Saltar para o conteúdo principal

Autenticação Baseada em Certificados para Dispositivos Corporativos (EAP-TLS)

Este guia de referência técnica abrangente aborda a arquitetura, a implementação e as melhores práticas operacionais da autenticação baseada em certificados EAP-TLS para dispositivos corporativos. Desenvolvido para arquitetos de TI e líderes de operações de locais físicos, fornece um roteiro prático para eliminar os riscos de credenciais baseadas em palavras-passe e alcançar um controlo de acesso à rede 802.1X robusto em ambientes empresariais multilocalização.

📖 13 min de leitura📝 3,687 palavras🔧 3 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Autenticação Baseada em Certificados para Dispositivos Corporativos - EAP-TLS Uma Apresentação Técnica da Purple | Aproximadamente 10 Minutos --- INTRODUÇÃO E CONTEXTO - aproximadamente 1 minuto Bem-vindo à série de Apresentações Técnicas da Purple. Sou o seu anfitrião e hoje vamos direto a uma das decisões mais importantes que uma equipa de TI que gere uma rede corporativa multi-site enfrentará em 2025 e 2026: migrar ou não a autenticação de WiFi dos seus colaboradores de métodos baseados em palavra-passe para a autenticação baseada em certificados usando EAP-TLS. Se é gestor de TI, arquiteto de rede ou CTO num grupo hoteleiro, cadeia de retalho, estádio ou organização do setor público, esta apresentação é para si. Vamos abordar o que é realmente o EAP-TLS nos bastidores, como implementá-lo sem interromper as suas operações, onde se enquadra na sua postura de conformidade e os resultados reais que deve esperar. Sem teorias académicas - apenas a orientação prática que precisa para tomar uma decisão este trimestre. Vamos a isso. --- ANÁLISE TÉCNICA DETALHADA - aproximadamente 5 minutos Então, o que é o EAP-TLS? EAP significa Extensible Authentication Protocol, e TLS significa Transport Layer Security - o mesmo protocolo criptográfico que protege o tráfego HTTPS em toda a web. O EAP-TLS é definido sob o IEEE 802.1X, o padrão de controlo de acesso à rede baseado em porta, e é amplamente considerado o método de autenticação sem fios mais forte disponível atualmente. A diferença fundamental entre o EAP-TLS e tudo o resto que possa estar a executar - PEAP-MSCHAPv2, EAP-TTLS ou uma chave pré-partilhada - é que este realiza uma autenticação mútua baseada em certificados. Tanto o dispositivo cliente como o servidor RADIUS apresentam certificados digitais X.509 durante o handshake TLS. Nenhuma das partes se pode fazer passar pela outra. Não existe qualquer palavra-passe na troca. Deixe-me explicar o que acontece realmente quando um portátil gerido se liga ao SSID corporativo usando EAP-TLS. Passo um: o dispositivo associa-se ao ponto de acesso e a troca 802.1X começa. O ponto de acesso - atuando como o autenticador - passa tramas EAP entre o dispositivo e o seu servidor RADIUS. O servidor RADIUS envia o seu certificado de servidor para o cliente. O cliente valida esse certificado face à Autoridade de Certificação fidedigna que já conhece - normalmente a sua PKI interna ou uma CA alojada na nuvem. Passo dois: o cliente envia o seu próprio certificado - o certificado de dispositivo aprovisionado pelo seu MDM ou Group Policy - para o servidor RADIUS. O servidor RADIUS valida esse certificado face à mesma CA. Se ambos os certificados forem válidos, não estiverem expirados e não estiverem revogados, o túnel TLS é estabelecido e o servidor RADIUS envia uma mensagem de Access-Accept de volta através do ponto de acesso. O dispositivo está na rede. Toda a troca demora menos de um segundo. Agora, os componentes de infraestrutura críticos de que necessita. Primeiro, uma Infraestrutura de Chaves Públicas - a sua PKI. Esta é a Autoridade de Certificação que emite e gere certificados. Para a maioria das implementações empresariais, trata-se de Microsoft Active Directory Certificate Services, uma CA local ou uma PKI alojada na nuvem como EJBCA, Smallstep, ou um serviço gerido. Segundo, um servidor RADIUS - FreeRADIUS, Cisco ISE, Aruba ClearPass, ou um serviço RADIUS na nuvem. Terceiro, uma plataforma de MDM ou gestão de endpoints - Intune, Jamf, Workspace ONE - para enviar certificados de dispositivos para a sua frota gerida. E quarto, a sua infraestrutura sem fios - pontos de acesso configurados para WPA2-Enterprise ou WPA3-Enterprise com 802.1X. A decisão de arquitetura fundamental é onde reside o seu servidor RADIUS. O RADIUS local oferece controlo total mas adiciona custos de infraestrutura. O RADIUS na nuvem - cada vez mais a opção preferida para organizações com vários locais - elimina a necessidade de gerir servidores RADIUS em cada localização e integra-se diretamente com o seu fornecedor de identidade na nuvem. Se quiser aprofundar esse padrão de implementação específico, a Purple tem um guia detalhado sobre a implementação de 802.1X com RADIUS na nuvem que abrange as etapas de configuração do início ao fim. Agora vamos falar sobre a PKI, porque é aqui que a maioria das implementações é bem-sucedida ou fica estagnada. A sua CA é a raiz de confiança de todo o sistema. Cada certificado de dispositivo emitido por essa CA é confiado pelo seu servidor RADIUS. Cada certificado de servidor RADIUS emitido por essa CA é confiado pelos seus dispositivos. Se um dispositivo for desativado, o seu certificado é revogado - via CRL ou OCSP - e perde imediatamente o acesso à rede. Sem necessidade de reposição de palavra-passe. Sem pedidos de suporte ao help desk. O dispositivo é simplesmente excluído. A gestão do ciclo de vida dos certificados é a disciplina operacional que dita o sucesso ou o fracasso de uma implementação EAP-TLS. Os certificados têm datas de expiração - normalmente um a dois anos para certificados de dispositivos. Se o seu MDM não os estiver a renovar automaticamente antes da expiração, receberá chamadas de utilizadores que, de repente, não conseguem ligar-se. A inscrição automática através de protocolos SCEP ou EST, integrada com o seu MDM, é inegociável para qualquer frota maior do que cerca de cinquenta dispositivos. No lado da infraestrutura sem fios, o EAP-TLS funciona com qualquer fornecedor de pontos de acesso que suporte WPA2-Enterprise ou WPA3-Enterprise - Cisco, Aruba, Ruckus, Meraki, Ubiquiti, entre outros. A configuração do ponto de acesso é relativamente simples: aponte o AP para o seu servidor RADIUS, configure o segredo partilhado, ative o 802.1X no SSID. A complexidade está quase inteiramente nas camadas de PKI e MDM, não na camada de rádio. --- RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS - aproximadamente 2 minutos Permita-me que lhe apresente a sequência prática de implementação que funciona no terreno. Comece com a sua PKI. Se não tiver uma, crie uma hierarquia de dois níveis - uma CA raiz offline e uma CA emissora online. Mantenha a CA raiz offline. Emita o certificado do seu servidor RADIUS a partir da CA emissora. Emita certificados de dispositivos através de inscrição automática através do seu MDM. Antes de avançar para a produção, faça um piloto com um pequeno grupo - vinte a trinta dispositivos - num SSID de teste. Valide a cadeia de certificados completa, teste a revogação de certificados e confirme que o seu processo de renovação do MDM funciona de ponta a ponta. Só depois disso deve implementar para toda a frota. Os três erros que vejo com mais frequência em implementações empresariais. Primeiro: configuração incorreta da âncora de confiança do certificado. Se os seus dispositivos não confiarem explicitamente no certificado do seu servidor RADIUS - porque a cadeia da CA não é enviada para o repositório de confiança do dispositivo - o handshake TLS falhará silenciosamente. O utilizador vê "não foi possível ligar" sem qualquer erro útil. Valide sempre a cadeia de confiança de ambas as direções antes do lançamento. Segundo: desvio de âmbito do BYOD. O EAP-TLS foi concebido para dispositivos geridos e de propriedade corporativa. Se tentar estendê-lo a dispositivos pessoais, deparar-se-á imediatamente com o problema de como aprovisionar certificados em dispositivos que não controla. A resposta é: não o faça. Utilize um SSID separado com um método de autenticação diferente - talvez PEAP ou um Captive Portal - para dispositivos pessoais. Mantenha o seu SSID EAP-TLS estritamente para a frota gerida. Terceiro: expiração de certificados em escala. Numa implementação de quinhentos ou mil dispositivos, se a renovação automática de certificados não estiver a funcionar corretamente, enfrentará uma vaga de falhas de autenticação quando os certificados expirarem em simultâneo. Teste o seu fluxo de trabalho de renovação sob carga antes de atingir a escala de produção. Para organizações multi-site - grupos hoteleiros, cadeias de retalho, operadores de estádios - o modelo RADIUS na nuvem é fortemente recomendado. Este elimina a infraestrutura RADIUS por site, centraliza a gestão de políticas e integra-se com a sua pilha de identidade na nuvem existente. Combine-o com uma PKI alojada na nuvem e toda a sua infraestrutura de autenticação torna-se operacionalmente gerível a partir de um único painel de controlo. --- PERGUNTAS E RESPOSTAS RÁPIDAS - aproximadamente 1 minuto Algumas perguntas que ouço regularmente de equipas de TI. "O EAP-TLS funciona com WPA3?" Sim. O WPA3-Enterprise com modo de segurança de 192 bits exige, na verdade, autenticação baseada em certificados, tornando o EAP-TLS a escolha natural. "Precisamos de substituir os nossos pontos de acesso?" Quase de certeza que não. Qualquer AP adquirido nos últimos cinco anos suportará WPA2-Enterprise com 802.1X. Verifique a versão do seu firmware e é provável que esteja pronto para avançar. "E quanto aos dispositivos IoT que não suportam certificados?" Esses dispositivos devem estar numa VLAN separada com segmentação de rede apropriada. O EAP-TLS destina-se à sua frota de dispositivos geridos. A IoT é um problema separado. "Como é que isto afeta a nossa postura de conformidade PCI-DSS?" Positivamente. O Requisito 8 do PCI-DSS exige uma autenticação forte para o acesso a ambientes de dados de titulares de cartões. A autenticação baseada em certificados satisfaz esse requisito de forma mais robusta do que as palavras-passe. O seu QSA vai agradecer-lhe. "Qual é o cronograma de implementação típico?" Para uma implementação de raiz com uma nova PKI na nuvem e integração de MDM, preveja de oito a doze semanas. Se já tiver o Active Directory Certificate Services e o Intune, poderá estar em produção em três a quatro semanas. - RESUMO E PRÓXIMOS PASSOS - aproximadamente 1 minuto Permita-me resumir tudo isto. O EAP-TLS é o padrão de excelência para a autenticação de WiFi corporativa. Elimina totalmente o risco de credenciais baseadas em palavras-passe, fornece autenticação mútua entre o dispositivo e a rede, e oferece-lhe uma identidade de dispositivo imposta criptograficamente. A sobrecarga operacional é real - precisa de uma PKI, um MDM e uma infraestrutura RADIUS - mas para qualquer organização que gira mais de cinquenta dispositivos corporativos em vários locais, os benefícios de segurança e conformidade superam significativamente o investimento. Os seus próximos passos imediatos: audite o seu método de autenticação atual e identifique se está a executar PEAP ou uma chave pré-partilhada. Avalie a sua cobertura de MDM - se não tiver a inscrição total de MDM da sua frota de dispositivos, esse é o pré-requisito a abordar primeiro. De seguida, avalie as suas opções de PKI - os serviços de PKI alojados na nuvem reduziram drasticamente a barreira de entrada. E se quiser ver como a plataforma da Purple se integra com a sua infraestrutura 802.1X para gerir tanto o WiFi dos seus funcionários como o WiFi de convidados a partir de uma única plataforma, entre em contacto com a nossa equipa de soluções. Obrigado por ouvir. Vemo-nos no próximo briefing.

