Saltar para o conteúdo principal

O que é um Supplicant 802.1X? Tipos de Clientes e Configuração de Dispositivos

Este guia explica o papel do supplicant 802.1X na autenticação WiFi corporativa. Abrange a arquitetura técnica, compara os supplicants nativos do SO com clientes de terceiros e fornece orientações práticas de configuração para equipas de TI que implementam EAP-TLS e PEAP.

📖 5 min de leitura📝 1,091 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Fale em inglês britânico com um tom confiante, autoritário e conversacional - como um consultor sénior de segurança de rede a dar instruções a um cliente. Ritmo compassado, dicção clara, profissional mas não rígido. Pausas naturais ocasionais para dar ênfase: Bem-vindo à série de briefings técnicos da Purple. Hoje vamos abordar algo que está mesmo no coração da segurança de WiFi empresarial - o suplicante 802.1X. Se alguma vez se perguntou por que razão alguns dispositivos se ligam à sua rede corporativa sem pedir palavra-passe, enquanto outros apresentam erros de certificado e tickets de suporte, este é o episódio para si. [pausa média] Comecemos pelo básico. O suplicante 802.1X é o componente de software num dispositivo cliente - um computador portátil, um smartphone, um tablet - que gere o handshake de autenticação quando esse dispositivo tenta ligar-se a uma rede protegida por IEEE 802.1X. Pense nisto como o apresentador do cartão de identificação do dispositivo. A rede não deixa entrar qualquer um. Pede credenciais. O suplicante é o que dá um passo em frente e diz: aqui está quem eu sou, aqui está o meu certificado, deixe-me entrar. O próprio padrão - IEEE 802.1X - define o controlo de acesso à rede baseado em portas. Antes de a autenticação ser bem-sucedida, o ponto de acesso ou switch apenas permite a passagem de um tipo de tráfego muito restrito: tramas EAPOL, que significa Extensible Authentication Protocol over LAN. Tudo o resto é bloqueado. Assim que o suplicante prova a sua identidade ao servidor RADIUS através do autenticador, a porta abre-se e o tráfego normal flui. [pausa média] Ora, existem três intervenientes nesta peça. Primeiro, o suplicante - o dispositivo cliente. Segundo, o autenticador - o seu ponto de acesso ou switch, hardware como Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist. Terceiro, o servidor de autenticação - quase sempre um servidor RADIUS, que valida as credenciais contra um diretório como o Microsoft Entra ID ou Okta. O suplicante inicia o processo enviando uma mensagem EAPOL-Start. O autenticador responde com um EAP-Request de identidade. O suplicante responde com a sua identidade. Essa identidade é encaminhada para o servidor RADIUS, que depois desafia o suplicante com o método EAP acordado. Se tudo estiver correto, o servidor RADIUS envia um Access-Accept, a porta abre-se e o dispositivo é colocado na VLAN correta. [pausa média] Falemos sobre os métodos EAP, porque é aqui que a maioria das decisões de implementação são tomadas. O EAP-TLS - ou seja, Extensible Authentication Protocol com Transport Layer Security - é o padrão de excelência. Requer que tanto o cliente como o servidor apresentem certificados. Autenticação mútua. Sem palavras-passe. O certificado do cliente comprova a identidade do dispositivo; o certificado do servidor comprova que a rede é legítima, o que protege contra ataques de "evil twin", em que um ponto de acesso malicioso tenta recolher credenciais. O EAP-TLS é concluído em doze passos e utiliza criptografia de chave pública-privada do início ao fim. É o método exigido para o WPA3-Enterprise no seu modo de segurança mais elevado e está alinhado com os requisitos do NIST SP 800-171 para verificação de identidade de dispositivos. O PEAP - Protected EAP - é o ponto de partida mais comum para organizações que ainda não dispõem de uma PKI completa. O PEAP envolve um método interno baseado em palavra-passe, normalmente o MSCHAPv2, dentro de um túnel TLS. O servidor apresenta um certificado; o cliente não. Isto significa que a implementação é mais simples - não precisa de aprovisionar certificados de cliente - mas é menos segura. O MSCHAPv2 utiliza hashing MD4, que é considerado comprometido desde 1995. Se um utilizador se ligar a um ponto de acesso malicioso que apresente