O Que É RADIUS? Como Servidores RADIUS Protegem Redes WiFi

Este guia de referência técnica e autoritário explica como o RADIUS (Remote Authentication Dial-In User Service) sustenta a segurança de redes WiFi corporativas através da estrutura IEEE 802.1X, cobrindo arquitetura, implantação e conformidade. Projetado para gerentes de TI, arquitetos de rede e diretores de operações de locais, ele oferece orientação prática sobre a transição de Chaves Pré-Compartilhadas (Pre-Shared Keys) para autenticação por usuário com aplicação dinâmica de políticas. O guia também mapeia os pontos de integração do RADIUS com a plataforma de guest WiFi e analytics da Purple, com estudos de caso concretos de ambientes de hospitalidade e varejo.

📖 6 min de leitura📝 1,426 palavras🔧 2 exemplos❓ 3 perguntas📚 10 termos-chave

🎧 Ouça este Guia

Ver Transcrição

Welcome to the Purple Technical Briefing. I'm your host, and today we're tackling a foundational element of enterprise wireless security: RADIUS. If you're managing network architecture for a hotel chain, a retail footprint, or a large public venue, you know that handing out a single shared WiFi password simply doesn't scale. It's a security risk, it's an operational headache, and it completely blinds you to who is actually on your network. Today, we're going to break down what RADIUS is, how it secures your WiFi through the 802.1X framework, and how you should approach deploying it.

Let's start with the context. Why are we talking about RADIUS? Remote Authentication Dial-In User Service is an old protocol — it dates back to the dial-up days — but it remains the absolute bedrock of modern network access control. When you walk into a corporate office and your laptop seamlessly connects to the secure WiFi without you typing a password, that's RADIUS at work. For venue operators, moving from Pre-Shared Keys — or PSKs — to RADIUS is the transition from consumer-grade connectivity to enterprise-grade security.

So, let's dive into the technical architecture. When we talk about securing WiFi with RADIUS, we're really talking about the IEEE 802.1X standard. This framework relies on a triangle of trust. First, you have the Supplicant — that's the end-user device, the laptop or the smartphone. Second, you have the Authenticator — this is your Network Access Server, typically your wireless access point or a switch. And third, you have the Authentication Server, which is your RADIUS server.

Here is how the flow works. A device tries to connect to the WiFi. The Access Point acts as a bouncer. It blocks all network traffic except for authentication messages — specifically, Extensible Authentication Protocol, or EAP, messages. The AP takes these EAP messages from the device, wraps them up in a RADIUS packet, and sends them over UDP port 1812 to the RADIUS server. The RADIUS server then checks those credentials against your identity store — maybe that's Active Directory, LDAP, or a cloud provider like Azure AD. If the credentials check out, the RADIUS server sends an Access-Accept message back to the AP, and the bouncer lets the device onto the network.

But RADIUS isn't just about saying yes or no. It's about Authorization. That Access-Accept packet can carry Vendor-Specific Attributes, or VSAs. This is where it gets powerful. Instead of broadcasting five different WiFi networks for Staff, Management, Point of Sale, and IoT devices, you broadcast one secure SSID. When a user authenticates, the RADIUS server tells the Access Point: This is a Management user, put them on VLAN 30. Or: This is a POS device, put it on VLAN 40 with strict firewall rules. That dynamic policy enforcement is a game-changer for network design. It simplifies your RF environment, reduces interference, and gives you granular control over who can reach what.

Now, let's talk about the Accounting function of RADIUS — the third pillar of AAA. Every time a user connects and disconnects, the RADIUS server logs it. You get a full audit trail: who connected, from which device, for how long, and how much data they transferred. For compliance-conscious organisations — think PCI DSS for retail, or GDPR for any European operation — this audit trail is invaluable. It's the difference between being able to demonstrate access controls to an auditor and scrambling to explain why you have no records.

Let's move into implementation. The security of this whole setup depends entirely on the EAP method you choose. The gold standard is EAP-TLS. This uses digital certificates on both the server and the client device. There are no passwords to steal, no credentials to phish. It's incredibly secure, but it requires a solid Mobile Device Management platform to push those certificates to your corporate devices. If you have a mature Intune or Jamf deployment, EAP-TLS is the right choice for corporate-managed endpoints.

