Saltar para o conteúdo principal
Português

RadSec: Como o RADIUS sobre TLS Melhora a Segurança da Autenticação WiFi

Esta referência técnica autoritária explica como o RadSec (RFC 6614) protege a autenticação WiFi empresarial ao encapsular o tráfego RADIUS tradicional em encriptação TLS. Concebido para gestores de TI e arquitetos de rede, abrange a arquitetura, estratégias de implementação e passos práticos para mitigar os riscos do tráfego RADIUS UDP não encriptado em redes corporativas e de convidados.

📖 4 min de leitura📝 871 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
RadSec: Como o RADIUS sobre TLS Melhora a Segurança da Autenticação WiFi Um Briefing de Inteligência em WiFi Empresarial da Purple Tempo de execução aproximado: 10 minutos --- [INTRODUÇÃO & CONTEXTO — aprox. 1 minuto] Bem-vindo à série de Inteligência em WiFi Empresarial da Purple. Sou o vosso anfitrião e hoje vamos abordar um tema que se situa precisamente na interseção da segurança de rede e do risco operacional: o RadSec — formalmente definido na RFC 6614 — e por que razão deve constar no vosso roteiro de infraestrutura, caso ainda não conste. Se é um gestor de TI, arquiteto de rede ou CTO responsável pelo WiFi empresarial de um grupo hoteleiro, de uma rede de retalho, de um estádio ou de um campus do setor público, este briefing é para si. Vamos cobrir o que é realmente o RadSec, por que razão o protocolo RADIUS tradicional o deixa exposto, como implementar o RadSec num ambiente real e as armadilhas que costumam surpreender as equipas. Sem teoria apenas por teoria — apenas a informação de que precisa para tomar uma decisão este trimestre. Vamos a isso. --- [ANÁLISE TÉCNICA DETALHADA — aprox. 5 minutos] Então, comecemos pelo problema. O RADIUS — Remote Authentication Dial-In User Service — tem sido a espinha dorsal da autenticação WiFi empresarial desde a década de 1990. Quando um utilizador ou dispositivo se liga ao seu WiFi corporativo ou de convidados, o ponto de acesso atua como um cliente RADIUS, encaminhando os pedidos de autenticação para um servidor RADIUS, que valida as credenciais no seu diretório — Active Directory, LDAP ou um fornecedor de identidade na nuvem — e concede ou recusa o acesso. Este é o modelo de autenticação 802.1X que sustenta as redes WPA2-Enterprise e WPA3-Enterprise. O problema é que o RADIUS tradicional foi concebido para uma era diferente. É executado sobre UDP — User Datagram Protocol — nas portas 1812 and 1813. O UDP é sem ligação, o que significa que não há handshake, não há estado de sessão e, crucialmente, não há encriptação nativa. A única proteção entre o seu ponto de acesso e o seu servidor RADIUS é um segredo partilhado — essencialmente uma palavra-passe — utilizado para ofuscar a palavra-passe do utilizador em trânsito utilizando hashing MD5. O MD5, como a maioria de vós saberá, está criptograficamente quebrado. Está quebrado há anos. O que é que isto significa na prática? Significa que em qualquer segmento de rede onde um atacante possa intercetar o tráfego RADIUS — e isso inclui switches comprometidos, dispositivos não autorizados na sua VLAN de gestão ou qualquer ponto entre um ponto de acesso remoto e um servidor RADIUS alojado na nuvem — eles podem potencialmente capturar trocas de autenticação, tentar ataques de dicionário offline contra o segredo partilhado e, em algumas configurações, expor totalmente as credenciais do utilizador. Para um grupo hoteleiro que disponibiliza WiFi para convidados em 200 propriedades, ou uma cadeia de retalho com pontos de acesso em cada loja a enviar dados para um servidor RADIUS central através da internet pública, este não é um risco teórico. É uma superfície de ataque ativa. É exatamente isto que o RadSec resolve. O RadSec — definido na RFC 6614 e atualizado pela RFC 7360 — encapsula o tráfego RADIUS dentro de um túnel TLS. Em vez de UDP, utiliza TCP na porta 2083. Em vez de um segredo partilhado e MD5, utiliza autenticação TLS mútua com certificados X.509. Tanto o cliente RADIUS como o servidor RADIUS apresentam certificados, verificam a identidade um do outro e estabelecem uma sessão encriptada antes de qualquer dado de autenticação ser trocado. O TLS 1.3 é a versão atualmente recomendada, fornecendo segredo de encaminhamento e eliminando uma série de vulnerabilidades de cifras legadas. O efeito prático é