Autenticação 802.1X Explicada para Redes Corporativas

Autenticação 802.1X Explicada para Redes Corporativas. Um Briefing de Informação da Purple WiFi. Bem-vindo. Se é responsável pela segurança de rede numa organização multi-site — seja um grupo hoteleiro, uma cadeia de retalho, um estádio ou um património do setor público — este briefing é para si. Nos próximos dez minutos, vamos cobrir tudo o que precisa de saber sobre a autenticação 802.1X: o que é, como funciona nos bastidores, como implementá-la corretamente e as armadilhas que apanham a maioria das organizações. Vamos a isso. Secção um: Contexto e por que razão isto é importante agora. O panorama de ameaças para o WiFi corporativo mudou drasticamente. As redes com chave pré-partilhada — aquelas em que todos sabem a palavra-passe do WiFi — já não são aceitáveis para redes de funcionários em ambientes regulados. Sob a versão 4.0 do PCI DSS, que entrou em pleno vigor em 2024, as organizações que lidam com dados de cartões de pagamento devem implementar controlos de acesso fortes em qualquer rede que toque no ambiente de dados do titular do cartão. O GDPR impõe obrigações semelhantes a qualquer rede que transporte dados pessoais. E com o trabalho híbrido a significar que os funcionários se ligam a partir de dispositivos geridos e não geridos em dezenas de locais, o antigo modelo de perímetro simplesmente já não se sustenta. O 802.1X é o padrão IEEE que resolve isto. Ele fornece controlo de acesso à rede baseado em portas — o que significa que um dispositivo não se pode ligar de todo à rede até ser autenticado num repositório de identidade central. Não apenas uma palavra-passe partilhada. Uma identidade real verificada. Essa é a mudança fundamental. Secção dois: Mergulho técnico profundo. Vamos analisar a arquitetura. O 802.1X define três funções. O suplicante — que é o dispositivo final, o portátil ou smartphone que se tenta ligar. O autenticador — que é o ponto de acesso sem fios ou o switch de rede. E o servidor de autenticação — que em praticamente todas as implementações empresariais é um servidor RADIUS. Eis como funciona o handshake. Quando um dispositivo tenta ligar-se a um SSID protegido, o ponto de acesso coloca esse dispositivo num estado não autenticado. Ele não consegue aceder à rede. O AP envia uma trama EAP Request Identity para o dispositivo. EAP significa Extensible Authentication Protocol — é a estrutura que transporta as credenciais reais. O dispositivo responde com a sua identidade. O AP encaminha isto para o servidor RADIUS, encapsulado num pacote RADIUS Access-Request. O servidor RADIUS desafia então o dispositivo — o desafio específico depende de qual método EAP está a utilizar. O dispositivo responde com as suas credenciais. O servidor RADIUS valida essas credenciais no seu repositório de identidade — Active Directory, LDAP ou um IdP na nuvem — e envia de volta um Access-Accept ou um Access-Reject. Se for um Accept, o AP abre a porta e o dispositivo obtém acesso à rede. Se for um Reject, o dispositivo permanece bloqueado. Toda a troca demora menos de um segundo. Agora, a seleção do método EAP é onde a maioria dos arquitetos passa o seu tempo. Tem quatro opções principais. O EAP-TLS é o padrão de excelência. Requer um certificado de cliente em cada dispositivo, o que significa que precisa de uma infraestrutura PKI, mas fornece autenticação mútua — o servidor prova a sua identidade ao cliente, e o cliente prova a sua identidade ao servidor. Nenhuma credencial pode ser alvo de phishing porque não há palavras-passe envolvidas. Esta é a escolha certa para frotas de dispositivos totalmente geridas. O PEAP — Protected EAP — é o método mais amplamente implementado na prática. Cria um túnel TLS utilizando apenas um certificado de servidor e, em seguida, passa as credenciais de utilizador e palavra-passe dentro desse túnel. É significativamente mais fácil de implementar do que o EAP-TLS porque não necessita de certificados de cliente, e é suportado nativamente em todos os principais sistemas operativos. O reverso da medalha é que depende de os utilizadores validarem o certificado do servidor, o que na prática muitas vezes não fazem. Uma implementação PEAP adequada requer o bloqueio da configuração do suplicante para que este confie apenas no certificado do seu servidor RADIUS específico. O EAP-TTLS é semelhante ao PEAP, mas mais flexível no método de autenticação interna. É particularmente útil em ambientes com dispositivos legados ou terminais não-Windows. O EAP-FAST foi desenvolvido pela Cisco como uma alternativa mais rápida que utiliza Protected Access Credentials em vez de certificados, mas é menos comummente implementado em novas instalações. O próprio servidor RADIUS merece atenção. As duas opções de código aberto dominantes são o FreeRADIUS, que alimenta uma proporção significativa de implementações empresariais a nível global, e o Microsoft NPS — Network Policy Server — que está incluído no Windows Server e se integra nativamente com o Active Directory. As opções comerciais incluem o Cisco ISE, Aruba ClearPass e Portnox Cloud, que oferece um modelo de RADIUS-as-a-service nativo na nuvem que elimina totalmente a necessidade de infraestrutura de servidores no local. A atribuição de VLAN é uma das funcionalidades mais poderosas de uma implementação 802.1X devidamente configurada. O servidor RADIUS pode retornar atributos de VLAN na resposta Access-Accept, atribuindo dinamicamente o dispositivo autenticado ao segmento de rede apropriado. Um membro da equipa autentica-se e entra na VLAN da equipa. Um prestador de serviços autentica-se com credenciais diferentes e entra numa VLAN restrita com acesso limitado. Um dispositivo que falhe a validação do certificado é colocado numa VLAN de