Saltar para o conteúdo principal
Português

Como Configurar a Autenticação WiFi 802.1X: Um Guia Passo a Passo

Este guia técnico fornece um passo a passo para configurar a autenticação WiFi empresarial 802.1X. Abrange a configuração do servidor RADIUS, a implementação de certificados e estratégias práticas de implementação para líderes de TI em locais de grande afluência.

📖 5 min de leitura📝 1,126 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Como Configurar a Autenticação WiFi 802.1X: Um Guia Passo a Passo Um Podcast da Purple Enterprise WiFi Intelligence [INTRODUÇÃO — aproximadamente 1 minuto] Bem-vindo de volta. Falo hoje como arquiteto de soluções sénior e, se está a ouvir isto, provavelmente está a enfrentar um projeto de segurança de rede que envolve a autenticação 802.1X — seja porque a sua equipa de conformidade o sinalizou, a sua seguradora perguntou sobre isso ou simplesmente herdou uma rede que está a funcionar com uma PSK partilhada e sabe que isso já não é suficiente. Por isso, vamos directos ao assunto. O 802.1X é o padrão IEEE para controlo de acesso à rede baseado em portas. É a espinha dorsal da segurança WiFi empresarial — o mecanismo que garante que cada dispositivo que se liga à sua rede foi positivamente identificado e autorizado antes de conseguir passar um único byte de tráfego. Isto não é opcional para organizações que lidam com dados de cartões de pagamento sob a norma PCI DSS, não é opcional para ambientes de saúde sob o GDPR e as normas de segurança de dados do NHS e, francamente, para qualquer organização que opere mais do que um punhado de pontos de acesso, é a arquitetura correta. Nos próximos dez minutos, vou guiá-lo através da arquitetura técnica, da configuração RADIUS, da implementação de certificados e dos cenários do mundo real onde isto se torna complicado. Vamos a isso. [MERGULHO TÉCNICO PROFUNDO — aproximadamente 5 minutos] Muito bem, a estrutura do 802.1X tem três componentes. Temos o Supplicant — que é o dispositivo cliente, o portátil, o telemóvel, o sensor IoT. Temos o Authenticator — que é o seu ponto de acesso ou o seu switch de rede, por vezes chamado de NAS, o Network Access Server. E temos o Authentication Server — quase universalmente um servidor RADIUS em implementações empresariais. Eis como funciona o handshake. Quando um dispositivo tenta ligar-se a um SSID protegido por 802.1X, o ponto de acesso não se limita a deixá-lo entrar. Em vez disso, abre o que é chamado de porta controlada — um canal limitado que apenas passa tráfego EAP, o Extensible Authentication Protocol. O AP envia um EAP-Request Identity para o dispositivo. O dispositivo responde com a sua identidade. O AP encaminha então essa informação para o servidor RADIUS, envolvida num pacote RADIUS Access-Request. O servidor RADIUS executa a autenticação — verificando as credenciais no Active Directory, num repositório de certificados ou em qualquer backend de identidade que tenha configurado — e envia de volta um Access-Accept ou um Access-Reject. Apenas num Accept é que o AP abre a porta de dados completa e atribui o dispositivo à VLAN apropriada. Agora, o método EAP que escolher aqui é extremamente importante. Existem cinco que irá encontrar em implementações empresariais. O EAP-TLS é o padrão de excelência. Tanto o cliente como o servidor apresentam certificados X.509. Não há palavras-passe envolvidas. É a opção mais segura e a exigida para os níveis mais elevados de conformidade PCI DSS. O senão é que necessita de uma PKI completa — uma Infraestrutura de Chaves Públicas — para emitir e gerir certificados de cliente. Isso significa uma Autoridade de Certificação, gestão do ciclo de vida dos certificados e um mecanismo para enviar certificados para todos os dispositivos. Para organizações com Microsoft Active Directory e Active Directory Certificate Services, isto é perfeitamente realizável. Para organizações sem essa infraestrutura, representa um investimento significativo. O PEAP-MSCHAPv2 é o método mais amplamente implementado na prática. Cria um túnel TLS utilizando apenas um certificado do lado do servidor e, em seguida, passa as credenciais de utilizador e palavra-passe dentro desse túnel. É compatível com praticamente todos os dispositivos de imediato, integra-se diretamente com o Active Directory através do NPS no Windows Server e não requer certificados de cliente. A desvantagem é que é vulnerável a ataques de recolha