Server RADIUS: um guia completo para empresas

Este guia fornece a gerentes de TI, arquitetos de rede e CTOs uma referência técnica definitiva sobre autenticação de server RADIUS para WiFi corporativo. Ele aborda a estrutura AAA, arquitetura 802.1X, seleção de método EAP, compensações de implantação em nuvem versus local e atribuição dinâmica de VLAN. Operadores de locais nos setores de hospitalidade, varejo, eventos e setor público encontrarão orientações práticas de implementação, estudos de caso do mundo real e as estruturas de decisão necessárias para migrar de chaves pré-compartilhadas inseguras para uma arquitetura de controle de acesso à rede segura e orientada por identidade.

📖 9 min de leitura📝 2,075 palavras🔧 2 exemplos práticos❓ 4 questões práticas📚 10 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo ao Purple Technical Briefing. Sou seu anfitrião e, nos próximos dez minutos, abordaremos uma das decisões de infraestrutura mais importantes para qualquer equipe de TI corporativa: a autenticação de servidor RADIUS. Se você é gerente de TI, arquiteto de rede ou CTO responsável pelo WiFi em um hotel, rede de varejo, estádio ou centro de convenções, este briefing é para você. Vamos eliminar o jargão, explicar a arquitetura de forma clara e fornecer os insights práticos de que você precisa para tomar decisões informadas neste trimestre.

Vamos começar com uma visão geral. Por que tudo isso importa?

Se você ainda opera o WiFi de convidados ou funcionários com uma única senha compartilhada, uma Pre-Shared Key, você está operando com um risco de segurança significativo e crescente. Essa senha é compartilhada, escrita em recibos, fotografada em quadros brancos e encaminhada por aplicativos de mensagens. Depois que ela vaza, você não tem visibilidade de quem está na sua rede, nenhuma capacidade de revogar o acesso de um único usuário sem interromper a todos e nenhuma trilha de auditoria se algo der errado. Para organizações sujeitas ao PCI DSS, GDPR ou HIPAA, isso não é apenas um problema técnico. É uma responsabilidade de conformidade.

O servidor RADIUS é a solução em que o setor convergiu para resolver isso. Portanto, vamos entender exatamente o que ele é e como funciona.

RADIUS significa Remote Authentication Dial-In User Service. O nome é um artefato histórico dos primórdios da internet discada, mas o protocolo evoluiu significativamente e continua sendo a espinha dorsal do controle de acesso a redes corporativas hoje. Em sua essência, um servidor RADIUS é um sistema centralizado que gerencia o acesso à rede usando uma estrutura chamada AAA: Autenticação (Authentication), Autorização (Authorisation) e Contabilização (Accounting). Esses três pilares são a base de tudo o que discutiremos hoje.

A autenticação é o primeiro pilar: verificar quem alguém é. A autorização é o segundo: determinar o que eles têm permissão para fazer. E a contabilização é o terceiro: registrar o que eles realmente fizeram.

Vamos explorar cada um deles.

Autenticação. Quando um usuário tenta se conectar a uma rede WiFi protegida com WPA2-Enterprise ou WPA3-Enterprise, seu dispositivo, que chamamos de Supplicant, envia uma solicitação de conexão ao ponto de acesso sem fio. O ponto de acesso, que chamamos de Authenticator, não toma a decisão de autenticação por si só. Ele age como um retransmissor, encaminhando a solicitação para o servidor RADIUS. O servidor então valida a identidade do usuário em relação a uma fonte de identidade configurada. Isso pode ser o Microsoft Entra ID, Okta, Google Workspace ou um banco de dados de usuários local. A fonte de identidade é a única fonte de verdade para determinar quem tem permissão para acessar sua rede.

Autorização. Assim que o usuário é autenticado, o servidor RADIUS não apenas diz sim e se afasta. Ele também diz ao ponto de acesso exatamente o que fazer com este usuário. Ele envia de volta um conjunto de atributos, essencialmente instruções, que definem a experiência de rede do usuário. O mais importante deles é tipicamente a atribuição de VLAN. O servidor RADIUS pode dizer: este usuário é um membro do grupo de funcionários corporativos, atribua-o à VLAN dez, que tem acesso a servidores de arquivos internos e impressoras. Ou: este usuário é um visitante, atribua-o à VLAN vinte, que possui apenas acesso à internet e está completamente isolada da rede corporativa. Esta atribuição dinâmica de VLAN é um dos recursos mais poderosos do servidor RADIUS, e é o mecanismo que possibilita a segmentação de rede adequada.

Contabilização (Accounting). O terceiro pilar é frequentemente negligenciado, mas é criticamente importante para conformidade e operações. À medida que a sessão de um usuário progride, o servidor RADIUS registra informações importantes: o horário em que se conectaram, o horário em que se desconectaram, a duração total da sessão, a quantidade de dados transferidos e o endereço MAC de seu dispositivo. Isso cria uma trilha de auditoria detalhada para cada conexão em sua rede. Sob a versão quatro do PCI DSS, esse tipo de registro não é opcional. É um requisito obrigatório. E no caso de um incidente de segurança, esses logs são inestimáveis para a investigação forense.

Agora, vamos falar sobre o padrão técnico que faz tudo isso funcionar: o IEEE 802.1X.