quarentena. Isto é segmentação dinâmica e constitui um controlo de segurança significativo. Secção três: Recomendações de implementação e as armadilhas a evitar. Deixe-me dar-lhe a sequência de implementação que funciona. Comece com uma auditoria de rede. Antes de tocar numa única configuração, documente todos os dispositivos que precisarão de se autenticar. Isto inclui impressoras, telefones IP, sistemas de gestão de edifícios, câmaras de CCTV — qualquer dispositivo que se ligue à rede. Estes dispositivos headless não têm um supplicant e não podem fazer 802.1X. Precisará de uma estratégia para eles, normalmente MAC Authentication Bypass com uma lista de permissões estrita de endereços MAC e colocação numa VLAN isolada. Passo dois: configure a sua infraestrutura RADIUS. Para resiliência, precisa no mínimo de um servidor RADIUS primário e secundário. Configure os seus pontos de acesso para fazerem failover automaticamente. Uma interrupção do RADIUS que bloqueie todos os funcionários da rede é um incidente P1. Não permita que isso aconteça por ter implementado um único servidor. Passo três: implemente a sua PKI se optar por EAP-TLS. Utilize os seus Active Directory Certificate Services existentes ou um fornecedor de PKI na nuvem. O auto-enrolment através de Política de Grupo torna a implementação de certificados de cliente gerível à escala. Passo quatro: configure as suas políticas de rede. Defina as suas políticas de autenticação no RADIUS — quais os utilizadores ou grupos de dispositivos que recebem quais atribuições de VLAN, o que acontece com autenticações falhadas, como lida com o tráfego de convidados versus funcionários. É aqui que aplica o princípio do privilégio mínimo na camada de rede. Passo cinco: faça um piloto antes de lançar. Escolha um local, um piso, um SSID. Teste todos os tipos de dispositivos. Teste cenários de falha. Teste o que acontece quando o servidor RADIUS está inacessível. Só depois expanda. Agora, as armadilhas. A mais comum que vejo é a configuração incorreta da validação de certificados em implementações PEAP. Se a sua política de supplicant não exigir a validação do certificado do servidor, estará vulnerável a ataques de AP falsos, onde um atacante configura um ponto de acesso falso e recolhe credenciais. Bloqueie os seus perfis de supplicant através de Política de Grupo ou MDM. A segunda armadilha é ignorar os dispositivos não-802.1X até ao dia do lançamento. Dispositivos IoT, impressoras e sistemas legados irão arruinar a sua implementação se não tiver planeado para eles. O MAC Authentication Bypass é o seu aliado aqui, mas precisa de ser configurado antes de ativar a transição. A terceira armadilha são os pontos únicos de falha no RADIUS. Já vi organizações implementarem um único servidor NPS e descobrirem que toda a rede de funcionários fica inativa durante uma reinicialização de atualização do Windows. Implemente sempre uma infraestrutura RADIUS redundante. Secção quatro: Perguntas rápidas. O 802.1X pode funcionar em conjunto com uma rede WiFi de convidados? Absolutamente. O seu SSID de convidados funciona separadamente — normalmente utilizando uma abordagem de Captive Portal — enquanto o seu SSID de funcionários exige 802.1X. São SSIDs completamente independentes com VLANs separadas. A plataforma da Purple lida com o lado dos convidados, com ferramentas de análise e envolvimento integradas, enquanto a sua infraestrutura 802.1X protege o lado dos funcionários. O 802.1X substitui uma VPN? Não. O 802.1X controla a admissão à rede — quem se pode ligar à rede. Uma VPN encripta o tráfego em trânsito e estende a rede corporativa através de ligações não confiáveis. Servem propósitos diferentes e são frequentemente utilizados em conjunto. Qual é o impacto no desempenho do roaming? Com o 802.1X, cada vez que um dispositivo faz roaming entre pontos de acesso, precisa de se autenticar novamente. Na maioria das implementações empresariais, isto é impercetível. O caching PMK e o OKC — Opportunistic Key Caching — reduzem significativamente a sobrecarga de nova autenticação. Para ambientes de alta densidade, como estádios ou centros de conferências, vale a pena configurar isto explicitamente. O WPA3-Enterprise substitui o 802.1X? Não — o WPA3-Enterprise utiliza o 802.1X para autenticação. O WPA3 melhora a camada de encriptação, exigindo especificamente o modo de segurança de 192 bits para as implementações mais sensíveis. O 802.1X é a estrutura de autenticação subjacente. Secção cinco: Resumo e próximos passos. Eis o que deve reter desta sessão. O 802.1X é o único mecanismo de autenticação de nível empresarial para WiFi corporativo. As chaves pré-partilhadas não são aceitáveis para ambientes regulados. Escolha o seu método EAP com base na sua frota de dispositivos — EAP-TLS se tiver dispositivos geridos e uma PKI, PEAP se precisar de uma compatibilidade mais ampla. Planeie para dispositivos não-802.1X antes de implementar, não depois. Implemente uma infraestrutura RADIUS redundante — um único servidor é um ponto único de falha. Utilize a atribuição dinâmica de VLAN para impor a segmentação de rede no momento da autenticação. E faça um piloto exaustivo antes de implementar em toda a sua infraestrutura. Se está a desenvolver uma implementação multi-site e precisa de estruturar a arquitetura, a equipa técnica da Purple trabalha diariamente com arquitetos de rede nos setores da hotelaria, retalho e setor público. A combinação de WiFi seguro para funcionários através de 802.1X e WiFi inteligente para convidados através da plataforma da Purple oferece-lhe uma estratégia de rede completa e segmentada que cumpre tanto as suas obrigações de segurança como os seus requisitos de experiência de convidado. Terminamos assim esta sessão. Obrigado por ouvir.