Saltar para o conteúdo principal
Português

Como Configurar WPA2-Enterprise em Plataformas de Access Point Comuns (Cisco, Aruba, Ubiquiti)

Este guia de referência técnica fornece aos profissionais de TI seniores e arquitetos de rede um passo a passo definitivo e específico de cada fabricante para implementar WPA2-Enterprise em plataformas Cisco, Aruba e Ubiquiti. Detalha a arquitetura, integração RADIUS, requisitos de conformidade e cenários de implementação reais em ambientes empresariais e recintos.

📖 6 min de leitura📝 1,309 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Como Configurar WPA2-Enterprise em Plataformas de Access Point Comuns — Cisco, Aruba e Ubiquiti Um Briefing de Informação da Purple WiFi [INTRO — aproximadamente 1 minuto] Bem-vindo à Série de Informação da Purple WiFi. Eu sou o seu anfitrião e hoje vamos directos ao assunto num dos tópicos mais solicitados pelos nossos clientes empresariais: como configurar WPA2-Enterprise nas três plataformas de access point mais amplamente implementadas — Cisco, Aruba e Ubiquiti. Quer seja o director de TI de um grupo hoteleiro de 500 quartos, o arquitecto de rede de uma cadeia de retalho nacional ou o CTO de um operador de centros de conferências, este briefing é para si. Não vamos abordar a teoria apenas por abordar. Vamos analisar o que precisa de saber para tomar uma decisão de implementação, executá-la correctamente e evitar as armadilhas que afectam até as equipas mais experientes. Vamos a isso. [ANÁLISE TÉCNICA DETALHADA — aproximadamente 5 minutos] Primeiro, um rápido alinhamento sobre o que é realmente o WPA2-Enterprise, porque ainda existe uma quantidade surpreendente de confusão no mercado entre o WPA2-Personal e o WPA2-Enterprise — e a distinção é extremamente importante para a conformidade e a postura de risco. O WPA2-Personal — a versão com que a maioria das pessoas está familiarizada — utiliza uma única chave pré-partilhada. Todos na rede utilizam a mesma palavra-passe. Isso é aceitável para uma rede doméstica. É categoricamente inaceitável para um ambiente empresarial onde necessita de autenticação por utilizador, registos de auditoria e a capacidade de revogar o acesso instantaneamente. O WPA2-Enterprise, definido sob a norma IEEE 802.1X, substitui essa chave partilhada por uma troca de autenticação individual. Cada utilizador ou dispositivo apresenta as suas próprias credenciais — seja um nome de utilizador e palavra-passe, um certificado digital ou um token — e essas credenciais são validadas por um servidor RADIUS antes de ser concedido o acesso à rede. O próprio access point nunca vê as credenciais. Actua puramente como um autenticador, transmitindo a troca EAP — Extensible Authentication Protocol — entre o cliente e o servidor RADIUS. Esta é uma arquitectura fundamentalmente mais segura e é o requisito de base para a conformidade com o PCI DSS em qualquer ambiente que lide com dados de cartões de pagamento, além de ser fortemente recomendada ao abrigo do GDPR para organizações que processam dados pessoais através de redes sem fios. Agora, vamos falar sobre as três plataformas. Começando pela Cisco. O portefólio de WiFi empresarial da Cisco — principalmente as gamas Catalyst e Meraki — é a escolha de referência para implementações em grande escala. O Cisco DNA Center fornece uma gestão de políticas centralizada, e o painel da Meraki oferece a simplicidade da gestão na nuvem para propriedades distribuídas. Para configurar o WPA2-Enterprise num ponto de acesso Cisco Catalyst, irá trabalhar através do WLC — Wireless LAN Controller — ou do DNA Center. Os passos principais são: definir o seu servidor RADIUS em Security, depois AAA e, em seguida, RADIUS Authentication Servers; criar um novo perfil de WLAN; definir a política de segurança para WPA2 com 802.1X como método de gestão de chaves; e associar o servidor RADIUS a essa WLAN. Um ponto crítico na Cisco: certifique-se de que configura a monitorização (accounting) do RADIUS, bem como a autenticação. A monitorização fornece o registo de auditoria por sessão que os quadros de conformidade exigem. Na Meraki, o processo é ainda mais simples — navegue até Wireless, depois SSIDs, selecione o seu SSID de destino, defina a segurança para WPA2-Enterprise com o meu servidor RADIUS e introduza o IP do seu servidor RADIUS, a porta — normalmente 1812 para autenticação e 1813 para monitorização — e o segredo partilhado. A Meraki também