Pular para o conteúdo principal

O que é um Supplicant 802.1X? Tipos de Clientes e Configuração de Dispositivos

Este guia explica o papel do supplicant 802.1X na autenticação de WiFi corporativa. Ele aborda a arquitetura técnica, compara supplicants nativos de SO com clientes de terceiros e fornece orientações práticas de configuração para equipes de TI que implantam EAP-TLS e PEAP.

📖 5 min de leitura📝 1,091 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Fale em inglês britânico com um tom confiante, autoritário e de conversa - como se fosse um consultor sênior de segurança de rede instruindo um cliente. Ritmo cadenciado, dicção clara, profissional mas não rígido. Pausas naturais ocasionais para ênfase: Bem-vindo à série de briefings técnicos da Purple. Hoje vamos cobrir algo que está bem no coração da segurança de WiFi corporativo - o suplicante 802.1X. Se você já se perguntou por que alguns dispositivos se conectam à sua rede corporativa sem solicitar senha, enquanto outros exibem erros de certificado e chamados no helpdesk, este é o episódio para você. [pausa média] Vamos começar com o básico. O suplicante 802.1X é o componente de software em um dispositivo cliente - um laptop, um smartphone, um tablet - que lida com o handshake de autenticação quando esse dispositivo tenta se conectar a uma rede protegida por IEEE 802.1X. Pense nele como o apresentador de cartão de identificação do dispositivo. A rede não deixa qualquer um entrar. Ela pede credenciais. O suplicante é o que dá um passo à frente e diz: aqui está quem eu sou, aqui está meu certificado, me deixe entrar. O padrão em si - IEEE 802.1X - define o controle de acesso à rede baseado em porta. Antes que a autenticação seja bem-sucedida, o access point ou switch permite apenas a passagem de um tipo de tráfego muito restrito: quadros EAPOL, que significa Extensible Authentication Protocol over LAN. Todo o resto é bloqueado. Assim que o suplicante prova sua identidade para o servidor RADIUS por meio do autenticador, a porta se abre e o tráfego normal flui. [pausa média] Agora, existem três atores nesta peça. Primeiro, o suplicante - o dispositivo cliente. Segundo, o autenticador - seu access point ou switch, hardware como Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist. Terceiro, o servidor de autenticação - quase sempre um servidor RADIUS, que valida as credenciais contra um diretório como Microsoft Entra ID ou Okta. O suplicante inicia o processo enviando uma mensagem EAPOL-Start. O autenticador responde com um EAP-Request para identidade. O suplicante responde com sua identidade. Essa identidade é encaminhada para o servidor RADIUS, que então desafia o suplicante com o método EAP acordado. Se tudo estiver correto, o servidor RADIUS envia um Access-Accept, a porta se abre e o dispositivo é colocado na VLAN correta. [pausa média] Vamos falar sobre métodos EAP, porque é aqui que a maioria das decisões de implantação é tomada. O EAP-TLS - que significa Protocolo de Autenticação Extensível com Segurança de Camada de Transporte - é o padrão ouro. Ele exige que tanto o cliente quanto o servidor apresentem certificados. Autenticação mútua. Sem senhas. O certificado do cliente comprova a identidade do dispositivo; o certificado do servidor comprova que a rede é legítima, o que protege contra ataques de evil twin, nos quais um ponto de acesso invasor tenta capturar credenciais. O EAP-TLS é concluído em doze etapas e utiliza criptografia de chave pública-privada do início ao fim. É o método exigido para WPA3-Enterprise em seu modo de segurança mais alto, além de estar alinhado com as exigências do NIST SP 800-171 para verificação de identidade de dispositivos. O PEAP - EAP Protegido - é o ponto de partida mais comum para organizações que ainda não possuem uma PKI completa implementada. O PEAP envolve um método interno baseado em senha, normalmente o MSCHAPv2, dentro de um túnel TLS. O servidor apresenta um certificado; o cliente não. Isso significa que a implantação é mais simples - você não precisa provisionar certificados de cliente - mas é menos segura. O MSCHAPv2 utiliza hashing MD4, que é considerado comprometido desde 1995. Se um usuário se conectar a um ponto de acesso invasor que apresente um certificado