EAP-TLS vs. PEAP: Qual o Protocolo de Autenticação Adequado para a Sua Rede?

Uma comparação técnica abrangente dos protocolos de autenticação EAP-TLS e PEAP, cobrindo a arquitetura de segurança, a complexidade de implementação e as implicações de conformidade. Este guia fornece estruturas de decisão acionáveis para líderes de TI nos setores da hotelaria, retalho, eventos e setor público que precisam de selecionar o método de autenticação 802.1X correto para a sua infraestrutura de WiFi empresarial.

📖 6 min de leitura📝 1,341 palavras🔧 2 exemplos práticos❓ 3 perguntas de prática📚 9 definições principais

Ouça este guia

Ver transcrição do podcast

EAP-TLS vs PEAP: Qual o Protocolo de Autenticação Adequado para a Sua Rede?
Um Briefing Técnico da Purple

[INTRODUÇÃO — aproximadamente 1 minuto]

Bem-vindo ao Briefing Técnico da Purple. Sou o vosso anfitrião e hoje vamos abordar uma das decisões mais consequentes que irá tomar ao desenhar ou atualizar a sua infraestrutura sem fios empresarial: a escolha entre EAP-TLS e PEAP para a sua estrutura de autenticação 802.1X.

Se é um gestor de TI, arquiteto de rede ou CTO responsável por um grupo hoteleiro, uma rede de retalho, um estádio ou uma organização do setor público, esta decisão afeta a sua postura de segurança, a sua conformidade regulamentar e a carga operacional diária que a sua equipa suporta. Por isso, vamos diretos ao assunto.

Tanto o EAP-TLS como o PEAP são métodos de autenticação 802.1X. Ambos dependem de um servidor RADIUS para processar os pedidos de autenticação e ambos oferecem uma segurança significativamente mais forte do que uma palavra-passe partilhada WPA2. Mas a forma como verificam a identidade é fundamentalmente diferente — e essa diferença tem implicações profundas na forma como implementa, gere e dimensiona a sua rede.

[ANÁLISE TÉCNICA DETALHADA — aproximadamente 5 minutos]

Comecemos pelo EAP-TLS — Extensible Authentication Protocol Transport Layer Security.

O EAP-TLS é o padrão de excelência da autenticação WiFi empresarial. A característica que o define é a autenticação mútua por certificado. O que isto significa na prática é o seguinte: quando um dispositivo tenta ligar-se à sua rede, o servidor RADIUS apresenta um certificado digital ao dispositivo. O dispositivo verifica esse certificado face às suas Autoridades de Certificação fidedignas. Mas aqui reside a diferença crítica em relação ao PEAP — o dispositivo apresenta depois o seu próprio certificado de volta ao servidor. O servidor valida esse certificado de cliente e, apenas se ambos os certificados forem válidos e fidedignos, a rede concede o acesso.

Não há palavras-passe envolvidas. Nenhuma. A autenticação baseia-se inteiramente em certificados. Isto torna o EAP-TLS extraordinariamente resistente ao roubo de credenciais, a ataques de dicionário e a ataques Man-in-the-Middle. É simplesmente impossível roubar uma palavra-passe que não existe no fluxo de autenticação.

Em contrapartida, a desvantagem é a complexidade de implementação. Para executar o EAP-TLS à escala, necessita de uma Infraestrutura de Chaves Públicas — uma PKI — para emitir, gerir e revogar certificados para cada um dos dispositivos na sua rede. Também precisa de uma solução de Gestão de Dispositivos Móveis para instalar silenciosamente esses certificados nos terminais. Se gere um parque empresarial com o Microsoft Intune ou o Jamf, isto é perfeitamente gerível. Caso contrário, o EAP-TLS torna-se um empreendimento complexo.

A outra consideração operacional é a gestão do ciclo de vida dos certificados. Os certificados expiram. Se o certificado do seu servidor RADIUS expirar, todos os dispositivos na sua rede falharão a autenticação em simultâneo. Trata-se de uma falha catastrófica. Os processos de monitorização e renovação de certificados são inegociáveis.

Agora, vejamos o PEAP — Protected Extensible Authentication Protocol.

O PEAP foi concebido para responder à complexidade de implementação do EAP-TLS, mantendo uma segurança robusta. A principal ideia por trás do PEAP é esta: apenas precisa que o servidor tenha um certificado. O cliente não precisa de nenhum.

Eis como funciona. O servidor RADIUS apresenta o seu certificado ao dispositivo cliente. O cliente valida o servidor — tal como no EAP-TLS. Isto estabelece um túnel TLS encriptado. Dentro desse túnel, o cliente realiza então a autenticação padrão baseada em palavra-passe, normalmente utilizando MSCHAPv2, contra o seu repositório de identidades — Active Directory, LDAP, Google Workspace, o que quer que esteja a utilizar.