If you have BYOD devices, you might use PEAP — Protected EAP — which uses a username and password inside an encrypted TLS tunnel. It's easier to deploy, but you must ensure users are trained not to ignore certificate warnings, or they could fall victim to a rogue access point harvesting their credentials. The rule of thumb is: EAP-TLS for managed devices, PEAP for BYOD, and never use unprotected EAP methods in production.

When deploying RADIUS, high availability is critical. If your RADIUS server goes down, nobody gets on the network. You need redundancy — at minimum, a primary and a secondary server, ideally in separate data centres or availability zones. Configure every Access Point with both server addresses so it can fail over automatically. And you must watch your latency. EAP is sensitive to delays. If your APs are in Manchester and your RADIUS server is in a distant data centre, the authentication might time out before it completes. Cloud RADIUS services with global points of presence are increasingly the right answer here, particularly for organisations with distributed estates.

One more architectural consideration worth calling out: RADIUS Proxy. This is how federated identity works for WiFi. Think about eduroam — the academic roaming network — or govroam for public sector. When a user from University A visits University B, their device authenticates using their home institution's credentials. The local RADIUS server inspects the realm — the domain part of the username — and proxies the authentication request to the home institution's RADIUS server. The home server validates the credentials and returns the result. This same architecture is applicable to any multi-organisation deployment, including large enterprise estates with multiple subsidiaries.

Now, let's do a rapid-fire Q&A on the questions I get most often from clients.

Question one: Can we just use a captive portal instead of RADIUS? Answer: For guest access, a captive portal is absolutely appropriate. It's the right tool for collecting guest data, presenting terms and conditions, and enabling social login. But for staff or corporate devices, a captive portal provides no encryption over the air between the device and the access point. RADIUS, combined with WPA2-Enterprise or WPA3-Enterprise, provides per-session encryption keys. You need RADIUS for any device handling corporate data.

Question two: Why are my APs timing out when talking to the new RADIUS server? Answer: Check your Shared Secret first. The AP and the RADIUS server use a shared secret key to verify the integrity of their communications. If that key is mistyped on either side, the RADIUS server will silently drop the Access-Request packets without logging an authentication failure. The AP just sees a timeout. It's the number one configuration error in new deployments, and it's maddening to diagnose if you don't know to look for it.

Question three: We have IoT devices that don't support 802.1X. How do we handle them? Answer: This is a very common challenge. The answer is MAC Authentication Bypass, or MAB. The RADIUS server can be configured to accept a device's MAC address as its identity. It's not as secure as certificate-based auth, but it allows you to register known IoT devices and place them on a dedicated, restricted VLAN. Combine MAB with strict ACLs and network monitoring for a reasonable security posture.

To summarise everything we've covered today: RADIUS is the engine that drives 802.1X enterprise security. It moves you away from shared passwords and onto per-user, per-device identity. It enables dynamic network policies through VLAN assignment and Vendor-Specific Attributes. It provides the audit trail you need for compliance with PCI DSS and GDPR. And through proxy architectures, it enables federated identity and seamless roaming across organisational boundaries.

The investment in RADIUS infrastructure — whether that's an on-premises deployment like FreeRADIUS or Microsoft NPS, or a cloud-hosted service — pays for itself quickly in reduced helpdesk overhead, eliminated credential-sharing incidents, and the operational simplicity of managing one secure SSID instead of many. For any organisation operating at scale, RADIUS is not optional. It's foundational.

Thank you for listening to this Purple Technical Briefing. For more guides on enterprise WiFi security, including our deep-dive on WPA2 versus WPA3, visit purple dot ai.

Principais Conclusões

✓RADIUS provides centralised Authentication, Authorization, and Accounting (AAA) for network access, operating over UDP ports 1812 and 1813.
✓In WiFi networks, RADIUS operates within the IEEE 802.1X framework to replace shared Pre-Shared Keys with per-user, per-device credentials and audit trails.
✓The architecture relies on three components: the Supplicant (device), the Authenticator (AP or switch), and the Authentication Server (RADIUS server).
✓Dynamic VLAN assignment via RADIUS Vendor-Specific Attributes allows multiple user roles to securely share a single wireless SSID, simplifying the RF environment.
✓EAP-TLS offers the highest security by using mutual certificate authentication instead of passwords, eliminating credential theft and phishing vectors.
✓Deploying RADIUS is essential for meeting compliance standards including PCI DSS for retail and GDPR for any European operation handling personal data.
✓The most common deployment failure is a Shared Secret mismatch between the AP and the RADIUS server, which causes silent packet drops and AP-side timeouts.

