O que é um Supplicant 802.1X? Tipos de Clientes e Configuração de Dispositivos

Este guia explica o papel do supplicant 802.1X na autenticação WiFi empresarial. Abrange a arquitetura técnica, compara supplicants nativos do SO com clientes de terceiros e fornece orientação prática de configuração para equipas de TI que implementam EAP-TLS e PEAP.

📖 5 min de leitura📝 1,091 palavras🔧 2 exemplos práticos❓ 3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast

Speak in British English with a confident, authoritative, conversational tone - like a senior network security consultant briefing a client. Measured pace, clear diction, professional but not stiff. Occasional natural pauses for emphasis:

Bem-vindo à série de briefings técnicos da Purple. Hoje vamos abordar algo que está no centro da segurança de WiFi empresarial - o suplicante 802.1X. Se alguma vez se perguntou por que razão alguns dispositivos se ligam à sua rede corporativa sem solicitarem uma palavra-passe, enquanto outros apresentam erros de certificado e geram tickets de suporte, este episódio é para si.

[pausa média]

Comecemos pelo básico. O suplicante 802.1X é o componente de software num dispositivo cliente - um portátil, um smartphone, um tablet - que gere o handshake de autenticação quando esse dispositivo tenta ligar-se a uma rede protegida por IEEE 802.1X. Pense nele como o apresentador do cartão de identificação do dispositivo. A rede não deixa entrar qualquer um. Pede credenciais. O suplicante é quem dá um passo em frente e diz: aqui está quem eu sou, aqui está o meu certificado, deixe-me entrar.

O próprio padrão - IEEE 802.1X - define o controlo de acesso à rede baseado em portas. Antes de a autenticação ser bem-sucedida, o ponto de acesso ou switch apenas permite a passagem de um tipo de tráfego muito restrito: tramas EAPOL, que significa Extensible Authentication Protocol over LAN. Tudo o resto é bloqueado. Assim que o suplicante prova a sua identidade ao servidor RADIUS através do autenticador, a porta abre-se e o tráfego normal flui.

[pausa média]

Agora, existem três intervenientes nesta peça. Primeiro, o suplicante - o dispositivo cliente. Segundo, o autenticador - o seu ponto de acesso ou switch, hardware como Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist. Terceiro, o servidor de autenticação - quase sempre um servidor RADIUS, que valida as credenciais face a um diretório como o Microsoft Entra ID ou Okta.

O suplicante inicia o processo enviando uma mensagem EAPOL-Start. O autenticador responde com um EAP-Request de identidade. O suplicante responde com a sua identidade. Essa identidade é encaminhada para o servidor RADIUS, que depois desafia o suplicante com o método EAP acordado. Se tudo estiver correto, o servidor RADIUS envia um Access-Accept, a porta abre-se e o dispositivo é colocado na VLAN correta.

[pausa média]

Vamos falar sobre os métodos EAP, porque é aqui que a maioria das decisões de implementação são tomadas.

EAP-TLS — ou seja, Extensible Authentication Protocol com Transport Layer Security — é o padrão de excelência. Requer que tanto o cliente como o servidor apresentem certificados. Autenticação mútua. Sem palavra-passe. O certificado do cliente comprova a identidade do dispositivo; o certificado do servidor comprova que a rede é legítima, o que protege contra ataques de "evil twin" onde um ponto de acesso não autorizado tenta recolher credenciais. O EAP-TLS é concluído em doze passos e utiliza criptografia de chave pública-privada em todo o processo. É o método exigido para o WPA3-Enterprise no seu modo de segurança mais elevado e alinha-se com os requisitos do NIST SP 800-171 para verificação de identidade de dispositivos.

PEAP — Protected EAP — é o ponto de partida mais comum para organizações que ainda não possuem uma PKI completa implementada. O PEAP envolve um método interno baseado em palavra-passe, normalmente o MSCHAPv2, dentro de um túnel TLS. O servidor apresenta um certificado; o cliente não. Isto significa que a implementação é mais simples — não precisa de aprovisionar certificados de cliente — mas é menos segura. O MSCHAPv2 utiliza hashing MD4, que é considerado comprometido desde 1995. Se um utilizador se ligar a um ponto de acesso não autorizado que apresente um certificado aparentemente fidedigno, as suas credenciais podem ser capturadas. A validação do certificado do servidor do lado do cliente é, por isso, inegociável ao executar o PEAP.

