Saltar para o conteúdo principal

Autenticação Baseada em Certificados para Dispositivos Corporativos (EAP-TLS)

Este guia de referência técnica abrangente aborda a arquitetura, a implementação e as melhores práticas operacionais da autenticação baseada em certificados EAP-TLS para dispositivos corporativos. Desenvolvido para arquitetos de TI e líderes de operações de locais, fornece um roteiro prático para eliminar os riscos de credenciais baseadas em palavras-passe e obter um controlo de acesso à rede 802.1X robusto em ambientes empresariais multi-site.

📖 13 min de leitura📝 3,198 palavras🔧 3 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Autenticação Baseada em Certificados para Dispositivos Corporativos - EAP-TLS Um Briefing Técnico da Purple | Aproximadamente 10 Minutos --- INTRODUÇÃO E CONTEXTO - aproximadamente 1 minuto Bem-vindo à série de Briefings Técnicos da Purple. Eu sou o seu anfitrião e hoje vamos directos a uma das decisões mais importantes que uma equipa de TI que gere uma rede corporativa multi-site enfrentará em 2025 e 2026: se deve mudar a autenticação do WiFi dos funcionários de métodos baseados em palavras-passe para a autenticação baseada em certificados utilizando EAP-TLS. Se é um gestor de TI, arquitecto de rede ou CTO num grupo hoteleiro, cadeia de retalho, estádio ou organização do sector público, este briefing é para si. Vamos abordar o que é realmente o EAP-TLS nos bastidores, como implementá-lo sem perturbar as suas operações, onde se enquadra na sua postura de conformidade e os resultados reais que deve esperar. Sem teoria académica - apenas a orientação prática de que necessita para tomar uma decisão este trimestre. Vamos a isto. --- MERGULHO TÉCNICO PROFUNDO - aproximadamente 5 minutos Então, o que é o EAP-TLS? EAP significa Extensible Authentication Protocol e TLS significa Transport Layer Security - o mesmo protocolo criptográfico que protege o tráfego HTTPS em toda a web. O EAP-TLS está definido na norma IEEE 802.1X, o padrão de controlo de acesso à rede baseado em portas, e é amplamente considerado o método de autenticação sem fios mais forte disponível actualmente. A diferença fundamental entre o EAP-TLS e tudo o resto que possa estar a executar - PEAP-MSCHAPv2, EAP-TTLS ou uma chave pré-partilhada - é que realiza uma autenticação mútua baseada em certificados. Tanto o dispositivo cliente como o servidor RADIUS apresentam certificados digitais X.509 durante o handshake TLS. Nenhuma das partes pode fazer-se passar pela outra. Não existe qualquer palavra-passe na troca. Deixe-me explicar-lhe o que realmente acontece quando um portátil gerido se liga ao seu SSID corporativo utilizando EAP-TLS. Passo um: o dispositivo associa-se ao ponto de acesso e a troca 802.1X começa. O ponto de acesso - actuando como autenticador - passa tramas EAP entre o dispositivo e o seu servidor RADIUS. O servidor RADIUS envia o seu certificado de servidor para o cliente. O cliente valida esse certificado face à Autoridade de Certificação fidedigna que já conhece - normalmente a sua PKI interna ou uma CA alojada na nuvem. Passo dois: o cliente envia o seu próprio certificado - o certificado de dispositivo aprovisionado pelo seu MDM ou Group Policy - para o servidor RADIUS. O servidor RADIUS valida esse certificado face à mesma CA. Se ambos os certificados forem válidos, não expirados e não revogados, o túnel TLS é estabelecido e o servidor RADIUS envia uma mensagem Access-Accept de volta através do ponto de acesso. O dispositivo está na rede. Toda a troca demora menos de um segundo. Agora, os componentes de infraestrutura críticos de que necessita. Primeiro, uma Infraestrutura de Chaves Públicas - a sua PKI. Esta é a Autoridade de Certificação que emite e gere certificados. Para a maioria das implementações empresariais, trata-se do Microsoft Active Directory Certificate Services, uma CA local ou uma PKI alojada na nuvem, como a EJBCA, Smallstep ou um serviço gerido. Segundo, um servidor RADIUS - FreeRADIUS, Cisco ISE, Aruba ClearPass ou um serviço RADIUS na nuvem. Terceiro, uma MDM ou plataforma de gestão de endpoints - Intune, Jamf, Workspace ONE - para enviar certificados de dispositivos para a sua frota gerida. E quarto, a sua infraestrutura sem fios - pontos de acesso configurados para WPA2-Enterprise ou WPA3-Enterprise com 802.1X. A decisão de arquitetura principal é onde reside o seu servidor RADIUS. O RADIUS local oferece controlo total, mas adiciona custos de infraestrutura. O RADIUS na nuvem - cada vez mais a opção preferida para organizações multilocalização - elimina a necessidade de gerir servidores RADIUS em cada local e integra-se diretamente com o seu fornecedor de identidade na nuvem. Se quiser aprofundar esse padrão de implementação específico, a Purple tem um guia detalhado sobre como implementar o 802.1X com Cloud RADIUS que abrange os passos de configuração de ponta a ponta. Agora vamos falar sobre o lado da PKI, porque é aqui que a maioria das implementações tem sucesso ou fica estagnada. A sua CA é a raiz de confiança de todo o sistema. Cada certificado de dispositivo emitido por essa CA é de confiança do seu servidor RADIUS. Cada certificado de servidor RADIUS emitido por essa CA é de confiança dos seus dispositivos. Se um dispositivo for desativado, revoga o seu certificado - através de CRL ou OCSP - e este perde imediatamente o acesso à rede. Sem necessidade de redefinição de palavra-passe. Sem pedidos de suporte técnico. O dispositivo é simplesmente excluído. A gestão do ciclo de vida dos certificados é a disciplina operacional que dita o sucesso ou o fracasso de uma implementação EAP-TLS. Os certificados têm datas de validade - normalmente de um a dois anos para certificados de dispositivos. Se a sua MDM não os estiver a renovar automaticamente antes de expirarem, receberá chamadas de utilizadores que de repente não se conseguem ligar. O registo automático através dos protocolos SCEP ou EST, integrado na sua MDM, é inegociável para qualquer frota com mais de cerca de cinquenta dispositivos. Do lado da infraestrutura sem fios, o EAP-TLS funciona com qualquer fornecedor de pontos de acesso que suporte WPA2-Enterprise ou WPA3-Enterprise - Cisco, Aruba, Ruckus, Meraki, Ubiquiti, entre outros. A configuração do ponto de acesso é relativamente simples: aponte o AP para o seu servidor RADIUS, configure o segredo partilhado, ative o 802.1X no SSID. A complexidade está quase inteiramente nas camadas de PKI e MDM, e não na camada de rádio. - - - RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS - aproximadamente 2 minutos Permita-me apresentar-lhe a sequência prática de implementação que funciona no terreno. Comece com a sua PKI. Se não tiver uma, configure uma hierarquia de dois níveis - uma CA de raiz offline e uma CA de emissão online. Mantenha a CA de raiz offline. Emita o certificado do seu servidor RADIUS a partir da CA de emissão. Emita certificados de dispositivos através de inscrição automática (auto-enrolment) através do seu MDM. Antes de avançar para produção, faça um piloto com um grupo pequeno - de vinte a trinta dispositivos - num SSID de teste. Valide toda a cadeia de certificados, teste a revogação de certificados e confirme que o processo de renovação do MDM funciona de ponta a ponta. Só depois disso deve implementar para toda a frota. Estes são os três erros que vejo com mais frequência em implementações empresariais. Primeiro: má configuração da âncora de confiança do certificado. Se os seus dispositivos não confiarem explicitamente no certificado do seu servidor RADIUS - porque a cadeia da CA não foi enviada para o repositório de confiança do dispositivo - o handshake TLS falhará silenciosamente. O utilizador vê a mensagem "não foi possível ligar" sem qualquer erro útil. Valide sempre a cadeia de confiança em ambas as direções antes do lançamento. Segundo: desvio de âmbito com dispositivos BYOD. O EAP-TLS foi concebido para dispositivos geridos e de propriedade corporativa. Se tentar estendê-lo a dispositivos pessoais, deparar-se-á imediatamente com o problema de como aprovisionar certificados em dispositivos que não controla. A resposta é: não o faça. Utilize um SSID separado com um método de autenticação diferente - talvez PEAP ou um Captive Portal - para dispositivos pessoais. Mantenha o seu SSID EAP-TLS estritamente para a frota gerida. Terceiro: expiração de certificados em larga escala. Numa implementação de quinhentos ou mil dispositivos, se a renovação automática de certificados não estiver a funcionar corretamente, enfrentará uma vaga de falhas de autenticação quando os certificados expirarem em simultâneo. Teste o seu fluxo de trabalho de renovação sob carga antes de atingir a escala de produção. Para organizações multi-site - grupos hoteleiros, cadeias de retalho, operadores de estádios - o modelo RADIUS na nuvem é fortemente recomendado. Este elimina a infraestrutura RADIUS por local, centraliza a gestão de políticas e integra-se com o seu repositório de identidades na nuvem existente. Associe-o a uma PKI alojada na nuvem e toda a sua infraestrutura de autenticação torna-se operacionalmente gerível a partir de um único painel de controlo. - PERGUNTAS E RESPOSTAS RÁPIDAS - aproximadamente 1 minuto Algumas perguntas que oiço regularmente de equipas de TI. "O EAP-TLS funciona com WPA3?" Sim. O WPA3-Enterprise com o modo de segurança de 192 bits na verdade exige autenticação baseada em certificados, tornando o EAP-TLS a escolha natural. "Precisamos de substituir os nossos pontos de acesso?" Quase de certeza que não. Qualquer AP adquirido nos últimos cinco anos suportará WPA2-Enterprise com 802.1X. Verifique a versão do firmware e é provável que esteja pronto a avançar. "E quanto aos dispositivos IoT que não suportam certificados?" Esses dispositivos devem estar numa VLAN separada com a segmentação de rede apropriada. O EAP-TLS é para a sua frota de dispositivos geridos. A IoT é um problema à parte. "Como é que isto afeta a nossa postura de conformidade PCI-DSS?" Positivamente. O Requisito 8 do PCI-DSS exige uma autenticação forte para o acesso a ambientes de dados de titulares de cartões. A autenticação baseada em certificados cumpre esse requisito de forma mais robusta do que as palavras-passe. O seu QSA vai agradecer-lhe. "Qual é o cronograma típico de implementação?" Para uma implementação de raiz com uma nova PKI na nuvem e integração MDM, conte com oito a doze semanas. Se já tiver o Active Directory Certificate Services e o Intune, pode estar em produção em três a quatro semanas. - RESUMO E PRÓXIMOS PASSOS - aproximadamente 1 minuto Deixe-me resumir tudo isto. O EAP-TLS é o padrão de excelência para a autenticação WiFi corporativa. Elimina completamente o risco de credenciais baseadas em palavras-passe, fornece autenticação mútua entre o dispositivo e a rede e oferece uma identidade de dispositivo criptograficamente reforçada. A sobrecarga operacional é real - precisa de uma PKI, de um MDM e de uma infraestrutura RADIUS - mas para qualquer organização que gira mais de cinquenta dispositivos corporativos em vários locais, os benefícios de segurança e conformidade compensam significativamente o investimento. Os seus próximos passos imediatos: audite o seu método de autenticação atual e identifique se está a executar PEAP ou uma chave pré-partilhada. Avalie a sua cobertura de MDM - se não tiver a inscrição total de MDM da sua frota de dispositivos, esse é o pré-requisito a abordar primeiro. Em seguida, avalie as suas opções de PKI - os serviços de PKI alojados na nuvem reduziram drasticamente a barreira à entrada. E se quiser ver como a plataforma da Purple se integra com a sua infraestrutura 802.1X para gerir tanto o WiFi dos seus colaboradores como o seu WiFi de convidados a partir de uma única plataforma, entre em contacto com a nossa equipa de soluções. Obrigado por ouvir. Vemo-nos no próximo briefing.