A palavra-passe nunca viaja em texto limpo. Está sempre protegida dentro do túnel encriptado. Portanto, o PEAP é genuinamente seguro — desde que seja configurado corretamente.

E é aqui que precisamos de falar sobre a configuração incorreta mais comum e mais perigosa nas implementações de PEAP. Se um dispositivo cliente não estiver configurado para validar rigorosamente o certificado do servidor RADIUS, um atacante pode configurar um ponto de acesso falso com o mesmo nome de rede, apresentar um certificado fraudulento, e o dispositivo irá ligar-se alegremente. O atacante captura então a troca de autenticação MSCHAPv2, que pode ser decifrada offline. Este não é um ataque teórico — é uma técnica bem documentada utilizada em testes de intrusão do mundo real.

A correção é simples: utilize Políticas de Grupo, perfis de MDM ou ferramentas de integração para impor uma validação rigorosa do certificado do servidor em cada dispositivo cliente. Mas a realidade operacional é que, em ambientes BYOD, garantir que esta configuração é aplicada de forma consistente em milhares de dispositivos pessoais não geridos é genuinamente difícil.

Deixe-me dar-lhe uma comparação concreta. Considere uma cadeia de retalho com 500 localizações. Têm tablets e scanners portáteis propriedade da empresa, todos geridos através do Microsoft Intune. O EAP-TLS é a escolha certa. O Intune envia os certificados automaticamente. Se um scanner for perdido, a equipa de TI revoga o seu certificado e este fica fora da rede em minutos — sem redefinições de palavras-passe, sem alterações de frases de acesso partilhadas em 500 lojas. A segurança é absoluta.

Agora considere um grande centro de conferências que disponibiliza WiFi para 3.000 colaboradores nos seus dispositivos pessoais. Sem MDM. Os colaboradores utilizam o Google Workspace. O PEAP integrado com o Google Secure LDAP é a escolha pragmática. Os colaboradores autenticam-se com as suas credenciais padrão. A equipa de TI fornece documentação de integração para configurar a validação de certificados. É implementável em dias, não em meses.

A arquitetura que sustenta ambos os protocolos é o mesmo modelo 802.1X de três componentes: o suplicante — que é o dispositivo cliente —, o autenticador, que é o seu ponto de acesso ou switch, e o servidor RADIUS. O autenticador funciona como um guardião, bloqueando todo o tráfego até que o servidor RADIUS sinalize que a autenticação foi bem-sucedida.

[RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ARMADILHAS — aproximadamente 2 minutos]

Então, quais são as recomendações práticas?

Primeiro: se tem uma solução de MDM e dispositivos de propriedade corporativa, implemente o EAP-TLS. O investimento inicial em PKI e gestão de certificados traz dividendos na redução de riscos e na simplificação de auditorias de conformidade. Para ambientes regulados — saúde, finanças, setor público — isto não é opcional. É a arquitetura que os seus auditores esperam ver.

Segundo: se opera num ambiente BYOD ou não possui infraestrutura de MDM, implemente o PEAP. Mas não ignore a configuração de validação do certificado do servidor. Utilize ferramentas de integração (onboarding), portais de controlo de acesso à rede ou perfis de MDM, sempre que possível, para impor esta validação. Trate isto como uma etapa de implementação obrigatória, e não como uma medida de segurança opcional.

Terceiro: independentemente do protocolo que escolher, integre redundância RADIUS na sua arquitetura. A autenticação é um caminho crítico. Uma única falha no servidor RADIUS significa que ninguém consegue aceder à rede. As soluções RADIUS alojadas na nuvem podem proporcionar resiliência sem a sobrecarga de gerir uma infraestrutura local redundante.

Quarto: segmente a sua rede após a autenticação. Uma autenticação 802.1X bem-sucedida não deve conceder acesso ilimitado a toda a sua rede corporativa. Utilize políticas de atribuição de VLAN para colocar os utilizadores nos segmentos de rede adequados com os controlos de acesso apropriados.

Os erros comuns a evitar: a expiração de certificados a causar falhas de autenticação em massa em implementações EAP-TLS; dispositivos clientes a não validar os certificados do servidor em implementações PEAP; e problemas de timeout do RADIUS causados por latência elevada entre o controlador sem fios e o servidor de autenticação — particularmente relevante em propriedades distribuídas geograficamente.

[PERGUNTAS E RESPOSTAS RÁPIDAS — aproximadamente 1 minuto]

Deixe-me abordar algumas perguntas que oiço frequentemente.

