Configurando Autenticação RADIUS para Redes WiFi de Convidados e Funcionários
Este guia de referência técnica descreve a arquitetura, configuração e implantação da autenticação RADIUS para redes WiFi corporativas de convidados e funcionários. Ele fornece aos arquitetos de rede e gerentes de TI os protocolos exatos, padrões de segurança e metodologias de solução de problemas necessários para criar sistemas de controle de acesso sem fio seguros e escaláveis.
- Resumo Executivo
- Aprofundamento Técnico
- O Framework AAA
- Componentes da Arquitetura RADIUS
- Métodos EAP para WiFi de Funcionários
- Fluxo de Autenticação de WiFi de Visitantes
- Transporte Seguro: RadSec
- Guia de Implantação
- Passo 1: Definir Clientes RADIUS no Servidor
- Passo 2: Configurar o Wireless LAN Controller (WLC) / Access Points
- Etapa 3: Configurar o SSID dos Funcionários (802.1X)
- Etapa 4: Configurar o SSID de Visitantes com Captive Portal
- Melhores Práticas
- Alta Disponibilidade e Redundância
- Gerenciamento de Certificados
- Segmentação de VLAN
- Limite de Tempo de Sessão e Intervalos de Contabilidade
- Solução de Problemas e Mitigação de Riscos
- Modos de Falha Comuns e Soluções
- ROI e Impacto nos Negócios
Resumo Executivo
Em ambientes corporativos modernos, a segurança das redes sem fio é um requisito operacional crítico. Métodos de segurança legados, como chaves pré-compartilhadas (PSKs), introduzem vulnerabilidades de segurança significativas. Se um único funcionário deixa a organização, ou se um visitante compromete uma senha compartilhada, toda a postura de segurança da rede é comprometida. Este guia detalha como implementar o Remote Authentication Dial-In User Service (RADIUS) para centralizar o controle de acesso, impor políticas de segurança granulares e segmentar o tráfego de visitantes e funcionários.
Ao fazer a transição para uma arquitetura RADIUS centralizada, as organizações podem implementar a autenticação 802.1X para funcionários - garantindo que cada dispositivo se autentique com credenciais exclusivas e revogáveis - enquanto utilizam Captive Portals seguros e MAC Authentication Bypass (MAB) para usuários visitantes. Esta referência técnica fornece os projetos de arquitetura, as etapas de configuração e as estruturas de solução de problemas necessárias para implantar uma infraestrutura de autenticação sem fio resiliente e de classe corporativa.
Aprofundamento Técnico
O Framework AAA
O RADIUS opera no framework AAA, que define as fases principais do controle de acesso:
- Autenticação: Verificar a identidade do usuário ou dispositivo que tenta se conectar à rede WiFi. Isso é feito por meio de credenciais, certificados digitais ou tokens.
- Autorização: Determinar o nível de acesso à rede concedido à entidade autenticada. Isso inclui a atribuição de VLANs específicas, a aplicação de Listas de Controle de Acesso (ACLs) ou a imposição de limites de largura de banda.
- Contabilidade (Accounting): Rastrear o consumo de recursos de rede, incluindo a duração da sessão, dados transferidos e horários de login/logout. Esses dados são críticos para auditoria, conformidade e planejamento de rede.
- Auditoria: Revisar os dados de contabilidade coletados para identificar anomalias, violações de segurança ou violações de políticas.
Componentes da Arquitetura RADIUS
Uma implantação corporativa padrão do RADIUS consiste em três componentes principais:
- O Suplicante (Supplicant): O software cliente em execução no dispositivo do usuário (por exemplo, laptop, smartphone) que solicita acesso à rede e fornece credenciais ou certificados.
- O Autenticador (Network Access Server / NAS): O dispositivo de rede físico ou virtual - normalmente um Wireless LAN Controller (WLC) ou um Access Point (AP) - que controla o acesso físico à rede. O autenticador não decide se as credenciais são válidas; ele age como um proxy, empacotando a solicitação de autenticação em pacotes RADIUS e encaminhando-os para o servidor RADIUS.
