Pular para o conteúdo principal
Português (Brasil)

Implementando WPA3-Enterprise para Segurança Wireless Avançada

Este guia de referência técnica fornece um roteiro abrangente e prático para líderes de TI na transição do WPA2 para o WPA3-Enterprise. Ele aborda as mudanças arquitetônicas, melhorias de segurança obrigatórias como EAP-TLS e PMF, e estratégias práticas de implantação para proteger redes corporativas em ambientes empresariais complexos.

📖 6 min de leitura📝 1,275 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Implementando WPA3-Enterprise para Segurança Sem Fio Avançada. Um Informativo Técnico da Purple WiFi. Bem-vindo à série de Informativos Técnicos da Purple. Hoje vamos direto ao que importa: WPA3-Enterprise — o que ele realmente significa para a sua rede, por que o momento atual é crítico e como ir de onde você está hoje para uma infraestrutura sem fio totalmente em conformidade e à prova de futuro. Se você gerencia um grupo hoteleiro, uma rede de varejo, um centro de convenções ou uma instalação do setor público, este informativo é para você. Não vamos nos perder em teorias acadêmicas. Vamos falar sobre decisões reais, configurações reais e resultados reais. O WPA3-Enterprise tornou-se um requisito obrigatório para dispositivos Wi-Fi CERTIFIED em 2020 e, no entanto, a maioria dos ambientes corporativos ainda executa o WPA2. Essa lacuna é a sua exposição ao risco. O PCI DSS 4.0, que entrou em vigor total em março de 2024, faz referência explícita a padrões de autenticação mais fortes. As obrigações do GDPR sobre proteção de dados desde a concepção são cada vez mais interpretadas como incluindo a segurança na camada de rede. O prazo para tratar o WPA3 como um "bom de se ter" acabou. Vamos ao que interessa. Então, o que realmente muda com o WPA3-Enterprise? Vamos começar com a camada de autenticação. O WPA2-Enterprise depende do IEEE 802.1X com EAP — Extensible Authentication Protocol — e essa parte não muda com o WPA3. O que muda é tudo ao redor. O handshake, a criptografia e a proteção de frames de gerenciamento. No WPA2, o handshake de quatro vias usado para derivar chaves de sessão é vulnerável a ataques de dicionário offline. Um invasor captura o handshake, leva-o offline e o executa contra uma lista de palavras. Essa é a base do ataque KRACK — Key Reinstallation Attack — revelado em 2017. O WPA3 substitui isso pelo SAE — Simultaneous Authentication of Equals —, que é uma troca de chaves baseada em Diffie-Hellman. A diferença crítica é que o SAE fornece sigilo de encaminhamento (forward secrecy). Mesmo que um invasor capture todos os pacotes de uma sessão e, posteriormente, comprometa uma chave de longo prazo, ele não poderá descriptografar retroativamente essa sessão. Cada sessão tem suas próprias chaves efêmeras. Do lado da criptografia, o WPA2 usa CCMP-128 — Counter Mode with Cipher Block Chaining Message Authentication Code Protocol — baseado em AES-128. O WPA3-Enterprise exige o GCMP-256 — Galois Counter Mode Protocol com chaves de 256 bits — para seu modo de segurança de 192 bits. Esse é o modo que você deseja para qualquer ambiente que manipule dados confidenciais: registros de saúde, dados de cartões de pagamento, informações governamentais. Depois, há os Frames de Gerenciamento Protegidos — PMF — definidos sob o IEEE 802.11w. No WPA2, o PMF é opcional. No WPA3, ele é obrigatório. Os frames de gerenciamento são os sinais de controle que gerenciam a associação, desassociação e autenticação entre clientes e pontos de acesso. Sem o PMF, um invasor pode forjar frames de desautenticação — desconectando os clientes da rede à força — como um ataque de negação de serviço ou como um precursor de um ataque man-in-the-middle. O PMF obrigatório fecha esse vetor completamente.Agora, a configuração do servidor RADIUS. É aqui que a maioria das implementações ou tem sucesso ou trava. Seu servidor RADIUS — seja ele Microsoft NPS, FreeRADIUS, Cisco ISE ou Aruba ClearPass — precisa ser configurado para suportar EAP-TLS como o método de autenticação primário para WPA3-Enterprise. O EAP-TLS utiliza autenticação mútua baseada em certificados. O cliente apresenta um certificado, o servidor apresenta um certificado e ambos se validam mutuamente. Não há senhas nessa troca. Isso elimina completamente os ataques baseados em credenciais. A infraestrutura de certificados — sua PKI — é a espinha dorsal disso. Você precisa de uma Autoridade Certificadora (CA), seja interna usando o Microsoft Active Directory Certificate Services, ou um serviço de PKI baseado em nuvem. Cada dispositivo cliente precisa de um certificado registrado, normalmente por meio de sua plataforma MDM — Intune, Jamf ou similar. O servidor RADIUS precisa de seu próprio certificado de servidor de uma CA na qual seus clientes confiem. E você precisa de um endpoint OCSP ou CRL para que os clientes possam validar a revogação de certificados em tempo real. Para ambientes onde o EAP-TLS completo não é imediatamente alcançável — talvez porque você tenha uma mistura de dispositivos gerenciados e não gerenciados — o EAP-TTLS ou PEAP com MSCHAPv2 continua sendo uma opção como medida de transição. Mas quero ser direto: métodos EAP baseados em credenciais são um degrau, não o destino final. A postura de segurança do EAP-TLS é categoricamente superior, e seu roadmap deve focar nele. Mais um detalhe técnico: o modo de transição. A maioria das controladoras