Saltar para o conteúdo principal
Português

How to Set Up Enterprise WiFi on Android Devices with EAP-TLS

Este guia de referência técnica fornece aos líderes seniores de TI um plano abrangente para implementar a autenticação 802.1X EAP-TLS em dispositivos Android. Abrange a mecânica de arquitetura, estratégias de implementação manuais e baseadas em MDM, e metodologias de resolução de problemas necessárias para proteger redes sem fios empresariais.

📖 5 min de leitura📝 1,161 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Como Configurar WiFi Empresarial em Dispositivos Android com EAP-TLS Uma Apresentação Técnica da Purple — Cerca de 10 Minutos --- INTRODUÇÃO E CONTEXTO — cerca de 1 minuto Bem-vindo à série de Apresentações Técnicas da Purple. Sou o seu anfitrião e hoje vamos analisar os detalhes da implementação da autenticação 802.1X EAP-TLS em dispositivos Android — quer esteja a gerir um complexo hoteleiro, uma cadeia de retalho, um estádio ou um campus do setor público. Se é responsável por uma rede que precisa de autenticar dispositivos Android corporativos ou BYOD sem depender de palavras-passe partilhadas, este episódio é para si. O EAP-TLS é o padrão de excelência para a segurança de WiFi empresarial — utiliza autenticação mútua baseada em certificados, o que significa que não há credenciais para phish, não há palavras-passe para renovar e garante uma postura de conformidade que satisfaz o PCI DSS, a ISO 27001 e a maioria dos referenciais de segurança do setor público. No final desta apresentação, compreenderá exatamente como o EAP-TLS funciona no Android, quais são as suas opções de implementação e os três erros mais comuns que causam falhas nas implementações. Vamos a isso. --- ANÁLISE TÉCNICA DETALHADA — cerca de 5 minutos Comecemos pela arquitetura. O 802.1X é a norma IEEE que rege o controlo de acesso à rede baseado em portas. Quando um dispositivo Android se liga a uma rede WiFi empresarial — configurada como WPA2-Enterprise ou WPA3-Enterprise — o ponto de acesso funciona como o chamado autenticador. Este não toma a decisão de autenticação por si só; limita-se a transmitir a conversação entre o dispositivo e um servidor RADIUS, que é o servidor de autenticação propriamente dito. O EAP-TLS — ou seja, Extensible Authentication Protocol com Transport Layer Security — é o método de autenticação executado dentro dessa estrutura 802.1X. O que o distingue do EAP-PEAP ou do EAP-TTLS, que utilizam nome de utilizador e palavra-passe dentro de um túnel TLS, é o facto de o EAP-TLS utilizar certificados X.509 em ambos os lados. O servidor RADIUS apresenta um certificado de servidor ao dispositivo, e o dispositivo apresenta um certificado de cliente de volta ao servidor RADIUS. Ambas as partes validam-se mutuamente. Trata-se de autenticação mútua, e é isso que torna o EAP-TLS a opção mais segura disponível. Agora, especificamente no Android, há alguns aspetos que precisa de compreender. O Android 11 e as versões posteriores introduziram requisitos de validação de certificados mais rigorosos. Se estiver a implementar no Android 11 ou superior — o que, nesta altura, representa a grande maioria do seu parque de dispositivos — o dispositivo recusará a ligação a menos que o certificado do servidor RADIUS seja explicitamente fidedigno. Não pode depender apenas do repositório de fidedignidade do sistema; deve enviar o certificado da CA raiz para o dispositivo ou configurar o perfil de WiFi para o referenciar explicitamente. Vamos falar sobre a cadeia de certificados. Precisa de três componentes implementados antes que um único dispositivo Android se possa autenticar via EAP-TLS. Primeiro, uma Autoridade de Certificação — seja a sua PKI interna, o Microsoft Active Directory Certificate Services ou uma PKI na nuvem como o SCEP via Intune. Segundo, um certificado de servidor emitido para o seu servidor RADIUS, assinado por essa CA. Terceiro, um certificado de cliente exclusivo emitido para