O 802.1X é o padrão que define o controle de acesso à rede baseado em porta. É o protocolo que permite que um ponto de acesso bloqueie todo o tráfego de rede de um dispositivo até que o servidor RADIUS confirme que o dispositivo está autorizado. A comunicação entre o dispositivo do usuário e o ponto de acesso usa um protocolo chamado EAP, o Extensible Authentication Protocol. O EAP é essencialmente uma estrutura que suporta múltiplos métodos de autenticação.

Os três métodos EAP mais comuns em Wi-Fi corporativo são: PEAP, que significa Protected Extensible Authentication Protocol; EAP-TTLS; e EAP-TLS.

O PEAP e o EAP-TTLS são métodos baseados em credenciais. Eles criam um túnel criptografado entre o dispositivo e o servidor RADIUS, e então o nome de usuário e a senha do usuário são verificados dentro desse túnel. Eles são relativamente fáceis de implantar e funcionam bem em ambientes onde você ainda não está pronto para uma infraestrutura de certificados completa.

O EAP-TLS é o padrão ouro. Ele é baseado em certificados, o que significa que tanto o servidor quanto o dispositivo cliente apresentam certificados digitais para autenticação mútua. Não há nenhuma senha envolvida. Isso elimina completamente o risco de roubo de credenciais, ataques de phishing e ataques man-in-the-middle. Para dispositivos corporativos, o EAP-TLS é o método de autenticação que você deve buscar implementar.

Agora vamos falar sobre modelos de implantação. Quando se trata de servidor RADIUS, você tem duas opções principais: local (on-premises) e hospedado na nuvem.

O RADIUS on-premises, utilizando plataformas como FreeRADIUS ou Microsoft Network Policy Server, oferece controle total sobre a infraestrutura. Para um único local de grande porte, como um estádio ou um hospital, essa pode ser a escolha certa. As solicitações de autenticação trafegam pela rede local, proporcionando tempos de resposta inferiores a um milissegundo. E se o seu diretório de identidade for um Active Directory local que não pode ser exposto à internet por motivos de conformidade, um servidor RADIUS on-premises costuma ser sua única opção viável.

No entanto, para organizações com várias filiais, o RADIUS on-premises gera uma sobrecarga operacional significativa. Você precisa gerenciar instâncias de servidores separadas em cada local, lidar com renovações de certificados manualmente e arcar com as consequências quando algo dá errado às duas da manhã.

O Cloud RADIUS muda isso completamente. A infraestrutura é hospedada globalmente em várias zonas de disponibilidade. Quando um usuário se conecta em uma filial, a solicitação é roteada para o nó de borda de nuvem mais próximo. A alta disponibilidade é integrada por padrão. E a rotação de certificados é automatizada, eliminando a causa mais comum de interrupções de autenticação em implantações locais.

Para organizações com várias filiais que utilizam provedores de identidade nativos da nuvem, como Microsoft Entra ID, Okta ou Google Workspace, o Cloud RADIUS é quase sempre a escolha operacionalmente superior. O Cloud RADIUS da Purple se integra diretamente com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Isso significa que você pode implantar em todo o seu parque de hardware sem substituir um único ponto de acesso.

Deixe-me compartilhar dois cenários do mundo real para tornar isso concreto.

O primeiro é um grupo hoteleiro europeu com 45 propriedades em seis países. A equipe de TI executava o FreeRADIUS em máquinas virtuais em cada propriedade — 45 instâncias separadas para aplicar patches, monitorar e manter. Quando um certificado expirou em uma das propriedades, causou uma queda total do WiFi dos hóspedes durante uma grande conferência. Eles migraram para um serviço de Cloud RADIUS, centralizando o gerenciamento de políticas e eliminando a manutenção por local. A equipe de três engenheiros recuperou cerca de 40% do tempo anteriormente gasto na manutenção do RADIUS.

O segundo cenário é um estádio nacional de esportes com 68.000 assentos. A equipe de TI tinha requisitos rigorosos de soberania de dados. Todos os logs de autenticação precisavam permanecer em solo do Reino Unido. Eles implantaram um cluster RADIUS on-premises duplo em configuração ativo-ativo, com um cluster secundário em uma instalação de co-location a 20 milhas de distância. Isso lhes deu controle local, autenticação inferior a um milissegundo e a capacidade de lidar com picos de tráfego sem depender de conectividade com a internet.

Estes dois cenários ilustram o modelo de decisão claramente. Escolha o Cloud RADIUS quando tiver uma infraestrutura distribuída em vários locais, provedores de identidade nativos em nuvem e uma equipe de TI central reduzida. Escolha on-premises quando tiver um único local de grande porte com requisitos rigorosos de soberania de dados ou um ambiente de segurança isolado (air-gapped).

Agora, algumas perguntas rápidas que ouvimos com mais frequência.

Primeira: qual é a diferença entre um servidor RADIUS e um Captive Portal? Um Captive Portal é a página de login que os visitantes veem ao se conectar. Ele funciona com o RADIUS. O portal é a interface do usuário; o servidor RADIUS é o mecanismo de back-end.

Segunda: posso usar RADIUS para redes cabeadas? Com certeza. O padrão 802.1X se aplica igualmente a redes Ethernet cabeadas e redes sem fio.

Terceira: o que acontece se o meu provedor de Cloud RADIUS tiver uma interrupção? Provedores de boa reputação publicam acordos de nível de serviço com 99,99% de tempo de atividade (uptime), apoiados por redundância multirregião. Sempre configure seus pontos de acesso com uma política de contingência (fallback), seja acesso aberto a uma VLAN restrita ou credenciais armazenadas localmente em cache, para lidar com a situação de forma amigável.