header_image.png

Resumo Executivo

No ambiente de rede empresarial moderno, a autenticação sem fios baseada em palavra-passe é uma das vias mais vulneráveis para roubo de credenciais, ataques de homem no meio (man-in-the-middle) e acesso não autorizado à rede. Protocolos antigos como o PEAP-MSCHAPv2, embora historicamente populares devido à sua baixa barreira de entrada, dependem de credenciais de utilizador que são facilmente intercetadas através de pontos de acesso falsos ou comprometidas por engenharia social. Para gestores de TI, arquitetos de rede e CTOs que gerem propriedades de elevado tráfego e múltiplos locais - hotéis, cadeias de retalho, estádios e escritórios do setor público - proteger a rede "WiFi do pessoal" é uma prioridade crítica para o negócio que afeta diretamente a continuidade das operações, a confiança na marca e a conformidade regulamentar.

Este guia define o plano técnico para migrar dispositivos de propriedade corporativa para o EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), o protocolo criptográfico padrão da indústria para autenticação mútua baseada em certificados sob a norma IEEE 802.1X. Ao substituir palavras-passe de utilizador falíveis por certificados digitais X.509 vinculados criptograficamente, o EAP-TLS elimina totalmente a superfície de ataque baseada em credenciais. A implementação do EAP-TLS garante que apenas dispositivos verificados e geridos corporativamente se possam associar a redes internas, simplificando a conformidade com normas rigorosas como o PCI-DSS e o GDPR, ao mesmo tempo que reduz drasticamente os pedidos de suporte técnico relacionados com a expiração e reposição de palavras-passe.

Embora os benefícios de segurança do EAP-TLS sejam absolutos, uma implementação bem-sucedida exige uma abordagem estruturada à Infraestrutura de Chaves Públicas (PKI), à integração de Gestão de Dispositivos Móveis (MDM) e à automatização do ciclo de vida dos certificados. Este documento fornece a orientação técnica prática e os padrões de arquitetura necessários para implementar, dimensionar e manter uma infraestrutura EAP-TLS robusta em ambientes empresariais complexos e de múltiplos locais.

Análise Técnica Detalhada

Fundamentos Criptográficos e Autenticação Mútua

Na sua essência, o EAP-TLS aplica o protocolo de handshake Transport Layer Security (TLS) ao controlo de acesso à rede sob a estrutura do Extensible Authentication Protocol (EAP), conforme definido na norma RFC 5216 [1]. Ao contrário dos métodos EAP baseados em palavra-passe (como o PEAP ou o EAP-TTLS), que estabelecem um túnel para proteger uma troca de credenciais antiga, o EAP-TLS utiliza TLS para realizar autenticação criptográfica mútua.

