O Que É RADIUS? Como os Servidores RADIUS Protegem Redes WiFi

Este guia de referência técnica e autoritário explica como o RADIUS (Remote Authentication Dial-In User Service) sustenta a segurança WiFi empresarial através da estrutura IEEE 802.1X, cobrindo arquitetura, implementação e conformidade. Concebido para gestores de TI, arquitetos de rede e diretores de operações de espaços, oferece orientação prática sobre a transição de Chaves Pré-Partilhadas (Pre-Shared Keys) partilhadas para autenticação por utilizador com aplicação dinâmica de políticas. O guia também mapeia os pontos de integração do RADIUS com a plataforma de guest WiFi e análise da Purple, com estudos de caso concretos de ambientes de hotelaria e retalho.

📖 6 min de leitura📝 1,426 palavras🔧 2 exemplos❓ 3 perguntas📚 10 termos-chave

🎧 Ouça este Guia

Ver Transcrição

Welcome to the Purple Technical Briefing. I'm your host, and today we're tackling a foundational element of enterprise wireless security: RADIUS. If you're managing network architecture for a hotel chain, a retail footprint, or a large public venue, you know that handing out a single shared WiFi password simply doesn't scale. It's a security risk, it's an operational headache, and it completely blinds you to who is actually on your network. Today, we're going to break down what RADIUS is, how it secures your WiFi through the 802.1X framework, and how you should approach deploying it.

Let's start with the context. Why are we talking about RADIUS? Remote Authentication Dial-In User Service is an old protocol — it dates back to the dial-up days — but it remains the absolute bedrock of modern network access control. When you walk into a corporate office and your laptop seamlessly connects to the secure WiFi without you typing a password, that's RADIUS at work. For venue operators, moving from Pre-Shared Keys — or PSKs — to RADIUS is the transition from consumer-grade connectivity to enterprise-grade security.

So, let's dive into the technical architecture. When we talk about securing WiFi with RADIUS, we're really talking about the IEEE 802.1X standard. This framework relies on a triangle of trust. First, you have the Supplicant — that's the end-user device, the laptop or the smartphone. Second, you have the Authenticator — this is your Network Access Server, typically your wireless access point or a switch. And third, you have the Authentication Server, which is your RADIUS server.

Here is how the flow works. A device tries to connect to the WiFi. The Access Point acts as a bouncer. It blocks all network traffic except for authentication messages — specifically, Extensible Authentication Protocol, or EAP, messages. The AP takes these EAP messages from the device, wraps them up in a RADIUS packet, and sends them over UDP port 1812 to the RADIUS server. The RADIUS server then checks those credentials against your identity store — maybe that's Active Directory, LDAP, or a cloud provider like Azure AD. If the credentials check out, the RADIUS server sends an Access-Accept message back to the AP, and the bouncer lets the device onto the network.

But RADIUS isn't just about saying yes or no. It's about Authorization. That Access-Accept packet can carry Vendor-Specific Attributes, or VSAs. This is where it gets powerful. Instead of broadcasting five different WiFi networks for Staff, Management, Point of Sale, and IoT devices, you broadcast one secure SSID. When a user authenticates, the RADIUS server tells the Access Point: This is a Management user, put them on VLAN 30. Or: This is a POS device, put it on VLAN 40 with strict firewall rules. That dynamic policy enforcement is a game-changer for network design. It simplifies your RF environment, reduces interference, and gives you granular control over who can reach what.

Now, let's talk about the Accounting function of RADIUS — the third pillar of AAA. Every time a user connects and disconnects, the RADIUS server logs it. You get a full audit trail: who connected, from which device, for how long, and how much data they transferred. For compliance-conscious organisations — think PCI DSS for retail, or GDPR for any European operation — this audit trail is invaluable. It's the difference between being able to demonstrate access controls to an auditor and scrambling to explain why you have no records.

Let's move into implementation. The security of this whole setup depends entirely on the EAP method you choose. The gold standard is EAP-TLS. This uses digital certificates on both the server and the client device. There are no passwords to steal, no credentials to phish. It's incredibly secure, but it requires a solid Mobile Device Management platform to push those certificates to your corporate devices. If you have a mature Intune or Jamf deployment, EAP-TLS is the right choice for corporate-managed endpoints.

