Validação obrigatória de certificado de servidor
Os clientes devem verificar o certificado do servidor RADIUS antes de enviar as credenciais. Isso encerra o ataque 'evil-twin' que assolava implantações WPA2-Enterprise mal configuradas.
WPA2 & WPA3-Enterprise. WiFi seguro, sem a senha compartilhada.
Implante WPA2-Enterprise ou WPA3-Enterprise com 802.1X em seus pontos de acesso existentes. Cada usuário se autentica em seu provedor de identidade, cada dispositivo recebe uma chave de sessão exclusiva e o acesso pode ser revogado por dispositivo com um único clique. A Purple opera a infraestrutura de RADIUS e certificados como um serviço em nuvem — você mantém o hardware que já possui.
TL;DR / Key Takeaways
- WPA2 and WPA3-Enterprise offer the highest level of WiFi security, utilizing 802.1X authentication to secure connections.
- Instead of a single pre-shared key (PSK), each user or device authenticates uniquely, preventing lateral movement and shared-password leaks.
- Provides centralized visibility and immediate revocation of access when employees leave or devices are compromised.
- Integrates natively with Identity Providers (IdP) like Microsoft Entra ID, Okta, and Google Workspace for seamless onboarding.
Personal vs. Enterprise — escolha o modo certo
O padrão WPA possui dois modos. WPA-Personal (WPA2-PSK, WPA3-SAE) usa uma única senha compartilhada entre todos que se conectam ao SSID. Suficiente para uma residência. WPA-Enterprise autentica cada usuário ou dispositivo individualmente via 802.1X em um servidor RADIUS. Necessário para qualquer local que se preocupe com revogação, auditoria ou conformidade.
| WPA-Personal (PSK / SAE) | WPA-Enterprise (802.1X) | |
|---|---|---|
| Credencial | Senha compartilhada | Certificado por usuário, senha ou iPSK |
| Infraestrutura | Apenas os pontos de acesso | APs + servidor RADIUS (ou RADIUS-as-a-Service) |
| Revogação | Rotacionar a senha de toda a rede | Desativar um usuário no IdP |
| Trilha de auditoria | Nenhuma — todos os dispositivos parecem idênticos | Logs de sessão por usuário |
| Ideal para | Residências, locais pequenos de confiança única | Escritórios, hotéis, campi, estádios, qualquer ambiente regulamentado |
WPA3-Enterprise vs WPA2-Enterprise
O WPA3 não é apenas um WPA2 maior. Quatro mudanças são importantes para implantações empresariais.
Quadros de gerenciamento protegidos (PMF)
Os quadros de desautenticação e desassociação são assinados criptograficamente, para que os invasores não possam mais desconectar os clientes da rede com quadros forjados.
Modo Suite B de 192 bits
Modo opcional de alta segurança para governo, defesa e infraestrutura crítica. Criptografia Suite B em tudo — troca de chaves, criptografia e MAC.
Compatibilidade reversa
O WPA3-Enterprise pode ser executado em modo de transição no mesmo SSID que o WPA2, portanto, você não precisa de uma migração imediata. Clientes mais novos negociam WPA3; os mais antigos recorrem ao WPA2-Enterprise.
O fluxo de autenticação 802.1X
Três atores, um handshake. A sequência é a mesma, quer você use EAP-TLS, PEAP ou EAP-TTLS.
- O suplicante (laptop do cliente, telefone, IoT) tenta se associar.
- O autenticador (ponto de acesso) mantém o cliente em uma porta não controlada 802.1X, apenas retransmitindo quadros EAP.
- O suplicante apresenta sua credencial — um certificado (EAP-TLS), um nome de usuário + senha (PEAP) ou um iPSK.
- O servidor de autenticação (RADIUS) valida a credencial junto ao provedor de identidade.
- O RADIUS responde
Access-Acceptcom VLAN e política; o AP abre a porta controlada para o segmento correto. - A chave de sessão é derivada do handshake 802.1X — exclusiva para este dispositivo, nesta sessão.
Como a Purple implanta o WPA-Enterprise
A Purple opera o RADIUS e (opcionalmente) a autoridade de certificação como serviços em nuvem. Você mantém seus pontos de acesso existentes.
- Dia 0: Conecte seu IdP (Entra ID, Okta, Google Workspace). Escolha o método EAP — EAP-TLS para frotas gerenciadas, PEAP para implantações de transição, iPSK para BYOD.
- Dia 1: Aponte a configuração de RADIUS dos pontos de acesso para a Purple. Configure o SSID para WPA2 ou WPA3-Enterprise. Envie o perfil de integração via MDM.
- Contínuo: Os usuários são provisionados e desprovisionados via SCIM — sem rotações manuais de senha de WiFi. Os certificados são renovados automaticamente. O SIEM recebe o log de autenticação completo via webhook.
Cobertura em todos os produtos Purple
- WiFi para Funcionários: WPA2/3-Enterprise com EAP-TLS para laptops gerenciados e PEAP para dispositivos legados.
- WiFi Multi-inquilino: iPSK em um único SSID, com cada inquilino isolado em uma Private Area Network.