Durante o handshake EAP-TLS, tanto o cliente (conhecido como o suplicante na terminologia 802.1X) como o servidor RADIUS (o servidor de autenticação) devem apresentar certificados digitais X.509 válidos. O fluxo de autenticação ocorre da seguinte forma:

  1. Autenticação do servidor: O servidor RADIUS apresenta o seu certificado de servidor ao cliente. O cliente valida este certificado com base no seu repositório de confiança local, confirmando que este está assinado por uma Autoridade de Certificação (CA) raiz fidedigna, que não expirou e que corresponde à identidade do servidor esperada (Common Name/Subject Alternative Name).
  2. Autenticação do cliente: Assim que a identidade do servidor é verificada, o cliente apresenta o seu certificado de dispositivo exclusivo ao servidor RADIUS. O servidor valida este certificado em relação ao seu repositório de confiança, confirmando a sua assinatura, período de validade e estado de revogação.
  3. Derivação de chave: Depois de ambas as partes concluírem a verificação mútua, derivam criptograficamente uma Pairwise Master Key (PMK) e uma Group Temporal Key (GTK) exclusivas. Estas chaves são utilizadas para encriptar o tráfego sem fios por via aérea através de WPA2-Enterprise ou WPA3-Enterprise, garantindo que cada sessão utiliza chaves de encriptação exclusivas e não reutilizáveis.

Como a autenticação depende inteiramente de criptografia assimétrica (RSA ou criptografia de curva elíptica), nenhum código, hash ou segredo partilhado é transmitido por via aérea ou armazenado no servidor de autenticação. Este design torna a rede completamente imune a ataques de força bruta offline, ataques de dicionário e recolha de credenciais através de pontos de acesso falsificados.

architecture_overview.png

Componentes Arquitetónicos

Uma implementação EAP-TLS de nível de produção compreende quatro pilares de infraestrutura fundamentais, cada um desempenhando um papel distinto dentro da cadeia de confiança:

Pilar Componente Função Técnica Opções de Nível Empresarial
PKI Autoridade de Certificação (CA) Emite, assina e gere o ciclo de vida dos certificados digitais X.509 para servidores e dispositivos. Active Directory Certificate Services (AD CS), Cloud PKI (Sectigo, EZCA, Smallstep), EJBCA
RADIUS Servidor de Autenticação Termina o handshake EAP-TLS, valida certificados e toma decisões de permissão/negação de admissão 802.1X. Cisco ISE, Aruba ClearPass, FreeRADIUS, Cloud RADIUS (JoinNow, Foxpass)
MDM Gestão de Dispositivos Implementa automaticamente perfis de confiança de CA raiz e aciona a inscrição de certificados SCEP/EST nos dispositivos. Microsoft Intune, Jamf Pro, Ivanti Neurons (MobileIron), VMware Workspace ONE
WLAN Infraestrutura de Rede Atua como o autenticador 802.1X, retransmitindo pacotes EAP entre o cliente e o RADIUS através de RADIUS-over-UDP/TCP. Cisco Catalyst, Aruba AP, Ruckus Wireless, Mist Systems, Meraki AP
Identidade Fornecedor de Identidade (IdP) Mantém a única fonte de verdade para as contas de utilizadores e dispositivos, consultada pelo RADIUS durante a avaliação de políticas. Microsoft Entra ID, Okta, Active Directory, Google Workspace

Comparação de Métodos EAP

Para compreender por que razão o EAP-TLS é o padrão obrigatório para dispositivos de propriedade corporativa, vale a pena compará-lo com os outros métodos EAP comumente encontrados em ambientes empresariais:

comparison_chart.png

Como ilustra o gráfico acima, o EAP-TLS é o único método que alcança uma postura de segurança elevada, eliminando totalmente o risco baseado em palavras-passe. Métodos como o PEAP-MSCHAPv2 continuam altamente suscetíveis a ataques de roubo de credenciais utilizando conjuntos de ferramentas básicos como o Hostapd-WPE, tornando-os inadequados para proteger recursos corporativos sensíveis no cenário moderno de ameaças.

Guia de Implementação

A implementação do EAP-TLS numa rede empresarial de múltiplos locais requer uma execução sistemática em todas as camadas de PKI, MDM, RADIUS e infraestrutura sem fios. Os passos seguintes descrevem uma estrutura de implementação independente de fornecedor e testada em produção.

Passo 1: Estabelecer a Public Key Infrastructure (PKI)

A PKI é a base criptográfica do EAP-TLS. Para a segurança empresarial, é fortemente recomendada uma arquitetura CA de dois níveis:

  1. Root CA Offline: Uma Autoridade de Certificação offline e altamente segura, utilizada exclusivamente para assinar os certificados das CAs Emissoras. A chave privada da Root CA deve ser protegida por um Hardware Security Module (HSM) ou por controlos rigorosos de acesso físico.
  2. Issuing CA Online: Uma Autoridade de Certificação online ativa e integrada na sua plataforma de rede e MDM, utilizada para emitir certificados a servidores RADIUS e dispositivos de clientes.

Configuração do certificado do servidor RADIUS:

  • Emita um certificado de servidor para o seu servidor RADIUS a partir da Issuing CA.
  • Garanta que o certificado inclui o OID de Extended Key Usage (EKU) para Autenticação de Servidor (1.3.6.1.5.5.7.3.1).
  • Configure o Subject Alternative Name (SAN) para corresponder ao fully qualified domain name (FQDN) do servidor RADIUS.

Passo 2: Automatizar a Inscrição de Certificados de Cliente via MDM

A instalação manual de certificados não é escalável e introduz sérios riscos de segurança. As implementações empresariais devem utilizar uma plataforma MDM para automatizar o aprovisionamento de certificados através do Simple Certificate Enrolment Protocol (SCEP) ou Enrolment over Secure Transport (EST).

+-------------+         1. SCEP Profile Push         +------------+
|             | -----------------------------------> |            |
|     MDM     |                                      |   Client   |
|  (Intune/   | <----------------------------------- |   Device   |
|    Jamf)    |    3. SCEP Challenge Validation      |            |
+-------------+                                      +------------+
       ^                                                   |
       | 2. Challenge Get                                  | 4. SCEP Request
       v                                                   v
+-------------+                                      +------------+
|  SCEP/EST   | <----------------------------------- |  Issuing   |
|   Gateway   |       5. Certificate Issuance        |     CA     |
+-------------+                                      +------------+

Sequência de implementação do perfil MDM:

  1. Perfil de CA Raiz: Implemente um perfil de certificado confiável contendo os certificados públicos da CA Raiz e da CA Emissora no repositório de Autoridades de Certificação de raiz confiável do dispositivo. Isto garante que o dispositivo confia no certificado do servidor RADIUS.
  2. Perfil SCEP/EST: Configure um perfil de certificado SCEP que aponte para o gateway SCEP da sua CA Emissora. Configure o perfil com:
    • Formato do nome do requerente: CN={{DevicePhysicalIds:AADDeviceId}} ou CN={{UserPrincipalName}}, para associar o certificado a uma identidade de dispositivo ou utilizador única.
    • Extended Key Usage (EKU): Deve incluir Autenticação do Cliente (1.3.6.1.5.5.7.3.2).
    • Utilização da chave: Assinatura digital, cifragem de chaves.
    • Tamanho da chave: Mínimo RSA de 2048 bits ou ECC SECP256R1.
  3. Perfil de WiFi: Implemente um perfil de rede sem fios configurado para WPA3-Enterprise (com fallback para WPA2-Enterprise) contendo:
    • Tipo de EAP: EAP-TLS.
    • Certificado de servidor confiável: Especifique explicitamente o FQDN do seu servidor RADIUS e selecione o perfil de CA Raiz implementado no Passo 1 como a âncora de confiança. Isto evita que os dispositivos se liguem a um servidor RADIUS malicioso.
    • Método de autenticação: Utilize o certificado registado através do perfil SCEP.

