Saltar para o conteúdo principal

O que é Cloud RADIUS? Um Guia Completo para RADIUS-as-a-Service

Este guia completo explora o Cloud RADIUS (RADIUS-as-a-Service), detalhando a sua arquitetura, métodos EAP e estratégias de implementação. Fornece aos líderes de TI perspetivas práticas sobre a migração de servidores locais para um modelo de autenticação baseado na nuvem escalável, seguro e em conformidade.

📖 5 min de leitura📝 1,077 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
O que é Cloud RADIUS? Um Guia Completo para o RADIUS-as-a-Service. Bem-vindo ao Purple WiFi Intelligence Podcast. Sou o vosso anfitrião e hoje vamos fazer uma análise aprofundada sobre o Cloud RADIUS - o que é, como funciona nos bastidores e, fundamentalmente, como avaliar se é a decisão certa para a sua organização este trimestre. Quer gira um grupo hoteleiro, uma rede de retalho, um estádio ou uma rede do setor público, este episódio é para si. Vamos contextualizar. Introdução e Contexto. Se alguma vez teve de explicar a uma administração por que razão o seu servidor de autenticação de rede falhou às 2h da manhã - e por que demorou três horas a ser restabelecido - já compreende o problema central que o Cloud RADIUS resolve. A infraestrutura tradicional de RADIUS local é poderosa, mas acarreta custos operacionais significativos. Hardware para adquirir, ciclos de patches para gerir, redundância para estruturar manualmente e um ponto único de falha localizado na sua sala de servidores. O Cloud RADIUS, ou RADIUS-as-a-Service, move essa camada de autenticação para um ambiente de nuvem gerido e altamente disponível. O protocolo em si - Remote Authentication Dial-In User Service - não mudou. Continua a ser a espinha dorsal do controlo de acesso à rede IEEE 802.1X, o mecanismo que os seus pontos de acesso utilizam para validar quem entra na sua rede. Mas a infraestrutura que o executa é agora responsabilidade de outra pessoa. E na TI empresarial, esta é uma mudança significativa. Vamos então entrar nos detalhes técnicos. Análise Técnica Aprofundada. O RADIUS foi originalmente definido no RFC 2865, publicado em 2000, e tem-se mantido incrivelmente durável. O protocolo funciona num modelo cliente-servidor. O seu dispositivo de acesso à rede - seja um ponto de acesso WiFi, um concentrador de VPN ou um switch com fios - atua como o cliente RADIUS, também chamado de Network Access Server ou NAS. Quando um utilizador tenta ligar-se, o NAS encaminha um pacote Access-Request para o servidor RADIUS, que valida as credenciais num diretório de utilizadores - normalmente Active Directory, LDAP ou um fornecedor de identidade na nuvem - e devolve um Access-Accept ou um Access-Reject. Essa é a troca central. Mas a verdadeira complexidade reside no que acontece em seu redor: métodos EAP, atribuição de VLAN, aplicação de políticas, registos de contabilidade e gestão de certificados. Numa implementação local tradicional, executa o FreeRADIUS ou o Microsoft NPS em hardware dedicado, gerindo os seus próprios certificados, configurando a sua própria tolerância a falhas e mantendo a sincronização da sua própria base de dados de utilizadores. Para uma implementação num único local com uma equipa de TI competente, isso é gerível. Para uma rede de retalho de 50 localizações ou um grupo hoteleiro com propriedades em vários países, torna-se um fardo operacional significativo.O Cloud RADIUS abstrai tudo isso. A lógica de autenticação, a infraestrutura de certificados, a redundância e o motor de políticas são fornecidos como um serviço gerido. Os seus pontos de acesso apontam para endpoints RADIUS alojados na nuvem - normalmente um endereço IP principal e secundário - e o serviço trata de tudo o resto por trás disso. Agora, falemos sobre os métodos de autenticação, porque é aqui que as decisões técnicas realmente importam. O método EAP mais comum em redes WiFi empresariais é o PEAP - Protected EAP - que cria um túnel MSCHAPv2 dentro de uma sessão TLS. É amplamente suportado, funciona nativamente com o Active Directory e é o padrão para a maioria dos dispositivos Windows e Android. No entanto, o PEAP tem vulnerabilidades conhecidas, especialmente em relação à validação de certificados. Se os seus dispositivos cliente não estiverem configurados para verificar o certificado do servidor, estará exposto a ataques de roubo de credenciais através de pontos de acesso falsos. O EAP-TLS é o padrão de ouro. Utiliza autenticação mútua de certificados - tanto o servidor como o cliente apresentam certificados - o que elimina completamente a superfície de