Server RADIUS: um guia abrangente para empresas

Este guia fornece aos gestores de TI, arquitetos de rede e CTOs uma referência técnica definitiva sobre a autenticação de server RADIUS para WiFi empresarial. Abrange a estrutura AAA, a arquitetura 802.1X, a seleção do método EAP, as vantagens e desvantagens da implementação na cloud versus local, e a atribuição dinâmica de VLAN. Os operadores de espaços nos setores da hotelaria, retalho, eventos e setor público encontrarão orientações de implementação práticas, estudos de caso do mundo real e as estruturas de decisão necessárias para migrar de chaves pré-partilhadas inseguras para uma arquitetura de controlo de acesso à rede segura e orientada pela identidade.

📖 9 min de leitura📝 2,075 palavras🔧 2 exemplos práticos❓ 4 perguntas de prática📚 10 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo ao Purple Technical Briefing. Eu sou o vosso anfitrião e, nos próximos dez minutos, iremos abordar uma das decisões de infraestrutura mais importantes para qualquer equipa de TI empresarial: a autenticação de servidor RADIUS. Se é um gestor de TI, um arquiteto de rede ou um CTO responsável pelo WiFi num hotel, numa cadeia de retalho, num estádio ou num centro de conferências, este briefing é para si. Vamos eliminar o jargão técnico, explicar a arquitetura de forma clara e dar-lhe as perspetivas práticas de que necessita para tomar decisões informadas neste trimestre.

Comecemos pelo panorama geral. Por que razão é que tudo isto importa?

Se ainda gere o WiFi dos seus convidados ou funcionários com uma única palavra-passe partilhada, uma Chave Pré-Partilhada, está a operar com um risco de segurança significativo e crescente. Essa palavra-passe é partilhada, escrita em faturas, fotografada em quadros brancos e reencaminhada através de aplicações de mensagens. Uma vez exposta, perde a visibilidade sobre quem está na sua rede, a capacidade de revogar o acesso de um único utilizador sem perturbar todos os outros e o registo de auditoria se algo correr mal. Para organizações sujeitas ao PCI DSS, GDPR ou HIPAA, isto não é apenas um problema técnico. É uma responsabilidade de conformidade.

O servidor RADIUS é a solução em torno da qual a indústria convergiu para resolver este problema. Portanto, vamos compreender exatamente o que é e como funciona.

RADIUS significa Remote Authentication Dial-In User Service. O nome é um artefacto histórico dos primórdios da internet dial-up, mas o protocolo evoluiu significativamente e continua a ser a espinha dorsal do controlo de acesso a redes empresariais hoje em dia. Na sua essência, um servidor RADIUS é um sistema centralizado que gere o acesso à rede utilizando uma estrutura chamada AAA: Autenticação, Autorização e Auditoria (Accounting). Estes três pilares são a base de tudo o que iremos discutir hoje.

A Autenticação é o primeiro pilar: verificar quem alguém é. A Autorização é o segundo: determinar o que essa pessoa está autorizada a fazer. E a Auditoria é o terceiro: registar o que ela realmente fez.

Vamos explorar cada um deles.

Autenticação. Quando um utilizador tenta ligar-se a uma rede WiFi protegida com WPA2-Enterprise ou WPA3-Enterprise, o seu dispositivo, que designamos por Suplicante, envia um pedido de ligação ao ponto de acesso sem fios. O ponto de acesso, a que chamamos Autenticador, não toma a decisão de autenticação por si próprio. Funciona como um intermediário, reencaminhando o pedido para o servidor RADIUS. O servidor valida então a identidade do utilizador num fornecedor de identidade configurado. Este poderá ser o Microsoft Entra ID, Okta, Google Workspace ou uma base de dados de utilizadores local. O fornecedor de identidade é a fonte única de verdade para quem é permitido na sua rede.

Autorização. Assim que o utilizador é autenticado, o servidor RADIUS não se limita a dizer que sim e a afastar-se. Também diz exatamente ao ponto de acesso o que fazer com este utilizador. Envia de volta um conjunto de atributos, essencialmente instruções, que definem a experiência de rede do utilizador. O mais importante destes é tipicamente a atribuição de VLAN. O servidor RADIUS pode dizer: este utilizador é membro do grupo de colaboradores internos, atribua-o à VLAN dez, que tem acesso aos servidores de ficheiros e impressoras internos. Ou: este utilizador é um convidado, atribua-o à VLAN vinte, que tem apenas acesso à internet e está completamente isolada da rede corporativa. Esta atribuição dinâmica de VLAN é uma das funcionalidades mais poderosas do servidor RADIUS, e é o mecanismo que permite uma segmentação de rede adequada.