de credenciais se os utilizadores forem induzidos a ligarem-se a um AP não autorizado — porque o cliente não valida o certificado do servidor por predefinição. Deve impor a validação do certificado do servidor nos seus perfis de suplicante. O EAP-TTLS é semelhante ao PEAP, mas mais flexível no método de autenticação interna. É comum em ambientes Linux e onde necessita de suportar sistemas de autenticação legados. O EAP-FAST foi desenvolvido pela Cisco como resposta às fraquezas do LEAP. Utiliza Credenciais de Acesso Protegido em vez de certificados. É relevante principalmente se estiver num ambiente predominantemente Cisco ou a lidar com dispositivos legados que não suportam os outros. O EAP-SIM e o EAP-AKA são utilizados em implementações de nível de operador — como OpenRoaming ou Passpoint — onde a autenticação está associada a um cartão SIM ou USIM. Estes são cada vez mais relevantes para WiFi em locais públicos onde se pretende uma integração segura e contínua sem um Captive Portal. Agora vamos falar sobre a configuração de RADIUS. Quer esteja a implementar Microsoft NPS, FreeRADIUS, Cisco ISE ou Aruba ClearPass, os passos de configuração principais são os mesmos. Primeiro, define os seus clientes RADIUS — estes são os seus pontos de acesso ou controladores de LAN sem fios. Cada cliente é registado com o seu endereço IP e um segredo partilhado. Esse segredo partilhado é utilizado para autenticar as mensagens RADIUS entre o AP e o servidor. Utilize um mínimo de 22 caracteres, gerados aleatoriamente e únicos por dispositivo NAS. Segundo, configura a sua política de rede. É aqui que define quem tem acesso a quê. Em termos de NPS, está a criar uma Política de Rede que corresponde a condições — pertença a grupos no Active Directory, tipo de dispositivo, hora do dia — e atribui atributos — ID de VLAN, limite de tempo da sessão, limites de largura de banda. O atributo RADIUS que mais utilizará é a atribuição de VLAN, especificamente Tunnel-Type definido como VLAN, Tunnel-Medium-Type definido como 802 e Tunnel-Private-Group-ID definido como o seu número de VLAN. Terceiro, configura a sua política de pedido de ligação. Isto indica ao NPS como lidar com os pedidos RADIUS recebidos — se deve autenticar localmente ou reencaminhar para outro servidor RADIUS. Numa implementação distribuída, poderá ter um servidor RADIUS central com proxies NPS em cada local. No que diz respeito aos certificados, para PEAP e EAP-TLS, o seu servidor RADIUS necessita de um certificado de servidor fidedigno para os seus clientes. O caminho mais simples é utilizar um certificado de uma CA pública — DigiCert, Sectigo, Let's Encrypt — porque esses certificados de raiz já são fidedignos para todos os principais sistemas operativos. Se estiver a utilizar uma CA interna, terá de enviar o certificado de raiz para todos os dispositivos clientes através de Política de Grupo ou da sua plataforma MDM. Especificamente para EAP-TLS, também necessita de certificados de cliente. Num ambiente Active Directory, utilizaria o ADCS com inscrição automática através de Política de Grupo para enviar certificados para dispositivos associados ao domínio. Para dispositivos BYOD, utilizaria o seu MDM — Intune, Jamf, VMware Workspace ONE — para enviar tanto o certificado como o perfil de WiFi. Do lado do ponto de acesso, a configuração é simples. Cria um novo SSID, define a segurança para WPA2-Enterprise ou WPA3-Enterprise, aponta o servidor de autenticação RADIUS para o IP do seu NPS na porta UDP 1812, define o servidor de contabilidade RADIUS na porta UDP 1813, introduz o segredo partilhado e ativa a atribuição dinâmica de VLAN, se a estiver a utilizar. A maioria das plataformas de AP empresariais — Cisco Meraki, Aruba, Ruckus, Extreme — tem uma interface gráfica para isto que demora cerca de dez minutos a configurar assim que o seu servidor RADIUS estiver pronto. [RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS — aproximadamente 2 minutos] Muito bem, vamos falar sobre onde as implementações costumam falhar, porque é aqui que justifico os meus honorários de consultoria. O ponto de falha mais comum é a validação de certificados. Já vi organizações a implementar o PEAP-MSCHAPv2 corretamente no lado do servidor e, depois, a deixar os perfis de suplicante do cliente configurados para aceitar qualquer certificado. Isso compromete totalmente o modelo de segurança. Cada perfil de suplicante — quer