cada dispositivo ou utilizador, também assinado pela mesma CA. O dispositivo apresenta o seu certificado de cliente durante o handshake TLS, e o servidor RADIUS valida-o em relação à lista de revogação de certificados da CA, ou CRL, ou via OCSP — Online Certificate Status Protocol. Para o Android, o certificado de cliente e a chave privada são normalmente empacotados como um ficheiro PKCS12 — que é um ficheiro ponto-P12 ou ponto-PFX — que contém tanto o certificado como a chave privada encriptada. Num dispositivo configurado manualmente, o utilizador importa este ficheiro através de Definições, depois Segurança e, em seguida, Instalar um Certificado. Num dispositivo gerido por MDM, o certificado é enviado silenciosamente para o keystore gerido do dispositivo — sem necessidade de interação do utilizador. Agora vamos falar sobre o próprio perfil de WiFi. Ao configurar uma ligação WiFi empresarial no Android, precisa de especificar: o SSID, o tipo de segurança — WPA2-Enterprise ou WPA3-Enterprise — o método EAP — que é TLS — o certificado CA para validação do servidor, o certificado de cliente para autenticação do dispositivo e a string de identidade, que é normalmente o Common Name do dispositivo ou o UPN do utilizador. No Android 11 e superior, também precisa de especificar a correspondência do sufixo do domínio ou o assunto do certificado do servidor para evitar ataques man-in-the-middle. Para implementações de MDM — e é aqui que entra a verdadeira escala — está a enviar tudo isto como um perfil de configuração estruturado. No Microsoft Intune, cria um perfil de certificado SCEP que solicita e instala automaticamente um certificado de cliente exclusivo em cada dispositivo Android registado. Em seguida, cria um perfil de configuração de WiFi que faz referência a esse perfil de certificado. Quando o dispositivo faz o check-in, recebe tanto o certificado como o perfil de WiFi, e liga-se à sua rede 802.1X automaticamente. Sem interação do utilizador, sem chamadas de suporte. Se estiver a utilizar o Intune para isto, o nosso guia complementar sobre como utilizar o Microsoft Intune para enviar certificados de WiFi para dispositivos detalha os passos exatos de configuração — recomendo a leitura desse guia em conjunto com este briefing. Para o VMware Workspace ONE e Jamf Connect, o processo é arquitetonicamente idêntico — perfil de certificado SCEP ou PKCS, seguido de um perfil de WiFi que o referencia. A interface de utilizador específica difere, mas a cadeia de certificados e os requisitos de configuração do RADIUS são os mesmos. Uma questão importante a assinalar do lado do RADIUS: se estiver a utilizar FreeRADIUS, Microsoft NPS ou Cisco ISE, certifique-se de que o certificado do seu servidor inclui os atributos corretos de Extended Key Usage — especificamente, Server Authentication, OID 1.3.6.1.5.5.7.3.1. O Android é rigoroso quanto a isto. Um certificado que funciona perfeitamente com clientes Windows pode falhar no Android se o EKU estiver em falta ou mal configurado. --- RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS — aproximadamente 2 minutos Muito bem, vamos falar sobre o que realmente corre mal no terreno, porque é aqui que a maioria das implementações encontra problemas. A primeira e mais comum falha é a confiança no certificado. O Android 11 e versões superiores não se ligarão se a cadeia de certificados do servidor RADIUS não puder ser validada. A solução é simples: envie o certificado da sua CA raiz para o armazenamento de certificados do utilizador no dispositivo através de MDM e faça referência explícita ao mesmo no campo de certificado CA do perfil de WiFi. Não deixe isto como "Não validar" — isso é uma falha de segurança e, de qualquer forma, irá falhar em algumas versões do Android. O segundo erro comum é a expiração do certificado. Os certificados de cliente têm normalmente um período de validade de um a dois anos. Se não tiver uma renovação automatizada