Saltar para o conteúdo principal

Como Configurar a Autenticação WiFi 802.1X: Um Guia Passo a Passo

Este guia técnico fornece um passo a passo para configurar a autenticação WiFi empresarial 802.1X. Abrange a configuração do servidor RADIUS, a implementação de certificados e estratégias práticas de implementação para líderes de TI em locais de grande afluência.

📖 5 min de leitura📝 1,126 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Como Configurar a Autenticação WiFi 802.1X: Um Guia Passo a Passo Um Podcast da Purple Enterprise WiFi Intelligence [INTRODUÇÃO — aproximadamente 1 minuto] Bem-vindo de volta. Falo hoje como arquiteto sénior de soluções e, se está a ouvir isto, é provável que esteja a enfrentar um projeto de segurança de rede que envolve a autenticação 802.1X - seja porque a sua equipa de conformidade o sinalizou, a sua seguradora perguntou sobre isso, ou simplesmente herdou uma rede que funciona com uma PSK partilhada e sabe que isso já não é suficiente. Por isso, vamos directos ao assunto. O 802.1X é o padrão IEEE para controlo de acesso à rede baseado em portas. É a espinha dorsal da segurança WiFi empresarial - o mecanismo que garante que cada dispositivo que se liga à sua rede foi positivamente identificado e autorizado antes de receber um único byte de tráfego. Isto não é opcional para organizações que lidam com dados de cartões de pagamento sob o PCI-DSS, não é opcional para ambientes de saúde sob o GDPR e os padrões de segurança de dados do NHS e, francamente, para qualquer organização que execute mais do que um punhado de pontos de acesso, é a arquitetura correta. Nos próximos dez minutos, vou guiá-lo através da arquitetura técnica, da configuração RADIUS, da implementação de certificados e dos cenários do mundo real onde isto se torna complicado. Vamos a isso. [MERGULHO TÉCNICO PROFUNDO — aproximadamente 5 minutos] Certo, então a estrutura do 802.1X tem três componentes. Tem o Supplicant - que é o dispositivo cliente, o portátil, o telemóvel, o sensor IoT. Tem o Authenticator - que é o seu ponto de acesso ou o seu comutador de rede, por vezes chamado de NAS, o Network Access Server. E tem o Authentication Server - quase universalmente um servidor RADIUS em implementações empresariais. Eis como funciona o handshake. Quando um dispositivo tenta ligar-se a um SSID protegido por 802.1X, o ponto de acesso não se limita a deixá-lo entrar. Em vez disso, abre o que se chama uma porta controlada - um canal limitado que apenas passa tráfego EAP, o Extensible Authentication Protocol. O AP envia um EAP-Request Identity para o dispositivo. O dispositivo responde com a sua identidade. O AP encaminha então isso para o servidor RADIUS, encapsulado num pacote RADIUS Access-Request. O servidor RADIUS executa a autenticação - verificando as credenciais no Active Directory, num repositório de certificados ou em qualquer backend de identidade que tenha configurado - e envia de volta um Access-Accept ou um Access-Reject. Apenas mediante um Accept é que o AP abre a porta de dados completa e atribui o dispositivo à VLAN apropriada. Agora, o método EAP que escolher aqui importa enormemente. Existem cinco que irá encontrar em implementações empresariais.O EAP-TLS é o padrão de excelência. Tanto o cliente como o servidor apresentam certificados X.509. Não há palavras-passe envolvidas. É a opção mais segura e a exigida para os níveis mais elevados de conformidade PCI-DSS. O senão é que precisa de uma PKI completa - uma Infraestrutura de Chaves Públicas - para emitir e gerir certificados de cliente. Isso significa uma Autoridade de Certificação, gestão do ciclo de vida dos certificados e um mecanismo para enviar os certificados para todos os dispositivos. Para organizações com o Microsoft Active Directory e Active Directory Certificate Services, isto é muito viável. Para organizações sem essa infraestrutura, representa um investimento significativo. O PEAP-MSCHAPv2 é o método mais amplamente implementado na prática. Cria um túnel TLS utilizando apenas um certificado do lado do servidor e, em seguida, transmite as credenciais de nome de utilizador e palavra-passe dentro desse túnel. É compatível com praticamente todos os dispositivos por predefinição, integra-se diretamente com o Active Directory através do NPS no Windows Server e não requer certificados de cliente. A desvantagem é que é vulnerável a ataques de recolha de credenciais