um certificado de aspeto fidedigno, as suas credenciais podem ser capturadas. A validação do certificado do servidor do lado do cliente é, por isso, inegociável ao executar o PEAP. [medium pause] Agora vamos focar-nos no próprio suplicante - especificamente na escolha entre suplicantes nativos do sistema operativo e software de cliente de terceiros. Todos os principais sistemas operativos incluem um suplicante 802.1X integrado. O Windows suporta-o nativamente desde o XP, através dos serviços Wireless AutoConfig e Wired AutoConfig. O macOS e o iOS gerem o 802.1X através dos seus perfis de configuração de rede. O Android suporta-o através do painel de definições de WiFi. Estes suplicantes nativos cobrem o EAP-TLS e o PEAP-MSCHAPv2 em todas as plataformas atuais. A vantagem dos suplicantes nativos é óbvia: sem software adicional para implementar, sem custos de licenciamento, atualizações automáticas de segurança do SO e uma integração estreita com o repositório de certificados do sistema operativo. Para frotas de dispositivos geridos - computadores Windows registados no Microsoft Intune, Macs geridos através do Jamf - pode implementar perfis de configuração 802.1X de forma silenciosa via MDM, e os utilizadores nunca chegam a ver um aviso. O dispositivo autentica-se automaticamente sempre que entra no raio de alcance. Os suplicantes de terceiros entram em jogo em cenários específicos. Se estiver a executar uma infraestrutura Cisco e quiser utilizar o EAP-FAST - o método EAP proprietário da Cisco - necessita do software de cliente da Cisco, historicamente o Secure Services Client ou o AnyConnect Network Access Manager. Se precisar de uma gestão de configuração consistente num parque de sistemas operativos mistos e quiser bloquear as definições do suplicante para que os utilizadores não as desconfigurem acidentalmente, um cliente de terceiros oferece-lhe esse controlo. Ferramentas como a suite JoinNow da SecureW2 também funcionam como agentes de integração - configuram o suplicante nativo em vez de o substituir, orientando os utilizadores através do registo de certificados e da instalação de perfis. [medium pause] Deixe-me guiar-lhe por dois cenários do mundo real para tornar isto concreto. Primeiro, um hotel de 400 quartos. Atualmente, a propriedade gere uma rede de funcionários em WPA2-Enterprise com PEAP-MSCHAPv2. A equipa de TI quer migrar para EAP-TLS para eliminar a autenticação baseada em palavra-passe e reduzir o risco de roubo de credenciais. O desafio: os dispositivos dos funcionários são uma mistura de portáteis Windows geridos através do Intune, telemóveis Android pessoais utilizados para software de gestão de propriedades e um punhado de máquinas legacy Windows 7 na área administrativa. A abordagem aqui é faseada. Comece com a frota Windows gerida. Aplique um perfil de configuração do Intune que instale o certificado de CA raiz do servidor RADIUS, configure o perfil de WiFi para EAP-TLS e acione o registo de certificados baseado em SCEP a partir da PKI interna. Esses dispositivos autenticam-se automaticamente desde o primeiro dia. Para dispositivos BYOD Android, implemente um portal de integração self-service - os utilizadores visitam um URL, descarregam um perfil de configuração e o suplicante é configurado para eles. As máquinas legacy Windows 7 permanecem em PEAP com validação estrita de certificado de servidor imposta, isoladas numa VLAN separada com acesso limitado, até serem descontinuadas. [medium pause] Segundo cenário: uma grande cadeia de retalho com 200 lojas. Cada loja tem uma mistura de terminais de ponto de venda, tablets de funcionários e uma rede WiFi para convidados. O PCI-DSS exige que os ambientes de dados de titulares de cartões sejam isolados de outros segmentos de rede. O retalhista utiliza 802.1X nas redes de funcionários e POS, com atribuição de VLAN orientada por atributos de certificado. Um terminal POS apresenta um certificado de dispositivo com uma unidade organizacional de "POS" - a política RADIUS atribui-o à VLAN do PCI. Um tablet de funcionário apresenta um certificado com "Staff" - este entra na VLAN de funcionários. Os dispositivos de convidados ligam-se a um SSID inteiramente separado, gerido por uma solução de Captive Portal. A configuração do suplicante