sem fio modernas suporta o Modo de Transição WPA3, que permite que clientes WPA2 e WPA3 se associem ao mesmo SSID simultaneamente. Este é o seu caminho de migração. Você ativa o modo de transição, valida se os clientes WPA3 estão se autenticando corretamente, monitora seus logs e então — assim que tiver confiança na base de clientes — muda para apenas WPA3. Não tente fazer uma virada brusca no primeiro dia. O modo de transição existe justamente para evitar esse risco. Agora, deixe-me apresentar os três modos de falha mais comuns que vejo em implantações de WPA3-Enterprise e como evitá-los. Primeiro: gerenciamento do ciclo de vida dos certificados. As organizações implantam a PKI, emitem certificados e depois esquecem que os certificados expiram. A expiração de um certificado no seu servidor RADIUS derrubará a autenticação de absolutamente todos os clientes da sua rede simultaneamente. Você precisa de renovação automatizada, alertas de monitoramento aos 90, 60 e 30 dias antes da expiração e um manual de procedimentos de renovação testado. Isso não é opcional. Já vi grandes grupos hoteleiros perderem todo o acesso sem fio corporativo porque um certificado RADIUS expirou durante um feriado prolongado. Segundo: premissas de compatibilidade do cliente. Nem todo dispositivo em sua infraestrutura suportará WPA3. Dispositivos IoT legados — sistemas de gerenciamento predial, terminais de ponto de venda mais antigos, alguns sistemas de CFTV — podem suportar apenas WPA2 ou até mesmo WPA. A resposta é a segmentação de rede. Coloque seus dispositivos corporativos compatíveis com WPA3 em um SSID exclusivo para WPA3. Coloque seus IoT legados em uma VLAN separada e isolada com WPA2, com regras rígidas de firewall que impeçam a movimentação lateral. Não comprometa a postura de segurança da sua rede principal para acomodar dispositivos legados. Terceiro: redundância do servidor RADIUS. Um único servidor RADIUS é um ponto único de falha. Em uma implantação multi-site — uma rede de varejo com 200 lojas, por exemplo — você precisa, no mínimo, de um servidor RADIUS primário e secundário, com failover configurado no nível do controlador sem fio. Teste seu failover. Teste-o ativamente. Simule uma falha do RADIUS primário em uma janela de manutenção e confirme se os clientes se autenticam no secundário dentro do limite de tempo limite aceitável. Especificamente para ambientes de hospitalidade — qualquer pessoa que execute uma plataforma de WiFi para convidados — você tem um desafio de rede dupla. Sua rede corporativa transporta dispositivos de funcionários e sistemas de back-office, e deve ser WPA3-Enterprise com EAP-TLS. Sua rede de convidados é um problema totalmente diferente, normalmente gerenciado por meio de um Captive Portal com autenticação social ou por e-mail. Estes são SSIDs separados, VLANs separadas e políticas de segurança separadas. Não os misture. Algumas perguntas que recebo regularmente. Preciso de novos pontos de acesso? Provavelmente não. A maioria dos pontos de acesso fabricados após 2019 suporta WPA3 via atualização de firmware. Verifique as notas de lançamento do seu fornecedor. Ruckus, Cisco Meraki, Aruba e Ubiquiti têm suporte a WPA3 no firmware atual. Quanto tempo leva uma implantação completa? Para uma rede de varejo de 50 sites com um MDM e Active Directory existentes, estime de 12 a 16 semanas. A criação da PKI e a distribuição de certificados são a parte mais demorada do processo. Quanto custa isso? Os componentes de infraestrutura — RADIUS, PKI, MDM — você provavelmente já possui. O custo incremental é de serviços profissionais para configuração e testes, além de eventuais custos de firmware ou substituição de pontos de acesso. Para a maioria das organizações, a mitigação do risco de conformidade por si só já justifica o investimento. O WPA3 afeta a taxa de transferência? De forma insignificante. O GCMP-256 é computacionalmente eficiente. Na prática, você não notará diferença na taxa de transferência em hardwares modernos. Para resumir: o WPA3-Enterprise não é uma consideração futura. É um requisito atual para qualquer organização que leve a sério a segurança da rede, a conformidade regulatória e a proteção dos dados das pessoas que utilizam seus locais. Seus próximos passos imediatos: audite as versões atuais de firmware dos seus pontos de acesso e confirme o suporte ao WPA3. Avalie sua prontidão de PKI — você tem uma CA interna ou precisa criar uma? Revise a configuração e a redundância do seu servidor RADIUS. E mapeie sua infraestrutura de dispositivos clientes para identificar quaisquer dispositivos legados que precisarão ser segmentados. A plataforma da Purple se integra diretamente com a sua infraestrutura sem fio para fornecer a camada de análise e gerenciamento sobre a base de sua rede segura. Quer você administre um grupo hoteleiro, uma rede de varejo ou um local público, a combinação do WPA3-Enterprise para sua rede corporativa e uma camada de WiFi para convidados devidamente protegida oferece tanto a postura de segurança quanto a inteligência de dados que sua empresa precisa. Obrigado por ouvir. Se você quiser se aprofundar em qualquer um desses tópicos — autenticação de certificado, configuração RADIUS ou arquitetura de rede de convidados — o guia escrito completo está disponível no site da Purple, junto com nossa biblioteca mais ampla de material de referência técnica. Até a próxima.

