Configuring RADIUS Authentication for Guest and Staff WiFi Networks
Este guia de referência técnica descreve a arquitetura, configuração e implementação de autenticação RADIUS para redes WiFi empresariais de convidados e funcionários. Fornece aos arquitetos de rede e gestores de TI os protocolos exatos, normas de segurança e metodologias de resolução de problemas necessários para construir sistemas de controlo de acesso sem fios seguros e escaláveis.
- Resumo Executivo
- Aprofundamento Técnico
- O Modelo AAA
- Componentes da Arquitetura RADIUS
- Métodos EAP para WiFi de Funcionários
- Fluxo de Autenticação de WiFi para Convidados
- Transporte Seguro: RadSec
- Guia de Implementação
- Passo 1: Definir Clientes RADIUS no Servidor
- Passo 2: Configurar o Wireless LAN Controller (WLC) / Access Points
- Passo 3: Configurar o SSID do Pessoal (802.1X)
- Passo 4: Configurar o SSID de Convidados com Captive Portal
- Melhores Práticas
- Alta Disponibilidade e Redundância
- Gestão de Certificados
- Segmentação de VLAN
- Limites de Tempo de Sessão e Intervalos de Contabilidade
- Resolução de Problemas e Mitigação de Riscos
- Modos de Falha Comuns e Soluções
- ROI e Impacto no Negócio

Resumo Executivo
Nos ambientes empresariais modernos, a segurança das redes sem fios é um requisito operacional crítico. Os métodos de segurança legados, como as chaves pré-partilhadas (PSKs) comuns, introduzem vulnerabilidades de segurança significativas. Se um único colaborador deixar uma organização, ou se um convidado comprometer uma palavra-passe partilhada, toda a postura de segurança da rede é comprometida. Este guia detalha como implementar o Remote Authentication Dial-In User Service (RADIUS) para centralizar o controlo de acessos, aplicar políticas de segurança granulares e segmentar o tráfego de convidados e funcionários.
Ao transitar para uma arquitetura RADIUS centralizada, as organizações podem implementar a autenticação 802.1X para os funcionários - garantindo que cada dispositivo se autentica com credenciais únicas e revogáveis - enquanto utilizam Captive Portals seguros e o MAC Authentication Bypass (MAB) para utilizadores convidados. Esta referência técnica fornece os planos arquitetónicos, os passos de configuração e as estruturas de resolução de problemas necessários para implementar uma infraestrutura de autenticação WiFi resiliente e de classe empresarial.
Aprofundamento Técnico
O Modelo AAA
O RADIUS opera no modelo AAA, que define as fases principais do controlo de acessos:
- Autenticação: Verificar a identidade do utilizador ou dispositivo que tenta ligar-se à rede WiFi. Isto é conseguido através de credenciais, certificados digitais ou tokens.
- Autorização: Determinar o nível de acesso à rede concedido à entidade autenticada. Isto inclui a atribuição de VLANs específicas, a aplicação de Listas de Controlo de Acesso (ACLs) ou a imposição de limites de largura de banda.
- Contabilização: Registar o consumo de recursos de rede, incluindo a duração da sessão, dados transferidos e horas de início/fim de sessão. Estes dados são críticos para auditoria, conformidade e planeamento de rede.
- Auditoria: Rever os dados de contabilização recolhidos para identificar anomalias, violações de segurança ou infrações de políticas.
Componentes da Arquitetura RADIUS
Uma implementação RADIUS empresarial padrão consiste em três componentes principais:
- O Suplicante: O software cliente executado no dispositivo do utilizador (por exemplo, portátil, smartphone) que solicita acesso à rede e fornece credenciais ou certificados.
- O Autenticador (Network Access Server / NAS): O dispositivo de rede físico ou virtual - normalmente um Wireless LAN Controller (WLC) ou um Access Point (AP) - que controla o acesso físico à rede. O autenticador não decide se as credenciais são válidas; atua como um proxy, empacotando o pedido de autenticação em pacotes RADIUS e encaminhando-os para o servidor RADIUS.