If you have BYOD devices, you might use PEAP — Protected EAP — which uses a username and password inside an encrypted TLS tunnel. It's easier to deploy, but you must ensure users are trained not to ignore certificate warnings, or they could fall victim to a rogue access point harvesting their credentials. The rule of thumb is: EAP-TLS for managed devices, PEAP for BYOD, and never use unprotected EAP methods in production.

When deploying RADIUS, high availability is critical. If your RADIUS server goes down, nobody gets on the network. You need redundancy — at minimum, a primary and a secondary server, ideally in separate data centres or availability zones. Configure every Access Point with both server addresses so it can fail over automatically. And you must watch your latency. EAP is sensitive to delays. If your APs are in Manchester and your RADIUS server is in a distant data centre, the authentication might time out before it completes. Cloud RADIUS services with global points of presence are increasingly the right answer here, particularly for organisations with distributed estates.

One more architectural consideration worth calling out: RADIUS Proxy. This is how federated identity works for WiFi. Think about eduroam — the academic roaming network — or govroam for public sector. When a user from University A visits University B, their device authenticates using their home institution's credentials. The local RADIUS server inspects the realm — the domain part of the username — and proxies the authentication request to the home institution's RADIUS server. The home server validates the credentials and returns the result. This same architecture is applicable to any multi-organisation deployment, including large enterprise estates with multiple subsidiaries.

Now, let's do a rapid-fire Q&A on the questions I get most often from clients.

Question one: Can we just use a captive portal instead of RADIUS? Answer: For guest access, a captive portal is absolutely appropriate. It's the right tool for collecting guest data, presenting terms and conditions, and enabling social login. But for staff or corporate devices, a captive portal provides no encryption over the air between the device and the access point. RADIUS, combined with WPA2-Enterprise or WPA3-Enterprise, provides per-session encryption keys. You need RADIUS for any device handling corporate data.

Question two: Why are my APs timing out when talking to the new RADIUS server? Answer: Check your Shared Secret first. The AP and the RADIUS server use a shared secret key to verify the integrity of their communications. If that key is mistyped on either side, the RADIUS server will silently drop the Access-Request packets without logging an authentication failure. The AP just sees a timeout. It's the number one configuration error in new deployments, and it's maddening to diagnose if you don't know to look for it.

Question three: We have IoT devices that don't support 802.1X. How do we handle them? Answer: This is a very common challenge. The answer is MAC Authentication Bypass, or MAB. The RADIUS server can be configured to accept a device's MAC address as its identity. It's not as secure as certificate-based auth, but it allows you to register known IoT devices and place them on a dedicated, restricted VLAN. Combine MAB with strict ACLs and network monitoring for a reasonable security posture.

To summarise everything we've covered today: RADIUS is the engine that drives 802.1X enterprise security. It moves you away from shared passwords and onto per-user, per-device identity. It enables dynamic network policies through VLAN assignment and Vendor-Specific Attributes. It provides the audit trail you need for compliance with PCI DSS and GDPR. And through proxy architectures, it enables federated identity and seamless roaming across organisational boundaries.

The investment in RADIUS infrastructure — whether that's an on-premises deployment like FreeRADIUS or Microsoft NPS, or a cloud-hosted service — pays for itself quickly in reduced helpdesk overhead, eliminated credential-sharing incidents, and the operational simplicity of managing one secure SSID instead of many. For any organisation operating at scale, RADIUS is not optional. It's foundational.

Thank you for listening to this Purple Technical Briefing. For more guides on enterprise WiFi security, including our deep-dive on WPA2 versus WPA3, visit purple dot ai.

Principais Conclusões

✓RADIUS provides centralised Authentication, Authorization, and Accounting (AAA) for network access, operating over UDP ports 1812 and 1813.
✓In WiFi networks, RADIUS operates within the IEEE 802.1X framework to replace shared Pre-Shared Keys with per-user, per-device credentials and audit trails.
✓The architecture relies on three components: the Supplicant (device), the Authenticator (AP or switch), and the Authentication Server (RADIUS server).
✓Dynamic VLAN assignment via RADIUS Vendor-Specific Attributes allows multiple user roles to securely share a single wireless SSID, simplifying the RF environment.
✓EAP-TLS offers the highest security by using mutual certificate authentication instead of passwords, eliminating credential theft and phishing vectors.
✓Deploying RADIUS is essential for meeting compliance standards including PCI DSS for retail and GDPR for any European operation handling personal data.
✓The most common deployment failure is a Shared Secret mismatch between the AP and the RADIUS server, which causes silent packet drops and AP-side timeouts.