header_image.png

Resumo Executivo

No moderno ambiente de rede empresarial, a autenticação sem fios baseada em palavra-passe é uma das vias mais vulneráveis para o roubo de credenciais, ataques de man-in-the-middle e acessos não autorizados à rede. Protocolos antigos como o PEAP-MSCHAPv2, embora historicamente populares devido à sua baixa barreira de entrada, dependem de credenciais de utilizador que são facilmente intercetadas através de pontos de acesso falsos ou comprometidas por engenharia social. Para gestores de TI, arquitetos de rede e CTOs que gerem patrimónios multi-site de elevado tráfego - hotéis, cadeias de retalho, estádios e escritórios do setor público - proteger a rede "WiFi de funcionários" é uma prioridade crítica para o negócio que afeta diretamente a continuidade do negócio, a confiança na marca e a conformidade regulamentar.

Este guia apresenta o plano técnico para a migração de dispositivos corporativos para o EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), o protocolo criptográfico padrão da indústria para autenticação mútua baseada em certificados sob a norma IEEE 802.1X. Ao substituir palavras-passe de utilizador falíveis por certificados digitais X.509 vinculados criptograficamente, o EAP-TLS elimina totalmente a superfície de ataque baseada em credenciais. A implementação do EAP-TLS garante que apenas dispositivos verificados e geridos corporativamente se possam associar a redes internas, simplificando a conformidade com normas rigorosas como o PCI-DSS e o GDPR, ao mesmo tempo que reduz drasticamente os pedidos de suporte relacionados com a expiração e reposição de palavras-passe.

Embora os benefícios de segurança do EAP-TLS sejam absolutos, uma implementação bem-sucedida exige uma abordagem estruturada para a Infraestrutura de Chaves Públicas (PKI), integração com Gestão de Dispositivos Móveis (MDM) e automação do ciclo de vida dos certificados. Este documento fornece a orientação técnica prática e os padrões arquitetónicos necessários para implementar, dimensionar e manter uma infraestrutura EAP-TLS robusta em ambientes empresariais complexos e multi-site.

Análise Técnica Detalhada

Fundamentos Criptográficos e Autenticação Mútua

Na sua essência, o EAP-TLS aplica o handshake de Transport Layer Security (TLS) ao controlo de acesso à rede sob a estrutura do Extensible Authentication Protocol (EAP), conforme definido na RFC 5216 [1]. Ao contrário dos métodos EAP baseados em palavra-passe (como PEAP ou EAP-TTLS), que estabelecem um túnel para proteger uma troca de credenciais antiga, o EAP-TLS utiliza TLS para realizar autenticação criptográfica mútua.

