O que é o Cloud RADIUS? Um Guia Completo sobre RADIUS as a Service

Este guia completo explora o Cloud RADIUS (RADIUS as a Service), detalhando a sua arquitetura, métodos EAP e estratégias de implementação. Fornece aos líderes de TI informações práticas sobre a migração de servidores locais para um modelo de autenticação baseado na nuvem, escalável, seguro e em conformidade.

📖 5 min de leitura📝 1,077 palavras🔧 2 exemplos práticos❓ 3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast

O que é o Cloud RADIUS? Um Guia Completo sobre RADIUS as a Service.

Bem-vindo ao Podcast de Inteligência da Purple WiFi. Sou o vosso anfitrião e hoje vamos fazer uma análise aprofundada sobre o Cloud RADIUS — o que é, como funciona nos bastidores e, fundamentalmente, como avaliar se é a decisão certa para a vossa organização este trimestre. Quer gira um grupo hoteleiro, uma rede de retalho, um estádio ou uma rede do setor público, este episódio é para si.

Vamos enquadrar o cenário.

Introdução e Contexto.

Se alguma vez teve de explicar a uma administração por que razão o seu servidor de autenticação de rede foi abaixo às 2 da manhã — e por que demorou três horas a ser reposto — já compreende o problema central que o Cloud RADIUS resolve. A infraestrutura tradicional de RADIUS local é potente, mas acarreta uma sobrecarga operacional significativa. Hardware para adquirir, ciclos de patches para gerir, redundância para desenhar manualmente e um ponto único de falha localizado na sua sala de servidores.

O Cloud RADIUS, ou RADIUS as a Service, move essa camada de autenticação para um ambiente de nuvem gerido e de alta disponibilidade. O protocolo em si — Remote Authentication Dial-In User Service — não mudou. Continua a ser a espinha dorsal do controlo de acesso à rede IEEE 802.1X, o mecanismo que os seus pontos de acesso utilizam para validar quem entra na sua rede. Mas a infraestrutura que o executa é agora problema de outra pessoa. E no setor de TI empresarial, essa é uma mudança significativa.

Por isso, vamos entrar nos detalhes técnicos.

Análise Técnica Aprofundada.

O RADIUS foi originalmente definido no RFC 2865, publicado no ano 2000, e tem-se mantido incrivelmente duradouro. O protocolo funciona num modelo cliente-servidor. O seu dispositivo de acesso à rede — quer seja um ponto de acesso WiFi, um concentrador de VPN ou um switch com fios — atua como o cliente RADIUS, também chamado de Network Access Server ou NAS. Quando um utilizador tenta ligar-se, o NAS encaminha um pacote Access-Request para o servidor RADIUS, que valida as credenciais num diretório de utilizadores — normalmente Active Directory, LDAP ou um fornecedor de identidade na nuvem — e devolve um Access-Accept ou um Access-Reject.

Essa é a troca central. Mas a verdadeira complexidade reside no que acontece em redor: métodos EAP, atribuição de VLAN, aplicação de políticas, registos de contabilidade e gestão de certificados.

Numa implementação local tradicional, executa o FreeRADIUS ou o Microsoft NPS em hardware dedicado, gerindo os seus próprios certificados, configurando a sua própria tolerância a falhas e mantendo a sincronização da sua própria base de dados de utilizadores. Para uma implementação num único local com uma equipa de TI competente, isto é gerível. Para uma rede de retalho com 50 localizações ou um grupo hoteleiro com propriedades em vários países, torna-se um fardo operacional significativo.

O Cloud RADIUS abstrai tudo isso. A lógica de autenticação, a infraestrutura de certificados, a redundância e o motor de políticas são todos fornecidos como um serviço gerido. Os seus pontos de acesso apontam para endpoints RADIUS alojados na nuvem — normalmente um endereço IP primário e secundário — e o serviço trata de tudo o resto.

Agora, vamos falar sobre os métodos de autenticação, porque é aqui que as decisões técnicas realmente importam.

O método EAP mais comum em WiFi empresarial é o PEAP — Protected EAP — que cria um túnel MSCHAPv2 dentro de uma sessão TLS. É amplamente suportado, funciona nativamente com o Active Directory e é o padrão para a maioria dos dispositivos Windows e Android. No entanto, o PEAP tem vulnerabilidades conhecidas, particularmente em torno da validação de certificados. Se os seus dispositivos clientes não estiverem configurados para verificar o certificado do servidor, fica exposto a ataques de recolha de credenciais através de pontos de acesso falsos.