- WiFi para Visitantes: OpenRoaming/Passpoint no SSID público, com WPA3-Enhanced Open como alternativa quando apropriado.
- WiFi sem senha: o hub mais amplo que abrange EAP-TLS, iPSK, Passpoint e SAML.
- RADIUS-as-a-Service: o mecanismo RADIUS em nuvem que autentica cada solicitação de conexão.
Perguntas frequentes
O que é WPA-Enterprise?
O WPA-Enterprise é o modo de segurança IEEE 802.11 projetado para organizações. Em vez de uma única senha compartilhada (WPA-Personal), cada usuário ou dispositivo se autentica individualmente em um servidor RADIUS via 802.1X, normalmente com um certificado (EAP-TLS) ou nome de usuário e senha (PEAP). Cada sessão recebe uma chave de criptografia exclusiva e o acesso pode ser revogado por dispositivo sem interromper o restante da rede.
Qual é a diferença entre WPA2-Enterprise e WPA3-Enterprise?
O WPA3-Enterprise corrige pontos fracos conhecidos do WPA2-Enterprise. As mudanças mais importantes: a validação do certificado do servidor agora é obrigatória (fecha o vetor de ataque 'evil-twin' que assolava o WPA2), os quadros de gerenciamento são protegidos e o modo opcional Suite B de 192 bits oferece criptografia de nível de defesa. O WPA3-Enterprise é compatível com o WPA2-Enterprise em um modo de transição, para que você possa atualizar gradualmente.
Como funciona a autenticação 802.1X?
Três partes estão envolvidas. O suplicante (dispositivo cliente) solicita a conexão. O autenticador (ponto de acesso) mantém o cliente em estado de quarentena e encaminha suas mensagens EAP para um servidor de autenticação (RADIUS). O servidor RADIUS valida a credencial — certificado, senha ou token — e instrui o ponto de acesso a admitir ou rejeitar. Cada sessão bem-sucedida recebe uma chave de criptografia exclusiva derivada da autenticação, de modo que um dispositivo comprometido não possa descriptografar outro.
O que é EAP-TLS e por que ele é o padrão ouro?
O EAP-TLS usa um handshake TLS com autenticação mútua de certificados. O cliente prova sua identidade com um certificado de dispositivo, o servidor prova sua identidade com um certificado de servidor e a chave de sessão é negociada dentro do túnel criptografado. Não há senha para sofrer phishing ou ser roubada — seria necessário extrair a chave privada do próprio dispositivo. Para frotas gerenciadas com um MDM, o EAP-TLS é o padrão correto.
Posso implantar o WPA3-Enterprise em meus pontos de acesso existentes?
A maioria dos pontos de acesso de nível empresarial lançados a partir de 2020 suporta WPA3-Enterprise no firmware. Normalmente, você ativa o WPA3-Enterprise no SSID e mantém o WPA2 como alternativa durante a transição. APs mais antigos podem suportar apenas WPA2-Enterprise — eles ainda são seguros quando combinados com RADIUS em nuvem e EAP-TLS, portanto, uma atualização completa de hardware raramente é necessária.
Preciso executar um servidor RADIUS para usar o WPA-Enterprise?
Sim — o WPA-Enterprise é definido em torno de um servidor de autenticação externo, o que na prática significa RADIUS. Você pode executá-lo localmente (FreeRADIUS, Microsoft NPS, Cisco ISE) ou consumi-lo como um serviço. O Purple RADIUS-as-a-Service é a opção hospedada na nuvem que a maioria dos clientes escolhe quando não deseja operar servidores.
O WPA2-Enterprise ainda é seguro para implantação?
Sim, quando implantado corretamente. Os ataques conhecidos ao WPA2-Enterprise exigem um cliente mal configurado (sem validação de certificado de servidor, que é o que o WPA3 torna obrigatório) ou acesso físico a um dispositivo. Aplicar a validação do certificado do servidor via MDM e usar EAP-TLS encerra os riscos práticos. O WPA3-Enterprise ainda é preferido daqui para frente, mas não há motivo para pânico ao migrar uma implantação WPA2-Enterprise funcional.
Como lidar com dispositivos que não suportam 802.1X?
Duas boas opções. Primeiro, o iPSK (Identity PSK) fornece a cada dispositivo uma chave pré-compartilhada exclusiva em um único SSID — a experiência do usuário do WPA-Personal com a revogação por dispositivo do WPA-Enterprise. Segundo, o MAC Authentication Bypass (MAB) admite endereços MAC conhecidos em uma VLAN restrita. A Purple suporta ambos juntamente com WPA2/3-Enterprise na mesma rede.
WPA-Enterprise for your industry
See how wpa-enterprise works in venues like yours, and how Purple compares to alternatives.
WiFi seguro, nos pontos de acesso que você já possui
A Purple adiciona camadas de WPA2/3-Enterprise, RADIUS em nuvem e certificados gerenciados sobre Cisco, Aruba, Ruckus, Juniper Mist, Meraki ou Ubiquiti. No ar em poucos dias.