Resumo Executivo

Para arquitetos de rede empresarial e diretores de TI, proteger o acesso sem fios em locais distribuídos exige mais do que uma palavra-passe partilhada. À medida que a densidade de dispositivos aumenta nos setores de hotelaria, retalho e público, as limitações das Chaves Pré-Partilhadas (PSK) e dos captive portals básicos tornam-se vulnerabilidades críticas. O Remote Authentication Dial-In User Service (RADIUS) fornece a arquitetura fundamental para uma segurança WiFi robusta e escalável.

Este guia de referência técnica detalha como o RADIUS opera dentro da estrutura 802.1X para fornecer autenticação por utilizador, aplicação dinâmica de políticas e registos de auditoria abrangentes. Ao centralizar a gestão de identidades, o RADIUS permite o acesso à rede de confiança zero, mitigando os riscos de partilha de credenciais e acesso não autorizado, ao mesmo tempo que garante a conformidade com rigorosos padrões de proteção de dados. Exploramos os componentes centrais, metodologias de implementação e como a integração do RADIUS com plataformas como a infraestrutura de Guest WiFi da Purple otimiza as operações, ao mesmo tempo que melhora a postura de segurança.

Análise Técnica Detalhada: Arquitetura RADIUS e 802.1X

O RADIUS é um protocolo de camada de aplicação que opera sobre UDP (tradicionalmente porta 1812 para autenticação e 1813 para contabilidade) que fornece gestão centralizada de Autenticação, Autorização e Contabilidade (AAA) para utilizadores que se conectam a um serviço de rede.

Ao proteger o WiFi empresarial, o RADIUS atua como o servidor de autenticação dentro da estrutura IEEE 802.1X. Esta arquitetura consiste em três componentes principais:

O Suplicante é o dispositivo do utilizador final — portátil, smartphone ou dispositivo IoT — que solicita acesso à rede. O Autenticador é o Servidor de Acesso à Rede (NAS), tipicamente o ponto de acesso sem fios ou switch, que bloqueia todo o tráfego até que a autenticação seja bem-sucedida. O Servidor de Autenticação é o próprio servidor RADIUS, que valida as credenciais contra um armazenamento de identidade como o Active Directory, LDAP ou um fornecedor de identidade na cloud.

O Fluxo de Autenticação

Quando um dispositivo se associa a um SSID com 802.1X ativado, o ponto de acesso restringe todo o tráfego, exceto as mensagens do Extensible Authentication Protocol (EAP). O Autenticador envia um pacote EAP-Request/Identity ao Suplicante. O Suplicante responde com um EAP-Response/Identity, que o Autenticador encapsula num pacote RADIUS Access-Request e encaminha para o servidor RADIUS. O servidor RADIUS negoceia um método EAP — como EAP-TLS ou PEAP-MSCHAPv2 — com o Suplicante para trocar credenciais de forma segura. Após a validação bem-sucedida contra o armazenamento de identidade, o servidor RADIUS devolve um pacote RADIUS Access-Accept. Este pacote frequentemente contém Atributos Específicos do Fornecedor (VSAs) que instruem o Autenticador a aplicar políticas específicas, como atribuir o utilizador a uma VLAN particular ou aplicar limites de largura de banda.

Métodos EAP e Postura de Segurança

A segurança de uma implementação RADIUS depende fortemente do método EAP escolhido. O EAP-TLS (Transport Layer Security) é o padrão ouro para a segurança empresarial. Requer certificados de servidor e cliente, eliminando a dependência de palavras-passe e mitigando o roubo de credenciais. No entanto, exige uma robusta Infraestrutura de Chave Pública (PKI) e Gestão de Dispositivos Móveis (MDM) para o aprovisionamento de certificados. O PEAP (Protected EAP) cria um túnel TLS encriptado entre o Suplicante e o servidor RADIUS, dentro do qual ocorre a autenticação interna — tipicamente MSCHAPv2 usando um nome de utilizador e palavra-passe — ocorre. Embora mais fácil de implementar do que o EAP-TLS, é vulnerável à recolha de credenciais se os utilizadores ignorarem os avisos de validação do certificado do servidor.