[medium pause]

Agora vamos focar-nos no próprio suplicante — especificamente na escolha entre os suplicantes nativos do SO e o software de cliente de terceiros.

Cada sistema operativo principal inclui um suplicante 802.1X integrado. O Windows suporta-o nativamente desde o XP, através dos serviços Wireless AutoConfig e Wired AutoConfig. O macOS e o iOS gerem o 802.1X através dos seus perfis de configuração de rede. O Android suporta-o através do painel de definições de WiFi. Estes suplicantes nativos cobrem EAP-TLS e PEAP-MSCHAPv2 em todas as plataformas atuais.

A vantagem dos suplicantes nativos é óbvia: sem software adicional para implementar, sem custos de licenciamento, atualizações automáticas de segurança do SO e uma forte integração com o repositório de certificados do sistema operativo. Para frotas de dispositivos geridos — computadores Windows registados no Microsoft Intune, Macs geridos através do Jamf — pode enviar perfis de configuração 802.1X de forma silenciosa via MDM, e os utilizadores nunca veem um aviso. O dispositivo autentica-se automaticamente sempre que entra no alcance.

Os suplicantes de terceiros entram em jogo em cenários específicos. Se estiver a executar infraestrutura Cisco e pretender utilizar o EAP-FAST - o método EAP proprietário da Cisco - necessita do software cliente da Cisco, historicamente o Secure Services Client ou o AnyConnect Network Access Manager. Se precisar de uma gestão de configuração consistente num parque de SO mistos e quiser bloquear as definições do suplicante para que os utilizadores não as configurem incorretamente por acidente, um cliente de terceiros oferece-lhe esse controlo. Ferramentas como o pacote JoinNow da SecureW2 também funcionam como agentes de integração - configuram o suplicante nativo em vez de o substituir, orientando os utilizadores através do registo de certificados e da instalação de perfis.

[medium pause]

Permita-me apresentar-lhe dois cenários do mundo real para tornar isto concreto.

Primeiro, um hotel de 400 quartos. Atualmente, a propriedade gere uma rede de funcionários em WPA2-Enterprise com PEAP-MSCHAPv2. A equipa de TI pretende migrar para EAP-TLS para eliminar a autenticação baseada em palavra-passe e reduzir o risco de roubo de credenciais. O desafio: os dispositivos dos funcionários são uma mistura de portáteis Windows geridos através do Intune, telemóveis Android pessoais utilizados para o software de gestão da propriedade e um punhado de máquinas legacy Windows 7 no back-of-house.

A abordagem aqui é faseada. Comece pela frota gerida de Windows. Envie um perfil de configuração do Intune que instala o certificado CA de raiz do servidor RADIUS, configura o perfil de WiFi para EAP-TLS e aciona o registo de certificados baseado em SCEP a partir da PKI interna. Esses dispositivos autenticam-se automaticamente desde o primeiro dia. Para os dispositivos Android BYOD, implemente um portal de integração self-service - os utilizadores acedem a um URL, transferem um perfil de configuração e o suplicante é configurado por eles. As máquinas legacy Windows 7 mantêm-se em PEAP com validação rigorosa de certificado de servidor aplicada, isoladas numa VLAN separada com acesso limitado, até serem desativadas.

[medium pause]

Segundo cenário: uma grande cadeia de retalho com 200 lojas. Cada loja tem uma mistura de terminais de ponto de venda, tablets de funcionários e uma rede WiFi de convidados. O PCI DSS exige que os ambientes de dados de titulares de cartões sejam isolados de outros segmentos de rede. O retalhista utiliza 802.1X nas redes de funcionários e POS, com a atribuição de VLAN orientada por atributos de certificado. Um terminal POS apresenta um certificado de dispositivo com uma unidade organizacional de "POS" - a política RADIUS atribui-o à VLAN PCI. Um tablet de funcionário apresenta um certificado com "Staff" - este entra na VLAN de funcionários. Os dispositivos de convidados ligam-se a um SSID totalmente separado, gerido por uma solução de Captive Portal.