Posso executar o EAP-TLS e o PEAP na mesma rede? Sim. Muitas organizações executam o EAP-TLS para dispositivos corporativos num SSID e o PEAP para BYOD ou acesso de convidados num SSID separado, com a devida segmentação de rede entre eles.

O WPA3 altera esta decisão? O WPA3 Enterprise exige o modo de segurança de 192 bits para implementações de alta segurança, o que se alinha com o EAP-TLS. O WPA3 Personal utiliza SAE em vez de PSK, mas para implementações enterprise 802.1X, a seleção do método EAP continua a ser relevante.

O PEAP está em conformidade com o PCI DSS? Sim, quando corretamente configurado com a validação do certificado do servidor ativada. No entanto, para ambientes que lidam com dados de titulares de cartões, o EAP-TLS é cada vez mais a abordagem recomendada nas avaliações de segurança.

E quanto ao OpenRoaming? O OpenRoaming utiliza autenticação baseada em certificados nos bastidores, alinhando-se com os princípios do EAP-TLS. Plataformas como a Purple podem funcionar como um fornecedor de identidade para o OpenRoaming, permitindo um roaming contínuo e seguro entre locais sem necessidade de nova autenticação.

[RESUMO E PRÓXIMOS PASSOS — aproximadamente 1 minuto]

Em resumo: o EAP-TLS é a opção de maior segurança, eliminando totalmente as palavras-passe através de autenticação mútua por certificados. Requer infraestrutura PKI e MDM, mas oferece a postura de conformidade mais robusta e o controlo de acesso ao nível do dispositivo mais granular. O PEAP é a escolha pragmática para BYOD e ambientes sem infraestrutura de gestão de certificados, fornecendo uma autenticação encriptada forte utilizando as credenciais existentes — mas apenas quando a validação do certificado do servidor é rigorosamente aplicada.

O modelo de decisão é simples: se gere os seus dispositivos, utilize o EAP-TLS. Se os seus utilizadores trazem os seus próprios dispositivos, utilize o PEAP — mas configure-o corretamente.

Para os seus próximos passos: audite a sua configuração de autenticação atual, avalie a sua preparação para PKI e MDM e reveja a sua infraestrutura RADIUS para redundância e latência. Se está a implementar ou a atualizar o WiFi de convidados em paralelo com a sua rede corporativa, considere como uma plataforma como a Purple se pode integrar com a sua estrutura de autenticação para fornecer segurança e análises acionáveis a partir da sua rede.

Obrigado por ouvir o Purple Technical Briefing. Até à próxima.

Principais Conclusões

✓O EAP-TLS oferece o nível mais elevado de segurança WiFi empresarial através de autenticação mútua por certificado, eliminando completamente as palavras-passe do fluxo de autenticação.
✓O PEAP fornece uma segurança robusta ao canalizar a autenticação padrão por palavra-passe dentro de uma sessão TLS encriptada, exigindo apenas um certificado do lado do servidor.
✓O EAP-TLS é a escolha correta para ambientes de dispositivos geridos pela empresa onde existe uma infraestrutura PKI e MDM — particularmente em indústrias reguladas como a saúde, finanças e setor público.
✓O PEAP é a escolha pragmática para ambientes BYOD e organizações que não possuem capacidades de gestão automatizada de certificados, desde que a validação do certificado do servidor seja rigorosamente aplicada.
✓A vulnerabilidade principal e mais explorada nas implementações PEAP é a falha em impor uma validação estrita do certificado do servidor nos dispositivos clientes — isto deve ser tratado como um passo de configuração obrigatório.
✓Ambos os protocolos exigem uma infraestrutura RADIUS robusta e altamente disponível; uma única falha no servidor RADIUS cria uma interrupção total da autenticação.
✓A integração da autenticação segura 802.1X com uma plataforma como a Purple permite que os locais combinem segurança de nível empresarial com análises de WiFi acionáveis e uma integração de convidados sem falhas.

Resumo Executivo

A seleção do protocolo de autenticação correto é uma decisão arquitetural crítica que afeta tanto a postura de segurança como a sobrecarga operacional. Para gestores de TI, arquitetos de rede e CTOs que operam em ambientes complexos — tais como Hotelaria , Retalho , estádios e organizações do setor público — a escolha entre EAP-TLS e PEAP dita frequentemente o equilíbrio entre uma segurança de ferro e a viabilidade de implementação.

O EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) é amplamente considerado o padrão de excelência para a segurança de WiFi empresarial, baseando-se em autenticação mútua por certificados. O PEAP (Protected Extensible Authentication Protocol), por outro lado, encapsula a autenticação padrão baseada em palavra-passe dentro de um túnel TLS encriptado, reduzindo significativamente a complexidade de implementação.

