Como Configurar um Servidor RADIUS para Autenticação WiFi

Este guia definitivo oferece aos líderes de TI e arquitetos de rede um blueprint abrangente para a implantação de um servidor RADIUS para autenticação WiFi corporativa. Ele aborda as compensações arquitetônicas entre implantações locais e hospedadas na nuvem, seleção de método EAP, integração com Active Directory e atribuição dinâmica de VLAN. Operadores de locais físicos e equipes de TI encontrarão etapas de implementação práticas, estudos de caso reais e estratégias de mitigação de risco para migrar de um ambiente PSK inseguro para uma infraestrutura 802.1X robusta ainda este trimestre.

📖 8 min de leitura📝 1,860 palavras🔧 2 exemplos práticos❓ 3 questões práticas📚 9 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo ao Informativo Técnico da Purple. Hoje estamos abordando uma decisão de infraestrutura crítica para qualquer líder de TI corporativo: como configurar um servidor RADIUS para autenticação WiFi. Se você está gerenciando uma implantação em larga escala — seja uma rede de hotéis, uma rede de varejo ou um campus universitário em expansão — confiar em uma chave pré-compartilhada simples é um risco de segurança significativo. Nós precisamos do 802.1X, e isso significa que precisamos do RADIUS.

Vamos começar pelo contexto. O RADIUS, ou Remote Authentication Dial-In User Service, atua como o guardião da sua rede. Quando um dispositivo tenta se conectar a um ponto de acesso WiFi, o ponto de acesso atua como um autenticador e encaminha as credenciais para o servidor RADIUS. O servidor verifica essas credenciais em um diretório — como o Active Directory ou um banco de dados LDAP — e depois retorna uma mensagem de aceitação ou rejeição. Ele é a base da segurança WiFi corporativa e é o mecanismo que permite aplicar políticas de acesso granulares em escala.

Agora vamos entrar na análise técnica detalhada. A primeira grande decisão arquitetônica que você enfrentará é escolher entre um servidor RADIUS on-premise e uma solução hospedada na nuvem. Historicamente, as soluções on-premise, como o Network Policy Server (NPS) da Microsoft, ou o FreeRADIUS de código aberto, eram o padrão. Elas oferecem controle total sobre a infraestrutura e não dependem de uma conexão de internet externa para autenticação. No entanto, exigem hardware dedicado, manutenção contínua e configuração manual de redundância. Se você tem um único data center e uma equipe de TI bem estruturada, esta é uma abordagem perfeitamente válida.

Por outro lado, as soluções de RADIUS na nuvem tornaram-se cada vez mais populares, especialmente para ambientes distribuídos, como redes de varejo ou locais de hospitalidade. O RADIUS na nuvem abstrai totalmente o gerenciamento de hardware, oferece alta disponibilidade integrada e se integra perfeitamente com provedores de identidade na nuvem, como o Azure Active Directory ou Okta. O ponto de compensação é que a autenticação requer uma conexão de internet confiável e há um custo de assinatura contínuo. Para um operador de locais que gerencia cinquenta ou cem pontos, a economia operacional por não implantar e manter servidores on-premise em cada local certamente superará esse custo.

Ao implantar o RADIUS, o Extensible Authentication Protocol — EAP — é a peça fundamental. Ele define como o cliente e o servidor negociam e realizam a autenticação. O EAP-TLS é o padrão ouro de segurança porque utiliza certificados digitais tanto no cliente quanto no servidor, eliminando completamente a necessidade de senhas. Isso significa que, mesmo que um invasor capture a troca de autenticação, não há credenciais para roubar. No entanto, a implantação de certificados de cliente pode ser administrativamente complexa. Você precisa de uma Infraestrutura de Chaves Públicas e de uma solução de MDM para distribuir os certificados para cada dispositivo.

PEAP-MSCHAPv2 é a alternativa mais comum. Ele utiliza um certificado do lado do servidor para estabelecer um túnel TLS criptografado, dentro do qual o usuário se autentica com um nome de usuário e senha. Isso é significativamente mais fácil de implantar do que o EAP-TLS porque você só precisa gerenciar um único certificado — o do servidor. No entanto, e isso é crucial — se os clientes não estiverem configurados rigidamente para validar o certificado do servidor, eles estarão vulneráveis a pontos de acesso falsos (rogue access points). Um invasor pode criar um ponto de acesso falso, apresentar um certificado fraudulento e capturar credenciais. Este não é um ataque teórico. É uma ameaça real e bem documentada.