A configuração do suplicante nos terminais POS é bloqueada via MDM. Não é necessária qualquer interação do utilizador. Os terminais autenticam-se silenciosamente ao iniciar. A renovação de certificados é automatizada através de SCEP, pelo que não há intervenção manual quando os certificados expiram.

[medium pause]

Agora, os erros de implementação. Deixe-me apresentar-lhe os quatro mais comuns.

Número um: falta de validação do certificado do servidor em implementações PEAP. Se não configurar o suplicante para validar o certificado do servidor RADIUS e verificar o nome do servidor, os utilizadores ficam vulneráveis à ligação a um ponto de acesso nocivo. Especifique sempre a CA de raiz fidedigna e o nome do servidor no perfil do suplicante.

Número dois: expiração de certificados a causar falhas de autenticação em massa. Os certificados de cliente têm um período de validade. Se não tiver uma renovação automatizada em vigor via SCEP ou NDES, enfrentará um evento crítico em que centenas de dispositivos deixam de se autenticar em simultâneo. Desenvolva a automação de renovação antes de entrar em produção.

Número três: dispositivos BYOD com comportamento de suplicante inconsistente. O Android, em particular, tem suporte 802.1X fragmentado entre fabricantes. Algumas versões exigem que o utilizador instale manualmente o certificado CA antes que o perfil de WiFi o aceite. Um portal de integração que trate deste passo reduz significativamente o volume do helpdesk.

Número quatro: atualizações de funcionalidades do Windows 11 a quebrar a configuração do suplicante. A Microsoft alterou o comportamento do 802.1X em várias atualizações do Windows 11. Especificamente, a atualização 24H2 introduziu alterações na forma como o suplicante nativo lida com o fallback de EAP-TLS. Teste os seus perfis de suplicante em novas versões do SO antes de os lançar para produção.

[medium pause]

Perguntas rápidas agora.

Os dispositivos IoT podem suportar 802.1X? A maioria não. Os dispositivos IoT normalmente carecem totalmente de um suplicante. A alternativa é o MAC Authentication Bypass - MAB - onde o servidor RADIUS autentica o dispositivo com base no seu endereço MAC. Os endereços MAC podem ser falsificados, pelo que os dispositivos MAB devem sempre ser colocados numa VLAN de IoT isolada com regras de firewall estritas.

Preciso de uma PKI para executar o 802.1X? Para PEAP, não - apenas precisa de um certificado de servidor no servidor RADIUS. Para EAP-TLS, sim - precisa de uma PKI para emitir certificados de cliente. Os serviços de PKI baseados na nuvem reduzem consideravelmente a sobrecarga de infraestrutura.

Como é que o 802.1X interage com a plataforma de acesso à rede da Purple? A Purple funciona como uma sobreposição de nuvem no topo do seu hardware existente - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, entre outros. Em redes de WiFi para funcionários, o suplemento SecurePass da Purple integra-se com o seu fornecedor de identidade - Microsoft Entra ID, Okta ou Google Workspace - para impor a autenticação 802.1X e aplicar políticas de VLAN por utilizador sem necessitar de infraestrutura RADIUS local.

[medium pause]

Para concluir: o suplicante 802.1X é o agente do lado do dispositivo que faz funcionar o controlo de acesso à rede baseado em portas. A sua escolha do método EAP - EAP-TLS para máxima segurança, PEAP como opção de transição - determina os seus requisitos de PKI e a sua abordagem de configuração de suplicante. Os suplicantes nativos do SO cobrem a maioria dos cenários de dispositivos geridos quando implementados via MDM. Os clientes de terceiros acrescentam valor em casos específicos: métodos EAP proprietários, parques de SO mistos que exigem uma configuração consistente ou integração BYOD em self-service.As três principais conclusões: valide o certificado do seu servidor RADIUS em cada perfil de suplicante, automatize a renovação de certificados antes de implementar o EAP-TLS à escala e isole os dispositivos que não suportam 802.1X — IoT, hardware legado — em VLANs dedicadas com MAC Authentication Bypass como recurso.

Para saber mais sobre como a Purple se integra na sua arquitetura de acesso à rede, visite purple dot ai. Obrigado por ouvir.

