Pular para o conteúdo principal

Como implementar a autenticação 802.1X com Cloud RADIUS

Este guia de referência técnica fornece uma estrutura abrangente para implementar a autenticação 802.1X com Cloud RADIUS em propriedades empresariais distribuídas. Ele detalha a arquitetura, a seleção do método EAP, o sequenciamento de implantação e as estratégias de mitigação de riscos necessárias para garantir o acesso seguro à rede, eliminando a sobrecarga operacional da infraestrutura local.

📖 5 min de leitura📝 1,189 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Como implementar a autenticação 802.1X com Cloud RADIUS Um Informativo Técnico da Purple WiFi --- INTRODUÇÃO E CONTEXTO (aprox. 1 minuto) --- Bem-vindo ao Informativo Técnico da Purple WiFi. Sou o seu anfitrião e hoje vamos detalhar a autenticação 802.1X com Cloud RADIUS - o que é, por que ela é importante agora e como realmente implantá-la em uma infraestrutura multi-site. Se você gerencia a infraestrutura de WiFi para um grupo de hotéis, uma rede de varejo, um estádio ou uma organização do setor público, este é um daqueles tópicos que sempre surgem - e por um bom motivo. O cenário de ameaças mudou. As redes PSK compartilhadas são cada vez mais vistas como um risco de conformidade, e não apenas uma inconveniência de segurança. Reguladores, auditores e seguradoras de riscos cibernéticos estão fazendo perguntas mais difíceis sobre o controle de acesso à rede. E a boa notícia é que o RADIUS fornecido na nuvem tornou o 802.1X genuinamente implantável em escala, sem a sobrecarga de infraestrutura local que antes o tornava impraticável para redes distribuídas. Então, vamos começar. --- MERGULHO TÉCNICO PROFUNDO (aprox. 5 minutos) --- Primeiro, vamos garantir que estamos todos trabalhando com a mesma definição. O IEEE 802.1X é um padrão de controle de acesso à rede baseado em porta. Ele define uma estrutura de autenticação que fica na Camada 2 do modelo OSI - ou seja, ele opera antes que um dispositivo receba qualquer conectividade IP. Essa é a principal diferença da autenticação na camada de aplicação. Com o 802.1X, um dispositivo não pode entrar na rede até ser positivamente autenticado. O protocolo possui três componentes. O solicitante (supplicant) - que é o dispositivo final, seja um laptop, um smartphone ou um terminal de ponto de venda. O autenticador - normalmente seu ponto de acesso WiFi ou seu switch gerenciado. E o servidor de autenticação - que em implantações modernas é o seu serviço de cloud RADIUS. O fluxo funciona assim: Um dispositivo tenta se associar a um ponto de acesso. O ponto de acesso não concede acesso total à rede imediatamente. Em vez disso, ele abre uma porta controlada e inicia uma troca EAP - que é o Extensible Authentication Protocol (Protocolo de Autenticação Extensível) - com o dispositivo. O dispositivo apresenta suas credenciais, que podem ser um nome de usuário e senha, um certificado digital ou uma identidade baseada em SIM. O ponto de acesso retransmite essa troca para o servidor RADIUS usando o protocolo RADIUS sobre UDP, normalmente na porta 1812 para autenticação e 1813 para contabilização (accounting). O servidor RADIUS valida as credenciais em um repositório de identidade - Active Directory, Azure AD ou um diretório LDAP - e retorna uma mensagem de Access-Accept ou Access-Reject. Se aceito, o ponto de acesso abre a porta e o dispositivo ganha acesso à rede. Se rejeitado, ele permanece bloqueado. Simples em princípio, mas os detalhes de implementação importam enormemente. Agora, a seleção do método EAP é onde muitas implantações dão errado. Existem vários métodos EAP em uso comum, e eles têm perfis de segurança e requisitos operacionais muito diferentes. O EAP-TLS é o padrão ouro. Ele exige autenticação mútua por certificado - tanto o servidor quanto o cliente apresentam um certificado. Isso elimina totalmente o risco de roubo de credenciais, pois não há senhas para roubar. Mas exige uma infraestrutura PKI e um mecanismo para enviar os certificados do cliente para os