ataque a palavras-passe. O reverso da medalha é a implementação de certificados de cliente, que requer uma infraestrutura PKI e integração com MDM. Para frotas de dispositivos geridos, esta é absolutamente a escolha certa. Para ambientes BYOD, é mais complexo. O EAP-TTLS e o EAP-FAST também merecem destaque. O TTLS é particularmente comum em ambientes onde precisa de suportar uma vasta gama de dispositivos cliente, incluindo sistemas Linux. O EAP-FAST foi desenvolvido pela Cisco como uma alternativa ao PEAP que evita a dependência da validação de certificados, utilizando Protected Access Credentials em seu lugar. Um serviço Cloud RADIUS bem estruturado suporta todos estes métodos e permite-lhe configurar políticas por SSID - para que o seu SSID corporativo utilize EAP-TLS com validação de certificados, o SSID dos colaboradores utilize PEAP com Active Directory e a sua rede de convidados utilize um Captive Portal ou fluxo de login social totalmente separado do ecossistema RADIUS. Por falar nisso - o RADIUS e o WiFi de convidados são frequentemente confundidos, mas servem propósitos diferentes. O RADIUS é a sua camada de autenticação e autorização para utilizadores e dispositivos conhecidos. O WiFi de convidados utiliza tipicamente um fluxo de Captive Portal, que é um mecanismo totalmente diferente. A plataforma da Purple, por exemplo, lida com a autenticação de convidados através de uma camada de identidade separada, capturando dados primários e permitindo a automação de marketing, enquanto o RADIUS lida com o controlo de acesso à rede corporativa e de colaboradores. Estes são sistemas complementares e não concorrentes. Agora, vamos falar sobre o que "alojado na nuvem" significa realmente na prática. Um serviço Cloud RADIUS corretamente arquitetado corre em várias zonas de disponibilidade, com failover automático. Os pedidos de autenticação são equilibrados em termos de carga entre nós, e o serviço mantém tempos de resposta inferiores a 100 milissegundos, mesmo sob carga máxima. Para um estádio que lida com 40.000 ligações simultâneas durante um evento, esse perfil de latência e taxa de transferência é crítico. Um único servidor local simplesmente não consegue igualar essa elasticidade. Do ponto de vista da conformidade, os fornecedores de Cloud RADIUS que operam no Reino Unido e na UE precisam de estar em conformidade com o GDPR na forma como gerem os registos de autenticação e os dados dos utilizadores. Para ambientes de retalho e hotelaria que também processam dados de cartões de pagamento, os requisitos de PCI-DSS relativos à segmentação de rede e controlo de acessos são diretamente relevantes - o RADIUS faz parte do seu ambiente de controlo e o seu QSA quererá ver provas de uma configuração correta e de registo de auditoria. O WPA3 também merece atenção. A transição do WPA2 para o WPA3 introduz a Autenticação Simultânea de Iguais - SAE - para redes pessoais, e o WPA3-Enterprise para ambientes corporativos. O WPA3-Enterprise impõe o modo de segurança de 192 bits para a classificação mais elevada, o que requer métodos EAP e conjuntos de cifras específicos. Um serviço Cloud RADIUS precisa de suportar estas configurações para estar preparado para o futuro. Recomendações de Implementação e Erros Comuns. Certo, vamos passar à prática. Se estiver a avaliar o Cloud RADIUS para implementação este trimestre, eis em que me focaria. Primeiro, a integração com o seu fornecedor de identidade. O seu serviço Cloud RADIUS precisa de sincronizar com o local onde os seus utilizadores realmente residem - seja o Microsoft Entra ID, anteriormente Azure AD, o Google Workspace, o Okta ou um Active Directory local através de proxy LDAP. A qualidade desta integração determina a sua sobrecarga operacional. O aprovisionamento nativo via SAML ou SCIM é muito preferível a importações manuais de CSV. Segundo, a gestão de certificados. Se estiver a implementar EAP-TLS, precisa de uma resposta clara sobre como os certificados de cliente são emitidos, renovados e revogados. Os melhores serviços Cloud RADIUS incluem uma PKI integrada ou integram-se perfeitamente com a sua autoridade de certificação existente. A expiração de certificados é uma das causas mais comuns de falhas de autenticação em WiFi empresarial - é totalmente evitável com a automação adequada. Terceiro, a compatibilidade de dispositivos de rede. Os seus pontos de acesso precisam de suportar a autenticação RADIUS - virtualmente todos os AP de classe empresarial o fazem - mas precisa de verificar os métodos EAP específicos e os atributos RADIUS que o serviço