O EAP-TLS é o padrão de excelência. Utiliza autenticação mútua por certificado — tanto o servidor como o cliente apresentam certificados — o que elimina completamente a superfície de ataque a palavras-passe. A contrapartida é a implementação de certificados de cliente, que requer uma infraestrutura PKI e integração com MDM. Para frotas de dispositivos geridos, esta é absolutamente a escolha certa. Para ambientes BYOD, é mais complexo.

Também vale a pena conhecer o EAP-TTLS e o EAP-FAST. O TTLS é particularmente comum em ambientes onde precisa de suportar uma vasta gama de dispositivos clientes, incluindo sistemas Linux. O EAP-FAST foi desenvolvido pela Cisco como uma alternativa ao PEAP que evita a dependência da validação de certificados, utilizando em vez disso Protected Access Credentials.

Um serviço Cloud RADIUS bem estruturado suporta todos estes métodos e permite-lhe configurar políticas por SSID — para que o seu SSID corporativo utilize EAP-TLS com validação de certificados, o seu SSID de funcionários utilize PEAP com Active Directory e a sua rede de convidados utilize um Captive Portal ou um fluxo de login social totalmente separado da pilha RADIUS.

Por falar nisso — o RADIUS e o WiFi de convidados são frequentemente confundidos, mas servem propósitos diferentes. O RADIUS é a sua camada de autenticação e autorização para utilizadores e dispositivos conhecidos. O WiFi de convidados utiliza normalmente um fluxo de Captive Portal, que é um mecanismo totalmente diferente. A plataforma da Purple, por exemplo, lida com a autenticação de convidados através de uma camada de identidade separada, capturando dados primários e permitindo a automatização de marketing, enquanto o RADIUS lida com o controlo de acesso à rede corporativa e de funcionários. Estes são sistemas complementares, não concorrentes.

Agora, vamos falar sobre o que "alojado na nuvem" realmente significa na prática. Um serviço Cloud RADIUS devidamente arquitetado funciona em várias zonas de disponibilidade, com failover automático. Os pedidos de autenticação são distribuídos por balanceamento de carga entre nós, e o serviço mantém tempos de resposta inferiores a 100 milissegundos, mesmo sob carga máxima. Para um estádio que lida com 40.000 ligações simultâneas durante um evento, esse perfil de latência e taxa de transferência é crítico. Um único servidor local simplesmente não consegue igualar essa elasticidade.

Do ponto de vista da conformidade, os fornecedores de Cloud RADIUS que operam no Reino Unido e na UE precisam de estar em conformidade com o GDPR na forma como gerem os registos de autenticação e os dados dos utilizadores. Para ambientes de retalho e hotelaria que também processam dados de cartões de pagamento, os requisitos do PCI DSS em torno da segmentação de rede e aco controlo de acessos é diretamente relevante — o RADIUS faz parte do seu ambiente de controlo, e o seu QSA vai querer ver provas de uma configuração adequada e de registos de auditoria.

O WPA3 também merece ser abordado. A transição do WPA2 para o WPA3 introduz a Autenticação Simultânea de Iguais — SAE — para redes pessoais, e o WPA3-Enterprise para ambientes corporativos. O WPA3-Enterprise exige o modo de segurança de 192 bits para a classificação mais elevada, o que requer métodos EAP e conjuntos de cifras específicos. Um serviço Cloud RADIUS precisa de suportar estas configurações para estar preparado para o futuro.

Recomendações de Implementação e Erros Comuns.

Muito bem, vamos à prática. Se está a avaliar o Cloud RADIUS para implementação este trimestre, eis no que me focaria.

Primeiro, a integração com o seu fornecedor de identidade. O seu serviço Cloud RADIUS precisa de sincronizar com o local onde os seus utilizadores realmente residem — seja o Microsoft Entra ID, anteriormente Azure AD, o Google Workspace, o Okta ou um Active Directory local via proxy LDAP. A qualidade desta integração determina a sua sobrecarga operacional. O aprovisionamento nativo SAML ou SCIM é muito preferível às importações manuais de CSV.

