O que é um Suplicante 802.1X? Tipos de Clientes e Configuração de Dispositivos

Este guia explica o papel do suplicante 802.1X na autenticação WiFi corporativa. Ele aborda a arquitetura técnica, compara suplicantes nativos do sistema operacional com clientes de terceiros e fornece orientações práticas de configuração para equipes de TI que implantam EAP-TLS e PEAP.

📖 5 min de leitura📝 1,091 palavras🔧 2 exemplos práticos❓ 3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast

Fale em inglês britânico com um tom confiante, autoritativo e de conversação - como um consultor sênior de segurança de rede instruindo um cliente. Ritmo medido, dicção clara, profissional, mas não rígido. Pausas naturais ocasionais para ênfase:

Bem-vindo à série de briefings técnicos da Purple. Hoje vamos cobrir algo que está bem no coração da segurança de WiFi corporativo - o suplicante 802.1X. Se você já se perguntou por que alguns dispositivos se conectam à sua rede corporativa sem solicitar senha, enquanto outros apresentam erros de certificado e chamados no suporte, este é o episódio para você.

[pausa média]

Vamos começar com o básico. O suplicante 802.1X é o componente de software em um dispositivo cliente - um laptop, um smartphone, um tablet - que lida com o handshake de autenticação quando esse dispositivo tenta ingressar em uma rede protegida pelo IEEE 802.1X. Pense nele como o apresentador do cartão de identidade do dispositivo. A rede não deixa qualquer um entrar. Ela pede credenciais. O suplicante é quem dá um passo à frente e diz: aqui está quem eu sou, aqui está meu certificado, deixe-me entrar.

O próprio padrão - IEEE 802.1X - define o controle de acesso à rede baseado em porta. Antes que a autenticação ocorra com sucesso, o ponto de acesso ou switch permite apenas um tipo muito estreito de tráfego: quadros EAPOL, que significa Extensible Authentication Protocol over LAN. Todo o resto é bloqueado. Assim que o suplicante prova sua identidade ao servidor RADIUS através do autenticador, a porta se abre e o tráfego normal flui.

[pausa média]

Agora, existem três atores nesta peça. Primeiro, o suplicante - o dispositivo cliente. Segundo, o autenticador - seu ponto de acesso ou switch, hardware como Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist. Terceiro, o servidor de autenticação - quase sempre um servidor RADIUS, que valida as credenciais em um diretório como Microsoft Entra ID ou Okta.

O suplicante inicia o processo enviando uma mensagem EAPOL-Start. O autenticador responde com um EAP-Request de identidade. O suplicante responde com sua identidade. Essa identidade é encaminhada para o servidor RADIUS, que então desafia o suplicante com o método EAP acordado. Se tudo estiver correto, o servidor RADIUS envia um Access-Accept, a porta se abre e o dispositivo é colocado na VLAN correta.

[pausa média]

Vamos falar sobre os métodos EAP, porque é aqui que a maioria das decisões de implantação são tomadas.

EAP-TLS - ou seja, Extensible Authentication Protocol com Transport Layer Security - é o padrão ouro. Ele exige que tanto o cliente quanto o servidor apresentem certificados. Autenticação mútua. Sem senhas. O certificado do cliente comprova a identidade do dispositivo; o certificado do servidor comprova que a rede é legítima, o que protege contra ataques de evil twin onde um ponto de acesso invasor tenta capturar credenciais. O EAP-TLS é concluído em doze etapas e utiliza criptografia de chave pública-privada do início ao fim. É o método exigido para o WPA3-Enterprise em seu modo de segurança mais alto e alinha-se com os requisitos do NIST SP 800-171 para verificação de identidade de dispositivos.

PEAP - Protected EAP - é o ponto de partida mais comum para organizações que ainda não possuem uma PKI completa implementada. O PEAP envolve um método interno baseado em senha, normalmente o MSCHAPv2, dentro de um túnel TLS. O servidor apresenta um certificado; o cliente não. Isso significa que a implantação é mais simples - você não precisa provisionar certificados de cliente - mas é menos segura. O MSCHAPv2 usa hash MD4, que é considerado comprometido desde 1995. Se um usuário se conectar a um ponto de acesso invasor que apresente um certificado de aparência confiável, suas credenciais poderão ser capturadas. A validação do certificado do servidor no lado do cliente é, portanto, inegociável ao executar o PEAP.