Durante o handshake EAP-TLS, tanto o cliente (conhecido como o suplicante na terminologia 802.1X) como o servidor RADIUS (o servidor de autenticação) devem apresentar certificados digitais X.509 válidos. O fluxo de autenticação processa-se da seguinte forma:

  1. Autenticação do servidor: O servidor RADIUS apresenta o seu certificado de servidor ao cliente. O cliente valida este certificado em relação ao seu armazenamento de confiança local, confirmando que está assinado por uma Autoridade de Certificação (CA) raiz fidedigna, não expirou e corresponde à identidade de servidor esperada (Common Name/Subject Alternative Name).
  2. Autenticação do cliente: Assim que a identidade do servidor é verificada, o cliente apresenta o seu certificado de dispositivo único ao servidor RADIUS. O servidor valida este certificado em relação ao seu armazenamento de confiança, confirmando a sua assinatura, período de validade e estado de revogação.
  3. Derivação de chaves: Após ambas as partes concluírem a verificação mútua, derivam criptograficamente uma Pairwise Master Key (PMK) e uma Group Temporal Key (GTK) únicas. Estas chaves são utilizadas para encriptar o tráfego wireless por via aérea através de WPA2-Enterprise ou WPA3-Enterprise, garantindo que cada sessão utiliza chaves de encriptação únicas e não reutilizáveis.

Como a autenticação depende inteiramente de criptografia assimétrica (RSA ou criptografia de curva elíptica), nenhum password, hash ou segredo partilhado é transmitido por via aérea ou armazenado no servidor de autenticação. Este design torna a rede completamente imune a ataques de força bruta offline, ataques de dicionário e recolha de credenciais através de pontos de acesso falsos.

architecture_overview.png

Componentes de Arquitetura

Uma implementação EAP-TLS de nível de produção compreende quatro pilares de infraestrutura fundamentais, cada um cumprindo uma função distinta dentro da cadeia de confiança:

Pilar Componente Função Técnica Opções de Nível Enterprise
PKI Autoridade de Certificação (CA) Emite, assina e gere o ciclo de vida dos certificados digitais X.509 para servidores e dispositivos. Active Directory Certificate Services (AD CS), Cloud PKI (Sectigo, EZCA, Smallstep), EJBCA
RADIUS Servidor de Autenticação Termina o handshake EAP-TLS, valida certificados e toma decisões de permissão/negação de admissão 802.1X. Cisco ISE, Aruba ClearPass, FreeRADIUS, Cloud RADIUS (JoinNow, Foxpass)
MDM Gestão de Dispositivos Implementa automaticamente perfis de confiança de CA raiz e aciona a inscrição de certificados SCEP/EST nos dispositivos. Microsoft Intune, Jamf Pro, Ivanti Neurons (MobileIron), VMware Workspace ONE
WLAN Infraestrutura de Rede Atua como o autenticador 802.1X, retransmitindo pacotes EAP entre o cliente e o RADIUS via RADIUS-over-UDP/TCP. Cisco Catalyst, Aruba AP, Ruckus Wireless, Mist Systems, Meraki AP
Identidade Fornecedor de Identidade (IdP) Mantém a fonte única de verdade para contas de utilizador e dispositivo, consultada pelo RADIUS durante a avaliação de políticas. Microsoft Entra ID, Okta, Active Directory, Google Workspace

Comparação de Métodos EAP

Para compreender por que o EAP-TLS é o padrão obrigatório para dispositivos de propriedade corporativa, vale a pena compará-lo com os outros métodos EAP comummente encontrados em ambientes empresariais:

comparison_chart.png

Como ilustra o gráfico acima, o EAP-TLS é o único método que alcança uma postura de segurança elevada enquanto elimina totalmente o risco baseado em palavras-passe. Métodos como PEAP-MSCHAPv2 continuam altamente suscetíveis a ataques de roubo de credenciais utilizando conjuntos de ferramentas básicos como o Hostapd-WPE, tornando-os inadequados para proteger recursos corporativos confidenciais no panorama de ameaças moderno.

Guia de Implementação

A implementação do EAP-TLS numa rede empresarial de vários sites exige uma execução sistemática nas camadas de PKI, MDM, RADIUS e infraestrutura sem fios. Os passos seguintes descrevem um framework de implementação independente de fornecedor e testado em produção.

Passo 1: Estabelecer a Infraestrutura de Chaves Públicas (PKI)

A PKI é a pedra angular criptográfica do EAP-TLS. Para a segurança empresarial, é vivamente recomendada uma arquitetura de CA de dois níveis:

  1. CA Raiz Offline: Uma Autoridade de Certificação offline e altamente segura, utilizada exclusivamente para assinar os certificados das CAs Emissoras. A chave privada da CA Raiz deve ser protegida por um Módulo de Segurança de Hardware (HSM) ou por controlos de acesso físico estritos.
  2. CA Emissora Online: Uma Autoridade de Certificação online ativa integrada com a sua rede e plataforma MDM, utilizada para emitir certificados para servidores RADIUS e dispositivos clientes.

Configuração do certificado do servidor RADIUS:

  • Emita um certificado de servidor para o seu servidor RADIUS a partir da CA Emissora.
  • Certifique-se de que o certificado inclui o OID de Uso Avançado de Chave (EKU) para Autenticação de Servidor (1.3.6.1.5.5.7.3.1).
  • Configure o Subject Alternative Name (SAN) para corresponder ao FQDN (fully qualified domain name) do servidor RADIUS.

Passo 2: Automatizar a Inscrição de Certificados de Cliente via MDM

A instalação manual de certificados não é escalável e introduz sérios riscos de segurança. As implementações empresariais devem utilizar uma plataforma MDM para automatizar o aprovisionamento de certificados através do Simple Certificate Enrolment Protocol (SCEP) ou Enrolment over Secure Transport (EST).

+-------------+         1. SCEP Profile Push         +------------+
|             | -----------------------------------> |            |
|     MDM     |                                      |   Client   |
|  (Intune/   | <----------------------------------- |   Device   |
|    Jamf)    |    3. SCEP Challenge Validation      |            |
+-------------+                                      +------------+
       ^                                                   |
       | 2. Challenge Get                                  | 4. SCEP Request
       v                                                   v
+-------------+                                      +------------+
|  SCEP/EST   | <----------------------------------- |  Issuing   |
|   Gateway   |       5. Certificate Issuance        |     CA     |
+-------------+                                      +------------+

Sequência de implementação do perfil MDM:

  1. Perfil Root CA: Implemente um perfil de certificado fidedigno que contenha os certificados públicos da Root CA e da Issuing CA no repositório de Autoridades de Certificação de raiz fidedignas do dispositivo. Isto garante que o dispositivo confia no certificado do servidor RADIUS.
  2. Perfil SCEP/EST: Configure um perfil de certificado SCEP apontando para o gateway SCEP da sua Issuing CA. Configure o perfil com:
    • Formato do nome do requerente: CN={{DevicePhysicalIds:AADDeviceId}} ou CN={{UserPrincipalName}}, para associar o certificado a uma identidade única de dispositivo ou utilizador.
    • Uso de Chave Alargado (EKU): Deve incluir Autenticação do Cliente (1.3.6.1.5.5.7.3.2).
    • Uso de chave: Assinatura digital, cifragem de chaves.
    • Tamanho da chave: Mínimo RSA 2048-bit ou ECC SECP256R1.
  3. Perfil WiFi: Implemente um perfil de rede sem fios configurado para WPA3-Enterprise (com fallback para WPA2-Enterprise) contendo:
    • Tipo de EAP: EAP-TLS.
    • Certificado de servidor fidedigno: Especifique explicitamente o FQDN do seu servidor RADIUS e selecione o perfil Root CA implementado no Passo 1 como a âncora de fidedignidade. Isto evita que os dispositivos se liguem a um servidor RADIUS malicioso.
    • Método de autenticação: Utilize o certificado registado através do perfil SCEP.