- O Servidor de Autenticação: O servidor central (como FreeRADIUS, Cisco ISE, Aruba ClearPass ou o mecanismo RADIUS em nuvem da Purple) que valida as credenciais em um repositório de identidades (por exemplo, Active Directory, LDAP ou um provedor de identidade em nuvem) e retorna uma mensagem de Access-Accept ou Access-Reject para o autenticador.
Métodos EAP para WiFi de Funcionários
Para redes corporativas (staff networks), o Extensible Authentication Protocol (EAP) é usado dentro da estrutura do 802.1X para negociar a autenticação. Os dois métodos de EAP corporativos mais comuns são:
- PEAP-MSCHAPv2 (Protected EAP): Este método estabelece um túnel TLS seguro e criptografado entre o solicitante e o servidor RADIUS usando o certificado digital do servidor. Dentro deste túnel seguro, o nome de usuário e a senha do usuário são autenticados usando o protocolo MSCHAPv2. É muito popular devido à sua facilidade de implantação, pois não exige que os certificados sejam instalados nos dispositivos dos clientes.
- EAP-TLS: O método de autenticação mais seguro disponível. Ele exige autenticação mútua, o que significa que tanto o servidor RADIUS quanto o dispositivo cliente devem apresentar certificados digitais válidos. Isso elimina ataques baseados em senhas, mas requer uma infraestrutura de chaves públicas (PKI) robusta para gerenciar a distribuição e revogação de certificados.
Fluxo de Autenticação de WiFi de Visitantes
As redes de visitantes normalmente usam um fluxo diferente para equilibrar a segurança com a conveniência do usuário. Em vez do 802.1X, as redes de visitantes geralmente utilizam um SSID aberto combinado com um Captive Portal.
Quando um visitante se conecta, o autenticador usa o MAC Authentication Bypass (MAB) ou uma política de redirecionamento para enviar o usuário a um Captive Portal hospedado por uma plataforma como a Purple. Assim que o usuário conclui o processo de registro ou login no portal, a plataforma do portal se comunica com o servidor RADIUS, que então envia uma mensagem de Access-Accept para o WLC/AP, autorizando o endereço MAC do visitante para acesso à rede por um período de sessão específico.
Transporte Seguro: RadSec
O tráfego RADIUS tradicional é enviado por UDP (portas 1812 para autenticação e 1813 para tarifação) em texto não criptografado, com apenas o campo de senha do usuário ofuscado usando um segredo compartilhado (shared secret). Isso introduz riscos de segurança ao rotear o tráfego de autenticação por conexões WAN públicas ou pela internet.
Para mitigar isso, o RadSec (RADIUS sobre TLS) deve ser implementado. O RadSec envolve pacotes RADIUS padrão dentro de um túnel TLS seguro (normalmente usando a porta TCP 2083). Isso garante que todos os dados de autenticação e tarifação, incluindo nomes de usuário, endereços MAC e atributos de sessão, sejam totalmente criptografados durante o trânsito entre a rede local e os servidores RADIUS baseados em nuvem.
Guia de Implantação
Passo 1: Definir Clientes RADIUS no Servidor
Antes que qualquer dispositivo de rede possa se comunicar com o servidor RADIUS, ele deve ser registrado como um cliente.
- Faça login no console de administração do seu servidor RADIUS.
- Navegue até a seção de Clientes ou Dispositivos de Rede.
- Adicione uma nova entrada de cliente para cada WLC ou AP.
- Insira o endereço IP ou sub-rede do autenticador.
- Gere um Segredo Compartilhado (Shared Secret) de alta entropia. Este segredo deve ter pelo menos 22 caracteres, contendo uma mistura de letras maiúsculas, letras minúsculas, números e caracteres especiais. Evite usar palavras simples do dicionário.
Passo 2: Configurar o Wireless LAN Controller (WLC) / Access Points
Configure seu hardware sem fio para apontar para o servidor RADIUS para autenticação e bilhetagem.
- Faça login na interface de gerenciamento do seu WLC ou AP.
- Navegue até Segurança > AAA > RADIUS > Autenticação.
- Adicione um novo Servidor de Autenticação RADIUS:
- Endereço IP do Servidor: Insira o endereço IP do seu servidor RADIUS primário.