[medium pause]

Agora vamos entrar no suplicante em si - especificamente na escolha entre suplicantes nativos do sistema operacional e softwares de cliente de terceiros.

Cada sistema operacional principal vem com um suplicante 802.1X integrado de fábrica. O Windows o suporta nativamente desde o XP, por meio dos serviços Wireless AutoConfig e Wired AutoConfig. O macOS e o iOS gerenciam o 802.1X por meio de seus perfis de configuração de rede. O Android o suporta por meio do painel de configurações de WiFi. Esses suplicantes nativos cobrem EAP-TLS e PEAP-MSCHAPv2 em todas as plataformas atuais.

A vantagem dos suplicantes nativos é óbvia: nenhum software adicional para implantar, sem custo de licenciamento, atualizações automáticas de segurança do sistema operacional e forte integração com o repositório de certificados do sistema operacional. Para frotas de dispositivos gerenciados - máquinas Windows registradas no Microsoft Intune, Macs gerenciados pelo Jamf - você pode enviar perfis de configuração 802.1X silenciosamente via MDM, e os usuários nunca verão um aviso. O dispositivo se autentica automaticamente sempre que entra no raio de alcance.

Supplicants de terceiros entram em jogo em cenários específicos. Se você estiver executando uma infraestrutura Cisco e quiser usar o EAP-FAST - o método EAP proprietário da Cisco - precisará do software cliente da Cisco, historicamente o Secure Services Client ou o AnyConnect Network Access Manager. Se você precisa de um gerenciamento de configuração consistente em um ambiente de sistema operacional misto e deseja bloquear as configurações do supplicant para que os usuários não as desconfigurem acidentalmente, um cliente de terceiros oferece esse controle. Ferramentas como o pacote JoinNow da SecureW2 também atuam como agentes de onboarding - elas configuram o supplicant nativo em vez de substituí-lo, orientando os usuários no registro de certificados e na instalação de perfis.

[medium pause]

Deixe-me orientar você por dois cenários do mundo real para tornar isso concreto.

Primeiro, um hotel de 400 quartos. A propriedade opera hoje uma rede de funcionários em WPA2-Enterprise com PEAP-MSCHAPv2. A equipe de TI deseja migrar para EAP-TLS para eliminar a autenticação baseada em senha e reduzir o risco de roubo de credenciais. O desafio: os dispositivos dos funcionários são uma mistura de notebooks Windows gerenciados via Intune, celulares Android pessoais usados para o software de gerenciamento de propriedades e algumas máquinas antigas com Windows 7 na área administrativa.

A abordagem aqui é em fases. Comece com a frota Windows gerenciada. Envie um perfil de configuração do Intune que instale o certificado CA raiz do servidor RADIUS, configure o perfil de WiFi para EAP-TLS e acione o registro de certificado baseado em SCEP a partir da PKI interna. Esses dispositivos se autenticam automaticamente desde o primeiro dia. Para dispositivos Android BYOD, implante um portal de onboarding de autoatendimento - os usuários visitam uma URL, baixam um perfil de configuração e o supplicant é configurado para eles. As máquinas herdadas com Windows 7 permanecem em PEAP com validação estrita de certificado de servidor aplicada, isoladas em uma VLAN separada com acesso limitado, até serem desativadas.

[medium pause]

Segundo cenário: uma grande rede de varejo com 200 lojas. Cada loja possui uma mistura de terminais de ponto de venda, tablets de funcionários e uma rede WiFi para convidados. O PCI DSS exige que os ambientes de dados de portadores de cartão sejam isolados de outros segmentos de rede. O varejista usa 802.1X nas redes de funcionários e PDV, com atribuição de VLAN orientada por atributos de certificado. Um terminal de PDV apresenta um certificado de dispositivo com uma unidade organizacional de "POS" - a política RADIUS o atribui à VLAN PCI. Um tablet de funcionário apresenta um certificado com "Staff" - ele cai na VLAN de funcionários. Os dispositivos de convidados se conectam a um SSID totalmente separado, gerenciado por uma solução de Captive Portal.