Passo 3: Configurar o Motor de Políticas RADIUS

O seu servidor RADIUS (por exemplo, Cisco ISE, Aruba ClearPass, ou Cloud RADIUS) deve ser configurado para processar pedidos de autenticação 802.1X recebidos dos pontos de acesso.

  1. Configuração do repositório de fidedignidade: Importe os certificados públicos da Root CA e da Issuing CA para o repositório de certificados fidedignos do servidor RADIUS. Ative a validação de certificados para a autenticação de clientes.
  2. Mapeamento da origem de identidade: Configure a política RADIUS para mapear a identidade extraída do Requerente ou SAN do certificado do cliente (por exemplo, o UPN ou ID de dispositivo Azure AD) para o seu fornecedor de identidade (como o Microsoft Entra ID ou Okta). Isto permite ao servidor RADIUS verificar se a conta do utilizador ou do dispositivo ainda está ativa no diretório antes de conceder acesso à rede.
  3. Regras de autorização: Crie políticas de autorização granulares com base nos atributos do certificado e nas associações a grupos de diretório. Por exemplo:
    • Regra 1: Se Certificate:Issuer for igual a Corporate Issuing CA e EntraID:DeviceStatus for igual a Compliant, atribua a VLAN 10 (rede de dados corporativa) e aplique uma ACL baseada em funções de alta prioridade.
    • Regra 2: Se Certificate:Issuer for igual a Corporate Issuing CA e EntraID:UserGroup for igual a Finance, atribua a VLAN 20 (rede segmentada de finanças).

Passo 4: Configurar a Infraestrutura Wireless LAN (WLAN)

Configure os seus controladores sem fios ou pontos de acesso geridos na nuvem (por exemplo, Cisco Catalyst, Aruba ou Meraki) para impor a autenticação 802.1X no SSID corporativo.

  1. Defina os servidores RADIUS: Adicione os endereços IP do seu servidor RADIUS e configure um segredo partilhado forte e único para cada AP ou controlador sem fios.
  2. Ative o WPA3-Enterprise: Configure o SSID corporativo para usar WPA3-Enterprise. O WPA3 fornece uma proteção robusta contra ataques de dicionário offline e exige Protected Management Frames (PMF), protegendo o tráfego de controlo pelo ar. Ofereça o WPA2-Enterprise como um modo de transição apenas onde existam clientes corporativos legados.
  3. Configuração 802.1X/EAP: Defina o tipo de autenticação para 802.1X. Ative a atribuição dinâmica de VLAN se o seu servidor RADIUS estiver configurado para retornar atributos de VLAN no pacote Access-Accept.

Melhores Práticas

Para garantir a estabilidade operacional, alta disponibilidade e uma segurança robusta, as implementações de EAP-TLS de nível empresarial devem aderir às seguintes melhores práticas padrão do setor:

1. Verificação de Revogação de Certificados

A validação em tempo real da validade do certificado é inegociável. Se um portátil corporativo for perdido ou roubado, o seu acesso à rede deve ser terminado imediatamente. Configure o seu servidor RADIUS para impor uma verificação de revogação rigorosa usando:

  • Online Certificate Status Protocol (OCSP): Altamente recomendado para validação em tempo real e de baixa latência de certificados individuais.
  • Listas de Revogação de Certificados (CRLs): Configure uma cache local da CRL no servidor RADIUS com atualizações frequentes (por exemplo, a cada 2 a 4 horas) para evitar falhas de autenticação se a CA ficar offline.
  • Política de salvaguarda: Defina o comportamento do RADIUS quando os servidores de revogação estiverem inacessíveis. Para ambientes de alta segurança, defina por predefinição "recusar acesso" (hard-fail). Para a continuidade do negócio em propriedades distribuídas de retalho ou hotelaria, pode ser aplicada uma política de "soft-fail" que restringe temporariamente o acesso a uma VLAN em quarentena.

2. Validação Rigorosa de Confiança do Lado do Cliente

Para mitigar ataques man-in-the-middle (MitM) - onde um atacante cria um ponto de acesso desonesto fazendo-se passar pelo SSID corporativo - os dispositivos dos clientes devem ser rigorosamente configurados para validar a identidade do servidor RADIUS. Isto é imposto através do perfil sem fios do MDM:

  • Desativar avisos ao utilizador: Garanta que a opção para "solicitar ao utilizador que confie em novos servidores ou autoridades de certificação" está desativada. Se ocorrer uma incompatibilidade de certificado de servidor, o dispositivo deve desligar-se silenciosamente em vez de permitir que o utilizador ignore o aviso.
  • Correspondência explícita de domínio: Restrinja os servidores fidedignos a FQDNs específicos (por exemplo, radius01.purple.ai ou radius02.purple.ai).

3. Segmentação de Rede e Controlo de Acesso Baseado em Funções (RBAC)

Uma autenticação 802.1X bem-sucedida não deve conceder acesso lateral irrestrito à rede corporativa. Implemente a segmentação de rede no limite sem fios:

  • Utilize atributos RADIUS (por exemplo, Tunnel-Private-Group-ID para VLANs ou Filter-Id para ACLs) para atribuir clientes dinamicamente a segmentos de rede isolados com base na sua função (por exemplo, executivo, engenharia, RH, finanças).
  • Associe isto a uma solução moderna de Network Access Control (NAC) para monitorizar continuamente a conformidade dos dispositivos. Se um dispositivo ativo deixar de estar em conformidade no seu MDM (por exemplo, firewall desativada ou malware detetado), o MDM deve acionar a revogação do certificado, ou notificar o NAC para reatribuir dinamicamente o dispositivo a uma VLAN de quarentena. Para uma visão abrangente dos principais sistemas de controlo, consulte o nosso guia: 10 Best Network Access Control (NAC) Solutions for 2026 .

4. Alta Disponibilidade e Redundância Geográfica

Para operações de locais multi-site, uma interrupção do RADIUS significa que os dispositivos dos funcionários param de funcionar instantaneamente. Garanta que a sua arquitetura é totalmente redundante:

  • Implemente pelo menos dois servidores RADIUS por região atrás de um balanceador de carga de nível empresarial, ou configure-os como alvos primários/secundários no controlador sem fios.
  • Para implementações globais (por exemplo, cadeias de hotéis internacionais ou marcas de retalho), tire partido de uma arquitetura Cloud RADIUS com pontos de presença (PoPs) distribuídos geograficamente para garantir handshakes de baixa latência e sobrevivência local. Este padrão é analisado em detalhe no nosso guia técnico How to Implement 802.1X Authentication with Cloud RADIUS .

