Saltar para o conteúdo principal

Como Configurar WPA2-Enterprise em Plataformas de Access Point Comuns (Cisco, Aruba, Ubiquiti)

Este guia de referência técnica fornece a profissionais de TI seniores e arquitetos de rede um passo a passo definitivo e específico do fabricante para implantar WPA2-Enterprise em plataformas Cisco, Aruba e Ubiquiti. Detalha a arquitetura, integração RADIUS, requisitos de conformidade e cenários de implantação reais em ambientes empresariais e recintos.

📖 6 min de leitura📝 1,309 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Como Configurar WPA2-Enterprise em Plataformas de Access Point Comuns - Cisco, Aruba e Ubiquiti Um Briefing de Inteligência Purple WiFi [INTRO - aproximadamente 1 minuto] Bem-vindo à Série de Inteligência Purple WiFi. Sou o seu anfitrião e hoje vamos direto ao assunto num dos temas mais solicitados pelos nossos clientes empresariais: como configurar WPA2-Enterprise nas três plataformas de access point mais amplamente implementadas - Cisco, Aruba e Ubiquiti. Quer seja o diretor de TI de um grupo hoteleiro de 500 quartos, o arquiteto de rede de uma cadeia de retalho nacional ou o CTO de um operador de centros de conferências, este briefing é para si. Não vamos abordar a teoria apenas por abordar. Vamos analisar o que precisa de saber para tomar uma decisão de implementação, executá-la corretamente e evitar as armadilhas que baralham até as equipas experientes. Vamos a isso. [ANÁLISE TÉCNICA DETALHADA - aproximadamente 5 minutos] Primeiro, um rápido ponto de situação sobre o que é realmente o WPA2-Enterprise, porque ainda existe uma quantidade surpreendente de confusão no mercado entre WPA2-Personal e WPA2-Enterprise - e a distinção é extremamente importante para a conformidade e a postura de risco. O WPA2-Personal - a versão com que a maioria das pessoas está familiarizada - utiliza uma única chave pré-partilhada. Todos na rede utilizam a mesma palavra-passe. Isso é aceitável para uma rede doméstica. É categoricamente inaceitável para um ambiente empresarial onde necessita de autenticação por utilizador, registos de auditoria e a capacidade de revogar o acesso instantaneamente. O WPA2-Enterprise, definido sob a norma 802.1X, substitui essa chave partilhada por uma troca de autenticação individual. Cada utilizador ou dispositivo apresenta as suas próprias credenciais - quer seja um nome de utilizador e palavra-passe, um certificado digital ou um token - e essas credenciais são validadas por um servidor RADIUS antes de o acesso à rede ser concedido. O próprio access point nunca vê as credenciais. Funciona puramente como um autenticador, passando a troca EAP - Extensible Authentication Protocol - entre o cliente e o servidor RADIUS. Esta é uma arquitetura fundamentalmente mais segura e é o requisito básico para a conformidade com PCI-DSS em qualquer ambiente que lide com dados de cartões de pagamento, além de ser fortemente recomendada ao abrigo do GDPR para organizações que processam dados pessoais em redes sem fios. Agora, vamos falar sobre as três plataformas. Começando com a Cisco. O portefólio de WiFi empresarial da Cisco - principalmente as linhas Catalyst e Meraki - é a escolha habitual para implementações em grande escala. O Cisco DNA Center oferece uma gestão centralizada de políticas, e o dashboard Meraki proporciona simplicidade gerida na cloud para propriedades distribuídas. Para configurar WPA2-Enterprise num ponto de acesso Cisco Catalyst, irá trabalhar através do WLC - Wireless LAN Controller - ou do DNA Center. Os passos principais são: definir o seu servidor RADIUS em Security, depois AAA, e depois RADIUS Authentication Servers; criar um novo perfil de WLAN; definir a política de segurança para WPA2 com 802.1X como método de gestão de chaves; e associar o servidor RADIUS a essa WLAN. Um ponto crítico na Cisco: certifique-se de que está a configurar a monitorização (accounting) RADIUS, bem como a autenticação. A monitorização fornece-lhe o registo de auditoria por sessão que as normas de conformidade exigem. Na Meraki, o processo é ainda mais simples - navegue até Wireless, depois SSIDs, selecione o seu SSID de destino, defina a segurança para WPA2-Enterprise com "my RADIUS server", e introduza o IP do seu servidor RADIUS, a porta - tipicamente 1812 para autenticação e 1813 para monitorização - e o segredo partilhado. A Meraki também