RADIUS Accounting: Rastreando Sessões, Uso e Logs de Auditoria

Este guia fornece uma referência técnica abrangente sobre RADIUS accounting — como ele registra dados de início, término e atualizações intermediárias de sessões de WiFi, quais atributos são capturados e como aproveitar esses dados para auditoria de segurança, conformidade com a GDPR e planejamento de capacidade. É uma leitura essencial para equipes de operações de rede e segurança que precisam de trilhas de auditoria defensáveis a partir de eventos de autenticação de WiFi, e para operadores de locais que buscam integrar dados de sessão em plataformas SIEM e painéis de análise.

📖 9 min de leitura📝 2,044 palavras🔧 2 exemplos práticos❓ 3 questões práticas📚 9 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo de volta ao Purple Technical Briefing. Eu sou o seu anfitrião e hoje vamos mergulhar em um componente crítico, mas frequentemente incompreendido, da infraestrutura de WiFi corporativa: o RADIUS Accounting. Especificamente, como rastreamos sessões, monitoramos o uso e criamos logs de auditoria robustos. Se você é um gerente de TI, um arquiteto de rede ou um diretor de operações de locais físicos, isso é para você. Vamos pular a teoria acadêmica e ir direto para a aplicação prática.

Vamos começar com os fundamentos. Para o CTO que precisa de uma apresentação rápida de 60 segundos: o que é o RADIUS accounting e como ele difere da autenticação RADIUS?

De forma simples, a autenticação é o segurança na porta verificando sua identidade. O accounting é o barman rastreando quanto tempo você fica e quanto consome. A autenticação usa a porta UDP 1812 e lida com o quem e o como do acesso à rede. O accounting usa a porta UDP 1813 e registra meticulosamente o quê, quando e quanto. Ele rastreia quando uma sessão começa, quando termina, quantos bytes foram transferidos e qual endereço IP foi atribuído ao dispositivo cliente.

Então, é a trilha de auditoria. Mas como exatamente ele captura esses dados? Qual é o mecanismo?

Ele depende de três tipos principais de pacotes enviados do Network Access Server — geralmente seu Access Point ou Controladora Wireless — para o servidor RADIUS. Eles são chamados de pacotes Accounting-Request. Primeiro, você tem o pacote Start. Ele é enviado no momento em que um usuário se conecta com sucesso. Ele estabelece o registro de linha de base no banco de dados de accounting, capturando a identidade do usuário, o endereço MAC do dispositivo, o endereço IP atribuído e o AP ao qual o usuário se conectou. Depois, você tem o pacote Stop, enviado quando o usuário se desconecta, contendo as estatísticas cumulativas finais de toda a sessão.

Isso parece simples. Start e Stop. Trabalho feito.

Não exatamente. Depender apenas dos pacotes Start e Stop é um risco operacional significativo. Pense nisso: o que acontece se um hóspede se conectar em um hotel e permanecer conectado por três dias? Se você depender apenas do Start e Stop, terá zero visibilidade sobre o uso dele durante esses três dias. Ou pior, e se o Access Point perder a energia? Ele nunca enviará o pacote Stop, e você ficará com uma sessão obsoleta em seu banco de dados que parecerá ativa indefinidamente.

Então, qual é a solução?

O terceiro tipo de pacote: o Interim-Update. Isso é crítico e é o elemento configurado incorretamente com mais frequência em implantações de RADIUS accounting. Você configura a Controladora Wireless para enviar uma atualização a cada, digamos, 15 minutos durante uma sessão ativa. Ele funciona como um batimento cardíaco (heartbeat) e fornece um instantâneo contínuo do uso atual — bytes transferidos, duração da sessão e contagem de pacotes. Se o servidor RADIUS parar de receber atualizações provisórias de uma sessão específica, você saberá que a sessão caiu, mesmo que nunca tenha recebido um pacote Stop. A regra geral aqui é simples: Sem Interim, Sem Insight.

Agora vamos falar sobre os dados em si. Quais atributos específicos estamos analisando nesses pacotes que são tão valiosos para logs de auditoria e relatórios de conformidade?

Existem vários principais. O Acct-Session-Id é a chave primária que vincula os pacotes Start, Interim-Update e Stop em um registro de sessão coerente. Sem isso, você não consegue correlacionar os três tipos de pacotes. Depois, você tem o Calling-Station-Id, que normalmente é o endereço MAC do cliente — o identificador de hardware do dispositivo. O Framed-IP-Address é o endereço IP atribuído ao cliente para aquela sessão. O Acct-Input-Octets e o Acct-Output-Octets rastreiam o volume de dados recebidos e enviados para o cliente. E o Acct-Terminate-Cause, incluído nos pacotes Stop, informa por que a sessão terminou — se o usuário desconectou manualmente, atingiu um tempo limite de inatividade ou se a conexão com a operadora caiu.

Como usamos esses atributos em um cenário do mundo real? Vamos pegar a conformidade com a GDPR ou uma solicitação de interceptação legal.

É exatamente aqui que o RADIUS accounting prova seu retorno sobre o investimento. Digamos que as autoridades policiais abordem uma rede de varejo e digam: um endereço IP no seu WiFi de convidados foi usado para acessar conteúdo malicioso na última terça-feira às 14h. Quem era? Se você tiver apenas logs de firewall, terá apenas um endereço IP. Mas os endereços IP mudam constantemente com o DHCP. Você precisa vincular esse IP a um dispositivo específico em um momento específico. Então, você consulta seu banco de dados de RADIUS accounting. Você procura por uma sessão onde o Framed-IP-Address corresponda ao IP do log do firewall e onde o carimbo de data/hora do incidente esteja entre o horário de Start e Stop da sessão. Esse registro fornecerá o Calling-Station-Id — o endereço MAC do dispositivo. Você acabou de vincular a camada de rede à camada de dispositivo. Essa é a sua trilha de auditoria completa.