Passo 3: Configure o Motor de Políticas RADIUS

O seu servidor RADIUS (por exemplo, Cisco ISE, Aruba ClearPass, ou Cloud RADIUS) deve ser configurado para processar os pedidos de autenticação 802.1X recebidos dos pontos de acesso.

  1. Configuração do repositório de confiança: Importe os certificados públicos da CA Raiz e da CA Emissora para o repositório de certificados confiáveis do servidor RADIUS. Ative a validação de certificados para a autenticação do cliente.
  2. Mapeamento da origem de identidade: Configure a política RADIUS para mapear a identidade extraída do Requerente ou SAN do certificado do cliente (por exemplo, o UPN ou ID de dispositivo Azure AD) para o seu fornecedor de identidade (como o Microsoft Entra ID ou Okta). Isto permite ao servidor RADIUS verificar se a conta do utilizador ou do dispositivo ainda está ativa no diretório antes de conceder acesso à rede.
  3. Regras de autorização: Crie políticas de autorização granulares com base nos atributos do certificado e nas associações a grupos de diretório. Por exemplo:
    • Regra 1: Se Certificate:Issuer for igual a Corporate Issuing CA e EntraID:DeviceStatus for igual a Compliant, atribua a VLAN 10 (rede de dados corporativa) e aplique uma ACL baseada em funções de alta prioridade.
    • Regra 2: Se Certificate:Issuer for igual a Corporate Issuing CA e EntraID:UserGroup for igual a Finance, atribua a VLAN 20 (rede segmentada das finanças).

Passo 4: Configure a Infraestrutura de Wireless LAN (WLAN)

Configure os seus controladores sem fios ou pontos de acesso geridos na nuvem (por exemplo, Cisco Catalyst, Aruba ou Meraki) para impor a autenticação 802.1X no SSID corporativo.

  1. Defina os servidores RADIUS: Adicione os endereços IP do seu servidor RADIUS e configure um segredo partilhado forte e único para cada ponto de acesso ou controlador sem fios.
  2. Ative o WPA3-Enterprise: Configure o SSID corporativo para utilizar WPA3-Enterprise. O WPA3 oferece uma proteção robusta contra ataques de dicionário offline e exige Protected Management Frames (PMF), protegendo o tráfego de controlo pelo ar. Disponibilize o WPA2-Enterprise como um modo de transição apenas onde existam clientes corporativos legados.
  3. Configuração de 802.1X/EAP: Defina o tipo de autenticação para 802.1X. Ative a atribuição dinâmica de VLAN se o seu servidor RADIUS estiver configurado para devolver atributos de VLAN no pacote Access-Accept.

Melhores Práticas

Para garantir a estabilidade operacional, alta disponibilidade e uma segurança robusta, as implementações EAP-TLS de nível empresarial devem aderir às seguintes melhores práticas padrão do setor:

1. Verificação de Revogação de Certificados

A validação em tempo real da validade do certificado é inegociável. Se um portátil corporativo for perdido ou roubado, o seu acesso à rede deve ser terminado imediatamente. Configure o seu servidor RADIUS para impor uma verificação de revogação rigorosa utilizando:

  • Online Certificate Status Protocol (OCSP): Altamente recomendado para validação em tempo real e de baixa latência de certificados individuais.
  • Listas de Revogação de Certificados (CRLs): Configure uma cache local da CRL no servidor RADIUS com atualizações frequentes (por exemplo, a cada 2 a 4 horas) para evitar interrupções de autenticação caso a autoridade de certificação fique offline.
  • Política de tolerância a falhas: Defina o comportamento do RADIUS quando os servidores de revogação estiverem inacessíveis. Para ambientes de alta segurança, predefina para "negar acesso" (hard-fail). Para a continuidade de negócio em propriedades distribuídas de retalho ou hotelaria, pode ser aplicada uma política de "soft-fail" que restringe temporariamente o acesso a uma VLAN em quarentena.

2. Validação Rigorosa de Confiança do Lado do Cliente

Para mitigar ataques man-in-the-middle (MitM) - onde um atacante cria um ponto de acesso falso que se passa pelo SSID corporativo - os dispositivos dos clientes devem ser rigorosamente configurados para validar a identidade do servidor RADIUS. Isto é imposto através do perfil sem fios do MDM:

  • Desativar avisos ao utilizador: Garanta que a opção de "solicitar ao utilizador que confie em novos servidores ou autoridades de certificação" está desativada. Se ocorrer uma incompatibilidade de certificado de servidor, o dispositivo deve desligar-se silenciosamente em vez de permitir que o utilizador ignore o aviso.
  • Correspondência explícita de domínio: Restrinja os servidores confiáveis a FQDNs específicos (por exemplo, radius01.purple.ai ou radius02.purple.ai).

3. Segmentação de Rede e Controlo de Acesso Baseado em Funções (RBAC)

Uma autenticação 802.1X bem-sucedida não deve conceder acesso lateral ilimitado à rede corporativa. Implemente a segmentação de rede no limite sem fios:

  • Utilize atributos RADIUS (por exemplo, Tunnel-Private-Group-ID para VLANs ou Filter-Id para ACLs) para atribuir dinamicamente clientes a segmentos de rede isolados com base na sua função (por exemplo, executivo, engenharia, RH, finanças).
  • Combine isto com uma solução moderna de Network Access Control (NAC) para monitorizar continuamente a conformidade do dispositivo. Se um dispositivo ativo deixar de estar em conformidade no seu MDM (por exemplo, firewall desativada ou malware detetado), o MDM deve acionar a revogação do certificado ou notificar o NAC para reatribuir dinamicamente o dispositivo a uma VLAN de quarentena. Para uma visão abrangente dos principais sistemas de controlo, consulte o nosso guia: 10 Best Network Access Control (NAC) Solutions for 2026 .

4. Alta Disponibilidade e Redundância Geográfica

Para operações em locais com vários espaços, uma interrupção do RADIUS significa que os dispositivos dos funcionários deixam de funcionar instantaneamente. Garanta que a sua arquitetura é totalmente redundante:

  • Implemente pelo menos dois servidores RADIUS por região atrás de um balanceador de carga de nível empresarial ou configure-os como destinos primários/secundários no controlador sem fios.
  • Para implementações globais (por exemplo, cadeias de hotéis internacionais ou marcas de retalho), aproveite uma arquitetura Cloud RADIUS com pontos de presença (PoPs) distribuídos geograficamente para garantir handshakes de baixa latência e sobrevivência local. Este padrão é explorado em detalhe no nosso guia técnico How to Implement 802.1X Authentication with Cloud RADIUS .