escolhido suporta face à implementação do seu fabricante de AP. A Cisco, a Aruba, a Juniper Mist e a Ruckus têm todas as suas próprias nuances na forma como gerem os atributos RADIUS e as mensagens de CoA - Change of Authorisation.Quarto, configuração de redundância. Configure sempre um IP de servidor RADIUS principal e um secundário. O tempo limite de failover nos seus dispositivos NAS é importante - se estiver configurado para um valor muito alto, os utilizadores terão um atraso de autenticação de 30 segundos quando o principal estiver inacessível. Um tempo limite de 3 a 5 segundos com failover imediato é a configuração correta para a maioria dos ambientes. Quinto - e este é o que as pessoas esquecem - a monitorização (accounting). Os registos de accounting RADIUS são a sua pista de auditoria. Eles dizem-lhe quem se ligou, a partir de que dispositivo, a que horas e por quanto tempo. Para fins de conformidade, especialmente em ambientes de saúde e do setor público, estes registos precisam de ser retidos e estar acessíveis. Certifique-se de que o seu fornecedor de Cloud RADIUS lhe dá acesso aos dados de accounting, e não apenas aos registos de autenticação. Erros comuns: complexidade do segredo partilhado. O seu segredo partilhado RADIUS - a chave pré-partilhada entre o seu NAS e o servidor RADIUS - precisa de ser longo e aleatório. Segredos partilhados curtos ou fáceis de adivinhar são um vetor de ataque real. Utilize pelo menos 32 caracteres, gerados aleatoriamente, e rode-os de forma programada. Tenha também atenção à colocação de IPs em lista de permissões. Muitos serviços Cloud RADIUS exigem que coloque os IPs de origem dos seus dispositivos NAS numa lista de permissões. Num ambiente de nuvem dinâmico onde a sua plataforma de gestão de APs possa usar NAT, isto pode causar falhas de autenticação inesperadas. Confirme o comportamento de NAT da sua rede antes da implementação. Perguntas e Respostas Rápidas. Deixe-me passar por algumas perguntas que me fazem regularmente. O Cloud RADIUS pode suportar ambientes multi-tenant? Sim - a maioria dos serviços Cloud RADIUS empresariais suporta o isolamento de inquilinos, pelo que um fornecedor de serviços geridos pode executar políticas RADIUS separadas para múltiplos clientes a partir de uma única plataforma. Qual é a latência típica para uma autenticação Cloud RADIUS? Inferior a 100 milissegundos para um serviço bem estruturado. O próprio handshake 802.1X adiciona alguma sobrecarga, mas para a maioria dos métodos EAP, o tempo total de autenticação deve ser inferior a 500 milissegundos de ponta a ponta. O Cloud RADIUS funciona com o OpenRoaming? Sim. O OpenRoaming - a estrutura de roaming da Wireless Broadband Alliance - utiliza a federação RADIUS no seu núcleo. Um serviço Cloud RADIUS que suporte Hotspot 2.0 e OpenRoaming permite que os seus utilizadores se autentiquem automaticamente em redes participantes a nível global. A Purple suporta o OpenRoaming sob a sua licença Connect, agindo como um fornecedor de identidade na federação. O Cloud RADIUS é adequado para ambientes de alta segurança? Para a maioria dos ambientes empresariais, sim. Para ambientes com dados classificados ou classificações de segurança governamentais específicas, poderá ter de avaliar se um serviço de nuvem gerido cumpre os seus requisitos de acreditação específicos. Resumo e Próximos Passos. Para resumir: o Cloud RADIUS é uma abordagem madura e pronta para produção no controlo de acessos à rede que remove a sobrecarga operacional da infraestrutura RADIUS local sem comprometer a segurança ou a capacidade. Para organizações com vários locais, o caso de ROI é simples - elimina o capex de hardware, reduz os custos indiretos de TI, obtém redundância integrada e consegue um serviço que se adapta à escala da sua propriedade. As principais decisões são: qual o método EAP adequado para a sua frota de dispositivos, como se integra com o seu fornecedor de identidade existente e se o serviço escolhido lhe oferece as capacidades de conformidade e auditoria que a sua organização exige. Se gere um grupo hoteleiro, uma cadeia de retalho ou administra redes do setor público, recomendo começar com uma prova de conceito num único local - configure corretamente o seu RADIUS, valide a integração com o seu fornecedor de identidade e meça a latência de autenticação antes de implementar em toda a sua propriedade. Para saber mais sobre WiFi analytics, gestão de redes de convidados e como a plataforma da Purple se integra com a autenticação baseada em RADIUS, visite purple.ai. Obrigado por ouvir.