Principais Conclusões

✓O supplicant 802.1X é o software num dispositivo cliente que lida com a autenticação de rede.
✓O EAP-TLS proporciona a máxima segurança ao exigir certificados tanto do cliente como do servidor.
✓O PEAP simplifica a implementação ao exigir apenas um certificado de servidor, mas necessita de uma configuração rigorosa do supplicant para evitar o roubo de credenciais.
✓Os supplicants nativos do SO são suficientes para a maioria dos ambientes geridos quando implementados via MDM.
✓O software de cliente de terceiros é útil para a integração de BYOD ou para impor protocolos proprietários.
✓Configure sempre o supplicant para validar o certificado do servidor RADIUS para evitar ataques de evil twin.
✓Automatize a renovação de certificados de cliente para evitar falhas de autenticação em massa.

执行摘要

当设备连接到企业网络时，802.1X 客户端 (Supplicant) 是负责证明其身份的软件组件。对于大型场馆的 IT 经理和网络架构师而言，了解客户端的工作原理对于在不产生服务台工单的情况下确保网络访问安全至关重要。本指南将揭秘 IEEE 802.1X 认证中的设备端代理，对比原生操作系统功能与第三方客户端软件。我们将研究如何为 EAP-TLS 和 PEAP-MSCHAPv2 配置客户端，探讨酒店和零售行业的实际部署场景，并详细介绍正确的客户端配置如何与基于身份的网络（Identity-Based Networks）集成以优化访问。无论您是管理 200 间客房的酒店，还是管理拥有 80,000 多个座位的活动场馆，正确配置客户端都是构建安全、可靠 WiFi 的基石。

技术深挖

IEEE 802.1X 标准定义了基于端口的网络访问控制。它基于一个简单的原则：在设备证明其身份之前，阻断网络边缘的所有流量。客户端是此过程中的客户端参与者。

802.1X 的三个组成部分

认证需要三个不同的实体：

客户端 (Supplicant)：请求网络访问的客户端设备（笔记本电脑、智能手机或平板电脑）。
认证器 (Authenticator)：网络访问设备，例如 Cisco Meraki、HPE Aruba、Ruckus 或 Juniper Mist 接入点。
认证服务器 (Authentication Server)：根据 Microsoft Entra ID 或 Okta 等身份提供商验证凭据的 RADIUS 服务器。

在认证之前，认证器的端口处于未授权状态，仅允许局域网上的可扩展身份验证协议 (EAPOL) 流量。客户端通过 EAPOL-Start 帧发起该过程。认证器请求身份，客户端进行响应。该身份将被转发到 RADIUS 服务器，由其决定要使用的 EAP 方法。验证成功后，RADIUS 服务器会发送 Access-Accept 消息，端口转换为授权状态，设备通常会被分配到特定的 VLAN。

EAP 方法：客户端的语言

客户端和 RADIUS 服务器必须就可扩展身份验证协议 (EAP) 方法达成一致。EAP 方法的选择决定了安全状况以及客户端的配置负担。

EAP-TLS（传输层安全协议） EAP-TLS 需要使用数字证书进行双向身份验证。客户端（Supplicant）提供客户端证书以证明其身份，RADIUS 服务器提供服务器证书以证明网络的合法性。这种无密码方法消除了凭据窃取，并且是 NIST SP 800-171 等严格安全框架所要求的。客户端必须配置为信任颁发证书颁发机构 (CA) 并拥有有效的客户端证书。

PEAP (Protected EAP) 在无法使用完整公钥基础设施 (PKI) 的情况下，PEAP 被广泛使用。它在 TLS 隧道内封装了一个内部身份验证方法（通常是 MSCHAPv2）。RADIUS 服务器提供证书，但客户端只需提供用户名和密码。虽然 PEAP 更易于部署，但如果未严格配置客户端来验证服务器证书，它很容易受到凭据收集攻击。

实施指南

在部署 802.1X 时，IT 团队必须在选择使用操作系统内置的原生客户端，还是部署第三方客户端软件之间做出决定。

原生系统客户端

每个现代操作系统都包含一个原生的 802.1X 客户端。Windows 使用有线自动配置 (Wired AutoConfig) 和无线自动配置 (WLAN AutoConfig) 服务。Apple 设备使用网络配置文件。Android 将其集成在 WiFi 设置中。