Este guia de referência técnica fornece uma análise arquitetural aprofundada e neutra em termos de fornecedor sobre ambos os protocolos. Exploramos o seu funcionamento operacional, avaliamos as complexidades de implementação e fornecemos recomendações práticas para garantir que a sua infraestrutura de rede cumpre os padrões de segurança modernos — incluindo a conformidade com PCI DSS e GDPR — ao mesmo tempo que mantém uma conectividade contínua para os seus utilizadores.

Análise Técnica Aprofundada: Arquitetura do Protocolo

Para tomar uma decisão informada, é essencial compreender o funcionamento subjacente de como estes protocolos protegem a estrutura de autenticação 802.1X. Ambos os protocolos utilizam um servidor RADIUS para processar os pedidos de autenticação, mas os seus métodos de validação de identidade diferem fundamentalmente. Para uma compreensão fundamental da infraestrutura RADIUS, consulte o nosso guia sobre O que é o RADIUS? Como os Servidores RADIUS Protegem as Redes WiFi .

EAP-TLS: Autenticação Mútua por Certificado

O EAP-TLS opera com base no princípio da autenticação mútua. Tanto o dispositivo cliente (suplicante) como o servidor de autenticação (RADIUS) devem apresentar certificados digitais válidos para estabelecer uma ligação.

O Handshake: Quando um dispositivo tenta ligar-se, o servidor RADIUS apresenta o seu certificado ao cliente. O cliente valida este certificado face às suas Autoridades de Certificação (CAs) de Raiz fidedignas. Assim que o servidor é verificado, o cliente apresenta o seu próprio certificado exclusivo de volta ao servidor. Se ambos os certificados forem válidos e não tiverem sido revogados — verificado através de CRL ou OCSP — é estabelecida uma sessão TLS segura e o acesso à rede é concedido.

Esta verificação mútua torna o EAP-TLS altamente resistente a roubo de credenciais, ataques de dicionário e ataques Man-in-the-Middle (MitM). Como não são transmitidas palavras-passe, as credenciais de utilizador comprometidas não podem ser utilizadas para violar a rede.

PEAP: Autenticação por Palavra-passe em Túnel

O PEAP foi desenvolvido como uma alternativa de mais fácil implementação ao EAP-TLS, eliminando a necessidade de certificados do lado do cliente, ao mesmo tempo que continua a fornecer uma segurança robusta.

Estabelecimento do Túnel: O servidor RADIUS apresenta o seu certificado ao cliente. O cliente valida o servidor, estabelecendo um túnel TLS encriptado. Dentro deste túnel seguro, o cliente realiza a autenticação padrão baseada em palavra-passe — normalmente MSCHAPv2 — contra um fornecedor de identidade como o Active Directory. O servidor RADIUS valida as credenciais e concede o acesso.

Embora o PEAP seja altamente seguro quando configurado corretamente, depende de os utilizadores manterem palavras-passe fortes. Criticamente, se o dispositivo de um utilizador não estiver configurado para validar o certificado do servidor, um ponto de acesso não autorizado pode intercetar as credenciais. Este não é um risco teórico; é um vetor de ataque bem documentado utilizado em testes de intrusão do mundo real.

Dimensão	EAP-TLS	PEAP
Nível de Segurança	Muito Alto — autenticação mútua por certificado	Alto — túnel encriptado, apenas certificado de servidor
Tipo de Credencial	Certificados digitais de cliente e servidor	Nome de utilizador e palavra-passe (dentro do túnel TLS)
Complexidade de Implementação	Mais alta — requer PKI e MDM	Mais baixa — integra-se com serviços de diretório existentes
Ideal Para	Frotas de dispositivos corporativos, indústrias reguladas	Ambientes BYOD, organizações sem PKI
Certificado de Cliente Necessário	Sim	Não
Adequação ao PCI DSS / GDPR	Excelente — preferido para ambientes de elevada conformidade	Bom — em conformidade quando a validação do servidor é imposta

Guia de Implementação: Estratégias de Implementação

A principal divergência entre o EAP-TLS e o PEAP reside na sua complexidade de implementação e gestão do ciclo de vida.

Implementar o EAP-TLS

A implementação do EAP-TLS requer uma infraestrutura de chaves públicas (PKI) robusta para emitir, gerir e revogar certificados para cada dispositivo na rede. As soluções de Mobile Device Management (MDM) ou Enterprise Mobility Management (EMM) são praticamente obrigatórias para automatizar o aprovisionamento de certificados nos endpoints em escala. As equipas de TI devem gerir os ciclos de vida dos certificados, tratando das renovações antes da expiração e garantindo a revogação imediata para dispositivos perdidos ou colaboradores que saem da empresa. O EAP-TLS é mais adequado para redes corporativas com dispositivos pertencentes à empresa, ambientes altamente regulados como a Saúde ou finanças, e arquiteturas zero-trust.

Implementar o PEAP

O PEAP é significativamente mais fácil de implementar porque tira partido dos repositórios de identidade existentes — Active Directory, LDAP ou diretórios na nuvem — sem necessitar de certificados de cliente. Um servidor RADIUS com um certificado de servidor válido (idealmente de uma CA pública) e a integração com o seu serviço de diretório existente é suficiente para começar. Os custos operacionais são mínimos: os utilizadores autenticam-se com as suas credenciais corporativas padrão. Aplicam-se políticas de rotação de palavras-passe, o que pode causar uma pequena sobrecarga no suporte técnico quando os utilizadores se esquecem de atualizar os seus perfis de WiFi após uma alteração de palavra-passe. O PEAP é mais adequado para ambientes BYOD, setores de educação e organizações sem uma infraestrutura de PKI ou MDM estabelecida.

Melhores Práticas e Padrões do Setor

Independentemente do protocolo escolhido, a adesão aos padrões do setor é inegociável para mitigar riscos.

Forçar a Validação do Certificado do Servidor: A vulnerabilidade mais comum em implementações PEAP são os dispositivos cliente mal configurados que não validam o certificado do servidor RADIUS. Isto permite que atacantes configurem pontos de acesso falsos e recolham credenciais. O departamento de TI deve utilizar políticas de grupo ou perfis de MDM para forçar uma validação rigorosa do servidor em todos os endpoints.

Implementar Redundância RADIUS: A autenticação é um caminho crítico. Garanta que a sua infraestrutura RADIUS é altamente disponível. As soluções RADIUS baseadas na nuvem podem atenuar os pontos únicos de falha locais. As considerações de arquitetura para a resiliência de redes distribuídas são discutidas mais detalhadamente em The Core SD WAN Benefits for Modern Businesses .

Integrar com Fornecedores de Identidade Modernos: Para locais abertos ao público, tirar partido de uma plataforma robusta de Guest WiFi que atue como um fornecedor de identidade seguro pode simplificar o acesso, mantendo a segurança. A licença Connect da Purple, por exemplo, fornece um fornecedor de identidade gratuito para serviços como o OpenRoaming, colmatando a lacuna entre a segurança de nível empresarial e a integração contínua de convidados.

Segmentação de Rede Pós-Autenticação: Uma autenticação 802.1X bem-sucedida não deve conceder acesso irrestrito a toda a sub-rede corporativa. Utilize políticas de atribuição dinâmica de VLAN para colocar os utilizadores nos segmentos de rede apropriados com ACLs restritas.

Resolução de Problemas e Mitigação de Riscos

Ao gerir redes 802.1X, as equipas de TI devem estar preparadas para os modos de falha mais comuns.

Expiração de Certificado (EAP-TLS): Se o certificado da CA ou o certificado do servidor RADIUS expirar, toda a autenticação falhará em simultâneo. Implemente uma monitorização e alertas rigorosos para os períodos de validade dos certificados — configure alertas para 90, 30 e 7 dias antes da expiração.

Configuração Incorreta do Suplicante (PEAP): A falha na validação do certificado do servidor é um risco crítico. Audite regularmente as configurações dos endpoints para garantir que a opção "Validar certificado do servidor" é estritamente aplicada. Inclua isto como um item padrão na sua lista de verificação de auditoria de segurança.

Problemas de Timeout do RADIUS: A latência elevada entre o controlador sem fios e o servidor RADIUS, ou entre o servidor RADIUS e o Active Directory, pode causar timeouts de EAP e falhas de autenticação. Garanta uma conectividade robusta e considere proxies RADIUS locais para locais distribuídos. Isto é particularmente relevante para implementações multi-site de Transport e retalho.

Ataques de Rogue Access Point: Realize avaliações periódicas de segurança sem fios para detetar APs não autorizados. Os sistemas de deteção de intrusões sem fios (WIDS) integrados na sua infraestrutura de pontos de acesso podem fornecer uma monitorização contínua.

ROI e Impacto no Negócio

A decisão entre EAP-TLS e PEAP acarreta implicações comerciais significativas que vão além da arquitetura técnica.

O EAP-TLS exige um CapEx inicial mais elevado para soluções PKI e MDM, a par de um OpEx contínuo para a gestão de certificados. No entanto, oferece o nível mais elevado de mitigação de riscos contra violações baseadas em credenciais, que podem resultar em danos financeiros e de reputação devastadores. Para locais que lidam com dados sensíveis ou que operam sob estrita conformidade regulatória, o ROI do EAP-TLS é alcançado através da prevenção de custos de violação e de auditorias de conformidade simplificadas. Uma única violação baseada em credenciais num ambiente de retalho ou hotelaria pode custar milhões em remediação, multas regulatórias e danos à marca.

