Saltar para o conteúdo principal
Português

Configurar Políticas RADIUS para Controlo de Acesso à Rede Granular

Este guia de referência fornece aos gestores de TI, arquitetos de rede e diretores de operações de espaços um plano técnico completo para configurar políticas RADIUS com o objetivo de alcançar um controlo de acesso à rede granular. Abrange a arquitetura 802.1X, atribuição dinâmica de VLAN, seleção de métodos EAP e estratégias de implementação faseada. Cenários de implementação reais nos setores da hotelaria e do retalho demonstram como estas técnicas proporcionam conformidade, segurança e ROI operacional mensuráveis.

📖 6 min de leitura📝 1,468 palavras🔧 2 exemplos práticos3 perguntas de prática📚 9 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo ao Purple Technical Briefing. Eu sou o seu anfitrião e hoje vamos analisar em detalhe um tema crítico para arquitetos de redes empresariais e diretores de TI: Configurar Políticas RADIUS para Controlo de Acesso à Rede Altamente Granular. Se gere a infraestrutura de uma cadeia de hotéis, de uma rede de retalho ou de um grande espaço público, sabe que os dias em que se dependia de uma simples chave pré-partilhada já lá vão. A segurança, a conformidade e a experiência do utilizador exigem uma abordagem mais sofisticada. Hoje, vamos detalhar a arquitetura do acesso sensível ao contexto, explorar estratégias de implementação e discutir como evitar as armadilhas mais comuns e dispendiosas. Comecemos pelo contexto. Por que razão estamos a falar de RADIUS e 802.1X? Porque o perímetro dissolveu-se. Temos computadores portáteis corporativos, smartphones de convidados, tablets de prestadores de serviços e um fluxo massivo de dispositivos IoT, todos a aceder aos mesmos pontos de acesso físicos. Precisa de um mecanismo para segmentar dinamicamente este tráfego, aplicar a conformidade e, ainda assim, oferecer uma experiência de utilizador sem falhas. É exatamente aqui que entram as políticas RADIUS. Ao potenciar o 802.1X, passa de um modelo de 'quem sabe a palavra-passe' para 'quem é você, em que dispositivo está e qual é o seu contexto?'. Essa mudança é fundamental. A arquitetura assenta em três componentes. Primeiro, o suplicante — o cliente de software no dispositivo do utilizador final. Segundo, o autenticador — normalmente o seu ponto de acesso sem fios ou o seu switch. E terceiro, o servidor de autenticação — o seu servidor RADIUS. Quando um dispositivo se liga, o autenticador passa as mensagens EAP para o servidor RADIUS. O servidor RADIUS verifica as credenciais no seu repositório de identidades, como o Active Directory, LDAP ou um fornecedor baseado na cloud como o Entra ID. Mas aqui está a parte crucial: um servidor RADIUS devidamente configurado não se limita a devolver um simples sim ou não. Devolve Atributos Específicos do Fabricante — VSAs — que indicam à infraestrutura de rede exatamente como processar essa sessão específica. A aplicação mais poderosa disto é a atribuição dinâmica de VLAN. Imagine um ambiente de alta densidade, como um estádio ou um grande centro de conferências. Transmitir múltiplos SSIDs para diferentes grupos de utilizadores cria uma sobrecarga massiva de beacons e degrada o desempenho de RF. Cada SSID que transmite consome tempo de antena valioso. Com o RADIUS, transmite apenas um SSID seguro. Quando um gestor financeiro se autentica, o RADIUS diz ao ponto de acesso para colocar o seu tráfego na VLAN 10. Quando um terminal POS se liga, é colocado na VLAN 20. Quando um prestador de serviços se autentica, vai parar à VLAN 30 com acesso restrito. É limpo, é eficiente e reduz drasticamente a sua superfície de ataque. Agora, vamos passar para a análise técnica aprofundada. Os principais atributos que irá configurar nos seus perfis de aplicação de políticas RADIUS são: Tunnel-Type, definido como VLAN; Tunnel-Medium-Type, definido como 802; e Tunnel-Private-Group-Id, que corresponde ao seu ID de VLAN real. Estes três atributos, devolvidos em conjunto numa mensagem Access-Accept, instruem o autenticador a colocar a sessão no segmento de rede correto. Relativamente aos protocolos de autenticação, dispõe de várias opções. O EAP-TLS é a referência de excelência. Utiliza certificados de cliente para autenticação, o que elimina totalmente o risco de roubo de credenciais e a fadiga de palavras-passe. É a escolha certa para dispositivos geridos pela empresa onde dispõe de uma plataforma MDM para automatizar o aprovisionamento de certificados. O PEAP-MSCHAPv2 é uma escolha sólida para cenários BYOD onde a implementação de certificados é impraticável — utiliza um certificado de servidor para estabelecer um túnel TLS e, em seguida, passa as credenciais de utilizador e palavra-passe dentro desse túnel. Evite totalmente protocolos legados como o LEAP ou o EAP-MD5; são criptograficamente fracos e não devem ser utilizados em nenhuma implementação moderna. Falemos sobre a implementação. Recomendo sempre uma abordagem faseada. A fase um é a Integração de Fontes de Identidade. As suas políticas RADIUS são tão boas quanto o seu diretório subjacente. Garanta que os seus grupos de Active Directory ou Entra ID são lógicos, bem estruturados e que se mapeiam diretamente para os segmentos de rede pretendidos. Audite os seus grupos antes de começar. Remova contas obsoletas, consolide grupos sobrepostos e estabeleça níveis de acesso claros: Executivo, Pessoal, Subcontratado, Convidado e IoT. Para redes públicas, plataformas como a Purple atuam como fornecedor de identidade, estabelecendo a ponte entre o acesso de convidados públicos e as estruturas de autenticação seguras. A fase dois é a Configuração de Políticas. Crie políticas que avaliem múltiplos fatores contextuais, e não apenas credenciais. Avalie o NAS-IP-Address — que é o IP do autenticador — para perceber de que localização física provém o pedido. Avalie o Called-Station-Id, que contém o nome do SSID, para compreender a que rede o utilizador se está a ligar. Avalie a hora do dia. O perfil de acesso de um subcontratado às duas