Saltar para o conteúdo principal

eduroam e 802.1X: Autenticação WiFi Segura para o Ensino Superior

Este guia de referência técnica autoritário explica a arquitetura, a implementação e a segurança do eduroam e da autenticação 802.1X. Concebido para gestores de TI e arquitetos de rede, aborda passos práticos de implementação, a seleção do método EAP e como os operadores de espaços podem apoiar o roaming académico de forma segura.

📖 6 min de leitura📝 1,343 palavras🔧 3 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
PODCAST SCRIPT: eduroam e 802.1X - Secure WiFi Authentication for Higher Education Tempo de duração: aproximadamente 10 minutos Voz: Inglês do Reino Unido, masculino, tom de consultor sénior - confiante, coloquial, autoritário --- [INTRO - 1 minuto] Bem-vindo de volta. Vou passar os próximos dez minutos a guiá-lo pelo eduroam e pelo 802.1X - o que são, como funcionam realmente nos bastidores e o que a sua equipa precisa de saber antes de implementar ou integrar com qualquer um deles. Se é um gestor de TI, arquiteto de rede ou CTO numa universidade, faculdade ou instituição de investigação - ou se é um operador de espaço que precisa de compreender o que os seus visitantes académicos esperam da sua infraestrutura sem fios - este é o briefing ideal para si. Vamos começar com uma visão geral. eduroam significa "education roaming". É um serviço global de roaming WiFi que permite a estudantes, investigadores e funcionários de instituições parceiras ligarem-se à Internet em qualquer local participante - de forma automática, segura e utilizando as credenciais da sua instituição de origem. Sem portais de convidados. Sem códigos de voucher. Sem pedir uma palavra-passe na receção. Funciona desde 2003, abrange atualmente mais de 10.000 instituições em mais de 100 países e é o padrão de facto para redes sem fios em campus de ensino superior em todo o mundo. Se a sua organização interage com universidades - quer seja um hotel perto de um campus, um centro de conferências que acolhe eventos académicos ou uma biblioteca pública numa cidade universitária - compreender o eduroam é diretamente relevante para a sua estratégia de rede. --- [TECHNICAL DEEP-DIVE - 5 minutos] Muito bem. Vamos entrar na parte técnica. O eduroam é construído com base no IEEE 802.1X - o padrão de controlo de acesso à rede baseado em portas. O 802.1X define uma estrutura para autenticar dispositivos antes de lhes ser concedido acesso a uma rede. Foi originalmente concebido para Ethernet com fios, mas adapta-se perfeitamente à tecnologia sem fios e é a base daquilo a que chamamos segurança WPA2-Enterprise ou WPA3-Enterprise. O modelo 802.1X tem três componentes. Primeiro, o Supplicant - que é o dispositivo que se tenta ligar. O portátil de um estudante, o telemóvel de um investigador. Segundo, o Authenticator - que é o seu ponto de acesso de rede ou switch gerido. Ele fica entre o supplicant e o resto da rede, atuando como um guardião. Terceiro, o Authentication Server - quase sempre um servidor RADIUS. RADIUS significa Remote Authentication Dial-In User Service. É o componente que valida efetivamente as credenciais. Eis como funciona a troca de chaves. O dispositivo do estudante associa-se ao ponto de acesso sem fios. O ponto de acesso ainda não concede acesso total à rede - abre o que se chama uma porta controlada, mas apenas para tráfego EAP. O EAP é o Extensible Authentication Protocol. O ponto de acesso faz o proxy da conversação EAP entre o dispositivo e o servidor RADIUS. O servidor RADIUS desafia o dispositivo, o dispositivo responde com credenciais - normalmente um nome de utilizador e palavra-passe, ou um certificado - e, se o servidor RADIUS estiver satisfeito, envia de volta uma mensagem Access-Accept. O ponto de acesso abre então a porta de rede total. Toda a troca demora menos de dois segundos numa implementação bem configurada. Agora, onde é que o eduroam se posiciona por cima disto? O eduroam utiliza uma infraestrutura de proxy RADIUS hierárquica. Cada instituição participante executa o seu próprio servidor RADIUS - chamado Provedor de Identidade, ou IdP. Quando um estudante, por exemplo, da University of Manchester visita o Imperial