- O Servidor de Autenticação: O servidor central (como o FreeRADIUS, Cisco ISE, Aruba ClearPass ou o motor RADIUS baseado na nuvem da Purple) que valida as credenciais em relação a um diretório de identidades (por exemplo, Active Directory, LDAP ou um fornecedor de identidade na nuvem) e devolve uma mensagem de Access-Accept ou Access-Reject ao autenticador.
Métodos EAP para WiFi de Funcionários
Para redes de colaboradores, o Extensible Authentication Protocol (EAP) é utilizado dentro da estrutura 802.1X para negociar a autenticação. Os dois métodos EAP empresariais mais comuns são:
- PEAP-MSCHAPv2 (Protected EAP): Este método estabelece um túnel TLS seguro e encriptado entre o suplicante e o servidor RADIUS usando o certificado digital do servidor. Dentro deste túnel seguro, o nome de utilizador e a palavra-passe do utilizador são autenticados usando o protocolo MSCHAPv2. Este método é extremamente popular devido à sua facilidade de implementação, uma vez que não exige a instalação de certificados nos dispositivos dos clientes.
- EAP-TLS: O método de autenticação mais seguro disponível. Exige autenticação mútua, o que significa que tanto o servidor RADIUS como o dispositivo do cliente devem apresentar certificados digitais válidos. Isto elimina os ataques baseados em palavras-passe, mas requer uma Infraestrutura de Chaves Públicas (PKI) robusta para gerir a distribuição e a revogação de certificados.
Fluxo de Autenticação de WiFi para Convidados
As redes de convidados utilizam normalmente um fluxo diferente para equilibrar a segurança com a conveniência do utilizador. Em vez do 802.1X, as redes de convidados utilizam frequentemente um SSID aberto combinado com um Captive Portal.
Quando um convidado se liga, o Autenticador utiliza o MAC Authentication Bypass (MAB) ou uma política de redirecionamento para enviar o utilizador para um captive portal alojado por uma plataforma como a Purple. Assim que o utilizador conclui o processo de registo ou início de sessão no portal, a plataforma do portal comunica com o servidor RADIUS, que envia uma mensagem Access-Accept para o WLC/AP, autorizando o endereço MAC do convidado para acesso à rede por uma duração de sessão especificada.
Transporte Seguro: RadSec
O tráfego RADIUS tradicional é enviado através de UDP (portas 1812 para autenticação e 1813 para contabilização) em texto simples, com apenas o campo de palavra-passe do utilizador ofuscado utilizando um segredo partilhado. Isto introduz riscos de segurança ao encaminhar o tráfego de autenticação através de ligações WAN públicas ou da internet.
Para mitigar esta situação, deve ser implementado o RadSec (RADIUS sobre TLS). O RadSec envolve pacotes RADIUS padrão dentro de um túnel TLS seguro (normalmente utilizando a porta TCP 2083). Isto garante que todos os dados de autenticação e contabilização, incluindo nomes de utilizador, endereços MAC e atributos de sessão, sejam totalmente encriptados em trânsito entre a rede local e os servidores RADIUS baseados na nuvem.
Guia de Implementação
Passo 1: Definir Clientes RADIUS no Servidor
Antes que qualquer dispositivo de rede possa comunicar com o servidor RADIUS, deve ser registado como um cliente.
- Inicie sessão na consola de administração do seu servidor RADIUS.
- Navegue até à secção Clientes ou Dispositivos de Rede.
- Adicione uma nova entrada de cliente para cada WLC ou AP.
- Introduza o endereço IP ou a sub-rede do autenticador.
- Gere um Segredo Partilhado de elevada entropia. Este segredo deve ter pelo menos 22 carateres, contendo uma mistura de letras maiúsculas, letras minúsculas, números e carateres especiais. Evite utilizar palavras simples do dicionário.
Passo 2: Configurar o Wireless LAN Controller (WLC) / Access Points
Configure o seu hardware sem fios para apontar para o servidor RADIUS para autenticação e contabilidade.
- Inicie sessão na interface de gestão do seu WLC ou AP.
- Navegue para Security > AAA > RADIUS > Authentication.
- Adicione um novo Servidor de Autenticação RADIUS:
- Server IP Address: Introduza o endereço IP do seu servidor RADIUS primário.