suporta testes de RADIUS diretamente a partir do painel, o que é extremamente valioso durante a colocação em funcionamento. Passando para a Aruba. A Aruba Networks, agora parte da HPE, é a escolha dominante na hotelaria e no ensino superior. O Aruba Central fornece gestão na nuvem, e o ArubaOS é a plataforma subjacente. Na Aruba, a configuração do WPA2-Enterprise reside no perfil do SSID. Irá definir um perfil AAA que referencia o seu servidor RADIUS e, em seguida, associar esse perfil AAA ao seu perfil de AP virtual. O ClearPass Policy Manager da Aruba merece uma menção específica aqui — é o motor de políticas e RADIUS próprio da Aruba, e adiciona capacidades significativas em termos de criação de perfis de dispositivos, controlo de acessos baseado em funções e integração de convidados. Se estiver a gerir um ambiente misto com funcionários, prestadores de serviços e convidados, todos a ligarem-se à mesma infraestrutura, o ClearPass oferece-lhe a granularidade de políticas necessária para os segmentar adequadamente. Para um hotel que implemente WPA2-Enterprise nas redes de funcionários e de apoio ao cliente, enquanto executa uma solução de WiFi para convidados separada através de uma plataforma como a Purple, a segmentação de SSID da Aruba combinada com o ClearPass para autenticação de funcionários é uma arquitetura extremamente limpa. Agora a Ubiquiti. A plataforma UniFi da Ubiquiti tem ganho uma tração significativa no mercado das PMEs e de média dimensão — e cada vez mais na hotelaria de charme e no retalho — devido ao seu preço competitivo e a uma interface de gestão genuinamente capaz. O UniFi Network Controller é onde fará o trabalho mais pesado. Para configurar o WPA2-Enterprise no UniFi, navegue até Settings, depois WiFi, crie ou edite o seu SSID, defina a segurança para WPA2 Enterprise e configure o seu perfil RADIUS — novamente, endereço IP, porta de autenticação 1812, porta de accounting 1813 e segredo partilhado. Uma consideração importante com a Ubiquiti: não inclui um servidor RADIUS integrado da mesma forma que algumas plataformas empresariais fazem. Precisará de um servidor RADIUS externo — seja o Windows Server NPS, o FreeRADIUS ou um serviço de RADIUS na nuvem. Isto não é uma limitação em si, mas é uma dependência que precisa de ser planeada. Para implementações mais pequenas, a UniFi Network Application inclui um servidor RADIUS básico, mas para ambientes de produção recomendaria sempre uma instância RADIUS dedicada. Nas três plataformas, a seleção do método EAP merece atenção. O PEAP com MSCHAPv2 é o método mais amplamente implementado porque funciona com credenciais do Active Directory sem exigir certificados do lado do cliente. O EAP-TLS é mais seguro — utiliza autenticação mútua por certificado — mas requer uma infraestrutura PKI e a implementação de certificados em todos os dispositivos clientes, o que adiciona sobrecarga operacional. Para a maioria das implementações empresariais, o PEAP-MSCHAPv2 com um servidor RADIUS devidamente configurado e validação de certificado no lado do cliente é o equilíbrio certo entre segurança e capacidade de gestão operacional. [RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS — aproximadamente 2 minutos] Agora deixe-me apresentar-lhe os três modos de falha mais comuns que vejo em implementações WPA2-Enterprise, e como evitá-los. Número um: disponibilidade do servidor RADIUS. O seu servidor RADIUS está agora no caminho crítico para cada autenticação sem fios. Se ele falhar, ninguém se consegue ligar. Isto significa que precisa de redundância RADIUS — no mínimo, um servidor RADIUS primário e secundário configurado em cada ponto de acesso. A maioria das plataformas suporta isto nativamente. Na Cisco, pode configurar grupos de servidores RADIUS com failover. Na Aruba, o perfil AAA suporta múltiplos servidores RADIUS com valores configuráveis de repetição e tempo limite. Na Ubiquiti, pode especificar um servidor RADIUS secundário no perfil RADIUS. Não salte este passo. Número dois: validação de certificados. Uma proporção surpreendentemente elevada de implementações que analiso tem os dispositivos dos clientes configurados para aceitar qualquer certificado de servidor RADIUS. Isto compromete totalmente o modelo de segurança — expõe a sua rede a ataques de "evil twin", onde um ponto de acesso malicioso se faz passar pela sua rede e recolhe credenciais. Configure o certificado do seu servidor RADIUS a