A configuração do supplicant nos terminais de PDV é bloqueada via MDM. Nenhuma interação do usuário é necessária. Os terminais se autenticam silenciosamente na inicialização. A renovação de certificados é automatizada por meio de SCEP, portanto não há intervenção manual quando os certificados expiram.

[medium pause]

Agora, armadilhas de implementação. Deixe-me apresentar as quatro mais comuns.

Número um: ausência de validação do certificado do servidor em implantações PEAP. Se você não configurar o supplicant para validar o certificado do servidor RADIUS e verificar o nome do servidor, os usuários ficarão vulneráveis à conexão com um ponto de acesso invasor (rogue). Sempre especifique a CA raiz confiável e o nome do servidor no perfil do supplicant.

Número dois: expiração de certificado causando falhas massivas de autenticação. Os certificados de cliente têm um período de validade. Se você não tiver uma renovação automatizada configurada via SCEP ou NDES, enfrentará um evento crítico em que centenas de dispositivos param de autenticar simultaneamente. Desenvolva a automação de renovação antes de entrar em operação.

Número três: dispositivos BYOD com comportamento inconsistente do supplicant. O Android, em particular, possui um suporte 802.1X fragmentado entre os fabricantes. Algumas versões exigem que o usuário instale manualmente o certificado CA antes que o perfil de WiFi o aceite. Um portal de integração (onboarding) que lida com essa etapa reduz significativamente o volume do helpdesk.

Número quatro: atualizações de recursos do Windows 11 quebrando a configuração do supplicant. A Microsoft alterou o comportamento do 802.1X em várias atualizações do Windows 11. Especificamente, a atualização 24H2 introduziu mudanças na forma como o supplicant nativo lida com o fallback do EAP-TLS. Teste seus perfis de supplicant com novas versões do sistema operacional antes de implantá-los em produção.

[medium pause]

Perguntas rápidas agora.

Os dispositivos IoT podem suportar 802.1X? A maioria não. Os dispositivos IoT normalmente carecem totalmente de um supplicant. A alternativa é o MAC Authentication Bypass - MAB - onde o servidor RADIUS autentica o dispositivo com base em seu endereço MAC. Os endereços MAC podem ser clonados (spoofed), portanto, os dispositivos MAB devem sempre ser direcionados para uma VLAN de IoT isolada com regras rígidas de firewall.

Preciso de uma PKI para executar o 802.1X? Para PEAP, não — você só precisa de um certificado de servidor no servidor RADIUS. Para EAP-TLS, sim — você precisa de uma PKI para emitir certificados de cliente. Os serviços de PKI baseados em nuvem reduzem consideravelmente a sobrecarga de infraestrutura.

Como o 802.1X interage com a plataforma de acesso à rede da Purple? A Purple opera como uma sobreposição de nuvem (cloud overlay) sobre seu hardware existente — Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e outros. Em redes WiFi corporativas (Staff WiFi), o add-on SecurePass da Purple se integra ao seu provedor de identidade — Microsoft Entra ID, Okta, ou Google Workspace — para impor a autenticação 802.1X e aplicar políticas de VLAN por usuário, sem a necessidade de uma infraestrutura RADIUS local (on-premises).

[medium pause]

Para resumir: o supplicant 802.1X é o agente do lado do dispositivo que faz o controle de acesso à rede baseado em porta funcionar. Sua escolha de método EAP — EAP-TLS para segurança máxima, PEAP como uma opção de transição — define seus requisitos de PKI e sua abordagem de configuração do supplicant. Os supplicants nativos do sistema operacional cobrem a maioria dos cenários de dispositivos gerenciados quando implantados via MDM. Clientes de terceiros agregam valor em casos específicos: métodos EAP proprietários, ambientes com múltiplos sistemas operacionais que exigem configuração consistente ou integração (onboarding) de BYOD por autoatendimento.

As três principais lições: valide o certificado do seu servidor RADIUS em cada perfil de suplicante, automatize a renovação de certificados antes de implantar o EAP-TLS em escala e isole dispositivos que não suportam 802.1X — IoT, hardware legado — em VLANs dedicadas com MAC Authentication Bypass como fallback.

Para saber mais sobre como a Purple se integra à sua arquitetura de acesso à rede, visite purple.ai. Obrigado por ouvir.