- Shared Secret: Introduza o segredo partilhado exato configurado no Passo 1.
- Port: 1812 (ou 2083 se estiver a utilizar RadSec).
- Timeout: Defina para 5 segundos para permitir a latência da rede.
- Retry Count: Defina para 3.
- Navegue para RADIUS Accounting e adicione uma nova entrada de servidor utilizando a porta 1813 (ou 2083 para RadSec).
- Repita estes passos para adicionar um servidor RADIUS secundário (de cópia de segurança) para alta disponibilidade.
Passo 3: Configurar o SSID do Pessoal (802.1X)
- Crie um novo SSID com o nome
Staff_Enterprise. - Defina o Tipo de Segurança para WPA3-Enterprise (ou modo de transição WPA2/WPA3-Enterprise se for necessário suporte para dispositivos legados).
- Selecione 802.1X como o protocolo de gestão de chaves.
- Associe o SSID aos servidores de autenticação e contabilidade RADIUS configurados no Passo 2.
- Mapeie o SSID para a VLAN segura do pessoal (por exemplo, VLAN 10).
Passo 4: Configurar o SSID de Convidados com Captive Portal
- Crie um novo SSID com o nome
Guest_WiFi. - Defina o Tipo de Segurança para Open (ou Enhanced Open / OWE para encriptação sem fios oportunista).
- Ative a Filtragem MAC ou Autenticação MAC e aponte-a para o servidor RADIUS.
- Ative o redirecionamento do Captive Portal / Web Portal.
- Configure o URL de redirecionamento para apontar para a página de início de sessão do Captive Portal da Purple.
- Configure o Walled Garden (ACLs de Pré-Autenticação) para permitir o tráfego para o domínio do Captive Portal, servidores DNS e recursos CDN necessários antes de a autenticação estar concluída.
- Mapeie o SSID para uma VLAN de Convidados isolada (por exemplo, VLAN 20).
Melhores Práticas
Alta Disponibilidade e Redundância
Implemente sempre servidores RADIUS em pares redundantes (primário e secundário). Certifique-se de que estes servidores estão localizados em hardware físico diferente ou em diferentes zonas de disponibilidade na nuvem. Configure os seus WLCs para fazer failover de forma controlada para o servidor secundário se o servidor primário deixar de responder. Implemente o balanceamento de carga onde for apropriado para distribuir o tráfego de autenticação de forma uniforme.
Gestão de Certificados
Para implementações PEAP e EAP-TLS, a validade e a confiança do certificado do servidor RADIUS são primordiais.
- Utilize um certificado emitido por uma Autoridade de Certificação (CA) Pública fidedigna para portais de convidados e implementações PEAP para evitar avisos de certificado nos dispositivos dos utilizadores.
- Para EAP-TLS, estabeleça uma CA Privada interna dedicada para emitir e gerir certificados de cliente e servidor.
- Monitorize de perto as datas de expiração dos certificados e implemente processos de renovação automatizados (como SCEP ou ACME) para evitar falhas repentinas de autenticação em toda a rede.
Segmentação de VLAN
Segmente rigorosamente o tráfego da sua rede utilizando VLANs. O tráfego de convidados deve ser completamente isolado dos recursos corporativos. Implemente regras de firewall no switch principal ou gateway para impedir o encaminhamento inter-VLAN entre a Guest VLAN e as Staff/Management VLANs. Permita apenas que o tráfego de convidados seja encaminhado diretamente para a internet.
Limites de Tempo de Sessão e Intervalos de Contabilidade
Configure limites de tempo de sessão (session timeouts) adequados para evitar que sessões inativas consumam endereços IP e recursos de rede.
- Para redes de funcionários, defina um limite de tempo de sessão de 8 a 12 horas, alinhando-se com um turno de trabalho padrão.
- Para redes de convidados, defina um limite de tempo de sessão mais curto, de 2 a 4 horas.
- Configure o intervalo de atualização provisória (interim-update) de contabilidade RADIUS para 10 ou 15 minutos. Isto garante que o servidor RADIUS receba atualizações regulares sobre a conectividade do dispositivo e a utilização de dados, sem sobrecarregar o servidor com pacotes de contabilidade.