significativo. Os dados de credenciais, atributos de utilizador e tokens de sessão são encriptados de ponta a ponta entre o ponto de acesso — ou um proxy RadSec — e o servidor RADIUS. Um atacante que intercete o tráfego no cabo vê apenas registos TLS encriptados. O segredo partilhado ainda está presente para compatibilidade retroativa, mas já não realiza qualquer trabalho de segurança significativo — o TLS encarrega-se disso. Há outra dimensão aqui que é cada vez mais relevante: o roaming. A federação Eduroam, utilizada por universidades e instituições de investigação em toda a Europa e não só, utiliza RadSec há anos como parte da sua infraestrutura de roaming interinstitucional. Mais recentemente, o padrão OpenRoaming da Wi-Fi Alliance — que permite o roaming WiFi contínuo em locais participantes — exige o RadSec para todo o tráfego da federação. Se está a implementar infraestrutura compatível com OpenRoaming, o RadSec não é opcional; é um pré-requisito. A Purple suporta o OpenRoaming sob a sua licença Connect, atuando como um fornecedor de identidade dentro da federação, e o RadSec é central para o funcionamento dessa estrutura de roaming seguro. Do ponto de vista da conformidade, o RadSec é cada vez mais relevante para o PCI DSS 4.0, que aperta os requisitos em torno da proteção de dados de autenticação em trânsito. Se a sua infraestrutura WiFi toca em ambientes de cartões de pagamento — e no retalho e hotelaria, isso acontece frequentemente —, a lacuna de encriptação no RADIUS tradicional é uma falha à espera de ser detetada. O GDPR exige igualmente medidas técnicas adequadas para proteger os dados pessoais; credenciais de utilizador e metadados de sessão a fluir sem encriptação pela sua rede são difíceis de defender numa auditoria de proteção de dados. Agora vamos falar de arquitetura. Existem dois padrões principais de implementação para o RadSec. O primeiro é o suporte nativo a RadSec no seu servidor RADIUS e pontos de acesso. O FreeRADIUS 3.0 e superior suporta RadSec nativamente. O Microsoft NPS não suporta RadSec nativamente nas versões atuais, o que é uma limitação significativa para organizações que executam infraestruturas centradas em Windows. O Cisco ISE suporta RadSec. O Aruba ClearPass suporta RadSec. Se o seu servidor RADIUS e o fabricante do seu ponto de acesso suportarem RadSec nativamente, este é o caminho mais limpo — configure certificados TLS em ambas as extremidades, abra a porta TCP 2083 na sua firewall e estará a encriptar o tráfego RADIUS de ponta a ponta. O segundo padrão é um proxy RadSec. Esta é a implementação mais comum na prática, particularmente para organizações com infraestruturas RADIUS legadas ou ambientes de vários fabricantes. Um proxy RadSec — o radsecproxy é a implementação de código aberto mais amplamente utilizada — situa-se entre os seus pontos de acesso e o seu servidor RADIUS. Os pontos de acesso enviam RADIUS padrão sobre UDP para o proxy na rede local. O proxy termina essa ligação, volta a encapsular o tráfego RADIUS dentro de um túnel TLS e encaminha-o para o servidor RADIUS a montante sobre TCP 2083. Esta abordagem permite-lhe adicionar RadSec a uma infraestrutura existente sem substituir o seu servidor RADIUS, sendo particularmente útil quando o seu servidor RADIUS está alojado na nuvem ou é acedido através da internet pública. A gestão de certificados é a complexidade operacional que precisa de planear. Irá precisar de uma PKI — Public Key Infrastructure — para emitir e gerir os certificados X.509 utilizados para o TLS mútuo. Isso significa uma Autoridade de Certificação, emissão de certificados para cada cliente e servidor RADIUS, e um processo para rotação de certificados antes da expiração. Certificados que expirem sem que ninguém note irão quebrar a autenticação de todos os utilizadores na sua rede em simultâneo — e esse é um cenário que vai querer evitar. Automatize a renovação de certificados utilizando ACME ou a API da sua CA, e configure alertas de monitorização com bastante antecedência em relação às datas de expiração. --- [RECOMENDAÇÕES DE IMPLEMENTAÇÃO & ARMADILHAS — aprox. 