Saltar para o conteúdo principal
Português

RadSec: Como o RADIUS sobre TLS Melhora a Segurança da Autenticação WiFi

Esta referência técnica autoritária explica como o RadSec (RFC 6614) protege a autenticação WiFi empresarial ao encapsular o tráfego RADIUS tradicional em encriptação TLS. Concebido para gestores de TI e arquitetos de rede, abrange a arquitetura, estratégias de implementação e passos práticos para mitigar os riscos do tráfego RADIUS UDP não encriptado em redes corporativas e de convidados.

📖 4 min de leitura📝 871 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
RadSec: Como o RADIUS sobre TLS Melhora a Segurança da Autenticação WiFi Um Briefing de Inteligência em WiFi Empresarial da Purple Tempo de execução aproximado: 10 minutos --- [INTRODUÇÃO & CONTEXTO — aprox. 1 minuto] Bem-vindo à série de Inteligência em WiFi Empresarial da Purple. Sou o vosso anfitrião e hoje vamos abordar um tema que se situa precisamente na interseção da segurança de rede e do risco operacional: o RadSec — formalmente definido na RFC 6614 — e por que razão deve constar no vosso roteiro de infraestrutura, caso ainda não conste. Se é um gestor de TI, arquiteto de rede ou CTO responsável pelo WiFi empresarial de um grupo hoteleiro, de uma rede de retalho, de um estádio ou de um campus do setor público, este briefing é para si. Vamos cobrir o que é realmente o RadSec, por que razão o protocolo RADIUS tradicional o deixa exposto, como implementar o RadSec num ambiente real e as armadilhas que costumam surpreender as equipas. Sem teoria apenas por teoria — apenas a informação de que precisa para tomar uma decisão este trimestre. Vamos a isso. --- [ANÁLISE TÉCNICA DETALHADA — aprox. 5 minutos] Então, comecemos pelo problema. O RADIUS — Remote Authentication Dial-In User Service — tem sido a espinha dorsal da autenticação WiFi empresarial desde a década de 1990. Quando um utilizador ou dispositivo se liga ao seu WiFi corporativo ou de convidados, o ponto de acesso atua como um cliente RADIUS, encaminhando os pedidos de autenticação para um servidor RADIUS, que valida as credenciais no seu diretório — Active Directory, LDAP ou um fornecedor de identidade na nuvem — e concede ou recusa o acesso. Este é o modelo de autenticação 802.1X que sustenta as redes WPA2-Enterprise e WPA3-Enterprise. O problema é que o RADIUS tradicional foi concebido para uma era diferente. É executado sobre UDP — User Datagram Protocol — nas portas 1812 and 1813. O UDP é sem ligação, o que significa que não há handshake, não há estado de sessão e, crucialmente, não há encriptação nativa. A única proteção entre o seu ponto de acesso e o seu servidor RADIUS é um segredo partilhado — essencialmente uma palavra-passe — utilizado para ofuscar a palavra-passe do utilizador em trânsito utilizando hashing MD5. O MD5, como a maioria de vós saberá, está criptograficamente quebrado. Está quebrado há anos. O que é que isto significa na prática? Significa que em qualquer segmento de rede onde um atacante possa intercetar o tráfego RADIUS — e isso inclui switches comprometidos, dispositivos não autorizados na sua VLAN de gestão ou qualquer ponto entre um ponto de acesso remoto e um servidor RADIUS alojado na nuvem — eles podem potencialmente capturar trocas de autenticação, tentar ataques de dicionário offline contra o segredo partilhado e, em algumas configurações, expor totalmente as credenciais do utilizador. Para um grupo hoteleiro que disponibiliza WiFi para convidados em 200 propriedades, ou uma cadeia de retalho com pontos de acesso em cada loja a enviar dados para um servidor RADIUS central através da internet pública, este não é um risco teórico. É uma superfície de ataque ativa. É exatamente isto que o RadSec resolve. O RadSec — definido na RFC 6614 e atualizado pela RFC 7360 — encapsula o tráfego RADIUS dentro de um túnel TLS. Em vez de UDP, utiliza TCP na porta 2083. Em vez de um segredo partilhado e MD5, utiliza autenticação TLS mútua com certificados X.509. Tanto o cliente RADIUS como o servidor RADIUS apresentam certificados, verificam a identidade um do outro e estabelecem uma sessão encriptada antes de qualquer dado de autenticação ser trocado. O TLS 1.3 é a versão atualmente recomendada, fornecendo segredo de encaminhamento e eliminando uma série de vulnerabilidades de cifras legadas. O efeito prático é