implementada via SCEP ou NDES, irá acordar uma manhã e descobrir que metade dos dispositivos da sua empresa perdeu o acesso ao WiFi em simultâneo. Integre a automatização da renovação de certificados no fluxo de trabalho do seu MDM desde o primeiro dia, e não como uma reflexão tardia. O terceiro problema é a capacidade do servidor RADIUS. Os handshakes EAP-TLS são computacionalmente mais exigentes do que os handshakes PEAP devido à troca mútua completa de certificados. Num estádio ou centro de conferências com milhares de autenticações simultâneas, um servidor RADIUS subdimensionado tornar-se-á um estrangulamento. Dimensione a sua infraestrutura RADIUS para picos de autenticações simultâneas, e não para a carga média. Finalmente, do lado do Android, tenha em atenção que diferentes fabricantes — Samsung, Google, Xiaomi — têm implementações ligeiramente diferentes da API de configuração de WiFi. Teste os perfis enviados por MDM em dispositivos representativos de cada fabricante na sua empresa antes de os implementar em grande escala. Os dispositivos Samsung, em particular, exigiram historicamente que o campo de identidade fosse explicitamente definido, mesmo quando este pode ser deduzido a partir do certificado. --- PERGUNTAS E RESPOSTAS RÁPIDAS — aproximadamente 1 minuto Algumas perguntas rápidas que me fazem regularmente. Posso usar EAP-TLS para dispositivos BYOD? Sim, mas exige que o utilizador instale um certificado de cliente no seu dispositivo pessoal. Para BYOD em grande escala, considere se o EAP-TTLS com PAP ou PEAP-MSCHAPv2 é um compromisso mais prático, reservando o EAP-TLS para dispositivos propriedade da empresa. O EAP-TLS funciona com WPA3-Enterprise? Sim, e o WPA3-Enterprise com modo de 192 bits exige obrigatoriamente o EAP-TLS. Se estiver a implementar WPA3-Enterprise em ambientes de alta segurança, o EAP-TLS é a sua única opção em conformidade. Qual é a versão mínima do Android que devo visar? O Android 8 e superior suporta EAP-TLS nativamente. Para o Android 11 e superior, imponha a validação explícita do certificado CA. Para o Android 13 e superior, pode tirar partido das APIs de gestão de certificados melhoradas para um controlo mais granular. A plataforma da Purple pode integrar-se com redes EAP-TLS? A plataforma de guest WiFi e analytics da Purple funciona num SSID separado da sua rede corporativa 802.1X. Os seus dispositivos corporativos autenticam-se via EAP-TLS no SSID seguro, enquanto os dispositivos de convidados utilizam o Captive Portal da Purple no SSID de convidados. Ambos coexistem na mesma infraestrutura de pontos de acesso, com a separação por VLAN a fornecer a barreira de segurança. --- RESUMO E PRÓXIMOS PASSOS — aproximadamente 1 minuto Para concluir: O EAP-TLS no Android é o método de autenticação WiFi empresarial mais seguro disponível e, com as ferramentas modernas de MDM, é totalmente viável de implementar à escala. Os três aspetos a garantir são: uma PKI devidamente configurada com renovação automática de certificados, confiança explícita no certificado CA no Android 11 e superior, e uma infraestrutura RADIUS dimensionada para a carga de pico. Se está a implementar num espaço com tráfego misto de colaboradores e convidados, a plataforma da Purple oferece-lhe a camada de analytics e engagement na rede de convidados, enquanto a sua infraestrutura EAP-TLS protege o lado corporativo. Ambos se complementam perfeitamente. Para os seus próximos passos: reveja o nosso diagrama de arquitetura no guia completo, siga o passo a passo de implementação do Intune e execute um piloto num subconjunto de dispositivos antes de implementar em toda a sua infraestrutura. Comece com um grupo controlado de cinquenta dispositivos, valide a entrega de certificados e a conectividade WiFi e, em seguida, dimensione com confiança. Obrigado por ouvir o Purple Technical Briefing. Encontrará o guia escrito completo, diagramas e referências de configuração em purple.ai. Até à próxima.