suporta testes RADIUS diretamente a partir do dashboard, o que é inestimável durante o comissionamento. Passando para a Aruba. A Aruba Networks, agora parte da HPE, é a escolha dominante na hotelaria e no ensino superior. O Aruba Central oferece gestão na cloud, e o ArubaOS é a plataforma subjacente. Na Aruba, a configuração WPA2-Enterprise reside dentro do perfil de SSID. Irá definir um perfil AAA que referencia o seu servidor RADIUS, e depois associar esse perfil AAA ao seu perfil de AP virtual. O ClearPass Policy Manager da Aruba merece uma menção específica aqui - é o motor de RADIUS e políticas próprio da Aruba, e adiciona uma capacidade significativa em termos de criação de perfis de dispositivos, controlo de acessos baseado em funções e integração de convidados. Se estiver a gerir um ambiente misto com funcionários, subcontratados e convidados a ligarem-se todos à mesma infraestrutura, o ClearPass oferece-lhe a granularidade de políticas para os segmentar adequadamente. Para um hotel que implemente WPA2-Enterprise nas redes de funcionários e de suporte (back-of-house), enquanto executa uma solução de WiFi para convidados separada através de uma plataforma como a Purple, a segmentação de SSID da Aruba combinada com o ClearPass para a autenticação de funcionários é uma arquitetura muito limpa. Agora a Ubiquiti. A plataforma UniFi da Ubiquiti tem ganho um mediatismo significativo no espaço de PME e médio mercado - e cada vez mais na hotelaria boutique e retalho - devido ao seu preço competitivo e a uma interface de gestão genuinamente capaz. O UniFi Network Controller é onde fará o trabalho mais pesado. Para configurar WPA2-Enterprise no UniFi, navegue até Definições, depois WiFi, crie ou edite o seu SSID, defina a segurança para WPA2 Enterprise e configure o seu perfil RADIUS - mais uma vez, endereço IP, porta de autenticação 1812, porta de accounting 1813 e segredo partilhado. Uma consideração importante com a Ubiquiti: não inclui um servidor RADIUS integrado da mesma forma que algumas plataformas empresariais fazem. Precisará de um servidor RADIUS externo - quer seja o Windows Server NPS, FreeRADIUS ou um serviço de cloud RADIUS. Isto não é uma limitação em si, mas é uma dependência que precisa de ser planeada. Para implementações mais pequenas, a UniFi Network Application inclui um servidor RADIUS básico, mas para ambientes de produção eu recomendaria sempre uma instância RADIUS dedicada. Em todas as três plataformas, a seleção do método EAP merece atenção. O PEAP com MSCHAPv2 é o método mais amplamente implementado porque funciona com credenciais do Active Directory sem exigir certificados do lado do cliente. O EAP-TLS é mais seguro - utiliza autenticação mútua por certificado - mas requer uma infraestrutura PKI e a implementação de certificados em cada dispositivo cliente, o que adiciona custos operacionais. Para a maioria das implementações empresariais, o PEAP-MSCHAPv2 com um servidor RADIUS corretamente configurado e validação de certificado do lado do cliente é o equilíbrio certo entre segurança e facilidade de gestão operacional. [RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ARMADILHAS - aproximadamente 2 minutos] Agora deixe-me dar-lhe os três modos de falha mais comuns que vejo nas implementações WPA2-Enterprise, e como evitá-los. Número um: disponibilidade do servidor RADIUS. O seu servidor RADIUS está agora no caminho crítico para cada autenticação sem fios. Se ele falhar, ninguém se consegue ligar. Isto significa que precisa de redundância RADIUS - no mínimo um servidor RADIUS primário e secundário configurado em cada ponto de acesso. A maioria das plataformas suporta isto nativamente. Na Cisco, pode configurar grupos de servidores RADIUS com failover. Na Aruba, o perfil AAA suporta múltiplos servidores RADIUS com valores configuráveis de tentativa e tempo limite. Na Ubiquiti, pode especificar um servidor RADIUS secundário no perfil RADIUS. Não salte este passo. Número dois: validação de certificados. Uma proporção surpreendentemente alta de implementações que analiso tem dispositivos cliente configurados para aceitar qualquer certificado de servidor RADIUS. Isto mina completamente o modelo de segurança - abre as portas a ataques do tipo "evil twin", onde um ponto de acesso malicioso se faz passar pela sua rede e recolhe credenciais. Configure o seu certificado de servidor RADIUS