- Segredo Compartilhado: Insira exatamente o segredo compartilhado configurado na Etapa 1.
- Porta: 1812 (ou 2083 se estiver usando RadSec).
- Tempo Limite (Timeout): Defina para 5 segundos para permitir a latência da rede.
- Contagem de Tentativas: Defina para 3.
- Navegue até Bilhetagem RADIUS (RADIUS Accounting) e adicione uma nova entrada de servidor usando a porta 1813 (ou 2083 para RadSec).
- Repita estas etapas para adicionar um servidor RADIUS secundário (de backup) para alta disponibilidade.
Etapa 3: Configurar o SSID dos Funcionários (802.1X)
- Crie um novo SSID chamado
Staff_Enterprise. - Defina o Tipo de Segurança como WPA3-Enterprise (ou modo de transição WPA2/WPA3-Enterprise se o suporte a dispositivos legados for necessário).
- Selecione 802.1X como o protocolo de gerenciamento de chaves.
- Associe o SSID aos servidores de autenticação e bilhetagem RADIUS configurados na Etapa 2.
- Mapeie o SSID para a VLAN segura dos funcionários (ex: VLAN 10).
Etapa 4: Configurar o SSID de Visitantes com Captive Portal
- Crie um novo SSID chamado
Guest_WiFi. - Defina o Tipo de Segurança como Aberto (ou Enhanced Open / OWE para criptografia sem fio oportunista).
- Habilite a Filtragem MAC ou Autenticação MAC e aponte para o servidor RADIUS.
- Habilite o redirecionamento de Captive Portal / Web Portal.
- Configure a URL de redirecionamento para apontar para a página de login do Captive Portal da Purple.
- Configure o Jardim Murado (ACLs de Pré-Autenticação) para permitir o tráfego para o domínio do Captive Portal, servidores DNS e recursos de CDN necessários antes que a autenticação seja concluída.
- Mapeie o SSID para uma VLAN de visitantes isolada (ex: VLAN 20).
Melhores Práticas
Alta Disponibilidade e Redundância
Sempre implante servidores RADIUS em pares redundantes (primário e secundário). Certifique-se de que esses servidores estejam localizados em hardwares físicos diferentes ou em diferentes zonas de disponibilidade na nuvem. Configure seus WLCs para fazer failover de forma transparente para o servidor secundário caso o servidor primário pare de responder. Implemente o balanceamento de carga onde apropriado para distribuir o tráfego de autenticação de maneira uniforme.
Gerenciamento de Certificados
Para implantações PEAP e EAP-TLS, a validade e a confiança do certificado do servidor RADIUS são primordiais.
- Use um certificado emitido por uma Autoridade Certificadora (CA) pública confiável para portais de visitantes e implantações PEAP para evitar avisos de segurança de certificado nos dispositivos dos usuários.
- Para EAP-TLS, estabeleça uma CA privada interna dedicada para emitir e gerenciar certificados de cliente e servidor.
- Monitore de perto as datas de expiração dos certificados e implemente processos de renovação automatizados (como SCEP ou ACME) para evitar falhas repentinas de autenticação em toda a rede.
Segmentação de VLAN
Segmente rigorosamente o tráfego da sua rede usando VLANs. O tráfego de convidados deve ser completamente isolado dos recursos corporativos. Implemente regras de firewall no switch principal ou gateway para evitar o roteamento inter-VLAN entre a VLAN de convidados e as VLANs de funcionários/gerenciamento. Permita apenas que o tráfego de convidados seja roteado diretamente para a internet.
Limite de Tempo de Sessão e Intervalos de Contabilidade
Configure limites de tempo de sessão adequados para evitar que sessões inativas consumam endereços IP e recursos de rede.
- Para redes de funcionários, defina um limite de tempo de sessão de 8 a 12 horas, alinhando-se a um turno de trabalho padrão.
- Para redes de convidados, defina um limite de tempo de sessão mais curto, de 2 a 4 horas.