header_image.png

Resumo Executivo

A proteção de redes sem fios empresariais contra o roubo de credenciais e acessos não autorizados exige a superação das palavras-passe partilhadas. Para frotas de dispositivos Android em ambientes corporativos, o 802.1X EAP-TLS (Extensible Authentication Protocol com Transport Layer Security) representa o padrão de segurança definitivo. Ao tirar partido da autenticação mútua baseada em certificados, o EAP-TLS elimina os riscos associados à fadiga de palavras-passe, phishing e credenciais fracas.

Este guia de referência técnica fornece aos arquitetos de rede, gestores de TI e CTOs estratégias acionáveis para implementar o EAP-TLS em dispositivos Android. Quer se trate da gestão de terminais de ponto de venda no Retalho , dispositivos clínicos na Saúde ou operações de back-of-house na Hotelaria , o domínio desta implementação garante uma conformidade de segurança robusta (PCI DSS, GDPR, ISO 27001), ao mesmo tempo que proporciona uma experiência de ligação contínua para os utilizadores finais. Cobrimos tanto a configuração manual para ambientes BYOD como o aprovisionamento MDM zero-touch para frotas de propriedade corporativa.

Ouça o Briefing

Análise Técnica Aprofundada

A Arquitetura 802.1X e o Funcionamento do EAP-TLS

Na sua essência, o 802.1X é um padrão IEEE para controlo de acesso à rede baseado em portas. Num contexto sem fios, o ponto de acesso atua como o Autenticador, facilitando a comunicação entre o dispositivo Android (o Suplicante) e o servidor RADIUS (o Servidor de Autenticação).

Ao contrário do PEAP ou TTLS, que canalizam a autenticação tradicional por palavra-passe dentro de TLS, o EAP-TLS depende inteiramente de certificados X.509. Isto cria um paradigma de autenticação mútua:

  1. O servidor RADIUS apresenta o seu certificado ao dispositivo Android para provar que a rede é legítima.
  2. O dispositivo Android apresenta o seu certificado de cliente exclusivo ao servidor RADIUS para provar que é um endpoint autorizado.

eap_tls_architecture_overview.png

Requisitos de Certificado Específicos do Android

A implementação em Android introduz restrições específicas, particularmente a partir do Android 11. A Google descontinuou a opção "Não validar" para certificados de servidor para mitigar ataques man-in-the-middle (MitM). Consequentemente, o dispositivo Android deve possuir o certificado Root CA que assinou o certificado do servidor RADIUS.

Além disso, o certificado do servidor RADIUS deve conter os atributos corretos de Extended Key Usage (EKU) — especificamente Server Authentication (OID 1.3.6.1.5.5.7.3.1). Sem isto, o suplicante Android irá rejeitar silenciosamente o handshake TLS.

No lado do cliente, o Android exige que a chave privada e o certificado sejam agrupados, normalmente num formato PKCS#12 (.p12 ou .pfx).

Integração com o Ecossistema da Purple

Embora o EAP-TLS proteja os seus dispositivos corporativos e a infraestrutura operacional, os operadores do espaço também devem gerir o acesso dos visitantes. É aqui que uma estratégia de duplo SSID se torna crítica. O seu SSID corporativo utiliza 802.1X EAP-TLS, enquanto o seu SSID público aproveita a plataforma de Guest WiFi da Purple. Esta separação garante a segurança operacional, permitindo ao mesmo tempo que a equipa de marketing aproveite o WiFi Analytics na rede de convidados. Para uma visão mais ampla sobre a segurança da infraestrutura física, consulte o Access Point Security: Your 2026 Enterprise Guide .

Guia de Implementação

A implementação de EAP-TLS no Android pode ser abordada manualmente para pequenas implementações de BYOD ou através de Mobile Device Management (MDM) para escala empresarial.

mdm_deployment_comparison.png

Método 1: Configuração Manual (BYOD / Pequena Escala)

Este método exige muito suporte e é recomendado apenas para implementações limitadas ou testes.

  1. Entrega de Certificados: Entregue de forma segura o certificado de cliente .p12 e o ficheiro Root CA .cer ao dispositivo Android (por exemplo, através de um portal seguro ou e-mail encriptado).
  2. Instalação:
    • Aceda a Definições > Segurança > Encriptação e credenciais > Instalar um certificado.
    • Instale a Root CA como um "certificado Wi-Fi".
    • Instale o ficheiro .p12, fornecendo a palavra-passe de extração quando solicitado.
  3. Configuração de Rede:
    • Aceda a Definições > Rede e internet > Wi-Fi e selecione "Adicionar rede".
    • Introduza o SSID.
    • Defina a Segurança para WPA/WPA2/WPA3-Enterprise.
    • Defina o método EAP para TLS.
    • Defina o certificado CA para a Root CA instalada.
    • Defina o Estado do Certificado Online para Solicitar estado do certificado.
    • Defina o Domínio para corresponder ao Subject Alternative Name (SAN) do certificado do servidor RADIUS.
    • Selecione o certificado de Cliente instalado.
    • Introduza a Identidade (geralmente o UPN do utilizador ou o MAC do dispositivo).

Método 2: Perfil Enviado por MDM (Escala Empresarial)

Para grandes instalações, como um campus universitário ou um centro logístico em Transport , o MDM é obrigatório. Isto proporciona aprovisionamento zero-touch e gestão do ciclo de vida.