Vamos analisar outro cenário: um hotel de grande porte. O setor de hospitalidade está particularmente exposto aqui. Um hotel de 300 quartos com instalações para conferências pode ter milhares de sessões de WiFi simultâneas. A equipe de operações precisa entender os períodos de pico de uso para o planejamento de capacidade, enquanto a equipe de conformidade precisa demonstrar que os dados dos hóspedes são tratados adequadamente sob a GDPR.

Nesse ambiente, o RADIUS accounting fornece ambos. Os dados da sessão alimentam uma plataforma de análise de WiFi, que traduz bytes brutos e durações de sessão em métricas de fluxo de pessoas e tendências de consumo de largura de banda. Simultaneamente, os mesmos dados alimentam um módulo de relatórios de conformidade que pode demonstrar aos auditores exatamente quais dados foram coletados, por quanto tempo foram retidos e como foram protegidos.

Então, para fazer tudo isso acontecer, precisamos extrair esses dados do servidor RADIUS e levá-los para sistemas onde possamos consultá-los e agir sobre eles. Como as equipes devem arquitetar esse pipeline?

A primeira regra é: não deixe os logs salvos em arquivos de texto simples no servidor RADIUS. Configure o servidor para gravar os dados de contabilização em um banco de dados relacional estruturado — PostgreSQL ou MySQL são escolhas comuns. A partir daí, você tem dois caminhos principais de consumo. Primeiro, encaminhe os logs para o seu SIEM — Splunk, Microsoft Sentinel ou IBM QRadar — usando Syslog ou uma REST API. Isso permite que sua equipe de segurança correlacione eventos de autenticação de WiFi com bloqueios de firewall, alertas de detecção de intrusão ou gatilhos de prevenção de perda de dados. Segundo, alimente os dados em sua plataforma de análise. O Purple's WiFi Analytics, por exemplo, pode ingerir esses dados de sessão e transformá-los em insights acionáveis sobre fluxo de pessoas, tempo de permanência e utilização de capacidade.

Agora vamos falar sobre as armadilhas comuns. Onde as implantações costumam falhar?

Dois modos principais de falha. Primeiro, como já discutimos, deixar de habilitar os Interim-Updates. Isso é surpreendentemente comum. Os administradores configuram a autenticação corretamente, mas nunca tocam nas configurações de contabilização. Segundo, e isso é igualmente prejudicial, definir o intervalo de Interim-Update de forma muito agressiva. Se você tem 10.000 usuários simultâneos e define o intervalo para 1 minuto, você está gerando 10.000 operações de gravação no banco de dados por minuto apenas para atualizações de contabilização. Isso vai saturar a capacidade de I/O do seu servidor RADIUS muito rapidamente. O ponto ideal para a maioria das implantações corporativas é de 10 a 15 minutos. Ele fornece granularidade suficiente para visibilidade operacional sem criar uma carga de gravação insustentável.

Vamos passar por um conjunto rápido de cenários.

Cenário um: Um gerente de estabelecimento relata que o painel de análise mostra usuários conectados por 48 horas, mas o local fica fechado durante a noite.

Isso é um problema de sessão obsoleta. Os Access Points não estão enviando pacotes Stop — provavelmente devido a uma reinicialização de energia ou interrupção de rede — e as sessões nunca são encerradas no banco de dados. A solução é implementar um script de limpeza de sessões inativas no servidor RADIUS. Qualquer sessão que não tenha recebido uma atualização provisória dentro de duas a três vezes o intervalo configurado deve ser encerrada automaticamente.

Cenário dois: A equipe de segurança de uma rede de varejo afirma que os logs do firewall mostram apenas endereços IP, impossibilitando auditar qual terminal de ponto de venda específico acessou um IP externo suspeito.

Certifique-se de que os Access Points estejam configurados para incluir o atributo Framed-IP-Address nos pacotes de contabilização RADIUS e integre esse banco de dados de contabilização RADIUS ao SIEM para correlacionar o endereço IP ao endereço MAC.

Cenário três: O servidor RADIUS está apresentando alta carga de CPU durante os horários de pico, causando atrasos na autenticação.

Verifique primeiro o intervalo de atualização provisória (interim update). Se estiver configurado para 1 ou 2 minutos em uma grande infraestrutura, aumente para 15 minutos. Verifique também se o banco de dados de tarifação possui índices apropriados nas colunas Acct-Session-Id e User-Name. Tabelas sem índices causarão varreduras completas (full table scans) a cada gravação, o que é catastrófico em escala. E considere separar suas cargas de trabalho de autenticação e tarifação em instâncias de servidores dedicados.

Para encerrar, aqui estão os pontos principais para qualquer gerente de TI ou arquiteto de rede que esteja implementando ou auditando sua infraestrutura de tarifação RADIUS.

Primeiro: a tarifação RADIUS é diferente da autenticação. Ela rastreia dados de sessão, não decisões de acesso. Ambos são essenciais, mas atendem a propósitos operacionais e de conformidade diferentes.

Segundo: sempre ative os Interim-Updates. Sem eles, você não terá visibilidade das sessões ativas e nenhum mecanismo para detectar registros desatualizados.