- Configure o intervalo de atualização intermediária de contabilidade RADIUS (interim-update) para 10 ou 15 minutos. Isso garante que o servidor RADIUS receba atualizações regulares sobre a conectividade do dispositivo e o uso de dados, sem sobrecarregar o servidor com pacotes de contabilidade.
Solução de Problemas e Mitigação de Riscos
Modos de Falha Comuns e Soluções
1. Divergência de Segredo Compartilhado
- Sintoma: Os logs da WLC mostram "servidor RADIUS não respondendo" e os logs do servidor RADIUS mostram "Pacote descartado - autenticador inválido" ou "Autenticador incorreto na solicitação".
- Causa Raiz: O segredo compartilhado configurado na WLC não corresponde ao segredo compartilhado configurado no servidor RADIUS.
- Mitigação: Insira novamente o segredo compartilhado em ambos os dispositivos, garantindo que nenhum espaço extra ou caractere oculto seja copiado.
2. Problemas de Confiança de Certificado
- Sintoma: Os dispositivos clientes não conseguem se conectar ao SSID de funcionários, exibindo erros como "Certificado de Servidor Não Confiável" ou "Conexão Rejeitada".
- Causa Raiz: O dispositivo cliente não confia na AC que assinou o certificado do servidor RADIUS, ou o certificado expirou.
- Mitigação: Certifique-se de que os certificados da AC raiz e intermediária estejam instalados no repositório de raiz confiável do dispositivo cliente. Para dispositivos gerenciados pela empresa, envie esses certificados via MDM ou Diretiva de Grupo.
3. Bloqueios de Firewall
- Sintoma: Nenhum tráfego é recebido pelo servidor RADIUS a partir da WLC, embora o roteamento seja verificado.
- Causa Raiz: Firewalls intermediários estão bloqueando as portas UDP 1812 e 1813.
- Mitigação: Crie regras de firewall explícitas para permitir UDP 1812 e 1813 (ou TCP 2083 para RadSec) entre o IP de gerenciamento da WLC e o IP do servidor RADIUS.
4. Limites de Tempo Induzidos por Latência
- Sintoma: Falhas de autenticação intermitentes, particularmente durante horários de pico ou ao usar servidores RADIUS baseados em nuvem.
- Causa Raiz: A latência da rede excede o limite de tempo do RADIUS da WLC, fazendo com que ela assuma que o servidor está offline.
- Mitigação: Aumente a configuração de limite de tempo do RADIUS da WLC do padrão (normalmente 2 segundos) para 5 ou 7 segundos. Otimize o roteamento WAN ou implemente proxies RADIUS locais para armazenar em cache as solicitações de autenticação.
ROI e Impacto nos Negócios
A transição para um modelo de autenticação RADIUS centralizado oferece valor comercial mensurável em diversas áreas importantes:
- Redução de Sobrecarga Operacional: Elimina o esforço manual necessário para rotacionar senhas de WiFi compartilhadas quando os funcionários deixam a organização. As contas de usuário podem ser desativadas instantaneamente no Active Directory ou no seu provedor de identidade, revogando imediatamente o acesso à rede.
- Postura de Segurança Aprimorada: Mitiga o risco de violações de dados causadas por roubo de credenciais ou acesso não autorizado à rede. Ao impor 802.1X e autenticação baseada em certificados, as organizações garantem que apenas dispositivos autorizados e em conformidade possam acessar recursos corporativos confidenciais.
- Operações de Espaço Otimizadas: Ao integrar o WiFi de visitantes com a plataforma RADIUS em nuvem da Purple, os operadores de espaços capturam dados demográficos e comportamentais valiosos. Esses dados podem ser usados para criar campanhas de marketing direcionadas, melhorar o engajamento dos visitantes e otimizar a utilização do espaço físico com base em análises de fluxo de pessoas.
- Conformidade Regulatória: Os logs centralizados de contabilização RADIUS fornecem uma trilha de auditoria de acesso à rede, ajudando as organizações a atender aos requisitos de conformidade para padrões como PCI-DSS, ISO 27001 e GDPR.
Definições principais
RADIUS
Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Tarifação para usuários que se conectam e utilizam um serviço de rede.
É o protocolo padrão do setor usado para conectar hardware de rede sem fio a bancos de dados de identidade centrais.