2 minutos] Deixe-me dar-lhe as recomendações práticas. Primeiro: audite antes de implementar. Mapeie cada cliente RADIUS — pontos de acesso, concentradores VPN, switches a fazer 802.1X — e cada servidor RADIUS no seu ambiente. Compreenda quais suportam RadSec nativamente e quais precisarão de um proxy. Esta auditoria normalmente revela dispositivos legados que não suportam TLS de todo, e esses devem constar no seu plano de substituição. Segundo: comece pelo tráfego de maior risco. Se tem tráfego RADIUS a atravessar a internet pública — locais remotos, RADIUS alojado na nuvem, grupos hoteleiros com várias propriedades —, essa é a sua primeira prioridade. O tráfego RADIUS local numa VLAN de gestão bem segmentada apresenta menor risco, mas deve ainda assim constar no plano de trabalhos. Terceiro: teste o TLS mútuo exaustivamente antes de entrar em produção. O modo de falha mais comum em implementações RadSec são os erros de validação de certificados — Common Names incompatíveis, certificados intermédios expirados ou clientes que não confiam na CA que assinou o certificado do servidor. Utilize o comando openssl s_client para testar os handshakes TLS antes de migrar o tráfego de produção. Quarto: não descure a monitorização. O RadSec adiciona uma camada de ligação TCP que o RADIUS tradicional não tem. Falhas de ligação TCP, tempos limite de handshake TLS e erros de certificado irão manifestar-se como falhas de autenticação para os seus utilizadores. Certifique-se de que os registos do seu servidor RADIUS e os registos do seu proxy estão a alimentar o seu SIEM ou plataforma de monitorização para que possa distinguir um problema de conectividade RadSec de um problema de política de autenticação. A armadilha que vejo com mais frequência são as organizações que implementam o RadSec no lado do servidor mas se esquecem de atualizar as suas regras de firewall. A porta TCP 2083 precisa de estar aberta entre cada cliente RADIUS e o servidor ou proxy RADIUS. Se está habituado a gerir regras UDP 1812, a porta TCP 2083 pode facilmente ser esquecida no processo de alteração da firewall. --- [PERGUNTAS E RESPOSTAS RÁPIDAS — aprox. 1 minuto] Deixe-me passar por algumas perguntas que oiço regularmente. "O RadSec substitui o 802.1X?" Não. O RadSec protege a camada de transporte entre o ponto de acesso e o servidor RADIUS. O 802.1X é a estrutura de autenticação entre o dispositivo do cliente e o ponto de acesso. Operam em camadas diferentes e são complementares. "O RadSec é suportado por todos os fabricantes de pontos de acesso?" Não universalmente. A Cisco, Aruba, Ruckus e Meraki têm todos níveis variados de suporte a RadSec — verifique a sua versão específica de firmware. Onde o suporte nativo estiver ausente, um proxy RadSec é a sua solução. "E quanto ao DTLS — RADIUS sobre DTLS?" A RFC 7360 define o RADIUS sobre DTLS, que utiliza UDP em vez de TCP, preservando algumas das características sem ligação do RADIUS tradicional ao mesmo tempo que adiciona encriptação. É menos amplamente implementado do que o RadSec sobre TLS, mas vale a pena avaliar se a latência for uma preocupação em ambientes de alto rendimento. "Como é que isto afeta o desempenho do roaming?" A ligação TCP do RadSec é persistente, o que pode, na verdade, melhorar o desempenho do roaming em ambientes federados, reduzindo a sobrecarga de estabelecimento de ligação para pedidos de autenticação subsequentes. --- [RESUMO & PRÓXIMOS PASSOS — aprox. 1 minuto] Para concluir: o RadSec é a resposta madura e baseada em padrões para uma lacuna de segurança real no RADIUS tradicional. Se gere WiFi empresarial em grande escala — em vários locais, através da internet ou em ambientes sujeitos a PCI DSS ou GDPR — a questão não é se deve implementar o RadSec, mas sim quando e como. Os seus próximos passos: audite a sua infraestrutura RADIUS esta semana. Identifique os seus fluxos de tráfego de maior risco. Verifique a documentação do seu servidor RADIUS e do fabricante do ponto de acesso para suporte nativo a RadSec. Se utiliza o FreeRADIUS, pode ter uma implementação de teste do RadSec a funcionar num dia. Se utiliza o Microsoft NPS, comece a avaliar um proxy ou um caminho de migração para um servidor compatível com RadSec. A plataforma da Purple foi concebida para se integrar com a infraestrutura RADIUS empresarial, suportando fluxos de autenticação seguros tanto para ambientes WiFi corporativos como de convidados. Se quiser compreender como o RadSec se enquadra na sua implementação específica, a equipa da Purple pode orientá-lo no processo. Obrigado por nos ouvir. Até à próxima. --- FIM DO GUIÃO

