ou .pfx).

Integração com o Ecossistema da Purple

Embora o EAP-TLS proteja seus dispositivos corporativos e infraestrutura operacional, os operadores do local também devem gerenciar o acesso de visitantes. É aqui que uma estratégia de SSID duplo se torna crítica. Seu SSID corporativo utiliza 802.1X EAP-TLS, enquanto seu SSID público aproveita a plataforma de Guest WiFi da Purple. Essa separação garante a segurança operacional, ao mesmo tempo que permite que a equipe de marketing aproveite o WiFi Analytics na rede de convidados. Para uma visão mais ampla sobre a segurança da infraestrutura física, consulte o Guia Corporativo de Segurança de Access Points 2026 .

Guia de Implementação

A implantação do EAP-TLS no Android pode ser feita manualmente para pequenas implantações de BYOD ou via Mobile Device Management (MDM) para escala empresarial.

mdm_deployment_comparison.png

Método 1: Configuração Manual (BYOD / Pequena Escala)

Este método exige muito suporte e é recomendado apenas para implantações limitadas ou testes.

  1. Entrega de Certificado: Entregue com segurança o certificado de cliente .p12 e o arquivo Root CA .cer para o dispositivo Android (por exemplo, via portal seguro ou e-mail criptografado).
  2. Instalação:
    • Vá para Configurações > Segurança > Criptografia e credenciais > Instalar um certificado.
    • Instale a Root CA como um "certificado de Wi-Fi".
    • Instale o arquivo .p12, fornecendo a senha de extração quando solicitado.
  3. Configuração de Rede:
    • Vá para Configurações > Rede e internet > Wi-Fi e selecione "Adicionar rede".
    • Insira o SSID.
    • Defina a Segurança como WPA/WPA2/WPA3-Enterprise.
    • Defina o método EAP como TLS.
    • Defina o certificado CA para a Root CA instalada.
    • Defina o Status do Certificado Online como Solicitar status do certificado.
    • Defina o Domínio para corresponder ao Subject Alternative Name (SAN) do certificado do servidor RADIUS.
    • Selecione o certificado de Cliente instalado.
    • Insira a Identidade (geralmente o UPN do usuário ou o MAC do dispositivo).

Método 2: Perfil Enviado por MDM (Escala Empresarial)

Para grandes ambientes, como um campus universitário ou um hub de logística em Transport , o MDM é obrigatório. Isso fornece provisionamento zero-touch e gerenciamento de ciclo de vida.

  1. Integração PKI: Conecte seu MDM (Intune, Workspace ONE, Jamf) à sua Autoridade de Certificação usando SCEP ou NDES.
  2. Perfil de Certificado: Crie um perfil de configuração para enviar a CA Raiz para o repositório de confiança do dispositivo. Crie um segundo perfil (SCEP) para solicitar e instalar automaticamente o certificado de cliente exclusivo.
  3. Perfil de WiFi: Crie um perfil de configuração de Wi-Fi vinculando os certificados implantados.
    • Tipo de Segurança: WPA2/WPA3 Enterprise
    • Tipo de EAP: EAP-TLS
    • Método de Autenticação: Certificado
    • Confiança do Servidor: Especifique a CA Raiz e o nome de domínio exato do servidor.

Para instruções detalhadas específicas da Microsoft, consulte nosso guia: Como Usar o Microsoft Intune para Enviar Certificados de WiFi para Dispositivos .

Melhores Práticas

  1. Imponha o WPA3-Enterprise: Onde o hardware suportar, exija o WPA3-Enterprise. A suíte de segurança de 192 bits exige explicitamente o EAP-TLS, garantindo os mais altos padrões criptográficos.
  2. Automatize o Ciclo de Vida dos Certificados: Certificados de cliente expiram. Se você depender de renovações manuais, enfrentará interrupções massivas. Implemente SCEP/NDES para renovar certificados automaticamente 30 dias antes da expiração.
  3. Implemente um DNS Robusto: As verificações de Lista de Revogação de Certificados (CRL) e OCSP exigem uma resolução de DNS confiável a partir da borda. Leia mais em Proteja sua Rede com DNS Forte e Segurança .
  4. Segmentação de VLAN: Mapeie as sessões autenticadas por EAP-TLS para VLANs específicas com base nos atributos do certificado (por exemplo, separando terminais de PDV de tablets de gerentes) usando atributos RADIUS como Tunnel-Private-Group-Id.

Solução de Problemas e Mitigação de Riscos

Quando dispositivos Android falham ao conectar via EAP-TLS, o problema quase sempre reside na cadeia de certificados ou na configuração do RADIUS.