Resolução de Problemas e Mitigação de Riscos

A implementação de EAP-TLS elimina problemas relacionados com palavras-passe, mas introduz dependências criptográficas e de infraestrutura. Compreender os modos de falha comuns e estabelecer um protocolo estruturado de resolução de problemas para as equipas operacionais é essencial.

Modos de Falha Comuns e Fluxos de Resolução

1. Falha de Handshake: "CA Desconhecida" ou "Certificado Não Confiável"

  • Sintoma: O dispositivo cliente tenta ligar-se, mas desliga-se imediatamente durante o handshake TLS. Os registos RADIUS mostram TLS Alert: Alert Certificate Unknown.
  • Causa raiz: O cliente não confia na Autoridade de Certificação (CA) que assinou o certificado do servidor RADIUS, ou o servidor RADIUS não confia na CA que assinou o certificado do cliente.
  • Resolução: Verifique se os certificados públicos da Root CA e da Issuing CA estão corretamente instalados no armazenamento de raiz confiável do cliente via MDM. Verifique se o armazenamento de confiança do servidor RADIUS contém o certificado da Issuing CA do cliente e se a própria cadeia de certificados do servidor RADIUS está completa.

2. Falha de Inscrição SCEP

  • Sintoma: Um novo dispositivo corporativo não consegue ligar-se ao WiFi porque não tem certificado de cliente. Os registos do MDM mostram erros de inscrição SCEP.
  • Causa raiz: O gateway SCEP está inacessível, a palavra-passe de desafio SCEP expirou ou o servidor NDES (Network Device Enrollment Service) está com recursos esgotados.
  • Resolução: Verifique a conectividade de rede entre o cliente, o MDM e o gateway SCEP. Reinicie o application pool IIS do NDES e verifique se o serviço de validação de desafio SCEP está a funcionar corretamente. Certifique-se de que a conta de serviço do MDM possui as permissões adequadas na AC.

3. Timeouts no Handshake Silencioso

  • Sintoma: O cliente tenta autenticar-se, mas a ligação expira. O registo RADIUS não mostra qualquer registo da tentativa ou mostra um handshake parcialmente interrompido.
  • Causa raiz: Fragmentação de IP. A troca EAP-TLS envolve payloads de certificado grandes, fazendo com que os pacotes EAP excedam o MTU padrão de 1500 bytes. Se um switch ou router intermédio descartar os pacotes fragmentados, o handshake expira.
  • Resolução: Configure o atributo Framed-MTU no servidor RADIUS e nos controladores wireless. Definir o Framed-MTU para 1344 ou 1300 força o servidor RADIUS a fragmentar as mensagens EAP em pacotes mais pequenos que atravessam a rede de forma limpa, sem fragmentação na camada IP.

Protocolo de Diagnóstico Estruturado

Ao resolver problemas de autenticação, os engenheiros de rede devem seguir este protocolo de diagnóstico sequencial:

+-------------------------------------------------------------+
| Passo 1: Verificar associação física/wireless no Access Point |
+-------------------------------------------------------------+
                               |
                               v
+-------------------------------------------------------------+
| Passo 2: Verificar a sessão EAP-TLS ativa nos registos em tempo real do RADIUS |
+-------------------------------------------------------------+
                               |
                               v
+-------------------------------------------------------------+
| Passo 3: Inspecionar detalhes do handshake TLS e OIDs de EKU do certificado |
+-------------------------------------------------------------+
                               |
                               v
+-------------------------------------------------------------+
| Passo 4: Validar a acessibilidade e o estado de latência de CRL/OCSP |
+-------------------------------------------------------------+
                               |
                               v
+-------------------------------------------------------------+
| Passo 5: Verificar o estado do diretório do endpoint no fornecedor de identidade (Identity Provider) |
+-------------------------------------------------------------+

ROI e Impacto no Negócio

A transição para o EAP-TLS representa uma mudança técnica significativa, mas o seu retorno do investimento (ROI) é rápido e mensurável em dimensões de segurança, operacionais e financeiras.

1. Eliminação do Risco Baseado em Credenciais

As redes baseadas em palavras-passe são inerentemente vulneráveis à partilha de credenciais, ataques de força bruta e engenharia social. Em setores com elevada rotatividade de pessoal, como a Hotelaria e o Retalho , gerir a segurança das palavras-passe é um pesadelo operacional. Quando um funcionário sai, alterar uma palavra-passe WPA2 partilhada em centenas de dispositivos é praticamente impossível, criando uma ameaça interna persistente. O EAP-TLS vincula o acesso à rede ao dispositivo físico. Quando um funcionário sai ou um dispositivo é desativado, o certificado é revogado no MDM, terminando instantaneamente o acesso à rede em todas as localizações físicas sem afetar qualquer outro dispositivo.

2. Custos Operacionais Reduzidos

De acordo com dados do setor, até 30% dos pedidos de suporte de TI estão relacionados com a redefinição de palavras-passe, bloqueios e problemas de conectividade sem fios causados pela expiração de credenciais. O EAP-TLS funciona inteiramente em segundo plano. Uma vez provisionado via MDM, a conectividade WiFi é automática, silenciosa e permanente. Os fluxos de trabalho automatizados de renovação de certificados garantem que os dispositivos permaneçam ligados sem a intervenção do utilizador, eliminando milhares de horas de produtividade perdida e reduzindo drasticamente os custos indiretos do suporte técnico. Para ambientes de grande escala, como hubs de Saúde ou Transportes , esta eficiência operacional traduz-se diretamente em centenas de milhares de libras em poupanças anuais de custos de suporte.

3. Conformidade e Alinhamento Regulatório

Para locais que lidam com dados sensíveis, o controlo robusto de acesso à rede é um mandato legal. O EAP-TLS satisfaz e acelera diretamente a conformidade com as principais estruturas regulatórias:

  • PCI-DSS 4.0 (Requisito 8): Exige autenticação criptográfica forte e verificação de credenciais exclusivas para todos os componentes do sistema que acedem ao ambiente de dados dos titulares de cartões. O EAP-TLS fornece uma identidade de dispositivo exclusiva e criptograficamente vinculada que satisfaz plenamente este requisito para redes corporativas em ambientes de retalho e hotelaria.
  • GDPR: Exige que as organizações implementem medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco. A autenticação TLS mútua fornece o mais alto nível de proteção contra o acesso não autorizado a sistemas corporativos que contêm dados pessoais.
  • ISO 27001 (Controlo A.8): Exige um controlo de acesso rigoroso e uma autenticação segura. O EAP-TLS fornece um registo preciso e criptograficamente auditável de qual o dispositivo físico que acedeu à rede, a que hora e a partir de qual ponto de acesso.