se os utilizadores forem induzidos a ligar-se a um AP não autorizado - porque o cliente não valida o certificado do servidor por predefinição. Deve impor a validação do certificado do servidor nos seus perfis de suplicante. O EAP-TTLS é semelhante ao PEAP, mas mais flexível no método de autenticação interno. É comum em ambientes Linux e onde necessita de suportar sistemas de autenticação legados. O EAP-FAST foi desenvolvido pela Cisco como resposta às fraquezas do LEAP. Utiliza Protected Access Credentials em vez de certificados. É relevante principalmente se estiver num ambiente maioritariamente Cisco ou a lidar com dispositivos legados que não conseguem suportar os outros. O EAP-SIM e o EAP-AKA são utilizados em implementações de nível de operador - pense em OpenRoaming ou Passpoint - onde a autenticação está associada a um cartão SIM ou USIM. Estes são cada vez mais relevantes para redes WiFi de locais públicos onde deseja uma integração segura e contínua sem um Captive Portal. Agora vamos falar sobre a configuração RADIUS. Quer esteja a implementar o Microsoft NPS, FreeRADIUS, Cisco ISE ou Aruba ClearPass, os passos de configuração principais são os mesmos. Primeiro, define os seus clientes RADIUS - estes são os seus pontos de acesso ou controladores de LAN sem fios. Cada cliente é registado com o seu endereço IP e um segredo partilhado. Esse segredo partilhado é utilizado para autenticar as mensagens RADIUS entre o AP e o servidor. Utilize um mínimo de 22 carateres, gerados aleatoriamente e únicos por dispositivo NAS. Segundo, configura a sua política de rede. É aqui que define quem tem acesso a quê. Em termos de NPS, está a criar uma Política de Rede que corresponde a condições - pertença a grupos no Active Directory, tipo de dispositivo, hora do dia - e atribui atributos - VLAN ID, tempo limite da sessão, limites de largura de banda. O atributo RADIUS que mais utilizará é a atribuição de VLAN, especificamente o Tunnel-Type definido como VLAN, o Tunnel-Medium-Type definido como 802 e o Tunnel-Private-Group-ID definido com o número da sua VLAN. Terceiro, configura a sua política de pedido de ligação. Isto indica ao NPS como processar os pedidos RADIUS recebidos - se deve autenticar localmente ou reencaminhar para outro servidor RADIUS. Numa implementação distribuída, poderá ter um servidor RADIUS central com proxies NPS em cada local. No que diz respeito aos certificados, para PEAP e EAP-TLS, o seu servidor RADIUS necessita de um certificado de servidor fidedigno para os seus clientes. O caminho mais simples é utilizar um certificado de uma CA pública - DigiCert, Sectigo, Let's Encrypt - porque esses certificados raiz já são fidedignos para todos os principais sistemas operativos. Se estiver a utilizar uma CA interna, precisa de enviar o certificado raiz para todos os dispositivos cliente através de Política de Grupo ou da sua plataforma de MDM. Especificamente para EAP-TLS, também necessita de certificados de cliente. Num ambiente Active Directory, utilizaria o ADCS com inscrição automática através de Política de Grupo para enviar certificados para dispositivos associados ao domínio. Para dispositivos BYOD, utilizaria o seu MDM - Intune, Jamf, VMware Workspace ONE - para enviar tanto o certificado como o perfil de WiFi. Do lado do ponto de acesso, a configuração é simples. Cria um novo SSID, define a segurança para WPA2-Enterprise ou WPA3-Enterprise, aponta o servidor de autenticação RADIUS para o IP do seu NPS na porta UDP 1812, define o servidor de faturação RADIUS na porta UDP 1813, introduz o segredo partilhado e ativa a atribuição dinâmica de VLAN se a estiver a utilizar. A maioria das plataformas de AP empresariais - Cisco Meraki, Aruba, Ruckus, Extreme - tem uma GUI para isto que demora cerca de dez minutos a configurar assim que o seu servidor RADIUS estiver pronto. [RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS - aproximadamente 2 minutos] Muito bem, vamos falar sobre onde as implementações costumam falhar, porque é aqui que eu justifico os meus honorários de consultoria. O ponto de falha mais comum é a validação de certificados. Já vi organizações a implementar o PEAP-MSCHAPv2 corretamente no lado do servidor, mas a deixar os perfis de suplicante do cliente configurados para aceitar qualquer certificado. Isso compromete totalmente o modelo de segurança. Cada perfil de suplicante - quer seja enviado via Política