a partir de uma CA de confiança e configure os suplicantes do cliente para validarem esse certificado. Em Windows, isto é feito através de Política de Grupo. Em iOS e Android, é gerido através de perfis de MDM. Isto é inegociável para qualquer ambiente que lide com dados sensíveis. Número três: atribuição de VLAN. O WPA2-Enterprise permite a atribuição dinâmica de VLAN - o servidor RADIUS pode retornar um atributo VLAN na mensagem Access-Accept, colocando cada utilizador autenticado no segmento de rede adequado com base na sua identidade ou função. Esta é uma das funcionalidades mais poderosas da arquitetura 802.1X, e é frequentemente deixada por configurar. Se gere um espaço com pessoal, administração e dispositivos IoT, todos na mesma infraestrutura física, a atribuição dinâmica de VLAN é a forma de impor a segmentação de rede sem gerir múltiplos SSIDs. Do lado da integração com a Purple: se está a implementar WPA2-Enterprise para o seu pessoal e redes operacionais, e a correr a plataforma de guest WiFi da Purple para a conectividade de visitantes, estes dois sistemas coexistem de forma limpa. A Purple lida com a autenticação de convidados, captura de dados e camada de analítica - incluindo a analítica de WiFi e inteligência de tráfego que os operadores do espaço utilizam para decisões operacionais - enquanto a sua infraestrutura WPA2-Enterprise protege a rede corporativa. A chave é uma separação limpa de SSID e VLAN ao nível do ponto de acesso, o que todas as três plataformas suportam. [P&R RÁPIDAS - aproximadamente 1 minuto] Deixe-me passar por algumas perguntas que surgem regularmente. Posso correr WPA2-Enterprise e uma rede de convidados nos mesmos pontos de acesso? Sim, absolutamente. Todas as três plataformas suportam múltiplos SSIDs por rádio, cada um com políticas de segurança independentes. O seu SSID corporativo corre WPA2-Enterprise; o seu SSID de convidados pode correr através do Captive Portal da Purple com o isolamento adequado. Preciso de substituir os meus pontos de acesso existentes para implementar WPA2-Enterprise? Quase de certeza que não. O WPA2-Enterprise é suportado em pontos de acesso de classe empresarial há bem mais de uma década. Se o seu hardware tem menos de oito anos e corre firmware atual, suportará 802.1X. Qual é a diferença entre WPA2-Enterprise e WPA3-Enterprise? O WPA3-Enterprise adiciona o modo de segurança de 192 bits utilizando criptografia Suite B, que é relevante para ambientes governamentais e de defesa. Para a maioria das implementações comerciais, o WPA2-Enterprise com métodos EAP robustos continua a ser o padrão. Vale a pena planear a transição para WPA3 para novas implementações, mas não é uma migração urgente para a maioria das organizações. O RADIUS na nuvem é uma opção viável? Sim, e cada vez mais. Serviços como o Cisco ISE na nuvem, o Aruba ClearPass como serviço, ou opções de terceiros como o JumpCloud e o Foxpass fornecem RADIUS como um serviço gerido (RADIUS-as-a-Service), o que elimina a sobrecarga de infraestrutura. Para instalações distribuídas - pense numa cadeia de retalho com 200 localizações - o RADIUS na nuvem pode reduzir significativamente a complexidade operacional. [RESUMO E PRÓXIMOS PASSOS — aproximadamente 1 minuto] Para concluir: o WPA2-Enterprise é a base não negociável para qualquer implementação de rede sem fios empresarial. O processo de configuração no Cisco, Aruba e Ubiquiti segue o mesmo padrão fundamental - definir o seu servidor RADIUS, criar o seu SSID com gestão de chaves 802.1X, selecionar o seu método EAP e testar antes de entrar em produção. As diferenças residem nas interfaces de gestão e nas ferramentas do ecossistema de cada plataforma. As três coisas a acertar: redundância RADIUS, validação de certificados nos clientes e atribuição dinâmica de VLAN. Acerte nestas três e terá uma postura de segurança sem fios sólida, em conformidade e auditável. Para os seus próximos passos: se estiver a avaliar plataformas, utilize a estrutura de comparação de fornecedores no guia em anexo. Se estiver pronto para implementar, os guias passo a passo de configuração para cada plataforma estão na secção de implementação. E se estiver a pensar em como o WiFi de convidados se integra na sua rede empresarial, a documentação da plataforma Purple abrange a arquitetura de integração em detalhe. Obrigado por ouvir. Vemo-nos no próximo briefing.