significativo. Os dados de credenciais, atributos de utilizador e tokens de sessão são encriptados de ponta a ponta entre o ponto de acesso — ou um proxy RadSec — e o servidor RADIUS. Um atacante que intercete o tráfego no cabo vê apenas registos TLS encriptados. O segredo partilhado ainda está presente para compatibilidade retroativa, mas já não realiza qualquer trabalho de segurança significativo — o TLS encarrega-se disso. Há outra dimensão aqui que é cada vez mais relevante: o roaming. A federação Eduroam, utilizada por universidades e instituições de investigação em toda a Europa e não só, utiliza RadSec há anos como parte da sua infraestrutura de roaming interinstitucional. Mais recentemente, o padrão OpenRoaming da Wi-Fi Alliance — que permite o roaming WiFi contínuo em locais participantes — exige o RadSec para todo o tráfego da federação. Se está a implementar infraestrutura compatível com OpenRoaming, o RadSec não é opcional; é um pré-requisito. A Purple suporta o OpenRoaming sob a sua licença Connect, atuando como um fornecedor de identidade dentro da federação, e o RadSec é central para o funcionamento dessa estrutura de roaming seguro. Do ponto de vista da conformidade, o RadSec é cada vez mais relevante para o PCI DSS 4.0, que aperta os requisitos em torno da proteção de dados de autenticação em trânsito. Se a sua infraestrutura WiFi toca em ambientes de cartões de pagamento — e no retalho e hotelaria, isso acontece frequentemente —, a lacuna de encriptação no RADIUS tradicional é uma falha à espera de ser detetada. O GDPR exige igualmente medidas técnicas adequadas para proteger os dados pessoais; credenciais de utilizador e metadados de sessão a fluir sem encriptação pela sua rede são difíceis de defender numa auditoria de proteção de dados. Agora vamos falar de arquitetura. Existem dois padrões principais de implementação para o RadSec. O primeiro é o suporte nativo a RadSec no seu servidor RADIUS e pontos de acesso. O FreeRADIUS 3.0 e superior suporta RadSec nativamente. O Microsoft NPS não suporta RadSec nativamente nas versões atuais, o que é uma limitação significativa para organizações que executam infraestruturas centradas em Windows. O Cisco ISE suporta RadSec. O Aruba ClearPass suporta RadSec. Se o seu servidor RADIUS e o fabricante do seu ponto de acesso suportarem RadSec nativamente, este é o caminho mais limpo — configure certificados TLS em ambas as extremidades, abra a porta TCP 2083 na sua firewall e estará a encriptar o tráfego RADIUS de ponta a ponta. O segundo padrão é um proxy RadSec. Esta é a implementação mais comum na prática, particularmente para organizações com infraestruturas RADIUS legadas ou ambientes de vários fabricantes. Um proxy RadSec — o radsecproxy é a implementação de código aberto mais amplamente utilizada — situa-se entre os seus pontos de acesso e o seu servidor RADIUS. Os pontos de acesso enviam RADIUS padrão sobre UDP para o proxy na rede local. O proxy termina essa ligação, volta a encapsular o tráfego RADIUS dentro de um túnel TLS e encaminha-o para o servidor RADIUS a montante sobre TCP 2083. Esta abordagem permite-lhe adicionar RadSec a uma infraestrutura existente sem substituir o seu servidor RADIUS, sendo particularmente útil quando o seu servidor RADIUS está alojado na nuvem ou é acedido através da internet pública. A gestão de certificados é a complexidade operacional que precisa de planear. Irá precisar de uma PKI — Public Key Infrastructure — para emitir e gerir os certificados X.509 utilizados para o TLS mútuo. Isso significa uma Autoridade de Certificação, emissão de certificados para cada cliente e servidor RADIUS, e um processo para rotação de certificados antes da expiração. Certificados que expirem sem que ninguém note irão quebrar a autenticação de todos os utilizadores na sua rede em simultâneo — e esse é um cenário que vai querer evitar. Automatize a renovação de certificados utilizando ACME ou a API da sua CA, e configure alertas de monitorização com bastante antecedência em relação às datas de expiração. --- [RECOMENDAÇÕES DE IMPLEMENTAÇÃO & ARMADILHAS — aprox. 