de Grupo ou MDM - tem de especificar a CA raiz fidedigna e o nome de servidor esperado. Sem isso, fica vulnerável a ataques de evil twin. O segundo problema comum é a gestão do segredo partilhado RADIUS. Já vi redes de produção em funcionamento com o segredo partilhado definido como "radius" ou o predefinido do fornecedor. Estes segredos são as chaves da sua infraestrutura de autenticação. Gere-os aleatoriamente, guarde-os num gestor de segredos e rode-os de forma programada. Terceiro: configuração incorreta de VLAN. A atribuição dinâmica de VLAN é poderosa - permite colocar dispositivos de funcionários na VLAN corporativa, prestadores de serviços numa VLAN restrita e dispositivos IoT numa VLAN isolada, tudo a partir do mesmo SSID. Mas se os atributos RADIUS não estiverem configurados corretamente, ou se as portas trunk do switch não estiverem a transportar as VLANs corretas, os dispositivos não se conseguirão ligar ou irão parar ao segmento errado. Teste isto exaustivamente num laboratório antes de avançar para a produção. Quarto: redundância. O seu servidor RADIUS é agora uma peça crítica de infraestrutura. Se ele falhar, ninguém se liga. Precisa, no mínimo, de um servidor RADIUS primário e secundário configurado em cada AP. Em grandes implementações, considere clusters de proxy RADIUS com monitorização de integridade. Quinto, e isto é específico para ambientes de hotelaria e retalho: separação entre convidados e corporativo. O seu SSID corporativo 802.1X e o seu SSID de WiFi de convidados devem ser completamente separados - VLANs diferentes, políticas de firewall diferentes, DNS diferente. Uma plataforma como a Purple gere o lado dos convidados com o seu próprio captive portal e camada de analítica, enquanto a sua infraestrutura 802.1X gere o lado corporativo. Estes são sistemas complementares, não concorrentes. [PERGUNTAS E RESPOSTAS RÁPIDAS - aproximadamente 1 minuto] Vou responder rapidamente às perguntas que recebo com mais frequência. Posso executar 802.1X numa plataforma de AP gerida na nuvem? Sim - Meraki, Aruba Central e Ruckus Cloud suportam. Configura os detalhes do servidor RADIUS no painel de controlo na nuvem, e os APs tratam do proxy EAP. Preciso do Active Directory? Não. O FreeRADIUS pode autenticar contra LDAP, bases de dados SQL, ficheiros simples ou até APIs REST. Mas a integração AD via NPS é, de longe, o caminho empresarial mais comum. E quanto aos dispositivos IoT que não suportam 802.1X? Use MAC Authentication Bypass - MAB - como alternativa. O endereço MAC do dispositivo é enviado para o RADIUS como o nome de utilizador e a palavra-passe. Não é tão seguro como o EAP, mas permite registar dispositivos IoT mantendo-os numa VLAN restrita. O 802.1X funciona com WPA3? Sim. O WPA3-Enterprise é essencialmente WPA3 com autenticação 802.1X. Adiciona uma encriptação mais forte - 192 bits no modo de alta segurança - e é o padrão recomendado para novas implementações. [RESUMO E PRÓXIMOS PASSOS - aproximadamente 1 minuto] Portanto, para resumir: o 802.1X não é um extra opcional. Para qualquer organização que lide com dados sensíveis, processe pagamentos ou opere num ambiente regulado, é a base para a segurança de WiFi empresarial. A arquitetura está bem estabelecida, as ferramentas são maduras e o caminho de implementação é claro. Comece pela seleção do seu método EAP - PEAP-MSCHAPv2 se precisar de vitórias rápidas e ampla compatibilidade, EAP-TLS se tiver a infraestrutura PKI e precisar de uma postura de segurança mais robusta. Configure o seu servidor RADIUS e garanta a redundância antes de tocar num único AP. Implemente os seus perfis de suplicante via Group Policy ou MDM antes de entrar em funcionamento. E mantenha o seu WiFi de convidados completamente separado - use uma plataforma concebida especificamente para essa camada. Se opera num ambiente de múltiplos locais - hotéis, cadeias de retalho, estádios - a complexidade aumenta com o número de locais, mas a arquitetura não muda. A chave é o RADIUS centralizado com redundância local por site, e um perfil de suplicante consistente implementado via MDM em toda a sua frota de dispositivos. Obrigado por ouvir. O guia escrito completo, os diagramas de arquitetura e as listas de verificação de configuração estão disponíveis em purple.ai. Se está a planear uma implementação 802.1X e deseja discutir as especificidades do seu ambiente, contacte diretamente a equipa Purple.