Resumo Executivo

Para arquitetos de rede corporativa e diretores de TI, proteger o acesso sem fio em locais distribuídos exige mais do que uma senha compartilhada. À medida que a densidade de dispositivos aumenta nos setores de hospitalidade, varejo e público, as limitações das Chaves Pré-Compartilhadas (PSK) e dos captive portals básicos tornam-se vulnerabilidades críticas. O Remote Authentication Dial-In User Service (RADIUS) fornece a arquitetura fundamental para uma segurança WiFi robusta e escalável.

Este guia de referência técnica detalha como o RADIUS opera dentro da estrutura 802.1X para fornecer autenticação por usuário, aplicação dinâmica de políticas e trilhas de auditoria abrangentes. Ao centralizar o gerenciamento de identidade, o RADIUS permite o acesso à rede de confiança zero, mitigando os riscos de compartilhamento de credenciais e acesso não autorizado, ao mesmo tempo em que garante a conformidade com rigorosos padrões de proteção de dados. Exploramos os componentes centrais, metodologias de implantação e como a integração do RADIUS com plataformas como a infraestrutura de Guest WiFi da Purple otimiza as operações enquanto aprimora a postura de segurança.

Análise Técnica Aprofundada: Arquitetura RADIUS e 802.1X

RADIUS é um protocolo de camada de aplicação que opera sobre UDP (tradicionalmente porta 1812 para autenticação e 1813 para contabilidade) que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilidade (AAA) para usuários que se conectam a um serviço de rede.

Ao proteger redes WiFi corporativas, o RADIUS atua como o servidor de autenticação dentro da estrutura IEEE 802.1X. Esta arquitetura consiste em três componentes principais:

O Solicitante é o dispositivo do usuário final — laptop, smartphone ou dispositivo IoT — que solicita acesso à rede. O Autenticador é o Network Access Server (NAS), tipicamente o ponto de acesso sem fio ou switch, que bloqueia todo o tráfego até que a autenticação seja bem-sucedida. O Servidor de Autenticação é o próprio servidor RADIUS, que valida as credenciais contra um armazenamento de identidade como Active Directory, LDAP ou um provedor de identidade em nuvem.

O Fluxo de Autenticação

Quando um dispositivo se associa a um SSID habilitado para 802.1X, o ponto de acesso restringe todo o tráfego, exceto as mensagens do Extensible Authentication Protocol (EAP). O Autenticador envia um pacote EAP-Request/Identity ao Solicitante. O Solicitante responde com um EAP-Response/Identity, que o Autenticador encapsula em um pacote RADIUS Access-Request e encaminha para o servidor RADIUS. O servidor RADIUS negocia um método EAP — como EAP-TLS ou PEAP-MSCHAPv2 — com o Solicitante para trocar credenciais de forma segura. Após a validação bem-sucedida contra o armazenamento de identidade, o servidor RADIUS retorna um pacote RADIUS Access-Accept. Este pacote frequentemente contém Atributos Específicos do Fornecedor (VSAs) que instruem o Autenticador a aplicar políticas específicas, como atribuir o usuário a uma VLAN particular ou aplicar limites de largura de banda.

Métodos EAP e Postura de Segurança

A segurança de uma implantação RADIUS depende muito do método EAP escolhido. EAP-TLS (Transport Layer Security) é o padrão ouro para segurança corporativa. Ele exige certificados de servidor e cliente, eliminando a dependência de senhas e mitigando o roubo de credenciais. No entanto, ele exige uma robusta Infraestrutura de Chave Pública (PKI) e Gerenciamento de Dispositivos Móveis (MDM) para o provisionamento de certificados. PEAP (Protected EAP) cria um túnel TLS criptografado entre o Solicitante e o servidor RADIUS, dentro do qual ocorre a autenticação interna — tipicamente MSCHAPv2 usando nome de usuário e senha. Embora mais fácil de implantar do que EAP-TLS, é vulnerável à coleta de credenciais se os usuários ignorarem os avisos de validação de certificado do servidor.