dispositivos, o que normalmente significa uma solução MDM. Para ambientes corporativos BYOD e implantações de alta segurança, essa é a resposta certa. O PEAP com MSCHAPv2 é o método mais amplamente implantado em ambientes empresariais. Ele exige apenas um certificado do lado do servidor e encapsula a troca de credenciais dentro do TLS. É compatível nativamente com o Active Directory, o que o torna operacionalmente simples. O risco é que ele é vulnerável à coleta de credenciais se os usuários se conectarem a um ponto de acesso malicioso com um certificado autoassinado - portanto, a validação do certificado no lado do cliente é inegociável. O EAP-TTLS é semelhante ao PEAP, mas é mais flexível no método de autenticação interno. É particularmente útil em ambientes com dispositivos mistos, onde você tem uma combinação de dispositivos Windows, macOS, iOS e Android com diferentes capacidades de suplicante. Para o suporte a dispositivos legados - como terminais de ponto de venda mais antigos ou sensores IoT - o EAP-FAST pode ser uma escolha prática, pois não exige certificados e usa uma Credencial de Acesso Protegido em seu lugar. Agora, a parte do RADIUS em nuvem. Tradicionalmente, o RADIUS era um serviço local - FreeRADIUS em um servidor Linux ou Microsoft NPS no Windows Server. Esse modelo funciona, mas tem custos operacionais reais: manutenção de hardware, configuração de alta disponibilidade, aplicação de patches e a necessidade de infraestrutura local em cada local que precise de autenticação de baixa latência. O RADIUS em nuvem altera esse cálculo significativamente. Um serviço de RADIUS em nuvem é hospedado e gerenciado pelo provedor. Seus pontos de acesso enviam solicitações RADIUS pela internet para o serviço em nuvem, que lida com a autenticação em relação ao seu provedor de identidade. A preocupação com a latência é real, mas gerenciável - os serviços modernos de RADIUS em nuvem são distribuídos globalmente, e as viagens de ida e volta de autenticação normalmente são concluídas em menos de 100 milissegundos, o que é imperceptível para os usuários finais. A integração com provedores de identidade é a dependência crítica. A maioria das plataformas de RADIUS em nuvem suporta LDAP, LDAPS, SAML 2.0 e integração direta com Azure AD ou Okta. Para organizações que já executam o Microsoft 365, a integração com o Azure AD é o caminho natural - você obtém logon único, políticas de acesso condicional e imposição de MFA, tudo alimentando sua camada de controle de acesso à rede. Para locais que implantam WiFi para convidados junto com redes de funcionários, a arquitetura normalmente as separa em SSIDs distintos com diferentes políticas de autenticação. As redes de funcionários usam 802.1X com credenciais corporativas. As redes de convidados usam um Captive Portal ou fluxo de login social. A plataforma da Purple suporta ambos os modelos, e a camada de analytics de WiFi funciona em ambos, oferecendo visibilidade sobre o comportamento do dispositivo, tempo de permanência e utilização da rede sem comprometer a segmentação de segurança. --- RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS (aprox. 2 minutos) --- Deixe-me apresentar a sequência prática de implantação e sinalizar os modos de falha que vejo com mais frequência. Comece com a integração do seu provedor de identidade. Antes de tocar em um único ponto de acesso, confirme se o seu serviço de RADIUS em nuvem pode se autenticar em seu diretório. Teste com uma conta de serviço, valide a vinculação LDAP e confirme se os atributos de associação de grupo estão sendo retornados corretamente - porque você precisará deles para as políticas de atribuição de VLAN. Segundo, planeje sua estratégia de certificados. Se você optar pelo EAP-TLS, precisará de uma CA, precisará decidir se usará uma CA pública ou interna e precisará de um plano de implantação de MDM para certificados de clientes. Se você optar pelo PEAP, precisará de um certificado de servidor de uma CA confiável - não autoassinado - e precisará enviar o certificado da CA