原生客户端是托管设备群的理想选择。使用 Microsoft Intune 或 Jamf 等移动设备管理 (MDM) 平台，IT 管理员可以静默推送配置文件，这些文件通过 SCEP 定义了 SSID、EAP 方法、受信任的根 CA 以及证书注册过程。用户体验是无缝的；设备在后台进行身份验证。

第三方客户端软件

在特定场景下，需要使用第三方客户端，例如 Cisco AnyConnect 网络访问管理器或 SecureW2 JoinNow：

专有协议：使用 Cisco EAP-FAST 需要 Cisco 客户端。
BYOD 准入：第三方工具通常充当准入助手，引导用户在原生配置较为复杂的非托管设备上安装证书（特别是在碎片化的 Android 环境中）。
严格的配置控制：第三方客户端可以锁定设置，防止用户禁用服务器证书验证。

配置服务器证书验证

无论选择哪种客户端，配置服务器证书验证都至关重要，特别是对于 PEAP。如果客户端不验证 RADIUS 服务器的证书，它会毫无防备地将凭据发送给模仿您 SSID 的恶意接入点。

在 Windows 中，这意味着勾选 PEAP 属性中的“验证服务器证书”、选择受信任的根证书颁发机构（Root CA），并指定客户端应期望的确切服务器名称。在 Apple 设备上，配置文件必须明确列出受信任的证书。

最佳实践

强制服务器验证：部署 PEAP 时，切勿在未配置客户端验证 RADIUS 服务器证书的情况下进行。这是防御“邪恶双胞胎”（evil twin）攻击的首要防线。
自动化证书生命周期：使用 EAP-TLS 时，应通过 MDM 使用 SCEP 或 NDES 自动执行客户端证书的注册和更新。手动证书管理难以扩展，且会导致突发性的身份验证失败。
按身份进行隔离：使用 RADIUS 属性根据验证的身份分配 VLAN。员工设备和 POS 终端应验证到同一个 SSID，但最终落在不同的 VLAN 上。
为物联网（IoT）做好规划：大多数 IoT 设备缺乏 802.1X 客户端。对于这些设备，请使用 MAC 地址绕过认证（MAB），但必须将其严格隔离在专用的 IoT VLAN 上。

故障排查与风险缓解

当设备无法连接时，问题几乎总是出在客户端配置或证书链上。

“已连接，无互联网”：这通常表明 VLAN 分配失败或身份验证后出现 DHCP 问题。请检查 RADIUS 日志以确认 Access-Accept 消息中是否包含了正确的 Tunnel-Private-Group-Id。
Windows 11 上的静默失败：最近的 Windows 11 功能更新（如 24H2）改变了原生客户端处理 EAP-TLS 回退的方式。在广泛部署之前，请务必针对新的操作系统版本测试配置文件。
证书过期：如果一批设备突然掉网，请检查客户端证书的有效期。确保您的 MDM 在证书过期之前成功对其进行了更新。

投资回报率（ROI）与业务影响

迁移到配置了正确客户端的 802.1X 可以带来可衡量的业务价值。通过消除共享密码（预共享密钥/PSK），您可以彻底免除在员工离职时轮换密码的操作开销。转向 EAP-TLS 可以完全消除密码重置工单，从而为服务台释放大量的生产力时间。

此外，802.1X 允许在单个 SSID 上实现基于身份的网络隔离。无需为 Guest WiFi 、员工和运营广播独立的网络，单个 SSID 即可根据客户端的凭据安全地路由流量。这减少了信道干扰并提高了整体网络性能，直接支持了 Purple 的云端覆盖方法来进行与硬件无关的网络管理。如需更深入地了解分析，请探索我们的 WiFi Analytics 功能。

Definições Principais

Supplicant 802.1X

O componente de software num dispositivo cliente que lida com o processo de autenticação necessário para aderir a uma rede protegida por IEEE 802.1X.

As equipas de TI configuram o supplicant para definir a forma como um dispositivo comprova a sua identidade na rede.

Autenticador

O dispositivo de rede (comutador ou ponto de acesso) que bloqueia o tráfego até que o supplicant se autentique com sucesso.