header_image.png

执行摘要

对于企业 IT 领导者来说,向 WPA3-Enterprise 的过渡不再是未来的路线图项目;它是当前的运营要求。自 2020 年起,WPA3 已成为所有 Wi-Fi 认证设备的强制性要求,然而许多企业网络——涵盖酒店、零售和公共部门场所——仍停留在 WPA2。这一差距代表着显著的风险暴露,特别是因为合规框架如 PCI DSS 4.0 和 GDPR 日益要求强大、先进的网络安全控制。

本指南提供了 WPA3-Enterprise 的全面技术剖析,重点关注其相对于 WPA2 的根本架构改进。我们详细说明了向更强加密(GCMP-256)的强制性转变、受保护管理帧 (PMF) 的必要性,以及通过 EAP-TLS 实现基于证书的相互身份验证的关键实施。本文档面向网络架构师和 CTO,避开学术理论,提供可操作的部署策略、故障排除方法和真实案例研究,以确保安全、可扩展和合规的无线基础设施。

收听配套的技术简报播客,了解执行概述:

技术深潜:WPA3-Enterprise 架构

WPA2 和 WPA3-Enterprise 的根本区别不在于底层的 802.1X 框架,该框架仍然是基于端口的网络访问控制的标准,而在于围绕它构建的加密协议和管理帧保护。WPA3 解决了其前身的系统性漏洞,特别针对离线字典攻击和管理帧操纵。