partir de uma CA fidedigna e configure os suplicantes dos clientes para validarem esse certificado. No Windows, isto é feito através de Política de Grupo. No iOS e Android, é gerido através de perfis de MDM. Isto é inegociável para qualquer ambiente que lide com dados sensíveis. Número três: atribuição de VLAN. O WPA2-Enterprise permite a atribuição dinâmica de VLAN — o servidor RADIUS pode devolver um atributo de VLAN na mensagem Access-Accept, colocando cada utilizador autenticado no segmento de rede adequado com base na sua identidade ou função. Esta é uma das funcionalidades mais poderosas da arquitetura 802.1X e é frequentemente deixada sem configuração. Se gere um espaço com funcionários, equipa de gestão e dispositivos IoT, todos na mesma infraestrutura física, a atribuição dinâmica de VLAN é a forma de impor a segmentação de rede sem gerir múltiplos SSIDs. Do lado da integração com a Purple: se está a implementar WPA2-Enterprise para os seus funcionários e redes operacionais, e a correr a plataforma de guest WiFi da Purple para a conectividade dos visitantes, estes dois sistemas coexistem de forma limpa. A Purple lida com a autenticação de convidados, captura de dados e camada de analítica — incluindo a WiFi analytics e inteligência de tráfego pedonal que os operadores de espaços utilizam para decisões operacionais — enquanto a sua infraestrutura WPA2-Enterprise protege a rede corporativa. A chave é uma separação limpa de SSID e VLAN ao nível do ponto de acesso, algo que as três plataformas suportam. [Q&A RÁPIDO — aproximadamente 1 minuto] Deixe-me passar por algumas perguntas que surgem regularmente. Posso correr WPA2-Enterprise e uma rede de convidados nos mesmos pontos de acesso? Sim, absolutamente. As três plataformas suportam múltiplos SSIDs por rádio, cada um com políticas de segurança independentes. O seu SSID corporativo corre WPA2-Enterprise; o seu SSID de convidados pode correr através do Captive Portal da Purple com o isolamento adequado. Preciso de substituir os meus pontos de acesso existentes para implementar WPA2-Enterprise? Quase de certeza que não. O WPA2-Enterprise é suportado em pontos de acesso de classe empresarial há bem mais de uma década. Se o seu hardware tiver menos de oito anos e estiver a correr firmware atual, suportará 802.1X. Qual é a diferença entre WPA2-Enterprise e WPA3-Enterprise? O WPA3-Enterprise adiciona um modo de segurança de 192 bits utilizando criptografia Suite B, o que é relevante para ambientes governamentais e de defesa. Para a maioria das implementações comerciais, o WPA2-Enterprise com métodos EAP fortes continua a ser o padrão. Vale a pena planear a transição para o WPA3 para novas implementações, mas não é uma migração urgente para a maioria das organizações. O RADIUS na nuvem é uma opção viável? Sim, e cada vez mais. Serviços como o Cisco ISE na nuvem, o Aruba ClearPass como serviço ou opções de terceiros como o JumpCloud e o Foxpass fornecem o RADIUS como um serviço gerido, o que elimina os custos indiretos de infraestrutura. Para propriedades distribuídas — pense numa cadeia de retalho com 200 localizações — o RADIUS na nuvem pode reduzir significativamente a complexidade operacional. [RESUMO E PRÓXIMOS PASSOS — aproximadamente 1 minuto] Para concluir: o WPA2-Enterprise é a base não negociável para qualquer implementação de rede sem fios empresarial. O processo de configuração na Cisco, Aruba e Ubiquiti segue o mesmo padrão fundamental — definir o seu servidor RADIUS, criar o seu SSID com gestão de chaves 802.1X, selecionar o seu método EAP e testar antes de entrar em produção. As diferenças residem nas interfaces de gestão e nas ferramentas do ecossistema em torno de cada plataforma. As três coisas a acertar: redundância RADIUS, validação de certificados nos clientes e atribuição dinâmica de VLAN. Acerte nestas três e terá uma postura de segurança de rede sem fios sólida, em conformidade e auditável. Para os seus próximos passos: se estiver a avaliar plataformas, utilize a estrutura de comparação de fornecedores no guia complementar. Se estiver pronto para implementar, os tutoriais de configuração passo a passo para cada plataforma encontram-se na secção de implementação. E se estiver a pensar em como o WiFi de convidados se enquadra ao lado da sua rede empresarial, a documentação da plataforma Purple aborda a arquitetura de integração em detalhe. Obrigado por ouvir. Vemo-nos no próximo briefing.

