Métodos EAP Comparados: PEAP, EAP-TLS, EAP-TTLS e EAP-FAST

Resumo Executivo

Para gestores de TI empresariais e arquitetos de rede, selecionar o método Extensible Authentication Protocol (EAP) correto é uma decisão crítica que equilibra a postura de segurança, a complexidade de implementação e a experiência do utilizador. À medida que as organizações avançam além das chaves pré-partilhadas (PSKs) vulneráveis para a autenticação 802.1X, a escolha geralmente reduz-se a quatro métodos principais: PEAP, EAP-TLS, EAP-TTLS e EAP-FAST. Este guia fornece uma comparação técnica direta destes métodos, capacitando-o a tomar decisões arquiteturais informadas para o seu Guest WiFi e redes corporativas internas. Iremos examinar as diferenças de segurança entre métodos em túnel baseados em palavra-passe e autenticação mútua por certificado, avaliar quando métodos específicos são apropriados e fornecer orientações de implementação práticas para ambientes empresariais modernos.

Análise Técnica Detalhada: Comparação de Métodos EAP

PEAP (Protected EAP)

O PEAP é amplamente considerado o cavalo de batalha empresarial para a autenticação 802.1X. Desenvolvido em conjunto pela Cisco, Microsoft e RSA Security, cria um túnel TLS encriptado utilizando um certificado do lado do servidor. Dentro deste túnel seguro, o cliente autentica-se utilizando um método legado, mais commumente o MSCHAPv2.

A principal vantagem do PEAP é o seu suporte nativo quase universal em sistemas operativos modernos, incluindo Windows, macOS, iOS e Android. Como apenas requer um certificado no servidor RADIUS e não nos dispositivos clientes, a implementação é significativamente menos complexa do que as alternativas baseadas em certificados. Isto torna o PEAP altamente atraente para ambientes Bring Your Own Device (BYOD) ou grandes espaços públicos, como centros de Transport , onde a gestão de certificados de cliente é impraticável.

No entanto, a dependência do PEAP em palavras-passe (via MSCHAPv2) introduz riscos de segurança. Se um dispositivo cliente não estiver estritamente configurado para validar o certificado do servidor, os utilizadores podem ser induzidos a ligar-se a um ponto de acesso fraudulento (um ataque "evil twin"). O AP fraudulento pode então capturar o desafio-resposta MSCHAPv2, que pode ser decifrado offline para recuperar a palavra-passe do utilizador. Portanto, impor uma validação estrita do certificado do servidor via Group Policy ou MDM é um controlo de segurança obrigatório ao implementar o PEAP.

EAP-TLS (EAP-Transport Layer Security)

O EAP-TLS representa o padrão de excelência para a segurança sem fios empresarial. Ao contrário do PEAP, o EAP-TLS requer autenticação mútua por certificado. Tanto o servidor RADIUS como o dispositivo cliente devem apresentar um certificado digital válido antes que qualquer acesso à rede seja concedido.

Esta autenticação mútua elimina totalmente a necessidade de palavras-passe, tornando ineficazes o roubo de credenciais, os ataques de dicionário e os ataques de AP falsos. Se um dispositivo não possuir o certificado de cliente correto, simplesmente não se consegue ligar à rede. Para organizações sujeitas a requisitos regulamentares rigorosos, como o PCI DSS no setor do Retalho ou a HIPAA na Saúde , o EAP-TLS é a abordagem fortemente recomendada.

A contrapartida desta segurança reforçada é a complexidade de implementação. A implementação do EAP-TLS requer uma Infraestrutura de Chaves Públicas (PKI) robusta para emitir, renovar e revogar certificados. Também exige uma solução de Gestão de Dispositivos Móveis (MDM), como o Microsoft Intune ou o Jamf, para distribuir estes certificados de forma segura pelos endpoints. Para obter orientação sobre ambientes Apple, consulte o nosso guia sobre Jamf e RADIUS: Autenticação WiFi Baseada em Certificado para Frotas de Dispositivos Apple . O EAP-TLS é a escolha ideal para frotas de dispositivos geridos e de propriedade corporativa onde a segurança é primordial.