Resumo Executivo

A implementação de WPA2-Enterprise já não é uma atualização de segurança opcional - é a base essencial para qualquer rede sem fios de classe empresarial. Para os gestores de TI e arquitetos de rede que operam em ambientes de hotelaria, retalho e setor público, a transição de Chaves Pré-Partilhadas para a autenticação 802.1X é impulsionada por mandatos de conformidade rigorosos, incluindo PCI-DSS e GDPR. Este guia de referência técnica fornece passos de configuração concretos, acionáveis e específicos da plataforma para os três principais fabricantes de pontos de acesso: Cisco, Aruba e Ubiquiti.

Ao transitar para WPA2-Enterprise, as organizações empresariais podem eliminar os riscos associados a credenciais partilhadas, obter registos de auditoria granulares por sessão e permitir a segmentação dinâmica de rede. Quando implementada corretamente, esta arquitetura não só protege o perímetro corporativo, como também se integra de forma transparente com redes de visitantes geridas através de uma plataforma abrangente de Guest WiFi . As secções seguintes detalham a arquitetura técnica, os passos de implementação e as estratégias de mitigação de riscos necessárias para uma implementação bem-sucedida.

header_image.png

Análise Técnica Detalhada

O WPA2-Enterprise baseia-se no padrão IEEE 802.1X para fornecer controlo de acesso à rede baseado em portas. Ao contrário do WPA2-Personal, que utiliza uma Chave Pré-Partilhada (PSK) estática, o WPA2-Enterprise exige que cada suplicante (dispositivo do cliente) se autentique individualmente perante um servidor de autenticação externo - normalmente um servidor RADIUS - antes de lhe ser concedido acesso à rede.

A arquitetura consiste em três componentes principais:

  1. O Suplicante: O dispositivo do cliente que tenta ligar-se à rede.
  2. O Autenticador: O ponto de acesso ou controlador LAN sem fios de classe empresarial (por exemplo, um Cisco WLC ou Aruba Mobility Controller) que facilita o processo de autenticação.
  3. O Servidor de Autenticação: O servidor RADIUS de back-end (por exemplo, Cisco ISE, Aruba ClearPass ou Windows NPS), que valida as credenciais em relação a um serviço de diretório como o Active Directory ou LDAP.