A Função de Contabilidade

Para além da autenticação e autorização, o RADIUS fornece registos de contabilidade detalhados. Cada início, fim e atualização intermédia de sessão é registado — capturando a identidade do utilizador, o endereço MAC do dispositivo, a duração da sessão e os dados transferidos. Este registo de auditoria é um requisito de conformidade sob o PCI DSS para ambientes de Retalho e suporta as obrigações de controlo de acesso do GDPR. A integração destes dados com plataformas de WiFi Analytics estende o seu valor para inteligência operacional.

Guia de Implementação: Implementar RADIUS para WiFi Empresarial

A implementação do RADIUS requer um planeamento cuidadoso para garantir alta disponibilidade, baixa latência e uma experiência de utilizador perfeita.

Arquitetura e Dimensionamento

O RADIUS é um caminho crítico para o acesso à rede. Implemente servidores RADIUS redundantes em centros de dados geograficamente diversos ou zonas de disponibilidade. Configure os Autenticadores com endereços IP de servidores RADIUS primários e secundários para permitir o failover automático. A autenticação RADIUS é sensível à latência — alta latência pode causar timeouts EAP, resultando em falhas de conexão. Posicione os servidores RADIUS perto da extremidade da rede, sempre que viável, ou utilize soluções RADIUS na cloud com pontos de presença globais.

Integração com Armazenamentos de Identidade

O servidor RADIUS deve comunicar com a sua fonte de verdade para a identidade do utilizador. Para implementações on-premises, a integração com o Microsoft Active Directory via Network Policy Server (NPS) ou FreeRADIUS com ligações LDAP é padrão. As implementações modernas aproveitam cada vez mais os fornecedores de identidade na cloud (IdPs) como Azure AD, Okta ou Google Workspace. Isto frequentemente requer a implementação de um proxy RADIUS ou a utilização de serviços RADIUS na cloud que fazem a ponte nativa do protocolo RADIUS para APIs SAML e OIDC.

Aplicação de Políticas e Segmentação

Aproveite os atributos RADIUS para atribuir dinamicamente políticas de rede com base na identidade do utilizador ou na adesão a grupos. Em vez de difundir múltiplos SSIDs para diferengrupos de utilizadores — Pessoal, Gestão, IoT — transmitem um único SSID 802.1X. O servidor RADIUS devolve o atributo Tunnel-Private-Group-ID para atribuir o utilizador à VLAN apropriada dinamicamente. Aplique Listas de Controlo de Acesso (ACLs) baseadas nas respostas RADIUS para restringir o acesso a recursos internos sensíveis, implementando Controlo de Acesso Baseado em Funções (RBAC) na camada de rede.

Melhores Práticas e Conformidade

A implementação do RADIUS é um componente chave para o alinhamento com os padrões da indústria e os quadros regulamentares.

Proteção da Infraestrutura RADIUS

O RADIUS utiliza um segredo partilhado para encriptar a comunicação entre o Autenticador e o servidor RADIUS. Utilize segredos partilhados fortes e gerados aleatoriamente — um mínimo de 32 caracteres — e rode-os periodicamente. Coloque os servidores RADIUS numa VLAN de gestão segura e isolada. Restrinja o acesso utilizando regras de firewall rigorosas, permitindo apenas UDP 1812 e 1813 de Autenticadores conhecidos. Se utilizar EAP-TLS ou PEAP, certifique-se de que o certificado do servidor RADIUS é emitido por uma Autoridade de Certificação (CA) fidedigna pelos dispositivos cliente, e monitorize rigorosamente as datas de expiração dos certificados.

Considerações de Conformidade

Para ambientes de Retalho que lidam com dados de cartões de pagamento, o RADIUS satisfaz os requisitos PCI DSS para identificação única de utilizadores e criptografia forte para redes sem fios. Para ambientes de Saúde , o RADIUS fornece o controlo de acesso e o registo de auditoria exigidos pelos quadros de proteção de dados. Ao fornecer responsabilidade individual, o RADIUS apoia os requisitos do GDPR para segurança de dados e controlo de acesso. A integração do RADIUS com uma plataforma de WiFi Analytics permite políticas de recolha e retenção de dados conformes. Compreender a interação entre o RADIUS e os padrões de encriptação sem fios também é crítico — o nosso guia WPA, WPA2 and WPA3: What's the Difference and Which Should You Use? aborda a camada de encriptação em detalhe.