Vamos falar sobre recomendações de implementação e armadilhas. A primeira recomendação é impor uma validação rígida de certificado em cada dispositivo cliente. Use Objetos de Diretiva de Grupo (GPO) para dispositivos Windows e perfis de MDM — seja Intune, Jamf ou outra solução — para macOS e dispositivos móveis. O perfil deve especificar exatamente em qual Autoridade Certificadora confiar e qual é o nome esperado do servidor. Não deixe isso para o usuário final configurar manualmente.

A segunda recomendação é implementar a atribuição dinâmica de VLAN. Em vez de colocar todos os usuários autenticados na mesma rede plana, configure o servidor RADIUS para instruir o ponto de acesso a colocar o usuário em uma VLAN específica com base em sua associação de grupo no diretório. Isso é essencial para segmentar dispositivos corporativos de dispositivos BYOD ou de convidados. Um membro da equipe financeira deve estar em um segmento de rede diferente de um prestador de serviços que está visitando pelo dia.

A terceira recomendação diz respeito ao acesso de convidados. Para locais que precisam fornecer WiFi a visitantes — hotéis, lojas de varejo, centros de conferências — integrar sua infraestrutura RADIUS com uma solução de Captive Portal como a plataforma de Guest WiFi da Purple é uma combinação poderosa. A equipe e os dispositivos corporativos se autenticam silenciosamente via 802.1X, enquanto os convidados são direcionados para um portal personalizado para autenticação. A plataforma da Purple captura dados proprietários (first-party data) e fornece análises sobre o comportamento dos visitantes, transformando sua rede de um centro de custo em um ativo de inteligência de negócios.

Agora, uma rápida sessão de perguntas e respostas. Primeira pergunta: Preciso de um servidor dedicado para RADIUS? Para implantações on-premise, sim, é altamente recomendável executá-lo em uma máquina virtual dedicada, em vez de compartilhar recursos com um controlador de domínio. A autenticação é uma operação sensível à latência, e a disputa por recursos pode causar falhas intermitentes que são muito difíceis de diagnosticar. Segunda pergunta: O RADIUS pode lidar com a autenticação de dispositivos headless, como impressoras ou sensores de IoT? Sim, por meio do MAC Authentication Bypass, ou MAB. Isso permite que dispositivos sem recursos 802.1X sejam autenticados com base em seu endereço MAC. No entanto, como os endereços MAC são facilmente forjados, os dispositivos autenticados por MAB devem sempre ser colocados em uma VLAN altamente restrita. Terceira pergunta: Como faço para lidar com a redundância do servidor RADIUS? Sempre implante pelo menos dois servidores RADIUS — um primário e um secundário. Configure todos os pontos de acesso para fazer failover para o secundário se o primário ficar inacessível. Para RADIUS em nuvem, essa redundância geralmente é integrada e gerenciada pelo provedor.

Para resumir os principais pontos da apresentação de hoje. Chaves pré-compartilhadas não são aceitáveis para WiFi empresarial. Implemente o 802.1X. Escolha seu modelo de implantação — on-premise ou nuvem — com base em seus recursos de TI, no número de locais que você está gerenciando e em sua infraestrutura de identidade existente. Se você for distribuído e focado primeiro na nuvem, o RADIUS em nuvem é quase certamente a resposta certa. Imponha uma validação de certificado rigorosa nos clientes. Isso é inegociável. Use a atribuição dinâmica de VLAN para segmentar sua rede. E, finalmente, considere como sua infraestrutura de autenticação pode se integrar com plataformas mais amplas para fornecer valor comercial além de simplesmente controlar o acesso.

Para leituras adicionais, recomendamos explorar os guias da Purple sobre a configuração de autenticação WiFi 802.1X e a segurança de sua rede com políticas de DNS robustas. Obrigado por ouvir.