  1. Integração PKI: Ligue o seu MDM (Intune, Workspace ONE, Jamf) à sua Autoridade de Certificação utilizando SCEP ou NDES.
  2. Perfil de Certificado: Crie um perfil de configuração para enviar a Root CA para o repositório de fidedignidade do dispositivo. Crie um segundo perfil (SCEP) para solicitar e instalar automaticamente o certificado de cliente exclusivo.
  3. Perfil de WiFi: Crie um perfil de configuração de Wi-Fi associando os certificados implementados.
    • Tipo de Segurança: WPA2/WPA3 Enterprise
    • Tipo de EAP: EAP-TLS
    • Método de Autenticação: Certificado
    • Fidedignidade do Servidor: Especifique a Root CA e o nome de domínio exato do servidor.

Para instruções detalhadas específicas da Microsoft, consulte o nosso guia: Como Utilizar o Microsoft Intune para Enviar Certificados de WiFi para Dispositivos .

Boas Práticas

  1. Forçar WPA3-Enterprise: Onde o hardware o suportar, exija o WPA3-Enterprise. O conjunto de segurança de 192 bits requer explicitamente o EAP-TLS, garantindo os padrões criptográficos mais elevados.
  2. Automatizar o Ciclo de Vida dos Certificados: Os certificados de cliente expiram. Se depender de renovações manuais, enfrentará interrupções massivas de serviço. Implemente SCEP/NDES para renovar automaticamente os certificados 30 dias antes da expiração.
  3. Implementar DNS Robusto: As verificações de Lista de Revogação de Certificados (CRL) e OCSP requerem uma resolução de DNS fiável a partir da periferia. Leia mais em Proteja a sua Rede com DNS Forte e Segurança .
  4. Segmentação de VLAN: Mapeie as sessões autenticadas por EAP-TLS para VLANs específicas com base nos atributos do certificado (por exemplo, separando terminais POS de tablets de gestores) utilizando atributos RADIUS como Tunnel-Private-Group-Id.

Resolução de Problemas e Mitigação de Riscos

Quando os dispositivos Android não conseguem ligar-se via EAP-TLS, o problema reside quase sempre na cadeia de certificados ou na configuração do RADIUS.

  • Sintoma: Os dispositivos Android 11+ desligam-se imediatamente ou mostram "Erro de autenticação" sem solicitar qualquer ação ao utilizador.
    • Causa Raiz: O dispositivo não confia no certificado do servidor RADIUS. O campo "Domínio" no perfil de WiFi deve corresponder exatamente ao SAN do certificado do servidor, e a Root CA deve estar instalada.
  • Sintoma: A ligação expira (timeout) durante o handshake TLS.
    • Causa Raiz: O servidor RADIUS não consegue aceder ao ponto de distribuição da CRL para verificar o estado de revogação do certificado do cliente. Certifique-se de que o seu servidor RADIUS tem acesso HTTP de saída para os endpoints de CRL da sua PKI.
  • Sintoma: Os dispositivos Windows ligam-se, mas os dispositivos Android falham.
    • Causa Raiz: Falta de EKU de Autenticação de Servidor no certificado RADIUS, ou o suplicante Android está a tentar utilizar uma suite de cifra não suportada. Verifique os registos do RADIUS para falhas de negociação TLS.

ROI e Impacto no Negócio

A transição para o EAP-TLS requer um investimento inicial na infraestrutura de PKI e MDM, mas o retorno do investimento é substancial para os líderes seniores de TI.

  • Redução de Custos com Helpdesk: A reposição de palavras-passe representa 20-30% dos pedidos de suporte de TI. A autenticação baseada em certificados elimina as políticas de rotação de palavras-passe para acesso à rede, reduzindo drasticamente os custos operacionais de suporte.
  • Mitigação de Riscos: O EAP-TLS oferece imunidade contra a recolha de credenciais e ataques de dicionário offline. O custo de uma única violação de dados num setor regulado como a Saúde excede largamente o custo de implementação de uma PKI.
  • Continuidade Operacional: O aprovisionamento automatizado de certificados garante que os dispositivos operacionais críticos — desde leitores de armazém a sistemas POS de retalho — nunca percam a ligação à rede devido a credenciais expiradas. À medida que a Purple continua a expandir o seu alcance, destacado por movimentos estratégicos recentes como Purple Signals Higher Education Ambitions with Appointment of VP Education Tim Peers , uma conectividade de base robusta torna-se o motor para análises avançadas e envolvimento.