para todos os dispositivos clientes para que a validação do certificado funcione corretamente. Esta é a etapa que costuma ser ignorada e que causa incidentes de segurança. Terceiro, configure seus clientes RADIUS - ou seja, seus pontos de acesso e controladores - com o segredo compartilhado correto e o IP do servidor ou nome de host. Use um segredo compartilhado forte, gerado aleatoriamente, e não uma palavra de dicionário. E se o seu provedor de RADIUS em nuvem suportar RADIUS sobre TLS - RadSec - use-o. Ele criptografa o tráfego RADIUS em trânsito, o que é particularmente importante quando esse tráfego está atravessando a internet pública. Quarto, teste com um grupo piloto antes da implantação completa. Falhas de autenticação em grande escala são disruptivas e difíceis de diagnosticar sob pressão. Execute um piloto com dez a vinte dispositivos, valide os logs de autenticação, confirme se a atribuição de VLAN está funcionando e verifique se os registros de contabilização estão sendo gravados corretamente. Os modos de falha que vejo com mais frequência: validação de certificado desativada nos clientes, levando a vulnerabilidades de man-in-the-middle. Segredos compartilhados muito curtos ou reutilizados em vários sites. Lista de permissões de IP do servidor RADIUS não configurada, fazendo com que as solicitações de autenticação de novos sites sejam descartadas silenciosamente. E perfis de MDM não atualizados quando os certificados expiram, causando falhas de autenticação em massa no dia da renovação. --- PERGUNTAS E RESPOSTAS RÁPIDAS (aprox. 1 minuto) --- Algumas perguntas que recebo regularmente. Posso executar 802.1X em uma rede que também possui dispositivos IoT que não suportam EAP? Sim - use o MAC Authentication Bypass como uma alternativa para dispositivos que não podem executar um suplicante, mas coloque esses dispositivos em uma VLAN restrita com regras rígidas de firewall.O 802.1X substitui a criptografia WPA2 ou WPA3? Não - o 802.1X lida com a autenticação. O WPA2-Enterprise ou WPA3-Enterprise lida com a criptografia. Você precisa de ambos. O WPA3-Enterprise com 802.1X é a melhor prática atual para novas implantações. Qual é o impacto da latência na autenticação? Com um serviço RADIUS em nuvem bem configurado, espere de 50 a 150 milissegundos por autenticação. Para cenários de roaming, a transição rápida de BSS 802.11r pode reduzir significativamente a sobrecarga de reautenticação. Isso é compatível com PCI-DSS? O 802.1X com EAP-TLS ou PEAP em uma rede adequadamente segmentada atende ao Requisito 1 e ao Requisito 8 do PCI-DSS para controle de acesso à rede. Envolva seu QSA desde o início. --- RESUMO E PRÓXIMOS PASSOS (aprox. 1 minuto) --- Para resumir tudo: o 802.1X com RADIUS em nuvem é a resposta certa para qualquer organização que precisa demonstrar controle de acesso à rede para auditores, reduzir o raio de alcance de uma credencial comprometida ou gerenciar a autenticação centralmente em uma propriedade distribuída. A implantação não é trivial, mas é absolutamente gerenciável com a preparação correta. Acerte primeiro na integração do seu provedor de identidade. Escolha seu método EAP com base em sua frota de dispositivos e em sua capacidade operacional de gerenciar certificados. Use RadSec se sua infraestrutura suportar. E teste antes de implantar em escala. Se você opera uma rede mista de convidados e funcionários - o que a maioria dos operadores de hospitalidade e varejo faz - plataformas como o Purple oferecem a capacidade de gerenciar ambos os modelos de autenticação a partir de um único painel, com a camada de análise cobrindo toda a propriedade. Para os seus próximos passos: faça uma auditoria em sua postura atual de controle de acesso à rede, identifique quais locais ainda estão executando PSK compartilhado e crie um plano de migração em fases. Comece pelos locais de maior risco - aqueles no escopo do PCI-DSS ou que lidam com dados confidenciais - e avance a partir daí. Obrigado por ouvir. Mais briefings técnicos estão disponíveis em purple.ai.