header_image.png

Resumo Executivo

Para as redes empresariais modernas, a arquitetura RADIUS (Remote Authentication Dial-In User Service) tradicional no local constitui um estrangulamento operacional significativo. Gerir servidores físicos, aplicar patches em sistemas operativos, gerir autoridades de certificação e arquitetar redundância multi-site consome recursos de TI valiosos. O Cloud RADIUS (ou RADIUS-as-a-Service) resolve este problema migrando a camada de autenticação IEEE 802.1X para uma infraestrutura cloud gerida e de alta disponibilidade. Este guia fornece uma visão geral técnica abrangente do Cloud RADIUS para gestores de TI, arquitetos de rede e CTOs que avaliam estratégias de implementação. Ao mudar de sistemas com elevado capex e mantidos manualmente para um modelo elástico e globalmente distribuído, as organizações nos setores do retalho , hotelaria e transportes podem aplicar políticas de acesso robustas, alcançar a conformidade (como PCI-DSS e GDPR) e integrar-se perfeitamente com fornecedores de identidade modernos como o Microsoft Entra ID e o Google Workspace.

Análise Técnica Detalhada

A Evolução da Arquitetura RADIUS

O RADIUS, originalmente definido na RFC 2865, opera num modelo cliente-servidor no qual um Network Access Server (NAS) - como um ponto de acesso WiFi ou um concentrador VPN - encaminha pedidos de autenticação para um servidor central. Historicamente, isto significava implementar o FreeRADIUS ou o Microsoft Network Policy Server (NPS) em hardware dedicado. Embora isto seja viável para implementações num único local, dimensionar esta arquitetura em ambientes distribuídos introduz desafios significativos de latência e redundância.

O Cloud RADIUS abstrai a infraestrutura subjacente. Os pedidos de autenticação são encaminhados para endpoints de cloud globalmente distribuídos, garantindo tempos de resposta inferiores a 100 milissegundos, mesmo sob carga máxima. Esta elasticidade é crítica para ambientes de alta densidade, como estádios ou centros de conferências.

architecture_overview.png

Métodos EAP e Postura de Segurança

A escolha do método Extensible Authentication Protocol (EAP) determina fundamentalmente a sua postura de segurança:

  • PEAP (Protected EAP): Estabelece um túnel MSCHAPv2 dentro de uma sessão TLS. Embora o PEAP seja amplamente suportado e fácil de integrar com o Active Directory, é vulnerável ao roubo de credenciais através de pontos de acesso fraudulentos se os dispositivos clientes não estiverem estritamente configurados para validar o certificado do servidor.
  • EAP-TLS: O padrão de ouro empresarial. Requer autenticação mútua de certificados - tanto o servidor como o cliente devem apresentar certificados válidos. Isto elimina completamente os ataques baseados em palavra-passe, mas exige uma infraestrutura de chaves públicas (PKI) robusta e integração de gestão de dispositivos móveis (MDM) para a implementação de certificados.
  • EAP-TTLS e EAP-FAST: Fornecem alternativas adequadas a cenários que exigem uma ampla compatibilidade com clientes (incluindo sistemas antigos ou Linux), ou onde são necessárias Credenciais de Acesso Protegido (PACs) para contornar as dependências de validação de certificados.

Integração com WPA3 e OpenRoaming

As implementações modernas devem ter em conta o WPA3-Enterprise, que exige o modo de segurança de 192 bits para o nível de segurança mais elevado, requerendo suites de cifra específicas. Adicionalmente, o Cloud RADIUS facilita a participação em redes de federação como o OpenRoaming. Por exemplo, a Purple atua como um fornecedor de identidade gratuito para o OpenRoaming sob a sua licença Connect, permitindo uma autenticação segura e contínua em redes participantes em todo o mundo.

Guia de Implementação

A implementação do Cloud RADIUS requer uma abordagem sistemática para garantir zero tempo de inatividade durante a transição.

Passo 1: Integração com o Fornecedor de Identidade (IdP)

A sua instância do Cloud RADIUS deve sincronizar-se com o seu diretório de utilizadores autoritário. O aprovisionamento nativo SAML ou SCIM com o Microsoft Entra ID, Google Workspace ou Okta é preferível a proxies LDAP manuais ou importações CSV. Isto garante que, quando um funcionário é desligado no sistema de RH, o seu acesso à rede é revogado imediatamente.

Passo 2: Estratégia de Gestão de Certificados

Se implementar o EAP-TLS, defina o ciclo de vida dos seus certificados. Escolha um fornecedor de Cloud RADIUS que inclua uma PKI integrada ou que se integre perfeitamente com a sua Autoridade de Certificação (CA) existente. Automatize a emissão e revogação de certificados através da sua plataforma MDM (como o Intune ou Jamf) para evitar falhas de autenticação causadas por certificados expirados.

Passo 3: Configuração dos Dispositivos de Rede

Configure os seus dispositivos NAS (pontos de acesso, switches) para apontarem para os endereços IP primário e secundário do Cloud RADIUS. Certifique-se de que os segredos partilhados são criptograficamente complexos (um mínimo de 32 carateres aleatórios). Ajuste as definições de tempo limite de falha; um tempo limite de 3 a 5 segundos é o ideal, evitando atrasos prolongados de autenticação se o nó primário ficar inacessível.

Passo 4: Definição de Políticas

Estabeleça políticas por SSID. Por exemplo, imponha o EAP-TLS para a rede corporativa, PEAP para dispositivos IoT legados e isole o acesso de convidados. Note que o RADIUS lida com utilizadores conhecidos; para visitantes, implemente uma solução dedicada de Guest WiFi com um Captive Portal para capturar dados primários, integrada com uma plataforma de WiFi Analytics . Para saber mais sobre o envolvimento de visitantes, consulte Como Melhorar a Satisfação dos Convidados: O Guia Definitivo .

comparison_chart.png

Melhores Práticas

  • Impor validação estrita de certificados de servidor: Para implementações PEAP, envie políticas de grupo (Group Policy) ou perfis MDM que forcem os clientes a validar o certificado do servidor RADIUS e restrinjam a confiança a uma CA raiz específica.
  • Segmentar o tráfego de accounting e autenticação: Garanta que os dados de accounting RADIUS são monitorizados ativamente e retidos. Esta pista de auditoria é essencial para relatórios de conformidade (como PCI-DSS e HIPAA).
  • Monitorizar a latência de autenticação: A latência elevada indica frequentemente um encaminhamento abaixo do ideal ou problemas de sincronização do IdP. Utilize ferramentas de monitorização para acompanhar o tempo decorrido desde o pacote de Access-Request até ao Access-Accept.
  • Otimizar o planeamento de sinal e de canais: Uma autenticação fiável depende de uma camada física estável. Reveja os guias como Understanding RSSI and Signal Strength for Optimal Channel Planning para garantir que o seu ambiente de RF suporta um roaming 802.1X contínuo.

Resolução de Problemas e Mitigação de Riscos

Mesmo com um serviço gerido, uma configuração incorreta pode levar a falhas de acesso. Os modos de falha comuns incluem:

  • Expiração de certificados: A principal causa de falhas de EAP-TLS. Mitigação: Implemente alertas automáticos 30 dias antes de os certificados da CA ou do servidor expirarem.
  • Incompatibilidade de segredo partilhado (Shared Secret): Ocorre normalmente ao adicionar novos pontos de acesso. Mitigação: Padronize os modelos de configuração no seu sistema de gestão de rede.
  • Problemas de NAT e de lista de permissões de IP: Os fornecedores de Cloud RADIUS normalmente exigem uma lista de permissões de IP do NAS. Se os sites das suas filiais utilizarem IPs dinâmicos ou configurações de NAT complexas, os pedidos de autenticação podem ser rejeitados. Mitigação: Utilize IPs de saída estáticos ou implemente um proxy RADIUS local onde necessário.
  • Falhas de sincronização do IdP: Se o diretório na cloud não conseguir sincronizar com o AD local, os novos utilizadores não conseguirão autenticar-se. Mitigação: Monitorize proativamente o estado do conector SCIM/LDAP.

ROI e Impacto no Negócio

A transição para o Cloud RADIUS proporciona um valor de negócio mensurável:

  1. Redução das despesas de capital de infraestrutura (Capex): Não há necessidade de adquirir, instalar em bastidor e alimentar servidores RADIUS físicos em cada site principal.
  2. Menores custos operacionais: As equipas de TI já não perdem horas a aplicar patches para vulnerabilidades do sistema operativo ou a gerir manualmente a redundância (failover) de servidores. As atualizações geridas pelo fornecedor garantem uma conformidade contínua.
  3. Postura de segurança melhorada: A transição para EAP-TLS através de uma PKI na cloud reduz o risco de roubo de credenciais, diminuindo diretamente o custo potencial de uma violação de dados.
  4. Agilidade e escalabilidade: Ao abrir uma nova sucursal de retalho ou hotel, a autenticação de rede pode ser provisionada em minutos, em vez de semanas. Para estratégias práticas de implementação, consulte Configurar WiFi para Empresas: Um Manual para 2026 .

Com um controlo de acesso centralizado, as organizações não só protegem o seu perímetro, como também libertam o talento de engenharia sénior para se concentrar em projetos estratégicos de elevado impacto, em vez de manterem uma infraestrutura legada obsoleta.

Definições Principais

Cloud RADIUS

Um serviço gerido que aloja o protocolo Remote Authentication Dial-In User Service num ambiente de nuvem de elevada disponibilidade, eliminando a necessidade de servidores de autenticação locais.

Avaliado por equipas de TI que procuram reduzir o capex de hardware e os custos operacionais, mantendo um acesso seguro à rede 802.1X.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Um método de autenticação altamente seguro que exige que tanto o cliente como o servidor apresentem certificados digitais para provar a sua identidade.

O padrão recomendado para redes empresariais para evitar ataques baseados em palavras-passe, exigindo PKI e MDM para a implementação.

NAS (Network Access Server)

O dispositivo - como um ponto de acesso WiFi, switch ou concentrador VPN - que atua como o cliente RADIUS, encaminhando as credenciais do utilizador para o servidor RADIUS.

Os engenheiros de rede devem configurar o NAS com os IPs do servidor RADIUS e os segredos partilhados corretos para permitir a autenticação 802.1X.

Segredo Partilhado

Uma string de texto criptográfica conhecida apenas pelo NAS e pelo servidor RADIUS, usada para criptografar pacotes RADIUS e verificar a autenticidade do remetente.

Um segredo partilhado fraco é uma vulnerabilidade de segurança grave; as implementações empresariais devem utilizar strings longas e geradas aleatoriamente.

SCIM (System for Cross-domain Identity Management)

Um padrão aberto que automatiza a partilha de informações de identidade de utilizadores entre sistemas de TI ou aplicações na nuvem.

Utilizado para aprovisionar e desaprovisionar automaticamente utilizadores no diretório Cloud RADIUS quando são efetuadas alterações no sistema de identidade principal de RH ou TI.

OpenRoaming

Uma estrutura de federação desenvolvida pela Wireless Broadband Alliance que permite aos utilizadores ligarem-se de forma automática e segura a redes WiFi aderentes em todo o mundo.

Os fornecedores de Cloud RADIUS que suportam OpenRoaming (como a Purple) permitem que os locais ofereçam uma conectividade contínua e segura aos visitantes sem Captive Portals.

Registos de Contabilidade (Accounting Logs)

Registos gerados pelo servidor RADIUS detalhando os eventos de ligação do utilizador, incluindo a hora de início, hora de fim, dados transferidos e o endereço IP atribuído.

Cruciais para auditorias de segurança, resolução de problemas e para demonstrar a conformidade com estruturas como PCI-DSS e GDPR.

Alteração de Autorização (CoA)

Uma funcionalidade RADIUS que permite ao servidor modificar dinamicamente a sessão ativa de um utilizador, como alterar a sua VLAN ou desligá-lo, sem exigir uma nova ligação.

Utilizado pelos administradores de rede para colocar instantaneamente em quarentena um dispositivo comprometido ou aplicar novas restrições de política a meio de uma sessão.

Exemplos Práticos

Um hotel de 200 quartos utiliza atualmente o Microsoft NPS local para a autenticação do WiFi dos funcionários através de PEAP. Estão a registar falhas por limite de tempo de autenticação durante as horas de maior afluxo de check-in e pretendem migrar para o Cloud RADIUS com EAP-TLS para obter melhor segurança e fiabilidade. Como deve o Diretor de TI estruturar esta migração?

  1. Implementar um tenant Cloud RADIUS e integrá-lo com o Microsoft Entra ID do hotel via SCIM para gestão automatizada do ciclo de vida dos utilizadores. 2. Configurar a PKI integrada do Cloud RADIUS para emitir certificados de cliente. 3. Utilizar o MDM existente (por exemplo, Intune) para enviar a Root CA, os certificados de cliente e um novo perfil de WiFi configurado para EAP-TLS para todos os dispositivos dos funcionários. 4. Configurar os pontos de acesso do hotel para apontarem para os IPs principal e secundário do Cloud RADIUS, utilizando um novo segredo partilhado complexo de 32 caracteres. 5. Executar o NPS antigo e o novo Cloud RADIUS em paralelo em SSIDs diferentes durante um período de transição de duas semanas antes de desativar os servidores locais.
Comentário do Examinador: Esta abordagem minimiza o risco ao executar SSIDs paralelos durante a transição. A transição para o EAP-TLS elimina os riscos de recolha de credenciais associados ao PEAP, e o aproveitamento do MDM para a implementação de certificados garante fricção zero para os utilizadores finais. A integração com o SCIM garante que, quando os funcionários saem, o seu acesso é instantaneamente revogado.

Uma cadeia de retalho nacional com 500 localizações necessita de garantir a conformidade com o PCI-DSS para os seus terminais de ponto de venda (POS), que se ligam via WiFi. Estão a migrar para o Cloud RADIUS. Que configurações específicas são necessárias para cumprir a conformidade?

  1. Implementar uma segmentação de rede rigorosa: os terminais POS devem autenticar-se num SSID dedicado e oculto, mapeado para uma VLAN isolada. 2. Impor a autenticação EAP-TLS para todos os dispositivos POS para garantir a autenticação mútua e impedir que dispositivos não autorizados se juntem à rede POS. 3. Configurar o serviço Cloud RADIUS para reter todos os registos de contabilidade (Access-Accept, Access-Reject, duração da ligação) por um período mínimo de um ano, conforme exigido pelo PCI-DSS. 4. Garantir que os segredos partilhados do RADIUS entre os APs das filiais e o serviço Cloud RADIUS são rodados a cada 90 dias através de um script automatizado.
Comentário do Examinador: Esta solução aborda diretamente os requisitos do PCI-DSS para segmentação lógica, controlo de acessos forte e auditabilidade. Depender da filtragem de endereços MAC é insuficiente para a conformidade; o EAP-TLS fornece a prova criptográfica necessária da identidade do dispositivo. A retenção de registos de contabilidade na nuvem simplifica o processo de auditoria para o QSA.

Perguntas de Prática

Q1. A sua organização está a migrar de um Active Directory local para o Google Workspace. Atualmente utiliza PEAP-MSCHAPv2 para autenticação WiFi. Por que razão isto é um problema e qual é a solução recomendada?