da manhã deve ser muito diferente do seu acesso às nove da manhã. Aplique estas condições em camadas para criar políticas verdadeiramente conscientes do contexto. A fase três é o lançamento. E nunca é demais sublinhar: nunca implemente a aplicação do 802.1X em toda a empresa em simultâneo. Comece em modo de monitorização. No modo de monitorização, as falhas de autenticação são registadas, mas o acesso continua a ser concedido. Isto dá-lhe visibilidade sobre suplicantes mal configurados, dispositivos com certificados expirados e equipamentos legados que não suportam o 802.1X. Passe de duas a quatro semanas em modo de monitorização, resolva os problemas encontrados e, em seguida, comece a aplicar as políticas localização por localização. Agora, falemos sobre as melhores práticas e as armadilhas que costumam surpreender as equipas. A causa número um de uma falha catastrófica de autenticação num ambiente 802.1X é um certificado expirado. Ou o certificado do servidor RADIUS expira, ou o certificado da CA raiz expira. Quando isso acontece, todos os dispositivos que validam o certificado do servidor falham a ligação. Implemente uma gestão robusta do ciclo de vida dos certificados. Configure alertas automatizados a noventa, sessenta e trinta dias antes da expiração. Faça da renovação de certificados uma tarefa operacional agendada, e não uma emergência reativa. O segundo grande desafio é a IoT. Muitos dispositivos — impressoras, câmaras, equipamentos médicos, sistemas de gestão de edifícios — simplesmente não suportam 802.1X. Para estes, deve utilizar o MAC Authentication Bypass, ou MAB. O endereço MAC do dispositivo é utilizado como a sua credencial. Mas lembre-se desta regra: nunca confie no MAC. Os endereços MAC podem ser falsificados de forma trivial. Utilize o MAB apenas quando for absolutamente necessário, e coloque sempre esses dispositivos em VLANs isoladas e altamente restritas, com ACLs estritas que permitam apenas o tráfego específico que esses dispositivos necessitam para funcionar. O terceiro obstáculo é a configuração incorreta do suplicante. Os dispositivos dos utilizadores finais podem estar configurados para validar o certificado do servidor, mas carecer da CA raiz necessária no seu repositório de confiança. Isto resulta na rejeição do certificado do servidor pelo dispositivo e na falha de ligação. A solução consiste em utilizar o MDM para enviar perfis sem fios padronizados para todos os dispositivos corporativos, garantindo que a CA raiz correta é fidedigna e que o método EAP correto está configurado. Finalmente, considere o caminho da sua rede. A latência elevada entre o autenticador e o servidor RADIUS pode causar tempos de limite (timeouts) do EAP, resultando em falhas de ligação. Para empresas distribuídas com muitos locais remotos, garanta que a sua arquitetura WAN fornece conectividade de baixa latência para os seus serviços AAA centralizados. Passemos para o ROI e impacto comercial. Porquê passar por todo este esforço? Em primeiro lugar, redução dos custos operacionais. A consolidação de múltiplos SSIDs numa única rede 802.1X com atribuição dinâmica de VLAN melhora o desempenho sem fios e reduz a complexidade de gestão. Menos SSIDs significam menos sobrecarga de beacons, mais tempo de antena disponível e melhor rendimento para os seus utilizadores. Em segundo lugar, conformidade. Se estiver no retalho, a segmentação estrita da rede é um requisito da PCI DSS. Se estiver na saúde, é obrigatória para a HIPAA. As políticas RADIUS fornecem os controlos verificáveis e auditáveis de que necessita para passar em auditorias de conformidade e evitar penalizações financeiras significativas. Em terceiro lugar, a experiência do utilizador. A autenticação simples e segura — particularmente através de EAP-TLS ou OpenRoaming — elimina a fricção dos Captive Portals para utilizadores corporativos frequentes e convidados VIP. Em ambientes de hotelaria e transportes, isto tem um impacto direto nos níveis de satisfação e na fidelização de clientes. Agora, a nossa sessão rápida de Perguntas e Respostas. Pergunta: 'Temos muitos dispositivos antigos. Devemos manter o WPA2-PSK por uma questão de simplicidade?' Resposta: Não. Transite os seus dispositivos compatíveis para 802.1X e utilize MAB para os dispositivos legados, colocando-os em segmentos isolados. Uma única PSK comprometida coloca toda a sua rede em risco. Esse não é um compromisso que valha a pena assumir. Pergunta: 'Como é que a Purple se enquadra numa implementação RADIUS?' Resposta: A Purple fornece análises detalhadas sobre tendências de autenticação, duração de sessões e comportamento de roaming, o que é fundamental para otimizar a sua implementação. Além disso, como fornecedor de identidade para o OpenRoaming, simplifica o acesso seguro para convidados sem o atrito de um Captive Portal tradicional. Pergunta: 'Qual é a vitória mais rápida para uma equipa que está a iniciar esta jornada?' Resposta: Implemente o RADIUS em modo de monitorização esta semana. Obterá imediatamente visibilidade sobre o seu panorama de autenticação e identificará os dispositivos e utilizadores que precisarão de atenção antes de aplicar políticas. O conhecimento é o primeiro passo. Em resumo, a configuração de políticas RADIUS para um controlo de acesso à rede detalhado é um investimento estratégico na segurança, desempenho e conformidade da sua rede. Comece com um diretório de identidades limpo e bem estruturado. Aproveite a atribuição dinâmica de VLAN para consolidar os seus SSIDs e otimizar o seu ambiente de RF. Priorize a autenticação baseada em certificados para dispositivos corporativos. Utilize o MAB de forma moderada e segura para IoT. E faça sempre a implementação por fases, começando com o modo de monitorização. Obrigado por participar neste Purple Technical Briefing. Para guias mais detalhados, estratégias de implementação e para explorar como a plataforma de WiFi e analítica para convidados da Purple se pode integrar com a sua arquitetura de controlo de acesso à rede, visite purple.ai.