header_image.png

Resumo Executivo

Para as redes empresariais, uma PSK partilhada (chave pré-partilhada) já não é suficiente para proteger a infraestrutura corporativa. À medida que as organizações enfrentam requisitos de conformidade mais rigorosos (PCI-DSS, GDPR) e uma superfície de ataque em expansão, a transição para a autenticação 802.1X tornou-se um imperativo de segurança crítico.

Este guia fornece um passo a passo prático de implementação, independente de fornecedor, para configurar o 802.1X em pontos de acesso empresariais. Abordamos a arquitetura principal - suplicante, autenticador e servidor de autenticação - bem como a gestão de certificados, configuração RADIUS e armadilhas comuns de implementação. Para gestores de TI e arquitetos de rede que operam em ambientes de retalho, hotelaria ou setor público, esta referência fornece as etapas práticas necessárias para implementar um controlo de acesso à rede robusto e baseado em identidade, mantendo o tráfego corporativo e de convidados estritamente separado.

Ouça o nosso podcast complementar abaixo para uma visão geral de 10 minutos sobre a arquitetura e as estratégias de implementação.

Análise Profunda: Arquitetura 802.1X

O padrão IEEE 802.1X define o controlo de acesso à rede baseado em porta. Num ambiente WiFi, este impede que os dispositivos clientes enviem ou recebam tráfego de dados até que se tenham autenticado com sucesso num diretório central.

architecture_overview.png

Os Três Componentes Principais

  1. Suplicante (Dispositivo Cliente): O software no portátil, smartphone ou dispositivo IoT que solicita o acesso. Deve suportar o método EAP (Extensible Authentication Protocol) escolhido.
  2. Autenticador (Ponto de Acesso/WLC): O dispositivo de rede que funciona como guardião. Abre uma "porta controlada" que apenas permite tráfego EAP até que a autenticação seja bem-sucedida.
  3. Servidor de Autenticação (RADIUS): O servidor central (por exemplo, Microsoft NPS, FreeRADIUS, Cisco ISE) que valida as credenciais num repositório de identidade (como o Active Directory) e devolve uma mensagem Access-Accept ou Access-Reject.