seja enviado via Política de Grupo ou MDM — deve especificar a CA de raiz fidedigna e o nome de servidor esperado. Sem isso, fica vulnerável a ataques de "evil twin". O segundo problema comum é a gestão do segredo partilhado do RADIUS. Já vi redes de produção a funcionar com o segredo partilhado definido como "radius" ou com o valor predefinido do fabricante. Estes segredos são as chaves da sua infraestrutura de autenticação. Gere-os de forma aleatória, guarde-os num gestor de segredos e rode-os periodicamente. Terceiro: configuração incorreta de VLAN. A atribuição dinâmica de VLAN é poderosa — permite-lhe colocar dispositivos de funcionários na VLAN corporativa, prestadores de serviços numa VLAN restrita e dispositivos IoT numa VLAN isolada, tudo a partir do mesmo SSID. Mas se os atributos RADIUS não estiverem configurados corretamente, ou se as portas de trunk do switch não estiverem a transportar as VLANs corretas, os dispositivos não se conseguirão ligar ou irão parar ao segmento errado. Teste isto exaustivamente num laboratório antes de avançar para a produção. Quarto: redundância. O seu servidor RADIUS é agora uma peça crítica de infraestrutura. Se ele falhar, ninguém se liga. Precisa, no mínimo, de um servidor RADIUS primário e secundário configurado em cada AP. Em implementações de grande escala, considere clusters de proxy RADIUS com monitorização de integridade. Quinto, e isto é específico para ambientes de hotelaria e retalho: separação entre convidados e corporativo. O seu SSID corporativo 802.1X e o seu SSID de guest WiFi devem ser completamente separados — diferentes VLANs, diferentes políticas de firewall, diferentes DNS. Uma plataforma como a Purple lida com o lado dos convidados com o seu próprio captive portal e camada de analítica, enquanto a sua infraestrutura 802.1X lida com o lado corporativo. Estes são sistemas complementares, não concorrentes. [Q&A RÁPIDO — aproximadamente 1 minuto] Vou responder rapidamente às perguntas que recebo com mais frequência. Posso executar o 802.1X numa plataforma de AP gerida na cloud? Sim — Meraki, Aruba Central e Ruckus Cloud suportam-no. Configura os detalhes do servidor RADIUS no painel da cloud e os APs tratam do proxying EAP. Preciso do Active Directory? Não. O FreeRADIUS pode autenticar contra LDAP, bases de dados SQL, ficheiros simples ou até APIs REST. Mas a integração com AD via NPS é, de longe, o caminho empresarial mais comum. E quanto aos dispositivos IoT que não suportam 802.1X? Utilize o MAC Authentication Bypass — MAB — como alternativa. O endereço MAC do dispositivo é enviado para o RADIUS como nome de utilizador e palavra-passe. Não é tão seguro como o EAP, mas permite integrar dispositivos IoT mantendo-os numa VLAN restrita. O 802.1X funciona com WPA3? Sim. O WPA3-Enterprise é essencialmente WPA3 com autenticação 802.1X. Adiciona uma encriptação mais forte — 192 bits no modo de alta segurança — e é o padrão recomendado para novas implementações. [RESUMO E PRÓXIMOS PASSOS — aproximadamente 1 minuto] Para resumir: o 802.1X não é um extra opcional. Para qualquer organização que lide com dados sensíveis, processe pagamentos ou opere num ambiente regulado, é a base para a segurança de WiFi empresarial. A arquitetura está bem estabelecida, as ferramentas são maduras e o caminho de implementação é claro. Comece pela seleção do seu método EAP — PEAP-MSCHAPv2 se precisar de resultados rápidos e ampla compatibilidade, EAP-TLS se tiver a infraestrutura PKI e precisar da postura de segurança mais forte. Configure o seu servidor RADIUS e garanta a redundância antes de tocar num único AP. Distribua os perfis de suplicante via Group Policy ou MDM antes de entrar em produção. E mantenha o seu guest WiFi completamente separado — utilize uma plataforma concebida especificamente para essa camada. Se opera num ambiente multi-espaço — hotéis, cadeias de retalho, estádios — a complexidade aumenta com o número de locais, mas a arquitetura não muda. A chave é um RADIUS centralizado com redundância local por site, e um perfil de suplicante consistente distribuído por MDM em toda a sua frota de dispositivos. Obrigado por ouvir. O guia escrito completo, os diagramas de arquitetura e as listas de verificação de configuração estão disponíveis em purple.ai. Se está a planear uma implementação 802.1X e deseja discutir as especificidades do seu ambiente, entre em contacto diretamente com a equipa da Purple.