EAP-TTLS (EAP Tunneled TLS)

O EAP-TTLS, co-desenvolvido pela Funk Software e pela Certicom, funciona de forma semelhante ao PEAP, estabelecendo um túnel TLS encriptado através de um certificado do lado do servidor. O principal elemento diferenciador é a sua flexibilidade em relação ao método de autenticação interno. Enquanto o PEAP está fortemente associado ao MSCHAPv2, o EAP-TTLS pode encapsular quase qualquer protocolo de autenticação, incluindo PAP, CHAP ou MSCHAP, de forma segura dentro do túnel.

Esta flexibilidade torna o EAP-TTLS altamente valioso em ambientes que necessitam de autenticação contra diretórios LDAP mais antigos, proxies RADIUS ou repositórios de identidade não-Microsoft que não suportam nativamente o MSCHAPv2. É reconhecidamente o protocolo subjacente ao eduroam, o serviço global de acesso em roaming para a comunidade internacional de investigação e educação. Historicamente, o suporte nativo do cliente para EAP-TTLS era menos omnipresente do que o PEAP, exigindo frequentemente suplicantes de terceiros em versões mais antigas do Windows, mas os sistemas operativos modernos oferecem agora um suporte nativo robusto.

EAP-FAST (Flexible Authentication via Secure Tunneling)

Desenvolvido pela Cisco como uma substituição rápida para o protocolo LEAP, que era altamente vulnerável, o EAP-FAST foi concebido para fornecer autenticação segura sem o requisito estrito de implementar certificados digitais. Em vez de utilizar um certificado de servidor para estabelecer o túnel seguro, o EAP-FAST baseia-se em Credenciais de Acesso Protegido (PACs) — blocos opacos de dados aprovisionados dinamicamente nos clientes pelo servidor de autenticação. O EAP-FAST caracteriza-se pelas suas capacidades de retoma rápida de sessão. Embora forneça um túnel seguro e encriptado, a sua dependência de PACs em vez de certificados X.509 padrão torna-o algo proprietário e menos alinhado com as arquiteturas modernas de zero-trust neutras em termos de fornecedor. Atualmente, o EAP-FAST é relevante principalmente em ambientes legados centrados na Cisco, implementações específicas de IoT ou dispositivos robustecidos especializados. Para a maioria das novas implementações empresariais, o PEAP ou o EAP-TLS são os preferidos.

Guia de Implementação

A implementação da autenticação 802.1X requer um planeamento cuidadoso em toda a pilha de rede, desde os pontos de acesso sem fios até à infraestrutura RADIUS e fornecedores de identidade. Ao integrar com a plataforma da Purple, os nossos servidores RADIUS suportam todos os principais métodos EAP, garantindo uma autenticação contínua antes de os utilizadores interagirem com funcionalidades como Wayfinding ou WiFi Analytics .

Passo 1: Definir a Estratégia de Autenticação

Avalie a sua frota de terminais. Se os dispositivos forem propriedade da empresa e geridos via MDM, opte pelo EAP-TLS. Se estiver a suportar BYOD, o PEAP é a escolha pragmática. Certifique-se de que o seu fornecedor de identidade (Active Directory, Google Workspace, Okta) suporta os protocolos necessários (por exemplo, MSCHAPv2 para PEAP).

Passo 2: Gestão de Certificados

Para todos os métodos, exceto o EAP-FAST, deve implementar um certificado de servidor no seu servidor RADIUS. Idealmente, este certificado deve ser emitido por uma Autoridade de Certificação (CA) pública fidedigna para minimizar os avisos de fidedignidade do lado do cliente, embora possa ser utilizada uma CA empresarial interna se controlar todos os terminais. Para o EAP-TLS, estabeleça a sua PKI e configure o seu MDM para aprovisionar automaticamente certificados de cliente com os mapeamentos corretos de Subject Alternative Name (SAN).

Passo 3: Configuração do RADIUS e do Ponto de Acesso

Configure os seus pontos de acesso sem fios para utilizar WPA2-Enterprise ou WPA3-Enterprise, apontando-os para os endereços IP do seu servidor RADIUS com os segredos partilhados corretos. No servidor RADIUS, defina as suas políticas de rede, especificando os métodos EAP permitidos e mapeando as autenticações bem-sucedidas para as VLANs apropriadas com base na associação de grupos de utilizadores ou dispositivos.