2 minutos] Deixe-me dar-lhe as recomendações práticas. Primeiro: audite antes de implementar. Mapeie cada cliente RADIUS — pontos de acesso, concentradores VPN, switches a fazer 802.1X — e cada servidor RADIUS no seu ambiente. Compreenda quais suportam RadSec nativamente e quais precisarão de um proxy. Esta auditoria normalmente revela dispositivos legados que não suportam TLS de todo, e esses devem constar no seu plano de substituição. Segundo: comece pelo tráfego de maior risco. Se tem tráfego RADIUS a atravessar a internet pública — locais remotos, RADIUS alojado na nuvem, grupos hoteleiros com várias propriedades —, essa é a sua primeira prioridade. O tráfego RADIUS local numa VLAN de gestão bem segmentada apresenta menor risco, mas deve ainda assim constar no plano de trabalhos. Terceiro: teste o TLS mútuo exaustivamente antes de entrar em produção. O modo de falha mais comum em implementações RadSec são os erros de validação de certificados — Common Names incompatíveis, certificados intermédios expirados ou clientes que não confiam na CA que assinou o certificado do servidor. Utilize o comando openssl s_client para testar os handshakes TLS antes de migrar o tráfego de produção. Quarto: não descure a monitorização. O RadSec adiciona uma camada de ligação TCP que o RADIUS tradicional não tem. Falhas de ligação TCP, tempos limite de handshake TLS e erros de certificado irão manifestar-se como falhas de autenticação para os seus utilizadores. Certifique-se de que os registos do seu servidor RADIUS e os registos do seu proxy estão a alimentar o seu SIEM ou plataforma de monitorização para que possa distinguir um problema de conectividade RadSec de um problema de política de autenticação. A armadilha que vejo com mais frequência são as organizações que implementam o RadSec no lado do servidor mas se esquecem de atualizar as suas regras de firewall. A porta TCP 2083 precisa de estar aberta entre cada cliente RADIUS e o servidor ou proxy RADIUS. Se está habituado a gerir regras UDP 1812, a porta TCP 2083 pode facilmente ser esquecida no processo de alteração da firewall. --- [PERGUNTAS E RESPOSTAS RÁPIDAS — aprox. 1 minuto] Deixe-me passar por algumas perguntas que oiço regularmente. "O RadSec substitui o 802.1X?" Não. O RadSec protege a camada de transporte entre o ponto de acesso e o servidor RADIUS. O 802.1X é a estrutura de autenticação entre o dispositivo do cliente e o ponto de acesso. Operam em camadas diferentes e são complementares. "O RadSec é suportado por todos os fabricantes de pontos de acesso?" Não universalmente. A Cisco, Aruba, Ruckus e Meraki têm todos níveis variados de suporte a RadSec — verifique a sua versão específica de firmware. Onde o suporte nativo estiver ausente, um proxy RadSec é a sua solução. "E quanto ao DTLS — RADIUS sobre DTLS?" A RFC 7360 define o RADIUS sobre DTLS, que utiliza UDP em vez de TCP, preservando algumas das características sem ligação do RADIUS tradicional ao mesmo tempo que adiciona encriptação. É menos amplamente implementado do que o RadSec sobre TLS, mas vale a pena avaliar se a latência for uma preocupação em ambientes de alto rendimento. "Como é que isto afeta o desempenho do roaming?" A ligação TCP do RadSec é persistente, o que pode, na verdade, melhorar o desempenho do roaming em ambientes federados, reduzindo a sobrecarga de estabelecimento de ligação para pedidos de autenticação subsequentes. --- [RESUMO & PRÓXIMOS PASSOS — aprox. 1 minuto] Para concluir: o RadSec é a resposta madura e baseada em padrões para uma lacuna de segurança real no RADIUS tradicional. Se gere WiFi empresarial em grande escala — em vários locais, através da internet ou em ambientes sujeitos a PCI DSS ou GDPR — a questão não é se deve implementar o RadSec, mas sim quando e como. Os seus próximos passos: audite a sua infraestrutura RADIUS esta semana. Identifique os seus fluxos de tráfego de maior risco. Verifique a documentação do seu servidor RADIUS e do fabricante do ponto de acesso para suporte nativo a RadSec. Se utiliza o FreeRADIUS, pode ter uma implementação de teste do RadSec a funcionar num dia. Se utiliza o Microsoft NPS, comece a avaliar um proxy ou um caminho de migração para um servidor compatível com RadSec. A plataforma da Purple foi concebida para se integrar com a infraestrutura RADIUS empresarial, suportando fluxos de autenticação seguros tanto para ambientes WiFi corporativos como de convidados. Se quiser compreender como o RadSec se enquadra na sua implementação específica, a equipa da Purple pode orientá-lo no processo. Obrigado por nos ouvir. Até à próxima. --- FIM DO GUIÃO