Solicitante
O software cliente ou dispositivo (como um laptop, telefone ou tablet) que solicita acesso a uma rede e fornece credenciais ou certificados para verificação.
O solicitante deve suportar o método EAP específico configurado no servidor RADIUS para se autenticar com sucesso.
Autenticador
O dispositivo de rede (geralmente um Controlador LAN Sem Fio ou Access Point) que controla o acesso físico à rede e atua como um proxy entre o solicitante e o servidor RADIUS.
O autenticador não valida as credenciais por si mesmo; ele apenas as encaminha para o servidor RADIUS.
EAP-TLS
Extensible Authentication Protocol - Transport Layer Security. Um método de autenticação extremamente seguro que utiliza certificados digitais mútuos tanto no cliente quanto no servidor para verificação de identidade.
É o método de autenticação preferencial para dispositivos gerenciados por empresas em redes WiFi de funcionários.
PEAP-MSCHAPv2
Protected Extensible Authentication Protocol com Microsoft Challenge Handshake Authentication Protocol versão 2. Um método de autenticação baseado em credenciais que protege a transmissão de senhas dentro de um túnel TLS criptografado.
É amplamente utilizado para redes de funcionários porque não exige certificados do lado do cliente, tornando-o mais fácil de implantar do que o EAP-TLS.
RadSec
Um protocolo que protege o tráfego RADIUS envolvendo pacotes RADIUS padrão dentro de um túnel Transport Layer Security (TLS), geralmente executado na porta TCP 2083.
Essencial para redes WiFi gerenciadas na nuvem, onde o tráfego de autenticação precisa viajar pela internet pública.
Captive Portal
Uma página web exibida a usuários sem fio recém-conectados antes que lhes seja concedido um acesso mais amplo à rede. É comumente utilizada para autenticação de convidados, aceitação de termos de serviço e coleta de dados de marketing.
A Purple fornece um Captive Portal hospedado na nuvem que se integra ao hardware de rede local via RADIUS.
MAC Authentication Bypass (MAB)
Um mecanismo que permite o controle de acesso à rede com base no endereço MAC de um dispositivo cliente. É normalmente utilizado para dispositivos que não suportam autenticação 802.1X.
Frequentemente utilizado em redes de WiFi de convidados para permitir que os dispositivos se reconectem perfeitamente sem visualizar o captive portal repetidamente.
Exemplos práticos
Uma marca de varejo multi-site com 150 lojas deseja implantar uma rede WiFi segura para funcionários. Atualmente, eles usam uma única chave pré-compartilhada (PSK) em todas as lojas, que é frequentemente vazada. Eles precisam de uma solução que se integre ao Microsoft Azure Active Directory existente (agora Microsoft Entra ID) e garanta que os funcionários só possam se autenticar usando laptops gerenciados pela empresa.
Para resolver isso, implementaremos o WPA3-Enterprise com autenticação EAP-TLS, integrado ao Microsoft Entra ID por meio de um serviço RADIUS baseado em nuvem.
- Estabelecer uma CA Privada: Implante uma Infraestrutura de Chaves Públicas (PKI) baseada em nuvem ou utilize uma implantação existente do Active Directory Certificate Services (AD CS) para emitir certificados de dispositivo para todos os laptops gerenciados pela empresa.
- Distribuição de Certificados: Configure o sistema de Gerenciamento de Dispositivos Móveis (MDM) da organização (por exemplo, Microsoft Intune) para distribuir automaticamente o certificado da CA Raiz e um certificado de cliente exclusivo para cada laptop gerenciado. O certificado do cliente deve incluir o nome do host ou o número de série do dispositivo no Nome Alternativo do Assunto (SAN).
- Configurar o Servidor RADIUS na Nuvem: Configure um serviço RADIUS na nuvem que se integre ao Microsoft Entra ID. Configure o servidor RADIUS para validar os certificados de cliente recebidos em relação à CA Privada confiável.