nos terminais POS é bloqueada via MDM. Nenhuma interação do utilizador é necessária. Os terminais autenticam-se silenciosamente ao iniciar. A renovação de certificados é automatizada através de SCEP, pelo que não há intervenção manual quando os certificados expiram. [medium pause] Agora, armadilhas de implementação. Deixe-me apresentar-lhe as quatro mais comuns. Número um: falta de validação do certificado do servidor em implementações PEAP. Se não configurar o suplicante para validar o certificado do servidor RADIUS e verificar o nome do servidor, os utilizadores ficam vulneráveis à ligação a um ponto de acesso malicioso. Especifique sempre a CA de raiz fidedigna e o nome do servidor no perfil do suplicante. Número dois: a expiração de certificados que causa falhas de autenticação em massa. Os certificados de cliente têm um período de validade. Se não tiver uma renovação automatizada configurada via SCEP ou NDES, enfrentará um cenário crítico em que centenas de dispositivos deixam de se autenticar em simultâneo. Desenvolva a automatização de renovação antes de avançar para a produção. Número três: dispositivos BYOD com comportamento de suplicante inconsistente. O Android, em particular, tem um suporte 802.1X fragmentado entre fabricantes. Algumas versões exigem que o utilizador instale manualmente o certificado de CA antes que o perfil de WiFi o aceite. Um portal de integração que trate desta etapa reduz significativamente o volume de pedidos de suporte. Número quatro: as atualizações de funcionalidades do Windows 11 que quebram a configuração do suplicante. A Microsoft alterou o comportamento do 802.1X em várias atualizações do Windows 11. Especificamente, a atualização 24H2 introduziu alterações na forma como o suplicante nativo lida com o fallback de EAP-TLS. Teste os perfis de suplicante em novas versões de SO antes de os implementar em produção. [medium pause] Perguntas rápidas agora. Os dispositivos IoT podem suportar 802.1X? A maioria não consegue. Os dispositivos IoT normalmente carecem de um suplicante por completo. A alternativa é o MAC Authentication Bypass - MAB - onde o servidor RADIUS autentica o dispositivo com base no seu endereço MAC. Os endereços MAC podem ser falsificados, pelo que os dispositivos MAB devem sempre ser colocados numa VLAN de IoT isolada com regras de firewall estritas. Preciso de uma PKI para executar o 802.1X? Para PEAP, não - apenas precisa de um certificado de servidor no servidor RADIUS. Para EAP-TLS, sim - precisa de uma PKI para emitir certificados de cliente. Os serviços de PKI baseados na nuvem reduzem consideravelmente a sobrecarga de infraestrutura. Como é que o 802.1X interage com a plataforma de acesso à rede da Purple? A Purple funciona como uma sobreposição na nuvem em cima do seu hardware existente - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, entre outros. Em redes WiFi de colaboradores, o suplemento SecurePass da Purple integra-se com o seu fornecedor de identidade - Microsoft Entra ID, Okta ou Google Workspace - para aplicar a autenticação 802.1X e aplicar políticas de VLAN por utilizador sem necessitar de infraestrutura RADIUS local. [medium pause] Para resumir: o suplicante 802.1X é o agente do lado do dispositivo que faz funcionar o controlo de acesso à rede baseado em portas. A sua escolha do método EAP - EAP-TLS para máxima segurança, PEAP como opção de transição - orienta os seus requisitos de PKI e a sua abordagem de configuração do suplicante. Os suplicantes nativos do SO cobrem a maioria dos cenários de dispositivos geridos quando implementados via MDM. Os clientes de terceiros acrescentam valor em casos específicos: métodos EAP proprietários, parques com SO mistos que requerem uma configuração consistente ou integração BYOD em regime de self-service. As três principais conclusões são: valide o certificado do seu servidor RADIUS em todos os perfis de suplicante, automatize a renovação de certificados antes de implementar o EAP-TLS em escala e isole os dispositivos que não suportam 802.1X - IoT, hardware legado - em VLANs dedicadas com MAC Authentication Bypass como alternativa. Para saber mais sobre como a Purple se integra com a sua arquitetura de controlo de acessos à rede, visite purple dot ai. Obrigado por ouvir.