header_image.png

Resumo Executivo

Para as redes empresariais, as PSKs (Pre-Shared Keys) partilhadas já não são suficientes para proteger a infraestrutura corporativa. À medida que as organizações enfrentam mandatos de conformidade mais rigorosos (PCI DSS, GDPR) e uma superfície de ataque em expansão, a transição para a autenticação 802.1X é um imperativo de segurança crítico.

Este guia fornece um roteiro de implementação prático e neutro em termos de fabricante para configurar o 802.1X em pontos de acesso empresariais. Abordamos a arquitetura principal — Supplicant, Authenticator e Authentication Server — juntamente com a gestão de certificados, configuração RADIUS e armadilhas comuns de implementação. Para gestores de TI e arquitetos de rede que operam em ambientes de retalho, hotelaria ou setor público, esta referência fornece os passos práticos necessários para implementar um controlo de acesso à rede robusto e baseado na identidade, mantendo o tráfego corporativo e de convidados estritamente separado.

Ouça o nosso podcast informativo complementar abaixo para uma visão geral de 10 minutos sobre a arquitetura e as estratégias de implementação.

Análise Técnica Detalhada: A Arquitetura 802.1X

O padrão IEEE 802.1X define o controlo de acesso à rede baseado em portas. Num contexto sem fios, impede que um dispositivo cliente envie ou receba tráfego de dados até que se tenha autenticado com sucesso num diretório central.

architecture_overview.png

Os Três Componentes Principais

  1. O Supplicant (Dispositivo Cliente): O software no portátil, smartphone ou dispositivo IoT que solicita o acesso. Deve suportar o método EAP (Extensible Authentication Protocol) escolhido.
  2. O Authenticator (Ponto de Acesso / WLC): O dispositivo de rede que atua como guardião. Abre uma "porta controlada" que apenas permite tráfego EAP até que a autenticação seja bem-sucedida.
  3. O Authentication Server (RADIUS): O servidor central (por exemplo, Microsoft NPS, FreeRADIUS, Cisco ISE) que valida as credenciais num repositório de identidades (como o Active Directory) e devolve uma mensagem de Access-Accept ou Access-Reject.

Métodos EAP: Escolher a Postura de Segurança Adequada

A escolha do método EAP dita o seu nível de segurança e a complexidade da implementação.

eap_comparison_chart.png

  • EAP-TLS (Transport Layer Security): O padrão de excelência. Requer certificados tanto do servidor como do cliente. Não são transmitidas palavras-passe. Essencial para ambientes de alta segurança, mas requer uma Infraestrutura de Chaves Públicas (PKI) completa.
  • PEAP-MSCHAPv2 (Protected EAP): A implementação empresarial mais comum. Utiliza um certificado do lado do servidor para criar um túnel TLS seguro, dentro do qual o cliente envia um nome de utilizador e palavra-passe. Mais fácil de implementar, mas vulnerável à recolha de credenciais se os dispositivos dos clientes não estiverem configurados para validar rigorosamente o certificado do servidor.
  • EAP-SIM/AKA: Utiliza as credenciais do cartão SIM para autenticação. Cada vez mais relevante para uma integração fluida em hubs de Transport e grandes espaços públicos.