header_image.png

Resumo Executivo

O RADIUS tradicional sobre UDP (portas 1812/1813) não foi concebido para o cenário de ameaças empresariais moderno. Ao depender exclusivamente de um segredo partilhado e de hashing MD5, deixa as credenciais de autenticação e os atributos de sessão vulneráveis a interceção, particularmente ao atravessar redes públicas ou grandes infraestruturas distribuídas, como cadeias de hotelaria e retalho. O RadSec (RADIUS sobre TLS, RFC 6614) resolve esta lacuna de segurança fundamental ao encapsular o tráfego RADIUS num túnel TLS 1.3 baseado em TCP através da porta 2083.

Para CTOs e arquitetos de rede, a implementação do RadSec já não é apenas uma boa prática — é um requisito crítico para proteger o corporate wifi , manter a conformidade com o PCI DSS 4.0 e participar em estruturas modernas de roaming federado, como o OpenRoaming. Este guia detalha a arquitetura, os padrões de implementação e os requisitos operacionais para proteger a sua infraestrutura de autenticação.

Análise Técnica Profunda: RADIUS vs. RadSec

A Vulnerabilidade no RADIUS Tradicional

Numa implementação 802.1X padrão, o ponto de acesso (autenticador) encaminha as credenciais do cliente para o servidor RADIUS (servidor de autenticação). No RADIUS tradicional, esta carga útil é enviada sobre UDP. A única proteção é uma chave pré-partilhada (PSK) utilizada para ofuscar a palavra-passe através de MD5.

Esta arquitetura apresenta três riscos críticos:

  1. Ausência de Encriptação de Transporte: Os atributos do utilizador, endereços MAC e dados de sessão são transmitidos em texto simples.
  2. Fraqueza Criptográfica: O MD5 é vulnerável a ataques de dicionário offline se um atacante capturar o tráfego.
  3. Ausência de Autenticação Mútua: O ponto de acesso não consegue verificar criptograficamente se está a comunicar com o servidor RADIUS legítimo, permitindo ataques de servidores falsos.

A Arquitetura RadSec (RFC 6614)

O RadSec resolve estas falhas ao alterar a camada de transporte de UDP para TCP e ao envolver toda a carga útil em TLS.

architecture_overview.png

  • Transporte: A porta TCP 2083 garante uma entrega fiável e ligações com estado (stateful), melhorando o desempenho em ambientes de elevada latência.
  • Encriptação: O TLS 1.2 ou 1.3 fornece uma encriptação robusta e de ponta a ponta de todos os atributos RADIUS.
  • Autenticação Mútua: Tanto o cliente RADIUS (ou proxy) como o servidor devem apresentar certificados X.509 válidos emitidos por uma Autoridade de Certificação (CA) fidedigna. O segredo partilhado é mantido apenas para compatibilidade retroativa; o TLS fornece a segurança real.