College London e se liga ao SSID eduroam, o seu dispositivo envia as credenciais no formato username@manchester.ac.uk. O servidor RADIUS do Imperial vê o domínio - que é a parte após o símbolo @ - e faz o proxy do pedido de autenticação para o servidor RADIUS nacional, que é operado no Reino Unido pela Jisc, a rede nacional de investigação e educação. A Jisc encaminha então o pedido para o servidor RADIUS da University of Manchester, que valida as credenciais e envia de volta um Accept ou Reject. Toda a cadeia resolve-se em milissegundos. Esta cadeia de proxy é o que faz o eduroam funcionar além das fronteiras institucionais sem quaisquer segredos partilhados previamente entre instituições. Cada salto na cadeia utiliza um segredo RADIUS partilhado apenas com o seu vizinho imediato. A palavra-passe real do estudante nunca sai do servidor RADIUS da instituição de origem - está protegida de ponta a ponta pelo túnel EAP. Falando de métodos EAP - é aqui que muitas implementações correm mal, por isso preste atenção. Os métodos EAP mais comuns no eduroam são o PEAP - Protected EAP - e o EAP-TLS. O PEAP envolve um método de autenticação interno, geralmente MSCHAPv2, dentro de um túnel TLS. Requer um certificado do lado do servidor no servidor RADIUS, mas o cliente apenas necessita de um nome de utilizador e palavra-passe. O EAP-TLS é a opção mais segura - utiliza autenticação mútua de certificados, o que significa que tanto o servidor como o cliente apresentam certificados. É mais difícil de implementar à escala porque necessita de uma PKI para emitir certificados de cliente, mas é essencialmente imune a phishing de credenciais. O requisito de segurança crítico que muitas instituições falham em implementar é a validação do certificado do lado do cliente. Quando um dispositivo se liga ao eduroam utilizando PEAP, o dispositivo deve verificar o certificado do servidor RADIUS antes de submeter as credenciais. Se o dispositivo estiver incorretamente configurado para aceitar qualquer certificado, um atacante pode criar um ponto de acesso falso que transmite o SSID eduroam, apresentar um certificado autoassinado e roubar as credenciais. Este é um vetor de ataque conhecido. A solução passa por configurar os perfis de suplicante - via MDM para dispositivos geridos, ou via eduroam Configuration Assistant Tool, conhecido como CAT, para dispositivos pessoais - para fixar a autoridade de certificação e o nome de servidor esperados. Do ponto de vista das normas, espera-se que as implementações eduroam estejam em conformidade com a eduroam Policy Service Definition, que exige TLS 1.2 ou superior para todas as ligações RADIUS sobre TLS, proíbe o uso de métodos EAP fracos como EAP-MD5 ou LEAP, e exige que todas as ligações proxy RADIUS utilizem RadSec - RADIUS sobre TLS - em vez de RADIUS UDP simples, sempre que possível. Isto alinha-se com as orientações do NCSC no Reino Unido e NIST SP 800-120 nos EUA. Mais um ponto técnico importante: atribuição de VLAN. Numa implementação eduroam bem estruturada, a resposta RADIUS Access-Accept inclui atributos de VLAN que indicam ao ponto de acesso qual a VLAN a atribuir ao dispositivo que se está a ligar. Isto permite-lhe segmentar o tráfego - colocando os estudantes visitantes numa VLAN restrita com acesso apenas à Internet, enquanto os seus colaboradores são encaminhados para a rede interna. Isto é essencial para a conformidade, particularmente se estiver sujeito a PCI-DSS ou se necessitar de manter a separação entre redes de dados de investigação e tráfego geral de Internet. - - - [RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS - 2 minutos] Deixe-me dar-lhe as orientações práticas. Se está a implementar o eduroam pela primeira vez, o seu primeiro contacto deve ser com a sua NREN nacional. Tratam da adesão à federação e atribuem-lhe um domínio RADIUS. Não pode participar no eduroam sem ser membro da sua federação nacional. A sua lista de verificação de infraestrutura: necessita de pontos de acesso compatíveis com 802.1X - qualquer equipamento de gama empresarial da Cisco, Aruba, Juniper, Ruckus ou Ubiquiti UniFi serve. Necessita de um servidor RADIUS - o FreeRADIUS é o padrão de código aberto, ou pode utilizar Microsoft NPS, Cisco ISE ou Aruba ClearPass. Necessita de um certificado TLS válido para o seu servidor RADIUS emitido por uma CA de confiança da comunidade eduroam - normalmente um certificado da PKI da sua instituição ou de uma CA comercial na lista de aprovados do eduroam. As três falhas de implementação mais comuns que vejo são: primeiro, a configuração incorreta de certificados - ou o certificado RADIUS expirou ou os perfis de suplicante do cliente não estão fixados corretamente. Segundo, tempos de limite de proxy RADIUS - se a sua ligação NREN a montante tiver problemas de latência, a autenticação expirará e os utilizadores verão falhas de ligação que parecem erros de credenciais. Terceiro, configuração incorreta de VLAN - os utilizadores visitantes acabam no segmento de rede errado, não obtendo acesso à Internet ou, pior, obtendo acesso a recursos internos que não deveriam ver. No lado do cliente, implemente perfis eduroam CAT para todos os dispositivos geridos através da sua plataforma MDM. Para dispositivos pessoais, publique o link do instalador CAT em destaque. Este único passo elimina a maioria dos pedidos de suporte. Para locais que não são instituições de ensino superior mas que pretendem oferecer acesso eduroam - centros de conferências, hotéis e semelhantes - o processo é denominado eduroam Visitor Access, ou eVA. Permite que organizações não membros alojem o SSID eduroam e façam o proxy da autenticação para a federação sem serem membros plenos. Vale a pena investigar se organiza regularmente conferências académicas ou eventos universitários. --- [PERGUNTAS E RESPOSTAS RÁPIDAS - 1 minuto] Perguntas rápidas que me fazem regularmente. "O eduroam pode substituir totalmente o nosso WiFi de convidados?" Não. O eduroam apenas funciona para utilizadores que possuam credenciais numa instituição membro. Continua a precisar de uma solução de WiFi de convidados separada para todos os outros - visitantes, prestadores de serviços, o público em geral. "O eduroam está em conformidade com o GDPR?" Sim, com ressalvas. A arquitetura da federação significa que a sua instituição processa dados de autenticação, mas precisa de garantir que os seus avisos de privacidade cobrem isto e que os seus registos RADIUS são tratados adequadamente. "Podemos utilizar WPA3 com o eduroam?" Sim. O WPA3-Enterprise é totalmente compatível com 802.1X e é o padrão recomendado para novas implementações. Adiciona encriptação em modo de 192 bits para ambientes de alta segurança. "Qual é a diferença entre o eduroam e o OpenRoaming?" O OpenRoaming é uma iniciativa industrial mais ampla da Wireless Broadband Alliance que utiliza a mesma arquitetura de proxy 802.1X e RADIUS, mas estende o roaming além da educação para locais comerciais. Algumas plataformas, incluindo a Purple, suportam OpenRoaming como parte da sua oferta de WiFi de convidados. --- [RESUMO E PRÓXIMOS PASSOS - 1 minuto] Para concluir. O eduroam é um serviço de roaming WiFi maduro, bem governado e implementado globalmente, construído sobre o 802.1X e uma infraestrutura de proxy RADIUS hierárquica. Oferece autenticação por utilizador, encriptação forte e roaming contínuo em mais de 10.000 instituições - sem palavras-passe partilhadas ou Captive Portals. Para as equipas de TI que implementam ou atualizam a rede sem fios do campus: priorizem o EAP-TLS em detrimento do PEAP onde a vossa PKI o possa suportar, forcem a validação de certificados em todos os perfis de cliente, utilizem RadSec para todas as ligações proxy RADIUS e segmentem os utilizadores visitantes numa VLAN dedicada. Para operadores de recintos: se acolhe regularmente visitantes académicos, investigue o eduroam Visitor Access. E independentemente de implementar o eduroam ou não, a sua infraestrutura de WiFi para convidados deve ser construída com base em princípios 802.1X de nível empresarial - e não em PSKs partilhadas. Se quiser aprofundar qualquer um destes temas - arquitetura RADIUS, design de PKI para EAP-TLS ou como plataformas como a Purple se integram com o eduroam e o OpenRoaming - o guia escrito completo está associado nas notas do programa. Obrigado por ouvir. Até à próxima. --- FIM DO SCRIPT

header_image.png

Resumo Executivo

Para as instituições de ensino superior, e para os espaços que servem os seus funcionários e estudantes, fornecer uma conectividade sem fios segura e contínua já não é um luxo - é um requisito operacional. O padrão para esta conectividade é o eduroam, um serviço de roaming global construído sobre a estrutura IEEE 802.1X.

Este guia fornece aos gestores de TI, arquitetos de rede e diretores de operações de espaços uma referência abrangente e neutra em termos de fornecedor para compreender, implementar e resolver problemas do 802.1X e do eduroam. Vamos além dos modelos teóricos básicos para examinar como o WiFi de campus de nível empresarial realmente funciona na prática, incluindo a gestão de certificados, a arquitetura de proxy RADIUS e a integração com uma estratégia de rede de convidados mais ampla.

Quer esteja a atualizar uma rede universitária envelhecida ou a configurar um centro de conferências para apoiar visitantes académicos, a implementação correta do 802.1X reduz significativamente o risco de segurança - particularmente o roubo de credenciais - ao mesmo tempo que reduz drasticamente os custos de suporte. Para espaços fora do ensino superior tradicional, compreender estes padrões é essencial para avaliar federações de roaming comercial, como o OpenRoaming, que partilham a mesma arquitetura subjacente.

Análise Técnica Detalhada: Arquitetura 802.1X e eduroam

Na sua essência, o eduroam é uma implementação do IEEE 802.1X, o padrão de controlo de acesso à rede baseado em portas. O 802.1X foi originalmente concebido para redes com fios, mas constitui a base da segurança WPA2-Enterprise e WPA3-Enterprise.

O Modelo de Triângulo 802.1X

A estrutura 802.1X baseia-se na interação de três componentes distintos para autorizar o acesso:

  1. Suplicante (Supplicant): O dispositivo cliente que solicita acesso à rede (por exemplo, o portátil ou smartphone de um estudante).
  2. Autenticador (Authenticator): O dispositivo de acesso à rede (por exemplo, um ponto de acesso sem fios ou um switch gerido). Atua como um guardião, bloqueando todo o tráfego exceto as mensagens de autenticação até que o dispositivo seja autorizado.
  3. Servidor de Autenticação (Authentication Server): O sistema de back-end que valida as credenciais, quase universalmente um servidor RADIUS (Remote Authentication Dial-In User Service).

Quando um dispositivo se liga, o autenticador estabelece uma porta controlada. Este retransmite mensagens EAP (Extensible Authentication Protocol) entre o suplicante e o servidor de autenticação. Se as credenciais forem válidas, o servidor devolve uma mensagem Access-Accept de RADIUS e o autenticador abre a porta para permitir a passagem de tráfego IP padrão.

architecture_overview.png

Hierarquia de Proxies RADIUS do eduroam

O que torna o eduroam único é a sua arquitetura federada. Permite que os utilizadores se autentiquem em qualquer instituição participante utilizando as suas credenciais de origem, sem que a instituição de acolhimento guarde uma cópia dessas credenciais.

Isto é alcançado através de uma cadeia hierárquica de proxies RADIUS. Quando um utilizador de username@university.ac.uk se liga ao SSID eduroam num local de acolhimento:

  1. O dispositivo do utilizador envia um pedido de autenticação no formato username@university.ac.uk.
  2. O servidor RADIUS do local de acolhimento inspeciona o domínio (a parte após o símbolo @). Reconhecendo-o como um domínio externo, envia o pedido para o servidor RADIUS nacional de topo (operado pela Rede Nacional de Investigação e Educação, ou NREN).
  3. O servidor nacional encaminha o pedido para o servidor RADIUS da instituição de origem (university.ac.uk).
  4. A instituição de origem valida as credenciais e devolve uma mensagem de Access-Accept ou Access-Reject de volta ao longo da cadeia.

Todo o processo é normalmente concluído em menos de dois segundos. Crucialmente, a palavra-passe do utilizador nunca é exposta à instituição de acolhimento ou aos servidores proxy intermediários; está protegida dentro de um túnel EAP encriptado estabelecido diretamente entre o suplicante e o servidor RADIUS de origem.

Métodos EAP: O Compromisso entre Segurança e Facilidade de Implementação

A escolha do método EAP determina como o túnel encriptado é formado e como as credenciais são trocadas. A definição de serviço da política do eduroam limita estritamente os métodos permitidos para garantir a segurança.

  • PEAP (Protected EAP): O método de implementação mais comum. Utiliza um certificado do lado do servidor no servidor RADIUS para estabelecer um túnel TLS. O cliente autentica-se então dentro desse túnel, normalmente utilizando MSCHAPv2 (nome de utilizador e palavra-passe). É relativamente fácil de implementar, mas é vulnerável a ataques de pontos de acesso falsos se os clientes não forem configurados para validar estritamente o certificado do servidor.
  • EAP-TLS: O padrão de excelência para a segurança. Requer autenticação mútua, o que significa que tanto o servidor RADIUS como o dispositivo cliente devem apresentar certificados válidos. Embora seja imune a phishing de credenciais, requer uma infraestrutura de chaves públicas (PKI) robusta para emitir e gerir certificados de cliente, tornando a implementação em grande escala mais complexa.

Guia de Implementação

A implementação de 802.1X e eduroam requer uma coordenação cuidadosa entre a infraestrutura de rede, a gestão de identidades e a configuração do cliente.

1. Preparação da Infraestrutura

Garanta que os seus pontos de acesso e controladores sem fios suportam WPA2-Enterprise/WPA3-Enterprise e 802.1X. Qualquer hardware moderno de nível empresarial (Cisco, Aruba, Juniper e outros) cumprirá este requisito. Deve também implementar uma infraestrutura RADIUS robusta (como FreeRADIUS, Cisco ISE ou Aruba ClearPass) capaz de lidar com a carga de autenticação esperada e de efetuar o proxy de pedidos.

2. Gestão de Certificados

Para implementações PEAP, o seu servidor RADIUS necessita de um certificado TLS emitido por uma autoridade de certificação (CA) fidedigna para os seus clientes. Nunca utilize certificados autoassinados numa implementação eduroam de produção. Os certificados devem ser renovados regularmente para evitar interrupções de autenticação.

3. Configuração do Cliente (a ferramenta CAT)

O ponto de falha mais comum nas implementações eduroam é a configuração incorreta do cliente. Quando os utilizadores se ligam manualmente, muitas vezes não configuram a validação do certificado, deixando-os expostos a ataques de recolha de credenciais.

Para mitigar este risco, as instituições devem utilizar a eduroam Configuration Assistant Tool (CAT) ou uma solução MDM para distribuir perfis pré-configurados. Estes perfis configuram automaticamente o método EAP correto, associam o certificado do servidor RADIUS esperado e definem o protocolo de autenticação interno adequado.

4. Atribuição e Segmentação de VLAN

Uma implementação madura utiliza atributos RADIUS para atribuir VLANs dinamicamente com base na identidade do utilizador.

  • Utilizadores internos: Atribuídos a VLANs internas com acesso adequado aos recursos do campus.
  • Utilizadores visitantes: Atribuídos a uma VLAN de convidados restrita que oferece apenas acesso à internet.

Esta segmentação é crítica para a segurança e conformidade, garantindo que os dispositivos dos visitantes não conseguem aceder a redes internas confidenciais.

comparison_chart.png

Melhores Práticas e Recomendações Neutras em Relação a Fornecedores

  • Priorize o WPA3: Para novas implementações, ative o WPA3-Enterprise para obter encriptação obrigatória de 192 bits e melhor proteção contra ataques de dicionário offline.
  • Exija a validação de certificados: Exija a utilização de perfis de configuração (via CAT ou MDM) para garantir que o requerente valida estritamente o certificado do servidor RADIUS antes de transmitir as credenciais.
  • Utilize RadSec: Ao configurar ligações proxy RADIUS para a federação nacional, utilize RadSec (RADIUS sobre TLS) em vez de UDP simples. Isto encripta o tráfego de proxy e melhora a fiabilidade em ligações de rede de área alargada.
  • Integre com uma solução de convidados: O eduroam serve apenas utilizadores com credenciais académicas. Deve manter uma solução separada e segura de Guest WiFi para prestadores de serviços, público em geral e participantes em eventos.
  • Reveja a infraestrutura relacionada: Certifique-se de que a sua rede subjacente está segura. Leia o nosso guia Garantir a segurança da sua rede com DNS e segurança robustos para mais detalhes. Se estiver a implementar uma infraestrutura temporária para eventos universitários, consulte Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias ou a versão em português Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias .

Resolução de Problemas e Mitigação de Riscos

Quando a autenticação falha, uma resolução de problemas sistemática é essencial.

  1. Isole o domínio da falha: Determine se a falha é local (afetando utilizadores na sua própria rede), remota (afetando os seus utilizadores noutro local) ou de entrada (afetando visitantes na sua rede).
  2. Verifique os registos RADIUS: Os registos do servidor RADIUS são a fonte oficial de verdade. Procure mensagens de Access-Reject (indicando credenciais incorretas ou violações de políticas) ou tempos limite (indicando problemas de conectividade do proxy).
  3. Verifique a validade do certificado: Certifique-se de que o certificado do servidor RADIUS não expirou e que a cadeia de certificados completa está a ser apresentada aos clientes.
  4. Monitorize a latência a montante: Uma latência elevada para o proxy RADIUS nacional pode causar tempos limite nos clientes, resultando em falhas de ligação mesmo quando as credenciais estão corretas.

ROI e Impacto no Negócio

Para as instituições de ensino superior, o retorno de uma implementação eduroam devidamente efetuada traduz-se numa redução drástica dos pedidos de suporte técnico. Ao eliminar os portais cativos e a introdução manual de palavras-passe, as equipas de suporte de TI registam uma quebra significativa nas chamadas relacionadas com conectividade. (O compromisso da Purple com este setor é claro; consulte Purple nomeia Tim Peers como VP of Education, sublinhando as suas ambições para o ensino superior ).

Para espaços comerciais - como hotelaria , retalho , saúde ou transportes - o suporte ao eduroam Visitor Access (eVA) ou federações semelhantes, como o OpenRoaming, proporciona uma experiência sem atritos para um público-alvo de elevado valor. Garante que os visitantes académicos se liguem de forma automática e segura, melhorando a satisfação e permitindo ao espaço manter uma segmentação de rede rigorosa. Se o seu espaço necessita de largura de banda dedicada para suportar esta procura, sugerimos a leitura de O que é uma linha dedicada? Internet concebida para empresas .

Ao planear atualizações de rede, a integração da capacidade 802.1X garante que a sua infraestrutura está pronta para redes modernas baseadas em identidade, lançando as bases para serviços avançados de WiFi Analytics e localização.

Definições Principais

802.1X

Um padrão IEEE para Controlo de Acesso à Rede baseado em porta (PNAC). Fornece um mecanismo de autenticação para dispositivos que desejam ligar-se a uma LAN ou WLAN.

O protocolo fundamental para a segurança WiFi de nível empresarial, substituindo as palavras-passe partilhadas (PSKs) por autenticação individualizada.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Contabilização (AAA) para utilizadores que se ligam e utilizam um serviço de rede.

O servidor de backend numa implementação 802.1X que realmente verifica as credenciais do utilizador num diretório (como o Active Directory).

EAP (Extensible Authentication Protocol)

Uma estrutura de autenticação frequentemente utilizada em redes sem fios e ligações ponto a ponto. Permite o transporte e utilização de vários mecanismos de autenticação.

O idioma falado entre o dispositivo cliente e o servidor RADIUS durante o handshake 802.1X.

Supplicant

O dispositivo cliente (por exemplo, portátil, smartphone) ou o software nesse dispositivo que tenta autenticar-se numa rede utilizando 802.1X.

A entidade que solicita o acesso. A sua configuração (especialmente no que diz respeito à validação de certificados) é crítica para a segurança.

Authenticator

O dispositivo de rede (por exemplo, ponto de acesso sem fios, switch Ethernet) que facilita o processo de autenticação 802.1X ao passar mensagens entre o Supplicant e o Servidor de Autenticação.

O guardião que bloqueia o tráfego de rede até que o servidor RADIUS dê luz verde.

PEAP (Protected Extensible Authentication Protocol)

Um método EAP que encapsula a transação EAP dentro de um túnel TLS estabelecido utilizando um certificado do lado do servidor, protegendo a autenticação interna (geralmente uma palavra-passe).

O método de autenticação mais comum para eduroam, equilibrando segurança com facilidade de implementação.

RadSec

Um protocolo para transmissão de dados RADIUS sobre TCP e TLS, em vez do tradicional UDP.

Recomendado para proteger as ligações de proxy entre instituições e a federação nacional eduroam, evitando a interceção do tráfego de autenticação.

Realm

A parte da identidade de um utilizador que segue o símbolo '@' (por exemplo, 'university.ac.uk' em 'user@university.ac.uk').

Utilizado por servidores proxy RADIUS para determinar para onde encaminhar o pedido de autenticação num ambiente federado como o eduroam.

Exemplos Práticos

Um hotel de conferências com 400 quartos adjacente a uma grande universidade acolhe frequentemente simpósios académicos. O Diretor de TI pretende permitir que os académicos visitantes se liguem automaticamente sem utilizar o Captive Portal padrão do hotel, mas deve garantir que estes visitantes não conseguem aceder à rede corporativa do hotel ou à VLAN da rede de convidados padrão.

O hotel deve implementar o eduroam Visitor Access (eVA) ou aderir a uma federação comercial como o OpenRoaming.

  1. O hotel configura um novo SSID ('eduroam' ou 'OpenRoaming') nos seus pontos de acesso empresariais.
  2. Os APs são configurados para utilizar WPA2-Enterprise/802.1X.
  3. O hotel implementa um servidor RADIUS local configurado para reencaminhar pedidos de autenticação de domínios externos para a federação nacional (para o eduroam) ou para o hub OpenRoaming.
  4. Crucialmente, o servidor RADIUS local é configurado para devolver um atributo de ID de VLAN específico na mensagem Access-Accept para todas as autenticações reencaminhadas.
  5. Os pontos de acesso colocam estes utilizadores autenticados numa VLAN isolada, apenas com acesso à Internet, completamente segmentada do tráfego corporativo e de convidados padrão do hotel.
Comentário do Examinador: Esta abordagem aproveita corretamente a arquitetura de proxy RADIUS para descarregar a autenticação para as instituições de origem dos visitantes. Ao utilizar a atribuição dinâmica de VLAN através de atributos RADIUS, o hotel mantém uma segmentação de rede rigorosa, satisfazendo os requisitos de segurança e proporcionando uma experiência de utilizador sem fricções.

Uma equipa de TI de uma universidade nota um pico de contas de estudantes comprometidas. A investigação revela que os estudantes se estão a ligar a um ponto de acesso desonesto que transmite o SSID 'eduroam' num café local. O AP desonesto está a utilizar um certificado autoassinado para recolher credenciais através de PEAP.

A equipa de TI deve impor imediatamente uma validação rigorosa de certificados em todos os dispositivos cliente.

  1. Devem deixar de aconselhar os estudantes a ligarem-se manualmente ao SSID e a 'aceitar o aviso de certificado'.
  2. Implementam a eduroam Configuration Assistant Tool (CAT) para dispositivos BYOD e atualizam os perfis de MDM para dispositivos geridos.
  3. Estes perfis configuram o suplicante para confiar apenas na Autoridade de Certificação (CA) específica que emitiu o certificado do servidor RADIUS da universidade, e para verificar o Common Name (CN) do servidor.
  4. Uma vez configurado, se o dispositivo de um estudante encontrar o AP desonesto, o estabelecimento do túnel EAP falhará porque o certificado desonesto não corresponde à CA/CN associada, impedindo a transmissão de credenciais.
Comentário do Examinador: Este cenário destaca a vulnerabilidade mais crítica nas implementações PEAP. A solução identifica corretamente que a correção é uma configuração do lado do cliente. Confiar na educação do utilizador para detetar certificados falsos é ineficaz; os controlos técnicos (vinculação de perfis) são obrigatórios.

Uma cadeia de retalho pretende disponibilizar OpenRoaming em 50 localizações utilizando a sua infraestrutura de WiFi de convidados existente, que atualmente depende de um SSID aberto com um Captive Portal.

A cadeia de retalho deve atualizar a sua rede para suportar 802.1X e proxying RADIUS.

  1. A equipa de rede ativa um novo SSID que transmite o OpenRoaming Consortium OI (Organisation Identifier).
  2. Configuram os pontos de acesso para autenticação através de 802.1X.
  3. Configuram o seu servidor RADIUS central para reencaminhar pedidos para o hub da federação OpenRoaming.
  4. Garantem que o seu backhaul de Internet consegue suportar o aumento esperado de ligações automatizadas, atualizando potencialmente para linhas dedicadas, se necessário.
Comentário do Examinador: Isto destaca que a transição de um Captive Portal para um modelo 802.1X federado requer alterações arquitetónicas fundamentais, especificamente a implementação de proxying RADIUS e a capacidade de lidar com um maior volume de ligações automatizadas.