Principais conclusões

✓As Chaves Pré-Compartilhadas (PSK) não são aceitáveis para WiFi corporativo: uma única credencial comprometida expõe toda a rede. O padrão de mercado é o 802.1X com RADIUS.
✓A arquitetura 802.1X possui três funções: Suplicante (cliente), Autenticador (ponto de acesso) e Servidor de Autenticação (RADIUS). Compreender qual componente está falhando é a base para uma resolução de problemas eficaz.
✓Escolha o Cloud RADIUS para ambientes distribuídos com equipe de TI limitada nas filiais; escolha o RADIUS Local quando precisar de controle máximo, tiver recursos de TI dedicados e requisitos rígidos de soberania de dados.
✓O PEAP-MSCHAPv2 é o método de implantação mais comum, mas só é seguro quando os clientes são configurados explicitamente para validar o certificado do servidor RADIUS — force isso via GPO ou MDM, sem exceção.
✓A Atribuição Dinâmica de VLAN é essencial para a segmentação de rede: ela permite que um único SSID atenda funcionários, prestadores de serviço, convidados e dispositivos IoT em segmentos de rede separados, aplicados automaticamente com base na associação de grupo de diretório.
✓O MAC Authentication Bypass (MAB) fornece identificação de dispositivo para dispositivos IoT sem interface gráfica, mas não é um controle de segurança — sempre combine-o com atribuição de VLAN restritiva e regras de firewall.
✓Para operadores de locais físicos, combinar 802.1X para funcionários com uma solução de Captive Portal como a Purple para convidados cria um modelo de acesso em níveis que entrega segurança e inteligência de negócios a partir da mesma infraestrutura sem fio.

Executive Summary

For enterprise environments — whether a sprawling university campus, a high-density stadium, or a distributed retail chain — relying on a Pre-Shared Key (PSK) for WiFi access is a significant security liability. A single compromised credential exposes the entire network, and revoking access requires changing the password for every device on the estate. Implementing 802.1X authentication via a RADIUS (Remote Authentication Dial-In User Service) server eliminates this problem entirely: each user authenticates individually, access can be revoked instantly, and network segmentation is enforced dynamically.

This guide provides a definitive roadmap for IT managers and network architects to deploy RADIUS authentication. We cover the architectural trade-offs between on-premise and cloud-hosted deployments, the configuration of Extensible Authentication Protocol (EAP) methods, and the integration with directory services like Active Directory. We also demonstrate how a robust authentication layer integrates with Guest WiFi solutions to provide seamless access for visitors, while capturing the WiFi Analytics that turn your network into a business intelligence asset.

Technical Deep-Dive

The 802.1X Architecture

The IEEE 802.1X standard defines port-based Network Access Control (PNAC). In a wireless context, it involves three primary roles working in concert:

Role	Component	Responsibility
Supplicant	Client device (laptop, smartphone)	Presents credentials to request network access
Authenticator	WiFi Access Point or Controller	Enforces access control; relays EAP messages
Authentication Server	RADIUS Server	Validates credentials; returns accept/reject and policy attributes

When a supplicant associates with an access point, the AP blocks all data traffic except EAP (Extensible Authentication Protocol) messages. The AP encapsulates these EAP messages in RADIUS packets and forwards them to the RADIUS server. The server verifies the credentials against a backend database — typically LDAP or Active Directory — and returns an Access-Accept or Access-Reject message. If accepted, the AP unblocks the port and the client's traffic flows freely.

Choosing an EAP Method

The security of your RADIUS deployment depends heavily on the EAP method selected. The two most prevalent in enterprise deployments are:

EAP-TLS (Transport Layer Security) is the gold standard. It requires digital certificates on both the RADIUS server and every client device, eliminating passwords entirely. Even if an attacker captures the full authentication exchange, there are no credentials to extract. The trade-off is administrative overhead: deploying and managing client certificates requires a functioning Public Key Infrastructure (PKI) and an MDM solution (e.g., Microsoft Intune, Jamf) to distribute certificates to endpoints.

PEAP-MSCHAPv2 (Protected EAP) is the most widely deployed method in practice. It uses a server-side certificate to establish an encrypted TLS tunnel, inside which the client authenticates with a username and password. This is significantly easier to deploy than EAP-TLS because only one certificate — the server's — needs to be managed. However, it carries a critical caveat: if client devices are not explicitly configured to validate the RADIUS server's certificate, they are vulnerable to Man-in-the-Middle (MitM) attacks via rogue access points.

> Critical Security Note: Failing to enforce strict certificate validation on client devices effectively nullifies the security benefits of PEAP-MSCHAPv2. An attacker can deploy a rogue AP, present a fraudulent certificate, and capture user credentials in plaintext. This is not a theoretical risk — it is a well-documented attack vector that has been exploited in real-world environments.