Esta arquitetura é essencial para ambientes distribuídos, tais como cadeias de Retail ou espaços de Hospitality , onde os pontos de acesso reencaminham os pedidos de autenticação através da internet pública para um servidor RADIUS central ou alojado na nuvem.

Guia de Implementação

A implementação do RadSec segue tipicamente um de dois padrões: Suporte Nativo ou Baseado em Proxy.

Padrão 1: RadSec Nativo

Se a sua infraestrutura o suportar nativamente (por exemplo, FreeRADIUS 3.0+, Cisco ISE, Aruba ClearPass), configura os certificados TLS diretamente no servidor RADIUS e nos pontos de acesso/controladores. Isto proporciona uma verdadeira encriptação de ponta a ponta, desde a periferia até ao núcleo.

Padrão 2: O Proxy RadSec

Muitos servidores RADIUS legados (nomeadamente o Microsoft NPS) não suportam nativamente o RadSec. Nestes ambientes, é implementado um proxy (como o radsecproxy).

  1. Segmento Local: O AP envia o RADIUS UDP padrão para o proxy local.
  2. Segmento WAN: O proxy encapsula o tráfego em TLS e envia-o através de TCP 2083 para o servidor a montante.

Este padrão permite-lhe proteger o tráfego de rede de área alargada sem substituir a infraestrutura legada.

deployment_checklist.png

Integração com a Purple

As plataformas de Guest WiFi e WiFi Analytics da Purple integram-se perfeitamente com a infraestrutura RADIUS empresarial. Sob a licença Connect, a Purple atua como um fornecedor de identidade gratuito para o OpenRoaming, onde o RadSec é um requisito obrigatório para proteger o tráfego de federação entre os locais e o hub central.

Boas Práticas

  1. Gestão do Ciclo de Vida dos Certificados: O TLS mútuo depende de certificados válidos. Implemente a renovação automatizada (por exemplo, via ACME) e uma monitorização rigorosa. Um certificado expirado causará uma interrupção total da autenticação.
  2. Configuração do Firewall: Certifique-se de que a porta TCP 2083 é explicitamente permitida, tanto na saída do local como na entrada para o servidor RADIUS. Não assuma que as regras existentes para UDP 1812 serão aplicadas.
  3. Priorizar o Tráfego de Alto Risco: Inicie a implementação em ligações que atravessem a internet pública ou WANs não fidedignas antes de avançar para as VLANs de gestão local.

Para saber mais sobre como proteger a periferia, leia o nosso guia sobre Access Point Security: Your 2026 Enterprise Guide .

Resolução de Problemas e Mitigação de Riscos

Quando o RadSec falha, raramente se trata de um problema de autenticação; é quase sempre um problema de TLS ou TCP.

  • Sintoma: Os pontos de acesso aparecem como desligados do servidor RADIUS.
    • Verificação: Regras de firewall para TCP 2083. O RADIUS tradicional utiliza UDP; as equipas de rede esquecem-se frequentemente de abrir a porta TCP.
  • Sintoma: A ligação TCP é estabelecida, mas a autenticação falha imediatamente.
    • Verificação: Validação do certificado. Verifique se o Common Name (CN) ou o Subject Alternative Name (SAN) coincidem, se o certificado não expirou e se o cliente confia na CA emissora. Utilize openssl s_client -connect :2083 para depurar o handshake.

Garanta que os fundamentos da sua rede são sólidos. Reveja os nossos conselhos em Protect Your Network with Strong DNS and Security .

ROI & Business Impact

A implementação do RadSec é um investimento na mitigação de riscos. O ROI é medido na prevenção de violações de dados, multas de conformidade (PCI DSS, GDPR) e danos à reputação. Além disso, permite a participação em federações de roaming modernas como o OpenRoaming, o que pode melhorar significativamente a experiência dos convidados em ambientes de Saúde e Transportes .

Ouça o Briefing

Para aprofundar a sua compreensão sobre as realidades operacionais da implementação do RadSec, ouça o nosso briefing técnico de 10 minutos:

Para passos de configuração específicos em dispositivos de clientes, consulte How to Set Up Enterprise WiFi on iOS and macOS with 802.1X ou a versão em português Como Configurar WiFi Corporativo em iOS e macOS com 802.1X .