Quarta: como o RADIUS interage com o WiFi de visitantes? Para estabelecimentos que oferecem WiFi a visitantes, integrar a infraestrutura do seu servidor RADIUS com uma solução de Captive Portal cria um modelo de acesso em camadas. Dispositivos corporativos e de funcionários autenticam-se de forma silenciosa via 802.1X, enquanto os visitantes são direcionados para um portal personalizado para integração. A plataforma da Purple captura dados primários (first-party) e fornece análises sobre o comportamento dos visitantes, transformando sua rede de um centro de custo em um ativo de inteligência de negócios.

Resumindo. O servidor RADIUS é o protocolo centralizado que potencializa a segurança do WiFi corporativo. Ele implementa a estrutura AAA para oferecer controle granular sobre quem pode acessar sua rede, o que podem fazer e um histórico completo de auditoria de suas atividades. Para operadoras de locais, hoteleiros, varejistas e organizações do setor público, implantar um servidor RADIUS é o passo fundamental para construir uma infraestrutura de WiFi segura, em conformidade e gerenciada profissionalmente.

Seu próximo passo é claro. Se você ainda usa chaves pré-compartilhadas, comece a planejar sua migração hoje mesmo. Analise seu hardware atual quanto ao suporte ao WPA3-Enterprise, avalie suas opções de integração de diretório de identidade e explore uma plataforma de Cloud RADIUS que possa escalar com sua organização.

Para mais guias técnicos e recursos de implementação, visite-nos em purple.ai. Até a próxima, continue seguro.

Principais conclusões

✓O servidor RADIUS é o padrão do setor para controle de acesso à rede corporativa, substituindo chaves pré-compartilhadas inseguras por autenticação baseada em identidade por meio do framework AAA.
✓A atribuição dinâmica de VLAN é o mecanismo que impõe a segmentação de rede - um controle obrigatório para a conformidade com o PCI DSS em ambientes de varejo e hospitalidade.
✓O EAP-TLS é o método de autenticação padrão ouro, eliminando totalmente as senhas por meio da validação mútua de certificados entre cliente e servidor.
✓O Cloud RADIUS é operacionalmente superior para locais com múltiplas unidades e equipes de TI centrais pequenas, oferecendo rotação automatizada de certificados, alta disponibilidade integrada e gerenciamento centralizado de políticas.
✓O servidor RADIUS local (on-premises) continua sendo a escolha correta para locais únicos de grande porte com requisitos de soberania de dados, ambientes isolados (air-gapped) ou diretórios locais legados.
✓A expiração de certificados é a principal causa de interrupções no RADIUS local - configure alertas de monitoramento em 60 dias, 30 dias e 7 dias antes do vencimento.
✓O Cloud RADIUS da Purple se integra com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet em mais de 80.000 locais ativos com 99,999% de uptime.

Resumo executivo

Para gerentes de TI, arquitetos de rede e CTOs que operam nos setores de hospitalidade , varejo , transporte e grandes locais públicos, garantir a segurança do acesso sem fio é um requisito operacional essencial - não uma atualização opcional. Depender de uma chave pré-compartilhada (PSK) para acesso WiFi é uma vulnerabilidade de segurança significativa. Uma única credencial comprometida expõe toda a rede, e a revogação do acesso exige a alteração da senha de todos os dispositivos instalados. A implementação da autenticação 802.1X por meio de uma arquitetura de servidor RADIUS (Remote Authentication Dial-In User Service) elimina esse problema. Cada usuário se autentica individualmente, o acesso pode ser revogado instantaneamente e a segmentação de rede é aplicada dinamicamente.

O servidor RADIUS implementa o modelo AAA: Autenticação, Autorização e Contabilização (Accounting). Ele valida identidades em diretórios como Microsoft Entra ID, Okta ou Google Workspace, atribui os usuários ao segmento de rede correto por meio de atribuição dinâmica de VLAN e mantém uma trilha de auditoria detalhada para cada sessão. Para organizações sujeitas a PCI DSS, GDPR ou Cyber Essentials, essa trilha de auditoria não é opcional. É um requisito rígido de conformidade. O servidor Cloud RADIUS da Purple protege os dispositivos corporativos e de funcionários por meio de autenticação 802.1X baseada em certificados, integrando-se com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet em mais de 80.000 locais ativos.

Detalhamento técnico: arquitetura do servidor RADIUS

O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta (PNAC). Em um contexto sem fio, ele envolve três funções principais que trabalham em conjunto para proteger a borda da rede.

Função	Componente	Responsabilidade
Suplicante (Supplicant)	Dispositivo cliente (laptop, smartphone)	Apresenta credenciais para solicitar acesso à rede
Autenticador	Ponto de acesso WiFi ou controladora	Aplica o controle de acesso; retransmite mensagens EAP
Servidor de autenticação	Servidor RADIUS	Valida as credenciais; retorna aceitação ou rejeição e atributos de política

Quando um suplicante se associa a um ponto de acesso, o AP bloqueia todo o tráfego de dados, exceto as mensagens do Protocolo de Autenticação Extensível (EAP). O AP encapsula essas mensagens EAP em pacotes RADIUS e as encaminha para o servidor RADIUS pela porta UDP 1812. O servidor verifica as credenciais em um diretório de backend e retorna uma mensagem de Access-Accept ou Access-Reject. Se aceito, o AP desbloqueia a porta e o tráfego do cliente flui livremente.