Implementation Guide

Step 1: Architectural Decision — On-Premise vs. Cloud RADIUS

The first decision is where to host the RADIUS infrastructure. This is primarily an operational and cost question, not a security one — both models can be deployed securely.

On-Premise RADIUS (e.g., Microsoft NPS, FreeRADIUS, Cisco ISE) is suited for organisations with dedicated IT staff, existing on-premise directory infrastructure, and stringent data sovereignty or compliance requirements. It does not depend on internet connectivity for authentication, which is a meaningful advantage for environments where internet uptime cannot be guaranteed.

Cloud RADIUS is increasingly the preferred model for distributed environments — Retail chains, Hospitality groups, and Transport hubs where deploying servers at every location is operationally impractical. Cloud RADIUS integrates natively with cloud identity providers (Azure AD, Google Workspace, Okta) and provides built-in high availability and global scalability.

Step 2: Install and Configure the RADIUS Server

For an on-premise deployment using Microsoft NPS (the most common choice in Windows-centric environments):

Install the Network Policy Server role via Server Manager.
Register the NPS server in Active Directory to allow it to read user dial-in properties.
Create a RADIUS Client entry for each access point or wireless controller, specifying the AP's IP address and a strong, unique Shared Secret.
Configure a Network Policy defining the conditions (e.g., user group membership) and constraints (e.g., EAP method, session timeout) for access.
Configure the Connection Request Policy to process requests locally.

For FreeRADIUS on Linux:

Install via package manager: sudo apt-get install freeradius freeradius-ldap.
Configure /etc/freeradius/3.0/clients.conf to define RADIUS clients (APs) and their shared secrets.
Configure the LDAP module in /etc/freeradius/3.0/mods-available/ldap to point to your Active Directory or LDAP server.
Enable the LDAP module: sudo ln -s /etc/freeradius/3.0/mods-available/ldap /etc/freeradius/3.0/mods-enabled/.
Define EAP methods in /etc/freeradius/3.0/mods-available/eap.

Step 3: Configure Access Points

On your wireless controller or individual access points:

Define the RADIUS server IP address(es) and authentication port (default: UDP 1812).
Configure the Shared Secret — use a minimum of 22 characters, mixing alphanumeric and special characters. Use a unique secret per location or AP group.
Configure the SSID to use WPA2-Enterprise or WPA3-Enterprise security mode with 802.1X key management.
Configure a secondary RADIUS server for failover.

Step 4: Directory Integration

For on-premise AD integration, the RADIUS server must be joined to the domain or have LDAP read access. Ensure service accounts used for LDAP binding have the minimum required permissions. For cloud RADIUS, configure the API-based synchronization or SAML/OIDC integration with your IdP.

Define clear user groups in your directory, as these will drive authorization policies. Recommended group structure:

Group	VLAN	Access Level
`Corp_Staff`	VLAN 10	Full internal network
`Corp_Contractors`	VLAN 20	Internet + specific internal resources
`Corp_IoT`	VLAN 30	Isolated, device-specific ports only
`Corp_Guests`	VLAN 100	Internet only via captive portal

Step 5: Client Configuration and Certificate Validation

This is the most operationally critical step. Use Group Policy (GPO) for Windows and MDM profiles for macOS/iOS/Android to push WiFi configurations silently to managed devices. The profile must specify:

The Root CA that issued the RADIUS server's certificate.
The expected server name (CN or SAN of the server certificate).
The EAP method and inner authentication protocol.

For unmanaged BYOD devices, provide clear self-service onboarding instructions, ideally via a Network Access Control (NAC) portal.

Step 6: Implement Dynamic VLAN Assignment

Configure the RADIUS server to return VLAN assignment attributes in the Access-Accept response:

Tunnel-Type = VLAN (13)
Tunnel-Medium-Type = IEEE-802 (6)
Tunnel-Private-Group-Id = ``

The access point reads these attributes and places the authenticated client on the specified VLAN — no manual reconfiguration required as users change roles or locations.

Best Practices

Redundancy is non-negotiable. Deploy a minimum of two RADIUS servers (primary and secondary) and configure all access points to fail over automatically. For on-premise deployments, consider placing the secondary server in a different physical location or availability zone. A RADIUS outage means nobody can authenticate, which is a complete network outage for 802.1X-protected SSIDs.