O Processo de Troca EAP

O processo de autenticação utiliza o Extensible Authentication Protocol over LAN (EAPOL). Durante a fase inicial, o autenticador atua puramente como um proxy transparente. Assim que o servidor RADIUS valida as credenciais, envia uma mensagem Access-Accept de volta ao autenticador, que depois deriva as chaves de encriptação necessárias para proteger a sessão WiFi. A escolha do método EAP é crítica. O PEAP-MSCHAPv2 é o método mais amplamente implementado porque suporta a autenticação tradicional por palavra-passe do Active Directory enquanto protege a troca dentro de um túnel TLS estabelecido pelo certificado do servidor. No entanto, para a máxima segurança, recomenda-se o EAP-TLS. O EAP-TLS requer autenticação mútua por certificado (tanto o servidor como o cliente devem apresentar certificados válidos), o que protege contra o roubo de credenciais, mas exige uma infraestrutura de chaves públicas (PKI) robusta ou uma solução de Gestão de Dispositivos Móveis (MDM) para a distribuição de certificados.

architecture_overview.png

Guia de Implementação

Os princípios fundamentais de configuração do WPA2-Enterprise são consistentes entre fabricantes, mas a execução varia de acordo com a interface de gestão e o ecossistema.

vendor_comparison_chart.png

Cisco (Catalyst e Meraki)

Os ambientes Cisco variam tipicamente em escala, desde implementações em campus até redes empresariais distribuídas.

Cisco Catalyst (WLC/DNA Center):

  1. Defina os servidores RADIUS: Navegue até ao separador "Security", selecione "AAA" e configure os servidores RADIUS de autenticação e faturação (accounting) primários e secundários. Certifique-se de que o segredo partilhado corresponde à configuração do servidor RADIUS.
  2. Crie um perfil de WLAN: No separador "WLANs", crie um novo perfil.
  3. Configure a política de segurança: Defina a Segurança de Camada 2 como WPA+WPA2 e ative o 802.1X como o método de Gestão de Chaves de Autenticação (AKM).
  4. Associe os servidores AAA: Mapeie os servidores RADIUS previamente definidos para o perfil de WLAN. Se for necessária a atribuição dinâmica de VLAN, ative "AAA Override".

Cisco Meraki:

  1. Configuração do SSID: No painel de controlo da Meraki, navegue até Wireless > SSIDs e selecione a rede de destino.
  2. Controlo de acesso: Defina o requisito de associação para "WPA2-Enterprise com o meu servidor RADIUS".
  3. Definições de RADIUS: Introduza o endereço IP da sua infraestrutura RADIUS, a porta de autenticação (normalmente 1812), a porta de faturação (1813) e o segredo partilhado. O painel de controlo da Meraki inclui uma ferramenta de teste integrada para verificar a conectividade do RADIUS antes da implementação.

Aruba Networks

A Aruba é a plataforma dominante na Hotelaria e no ensino superior, fazendo uso extensivo do seu ClearPass Policy Manager para controlo de acesso avançado.

  1. Defina um perfil AAA: No Aruba Central ou na interface de utilizador do Mobility Controller, crie um novo perfil AAA. Este perfil determina como a autenticação é processada.
  2. Configure um grupo de servidores RADIUS: Adicione os seus servidores RADIUS a um grupo de servidores, especificando regras de failover e valores de tempo limite. Associe este grupo ao perfil AAA.3. Configuração de Virtual AP: Crie ou modifique o perfil de Virtual AP (SSID). Defina o tipo de segurança como WPA2-Enterprise.
  3. Vincular os perfis: Vincule o perfil AAA ao perfil de Virtual AP. Se estiver a usar o ClearPass, garanta que a porta RADIUS CoA (Change of Authorization) (3799) é permitida através de quaisquer firewalls intermédias para permitir a aplicação de políticas dinâmicas.

Ubiquiti (UniFi)

A Ubiquiti, através do UniFi Network Controller, oferece uma solução económica para ambientes de Retalho e PME.

  1. Criar um perfil RADIUS: Aceda a Definições > Perfis > RADIUS. Crie um novo perfil utilizando o endereço IP, as portas (1812/1813) e o segredo partilhado do seu servidor RADIUS externo.
  2. Configuração de SSID: Aceda a Definições > WiFi e crie uma nova rede sem fios.
  3. Definições de segurança: Selecione "WPA2 Enterprise" como o protocolo de segurança e vincule o perfil RADIUS recém-criado.
  4. Considerações sobre a arquitetura RADIUS: Ao contrário dos controladores de classe empresarial que podem oferecer RADIUS local sobrevivente, o UniFi depende fortemente de servidores externos (por exemplo, FreeRADIUS ou Windows NPS). Garanta uma conectividade fiável entre os APs UniFi e o back-end RADIUS.