Definições Principais

802.1X

Um padrão IEEE para Controlo de Acesso à Rede baseado em porta (PNAC) que fornece um mecanismo de autenticação para dispositivos que desejam ligar-se a uma LAN ou WLAN.

A estrutura fundamental que impede que dispositivos não autorizados acedam à rede corporativa na periferia.

EAP-TLS

Extensible Authentication Protocol com Transport Layer Security. Uma estrutura de autenticação que utiliza certificados X.509 para autenticação mútua entre o cliente e o servidor.

Considerado o tipo de EAP mais seguro, elimina a dependência de palavras-passe, tornando-o essencial para ambientes de alta segurança.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Contabilização (AAA).

O componente de servidor (por exemplo, Cisco ISE, Microsoft NPS) que valida o certificado do dispositivo Android em relação à PKI.

Supplicant

O dispositivo cliente (neste caso, o smartphone ou tablet Android) que está a solicitar acesso à rede.

Compreender as restrições específicas do SO do supplicant (como a validação rigorosa do Android 11) é fundamental para uma implementação bem-sucedida.

Authenticator

O dispositivo de rede (o ponto de acesso WiFi) que facilita o processo de autenticação entre o Supplicant e o servidor RADIUS.

O AP não toma a decisão; apenas aplica o controlo de porta com base na resposta do servidor RADIUS.

PKI

Public Key Infrastructure. Um conjunto de funções, políticas, hardware, software e procedimentos necessários para criar, gerir, distribuir, utilizar, armazenar e revogar certificados digitais.

A espinha dorsal do EAP-TLS. Sem uma PKI robusta, a autenticação baseada em certificados é impossível.

SCEP

Simple Certificate Enrollment Protocol. Um protocolo concebido para tornar a emissão e revogação de certificados digitais o mais escalável possível.

Utilizado por plataformas MDM para aprovisionar automaticamente certificados de cliente para dispositivos Android sem intervenção do utilizador.

SAN

Subject Alternative Name. Uma extensão do X.509 que permite associar vários valores a um certificado de segurança.

O Android 11+ exige que o campo "Domínio" no perfil de WiFi corresponda ao SAN do certificado do servidor RADIUS.

Exemplos Práticos

Uma cadeia de retalho nacional precisa de implementar 5.000 tablets de ponto de venda (POS) baseados em Android. A equipa de segurança exige que estes dispositivos não utilizem palavras-passe partilhadas e sejam imunes a phishing de credenciais. Como deve a equipa de infraestrutura abordar esta implementação?

A equipa deve implementar uma solução de Mobile Device Management (MDM) integrada com a sua Public Key Infrastructure (PKI) interna via SCEP. O MDM enviará um perfil de configuração contendo o certificado Root CA, solicitará automaticamente um certificado de cliente exclusivo para cada tablet POS e configurará o perfil de WiFi WPA3-Enterprise para utilizar EAP-TLS. O servidor RADIUS será configurado para atribuir estes dispositivos a uma VLAN de POS isolada com base na validação bem-sucedida do certificado.

Comentário do Examinador: Esta é a abordagem empresarial ideal. Tentar a configuração manual para 5.000 dispositivos é operacionalmente inviável. Ao utilizar MDM e SCEP, a organização alcança um aprovisionamento sem toque e a renovação automática de certificados, satisfazendo o requisito de segurança ao mesmo tempo que minimiza o atrito na implementação.

Um gestor de TI de um hospital está a atualizar a rede sem fios. Após a atualização, os dispositivos Android 9 mais antigos ligam-se com sucesso à rede EAP-TLS, mas os dispositivos Android 12 recentemente adquiridos falham a autenticação, apresentando um erro de fidedignidade.

O gestor de TI deve atualizar o perfil de configuração de WiFi enviado para os dispositivos. O Android 11+ impõe uma validação estrita do certificado do servidor. O perfil deve ser atualizado para definir explicitamente o certificado Root CA em que deve confiar e especificar o "Domínio" exato (correspondente ao SAN do servidor RADIUS) para evitar ataques MitM.