Resolução de Problemas e Mitigação de Riscos

A implementação de EAP-TLS elimina problemas relacionados com palavras-passe, mas introduz dependências criptográficas e de infraestrutura. Compreender os modos de falha comuns e estabelecer um protocolo estruturado de resolução de problemas para as equipas operacionais é essencial.

Modos de Falha Comuns e Fluxos de Resolução

1. Falha de Handshake: "CA Desconhecida" ou "Certificado Não Confiável"

  • Sintoma: O dispositivo cliente tenta ligar-se mas desliga-se imediatamente durante o handshake TLS. Os registos do RADIUS mostram TLS Alert: Alert Certificate Unknown.
  • Causa raiz: O cliente não confia na Autoridade de Certificação (CA) que assinou o certificado do servidor RADIUS ou o servidor RADIUS não confia na CA que assinou o certificado do cliente.
  • Resolução: Verifique se os certificados públicos da Root CA e da Issuing CA estão instalados corretamente no armazenamento de raiz confiável do cliente via MDM. Verifique se o armazenamento confiável do servidor RADIUS contém o certificado da Issuing CA do cliente e se a própria cadeia de certificados do certificado do servidor RADIUS está completa.

2. Falha de Inscrição SCEP

  • Sintoma: Um novo dispositivo corporativo não consegue ligar-se ao WiFi porque não possui certificado de cliente. Os registos de MDM mostram erros de inscrição SCEP.
  • Causa raiz: O gateway SCEP está inacessível, a palavra-passe de desafio SCEP expirou ou o servidor NDES (Network Device Enrollment Service) está sem recursos.
  • Resolução: Verifique a conetividade de rede entre o cliente, o MDM e o gateway SCEP. Reinicie o pool de aplicações IIS do NDES e verifique se o serviço de validação de desafios SCEP está a funcionar corretamente. Certifique-se de que a conta de serviço MDM possui as permissões adequadas na CA.

3. Timeouts no Handshake Silencioso

  • Sintoma: O cliente tenta autenticar-se, mas a ligação expira. O registo RADIUS não mostra qualquer registo da tentativa ou mostra um handshake parcialmente interrompido.
  • Causa raiz: Fragmentação de IP. A troca EAP-TLS envolve payloads de certificados de grande dimensão, fazendo com que os pacotes EAP excedam a MTU padrão de 1500 bytes. Se um switch ou router intermédio descartar os pacotes fragmentados, o handshake expira.
  • Resolução: Configure o atributo Framed-MTU no servidor RADIUS e nos controladores sem fios. Definir o Framed-MTU para 1344 ou 1300 força o servidor RADIUS a fragmentar as mensagens EAP em pacotes mais pequenos que atravessam a rede de forma limpa, sem fragmentação na camada IP.

Protocolo de Diagnóstico Estruturado

Ao resolver problemas de autenticação, os engenheiros de rede devem seguir este protocolo de diagnóstico sequencial:

+-------------------------------------------------------------+
| Passo 1: Verificar a associação física/sem fios no Access Point |
+-------------------------------------------------------------+
                               |
                               v
+-------------------------------------------------------------+
| Passo 2: Verificar a sessão EAP-TLS ativa nos registos em tempo real do RADIUS |
+-------------------------------------------------------------+
                               |
                               v
+-------------------------------------------------------------+
| Passo 3: Inspecionar os detalhes do handshake TLS e os OIDs de EKU do certificado |
+-------------------------------------------------------------+
                               |
                               v
+-------------------------------------------------------------+
| Passo 4: Validar a acessibilidade e o estado de latência de CRL/OCSP |
+-------------------------------------------------------------+
                               |
                               v
+-------------------------------------------------------------+
| Passo 5: Verificar o estado do diretório de endpoints no Identity Provider |
+-------------------------------------------------------------+

ROI e Impacto no Negócio

A transição para o EAP-TLS representa uma mudança técnica significativa, mas o seu retorno do investimento (ROI) é rápido e mensurável em termos de segurança, operacionais e financeiros.

1. Eliminação do Risco Baseado em Credenciais

As redes baseadas em palavra-passe são inerentemente vulneráveis à partilha de credenciais, ataques de força bruta e engenharia social. Em setores com elevada rotação de pessoal, como a Hospitality e o Retail , gerir a segurança das palavras-passe é um pesadelo operacional. Quando um funcionário sai, alterar uma palavra-passe WPA2 partilhada em centenas de dispositivos é praticamente impossível, criando uma ameaça interna persistente. O EAP-TLS vincula o acesso à rede ao dispositivo físico. Quando um funcionário sai ou um dispositivo é desativado, o certificado é revogado no MDM, terminando instantaneamente o acesso à rede em todas as localizações físicas sem afetar qualquer outro dispositivo.

2. Redução de Custos Operacionais

De acordo com dados do setor, até 30% dos pedidos de suporte de TI estão relacionados com redefinições de palavras-passe, bloqueios e problemas de conectividade sem fios causados pela expiração de credenciais. O EAP-TLS funciona inteiramente em segundo plano. Uma vez provisionado via MDM, a conectividade é automática, silenciosa e permanente. Os fluxos de trabalho automatizados de renovação de certificados garantem que os dispositivos permanecem ligados sem a intervenção do utilizador, eliminando milhares de horas de produtividade perdida e reduzindo drasticamente os custos operacionais do suporte técnico. Para ambientes de grande escala, como hubs de Healthcare ou Transport , esta eficiência operacional traduz-se diretamente em centenas de milhares de libras de poupança anual em custos de suporte.

3. Conformidade e Alinhamento Regulatório

Para locais que lidam com dados sensíveis, um controlo robusto de acesso à rede é um mandato legal. O EAP-TLS satisfaz diretamente e acelera a conformidade com as principais estruturas regulatórias:

  • PCI-DSS 4.0 (Requisito 8): Exige uma autenticação criptográfica forte e uma verificação de credenciais única para todos os componentes do sistema que acedem ao ambiente de dados dos titulares de cartões. O EAP-TLS fornece uma identidade de dispositivo única e criptograficamente vinculada que satisfaz plenamente este requisito para redes corporativas em ambientes de retalho e hotelaria.
  • GDPR: Exige que as organizações implementem medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco. A autenticação mútua TLS fornece o nível mais elevado de proteção contra acessos não autorizados a sistemas corporativos que contenham dados pessoais.
  • ISO 27001 (Controlo A.8): Exige um controlo de acesso rigoroso e uma autenticação segura. O EAP-TLS fornece um registo preciso e criptograficamente auditável de qual dispositivo físico acedeu à rede, em que momento e a partir de qual ponto de acesso.