header_image.png

Resumo Executivo

Para recintos empresariais — desde complexos de retalho expansivos a estádios de alta densidade — a segurança de rede e a experiência do utilizador estão indissociavelmente ligadas. A configuração de políticas RADIUS para controlo de acesso à rede detalhado fornece o mecanismo para segmentar o tráfego dinamicamente, garantindo que os ativos corporativos permaneçam isolados das redes de convidados e de dispositivos IoT vulneráveis. Este já não é um upgrade discricionário; é um requisito fundamental impulsionado por mandatos de conformidade, incluindo o PCI DSS e o GDPR.

Este guia oferece um plano técnico aprofundado para a implementação de controlo de acesso baseado em RADIUS. Examinamos a arquitetura de autenticação IEEE 802.1X, o funcionamento da atribuição dinâmica de VLAN através de Atributos Específicos do Fornecedor (VSAs) e a integração de fornecedores de identidade, incluindo o Active Directory, Entra ID e o fornecedor de identidade OpenRoaming da Purple. Ao ir além das chaves pré-partilhadas básicas (PSKs) para uma aplicação de políticas consciente do contexto, os líderes de TI podem mitigar riscos, otimizar operações e potenciar plataformas como a Purple para transformar o WiFi de convidados de um centro de custos num ativo estratégico. O foco ao longo do documento é em estratégias acionáveis e neutras em termos de fornecedor que proporcionam um ROI mensurável e resiliência operacional.