  • Sintoma: Dispositivos Android 11+ desconectam imediatamente ou mostram "Erro de autenticação" sem solicitar ação do usuário.
    • Causa Raiz: O dispositivo não confia no certificado do servidor RADIUS. O campo "Domínio" no perfil de WiFi deve corresponder exatamente ao SAN do certificado do servidor, e a CA Raiz deve estar instalada.
  • Sintoma: A conexão expira (timeout) durante o handshake TLS.
    • Causa Raiz: O servidor RADIUS não consegue alcançar o ponto de distribuição da CRL para verificar o status de revogação do certificado do cliente. Certifique-se de que seu servidor RADIUS tenha acesso HTTP de saída para os endpoints de CRL da sua PKI.
  • Sintoma: Dispositivos Windows conectam, mas dispositivos Android falham.
    • Causa Raiz: Falta do EKU de Autenticação de Servidor no certificado RADIUS, ou o suplicante do Android está tentando usar uma suíte de cifras não suportada. Verifique os logs do RADIUS para falhas de negociação TLS.

ROI e Impacto nos Negócios

A transição para o EAP-TLS exige investimento inicial em infraestrutura de PKI e MDM, mas o retorno sobre o investimento é substancial para líderes seniores de TI.

  • Redução de Custos com Helpdesk: A redefinição de senhas representa de 20% a 30% dos chamados de suporte de TI. A autenticação baseada em certificados elimina as políticas de rotação de senhas para acesso à rede, reduzindo drasticamente os custos operacionais de suporte.
  • Mitigação de Riscos: O EAP-TLS oferece imunidade contra a coleta de credenciais e ataques de dicionário offline. O custo de uma única violação em um setor regulamentado como o de Saúde supera em muito o custo de implantação de uma PKI.
  • Continuidade Operacional: O provisionamento automatizado de certificados garante que dispositivos operacionais críticos — de leitores de código de barras em armazéns a sistemas de PDV no varejo — nunca percam a conexão com a rede devido a credenciais expiradas. À medida que a Purple continua a expandir seu alcance, destacado por movimentos estratégicos recentes como Purple Signals Higher Education Ambitions with Appointment of VP Education Tim Peers , uma conectividade básica robusta torna-se o facilitador para análises avançadas e engajamento.

Definições principais

802.1X

Um padrão IEEE para Controle de Acesso à Rede baseado em porta (PNAC) que fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN.

A estrutura fundamental que impede que dispositivos não autorizados acessem a rede corporativa na borda.

EAP-TLS

Extensible Authentication Protocol com Transport Layer Security. Uma estrutura de autenticação que usa certificados X.509 para autenticação mútua entre o cliente e o servidor.

Considerado o tipo de EAP mais seguro, ele elimina a dependência de senhas, tornando-o essencial para ambientes de alta segurança.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA).

O componente do servidor (por exemplo, Cisco ISE, Microsoft NPS) que valida o certificado do dispositivo Android em relação à PKI.

Supplicant

O dispositivo cliente (neste caso, o smartphone ou tablet Android) que está solicitando acesso à rede.

Compreender as restrições específicas de SO do solicitante (como a validação estrita do Android 11) é fundamental para uma implantação bem-sucedida.

Authenticator

O dispositivo de rede (o Access Point WiFi) que facilita o processo de autenticação entre o Supplicant e o servidor RADIUS.

O AP não toma a decisão; ele apenas impõe o controle de porta com base na resposta do servidor RADIUS.

PKI

Public Key Infrastructure. Um conjunto de funções, políticas, hardware, software e procedimentos necessários para criar, gerenciar, distribuir, usar, armazenar e revogar certificados digitais.

A espinha dorsal do EAP-TLS. Sem uma PKI robusta, a autenticação baseada em certificado é impossível.

SCEP

Simple Certificate Enrollment Protocol. Um protocolo projetado para tornar a emissão e revogação de certificados digitais o mais escalável possível.

Usado por plataformas MDM para provisionar automaticamente certificados de cliente para dispositivos Android sem a intervenção do usuário.

SAN

Subject Alternative Name. Uma extensão do X.509 que permite que vários valores sejam associados a um certificado de segurança.

O Android 11+ exige que o campo 'Domínio' no perfil de WiFi corresponda ao SAN do certificado do servidor RADIUS.

Exemplos práticos

Uma rede varejista nacional precisa implantar 5.000 tablets de ponto de venda (PDV) baseados em Android. A equipe de segurança exige que esses dispositivos não utilizem senhas compartilhadas e sejam imunes a phishing de credenciais. Como a equipe de infraestrutura deve abordar essa implantação?

A equipe deve implantar uma solução de Mobile Device Management (MDM) integrada à sua Infraestrutura de Chaves Públicas (ICP) interna via SCEP. O MDM enviará um perfil de configuração contendo o certificado da CA Raiz, solicitará automaticamente um certificado de cliente exclusivo para cada tablet de PDV e configurará o perfil de WiFi WPA3-Enterprise para usar EAP-TLS. O servidor RADIUS será configurado para atribuir esses dispositivos a uma VLAN de PDV isolada com base na validação bem-sucedida do certificado.

Comentário do examinador: Esta é a abordagem corporativa ideal. Tentar a configuração manual para 5.000 dispositivos é operacionalmente inviável. Ao usar MDM e SCEP, a organização alcança o provisionamento zero-touch e a renovação automatizada de certificados, atendendo à exigência de segurança e minimizando o atrito de implantação.