Resolução de Problemas e Mitigação de Riscos
Modos de Falha Comuns e Soluções
1. Divergência de Segredo Partilhado (Shared Secret)
- Sintoma: Os registos do WLC mostram "servidor RADIUS não está a responder" e os registos do servidor RADIUS mostram "Pacote rejeitado - autenticador inválido" ou "Autenticador incorreto no pedido."
- Causa Raiz: O segredo partilhado configurado no WLC não corresponde ao segredo partilhado configurado no servidor RADIUS.
- Mitigação: Introduza novamente o segredo partilhado em ambos os dispositivos, garantindo que não são copiados espaços finais ou caracteres ocultos.
2. Problemas de Confiança de Certificados
- Sintoma: Os dispositivos dos clientes não conseguem ligar-se ao SSID de funcionários, apresentando erros como "Certificado de Servidor Não Confiável" ou "Ligação Rejeitada."
- Causa Raiz: O dispositivo do cliente não confia na AC que assinou o certificado do servidor RADIUS, ou o certificado expirou.
- Mitigação: Garanta que os certificados de AC raiz e intermédia estão instalados no repositório de raiz confiável do dispositivo do cliente. Para dispositivos geridos pela empresa, distribua estes certificados através de MDM ou Política de Grupo.
3. Bloqueios de Firewall
- Sintoma: Nenhum tráfego é recebido pelo servidor RADIUS a partir do WLC, embora o encaminhamento seja verificado.
- Causa Raiz: As firewalls intermédias estão a bloquear as portas UDP 1812 e 1813.
- Mitigação: Crie regras de firewall explícitas para permitir UDP 1812 e 1813 (ou TCP 2083 para RadSec) entre o IP de gestão do WLC e o IP do servidor RADIUS.
4. Limites de Tempo Induzidos por Latência
- Sintoma: Falhas de autenticação intermitentes, particularmente durante as horas de ponta ou ao utilizar servidores RADIUS baseados na nuvem.
- Causa Raiz: A latência da rede excede o limiar de tempo limite de RADIUS do WLC, fazendo com que o WLC assuma que o servidor está offline.
- Mitigação: Aumente a definição de tempo limite de RADIUS do WLC do valor predefinido (normalmente 2 segundos) para 5 ou 7 segundos. Otimize o encaminhamento WAN ou implemente proxies RADIUS locais para colocar pedidos de autenticação em cache.
ROI e Impacto no Negócio
A transição para um modelo de autenticação RADIUS centralizado proporciona um valor comercial mensurável em várias áreas fundamentais:
- Redução da Sobrecarga Operacional: Elimina o esforço manual necessário para rodar palavras-passe de WiFi partilhadas quando os funcionários saem da organização. As contas de utilizador podem ser desativadas instantaneamente no Active Directory ou no seu fornecedor de identidade, revogando imediatamente o seu acesso à rede.
- Postura de Segurança Reforçada: Mitiga o risco de violações de dados causadas por roubo de credenciais ou acesso não autorizado à rede. Ao impor o 802.1X e a autenticação baseada em certificados, as organizações garantem que apenas dispositivos autorizados e em conformidade podem aceder a recursos corporativos confidenciais.
- Operações de Espaço Otimizadas: Ao integrar o WiFi de convidados com a plataforma RADIUS na nuvem da Purple, os operadores do espaço capturam dados demográficos e comportamentais valiosos. Estes dados podem ser utilizados para conceber campanhas de marketing direcionadas, melhorar o envolvimento dos visitantes e otimizar a utilização do espaço físico com base em análises de afluência.
- Conformidade Regulamentar: Os registos de contabilidade RADIUS centralizados fornecem um registo de auditoria de acesso à rede, ajudando as organizações a cumprir os requisitos de conformidade para normas como PCI-DSS, ISO 27001 e GDPR.
Definições Principais
RADIUS
Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Accounting para utilizadores que se ligam e utilizam um serviço de rede.
É o protocolo padrão da indústria utilizado para ligar hardware de rede sem fios a bases de dados de identidade centrais.