O framework AAA na prática

Autenticação é o primeiro pilar: verificar quem alguém é. Quando um dispositivo se conecta a um SSID WPA3-Enterprise, o server RADIUS verifica as credenciais ou o certificado apresentado em relação à fonte de identidade configurada. O Microsoft Entra ID, Okta e Google Workspace são os provedores de identidade em nuvem canônicos que se integram diretamente com as plataformas modernas de Cloud RADIUS.

Autorização é o segundo pilar: determinar o que o usuário autenticado pode fazer. O server RADIUS retorna atributos RADIUS para o ponto de acesso, sendo o mais crítico o ID da VLAN. Um membro da equipe financeira entra na VLAN 10 com acesso aos sistemas internos. Um prestador de serviços entra na VLAN 20 com acesso apenas à internet. Um visitante entra na VLAN 30, isolado de todos os recursos corporativos. Essa atribuição dinâmica de VLAN é o mecanismo que possibilita a segmentação de rede adequada - um controle obrigatório para a conformidade com o PCI DSS em ambientes de varejo .

Contabilização (Accounting) é o terceiro pilar: registrar o que realmente aconteceu. O server RADIUS registra os horários de início e término das sessões, a duração das sessões, os dados transferidos e o endereço MAC de cada dispositivo. De acordo com o PCI DSS v4.0, esse registro é um requisito obrigatório. No caso de um incidente de segurança, esses logs são a base de qualquer investigação forense.

Seleção do método EAP

A segurança da implantação do seu server RADIUS depende muito do método EAP selecionado. Os três métodos mais comuns em WiFi corporativo são PEAP, EAP-TTLS e EAP-TLS.

PEAP-MSCHAPv2 é o método mais amplamente implantado. Ele cria um túnel TLS criptografado usando um certificado do lado do servidor, dentro do qual o usuário se autentica com um nome de usuário e senha. É relativamente simples de implantar porque você só precisa gerenciar um certificado - o do servidor. No entanto, se os dispositivos clientes não forem configurados explicitamente para validar o certificado do servidor, eles estarão vulneráveis a ataques de pontos de acesso falsos (rogue access points). Um invasor pode apresentar um certificado fraudulento e capturar credenciais. Essa é uma ameaça real documentada, não teórica. Imponha uma validação rigorosa de certificados via Group Policy Objects ou perfis de MDM sem exceção.

EAP-TLS é o padrão ouro. Ele exige certificados digitais tanto no server RADIUS quanto em cada dispositivo cliente, eliminando totalmente as senhas. Mesmo que um invasor capture toda a troca de autenticação, não há credenciais para extrair. A contrapartida é a sobrecarga administrativa: implantar e gerenciar certificados de cliente exige uma Infraestrutura de Chaves Públicas (ICP/PKI) e uma plataforma de MDM, como o Microsoft Intune ou o Jamf. Para dispositivos corporativos, o EAP-TLS é o método de autenticação que você deve buscar. O Cloud RADIUS da Purple suporta o EAP-TLS nativamente, com gerenciamento automatizado do ciclo de vida dos certificados.

Guia de implementação: nuvem vs local (on-premises)

Ao implantar uma arquitetura de servidor RADIUS, as equipes de TI devem escolher entre a implantação hospedada na nuvem e local. Esta é a decisão arquitetônica mais consequente do projeto.

O RADIUS local (on-premises), usando plataformas como FreeRADIUS ou Microsoft Network Policy Server (NPS), oferece controle total sobre a infraestrutura. Para um único local de grande porte - um estádio, um hospital ou uma instalação governamental - essa pode ser a escolha certa. As solicitações de autenticação trafegam pela LAN local, oferecendo tempos de resposta inferiores a um milissegundo. Se o seu diretório de identidade for um Active Directory local que não pode ser exposto à internet por motivos de soberania de dados, um servidor RADIUS local costuma ser sua única opção viável.

No entanto, para organizações com várias filiais, o RADIUS local introduz uma sobrecarga operacional significativa. Você gerencia instâncias de servidor separadas em cada local, lidando com renovações de certificados manualmente e respondendo a interrupções às duas da manhã quando um certificado expira. Para uma rede de varejo com 50 locais, isso significa 50 instâncias RADIUS separadas para corrigir, monitorar e manter.

O Cloud RADIUS muda isso completamente. A infraestrutura é hospedada globalmente em várias zonas de disponibilidade. Quando um usuário se conecta em uma filial, a solicitação é roteada para o nó de borda de nuvem mais próximo. A alta disponibilidade é integrada por padrão. A rotação de certificados é automatizada, eliminando a causa única mais comum de interrupções de autenticação em implantações locais. Para organizações com várias filiais e provedores de identidade nativos da nuvem, como Microsoft Entra ID, Okta ou Google Workspace, o Cloud RADIUS é quase sempre a escolha operacionalmente superior.

O Cloud RADIUS da Purple integra-se diretamente com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Você faz a implantação em todo o seu parque de hardware sem substituir um único ponto de acesso.

Implantação passo a passo

Passo 1: Escolha seu modelo de implantação. Avalie três fatores: seu provedor de identidade atual e se ele é nativo da nuvem; a resiliência da sua WAN em cada site; e a capacidade da sua equipe para gerenciar a manutenção contínua. Esses três fatores determinam se a nuvem ou o modelo local é o caminho certo.