Segundo, a gestão de certificados. Se está a implementar o EAP-TLS, precisa de uma resposta clara sobre como os certificados de cliente são emitidos, renovados e revogados. Os melhores serviços Cloud RADIUS incluem uma PKI integrada ou integram-se perfeitamente com a sua autoridade de certificação existente. A expiração de certificados é uma das causas mais comuns de falhas de autenticação em WiFi empresarial — é totalmente evitável com a automatização adequada.

Terceiro, a compatibilidade dos dispositivos de rede. Os seus pontos de acesso precisam de suportar a autenticação RADIUS — praticamente todos os APs de classe empresarial o fazem — mas precisa de verificar os métodos EAP específicos e os atributos RADIUS que o serviço escolhido suporta face à implementação do fabricante do seu AP. A Cisco, Aruba, Juniper Mist e Ruckus têm todas as suas próprias nuances na forma como lidam com atributos RADIUS e mensagens CoA — Change of Authorisation.

Quarto, a configuração de redundância. Configure sempre um IP de servidor RADIUS primário e secundário. O tempo limite de failover nos seus dispositivos NAS é importante — se for definido com um valor demasiado elevado, os utilizadores sofrerão um atraso de autenticação de 30 segundos quando o primário estiver inacessível. Um tempo limite de 3 a 5 segundos com failover imediato é a configuração correta para a maioria dos ambientes.

Quinto — e este é o que as pessoas esquecem — a contabilização. Os registos de contabilização RADIUS são a sua pista de auditoria. Dizem-lhe quem se ligou, a partir de que dispositivo, a que horas e por quanto tempo. Para fins de conformidade, particularmente em ambientes de saúde e do setor público, estes registos precisam de ser retidos e estar acessíveis. Certifique-se de que o seu fornecedor de Cloud RADIUS lhe dá acesso aos dados de contabilização, e não apenas aos registos de autenticação.

Erros comuns: complexidade do segredo partilhado. O seu segredo partilhado RADIUS — a chave pré-partilhada entre o seu NAS e o servidor RADIUS — precisa de ser longo e aleatório. Segredos partilhados curtos ou fáceis de adivinhar são um vetor de ataque real. Utilize pelo menos 32 carateres, gerados aleatoriamente, e rode-os de forma programada.

Tenha também atenção à lista de permissões de IPs. Muitos serviços Cloud RADIUS exigem que coloque na lista de permissões os IPs de origem dos seus dispositivos NAS. Num ambiente de nuvem dinâmico onde a sua plataforma de gestão de APs possa utilizar NAT, isto pode causar falhas de autenticação inesperadas. Confirme o comportamento de NAT da sua rede antes da implementação.

Perguntas e Respostas Rápidas.

Deixe-me passar por algumas perguntas que me fazem regularmente.

O Cloud RADIUS pode suportar ambientes multi-tenant? Sim — a maioria dos serviços Cloud RADIUS empresariais suporta o isolamento de tenants, pelo que um fornecedor de serviços geridos pode executar políticas RADIUS separadas para múltiplos clientes a partir de uma única plataforma.

Qual é a latência típica para uma autenticação Cloud RADIUS? Menos de 100 milissegundos para um serviço bem estruturado. O próprio handshake 802.1X adiciona alguma sobrecarga, mas para a maioria dos métodos EAP, o tempo total de autenticação deve ser inferior a 500 milissegundos de ponta a ponta.

O Cloud RADIUS funciona com o OpenRoaming? Sim. O OpenRoaming — a estrutura de roaming da Wireless Broadband Alliance — utiliza a federação RADIUS no seu núcleo. Um serviço Cloud RADIUS que suporte Hotspot 2.0 e OpenRoaming permite que os seus utilizadores se autentiquem automaticamente em redes participantes globalmente. A Purple suporta o OpenRoaming sob a sua licença Connect, atuando como um fornecedor de identidade na federação.

O Cloud RADIUS é adequado para ambientes de alta segurança? Para a maioria dos ambientes empresariais, sim. Para ambientes com dados classificados ou classificações de segurança governamentais específicas, poderá ser necessário avaliar se um serviço de nuvem gerido cumpre os seus requisitos específicos de acreditação.

Resumo e Próximos Passos.