Resolução de Problemas e Mitigação de Riscos

Quando a autenticação RADIUS falha, o impacto é imediato: os utilizadores não conseguem ligar-se. Uma abordagem sistemática à resolução de problemas é essencial.

Incompatibilidade de Segredo Partilhado é o erro de configuração mais comum. Se o segredo partilhado no AP não corresponder ao servidor, o servidor RADIUS descartará silenciosamente os pacotes Access-Request. O sintoma é um tempo limite de ligação do cliente sem registos correspondentes no servidor RADIUS. Os Tempos Limite EAP são causados por latência de rede entre o AP e o servidor RADIUS, ou por um servidor RADIUS sobrecarregado. O sintoma é os clientes serem repetidamente solicitados a fornecer credenciais ou falharem na ligação durante os períodos de pico. Os Problemas de Confiança de Certificados ocorrem quando o dispositivo cliente não confia na CA que assinou o certificado do servidor RADIUS, fazendo com que a negociação EAP termine. O sintoma é um aviso de certificado no cliente ou uma falha de ligação silenciosa. As falhas de Conectividade do Armazenamento de Identidades ocorrem quando o servidor RADIUS não consegue aceder ao Active Directory ou LDAP para validar credenciais, resultando em falhas de autenticação apesar das credenciais corretas.

Para mitigar estes riscos, agregue os registos RADIUS numa plataforma SIEM ou de registo central para monitorização e alerta em tempo real. Implemente sondas sintéticas que simulam continuamente autenticações 802.1X para detetar problemas de latência ou disponibilidade antes que afetem os utilizadores. Para organizações com propriedades distribuídas, compreender como o RADIUS se encaixa na arquitetura WAN mais ampla é valioso — The Core SD WAN Benefits for Modern Businesses fornece contexto relevante sobre os princípios de design de rede.

ROI e Impacto no Negócio

A transição para uma arquitetura 802.1X suportada por RADIUS requer investimento em infraestrutura e configuração, mas o retorno é significativo para ambientes empresariais.

Eficiência Operacional

O RADIUS elimina a necessidade de atualizar e distribuir manualmente Chaves Pré-Partilhadas quando um funcionário sai ou uma chave é comprometida. A integração com plataformas MDM permite o aprovisionamento de certificados ou perfis sem intervenção, simplificando a integração de dispositivos. Para operadores de Hotelaria que gerem centenas de dispositivos de funcionários em várias propriedades, esta simplificação operacional traduz-se diretamente na redução dos custos de TI. Para centros de Transporte que gerem milhares de ligações simultâneas, a escalabilidade do RADIUS é inegociável.

Segurança e Análise Aprimoradas

O controlo de acesso granular e a atribuição dinâmica de VLANs reduzem o raio de impacto de uma potencial violação, limitando o movimento lateral. Os dados de contabilidade RADIUS fornecem informações valiosas sobre a utilização da rede e o comportamento do utilizador. Quando integrados com a plataforma da Purple, estes dados melhoram as capacidades de análise, impulsionando melhores decisões operacionais em todos os tipos de locais. A combinação de autenticação segura e análise acionável representa a proposta de valor completa da infraestrutura WiFi empresarial.

Termos-Chave e Definições

RADIUS (Remote Authentication Dial-In User Service)

A networking protocol providing centralised Authentication, Authorization, and Accounting (AAA) management for users connecting to a network service. Operates over UDP ports 1812 (authentication) and 1813 (accounting).

The core infrastructure required to move from shared passwords to individual user identities on an enterprise WiFi network.

802.1X

An IEEE standard for port-based Network Access Control (PNAC), providing an authentication mechanism to devices wishing to attach to a LAN or WLAN. It defines the roles of Supplicant, Authenticator, and Authentication Server.

The framework that utilises RADIUS to secure enterprise wireless networks. Any enterprise WiFi deployment targeting WPA2-Enterprise or WPA3-Enterprise must implement 802.1X.