Terceiro: os três atributos que você deve sempre capturar são Acct-Session-Id, Framed-IP-Address e Calling-Station-Id. Esses três formam a base de qualquer trilha de auditoria significativa.

Quarto: exporte seus dados de tarifação. Não os deixe em arquivos simples. Grave em um banco de dados estruturado, encaminhe para um SIEM e envie para uma plataforma de análise.

Quinto: projete pensando em escala. Um intervalo de atualização provisória de 15 minutos é o equilíbrio ideal para a maioria das implantações corporativas. Ajuste com base em seus requisitos específicos de conformidade e na capacidade da sua infraestrutura.

O ponto principal é este: a tarifação RADIUS não é um recurso opcional. Em qualquer ambiente regulamentado — hotelaria, varejo, saúde, setor público — ela é a base da sua trilha de auditoria de WiFi. Faça isso da forma correta e você terá uma ferramenta poderosa para segurança, conformidade e inteligência operacional. Faça de forma errada e você terá uma lacuna na sua trilha de auditoria que pode custar muito caro.

Obrigado por ouvir o Purple Technical Briefing. Até a próxima.

Principais conclusões

✓A tarifação RADIUS (RFC 2866) é diferente da autenticação: ela registra dados de uso da sessão — duração, bytes transferidos, atribuição de IP — em vez de tomar decisões de controle de acesso.
✓Os três tipos de pacotes — Start, Interim-Update e Stop — devem estar todos configurados e operacionais para um histórico de auditoria completo. Os Interim-Updates são a configuração mais frequentemente esquecida.
✓Os atributos Acct-Session-Id, Framed-IP-Address e Calling-Station-Id formam o histórico de auditoria mínimo viável, permitindo a correlação de IP para dispositivo para conformidade e investigações de segurança.
✓Sessões inativas (causadas pela ausência de pacotes Stop) devem ser gerenciadas com um script de limpeza de sessões mortas usando a regra de intervalo de atualização provisória de 2,5x.
✓Os dados de tarifação RADIUS devem ser exportados para um banco de dados estruturado e integrados a um SIEM e plataforma de análise para entregar seu valor operacional e de conformidade total.
✓Para conformidade com PCI DSS, GDPR e interceptação legal, a capacidade de vincular um endereço IP a um endereço MAC em um momento específico é o requisito principal que a tarifação RADIUS atende.
✓Em escala (mais de 5.000 usuários simultâneos), separe as instâncias de servidores de autenticação e tarifação e considere um banco de dados de séries temporais para gravações de tarifação para evitar a degradação do desempenho.

Resumo Executivo

Para equipes de TI corporativas e operações de rede, autenticar usuários em uma rede WiFi é apenas metade da batalha. Uma vez que um dispositivo está conectado, entender o que esse dispositivo faz — quanto tempo ele permanece conectado, quanto dado ele consome e quando ele se desconecta — é crítico para a segurança, planejamento de capacidade e conformidade regulatória. É aqui que o RADIUS accounting se torna indispensável. Enquanto a autenticação RADIUS lida com o quem e o como do acesso à rede, o RADIUS accounting registra meticulosamente o o quê, quando e quanto.

Este guia fornece um aprofundamento técnico no RADIUS accounting, explorando a mecânica dos pacotes Start, Stop e Interim-Update, e os atributos que os tornam valiosos. Ele descreve como operadores de locais em Hospitalidade , Varejo e outros setores podem aproveitar esses dados para manter trilhas de auditoria robustas, garantir a conformidade com a GDPR e alimentar plataformas SIEM ou sistemas de WiFi Analytics com inteligência acionável. Ao dominar o RADIUS accounting, os arquitetos de rede podem transformar logs de sessão brutos em ativos estratégicos que impulsionam a eficiência operacional e mitigam riscos.

Aprofundamento Técnico

RADIUS Accounting vs. Autenticação RADIUS

O RADIUS (Remote Authentication Dial-In User Service), definido na RFC 2865 e estendido para accounting na RFC 2866 , opera em um modelo cliente-servidor. Em uma implantação típica de WiFi corporativo, o Access Point (AP) ou o Wireless LAN Controller (WLC) atua como o Network Access Server (NAS) — o cliente RADIUS. O servidor RADIUS (por exemplo, FreeRADIUS, Cisco ISE, Aruba ClearPass) recebe e processa as solicitações.

A distinção entre autenticação e accounting é fundamental:

Dimensão	Autenticação RADIUS	RADIUS Accounting
Objetivo	Verificar identidade e conceder/negar acesso	Registrar o uso e a atividade da sessão
Porta UDP	1812	1813
Referência RFC	RFC 2865	RFC 2866
Tipos de Pacote	Access-Request, Access-Accept, Access-Reject	Accounting-Request (Start/Stop/Interim)
Dados Capturados	Credenciais, atribuição de VLAN, política	Tempo de sessão, bytes transferidos, endereço IP
Papel na Conformidade	Controle de acesso	Trilha de auditoria, interceptação legal

Para equipes que implantam Guest WiFi em escala, ambas as funções são necessárias — mas o accounting é o que mantém você em conformidade e defensável.