Guia de Implementação: Configuração Passo a Passo

A implementação do 802.1X requer uma configuração coordenada no seu servidor RADIUS, nos seus pontos de acesso e nos dispositivos dos clientes.

Passo 1: Preparação do Servidor RADIUS

Quer esteja a utilizar o Microsoft Network Policy Server (NPS) ou uma alternativa, os princípios fundamentais permanecem idênticos.

  1. Definir Clientes RADIUS: Registe cada Ponto de Acesso (ou Controlador de LAN Sem Fios) no seu servidor RADIUS. Atribua um Segredo Partilhado forte e gerado aleatoriamente (mínimo de 22 caracteres) para proteger as comunicações entre o AP e o servidor RADIUS.
  2. Instalar o Certificado do Servidor: Para PEAP ou EAP-TLS, instale um certificado X.509 no servidor RADIUS. A utilização de um certificado de uma Autoridade de Certificação (CA) pública fidedigna simplifica a implementação em ambientes BYOD, uma vez que o certificado de raiz já é fidedigno para os sistemas operativos dos clientes.

Passo 2: Configuração de Políticas

Configure as suas políticas de rede para ditar os direitos de acesso com base na identidade.

  1. Políticas de Pedido de Ligação: Defina como o servidor RADIUS lida com os pedidos recebidos. Normalmente, isto envolve a correspondência do NAS-Port-Type (Wireless - IEEE 802.11) e a autenticação local dos pedidos.
  2. Políticas de Rede: Mapeie grupos do Active Directory para direitos de acesso à rede. Por exemplo, mapeie o grupo "Domain Computers" para a VLAN corporativa. Utilize atributos RADIUS (Tunnel-Type=VLAN, Tunnel-Medium-Type=802, Tunnel-Private-Group-ID=[VLAN_ID]) para atribuir dinamicamente VLANs após uma autenticação bem-sucedida.

Passo 3: Configuração do Ponto de Acesso

Configure o SSID na sua infraestrutura sem fios (ex. Meraki, Aruba, Cisco).

  1. Crie um novo SSID e selecione WPA2-Enterprise ou WPA3-Enterprise.
  2. Introduza o endereço IP dos seus servidores RADIUS primário e secundário.
  3. Introduza o Segredo Partilhado definido no Passo 1.
  4. Ative a Atribuição Dinâmica de VLAN se o seu servidor RADIUS estiver a enviar atributos de VLAN.

Passo 4: Provisionamento do Suplicante do Cliente

Este é o passo mais crítico e frequentemente negligenciado. Não dependa dos utilizadores para configurar manualmente os seus dispositivos.

  • Dispositivos Corporativos: Utilize Group Policy Objects (GPO) ou a sua plataforma de Mobile Device Management (MDM) para instalar o perfil de WiFi. O perfil deve especificar a Root CA fidedigna e o nome exato do seu servidor RADIUS para evitar ataques do tipo "Evil Twin".
  • BYOD: Implemente um portal de integração ou uma solução MDM para instalar perfis seguros nos dispositivos pessoais dos colaboradores.