header_image.png

Executive Summary

Traditional RADIUS over UDP (ports 1812/1813) was not designed for the modern enterprise threat landscape. Relying solely on a shared secret and MD5 hashing, it leaves authentication credentials and session attributes vulnerable to interception, particularly when traversing public networks or large distributed estates like hospitality and retail chains. RadSec (RADIUS over TLS, RFC 6614) solves this fundamental security gap by encapsulating RADIUS traffic within a TCP-based TLS 1.3 tunnel over port 2083.

For CTOs and network architects, deploying RadSec is no longer just a best practice—it is a critical requirement for protecting corporate wifi , maintaining PCI DSS 4.0 compliance, and participating in modern federated roaming frameworks like OpenRoaming. This guide details the architecture, implementation patterns, and operational requirements for securing your authentication infrastructure.

Technical Deep-Dive: RADIUS vs. RadSec

The Vulnerability in Traditional RADIUS

In a standard 802.1X deployment, the access point (authenticator) forwards client credentials to the RADIUS server (authentication server). In traditional RADIUS, this payload is sent over UDP. The only protection is a pre-shared key (PSK) used to obfuscate the password via MD5.

This architecture presents three critical risks:

  1. Lack of Transport Encryption: User attributes, MAC addresses, and session data are transmitted in cleartext.
  2. Cryptographic Weakness: MD5 is vulnerable to offline dictionary attacks if an attacker captures the traffic.
  3. No Mutual Authentication: The access point cannot cryptographically verify it is talking to the legitimate RADIUS server, enabling rogue server attacks.

The RadSec Architecture (RFC 6614)

RadSec addresses these flaws by shifting the transport layer from UDP to TCP and wrapping the entire payload in TLS.

architecture_overview.png

  • Transport: TCP Port 2083 ensures reliable delivery and stateful connections, improving performance in high-latency environments.
  • Encryption: TLS 1.2 or 1.3 provides robust, end-to-end encryption of all RADIUS attributes.
  • Mutual Authentication: Both the RADIUS client (or proxy) and the server must present valid X.509 certificates issued by a trusted Certificate Authority (CA). The shared secret is retained only for backwards compatibility; TLS provides the actual security. This architecture is essential for distributed environments, such as Retail chains or Hospitality venues, where access points backhaul authentication requests over the public internet to a central or cloud-hosted RADIUS server.