Resumo Executivo

A implementação do WPA2-Enterprise já não é uma atualização de segurança opcional; é a base fundamental para qualquer rede sem fios empresarial. Para gestores de TI e arquitetos de rede que operam em ambientes de hotelaria, retalho e setor público, a transição de chaves pré-partilhadas para a autenticação 802.1X é impulsionada por mandatos de conformidade rigorosos, incluindo PCI DSS e GDPR. Este guia de referência técnica fornece passos de configuração práticos e específicos de cada plataforma para os três principais fornecedores de pontos de acesso: Cisco, Aruba e Ubiquiti.

Ao transitar para o WPA2-Enterprise, as organizações eliminam os riscos associados a credenciais partilhadas, obtêm registos de auditoria detalhados por sessão e ativam a segmentação dinâmica de rede. Quando implementada corretamente, esta arquitetura não só protege o perímetro corporativo, mas também se integra perfeitamente com as redes de visitantes geridas por uma plataforma abrangente de Guest WiFi . As secções seguintes detalham a arquitetura técnica, os passos de implementação e as estratégias de mitigação de riscos necessárias para uma implementação bem-sucedida.

header_image.png

Análise Técnica Detalhada

O WPA2-Enterprise baseia-se no padrão IEEE 802.1X para fornecer controlo de acesso à rede baseado em portas. Ao contrário do WPA2-Personal, que utiliza uma Chave Pré-Partilhada (PSK) estática, o WPA2-Enterprise exige que cada suplicante (dispositivo cliente) se autentique individualmente num Servidor de Autenticação externo (normalmente um servidor RADIUS) antes de lhe ser concedido acesso à rede.

A arquitetura é composta por três componentes principais:

  1. O Suplicante: O dispositivo cliente que tenta ligar-se à rede.
  2. O Autenticador: O ponto de acesso empresarial ou controlador de LAN sem fios (ex. Cisco WLC, Aruba Mobility Controller) que facilita o processo de autenticação.
  3. O Servidor de Autenticação: O servidor RADIUS de backend (ex. Cisco ISE, Aruba ClearPass, Windows NPS) que valida as credenciais num serviço de diretório como o Active Directory ou LDAP.

O Processo de Troca EAP

O processo de autenticação utiliza o Extensible Authentication Protocol (EAP) encapsulado sobre LAN (EAPOL). O autenticador funciona puramente como um proxy de passagem durante a fase inicial. Assim que o servidor RADIUS valida as credenciais, envia uma mensagem Access-Accept de volta ao autenticador, que depois deriva as chaves de encriptação necessárias para proteger a sessão sem fios.