header_image.png

Resumo Executivo

Quando um dispositivo se liga a uma rede empresarial, o supplicant 802.1X é o componente de software responsável por provar a sua identidade. Para gestores de TI e arquitetos de rede em grandes espaços, compreender o funcionamento do supplicant é vital para garantir a segurança do acesso à rede sem gerar pedidos de suporte. Este guia desmistifica o agente do lado do dispositivo na autenticação IEEE 802.1X, contrastando as capacidades nativas do OS com o software supplicant de terceiros. Iremos analisar como configurar supplicants para EAP-TLS e PEAP-MSCHAPv2, explorar cenários reais de implementação em hotelaria e retalho, e detalhar como a configuração correta do supplicant se integra com Redes Baseadas em Identidade para otimizar o acesso. Quer faça a gestão de um hotel de 200 quartos ou de um espaço de eventos ativo com mais de 80.000 lugares, a configuração correta do supplicant é a base para construir um WiFi seguro e fiável.

Análise Técnica Profunda

O padrão IEEE 802.1X define o controlo de acesso à rede baseado em portas. Funciona sob uma premissa simples: bloquear todo o tráfego no limite da rede até que um dispositivo prove a sua identidade. O supplicant é o participante do lado do cliente neste processo.

Os Três Componentes do 802.1X

A autenticação requer três entidades distintas:

  1. Supplicant: O dispositivo cliente (portátil, smartphone ou tablet) que solicita acesso à rede.
  2. Autenticador: O dispositivo de acesso à rede, como um ponto de acesso Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist.
  3. Servidor de Autenticação: O servidor RADIUS que valida as credenciais em relação a um fornecedor de identidade como o Microsoft Entra ID ou Okta.

Antes da autenticação, a porta do autenticador encontra-se num estado não autorizado, permitindo apenas tráfego Extensible Authentication Protocol over LAN (EAPOL). O supplicant inicia o processo com uma trama EAPOL-Start. O autenticador solicita a identidade e o supplicant responde. Esta identidade é encaminhada para o servidor RADIUS, que determina o método EAP a ser utilizado. Após a validação bem-sucedida, o servidor RADIUS envia uma mensagem Access-Accept, a porta transita para um estado autorizado e o dispositivo é normalmente atribuído a uma VLAN específica.

architecture_overview.png

Métodos EAP: A Linguagem do Supplicant

O supplicant e o servidor RADIUS devem acordar um método Extensible Authentication Protocol (EAP). A escolha do método EAP dita a postura de segurança e a carga de configuração no supplicant.

EAP-TLS (Transport Layer Security) O EAP-TLS exige autenticação mútua baseada em certificados. O suplicante fornece um certificado de cliente para provar a sua identidade, e o servidor RADIUS fornece um certificado de servidor para provar a legitimidade da rede. Este método sem palavra-passe elimina o roubo de credenciais e é exigido por estruturas de segurança rigorosas, como a NIST SP 800-171. O suplicante deve ser configurado para confiar na Autoridade de Certificação (CA) emissora e possuir um certificado de cliente válido.

PEAP (Protected EAP) Em cenários onde uma Infraestrutura de Chaves Públicas (PKI) completa não é viável, o PEAP é amplamente utilizado. Este encapsula um método de autenticação interno (normalmente MSCHAPv2) dentro de um túnel TLS seguro. O servidor RADIUS fornece um certificado, mas o suplicante apenas precisa de fornecer um nome de utilizador e uma palavra-passe. Embora o PEAP seja mais fácil de implementar, é altamente vulnerável à recolha de credenciais se o suplicante não estiver estritamente configurado para validar o certificado do servidor.

Guia de Implementação

Ao implementar o 802.1X, as equipas de TI devem decidir entre utilizar o suplicante nativo integrado no sistema operativo ou implementar software de suplicante de terceiros.

Suplicantes Nativos do SO

Todos os sistemas operativos modernos incluem um suplicante 802.1X nativo. O Windows utiliza os serviços Wired AutoConfig e WLAN AutoConfig. Os dispositivos Apple utilizam Perfis de Rede. O Android integra isto nas suas definições de WiFi.

Os suplicantes nativos são ideais para frotas geridas. Utilizando plataformas de Gestão de Dispositivos Móveis (MDM) como o Microsoft Intune ou Jamf, os administradores de TI podem enviar silenciosamente perfis de configuração que definem o SSID, o método EAP, as CAs de raiz fidedignas e os processos de registo de certificados via SCEP. A experiência do utilizador é fluida; o dispositivo autentica-se em segundo plano.