Implementation Guide

Deploying RadSec typically follows one of two patterns: Native Support or Proxy-based.

Pattern 1: Native RadSec

If your infrastructure supports it natively (e.g., FreeRADIUS 3.0+, Cisco ISE, Aruba ClearPass), you configure TLS certificates directly on the RADIUS server and the access points/controllers. This provides true end-to-end encryption from the edge to the core.

Pattern 2: The RadSec Proxy

Many legacy RADIUS servers (notably Microsoft NPS) do not natively support RadSec. In these environments, a proxy (such as radsecproxy) is deployed.

  1. Local Leg: The AP sends standard UDP RADIUS to the local proxy.
  2. WAN Leg: The proxy encapsulates the traffic in TLS and sends it over TCP 2083 to the upstream server.

This pattern allows you to secure wide-area traffic without replacing legacy infrastructure.

deployment_checklist.png

Integration with Purple

Purple's Guest WiFi and WiFi Analytics platforms integrate seamlessly with enterprise RADIUS infrastructure. Under the Connect licence, Purple acts as a free identity provider for OpenRoaming, where RadSec is a mandatory requirement for securing federation traffic between venues and the central hub.

Best Practices

  1. Certificate Lifecycle Management: Mutual TLS relies on valid certificates. Implement automated renewal (e.g., via ACME) and strict monitoring. An expired certificate will cause a total authentication outage.
  2. Firewall Configuration: Ensure TCP port 2083 is explicitly allowed both outbound from the venue and inbound to the RADIUS server. Do not assume existing UDP 1812 rules will apply.
  3. Prioritise High-Risk Traffic: Begin deployment on links that traverse the public internet or untrusted WANs before moving to local management VLANs.

For more on securing the edge, read our guide on Access Point Security: Your 2026 Enterprise Guide .

Troubleshooting & Risk Mitigation

When RadSec fails, it is rarely an authentication issue; it is almost always a TLS or TCP issue.

  • Symptom: Access points show as disconnected from the RADIUS server.
    • Check: Firewall rules for TCP 2083. Traditional RADIUS uses UDP; network teams frequently forget to open the TCP port.
  • Symptom: TCP connection establishes, but authentication fails immediately.
    • Check: Certificate validation. Verify that the Common Name (CN) or Subject Alternative Name (SAN) matches, the certificate has not expired, and the client trusts the signing CA. Use openssl s_client -connect :2083 to debug the handshake.

Ensure your network fundamentals are solid. Review our advice on Protect Your Network with Strong DNS and Security .

ROI & Business Impact

Implementing RadSec is a risk mitigation investment. The ROI is measured in the avoidance of data breaches, compliance fines (PCI DSS, GDPR), and reputational damage. Furthermore, it enables participation in modern roaming federations like OpenRoaming, which can significantly enhance the guest experience in Healthcare and Transport environments.

Listen to the Briefing

For a deeper dive into the operational realities of deploying RadSec, listen to our 10-minute technical briefing:

For specific configuration steps on client devices, refer to How to Set Up Enterprise WiFi on iOS and macOS with 802.1X or the Portuguese version Como Configurar WiFi Corporativo em iOS e macOS com 802.1X .

Definições Principais

RadSec

Uma extensão ao protocolo RADIUS que encapsula o tráfego RADIUS dentro de um túnel TLS sobre a porta TCP 2083.

Utilizado para proteger o tráfego de autenticação ao atravessar redes não confiáveis, impedindo a interceção de credenciais.

Mutual TLS (mTLS)

Um processo de segurança onde tanto o cliente como o servidor apresentam certificados X.509 para verificar a identidade um do outro antes de estabelecer uma ligação encriptada.