Um gerente de TI de um hospital está atualizando a rede sem fio. Após a atualização, dispositivos Android 9 mais antigos se conectam com sucesso à rede EAP-TLS, mas dispositivos Android 12 recém-adquiridos falham na autenticação, apresentando um erro de confiança.

O gerente de TI deve atualizar o perfil de configuração de WiFi enviado aos dispositivos. O Android 11+ exige validação estrita do certificado do servidor. O perfil deve ser atualizado para definir explicitamente o certificado da CA Raiz em que se deve confiar e especificar o "Domínio" exato (correspondente ao SAN do servidor RADIUS) para evitar ataques MitM.

Comentário do examinador: Isso destaca uma mudança crítica no nível do sistema operacional no comportamento do suplicante do Android. Configurações herdadas do tipo "Não validar" representam um risco de segurança significativo e foram descontinuadas nas versões modernas do Android. A solução identifica corretamente a necessidade de uma configuração de confiança explícita.

Questões práticas

Q1. Sua organização está migrando de PEAP-MSCHAPv2 para EAP-TLS. Durante a fase piloto, vários dispositivos Android 13 falham ao se conectar. Os logs do RADIUS mostram que o handshake TLS é iniciado, mas interrompido pelo cliente antes que o certificado do cliente seja enviado. Qual é o erro de configuração mais provável?

Dica: Considere os requisitos rigorosos de validação introduzidos em versões recentes do Android em relação à identidade do servidor.

Ver resposta modelo

O erro mais provável é que o perfil de WiFi enviado aos dispositivos Android 13 não especifica corretamente a correspondência do sufixo de 'Domínio', ou a CA Raiz não está devidamente vinculada ao perfil. O Android interrompe a conexão para evitar um ataque de Man-in-the-Middle porque não consegue validar o certificado do servidor RADIUS.

Q2. Você está projetando a arquitetura para a implantação em um grande estádio. O cliente deseja usar EAP-TLS para todos os dispositivos da equipe. Qual componente de infraestrutura específico deve ser dimensionado em comparação com uma rede WPA2-PSK padrão e por quê?

Dica: O EAP-TLS envolve operações criptográficas complexas durante a fase de conexão.

Ver resposta modelo

A infraestrutura do servidor RADIUS deve ser significativamente dimensionada. O EAP-TLS exige validação mútua completa de certificados (criptografia assimétrica), o que é computacionalmente caro. Em um ambiente de estádio com milhares de dispositivos potencialmente em roaming ou se autenticando simultaneamente, uma implantação de RADIUS subdimensionada causará timeouts de autenticação e falhas de conexão.

Q3. O certificado de um cliente foi comprometido em um tablet Android perdido. Qual é o mecanismo exato pelo qual a rede impede que este dispositivo se conecte via EAP-TLS?

Dica: Como o servidor RADIUS sabe que o certificado não é mais válido antes de sua data de expiração?

Ver resposta modelo

O administrador de TI revoga o certificado do cliente na PKI. A PKI atualiza sua Lista de Revogação de Certificados (CRL) ou o respondente OCSP. Quando o tablet perdido tenta se conectar, o servidor RADIUS verifica o certificado do cliente em relação à CRL/OCSP. Ao constatar que ele foi revogado, o servidor RADIUS rejeita a solicitação de autenticação.

Continue a ler esta série

Per-Device PSK por Vendor: Comparativo de iPSK, DPSK, MPSK e PPSK (e Suporte a WPA3)

Uma comparação abrangente das implementações de PSK por dispositivo no Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet e Ubiquiti UniFi. Saiba como o WPA3-SAE impacta as estratégias de chaves por dispositivo e quando implantar modos de transição em vez de migrar para o 802.1X.

Ler o guia →

Métodos de Autenticação de Captive Portal Comparados

Este guia de referência técnica definitivo avalia as compensações arquitetônicas, operacionais e de conformidade de cinco métodos principais de autenticação de captive portal. Ele fornece a arquitetos de rede, diretores de TI e gerentes de marketing os dados quantitativos e as estruturas de decisão necessários para equilibrar a fricção no onboarding de convidados com os requisitos de coleta de dados em locais corporativos.

Ler o guia →

O que é autenticação por endereço MAC? Quando usar e quando evitar

Este guia de referência técnica abrangente aborda a autenticação por endereço MAC em ambientes de WiFi corporativos — como a autenticação MAC baseada em RADIUS funciona na Camada 2, suas vulnerabilidades de segurança inerentes (incluindo spoofing de MAC e o impacto da randomização de MAC no nível do SO) e os contextos operacionais precisos onde ela continua sendo uma ferramenta válida para gerenciar IoT e dispositivos headless. Ele fornece orientações de implantação práticas para gerentes de TI e arquitetos de rede em setores como hotelaria, varejo, saúde e locais públicos, com exemplos práticos reais, estruturas de decisão e contexto de integração para a plataforma de guest WiFi e analytics da Purple.

Ler o guia →