A Função de Contabilidade

Além da autenticação e autorização, o RADIUS fornece registros detalhados de contabilidade. Cada início, parada e atualização provisória de sessão é registrado — capturando a identidade do usuário, endereço MAC do dispositivo, duração da sessão e dados transferidos. Esta trilha de auditoria é um requisito de conformidade sob PCI DSS para ambientes de Varejo e suporta as obrigações de controle de acesso do GDPR. A integração desses dados com plataformas de WiFi Analytics estende seu valor para inteligência operacional.

Guia de Implementação: Implantação de RADIUS para WiFi Corporativo

A implantação de RADIUS requer planejamento cuidadoso para garantir alta disponibilidade, baixa latência e uma experiência de usuário perfeita.

Arquitetura e Dimensionamento

RADIUS é um caminho crítico para o acesso à rede. Implante servidores RADIUS redundantes em data centers ou zonas de disponibilidade geograficamente diversas. Configure Autenticadores com endereços IP de servidor RADIUS primário e secundário para habilitar o failover automático. A autenticação RADIUS é sensível à latência — alta latência pode causar timeouts de EAP, resultando em falhas de conexão. Posicione os servidores RADIUS próximos à borda da rede, quando viável, ou utilize soluções RADIUS em nuvem com pontos de presença globais.

Integração com Armazenamentos de Identidade

O servidor RADIUS deve se comunicar com sua fonte de verdade para a identidade do usuário. Para implantações on-premises, a integração com o Microsoft Active Directory via Network Policy Server (NPS) ou FreeRADIUS com ligações LDAP é padrão. Implantações modernas utilizam cada vez mais provedores de identidade em nuvem (IdPs) como Azure AD, Okta ou Google Workspace. Isso frequentemente exige a implantação de um proxy RADIUS ou a utilização de serviços RADIUS em nuvem que fazem a ponte nativamente entre o protocolo RADIUS e as APIs SAML e OIDC.

Aplicação de Políticas e Segmentação

Aproveite os atributos RADIUS para atribuir dinamicamente políticas de rede com base na identidade do usuário ou na associação a grupos. Em vez de transmitir múltiplos SSIDs para diferengrupos de usuários — Equipe, Gerência, IoT — transmitem um único SSID 802.1X. O servidor RADIUS retorna o atributo Tunnel-Private-Group-ID para atribuir o usuário à VLAN apropriada dinamicamente. Aplique Listas de Controle de Acesso (ACLs) com base nas respostas RADIUS para restringir o acesso a recursos internos sensíveis, implementando o Controle de Acesso Baseado em Função (RBAC) na camada de rede.

Melhores Práticas e Conformidade

A implementação do RADIUS é um componente chave para o alinhamento com os padrões da indústria e estruturas regulatórias.

Protegendo a Infraestrutura RADIUS

O RADIUS usa um segredo compartilhado para criptografar a comunicação entre o Autenticador e o servidor RADIUS. Use segredos compartilhados fortes e gerados aleatoriamente — um mínimo de 32 caracteres — e os rotacione periodicamente. Posicione os servidores RADIUS em uma VLAN de gerenciamento segura e isolada. Restrinja o acesso usando regras de firewall rigorosas, permitindo apenas UDP 1812 e 1813 de Autenticadores conhecidos. Se estiver usando EAP-TLS ou PEAP, garanta que o certificado do servidor RADIUS seja emitido por uma Autoridade Certificadora (CA) confiável pelos dispositivos clientes e monitore rigorosamente as datas de expiração dos certificados.

Considerações de Conformidade

Para ambientes de Varejo que lidam com dados de cartão de pagamento, o RADIUS satisfaz os requisitos do PCI DSS para identificação de usuário única e criptografia forte para redes sem fio. Para ambientes de Saúde , o RADIUS fornece o controle de acesso e o registro de auditoria exigidos pelas estruturas de proteção de dados. Ao fornecer responsabilidade individual, o RADIUS suporta os requisitos do GDPR para segurança de dados e controle de acesso. A integração do RADIUS com uma plataforma de WiFi Analytics permite políticas de coleta e retenção de dados em conformidade. Compreender a interação entre o RADIUS e os padrões de criptografia sem fio também é fundamental — nosso guia WPA, WPA2 and WPA3: What's the Difference and Which Should You Use? aborda a camada de criptografia em detalhes.