O mecanismo de autenticação central do RadSec, substituindo a dependência de segredos partilhados estáticos.

802.1X

O padrão IEEE para controlo de acesso à rede baseado em portas, utilizado para autenticar dispositivos que tentam ligar-se a uma LAN ou WLAN.

A estrutura que depende do RADIUS (e, por extensão, do RadSec) para validar credenciais de utilizador num diretório.

radsecproxy

Um daemon de código aberto que atua como um proxy, convertendo tráfego RADIUS UDP padrão em RadSec (TLS sobre TCP) e vice-versa.

Implementado quando o suporte nativo a RadSec está em falta nos pontos de acesso ou em servidores RADIUS legados como o Microsoft NPS.

OpenRoaming

Um padrão de federação desenvolvido pela Wi-Fi Alliance que permite aos utilizadores ligarem-se de forma contínua e segura a redes WiFi participantes globalmente.

O OpenRoaming exige o uso de RadSec para proteger o tráfego de autenticação entre locais e fornecedores de identidade.

Shared Secret

Uma string de texto estática utilizada no RADIUS tradicional para ofuscar palavras-passe e verificar a origem dos pedidos.

Embora ainda esteja tecnicamente presente nas configurações do RadSec para compatibilidade retroativa, é superado pela encriptação TLS.

FreeRADIUS

Um servidor RADIUS de código aberto amplamente implementado que fornece suporte nativo para RadSec.

Frequentemente utilizado em ambientes empresariais e federações de roaming devido à sua flexibilidade e capacidades TLS nativas.

PKI (Public Key Infrastructure)

A estrutura de funções, políticas e software necessária para criar, gerir, distribuir e revogar certificados digitais.

Um pré-requisito para implementar o RadSec, pois deve emitir e gerir certificados para todos os clientes e servidores RADIUS.

Exemplos Práticos

Um grupo hoteleiro com 200 propriedades utiliza o Microsoft NPS centralmente para a autenticação de funcionários. Os pontos de acesso em cada hotel enviam atualmente pedidos RADIUS pela internet pública através de UDP 1812. O CTO exige a encriptação de todo o tráfego de autenticação, mas a substituição do NPS não é uma opção para este ano.

Implementar um proxy RadSec (por exemplo, radsecproxy) em cada hotel e um proxy correspondente no centro de dados central à frente dos servidores NPS. Os APs locais enviam RADIUS UDP para o proxy local. O proxy local estabelece um túnel TLS mútuo sobre TCP 2083 através da internet para o proxy central. O proxy central termina o túnel TLS e encaminha o RADIUS UDP padrão para o servidor NPS.

Comentário do Examinador: Esta abordagem atinge o principal objetivo de segurança — encriptar os dados de autenticação através da WAN não confiável — sem exigir uma substituição dispendiosa e disruptiva da infraestrutura central do Microsoft NPS. Introduz uma sobrecarga de gestão de certificados para os proxies, que deve ser automatizada.

Uma grande universidade está a implementar o OpenRoaming no seu campus para permitir o acesso contínuo a académicos visitantes. Estão a executar o FreeRADIUS 3.0.

Ativar o RadSec nativo no FreeRADIUS. Gerar certificados X.509 a partir de uma CA confiável pela federação OpenRoaming. Configurar a firewall do campus para permitir tráfego TCP 2083 de entrada e saída para os hubs da federação. Configurar os controladores de LAN sem fios para utilizar RadSec em todos os pedidos de autenticação destinados à federação.

Comentário do Examinador: Como o FreeRADIUS suporta RadSec nativamente, não é necessário qualquer proxy. Esta é a arquitetura mais limpa. A dependência crítica aqui é garantir que os certificados estejam alinhados com os requisitos específicos de PKI da federação OpenRoaming.