Para resumir: o Cloud RADIUS é uma abordagem madura e pronta para produção para o controlo de acessos à rede que remove o fardo operacional da infraestrutura RADIUS local sem comprometer a segurança ou a capacidade. Para organizações com vários locais, o caso de ROI é simples — elimina o capex de hardware, reduz a sobrecarga de TI, obtém redundância incorporada e consegue um serviço que escala com o seu património.

As decisões fundamentais são: qual o método EAP adequado para a sua frota de dispositivos, como se integra com o seu fornecedor de identidade existente e se o serviço escolhido lhe oferece as capacidades de conformidade e auditoria que a sua organização exige.

Se gere um grupo hoteleiro, uma cadeia de retalho ou administra redes do setor público, recomendo começar com uma prova de conceito num único local — configure corretamente o seu RADIUS, valide a integração com o seu fornecedor de identidade e meça a latência de autenticação antes de implementar em todo o seu património.

Para saber mais sobre análise de WiFi, gestão de redes de convidados e como a plataforma da Purple se integra com a autenticação baseada em RADIUS, visite purple.ai. Obrigado por ouvir.

Principais Conclusões

✓O Cloud RADIUS elimina o capex e os custos de manutenção dos servidores de autenticação locais.
✓Oferece escalabilidade elástica e redundância global, essenciais para ambientes distribuídos de retalho, hotelaria e grandes empresas.
✓A migração para o EAP-TLS via Cloud RADIUS é o padrão de excelência para proteger redes contra a recolha de credenciais.
✓A integração contínua com IdPs modernos (Entra ID, Google Workspace) via SCIM automatiza a integração e a saída de utilizadores.
✓A configuração adequada do NAS, incluindo tempos de espera de transição de 3-5 segundos e segredos partilhados complexos, é crítica para a fiabilidade.
✓Os registos de contabilidade gerados pelo Cloud RADIUS são obrigatórios para demonstrar a conformidade com o PCI DSS e o GDPR.
✓O RADIUS gere o acesso de utilizadores conhecidos, enquanto as plataformas de Guest WiFi gerem a interação com visitantes e a recolha de dados.

Resumo Executivo

Para as redes empresariais modernas, a arquitetura tradicional de RADIUS (Remote Authentication Dial-In User Service) local representa um gargalo operacional significativo. Gerir servidores físicos, aplicar patches em sistemas operativos, lidar com autoridades de certificação e projetar redundância multi-site consome recursos valiosos de TI. O Cloud RADIUS (ou RADIUS as a Service) aborda esta questão ao migrar a camada de autenticação IEEE 802.1X para uma infraestrutura de nuvem gerida e altamente disponível. Este guia fornece uma visão geral técnica abrangente do Cloud RADIUS para gestores de TI, arquitetos de rede e CTOs que avaliam estratégias de implementação. Ao mudar de sistemas manuais e dispendiosos em termos de capex para um modelo elástico e globalmente distribuído, as organizações nos setores de Retalho , Hotelaria e Transportes podem aplicar políticas de acesso robustas, alcançar a conformidade (como PCI DSS e GDPR) e integrar-se perfeitamente com fornecedores de identidade modernos como o Microsoft Entra ID e o Google Workspace.

Análise Técnica Detalhada

A Evolução da Arquitetura RADIUS

O RADIUS, definido inicialmente na RFC 2865, opera num modelo cliente-servidor onde os Servidores de Acesso à Rede (NAS) — tais como pontos de acesso WiFi ou concentradores VPN — encaminham pedidos de autenticação para um servidor central. Historicamente, isto significava implementar o FreeRADIUS ou o Microsoft Network Policy Server (NPS) em hardware dedicado. Embora funcional para implementações num único local, dimensionar esta arquitetura em ambientes distribuídos introduz desafios significativos de latência e redundância.

O Cloud RADIUS abstrai a infraestrutura subjacente. Os pedidos de autenticação são encaminhados para endpoints de nuvem globalmente distribuídos, garantindo tempos de resposta inferiores a 100ms, mesmo sob picos de carga. Esta elasticidade é crucial para ambientes de alta densidade, como estádios ou centros de conferências.