Os Três Tipos de Pacotes de Accounting

O RADIUS accounting depende de três tipos principais de pacotes Accounting-Request, cada um definido pelo atributo Acct-Status-Type:

Start (Acct-Status-Type = 1): Enviado pelo NAS quando um usuário se conecta com sucesso e uma sessão é iniciada. Ele estabelece o registro de linha de base no banco de dados de accounting, capturando a identidade do usuário, o endereço MAC do dispositivo, o endereço IP atribuído e o AP ao qual o usuário se conectou.
Interim-Update (Acct-Status-Type = 3): Enviado periodicamente durante uma sessão ativa. Esses pacotes fornecem instantâneos contínuos do uso atual — bytes transferidos, duração da sessão e contagem de pacotes. Eles funcionam como um heartbeat para confirmar que a sessão ainda está ativa e fornecer visibilidade sobre sessões de longa duração sem esperar pela desconexão.
Stop (Acct-Status-Type = 2): Enviado quando a sessão é encerrada — seja por uma desconexão iniciada pelo usuário, reinicialização do AP, tempo limite de inatividade (idle timeout) ou tempo limite de sessão (session timeout). Ele contém as estatísticas finais e cumulativas de toda a sessão.

Figura 1: O ciclo de vida do pacote de accounting RADIUS em uma sessão WiFi.

Atributos Chave de Accounting

Para rastrear sessões de forma eficaz e criar logs de auditoria defensáveis, o NAS preenche os pacotes Accounting-Request com atributos específicos. Os seguintes são os mais significativos operacionalmente:

Atributo	Descrição	Relevância para Conformidade
Acct-Session-Id	Identificador exclusivo de sessão gerado pelo NAS	Chave primária para correlacionar registros Start, Interim e Stop
User-Name	Identidade autenticada (nome de usuário ou endereço MAC)	Mapeia a sessão para um usuário ou dispositivo específico
NAS-IP-Address	Endereço IP do AP ou WLC relator	Identifica o segmento de rede e a localização física
Framed-IP-Address	Endereço IP atribuído ao dispositivo cliente	Crítico para correlação com logs de firewall e proxy web
Calling-Station-Id	Endereço MAC do dispositivo cliente	Identidade no nível do dispositivo para trilha de auditoria
Called-Station-Id	Endereço MAC do AP e SSID	Identifica o rádio e a rede específicos aos quais o usuário se conectou
Acct-Input-Octets	Bytes recebidos do cliente	Monitoramento de largura de banda e planejamento de capacidade
Acct-Output-Octets	Bytes enviados ao cliente	Monitoramento de largura de banda e planejamento de capacidade
Acct-Session-Time	Duração da sessão em segundos	Análise de tempo de permanência e faturamento
Acct-Terminate-Cause	Motivo do encerramento da sessão	Solução de problemas e detecção de anomalias

Para equipes que trabalham com Autenticação 802.1X , o atributo User-Name conterá a identidade autenticada da troca EAP, fornecendo uma trilha de auditoria mais rica do que apenas o MAC Authentication Bypass (MAB).

Guia de Implementação

A implantação de uma infraestrutura robusta de tarifação RADIUS exige uma configuração cuidadosa tanto no nível do NAS quanto no do servidor RADIUS. A seguir, apresenta-se uma abordagem neutra em relação ao fornecedor para estabelecer um pipeline de tarifação confiável.

Passo 1: Configurar o NAS (Pontos de Acesso / Controladoras)

A configuração do NAS é onde a maioria das implantações falha. Os administradores frequentemente configuram a autenticação corretamente, mas deixam a tarifação nas configurações padrão ou totalmente desativada.

Definir o Servidor de Tarifação: Especifique o endereço IP do servidor RADIUS e o segredo compartilhado para a porta UDP 1813. Em implantações de alta disponibilidade, configure um servidor de tarifação secundário para evitar a perda de dados caso o primário fique inacessível.
Habilitar Atualizações Interinas (Interim Updates): Este é o passo de configuração mais importante. Defina um intervalo adequado — normalmente de 10 a 15 minutos para implantações corporativas. Intervalos mais curtos (por exemplo, 1 minuto) fornecem dados mais detalhados, mas geram uma carga de gravação insustentável em escala; intervalos mais longos (por exemplo, 30 minutos) reduzem o consumo de recursos, mas atrasam a visibilidade das sessões ativas.
Garantir a Sincronização de Horário: Configure o NTP em todos os dispositivos NAS e no servidor RADIUS. Carimbos de data/hora (timestamps) precisos são inegociáveis para logs de auditoria e correlação em SIEM. Um desvio de relógio de apenas 5 minutos pode invalidar uma trilha de auditoria em um cenário de interceptação legal.

Passo 2: Configurar o Servidor RADIUS

Integração com Banco de Dados: Configure o servidor RADIUS para registrar os dados de tarifação em um banco de dados relacional estruturado (por exemplo, PostgreSQL, MySQL) em vez de arquivos de texto simples. O armazenamento estruturado permite consultas eficientes, indexação e integração com sistemas downstream. Certifique-se de que existam índices em Acct-Session-Id, User-Name, Framed-IP-Address e no timestamp de início da sessão.
Políticas de Retenção de Dados: Implemente scripts automatizados de arquivamento ou exclusão alinhados com seus requisitos de conformidade. O Artigo 5(1)(e) do GDPR exige que os dados não sejam mantidos por mais tempo do que o necessário; no entanto, as regulamentações de interceptação legal em muitas jurisdições podem exigir a retenção por até 12 meses.

Passo 3: Construir o Pipeline de Dados

Para maximizar o valor dos dados de tarifação, eles devem ser exportados para plataformas de consumo onde possam ser consultados, correlacionados e visualizados.