Análise Técnica Aprofundada

A Arquitetura do Acesso Consciente do Contexto

Na sua essência, a configuração de políticas RADIUS para controlo de acesso à rede detalhado baseia-se na norma IEEE 802.1X. Esta estrutura facilita o controlo de acesso à rede baseado em portas, garantindo que apenas dispositivos autenticados e autorizados tenham acesso a segmentos de rede específicos. A arquitetura consiste em três componentes principais: o suplicante (dispositivo cliente), o autenticador (ponto de acesso sem fios ou switch) e o servidor de autenticação (RADIUS).

radius_architecture_overview.png

Quando um dispositivo se liga, o autenticador encapsula as mensagens de Extensible Authentication Protocol (EAP) e encaminha-as para o servidor RADIUS. O servidor RADIUS avalia as credenciais face a um repositório de identidades — como o Active Directory, LDAP ou um fornecedor de identidade baseado na nuvem. Crucialmente, as implementações modernas de RADIUS não se limitam a devolver uma mensagem de Access-Accept ou Access-Reject. Devolvem Vendor-Specific Attributes (VSAs) que ditam o contexto de rede do utilizador: atribuição de VLAN, aplicação de Access Control List (ACL) e parâmetros de limitação de largura de banda.

Para implementações empresariais, compreender o Wi Fi Frequencies: A Guide to Wi-Fi Frequencies in 2026 é essencial, uma vez que as características da camada física têm um impacto direto no desempenho das trocas de mensagens de autenticação em ambientes de alta densidade.

Atribuição Dinâmica de VLAN e Micro-Segmentação

A aplicação mais poderosa das políticas RADIUS é a atribuição dinâmica de VLAN. Em vez de transmitir múltiplos SSIDs para diferentes grupos de utilizadores — o que degrada o desempenho de RF devido ao tráfego de beaconing —, um único SSID com 802.1X ativado pode servir todos os utilizadores corporativos. O servidor RADIUS determina a VLAN apropriada com base na pertença a grupos do utilizador e em fatores contextuais.

Por exemplo, quando um membro da equipa financeira se autentica, o servidor RADIUS instrui o ponto de acesso a colocar o seu tráfego na VLAN 10. Quando um dispositivo IoT se autentica através de MAC Authentication Bypass (MAB), é colocado numa VLAN 40 isolada com ACLs estritas. Esta abordagem reduz drasticamente a superfície de ataque e simplifica simultaneamente o ambiente de RF. Para implementações de fornecedores específicos, consulte o How to Configure NAC Policies for VLAN Steering in Cisco Meraki .

radius_policy_decision_flow.png

Seleção do Método EAP

A escolha do método EAP tem implicações significativas tanto na postura de segurança como na complexidade operacional. A tabela abaixo resume as principais opções:

Método EAP Mecanismo de Autenticação Caso de Uso Recomendado Nível de Segurança
EAP-TLS Baseado em certificado mútuo Dispositivos geridos corporativos com MDM O Mais Alto
PEAP-MSCHAPv2 Certificado de servidor + utilizador/palavra-passe BYOD, dispositivos de colaboradores Alto
EAP-TTLS Certificado de servidor + credenciais internas Ambientes mistos Alto
MAB Endereço MAC como credencial IoT sem ecrã, dispositivos legados Baixo (utilizar com ACLs estritas)

Evite totalmente os protocolos legados, tais como LEAP e EAP-MD5; são criptograficamente fracos e não devem constar em nenhuma implementação moderna.

Guia de Implementação

A implementação de uma infraestrutura RADIUS robusta exige um planeamento minucioso e uma execução faseada. Os passos seguintes descrevem uma abordagem neutra em termos de fornecedor para configurar políticas RADIUS para um controlo de acesso à rede minucioso.

Fase 1: Integração de Fontes de Identidade

A base de qualquer política é um diretório de identidades limpo e bem estruturado. Quer utilize o Active Directory local ou soluções nativas na nuvem como o Entra ID ou o Okta, os grupos do diretório devem mapear diretamente os segmentos de rede pretendidos.

  1. Auditoria aos Grupos Existentes: Certifique-se de que os grupos de utilizadores são lógicos e mutuamente exclusivos, sempre que possível. Remova as contas inativas e consolide os grupos sobrepostos.
  2. Definição de Níveis de Acesso: Estabeleça níveis claros — Executivo, Pessoal, Contratado, Convidado, IoT — com direitos de acesso documentados para cada um.
  3. Integrar a Purple como Fornecedor de Identidade: Para redes públicas, a Purple atua como um fornecedor de identidade gratuito para serviços como o OpenRoaming sob a licença Connect. Isto faz a ponte de forma contínua entre o acesso público de Guest WiFi e as estruturas de autenticação seguras, eliminando a necessidade de um Captive Portal tradicional para utilizadores que regressam.

Fase 2: Configuração de Políticas e Mapeamento de Atributos

Configure o servidor RADIUS para avaliar os pedidos recebidos com base em múltiplos fatores contextuais, e não apenas nas credenciais.