Métodos EAP e Postura de Segurança

A escolha do método EAP (Extensible Authentication Protocol) dita fundamentalmente a sua postura de segurança:

PEAP (Protected EAP): Cria um túnel MSCHAPv2 dentro de uma sessão TLS. Embora amplamente suportado e fácil de integrar com o Active Directory, o PEAP é vulnerável à recolha de credenciais através de pontos de acesso falsos se os dispositivos clientes não estiverem estritamente configurados para validar o certificado do servidor.
EAP-TLS: O padrão de excelência empresarial. Requer autenticação mútua de certificados — tanto o servidor como o cliente devem apresentar certificados válidos. Isto elimina completamente os ataques baseados em palavras-passe, mas exige uma infraestrutura de chaves públicas (PKI) robusta e integração com Gestão de Dispositivos Móveis (MDM) para a implementação de certificados.
EAP-TTLS e EAP-FAST: Oferecem alternativas onde é necessária uma ampla compatibilidade de clientes (incluindo sistemas legados ou Linux), ou onde as dependências de validação de certificados precisam de ser contornadas utilizando Credenciais de Acesso Protegido (PACs).

Integração com WPA3 e OpenRoaming

As implementações modernas devem ter em conta o WPA3-Enterprise, que exige o modo de segurança de 192 bits para as classificações mais elevadas, requerendo conjuntos de cifras específicos. Além disso, o Cloud RADIUS facilita a participação em estruturas de federação como o OpenRoaming. A Purple, por exemplo, atua como um fornecedor de identidade gratuito para o OpenRoaming sob a sua licença Connect, permitindo uma autenticação segura e contínua em redes globais participantes.

Guia de Implementação

A implementação do Cloud RADIUS requer uma abordagem sistemática para garantir zero tempo de inatividade durante a transição.

Passo 1: Integração com o Fornecedor de Identidade (IdP)

A sua instância de Cloud RADIUS deve sincronizar-se com o seu diretório de utilizadores autoritativo. O aprovisionamento nativo SAML ou SCIM com o Microsoft Entra ID, Google Workspace ou Okta é altamente recomendado em vez de proxies LDAP manuais ou importações de CSV. Isto garante que, quando um funcionário é desligado no sistema de RH, o seu acesso à rede é revogado instantaneamente.

Passo 2: Estratégia de Gestão de Certificados

Se implementar o EAP-TLS, defina o ciclo de vida dos seus certificados. Selecione um fornecedor de Cloud RADIUS que inclua uma PKI integrada ou que se integre perfeitamente com a sua Autoridade de Certificação (CA) existente. Automatize a emissão e revogação de certificados através da sua plataforma de MDM (por exemplo, Intune ou Jamf) para evitar falhas de autenticação devido a certificados expirados.

Passo 3: Configuração de Dispositivos de Rede

Configure os seus dispositivos NAS (pontos de acesso, switches) para apontarem para os endereços IP primário e secundário do Cloud RADIUS. Certifique-se de que o segredo partilhado é criptograficamente complexo (mínimo de 32 caracteres aleatórios). Ajuste as definições de tempo limite de failover; um tempo limite de 3 a 5 segundos é o ideal para evitar atrasos prolongados na autenticação se o nó primário estiver inacessível.

Passo 4: Definição de Políticas

Estabeleça políticas por SSID. Por exemplo, exija EAP-TLS para a rede corporativa, PEAP para dispositivos IoT legados e isole o acesso de convidados. Note que o RADIUS lida com utilizadores conhecidos; para visitantes, implemente uma solução dedicada de Guest WiFi com um Captive Portal para recolher dados primários, integrando-se com uma plataforma de WiFi Analytics . Para saber mais sobre o envolvimento de convidados, consulte Como Melhorar a Satisfação dos Convidados: O Guia Definitivo .

Boas Práticas

Implementar Validação Estrita de Certificados de Servidorcate Validation: Para implementações PEAP, envie políticas de grupo ou perfis MDM que forcem os clientes a validar o certificado do servidor RADIUS e restrinjam a confiança a Root CAs específicas.
Segmentar Tráfego de Contabilidade e Autenticação: Garanta que os dados de contabilidade RADIUS sejam monitorizados e retidos ativamente. Esta pista de auditoria é crítica para relatórios de conformidade (ex.: PCI DSS, HIPAA).
Monitorizar Latência de Autenticação: Uma latência elevada indica frequentemente um encaminhamento subótimo ou problemas de sincronização do IdP. Utilize ferramentas de monitorização para acompanhar o tempo decorrido desde o pacote Access-Request até ao Access-Accept.
Otimizar Planeamento de Sinal e Canais: Uma autenticação fiável depende de uma camada física estável. Reveja guias como Understanding RSSI and Signal Strength for Optimal Channel Planning para garantir que o seu ambiente de RF suporta roaming 802.1X sem falhas.