que pareça confiável, suas credenciais poderão ser capturadas. A validação do certificado do servidor no lado do cliente é, portanto, inegociável ao executar o PEAP. [medium pause] Agora vamos entrar no próprio suplicante - especificamente na escolha entre suplicantes nativos do sistema operacional e softwares de cliente de terceiros. Todos os principais sistemas operacionais vêm com um suplicante 802.1X integrado. O Windows oferece suporte nativo desde o XP, por meio dos serviços de Configuração Automática Sem Fio e Configuração Automática Com Fio. O macOS e o iOS lidam com o 802.1X através de seus perfis de configuração de rede. O Android suporta por meio do painel de configurações de WiFi. Esses suplicantes nativos cobrem EAP-TLS e PEAP-MSCHAPv2 em todas as plataformas atuais. A vantagem dos suplicantes nativos é óbvia: nenhum software adicional para implantar, sem custo de licenciamento, atualizações automáticas de segurança do sistema operacional e forte integração com o repositório de certificados do sistema operacional. Para frotas de dispositivos gerenciados - máquinas Windows registradas no Microsoft Intune, Macs gerenciados via Jamf - você pode enviar perfis de configuração 802.1X de forma silenciosa via MDM, e os usuários nunca verão um aviso. O dispositivo se autentica automaticamente toda vez que entra no raio de alcance. Suplicantes de terceiros entram em jogo em cenários específicos. Se você estiver executando uma infraestrutura Cisco e quiser usar EAP-FAST - o método EAP proprietário da Cisco - você precisará do software cliente da Cisco, historicamente o Secure Services Client ou o AnyConnect Network Access Manager. Se você precisar de um gerenciamento de configuração consistente em um parque de sistemas operacionais mistos e quiser bloquear as configurações do suplicante para que os usuários não as desconfigurem acidentalmente, um cliente de terceiros oferece esse controle. Ferramentas como a suíte JoinNow da SecureW2 também atuam como agentes de integração - elas configuram o suplicante nativo em vez de substituí-lo, orientando os usuários no registro de certificados e na instalação de perfis. [medium pause] Deixe-me guiar você por dois cenários do mundo real para tornar isso concreto. Primeiro, um hotel de 400 quartos. Atualmente, a propriedade opera uma rede de funcionários em WPA2-Enterprise com PEAP-MSCHAPv2. A equipe de TI deseja migrar para EAP-TLS para eliminar a autenticação baseada em senha e reduzir o risco de roubo de credenciais. O desafio: os dispositivos dos funcionários são uma mistura de notebooks Windows gerenciados via Intune, telefones Android pessoais usados para o software de gestão da propriedade e algumas máquinas legadas com Windows 7 na área administrativa. A abordagem aqui é em fases. Comece com a frota gerenciada de Windows. Envie um perfil de configuração do Intune que instala o certificado CA raiz do servidor RADIUS, configura o perfil de WiFi para EAP-TLS e aciona o registro de certificado baseado em SCEP a partir da PKI interna. Esses dispositivos autenticam automaticamente desde o primeiro dia. Para dispositivos BYOD Android, implante um portal de integração de autoatendimento - os usuários visitam uma URL, baixam um perfil de configuração e o suplicante é configurado para eles. As máquinas legadas com Windows 7 permanecem em PEAP com validação estrita de certificado de servidor aplicada, isoladas em uma VLAN separada com acesso limitado, até que sejam desativadas. [medium pause] Segundo cenário: uma grande rede de varejo com 200 lojas. Cada loja possui uma mistura de terminais de ponto de venda, tablets de funcionários e uma rede WiFi de convidados. A conformidade PCI-DSS exige que os ambientes de dados de portadores de cartão sejam isolados de outros segmentos de rede. O varejista usa 802.1X nas redes de funcionários e PDV, com atribuição de VLAN orientada por atributos de certificado. Um terminal de PDV apresenta um certificado de dispositivo com uma unidade organizacional de "PDV" - a política RADIUS o atribui à VLAN do PCI. O tablet de um funcionário apresenta um certificado com "Funcionário" - ele vai para a VLAN de funcionários. Os dispositivos de convidados se conectam a um SSID totalmente separado, gerenciado