Software de Suplicante de Terceiros

Os suplicantes de terceiros, como o Cisco AnyConnect Network Access Manager ou o SecureW2 JoinNow, são necessários em cenários específicos:

  • Protocolos Proprietários: A utilização do Cisco EAP-FAST requer um suplicante Cisco.
  • Onboarding BYOD: As ferramentas de terceiros funcionam frequentemente como assistentes de integração, orientando os utilizadores na instalação de certificados em dispositivos não geridos onde a configuração nativa é complexa (particularmente em ambientes Android fragmentados).
  • Controlo de Configuração Rigoroso: Os suplicantes de terceiros podem bloquear as definições, impedindo os utilizadores de desativarem a validação do certificado do servidor.

native_vs_thirdparty_comparison.png

Configurar a Validação do Certificado do Servidor

Independentemente do suplicante escolhido, a configuração da validação do certificado do servidor é crítica, especialmente para o PEAP. Se o suplicante não validar o certificado do servidor RADIUS, enviará cegamente as credenciais para um ponto de acesso fraudulento que imita o seu SSID.

No Windows, isto significa marcar a opção "Verify the server's identity by validating the certificate" nas propriedades do PEAP, selecionar a Autoridade de Certificação de Raiz Confiável (Root CA) e especificar os nomes exatos de servidor que o cliente deve esperar. Em dispositivos Apple, o perfil de configuração deve listar explicitamente os certificados confiáveis.

Melhores Práticas

  1. Forçar a Validação do Servidor: Ao implementar PEAP, nunca o faça sem configurar os suplicantes para validar o certificado do servidor RADIUS. Esta é a principal linha de defesa contra ataques do tipo "evil twin".
  2. Automatizar o Ciclo de Vida dos Certificados: Ao usar EAP-TLS, automatize a inscrição e renovação de certificados de cliente através de MDM usando SCEP ou NDES. A gestão manual de certificados não é escalável e leva a falhas de autenticação repentinas.
  3. Segregar por Identidade: Utilize atributos RADIUS para atribuir VLANs com base na identidade validada. Os dispositivos dos funcionários e os terminais POS devem autenticar-se no mesmo SSID, mas aceder a VLANs totalmente diferentes.
  4. Planear para IoT: A maioria dos dispositivos IoT não possui suplicantes 802.1X. Para estes dispositivos, utilize MAC Address Bypass (MAB), mas garanta que ficam estritamente isolados numa VLAN dedicada para IoT.

Resolução de Problemas e Mitigação de Riscos

Quando um dispositivo falha ao ligar-se, o problema está quase sempre na configuração do cliente ou na cadeia de certificados.

  • "Ligado, Sem Internet": Isto geralmente aponta para uma falha na atribuição de VLAN ou problemas de DHCP pós-autenticação. Verifique os registos do RADIUS para confirmar se a mensagem Access-Accept contém o Tunnel-Private-Group-Id correto.
  • Falhas Silenciosas no Windows 11: As atualizações de funcionalidades recentes do Windows 11 (como a 24H2) alteraram a forma como o suplicante nativo lida com o fallback do EAP-TLS. Teste sempre os perfis em novas compilações do SO antes de uma implementação em grande escala.
  • Expiração de Certificados: Se um lote de dispositivos ficar subitamente offline, verifique o período de validade dos certificados de cliente. Garanta que o seu MDM os renova com sucesso antes que expirem.

Retorno do Investimento (ROI) e Impacto no Negócio

A migração para 802.1X com suplicantes configurados corretamente proporciona um valor de negócio mensurável. Ao eliminar as palavras-passe partilhadas (Pre-Shared Keys/PSK), remove por completo a sobrecarga operacional de alterar as palavras-passe quando os funcionários saem da empresa. A transição para EAP-TLS pode eliminar totalmente os pedidos de reposição de palavras-passe, libertando horas significativas de produtividade para o suporte técnico.

Além disso, o 802.1X permite o isolamento de rede baseado na identidade num único SSID. Em vez de transmitir redes separadas para Guest WiFi , funcionários e operações, um único SSID pode encaminhar o tráfego de forma segura com base nas credenciais do cliente. Isto reduz a interferência de canais e melhora o desempenho geral da rede, apoiando diretamente a abordagem de sobreposição na nuvem da Purple para a gestão de rede independente de hardware. Para obter insights analíticos mais profundos, explore a nossa funcionalidade de WiFi Analytics .