Monitor certificate expiry proactively. A RADIUS server certificate expiry is one of the most common causes of sudden, widespread authentication failures. Implement monitoring to alert administrators at least 30 days before expiry. This applies to both the server certificate and any intermediate CA certificates in the chain.

Treat the Shared Secret as a critical credential. The shared secret between the AP and the RADIUS server encrypts RADIUS packets. Use unique secrets per location or AP group, store them in a secrets manager, and rotate them periodically. See our guide on Protect Your Network with Strong DNS and Security for broader network security hygiene recommendations.

Align with compliance frameworks. For environments subject to PCI DSS (e.g., retail payment networks), 802.1X authentication directly supports requirements for network access control and audit logging. For GDPR compliance, RADIUS accounting logs (port 1813) provide a detailed audit trail of who accessed the network, from where, and when — valuable for incident response. For Healthcare environments, network segmentation via dynamic VLAN assignment supports HIPAA requirements for protecting electronic protected health information (ePHI).

Troubleshooting & Risk Mitigation

Failure Mode	Symptom	Resolution
Certificate expiry	Sudden mass authentication failures	Monitor expiry; renew and redeploy certificate
NTP desynchronisation	Intermittent EAP-TLS failures	Ensure RADIUS server and DCs sync to same NTP source
LDAP connectivity loss	Authentication fails when AD is unreachable	Deploy redundant DCs; configure RADIUS to cache recent authentications
Incorrect Shared Secret	AP logs show `RADIUS timeout` or `Bad authenticator`	Verify secret matches on both AP and RADIUS server
Client certificate mismatch	EAP-TLS failures for specific devices	Verify client cert is issued by trusted CA; check cert validity period
VLAN not assigned	User authenticated but on wrong network segment	Verify RADIUS attributes are correctly returned; check AP VLAN configuration

For a deeper dive into the 802.1X configuration process itself, the How to Configure 802.1X WiFi Authentication: A Step-by-Step Guide provides granular, vendor-specific configuration walkthroughs.

ROI & Business Impact

Transitioning from PSK to RADIUS-backed 802.1X requires an initial investment in configuration, and potentially licensing for cloud solutions or hardware for on-premise deployments. The ROI case is straightforward:

Risk mitigation: The average cost of a data breach in the UK is in excess of £3 million (IBM Cost of a Data Breach Report). A compromised PSK can expose the entire network. 802.1X limits the blast radius to a single compromised user account, which can be disabled in seconds via the directory.

Operational efficiency: Dynamic VLAN assignment eliminates manual network reconfiguration as staff change roles. Onboarding a new employee means adding them to the correct AD group — the network access follows automatically.

Compliance posture: For organisations subject to PCI DSS, ISO 27001, or Cyber Essentials Plus, 802.1X is a direct control that auditors expect to see. Deploying it strengthens your compliance posture and reduces audit remediation costs.

Guest experience and analytics: For venue operators, integrating RADIUS for staff authentication with Purple's Guest WiFi platform for visitor access creates a unified, tiered access model. Staff authenticate silently via 802.1X; guests connect via a branded captive portal. Purple's WiFi Analytics platform then provides real-time visibility into visitor dwell times, repeat visit rates, and engagement metrics — data that directly informs marketing spend and venue operations decisions.

For further reading, see the Como Configurar a Autenticação 802.1X WiFi: Um Guia Passo a Passo for Portuguese-language implementation guidance, and What Is a Leased Line? Dedicated Business Internet for guidance on ensuring the underlying connectivity meets enterprise requirements.

Definições principais

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilidade (AAA) para usuários que se conectam a um serviço de rede. Definido na RFC 2865.

O componente principal do servidor que valida as credenciais do usuário em um diretório antes de conceder acesso ao WiFi. Toda implantação de WiFi corporativo usando 802.1X requer um servidor RADIUS.

802.1X

Um padrão IEEE para Controle de Acesso à Rede baseado em porta (PNAC). Ele fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN, bloqueando todo o tráfego não-EAP até que a autenticação seja bem-sucedida.

A estrutura padrão abrangente que define como o Supplicant, o Authenticator e o Servidor de Autenticação se comunicam. Quando as equipes de TI se referem à "segurança de WiFi corporativo", geralmente se referem ao WPA2/WPA3-Enterprise com 802.1X.