Matriz de Valor de Negócio

Para justificar a transição à liderança executiva, os diretores de TI podem aproveitar a seguinte matriz de valor de negócio:

Impulsionador de Negócio Antes do EAP-TLS (Palavras-passe/PEAP) Depois do EAP-TLS (Certificados) Impacto Financeiro e Operacional
Segurança de Credenciais Risco extremamente elevado de colheita de credenciais, partilha e ataques de força bruta. Criptograficamente seguro. Zero risco de roubo de credenciais por via aérea. Risco reduzido de violação de dados (o custo médio de uma violação excede £3,4 milhões).
Sobrecarga de Integração Introdução manual de credenciais, formação de utilizadores, resolução frequente de problemas de conectividade. Provisionamento em segundo plano sem intervenção (zero-touch) via MDM. Conectividade instantânea. Redução de 90% nos pedidos de suporte de integração relacionados com WiFi.
Desativação/Revogação Requer a alteração de segredos partilhados ou a desativação manual de contas em múltiplos sistemas. Revogação instantânea de certificados com um clique via MDM/RADIUS. Eliminação imediata de vetores de ameaças internas e acesso de dispositivos não autorizados.
Auditorias de Conformidade Difícil de provar a identidade exata do dispositivo; os registos dependem de credenciais de utilizador falíveis. Pista de auditoria criptograficamente verificável que vincula dispositivos físicos a sessões. Auditorias de conformidade simplificadas para PCI-DSS, GDPR e SOC 2.
Carga de Trabalho do Suporte Elevado volume de pedidos para redefinição de palavras-passe, expiração de credenciais e estados de bloqueio. Quase zero pedidos. Os certificados renovam-se de forma silenciosa e automática em segundo plano. Reatribuição do pessoal de TI a iniciativas estratégicas de elevado valor.

Ao enquadrar a migração para EAP-TLS em torno da mitigação de riscos, eficiência operacional e conformidade, os líderes de TI podem apresentar um caso de negócio convincente que alinha a segurança da rede diretamente com os objetivos financeiros e estratégicos da empresa.

Referências

Definições Principais

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Um protocolo de autenticação de rede definido por RFC que utiliza criptografia mútua baseada em certificados para proteger ligações sob o padrão 802.1X.

O padrão de ouro absoluto para a segurança sem fios corporativa, eliminando totalmente as palavras-passe.

Suplicante

O cliente de software executado num dispositivo final (como um portátil, tablet ou smartphone) que inicia um pedido de autenticação 802.1X e negoceia o handshake EAP.

O suplicante deve ser configurado via MDM para apresentar o certificado de cliente correto e confiar no servidor RADIUS.

Autenticador

O dispositivo de rede (normalmente um Access Point sem fios ou Switch com fios) que controla o acesso físico à rede. Ele passa pacotes EAP entre o Suplicante e o servidor RADIUS, mas não processa as credenciais por si mesmo.

O AP funciona como um guardião, mantendo a porta bloqueada até que o servidor RADIUS devolva um Access-Accept.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Auditoria (AAA) para utilizadores e dispositivos que se ligam a uma rede.

O servidor RADIUS termina o handshake EAP-TLS, valida os certificados e instrui o AP a conceder ou negar o acesso.

PKI

Public Key Infrastructure. Uma estrutura de funções, políticas, hardware, software e procedimentos necessários para criar, gerir, distribuir, utilizar, armazenar e revogar certificados digitais e gerir a encriptação de chave pública.

A PKI atua como a raiz de confiança; a sua Autoridade de Certificação assina as credenciais que comprovam a identidade na rede.

SCEP

Simple Certificate Enrolment Protocol. Um protocolo baseado em IP que automatiza a proteção e o fornecimento de certificados digitais a dispositivos de rede, normalmente geridos através de uma plataforma MDM.

O SCEP é crítico para dimensionar o EAP-TLS, permitindo que os dispositivos se registem e renovem certificados silenciosamente sem intervenção de TI.

OCSP

Online Certificate Status Protocol. Um protocolo de internet utilizado por dispositivos de rede para obter o estado de revogação de um certificado digital X.509 em tempo real, servindo como uma alternativa às CRLs.

Os servidores RADIUS usam OCSP para verificar instantaneamente se um certificado de cliente apresentado foi revogado devido à perda do dispositivo ou à rescisão do colaborador.

WPA3-Enterprise

O mais recente padrão de segurança da Wi-Fi Alliance para redes empresariais. Exige Protected Management Frames (PMF) e oferece um modo de segurança de 192 bits que se alinha com a criptografia NSA Suite B.

A combinação do WPA3-Enterprise com o EAP-TLS proporciona a postura de segurança sem fios mais elevada comercialmente disponível.

Exemplos Práticos

Uma marca de hotéis de luxo com 45 propriedades globalmente pretende proteger os seus dispositivos corporativos de back-of-house (portáteis da receção, tablets do pessoal de limpeza e smartphones dos gerentes) numa SSID dedicada. Atualmente, utilizam uma única chave pré-partilhada (PSK) em todas as propriedades, a qual já foi exposta várias vezes. Dispõem do Microsoft Entra ID e do Microsoft Intune para gestão de dispositivos, mas não possuem Active Directory local ou PKI.

Implemente uma arquitetura EAP-TLS Cloud-Native utilizando o Microsoft Intune e uma PKI alojada na nuvem integrada com o Cloud RADIUS.

  1. Configuração da PKI: Crie uma PKI alojada na nuvem (como o SCEPman ou EZCA) integrada diretamente com o Microsoft Entra ID. Gere um certificado de CA emissora.
  2. Configuração do Intune:
    • Crie um Perfil de Certificado Fidedigno no Intune e carregue o certificado público da CA emissora na nuvem. Atribua este perfil a 'Todos os Dispositivos' (Windows, iOS, Android).
    • Configure um Perfil de Certificado SCEP no Intune que aponte para o URL SCEP da PKI na nuvem. Defina o Formato do Nome do Requerente para CN={{AADDeviceId}} e o Nome Alternativo do Requerente para UPN. Adicione o OID de EKU de 'Autenticação de Cliente' (1.3.6.1.5.5.7.3.2).
    • Crie um Perfil de WiFi no Intune. Defina a SSID como 'Purple-Staff', o tipo de segurança como WPA3-Enterprise e o tipo de EAP como EAP-TLS. Selecione o Perfil de Certificado Fidedigno como a âncora de raiz e especifique os FQDNs dos servidores Cloud RADIUS. Associe o perfil de certificado SCEP como a credencial de cliente.
  3. Integração do RADIUS: Configure o serviço Cloud RADIUS (por exemplo, JoinNow ou Foxpass) para confiar na CA emissora na nuvem. Configure a política de RADIUS para validar os certificados de cliente no Entra ID, verificando se o dispositivo está marcado como 'Em Conformidade' no Intune antes de devolver um pacote Access-Accept.
  4. Configuração do Controlador Sem Fios: No controlador sem fios centralizado (ou painel de controlo na nuvem como Meraki/Aruba Central), configure a SSID 'Purple-Staff' para apontar para os endereços IP do Cloud RADIUS utilizando 802.1X. Ative o WPA3-Enterprise com o modo de transição WPA2-Enterprise.
Comentário do Examinador: Esta abordagem cloud-native é altamente recomendada para operadores de locais multi-site, como cadeias de hotéis. Ao evitar o Active Directory local e o legado AD CS, a marca de hotéis elimina a sobrecarga de infraestrutura local e evita a complexidade operacional de gerir VPNs ou servidores locais em cada propriedade. A utilização de perfis SCEP do Microsoft Intune garante que os tablets do pessoal de limpeza e os portáteis da receção sejam automaticamente aprovisionados com certificados exclusivos e não exportáveis. A integração do servidor RADIUS com o estado de conformidade do dispositivo do Entra ID proporciona uma postura de segurança dinâmica: se o tablet de um gerente for marcado como 'não conforme' devido a uma atualização de segurança em falta, o RADIUS nega imediatamente o acesso à rede, protegendo o ambiente do back-of-house contra movimentos de ameaças laterais.