Passo 4: Configuração do Supplicant do Terminal

Este é o passo mais crítico para a segurança. Para o PEAP, utilize o MDM ou a Política de Grupo para enviar um perfil de WiFi pré-configurado para os dispositivos. Este perfil DEVE especificar explicitamente os nomes dos servidores RADIUS fidedignos e a CA Raiz fidedigna que emitiu o certificado do servidor. Crucialmente, desative a opção que solicita aos utilizadores que confiem em novos servidores ou certificados.

Boas Práticas

1. Nunca Confie no Julgamento do Utilizador para Certificados: Ao implementar PEAP ou EAP-TTLS, pré-configure sempre os suplicantes de endpoint para confiar em certificados de servidor específicos. Confiar que os utilizadores cliquem em "Aceitar" num aviso de certificado compromete todo o modelo de segurança e expõe a rede a ataques de AP falsos.
2. Automatize a Gestão do Ciclo de Vida dos Certificados: A expiração de certificados é uma das principais causas de interrupções no 802.1X. Implemente processos automatizados de monitorização e renovação tanto para certificados de servidor RADIUS como para certificados de cliente em implementações EAP-TLS.
3. Implemente WPA3-Enterprise: Sempre que o suporte do cliente o permitir, faça a transição para WPA3-Enterprise. Este exige a utilização de Protected Management Frames (PMF) e oferece uma opção de suite de segurança de 192 bits, proporcionando proteções criptográficas mais fortes do que o WPA2.
4. Segmente a Rede: Utilize atributos RADIUS (como Filter-Id ou Tunnel-Private-Group-Id) para atribuir dinamicamente utilizadores autenticados a VLANs específicas com base na sua função, isolando o tráfego de convidados dos ativos corporativos. Para saber mais sobre o design de redes modernas, consulte The Core SD WAN Benefits for Modern Businesses .

Resolução de Problemas e Mitigação de Riscos

Os modos de falha comuns em implementações EAP giram normalmente em torno da validação de certificados e da integração do fornecedor de identidade.

• Sintoma: Os clientes não conseguem ligar-se após uma atualização do servidor RADIUS.
  • Risco: O novo certificado do servidor não foi emitido pela Root CA em que os clientes confiam, ou o nome do servidor foi alterado.
  • Mitigação: Teste sempre as transições de certificados num ambiente de testes. Certifique-se de que a nova cadeia de certificados é totalmente confiável para todos os perfis de endpoint antes de a aplicar em produção.
• Sintoma: Os dispositivos iOS ligam-se sem problemas, mas os dispositivos Windows falham.
  • Risco: Os suplicantes do Windows são frequentemente mais rigorosos na validação do Server Name Indication (SNI) ou dos atributos específicos de EKU (Extended Key Usage) no certificado do servidor.
  • Mitigação: Verifique se o certificado do servidor inclui o EKU de 'Autenticação de Servidor' e se o SAN corresponde ao nome configurado no perfil de WiFi do Windows.

ROI e Impacto no Negócio

A transição para um método EAP robusto proporciona um valor de negócio significativo que vai além da segurança pura. Ao eliminar as palavras-passe partilhadas, as equipas de TI reduzem a carga operacional de pedidos de suporte relacionados com a reposição de palavras-passe ou PSKs comprometidas. Em ambientes como a Hotelaria , onde a rotação de pessoal pode ser elevada, a autenticação baseada em certificados (EAP-TLS) garante que o acesso é revogado automaticamente quando um dispositivo é limpo ou um certificado expira, sem necessidade de alterar uma palavra-passe global.

Além disso, a autenticação forte é um pré-requisito para frameworks de conformidade como o PCI DSS e o GDPR. Ao demonstrar controlos de acesso robustos, as organizações mitigam o risco de multas regulatórias e danos de reputação associados a violações de dados. Para uma perspetiva mais ampla sobre a atualização da infraestrutura do espaço, consulte Modern Hospitality WiFi Solutions Your Guests Deserve .

Podcast Briefing

Ouça o nosso briefing técnico de 10 minutos sobre métodos EAP, abrangendo estratégias de implementação e armadilhas comuns: