Os Benefícios de Segurança do RADIUS as a Service para Equipas de Trabalho Híbridas

Este guia de referência técnica explica como o RADIUS as a Service protege o acesso à rede para equipas de trabalho híbridas em locais distribuídos. Abrange a arquitetura, os benefícios de segurança e as etapas de implementação para substituir a infraestrutura RADIUS local por um serviço de autenticação gerido na nuvem. Para gestores de TI e arquitetos de rede em hotéis, cadeias de retalho, estádios e organizações do setor público, este guia fornece as provas necessárias para avaliar e agir sobre uma migração para RADIUS na nuvem este trimestre.

📖 9 min de leitura📝 2,171 palavras🔧 2 exemplos práticos❓ 3 perguntas de prática📚 9 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo a este briefing técnico da Purple. Sou o vosso anfitrião e hoje analisamos uma mudança crítica na arquitetura de rede empresarial: a transição de servidores RADIUS locais para o RADIUS as a Service. Se gere a TI de um grupo hoteleiro, de uma cadeia de retalho, de um estádio ou de qualquer grande espaço público, sabe que proteger o acesso à rede para uma força de trabalho híbrida já não é uma preocupação secundária. É central para a sua segurança operacional, para a sua postura de conformidade e, francamente, para a sua paz de espírito.

Hoje abordaremos cinco áreas. Primeiro, o contexto: por que razão a infraestrutura tradicional de RADIUS local está a ter dificuldades em acompanhar o ritmo do trabalho híbrido. Segundo, a arquitetura técnica do RADIUS as a Service e como funciona concretamente. Terceiro, os benefícios de segurança específicos que obtém. Quarto, orientações práticas de implementação e os erros a evitar. E quinto, uma sessão rápida de perguntas e respostas que abrange as questões que ouvimos com mais frequência da parte de gestores de TI e arquitetos de rede.

Comecemos pelo contexto. Durante duas décadas, a autenticação 802.1X dependeu de servidores físicos a correr FreeRADIUS em Linux, Microsoft Network Policy Server em Windows ou Cisco Identity Services Engine em hardware dedicado. Estes sistemas funcionavam. E ainda funcionam. Mas requerem atenção constante. Era necessário aplicar patches em sistemas operativos, gerir cadeias de certificados, configurar manualmente a alta disponibilidade e construir redundância em múltiplos servidores. Num mundo onde os trabalhadores se deslocam constantemente entre o escritório, locais remotos, quartos de hotel e instalações de clientes, essa infraestrutura estática e local torna-se uma verdadeira vulnerabilidade.

O problema é agravado pela transição para fornecedores de identidade na nuvem. O Microsoft NPS, por exemplo, está estreitamente ligado ao Active Directory. Não tem suporte nativo para Microsoft Entra ID, Google Workspace ou Okta. Se a sua organização migrou para qualquer um destes diretórios na nuvem, depara-se com uma escolha difícil: manter um Active Directory paralelo apenas para suportar o seu servidor RADIUS, ou investir um esforço de engenharia significativo em integrações personalizadas. Nenhuma das opções é apelativa.

O RADIUS as a Service altera completamente a equação. Move o motor de autenticação para a nuvem. Já não gere a infraestrutura; gere as políticas. O fornecedor trata dos servidores, dos patches, da alta disponibilidade e das integrações. O utilizador define quem tem acesso a quê, e o serviço aplica a regra.

Entremos agora na arquitetura técnica. O RADIUS, que significa Remote Authentication Dial-In User Service, é o protocolo definido no RFC 2865. Fornece Autenticação, Autorização e Contabilização centralizadas, o que designamos por AAA, para acesso à rede. Quando um dispositivo se liga à sua rede WiFi, o ponto de acesso age como um cliente RADIUS. Reencaminha o pedido de autenticação para o servidor RADIUS. O servidor valida as credenciais face ao seu repositório de identidades e devolve um Access-Accept ou um Access-Reject.

Numa implementação de RADIUS na cloud, o servidor é alojado pelo fornecedor em vários centros de dados distribuídos geograficamente. Os seus pontos de acesso, quer sejam Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist ou Ubiquiti UniFi, apontam para os endpoints do RADIUS na cloud através de túneis seguros e encriptados. O fluxo de autenticação é idêntico ao do RADIUS local do ponto de vista do ponto de acesso. A diferença é que o próprio servidor é gerido, atualizado e dimensionado pelo fornecedor.

A melhoria de segurança mais importante nas implementações modernas de RADIUS na cloud é a transição para o EAP-TLS, que significa Extensible Authentication Protocol com Transport Layer Security. O EAP-TLS está definido na norma RFC 5216 e fornece autenticação mútua através de certificados digitais. Tanto o dispositivo do cliente como o servidor RADIUS apresentam certificados um ao outro. Isto elimina totalmente as palavras-passe do processo de autenticação. Um certificado está ligado criptograficamente ao dispositivo e não pode ser alvo de phishing, adivinhado ou roubado da forma que uma palavra-passe pode ser.

A segunda grande capacidade de segurança é a atribuição dinâmica de VLAN. Quando o servidor RADIUS autentica um utilizador, não se limita a conceder ou a negar o acesso. Também indica ao ponto de acesso em que Virtual LAN deve colocar o dispositivo, com base na identidade e na função do utilizador. Um recepcionista de hotel autentica-se e é colocado na VLAN da receção com acesso ao sistema de gestão da propriedade. Um membro da equipa de limpeza é colocado numa VLAN restrita apenas com acesso à internet. O dispositivo de um convidado é colocado na VLAN de convidados, totalmente isolado de todos os recursos corporativos. Um dispositivo IoT, como uma câmara de segurança, é colocado numa VLAN IoT dedicada.

Esta segmentação de rede baseada na identidade é fundamental para um modelo de segurança Zero Trust. Deixa de confiar num dispositivo apenas porque este se ligou a um determinado SSID. Passa a conceder acesso com base numa identidade verificada e limita esse acesso apenas ao que essa identidade exige. Este é o princípio do privilégio mínimo aplicado ao acesso à rede.

Abordemos também a perspetiva da conformidade. A norma PCI DSS versão 4.0 exige controlos de acesso fortes para qualquer rede que processe dados de titulares de cartões. O Requisito 8 exige uma autenticação única para todos os utilizadores. O Requisito 1 exige a segmentação da rede. O RADIUS na cloud, com EAP-TLS e atribuição dinâmica de VLAN, cumpre ambos os requisitos diretamente. Para o GDPR, o registo de auditoria centralizado fornecido pelo RADIUS na cloud oferece-lhe um registo completo de quem acedeu à rede, quando e a partir de que dispositivo. Esse rasto de auditoria é essencial para demonstrar a conformidade e para investigar qualquer potencial violação de dados.

Permita-me agora apresentar-lhe dois cenários concretos de implementação que ilustram como isto funciona na prática.

O primeiro cenário é um grupo hoteleiro. Considere uma propriedade hoteleira com duzentos quartos. Atualmente, utilizam uma chave pré-partilhada (PSK) comum para o WiFi da sua equipa. Cada membro da equipa, desde o diretor-geral à equipa de limpeza sazonal, utiliza a mesma palavra-passe. Quando um colaborador sazonal sai no final do verão, a palavra-passe raramente é alterada, porque alterá-la significa atualizar todos os dispositivos na propriedade. Esta é uma vulnerabilidade de segurança de manual.

A solução consiste em implementar o RADIUS como Serviço integrado com o Microsoft Entra ID. O hotel configura os seus pontos de acesso Cisco Meraki para utilizarem WPA3-Enterprise com 802.1X. Cada membro da equipa autentica-se utilizando as suas credenciais do Entra ID. O servidor RADIUS lê a sua função a partir do diretório e atribui-o à VLAN apropriada de forma dinâmica. A equipa de limpeza é colocada na VLAN 10, com acesso apenas ao sistema de gestão de tarefas de limpeza. A equipa da receção é colocada na VLAN 20, com acesso ao sistema de gestão de propriedades. A direção é colocada na VLAN 30, com um acesso mais amplo. Quando o contrato de um colaborador sazonal termina, a sua conta do Entra ID é desativada e o seu acesso WiFi é revogado instantaneamente, em todos os pontos de acesso da propriedade. Sem necessidade de alterações de palavra-passe.

O segundo cenário é uma cadeia de retalho nacional. Considere uma cadeia com quatrocentas lojas. Atualmente, gerem quatrocentas instâncias FreeRADIUS separadas em servidores locais de lojas. Cada servidor requer aplicação de patches, monitorização e manutenção individuais. Quando uma vulnerabilidade crítica é revelada, a equipa de segurança tem de aplicar patches em quatrocentos servidores, frequentemente ao longo de um período de semanas, deixando a propriedade exposta durante essa janela.

A solução consiste em migrar para uma única instância de RADIUS como Serviço. Todas as quatrocentas lojas apontam os seus pontos de acesso HPE Aruba para os mesmos endpoints de RADIUS na nuvem. Os terminais de ponto de venda são autenticados utilizando EAP-TLS com certificados de máquina enviados através da plataforma MDM. O servidor RADIUS coloca-os numa VLAN em conformidade com PCI, isolada de todo o restante tráfego de rede. A equipa da loja utiliza um SSID separado, autenticado através do Okta, colocando-os numa VLAN geral da equipa. A equipa de segurança gere agora um conjunto de políticas a partir de um único painel. Quando uma vulnerabilidade é revelada, o fornecedor aplica os patches na infraestrutura. A equipa de segurança da cadeia de retalho foca-se na política, não na infraestrutura técnica.

Vamos agora abordar as recomendações de implementação e as armadilhas a evitar.

O passo um consiste em ligar o serviço RADIUS na nuvem ao seu fornecedor de identidade. Para o Microsoft Entra ID ou Google Workspace, isto normalmente envolve a autorização de uma aplicação empresarial. Mapeie os seus grupos de diretório para políticas de rede específicas. Pense cuidadosamente sobre a taxonomia de funções antes de começar. Fazer isto bem logo no início poupa um retrabalho significativo mais tarde.

O passo dois consiste em configurar a implementação de certificados para dispositivos corporativos. Configure a sua plataforma MDM para enviar certificados de cliente para os dispositivos geridos. Isto ativa a autenticação EAP-TLS e elimina completamente as palavras-passe da equação. Para dispositivos que não gere, pode utilizar PEAP com uma credencial de utilizador como alternativa, mas o EAP-TLS deve ser o objetivo para todos os dispositivos de propriedade corporativa.

O passo três consiste em configurar o seu hardware de rede. Adicione os endereços IP do cloud RADIUS e os segredos partilhados aos seus controladores sem fios ou pontos de acesso. Configure sempre os endpoints primário e secundário para utilizar a redundância integrada do fornecedor.

O passo quatro consiste em definir as suas políticas de VLAN. Quando o servidor RADIUS autentica um utilizador, este devolve o ID de VLAN correto ao ponto de acesso. Planeie isto antes de implementar. Saiba em que VLAN cada função de utilizador deve ficar e teste-a minuciosamente antes de a lançar em produção.

Agora, as armadilhas. O erro mais comum é uma firewall mal configurada a bloquear as portas UDP 1812 e 1813, que são as portas de autenticação e contabilização do RADIUS. Verifique sempre a conectividade entre os seus pontos de acesso e os endpoints do cloud RADIUS antes do lançamento. A segunda armadilha é uma cadeia de confiança de certificados quebrada. Se os seus dispositivos de cliente não confiarem na Autoridade de Certificação de Raiz que emitiu o certificado do servidor RADIUS, rejeitarão silenciosamente a ligação. Isto pode parecer uma falha de rede quando, na verdade, é um problema de configuração de PKI.

Passemos às perguntas rápidas.

Pergunta um: O que acontece se a nossa ligação à Internet falhar? Se o local perder a ligação à Internet, não conseguirá aceder ao cloud RADIUS. No entanto, se o local não tiver Internet, os utilizadores também não conseguirão aceder às aplicações na nuvem de qualquer forma. Para recursos locais críticos para a missão, alguns pontos de acesso oferecem modos de sobrevivência local. Mas a principal dependência é a sua ligação WAN, e isso aplica-se a quase todos os serviços SaaS que a sua organização utiliza.

Pergunta dois: O cloud RADIUS está em conformidade com o GDPR e PCI DSS? Sim. A autenticação centralizada com transporte encriptado suporta posturas de conformidade robustas. Os registos de auditoria cumprem os requisitos do PCI DSS e os controlos de acesso rigorosos apoiam os princípios do GDPR de minimização de dados e limitação de acesso.

Pergunta três: Isto funciona com o nosso hardware existente? Sim. O RADIUS é um protocolo standard definido no RFC 2865. Se o seu hardware suportar 802.1X, e todos os equipamentos empresariais da Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet o fazem, funcionará com qualquer RADIUS as a Service em conformidade com as normas.

Para resumir as principais conclusões. Primeiro, o RADIUS as a Service substitui os servidores locais por uma plataforma de nuvem gerida, reduzindo as despesas de capital e os custos de manutenção. Segundo, o cloud RADIUS integra-se nativamente com o Microsoft Entra ID, Okta e Google Workspace, eliminando a necessidade de middleware complexo. Terceiro, permite a atribuição dinâmica de VLAN, garantindo que os utilizadores e dispositivos acedem ao segmento de rede correto com base na sua identidade verificada. Quarto, a transição para o EAP-TLS elimina o risco de roubo de palavras-passe e ataques de phishing na sua rede. Quinto, a gestão centralizada na nuvem garante políticas de segurança consistentes em centenas de locais físicos distribuídos. Sexto, os fornecedores tratam das atualizações de segurança e da elevada disponibilidade. E sétimo, o cloud RADIUS apoia a conformidade com o PCI DSS e o GDPR, aplicando controlos de acesso rigorosos baseados na identidade com registo de auditoria completo.

O seu próximo passo é avaliar a sua infraestrutura RADIUS atual. Calcule o custo real de propriedade, incluindo o licenciamento, os ciclos de renovação de hardware e o tempo de engenharia gasto na manutenção. Em seguida, execute uma prova de conceito com um fornecedor de cloud RADIUS. É provável que verifique que a implementação demora horas e não semanas. Obrigado por ouvir. Proteja as suas redes, segmente o seu tráfego e pare de gerir servidores que não precisa de possuir.

Principais Conclusões

✓O RADIUS as a Service substitui os servidores locais por uma plataforma de nuvem gerida, eliminando o CapEx de hardware e os custos de manutenção.
✓O Cloud RADIUS integra-se nativamente com o Microsoft Entra ID, Okta e Google Workspace, eliminando a necessidade de middleware complexo ou de implementações paralelas de Active Directory.
✓A atribuição dinâmica de VLAN garante que os utilizadores e dispositivos são automaticamente colocados no segmento de rede correto com base na sua identidade verificada, e não no SSID a que se ligaram.
✓A transição para EAP-TLS (autenticação baseada em certificados) elimina o risco de roubo de palavras-passe e ataques de phishing na sua rede.
✓A gestão centralizada em nuvem aplica políticas de segurança consistentes em centenas de locais distribuídos a partir de um único painel de controlo.
✓Os fornecedores tratam das atualizações de segurança e da alta disponibilidade multi-região, garantindo que os serviços de autenticação permanecem disponíveis mesmo durante as atualizações de infraestrutura.
✓O Cloud RADIUS apoia a conformidade com o PCI DSS v4.0 e o GDPR ao impor controlos de acesso rigorosos e baseados na identidade, com registo de auditoria totalmente centralizado.

Resumo executivo

A transição para equipas de trabalho híbridas expôs uma fraqueza fundamental na segurança de rede tradicional: os servidores RADIUS locais foram concebidos para um mundo onde os funcionários se sentavam num único edifício e se ligavam a uma única rede. Esse mundo já não existe. Atualmente, os seus colaboradores autenticam-se a partir de quartos de hotel, lojas, escritórios remotos e locais de eventos. Os seus fornecedores de identidade residem na nuvem. Os seus pontos de acesso estendem-se por centenas de localizações. No entanto, muitas organizações ainda dependem de servidores RADIUS físicos que exigem atualizações manuais, não se conseguem integrar nativamente com o Microsoft Entra ID ou Google Workspace, e falham silenciosamente quando ocorrem avarias de hardware.

O RADIUS as a Service substitui essa infraestrutura por um motor de autenticação cloud-native. Basta apontar os seus pontos de acesso para endpoints na nuvem. O fornecedor gere os servidores, as atualizações e a alta disponibilidade. A sua equipa gere as políticas. Para as equipas de TI em grupos de Hotelaria , cadeias de Retalho e espaços públicos, esta transição elimina os custos fixos de hardware, reforça a segmentação de rede baseada em identidade e fornece o registo de auditoria exigido pelo PCI DSS e GDPR.

Análise técnica aprofundada

Por que razão o RADIUS local está a falhar

O RADIUS, definido no RFC 2865, fornece Autenticação, Autorização e Auditoria (AAA) centralizadas para acesso à rede. Todas as empresas que executam WiFi WPA2-Enterprise ou WPA3-Enterprise dependem dele. O protocolo em si é robusto. O problema reside no modelo de infraestrutura que se desenvolveu em seu redor.

O FreeRADIUS em Linux requer competências técnicas significativas para implementar, proteger e manter. O Microsoft Network Policy Server (NPS) está estreitamente associado ao Active Directory e não possui suporte nativo para o Microsoft Entra ID, Okta ou Google Workspace. O Cisco Identity Services Engine (ISE) oferece funcionalidades de política de nível empresarial, mas exige hardware dedicado, licenciamento complexo e uma equipa especializada para o operar. Todos os três exigem que crie e mantenha a alta disponibilidade manualmente, normalmente através da execução de dois servidores com replicação de base de dados e um balanceador de carga à frente deles.

Para uma organização com um único local e um Active Directory estável, este modelo é gerível. Para um grupo hoteleiro com 50 propriedades, uma cadeia de retalho com 400 lojas ou uma universidade com um campus distribuído, torna-se inviável. Ou centraliza os servidores RADIUS e aceita a latência de autenticação dos locais remotos, ou implementa servidores em cada localização e os gere individualmente. Nenhuma das opções é escalável.

A arquitetura do RADIUS as a Service

O RADIUS as a Service é um modelo de entrega baseado na nuvem para o protocolo RADIUS. O protocolo em si permanece inalterado, seguindo o RFC 2865 e as suas extensões. O que muda é quem mantém a infraestrutura.

Quando um dispositivo se liga à sua rede WiFi, o ponto de acesso (o cliente RADIUS) encaminha o pedido de autenticação para os endpoints RADIUS na cloud através de um túnel seguro e encriptado. O serviço cloud valida as credenciais com o seu fornecedor de identidade e devolve uma mensagem Access-Accept ou Access-Reject, juntamente com atributos de política, tais como atribuições dinâmicas de VLAN. Na perspetiva do ponto de acesso, o fluxo de autenticação é idêntico ao do RADIUS no local (on-premise).

O fornecedor de cloud opera os servidores RADIUS em vários centros de dados distribuídos geograficamente. O failover é automático. Se um endpoint ficar indisponível, o tráfego é encaminhado para o próximo que esteja operacional, sem qualquer intervenção da sua equipa. Para organizações com localizações em várias regiões, a autenticação ocorre no endpoint de cloud mais próximo, mantendo a latência baixa independentemente da geografia.

IEEE 802.1X e métodos EAP

O IEEE 802.1X é a norma para Controlo de Acesso à Rede (NAC) baseado em portas. Força um dispositivo a autenticar-se antes de lhe ser atribuído um endereço IP e de lhe ser permitido transmitir tráfego. O RADIUS é o servidor de autenticação numa implementação 802.1X.

O Extensible Authentication Protocol (EAP) define a forma como as credenciais são trocadas. O Cloud RADIUS suporta toda a gama de métodos EAP:

Método EAP	Tipo de Autenticação	Nível de Segurança	Utilização Recomendada
EAP-TLS	Baseado em certificados mútuos	O mais elevado	Dispositivos corporativos com certificados geridos por MDM
PEAP-MSCHAPv2	Nome de utilizador e palavra-passe	Moderado	Dispositivos antigos ou BYOD sem MDM
EAP-TTLS	Credenciais em túnel	Moderado	Ambientes mistos
MAC Authentication Bypass	Endereço MAC do dispositivo	Baixo	Dispositivos IoT que não suportam 802.1X

O EAP-TLS, definido na RFC 5216, é o padrão de excelência. Tanto o dispositivo cliente como o servidor RADIUS apresentam certificados digitais um ao outro. Esta autenticação mútua elimina totalmente as palavras-passe do processo de acesso à rede. Um certificado está criptograficamente associado ao dispositivo e não pode ser alvo de phishing, adivinhado ou roubado da forma que uma palavra-passe pode ser. Para organizações que sofreram violações baseadas em credenciais, esta é a mitigação técnica mais direta disponível.

Atribuição dinâmica de VLAN

Para além da autenticação, o servidor RADIUS impõe a autorização. Quando aceita uma ligação, devolve atributos de política ao ponto de acesso, incluindo o ID da VLAN a atribuir ao dispositivo. Esta atribuição dinâmica de VLAN é o mecanismo que viabiliza as Redes Baseadas em Identidade.

A rececionista de um hotel autentica-se e é colocada na VLAN de atendimento ao público com acesso ao sistema de gestão de propriedade. Um membro da equipa de limpeza é colocado numa VLAN restrita apenas com acesso à internet. O dispositivo de um hóspede é colocado na VLAN de Guest WiFi, completamente isolado de todos os recursos corporativos. Um dispositivo IoT, como uma câmara de segurança, é colocado numa VLAN IoT dedicada. Tudo isto acontece automaticamente, com base na identidade verificada pelo servidor RADIUS, sem qualquer configuração manual de VLAN por dispositivo.

Este é o princípio do privilégio mínimo aplicado ao acesso à rede. Não está a confiar num dispositivo apenas porque este se ligou a um SSID específico. Está a conceder acesso com base numa identidade verificada e a limitar esse acesso apenas ao que essa identidade requer. Para uma análise mais aprofundada sobre como isto se enquadra numa estratégia mais ampla de controlo de acesso à rede, consulte o nosso guia sobre sistemas de controlo de acesso à rede .

Integração nativa de identidade em nuvem

A vantagem operacional mais significativa do cloud RADIUS é a sua integração nativa com fornecedores de identidade modernos. O cloud RADIUS liga-se diretamente ao Microsoft Entra ID, Okta e Google Workspace através de protocolos padrão, incluindo OIDC, SAML e LDAP. Quando aprovisiona um novo funcionário no seu fornecedor de identidade, este pode autenticar-se na rede WiFi imediatamente. Quando desativa um funcionário, desativa a sua conta no diretório e o seu acesso WiFi é revogado instantaneamente, em todos os pontos de acesso de todas as localizações.

Esta sincronização em tempo real elimina uma das lacunas de segurança mais persistentes no WiFi empresarial: o ex-funcionário que ainda possui a PSK partilhada, ou cuja conta RADIUS não foi eliminada manualmente quando saiu. Com o cloud RADIUS e um fornecedor de identidade em nuvem, a desativação é uma ação única com efeito imediato em toda a rede.

Guia de implementação

Passo 1: Ligar o seu fornecedor de identidade

Ligue o serviço cloud RADIUS ao seu fornecedor de identidade. Para o Microsoft Entra ID ou Google Workspace, isto normalmente envolve autorizar uma aplicação empresarial via OAuth ou configurar um conector LDAP. Mapeie os seus grupos de diretório para políticas de rede específicas. Defina a sua taxonomia de funções antes de começar: quais os grupos que se mapeiam para quais VLANs, e que direitos de acesso cada VLAN acarreta. Fazer isto corretamente logo de início evita retrabalho significativo mais tarde.

Passo 2: Implementar certificados para dispositivos corporativos

Para dispositivos de propriedade corporativa, configure a sua plataforma de Gestão de Dispositivos Móveis (MDM), como o Microsoft Intune ou Jamf, para enviar certificados de cliente para os dispositivos. Isto permite a autenticação EAP-TLS. Garanta que a Autoridade de Certificação (CA) de Raiz que emitiu o certificado do servidor RADIUS é confiável para todos os dispositivos de cliente. Uma cadeia de confiança quebrada é a causa mais comum de falhas de autenticação silenciosas.

Passo 3: Configurar o seu hardware de rede

Adicione os endereços IP do RADIUS na cloud e os segredos partilhados aos seus controladores wireless ou pontos de acesso. Configure sempre os endpoints primário e secundário para utilizar a redundância integrada do fornecedor. Certifique-se de que as portas UDP 1812 (autenticação) e 1813 (accounting) estão abertas no sentido de saída dos seus pontos de acesso para os endpoints do RADIUS na cloud. Verifique isto antes do go-live. As regras de firewall mal configuradas são a segunda causa mais comum de falhas na implementação.

O RADIUS na cloud funciona com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Os passos de configuração variam de acordo com o fabricante, mas o protocolo RADIUS é padronizado, pelo que os parâmetros principais (IP do servidor, segredo partilhado, porta de autenticação) são consistentes.

Passo 4: Definir políticas de VLAN

Configure a atribuição dinâmica de VLAN no seu motor de políticas RADIUS. Mapeie cada função de utilizador ou tipo de dispositivo para um ID de VLAN específico. Teste cada política antes de a lançar em produção. Uma matriz de testes simples — um dispositivo por função, uma VLAN por função, verificar a atribuição — deteta a maioria dos erros de configuração antes que estes afetem os utilizadores.

Melhores práticas

Imponha o EAP-TLS para todos os dispositivos corporativos. Abandone o PEAP-MSCHAPv2 assim que a sua implementação de MDM o permitir. O PEAP depende de palavras-passe, que podem ser comprometidas. O EAP-TLS depende de certificados, que não podem.

Segmente tudo. Nunca coloque funcionários, convidados e dispositivos IoT na mesma sub-rede. Utilize o RADIUS para impor limites estritos de VLAN. Isto é fundamental para ambientes de Retalho que gerem dados de cartões de pagamento sob o PCI DSS, e para ambientes de Saúde que protegem dados de doentes.

Alinhe com o WPA3-Enterprise. O WPA3-Enterprise, o atual padrão de segurança WiFi, requer autenticação 802.1X. Certifique-se de que os seus pontos de acesso suportam WPA3-Enterprise e configure-o como o padrão de segurança mínimo para as redes de funcionários.

Audite os seus logs do RADIUS regularmente. O RADIUS na cloud fornece logs de auditoria centralizados. Reveja as falhas de autenticação semanalmente. Um pico de falhas num dispositivo ou localização específica é um indicador precoce de uma configuração incorreta ou de um potencial ataque.

Teste o failover. Pelo menos uma vez por trimestre, simule uma falha no endpoint RADIUS primário e verifique se a autenticação continua através do endpoint secundário. Documente o resultado. Este é um teste simples que a maioria das equipas nunca executa até precisar dele.

Para espaços que implementam WiFi em ambientes complexos, incluindo localizações marítimas ou remotas, consulte o nosso guia sobre como configurar um Captive Portal no Starlink para considerações sobre a dependência de WAN.

Resolução de problemas e mitigação de riscos

Timeouts de autenticação

Se os dispositivos falharem na autenticação, verifique primeiro a conectividade entre os seus pontos de acesso e os endpoints RADIUS na cloud. Verifique se as portas UDP 1812 e 1813 estão abertas para o exterior. A inspeção profunda de pacotes (Deep packet inspection) em firewalls modernas pode atrasar ou descartar pacotes RADIUS. Se observar tempos limite esgotados (timeouts), verifique a sua política de firewall para regras que possam estar a inspecionar ou a limitar a taxa de tráfego UDP para os endpoints RADIUS.

Falhas na cadeia de confiança de certificados

Se estiver a utilizar EAP-TLS, certifique-se de que os dispositivos clientes confiam na Root CA que emitiu o certificado do servidor RADIUS. Se a cadeia de confiança estiver quebrada, o dispositivo rejeitará silenciosamente a ligação para evitar um ataque man-in-the-middle. Isto apresenta-se como uma falha de ligação sem qualquer mensagem de erro óbvia. Verifique os registos do servidor RADIUS para falhas de handshake EAP-TLS. Implante o certificado Root CA em todos os dispositivos geridos via MDM.

Dependência de WAN

O RADIUS na cloud requer uma ligação de internet ativa. Se a ligação WAN falhar, os pedidos de autenticação não conseguem chegar ao servidor. Para recursos locais de missão crítica, avalie pontos de acesso que suportem sobrevivência local ou cache de autenticação. Para a maioria das implementações, a dependência de WAN é aceitável porque um local sem internet não consegue aceder a aplicações cloud de qualquer forma.

Incompatibilidades de segredo partilhado (shared secret)

Cada ponto de acesso ou controlador sem fios deve ser configurado como um cliente RADIUS com o segredo partilhado correto. Uma incompatibilidade faz com que todos os pedidos de autenticação desse dispositivo sejam descartados silenciosamente. Se um ponto de acesso específico estiver a falhar enquanto os outros têm sucesso, verifique a configuração do segredo partilhado nesse dispositivo.

ROI e impacto empresarial

O caso de negócio para o RADIUS como Serviço apoia-se em três pilares: redução de despesas de capital (CapEx), menor sobrecarga operacional (OpEx) e melhoria da postura de segurança.

Nas despesas de capital, elimina o custo de aquisição, licenciamento e atualização de servidores físicos. Uma implementação RADIUS local mínima viável requer dois servidores para alta disponibilidade, licenças de sistema operativo e atualização de hardware a cada três a cinco anos. Para um grupo hoteleiro de 50 propriedades, isso representa um investimento significativo em hardware em todo o portfólio.

Na sobrecarga operacional, a sua equipa de engenharia deixa de gastar tempo a aplicar patches no Windows Server, a resolver problemas de configurações do FreeRADIUS ou a gerir renovações de certificados em infraestrutura física. Esse tempo é redirecionado para o trabalho de políticas de segurança que melhora diretamente a sua postura.

Na postura de segurança, a transição para EAP-TLS e atribuição dinâmica de VLAN reduz materialmente a superfície de ataque. O roubo de credenciais é a principal causa de violações de rede. Eliminar as palavras-passe do processo de autenticação de rede aborda diretamente esse risco. O registo de auditoria centralizado apoia a conformidade com o PCI DSS v4.0 e GDPR, reduzindo o custo e a complexidade das auditorias de conformidade. Para organizações que gerem interfaces de Transport ou espaços de grande afluência, a capacidade de aplicar políticas de segurança consistentes em todos os locais a partir de um único painel de controlo é uma melhoria operacional mensurável. A Purple opera em mais de 80.000 espaços ativos e processou 440 milhões de inícios de sessão em 2024 (dados internos da Purple, 2024). A infraestrutura que suporta esta escala é cloud-native por design.

Para uma visão mais ampla de como a análise de WiFi e a inteligência de rede se ligam aos resultados de negócio, consulte a nossa plataforma de WiFi Analytics .

Referências

[1] IEEE Standard for Local and metropolitan area networks - Port-Based Network Access Control. IEEE Std 802.1X-2020. [2] IETF. Remote Authentication Dial In User Service (RADIUS). RFC 2865. 1997. [3] IETF. The EAP-TLS Authentication Protocol. RFC 5216. 2008. [4] IronWiFi. Benefits of a Cloud RADIUS Server: Why Enterprises Are Moving Authentication Online. Fevereiro de 2026. [5] SecureW2. Cloud vs. On-Site RADIUS: Which is Better? Maio de 2026. [6] Portnox. RADIUS as a Service. 2026. [7] PCI Security Standards Council. PCI DSS v4.0. Março de 2022. [8] Purple. Dados de plataforma interna: 440 milhões de inícios de sessão, mais de 80.000 espaços. 2024.

Definições Principais

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede definido no RFC 2865 que fornece gestão centralizada de Autenticação, Autorização e Monitorização (AAA) para utilizadores que se ligam a um serviço de rede.

As equipas de TI utilizam o RADIUS como o motor de decisão central para verificar se um dispositivo ou utilizador tem permissão para aceder à rede WiFi corporativa. Este posiciona-se entre o ponto de acesso e o fornecedor de identidade.

802.1X

Um Padrão IEEE para Controlo de Acesso à Rede baseado em portas. Fornece um mecanismo de autenticação para dispositivos que se desejam ligar a uma LAN ou WLAN, forçando-os a autenticarem-se antes de receberem um endereço IP.

Este é o padrão que sustenta a segurança do WiFi empresarial. Sem o 802.1X, qualquer dispositivo que se ligue ao SSID obtém acesso à rede. Com o 802.1X, cada dispositivo deve provar primeiro a sua identidade.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Um método de autenticação definido no RFC 5216 que exige que tanto o dispositivo cliente como o servidor RADIUS apresentem certificados digitais, fornecendo autenticação mútua sem palavras-passe.

Considerado o padrão de excelência para a segurança de WiFi empresarial. Os certificados são implementados nos dispositivos corporativos via MDM. O EAP-TLS elimina o risco de roubo de palavra-passe e ataques de phishing na rede.

PEAP

Protected Extensible Authentication Protocol. Um método EAP que cria um túnel para a troca de nome de utilizador e palavra-passe dentro de uma sessão TLS. Menos seguro do que o EAP-TLS porque depende de palavras-passe.

O PEAP-MSCHAPv2 é amplamente implementado em ambientes legados. As equipas de TI devem planear uma migração para EAP-TLS para dispositivos corporativos, utilizando o PEAP apenas como alternativa para dispositivos não geridos ou BYOD.

Atribuição dinâmica de VLAN

Um processo em que o servidor RADIUS instrui o ponto de acesso sobre em qual Virtual LAN deve colocar um dispositivo, com base na identidade e função verificadas do utilizador, em vez do SSID ao qual se ligou.

Essencial para a segmentação de rede em ambientes com múltiplas funções. Um único SSID "Staff" pode separar de forma segura o tráfego de limpeza, receção e gestão em diferentes VLANs com diferentes direitos de acesso.

AAA

Autenticação, Autorização e Monitorização (Authentication, Authorisation, and Accounting). As três funções realizadas por um servidor RADIUS: verificar a identidade (autenticação), determinar qual o acesso permitido (autorização) e registar os dados da sessão para efeitos de auditoria (monitorização).

As equipas de TI e os auditores utilizam o AAA como uma estrutura para avaliar o controlo de acesso à rede. O Cloud RADIUS fornece as três funções a partir de um serviço gerido.

WPA3-Enterprise

O padrão de segurança WiFi atual para redes empresariais, que exige autenticação 802.1X através de um servidor RADIUS. Oferece uma força criptográfica superior em comparação com o WPA2-Enterprise, incluindo o modo de segurança de 192 bits para ambientes de alta segurança.

Os gestores de TI devem configurar o WPA3-Enterprise como o padrão mínimo de segurança para redes de funcionários. As redes de convidados podem utilizar o WPA2 ou autenticação aberta com um Captive Portal.

Controlo de Acesso à Rede (NAC)

Uma abordagem de segurança que aplica políticas em dispositivos que procuram aceder a recursos de rede, combinando a avaliação de segurança do endpoint, a autenticação de identidade e a aplicação de políticas de rede.

O RADIUS é um componente fundamental do NAC. O Cloud RADIUS estende o NAC a ambientes distribuídos e de vários locais, sem necessitar de infraestrutura local em cada localização.

Captive Portal

Uma página web com a qual o utilizador de uma rede de acesso público deve interagir antes de lhe ser concedido acesso à Internet. Normalmente utilizado em WiFi de Convidados para recolher consentimento ou apresentar os termos de utilização.

Os Captive Portals gerem o acesso de convidados não autenticados, enquanto o 802.1X gere o acesso de funcionários autenticados. Os dois mecanismos operam em SSIDs e VLANs separados.

Exemplos Práticos

Um hotel de 200 quartos precisa de proteger a sua rede de funcionários (limpeza, receção e administração), mantendo o Guest WiFi inteiramente separado. Atualmente utilizam uma PSK partilhada para a rede de funcionários, que não é alterada há dois anos.

Implementar o RADIUS as a Service integrado com o Microsoft Entra ID. Configurar os pontos de acesso Cisco Meraki para utilizar WPA3-Enterprise com 802.1X. A equipa de limpeza autentica-se utilizando as suas credenciais do Entra ID; o servidor RADIUS lê o respetivo grupo de diretório e atribui-lhes dinamicamente a VLAN 10 (apenas acesso ao sistema de tarefas de limpeza). A equipa da receção é atribuída à VLAN 20 (acesso ao sistema de gestão de propriedade). A administração é atribuída à VLAN 30 (acesso mais amplo). O Guest WiFi permanece num SSID separado com um Captive Portal, isolado na VLAN 40. Quando um funcionário sazonal sai, a sua conta do Entra ID é desativada, revogando instantaneamente o acesso WiFi em todos os pontos de acesso da propriedade.

Comentário do Examinador: Esta abordagem elimina a vulnerabilidade da PSK partilhada e o risco de ex-funcionários manterem o acesso. A atribuição dinâmica de VLAN garante que um dispositivo de limpeza comprometido não consiga aceder ao sistema de gestão de propriedade. A utilização do RADIUS na nuvem elimina a necessidade de um servidor físico no limitado armário de TI do hotel. A integração com o Entra ID significa que a desativação de contas é uma ação única com efeito imediato em toda a rede.

Uma cadeia de retalho nacional com 400 lojas precisa de garantir a conformidade com o PCI DSS para os seus terminais de ponto de venda (POS). Atualmente gerem 400 instâncias separadas de FreeRADIUS em servidores locais das lojas, cada uma exigindo atualizações de segurança individuais.

Migrar para uma única instância de RADIUS as a Service. Configurar os pontos de acesso HPE Aruba em todas as 400 lojas para autenticar dispositivos POS utilizando EAP-TLS com certificados de máquina distribuídos através do Microsoft Intune. O servidor RADIUS na nuvem autentica os certificados e coloca os dispositivos POS numa VLAN em conformidade com o PCI (VLAN 30), isolada de todo o restante tráfego de rede. Os funcionários da loja utilizam um SSID separado autenticado via Okta, que os coloca numa VLAN geral de funcionários (VLAN 20). Os clientes na rede de convidados são isolados na VLAN 40. A equipa de segurança gere todas as políticas a partir de um único painel de controlo.

Comentário do Examinador: A centralização da infraestrutura RADIUS elimina o fardo de manutenção de atualizar 400 servidores locais. A utilização de EAP-TLS para dispositivos POS remove totalmente as palavras-passe, prevenindo o roubo de credenciais. Esta arquitetura cumpre o Requisito 8 do PCI DSS v4.0 (autenticação única) e o Requisito 1 (segmentação de rede). Quando é exposta uma vulnerabilidade, o fornecedor atualiza a infraestrutura na nuvem, em vez de ser a equipa de segurança da cadeia de retalho a atualizar 400 servidores ao longo de várias semanas.

Perguntas de Prática

Q1. O campus da sua universidade utiliza atualmente o Microsoft NPS no Windows Server para autenticar estudantes através de PEAP-MSCHAPv2. A instituição está a migrar para o Google Workspace e pretende desativar todos os servidores locais no prazo de 12 meses. Qual é a alteração arquitetónica mais segura e operacionalmente eficiente para a infraestrutura de autenticação WiFi?

Dica: O Microsoft NPS não suporta nativamente o Google Workspace. Considere o que substitui tanto o servidor como o método de autenticação.

Ver resposta modelo

Migrar para RADIUS as a Service com integração nativa no Google Workspace. O serviço RADIUS na nuvem liga-se diretamente ao Google Workspace via LDAP ou OIDC, eliminando a necessidade de Active Directory ou NPS. Em simultâneo, transitar os dispositivos geridos de estudantes e funcionários de PEAP-MSCHAPv2 para EAP-TLS através da implementação de certificados de cliente via plataforma MDM da instituição. Isto remove as palavras-passe do processo de autenticação e garante que apenas dispositivos geridos e fidedignos possam aceder às redes de funcionários e estudantes. A migração pode ser faseada: implementar o RADIUS na nuvem em paralelo com o NPS, migrar um SSID de cada vez e, em seguida, desativar o NPS quando todos os dispositivos estiverem a utilizar o novo serviço.

Q2. Um estádio com capacidade para 80.000 pessoas necessita de WiFi seguro para a equipa corporativa, terminais de bilheteira, membros da imprensa e prestadores de serviços nos dias de eventos. Como deve a rede ser configurada utilizando RADIUS na nuvem para impor o acesso adequado a cada grupo?

Dica: Considere como o RADIUS lida com a autorização, não apenas com a autenticação. Cada grupo necessita de direitos de acesso diferentes.

Ver resposta modelo

Implementar um único SSID 802.1X para todos os grupos autenticados. Configurar o serviço RADIUS na nuvem para utilizar atribuição dinâmica de VLAN com base na função do utilizador no fornecedor de identidade. A equipa corporativa é atribuída à VLAN 10 com acesso a sistemas internos. Os terminais de bilheteira, autenticados através de certificados de máquina (EAP-TLS), são colocados numa VLAN 20 restrita, com acesso exclusivo à plataforma de bilheteira. Os membros da imprensa são atribuídos à VLAN 30 com acesso à internet de banda larga, mas sem acesso a sistemas internos. Os prestadores de serviços nos dias de eventos são atribuídos à VLAN 40 com acesso limitado apenas à internet. Um SSID aberto separado com um Captive Portal lida com o acesso de convidados de adeptos e espetadores na VLAN 50, isolado de todo o restante tráfego.

Q3. Durante uma auditoria de segurança, descobre-se que o servidor FreeRADIUS da sua organização não recebe uma correção de segurança há oito meses. A equipa tem hesitado em aplicar as correções porque a última atualização causou uma interrupção de duas horas na autenticação. De que forma a migração para RADIUS as a Service resolve tanto o risco de segurança como o risco operacional?

Dica: Considere a divisão de responsabilidades num modelo de serviço gerido e como os fornecedores lidam com correções sem tempo de inatividade.

Ver resposta modelo

O RADIUS as a Service transfere a responsabilidade pelas correções do SO e gestão de vulnerabilidades para o fornecedor. O fornecedor opera clusters multi-região de alta disponibilidade, permitindo-lhes aplicar correções em endpoints individuais e lançar atualizações progressivamente sem causar tempos de inatividade na autenticação. A sua equipa já não precisa de agendar janelas de manutenção ou aceitar o risco de uma interrupção induzida por correções. O risco de segurança é eliminado porque o fornecedor corrige a infraestrutura à medida que as vulnerabilidades são reveladas, muitas vezes antes de a CVE ser amplamente publicitada. O risco operacional é eliminado porque o SLA do fornecedor garante o tempo de atividade, independentemente da atividade de correção. A função da sua equipa muda de manutenção de infraestrutura para gestão de políticas.

Continue a ler esta série

Integrar o RADIUS as a Service com Diretórios Cloud (Azure AD & Google Workspace)

Este guia de referência técnica detalha como integrar o RADIUS as a Service com diretórios cloud - Microsoft Entra ID e Google Workspace - para a autenticação de WiFi empresarial. Abrange a transição arquitetónica de NPS on-premise para RADIUS nativo na nuvem, a implementação de autenticação EAP-TLS baseada em certificados e as melhores práticas operacionais para proteger o acesso sem fios em ambientes de hotelaria, retalho e setor público. Para gestores de TI e arquitetos de rede que já investem em identidade na nuvem, este guia preenche a lacuna entre a gestão de diretórios e a segurança da rede física.

Como Implementar a Autenticação 802.1X com Cloud RADIUS

Este guia de referência técnica fornece uma estrutura abrangente para a implementação da autenticação 802.1X com Cloud RADIUS em propriedades empresariais distribuídas. Detalha a arquitetura, a seleção do método EAP, a sequência de implementação e as estratégias de mitigação de riscos necessárias para proteger o acesso à rede, eliminando simultaneamente os custos operacionais da infraestrutura local.

O que é o Cloud RADIUS? Um Guia Completo sobre RADIUS as a Service

Este guia completo explora o Cloud RADIUS (RADIUS as a Service), detalhando a sua arquitetura, métodos EAP e estratégias de implementação. Fornece aos líderes de TI informações práticas sobre a migração de servidores locais para um modelo de autenticação baseado na nuvem, escalável, seguro e em conformidade.