Boas Práticas e Padrões do Setor

Para garantir uma implementação robusta, adira às seguintes boas práticas de arquitetura:

  1. Validação Estrita de Certificados: Nunca permita que os clientes aceitem cegamente qualquer certificado de servidor. Este é o principal vetor para a recolha de credenciais PEAP.
  2. Isolar o Tráfego de Convidados: A sua infraestrutura 802.1X destina-se ao acesso corporativo. O tráfego de convidados deve permanecer completamente segregado. Implemente uma plataforma dedicada de Guest WiFi com o seu próprio Captive Portal e camada de analítica. Conforme discutido no nosso guia sobre Proteger a sua Rede com DNS Forte e Segurança , a separação lógica é fundamental para a defesa da rede.
  3. Implementar Redundância: O RADIUS é um serviço de caminho crítico. Implemente servidores RADIUS primários e secundários. Em ambientes distribuídos, como grandes cadeias de Retalho , considere proxies RADIUS locais para garantir a sobrevivência caso a ligação WAN caia.

Resolução de Problemas e Mitigação de Riscos

Quando as implementações falham, a causa costuma dever-se a alguns erros comuns de configuração:

  • Erros de Timeout do RADIUS: Frequentemente causados por um Segredo Partilhado (Shared Secret) incorreto entre o AP e o servidor RADIUS, ou por regras de firewall que bloqueiam as portas UDP 1812 (Autenticação) e 1813 (Accounting).
  • Rejeição do Cliente: Verifique os registos de eventos do RADIUS (por exemplo, Windows Event Viewer -> Custom Views -> Server Roles -> Network Policy and Access Services). Procure pelo Event ID 6273. As causas comuns incluem certificados de cliente expirados ou a falha do cliente em confiar na cadeia de certificados do servidor.
  • Falhas na Atribuição de VLAN: Se a autenticação for bem-sucedida mas o cliente não obtiver um endereço IP, verifique se a porta do switch ligada ao AP está configurada como uma porta trunk que permite a VLAN atribuída dinamicamente.

ROI e Impacto no Negócio

A implementação do 802.1X gera um ROI operacional e de segurança significativo:

  • Mitigação de Riscos: Elimina o risco de uma única PSK comprometida violar toda a rede corporativa, apoiando diretamente os esforços de conformidade com o PCI DSS e o GDPR.
  • Eficiência Operacional: Centraliza o controlo de acessos. Quando um colaborador sai da empresa, a desativação da sua conta de Active Directory revoga imediatamente o seu acesso à WiFi. Não há necessidade de alterar as PSKs em toda a empresa.
  • Visibilidade da Rede: Fornece visibilidade detalhada sobre exatamente quem está na rede e que dispositivo está a utilizar, permitindo um melhor planeamento de capacidade e deteção de ameaças.

Para ambientes complexos e de alta densidade, como estádios ou espaços de Hospitality , gerir a segurança corporativa em conjunto com o acesso de convidados é um desafio. Ao proteger os ativos corporativos com 802.1X e ao tirar partido de uma plataforma robusta de WiFi Analytics para o tráfego de visitantes, os líderes de TI podem oferecer uma conectividade segura e escalável que serve tanto a empresa como os seus clientes. Para obter perspetivas sobre a gestão de ambientes de alta densidade, consulte o nosso Zoo and Theme Park WiFi: High-Footfall Venue Connectivity Guide .

Definições Principais

802.1X

Uma norma IEEE para controlo de acesso à rede baseado em portas que fornece um mecanismo de autenticação para dispositivos que pretendem ligar-se a uma LAN ou WLAN.

O protocolo fundamental para a segurança de WiFi empresarial, substituindo palavras-passe partilhadas vulneráveis.

Supplicant

O dispositivo cliente ou aplicação de software que solicita acesso à rede.

As equipas de TI devem gerir a configuração do supplicant via MDM para garantir ligações seguras.

Authenticator

O dispositivo de rede (Access Point ou Switch) que facilita o processo de autenticação, atuando como um proxy entre o Supplicant e o Servidor de Autenticação.

Configurado com o IP do servidor RADIUS e um segredo partilhado para encaminhar de forma segura o tráfego EAP.

RADIUS

Remote Authentication Dial-In User Service; um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Contabilização (AAA).

O servidor de backend (como o Microsoft NPS) que valida efetivamente as credenciais do utilizador num diretório.

EAP (Extensible Authentication Protocol)

Uma estrutura de autenticação frequentemente utilizada em redes sem fios e ligações ponto a ponto, que suporta múltiplos métodos de autenticação.