A escolha do método EAP é crítica. O PEAP-MSCHAPv2 é o método mais amplamente implementado, pois suporta a autenticação legada por palavra-passe do Active Directory enquanto protege a troca dentro de um túnel TLS estabelecido pelo certificado do servidor. No entanto, para a máxima segurança, recomenda-se o EAP-TLS. O EAP-TLS requer autenticação mútua por certificado — tanto o servidor como o cliente devem apresentar certificados válidos — o que mitiga o roubo de credenciais, mas exige uma infraestrutura de chaves públicas (PKI) robusta ou uma solução de Gestão de Dispositivos Móveis (MDM) para a distribuição de certificados.

architecture_overview.png

Guia de Implementação

Os princípios fundamentais da configuração do WPA2-Enterprise são consistentes entre os diferentes fabricantes, mas a execução varia com base na interface de gestão e no ecossistema.

vendor_comparison_chart.png

Cisco (Catalyst e Meraki)

Os ambientes Cisco escalam tipicamente de implementações em campus para redes empresariais distribuídas.

Cisco Catalyst (WLC/DNA Center):

  1. Definir Servidores RADIUS: Navegue até ao separador Segurança, selecione AAA e configure os servidores RADIUS de Autenticação e Contabilização primários e secundários. Certifique-se de que o segredo partilhado corresponde à configuração do servidor RADIUS.
  2. Criar Perfil WLAN: No separador WLANs, crie um novo perfil.
  3. Configurar Políticas de Segurança: Defina a Segurança de Camada 2 para WPA+WPA2 e ative o 802.1X como o método de Gestão de Chaves de Autenticação (AKM).
  4. Vincular Servidores AAA: Mapeie os servidores RADIUS anteriormente definidos para o perfil WLAN. Ative a opção "AAA Override" se for necessária a atribuição dinâmica de VLAN.

Cisco Meraki:

  1. Configuração de SSID: No Dashboard da Meraki, navegue até Sem fios > SSIDs e selecione a rede de destino.
  2. Controlo de Acesso: Defina o requisito de associação para "WPA2-Enterprise com o meu servidor RADIUS".
  3. Definições RADIUS: Introduza os endereços IP, a porta de autenticação (tipicamente 1812), a porta de contabilização (1813) e os segredos partilhados para a sua infraestrutura RADIUS. O dashboard da Meraki inclui uma ferramenta de teste integrada para verificar a conectividade RADIUS antes da implementação.

Aruba Networks

A Aruba é a plataforma dominante na Hotelaria e no ensino superior, tirando forte partido do seu ClearPass Policy Manager para controlo de acesso avançado.

  1. Definir Perfil AAA: No Aruba Central ou na UI do Mobility Controller, crie um novo perfil AAA. Este perfil dita como a autenticação é processada.
  2. Configurar Grupo de Servidores RADIUS: Adicione os seus servidores RADIUS a um grupo de servidores, especificando as regras de failover e os valores de timeout. Associe este grupo ao perfil AAA.
  3. Configuração de AP Virtual: Crie ou modifique um perfil de AP Virtual (SSID). Defina o tipo de segurança para WPA2-Enterprise.
  4. Associar Perfis: Vincule o perfil AAA ao perfil de AP Virtual. Se estiver a utilizar o ClearPass, certifique-se de que a porta RADIUS CoA (Change of Authorization) (3799) é permitida através de quaisquer firewalls intermédias para permitir a aplicação dinâmica de políticas.

Ubiquiti (UniFi)

A Ubiquiti oferece uma solução económica para ambientes de Retalho e PMEs através do UniFi Network Controller.

  1. Criação de Perfil RADIUS: Aceda a Definições > Perfis > RADIUS. Crie um novo perfil com o endereço IP, portas (1812/1813) e o segredo partilhado do seu servidor RADIUS externo.
  2. Configuração de SSID: Aceda a Definições > WiFi e crie uma nova rede sem fios.
  3. Definições de Segurança: Selecione 'WPA2 Enterprise' como o protocolo de segurança e associe o perfil RADIUS recém-criado.
  4. Nota sobre Infraestrutura RADIUS: Ao contrário dos controladores empresariais que podem oferecer RADIUS localizável e sobrevivente, o UniFi depende fortemente de servidores externos (ex. FreeRADIUS, Windows NPS). Garanta uma conectividade fiável entre os APs UniFi e o backend RADIUS.