Supplicant

O dispositivo cliente — ou, mais precisamente, a pilha de software 802.1X nesse dispositivo — que inicia o processo de autenticação apresentando as credenciais à rede.

No Windows, o supplicant integrado é o serviço Wireless AutoConfig. No macOS e iOS, ele é nativo do sistema operacional. Garantir que o supplicant esteja configurado corretamente (especialmente para validação de certificados) é a fonte mais comum de problemas de implantação.

Authenticator

O dispositivo de rede — normalmente um ponto de acesso WiFi ou controlador sem fio — que atua como intermediário entre o Supplicant e o servidor RADIUS, aplicando o controle de acesso com base no resultado da autenticação.

O AP bloqueia todo o tráfego de dados na porta até receber um Access-Accept do servidor RADIUS. Ele também lê os atributos do RADIUS (por exemplo, atribuição de VLAN) da resposta Access-Accept e os aplica à sessão.

EAP (Extensible Authentication Protocol)

Uma estrutura de autenticação definida na RFC 3748 que fornece um mecanismo de transporte padronizado para vários métodos de autenticação (TLS, PEAP, TTLS, etc.) entre o Supplicant e o Servidor de Autenticação.

O EAP é o "idioma" falado entre o cliente e o servidor RADIUS. A escolha do método EAP (EAP-TLS vs PEAP) determina a força de segurança e a complexidade de implantação do sistema de autenticação.

PEAP (Protected EAP)

Um método EAP que primeiro estabelece um túnel TLS usando o certificado do servidor e, em seguida, executa uma autenticação secundária (normalmente MSCHAPv2 com nome de usuário/senha) dentro desse túnel criptografado.

O método de autenticação de WiFi corporativo mais comum devido ao seu equilíbrio entre segurança e simplicidade de implantação. Requer apenas um certificado do lado do servidor, tornando-o muito mais fácil de implantar do que o EAP-TLS.

Dynamic VLAN Assignment

Um recurso do RADIUS no qual o servidor inclui atributos específicos de VLAN (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-Id) na resposta Access-Accept, instruindo o AP a colocar o cliente autenticado em uma VLAN específica.

Permite que um único SSID atenda a várias populações de usuários com diferentes requisitos de segurança. Elimina a necessidade de transmitir múltiplos SSIDs para diferentes grupos de usuários, reduzindo a sobrecarga de RF e simplificando a experiência do usuário.

Shared Secret

Uma string de texto pré-configurada conhecida apenas pelo Authenticator (AP) e pelo servidor RADIUS, usada para assinar e criptografar pacotes RADIUS, garantindo a integridade e a autenticidade da comunicação.

Um elemento crítico de configuração de segurança. Se o shared secret for fraco ou estiver comprometido, um invasor poderá forjar respostas Access-Accept do RADIUS, concedendo acesso não autorizado à rede. Use segredos exclusivos por local e armazene-os em um gerenciador de segredos.

MAC Authentication Bypass (MAB)

Um mecanismo de autenticação alternativo em que o endereço MAC de um dispositivo é usado como sua credencial de identidade, permitindo o acesso à rede para dispositivos que não suportam supplicants 802.1X.

Usado para dispositivos headless (impressoras, sensores de IoT, câmeras IP). Como os endereços MAC são visíveis publicamente e fáceis de falsificar, o MAB fornece identificação de dispositivo em vez de uma autenticação forte. Sempre combine com atribuição restritiva de VLAN.

Exemplos práticos

Uma rede varejista nacional com 500 lojas precisa implementar WiFi seguro para os tablets dos gerentes de loja e terminais de PDV. Atualmente, eles usam uma única PSK em todas as lojas, que é frequentemente compartilhada com funcionários e prestadores de serviço não autorizados. Eles utilizam o Azure AD para gestão de identidade e não possuem equipe de TI dedicada nas filiais.

Implantar uma solução de Cloud RADIUS integrada diretamente com o Azure AD. Isso elimina a necessidade de implantar e gerenciar servidores RADIUS locais em 500 filiais. A equipe de TI usa o Microsoft Intune para distribuir um perfil de WiFi para todos os tablets dos gerentes e terminais de PDV configurados para PEAP-MSCHAPv2, exigindo estritamente a validação do certificado do servidor Cloud RADIUS. A política do Cloud RADIUS verifica a associação do usuário aos grupos do Azure AD antes de conceder o acesso: o grupo 'Store_Managers' recebe a VLAN 10 (acesso total ao PDV e back-office), o grupo 'Contractors' recebe a VLAN 20 (apenas internet). Quando o contrato de um prestador de serviço termina, sua remoção do grupo do Azure AD revoga imediatamente o seu acesso WiFi em todas as 500 lojas simultaneamente — sem a necessidade de alterar a PSK.