header_image.png

Resumo Executivo

Para tomadores de decisão de TI que gerenciam propriedades de rede distribuídas nos setores de hotelaria, varejo e setor público, a segurança do acesso à rede deixou de ser uma preferência operacional para se tornar um mandato de conformidade rigoroso. Depender de chaves pré-compartilhadas (PSKs) introduz um risco inaceitável, falha nos padrões de auditoria modernos, como o PCI-DSS, e expõe a organização ao movimento lateral no caso de comprometimento de credenciais. A transição para o controle de acesso à rede baseado em porta IEEE 802.1X mitiga esses riscos de forma eficaz, autenticando os dispositivos antes que a conectividade IP seja concedida.

Historicamente, a implantação do 802.1X em propriedades de vários locais era dificultada pela necessidade de uma infraestrutura RADIUS localizada para gerenciar a latência e a disponibilidade. O amadurecimento da arquitetura Cloud RADIUS mudou fundamentalmente esse cenário. Ao centralizar as decisões de autenticação e integrar-se diretamente com provedores de identidade em nuvem (como Azure AD ou Okta), as organizações podem aplicar políticas de acesso robustas de maneira uniforme em todos os locais, sem as despesas de capital e o fardo de manutenção de servidores locais. Este guia descreve a arquitetura técnica, a metodologia de implantação e as melhores práticas operacionais para implementar com sucesso a autenticação 802.1X com Cloud RADIUS, garantindo que o WiFi para visitantes empresariais Guest WiFi e as redes corporativas permaneçam seguros e escaláveis.

Aprofundamento Técnico

A base da segurança sem fio empresarial moderna é construída sobre o padrão IEEE 802.1X. Ao contrário da autenticação na camada de aplicação, o 802.1X opera na Camada 2 do modelo OSI. Quando um dispositivo (o suplicante) tenta se associar a um ponto de acesso (o autenticador), a porta permanece em um estado não autorizado, permitindo apenas o tráfego do protocolo de autenticação extensível (EAP). Esse tráfego é encapsulado em pacotes RADIUS e encaminhado para o servidor de autenticação - a instância do Cloud RADIUS. Somente após o recebimento de uma mensagem Access-Accept o autenticador faz a transição da porta para um estado autorizado, concedendo acesso à rede.

Arquitetura Cloud RADIUS

architecture_overview.png

A transição arquitetônica de servidores locais para Cloud RADIUS elimina a necessidade de servidores distribuídos FreeRADIUS ou Microsoft NPS. No modelo em nuvem, os pontos de acesso ou controladores de LAN sem fio se comunicam diretamente pela internet com um serviço RADIUS globalmente distribuído. Para proteger esse trânsito, a implementação do RadSec (RADIUS sobre TLS) é essencial, criptografando o payload de autenticação e protegendo-o contra interceptações. O serviço Cloud RADIUS atua como intermediário, validando credenciais em um provedor de identidade (IdP) central via integrações LDAP, SAML ou APIs nativas. Isso possibilita a aplicação dinâmica de políticas, como a atribuição de VLANs com base na associação a grupos do Azure AD, integrando perfeitamente o acesso à rede com a estratégia mais ampla de gerenciamento de identidade corporativa.

Seleção do Método EAP

A escolha do método EAP determina a postura de segurança e a complexidade operacional da implantação.

eap_comparison_chart.png

  • EAP-TLS (Transport Layer Security): O método mais seguro, exigindo certificados tanto do servidor quanto do cliente para autenticação mútua. Como não há troca de senhas, ele elimina o risco de roubo de credenciais. No entanto, exige uma Infraestrutura de Chaves Públicas (PKI) e Gerenciamento de Dispositivos Móveis (MDM) para distribuir os certificados dos clientes. Fortemente recomendado para dispositivos corporativos.
  • PEAP-MSCHAPv2 (Protected EAP): Amplamente implantado graças ao suporte nativo no Windows e por depender apenas de um certificado no lado do servidor. Ele cria um túnel para a troca de credenciais dentro de uma sessão TLS. Embora seja mais fácil de implantar, é vulnerável a ataques de captura de credenciais se a validação do certificado do lado do cliente não for rigidamente aplicada.
  • EAP-TTLS: Semelhante ao PEAP, mas oferece maior flexibilidade no protocolo de autenticação interno, tornando-o adequado para ambientes com uma mistura diversificada de sistemas operacionais de clientes.