Melhores Práticas

Para garantir que a implementação é simultaneamente resiliente e segura, os arquitetos de rede devem seguir várias melhores práticas críticas:

  1. Impor a validação de certificados: Os dispositivos clientes devem ser explicitamente configurados para validar o certificado do servidor RADIUS face a uma Autoridade de Certificação (CA) fidedigna. A não realização desta validação expõe a rede a ataques "Evil Twin", permitindo que um ponto de acesso malicioso recolha credenciais de utilizadores.
  2. Implementar redundância RADIUS: O servidor RADIUS encontra-se no caminho crítico para o acesso à rede. Configure sempre servidores RADIUS primários e secundários. Em ambientes distribuídos, considere uma solução RADIUS alojada na cloud para alta disponibilidade.
  3. Aproveitar a atribuição dinâmica de VLAN: Utilize atributos RADIUS (como Tunnel-Pvt-Group-ID) para atribuir dinamicamente utilizadores a VLANs específicas com base na sua pertença a grupos do Active Directory. Isto impõe a segmentação de rede sem transmitir múltiplos SSIDs.
  4. Ativar o RADIUS Accounting: Não configure apenas a autenticação. O RADIUS Accounting (porta 1813) é obrigatório para gerar os registos de auditoria exigidos pelos referenciais de conformidade.
  5. Proteger a fronteira da rede: Leia mais sobre como proteger a sua infraestrutura no nosso guia Protecting Your Network with Robust DNS and Security .

Resolução de Problemas e Mitigação de Riscos

Mesmo com um planeamento cuidadoso, as implementações podem deparar-se com problemas. Os modos de falha comuns incluem:

  • Incompatibilidade de segredo partilhado: Um simples erro de digitação no segredo partilhado do RADIUS causa falhas de autenticação silenciosas. Verifique o segredo tanto no autenticador como no servidor RADIUS.
  • Erros de sincronização temporal: A validação de certificados exige carimbos de data/hora precisos. Garanta que todos os APs, controladores e servidores RADIUS estão sincronizados através de uma fonte NTP fiável.
  • Firewalls a bloquear tráfego RADIUS: Certifique-se de que as portas UDP 1812 (autenticação) e 1813 (accounting) estão abertas entre os APs/controladores e os servidores RADIUS. Se utilizar CoA, certifique-se de que a porta UDP 3799 está aberta.
  • Configuração incorreta do cliente: O problema mais comum é os dispositivos dos clientes não estarem configurados para confiar na CA que emitiu o certificado do servidor RADIUS. Utilize um MDM ou uma Política de Grupo para enviar o perfil wireless correto para os dispositivos corporativos.

Para uma compreensão mais ampla do protocolo de autenticação, consulte Como Configurar a Autenticação WiFi 802.1X: Um Guia Passo a Passo .

ROI e Impacto no Negócio

Além do aumento tangível de segurança, a transição para o WPA2-Enterprise proporciona um valor de negócio significativo.

  • Redução de riscos: A eliminação de palavras-passe partilhadas reduz drasticamente a superfície de ataque e o risco de uma violação de dados, o que pode trazer graves consequências financeiras e de reputação.
  • Eficiência operacional: A integração da autenticação WiFi com o seu fornecedor de identidade existente (como o Active Directory) permite a automatização da entrada e saída de funcionários. Quando um funcionário sai, a desativação da sua conta de AD revoga instantaneamente o seu acesso ao WiFi.
  • Alinhamento de conformidade: Registos de auditoria detalhados e autenticação por utilizador são pré-requisitos para a conformidade com PCI-DSS e ISO 27001.
  • Infraestrutura unificada: Ao utilizar a atribuição dinâmica de VLAN, os espaços podem executar de forma segura o tráfego corporativo, administrativo e IoT no mesmo hardware físico utilizado para o acesso de convidados. A rede de convidados pode então ser monetizada e analisada utilizando uma solução dedicada de WiFi Analytics , maximizando o retorno do investimento em hardware. Certifique-se de que tem largura de banda suficiente compreendendo O Que É uma Linha Dedicada? Internet Dedicada para Empresas .