Comentário do Examinador: Isto destaca uma alteração crítica ao nível do sistema operativo no comportamento do suplicante do Android. As configurações legadas "Não validar" representam um risco de segurança significativo e foram descontinuadas nas versões modernas do Android. A solução identifica corretamente a necessidade de uma configuração de fidedignidade explícita.

Perguntas de Prática

Q1. A sua organização está a migrar de PEAP-MSCHAPv2 para EAP-TLS. Durante a fase piloto, vários dispositivos Android 13 não conseguem ligar-se. Os registos do RADIUS mostram que o handshake TLS é iniciado mas interrompido pelo cliente antes do envio do certificado do cliente. Qual é o erro de configuração mais provável?

Dica: Considere os requisitos rigorosos de validação introduzidos nas versões recentes do Android relativamente à identidade do servidor.

Ver resposta modelo

O erro mais provável é que o perfil de WiFi enviado para os dispositivos Android 13 não especifica corretamente a correspondência do sufixo de 'Domínio', ou a Root CA não está devidamente associada no perfil. O Android interrompe a ligação para evitar um ataque Man-in-the-Middle porque não consegue validar o certificado do servidor RADIUS.

Q2. Está a desenhar a arquitetura para a implementação num grande estádio. O cliente pretende utilizar EAP-TLS para todos os dispositivos dos funcionários. Que componente de infraestrutura específico deve ser dimensionado em comparação com uma rede WPA2-PSK padrão, e porquê?

Dica: O EAP-TLS envolve operações criptográficas complexas durante a fase de ligação.

Ver resposta modelo

A infraestrutura do servidor RADIUS deve ser significativamente redimensionada. O EAP-TLS requer uma validação mútua completa de certificados (criptografia assimétrica), o que é computacionalmente dispendioso. Num ambiente de estádio com milhares de dispositivos potencialmente em roaming ou a autenticarem-se em simultâneo, uma implementação de RADIUS subdimensionada causará tempos de espera de autenticação esgotados e falhas de ligação.

Q3. O certificado de um cliente foi comprometido num tablet Android perdido. Qual é o mecanismo exato através do qual a rede impede este dispositivo de se ligar via EAP-TLS?

Dica: Como é que o servidor RADIUS sabe que o certificado já não é válido antes da sua data de expiração?

Ver resposta modelo

O administrador de TI revoga o certificado do cliente na PKI. A PKI atualiza a sua Lista de Revogação de Certificados (CRL) ou o responder OCSP. Quando o tablet perdido tenta ligar-se, o servidor RADIUS verifica o certificado do cliente em relação à CRL/OCSP. Ao ver que foi revogado, o servidor RADIUS rejeita o pedido de autenticação.

Continue a ler esta série

Per-Device PSK por Fabricante: iPSK, DPSK, MPSK e PPSK Comparados (e Suporte a WPA3)

Uma comparação abrangente de implementações de per-device PSK na Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet e Ubiquiti UniFi. Saiba como o WPA3-SAE afeta as estratégias de chaves por dispositivo e quando implementar modos de transição versus migrar para o 802.1X.

Ler o guia →

Métodos de Autenticação de Captive Portal Comparados

Este guia de referência técnica de autoridade avalia as compensações arquitetónicas, operacionais e de conformidade de cinco métodos principais de autenticação de captive portal. Fornece aos arquitetos de rede, diretores de TI e gestores de marketing os dados quantitativos e as estruturas de decisão necessários para equilibrar a fricção no registo de convidados com os requisitos de recolha de dados em locais empresariais.

Ler o guia →

O que é a Autenticação por Endereço MAC? Quando Usar e Quando Evitar

Este guia de referência técnica abrangente aborda a autenticação por endereço MAC em ambientes de WiFi empresarial — como funciona a autenticação MAC baseada em RADIUS na Camada 2, as suas vulnerabilidades de segurança inerentes (incluindo falsificação de MAC e o impacto da randomização de MAC ao nível do SO) e os contextos operacionais precisos onde continua a ser uma ferramenta válida para gerir IoT e dispositivos headless. Fornece orientações de implementação práticas para gestores de TI e arquitetos de rede em setores como hotelaria, retalho, saúde e espaços públicos, com exemplos práticos reais, estruturas de decisão e contexto de integração para a plataforma de guest WiFi e analytics da Purple.

Ler o guia →