Suplicante
O software do cliente ou dispositivo (como um computador portátil, telemóvel ou tablet) que solicita acesso a uma rede e fornece credenciais ou certificados para verificação.
O suplicante deve suportar o método EAP específico configurado no servidor RADIUS para se autenticar com sucesso.
Autenticador
O dispositivo de rede (normalmente um Wireless LAN Controller ou Access Point) que controla o acesso físico à rede e atua como proxy entre o suplicante e o servidor RADIUS.
O autenticador não valida as credenciais por si só; limita-se a encaminhá-las para o servidor RADIUS.
EAP-TLS
Extensible Authentication Protocol - Transport Layer Security. Um método de autenticação extremamente seguro que utiliza certificados digitais mútuos tanto no cliente como no servidor para verificação de identidade.
É o método de autenticação preferido para dispositivos geridos pela empresa em redes WiFi de colaboradores.
PEAP-MSCHAPv2
Protected Extensible Authentication Protocol com Microsoft Challenge Handshake Authentication Protocol versão 2. Um método de autenticação baseado em credenciais que protege a transmissão de palavras-passe dentro de um túnel TLS encriptado.
É amplamente utilizado em redes de colaboradores porque não requer certificados do lado do cliente, tornando-o mais fácil de implementar do que o EAP-TLS.
RadSec
Um protocolo que protege o tráfego RADIUS ao encapsular pacotes RADIUS padrão dentro de um túnel Transport Layer Security (TLS), executado normalmente na porta TCP 2083.
Essencial para redes WiFi geridas na nuvem onde o tráfego de autenticação deve transitar pela internet pública.
Captive Portal
Uma página web apresentada a utilizadores sem fios recém-ligados antes de lhes ser concedido um acesso mais amplo à rede. É comummente utilizada para autenticação de convidados, aceitação de termos de serviço e recolha de dados de marketing.
A Purple fornece um captive portal alojado na nuvem que se integra com o hardware de rede local via RADIUS.
MAC Authentication Bypass (MAB)
Um mecanismo que permite o controlo de acesso à rede com base no endereço MAC de um dispositivo cliente. É normalmente utilizado para dispositivos que não suportam a autenticação 802.1X.
Frequentemente utilizado em redes WiFi de convidados para permitir que os dispositivos se voltem a ligar de forma transparente, sem verem o Captive Portal repetidamente.
Exemplos Práticos
Uma marca de retalho multi-site com 150 lojas pretende implementar uma rede WiFi segura para os seus funcionários. Atualmente, utilizam uma chave pré-partilhada única (PSK) em todas as lojas, que é frequentemente divulgada. Necessitam de uma solução que se integre com o seu Microsoft Azure Active Directory existente (agora Microsoft Entra ID) e garanta que os funcionários apenas se possam autenticar utilizando computadores portáteis geridos pela empresa.
Para resolver isto, iremos implementar WPA3-Enterprise com autenticação EAP-TLS, integrado com o Microsoft Entra ID através de um serviço RADIUS baseado na nuvem.
- Estabelecer uma CA Privada: Implementar uma infraestrutura de chaves públicas (PKI) baseada na nuvem ou utilizar uma implementação existente de Active Directory Certificate Services (AD CS) para emitir certificados de dispositivo para todos os computadores portáteis geridos pela empresa.
- Distribuição de Certificados: Configurar o sistema de Gestão de Dispositivos Móveis (MDM) da organização (por exemplo, Microsoft Intune) para distribuir automaticamente o certificado da CA Raiz e um certificado de cliente exclusivo para cada computador portátil gerido. O certificado de cliente deve incluir o nome do anfitrião ou o número de série do dispositivo no Subject Alternative Name (SAN).
- Configurar o Servidor Cloud RADIUS: Configurar um serviço RADIUS na nuvem que se integre com o Microsoft Entra ID. Configurar o servidor RADIUS para validar os certificados de cliente recebidos face à CA Privada fidedigna.