Definições Principais

WPA2-Enterprise

Um protocolo de segurança para redes sem fios que utiliza 802.1X para fornecer autenticação por utilizador através de um servidor externo, em vez de uma única palavra-passe partilhada.

O padrão obrigatório para proteger redes WiFi corporativas e operacionais em ambientes empresariais.

802.1X

Um padrão IEEE para controlo de acesso à rede baseado em porta que fornece um mecanismo de autenticação para dispositivos que desejam ligar-se a uma LAN ou WLAN.

A estrutura subjacente que faz o WPA2-Enterprise funcionar.

RADIUS

Remote Authentication Dial-In User Service; um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Accounting (AAA).

O componente de servidor que valida as credenciais do utilizador contra uma base de dados como o Active Directory.

Suplicante

O cliente de software num dispositivo (portátil, smartphone) que comunica com o autenticador para solicitar acesso à rede.

O endpoint que deve ser configurado com as definições de EAP e fidedignidade de certificado corretas.

Autenticador

O dispositivo de rede (Access Point ou Switch) que facilita o processo de autenticação ao passar mensagens entre o suplicante e o servidor de autenticação.

O hardware Cisco, Aruba ou Ubiquiti gerido pela equipa de TI.

EAP (Extensible Authentication Protocol)

Uma estrutura de autenticação frequentemente utilizada em redes sem fios e ligações ponto a ponto, suportando múltiplos métodos de autenticação.

O protocolo utilizado para encapsular a troca de credenciais.

PEAP-MSCHAPv2

Um método EAP que encapsula a troca de palavras-passe MSCHAPv2 dentro de um túnel TLS seguro estabelecido pelo certificado do servidor.

O método de implantação mais comum, pois equilibra a segurança com a conveniência de utilizar palavras-passe AD padrão.

Dynamic VLAN Assignment

O processo no qual um servidor RADIUS instrui o ponto de acesso a colocar um utilizador autenticado numa VLAN específica com base na sua identidade ou pertença a um grupo.

Crucial para a segmentação de rede, permitindo que diferentes tipos de utilizadores partilhem os mesmos APs físicos de forma segura.

Exemplos Práticos

Um hotel com 200 quartos precisa de implantar WiFi seguro para os seus funcionários de back-of-house (limpeza, gestão) utilizando os access points Aruba existentes, mantendo o tráfego dos funcionários estritamente separado da rede de convidados.

A equipa de TI configura um único SSID 'Hotel_Staff' utilizando WPA2-Enterprise. Integram o Aruba ClearPass com o Active Directory do hotel. No ClearPass, configuram políticas de aplicação: se um utilizador estiver no grupo de AD 'Management', o ClearPass devolve um atributo RADIUS que o atribui à VLAN 10 (Rede de Gestão). Se o utilizador estiver no grupo 'Housekeeping', é atribuído à VLAN 20 (Rede de Operações). Os APs estão configurados para aplicar estas atribuições dinâmicas de VLAN.

Comentário do Examinador: Esta abordagem demonstra o poder da atribuição dinâmica de VLAN. Evita a interferência de RF e a sobrecarga de gestão de transmitir múltiplos SSIDs ('Hotel_Management', 'Hotel_Housekeeping'), garantindo uma segmentação de rede estrita e tirando partido das identidades de diretório existentes.

Uma cadeia de retalho nacional com 50 localizações utiliza Cisco Meraki. Precisam de proteger os seus terminais de ponto de venda (POS) através de WiFi para cumprir a conformidade PCI-DSS, substituindo a sua antiga configuração WPA2-Personal.

O arquiteto de rede implementa um serviço RADIUS alojado na nuvem para evitar a implementação de servidores locais em cada loja. No painel Meraki, configuram o SSID 'Retail_POS' para WPA2-Enterprise e apontam-no para os IPs do RADIUS na nuvem. Geram certificados de cliente únicos para cada terminal POS através da sua plataforma de MDM e configuram o servidor RADIUS para exigir EAP-TLS. Os APs Meraki são configurados para enviar dados de Autenticação e Accounting do RADIUS para o serviço na nuvem.