Uma organização do setor público que gere 12 escritórios municipais locais pretende transferir 1.500 portáteis Windows corporativos de PEAP-MSCHAPv2 para EAP-TLS. Atualmente, possuem um ambiente local de Microsoft Active Directory Domain Services (AD DS) com Active Directory Certificate Services (AD CS) a atuar como a sua Enterprise CA. Os portáteis estão associados ao domínio e são geridos através de Objetos de Política de Grupo (GPOs).

Aproveite a infraestrutura existente de AD CS e Active Directory para implementar EAP-TLS através de auto-enrolment de Política de Grupo.

  1. Configuração da CA: No AD CS Issuing CA, duplique o modelo de certificado padrão 'Workstation Authentication'. Nomeie o novo modelo como 'Corporate Wireless Authentication'. No separador Segurança, conceda permissões de Leitura, Inscrição e Auto-enrolment a 'Domain Computers'. Certifique-se de que o modelo contém a EKU 'Client Authentication'.
  2. Configuração da Política de Grupo:
    • Crie um novo GPO denominado 'Wireless Certificate Auto-Enrollment'. Navegue para Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Public Key Policies. Abra 'Certificate Services Client - Auto-Enrollment', defina-o como 'Enabled' e selecione 'Renew expired certificates, update pending certificates, and remove revoked certificates'.
    • No mesmo GPO, navegue para Wireless Network (802.11) Policies. Crie uma nova política sem fios. Configure o nome do SSID, defina a segurança para WPA3-Enterprise, selecione EAP-TLS e selecione explicitamente o certificado AD CS Root CA na lista de certificados confiáveis. Especifique o FQDN dos servidores RADIUS locais (por exemplo, Cisco ISE).
  3. Política RADIUS (Cisco ISE): Importe o certificado AD CS Root CA para o repositório de Certificados Confiáveis do Cisco ISE. Configure uma Política de Autenticação para aceitar EAP-TLS. Configure uma Política de Autorização que verifique se o computador que se está a ligar pertence ao grupo do Active Directory 'Domain Computers' e, em caso afirmativo, atribua-o dinamicamente à VLAN corporativa segura.
Comentário do Examinador: Isto representa um padrão clássico de implementação empresarial local. Ao aproveitar o AD CS e a Política de Grupo, a organização obtém 100% de automatização na inscrição de certificados sem a necessidade de adquirir software de terceiros adicional. A principal vantagem arquitetónica é a forte integração com os Serviços de Domínio do Active Directory: quando um portátil é eliminado do AD (por exemplo, quando é desativado), a sua conta de computador torna-se inativa e o Cisco ISE rejeitará automaticamente o seu handshake EAP-TLS, mesmo que o certificado físico no dispositivo ainda não tenha expirado. O principal risco operacional é a latência de replicação do GPO nos 12 escritórios; as equipas de rede devem garantir que o auto-enrolment de certificados é concluído com sucesso através de ligações com fios antes de migrarem o SSID sem fios para o modo exclusivo EAP-TLS.

Uma empresa que opera um grande centro de exposições e congressos pretende proteger a sua rede corporativa utilizada por scanners de equipas de eventos, terminais de bilhetes e equipamentos de produção de media. O local regista uma elevada interferência de RF durante os eventos e necessita de tempos de roaming inferiores a um segundo para os funcionários que se deslocam numa área de 50.000 metros quadrados. Utilizam um controlador físico Ruckus SmartZone e servidores FreeRADIUS locais.

Implemente o EAP-TLS localmente com FreeRADIUS, otimizado para Fast Transition (802.11r) e mitigação de fragmentação de pacotes.

  1. PKI e Geração de Certificados: Use uma CA local para emitir certificados. Como os terminais de bilhetes e scanners podem executar sistemas operativos especializados (Android Enterprise, Linux personalizado), gere certificados de cliente usando chaves ECC SECP256R1 para reduzir o tamanho do payload do certificado, o que acelera o handshake criptográfico.
  2. Ajuste do FreeRADIUS:
    • Em eap.conf, defina fragment_size = 1024. Isto força o FreeRADIUS a fragmentar payloads de certificados grandes em pacotes EAP menores do que o MTU padrão da rede, evitando perdas de pacotes em ligações WAN ou canais sem fios congestionados.
    • Garanta que cache = yes está configurado na secção TLS para permitir a retoma da sessão TLS. Isto permite que os clientes em roaming se reautentiquem usando um handshake encurtado (sem reenviar certificados completos), reduzindo os tempos de roaming para menos de 50 milissegundos.
  3. Ajuste do Controlador Sem Fios (SmartZone):
    • Configure o SSID da equipa com WPA3-Enterprise e ative o 802.11r (Fast BSS Transition). Configure o roaming Over-the-Air (OTA).
    • Mapeie o SSID para os servidores FreeRADIUS primário e secundário.
    • Defina o timeout do RADIUS no controlador para 5 segundos com 3 tentativas para lidar com perdas ocasionais de pacotes RF sem derrubar as sessões dos clientes.
Comentário do Examinador: Ambientes de recintos com alta densidade apresentam desafios únicos na camada física para o 802.1X. O principal modo de falha nestes ambientes não é criptográfico, mas sim a perda de pacotes devido ao congestionamento de RF e à fragmentação de IP. Ao ajustar o `fragment_size` no FreeRADIUS para 1024, eliminamos falhas de autenticação silenciosas causadas por switches intermédios que descartam pacotes UDP fragmentados. A implementação do 802.11r Fast Transition combinada com a Retoma de Sessão TLS é crítica; permite que um scanner de bilhetes faça roaming de forma contínua entre APs no recinto de exposições sem realizar um handshake mútuo EAP-TLS completo de cada vez, mantendo a conectividade contínua à base de dados e evitando gargalos nas filas à entrada do recinto.

Perguntas de Prática

Q1. Uma cadeia de retalho com 300 lojas pretende implementar EAP-TLS para os seus scanners de inventário corporativos. Durante o projeto-piloto, descobrem que, embora os computadores portáteis se autentiquem em menos de um segundo, alguns scanners manuais mais antigos demoram até 10 segundos a autenticar-se ou falham por completo através de ligações WAN remotas que ligam as lojas ao servidor RADIUS central. Qual é a causa técnica mais provável deste problema e como deve ser resolvido?

Dica: Considere o tamanho do payload do certificado e o impacto da latência da WAN e da fragmentação de pacotes no tráfego RADIUS baseado em UDP.

Ver resposta modelo

O problema técnico é causado pela fragmentação de pacotes EAP combinada com a perda de pacotes e latência na WAN. Os handshakes EAP-TLS envolvem a transmissão de cadeias de certificados X.509 completas, que frequentemente excedem a MTU de rede padrão (1500 bytes). Quando estes payloads são enviados através de RADIUS baseado em UDP, têm de ser fragmentados. Se os routers WAN intermédios eliminarem um único fragmento, todo o handshake EAP falha e tem de expirar e reiniciar, o que é altamente percetível em ligações remotas de elevada latência.