O "idioma" falado entre o Supplicant e o servidor RADIUS.

EAP-TLS

Um método EAP que utiliza Transport Layer Security, exigindo certificados tanto do lado do servidor como do cliente para autenticação mútua.

O método mais seguro disponível, frequentemente obrigatório para ambientes de alta segurança ou classificados.

PEAP

Protected Extensible Authentication Protocol; encapsula o EAP dentro de um túnel TLS encriptado e autenticado.

O método empresarial mais amplamente implementado, equilibrando a segurança com a facilidade de implementação ao exigir apenas um certificado do lado do servidor.

Dynamic VLAN Assignment

O processo no qual um servidor RADIUS instrui o Access Point a colocar um utilizador autenticado numa VLAN específica com base na sua pertença a um grupo de diretório.

Crucial para segmentar o tráfego de rede (por exemplo, separar RH, Engenharia e dispositivos IoT) enquanto transmite apenas um único SSID corporativo.

Exemplos Práticos

Um hotel de luxo com 300 quartos precisa de proteger a sua rede operacional interna (tablets dos funcionários, telefones VoIP, portáteis de gestão), mantendo-a totalmente separada da rede de convidados. Atualmente, utilizam uma única PSK para os funcionários.

  1. Implementar o Microsoft NPS associado ao Active Directory existente do hotel.
  2. Configurar o PEAP-MSCHAPv2, utilizando um certificado público (por exemplo, DigiCert) no servidor NPS para simplificar a integração de tablets.
  3. Criar um SSID 802.1X ('Hotel_Ops') nos APs.
  4. Utilizar a plataforma MDM do hotel para enviar o perfil WiFi 'Hotel_Ops' para todos os tablets e portáteis dos funcionários, configurando explicitamente o perfil para confiar na CA raiz da DigiCert e validar o nome do servidor NPS.
  5. Manter o SSID de convidados aberto existente, encaminhando-o através do Captive Portal da Purple para aceitação de termos e análise de dados, garantindo que as VLANs de convidados não conseguem encaminhar tráfego para as VLANs operacionais.
Comentário do Examinador: Esta abordagem equilibra a segurança com a complexidade de implementação. Ao utilizar um certificado público no servidor RADIUS, o hotel evita a sobrecarga de implementar uma PKI completa, eliminando ao mesmo tempo o risco de partilha de PSK. A separação rigorosa do tráfego de convidados e corporativo através de VLANs e mecanismos de autenticação distintos está alinhada com os requisitos PCI DSS para os sistemas de ponto de venda do hotel.

Um campus universitário está a migrar para o 802.1X e precisa de suportar um ambiente BYOD massivo para 15.000 estudantes em vários sistemas operativos.

  1. Implementar um cluster RADIUS robusto (por exemplo, FreeRADIUS ou Cisco ISE) com balanceamento de carga.
  2. Implementar PEAP-MSCHAPv2 para uma ampla compatibilidade de dispositivos.
  3. Implementar um portal de integração (por exemplo, SecureW2) que configure automaticamente o suplicante do dispositivo do estudante para utilizar as definições EAP corretas e confiar no certificado do servidor RADIUS da universidade.
  4. Utilizar a atribuição dinâmica de VLAN através de atributos RADIUS para colocar os estudantes nas sub-redes apropriadas com base na sua localização no campus para gerir domínios de difusão (broadcast domains).
Comentário do Examinador: No ensino superior, o BYOD é o principal desafio. Depender da configuração manual por parte dos estudantes garante um elevado volume de pedidos de suporte e configurações inseguras (utilizadores a aceitarem certificados inválidos). O portal de integração é o fator crítico de sucesso aqui, garantindo que o suplicante é devidamente configurado para evitar a recolha de credenciais.

Perguntas de Prática

Q1. A sua organização está a implementar o 802.1X utilizando PEAP-MSCHAPv2. Durante os testes, os utilizadores reportam que lhes é solicitado 'Aceitar um Certificado' ao ligarem-se pela primeira vez. Como deve resolver esta situação?