Contabilização (Accounting). O terceiro pilar é frequentemente descurado, mas é criticamente importante para a conformidade e operações. À medida que a sessão de um utilizador decorre, o servidor RADIUS regista informações fundamentais: a hora a que se ligaram, a hora a que se desligaram, a duração total da sessão, a quantidade de dados transferidos e o endereço MAC do seu dispositivo. Isto cria um registo de auditoria detalhado para cada ligação na sua rede. Sob a versão quatro do PCI DSS, este tipo de registo não é opcional. É um requisito obrigatório. E no caso de um incidente de segurança, estes registos são inestimáveis para a investigação forense.

Agora, falemos sobre a norma técnica que faz com que tudo isto funcione: IEEE 802.1X.

O 802.1X é a norma que define o controlo de acesso à rede baseado em portas. É o protocolo que permite a um ponto de acesso bloquear todo o tráfego de rede de um dispositivo até que o servidor RADIUS confirme que o dispositivo está autorizado. A comunicação entre o dispositivo do utilizador e o ponto de acesso utiliza um protocolo chamado EAP (Extensible Authentication Protocol). O EAP é essencialmente uma estrutura que suporta múltiplos métodos de autenticação.

Os três métodos EAP mais comuns em Wi-Fi empresarial são: PEAP, que significa Protected Extensible Authentication Protocol; EAP-TTLS; e EAP-TLS.

O PEAP e o EAP-TTLS são métodos baseados em credenciais. Criam um túnel encriptado entre o dispositivo e o servidor RADIUS e, em seguida, o nome de utilizador e a palavra-passe do utilizador são verificados dentro desse túnel. São relativamente fáceis de implementar e funcionam bem em ambientes onde ainda não está preparado para uma infraestrutura completa de certificados.

O EAP-TLS é o padrão de excelência. É baseado em certificados, o que significa que tanto o servidor como o dispositivo do cliente apresentam certificados digitais para se autenticarem mutuamente. Não envolve qualquer palavra-passe. Isto elimina completamente o risco de roubo de credenciais, ataques de phishing e ataques man-in-the-middle. Para dispositivos corporativos, o EAP-TLS é o método de autenticação pelo qual deve optar.

Agora, falemos sobre modelos de implementação. Quando se trata do servidor RADIUS, tem duas opções principais: local (on-premises) e alojado na nuvem (cloud-hosted).

O RADIUS on-premises, utilizando plataformas como o FreeRADIUS ou o Microsoft Network Policy Server, oferece-lhe um controlo total sobre a infraestrutura. Para um único local de grandes dimensões, como um estádio ou um hospital, esta pode ser a decisão certa. Os pedidos de autenticação viajam através da rede local, proporcionando tempos de resposta de sub-milissegundos. E se o seu diretório de identidades for um Active Directory on-premises que não pode ser exposto à internet por motivos de conformidade, um servidor RADIUS on-premises é, frequentemente, a sua única opção viável.

No entanto, para organizações com múltiplos locais, o RADIUS on-premises introduz uma sobrecarga operacional significativa. Passa a gerir instâncias de servidor separadas em cada local, a tratar da renovação de certificados manualmente e a lidar com as consequências quando algo corre mal às duas da manhã.

O Cloud RADIUS altera isto completamente. A infraestrutura é alojada globalmente em várias zonas de disponibilidade. Quando um utilizador se liga numa sucursal, o pedido é encaminhado para o nó de extremidade de nuvem mais próximo. A alta disponibilidade está integrada por predefinição. E a rotação de certificados é automatizada, eliminando a causa mais comum de interrupções de autenticação em implementações on-premises.

Para organizações com múltiplos locais e fornecedores de identidade nativos da nuvem, como o Microsoft Entra ID, Okta ou Google Workspace, o Cloud RADIUS é quase sempre a escolha operacionalmente superior. O Cloud RADIUS da Purple integra-se diretamente com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Isso significa que pode implementar em todo o seu parque de hardware sem substituir um único ponto de acesso.