- Configurar os WLCs/APs: Nos controladores sem fios de cada loja de retalho, configurar um novo SSID com o nome
Retail_Staff. Definir a segurança para WPA3-Enterprise e apontar a autenticação para os IPs do servidor RADIUS na nuvem utilizando RadSec (porta TCP 2083) para proteger o tráfego de autenticação através da internet pública. - Definir Políticas de Acesso: No servidor RADIUS, criar uma política que permita o acesso apenas se o certificado de cliente for válido, se o certificado não estiver revogado (verificado através de CRL ou OCSP) e se a identidade do dispositivo existir e estiver ativa no Microsoft Entra ID.
Um grande centro de congressos que acolhe até 20.000 utilizadores em simultâneo necessita de implementar uma rede WiFi de convidados. A rede deve oferecer uma experiência de início de sessão fluida através de um Captive Portal, aplicar um limite de sessão de 3 horas para evitar a monopolização da largura de banda e recolher o consentimento de marketing em conformidade com o GDPR. A infraestrutura é composta por Cisco Catalyst WLCs.
Iremos implementar um SSID Aberto com MAC Authentication Bypass (MAB) e redirecionamento de captive portal integrado com a plataforma Purple.
- Configurar o Guest SSID: No Cisco WLC, crie um SSID chamado
Convention_Guest. Defina a segurança como Aberta. Ative o Filtro MAC e selecione o grupo de servidores RADIUS associado à Purple. - Configurar o Redirecionamento: Configure uma política de Web Auth no WLC para redirecionar utilizadores não autenticados para o URL do captive portal da Purple:
https://portal.purplewifi.net/.... - Configurar o Walled Garden: Crie uma Lista de Controlo de Acesso (ACL) no WLC chamada
GUEST_RED_ACL. Esta ACL deve permitir tráfego DNS (porta UDP 53), tráfego DHCP (portas UDP 67 e 68) e tráfego de e para as gamas de IP e CDNs da Purple. Todo o restante tráfego HTTP/HTTPS deve ser redirecionado. - Configurar o RADIUS Accounting: Ative o RADIUS accounting no WLC, apontando para os servidores de accounting da Purple com um intervalo de atualização provisório de 10 minutos.
- Configurar os Limites de Sessão: No painel do portal Purple, configure a jornada de acesso para impor um limite de tempo de sessão de 3 horas. Assim que o utilizador concluir o login e aceitar os termos de marketing em conformidade com o GDPR, o servidor RADIUS da Purple envia um pacote Access-Accept para o Cisco WLC contendo o atributo
Session-Timeoutdefinido para 10800 segundos (3 horas). - Fluxo de Reautenticação: Após 3 horas, o WLC termina a sessão. Se o utilizador tentar ligar-se novamente, será redirecionado de volta para o captive portal para se reautenticar.
Perguntas de Prática
Q1. Uma organização renovou recentemente o certificado SSL no seu servidor RADIUS. Imediatamente a seguir, vários computadores portáteis Windows geridos pela empresa não conseguiram ligar-se à rede WiFi dos funcionários, enquanto os dispositivos macOS e iOS se ligaram sem problemas. Qual é a causa mais provável deste problema e como deve ser resolvido?
Dica: Considere a forma como os diferentes sistemas operativos validam os certificados de servidor e o papel da cadeia de Autoridade de Certificação (CA).
Ver resposta modelo
A causa mais provável é o facto de o novo certificado do servidor RADIUS ter sido emitido por uma Autoridade de Certificação (CA) ou CA intermédia diferente que não é fidedigna para os computadores portáteis Windows afetados, ou a Política de Grupo do Windows estar configurada para validar a ligação a um nome de servidor específico ou CA raiz que não corresponde ao novo certificado. Os dispositivos macOS e iOS são frequentemente mais permissivos ou solicitam ao utilizador que confie no novo certificado manualmente, ao passo que as configurações empresariais do Windows bloqueiam estritamente as ligações a certificados não fidedignos sem aviso prévio. Para resolver este problema, verifique se os certificados raiz e intermédios da nova CA são distribuídos a todos os dispositivos Windows através de Política de Grupo ou MDM, e atualize a configuração do perfil sem fios para confiar na nova CA.
Q2. Durante as horas de ponta num grande estádio desportivo, os utilizadores da rede WiFi de convidados reportam que concluem com sucesso o registo no Captive Portal, mas não são redirecionados para a internet. Em vez disso, é-lhes apresentada repetidamente a página de início de sessão do Captive Portal. Os registos do WLC mostram "RADIUS authentication timeout." Como diagnosticaria e resolveria este problema?