Passo 2: Integre sua fonte de identidade. Conecte seu servidor RADIUS ao diretório de identidade da sua organização. A maioria das plataformas Cloud RADIUS oferece suporte à integração direta com Microsoft Entra ID, Okta e Google Workspace via LDAP ou SAML. Para o Active Directory local, use LDAP por meio de um conector seguro.

Passo 3: Configure o hardware da sua rede. Crie um novo SSID configurado para WPA2-Enterprise ou WPA3-Enterprise e aponte-o para o seu servidor RADIUS. Configure o segredo compartilhado (shared secret) - a senha que criptografa a comunicação entre o ponto de acesso e o servidor RADIUS. Esse segredo compartilhado deve ser exatamente igual em ambos os lados. Uma divergência é uma das causas mais comuns de falhas de autenticação durante a implantação inicial.

Passo 4: Defina políticas de autorização. Mapeie os grupos de usuários do seu diretório de identidade para as políticas de rede. A equipe obtém acesso total na VLAN 10. Os visitantes obtêm acesso apenas à internet na VLAN 20. Os dispositivos IoT recebem uma VLAN restrita com regras de firewall que bloqueiam o movimento lateral.

Passo 5: Faça a integração (onboarding) dos seus usuários. Para a equipe corporativa, implante perfis de WiFi por meio da sua plataforma MDM. Para visitantes, use um Captive Portal. A plataforma de Guest WiFi da Purple automatiza o fluxo de integração de visitantes, oferecendo suporte a login social, formulários de registro e códigos de voucher. Os dispositivos da equipe e corporativos autenticam-se silenciosamente via 802.1X, enquanto os visitantes são direcionados para um portal personalizado - um modelo de acesso em níveis que oferece segurança e WiFi Analytics .

Para uma análise mais detalhada da arquitetura de SSID em redes de visitantes, funcionários e IoT, consulte Três SSIDs para a todos governar: visitante, Passpoint e IoT WiFi .

Melhores práticas

Exija validação rigorosa de certificados em todos os dispositivos clientes. Use Objetos de Diretiva de Grupo (GPO) para dispositivos Windows e perfis MDM para macOS e dispositivos móveis. O perfil deve especificar exatamente em qual Autoridade de Certificação confiar e qual é o nome do servidor esperado. Não deixe que o usuário configure isso manualmente. A falha em aplicar essa validação é o principal vetor de ataque para roubo de credenciais em implantações PEAP.

Implante pelo menos duas instâncias de servidor RADIUS. Configure todos os pontos de acesso para fazer failover para o secundário caso o primário fique inacessível. Para o Cloud RADIUS, essa redundância é integrada e gerenciada pelo provedor. Para ambientes locais (on-premises), implante um cluster ativo-ativo em dois locais geograficamente separados.

Use MAC Authentication Bypass (MAB) para dispositivos IoT sem interface gráfica (headless). Impressoras, sensores e sinalização digital não conseguem apresentar credenciais 802.1X. O MAB permite a autenticação com base no endereço MAC. Como os endereços MAC são facilmente clonados, sempre associe dispositivos autenticados por MAB a uma VLAN restritiva e a regras de firewall que bloqueiem o acesso aos recursos corporativos.

Rotacione os segredos compartilhados regularmente. O segredo compartilhado entre os seus pontos de acesso e o seu servidor RADIUS deve ser longo, aleatório e rotacionado periodicamente. Um segredo compartilhado fraco ou padrão compromete toda a cadeia de autenticação.

Valide a segmentação com testes de penetração. A configuração por si só não é evidência. Contrate um teste de penetração que inclua explicitamente o ambiente sem fio e a validação da segmentação de VLAN. Um testador deve tentar ativamente acessar recursos corporativos a partir da VLAN de convidados e documentar que cada tentativa foi bloqueada. Essa é a evidência que o seu Assessor de Segurança Qualificado PCI DSS precisa.

Solução de problemas e mitigação de riscos

Os modos de falha mais comuns em implantações de servidor RADIUS enquadram-se em quatro categorias.

Incompatibilidade de segredo compartilhado. Se o segredo compartilhado configurado no ponto de acesso não corresponder ao segredo no servidor RADIUS, todas as tentativas de autenticação falharão silenciosamente. Sempre copie e cole segredos compartilhados em vez de digitá-los manualmente. Verifique a configuração em ambos os lados antes de testar.

Expiração de certificado. Em implantações locais, se o certificado do servidor expirar, todos os dispositivos de cliente rejeitarão a conexão. Isso causa uma interrupção completa da autenticação, sem degradação suave. Provedores de Cloud RADIUS automatizam a rotação de certificados, eliminando esse risco. Para implantações locais, configure alertas de monitoramento aos 60 dias, 30 dias e sete dias antes da expiração.

Validação de certificado de cliente não aplicada. Se os clientes PEAP não forem configurados para validar o certificado do servidor, eles se conectarão a qualquer servidor RADIUS que responder - incluindo pontos de acesso não autorizados. Force a validação de certificados via GPO ou perfis MDM em todos os dispositivos gerenciados.

Dependência de WAN para Cloud RADIUS. O Cloud RADIUS depende inteiramente do link WAN em cada local. Se a conexão com a internet cair, a autenticação falhará. Implemente uma estratégia de sobrevivência local: configure os pontos de acesso para armazenar credenciais em cache para funcionários críticos ou use SD-WAN para garantir a alta disponibilidade do link de internet. Sempre configure uma política de fallback - ou acesso aberto a uma VLAN restrita, ou credenciais armazenadas localmente em cache.