Métodos EAP: Escolher a Postura de Segurança Correta

A escolha do método EAP determina o seu nível de segurança e a complexidade da implementação.

eap_comparison_chart.png

  • EAP-TLS (Transport Layer Security): O padrão de ouro. Requer certificados tanto no servidor como no cliente. Não são transmitidas palavras-passe. Crítico para ambientes de elevada segurança, mas requer uma Infraestrutura de Chaves Públicas (PKI) completa.
  • PEAP-MSCHAPv2 (PEAP Protegido): A implementação empresarial mais comum. Utiliza um certificado do lado do servidor para criar um túnel TLS seguro dentro do qual o cliente envia um nome de utilizador e palavra-passe. Mais simples de implementar, mas vulnerável à recolha de credenciais se os dispositivos dos clientes não estiverem configurados para validar estritamente o certificado do servidor.
  • EAP-SIM/AKA: Utiliza credenciais do cartão SIM para autenticação. Cada vez mais relevante em hubs de transportes e grandes espaços públicos para uma adesão sem falhas.

Guia de Implementação: Configuração Passo a Passo

A implementação do 802.1X requer uma configuração coordenada no seu servidor RADIUS, pontos de acesso e dispositivos dos clientes.

Passo 1: Preparação do Servidor RADIUS

Quer esteja a utilizar o Microsoft Network Policy Server (NPS) ou uma alternativa, os princípios fundamentais continuam a ser os mesmos.

  1. Definir Clientes RADIUS: Registe cada ponto de acesso (ou controlador sem fios) no servidor RADIUS. Atribua um segredo partilhado forte e gerado aleatoriamente (pelo menos 22 carateres) para proteger a comunicação entre o AP e o servidor RADIUS.
  2. Instalar Certificado do Servidor: Para PEAP ou EAP-TLS, instale um certificado X.509 no servidor RADIUS. A utilização de um certificado de uma Autoridade de Certificação (CA) pública fidedigna simplifica as implementações de BYOD, uma vez que o certificado de raiz já é de confiança dos sistemas operativos dos clientes.

Passo 2: Configuração de Políticas

Configure políticas de rede para ditar o acesso com base na identidade.

  1. Políticas de Pedido de Conexão: Defina a forma como o servidor RADIUS lida com os pedidos recebidos. Normalmente, isto envolve a correspondência com o NAS-Port-Type (Wireless - IEEE 802.11) e a autenticação local dos pedidos.
  2. Políticas de Rede: Mapeie grupos do Active Directory para privilégios de acesso à rede. Por exemplo, mapeie o grupo "Domain Computers" para a VLAN corporativa. Utilize atributos RADIUS (Tunnel-Type=VLAN, Tunnel-Medium-Type=802, Tunnel-Private-Group-ID=[VLAN_ID]) para atribuir dinamicamente VLANs após uma autenticação bem-sucedida.

Passo 3: Configuração do Ponto de Acesso

Configure o SSID na sua infraestrutura sem fios (por exemplo, Meraki, Aruba, Cisco).

  1. Crie um novo SSID e selecione WPA2-Enterprise ou WPA3-Enterprise como o tipo de segurança.
  2. Introduza os endereços IP dos seus servidores RADIUS primário e secundário.
  3. Introduza o segredo partilhado definido no Passo 1.
  4. Ative a Atribuição Dinâmica de VLAN se o seu servidor RADIUS estiver a enviar atributos de VLAN.

Passo 4: Configuração do Suplicante do Cliente

Este é o passo mais crítico e frequentemente negligenciado. Não dependa dos utilizadores para configurar manualmente os seus dispositivos.

  • Dispositivos Corporativos: Utilize Objetos de Diretiva de Grupo (GPO) ou a sua plataforma de Gestão de Dispositivos Móveis (MDM) para instalar perfis de WiFi. Os perfis devem especificar a CA raiz fidedigna e os nomes exatos de servidor dos servidores RADIUS para evitar ataques do tipo man-in-the-middle (evil twin).
  • BYOD: Implemente um portal de integração ou uma solução MDM para instalar perfis seguros em dispositivos propriedade dos colaboradores.