Supplicant

The client device — laptop, smartphone, or IoT device — that wishes to attach to the network and must provide credentials to the Authenticator.

The endpoint that requires configuration, often via MDM, to support the chosen EAP method and trust the RADIUS server's certificate.

Authenticator

The network device — typically a wireless Access Point or an 802.1X-capable switch — that facilitates the authentication process by relaying EAP messages between the Supplicant and the RADIUS server.

The infrastructure component that enforces the block or allow decision based on the RADIUS server's response. It is the 'bouncer' of the network.

EAP (Extensible Authentication Protocol)

An authentication framework that defines a set of negotiable authentication methods (EAP methods) used to carry credentials securely between the Supplicant and the Authentication Server.

The protocol that carries the actual authentication credentials — certificates, passwords — securely over the air within the 802.1X framework.

EAP-TLS (EAP Transport Layer Security)

An EAP method that uses mutual TLS authentication, requiring both the RADIUS server and the client device to present valid digital certificates. It eliminates password-based authentication entirely.

The most secure method for wireless authentication. Recommended for all corporate-managed devices where an MDM platform can provision client certificates.

VSA (Vendor-Specific Attribute)

Custom attributes within a RADIUS packet that allow network vendors to support proprietary or extended features beyond the standard RADIUS attribute set defined in RFC 2865.

Used extensively for advanced policy enforcement, including dynamic VLAN assignment (Tunnel-Private-Group-ID), bandwidth limits, and applying specific firewall roles to authenticated sessions.

Shared Secret

A text string known only to the Authenticator and the RADIUS server, used to verify the integrity of RADIUS packets and encrypt the password field within Access-Request packets.

A critical security parameter. A mismatch between the AP and the server causes silent packet drops and is the most common cause of authentication failure in new deployments.

NAS (Network Access Server)

The network device — typically an Access Point or switch — that acts as the Authenticator in the 802.1X framework, enforcing access control based on RADIUS decisions.

Often used interchangeably with 'Authenticator' in RADIUS documentation and vendor configuration guides.

PEAP (Protected EAP)

An EAP method that establishes an encrypted TLS tunnel between the Supplicant and the RADIUS server, within which a simpler inner authentication method (typically MSCHAPv2) is used to validate username and password credentials.

A pragmatic choice for BYOD environments where deploying client certificates is impractical. Requires strict enforcement of server certificate validation on client devices to prevent credential harvesting attacks.

Estudos de Caso

A 200-room hotel needs to segment its wireless network. Currently, they use a single PSK for staff and a captive portal for guests. Staff devices — tablets for housekeeping, laptops for management — are intermingled on the same subnet. How should they redesign this using RADIUS?

Deploy a cloud-hosted RADIUS server integrated with the hotel's Azure AD. Configure the wireless access points to use 802.1X authentication pointing to the RADIUS server. In Azure AD, create security groups for 'Housekeeping' and 'Management'. On the RADIUS server, configure network policies: if the authenticating user is a member of the 'Housekeeping' group, return Access-Accept with the RADIUS attribute Tunnel-Private-Group-ID set to VLAN 20. If the user is in 'Management', return VLAN 30. Deploy MDM profiles via Intune to staff devices with EAP-TLS certificates for seamless, password-free authentication. Guest access continues via a separate SSID using Purple's captive portal for data capture and terms acceptance.

Notas de Implementação: This approach eliminates the shared PSK vulnerability and automatically segments traffic based on identity, without requiring additional SSIDs. Using EAP-TLS removes the need for staff to enter passwords on shared devices, improving both user experience and security posture. The dynamic VLAN assignment simplifies the RF environment by reducing the number of broadcast SSIDs, which improves overall wireless performance. The hotel retains the guest captive portal for marketing data collection while applying enterprise-grade security to operational devices.

A retail chain with 80 stores is experiencing frequent WiFi connection drops for their handheld inventory scanners during peak holiday shopping hours. The scanners use PEAP-MSCHAPv2 against a central RADIUS server located in a regional data centre connected via a managed MPLS WAN.