por uma solução de Captive Portal. A configuração do suplicante nos terminais de PDV é bloqueada via MDM. Nenhuma interação do usuário é necessária. Os terminais autenticam silenciosamente na inicialização. A renovação do certificado é automatizada por meio de SCEP, portanto, não há intervenção manual quando os certificados expiram. [medium pause] Agora, armadilhas de implementação. Deixe-me apresentar as quatro mais comuns. Número um: validação de certificado de servidor ausente em implantações PEAP. Se você não configurar o solicitante para validar o certificado do servidor RADIUS e verificar o nome do servidor, os usuários ficarão vulneráveis a se conectar a um ponto de acesso invasor. Sempre especifique a CA raiz confiável e o nome do servidor no perfil do solicitante. Número dois: expiração de certificado causando falhas de autenticação em massa. Os certificados de cliente têm um período de validade. Se você não tiver a renovação automática configurada via SCEP ou NDES, enfrentará um evento crítico onde centenas de dispositivos param de autenticar simultaneamente. Desenvolva a automação de renovação antes de entrar em operação. Número três: dispositivos BYOD com comportamento inconsistente do solicitante. O Android, em particular, possui suporte 802.1X fragmentado entre os fabricantes. Algumas versões exigem que o usuário instale manualmente o certificado CA antes que o perfil de WiFi o aceite. Um portal de integração que lida com essa etapa reduz significativamente o volume do helpdesk. Número quatro: atualizações de recursos do Windows 11 quebrando a configuração do solicitante. A Microsoft alterou o comportamento do 802.1X em várias atualizações do Windows 11. Especificamente, a atualização 24H2 introduziu alterações na forma como o solicitante nativo lida com o fallback do EAP-TLS. Teste seus perfis de solicitante em relação às novas versões do SO antes de implantá-los em produção. [medium pause] Perguntas rápidas agora. Os dispositivos IoT podem suportar 802.1X? A maioria não pode. Os dispositivos IoT geralmente não possuem um solicitante. A alternativa é o MAC Authentication Bypass - MAB - onde o servidor RADIUS autentica o dispositivo com base em seu endereço MAC. Os endereços MAC podem ser falsificados, por isso os dispositivos MAB devem sempre ser direcionados para uma VLAN de IoT isolada com regras rígidas de firewall. Preciso de uma PKI para executar o 802.1X? Para PEAP, não - você só precisa de um certificado de servidor no servidor RADIUS. Para EAP-TLS, sim - você precisa de uma PKI para emitir certificados de cliente. Os serviços de PKI baseados em nuvem reduzem consideravelmente a sobrecarga de infraestrutura. Como o 802.1X interage com a plataforma de acesso à rede da Purple? A Purple opera como uma sobreposição de nuvem no topo do seu hardware existente - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e outros. Em redes WiFi de funcionários, o complemento SecurePass da Purple se integra ao seu provedor de identidade - Microsoft Entra ID, Okta ou Google Workspace - para aplicar a autenticação 802.1X e aplicar políticas de VLAN por usuário sem exigir infraestrutura RADIUS local. [medium pause] Para encerrar: o solicitante 802.1X é o agente do lado do dispositivo que faz o controle de acesso à rede baseado em porta funcionar. Sua escolha de método EAP - EAP-TLS para segurança máxima, PEAP como uma opção de transição - direciona seus requisitos de PKI e sua abordagem de configuração de solicitante. Os solicitantes nativos do SO cobrem a maioria dos cenários de dispositivos gerenciados quando implantados via MDM. Clientes de terceiros agregam valor em casos específicos: métodos EAP proprietários, ambientes de SO mistos que exigem configuração consistente ou integração BYOD por autoatendimento. As três coisas fundamentais a reter: valide o certificado do seu servidor RADIUS em cada perfil de suplicante, automatize a renovação de certificados antes de implantar o EAP-TLS em escala e isole os dispositivos que não oferecem suporte a 802.1X - IoT, hardware legado - em VLANs dedicadas com MAC Authentication Bypass como alternativa. Para saber mais sobre como o Purple se integra à sua arquitetura de acesso à rede, visite purple dot ai. Obrigado por ouvir.