Principais conclusões

✓O suplicante (supplicant) 802.1X é o software no dispositivo cliente que lida com a autenticação de rede.
✓O EAP-TLS oferece segurança máxima ao exigir certificados tanto do cliente quanto do servidor.
✓O PEAP simplifica a implantação exigindo apenas um certificado de servidor, mas exige uma configuração rigorosa do suplicante (supplicant) para evitar o roubo de credenciais.
✓Os suplicantes nativos do sistema operacional são suficientes para a maioria dos ambientes gerenciados quando implantados via MDM.
✓Softwares de cliente de terceiros são úteis para onboarding de BYOD ou para impor protocolos proprietários.
✓Sempre configure o suplicante (supplicant) para validar o certificado do servidor RADIUS para evitar ataques de evil twin.
✓Automatize a renovação dos certificados de cliente para evitar falhas de autenticação em massa.

执行摘要

当设备连接到企业网络时，802.1X 客户端 (Supplicant) 是负责证明其身份的软件组件。对于大型场馆的 IT 经理和网络架构师而言，了解客户端的工作原理对于在不产生服务台工单的情况下确保网络访问安全至关重要。本指南将揭秘 IEEE 802.1X 认证中的设备端代理，对比原生操作系统功能与第三方客户端软件。我们将研究如何为 EAP-TLS 和 PEAP-MSCHAPv2 配置客户端，探讨酒店和零售行业的实际部署场景，并详细介绍正确的客户端配置如何与基于身份的网络（Identity-Based Networks）集成以优化访问。无论您是管理 200 间客房的酒店，还是管理拥有 80,000 多个座位的活动场馆，正确配置客户端都是构建安全、可靠 WiFi 的基石。

技术深挖

IEEE 802.1X 标准定义了基于端口的网络访问控制。它基于一个简单的原则：在设备证明其身份之前，阻断网络边缘的所有流量。客户端是此过程中的客户端参与者。

802.1X 的三个组成部分

认证需要三个不同的实体：

客户端 (Supplicant)：请求网络访问的客户端设备（笔记本电脑、智能手机或平板电脑）。
认证器 (Authenticator)：网络访问设备，例如 Cisco Meraki、HPE Aruba、Ruckus 或 Juniper Mist 接入点。
认证服务器 (Authentication Server)：根据 Microsoft Entra ID 或 Okta 等身份提供商验证凭据的 RADIUS 服务器。

在认证之前，认证器的端口处于未授权状态，仅允许局域网上的可扩展身份验证协议 (EAPOL) 流量。客户端通过 EAPOL-Start 帧发起该过程。认证器请求身份，客户端进行响应。该身份将被转发到 RADIUS 服务器，由其决定要使用的 EAP 方法。验证成功后，RADIUS 服务器会发送 Access-Accept 消息，端口转换为授权状态，设备通常会被分配到特定的 VLAN。

EAP 方法：客户端的语言

客户端和 RADIUS 服务器必须就可扩展身份验证协议 (EAP) 方法达成一致。EAP 方法的选择决定了安全状况以及客户端的配置负担。

EAP-TLS（传输层安全协议） EAP-TLS 需要使用数字证书进行双向身份验证。客户端（Supplicant）提供客户端证书以证明其身份，RADIUS 服务器提供服务器证书以证明网络的合法性。这种无密码方法消除了凭据窃取，并且是 NIST SP 800-171 等严格安全框架所要求的。客户端必须配置为信任颁发证书颁发机构 (CA) 并拥有有效的客户端证书。

PEAP (Protected EAP) 在无法使用完整公钥基础设施 (PKI) 的情况下，PEAP 被广泛使用。它在 TLS 隧道内封装了一个内部身份验证方法（通常是 MSCHAPv2）。RADIUS 服务器提供证书，但客户端只需提供用户名和密码。虽然 PEAP 更易于部署，但如果未严格配置客户端来验证服务器证书，它很容易受到凭据收集攻击。

实施指南

在部署 802.1X 时，IT 团队必须在选择使用操作系统内置的原生客户端，还是部署第三方客户端软件之间做出决定。

原生系统客户端

每个现代操作系统都包含一个原生的 802.1X 客户端。Windows 使用有线自动配置 (Wired AutoConfig) 和无线自动配置 (WLAN AutoConfig) 服务。Apple 设备使用网络配置文件。Android 将其集成在 WiFi 设置中。