Matriz de Valor de Negócio

Para justificar a transição à liderança executiva, os diretores de TI podem aproveitar a seguinte matriz de valor de negócio:

Impulsionador de Negócio Antes do EAP-TLS (Palavras-passe/PEAP) Depois do EAP-TLS (Certificados) Impacto Financeiro e Operacional
Segurança de Credenciais Risco extremamente elevado de recolha, partilha e ataques de força bruta de credenciais. Criptograficamente seguro. Zero risco de roubo de credenciais por via aérea. Redução do risco de violação de dados (o custo médio de uma violação excede £3,4 milhões).
Sobrecarga de Integração Introdução manual de credenciais, formação de utilizadores, resolução frequente de problemas de conectividade. Configuração em segundo plano sem toque (zero-touch) via MDM. Conectividade imediata. Redução de 90% nos pedidos de suporte de integração relacionados com WiFi.
Desintegração/Revogação Requer a alteração de segredos partilhados ou a desativação manual de contas em múltiplos sistemas. Revogação instantânea de certificados com um clique via MDM/RADIUS. Eliminação imediata de vetores de ameaças internas e acesso de dispositivos não autorizados.
Auditorias de Conformidade Difícil de provar a identidade exata do dispositivo; os registos dependem de credenciais de utilizador falíveis. Pista de auditoria criptograficamente verificável que vincula dispositivos físicos a sessões. Auditorias de conformidade simplificadas para PCI-DSS, GDPR e SOC 2.
Carga de Trabalho do Suporte Volume elevado de pedidos de suporte para redefinição de palavras-passe, expiração de credenciais e estados de bloqueio. Quase zero pedidos de suporte. Os certificados renovam-se de forma silenciosa e automática em segundo plano. Reafetação da equipa de TI para iniciativas estratégicas de elevado valor.

Ao enquadrar a migração para EAP-TLS em torno da mitigação de riscos, eficiência operacional e conformidade, os líderes de TI podem apresentar um caso de negócio convincente que alinha a segurança da rede diretamente com os objetivos financeiros e estratégicos da empresa.

Referências

Definições Principais

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Um protocolo de autenticação de rede definido por RFC que utiliza criptografia mútua baseada em certificados para proteger ligações ao abrigo do IEEE 802.1X.

O padrão de excelência absoluto para a segurança wireless corporativa, eliminando completamente as palavras-passe.

Suplicante

O cliente de software executado num dispositivo de utilizador (como um portátil, tablet ou smartphone) que inicia um pedido de autenticação 802.1X e negoceia o handshake EAP.

O suplicante deve ser configurado via MDM para apresentar o certificado de cliente correto e confiar no servidor RADIUS.

Autenticador

O dispositivo de rede (tipicamente um Access Point wireless ou Switch com fios) que controla o acesso físico à rede. Este passa os pacotes EAP entre o Suplicante e o servidor RADIUS, mas não processa as credenciais em si.

O AP funciona como um guardião, mantendo a porta bloqueada até que o servidor RADIUS devolva um Access-Accept.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Auditoria (AAA) para utilizadores e dispositivos que se ligam a uma rede.

O servidor RADIUS termina o handshake EAP-TLS, valida os certificados e instrui o AP a conceder ou negar o acesso.

PKI

Public Key Infrastructure. Uma estrutura de funções, políticas, hardware, software e procedimentos necessários para criar, gerir, distribuir, utilizar, armazenar e revogar certificados digitais e gerir a encriptação de chave pública.

A PKI atua como a raiz de confiança; a sua Autoridade de Certificação assina as credenciais que provam a identidade na rede.

SCEP

Simple Certificate Enrolment Protocol. Um protocolo baseado em IP que automatiza a proteção e o fornecimento de certificados digitais a dispositivos de rede, tipicamente geridos através de uma plataforma MDM.

O SCEP é crítico para dimensionar o EAP-TLS, permitindo que os dispositivos se registem e renovem certificados silenciosamente, sem intervenção de TI.

OCSP

Online Certificate Status Protocol. Um protocolo de internet utilizado por dispositivos de rede para obter o estado de revogação de um certificado digital X.509 em tempo real, servindo como alternativa às CRLs.

Os servidores RADIUS utilizam OCSP para verificar instantaneamente se um certificado de cliente apresentado foi revogado devido à perda do dispositivo ou à rescisão de um funcionário.

WPA3-Enterprise

O mais recente padrão de segurança da Wi-Fi Alliance para redes empresariais. Torna obrigatório o uso de Protected Management Frames (PMF) e disponibiliza um modo de segurança de 192 bits que se alinha com a criptografia NSA Suite B.

Combinar WPA3-Enterprise com EAP-TLS oferece a postura de segurança sem fios mais elevada comercialmente disponível.

Exemplos Práticos

Uma marca de hotéis de luxo com 45 propriedades globalmente deseja proteger os seus dispositivos corporativos de back-of-house (portáteis da receção, tablets do serviço de limpeza e smartphones dos gerentes) num SSID dedicado. Atualmente, utilizam uma única chave pré-partilhada (PSK) em todas as propriedades, a qual já foi exposta várias vezes. Possuem o Microsoft Entra ID e o Microsoft Intune para gestão de dispositivos, mas não têm Active Directory local ou PKI.

Implemente uma arquitetura EAP-TLS Cloud-Native utilizando o Microsoft Intune e uma PKI alojada na cloud integrada com Cloud RADIUS.

  1. Configuração da PKI: Instale uma PKI alojada na cloud (como o SCEPman ou EZCA) integrada diretamente com o Microsoft Entra ID. Gere um certificado de CA emissora.
  2. Configuração do Intune:
    • Crie um Perfil de Certificado Fidedigno no Intune e carregue o certificado público da CA emissora na cloud. Atribua este perfil a 'Todos os Dispositivos' (Windows, iOS, Android).
    • Configure um Perfil de Certificado SCEP no Intune apontando para o URL SCEP da PKI na cloud. Defina o Formato do Nome do Requisito para CN={{AADDeviceId}} e o Nome Alternativo do Requisito para UPN. Adicione o OID de EKU de 'Autenticação de Cliente' (1.3.6.1.5.5.7.3.2).
    • Crie um Perfil de WiFi no Intune. Defina o SSID para 'Purple-Staff', o tipo de segurança para WPA3-Enterprise e o tipo de EAP para EAP-TLS. Selecione o Perfil de Certificado Fidedigno como a âncora de raiz e especifique os FQDNs dos servidores Cloud RADIUS. Associe o perfil de certificado SCEP como a credencial de cliente.
  3. Integração RADIUS: Configure o serviço Cloud RADIUS (por exemplo, JoinNow ou Foxpass) para confiar na CA emissora na cloud. Configure a política RADIUS para validar os certificados de cliente face ao Entra ID, verificando se o dispositivo está marcado como 'Em conformidade' no Intune antes de devolver um pacote Access-Accept.
  4. Configuração do Controlador Sem Fios: No controlador sem fios centralizado (ou painel de controlo na cloud como o Meraki/Aruba Central), configure o SSID 'Purple-Staff' para apontar para os endereços IP do Cloud RADIUS utilizando 802.1X. Ative o WPA3-Enterprise com o modo de transição WPA2-Enterprise.
Comentário do Examinador: Esta abordagem cloud-native é altamente recomendada para operadores de locais físicos com múltiplas localizações, como cadeias de hotéis. Ao evitar o Active Directory local e o legado AD CS, a marca de hotéis elimina os custos de infraestrutura local e evita a complexidade operacional de gerir VPNs ou servidores locais em cada propriedade. A utilização de perfis SCEP do Microsoft Intune garante que os tablets do serviço de limpeza e os portáteis da receção sejam automaticamente aprovisionados com certificados exclusivos e não exportáveis. A integração do servidor RADIUS com o estado de conformidade do dispositivo do Entra ID proporciona uma postura de segurança dinâmica: se o tablet de um gerente for marcado como 'não conforme' devido a uma atualização de segurança em falta, o RADIUS nega imediatamente o acesso à rede, protegendo o ambiente de back-of-house contra movimentos laterais de ameaças.