Integração com SIEM: Configure o servidor RADIUS ou o banco de dados subjacente para encaminhar logs para o seu SIEM (por exemplo, Splunk, Microsoft Sentinel, IBM QRadar) usando Syslog ou uma API REST. Isso permite que as equipes de segurança correlacionem eventos de autenticação WiFi com bloqueios de firewall, alertas de detecção de intrusão ou gatilhos de prevenção de perda de dados.- Integração de Analytics: Insira dados de sessão em plataformas como o WiFi Analytics da Purple para transformar bytes brutos e endereços MAC em insights acionáveis sobre fluxo de pessoas, tempo de permanência e períodos de pico de uso. Isso é particularmente valioso para operadores de Varejo e Hospitalidade que precisam alinhar o investimento em equipe e infraestrutura com os padrões reais de uso.

Figura 2: O pipeline de dados de accounting RADIUS dos Access Points para plataformas de SIEM e analytics.

Melhores Práticas

Sempre Use Atualizações Interinas (Interim Updates). Confiar apenas em pacotes Start e Stop cria pontos cegos operacionais. Uma conexão interrompida ou falha de energia no AP pode impedir o envio de um pacote Stop, deixando uma sessão inativa no banco de dados indefinidamente. As atualizações interinas fornecem o mecanismo para detectar e encerrar essas sessões inativas. A regra geral: se uma sessão não enviou uma atualização interina dentro de duas a três vezes o intervalo configurado, trate-a como encerrada.

Correlacione o Accounting RADIUS com Logs de DHCP. O accounting RADIUS fornece o Framed-IP-Address, mas os tempos de concessão (lease) do DHCP podem ser menores do que a duração das sessões em alguns ambientes. Manter os logs de DHCP junto com os logs do RADIUS fornece uma trilha de auditoria mais resiliente, particularmente em locais de alta densidade onde a reciclagem de endereços IP é frequente.

Proteja o Transporte com RadSec. O tráfego RADIUS tradicional é transmitido via UDP com criptografia mínima — apenas o campo de senha do usuário é ofuscado. Em implantações distribuídas, especialmente aquelas que abrangem vários locais ou servidores RADIUS hospedados na nuvem, use RadSec (RADIUS sobre TLS, definido na RFC 6614) ou túneis IPsec para proteger os dados de accounting em trânsito. Este é um requisito do PCI DSS 4.0 para qualquer rede que processe dados de portadores de cartão.

Monitore a Fila de Accounting. Se o servidor RADIUS ficar inacessível, os dispositivos NAS colocarão os pacotes de accounting em uma fila local. Monitore o tamanho dessa fila; uma fila cheia resultará em pacotes descartados e perda de dados de auditoria. Configure alertas para o tamanho da fila e implemente um servidor de accounting secundário para implantações de alta disponibilidade.

Separe os Servidores de Autenticação e Accounting em Larga Escala. Em implantações que excedem 5.000 usuários simultâneos, a carga de gravação do accounting pode degradar os tempos de resposta de autenticação. Servidores de accounting dedicados com instâncias de banco de dados separadas evitam essa disputa por recursos.

Solução de Problemas e Mitigação de Riscos

O Problema da Sessão Inativa (Stale Session)

Sintoma: O banco de dados RADIUS mostra que um usuário está conectado há 48 horas, mas o local fechou durante a noite.

Causa Raiz: O NAS falhou ao enviar um pacote Stop — normalmente devido a uma falha de energia, reinicialização do AP ou interrupção da rede — e o pacote nunca foi recebido pelo servidor RADIUS.

Mitigação: Implemente um script de limpeza de sessões inativas no servidor RADIUS. O script deve verificar periodicamente as sessões ativas onde o último pacote recebido (Start ou Interim-Update) é mais antigo do que um limite definido (por exemplo, 2,5 vezes o intervalo de atualização provisória). As sessões que excederem esse limite devem ser encerradas à força com um registro Stop sintético, observando a causa do término como 'Lost-Carrier' ou 'Admin-Reset'.

Alta Carga de CPU e I/O no Servidor RADIUS

Sintoma: Os tempos de resposta de autenticação degradam durante os horários de pico; o servidor RADIUS relata alta utilização de CPU e I/O de disco.

Causa Raiz: Um intervalo de atualização provisória excessivamente agressivo (por exemplo, 1 minuto) em milhares de APs gera um volume insustentável de gravações no banco de dados.

Mitigação: Aumente o intervalo de atualização provisória para 15 minutos. Verifique se o banco de dados de tarifação possui os índices apropriados. Considere separar a autenticação e a tarifação em instâncias de servidor dedicadas. Avalie se um banco de dados de séries temporais (por exemplo, InfluxDB) é mais adequado do que um banco de dados relacional para dados de tarifação de alto volume.

Framed-IP-Address Ausente nos Registros de Tarifação

Sintoma: Os registros de tarifação do RADIUS existem, mas o campo Framed-IP-Address está vazio ou ausente, impossibilitando a correlação IP-para-MAC.

Causa Raiz: O NAS pode estar enviando o pacote Start antes que o DHCP tenha atribuído um endereço IP ao cliente. O IP só fica disponível após a conclusão da troca de DHCP.

Mitigação: Configure o NAS para atrasar o envio do pacote Start até após a atribuição do DHCP, se a plataforma suportar isso. Como alternativa, dependa dos pacotes Interim-Update, que são enviados após a atribuição do DHCP e conterão o Framed-IP-Address. Certifique-se de que suas consultas de auditoria considerem isso, verificando os registros Interim-Update se o registro Start não tiver um IP.