  • Protocolos de Autenticação: Torne obrigatório o EAP-TLS para dispositivos corporativos. Implemente o PEAP-MSCHAPv2 para BYOD. Aplique-os através da política RADIUS, rejeitando ligações que tentem utilizar métodos mais fracos.
  • Correspondência de Condições: Crie políticas que avaliem o NAS-IP-Address (o IP do autenticador), o Called-Station-Id (o SSID) e a hora do dia. O perfil de acesso de um prestador de serviços às 02:00 deve diferir significativamente do seu perfil às 09:00.
  • Perfis de Aplicação: Defina os atributos RADIUS a serem devolvidos. Os atributos padrão de atribuição de VLAN são: Tunnel-Type=VLAN, Tunnel-Medium-Type=802 e Tunnel-Private-Group-Id=[VLAN_ID].

Fase 3: Implementação Faseada e Monitorização

Nunca implemente a aplicação de 802.1X em toda a empresa em simultâneo.

  1. Modo de Monitorização: Implemente políticas em modo de monitorização ou auditoria, onde as falhas de autenticação são registadas, mas o acesso continua a ser concedido. Isto identifica suplicantes mal configurados e dispositivos legados antes de a aplicação começar.
  2. Aplicação Direcionada: Ative a aplicação por local ou por departamento, resolvendo os problemas antes de expandir o âmbito.
  3. Integração de Analytics: Aproveite plataformas como o WiFi Analytics da Purple para monitorizar as taxas de sucesso de autenticação, a duração das sessões e o comportamento de roaming. Estes dados são fundamentais para identificar falhas de cobertura e estrangulamentos na autenticação.

Melhores Práticas

Ao configurar políticas RADIUS para um controlo de acesso à rede minucioso, a adesão aos padrões de mercado garante a estabilidade e a segurança a longo prazo.

Autenticação Baseada em Certificados (EAP-TLS): Sempre que possível, implemente o EAP-TLS. Este elimina os riscos associados ao roubo de credenciais e à fadiga de palavras-passe. As plataformas de Mobile Device Management (MDM) podem automatizar o aprovisionamento de certificados em escala.

Implementar a Mitigação de Aleatorização de MAC: Os sistemas operativos móveis modernos utilizam a aleatorização de endereços MAC para proteger a privacidade do utilizador. Para implementações de Guest WiFi , garanta que o seu captive portal e os sistemas de contabilidade RADIUS gerem as alterações de endereços MAC de forma fluida — por exemplo, confiando em tokens de sessão ou perfis de dispositivo persistentes gerados durante o registo inicial (onboarding).

Redundância e Failover: O RADIUS é um componente de infraestrutura crítico. Implemente servidores RADIUS em clusters de alta disponibilidade em localizações geograficamente diversas. Configure os autenticadores com IPs de servidores primários e secundários, e estabeleça valores agressivos de limite de tempo (timeout) e tentativas para minimizar os atrasos de autenticação durante eventos de failover.

Aproveitar Dados Contextuais: Incorpore dados de localização nas decisões de políticas. Um prestador de serviços pode ter acesso a recursos internos quando ligado a um AP no bloco de engenharia, mas estar restrito apenas ao acesso à internet quando ligado na cafetaria. As tecnologias discutidas em BLE Low Energy Explained for Enterprise podem aumentar este contexto de localização com dados de posicionamento de precisão.

Resolução de Problemas e Mitigação de Riscos

A complexidade das implementações 802.1X introduz modos de falha específicos. A mitigação proativa de riscos é essencial para manter o tempo de atividade (uptime).

Modos de Falha Comuns

Modo de Falha Causa Raiz Mitigação
Falha de autenticação em massa Certificado de servidor RADIUS ou CA raiz expirado Gestão do ciclo de vida dos certificados com alertas automatizados aos 90/60/30 dias
Falhas de dispositivos individuais Desconfiguração do suplicante ou falta de CA raiz Perfis sem fios enviados por MDM com o repositório de confiança correto
Limite de tempo (timeout) de EAP Elevada latência de WAN para o RADIUS centralizado Otimizar o caminho da WAN; considerar RADIUS distribuído ou proxy RADIUS
Falhas em dispositivos IoT O dispositivo não suporta 802.1X Implementar MAB com isolamento rigoroso de VLAN e ACLs

Para empresas distribuídas, a arquitetura discutida em SD WAN vs MPLS: The 2026 Enterprise Network Guide é diretamente relevante para garantir uma conectividade de baixa latência a serviços AAA centralizados em vários locais.

ROI e Impacto no Negócio

O investimento no esforço de engenharia necessário para configurar políticas RADIUS para um controlo de acesso à rede granular gera retornos substanciais e mensuráveis em várias dimensões.