Analyse RADIUS server logs to confirm EAP timeouts correlating with peak traffic periods. Measure the round-trip latency between the store APs and the RADIUS server — if this exceeds 150ms, EAP timeouts become likely. Implement local survivability at the branch level by deploying a lightweight RADIUS proxy or edge appliance at each store that caches session credentials for a defined period. Alternatively, migrate to a cloud RADIUS service with regional points of presence to reduce WAN dependency. Adjust the EAP timeout and retry parameters on the wireless controllers to accommodate the measured latency. For the longer term, evaluate migrating scanner authentication to MAC Authentication Bypass (MAB) with strict VLAN assignment, reducing the authentication overhead for non-interactive IoT devices.

Notas de Implementação: Relying on a centralised RADIUS server across a high-latency WAN link is a common design flaw for time-sensitive EAP authentications, particularly for IoT and handheld devices that re-authenticate frequently. Local survivability ensures business continuity for critical operational devices even if the WAN link degrades. The MAB recommendation for scanners is appropriate because these are known, registered devices that do not require user-level identity — the security objective is device registration and VLAN placement, not user accountability.

Análise de Cenários

Q1. Your organisation is migrating from a single PSK to 802.1X. You have a mix of corporate-owned laptops managed via Intune and employee BYOD smartphones. What EAP methods should you deploy for each device category, and what are the key configuration requirements for each?

💡 Dica:Consider the certificate provisioning capabilities available for managed versus unmanaged devices, and the security trade-offs of password-based versus certificate-based authentication.

Mostrar Abordagem Recomendada

Deploy EAP-TLS for corporate-owned laptops, utilising Intune to silently push the required client certificates via a SCEP or PKCS profile. This eliminates password-based authentication and provides the strongest security posture. For BYOD smartphones where client certificate management is impractical, deploy PEAP-MSCHAPv2, allowing users to authenticate with their corporate username and password within a protected TLS tunnel. Critically, configure the RADIUS server to present a certificate from a well-known CA, and enforce server certificate validation on client devices via a WiFi configuration profile to prevent rogue AP attacks. Consider separating BYOD devices onto a restricted VLAN with limited access to internal resources.

Q2. After deploying a new RADIUS server for a stadium's staff WiFi, clients are failing to connect. The AP logs show 'RADIUS Server Timeout'. Network team confirms UDP 1812 is open between the APs and the RADIUS server. What is the most likely root cause, and what is your diagnostic process?

💡 Dica:The RADIUS server will silently discard packets if a specific security parameter does not match, producing a timeout on the AP side with no corresponding log entry on the server.

Mostrar Abordagem Recomendada

The most likely cause is a Shared Secret mismatch. If the shared secret configured on the Access Point does not exactly match the shared secret configured for that AP's IP address on the RADIUS server, the server will drop the Access-Request packets without generating an authentication failure log entry. The diagnostic process is: (1) Check the RADIUS server logs — if there are zero entries for the AP's IP address, the server is discarding packets, pointing to a shared secret mismatch. (2) Verify the shared secret on both the AP and the RADIUS server client configuration, checking for trailing spaces or character encoding issues. (3) If shared secrets match, use a packet capture on the RADIUS server's network interface to confirm packets are arriving. (4) If packets arrive but are dropped, verify the AP's source IP address matches the client IP configured on the RADIUS server.

Q3. A public sector venue wants to offer seamless, secure WiFi to visitors from partner government departments, allowing them to authenticate using their home organisation's credentials without requiring a separate guest account. How does RADIUS enable this, and what are the key security considerations?

💡 Dica:Think about how RADIUS requests can be forwarded between different organisations based on the identity realm, and what trust relationships must be established.

Mostrar Abordagem Recomendada

This is achieved using a RADIUS Proxy architecture, similar to the eduroam or govroam models. The local RADIUS server is configured as a proxy. When it receives an Access-Request, it inspects the realm — the domain portion of the username, such as user@department.gov.uk . If the realm belongs to a partner organisation, the local server forwards the Access-Request to the partner's RADIUS server over a pre-established, encrypted RADIUS proxy connection. The partner server authenticates the user against its own identity store and returns the result to the local server, which relays it to the AP. Key security considerations include: establishing formal trust agreements with each partner organisation; using RadSec (RADIUS over TLS) rather than standard UDP for proxy connections to encrypt traffic in transit; validating that the partner RADIUS server's certificate is trusted before accepting proxied responses; and defining clear policies for what network access level to grant to visiting users from each partner realm.