身份验证和密钥交换

WPA2-Enterprise 依赖 4 次握手来派生会话密钥,这一过程已被证明容易受到密钥重装攻击 (KRACK) 和离线字典暴力破解(如果使用弱凭据)的攻击。WPA3 通过实施同时等值身份验证 (SAE) 来缓解这一问题,这是一种基于 Diffie-Hellman 的密钥交换协议。SAE 确保了前向保密性;即使攻击者获取了长期密钥,也无法追溯解密捕获的流量,因为每个会话都使用临时的、唯一的密钥。

对于企业环境,核心身份验证机制果断转向 EAP-TLS(可扩展身份验证协议-传输层安全)。虽然 WPA2 允许使用较弱的基于凭据的方法,如 PEAP 或 EAP-TTLS,但 WPA3-Enterprise 强烈建议,并在高安全性 192 位模式中强制要求 EAP-TLS。这需要基于证书的相互身份验证,完全消除密码并中和凭据窃取途径。

加密增强

WPA2 使用基于 AES-128 的 CCMP-128(计数器模式及密码块链接消息身份验证码协议)。WPA3-Enterprise 引入了一个可选但强烈推荐的 192 位安全套件,与商业国家安全算法 (CNSA) 套件保持一致。此模式强制使用 GCMP-256(256 位密钥的 Galois/计数器模式协议)进行强健加密,同时使用 384 位椭圆曲线密码学进行密钥建立和管理。

wpa3_vs_wpa2_comparison.png

受保护管理帧 (PMF)

根据 IEEE 802.11w,受保护管理帧保护管理客户端关联、取消关联和身份验证的控制信号。在 WPA2 中,PMF 是可选的,使网络容易受到伪造的取消身份验证帧的攻击——这是拒绝服务或中间人攻击的常见前兆。WPA3 强制要求所有连接使用 PMF,从根本上关闭了这一攻击途径。

实施指南:部署 WPA3-Enterprise

在数百个零售地点或庞大的酒店综合体上过渡企业网络需要分阶段、有条不紊的方法。以下步骤概述了一种与供应商无关的部署策略。

wpa3_architecture_overview.png

第 1 阶段:基础设施审计和 PKI 准备

实施 WPA3-Enterprise(特别是使用 EAP-TLS)的先决条件是强大的公钥基础设施 (PKI)。

  1. 评估 RADIUS 能力: 确保您的 RADIUS 服务器(例如,Cisco ISE、Aruba ClearPass、FreeRADIUS)支持 WPA3 参数并已配置 EAP-TLS。
  2. 建立证书颁发机构 (CA): 部署内部 CA(如 Microsoft AD CS)或利用基于云的 PKI 服务。
  3. MDM 集成: 利用移动设备管理 (MDM) 平台(Intune、Jamf)自动向受管设备部署客户端证书。这对可扩展性至关重要。

有关证书部署的进一步阅读,请参阅 WiFi 证书身份验证:数字证书如何保护无线网络

第 2 阶段:启用 WPA3 过渡模式

在多样化的企业环境中,硬切换很少可行。大多数企业无线局域网控制器支持 WPA3 过渡模式,允许单个 SSID 同时接受 WPA2 和 WPA3 客户端。

  1. 配置过渡 SSID: 在公司 SSID 上启用 WPA3 过渡模式。
  2. 监控客户端关联: 使用无线管理仪表板监控客户端连接。确保现代设备成功协商 WPA3,而旧设备回退到 WPA2。
  3. 解决兼容性问题: 识别无法关联的设备。通常,旧无线驱动程序难以满足 WPA3 的强制性 PMF 要求,即使在过渡模式下也是如此。尽可能更新驱动程序。