Redução de Custos Operacionais: A consolidação de múltiplos SSIDs numa única rede 802.1X com atribuição dinâmica de VLAN reduz a interferência de RF, melhora o tempo de transmissão disponível (airtime) e simplifica a gestão contínua. As equipas reportam uma redução significativa nos pedidos de suporte (tickets) relacionados com a conectividade WiFi assim que uma implementação estável de 802.1X esteja em funcionamento.

Postura de Conformidade Reforçada: Para setores como o Retalho e os Cuidados de Saúde , a segmentação estrita de rede é um requisito regulamentar — PCI DSS e HIPAA, respetivamente. As políticas RADIUS fornecem os controlos verificáveis e auditáveis necessários para superar auditorias de conformidade e evitar sanções financeiras substanciais. Para organizações do setor público, as obrigações do GDPR em torno da segregação de dados são abordadas de forma semelhante.

Experiência de Utilizador Melhorada: A autenticação segura e contínua — particularmente através de EAP-TLS ou OpenRoaming — elimina a fricção dos captive portals para utilizadores corporativos recorrentes e convidados VIP. Em locais de Hospitalidade e Transportes , isto tem um impacto direto nas métricas de satisfação e no envolvimento repetido.

Definições Principais

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece uma gestão centralizada de Autenticação, Autorização e Contabilidade (AAA) para utilizadores que se ligam e utilizam um serviço de rede. Definido no RFC 2865.

O motor central para o controlo de acessos à rede empresarial, determinando quem acede à rede, ao que pode aceder e registando a atividade para efeitos de auditoria.

IEEE 802.1X

Uma norma IEEE para Controlo de Acesso à Rede com base em portas (PNAC). Fornece um mecanismo de autenticação para dispositivos que pretendem ligar-se a uma LAN ou WLAN, bloqueando todo o tráfego até que a autenticação esteja concluída.

A norma que obriga um dispositivo a provar a sua identidade antes de lhe ser permitido enviar qualquer tráfego de dados na rede. O mecanismo de aplicação que torna as políticas de RADIUS executáveis.

EAP (Extensible Authentication Protocol)

Uma infraestrutura de autenticação frequentemente utilizada em redes sem fios e ligações ponto a ponto. Fornece uma camada de transporte para métodos de autenticação (métodos EAP), tais como TLS ou MSCHAPv2.

O envelope que transporta as credenciais de autenticação reais entre o cliente e o servidor RADIUS. A escolha do método EAP determina o nível de segurança da troca de autenticação.

VSA (Vendor-Specific Attribute)

Atributos dentro de uma mensagem RADIUS que permitem aos fornecedores suportar atributos alargados não definidos nas RFCs base do RADIUS. Utilizados para transmitir instruções de políticas de rede do servidor RADIUS para o autenticador.

O mecanismo através do qual o RADIUS instrui o hardware de rede para atribuir um utilizador a uma VLAN específica, aplicar uma regra de firewall ou impor limites de largura de banda. Sem VSAs, o RADIUS apenas pode permitir ou negar o acesso.

Dynamic VLAN Assignment

O processo em que um servidor RADIUS instrui um ponto de acesso ou switch para colocar o tráfego de um utilizador numa Virtual LAN específica com base na sua identidade, pertença a um grupo ou atributos contextuais.

A técnica fundamental para a micro-segmentação de rede. Permite que uma única infraestrutura física suporte de forma segura múltiplos grupos de utilizadores distintos sem transmitir múltiplos SSIDs.

Supplicant

O cliente de software num dispositivo de utilizador final (portátil, smartphone, dispositivo IoT) que inicia e negoceia a troca de autenticação 802.1X com o autenticador de rede.

Integrado nos sistemas operativos modernos (Windows, macOS, iOS, Android). Os suplicantes mal configurados — particularmente definições incorretas de fidedignidade de certificados — são a fonte mais comum de problemas de conectividade 802.1X.

Authenticator

O dispositivo de rede (ponto de acesso sem fios ou switch Ethernet) que atua como ponto de aplicação numa implementação 802.1X. Retransmite mensagens EAP entre o suplicante e o servidor RADIUS, e aplica a decisão de política.

O guardião. O autenticador bloqueia todo o tráfego de uma porta ou associação sem fios até que o servidor RADIUS devolva uma mensagem de Access-Accept, momento em que aplica os VSAs devolvidos.

MAB (MAC Authentication Bypass)

Um método de autenticação alternativo em que o endereço MAC do dispositivo de rede é submetido como a sua credencial ao servidor RADIUS. Utilizado para dispositivos que não suportam suplicantes 802.1X.

Uma ferramenta operacional necessária para dispositivos IoT legados e sem interface (headless), mas inerentemente menos segura do que a autenticação criptográfica. Deve ser sempre combinada com isolamento estrito de VLAN e ACLs.