Comentário do examinador: Esta abordagem resolve a vulnerabilidade principal (PSK compartilhada) ao mesmo tempo que respeita as restrições operacionais (ausência de equipe de TI nas filiais, ambiente Azure AD). O Cloud RADIUS oferece a escalabilidade necessária e se integra nativamente com o provedor de identidade existente. O uso de atribuição dinâmica de VLAN garante que, mesmo que o dispositivo de um prestador de serviço esteja no local após o término do contrato, removê-lo do grupo do diretório é a única ação necessária para revogar o acesso.

Um hotel de 400 quartos no centro da cidade precisa fornecer WiFi seguro tanto para a equipe (recepção, governança, gerência) quanto para os hóspedes. A equipe precisa de acesso ao sistema de gestão hoteleira (PMS) e aos servidores internos. Os hóspedes precisam apenas de acesso à internet. O hotel possui um único ambiente local Windows Server.

Implantar o Microsoft NPS em uma VM Windows Server dedicada. Configurar dois SSIDs na infraestrutura sem fio: 'Hotel_Staff' (WPA2-Enterprise, 802.1X) e 'Hotel_Guest' (aberto ou WPA2-Personal, redirecionando para um Captive Portal). Para o SSID da equipe, o NPS valida as credenciais no Active Directory e retorna atribuições dinâmicas de VLAN: grupo 'Management' do AD → VLAN 10 (acesso total), 'FrontDesk' → VLAN 20 (acesso ao PMS), 'Housekeeping' → VLAN 30 (apenas internet + app de escala). Para os hóspedes, integre o Captive Portal com a plataforma Guest WiFi da Purple para fornecer uma experiência de login personalizada com a marca, coletar dados primários (e-mail, consentimento de marketing) e obter análises sobre tempo de permanência e visitas recorrentes. O modelo de dois SSIDs mantém o tráfego de funcionários e hóspedes completamente separado na camada de rede.

Comentário do examinador: O modelo de dois SSIDs é a abordagem correta neste caso, em vez de um único SSID com roteamento de políticas complexo. Ele oferece uma separação operacional clara e simplifica a resolução de problemas. Integrar a Purple para o SSID de hóspedes é a decisão comercial mais inteligente: transforma a rede de hóspedes de um centro de custo em um canal de captura de dados e marketing, com ROI mensurável por meio de taxas de retorno e engajamento em campanhas de e-mail marketing.

Questões práticas

Q1. Sua organização está migrando 2.000 notebooks Windows de uma PSK compartilhada para 802.1X com PEAP-MSCHAPv2. Sua equipe de segurança alerta que o PEAP é vulnerável à coleta de credenciais por meio de access points invasores. Qual é a etapa de configuração única mais importante para mitigar esse risco e como você a implanta em escala?

Dica: Considere o que impede um cliente de confiar em um servidor RADIUS fraudulento que apresenta um certificado autoassinado.

Ver resposta modelo

A etapa crítica é impor a validação estrita do certificado do servidor em cada dispositivo cliente. Usando Objetos de Diretiva de Grupo (GPO), envie um perfil de WiFi para todos os 2.000 notebooks especificando: (1) o certificado da CA Raiz exato que emitiu o certificado do servidor RADIUS, (2) o nome do servidor esperado (CN/SAN) e (3) que o cliente não deve solicitar ao usuário que confie em novos certificados. Isso garante que, mesmo que um invasor implante um AP invasor com um certificado fraudulento, o cliente rejeitará o handshake TLS e se recusará a enviar credenciais. Sem essa configuração, o PEAP não oferece proteção significativa contra ataques de AP invasor.

Q2. Um diretor de TI de um hospital precisa fornecer acesso à rede para 300 dispositivos IoT médicos (bombas de infusão, equipamentos de monitoramento) que não suportam 802.1X. Esses dispositivos ficam ao lado das estações de trabalho da equipe na mesma infraestrutura sem fio. Como a infraestrutura RADIUS deve lidar com esses dispositivos e quais controles de rede devem estar em vigor?