Guia de Implantação

A implantação do 802.1X com Cloud RADIUS exige uma abordagem em fases e sistemática para minimizar interrupções nos negócios existentes.

  1. Integração com o provedor de identidade: Estabeleça e valide a conexão entre o serviço Cloud RADIUS e o IdP corporativo. Certifique-se de que a sincronização do diretório esteja precisa e que os atributos de usuário necessários (como associação a grupos) estejam disponíveis para as decisões de política.
  2. Gerenciamento de certificados: Para implantações PEAP, obtenha um certificado de servidor de uma Autoridade Certificadora (CA) pública confiável. Fundamentalmente, configure os clientes via MDM ou Diretiva de Grupo para confiar explicitamente nesta CA e validar o nome do certificado do servidor. Para EAP-TLS, implante a infraestrutura de CA interna e comece a emitir certificados de cliente para dispositivos gerenciados.
  3. Configuração da infraestrutura de rede: Configure controladores sem fio e pontos de acesso para apontar para os endpoints do Cloud RADIUS. Implemente RadSec onde o fornecedor de hardware oferecer suporte. Defina segredos compartilhados do RADIUS usando strings fortes e criptograficamente seguras, garantindo que o segredo seja exclusivo por site ou cluster de controlador.
  4. Definição de políticas: Crie as políticas de autenticação na plataforma Cloud RADIUS. Defina condições com base no grupo de usuários, tipo de dispositivo ou localização para atribuir dinamicamente VLANs ou aplicar Listas de Controle de Acesso (ACLs) após uma autenticação bem-sucedida.
  5. Projeto piloto e implantação em fases: Selecione um subconjunto representativo de usuários e dispositivos para o piloto inicial. Monitore os logs de autenticação de perto para identificar problemas de latência, falhas de validação de certificado ou atribuições incorretas de VLAN. Após um piloto bem-sucedido, execute uma implantação em fases, priorizando locais de alto risco, como escritórios executivos ou locais que lidam com dados confidenciais.

Melhores Práticas

  • Exija a validação de certificado do lado do cliente: A vulnerabilidade mais comum em implantações PEAP é a falha em exigir a validação do certificado do servidor no cliente. Se os clientes tiverem permissão para confiar cegamente em qualquer certificado apresentado, eles estarão totalmente expostos a ataques de pontos de acesso falsos.
  • Implemente o MAC Authentication Bypass (MAB) com cautela: Para dispositivos sem interface de usuário que não podem executar um suplicante 802.1X (como impressoras e sensores IoT), o MAB pode ser usado. No entanto, endereços MAC são facilmente falsificados. Os dispositivos MAB devem ser isolados em VLANs altamente restritas, com regras de firewall rígidas limitando seu acesso à rede.
  • Aproveite o 802.11r para roaming: Em ambientes onde os dispositivos se movem com frequência entre pontos de acesso, o processo completo de autenticação 802.1X pode introduzir uma latência inaceitável que interrompe aplicativos em tempo real, como voz. A implementação do 802.11r (Fast BSS Transition) agiliza o roaming ao armazenar as chaves de autenticação em cache.
  • Integre com análises: Para locais que operam tanto uma rede corporativa 802.1X quanto uma rede de acesso público, a integração da infraestrutura de autenticação com o WiFi Analytics fornece uma visão abrangente da utilização da rede e do comportamento dos dispositivos em toda a propriedade.

Solução de Problemas e Mitigação de Riscos

Falhas de autenticação em um ambiente 802.1X podem causar interrupções generalizadas de conectividade. Um processo robusto de solução de problemas é essencial.