Perguntas de Prática

Q1. A sua universidade está a implementar uma nova rede sem fios. O CISO exige que o phishing de credenciais através de pontos de acesso falsos seja matematicamente impossível. Que método EAP deve selecionar?

Dica: Considere qual o método que depende de palavras-passe versus qual depende inteiramente de chaves criptográficas.

Ver resposta modelo

Deve selecionar EAP-TLS. Ao contrário do PEAP, que depende de uma palavra-passe dentro de um túnel TLS, o EAP-TLS requer autenticação mútua por certificado. Como o dispositivo cliente se autentica utilizando um certificado criptográfico em vez de uma palavra-passe, não existem credenciais para um ponto de acesso falso pescar via phishing.

Q2. Um investigador visitante de outra universidade queixa-se de que não consegue ligar-se à sua rede eduroam. Os seus utilizadores locais estão a ligar-se sem problemas. Verifica os registos do seu servidor RADIUS local e vê o pedido a chegar, mas expira o tempo limite antes de receber um Access-Accept. Qual é a causa mais provável?

Dica: Pense no caminho que o pedido de autenticação faz para um utilizador visitante versus um utilizador local.

Ver resposta modelo

A causa mais provável é um problema de conectividade ou latência entre o seu servidor RADIUS local e o proxy RADIUS nacional da NREN. Como os utilizadores locais se autenticam diretamente contra o seu servidor, não são afetados. O pedido do utilizador visitante deve ser enviado por proxy para montante, e um timeout indica que a resposta da instituição de origem não está a regressar a tempo.

Q3. É arquiteto de rede para uma cadeia de retalho localizada perto de uma grande universidade. Deseja oferecer WiFi contínuo aos estudantes que utilizam o eduroam Visitor Access (eVA), mas deve cumprir com PCI DSS para os seus terminais de ponto de venda. Como integra o eVA de forma segura?

Dica: Como é que o 802.1X permite que o ponto de acesso à rede diferencie o tráfego após a autenticação?

Ver resposta modelo

Integra o eVA configurando o seu servidor RADIUS para atribuir todas as autenticações eVA bem-sucedidas a uma VLAN de convidados dedicada e exclusiva para internet. A mensagem Access-Accept do servidor RADIUS deve incluir o VLAN ID específico. Isto garante que os dispositivos dos estudantes fiquem completamente segmentados da VLAN em conformidade com PCI utilizada pelos terminais de ponto de venda, cumprindo os requisitos de conformidade.

Continue a ler esta série

Como Implementar SCEP para Integração Segura de BYOD e Redes no Ensino Superior

Este guia técnico fornece aos arquitetos de rede e gestores de TI um plano neutro em termos de fornecedor para implementar a emissão de certificados baseada em SCEP para proteger as redes dos campus do ensino superior. Detalha como migrar de PEAP baseado em palavra-passe para 802.1X EAP-TLS, automatizar a integração de BYOD e impor uma segmentação robusta de VLAN.

Ler o guia →

Server RADIUS: um guia abrangente para empresas

Este guia fornece aos gestores de TI, arquitetos de rede e CTOs uma referência técnica definitiva sobre a autenticação de server RADIUS para WiFi empresarial. Abrange a estrutura AAA, a arquitetura 802.1X, a seleção do método EAP, as vantagens e desvantagens da implementação na cloud versus local, e a atribuição dinâmica de VLAN. Os operadores de espaços nos setores da hotelaria, retalho, eventos e setor público encontrarão orientações de implementação práticas, estudos de caso do mundo real e as estruturas de decisão necessárias para migrar de chaves pré-partilhadas inseguras para uma arquitetura de controlo de acesso à rede segura e orientada pela identidade.

Ler o guia →

Aruba ClearPass vs. Purple WiFi: Comparando Funcionalidades e Co-implementação

Um guia técnico abrangente que detalha a arquitetura de co-implementação do Aruba ClearPass e do Purple WiFi. Abrange a configuração de proxy RADIUS, atribuição dinâmica de VLAN e as melhores práticas para fornecer redes de convidados seguras e orientadas por análise de dados, em conjunto com o NAC empresarial.

Ler o guia →