O PEAP oferece um retorno do investimento mais rápido e custos de implementação mais baixos. É altamente eficaz para ambientes onde o objetivo principal é o acesso seguro e encriptado, sem a sobrecarga da gestão de dispositivos. Ao integrar o PEAP com uma solução abrangente de WiFi Analytics , os locais podem gerir o acesso de forma segura enquanto extraem informações operacionais valiosas dos dados de utilização da rede — ligando a infraestrutura de autenticação a resultados de negócio mensuráveis, tais como a análise do tempo de permanência, padrões de tráfego pedonal e taxas de visitantes recorrentes.

Definições Principais

EAP (Extensible Authentication Protocol)

Uma estrutura de autenticação definida na norma IEEE 802.1X que fornece o mecanismo de transporte para vários métodos de autenticação através da infraestrutura de acesso à rede.

O EAP é a estrutura abrangente; o EAP-TLS e o PEAP são métodos específicos que funcionam dentro dela. As equipas de TI deparam-se com o EAP ao configurar políticas de RADIUS e perfis de suplicantes sem fios.

Suplicante

O dispositivo cliente — portátil, smartphone, scanner ou dispositivo IoT — que inicia o pedido de autenticação para se associar à rede.

As equipas de TI devem garantir que os suplicantes estão configurados corretamente, em particular no que diz respeito à validação de certificados, para evitar ataques Man-in-the-Middle. A configuração do suplicante é a fonte mais comum de vulnerabilidades PEAP.

Autenticador

O dispositivo de rede — normalmente um ponto de acesso sem fios ou switch gerido — que bloqueia todo o tráfego do suplicante até que o servidor RADIUS confirme o sucesso da autenticação.

O autenticador funciona como o guardião, transmitindo mensagens EAP entre o suplicante e o servidor RADIUS sem processar a autenticação em si.

Servidor RADIUS

Remote Authentication Dial-In User Service. O servidor centralizado que recebe pedidos de autenticação do autenticador, valida as credenciais num repositório de identidades e devolve uma resposta Access-Accept ou Access-Reject.

O servidor RADIUS é o cérebro da arquitetura 802.1X. A elevada disponibilidade e a baixa latência entre o servidor RADIUS e o repositório de identidades (Active Directory, LDAP) são críticas para uma autenticação fiável.

PKI (Public Key Infrastructure)

A estrutura de funções, políticas, hardware e software necessária para criar, gerir, distribuir e revogar certificados digitais.

Uma PKI robusta é um pré-requisito absoluto para implementar o EAP-TLS com sucesso à escala. Sem PKI, a gestão do ciclo de vida dos certificados torna-se impossível de gerir e cria um risco operacional significativo.

MDM (Mobile Device Management)

Software utilizado pelas equipas de TI para monitorizar, gerir e proteger dispositivos móveis corporativos, incluindo a capacidade de enviar perfis de configuração, certificados e políticas de forma silenciosa para os dispositivos registados.

O MDM é crítico para implementações EAP-TLS para automatizar o aprovisionamento silencioso de certificados de cliente nos dispositivos dos utilizadores finais. O Microsoft Intune, Jamf e VMware Workspace ONE são plataformas MDM comuns.

Autenticação Mútua

Um processo de segurança em que ambas as partes num link de comunicação se autenticam mutuamente antes de os dados serem trocados — ao contrário da autenticação unidirecional, onde apenas uma das partes é verificada.

A característica definidora do EAP-TLS. A autenticação mútua garante que o cliente sabe que está a comunicar com o servidor de rede legítimo, e o servidor sabe que está a comunicar com um dispositivo cliente autorizado.

MSCHAPv2 (Microsoft Challenge Handshake Authentication Protocol v2)

Um protocolo de autenticação baseado em palavra-passe comummente utilizado como o método de autenticação interno dentro de túneis PEAP. Utiliza um mecanismo de desafio-resposta para evitar a transmissão de palavras-passe em texto simples.

Os hashes MSCHAPv2 podem ser capturados e decifrados offline se o túnel PEAP for comprometido por um ponto de acesso não autorizado. É por isso que a validação do certificado do servidor no PEAP é inegociável.

OpenRoaming

Uma norma de federação WiFi que permite aos utilizadores ligarem-se automática e seguramente a redes aderentes em diferentes locais e operadores sem necessidade de nova autenticação, utilizando autenticação baseada em certificados.