Dica: Considere as implicações de segurança ao permitir que os utilizadores tomem decisões de confiança relativamente à infraestrutura de rede.

Ver resposta modelo

Deve configurar os perfis de suplicante do cliente (via MDM ou Política de Grupo) para confiar explicitamente na CA Raiz que emitiu o certificado do servidor RADIUS e para validar o nome específico do servidor. Confiar nos utilizadores para aceitarem manualmente os certificados treina-os para ignorar avisos de segurança e deixa a rede vulnerável a ataques de Evil Twin (recolha de credenciais).

Q2. Precisa de proteger uma frota de leitores de códigos de barras de armazém. Estes suportam WPA2-Enterprise, mas não possuem um mecanismo para instalar certificados de cliente ou aderir ao Active Directory. Qual é a abordagem de implementação mais segura?

Dica: Avalie os métodos EAP que não requerem certificados do lado do cliente, mas que ainda assim fornecem autenticação encriptada.

Ver resposta modelo

Implemente PEAP-MSCHAPv2. Crie uma conta de serviço dedicada no seu diretório para os leitores. Configure o servidor RADIUS com um certificado de servidor para estabelecer o túnel TLS e configure os leitores para se autenticarem utilizando as credenciais da conta de serviço dentro do túnel. Certifique-se de que a política do RADIUS restringe esta conta de serviço a uma VLAN de armazém específica e isolada.

Q3. Após configurar os APs e o servidor RADIUS, os dispositivos clientes autenticam-se com sucesso (verificado nos registos do RADIUS com um Access-Accept), mas não conseguem receber um endereço IP e não conseguem aceder à rede. Qual é o problema de infraestrutura mais provável?

Dica: A autenticação foi bem-sucedida, o que significa que a fase 802.1X está concluída. O problema reside na fase subsequente de aprovisionamento de rede.

Ver resposta modelo

O problema mais provável é uma configuração incorreta de VLAN na rede com fios. Se o servidor RADIUS estiver a utilizar a atribuição dinâmica de VLAN para colocar o cliente numa VLAN específica (por exemplo, VLAN 20), a porta do switch que liga o Access Point deve ser configurada como uma porta trunk 802.1Q que permita a VLAN 20. Se a VLAN não estiver em trunk para o AP, os pedidos DHCP do cliente serão rejeitados.

Continue a ler esta série

Per-Device PSK por Fabricante: iPSK, DPSK, MPSK e PPSK Comparados (e Suporte a WPA3)

Uma comparação abrangente de implementações de per-device PSK na Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet e Ubiquiti UniFi. Saiba como o WPA3-SAE afeta as estratégias de chaves por dispositivo e quando implementar modos de transição versus migrar para o 802.1X.

Ler o guia →

Métodos de Autenticação de Captive Portal Comparados

Este guia de referência técnica de autoridade avalia as compensações arquitetónicas, operacionais e de conformidade de cinco métodos principais de autenticação de captive portal. Fornece aos arquitetos de rede, diretores de TI e gestores de marketing os dados quantitativos e as estruturas de decisão necessários para equilibrar a fricção no registo de convidados com os requisitos de recolha de dados em locais empresariais.

Ler o guia →

O que é a Autenticação por Endereço MAC? Quando Usar e Quando Evitar

Este guia de referência técnica abrangente aborda a autenticação por endereço MAC em ambientes de WiFi empresarial — como funciona a autenticação MAC baseada em RADIUS na Camada 2, as suas vulnerabilidades de segurança inerentes (incluindo falsificação de MAC e o impacto da randomização de MAC ao nível do SO) e os contextos operacionais precisos onde continua a ser uma ferramenta válida para gerir IoT e dispositivos headless. Fornece orientações de implementação práticas para gestores de TI e arquitetos de rede em setores como hotelaria, retalho, saúde e espaços públicos, com exemplos práticos reais, estruturas de decisão e contexto de integração para a plataforma de guest WiFi e analytics da Purple.

Ler o guia →
Como Configurar a Autenticação WiFi 802.1X: Um Guia Passo a Passo | Guias Técnicos | Purple