Solução de Problemas e Mitigação de Riscos

Quando a autenticação RADIUS falha, o impacto é imediato: os usuários não conseguem se conectar. Uma abordagem sistemática para a solução de problemas é essencial.

Incompatibilidade de Segredo Compartilhado é o erro de configuração mais comum. Se o segredo compartilhado no AP não corresponder ao servidor, o servidor RADIUS descartará silenciosamente os pacotes Access-Request. O sintoma é um tempo limite de conexão do cliente sem logs correspondentes no servidor RADIUS. Tempos Limite de EAP são causados por latência de rede entre o AP e o servidor RADIUS, ou um servidor RADIUS sobrecarregado. O sintoma é que os clientes são repetidamente solicitados a fornecer credenciais ou falham ao se conectar durante os horários de pico. Problemas de Confiança de Certificado ocorrem quando o dispositivo cliente não confia na CA que assinou o certificado do servidor RADIUS, fazendo com que a negociação EAP seja encerrada. O sintoma é um aviso de certificado no cliente ou uma falha de conexão silenciosa. Falhas de Conectividade do Repositório de Identidade ocorrem quando o servidor RADIUS não consegue alcançar o Active Directory ou LDAP para validar credenciais, resultando em falhas de autenticação apesar das credenciais corretas.

Para mitigar esses riscos, agregue os logs RADIUS em uma plataforma SIEM ou de log central para monitoramento e alerta em tempo real. Implante sondas sintéticas que simulam continuamente autenticações 802.1X para detectar problemas de latência ou disponibilidade antes que afetem os usuários. Para organizações com propriedades distribuídas, entender como o RADIUS se encaixa na arquitetura WAN mais ampla é valioso — The Core SD WAN Benefits for Modern Businesses fornece contexto relevante sobre os princípios de design de rede.

ROI e Impacto nos Negócios

A transição para uma arquitetura 802.1X com suporte RADIUS exige investimento em infraestrutura e configuração, mas o retorno é significativo para ambientes corporativos.

Eficiência Operacional

O RADIUS elimina a necessidade de atualizar e distribuir manualmente Chaves Pré-Compartilhadas quando um funcionário sai ou uma chave é comprometida. A integração com plataformas MDM permite o provisionamento zero-touch de certificados ou perfis, simplificando o onboarding de dispositivos. Para operadores de Hotelaria que gerenciam centenas de dispositivos de funcionários em várias propriedades, essa simplificação operacional se traduz diretamente em redução de custos de TI. Para hubs de Transporte que gerenciam milhares de conexões simultâneas, a escalabilidade do RADIUS é inegociável.

Segurança Aprimorada e Análise

O controle de acesso granular e a atribuição dinâmica de VLAN reduzem o raio de impacto de uma potencial violação, limitando o movimento lateral. Os dados de contabilidade RADIUS fornecem insights ricos sobre a utilização da rede e o comportamento do usuário. Quando integrados à plataforma da Purple, esses dados aprimoram as capacidades de análise, impulsionando melhores decisões operacionais em todos os tipos de locais. A combinação de autenticação segura e análise acionável representa a proposta de valor completa da infraestrutura de WiFi corporativo.

Termos-Chave e Definições

RADIUS (Remote Authentication Dial-In User Service)

A networking protocol providing centralised Authentication, Authorization, and Accounting (AAA) management for users connecting to a network service. Operates over UDP ports 1812 (authentication) and 1813 (accounting).

The core infrastructure required to move from shared passwords to individual user identities on an enterprise WiFi network.

802.1X

An IEEE standard for port-based Network Access Control (PNAC), providing an authentication mechanism to devices wishing to attach to a LAN or WLAN. It defines the roles of Supplicant, Authenticator, and Authentication Server.

The framework that utilises RADIUS to secure enterprise wireless networks. Any enterprise WiFi deployment targeting WPA2-Enterprise or WPA3-Enterprise must implement 802.1X.