A Purple atua como um fornecedor de identidade gratuito para o OpenRoaming ao abrigo da sua licença Connect, permitindo que os locais ofereçam uma conectividade contínua e segura que se alinha com os princípios de autenticação de certificados EAP-TLS.

Exemplos Práticos

Uma cadeia de retalho nacional com 500 localizações precisa de proteger o acesso à rede corporativa para os tablets e leitores de inventário portáteis dos gerentes de loja. Atualmente, utilizam uma WPA2-PSK partilhada em todos os locais. Têm o Microsoft Intune implementado para a gestão de dispositivos.

Implementar EAP-TLS. Como a organização já utiliza o Microsoft Intune, a parte mais complexa da implementação de certificados já está resolvida. Configure o Intune para enviar certificados de cliente exclusivos para todos os tablets e leitores de inventário propriedade da empresa através de um perfil de certificado SCEP ou PKCS. A infraestrutura sem fios é reconfigurada para utilizar 802.1X apontando para um servidor RADIUS central ou baseado na nuvem (como o Microsoft NPS ou um serviço RADIUS na nuvem). O servidor RADIUS é configurado para aceitar a autenticação apenas de dispositivos que apresentem certificados emitidos pela CA interna da organização. Após a autenticação, a atribuição dinâmica de VLAN coloca os dispositivos no segmento de operações de loja adequado.

Comentário do Examinador: Esta abordagem elimina o enorme risco de segurança de uma PSK partilhada em 500 localizações — anteriormente, uma PSK comprometida numa loja exporia todos os locais. Com o EAP-TLS, se um leitor for perdido ou roubado, a TI simplesmente revoga o seu certificado específico através da PKI, cancelando instantaneamente o seu acesso à rede sem afetar quaisquer outros dispositivos. O EAP-TLS é a escolha ideal neste caso porque a infraestrutura de MDM torna a gestão do ciclo de vida dos certificados escalável. O principal risco a monitorizar é a expiração dos certificados — certifique-se de que as políticas de renovação automática estão configuradas no Intune.

Um grande centro de conferências precisa de fornecer WiFi seguro para 3.000 colaboradores internos que utilizam os seus próprios dispositivos pessoais (BYOD). Utilizam o Google Workspace para a identidade corporativa, mas não gerem os telemóveis ou computadores portáteis pessoais dos colaboradores.

Implementar PEAP (especificamente PEAP-MSCHAPv2 ou EAP-TTLS/PAP contra o Google Secure LDAP). A equipa de TI configura um servidor RADIUS integrado com o Google Secure LDAP do Google Workspace. Os colaboradores ligam-se ao SSID 'Staff_WiFi' utilizando o seu e-mail e palavra-passe padrão do Google Workspace. A equipa de TI fornece documentação de integração — idealmente através de um Captive Portal ou de uma ferramenta de integração de rede — instruindo os colaboradores a configurar os seus dispositivos para confiar no certificado específico do servidor RADIUS e para validar o nome de domínio do servidor. É mantido um SSID de convidados separado para os participantes do evento, gerido através da plataforma de Guest WiFi da Purple para análise e controlo de acessos.

Comentário do Examinador: O EAP-TLS é inviável neste caso porque a organização não tem controlo de MDM sobre os dispositivos pessoais para enviar certificados. O PEAP fornece um túnel seguro e encriptado para autenticação utilizando as credenciais existentes, tornando-o altamente viável para cenários de BYOD, ao mesmo tempo que protege contra a interceção de dados. O passo operacional crítico é o processo de integração — a equipa de TI deve garantir que o dispositivo de cada colaborador está corretamente configurado para validar o certificado do servidor. A falha neste procedimento é o maior risco nesta implementação.

Perguntas de Prática

Q1. O departamento de TI de uma universidade está a implementar WiFi seguro em todo o campus para 20.000 estudantes. Os estudantes trazem os seus próprios portáteis e smartphones com uma mistura de Windows, macOS, iOS e Android. O diretor de TI insiste na segurança máxima e propõe EAP-TLS. Qual é a sua recomendação arquitetural?

Dica: Considere a sobrecarga operacional da gestão de certificados em dispositivos pessoais não geridos num parque de dispositivos heterogéneo.

Ver resposta modelo

Aconselhe contra o EAP-TLS para este caso de utilização específico. Embora o EAP-TLS ofereça a segurança mais elevada, a implementação e gestão de mais de 20.000 certificados de cliente em dispositivos de estudantes não geridos sem uma solução MDM criará uma carga de suporte insustentável. Os estudantes mudam de dispositivo frequentemente e o processo de integração para instalação de certificados em iOS, Android, Windows e macOS é complexo sem a automatização de um MDM. Recomende PEAP (ou EAP-TTLS) integrado com o serviço de diretório de estudantes da universidade. Garanta que são utilizadas ferramentas de integração robustas para configurar os dispositivos dos estudantes para validarem estritamente o certificado do servidor. Opcionalmente, implemente EAP-TLS num SSID separado para dispositivos de funcionários que sejam geridos pela universidade, criando uma arquitetura de segurança em camadas.