Melhores Práticas e Padrões de Mercado

Para garantir uma implementação robusta, siga estas melhores práticas de arquitetura:

  1. Impor Validação Estrita de Certificados: Nunca permita que os clientes aceitem cegamente qualquer certificado de servidor. Este é o principal vetor para a recolha de credenciais PEAP.
  2. Isolar o Tráfego de Convidados: A sua infraestrutura 802.1X destina-se ao acesso corporativo. O tráfego de convidados deve permanecer completamente isolado. Implemente uma plataforma dedicada de Guest WiFi , equipada com o seu próprio Captive Portal e camada de análise. Conforme discutido no nosso guia Securing Your Network: Robust DNS and Security , o isolamento lógico é fundamental para a defesa da rede.
  3. Implementar Redundância: O RADIUS é um serviço de caminho crítico. Implemente servidores RADIUS primários e secundários. Em ambientes distribuídos, tais como grandes redes de retalho , considere proxies RADIUS locais para manter a sobrevivência caso a ligação WAN caia.

Resolução de Problemas e Mitigação de Riscos

Quando as implementações falham, geralmente deve-se a alguns erros de configuração comuns:

  • Erros de Timeout do RADIUS: Geralmente causados por uma incompatibilidade do segredo partilhado entre o AP e o servidor RADIUS, ou por regras de firewall que bloqueiam as portas UDP 1812 (autenticação) e 1813 (accounting).
  • Rejeições de Clientes: Verifique os registos de eventos do RADIUS (ex. Visualizador de Eventos do Windows -> Vistas Personalizadas -> Funções de Servidor -> Serviços de Acesso e Diretiva de Rede). Procure pelo ID de Evento 6273. As causas comuns incluem certificados de cliente expirados ou a falha do cliente em confiar na cadeia de certificados do servidor.
  • Falhas de Atribuição de VLAN: Se a autenticação for bem-sucedida mas o cliente não obtiver um endereço IP, verifique se a porta do switch ligada ao AP está configurada como uma porta trunk, permitindo VLANs atribuídas dinamicamente.

ROI e Impacto no Negócio

A implementação do 802.1X proporciona um ROI operacional e de segurança significativo:

  • Mitigação de Riscos: Elimina o risco de uma única PSK comprometida colocar em perigo toda a rede corporativa, apoiando diretamente os esforços de conformidade com PCI-DSS e GDPR.
  • Eficiência Operacional: Centraliza o controlo de acessos. Quando um colaborador sai, a desativação da sua conta de Active Directory revoga imediatamente o seu acesso à WiFi. Sem necessidade de alterar PSKs em toda a empresa.
  • Visibilidade de Rede: Fornece visibilidade detalhada sobre exatamente quem está na rede e quais os dispositivos que estão a utilizar, permitindo um planeamento de capacidade e uma deteção de ameaças superiores.

Para ambientes complexos e de alta densidade, como estádios desportivos ou o setor da hotelaria , gerir a segurança corporativa ao mesmo tempo que se fornece acesso a convidados é um desafio. Ao proteger os ativos corporativos com 802.1X e ao tirar partido de uma plataforma robusta de análise de WiFi para gerir o tráfego de convidados, os líderes de TI podem oferecer uma conectividade segura e escalável que serve tanto a empresa como os seus clientes. Para obter perspetivas sobre a gestão de ambientes de alta densidade, consulte o nosso WiFi para Jardins Zoológicos e Parques Temáticos: Guia de Conectividade para Locais de Grande Afluência .

Definições Principais

802.1X

Um padrão IEEE para controlo de acesso à rede baseado em portas que fornece um mecanismo de autenticação para dispositivos que se desejam ligar a uma LAN ou WLAN.

O protocolo fundamental para a segurança WiFi empresarial, substituindo palavras-passe partilhadas vulneráveis.

Suplicante

O dispositivo cliente ou aplicação de software que solicita acesso à rede.

As equipas de TI devem gerir a configuração do suplicante através de MDM para garantir ligações seguras.

Autenticador

O dispositivo de rede (Access Point ou Switch) que facilita o processo de autenticação, atuando como um proxy entre o Suplicante e o Servidor de Autenticação.

Configurado com o IP do servidor RADIUS e um segredo partilhado para encaminhar com segurança o tráfego EAP.