- Configurar os WLCs/APs: Nos controladores sem fio de cada loja de varejo, configure um novo SSID chamado
Retail_Staff. Defina a segurança como WPA3-Enterprise e aponte a autenticação para os IPs do servidor RADIUS na nuvem usando RadSec (porta TCP 2083) para proteger o tráfego de autenticação pela internet pública. - Definir Políticas de Acesso: No servidor RADIUS, crie uma política que permita o acesso apenas se o certificado do cliente for válido, se o certificado não estiver revogado (verificado via CRL ou OCSP) e se a identidade do dispositivo existir e estiver ativa no Microsoft Entra ID.
Um grande centro de convenções que hospeda até 20.000 usuários simultâneos precisa implantar uma rede WiFi para convidados. A rede deve oferecer uma experiência de login contínua por meio de um Captive Portal, aplicar um limite de sessão de 3 horas para evitar o consumo excessivo de largura de banda e coletar o consentimento de marketing em conformidade com a GDPR. A infraestrutura consiste em Cisco Catalyst WLCs.
Iremos implantar um SSID aberto com MAC Authentication Bypass (MAB) e redirecionamento de Captive Portal integrado à plataforma Purple.
- Configurar o SSID de Visitantes: No Cisco WLC, crie um SSID chamado
Convention_Guest. Defina a segurança como Aberta. Habilite a Filtragem MAC e selecione o grupo de servidores RADIUS associado à Purple. - Configurar Redirecionamento: Configure uma política de Web Auth no WLC para redirecionar usuários não autenticados para a URL do Captive Portal da Purple:
https://portal.purplewifi.net/.... - Configurar o Walled Garden: Crie uma Lista de Controle de Acesso (ACL) no WLC chamada
GUEST_RED_ACL. Esta ACL deve permitir tráfego DNS (porta UDP 53), tráfego DHCP (portas UDP 67 e 68) e tráfego de/para as faixas de IP e CDNs da Purple. Todo o restante do tráfego HTTP/HTTPS deve ser redirecionado. - Configurar a Tarifação RADIUS: Habilite a tarifação RADIUS no WLC, apontando para os servidores de tarifação da Purple com um intervalo de atualização intermediário de 10 minutos.
- Configurar Limites de Sessão: No painel do portal Purple, configure a jornada de acesso para impor um limite de sessão de 3 horas. Assim que o usuário concluir o login e aceitar os termos de marketing em conformidade com o GDPR, o servidor RADIUS da Purple enviará um pacote Access-Accept para o Cisco WLC contendo o atributo
Session-Timeoutdefinido como 10800 segundos (3 horas). - Fluxo de Reautenticação: Após 3 horas, o WLC encerra a sessão. Se o usuário tentar se reconectar, será redirecionado de volta ao Captive Portal para se reautenticar.
Questões práticas
Q1. Uma organização renovou recentemente o certificado SSL em seu servidor RADIUS. Imediatamente depois, vários notebooks Windows gerenciados pela empresa não conseguiram se conectar à rede WiFi de funcionários, enquanto os dispositivos macOS e iOS se conectaram sem problemas. Qual é a causa mais provável deste problema e como ele deve ser resolvido?
Dica: Considere como diferentes sistemas operacionais validam os certificados de servidor e o papel da cadeia de Autoridade Certificadora (CA).
Ver resposta modelo
A causa mais provável é que o novo certificado do servidor RADIUS foi emitido por uma Autoridade Certificadora (CA) diferente ou por uma CA intermediária que não é confiável para os notebooks Windows afetados, ou a Diretiva de Grupo do Windows está configurada para validar a conexão com um nome de servidor específico ou CA raiz que não corresponde ao novo certificado. Dispositivos macOS e iOS costumam ser mais permissivos ou solicitam ao usuário que confie no novo certificado manualmente, enquanto as configurações corporativas do Windows bloqueiam estritamente conexões com certificados não confiáveis sem emitir avisos. Para resolver isso, verifique se os certificados raiz e intermediários da nova CA estão distribuídos para todos os dispositivos Windows via Diretiva de Grupo ou MDM, e atualize a configuração do perfil de rede sem fio para confiar na nova CA.