header_image.png

Resumo Executivo

Quando um dispositivo se conecta a uma rede corporativa, o supplicant 802.1X é o componente de software responsável por comprovar sua identidade. Para gerentes de TI e arquitetos de rede em grandes locais, compreender como o supplicant funciona é vital para garantir o acesso seguro à rede sem gerar chamados de suporte. Este guia desmistifica o agente do lado do dispositivo na autenticação IEEE 802.1X, contrastando os recursos nativos do sistema operacional com softwares de supplicant de terceiros. Examinaremos como configurar supplicants para EAP-TLS e PEAP-MSCHAPv2, exploraremos cenários reais de implantação nos setores de hotelaria e varejo, e detalharemos como a configuração correta do supplicant se integra com Redes Baseadas em Identidade para otimizar o acesso. Quer você gerencie um hotel de 200 quartos ou uma arena ativa com mais de 80.000 assentos, a configuração correta do supplicant é a base para construir um WiFi seguro e confiável.

Mergulho Técnico Profundo

O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta. Ele opera sob uma premissa simples: bloquear todo o tráfego na borda da rede até que o dispositivo comprove sua identidade. O supplicant é o participante do lado do cliente neste processo.

Os Três Componentes do 802.1X

A autenticação exige três entidades distintas:

  1. Supplicant: O dispositivo cliente (laptop, smartphone ou tablet) que solicita acesso à rede.
  2. Autenticador: O dispositivo de acesso à rede, como um ponto de acesso Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist.
  3. Servidor de Autenticação: O servidor RADIUS que valida as credenciais em um provedor de identidade como o Microsoft Entra ID ou Okta.

Antes da autenticação, a porta do autenticador fica em um estado não autorizado, permitindo apenas o tráfego EAPOL (Extensible Authentication Protocol over LAN). O supplicant inicia o processo com um quadro EAPOL-Start. O autenticador solicita a identidade e o supplicant responde. Essa identidade é encaminhada para o servidor RADIUS, que determina o método EAP a ser utilizado. Após a validação bem-sucedida, o servidor RADIUS envia uma mensagem Access-Accept, a porta muda para o estado autorizado e o dispositivo geralmente é atribuído a uma VLAN específica.

architecture_overview.png

Métodos EAP: A Linguagem do Supplicant

O supplicant e o servidor RADIUS devem concordar com um método EAP (Extensible Authentication Protocol). A escolha do método EAP dita a postura de segurança e a carga de configuração no supplicant.

EAP-TLS (Transport Layer Security) O EAP-TLS exige autenticação mútua baseada em certificados. O solicitante fornece um certificado de cliente para provar sua identidade, e o servidor RADIUS fornece um certificado de servidor para provar a legitimidade da rede. Este método sem senha elimina o roubo de credenciais e é exigido por frameworks de segurança rigorosos como o NIST SP 800-171. O solicitante deve ser configurado para confiar na Autoridade Certificadora (CA) emissora e possuir um certificado de cliente válido.

PEAP (Protected EAP) Em cenários onde uma Infraestrutura de Chaves Públicas (PKI) completa não é viável, o PEAP é amplamente utilizado. Ele encapsula um método de autenticação interno (geralmente MSCHAPv2) dentro de um túnel TLS seguro. O servidor RADIUS fornece um certificado, mas o solicitante só precisa fornecer um nome de usuário e senha. Embora o PEAP seja mais fácil de implantar, ele é altamente vulnerável à captura de credenciais se o solicitante não for estritamente configurado para validar o certificado do servidor.

Guia de Implementação

Ao implantar o 802.1X, as equipes de TI devem decidir entre usar o solicitante nativo integrado ao sistema operacional ou implantar um software de solicitante de terceiros.

Solicitantes Nativos do SO

Todo sistema operacional moderno inclui um solicitante 802.1X nativo. O Windows utiliza os serviços Wired AutoConfig e WLAN AutoConfig. Os dispositivos Apple utilizam Perfis de Rede. O Android integra isso em suas configurações de WiFi.

Os solicitantes nativos são ideais para frotas gerenciadas. Usando plataformas de Gerenciamento de Dispositivos Móveis (MDM), como o Microsoft Intune ou Jamf, os administradores de TI podem enviar silenciosamente perfis de configuração que definem o SSID, o método EAP, as CAs raiz confiáveis e os processos de inscrição de certificados via SCEP. A experiência do usuário é transparente; o dispositivo se autentica em segundo plano.