RADIUS

Remote Authentication Dial-In User Service; um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Auditoria (AAA).

O servidor de backend (como o Microsoft NPS) que realmente valida as credenciais do utilizador num diretório.

EAP (Extensible Authentication Protocol)

Uma estrutura de autenticação frequentemente utilizada em redes sem fios e ligações ponto a ponto, que suporta múltiplos métodos de autenticação.

A 'linguagem' falada entre o Suplicante e o servidor RADIUS.

EAP-TLS

Um método EAP que utiliza Transport Layer Security, exigindo certificados tanto do lado do servidor como do cliente para autenticação mútua.

O método mais seguro disponível, frequentemente obrigatório para ambientes de alta segurança ou classificados.

PEAP

Protected Extensible Authentication Protocol; encapsula o EAP dentro de um túnel TLS encriptado e autenticado.

O método empresarial mais amplamente implementado, equilibrando a segurança com a facilidade de implementação, ao exigir apenas um certificado do lado do servidor.

Dynamic VLAN Assignment

O processo em que um servidor RADIUS instrui o ponto de acesso a colocar um utilizador autenticado numa VLAN específica, com base na sua pertença a um grupo de diretório.

Crucial para segmentar o tráfego de rede (por exemplo, separar Recursos Humanos, Engenharia e dispositivos IoT) enquanto transmite apenas um único SSID corporativo.

Exemplos Práticos

Um hotel de luxo com 300 quartos necessita de proteger a sua rede operacional interna (tablets do pessoal, telefones VoIP, computadores portáteis de gestão), mantendo-a totalmente separada da rede de convidados. Atualmente utilizam uma única PSK para os funcionários.

  1. Implementar o Microsoft NPS associado ao Active Directory existente do hotel.
  2. Configurar PEAP-MSCHAPv2, utilizando um certificado público (ex. DigiCert) no servidor NPS para simplificar a integração de tablets.
  3. Criar um SSID 802.1X ('Hotel_Ops') nos APs.
  4. Utilizar a plataforma de MDM do hotel para enviar o perfil de WiFi 'Hotel_Ops' para todos os tablets e computadores portáteis dos funcionários, configurando explicitamente o perfil para confiar na CA raiz da DigiCert e validar o nome do servidor NPS.
  5. Manter o SSID de convidados aberto existente, encaminhando-o através do Captive Portal da Purple para aceitação de termos e analítica, garantindo que as VLANs de convidados não conseguem encaminhar tráfego para as VLANs operacionais.
Comentário do Examinador: Esta abordagem equilibra a segurança com a complexidade da implementação. Ao utilizar um certificado público no servidor RADIUS, o hotel evita a sobrecarga de implementar uma PKI completa, eliminando ao mesmo tempo o risco de uma PSK partilhada. A separação rigorosa do tráfego de convidados e corporativo através de VLANs e mecanismos de autenticação distintos está em conformidade com os requisitos PCI-DSS para os sistemas de ponto de venda do hotel.

Um campus universitário está a migrar para 802.1X e necessita de suportar um ambiente BYOD massivo para 15.000 estudantes em vários sistemas operativos.

  1. Implementar um cluster RADIUS robusto (ex. FreeRADIUS ou Cisco ISE) com balanceamento de carga.
  2. Implementar PEAP-MSCHAPv2 para uma ampla compatibilidade de dispositivos.
  3. Implementar um portal de integração (ex. SecureW2) que configura automaticamente o suplicante do dispositivo do estudante para utilizar as definições EAP corretas e confiar no certificado do servidor RADIUS da universidade.
  4. Utilizar a atribuição dinâmica de VLAN através de atributos RADIUS para colocar os estudantes nas sub-redes apropriadas com base na sua localização no campus para gerir domínios de difusão.
Comentário do Examinador: No ensino superior, o BYOD é o principal desafio. Depender da configuração manual por parte dos estudantes garante um elevado volume de pedidos de suporte e configurações inseguras (utilizadores a aceitarem certificados inválidos). O portal de integração é o fator crítico de sucesso aqui, garantindo que o suplicante está protegido para evitar a recolha de credenciais.