原生客户端是托管设备群的理想选择。使用 Microsoft Intune 或 Jamf 等移动设备管理 (MDM) 平台，IT 管理员可以静默推送配置文件，这些文件通过 SCEP 定义了 SSID、EAP 方法、受信任的根 CA 以及证书注册过程。用户体验是无缝的；设备在后台进行身份验证。

第三方客户端软件

在特定场景下，需要使用第三方客户端，例如 Cisco AnyConnect 网络访问管理器或 SecureW2 JoinNow：

专有协议：使用 Cisco EAP-FAST 需要 Cisco 客户端。
BYOD 准入：第三方工具通常充当准入助手，引导用户在原生配置较为复杂的非托管设备上安装证书（特别是在碎片化的 Android 环境中）。
严格的配置控制：第三方客户端可以锁定设置，防止用户禁用服务器证书验证。

配置服务器证书验证

无论选择哪种客户端，配置服务器证书验证都至关重要，特别是对于 PEAP。如果客户端不验证 RADIUS 服务器的证书，它会毫无防备地将凭据发送给模仿您 SSID 的恶意接入点。

在 Windows 中，这意味着勾选 PEAP 属性中的“验证服务器证书”、选择受信任的根证书颁发机构（Root CA），并指定客户端应期望的确切服务器名称。在 Apple 设备上，配置文件必须明确列出受信任的证书。

最佳实践

强制服务器验证：部署 PEAP 时，切勿在未配置客户端验证 RADIUS 服务器证书的情况下进行。这是防御“邪恶双胞胎”（evil twin）攻击的首要防线。
自动化证书生命周期：使用 EAP-TLS 时，应通过 MDM 使用 SCEP 或 NDES 自动执行客户端证书的注册和更新。手动证书管理难以扩展，且会导致突发性的身份验证失败。
按身份进行隔离：使用 RADIUS 属性根据验证的身份分配 VLAN。员工设备和 POS 终端应验证到同一个 SSID，但最终落在不同的 VLAN 上。
为物联网（IoT）做好规划：大多数 IoT 设备缺乏 802.1X 客户端。对于这些设备，请使用 MAC 地址绕过认证（MAB），但必须将其严格隔离在专用的 IoT VLAN 上。

故障排查与风险缓解

当设备无法连接时，问题几乎总是出在客户端配置或证书链上。

“已连接，无互联网”：这通常表明 VLAN 分配失败或身份验证后出现 DHCP 问题。请检查 RADIUS 日志以确认 Access-Accept 消息中是否包含了正确的 Tunnel-Private-Group-Id。
Windows 11 上的静默失败：最近的 Windows 11 功能更新（如 24H2）改变了原生客户端处理 EAP-TLS 回退的方式。在广泛部署之前，请务必针对新的操作系统版本测试配置文件。
证书过期：如果一批设备突然掉网，请检查客户端证书的有效期。确保您的 MDM 在证书过期之前成功对其进行了更新。

投资回报率（ROI）与业务影响

迁移到配置了正确客户端的 802.1X 可以带来可衡量的业务价值。通过消除共享密码（预共享密钥/PSK），您可以彻底免除在员工离职时轮换密码的操作开销。转向 EAP-TLS 可以完全消除密码重置工单，从而为服务台释放大量的生产力时间。

此外，802.1X 允许在单个 SSID 上实现基于身份的网络隔离。无需为 Guest WiFi 、员工和运营广播独立的网络，单个 SSID 即可根据客户端的凭据安全地路由流量。这减少了信道干扰并提高了整体网络性能，直接支持了 Purple 的云端覆盖方法来进行与硬件无关的网络管理。如需更深入地了解分析，请探索我们的 WiFi Analytics 功能。

Definições principais

Suplicante 802.1X

O componente de software em um dispositivo cliente que lida com o processo de autenticação necessário para ingressar em uma rede protegida por IEEE 802.1X.

As equipes de TI configuram o suplicante para definir como um dispositivo comprova sua identidade para a rede.

Autenticador

O dispositivo de rede (switch ou ponto de acesso) que bloqueia o tráfego até que o suplicante se autentique com sucesso.