Boas Práticas

Para garantir uma implementação resiliente e segura, os arquitetos de rede devem aderir a várias boas práticas críticas:

  1. Forçar a Validação de Certificados: Os dispositivos clientes devem ser explicitamente configurados para validar o certificado do servidor RADIUS face a uma Autoridade de Certificação (CA) fidedigna. A não realização desta validação expõe a rede a ataques de 'Evil Twin', onde pontos de acesso fraudulentos recolhem credenciais de utilizadores.
  2. Implementar Redundância RADIUS: O servidor RADIUS está no caminho crítico para o acesso à rede. Configure sempre servidores RADIUS primários e secundários. Em ambientes distribuídos, considere soluções RADIUS alojadas na cloud para alta disponibilidade.
  3. Aproveitar a Atribuição Dinâmica de VLAN: Utilize atributos RADIUS (ex. Tunnel-Pvt-Group-ID) para atribuir dinamicamente utilizadores a VLANs específicas com base na sua pertença a grupos do Active Directory. Isto reforça a segmentação de rede sem transmitir múltiplos SSIDs.
  4. Ativar a Contabilização RADIUS: Não configure apenas a autenticação. A contabilização RADIUS (Porta 1813) é obrigatória para gerar os registos de auditoria necessários para as estruturas de conformidade.
  5. Proteger a Fronteira da Rede: Leia mais sobre como proteger a sua infraestrutura no nosso guia sobre como Proteger a Sua Rede com DNS Forte e Segurança .

Resolução de Problemas e Mitigação de Riscos

Mesmo com um planeamento cuidadoso, as implementações podem encontrar problemas. Os modos de falha comuns incluem:

  • Incompatibilidade de Segredos Partilhados: Um simples erro de digitação no segredo partilhado do RADIUS resultará em falhas de autenticação silenciosas. Verifique os segredos tanto no autenticador como no servidor RADIUS.
  • Erros de Sincronização de Hora: A validação de certificados requer uma marcação de hora precisa. Certifique-se de que todos os APs, controladores e servidores RADIUS estão sincronizados através de uma fonte NTP fiável.
  • Bloqueio de Tráfego RADIUS pela Firewall: Certifique-se de que as portas UDP 1812 (Autenticação) e 1813 (Accounting) estão abertas entre os APs/Controladores e o servidor RADIUS. Se utilizar CoA, garanta que a porta UDP 3799 está aberta.
  • Configuração Incorreta do Suplicante do Cliente: O problema mais comum é o dispositivo do cliente não estar configurado para confiar na CA que emitiu o certificado do servidor RADIUS. Utilize MDM ou Políticas de Grupo para enviar os perfis sem fios corretos para os dispositivos corporativos.

Para uma compreensão mais ampla dos protocolos de autenticação, consulte Como Configurar a Autenticação WiFi 802.1X: Um Guia Passo a Passo .

ROI e Impacto no Negócio

A transição para o WPA2-Enterprise proporciona um valor comercial significativo para além das simples melhorias de segurança.

  • Mitigação de Riscos: A eliminação de palavras-passe partilhadas reduz drasticamente a superfície de ataque e o risco de uma violação de dados, o que pode acarretar pesadas penalizações financeiras e de reputação.
  • Eficiência Operacional: A integração da autenticação WiFi com os fornecedores de identidade existentes (como o Active Directory) automatiza a integração e a saída de colaboradores. Quando um colaborador sai, a desativação da sua conta de AD revoga instantaneamente o seu acesso ao WiFi.
  • Facilitação da Conformidade: Registos de auditoria detalhados e autenticação por utilizador são pré-requisitos para a conformidade com PCI DSS e ISO 27001.
  • Infraestrutura Unificada: Ao utilizar a atribuição dinâmica de VLAN, os espaços podem gerir o tráfego corporativo, administrativo e de IoT de forma segura sobre o mesmo hardware físico utilizado para o acesso de convidados. A rede de convidados pode então ser monetizada e analisada utilizando uma solução dedicada de WiFi Analytics , maximizando o retorno do investimento em hardware. Garanta que tem a largura de banda necessária compreendendo O Que É uma Linha Dedicada? Internet Dedicada para Empresas .