  • Expiração de certificado: Um certificado de servidor ou cliente expirado causará falha imediata na autenticação. Implemente monitoramento e alertas automatizados sobre os períodos de validade dos certificados, garantindo que as renovações sejam tratadas bem antes do vencimento.
  • Latência e timeouts: Se o serviço Cloud RADIUS ou IdP apresentar alta latência, o autenticador poderá expirar o tempo limite e interromper a conexão. Configure valores de timeout apropriados nos controladores sem fio (normalmente de 5 a 10 segundos) e implante servidores RADIUS de backup para fornecer redundância.- Incompatibilidade de segredo compartilhado do RADIUS: Um segredo compartilhado configurado no autenticador que não corresponda ao do servidor RADIUS fará com que os pacotes sejam descartados silenciosamente. Padronize o gerenciamento de segredos e evite a inserção manual sempre que possível.

ROI e Impacto nos Negócios

A transição para o 802.1X com Cloud RADIUS oferece um valor comercial mensurável. Ao eliminar senhas compartilhadas, ela reduz drasticamente a superfície de ataque, apoiando diretamente a conformidade com o PCI DSS (Requisitos 1 e 8) e as exigências de proteção de dados do GDPR. Operacionalmente, ela permite o controle de acesso centralizado, permitindo que as equipes de TI revoguem instantaneamente o acesso de um usuário em todos os locais do mundo, simplesmente desativando sua conta no diretório central. Além disso, ao desativar servidores RADIUS legados locais, as organizações reduzem os custos de manutenção de hardware, taxas de licenciamento de software e a carga administrativa de aplicar patches e gerenciar infraestrutura distribuída. Para implantações em toda a propriedade em setores como Varejo e Hotelaria , essa postura de segurança centralizada é um facilitador essencial da transformação digital segura.

Ouça nosso briefing completo sobre o assunto:

Definições principais

Suplicante

O cliente de software em um dispositivo de usuário final (notebook, smartphone) que negocia o acesso à rede usando EAP.

As equipes de TI devem garantir que o suplicante esteja configurado corretamente (geralmente via MDM) para validar os certificados do servidor a fim de evitar o roubo de credenciais.

Autenticador

O dispositivo de rede (normalmente um ponto de acesso WiFi ou switch) que controla o acesso físico ou lógico à rede com base no status da autenticação.

O autenticador age como um intermediário, retransmitindo as mensagens EAP entre o suplicante e o servidor RADIUS.

Cloud RADIUS

Um serviço de autenticação centralizado e hospedado na nuvem que processa solicitações RADIUS de infraestrutura de rede distribuída sem a necessidade de servidores locais.

Essencial para organizações com vários locais que buscam implementar segurança de nível empresarial sem a sobrecarga de manutenção de hardware.

EAP (Protocolo de Autenticação Extensível)

O framework utilizado para encapsular mensagens de autenticação entre o solicitante e o servidor de autenticação.

A escolha do método EAP correto (por exemplo, PEAP vs. EAP-TLS) determina o nível de segurança e a complexidade de implantação da rede sem fio.

RadSec

Um protocolo que transmite dados RADIUS através de um túnel TLS, garantindo a criptografia do tráfego de autenticação em trânsito.

Crucial ao usar Cloud RADIUS, pois protege as trocas de credenciais confidenciais contra interceptação na internet pública.

Dynamic VLAN Assignment

O processo em que o servidor RADIUS instrui o autenticador a colocar um dispositivo em um segmento de rede virtual específico com base na identidade ou no grupo do usuário.

Permite que a TI transmita um único SSID enquanto segmenta o tráfego de forma segura (por exemplo, colocando a equipe de RH e a equipe de TI em sub-redes diferentes).

Autenticação Mútua

Um processo de segurança onde o cliente verifica a identidade do servidor e o servidor verifica a identidade do cliente (normalmente usando certificados).

A característica definidora do EAP-TLS, tornando-o altamente resistente a ataques man-in-the-middle.

MAC Authentication Bypass (MAB)

Um método de autenticação alternativo que usa o endereço MAC de um dispositivo como sua credencial quando ele não oferece suporte a um solicitante 802.1X.