Q2. Durante uma auditoria de segurança, um penetration tester recolheu com sucesso credenciais de utilizador da sua rede sem fios protegida por PEAP, configurando um ponto de acesso falso (rogue AP) que transmitia o mesmo SSID. Qual é a causa raiz desta vulnerabilidade e qual é a resolução?

Dica: Pense no que acontece durante a fase de estabelecimento do túnel TLS no PEAP e no que o dispositivo cliente está — ou não está — a verificar.

Ver resposta modelo

A causa raiz é a configuração incorreta do suplicante. Os dispositivos cliente não estão configurados para validar estritamente o certificado digital do servidor RADIUS. Quando o rogue AP apresentou um certificado fraudulento, os dispositivos cliente confiaram cegamente nele, estabeleceram o túnel TLS com o atacante e transmitiram a troca de autenticação MSCHAPv2. O atacante pode decifrar isto offline. A resolução é tripla: (1) impor a validação estrita do certificado do servidor através de Política de Grupo ou perfis MDM em todos os dispositivos cliente; (2) especificar o nome de domínio exato esperado do servidor RADIUS na configuração do suplicante para impedir a aceitação de certificados de outros domínios; (3) implementar um Sistema de Deteção de Intrusões Sem Fios (WIDS) para detetar e alertar sobre pontos de acesso falsos.

Q3. Um prestador de cuidados de saúde está a atualizar a sua rede para suportar postos de trabalho de enfermagem móveis que acedem a registos de doentes. Estes postos de trabalho são propriedade da empresa, estritamente geridos pela TI através do Microsoft Intune, e o ambiente deve cumprir os regulamentos de proteção de dados de saúde. Devem implementar PEAP ou EAP-TLS?

Dica: Avalie o ambiente regulatório, o nível de controlo dos dispositivos e a sensibilidade dos dados a que se acede.

Ver resposta modelo

Implemente EAP-TLS sem hesitação. O ambiente de cuidados de saúde exige conformidade estrita e segurança máxima contra o roubo de credenciais — uma palavra-passe comprometida numa rede de saúde pode expor registos de doentes e desencadear penalizações regulatórias significativas ao abrigo do GDPR e de requisitos de proteção de dados específicos do setor. Como os dispositivos são propriedade da empresa e estritamente geridos através do Microsoft Intune, a implementação de certificados de cliente é operacionalmente viável e pode ser totalmente automatizada. O EAP-TLS fornece a autenticação mútua necessária para garantir que apenas dispositivos autorizados e geridos pela empresa podem aceder à rede clínica. Além disso, o EAP-TLS simplifica as auditorias de conformidade — os auditores que analisam a arquitetura de rede verão um sistema de autenticação sem palavra-passe baseado em certificados que é inerentemente mais defensável do que as alternativas baseadas em palavra-passe.

Continue a ler esta série

Per-Device PSK por Fabricante: iPSK, DPSK, MPSK e PPSK Comparados (e Suporte a WPA3)

Uma comparação abrangente de implementações de per-device PSK na Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet e Ubiquiti UniFi. Saiba como o WPA3-SAE afeta as estratégias de chaves por dispositivo e quando implementar modos de transição versus migrar para o 802.1X.

Métodos de Autenticação de Captive Portal Comparados

Este guia de referência técnica de autoridade avalia as compensações arquitetónicas, operacionais e de conformidade de cinco métodos principais de autenticação de captive portal. Fornece aos arquitetos de rede, diretores de TI e gestores de marketing os dados quantitativos e as estruturas de decisão necessários para equilibrar a fricção no registo de convidados com os requisitos de recolha de dados em locais empresariais.

O que é a Autenticação por Endereço MAC? Quando Usar e Quando Evitar

Este guia de referência técnica abrangente aborda a autenticação por endereço MAC em ambientes de WiFi empresarial — como funciona a autenticação MAC baseada em RADIUS na Camada 2, as suas vulnerabilidades de segurança inerentes (incluindo falsificação de MAC e o impacto da randomização de MAC ao nível do SO) e os contextos operacionais precisos onde continua a ser uma ferramenta válida para gerir IoT e dispositivos headless. Fornece orientações de implementação práticas para gestores de TI e arquitetos de rede em setores como hotelaria, retalho, saúde e espaços públicos, com exemplos práticos reais, estruturas de decisão e contexto de integração para a plataforma de guest WiFi e analytics da Purple.