ROI e impacto de negócios

A implantação de uma arquitetura de servidor RADIUS transforma a rede sem fio de uma vulnerabilidade em um ativo seguro e gerenciado com benefícios operacionais mensuráveis.

Para um grupo hoteleiro europeu com 45 propriedades, a migração de 45 instâncias locais do FreeRADIUS para o Cloud RADIUS recuperou cerca de 40% do tempo de manutenção da equipe central de TI (dados internos da Purple). Essa é uma capacidade de engenharia redirecionada da manutenção básica para iniciativas estratégicas.

Para uma rede de varejo que se prepara para uma auditoria PCI DSS, a segmentação de rede adequada por meio de atribuição dinâmica de VLAN remove completamente a rede guest WiFi do escopo do Ambiente de Dados do Portador do Cartão. Plataformas como o Guest WiFi da Purple operam na VLAN voltada para convidados, completamente isoladas do tráfego de pagamento. A plataforma de análise fica fora do escopo do PCI, e a empresa mantém a liberdade de implantar ferramentas geradoras de receita - análise de convidados, programas de fidelidade, engajamento do cliente - com segurança e confiança.

Para organizações com mais de 10 locais e menos de cinco engenheiros de rede, a despesa operacional previsível do Cloud RADIUS normalmente proporciona um retorno sobre o investimento positivo em até 18 meses, em comparação com a manutenção de infraestrutura local (dados internos da Purple). A aquisição de hardware, energia, resfriamento e tempo de engenharia para implantações locais em escala superam consistentemente o custo de assinatura de um serviço gerenciado Cloud RADIUS.

A Purple opera em mais de 80.000 locais ativos com 99,999% de tempo de atividade, certificação ISO 27001, conformidade com GDPR e CCPA e certificação Cyber Essentials. Para equipes de TI que precisam demonstrar a devida diligência à sua diretoria ou auditores, essas certificações oferecem a validação de terceiros que uma implantação local autogerenciada não pode fornecer.

Para obter uma comparação detalhada do Cloud RADIUS da Purple com plataformas alternativas, consulte a comparação de recursos e de coimplantação do Aruba ClearPass vs. Purple WiFi .

Definições principais

Server RADIUS

Remote Authentication Dial-In User Service. Um servidor de protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA) para acesso à rede. Definido na RFC 2865 e estendido por RFCs subsequentes.

O mecanismo central que valida as credenciais do usuário em um diretório e dita as políticas de acesso à rede. Toda implantação de WiFi corporativo usando 802.1X requer um server RADIUS.

802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta que fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN. Define as funções de Supplicant, Authenticator e Authentication Server.

O padrão que os pontos de acesso usam para se comunicar com o servidor RADIUS. Sem o 802.1X, não há mecanismo para bloquear dispositivos não autenticados na borda da rede.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Um método de autenticação que exige certificados digitais tanto no dispositivo cliente quanto no servidor RADIUS. Fornece autenticação mútua sem a necessidade de senhas.

O padrão de ouro para autenticação de dispositivos corporativos. Elimina o roubo de credenciais e ataques de phishing. Requer uma infraestrutura PKI e uma plataforma MDM para implantar certificados de cliente em escala.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol com Microsoft Challenge Handshake Authentication Protocol versão 2. Usa um certificado TLS do lado do servidor para criar um túnel criptografado, dentro do qual o usuário se autentica com nome de usuário e senha.

O método de autenticação WiFi corporativo mais comum. Seguro apenas quando os clientes são configurados explicitamente para validar o certificado do servidor via GPO ou perfis MDM.

Atribuição dinâmica de VLAN

O processo pelo qual um servidor RADIUS instrui um ponto de acesso a colocar um usuário autenticado em uma Rede Local Virtual (VLAN) específica, com base em sua identidade e associação de grupo no diretório.

O mecanismo que impõe a segmentação de rede. Essencial para a conformidade com o PCI DSS no varejo e hotelaria. Permite que um único SSID atenda a funcionários, terceiros, convidados e dispositivos IoT em segmentos de rede separados.

Estrutura AAA

Autenticação, Autorização e Contabilização. A estrutura de três pilares implementada pelo servidor RADIUS para gerenciar o acesso à rede. A Autenticação verifica a identidade, a Autorização determina o nível de acesso e a Contabilização registra a atividade da sessão.

A base conceitual de todas as implantações de servidores RADIUS. O PCI DSS v4.0 exige que todos os três pilares sejam implementados para redes que processam dados de pagamento.

Supplicant

O dispositivo cliente (laptop, smartphone, sensor IoT) que solicita acesso à rede apresentando credenciais ou um certificado ao Authenticator.

O endpoint que deve responder ao desafio de autenticação do servidor RADIUS. Entender qual componente está falhando é a base para uma solução de problemas eficaz.

Captive Portal

Uma página web com a qual os usuários devem interagir antes de obter acesso a uma rede WiFi pública. Gerencia a experiência de integração voltada para o usuário, enquanto o servidor RADIUS gerencia a autenticação de back-end e a aplicação das políticas de sessão.

Usado para integração de convidados em ambientes de hotelaria, varejo e eventos. Funciona em conjunto com o servidor RADIUS – o portal é a interface do usuário, o servidor RADIUS é o motor de back-end.