Usado para hardware legado, como impressoras ou dispositivos IoT, mas exige uma segmentação de rede rigorosa devido à facilidade de falsificação de MAC.

Exemplos práticos

Um hotel de 200 quartos que opera uma rede PSK herdada para operações de bastidores (tablets de limpeza, terminais de ponto de venda, notebooks de gerentes) precisa obter a conformidade com o PCI-DSS antes de uma auditoria futura. Eles não têm equipe de TI no local e não podem implantar servidores locais.

O hotel deve implantar uma solução Cloud RADIUS integrada diretamente ao seu locatário central do Azure AD. Para notebooks de gerentes (Windows/macOS), eles devem implementar PEAP-MSCHAPv2, utilizando um perfil de MDM para enviar o certificado de servidor confiável e impor a validação. Para terminais de ponto de venda que possam não ter suplicantes robustos, eles devem utilizar o MAC Authentication Bypass (MAB), mas atribuir estritamente esses dispositivos a uma VLAN isolada que permita apenas a comunicação com o gateway de pagamento. A implantação exige a configuração dos pontos de acesso existentes gerenciados na nuvem para apontar para os endereços IP do Cloud RADIUS, protegendo a conexão com o RadSec.

Comentário do examinador: Essa abordagem atende aos requisitos do PCI-DSS para identificação exclusiva de usuários (PEAP para funcionários) e segmentação de rede (MAB + VLAN isolada para PDV). Ao utilizar o Cloud RADIUS, o hotel evita a complexidade de implantar e manter um servidor FreeRADIUS local, que seria inviável sem pessoal de TI no local. O uso do RadSec é fundamental aqui para proteger o tráfego de autenticação que passa pela internet pública.

Uma rede de varejo nacional está lançando uma nova frota de tablets corporativos para gerenciamento de estoque em 500 lojas. Eles querem garantir que, mesmo se um tablet for roubado, ele não possa ser usado para acessar a rede, e querem eliminar os chamados de suporte técnico relacionados a senhas.

O varejista deve implementar o EAP-TLS. Eles implantarão uma Autoridade Certificadora (CA) interna e a integrarão à sua plataforma de MDM. Quando um tablet é provisionado, o MDM envia um certificado de cliente exclusivo para o dispositivo. O serviço Cloud RADIUS é configurado para autenticar dispositivos com base exclusivamente na presença de um certificado de cliente válido. Se um tablet for relatado como roubado, a equipe de TI simplesmente revoga esse certificado específico na CA. O serviço Cloud RADIUS, verificando a Lista de Revogação de Certificados (CRL) ou via OCSP, negará imediatamente o acesso à rede.

Comentário do examinador: O EAP-TLS é a escolha ideal aqui. Ele oferece o mais alto nível de segurança e remove completamente as senhas dos usuários do fluxo de autenticação, atingindo a meta de reduzir os chamados de suporte técnico. A capacidade de revogação centralizada é essencial para gerenciar o risco de roubo de hardware em um ambiente de varejo distribuído.

Questões práticas

Q1. Sua organização está migrando de uma PSK compartilhada para 802.1X usando PEAP-MSCHAPv2. Durante a fase piloto, os usuários relatam que conseguem se conectar, mas uma auditoria de segurança revela que os dispositivos estão aceitando silenciosamente qualquer certificado de servidor apresentado a eles. Qual é o risco imediato e como ele deve ser corrigido?

Dica: Considere o que acontece se um invasor configurar um ponto de acesso transmitindo o seu SSID corporativo.

Ver resposta modelo

O risco imediato é um ataque Man-in-the-Middle (MitM) por meio de um ponto de acesso invasor. Um invasor pode transmitir o SSID corporativo, apresentar um certificado autoassinado e coletar credenciais de usuário à medida que os dispositivos tentam se autenticar. Para corrigir isso, a equipe de TI deve configurar os perfis de solicitante (via MDM ou Diretiva de Grupo) para validar explicitamente o certificado do servidor. Isso envolve especificar a CA Raiz Confiável exata que emitiu o certificado do servidor RADIUS e definir rigorosamente o nome de host do servidor esperado.