Para resolver este problema, a equipa de rede deve:

  1. Ajustar a Framed-MTU: Configurar o atributo Framed-MTU no servidor RADIUS e no controlador sem fios para um valor inferior (como 1300 ou 1200). Isto força o servidor RADIUS a fragmentar as mensagens EAP na camada de aplicação em pacotes mais pequenos que podem atravessar a WAN sem fragmentação ao nível da camada IP.
  2. Otimizar o Tamanho do Certificado: Emitir novamente os certificados de cliente para os scanners utilizando Criptografia de Curva Elíptica (ECC) com chaves SECP256R1 em vez de RSA 2048. Os certificados ECC são significativamente mais pequenos (aprox. 300 bytes vs. 2048 bytes para RSA), reduzindo o número de fragmentos necessários para o handshake.
  3. Ativar a Retoma de Sessão TLS: Configurar o FreeRADIUS/RADIUS para armazenar em cache as sessões TLS. Quando um scanner efetua roaming ou se volta a ligar, pode realizar um handshake abreviado que não requer a transmissão da cadeia de certificados completa, reduzindo o tempo de autenticação para menos de 100 milissegundos.

Q2. Um administrador de segurança de TI configura um SSID EAP-TLS através de MDM. O administrador envia o certificado de cliente e o perfil sem fios para todos os computadores portáteis corporativos. No entanto, durante os testes, nota que os computadores portáteis ainda se ligam ocasionalmente a um ponto de acesso não autorizado (rogue AP) que transmite o mesmo nome de SSID, e surge um aviso a solicitar ao utilizador que confie num novo certificado de servidor. Que erro de configuração foi cometido no perfil MDM e qual é o risco de segurança?

Dica: Analise as definições de verificação de fidedignidade na configuração do perfil sem fios do MDM.

Ver resposta modelo

O erro de configuração é que o perfil de rede sem fios enviado via MDM não tem o Strict Server Trust Validation ativado. Especificamente, o administrador falhou ao não especificar explicitamente os FQDNs do servidor RADIUS confiável e não desativou a opção 'Prompt user to trust new servers'.

O risco de segurança é um ataque Man-in-the-Middle (MitM) / Rogue AP. Se um atacante configurar um ponto de acesso falso a transmitir o SSID corporativo e a apresentar um certificado autoassinado, o dispositivo do cliente tentará autenticar-se. Como a validação estrita não é imposta, o sistema operativo solicita ao utilizador que confie no novo certificado. Se um funcionário não técnico clicar em 'Confiar' ou 'Ligar de qualquer forma', o AP falso pode estabelecer uma ligação. Embora o EAP-TLS impeça o atacante de roubar a palavra-passe do utilizador (uma vez que nenhuma é enviada), o atacante pode agora intercetar tráfego de rede não encriptado, realizar spoofing de DNS ou executar ataques locais no dispositivo final.

Q3. O operador de um estádio implementou EAP-TLS para 200 terminais POS (Point of Sale) móveis de funcionários utilizados durante os jogos. No dia do jogo, quando 50.000 adeptos entraram no estádio, os terminais POS sofreram quebras de autenticação e desconexões frequentes, afetando gravemente as vendas de concessão. Os registos do RADIUS mostraram taxas elevadas de erros 'Handshake Timeout' e 'Max Retries Exceeded', mas a utilização de CPU e memória nos servidores RADIUS permaneceu abaixo de 15%. Que fatores da camada física e lógica causaram esta falha, e como deve a arquitetura ser otimizada?

Dica: Considere o impacto do congestionamento extremo de RF nos handshakes criptográficos e o papel dos protocolos de otimização de roaming.

Ver resposta modelo

Esta falha é um caso clássico de congestionamento de RF que leva a timeouts de handshake criptográfico. O EAP-TLS requer várias tramas de ida e volta (normalmente 4 a 6 idas e voltas) para concluir o handshake TLS mútuo. Num ambiente de estádio com 50.000 dispositivos de clientes ativos, as bandas de 2.4GHz e 5GHz sofrem colisões graves de pacotes e elevadas taxas de nova tentativa. Como o EAP-TLS gera muito tráfego no ar, a perda de um pacote em qualquer uma das tramas do handshake força a máquina de estados EAP a expirar por timeout e a reiniciar todo o handshake, gerando uma cascata de falhas.

Para otimizar a arquitetura e resolver o problema, o operador deve implementar as seguintes otimizações físicas e lógicas:

  1. Ativar Fast Roaming (802.11r): Configure o 802.11r (Fast BSS Transition) no SSID do POS. Isto permite que os terminais negociem chaves de roaming antes de se moverem para um novo AP, reduzindo a troca de dados pelo ar durante os roamings.
  2. Implementar TLS Session Resumption: Garanta que o servidor RADIUS tem o TLS session caching ativado. Quando um terminal se volta a ligar ou faz roaming, pode realizar um handshake abreviado (exigindo apenas 1 a 2 idas e voltas e sem transmissão de certificado), reduzindo significativamente o consumo de tempo de antena e a exposição à perda de pacotes de RF.
  3. Sintonização de RF Dedicada: Mova os terminais POS exclusivamente para as bandas de 5GHz ou 6GHz. Desative os 2.4GHz no SSID do POS. Implemente um planeamento de canais rigoroso, reduza a largura do canal para 20MHz para maximizar os canais não sobrepostos disponíveis e configure taxas mínimas de dados básicos (por exemplo, desativando taxas abaixo de 12Mbps ou 24Mbps) para libertar o overhead de tramas de gestão das ondas de rádio.

Continue a ler esta série

Optimização de Roaming para VoIP e Chamadas de Vídeo em WiFi Corporativo

Este guia fornece aos gestores de TI, arquitetos de rede e CTOs um plano abrangente e neutro de fabricante para optimizar o roaming WiFi para suportar VoIP e chamadas de vídeo sem falhas em redes de colaboradores corporativos. Abrange a pilha de protocolos IEEE 802.11k/r/v, configuração WMM QoS, design de célula RF e mapeamento de QoS com fios de ponta a ponta necessário para alcançar uma latência de handoff inferior a 50ms. Aplicável em ambientes de hotelaria, retalho, saúde e grandes recintos, esta referência inclui cenários reais de implementação, estruturas de resolução de problemas e uma análise de ROI mensurável.

Ler o guia →

WPA3-Enterprise vs. WPA2-Enterprise: Atualizar o WiFi dos Seus Colaboradores

Este guia de referência técnica de autoridade descreve as diferenças arquitetónicas, melhorias de segurança e estratégias de migração para atualizar as redes sem fios de colaboradores de WPA2-Enterprise para WPA3-Enterprise. Concebido para decisores de TI seniores e arquitetos de rede, fornece planos de implementação práticos, estudos de caso reais em hotelaria e retalho, e uma estrutura abrangente de mitigação de riscos para garantir uma transição perfeita, mantendo a conformidade com PCI DSS v4.0 e GDPR Artigo 32.

Ler o guia →

Conceção de Redes WiFi Seguras para Funcionários Separadas do Tráfego de Convidados

Um guia de referência técnica de autoridade para arquitetos de rede e líderes de TI sobre a conceção de redes WiFi seguras e de alto desempenho para funcionários. Detalha a segmentação lógica e física do tráfego operacional das redes públicas de convidados utilizando VLANs, autenticação 802.1X e WPA3-Enterprise para cumprir os requisitos de conformidade (PCI DSS, GDPR) e eliminar os riscos de segurança de movimento lateral.

Ler o guia →