Hardwares de fornecedores como Cisco Meraki ou HPE Aruba atuam como o autenticador, retransmitindo mensagens entre o dispositivo e o servidor.

RADIUS

Remote Authentication Dial-In User Service. O servidor que verifica as credenciais fornecidas pelo suplicante.

O servidor RADIUS verifica a identidade em diretórios como Okta ou Microsoft Entra ID antes de conceder o acesso.

EAP-TLS

Extensible Authentication Protocol with Transport Layer Security. Um método de autenticação que exige certificados digitais tanto do cliente quanto do servidor.

Considerado o método mais seguro para redes corporativas, eliminando a necessidade de senhas.

PEAP

Protected Extensible Authentication Protocol. Um método de autenticação que cria um túnel TLS seguro para proteger a autenticação baseada em senha.

Comumente usado em ambientes BYOD onde a implantação de certificados de cliente em dispositivos não gerenciados é muito complexa.

EAPOL

Extensible Authentication Protocol over LAN. O protocolo usado para encapsular mensagens EAP entre o suplicante (supplicant) e o autenticador.

Antes da autenticação, o EAPOL é o único tipo de tráfego que o autenticador permite passar pela porta.

MAC Authentication Bypass (MAB)

Um método de autenticação de fallback em que a rede usa o endereço MAC do dispositivo como sua identidade.

Usado para impressoras, câmeras e dispositivos IoT que não possuem um suplicante 802.1X.

VLAN Assignment

O processo de colocar dinamicamente um dispositivo autenticado em um segmento de rede virtual específico.

O servidor RADIUS informa ao autenticador qual VLAN atribuir com base na identidade do suplicante (supplicant).

Exemplos práticos

Um hotel de 200 quartos precisa proteger a rede de seus funcionários. Atualmente usando WPA2-Personal com uma senha compartilhada, eles desejam migrar para o 802.1X. Os funcionários usam uma combinação de laptops Windows de propriedade da empresa e celulares Android pessoais para agendamento. Como eles devem configurar os suplicantes?

O hotel deve implantar uma abordagem híbrida. Para os laptops Windows corporativos, eles devem usar o suplicante nativo do Windows configurado via Microsoft Intune. O perfil de MDM deve aplicar as configurações de EAP-TLS, instalar a CA Raiz e automatizar o registro do certificado do cliente via SCEP. Para os celulares Android pessoais, eles devem implantar um agente de integração de terceiros (como o SecureW2) por meio de um portal de autoatendimento. O funcionário faz login no portal usando suas credenciais do Microsoft Entra ID, e o agente configura automaticamente o suplicante nativo do Android para PEAP-MSCHAPv2, garantindo que a validação do certificado do servidor esteja bloqueada.

Comentário do examinador: Essa abordagem equilibra a segurança com a realidade operacional. O EAP-TLS é exigido onde existe controle de MDM, proporcionando segurança máxima. O PEAP é usado para BYOD onde a distribuição de certificados de cliente é complexa, mas o agente de integração garante que o suplicante seja configurado de forma segura, mitigando o risco de pontos de acesso falsos.

Uma grande rede de varejo com 50 lojas está lançando novos tablets de ponto de venda (POS) móveis. O PCI DSS exige isolamento estrito de rede. Como a configuração do suplicante deve garantir a conformidade?

Os tablets devem ser gerenciados via MDM. O MDM aplica um perfil de configuração do suplicante nativo exigindo EAP-TLS. Cada tablet recebe um certificado de cliente exclusivo contendo um atributo que o identifica como um dispositivo POS. Quando o suplicante do tablet se autentica, o servidor RADIUS lê esse atributo e retorna uma atribuição de VLAN especificamente para o segmento de rede compatível com PCI. A configuração do suplicante deve ser bloqueada para que a equipe da loja não possa modificar as configurações de rede.

Comentário do examinador: O uso de EAP-TLS com atribuição de VLAN baseada em certificado é o método clássico para alcançar a conformidade com o PCI em redes sem fio. Ele elimina o erro humano da segmentação de rede e garante que o dispositivo não possa ser conectado acidentalmente às redes menos seguras de funcionários ou convidados do [Varejo](/industries/retail).