Q2. Uma filial de varejo remota perdeu sua conexão com a internet. Os pontos de acesso locais ainda estão ligados. Os dispositivos da equipe atualmente conectados à rede 802.1X permanecerão conectados e novos dispositivos conseguirão se autenticar? Assuma uma arquitetura padrão Cloud RADIUS sem nós de sobrevivência local.

Dica: Pense no caminho que uma solicitação de autenticação deve percorrer e no estado das portas já autorizadas.

Ver resposta modelo

Os dispositivos que já estão autenticados e conectados normalmente permanecerão conectados até que o tempo limite da sessão expire ou que eles se desconectem, pois a porta do autenticador já está no estado autorizado. No entanto, novos dispositivos que tentarem se conectar ou dispositivos que tentarem se reautenticar falharão. Como a conexão com a internet está inativa, os pontos de acesso não conseguem alcançar o servidor Cloud RADIUS para processar a troca EAP. Isso destaca a importância de links WAN resilientes ao depender de autenticação baseada em nuvem.

Q3. Você precisa proteger o acesso à rede para uma frota de leitores de código de barras legados em um depósito. Esses leitores não oferecem suporte a solicitantes 802.1X e suportam apenas WPA2-Personal (PSK). Você não pode atualizar o hardware. Como você integra esses dispositivos em uma arquitetura de rede segura junto com seus dispositivos corporativos 802.1X?

Dica: Você precisa de uma alternativa ao 802.1X que ainda forneça controle de acesso, combinada com isolamento no nível da rede.

Ver resposta modelo

A abordagem recomendada é utilizar o MAC Authentication Bypass (MAB) para os leitores de código de barras. O ponto de acesso usará o endereço MAC do leitor como identidade e o enviará para o servidor RADIUS. Como os endereços MAC são facilmente falsificados, isso fornece uma autenticação fraca. Portanto, o servidor RADIUS deve ser configurado para retornar um atributo VLAN específico após a autenticação MAB bem-sucedida. Esta VLAN deve ser fortemente restrita por meio de firewalls ou ACLs, permitindo que os leitores se comuniquem apenas com os servidores de inventário específicos que necessitam, e bloqueando qualquer outro acesso de rede lateral.

Continue a ler esta série

Os Benefícios de Segurança do RADIUS como Serviço para Forças de Trabalho Híbridas

Este guia de referência técnica explica como o RADIUS como Serviço protege o acesso à rede para forças de trabalho híbridas em locais distribuídos. Ele aborda a arquitetura, os benefícios de segurança e as etapas de implantação para substituir a infraestrutura de RADIUS local por um serviço de autenticação gerenciado na nuvem. Para gerentes de TI e arquitetos de rede em hotéis, redes de varejo, estádios e organizações do setor público, este guia fornece as evidências necessárias para avaliar e agir em uma migração para o RADIUS na nuvem neste trimestre.

Ler o guia →

Integrando RADIUS as a Service com Diretórios em Nuvem (Azure AD e Google Workspace)

Este guia de referência técnica detalha como integrar o RADIUS as a Service com diretórios em nuvem - Microsoft Entra ID e Google Workspace - para autenticação WiFi corporativa. Ele aborda a transição arquitetônica do NPS local para o RADIUS nativo da nuvem, a implantação de autenticação EAP-TLS baseada em certificados e as melhores práticas operacionais para proteger o acesso sem fio em ambientes de hotelaria, varejo e setor público. Para gerentes de TI e arquitetos de rede que já investem em identidade em nuvem, este guia preenche a lacuna entre o gerenciamento de diretórios e a segurança de rede física.

Ler o guia →

O que é Cloud RADIUS? Um Guia Completo para RADIUS-as-a-Service

Este guia completo explora o Cloud RADIUS (RADIUS-as-a-Service), detalhando sua arquitetura, métodos EAP e estratégias de implementação. Ele fornece aos líderes de TI insights práticos sobre a migração de servidores locais para um modelo de autenticação baseado em nuvem escalável, seguro e em conformidade.

Ler o guia →