Uma organização do setor público que gere 12 escritórios municipais locais pretende efetuar a transição de 1.500 computadores portáteis Windows corporativos de PEAP-MSCHAPv2 para EAP-TLS. Atualmente, dispõem de um ambiente local de Microsoft Active Directory Domain Services (AD DS) com Active Directory Certificate Services (AD CS) a funcionar como a sua CA da sua empresa. Os computadores portáteis estão associados ao domínio e são geridos através de Objetos de Política de Grupo (GPOs).

Aproveite a infraestrutura existente de AD CS e Active Directory para implementar EAP-TLS através de auto-enrolment por Política de Grupo.

  1. Configuração da CA: Na CA emissora do AD CS, duplique o modelo de certificado predefinido 'Workstation Authentication'. Nomeie o novo modelo como 'Corporate Wireless Authentication'. No separador Segurança, conceda permissões de Leitura, Inscrição e Inscrição Automática (Read, Enroll, Autoenroll) a 'Domain Computers'. Certifique-se de que o modelo contém a EKU 'Client Authentication'.
  2. Configuração da Política de Grupo (GPO):
    • Crie uma nova GPO com o nome 'Wireless Certificate Auto-Enrollment'. Navegue até Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Public Key Policies. Abra 'Certificate Services Client - Auto-Enrollment', defina-o como 'Enabled' e selecione 'Renew expired certificates, update pending certificates, and remove revoked certificates'.
    • Na mesma GPO, navegue até Wireless Network (802.11) Policies. Crie uma nova política sem fios. Configure o nome do SSID, defina a segurança para WPA3-Enterprise, selecione EAP-TLS e marque explicitamente o certificado Root CA do AD CS na lista de certificados fidedignos. Especifique o FQDN dos servidores RADIUS locais (por exemplo, Cisco ISE).
  3. Política RADIUS (Cisco ISE): Importe o certificado Root CA do AD CS para o repositório de Certificados Fidedignos do Cisco ISE. Configure uma Política de Autenticação para aceitar EAP-TLS. Configure uma Política de Autorização que verifique se o computador que se está a ligar pertence ao grupo 'Domain Computers' do Active Directory e, em caso afirmativo, atribua-o dinamicamente à VLAN corporativa segura.
Comentário do Examinador: Isto representa um padrão clássico de implementação empresarial local (on-premises). Ao aproveitar o AD CS e as Políticas de Grupo, a organização obtém 100% de automatização na inscrição de certificados sem necessidade de adquirir software de terceiros adicional. A principal vantagem arquitetónica é a forte integração com o Active Directory Domain Services: quando um portátil é eliminado do AD (por exemplo, ao ser desativado), a sua conta de computador torna-se inativa e o Cisco ISE rejeitará automaticamente o seu handshake EAP-TLS, mesmo que o certificado físico no dispositivo ainda não tenha expirado. O principal risco operacional é a latência de replicação das GPOs nos 12 escritórios; as equipas de rede devem garantir que a inscrição automática de certificados é concluída com sucesso através de ligações com fios antes de migrar o SSID de WiFi para o modo exclusivo EAP-TLS.

Uma empresa que gere um grande centro de exposições e conferências pretende proteger a sua rede corporativa utilizada por scanners de equipas de eventos, terminais de bilheteira e equipamentos de produção de media. O local regista uma elevada interferência de RF durante os eventos e necessita de tempos de roaming inferiores a um segundo para os funcionários que se deslocam por uma área de 50.000 metros quadrados. Utilizam um controlador físico Ruckus SmartZone e servidores FreeRADIUS locais.

Implemente o EAP-TLS localmente com FreeRADIUS, otimizado para Fast Transition (802.11r) e mitigação de fragmentação de pacotes.

  1. PKI e Geração de Certificados: Utilize uma CA local para emitir certificados. Como os terminais de bilheteira e scanners podem executar sistemas operativos especializados (Android Enterprise, Linux personalizado), gere certificados de cliente utilizando chaves ECC SECP256R1 para reduzir o tamanho do payload do certificado, o que acelera o handshake criptográfico.
  2. Ajuste do FreeRADIUS:
    • No eap.conf, defina fragment_size = 1024. Isto força o FreeRADIUS a fragmentar payloads de certificados grandes em pacotes EAP menores do que o MTU padrão da rede, evitando perdas de pacotes em ligações WAN ou canais wireless congestionados.
    • Garanta que cache = yes está configurado na secção TLS para permitir a retoma de sessão TLS. Isto permite que os clientes em roaming se voltem a autenticar utilizando um handshake encurtado (sem reenviar certificados completos), reduzindo os tempos de roaming para menos de 50 milissegundos.
  3. Ajuste do Controlador Wireless (SmartZone):
    • Configure o SSID de Staff com WPA3-Enterprise e ative o 802.11r (Fast BSS Transition). Configure o roaming Over-the-Air (OTA).
    • Mapeie o SSID para os servidores FreeRADIUS primário e secundário.
    • Defina o timeout do RADIUS no controlador para 5 segundos com 3 tentativas para lidar com perdas ocasionais de pacotes de RF sem desativar as sessões dos clientes.
Comentário do Examinador: Os ambientes de locais com elevada densidade apresentam desafios únicos na camada física para o 802.1X. O principal modo de falha nestes ambientes não é criptográfico, mas sim a perda de pacotes devido ao congestionamento de RF e à fragmentação de IP. Ao ajustar o `fragment_size` no FreeRADIUS para 1024, eliminamos falhas silenciosas de autenticação causadas por switches intermédios que descartam pacotes UDP fragmentados. A implementação do 802.11r Fast Transition combinada com a Retoma de Sessão TLS é crítica; permite que um scanner de bilhetes faça roaming sem interrupções entre APs no recinto da exposição sem realizar um handshake mútuo EAP-TLS completo de cada vez, mantendo a conectividade contínua à base de dados e evitando estrangulamentos nas filas à entrada do recinto.

Perguntas de Prática

Q1. Uma cadeia de retalho com 300 lojas pretende implementar EAP-TLS para os seus scanners de inventário corporativo. Durante o piloto, descobrem que, embora os portáteis se autentiquem em menos de um segundo, alguns scanners portáteis mais antigos demoram até 10 segundos a autenticar-se ou falham totalmente em ligações WAN remotas que ligam as lojas ao servidor RADIUS central. Qual é a causa técnica mais provável para este problema e como deve ser resolvido?

Dica: Considere o tamanho do payload do certificado e o impacto da latência de WAN e da fragmentação de pacotes no tráfego RADIUS baseado em UDP.

Ver resposta modelo

O problema técnico é causado pela fragmentação de pacotes EAP combinada com a perda de pacotes e a latência na WAN. Os handshakes EAP-TLS envolvem a transmissão de cadeias completas de certificados X.509, que frequentemente excedem o MTU padrão da rede (1500 bytes). Quando estes payloads são enviados através de RADIUS baseado em UDP, têm de ser fragmentados. Se os routers WAN intermédios perderem um único fragmento, todo o handshake EAP falha, tendo de expirar e reiniciar, o que é altamente visível em ligações remotas de elevada latência.