第 3 阶段:网络分段和遗留设备隔离

并非所有设备都支持 WPA3。遗留物联网设备、较旧的销售点系统或 医疗保健 环境中的专业医疗设备通常缺乏必要的硬件或固件更新。

  1. 隔离遗留设备: 为这些设备创建一个专用的、隔离的 VLAN 和一个单独的仅 WPA2 的 SSID。
  2. 实施严格的访问控制: 对此遗留 VLAN 应用严格的防火墙规则,防止横向移动到安全的 WPA3 公司网络。

第 4 阶段:全面强制 WPA3

一旦绝大多数公司设备成功使用 WPA3,并且遗留设备已分段,将主要公司 SSID 转换为仅 WPA3-Enterprise。

企业环境最佳实践

实施技术只是成功的一半;维护其完整性需要持续的运营纪律。

  • 自动化证书生命周期管理: EAP-TLS 失败的最常见原因是证书过期。实施自动续订流程和警报机制,在 RADIUS 服务器证书到期前 90 天、60 天和 30 天提醒。
  • 确保 RADIUS 冗余: 单个 RADIUS 服务器是单点故障。在地理位置不同的位置部署主 RADIUS 服务器和辅助 RADIUS 服务器,在无线控制器上配置无缝故障切换。
  • 分离访客和公司网络: 绝不要将公司安全策略与访客访问混淆。公司网络需要具有 EAP-TLS 的 WPA3-Enterprise。访客网络应使用隔离的 VLAN,通常通过 Captive Portal 管理。Purple 的 Guest WiFi 解决方案提供安全、合规的访客访问,同时捕获有价值的 WiFi Analytics
  • 利用 OpenRoaming 为了在不同场所实现无缝、安全的连接,考虑实施 Passpoint/Hotspot 2.0。Purple 在 Connect 许可证下作为 OpenRoaming 等服务的免费身份提供商,促进无摩擦、安全的访问,而不会损害企业安全标准。

故障排除与风险缓解

即使经过精心规划,部署也会遇到摩擦。以下是常见故障模式和缓解策略。

症状:启用过渡模式时客户端无法连接。

根本原因: 旧客户端驱动程序在遇到接入点在过渡模式中广播的强制性 PMF(受保护管理帧)时经常失败,即使它们尝试进行 WPA2 连接。 缓解措施: 更新客户端无线网络接口 (NIC) 驱动程序。如果更新不可用,必须将设备移至隔离的仅 WPA2 的 SSID。

症状:所有设备普遍身份验证失败。

根本原因: RADIUS 服务器证书已过期,或者根 CA 证书已被吊销或从客户端信任存储中删除。 缓解措施: 立即续订并部署 RADIUS 服务器证书。查看自动化生命周期管理警报以防止再次发生。

症状:在接入点之间漫游时延迟高。

根本原因: 802.11r(快速 BSS 过渡)配置错误或与正在使用的特定 EAP 方法不兼容。 缓解措施: 确保 802.11r 已明确启用,并受 WLAN 控制器和客户端设备为 WPA3 SSID 支持。在维护窗口期间测试漫游性能。

投资回报率和业务影响

向 WPA3-Enterprise 的过渡需要对专业服务、潜在的硬件更新和 PKI 基础设施进行投资。然而,投资回报是通过风险缓解和合规性遵守来衡量的。

对于大型 零售 连锁店,涉及支付卡信息的数据泄露成本远远超过 WPA3 的部署成本。PCI DSS 4.0 合规要求强健的加密和身份验证;WPA3-Enterprise 直接满足这些要求,简化合规审计并避免潜在罚款。

此外,现代化无线基础设施为未来的数字计划提供了稳定、高性能的基础,无论是在 酒店业 部署先进的物联网传感器,还是启用安全的移动销售点系统。业务影响是一个弹性、合规且面向未来的网络架构。

Definições principais

WPA3-Enterprise

O padrão atual para segurança sem fio empresarial, exigindo criptografia mais forte, frames de gerenciamento protegidos e forward secrecy, normalmente implantado com 802.1X e RADIUS.

Necessário para conformidade (PCI DSS, GDPR) e proteção de dados corporativos contra ataques criptográficos modernos.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Uma estrutura de autenticação que exige que tanto o cliente quanto o servidor RADIUS apresentem certificados digitais para verificar a identidade um do outro.