Definições Principais

Supplicant 802.1X

O componente de software num dispositivo cliente que lida com o processo de autenticação necessário para aceder a uma rede protegida por IEEE 802.1X.

As equipas de TI configuram o supplicant para definir a forma como um dispositivo prova a sua identidade à rede.

Autenticador

O dispositivo de rede (switch ou ponto de acesso) que bloqueia o tráfego até que o supplicant se autentique com sucesso.

O hardware de fornecedores como a Cisco Meraki ou HPE Aruba atua como o autenticador, retransmitindo mensagens entre o dispositivo e o servidor.

RADIUS

Remote Authentication Dial-In User Service. O servidor que verifica as credenciais fornecidas pelo supplicant.

O servidor RADIUS verifica a identidade em diretórios como o Okta ou o Microsoft Entra ID antes de conceder o acesso.

EAP-TLS

Extensible Authentication Protocol com Transport Layer Security. Um método de autenticação que exige certificados digitais tanto do cliente como do servidor.

Considerado o método mais seguro para redes corporativas, eliminando a necessidade de palavras-passe.

PEAP

Protected Extensible Authentication Protocol. Um método de autenticação que cria um túnel TLS seguro para proteger a autenticação baseada em palavra-passe.

Comumente utilizado em ambientes BYOD, onde a implementação de certificados de cliente em dispositivos não geridos é demasiado complexa.

EAPOL

Extensible Authentication Protocol over LAN. O protocolo utilizado para encapsular mensagens EAP entre o suplicante e o autenticador.

Antes da autenticação, o EAPOL é o único tipo de tráfego que o autenticador permite passar pela porta.

MAC Authentication Bypass (MAB)

Um método de autenticação alternativo em que a rede utiliza o endereço MAC do dispositivo como a sua identidade.

Utilizado para impressoras, câmaras e dispositivos IoT que não possuem um suplicante 802.1X.

Atribuição de VLAN

O processo de colocação dinâmica de um dispositivo autenticado num segmento de rede virtual específico.

O servidor RADIUS indica ao autenticador qual a VLAN a atribuir com base na identidade do suplicante.

Exemplos Práticos

Um hotel com 200 quartos precisa de proteger a sua rede de funcionários. Utilizando atualmente WPA2-Personal com uma palavra-passe partilhada, pretendem migrar para 802.1X. Os funcionários utilizam uma mistura de portáteis Windows de propriedade corporativa e telemóveis Android pessoais para agendamento. Como devem configurar os supplicants?

O hotel deve implementar uma abordagem híbrida. Para os portáteis Windows corporativos, devem utilizar o supplicant nativo do Windows configurado através do Microsoft Intune. O perfil de MDM deve enviar as definições de EAP-TLS, instalar a Root CA e automatizar a inscrição de certificados de cliente através de SCEP. Para os telemóveis Android pessoais, devem implementar um agente de integração de terceiros (como o SecureW2) através de um portal de self-service. O funcionário inicia sessão no portal utilizando as suas credenciais do Microsoft Entra ID e o agente configura automaticamente o supplicant nativo do Android para PEAP-MSCHAPv2, garantindo que a validação do certificado do servidor é rigidamente aplicada.

Comentário do Examinador: Esta abordagem equilibra a segurança com a realidade operacional. O EAP-TLS é imposto onde existe controlo de MDM, proporcionando a máxima segurança. O PEAP é utilizado para BYOD, onde a distribuição de certificados de cliente é complexa, mas o agente de integração garante que o supplicant é configurado de forma segura, mitigando o risco de pontos de acesso falsos.

Uma grande cadeia de retalho com 50 lojas está a lançar novos tablets móveis de ponto de venda (POS). O PCI DSS exige um isolamento de rede rigoroso. Como deve a configuração do supplicant garantir a conformidade?

Os tablets devem ser geridos via MDM. O MDM envia um perfil de configuração de supplicant nativo que impõe o EAP-TLS. Cada tablet recebe um certificado de cliente exclusivo contendo um atributo que o identifica como um dispositivo POS. Quando o supplicant do tablet se autentica, o servidor RADIUS lê este atributo e devolve uma atribuição de VLAN especificamente para o segmento de rede em conformidade com PCI. A configuração do supplicant deve ser bloqueada para que os funcionários da loja não possam modificar as definições de rede.