EAP-TLS (EAP Transport Layer Security)

Um método EAP baseado em certificados que fornece autenticação mútua entre o cliente e o servidor RADIUS utilizando certificados X.509. Considerado o método EAP mais seguro disponível.

O método de autenticação recomendado para dispositivos geridos pela empresa. Elimina completamente os riscos de credenciais baseadas em palavras-passe. Requer uma infraestrutura PKI e MDM para o aprovisionamento de certificados.

Exemplos Práticos

Um grande centro de conferências necessita de fornecer acesso WiFi seguro e segmentado para a equipa do evento, expositores e participantes em geral. Atualmente, transmitem três SSIDs separados, o que está a causar uma interferência considerável entre canais e um desempenho fraco em pavilhões de exposição de elevada densidade.

O local faz a transição para um único SSID com suporte para 802.1X chamado 'Conference_Secure'. Implementam um servidor RADIUS integrado com a sua base de dados de gestão de eventos.

  1. A equipa do evento autentica-se utilizando as suas credenciais corporativas via PEAP-MSCHAPv2. A política de RADIUS corresponde ao seu grupo de Active Directory e devolve Tunnel-Private-Group-Id=10 (Staff VLAN), concedendo acesso aos sistemas internos de gestão de AV.
  2. Os expositores recebem credenciais únicas e limitadas no tempo, associadas à sua reserva de stand. Após a autenticação, o servidor RADIUS devolve Tunnel-Private-Group-Id=20 (Exhibitor VLAN), que possui ACLs que permitem o acesso a servidores de apresentação específicos e saída para a internet.
  3. Os participantes em geral utilizam um SSID aberto separado com um Captive Portal integrado com a Purple para recolha de dados de marketing, gestão de consentimentos e acesso básico à internet.

O resultado é uma redução de 40% na sobrecarga de tráfego de gestão, uma melhoria mensurável no débito de dados nos pavilhões de exposição e um registo de auditoria claro para fins de conformidade.

Comentário do Examinador: Esta abordagem resolve o problema de interferência de RF reduzindo a sobrecarga de SSIDs de três para dois (um seguro, um aberto para convidados). A atribuição dinâmica de VLAN alcança uma segmentação de rede rigorosa sem sacrificar a experiência do utilizador. A integração da Purple para a rede de participantes em geral garante que os objetivos de marketing são atingidos, mantendo a segurança das operações internas. As credenciais limitadas no tempo para os expositores são uma prática particularmente forte — expiram automaticamente, eliminando o risco de reutilização de credenciais após o evento.

Uma cadeia de lojas de retalho necessita de proteger milhares de terminais de Ponto de Venda (POS) sem fios em 500 localizações. Atualmente, utilizam WPA2-PSK e o departamento de TI está preocupado com o risco operacional de rodar a chave pré-partilhada em 500 locais, bem como com as conclusões das auditorias de PCI DSS.

A equipa de TI implementa uma infraestrutura RADIUS centralizada e configura os terminais POS para autenticação EAP-TLS.

  1. Uma solução MDM envia um certificado de cliente único para cada terminal POS durante o provisionamento.
  2. Os pontos de acesso sem fios em cada loja são configurados para encaminhar pedidos de autenticação para os servidores RADIUS centrais através da arquitetura SD-WAN.
  3. A política de RADIUS verifica o certificado de cliente em relação à PKI interna e devolve atributos para colocar o dispositivo na VLAN POS isolada (VLAN 50), cumprindo os requisitos de segmentação de rede da PCI DSS.
  4. É mantida uma lista de revogação de certificados (CRL), permitindo que a equipa de TI coloque instantaneamente em quarentena um terminal perdido ou roubado através da revogação do seu certificado — sem afetar qualquer outro dispositivo.
Comentário do Examinador: A migração de PSK para EAP-TLS em dispositivos sem interface de utilizador é uma atualização de segurança significativa que aborda diretamente os requisitos de PCI DSS para segmentação de rede e controlo de acessos. A capacidade de revogação de certificados é uma grande vantagem operacional em relação ao PSK — em vez de rodar um segredo partilhado em 500 locais, um único certificado pode ser revogado em segundos. A utilização de certificados únicos por dispositivo também fornece um registo de auditoria completo sobre qual terminal específico se ligou, quando e a partir de que localização.

Perguntas de Prática

Q1. Um hospital precisa de implementar novas bombas de infusão sem fios em três enfermarias. Estes dispositivos não suportam supplicants 802.1X. O CISO exige que estes dispositivos fiquem completamente isolados da rede corporativa e apenas comuniquem com o servidor de gestão clínica específico em 10.5.1.20. Como deve configurar a política de controlo de acesso à rede?