Supplicant

The client device — laptop, smartphone, or IoT device — that wishes to attach to the network and must provide credentials to the Authenticator.

The endpoint that requires configuration, often via MDM, to support the chosen EAP method and trust the RADIUS server's certificate.

Authenticator

The network device — typically a wireless Access Point or an 802.1X-capable switch — that facilitates the authentication process by relaying EAP messages between the Supplicant and the RADIUS server.

The infrastructure component that enforces the block or allow decision based on the RADIUS server's response. It is the 'bouncer' of the network.

EAP (Extensible Authentication Protocol)

An authentication framework that defines a set of negotiable authentication methods (EAP methods) used to carry credentials securely between the Supplicant and the Authentication Server.

The protocol that carries the actual authentication credentials — certificates, passwords — securely over the air within the 802.1X framework.

EAP-TLS (EAP Transport Layer Security)

An EAP method that uses mutual TLS authentication, requiring both the RADIUS server and the client device to present valid digital certificates. It eliminates password-based authentication entirely.

The most secure method for wireless authentication. Recommended for all corporate-managed devices where an MDM platform can provision client certificates.

VSA (Vendor-Specific Attribute)

Custom attributes within a RADIUS packet that allow network vendors to support proprietary or extended features beyond the standard RADIUS attribute set defined in RFC 2865.

Used extensively for advanced policy enforcement, including dynamic VLAN assignment (Tunnel-Private-Group-ID), bandwidth limits, and applying specific firewall roles to authenticated sessions.

Shared Secret

A text string known only to the Authenticator and the RADIUS server, used to verify the integrity of RADIUS packets and encrypt the password field within Access-Request packets.

A critical security parameter. A mismatch between the AP and the server causes silent packet drops and is the most common cause of authentication failure in new deployments.

NAS (Network Access Server)

The network device — typically an Access Point or switch — that acts as the Authenticator in the 802.1X framework, enforcing access control based on RADIUS decisions.

Often used interchangeably with 'Authenticator' in RADIUS documentation and vendor configuration guides.

PEAP (Protected EAP)

An EAP method that establishes an encrypted TLS tunnel between the Supplicant and the RADIUS server, within which a simpler inner authentication method (typically MSCHAPv2) is used to validate username and password credentials.

A pragmatic choice for BYOD environments where deploying client certificates is impractical. Requires strict enforcement of server certificate validation on client devices to prevent credential harvesting attacks.

Estudos de Caso

A 200-room hotel needs to segment its wireless network. Currently, they use a single PSK for staff and a captive portal for guests. Staff devices — tablets for housekeeping, laptops for management — are intermingled on the same subnet. How should they redesign this using RADIUS?

Deploy a cloud-hosted RADIUS server integrated with the hotel's Azure AD. Configure the wireless access points to use 802.1X authentication pointing to the RADIUS server. In Azure AD, create security groups for 'Housekeeping' and 'Management'. On the RADIUS server, configure network policies: if the authenticating user is a member of the 'Housekeeping' group, return Access-Accept with the RADIUS attribute Tunnel-Private-Group-ID set to VLAN 20. If the user is in 'Management', return VLAN 30. Deploy MDM profiles via Intune to staff devices with EAP-TLS certificates for seamless, password-free authentication. Guest access continues via a separate SSID using Purple's captive portal for data capture and terms acceptance.

Notas de Implementação: This approach eliminates the shared PSK vulnerability and automatically segments traffic based on identity, without requiring additional SSIDs. Using EAP-TLS removes the need for staff to enter passwords on shared devices, improving both user experience and security posture. The dynamic VLAN assignment simplifies the RF environment by reducing the number of broadcast SSIDs, which improves overall wireless performance. The hotel retains the guest captive portal for marketing data collection while applying enterprise-grade security to operational devices.

A retail chain with 80 stores is experiencing frequent WiFi connection drops for their handheld inventory scanners during peak holiday shopping hours. The scanners use PEAP-MSCHAPv2 against a central RADIUS server located in a regional data centre connected via a managed MPLS WAN.