Comentário do Examinador: Este cenário destaca a transição para EAP-TLS para ambientes de alta segurança. Ao utilizar certificados em vez de palavras-passe, os terminais POS autenticam-se de forma silenciosa e segura. A inclusão de RADIUS Accounting garante que a cadeia cumpre os requisitos do PCI-DSS para auditoria de acesso.

Perguntas de Prática

Q1. A sua organização está a implementar WPA2-Enterprise utilizando pontos de acesso Ubiquiti UniFi. Durante os testes, os clientes conseguem ligar-se com sucesso, mas a equipa de conformidade nota que não existem registos de duração das sessões dos utilizadores ou de utilização de dados no sistema de registo central. Qual é a omissão de configuração mais provável?

Dica: A autenticação concede acesso, mas outro processo regista a utilização.

Ver resposta modelo

A porta de RADIUS Accounting (1813) não foi configurada ou está a ser bloqueada por uma firewall. Embora a Autenticação (porta 1812) esteja a funcionar, o Accounting deve ser explicitamente ativado para gerar registos de auditoria de sessão.

Q2. Um utilizador relata que não consegue ligar-se à rede WPA2-Enterprise corporativa. Analisa os registos do Cisco WLC e vê que o AP está a passar o EAP-Request, mas os registos do servidor RADIUS mostram um 'Access-Reject' devido a 'Unknown CA'. O que precisa de ser corrigido?

Dica: Pense na relação de confiança estabelecida durante a configuração do túnel TLS.

Ver resposta modelo

O suplicante do dispositivo cliente não está configurado para confiar na Autoridade de Certificação (CA) que emitiu o certificado do servidor RADIUS. O cliente está a terminar a ligação para evitar um potencial ataque Evil Twin. O certificado da CA deve ser distribuído para o dispositivo cliente.

Q3. Está a desenhar uma rede para um estádio. Precisa de suportar pessoal corporativo, terminais de bilheteira e WiFi para convidados. Como deve arquitetar os SSIDs para minimizar a interferência de RF mantendo a segurança?

Dica: Evite transmitir um SSID para cada caso de utilização individual.

Ver resposta modelo

Implemente um máximo de dois SSIDs. Um SSID para Convidados utilizando um Captive Portal (como o Purple). Um segundo SSID para todas as operações corporativas utilizando WPA2-Enterprise. Utilize Dynamic VLAN Assignment através do servidor RADIUS para segmentar o pessoal corporativo numa VLAN e os terminais de bilheteira noutra com base nas suas credenciais de autenticação.

Continue a ler esta série

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Este guia de referência técnica descreve a arquitetura, configuração e implementação de autenticação RADIUS para redes WiFi empresariais de convidados e funcionários. Fornece aos arquitetos de rede e gestores de TI os protocolos exatos, normas de segurança e metodologias de resolução de problemas necessários para construir sistemas de controlo de acesso sem fios seguros e escaláveis.

Ler o guia →

Passpoint e OpenRoaming: Guia Completo

Este guia de referência técnica fornece uma análise abrangente das frameworks Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implementação necessárias para estabelecer uma conectividade de convidados segura e sem atritos. Os arquitetos de rede e líderes de TI aprenderão a desenhar, implementar e resolver problemas destes padrões para eliminar as barreiras de início de sessão manual, mantendo simultaneamente uma segurança de nível empresarial.

Ler o guia →

Como Implementar SCEP para Integração Segura de BYOD e Redes no Ensino Superior

Este guia técnico fornece aos arquitetos de rede e gestores de TI um plano neutro em termos de fornecedor para implementar a emissão de certificados baseada em SCEP para proteger as redes dos campus do ensino superior. Detalha como migrar de PEAP baseado em palavra-passe para 802.1X EAP-TLS, automatizar a integração de BYOD e impor uma segmentação robusta de VLAN.

Ler o guia →