Permita-me partilhar dois cenários do mundo real para tornar isto concreto.

O primeiro é um grupo hoteleiro europeu com 45 propriedades em seis países. A equipa de TI estava a executar o FreeRADIUS em máquinas virtuais em cada propriedade, ou seja, 45 instâncias separadas para corrigir, monitorizar e manter. Quando um certificado expirou numa das propriedades, causou uma interrupção total do WiFi para os hóspedes durante uma grande conferência. Migraram para um serviço Cloud RADIUS, centralizando a gestão de políticas e eliminando a manutenção por local. A equipa de três engenheiros recuperou cerca de 40 por cento do tempo anteriormente dedicado à manutenção do RADIUS.

O segundo cenário é um estádio desportivo nacional com 68.000 lugares. A equipa de TI tinha requisitos rigorosos em termos de soberania de dados. Todos os registos de autenticação tinham de permanecer em solo do Reino Unido. Implementaram um cluster RADIUS duplo on-premises em configuração ativo-ativo, com um cluster secundário numa instalação de co-location a 20 milhas de distância. Isto proporcionou-lhes controlo local, autenticação de sub-milissegundos e a capacidade de lidar com picos de tráfego sem depender de conectividade à internet.

Estes dois cenários ilustram claramente a estrutura de decisão. Escolha o Cloud RADIUS quando tiver uma infraestrutura multi-site distribuída, fornecedores de identidade nativos na cloud e uma pequena equipa de TI central. Escolha a versão local (on-premises) quando tiver um único local de grande dimensão com requisitos rigorosos de soberania de dados ou um ambiente de segurança isolado (air-gapped).

Agora, algumas perguntas rápidas que ouvimos com mais frequência.

Primeiro: qual é a diferença entre um servidor RADIUS e um captive portal? Um captive portal é a página de início de sessão que os convidados veem quando se ligam. Funciona com o RADIUS. O portal é a interface do utilizador; o servidor RADIUS é o motor de back-end.

Segundo: posso utilizar o RADIUS para redes com fios? Absolutamente. O padrão 802.1X aplica-se igualmente a redes Ethernet com fios e a redes sem fios.

Terceiro: o que acontece se o meu fornecedor de Cloud RADIUS tiver uma interrupção? Os fornecedores respeitáveis publicam acordos de nível de serviço com 99,99% de tempo de atividade (uptime), apoiados por redundância multi-região. Configure sempre os seus pontos de acesso com uma política de contingência (fallback), seja acesso aberto a uma VLAN restrita ou credenciais em cache local, para gerir o cenário com elegância.

Quarto: como é que o RADIUS interage com o WiFi de convidados? Para locais que fornecem WiFi a visitantes, a integração da sua infraestrutura de servidor RADIUS com uma solução de captive portal cria um modelo de acesso hierarquizado. Os funcionários e os dispositivos corporativos autenticam-se silenciosamente via 802.1X, enquanto os convidados são direcionados para um portal personalizado para o registo (onboarding). A plataforma da Purple capta então dados primários (first-party data) e fornece análises sobre o comportamento dos visitantes, transformando a sua rede de um centro de custos num ativo de inteligência de negócio.

Em resumo. O servidor RADIUS é o protocolo centralizado que garante a segurança do WiFi empresarial. Implementa a estrutura AAA para lhe dar um controlo granular sobre quem pode aceder à sua rede, o que pode fazer, e um registo de auditoria completo da sua atividade. Para operadores de locais, hoteleiros, retalhistas e organizações do setor público, a implementação de um servidor RADIUS é o passo fundamental para construir uma infraestrutura WiFi segura, em conformidade e gerida profissionalmente.

O seu próximo passo é claro. Se ainda utiliza chaves pré-partilhadas (pre-shared keys), comece a planear a sua migração hoje mesmo. Analise o seu hardware atual quanto ao suporte para WPA3-Enterprise, avalie as suas opções de integração de diretório de identidades e explore uma plataforma Cloud RADIUS que possa crescer com a sua organização.

Para obter mais guias técnicos e recursos de implementação, visite-nos em purple dot ai. Até à próxima, mantenha-se seguro.