Software de Solicitante de Terceiros

Solicitantes de terceiros, como o Cisco AnyConnect Network Access Manager ou o SecureW2 JoinNow, são necessários em cenários específicos:

  • Protocolos Proprietários: O uso do Cisco EAP-FAST requer um solicitante Cisco.
  • Integração BYOD: As ferramentas de terceiros geralmente funcionam como assistentes de integração, orientando os usuários a instalar certificados em dispositivos não gerenciados onde a configuração nativa é complexa (particularmente em ambientes Android fragmentados).
  • Controle Estrito de Configuração: Solicitantes de terceiros podem bloquear as configurações, impedindo que os usuários desativem a validação de certificados do servidor.

native_vs_thirdparty_comparison.png

Configurando a Validação de Certificado do Servidor

Independentemente do solicitante escolhido, configurar a validação de certificado do servidor é fundamental, especialmente para o PEAP. Se o solicitante não validar o certificado do servidor RADIUS, ele enviará credenciais às cegas para um ponto de acesso malicioso imitando seu SSID.

No Windows, isso significa marcar "Verify the server's identity by validating the certificate" nas propriedades do PEAP, selecionar a Autoridade de Certificação de Raiz Confiável (Root CA) e especificar os nomes exatos de servidor que o cliente deve esperar. Em dispositivos Apple, o perfil de configuração deve listar explicitamente os certificados confiáveis.

Melhores Práticas

  1. Forçar a Validação do Servidor: Ao implantar o PEAP, nunca faça isso sem configurar os suplicantes para validar o certificado do servidor RADIUS. Esta é a principal linha de defesa contra ataques de "evil twin".
  2. Automatizar o Ciclo de Vida dos Certificados: Ao usar EAP-TLS, automatize o registro e a renovação de certificados de clientes via MDM usando SCEP ou NDES. O gerenciamento manual de certificados não é escalável e leva a falhas repentinas de autenticação.
  3. Segregar por Identidade: Use atributos RADIUS para atribuir VLANs com base na identidade validada. Dispositivos de funcionários e terminais de PDV devem se autenticar no mesmo SSID, mas entrar em VLANs totalmente diferentes.
  4. Planejar para IoT: A maioria dos dispositivos IoT não possui suplicantes 802.1X. Para esses dispositivos, use o MAC Address Bypass (MAB), mas garanta que eles estejam estritamente isolados em uma VLAN de IoT dedicada.

Resolução de Problemas e Mitigação de Riscos

Quando um dispositivo falha ao se conectar, o problema quase sempre está na configuração do cliente ou na cadeia de certificados.

  • "Conectado, Sem Internet": Isso geralmente aponta para uma falha de atribuição de VLAN ou problemas de DHCP pós-autenticação. Verifique os logs do RADIUS para confirmar se a mensagem Access-Accept contém o Tunnel-Private-Group-Id correto.
  • Falhas Silenciosas no Windows 11: Atualizações de recursos recentes do Windows 11 (como a 24H2) alteraram a forma como o suplicante nativo lida com o fallback do EAP-TLS. Sempre teste os perfis em novas compilações de SO antes da implantação em massa.
  • Expiração de Certificado: Se um lote de dispositivos ficar offline de repente, verifique o período de validade dos certificados dos clientes. Garanta que seu MDM os renove com sucesso antes que expirem.

ROI e Impacto nos Negócios

A migração para o 802.1X com suplicantes configurados corretamente entrega um valor de negócios mensurável. Ao eliminar senhas compartilhadas (Pre-Shared Keys/PSK), você remove completamente a sobrecarga operacional de rotacionar senhas quando os funcionários saem. A mudança para o EAP-TLS pode eliminar totalmente os chamados de redefinição de senha, liberando horas significativas de produtividade para a equipe de suporte.

Além disso, o 802.1X permite o isolamento de rede baseado em identidade em um único SSID. Em vez de transmitir redes separadas para Guest WiFi , equipe e operações, um único SSID pode rotear o tráfego de forma segura com base nas credenciais do cliente. Isso reduz a interferência de canal e melhora o desempenho geral da rede, apoiando diretamente a abordagem de sobreposição em nuvem da Purple para gerenciamento de hardware agnóstico. Para insights analíticos mais profundos, explore nosso recurso de WiFi Analytics .