Definições Principais

WPA2-Enterprise

Um protocolo de segurança para redes sem fios que utiliza o IEEE 802.1X para fornecer autenticação por utilizador através de um servidor externo, em vez de uma única palavra-passe partilhada.

O padrão obrigatório para proteger redes WiFi corporativas e operacionais em ambientes empresariais.

802.1X

Um padrão IEEE para controlo de acesso à rede baseado em portas que fornece um mecanismo de autenticação para dispositivos que se desejam ligar a uma LAN ou WLAN.

A estrutura subjacente que faz o WPA2-Enterprise funcionar.

RADIUS

Remote Authentication Dial-In User Service; um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Contabilização (AAA).

O componente de servidor que valida as credenciais do utilizador em relação a uma base de dados como o Active Directory.

Supplicant

O cliente de software num dispositivo (portátil, smartphone) que comunica com o autenticador para solicitar acesso à rede.

O endpoint que deve ser configurado com as definições de EAP corretas e confiança de certificado.

Authenticator

O dispositivo de rede (Access Point ou Switch) que facilita o processo de autenticação ao passar mensagens entre o supplicant e o servidor de autenticação.

O hardware Cisco, Aruba ou Ubiquiti gerido pela equipa de TI.

EAP (Extensible Authentication Protocol)

Uma estrutura de autenticação frequentemente utilizada em redes sem fios e ligações ponto a ponto, que suporta múltiplos métodos de autenticação.

O protocolo utilizado para encapsular a troca de credenciais.

PEAP-MSCHAPv2

Um método EAP que encapsula a troca de palavras-passe MSCHAPv2 dentro de um túnel TLS seguro estabelecido pelo certificado do servidor.

O método de implementação mais comum, pois equilibra a segurança com a conveniência de utilizar palavras-passe padrão do AD.

Dynamic VLAN Assignment

O processo em que um servidor RADIUS instrui o ponto de acesso a colocar um utilizador autenticado numa VLAN específica com base na sua identidade ou pertença a um grupo.

Crucial para a segmentação de rede, permitindo que diferentes tipos de utilizadores partilhem os mesmos APs físicos de forma segura.

Exemplos Práticos

Um hotel de 200 quartos precisa de implementar WiFi seguro para a sua equipa interna (limpeza, gestão) utilizando os access points Aruba existentes, mantendo o tráfego da equipa estritamente separado da rede de convidados.

A equipa de TI configura um único SSID 'Hotel_Staff' utilizando WPA2-Enterprise. Integram o Aruba ClearPass com o Active Directory do hotel. No ClearPass, configuram políticas de aplicação: se um utilizador estiver no grupo de AD 'Management', o ClearPass devolve um atributo RADIUS atribuindo-o à VLAN 10 (Rede de Gestão). Se o utilizador estiver no grupo 'Housekeeping', é atribuído à VLAN 20 (Rede de Operações). Os APs são configurados para aplicar estas atribuições dinâmicas de VLAN.

Comentário do Examinador: Esta abordagem demonstra o poder da atribuição dinâmica de VLAN. Evita a interferência de RF e a sobrecarga de gestão de transmitir múltiplos SSIDs ('Hotel_Management', 'Hotel_Housekeeping'), garantindo ao mesmo tempo uma segmentação de rede rigorosa e tirando partido das identidades de diretório existentes.

Uma cadeia de retalho nacional com 50 localizações utiliza Cisco Meraki. Precisam de proteger os seus terminais de ponto de venda (POS) através de WiFi para cumprir a conformidade PCI DSS, substituindo a sua antiga configuração WPA2-Personal.

O arquiteto de rede implementa um serviço RADIUS alojado na cloud para evitar a implementação de servidores locais em cada loja. No painel do Meraki, configuram o SSID 'Retail_POS' para WPA2-Enterprise e apontam-no para os IPs do RADIUS na cloud. Geram certificados de cliente únicos para cada terminal POS através da sua plataforma de MDM e configuram o servidor RADIUS para exigir EAP-TLS. Os APs Meraki são configurados para enviar dados de Autenticação e Accounting do RADIUS para o serviço na cloud.