Analyse RADIUS server logs to confirm EAP timeouts correlating with peak traffic periods. Measure the round-trip latency between the store APs and the RADIUS server — if this exceeds 150ms, EAP timeouts become likely. Implement local survivability at the branch level by deploying a lightweight RADIUS proxy or edge appliance at each store that caches session credentials for a defined period. Alternatively, migrate to a cloud RADIUS service with regional points of presence to reduce WAN dependency. Adjust the EAP timeout and retry parameters on the wireless controllers to accommodate the measured latency. For the longer term, evaluate migrating scanner authentication to MAC Authentication Bypass (MAB) with strict VLAN assignment, reducing the authentication overhead for non-interactive IoT devices.

Notas de Implementação: Relying on a centralised RADIUS server across a high-latency WAN link is a common design flaw for time-sensitive EAP authentications, particularly for IoT and handheld devices that re-authenticate frequently. Local survivability ensures business continuity for critical operational devices even if the WAN link degrades. The MAB recommendation for scanners is appropriate because these are known, registered devices that do not require user-level identity — the security objective is device registration and VLAN placement, not user accountability.

Análise de Cenário

Q1. Your organisation is migrating from a single PSK to 802.1X. You have a mix of corporate-owned laptops managed via Intune and employee BYOD smartphones. What EAP methods should you deploy for each device category, and what are the key configuration requirements for each?

💡 Dica:Consider the certificate provisioning capabilities available for managed versus unmanaged devices, and the security trade-offs of password-based versus certificate-based authentication.

Mostrar Abordagem Recomendada

Deploy EAP-TLS for corporate-owned laptops, utilising Intune to silently push the required client certificates via a SCEP or PKCS profile. This eliminates password-based authentication and provides the strongest security posture. For BYOD smartphones where client certificate management is impractical, deploy PEAP-MSCHAPv2, allowing users to authenticate with their corporate username and password within a protected TLS tunnel. Critically, configure the RADIUS server to present a certificate from a well-known CA, and enforce server certificate validation on client devices via a WiFi configuration profile to prevent rogue AP attacks. Consider separating BYOD devices onto a restricted VLAN with limited access to internal resources.

Q2. After deploying a new RADIUS server for a stadium's staff WiFi, clients are failing to connect. The AP logs show 'RADIUS Server Timeout'. Network team confirms UDP 1812 is open between the APs and the RADIUS server. What is the most likely root cause, and what is your diagnostic process?

💡 Dica:The RADIUS server will silently discard packets if a specific security parameter does not match, producing a timeout on the AP side with no corresponding log entry on the server.

Mostrar Abordagem Recomendada

The most likely cause is a Shared Secret mismatch. If the shared secret configured on the Access Point does not exactly match the shared secret configured for that AP's IP address on the RADIUS server, the server will drop the Access-Request packets without generating an authentication failure log entry. The diagnostic process is: (1) Check the RADIUS server logs — if there are zero entries for the AP's IP address, the server is discarding packets, pointing to a shared secret mismatch. (2) Verify the shared secret on both the AP and the RADIUS server client configuration, checking for trailing spaces or character encoding issues. (3) If shared secrets match, use a packet capture on the RADIUS server's network interface to confirm packets are arriving. (4) If packets arrive but are dropped, verify the AP's source IP address matches the client IP configured on the RADIUS server.

Q3. A public sector venue wants to offer seamless, secure WiFi to visitors from partner government departments, allowing them to authenticate using their home organisation's credentials without requiring a separate guest account. How does RADIUS enable this, and what are the key security considerations?

💡 Dica:Think about how RADIUS requests can be forwarded between different organisations based on the identity realm, and what trust relationships must be established.

Mostrar Abordagem Recomendada

This is achieved using a RADIUS Proxy architecture, similar to the eduroam or govroam models. The local RADIUS server is configured as a proxy. When it receives an Access-Request, it inspects the realm — the domain portion of the username, such as user@department.gov.uk . If the realm belongs to a partner organisation, the local server forwards the Access-Request to the partner's RADIUS server over a pre-established, encrypted RADIUS proxy connection. The partner server authenticates the user against its own identity store and returns the result to the local server, which relays it to the AP. Key security considerations include: establishing formal trust agreements with each partner organisation; using RadSec (RADIUS over TLS) rather than standard UDP for proxy connections to encrypt traffic in transit; validating that the partner RADIUS server's certificate is trusted before accepting proxied responses; and defining clear policies for what network access level to grant to visiting users from each partner realm.