ROI e Impacto nos Negócios

A implementação de uma tarifação RADIUS robusta entrega valor comercial mensurável em três dimensões:

Mitigação de Riscos de Conformidade e Legais. No caso de um incidente de segurança, uma solicitação de acesso a dados do titular sob a GDPR ou uma ordem de interceptação legal, registros de tarifação precisos fornecem a trilha de auditoria necessária para identificar qual usuário ou dispositivo possuía um endereço IP específico em um momento específico. Sem isso, as organizações enfrentam possíveis penalidades regulatórias sob a GDPR (até 4% do faturamento anual global) e danos à reputação. O custo de implementar uma infraestrutura de tarifação adequada é uma fração do custo de uma única ação de fiscalização regulatória.

Planejamento de Capacidade e ROI de Infraestrutura. Ao analisar as tendências de Acct-Input-Octets e Acct-Output-Octets ao longo do tempo, os arquitetos de rede podem identificar padrões de consumo de largura de banda, períodos de pico de uso e os APs ou SSIDs específicos que geram a maior carga. Esses dados informam diretamente as decisões de atualização de WAN e as estratégias de posicionamento de AP, garantindo que o investimento em infraestrutura seja direcionado para onde oferece o maior impacto. Para hubs de Transporte e grandes locais de eventos, isso pode representar economias significativas de despesas de capital.

Análises Avançadas e Inteligência de Espaço. Quando os dados de sessão RADIUS são combinados com plataformas como o WiFi Analytics e Sensors da Purple, os dados brutos de contabilização são transformados em inteligência de espaço. Métricas de tempo de permanência derivadas da duração da sessão, identificação de visitantes recorrentes a partir do histórico de Calling-Station-Id e análise de ocupação de pico a partir de contagens de sessões simultâneas tornam-se disponíveis. Para operadores de Hospitalidade , esses dados informam diretamente os modelos de dimensionamento de equipe, posicionamento de Alimentos e Bebidas (F&B) e estratégias de personalização de marketing. Para obter mais contexto sobre como a infraestrutura de WiFi sustenta esses recursos, consulte nossos guias sobre Pontos de Acesso Sem Fio e Soluções Modernas de WiFi para Hospitalidade .

Definições principais

RADIUS Accounting

O processo de coleta e registro de dados sobre o consumo de recursos de rede do usuário, incluindo horários de início e término da sessão, volume de dados transferidos e atribuição de endereço IP. Definido na RFC 2866.

Essencial para faturamento, planejamento de capacidade, conformidade com a GDPR e manutenção de trilhas de auditoria de segurança em qualquer implantação de WiFi corporativo.

Acct-Status-Type

Um atributo RADIUS (ID de Atributo 40) que indica a finalidade de um pacote de contabilidade. Os valores incluem Start (1), Stop (2) e Interim-Update (3).

Usado pelo servidor RADIUS para determinar se deve criar um novo registro de sessão, atualizar um existente ou fechá-lo. O atributo mais fundamental em qualquer pacote de contabilidade.

Interim-Update

Um pacote periódico de contabilidade RADIUS enviado pelo NAS durante uma sessão ativa para relatar estatísticas de uso atuais, incluindo bytes transferidos e duração da sessão.

Crítico para rastrear sessões de longa duração e detectar sessões inativas se um cliente se desconectar inesperadamente sem enviar um pacote Stop.

Acct-Session-Id

Uma string exclusiva gerada pelo NAS para identificar uma instância específica de conexão de usuário. Este valor é consistente em todos os pacotes de contabilidade (Start, Interim-Update, Stop) para a mesma sessão.

A chave primária usada para correlacionar todos os registros de contabilidade pertencentes à mesma sessão. Sem isso, é impossível reconstruir um histórico completo de sessão.

NAS (Network Access Server)

O dispositivo — normalmente um Ponto de Acesso Sem Fio ou Controlador de LAN Sem Fio — que controla o acesso físico à rede e atua como o cliente RADIUS, gerando e enviando pacotes de contabilidade.

O NAS é responsável pela precisão e integridade dos dados de contabilidade. Erros de configuração no nível do NAS (por exemplo, contabilidade desativada, atributos ausentes) não podem ser corrigidos no nível do servidor RADIUS.

Framed-IP-Address

O endereço IP atribuído ao dispositivo cliente durante a sessão, incluído nos pacotes de contabilidade RADIUS.

Crítico para correlacionar logs de contabilidade RADIUS com outros logs de rede, como firewall, proxy web ou logs de DNS. A ausência deste atributo torna impossível a correlação entre IP e dispositivo.

Calling-Station-Id

Normalmente o endereço MAC do dispositivo cliente que se conecta à rede, formatado como uma string hexadecimal separada por dois-pontos (por exemplo, AA:BB:CC:DD:EE:FF).

Usado para identificar o dispositivo de hardware específico, independentemente do endereço IP atribuído. A âncora na camada de dispositivo da trilha de auditoria.

Acct-Terminate-Cause

Um atributo incluído nos pacotes Stop que especifica o motivo pelo qual uma sessão foi encerrada. Os valores comuns incluem User-Request, Lost-Carrier, Idle-Timeout, Session-Timeout e Admin-Reset.

Valioso para solucionar problemas de conectividade e para detecção de anomalias — por exemplo, uma alta taxa de terminações por Lost-Carrier em um AP específico pode indicar um problema de hardware ou interferência.

RadSec

RADIUS sobre TLS (Transport Layer Security), definido na RFC 6614. Fornece transporte criptografado e autenticado para pacotes RADIUS, substituindo o transporte tradicional baseado em UDP.