Dica: Considere como o PEAP valida as credenciais em relação ao protocolo de diretório.

Ver resposta modelo

O PEAP-MSCHAPv2 depende do hash NT da palavra-passe de um utilizador, que o Google Workspace não armazena nem expõe nativamente. A solução recomendada é migrar para EAP-TLS utilizando um fornecedor de Cloud RADIUS que inclua uma PKI integrada. O serviço Cloud RADIUS pode sincronizar identidades de utilizadores a partir do Google Workspace via SAML/SCIM, e autenticar dispositivos utilizando certificados de cliente em vez de palavras-passe.

Q2. Uma sucursal reporta que os utilizadores estão a registar atrasos de 30 segundos ao ligarem-se à rede WiFi, seguidos de uma ligação bem-sucedida. O IP principal do Cloud RADIUS nessa região está atualmente em manutenção. Que erro de configuração está a causar este atraso?

Dica: Analise a comunicação entre o NAS e os servidores RADIUS.

Ver resposta modelo

O NAS (Access Point ou Switch) tem o tempo limite (timeout) do servidor RADIUS configurado com um valor demasiado elevado (por exemplo, 30 segundos). Está a aguardar que o servidor principal responda antes de efetuar o failover para o servidor secundário. O tempo limite deve ser reduzido para 3 a 5 segundos para garantir um failover rápido sem afetar a experiência do utilizador.

Q3. Está a implementar o Cloud RADIUS para um hospital. A equipa de segurança exige que apenas dispositivos pertencentes à empresa se possam ligar à rede interna, mesmo que um funcionário conheça um nome de utilizador e palavra-passe válidos. Como implementa esta restrição?

Dica: Qual o método EAP que verifica a identidade do dispositivo, e não apenas o conhecimento do utilizador?

Ver resposta modelo

Implemente o EAP-TLS. Configure a solução de MDM do hospital para enviar um certificado de cliente exclusivo apenas para dispositivos registados e pertencentes à empresa. Configure a política do Cloud RADIUS para rejeitar qualquer pedido de autenticação que não apresente um certificado válido assinado pela PKI interna de confiança, bloqueando eficazmente dispositivos BYOD ou não autorizados, independentemente do conhecimento da palavra-passe.

Continue a ler esta série

Os Benefícios de Segurança do RADIUS as a Service para Equipas de Trabalho Híbridas

Este guia de referência técnica explica como o RADIUS as a Service protege o acesso à rede para equipas de trabalho híbridas em locais distribuídos. Abrange a arquitetura, os benefícios de segurança e as etapas de implementação para substituir a infraestrutura RADIUS local por um serviço de autenticação gerido na nuvem. Para gestores de TI e arquitetos de rede em hotéis, cadeias de retalho, estádios e organizações do setor público, este guia fornece as provas necessárias para avaliar e agir sobre uma migração para RADIUS na nuvem este trimestre.

Ler o guia →

Integrar o RADIUS as a Service com Diretórios Cloud (Azure AD & Google Workspace)

Este guia de referência técnica detalha como integrar o RADIUS as a Service com diretórios cloud - Microsoft Entra ID e Google Workspace - para a autenticação de WiFi empresarial. Abrange a transição arquitetónica de NPS on-premise para RADIUS nativo na nuvem, a implementação de autenticação EAP-TLS baseada em certificados e as melhores práticas operacionais para proteger o acesso sem fios em ambientes de hotelaria, retalho e setor público. Para gestores de TI e arquitetos de rede que já investem em identidade na nuvem, este guia preenche a lacuna entre a gestão de diretórios e a segurança da rede física.

Ler o guia →

Como Implementar a Autenticação 802.1X com Cloud RADIUS

Este guia de referência técnica fornece uma estrutura abrangente para a implementação da autenticação 802.1X com Cloud RADIUS em propriedades empresariais distribuídas. Detalha a arquitetura, a seleção do método EAP, a sequência de implementação e as estratégias de mitigação de riscos necessárias para proteger o acesso à rede, eliminando simultaneamente os custos operacionais da infraestrutura local.

Ler o guia →