Resolução de Problemas e Mitigação de Riscos

Mesmo com serviços geridos, as más configurações podem causar falhas de acesso. Os modos de falha comuns incluem:

Expiração de Certificado: A causa número um de falhas EAP-TLS. Mitigação: Implemente alertas automatizados 30 dias antes da expiração do certificado da CA ou do servidor.
Incompatibilidade de Segredo Partilhado: Ocorre frequentemente ao adicionar novos pontos de acesso. Mitigação: Padronize modelos de configuração no seu sistema de gestão de rede.
Problemas de NAT e Whitelisting de IP: Os fornecedores de Cloud RADIUS exigem tipicamente a inclusão de IPs NAS em listas de permissões. Se as suas filiais utilizam IPs dinâmicos ou configurações NAT complexas, os pedidos de autenticação podem ser rejeitados. Mitigação: Utilize IPs de saída estáticos ou implemente um proxy RADIUS local, se necessário.
Falhas de Sincronização do IdP: Se o diretório na cloud falhar ao sincronizar com o AD local, os novos utilizadores não se conseguirão autenticar. Mitigação: Monitorize ativamente o estado do conector SCIM/LDAP.

ROI e Impacto no Negócio

A transição para o Cloud RADIUS proporciona um valor de negócio mensurável:

Redução de Capex em Infraestrutura: Elimina a necessidade de comprar, instalar em bastidor e alimentar servidores RADIUS físicos em cada local principal.
Menor Sobrecarga Operacional: As equipas de TI já não perdem horas a aplicar patches de vulnerabilidades do SO ou a gerir manualmente a redundância de servidores. As atualizações geridas pelo fornecedor garantem uma conformidade contínua.
Postura de Segurança Reforçada: A transição para EAP-TLS através de PKI na cloud mitiga o risco de roubo de credenciais, reduzindo diretamente o custo potencial de uma violação de dados.
Agilidade e Escalabilidade: Ao abrir uma nova filial de retalho ou hotel, a autenticação de rede pode ser provisionada em minutos em vez de semanas. Para estratégias práticas de implementação, consulte Setting Up WiFi for Business: A 2026 Playbook .

Ao centralizar o controlo de acessos, as organizações não só protegem os seus perímetros, como também libertam o talento de engenharia sénior para se focar em iniciativas estratégicas, em vez de manter infraestruturas legadas.

Definições Principais

Cloud RADIUS

Um serviço gerido que aloja o protocolo Remote Authentication Dial-In User Service num ambiente de nuvem de alta disponibilidade, eliminando a necessidade de servidores de autenticação locais.

Avaliado por equipas de TI que procuram reduzir o capex de hardware e os custos operacionais, mantendo um acesso seguro à rede 802.1X.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Um método de autenticação altamente seguro que exige que tanto o cliente como o servidor apresentem certificados digitais para provar a sua identidade.

O padrão recomendado para redes empresariais para evitar ataques baseados em palavras-passe, exigindo PKI e MDM para a implementação.

NAS (Network Access Server)

O dispositivo — como um ponto de acesso WiFi, switch ou concentrador VPN — que atua como o cliente RADIUS, encaminhando as credenciais do utilizador para o servidor RADIUS.

Os engenheiros de rede devem configurar o NAS com os IPs do servidor RADIUS e segredos partilhados corretos para permitir a autenticação 802.1X.

Shared Secret

Uma sequência de texto criptográfica conhecida apenas pelo NAS e pelo servidor RADIUS, utilizada para encriptar pacotes RADIUS e verificar a autenticidade do remetente.

Um Shared Secret fraco é uma grande vulnerabilidade de segurança; as implementações empresariais devem utilizar sequências longas e geradas aleatoriamente.

SCIM (System for Cross-domain Identity Management)

Um padrão aberto que automatiza a troca de informações de identidade de utilizadores entre sistemas de TI ou aplicações na nuvem.