O hardware de fornecedores como a Cisco Meraki ou HPE Aruba atua como o autenticador, transmitindo mensagens entre o dispositivo e o servidor.

RADIUS

Remote Authentication Dial-In User Service. O servidor que verifica as credenciais fornecidas pelo supplicant.

O servidor RADIUS verifica a identidade em diretórios como o Okta ou o Microsoft Entra ID antes de conceder o acesso.

EAP-TLS

Extensible Authentication Protocol with Transport Layer Security. Um método de autenticação que exige certificados digitais tanto do cliente como do servidor.

Considerado o método mais seguro para redes empresariais, eliminando a necessidade de palavras-passe.

PEAP

Protected Extensible Authentication Protocol. Um método de autenticação que cria um túnel TLS seguro para proteger a autenticação baseada em palavra-passe.

Comumente utilizado em ambientes BYOD onde a implementação de certificados de cliente em dispositivos não geridos é demasiado complexa.

EAPOL

Extensible Authentication Protocol over LAN. O protocolo utilizado para encapsular mensagens EAP entre o supplicant e o autenticador.

Antes da autenticação, o EAPOL é o único tipo de tráfego que o autenticador permite passar pela porta.

MAC Authentication Bypass (MAB)

Um método de autenticação de fallback onde a rede utiliza o endereço MAC do dispositivo como a sua identidade.

Utilizado para impressoras, câmaras e dispositivos IoT que carecem de um supplicant 802.1X.

Atribuição de VLAN

O processo de colocação dinâmica de um dispositivo autenticado num segmento específico de rede virtual.

O servidor RADIUS indica ao autenticador qual a VLAN a atribuir com base na identidade do supplicant.

Exemplos Práticos

Um hotel de 200 quartos precisa de proteger a rede dos seus funcionários. Atualmente a utilizar WPA2-Personal com uma palavra-passe partilhada, pretendem migrar para o 802.1X. A equipa utiliza uma mistura de portáteis Windows de propriedade corporativa e telemóveis Android pessoais para agendamento. Como devem configurar os supplicants?

O hotel deve implementar uma abordagem híbrida. Para os portáteis Windows corporativos, devem utilizar o supplicant nativo do Windows configurado através do Microsoft Intune. O perfil de MDM deve enviar as definições de EAP-TLS, instalar a Root CA e automatizar a inscrição de certificados de cliente através de SCEP. Para os telemóveis Android pessoais, devem implementar um agente de integração de terceiros (como o SecureW2) através de um portal de self-service. O funcionário inicia sessão no portal utilizando as suas credenciais do Microsoft Entra ID, e o agente configura automaticamente o supplicant nativo do Android para PEAP-MSCHAPv2, garantindo que a validação do certificado do servidor é mantida protegida.

Comentário do Examinador: Esta abordagem equilibra a segurança com a realidade operacional. O EAP-TLS é imposto onde existe controlo de MDM, proporcionando a máxima segurança. O PEAP é utilizado para BYOD onde a distribuição de certificados de cliente é complexa, mas o agente de integração garante que o supplicant está configurado de forma segura, mitigando o risco de pontos de acesso não autorizados.

Uma grande cadeia de retalho com 50 lojas está a lançar novos tablets móveis de ponto de venda (POS). O PCI DSS exige um isolamento de rede rigoroso. Como deve a configuração do supplicant garantir a conformidade?

Os tablets devem ser geridos via MDM. O MDM envia um perfil de configuração do supplicant nativo impondo o EAP-TLS. Cada tablet recebe um certificado de cliente exclusivo contendo um atributo que o identifica como um dispositivo POS. Quando o supplicant do tablet se autentica, o servidor RADIUS lê este atributo e devolve uma atribuição de VLAN especificamente para o segmento de rede em conformidade com o PCI. A configuração do supplicant deve ser bloqueada para que o pessoal da loja não possa modificar as definições de rede.

Comentário do Examinador: A utilização de EAP-TLS com atribuição de VLAN baseada em certificados é o método padrão para obter a conformidade com o PCI em redes sem fios. Remove o erro humano da segmentação de rede e garante que o dispositivo não possa ser ligado acidentalmente às redes de funcionários ou de convidados do [Retalho](/industries/retail) menos seguras.