MAC Authentication Bypass (MAB)

Um mecanismo que permite que dispositivos sem recursos 802.1X (impressoras, sensores IoT, sinalização digital) sejam autenticados com base em seu endereço MAC, em vez de credenciais ou certificados.

Necessário para dispositivos sem interface de usuário que não podem executar um supplicant 802.1X. Como os endereços MAC são facilmente forjados, os dispositivos autenticados por MAB devem sempre ser colocados em uma VLAN altamente restrita.

Segredo compartilhado

Uma senha que criptografa a comunicação entre um ponto de acesso (cliente RADIUS) e o servidor RADIUS. Deve ser configurada de forma idêntica em ambos os lados e alternada periodicamente.

Uma divergência no segredo compartilhado é uma das causas mais comuns de falhas de autenticação durante a implantação inicial. Sempre copie e cole em vez de digitar manualmente.

Exemplos práticos

Um hotel de 200 quartos precisa proteger os dispositivos da equipe via 802.1X, ao mesmo tempo que fornece acesso isolado de WiFi para hóspedes. O sistema de gestão de propriedade roda nos dispositivos da equipe e não deve ser acessível a partir da rede de hóspedes. O hotel faz parte de um grupo de 45 propriedades gerenciado por uma equipe central de TI de três pessoas.

Implante o Cloud RADIUS da Purple integrado ao Microsoft Entra ID. Configure um SSID para a equipe usando WPA3-Enterprise com EAP-TLS, implantando certificados de cliente em todos os dispositivos da equipe via Microsoft Intune. Configure o server RADIUS para atribuir dinamicamente os dispositivos da equipe à VLAN 10, que tem acesso ao sistema de gestão de propriedade e impressoras internas. Implante um SSID separado para hóspedes usando WPA2-Personal com um Captive Portal para integração, atribuído à VLAN 20 com acesso apenas à internet e regras de firewall rígidas bloqueando todo o tráfego para a VLAN 10. O Cloud RADIUS lida com todas as 45 propriedades a partir de um único painel de gerenciamento, com rotação automatizada de certificados eliminando a sobrecarga de manutenção por site que anteriormente consumia 40% do tempo da equipe.

Comentário do examinador: Este cenário ilustra o valor central do Cloud RADIUS para hospitalidade multi-site. O server RADIUS lida com a autenticação da equipe via EAP-TLS, fornecendo a segurança mais forte disponível para dispositivos que acessam sistemas operacionais confidenciais. O Captive Portal gerencia a integração de hóspedes separadamente, com o isolamento de VLAN garantindo que a rede de hóspedes permaneça fora do escopo do PCI DSS. O modelo de implantação em nuvem é o fator decisivo para uma equipe de três pessoas que gerencia 45 propriedades - a implantação local exigiria 45 instâncias separadas para manutenção.

Uma rede de varejo com 50 lojas está enfrentando interrupções frequentes de autenticação causadas por certificados expirados em seus servidores FreeRADIUS locais. Os tablets de PDV autenticam via 802.1X, e cada interrupção impede que a equipe processe pagamentos até que o certificado seja renovado manualmente. O diretor de TI deseja eliminar esse modo de falha antes do próximo período de pico de vendas.

Migre das 50 instâncias locais do FreeRADIUS para uma plataforma Cloud RADIUS centralizada. Integre o Cloud RADIUS ao diretório corporativo Okta. Atualize as configurações dos pontos de acesso em todas as 50 localidades para apontar para os novos endpoints do Cloud RADIUS. Configure a atribuição dinâmica de VLAN para colocar os tablets de PDV na VLAN 10 (rede de pagamento) e os dispositivos da equipe na VLAN 20 (rede corporativa). O provedor de nuvem lida com toda a rotação de certificados do servidor automaticamente. Valide a segmentação de VLAN entre a rede de pagamento e a rede de WiFi de hóspedes com um teste de intrusão antes do próximo ciclo de auditoria.

Comentário do examinador: A causa raiz das interrupções é o gerenciamento manual de certificados em 50 instâncias locais separadas - um risco operacional clássico para infraestruturas de TI de varejo distribuídas. O Cloud RADIUS elimina isso automatizando o gerenciamento do ciclo de vida dos certificados. A migração também centraliza o gerenciamento de políticas, o que significa que uma alteração de política é implantada em todas as 50 localidades simultaneamente, em vez de exigir atualizações manuais em cada site. A recomendação do teste de intrusão atende ao requisito do PCI DSS de validar a segmentação, e não apenas configurá-la.

Questões práticas

Q1. Um local de varejo está se preparando para uma auditoria PCI DSS v4.0. Atualmente, eles utilizam um único SSID com uma chave pré-compartilhada para os tablets PDV da equipe e para o acesso de visitantes. O Qualified Security Assessor sinalizou isso como uma descoberta crítica. Qual é a mudança arquitetônica imediata necessária e qual recurso de servidor RADIUS é central para a mitigação?

Dica: Foque na segmentação de rede e no recurso específico do RADIUS que a impõe dinamicamente.

Ver resposta modelo

O local deve implantar um servidor RADIUS para implementar a autenticação 802.1X e substituir a PSK compartilhada. O recurso central é a atribuição dinâmica de VLAN: o servidor RADIUS deve ser configurado para colocar os tablets PDV em uma VLAN de pagamento e os visitantes em uma VLAN isolada apenas para internet, com regras estritas de firewall impedindo qualquer tráfego entre elas. O SSID de visitantes deve usar um Captive Portal para integração. A segmentação deve ser validada com um teste de intrusão, e não apenas por revisão de configuração, para atender ao Requisito 11 do PCI DSS.