Comentário do Examinador: A utilização de EAP-TLS com atribuição de VLAN baseada em certificados é o método clássico para alcançar a conformidade com PCI em redes sem fios. Remove o erro humano da segmentação de rede e garante que o dispositivo não possa ser acidentalmente ligado às redes menos seguras de funcionários ou convidados do [Retalho](/industries/retail).

Perguntas de Prática

Q1. A sua organização está a implementar PEAP-MSCHAPv2 para uma nova rede BYOD de colaboradores. Durante os testes, repara que os dispositivos se conseguem ligar a um ponto de acesso de teste que transmite o mesmo SSID, mesmo não estando ligado ao seu servidor RADIUS. Que etapa de configuração do suplicante foi omitida?

Dica: Considere como o suplicante verifica a identidade da rede antes de enviar as credenciais MSCHAPv2.

Ver resposta modelo

O suplicante não foi configurado para validar o certificado do servidor. No PEAP, o suplicante deve ser explicitamente configurado para confiar na Root CA específica que emitiu o certificado do servidor RADIUS e para verificar o nome de domínio do servidor. Sem isto, o suplicante estabelecerá um túnel TLS com qualquer servidor que apresente um certificado, expondo as credenciais do utilizador a um ponto de acesso nocivo.

Q2. Uma universidade está a migrar a sua frota de portáteis geridos Windows de PEAP para EAP-TLS. Enviam o novo perfil de configuração via MDM, mas todos os dispositivos falham na autenticação. Os registos RADIUS mostram 'EAP-TLS failed SSL/TLS handshake'. Qual é a causa mais provável?

Dica: O EAP-TLS requer autenticação mútua. O que é que o cliente precisa que não precisava para o PEAP?

Ver resposta modelo

Os dispositivos dos clientes não possuem um certificado de cliente válido. O EAP-TLS exige que o suplicante apresente um certificado ao servidor RADIUS. O perfil MDM deve ser configurado não apenas para definir o método EAP como TLS, mas também para acionar um protocolo como o SCEP para solicitar e instalar um certificado de cliente a partir da PKI da organização antes de tentar a autenticação.

Q3. Precisa de ligar 50 smart TVs à rede num ambiente de saúde [Healthcare](/industries/healthcare). As TVs apenas suportam WPA2-Personal (Chave Pré-Partilhada) e não possuem um suplicante 802.1X. Como garante a segurança do acesso destas, mantendo o 802.1X para os dispositivos dos colaboradores?

Dica: Se o dispositivo não conseguir comunicar por EAP, o autenticador tem de o identificar de outra forma.

Ver resposta modelo

Deve utilizar o MAC Authentication Bypass (MAB). O autenticador utilizará o endereço MAC da smart TV como o utilizador e a palavra-passe enviados ao servidor RADIUS. Como os endereços MAC podem ser falsificados, o servidor RADIUS deve ser configurado para atribuir estes dispositivos a uma VLAN de IoT altamente restrita e isolada que apenas permita o tráfego estritamente necessário.

Continue a ler esta série

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Este guia de referência técnica descreve a arquitetura, configuração e implementação de autenticação RADIUS para redes WiFi empresariais de convidados e funcionários. Fornece aos arquitetos de rede e gestores de TI os protocolos exatos, normas de segurança e metodologias de resolução de problemas necessários para construir sistemas de controlo de acesso sem fios seguros e escaláveis.

Ler o guia →

Passpoint e OpenRoaming: Guia Completo

Este guia de referência técnica fornece uma análise abrangente das frameworks Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implementação necessárias para estabelecer uma conectividade de convidados segura e sem atritos. Os arquitetos de rede e líderes de TI aprenderão a desenhar, implementar e resolver problemas destes padrões para eliminar as barreiras de início de sessão manual, mantendo simultaneamente uma segurança de nível empresarial.

Ler o guia →

Como Implementar SCEP para Integração Segura de BYOD e Redes no Ensino Superior

Este guia técnico fornece aos arquitetos de rede e gestores de TI um plano neutro em termos de fornecedor para implementar a emissão de certificados baseada em SCEP para proteger as redes dos campus do ensino superior. Detalha como migrar de PEAP baseado em palavra-passe para 802.1X EAP-TLS, automatizar a integração de BYOD e impor uma segmentação robusta de VLAN.

Ler o guia →