Utilizado para aprovisionar e desaprovisionar automaticamente utilizadores no diretório do Cloud RADIUS quando são efetuadas alterações no sistema de identidade principal de RH ou TI.

OpenRoaming

Uma estrutura de federação desenvolvida pela Wireless Broadband Alliance que permite aos utilizadores ligarem-se de forma automática e segura a redes WiFi aderentes em todo o mundo.

Os fornecedores de Cloud RADIUS que suportam o OpenRoaming (como a Purple) permitem que os locais ofereçam conectividade contínua e segura aos visitantes sem Captive Portals.

Accounting Logs

Registos gerados pelo servidor RADIUS que detalham os eventos de ligação do utilizador, incluindo a hora de início, hora de fim, dados transferidos e o endereço IP atribuído.

Críticos para auditorias de segurança, resolução de problemas e demonstração de conformidade com estruturas como o PCI DSS e o GDPR.

Change of Authorization (CoA)

Uma funcionalidade do RADIUS que permite ao servidor modificar dinamicamente a sessão ativa de um utilizador, como alterar a sua VLAN ou desligá-lo, sem exigir uma nova ligação.

Utilizado por administradores de rede para colocar instantaneamente em quarentena um dispositivo comprometido ou aplicar novas restrições de política a meio da sessão.

Exemplos Práticos

Um hotel de 200 quartos utiliza atualmente o Microsoft NPS local para a autenticação do WiFi dos funcionários através de PEAP. Estão a registar tempos de espera de autenticação esgotados (timeouts) durante as horas de maior afluência no check-in e pretendem migrar para o Cloud RADIUS com EAP-TLS para obter melhor segurança e fiabilidade. Como deve o Diretor de TI estruturar esta migração?

Implementar um inquilino Cloud RADIUS e integrá-lo com o Microsoft Entra ID do hotel via SCIM para a gestão automatizada do ciclo de vida dos utilizadores. 2. Configurar a PKI integrada do Cloud RADIUS para emitir certificados de cliente. 3. Utilizar o MDM existente (ex. Intune) para enviar a Root CA, os certificados de cliente e um novo perfil de WiFi configurado para EAP-TLS para todos os dispositivos dos funcionários. 4. Configurar os pontos de acesso do hotel para apontarem para os IPs primário e secundário do Cloud RADIUS, utilizando um novo segredo partilhado complexo de 32 caracteres. 5. Executar o NPS antigo e o novo Cloud RADIUS em paralelo em SSIDs diferentes durante um período de transição de duas semanas antes de desativar os servidores locais.

Comentário do Examinador: Esta abordagem minimiza o risco ao executar SSIDs paralelos durante a transição. A mudança para o EAP-TLS elimina os riscos de recolha de credenciais associados ao PEAP, e o aproveitamento do MDM para a implementação de certificados garante um impacto nulo para os utilizadores finais. A integração SCIM garante que, quando os funcionários saem, o seu acesso é revogado instantaneamente.

Uma cadeia de retalho nacional com 500 localizações necessita de garantir a conformidade com o PCI DSS para os seus terminais de ponto de venda (POS), que se ligam via WiFi. Estão a migrar para o Cloud RADIUS. Que configurações específicas são necessárias para cumprir a conformidade?

Implementar uma segmentação de rede rigorosa: os terminais POS devem autenticar-se num SSID dedicado e oculto, mapeado para uma VLAN isolada. 2. Impor a autenticação EAP-TLS para todos os dispositivos POS para garantir a autenticação mútua e impedir que dispositivos não autorizados se juntem à rede POS. 3. Configurar o serviço Cloud RADIUS para reter todos os registos de contabilidade (Access-Accept, Access-Reject, duração da ligação) por um período mínimo de um ano, conforme exigido pelo PCI DSS. 4. Garantir que os segredos partilhados do RADIUS entre os APs das filiais e o serviço Cloud RADIUS são rodados a cada 90 dias utilizando um script automatizado.

Comentário do Examinador: Esta solução aborda diretamente os requisitos do PCI DSS para segmentação lógica, controlo de acesso forte e auditabilidade. Depender da filtragem de endereços MAC é insuficiente para a conformidade; o EAP-TLS fornece a prova criptográfica necessária da identidade do dispositivo. A retenção de registos de contabilidade na nuvem simplifica o processo de auditoria para o QSA.