Perguntas de Prática

Q1. A sua organização está a implementar o 802.1X utilizando PEAP-MSCHAPv2. Durante os testes, os utilizadores reportam que lhes é solicitado 'Aceitar um Certificado' quando se ligam pela primeira vez. Como deve resolver isto?

Dica: Considere as implicações de segurança ao permitir que os utilizadores tomem decisões de confiança relativamente à infraestrutura de rede.

Ver resposta modelo

Deve configurar os perfis de suplicante do cliente (via MDM ou Política de Grupo) para confiar explicitamente na CA Raiz que emitiu o certificado do servidor RADIUS e para validar o nome do servidor específico. Confiar nos utilizadores para aceitarem manualmente os certificados ensina-os a ignorar avisos de segurança e deixa a rede vulnerável a ataques de Evil Twin (recolha de credenciais).

Q2. Precisa de proteger uma frota de leitores de códigos de barras de armazém. Eles suportam WPA2-Enterprise, mas não possuem um mecanismo para instalar certificados de cliente ou aderir ao Active Directory. Qual é a abordagem de implementação mais segura?

Dica: Avalie os métodos EAP que não exigem certificados do lado do cliente, mas que ainda assim fornecem autenticação encriptada.

Ver resposta modelo

Implemente PEAP-MSCHAPv2. Crie uma conta de serviço dedicada no seu diretório para os leitores. Configure o servidor RADIUS com um certificado de servidor para estabelecer o túnel TLS e configure os leitores para se autenticarem utilizando as credenciais da conta de serviço dentro do túnel. Certifique-se de que a política de RADIUS restringe esta conta de serviço a uma VLAN de armazém específica e isolada.

Q3. Após configurar os APs e o servidor RADIUS, os dispositivos dos clientes autenticam-se com sucesso (verificado nos registos RADIUS com um Access-Accept), mas não conseguem receber um endereço IP e não conseguem aceder à rede. Qual é o problema de infraestrutura mais provável?

Dica: A autenticação foi bem-sucedida, o que significa que a fase 802.1X está concluída. O problema reside na fase subsequente de provisionamento de rede.

Ver resposta modelo

O problema mais provável é uma configuração incorreta de VLAN na rede com fios. Se o servidor RADIUS estiver a utilizar dynamic VLAN assignment para colocar o cliente numa VLAN específica (por exemplo, VLAN 20), a porta do switch que liga o ponto de acesso deve ser configurada como uma porta trunk 802.1Q que permite a VLAN 20. Se a VLAN não estiver em trunk para o AP, os pedidos DHCP do cliente serão descartados.

Continue a ler esta série

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Este guia de referência técnica descreve a arquitetura, configuração e implementação de autenticação RADIUS para redes WiFi empresariais de convidados e funcionários. Fornece aos arquitetos de rede e gestores de TI os protocolos exatos, normas de segurança e metodologias de resolução de problemas necessários para construir sistemas de controlo de acesso sem fios seguros e escaláveis.

Ler o guia →

Passpoint e OpenRoaming: Guia Completo

Este guia de referência técnica fornece uma análise abrangente das frameworks Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implementação necessárias para estabelecer uma conectividade de convidados segura e sem atritos. Os arquitetos de rede e líderes de TI aprenderão a desenhar, implementar e resolver problemas destes padrões para eliminar as barreiras de início de sessão manual, mantendo simultaneamente uma segurança de nível empresarial.

Ler o guia →

Como Implementar SCEP para Integração Segura de BYOD e Redes no Ensino Superior

Este guia técnico fornece aos arquitetos de rede e gestores de TI um plano neutro em termos de fornecedor para implementar a emissão de certificados baseada em SCEP para proteger as redes dos campus do ensino superior. Detalha como migrar de PEAP baseado em palavra-passe para 802.1X EAP-TLS, automatizar a integração de BYOD e impor uma segmentação robusta de VLAN.

Ler o guia →