Perguntas de Prática

Q1. A sua equipa implementou RadSec nativo entre os pontos de acesso das suas filiais remotas e o seu servidor FreeRADIUS central. Os APs conseguem fazer ping ao servidor, mas os pedidos de autenticação estão a expirar completamente e nenhum tráfego está a chegar aos registos do RADIUS.

Dica: O RadSec utiliza um protocolo de transporte e uma porta diferentes do RADIUS tradicional.

Ver resposta modelo

A firewall está provavelmente a bloquear a porta TCP 2083. As equipas de rede habituadas ao RADIUS tradicional muitas vezes apenas permitem as portas UDP 1812/1813. Deve permitir explicitamente a porta TCP 2083 de saída da filial e de entrada no servidor RADIUS.

Q2. Está a auditar a arquitetura WiFi de um cliente de retalho. Eles utilizam o Microsoft NPS centralmente. Os APs das lojas enviam pedidos de autenticação pela internet através de uma VPN IPsec. O RadSec é necessário aqui?

Dica: Considere as camadas de encriptação que já estão em vigor.

Ver resposta modelo

Embora o RadSec seja uma boa prática, a VPN IPsec já está a fornecer encriptação na camada de transporte para o tráfego RADIUS UDP através da internet não confiável. Implementar RadSec aqui forneceria defesa em profundidade, mas é menos urgente do que se o tráfego estivesse a atravessar a internet de forma nativa.

Q3. Uma semana após uma implementação bem-sucedida do proxy RadSec, todas as autenticações WiFi na empresa falham em simultâneo às 09:00 de uma segunda-feira. A equipa de rede confirma que as regras de firewall não foram alteradas.

Dica: Qual é o principal mecanismo de autenticação para o próprio túnel TLS?

Ver resposta modelo

Os certificados X.509 utilizados para a autenticação TLS mútua provavelmente expiraram. Quando os certificados expiram, o handshake TLS falha, a ligação TCP cai e o tráfego RADIUS não consegue fluir. Implemente a monitorização e rotação automatizada de certificados para evitar isto.

Continue a ler esta série

Como Segregar com Segurança Redes WiFi de Funcionários e Convidados

Este guia técnico de referência fornece aos líderes de TI estratégias práticas para segregar com segurança redes WiFi de funcionários, convidados e IoT utilizando VLANs e 802.1X. Detalha como proteger a infraestrutura empresarial, manter a conformidade com o PCI-DSS e potenciar Captive Portals para recolher dados primários (first-party data).

Ler o guia →

Melhor filtragem DNS: um guia completo para empresas

Este guia de referência técnica explica como a filtragem DNS empresarial protege as redes públicas bloqueando domínios maliciosos na camada de resolução - antes de uma ligação ser estabelecida. Oferece aos diretores de TI, arquitetos de rede e equipas de operações de locais a arquitetura de implementação, configuração de firewall e contexto de conformidade necessários para proteger o Guest WiFi em ambientes de hotelaria, retalho e setor público. O Purple Shield bloqueia malware, botnets e conteúdos inadequados ao nível do DNS em mais de 80.000 locais ativos.

Ler o guia →

How to Configure SCEP for Automated Enterprise WiFi Certificate Enrollment

Este guia explica como configurar o SCEP (Simple Certificate Enrollment Protocol) para a atribuição automatizada de certificados WiFi empresariais, cobrindo toda a arquitetura desde PKI e NDES até à implementação de perfis MDM e validação RADIUS. Destina-se a gestores de TI, arquitetos de rede e CTOs em hotéis, cadeias de retalho, estádios, centros de conferências e organizações do setor público que necessitam de ir além das chaves pré-partilhadas e implementar uma autenticação 802.1X EAP-TLS escalável e baseada em identidade. A plataforma de sobreposição na nuvem da Purple, independente de hardware, integra-se diretamente com esta arquitetura, fornecendo a camada de WiFi para convidados e BYOD que coexiste com a sua rede de colaboradores autenticada por certificado.

Ler o guia →