Perguntas de Prática

Q1. A sua organização está a migrar de um Active Directory local para o Google Workspace. Atualmente, utiliza PEAP-MSCHAPv2 para a autenticação WiFi. Por que razão isto é um problema e qual é a solução recomendada?

Dica: Considere como o PEAP valida as credenciais em relação ao protocolo de diretório.

Ver resposta modelo

O PEAP-MSCHAPv2 depende do hash NT da palavra-passe de um utilizador, que o Google Workspace não armazena nem expõe nativamente. A solução recomendada é migrar para o EAP-TLS utilizando um fornecedor de Cloud RADIUS que inclua uma PKI integrada. O serviço Cloud RADIUS pode sincronizar as identidades dos utilizadores a partir do Google Workspace via SAML/SCIM e autenticar os dispositivos utilizando certificados de cliente em vez de palavras-passe.

Q2. Uma filial reporta que os utilizadores estão a registar atrasos de 30 segundos ao ligarem-se à rede WiFi, seguidos de uma ligação bem-sucedida. O IP primário do Cloud RADIUS nessa região está atualmente em manutenção. Que erro de configuração está a causar este atraso?

Dica: Analise a comunicação entre o NAS e os servidores RADIUS.

Ver resposta modelo

O NAS (Ponto de Acesso ou Switch) tem o tempo de espera (timeout) do servidor RADIUS configurado com um valor demasiado elevado (ex. 30 segundos). Está a aguardar que o servidor primário responda antes de efetuar a transição para o servidor secundário. O tempo de espera deve ser reduzido para 3-5 segundos para garantir uma transição rápida sem afetar a experiência do utilizador.

Q3. Está a implementar o Cloud RADIUS para um hospital. A equipa de segurança exige que apenas dispositivos pertencentes à empresa se possam ligar à rede interna, mesmo que um funcionário conheça um nome de utilizador e palavra-passe válidos. Como impõe esta regra?

Dica: Qual o método EAP que verifica a identidade do dispositivo, e não apenas o conhecimento do utilizador?

Ver resposta modelo

Implemente o EAP-TLS. Configure a solução de MDM do hospital para enviar um certificado de cliente exclusivo apenas para dispositivos registados e pertencentes à empresa. Configure a política do Cloud RADIUS para rejeitar qualquer pedido de autenticação que não apresente um certificado válido assinado pela PKI interna de confiança, bloqueando eficazmente dispositivos BYOD ou não autorizados, independentemente do conhecimento da palavra-passe.

Continue a ler esta série

Os Benefícios de Segurança do RADIUS as a Service para Equipas de Trabalho Híbridas

Este guia de referência técnica explica como o RADIUS as a Service protege o acesso à rede para equipas de trabalho híbridas em locais distribuídos. Abrange a arquitetura, os benefícios de segurança e as etapas de implementação para substituir a infraestrutura RADIUS local por um serviço de autenticação gerido na nuvem. Para gestores de TI e arquitetos de rede em hotéis, cadeias de retalho, estádios e organizações do setor público, este guia fornece as provas necessárias para avaliar e agir sobre uma migração para RADIUS na nuvem este trimestre.

Integrar o RADIUS as a Service com Diretórios Cloud (Azure AD & Google Workspace)

Este guia de referência técnica detalha como integrar o RADIUS as a Service com diretórios cloud - Microsoft Entra ID e Google Workspace - para a autenticação de WiFi empresarial. Abrange a transição arquitetónica de NPS on-premise para RADIUS nativo na nuvem, a implementação de autenticação EAP-TLS baseada em certificados e as melhores práticas operacionais para proteger o acesso sem fios em ambientes de hotelaria, retalho e setor público. Para gestores de TI e arquitetos de rede que já investem em identidade na nuvem, este guia preenche a lacuna entre a gestão de diretórios e a segurança da rede física.

Como Implementar a Autenticação 802.1X com Cloud RADIUS

Este guia de referência técnica fornece uma estrutura abrangente para a implementação da autenticação 802.1X com Cloud RADIUS em propriedades empresariais distribuídas. Detalha a arquitetura, a seleção do método EAP, a sequência de implementação e as estratégias de mitigação de riscos necessárias para proteger o acesso à rede, eliminando simultaneamente os custos operacionais da infraestrutura local.