Perguntas de Prática

Q1. A sua organização está a implementar PEAP-MSCHAPv2 para uma nova rede BYOD de colaboradores. Durante os testes, nota que os dispositivos se conseguem ligar a um ponto de acesso de teste que transmite o mesmo SSID, mesmo que este não esteja ligado ao seu servidor RADIUS. Que passo de configuração do supplicant foi omitido?

Dica: Considere como o supplicant verifica a identidade da rede antes de enviar as credenciais MSCHAPv2.

Ver resposta modelo

O supplicant não foi configurado para validar o certificado do servidor. No PEAP, o supplicant deve ser explicitamente configurado para confiar na Root CA específica que emitiu o certificado do servidor RADIUS e para verificar o nome de domínio do servidor. Sem isto, o supplicant estabelecerá um túnel TLS com qualquer servidor que apresente um certificado, expondo as credenciais do utilizador a um ponto de acesso desonesto.

Q2. Uma universidade está a migrar a sua frota de portáteis Windows geridos de PEAP para EAP-TLS. Enviam o novo perfil de configuração via MDM, mas todos os dispositivos falham na autenticação. Os registos do RADIUS mostram 'EAP-TLS failed SSL/TLS handshake'. Qual é a causa mais provável?

Dica: O EAP-TLS requer autenticação mútua. O que é que o cliente precisa que não precisava para o PEAP?

Ver resposta modelo

Os dispositivos clientes não possuem um certificado de cliente válido. O EAP-TLS exige que o supplicant apresente um certificado ao servidor RADIUS. O perfil MDM deve ser configurado não apenas para definir o método EAP para TLS, mas também para acionar um protocolo como o SCEP para solicitar e instalar um certificado de cliente a partir da PKI da organização antes de tentar a autenticação.

Q3. Precisa de ligar 50 smart TVs à rede num ambiente de [Saúde](/industries/healthcare). As TVs apenas suportam WPA2-Personal (Pre-Shared Key) e não possuem um supplicant 802.1X. Como garante a segurança do seu acesso mantendo o 802.1X para os dispositivos dos colaboradores?

Dica: Se o dispositivo não conseguir comunicar por EAP, o autenticador deve identificá-lo de outra forma.

Ver resposta modelo

Deve utilizar o MAC Authentication Bypass (MAB). O autenticador utilizará o endereço MAC da smart TV como o utilizador e a palavra-passe enviados para o servidor RADIUS. Como os endereços MAC podem ser falsificados, o servidor RADIUS deve ser configurado para atribuir estes dispositivos a uma VLAN de IoT altamente restrita e isolada que apenas permita o tráfego estritamente necessário.

Continue a ler esta série

Server RADIUS: um guia abrangente para empresas

Este guia fornece aos gestores de TI, arquitetos de rede e CTOs uma referência técnica definitiva sobre a autenticação de server RADIUS para WiFi empresarial. Abrange a estrutura AAA, a arquitetura 802.1X, a seleção do método EAP, as vantagens e desvantagens da implementação na cloud versus local, e a atribuição dinâmica de VLAN. Os operadores de espaços nos setores da hotelaria, retalho, eventos e setor público encontrarão orientações de implementação práticas, estudos de caso do mundo real e as estruturas de decisão necessárias para migrar de chaves pré-partilhadas inseguras para uma arquitetura de controlo de acesso à rede segura e orientada pela identidade.

Aruba ClearPass vs. Purple WiFi: Comparando Funcionalidades e Co-implementação

Um guia técnico abrangente que detalha a arquitetura de co-implementação do Aruba ClearPass e do Purple WiFi. Abrange a configuração de proxy RADIUS, atribuição dinâmica de VLAN e as melhores práticas para fornecer redes de convidados seguras e orientadas por análise de dados, em conjunto com o NAC empresarial.

Cisco ISE vs. Purple WiFi: Como se Comparam e Trabalham em Conjunto

Este guia explica como o Cisco ISE e o Purple WiFi desempenham funções distintas mas complementares em redes empresariais. Detalha como utilizar o Cisco ISE para acesso corporativo seguro 802.1X enquanto aproveita o Purple para WiFi de convidados em conformidade com o GDPR, análises de marketing e integração com CRM.