Definições Principais

RadSec

Uma extensão ao protocolo RADIUS que encapsula o tráfego RADIUS dentro de um túnel TLS sobre a porta TCP 2083.

Utilizado para proteger o tráfego de autenticação ao atravessar redes não confiáveis, impedindo a interceção de credenciais.

Mutual TLS (mTLS)

Um processo de segurança onde tanto o cliente como o servidor apresentam certificados X.509 para verificar a identidade um do outro antes de estabelecer uma ligação encriptada.

O mecanismo de autenticação central do RadSec, substituindo a dependência de segredos partilhados estáticos.

802.1X

O padrão IEEE para controlo de acesso à rede baseado em portas, utilizado para autenticar dispositivos que tentam ligar-se a uma LAN ou WLAN.

A estrutura que depende do RADIUS (e, por extensão, do RadSec) para validar credenciais de utilizador num diretório.

radsecproxy

Um daemon de código aberto que atua como um proxy, convertendo tráfego RADIUS UDP padrão em RadSec (TLS sobre TCP) e vice-versa.

Implementado quando o suporte nativo a RadSec está em falta nos pontos de acesso ou em servidores RADIUS legados como o Microsoft NPS.

OpenRoaming

Um padrão de federação desenvolvido pela Wi-Fi Alliance que permite aos utilizadores ligarem-se de forma contínua e segura a redes WiFi participantes globalmente.

O OpenRoaming exige o uso de RadSec para proteger o tráfego de autenticação entre locais e fornecedores de identidade.

Shared Secret

Uma string de texto estática utilizada no RADIUS tradicional para ofuscar palavras-passe e verificar a origem dos pedidos.

Embora ainda esteja tecnicamente presente nas configurações do RadSec para compatibilidade retroativa, é superado pela encriptação TLS.

FreeRADIUS

Um servidor RADIUS de código aberto amplamente implementado que fornece suporte nativo para RadSec.

Frequentemente utilizado em ambientes empresariais e federações de roaming devido à sua flexibilidade e capacidades TLS nativas.

PKI (Public Key Infrastructure)

A estrutura de funções, políticas e software necessária para criar, gerir, distribuir e revogar certificados digitais.

Um pré-requisito para implementar o RadSec, pois deve emitir e gerir certificados para todos os clientes e servidores RADIUS.

Exemplos Práticos

Um grupo hoteleiro com 200 propriedades utiliza o Microsoft NPS centralmente para a autenticação de funcionários. Os pontos de acesso em cada hotel enviam atualmente pedidos RADIUS pela internet pública através de UDP 1812. O CTO exige a encriptação de todo o tráfego de autenticação, mas a substituição do NPS não é uma opção para este ano.

Implementar um proxy RadSec (por exemplo, radsecproxy) em cada hotel e um proxy correspondente no centro de dados central à frente dos servidores NPS. Os APs locais enviam RADIUS UDP para o proxy local. O proxy local estabelece um túnel TLS mútuo sobre TCP 2083 através da internet para o proxy central. O proxy central termina o túnel TLS e encaminha o RADIUS UDP padrão para o servidor NPS.

Comentário do Examinador: Esta abordagem atinge o principal objetivo de segurança — encriptar os dados de autenticação através da WAN não confiável — sem exigir uma substituição dispendiosa e disruptiva da infraestrutura central do Microsoft NPS. Introduz uma sobrecarga de gestão de certificados para os proxies, que deve ser automatizada.

Uma grande universidade está a implementar o OpenRoaming no seu campus para permitir o acesso contínuo a académicos visitantes. Estão a executar o FreeRADIUS 3.0.

Ativar o RadSec nativo no FreeRADIUS. Gerar certificados X.509 a partir de uma CA confiável pela federação OpenRoaming. Configurar a firewall do campus para permitir tráfego TCP 2083 de entrada e saída para os hubs da federação. Configurar os controladores de LAN sem fios para utilizar RadSec em todos os pedidos de autenticação destinados à federação.

Comentário do Examinador: Como o FreeRADIUS suporta RadSec nativamente, não é necessário qualquer proxy. Esta é a arquitetura mais limpa. A dependência crítica aqui é garantir que os certificados estejam alinhados com os requisitos específicos de PKI da federação OpenRoaming.