Questões práticas

Q1. Sua organização está implantando PEAP-MSCHAPv2 para uma nova rede BYOD de funcionários. Durante os testes, você nota que os dispositivos conseguem se conectar a um ponto de acesso de teste que transmite o mesmo SSID, mesmo que ele não esteja conectado ao seu servidor RADIUS. Qual etapa de configuração do suplicante (supplicant) foi esquecida?

Dica: Considere como o suplicante (supplicant) verifica a identidade da rede antes de enviar as credenciais MSCHAPv2.

Ver resposta modelo

O suplicante (supplicant) não foi configurado para validar o certificado do servidor. No PEAP, o suplicante deve ser explicitamente configurado para confiar na CA Raiz específica que emitiu o certificado do servidor RADIUS e para verificar o nome de domínio do servidor. Sem isso, o suplicante estabelecerá um túnel TLS com qualquer servidor que apresente um certificado, expondo as credenciais do usuário a um ponto de acesso invasor.

Q2. Uma universidade está migrando sua frota de notebooks Windows gerenciados de PEAP para EAP-TLS. Eles aplicam o novo perfil de configuração via MDM, mas todos os dispositivos falham na autenticação. Os logs do RADIUS mostram "EAP-TLS failed SSL/TLS handshake". Qual é a causa mais provável?

Dica: O EAP-TLS exige autenticação mútua. O que o cliente precisa que não era necessário para o PEAP?

Ver resposta modelo

Os dispositivos dos clientes não possuem um certificado de cliente válido. O EAP-TLS exige que o suplicante (supplicant) apresente um certificado ao servidor RADIUS. O perfil MDM deve ser configurado não apenas para definir o método EAP como TLS, mas também para acionar um protocolo como o SCEP para solicitar e instalar um certificado de cliente a partir da PKI da organização antes de tentar a autenticação.

Q3. Você precisa conectar 50 smart TVs à rede em um ambiente de [Saúde](/industries/healthcare). As TVs suportam apenas WPA2-Personal (Pre-Shared Key) e não possuem um suplicante (supplicant) 802.1X. Como você protege o acesso delas enquanto mantém o 802.1X para os dispositivos dos funcionários?

Dica: Se o dispositivo não puder se comunicar via EAP, o autenticador deve identificá-lo de outra forma.

Ver resposta modelo

Você deve usar o MAC Authentication Bypass (MAB). O autenticador usará o endereço MAC da smart TV como o nome de usuário e a senha enviados ao servidor RADIUS. Como os endereços MAC podem ser clonados, o servidor RADIUS deve ser configurado para atribuir esses dispositivos a uma VLAN de IoT altamente restrita e isolada que permita apenas o tráfego necessário.

Continue a ler esta série

Server RADIUS: um guia completo para empresas

Este guia fornece a gerentes de TI, arquitetos de rede e CTOs uma referência técnica definitiva sobre autenticação de server RADIUS para WiFi corporativo. Ele aborda a estrutura AAA, arquitetura 802.1X, seleção de método EAP, compensações de implantação em nuvem versus local e atribuição dinâmica de VLAN. Operadores de locais nos setores de hospitalidade, varejo, eventos e setor público encontrarão orientações práticas de implementação, estudos de caso do mundo real e as estruturas de decisão necessárias para migrar de chaves pré-compartilhadas inseguras para uma arquitetura de controle de acesso à rede segura e orientada por identidade.

Aruba ClearPass vs. Purple WiFi: Comparando Recursos e Co-implantação

Um guia técnico abrangente detalhando a arquitetura de co-implantação do Aruba ClearPass e Purple WiFi. Ele aborda a configuração de proxy RADIUS, atribuição dinâmica de VLAN e melhores práticas para fornecer redes de convidados seguras e orientadas por análise de dados junto com o NAC corporativo.

Cisco ISE vs. Purple WiFi: Como eles se comparam e trabalham juntos

Este guia explica como o Cisco ISE e o Purple WiFi desempenham papéis distintos, porém complementares, em redes corporativas. Ele detalha como usar o Cisco ISE para acesso corporativo seguro 802.1X, enquanto aproveita o Purple para WiFi de convidados em conformidade com o GDPR, análise de marketing e integração com CRM.