Definições principais

Supplicant 802.1X

O componente de software em um dispositivo cliente que lida com o processo de autenticação necessário para ingressar em uma rede protegida por IEEE 802.1X.

As equipes de TI configuram o supplicant para definir como um dispositivo comprova sua identidade para a rede.

Autenticador

O dispositivo de rede (switch ou ponto de acesso) que bloqueia o tráfego até que o supplicant seja autenticado com sucesso.

Hardwares de fornecedores como Cisco Meraki ou HPE Aruba agem como o autenticador, retransmitindo mensagens entre o dispositivo e o servidor.

RADIUS

Remote Authentication Dial-In User Service. O servidor que verifica as credenciais fornecidas pelo supplicant.

O servidor RADIUS verifica a identidade em diretórios como Okta ou Microsoft Entra ID antes de conceder o acesso.

EAP-TLS

Extensible Authentication Protocol com Transport Layer Security. Um método de autenticação que exige certificados digitais tanto do cliente quanto do servidor.

Considerado o método mais seguro para redes corporativas, eliminando a necessidade de senhas.

PEAP

Protected Extensible Authentication Protocol. Um método de autenticação que cria um túnel TLS seguro para proteger a autenticação baseada em senha.

Comumente usado em ambientes BYOD onde a implantação de certificados de cliente em dispositivos não gerenciados é muito complexa.

EAPOL

Extensible Authentication Protocol over LAN. O protocolo usado para encapsular mensagens EAP entre o supplicant e o autenticador.

Antes da autenticação, o EAPOL é o único tipo de tráfego que o autenticador permite passar pela porta.

MAC Authentication Bypass (MAB)

Um método de autenticação alternativo no qual a rede usa o endereço MAC do dispositivo como sua identidade.

Usado para impressoras, câmeras e dispositivos IoT que não possuem um supplicant 802.1X.

VLAN Assignment

O processo de alocar dinamicamente um dispositivo autenticado em um segmento de rede virtual específico.

O servidor RADIUS informa ao autenticador qual VLAN atribuir com base na identidade do supplicant.

Exemplos práticos

Um hotel de 200 quartos precisa proteger sua rede de funcionários. Atualmente usando WPA2-Personal com uma senha compartilhada, eles desejam migrar para o 802.1X. Os funcionários usam uma combinação de laptops Windows de propriedade da empresa e telefones Android pessoais para agendamento. Como eles devem configurar os supplicants?

O hotel deve implantar uma abordagem híbrida. Para os laptops Windows corporativos, eles devem usar o supplicant nativo do Windows configurado via Microsoft Intune. O perfil de MDM deve enviar as configurações de EAP-TLS, instalar a CA Raiz e automatizar a inscrição de certificados de cliente via SCEP. Para os telefones Android pessoais, eles devem implantar um agente de integração de terceiros (como SecureW2) por meio de um portal de autoatendimento. O funcionário faz login no portal usando suas credenciais do Microsoft Entra ID, e o agente configura automaticamente o supplicant nativo do Android para PEAP-MSCHAPv2, garantindo que a validação do certificado do servidor seja bloqueada.

Comentário do examinador: Essa abordagem equilibra a segurança com a realidade operacional. O EAP-TLS é imposto onde existe controle de MDM, proporcionando segurança máxima. O PEAP é usado para BYOD, onde a distribuição de certificados de cliente é complexa, mas o agente de integração garante que o supplicant seja configurado com segurança, mitigando o risco de pontos de acesso falsos.

Uma grande rede de varejo com 50 lojas está lançando novos tablets de ponto de venda (POS) móveis. O PCI DSS exige isolamento estrito de rede. Como a configuração do supplicant deve garantir a conformidade?

Os tablets devem ser gerenciados via MDM. O MDM envia um perfil de configuração de supplicant nativo que impõe o EAP-TLS. Cada tablet recebe um certificado de cliente exclusivo contendo um atributo que o identifica como um dispositivo de POS. Quando o supplicant do tablet se autentica, o servidor RADIUS lê esse atributo e retorna uma atribuição de VLAN especificamente para o segmento de rede em conformidade com o PCI. A configuração do supplicant deve ser bloqueada para que a equipe da loja não possa modificar as configurações de rede.