Comentário do Examinador: Este cenário destaca a transição para EAP-TLS para ambientes de alta segurança. Ao utilizar certificados em vez de palavras-passe, os terminais POS autenticam-se de forma silenciosa e segura. A inclusão de RADIUS Accounting garante que a cadeia cumpre os requisitos do PCI DSS para auditoria de acessos.

Perguntas de Prática

Q1. A sua organização está a implementar WPA2-Enterprise utilizando pontos de acesso Ubiquiti UniFi. Durante os testes, os clientes conseguem ligar-se com sucesso, mas a equipa de conformidade nota que não existem registos de duração das sessões dos utilizadores ou de utilização de dados no sistema de registo central. Qual é a omissão de configuração mais provável?

Dica: A autenticação concede acesso, mas outro processo monitoriza a utilização.

Ver resposta modelo

A porta de RADIUS Accounting (1813) não foi configurada ou está a ser bloqueada por uma firewall. Embora a Autenticação (porta 1812) esteja a funcionar, o Accounting deve ser explicitamente ativado para gerar registos de auditoria de sessão.

Q2. Um utilizador reporta que não se consegue ligar à rede corporativa WPA2-Enterprise. Verifica os registos do Cisco WLC e vê que o AP está a passar o EAP-Request, mas os registos do servidor RADIUS mostram um 'Access-Reject' devido a 'Unknown CA'. O que precisa de ser corrigido?

Dica: Pense na relação de confiança estabelecida durante a configuração do túnel TLS.

Ver resposta modelo

O supplicant do dispositivo cliente não está configurado para confiar na Autoridade de Certificação (CA) que emitiu o certificado do servidor RADIUS. O cliente está a terminar a ligação para evitar um potencial ataque Evil Twin. O certificado da CA deve ser distribuído para o dispositivo cliente.

Q3. Está a desenhar uma rede para um estádio. Precisa de suportar funcionários corporativos, terminais de bilheteira e WiFi de convidados. Como deve estruturar os SSIDs para minimizar a interferência de RF mantendo a segurança?

Dica: Evite transmitir um SSID para cada caso de utilização individual.

Ver resposta modelo

Implemente no máximo dois SSIDs. Um SSID para Convidados utilizando um Captive Portal (como o Purple). Um segundo SSID para todas as operações corporativas utilizando WPA2-Enterprise. Utilize a Atribuição Dinâmica de VLAN através do servidor RADIUS para segmentar os funcionários corporativos numa VLAN e os terminais de bilheteira noutra, com base nas suas credenciais de autenticação.

Continue a ler esta série

Per-Device PSK por Fabricante: iPSK, DPSK, MPSK e PPSK Comparados (e Suporte a WPA3)

Uma comparação abrangente de implementações de per-device PSK na Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet e Ubiquiti UniFi. Saiba como o WPA3-SAE afeta as estratégias de chaves por dispositivo e quando implementar modos de transição versus migrar para o 802.1X.

Ler o guia →

Métodos de Autenticação de Captive Portal Comparados

Este guia de referência técnica de autoridade avalia as compensações arquitetónicas, operacionais e de conformidade de cinco métodos principais de autenticação de captive portal. Fornece aos arquitetos de rede, diretores de TI e gestores de marketing os dados quantitativos e as estruturas de decisão necessários para equilibrar a fricção no registo de convidados com os requisitos de recolha de dados em locais empresariais.

Ler o guia →

O que é a Autenticação por Endereço MAC? Quando Usar e Quando Evitar

Este guia de referência técnica abrangente aborda a autenticação por endereço MAC em ambientes de WiFi empresarial — como funciona a autenticação MAC baseada em RADIUS na Camada 2, as suas vulnerabilidades de segurança inerentes (incluindo falsificação de MAC e o impacto da randomização de MAC ao nível do SO) e os contextos operacionais precisos onde continua a ser uma ferramenta válida para gerir IoT e dispositivos headless. Fornece orientações de implementação práticas para gestores de TI e arquitetos de rede em setores como hotelaria, retalho, saúde e espaços públicos, com exemplos práticos reais, estruturas de decisão e contexto de integração para a plataforma de guest WiFi e analytics da Purple.

Ler o guia →