Dica: Pense no método de autenticação disponível para dispositivos sem interface de usuário (headless) e como compensar sua fraqueza inerente.

Ver resposta modelo

Configure o MAC Authentication Bypass (MAB) no servidor RADIUS para esses dispositivos específicos. Registre o endereço MAC de cada dispositivo em um grupo dedicado do Active Directory ou banco de dados RADIUS. Como os endereços MAC são facilmente falsificados, o servidor RADIUS deve usar a Atribuição Dinâmica de VLAN para colocar todos os dispositivos autenticados por MAB em uma VLAN dedicada e altamente restrita (por exemplo, VLAN 30 - IoT). Essa VLAN deve ser protegida por firewall para permitir a comunicação apenas com endereços IP de servidores médicos específicos e bloquear todo o outro tráfego, incluindo acesso à internet e movimento lateral para as VLANs da equipe. As estações de trabalho da equipe autenticam-se via 802.1X e são colocadas em uma VLAN separada. Essa arquitetura atende aos requisitos de segmentação de rede da HIPAA para dispositivos adjacentes a ePHI.

Q3. Você é o arquiteto de rede de uma rede de restaurantes com 50 locais. A autenticação está funcionando corretamente em 49 locais usando Cloud RADIUS, mas um local específico relata que todos os dispositivos falham ao autenticar. O portal de gerenciamento do Cloud RADIUS mostra zero solicitações de autenticação vindas daquele local. Qual é a sua abordagem de diagnóstico?

Dica: Se o servidor RADIUS não estiver recebendo nenhuma solicitação, o problema está no caminho de comunicação entre o Autenticador e o servidor — não na lógica de autenticação em si.

Ver resposta modelo

Como o servidor RADIUS está recebendo zero solicitações desse local, a falha está entre os access points e o servidor Cloud RADIUS. Etapas de diagnóstico em ordem: (1) Verifique o endereço IP do servidor RADIUS e a porta (UDP 1812) configurados nos APs ou controladora sem fio do local — um erro de digitação aqui é a causa mais comum. (2) Verifique as regras de firewall ou roteador local naquele local para confirmar se o tráfego UDP 1812 de saída é permitido para a faixa de IP do Cloud RADIUS. (3) Verifique se o Segredo Compartilhado (Shared Secret) configurado nos APs coincide com o segredo configurado para aquele local no portal Cloud RADIUS — uma divergência faz com que o servidor RADIUS descarte os pacotes silenciosamente. (4) Verifique se a conexão de internet do local está funcionando — o Cloud RADIUS requer conectividade de internet confiável. Executar uma captura de pacotes no AP ou no roteador upstream confirmará se os pacotes RADIUS estão sendo enviados e se as respostas estão sendo recebidas.

Continue a ler esta série

Server RADIUS: um guia completo para empresas

Este guia fornece a gerentes de TI, arquitetos de rede e CTOs uma referência técnica definitiva sobre autenticação de server RADIUS para WiFi corporativo. Ele aborda a estrutura AAA, arquitetura 802.1X, seleção de método EAP, compensações de implantação em nuvem versus local e atribuição dinâmica de VLAN. Operadores de locais nos setores de hospitalidade, varejo, eventos e setor público encontrarão orientações práticas de implementação, estudos de caso do mundo real e as estruturas de decisão necessárias para migrar de chaves pré-compartilhadas inseguras para uma arquitetura de controle de acesso à rede segura e orientada por identidade.

Aruba ClearPass vs. Purple WiFi: Comparando Recursos e Co-implantação

Um guia técnico abrangente detalhando a arquitetura de co-implantação do Aruba ClearPass e Purple WiFi. Ele aborda a configuração de proxy RADIUS, atribuição dinâmica de VLAN e melhores práticas para fornecer redes de convidados seguras e orientadas por análise de dados junto com o NAC corporativo.

Cisco ISE vs. Purple WiFi: Como eles se comparam e trabalham juntos

Este guia explica como o Cisco ISE e o Purple WiFi desempenham papéis distintos, porém complementares, em redes corporativas. Ele detalha como usar o Cisco ISE para acesso corporativo seguro 802.1X, enquanto aproveita o Purple para WiFi de convidados em conformidade com o GDPR, análise de marketing e integração com CRM.