Perguntas de Prática

Q1. A sua equipa implementou RadSec nativo entre os pontos de acesso das suas filiais remotas e o seu servidor FreeRADIUS central. Os APs conseguem fazer ping ao servidor, mas os pedidos de autenticação estão a expirar completamente e nenhum tráfego está a chegar aos registos do RADIUS.

Dica: O RadSec utiliza um protocolo de transporte e uma porta diferentes do RADIUS tradicional.

Ver resposta modelo

A firewall está provavelmente a bloquear a porta TCP 2083. As equipas de rede habituadas ao RADIUS tradicional muitas vezes apenas permitem as portas UDP 1812/1813. Deve permitir explicitamente a porta TCP 2083 de saída da filial e de entrada no servidor RADIUS.

Q2. Está a auditar a arquitetura WiFi de um cliente de retalho. Eles utilizam o Microsoft NPS centralmente. Os APs das lojas enviam pedidos de autenticação pela internet através de uma VPN IPsec. O RadSec é necessário aqui?

Dica: Considere as camadas de encriptação que já estão em vigor.

Ver resposta modelo

Embora o RadSec seja uma boa prática, a VPN IPsec já está a fornecer encriptação na camada de transporte para o tráfego RADIUS UDP através da internet não confiável. Implementar RadSec aqui forneceria defesa em profundidade, mas é menos urgente do que se o tráfego estivesse a atravessar a internet de forma nativa.

Q3. Uma semana após uma implementação bem-sucedida do proxy RadSec, todas as autenticações WiFi na empresa falham em simultâneo às 09:00 de uma segunda-feira. A equipa de rede confirma que as regras de firewall não foram alteradas.

Dica: Qual é o principal mecanismo de autenticação para o próprio túnel TLS?

Ver resposta modelo

Os certificados X.509 utilizados para a autenticação TLS mútua provavelmente expiraram. Quando os certificados expiram, o handshake TLS falha, a ligação TCP cai e o tráfego RADIUS não consegue fluir. Implemente a monitorização e rotação automatizada de certificados para evitar isto.

Continue a ler esta série

How to Configure SCEP for Automated Enterprise WiFi Certificate Enrollment

Este guia explica como configurar o SCEP (Simple Certificate Enrollment Protocol) para a atribuição automatizada de certificados WiFi empresariais, cobrindo toda a arquitetura desde PKI e NDES até à implementação de perfis MDM e validação RADIUS. Destina-se a gestores de TI, arquitetos de rede e CTOs em hotéis, cadeias de retalho, estádios, centros de conferências e organizações do setor público que necessitam de ir além das chaves pré-partilhadas e implementar uma autenticação 802.1X EAP-TLS escalável e baseada em identidade. A plataforma de sobreposição na nuvem da Purple, independente de hardware, integra-se diretamente com esta arquitetura, fornecendo a camada de WiFi para convidados e BYOD que coexiste com a sua rede de colaboradores autenticada por certificado.

Ler o guia →

O Guia Empresarial do SCEP: Implementar o Simple Certificate Enrollment Protocol para Segurança Automatizada de WiFi em Campus

Este guia de referência técnica fornece um modelo arquitetónico definitivo e uma estratégia de implementação passo a passo para a implementação de certificados de WiFi empresariais utilizando SCEP. Abrange as diferenças críticas entre SCEP e PKCS, a sequência exata de implementação necessária para o sucesso e estratégias reais de mitigação de riscos para líderes de TI.

Ler o guia →

Como Implementar SCEP para a Inscrição Automatizada de Certificados WiFi

Este guia explica como implementar o SCEP (Simple Certificate Enrollment Protocol) para a inscrição automatizada de certificados WiFi em espaços empresariais. Abrange todo o plano de arquitetura - desde o design de PKI e integração de MDM até à sequência de implementação obrigatória de três passos - e mostra aos gestores de TI e arquitetos de rede como eliminar credenciais partilhadas, automatizar a gestão do ciclo de vida dos certificados e cumprir os requisitos de PCI DSS e GDPR à escala.

Ler o guia →