Comentário do examinador: O uso de EAP-TLS com atribuição de VLAN baseada em certificado é o método clássico para alcançar a conformidade com o PCI em redes sem fio. Ele elimina o erro humano da segmentação de rede e garante que o dispositivo não possa ser conectado acidentalmente às redes menos seguras de funcionários ou convidados do [Retail](/industries/retail).

Questões práticas

Q1. Sua organização está implantando PEAP-MSCHAPv2 para uma nova rede BYOD de funcionários. Durante os testes, você nota que os dispositivos conseguem se conectar a um ponto de acesso de teste que transmite o mesmo SSID, mesmo que ele não esteja conectado ao seu servidor RADIUS. Qual etapa de configuração do supplicant foi esquecida?

Dica: Considere como o supplicant verifica a identidade da rede antes de enviar as credenciais MSCHAPv2.

Ver resposta modelo

O supplicant não foi configurado para validar o certificado do servidor. No PEAP, o supplicant deve ser explicitamente configurado para confiar na CA Raiz específica que emitiu o certificado do servidor RADIUS e para verificar o nome de domínio do servidor. Sem isso, o supplicant estabelecerá um túnel TLS com qualquer servidor que apresentar um certificado, expondo as credenciais do usuário a um ponto de acesso falso.

Q2. Uma universidade está migrando sua frota de notebooks Windows gerenciados de PEAP para EAP-TLS. Eles enviam o novo perfil de configuração via MDM, mas todos os dispositivos falham na autenticação. Os logs do RADIUS mostram 'EAP-TLS failed SSL/TLS handshake'. Qual é a causa mais provável?

Dica: O EAP-TLS exige autenticação mútua. O que o cliente precisa que não era necessário no PEAP?

Ver resposta modelo

Os dispositivos dos clientes não possuem um certificado de cliente válido. O EAP-TLS exige que o supplicant apresente um certificado ao servidor RADIUS. O perfil do MDM deve ser configurado não apenas para definir o método EAP como TLS, mas também para acionar um protocolo como o SCEP para solicitar e instalar um certificado de cliente a partir da PKI da organização antes de tentar a autenticação.

Q3. Você precisa conectar 50 smart TVs à rede em um ambiente de [Saúde e Hospitais](/industries/healthcare). As TVs suportam apenas WPA2-Personal (Pre-Shared Key) e não possuem um supplicant 802.1X. Como você protege o acesso delas mantendo o 802.1X para os dispositivos dos funcionários?

Dica: Se o dispositivo não puder se comunicar via EAP, o autenticador precisará identificá-lo de outra forma.

Ver resposta modelo

Você deve usar o MAC Authentication Bypass (MAB). O autenticador usará o endereço MAC da smart TV como o nome de usuário e a senha enviados ao servidor RADIUS. Como os endereços MAC podem ser clonados, o servidor RADIUS deve ser configurado para atribuir esses dispositivos a uma VLAN de IoT isolada e altamente restrita, que permite apenas o tráfego estritamente necessário.

Continue a ler esta série

Configurando Autenticação RADIUS para Redes WiFi de Convidados e Funcionários

Este guia de referência técnica descreve a arquitetura, configuração e implantação da autenticação RADIUS para redes WiFi corporativas de convidados e funcionários. Ele fornece aos arquitetos de rede e gerentes de TI os protocolos exatos, padrões de segurança e metodologias de solução de problemas necessários para criar sistemas de controle de acesso sem fio seguros e escaláveis.

Ler o guia →

Passpoint and OpenRoaming: Complete Guide

Este guia de referência técnica fornece uma análise abrangente das estruturas Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Ele detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implantação necessárias para estabelecer uma conectividade de visitantes segura e sem atrito. Arquitetos de rede e líderes de TI aprenderão como projetar, implementar e solucionar problemas desses padrões para eliminar as barreiras de login manual, mantendo a segurança de nível empresarial.

Ler o guia →

Como Implementar SCEP para BYOD Seguro e Registro de Rede no Ensino Superior

Este guia técnico fornece aos arquitetos de rede e gerentes de TI um modelo neutro de fornecedor para implantar o registro de certificados baseado em SCEP para proteger redes de campus de ensino superior. Ele detalha como migrar do PEAP baseado em senha para o 802.1X EAP-TLS, automatizar a integração de BYOD e aplicar uma segmentação robusta de VLAN.

Ler o guia →