Dica: Considere como os dispositivos sem capacidades 802.1X podem ser identificados e o princípio do privilégio mínimo ao definir a ACL.

Ver resposta modelo

Implemente MAC Authentication Bypass (MAB). Registe os endereços MAC de todas as bombas de infusão na base de dados RADIUS durante o processo de aprovisionamento. Crie uma política RADIUS específica que corresponda a estes endereços MAC e que retorne VSAs associando-os a uma VLAN de IoT isolada (ex: VLAN 60). Aplique ACLs estritas a esta VLAN permitindo tráfego de saída apenas para 10.5.1.20 nas portas de gestão clínica necessárias, e bloqueando todo o restante tráfego inter-VLAN e de internet. Adicionalmente, configure DHCP snooping e dynamic ARP inspection na VLAN de IoT para prevenir ataques de spoofing.

Q2. Após uma aquisição recente, uma empresa possui agora dois domínios de Active Directory distintos: corp.acme.com e corp.legacy.com. Querem que todos os colaboradores de ambas as entidades utilizem o mesmo SSID 'ACME_Corporate' sem migrar o domínio legado. Como pode o RADIUS facilitar isto?

Dica: Pense em como o RADIUS lida com o encaminhamento de autenticação com base no realm de identidade e em como os servidores de política podem efetuar o proxy de pedidos para diferentes diretórios de backend.

Ver resposta modelo

Configure a infraestrutura RADIUS (utilizando um servidor de políticas como o Cisco ISE, Aruba ClearPass ou um proxy RADIUS) para avaliar o sufixo do realm fornecido na identidade EAP do utilizador — por exemplo, user@corp.acme.com versus user@corp.legacy.com . Crie políticas de encaminhamento que direcionem os pedidos de autenticação para o domínio do Active Directory de backend apropriado com base no realm. Defina perfis de aplicação normalizados que retornem VSAs de VLAN consistentes, independentemente do domínio de backend, garantindo que os utilizadores de ambas as entidades recebem o posicionamento de rede correto. Esta abordagem evita uma migração de diretório disruptiva enquanto mantém uma experiência de utilizador unificada.

Q3. Está a desenhar a rede WiFi para um estádio com capacidade para 60.000 pessoas. O desenho atual do cliente especifica 8 SSIDs separados para diferentes funções do pessoal: Bilheteira, Segurança, Restauração, Médica, Media, Operações, VIP e Manutenção. Qual é a sua recomendação e porquê?

Dica: Considere o impacto da sobrecarga de tráfego das tramas de gestão no desempenho do wireless num ambiente de RF de alta densidade.

Ver resposta modelo

Recomende vivamente contra a transmissão de 8 SSIDs. Num ambiente de alta densidade, cada SSID gera tramas beacon em todos os pontos de acesso a intervalos regulares, consumindo um tempo de antena significativo e reduzindo a capacidade disponível para o tráfego de dados real. A recomendação é consolidar todas as funções do pessoal num único SSID compatível com 802.1X. Utilize a atribuição dinâmica de VLAN por RADIUS para segmentar o tráfego no backend — quando um dispositivo de bilheteira se autentica, o RADIUS coloca-o na VLAN de Bilheteira; quando um dispositivo médico se autentica, vai para a VLAN Médica com as ACLs apropriadas. Isto fornece a separação lógica necessária enquanto otimiza o ambiente físico de RF. Um SSID aberto separado com um Captive Portal pode gerir o acesso do público em geral.

Continue a ler esta série

Gestão de WiFi para Hóspedes de Hotel: Integrando PMS, Portais e Padrões de Marca

Este guia técnico detalha como arquitetar redes WiFi de hotel de nível empresarial, focando na segmentação de VLAN, integração de PMS para gestão automatizada de sessões e otimização do Captive Portal para captura de dados em conformidade com o GDPR.

Ler o guia →

How to Set Up Guest WiFi: A Secure Enterprise Configuration Guide

Este guia de referência fornece aos líderes de TI e arquitetos de rede um plano definitivo para implementar WiFi de convidados empresarial seguro. Abrange a arquitetura essencial, a migração para WPA3, a segmentação de VLAN e a integração de Captive Portal para proteger os sistemas internos enquanto recolhe dados primários em conformidade.

Ler o guia →

Gestão de Largura de Banda para WiFi de Funcionários: Shaping, QoS e Redução de Tráfego

Este guia detalha métodos práticos para gerir a largura de banda para WiFi de funcionários em espaços empresariais. Abrange traffic shaping, implementação de QoS e como a implementação do Purple Shield reduz a carga na rede sem necessidade de atualizações de infraestrutura.

Ler o guia →