Q2. Durante as horas de pico em um grande estádio de esportes, os usuários do WiFi de convidados relatam que estão concluindo com sucesso o registro no captive portal, mas não são redirecionados para a internet. Em vez disso, a página de login do captive portal é exibida repetidamente. Os logs do WLC mostram "RADIUS authentication timeout". Como você diagnosticaria e resolveria esse problema?
Dica: Analise o caminho do pacote RADIUS e as configurações de timeout no controlador de rede sem fio.
Ver resposta modelo
Este é um problema clássico de timeout induzido por latência. Durante as horas de pico, o alto volume de tráfego causa congestionamento no link WAN ou alta utilização de CPU no servidor RADIUS, atrasando a resposta de RADIUS Access-Accept. Como o timeout padrão do WLC está definido como muito baixo (normalmente 2 segundos), o WLC assume que o servidor RADIUS está offline e encerra a sessão, forçando o usuário de volta ao captive portal. Para diagnosticar, verifique o tempo de ida e volta (RTT) dos pacotes RADIUS durante as horas de pico. Para resolver: 1) Aumente o timeout do RADIUS no WLC para 5 ou 7 segundos. 2) Aumente o número de tentativas para 3. 3) Implemente Qualidade de Serviço (QoS) no gateway WAN para priorizar o tráfego RADIUS (UDP 1812/1813) em relação ao tráfego geral de internet de convidados.
Q3. Uma auditoria de segurança revela que os usuários do WiFi de convidados podem acessar as interfaces de gerenciamento interno dos switches de rede e WLCs. A rede de convidados está configurada como um Open SSID com um captive portal. Quais alterações de arquitetura devem ser feitas para corrigir essa vulnerabilidade?
Dica: Pense sobre a segmentação de rede e onde as políticas de controle de acesso devem ser aplicadas.
Ver resposta modelo
Para corrigir essa vulnerabilidade, uma segmentação de rede rigorosa deve ser aplicada. Primeiro, certifique-se de que o SSID de Visitantes esteja mapeado para uma VLAN de Visitantes dedicada (por exemplo, VLAN 20) que seja completamente separada da VLAN de Funcionários e da VLAN de Gerenciamento (onde residem os switches e WLCs). Em segundo lugar, configure Listas de Controle de Acesso (ACLs) ou regras de firewall no roteador principal ou gateway para bloquear todo o tráfego originado da VLAN de Visitantes com destino a quaisquer sub-redes de IP privado internas (intervalos RFC 1918), visando especificamente os IPs de gerenciamento da infraestrutura de rede. A VLAN de Visitantes deve ter apenas caminhos de roteamento para a internet e para os servidores DNS específicos e IPs de captive portal necessários para a pré-autenticação.
Continue a ler esta série
Passpoint and OpenRoaming: Complete Guide
Este guia de referência técnica fornece uma análise abrangente das estruturas Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Ele detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implantação necessárias para estabelecer uma conectividade de visitantes segura e sem atrito. Arquitetos de rede e líderes de TI aprenderão como projetar, implementar e solucionar problemas desses padrões para eliminar as barreiras de login manual, mantendo a segurança de nível empresarial.
Como Implementar SCEP para BYOD Seguro e Registro de Rede no Ensino Superior
Este guia técnico fornece aos arquitetos de rede e gerentes de TI um modelo neutro de fornecedor para implantar o registro de certificados baseado em SCEP para proteger redes de campus de ensino superior. Ele detalha como migrar do PEAP baseado em senha para o 802.1X EAP-TLS, automatizar a integração de BYOD e aplicar uma segmentação robusta de VLAN.
Server RADIUS: um guia completo para empresas
Este guia fornece a gerentes de TI, arquitetos de rede e CTOs uma referência técnica definitiva sobre autenticação de server RADIUS para WiFi corporativo. Ele aborda a estrutura AAA, arquitetura 802.1X, seleção de método EAP, compensações de implantação em nuvem versus local e atribuição dinâmica de VLAN. Operadores de locais nos setores de hospitalidade, varejo, eventos e setor público encontrarão orientações práticas de implementação, estudos de caso do mundo real e as estruturas de decisão necessárias para migrar de chaves pré-compartilhadas inseguras para uma arquitetura de controle de acesso à rede segura e orientada por identidade.