Necessário em qualquer implantação onde o tráfego RADIUS atravesse redes não confiáveis (por exemplo, servidores RADIUS em nuvem conectados à internet). Cada vez mais exigido pelo PCI DSS 4.0 para ambientes de dados de portadores de cartão.

Exemplos práticos

Um hotel de 300 quartos com instalações para conferências está implantando uma nova rede WiFi para hóspedes. O gerente de TI precisa garantir que a implantação atenda aos requisitos do GDPR para minimização de dados e integridade da trilha de auditoria, ao mesmo tempo em que fornece à equipe de marketing análises de tempo de permanência e visitantes recorrentes. O hotel utiliza um servidor RADIUS hospedado na nuvem e APs Cisco Meraki.

A implantação deve ser configurada da seguinte forma. No painel do Meraki, navegue até Network-wide > RADIUS servers e adicione o servidor RADIUS na nuvem na porta 1813 com um segredo compartilhado forte. Ative o accounting e defina o intervalo de atualização provisória para 15 minutos. No servidor RADIUS, configure o accounting para gravar em um banco de dados PostgreSQL com o seguinte esquema: session_id (chave primária), user_name, nas_ip, framed_ip, calling_station_id, called_station_id, session_start, session_end, input_octets, output_octets, terminate_cause. Implemente uma política de retenção de dados que arquive automaticamente registros com mais de 12 meses em armazenamento frio e elimine registros com mais de 24 meses, documentada no Registro de Atividades de Processamento do GDPR do hotel. Configure uma integração com o Purple WiFi Analytics para ingerir os dados da sessão, permitindo que a equipe de marketing acesse relatórios de tempo de permanência e painéis de frequência de visitantes recorrentes. Certifique-se de que o NTP esteja sincronizado em todos os APs Meraki e no servidor RADIUS com tolerância de até 1 segundo.

Comentário do examinador: Este cenário demonstra a natureza de duplo propósito do RADIUS accounting: conformidade e analytics. O intervalo de atualização provisória de 15 minutos é apropriado para um ambiente hoteleiro onde as sessões podem durar dias. O design do esquema PostgreSQL garante que todos os campos relevantes para o GDPR sejam capturados, evitando a coleta desnecessária de dados. A política de retenção de 12/24 meses equilibra os requisitos do UK Investigatory Powers Act com os princípios de minimização de dados do GDPR.

Uma rede de varejo com 150 lojas precisa cumprir os requisitos do PCI DSS 4.0 para monitoramento de acesso à rede. Seus terminais de ponto de venda usam MAC Authentication Bypass (MAB) na rede WiFi. A equipe de segurança recebeu uma solicitação de seu QSA (Qualified Security Assessor) para demonstrar que eles podem identificar qual terminal de PDV específico acessou a rede de pagamento em qualquer momento, usando apenas um endereço IP de origem e o carimbo de data/hora de um log de firewall.

A solução requer uma integração de três componentes. Primeiro, verifique se todos os controladores de LAN sem fio estão configurados para incluir o atributo Framed-IP-Address nos pacotes de RADIUS accounting. Isso nem sempre é ativado por padrão e deve ser configurado explicitamente. Segundo, integre o banco de dados de RADIUS accounting com a plataforma SIEM (por exemplo, Splunk). Crie uma tabela de consulta no Splunk que mapeie o Framed-IP-Address e os intervalos de tempo da sessão para o Calling-Station-Id (endereço MAC). Terceiro, crie uma busca salva no Splunk que aceite um IP de origem e um carimbo de data/hora como entradas e retorne o endereço MAC correspondente, o NAS-IP-Address (identificando a loja e o AP) e o User-Name dos registros de RADIUS accounting. O QSA poderá então ver a demonstração deste fluxo de trabalho: dada uma entrada de log do firewall mostrando o IP de origem 10.5.12.44 às 14:23:07 em uma data específica, a busca retorna o endereço MAC do terminal de PDV, o AP ao qual ele estava conectado e a localização da loja.

Comentário do examinador: Este cenário destaca o papel crítico do atributo Framed-IP-Address em preencher a lacuna entre a identidade da camada de rede (endereço IP) e a identidade da camada de dispositivo (endereço MAC). A abordagem de tabela de consulta SIEM é o método padrão do setor para esse tipo de correlação. Observe que em ambientes com tempos de concessão de DHCP muito curtos, a correlação deve usar uma consulta de intervalo de tempo em vez de uma busca de ponto específico no tempo, pois o mesmo IP pode ter sido atribuído a vários dispositivos em uma janela curta.

Questões práticas

Q1. Um gerente de TI de um hotel percebe que o painel de analytics do WiFi mostra pouquíssimos usuários ativos durante o dia, embora o lobby e o restaurante estejam visivelmente cheios. No entanto, os relatórios históricos do dia anterior mostram um pico massivo no uso de dados. Os logs do servidor RADIUS confirmam que os pacotes Start estão sendo recebidos, mas o banco de dados mostra pouquíssimos registros de Interim-Update. Qual é a configuração incorreta mais provável e como você a resolveria?

Dica: Considere como o uso de dados é relatado durante uma sessão ativa em comparação com o momento da desconexão.