Dica: Analise o caminho do pacote RADIUS e as definições de timeout no controlador sem fios.
Ver resposta modelo
Este é um problema clássico de timeout induzido pela latência. Durante as horas de ponta, o elevado volume de tráfego causa congestionamento na ligação WAN ou uma elevada utilização da CPU no servidor RADIUS, atrasando a resposta RADIUS Access-Accept. Como o timeout predefinido do WLC está definido para um valor demasiado baixo (normalmente 2 segundos), o WLC assume que o servidor RADIUS está offline e desliga a sessão, forçando o utilizador a voltar ao Captive Portal. Para diagnosticar, verifique o tempo de ida e volta (RTT) dos pacotes RADIUS durante as horas de ponta. Para resolver: 1) Aumente o timeout do RADIUS no WLC para 5 ou 7 segundos. 2) Aumente o número de tentativas para 3. 3) Implemente a Qualidade de Serviço (QoS) no gateway WAN para priorizar o tráfego RADIUS (UDP 1812/1813) em detrimento do tráfego geral de internet de convidados.
Q3. Uma auditoria de segurança revela que os utilizadores de WiFi de convidados podem aceder às interfaces de gestão interna dos switches de rede e WLCs. A rede de convidados está configurada como um SSID aberto com um Captive Portal. Que alterações de arquitetura devem ser efetuadas para remediar esta vulnerabilidade?
Dica: Pense na segmentação de rede e onde as políticas de controlo de acesso devem ser aplicadas.
Ver resposta modelo
Para mitigar esta vulnerabilidade, deve ser implementada uma segmentação de rede rigorosa. Primeiro, certifique-se de que o SSID de Visitantes está mapeado para uma VLAN de Visitantes dedicada (por exemplo, VLAN 20) que seja completamente separada da VLAN de Funcionários e da VLAN de Gestão (onde residem os switches e WLCs). Segundo, configure Listas de Controlo de Acesso (ACLs) ou regras de firewall no router principal ou gateway para bloquear todo o tráfego com origem na VLAN de Visitantes destinado a quaisquer sub-redes de IP privado internas (intervalos RFC 1918), visando especificamente os IPs de gestão da infraestrutura de rede. A VLAN de Visitantes deve apenas ter rotas de encaminhamento para a internet e para os servidores DNS e IPs de captive portal específicos necessários para a pré-autenticação.
Continue a ler esta série
Passpoint e OpenRoaming: Guia Completo
Este guia de referência técnica fornece uma análise abrangente das frameworks Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implementação necessárias para estabelecer uma conectividade de convidados segura e sem atritos. Os arquitetos de rede e líderes de TI aprenderão a desenhar, implementar e resolver problemas destes padrões para eliminar as barreiras de início de sessão manual, mantendo simultaneamente uma segurança de nível empresarial.
Como Implementar SCEP para Integração Segura de BYOD e Redes no Ensino Superior
Este guia técnico fornece aos arquitetos de rede e gestores de TI um plano neutro em termos de fornecedor para implementar a emissão de certificados baseada em SCEP para proteger as redes dos campus do ensino superior. Detalha como migrar de PEAP baseado em palavra-passe para 802.1X EAP-TLS, automatizar a integração de BYOD e impor uma segmentação robusta de VLAN.
Server RADIUS: um guia abrangente para empresas
Este guia fornece aos gestores de TI, arquitetos de rede e CTOs uma referência técnica definitiva sobre a autenticação de server RADIUS para WiFi empresarial. Abrange a estrutura AAA, a arquitetura 802.1X, a seleção do método EAP, as vantagens e desvantagens da implementação na cloud versus local, e a atribuição dinâmica de VLAN. Os operadores de espaços nos setores da hotelaria, retalho, eventos e setor público encontrarão orientações de implementação práticas, estudos de caso do mundo real e as estruturas de decisão necessárias para migrar de chaves pré-partilhadas inseguras para uma arquitetura de controlo de acesso à rede segura e orientada pela identidade.