Q2. Uma empresa com 30 filiais está decidindo entre Cloud RADIUS e um servidor RADIUS local. Eles possuem uma pequena equipe central de TI com quatro engenheiros, usam Okta para gerenciamento de identidade e não têm requisitos de soberania de dados. Qual modelo de implantação é recomendado e qual é a principal justificativa operacional?

Dica: Avalie a sobrecarga de manutenção de gerenciar 30 instâncias separadas em comparação com um serviço em nuvem centralizado.

Ver resposta modelo

O Cloud RADIUS é fortemente recomendado. Com 30 locais e quatro engenheiros, implantar e manter 30 instâncias locais de servidor RADIUS consumiria uma parcela desproporcional da capacidade da equipe. O Cloud RADIUS integra-se nativamente com o Okta, automatiza a rotação de certificados e oferece alta disponibilidade integrada sem exigir que a equipe gerencie a infraestrutura subjacente. A ausência de requisitos de soberania de dados elimina a principal justificativa para a infraestrutura local. A equipe deve configurar os pontos de acesso com uma política de contingência (fallback) para lidar com a dependência de WAN de forma adequada.

Q3. Durante uma implantação de PEAP-MSCHAPv2, os usuários relatam avisos de certificado de segurança em seus dispositivos ao se conectarem ao SSID corporativo de Wi-Fi. Alguns usuários estão ignorando os avisos e se conectando mesmo assim. Qual é o risco de segurança e qual etapa de configuração foi ignorada?

Dica: Considere o que acontece quando um cliente não valida o certificado do servidor e como um invasor poderia explorar isso.

Ver resposta modelo

O risco de segurança é um ataque de ponto de acesso não autorizado (rogue access point). Sem a validação obrigatória do certificado, o dispositivo cliente se conectará a qualquer servidor RADIUS que responder – inclusive a um operado por um invasor. O invasor apresenta um certificado fraudulento, o usuário ignora o aviso e o invasor captura o nome de usuário e a senha dentro do túnel PEAP. A etapa de configuração ignorada foi a implantação de perfis de MDM (para macOS e dispositivos móveis) e Objetos de Diretiva de Grupo (GPO para Windows) que especificam explicitamente a Autoridade Certificadora confiável e o nome esperado do servidor. Os usuários nunca devem ter que tomar decisões de confiança de certificado manualmente.

Q4. Um estádio com 68.000 assentos precisa autenticar dispositivos de funcionários durante um grande evento em que 40.000 dispositivos podem tentar se conectar em uma janela de 30 minutos. A equipe de TI tem requisitos estritos de soberania de dados: todos os logs de autenticação devem permanecer em solo do Reino Unido. Qual modelo de implantação é recomendado e qual arquitetura específica atende aos requisitos de tráfego de pico?

Dica: Considere as vantagens de latência e taxa de transferência da autenticação local em comparação com requisições roteadas pela nuvem sob condições de pico.

Ver resposta modelo

O servidor RADIUS local (on-premises) é recomendado devido aos requisitos de soberania de dados e à carga extrema de pico de autenticação. A arquitetura recomendada é um cluster RADIUS local duplo em configuração ativo-ativo, com um cluster secundário em uma instalação de co-location no Reino Unido. A autenticação local oferece tempos de resposta inferiores a um milissegundo e elimina a dependência de WAN, que criaria um gargalo durante eventos de pico. O cluster ativo-ativo fornece redundância sem depender de conectividade com a internet. Os logs de autenticação permanecem em solo do Reino Unido, atendendo ao requisito de soberania de dados.

Continue a ler esta série

Aruba ClearPass vs. Purple WiFi: Comparando Recursos e Co-implantação

Um guia técnico abrangente detalhando a arquitetura de co-implantação do Aruba ClearPass e Purple WiFi. Ele aborda a configuração de proxy RADIUS, atribuição dinâmica de VLAN e melhores práticas para fornecer redes de convidados seguras e orientadas por análise de dados junto com o NAC corporativo.

Cisco ISE vs. Purple WiFi: Como eles se comparam e trabalham juntos

Este guia explica como o Cisco ISE e o Purple WiFi desempenham papéis distintos, porém complementares, em redes corporativas. Ele detalha como usar o Cisco ISE para acesso corporativo seguro 802.1X, enquanto aproveita o Purple para WiFi de convidados em conformidade com o GDPR, análise de marketing e integração com CRM.

EAP-TLS vs EAP-TTLS: Qual Protocolo de WiFi Baseado em Certificado Você Deve Escolher?

Este guia oferece uma comparação definitiva e direta entre EAP-TLS e EAP-TTLS para autenticação corporativa de WiFi sob a norma IEEE 802.1X. Ele explica a diferença de arquitetura entre a autenticação por certificado mútuo e o tunelamento de certificado apenas no servidor, fornecendo aos gerentes de TI, arquitetos de rede e CISOs uma estrutura de decisão clara com base nas capacidades de gerenciamento de dispositivos e requisitos de conformidade. A Purple oferece suporte a ambos os caminhos de autenticação EAP-TLS e EAP-TTLS para WiFi corporativo, e este guia ajuda as organizações a compreenderem as compensações de infraestrutura antes de se comprometerem com qualquer uma das abordagens.