Para resolver este problema, a equipa de rede deve:

  1. Ajustar o Framed-MTU: Configurar o atributo Framed-MTU no servidor RADIUS e no controlador sem fios para um valor mais baixo (como 1300 ou 1200). Isto força o servidor RADIUS a fragmentar as mensagens EAP na camada de aplicação em pacotes mais pequenos que conseguem atravessar a WAN sem fragmentação na camada de IP.
  2. Otimizar o Tamanho do Certificado: Emitir novamente os certificados de cliente para os scanners utilizando Elliptic Curve Cryptography (ECC) com chaves SECP256R1 em vez de RSA 2048. Os certificados ECC são significativamente mais pequenos (aprox. 300 bytes vs 2048 bytes do RSA), reduzindo o número de fragmentos necessários para o handshake.
  3. Ativar o TLS Session Resumption: Configurar o FreeRADIUS/RADIUS para armazenar em cache as sessões TLS. Quando um scanner efetua roaming ou se volta a ligar, pode realizar um handshake abreviado que não requer a transmissão de toda a cadeia de certificados, reduzindo o tempo de autenticação para menos de 100 milissegundos.

Q2. Um administrador de segurança de TI configura um SSID EAP-TLS através de MDM. Instala o certificado de cliente e o perfil sem fios em todos os portáteis corporativos. Contudo, durante os testes, nota que os portáteis continuam ocasionalmente a ligar-se a um ponto de acesso nocivo que transmite o mesmo nome de SSID, surgindo um aviso a solicitar ao utilizador que confie num novo certificado de servidor. Que erro de configuração foi cometido no perfil de MDM e qual é o risco de segurança?

Dica: Analise as definições de verificação de fidedignidade na configuração do perfil sem fios do MDM.

Ver resposta modelo

O erro de configuração é que o perfil de rede sem fios enviado via MDM não tem a opção Strict Server Trust Validation (Validação Estrita de Confiança no Servidor) ativada. Especificamente, o administrador não especificou explicitamente os FQDNs do servidor RADIUS fidedigno e não desativou a opção de 'Perguntar ao utilizador se confia em novos servidores'.

O risco de segurança é um ataque Man-in-the-Middle (MitM) / Rogue AP. Se um atacante configurar um ponto de acesso malicioso que transmita o SSID corporativo e apresentar um certificado autoassinado, o dispositivo do cliente tentará autenticar-se. Como a validação estrita não está ativada, o sistema operativo solicita ao utilizador que confie no novo certificado. Se um funcionário não técnico clicar em 'Confiar' ou 'Ligar de qualquer forma', o AP malicioso poderá estabelecer uma ligação. Embora o EAP-TLS impeça o atacante de roubar a palavra-passe do utilizador (uma vez que nenhuma é enviada), o atacante pode agora intercetar tráfego de rede não encriptado, realizar spoofing de DNS ou executar a entrega de exploits locais no endpoint.

Q3. O operador de um estádio implementou EAP-TLS para 200 terminais POS (Point of Sale) móveis de funcionários utilizados durante os jogos. No dia do jogo, quando 50.000 adeptos entraram no estádio, os terminais POS registaram quedas frequentes de autenticação e deslicações, afetando gravemente as vendas de concessão. Os logs do RADIUS mostraram taxas elevadas de erros 'Handshake Timeout' e 'Max Retries Exceeded', mas a utilização de CPU e memória nos servidores RADIUS permaneceu abaixo dos 15%. Que fatores da camada física e lógica causaram esta falha e como deve a arquitetura ser otimizada?

Dica: Considere o impacto de congestionamento extremo de RF em handshakes criptográficos e o papel dos protocolos de otimização de roaming.

Ver resposta modelo

Esta falha é um caso clássico de congestionamento de RF que resulta em timeouts de handshake criptográfico. O EAP-TLS requer vários pacotes de ida e volta (normalmente 4 a 6 viagens de ida e volta) para concluir o handshake TLS mútuo. Num ambiente de estádio com 50.000 dispositivos de clientes ativos, as bandas de 2.4GHz e 5GHz registam colisões severas de pacotes e elevadas taxas de reenvio. Como o EAP-TLS é altamente ruidoso no ar, a perda de um pacote em qualquer uma das tramas do handshake força a máquina de estados EAP a expirar por timeout e a reiniciar todo o handshake, gerando uma cascata de falhas.

Para otimizar a arquitetura e resolver o problema, o operador deve implementar as seguintes otimizações físicas e lógicas:

  1. Ativar Fast Roaming (802.11r): Configure o 802.11r (Fast BSS Transition) no SSID dos POS. Isto permite que os terminais negociem chaves de roaming antes de se moverem para um novo AP, reduzindo a troca de tráfego no ar durante os roams.
  2. Implementar TLS Session Resumption: Garanta que o servidor RADIUS tem o caching de sessão TLS ativado. Quando um terminal se volta a ligar ou faz roaming, pode realizar um handshake abreviado (exigindo apenas 1 a 2 viagens de ida e volta e nenhuma transmissão de certificado), reduzindo significativamente o consumo de tempo de antena e a exposição à perda de pacotes de RF.
  3. Sintonização de RF Dedicada: Mova os terminais POS exclusivamente para as bandas de 5GHz ou 6GHz. Desative a banda de 2.4GHz no SSID dos POS. Implemente um planeamento de canais rigoroso, reduza a largura do canal para 20MHz para maximizar os canais não sobrepostos disponíveis e configure taxas de dados básicas mínimas (por exemplo, desativando taxas abaixo de 12Mbps ou 24Mbps) para limpar o tráfego de gestão das frequências de rádio.

Continue a ler esta série

Optimização de Roaming para VoIP e Chamadas de Vídeo em WiFi Corporativo

Este guia fornece aos gestores de TI, arquitetos de rede e CTOs um plano abrangente e neutro de fabricante para optimizar o roaming WiFi para suportar VoIP e chamadas de vídeo sem falhas em redes de colaboradores corporativos. Abrange a pilha de protocolos IEEE 802.11k/r/v, configuração WMM QoS, design de célula RF e mapeamento de QoS com fios de ponta a ponta necessário para alcançar uma latência de handoff inferior a 50ms. Aplicável em ambientes de hotelaria, retalho, saúde e grandes recintos, esta referência inclui cenários reais de implementação, estruturas de resolução de problemas e uma análise de ROI mensurável.

Ler o guia →

WPA3-Enterprise vs. WPA2-Enterprise: Atualizar o WiFi dos Seus Colaboradores

Este guia de referência técnica de autoridade descreve as diferenças arquitetónicas, melhorias de segurança e estratégias de migração para atualizar as redes sem fios de colaboradores de WPA2-Enterprise para WPA3-Enterprise. Concebido para decisores de TI seniores e arquitetos de rede, fornece planos de implementação práticos, estudos de caso reais em hotelaria e retalho, e uma estrutura abrangente de mitigação de riscos para garantir uma transição perfeita, mantendo a conformidade com PCI DSS v4.0 e GDPR Artigo 32.

Ler o guia →

Conceção de Redes WiFi Seguras para Funcionários Separadas do Tráfego de Convidados

Um guia de referência técnica de autoridade para arquitetos de rede e líderes de TI sobre a conceção de redes WiFi seguras e de alto desempenho para funcionários. Detalha a segmentação lógica e física do tráfego operacional das redes públicas de convidados utilizando VLANs, autenticação 802.1X e WPA3-Enterprise para cumprir os requisitos de conformidade (PCI DSS, GDPR) e eliminar os riscos de segurança de movimento lateral.

Ler o guia →