O padrão de ouro para autenticação WPA3-Enterprise, eliminando a dependência de senhas de usuário vulneráveis.

PMF (Protected Management Frames)

Um padrão de segurança (802.11w) que criptografa os frames de controle usados para associação e desassociação de clientes.

Obrigatório no WPA3, o PMF impede que invasores forjem pacotes de desautenticação para desconectar usuários da rede ou executar ataques man-in-the-middle.

SAE (Simultaneous Authentication of Equals)

Um protocolo seguro de estabelecimento de chaves usado no WPA3 que substitui o vulnerável handshake de 4 vias do WPA2.

O SAE fornece forward secrecy e protege contra ataques de dicionário offline, garantindo que, mesmo que uma senha seja fraca, o handshake não possa ser quebrado por força bruta.

GCMP-256 (Galois/Counter Mode Protocol)

Um protocolo de criptografia altamente seguro e eficiente que utiliza chaves de 256 bits.

Obrigatório para a suíte de segurança de 192 bits do WPA3-Enterprise, exigido para ambientes que lidam com dados altamente confidenciais, como registros governamentais ou financeiros.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede centralizado que fornece gerenciamento de Autenticação, Autorização e Contabilização (AAA) para usuários que se conectam a um serviço de rede.

O servidor de backend central em uma implantação WPA3-Enterprise que valida certificados ou credenciais de clientes antes de conceder acesso à rede.

Forward Secrecy

Um recurso criptográfico que garante que as chaves de sessão sejam efêmeras; comprometer uma chave de longo prazo no futuro não permitirá que um invasor decodifique sessões gravadas anteriormente.

Uma melhoria crítica no WPA3 fornecida pelo handshake SAE, protegendo dados históricos.

PKI (Public Key Infrastructure)

A estrutura de funções, políticas, hardware, software e procedimentos necessários para criar, gerenciar, distribuir, usar, armazenar e revogar certificados digitais.

A infraestrutura de pré-requisito necessária para implantar a autenticação EAP-TLS em um ambiente WPA3-Enterprise.

Exemplos práticos

Um hotel de luxo com 200 quartos está atualizando sua rede corporativa para WPA3-Enterprise. Eles possuem uma mistura de laptops corporativos modernos, iPads usados pela equipe de concierge e fechaduras de portas legadas habilitadas para Wi-Fi que suportam apenas WPA2. Como o arquiteto de rede deve projetar os SSIDs e VLANs para garantir a segurança máxima sem interromper a funcionalidade operacional?

O arquiteto deve empregar a segmentação de rede.

  1. Criar um SSID corporativo principal ('HotelCorp_Secure') configurado apenas para WPA3-Enterprise, utilizando EAP-TLS. Implantar certificados em todos os laptops corporativos e iPads por meio da solução de MDM do hotel. Atribuir este SSID à VLAN corporativa principal.
  2. Criar um SSID secundário e oculto ('Hotel_IoT_Legacy') configurado para WPA2-Personal (PSK) ou WPA2-Enterprise (se suportado pelas fechaduras), utilizando uma senha complexa e rotativa ou desvio de autenticação MAC (MAB).
  3. Atribuir o SSID legado a uma VLAN isolada e altamente restrita. Configurar regras de firewall para permitir que as fechaduras das portas se comuniquem APENAS com o servidor de gerenciamento de portas específico local ou baseado em nuvem, bloqueando todo o movimento lateral para a VLAN corporativa ou para a internet.
Comentário do examinador: Esta abordagem prioriza corretamente a segurança para dispositivos compatíveis, ao mesmo tempo em que acomoda o hardware legado. Tentar usar o Modo de Transição WPA3 em um único SSID frequentemente falha porque dispositivos IoT legados costumam travar ao encontrar quadros PMF obrigatórios. A segmentação física/lógica é o único método seguro para lidar com ambientes de capacidade mista.

Uma organização do setor público implantou WPA3-Enterprise com EAP-TLS. Em uma manhã de segunda-feira, nenhum funcionário consegue se conectar à rede sem fio. O controlador wireless mostra os clientes se associando, mas falhando na autenticação RADIUS. Qual é a causa mais provável e qual é a etapa de correção imediata?