Ver resposta modelo

A causa mais provável é que os Interim-Updates estão desativados ou não configurados no Wireless LAN Controller. Sem as atualizações intermediárias, o servidor RADIUS só recebe um pacote Start quando o usuário se conecta e um pacote Stop quando ele se desconecta. O painel de analytics não consegue exibir o uso atual porque nenhum dado em sessão está sendo relatado. Assim que os usuários saem e se desconectam, os pacotes Stop chegam com o total de dados acumulados, causando o pico atrasado nos relatórios históricos. A resolução é ativar os Interim-Updates no WLC e definir um intervalo adequado — 15 minutos é o recomendado para um ambiente de hotel. Após a ativação, verifique se o servidor RADIUS está recebendo os pacotes Interim-Update checando o banco de dados de tarifação por registros com Acct-Status-Type = 3.

Q2. Durante a investigação de um incidente de segurança, seu SIEM sinalizou que um endereço IP na rede WiFi de visitantes acessou um servidor de comando e controle conhecido às 09:47:23 em uma data específica. Você precisa identificar o dispositivo físico responsável. O tempo de concessão (lease time) do seu DHCP está definido para 30 minutos. Descreva a lógica exata de consulta que você usaria no banco de dados de tarifação do RADIUS para identificar o dispositivo.

Dica: Os endereços IP não são estáticos. Você deve usar uma consulta de intervalo de tempo, não uma busca de ponto no tempo, e considerar a reciclagem de concessão do DHCP.

Ver resposta modelo

Você deve consultar o banco de dados de tarifação do RADIUS por sessões onde: (1) o Framed-IP-Address seja igual ao endereço IP sinalizado, E (2) o timestamp de session_start seja anterior ou igual a 09:47:23, E (3) o timestamp de session_end seja posterior ou igual a 09:47:23, OU o session_end seja NULL (sessão ainda ativa no momento da consulta). Se várias sessões corresponderem (o que é possível com um lease de DHCP de 30 minutos), revise os registros de Interim-Update para confirmar qual sessão estava relatando uso ativamente às 09:47:23. O registro da sessão correspondente conterá o Calling-Station-Id (endereço MAC do dispositivo) e o User-Name (identidade autenticada, se o 802.1X foi usado). Cruze o endereço MAC com o inventário de dispositivos ou com os logs do servidor DHCP para identificar o dispositivo físico e seu proprietário.

Q3. Você é o arquiteto de rede de um centro de convenções que hospeda eventos com até 8.000 usuários simultâneos de WiFi. Seu servidor RADIUS atual está enfrentando saturação de gravação no banco de dados durante os picos dos eventos, causando atrasos de autenticação de 3 a 5 segundos. Seu intervalo atual de interim update está definido para 2 minutos. Descreva um plano de remediação em várias etapas que resolva tanto o problema imediato de desempenho quanto o risco arquitetural subjacente.

Dica: Considere tanto as mudanças de configuração quanto as mudanças arquiteturais. O objetivo é manter a integridade da trilha de auditoria enquanto reduz a carga de gravação.

Ver resposta modelo

O plano de remediação deve abordar três camadas. Primeiro, como correção imediata, aumente o intervalo de interim update de 2 minutos para 15 minutos em todos os Wireless Controllers. Isso reduz a carga de gravação de tarifação em aproximadamente 87% (de uma gravação a cada 2 minutos para uma a cada 15 minutos por sessão), o que deve aliviar imediatamente a pressão de I/O do banco de dados. Segundo, separe as cargas de trabalho de autenticação e tarifação em instâncias de servidores dedicadas. O servidor de autenticação lida com pacotes Access-Request/Accept/Reject, enquanto um servidor de tarifação dedicado lida com pacotes Accounting-Request e grava em um banco de dados separado. Isso evita que a carga de gravação de tarifação afete os tempos de resposta de autenticação. Terceiro, para o risco arquitetural subjacente, avalie se um banco de dados de séries temporais (ex: InfluxDB ou TimescaleDB) é mais adequado do que um banco de dados relacional para a carga de trabalho de tarifação. Bancos de dados de séries temporais são otimizados para gravações sequenciais de alto volume e consultas de intervalo de tempo, o que corresponde exatamente ao padrão de dados de tarifação. Migre as gravações de tarifação para o banco de dados de séries temporais enquanto mantém o banco de dados relacional para consultas de relatórios de conformidade.

Continue a ler esta série

Mensurando o ROI de Negócios do guest WiFi e Analytics de Localização

Este guia fornece um framework técnico e operacional para mensurar o ROI de negócios do guest WiFi e analytics de localização. Ele detalha como calcular o valor dos investimentos em hardware por meio do aumento de dwell time, eficiência operacional e captura de dados primários nos setores de varejo, hospitalidade e locais públicos. Gerentes de TI, arquitetos de rede, CTOs e diretores de operações de espaços encontrarão frameworks de medição concretos, estudos de caso reais e orientações de conformidade para justificar e maximizar seu investimento em WiFi.

Privacy by Design: Anonimizando Dados de WiFi para Conformidade com a GDPR

Este guia definitivo detalha a arquitetura técnica e as estratégias de implementação para anonimizar dados de WiFi para garantir a conformidade com a GDPR. Ele fornece aos líderes de TI e arquitetos de rede estruturas práticas para equilibrar análises robustas de locais com requisitos estritos de privacidade de dados.

Heatmapping vs Presence Analytics: Diferenças Técnicas

Este guia técnico definitivo detalha as diferenças arquitetônicas e operacionais críticas entre WiFi heatmapping e presence analytics para operadores de locais corporativos. Ele fornece a líderes de TI, arquitetos de rede e diretores de operações frameworks de implantação práticos, cenários de implementação do mundo real e as melhores práticas neutras em relação a fornecedores para extrair o ROI máximo de sua infraestrutura sem fio existente.