A causa mais provável é um certificado de servidor RADIUS expirado. Como o EAP-TLS depende de autenticação mútua, se o servidor apresentar um certificado expirado, os clientes rejeitarão imediatamente a conexão e encerrarão o handshake.

Correção imediata: A equipe de TI deve gerar uma nova Solicitação de Assinatura de Certificado (CSR) a partir do servidor RADIUS, fazê-la ser assinada pela CA interna e vincular o novo certificado à política de autenticação EAP-TLS no servidor RADIUS. Os serviços devem então ser reiniciados.

Comentário do examinador: Este cenário destaca a importância crítica do gerenciamento do ciclo de vida dos certificados. O EAP-TLS é altamente seguro, mas frágil se os processos administrativos falharem. A organização deve implementar alertas automatizados para expiração de certificados para evitar interrupções futuras.

Questões práticas

Q1. Você é o arquiteto de rede de uma grande rede de varejo que está implantando o WPA3-Enterprise. Durante a fase piloto em três lojas usando o Modo de Transição WPA3, vários leitores de código de barras mais antigos desconectam frequentemente da rede e exigem reinicializações manuais para reconectar. Os tablets modernos se conectam sem problemas. Qual é a resposta arquitetônica mais apropriada?

Dica: Considere como os drivers sem fio legados lidam com quadros de gerenciamento desconhecidos transmitidos em Modo de Transição.

Ver resposta modelo

Os leitores de código de barras provavelmente estão travando devido aos Quadros de Gerenciamento Protegidos (PMF) obrigatórios transmitidos pelos APs no Modo de Transição. A resposta adequada é abandonar o Modo de Transição para esses dispositivos. Crie um SSID dedicado e oculto apenas com WPA2, mapeado para uma VLAN isolada especificamente para os leitores, e configure o SSID corporativo principal para apenas WPA3-Enterprise para os tablets modernos.

Q2. Um CTO exige a implantação do WPA3-Enterprise em todos os escritórios corporativos em até 60 dias para atender aos novos requisitos de conformidade. O ambiente atual usa WPA2-Enterprise com PEAP-MSCHAPv2 (usuário/senha). A organização não possui atualmente uma Autoridade Certificadora (CA) interna ou uma solução de Gerenciamento de Dispositivos Móveis (MDM). Esse cronograma é realista e qual é o caminho crítico?

Dica: Avalie os pré-requisitos para o método de autenticação WPA3 recomendado (EAP-TLS).

Ver resposta modelo

O cronograma de 60 dias é altamente irrealista. Para implementar adequadamente o WPA3-Enterprise, a organização deve migrar para o EAP-TLS para eliminar vulnerabilidades de credenciais. O caminho crítico exige o design e a implantação de uma PKI (Autoridade Certificadora) e a implementação de uma solução de MDM para distribuir certificados de clientes. Construir essa infraestrutura do zero, testá-la e registrar todos os dispositivos corporativos quase certamente excederá 60 dias. O arquiteto deve comunicar essa dependência ao CTO.

Q3. Durante uma auditoria de segurança, um examinador observa que seus servidores RADIUS estão configurados para EAP-TLS, mas o recurso de 'verificação de Lista de Revogação de Certificados (CRL)' está desativado nos controladores sem fio e servidores RADIUS. Por que essa é uma descoberta de segurança significativa em um ambiente WPA3?

Dica: O que acontece se um laptop corporativo for roubado, mas seu certificado ainda não tiver expirado?

Ver resposta modelo

Sem a verificação de CRL ou OCSP ativada, o servidor RADIUS não tem como saber se um certificado apresentado foi revogado pela CA antes de sua data de expiração natural. Se um dispositivo for perdido ou um funcionário for demitido, seu certificado deve ser revogado. Se a verificação de revogação estiver desativada, esse certificado comprometido ainda poderá ser usado para autenticar com sucesso e acessar a rede WPA3-Enterprise, anulando totalmente o propósito da autenticação mútua.

Continue a ler esta série