Principais Conclusões

✓O servidor RADIUS é o padrão da indústria para controlo de acesso à rede empresarial, substituindo chaves pré-partilhadas inseguras por autenticação baseada em identidade através da estrutura AAA.
✓A atribuição dinâmica de VLAN é o mecanismo que impõe a segmentação de rede - um controlo obrigatório para a conformidade PCI DSS em ambientes de retalho e hotelaria.
✓O EAP-TLS é o método de autenticação de excelência, eliminando totalmente as palavras-passe através da validação mútua de certificados entre o cliente e o servidor.
✓O Cloud RADIUS é operacionalmente superior para locais multi-site com equipas de TI centrais de pequena dimensão, oferecendo rotação automatizada de certificados, alta disponibilidade integrada e gestão centralizada de políticas.
✓O servidor RADIUS on-premises continua a ser a escolha correta para locais únicos de grande dimensão com requisitos de soberania de dados, ambientes fechados (air-gapped) ou diretórios locais legados.
✓A expiração de certificados é a principal causa de interrupções no RADIUS on-premises - configure alertas de monitorização a 60 dias, 30 dias e 7 dias antes da expiração.
✓O Cloud RADIUS da Purple integra-se com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet em mais de 80.000 locais ativos com 99,999% de tempo de atividade.

Resumo executivo

Para gestores de TI, arquitetos de rede e CTOs que operam nos setores de hotelaria , retalho , transportes e grandes espaços públicos, a segurança do acesso sem fios é um requisito operacional fundamental - não uma atualização opcional. Depender de uma chave pré-partilhada (PSK) para acesso WiFi é uma vulnerabilidade de segurança significativa. Uma única credencial comprometida expõe toda a rede, e revogar o acesso exige a alteração da palavra-passe de todos os dispositivos do parque informático. A implementação de autenticação 802.1X através de uma arquitetura de servidor RADIUS (Remote Authentication Dial-In User Service) elimina este problema. Cada utilizador autentica-se individualmente, o acesso pode ser revogado instantaneamente e a segmentação de rede é imposta de forma dinâmica.

O servidor RADIUS implementa a estrutura AAA: Autenticação, Autorização e Contabilidade (Accounting). Valida identidades face a diretórios como o Microsoft Entra ID, Okta ou Google Workspace, atribui os utilizadores ao segmento de rede correto através de atribuição dinâmica de VLAN e mantém um registo de auditoria detalhado para cada sessão. Para organizações sujeitas ao PCI DSS, GDPR ou Cyber Essentials, este registo de auditoria não é opcional. É um requisito estrito de conformidade. O servidor Cloud RADIUS da Purple protege os funcionários e os dispositivos corporativos através de autenticação 802.1X baseada em certificados, integrando-se com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet em mais de 80.000 locais ativos.

Análise técnica aprofundada: arquitetura de servidor RADIUS

O padrão IEEE 802.1X define o controlo de acesso à rede baseado em portas (PNAC). No contexto sem fios, envolve três funções principais que trabalham em conjunto para proteger a periferia da rede.

Função	Componente	Responsabilidade
Suplicante (Supplicant)	Dispositivo cliente (portátil, smartphone)	Apresenta credenciais para solicitar acesso à rede
Autenticador	Ponto de acesso ou controlador WiFi	Impõe o controlo de acesso; retransmite mensagens EAP
Servidor de autenticação	Servidor RADIUS	Valida credenciais; devolve aceitação ou rejeição e atributos de política

Quando um suplicante se associa a um ponto de acesso, o AP bloqueia todo o tráfego de dados, exceto as mensagens do Protocolo de Autenticação Extensível (EAP). O AP encapsula estas mensagens EAP em pacotes RADIUS e reencaminha-as para o servidor RADIUS através da porta UDP 1812. O servidor verifica as credenciais num diretório backend e devolve uma mensagem Access-Accept ou Access-Reject. Se for aceite, o AP desbloqueia a porta e o tráfego do cliente flui livremente.

O framework AAA na prática

Autenticação é o primeiro pilar: verificar quem é alguém. Quando um dispositivo se liga a um SSID WPA3-Enterprise, o servidor RADIUS verifica as credenciais ou o certificado apresentados em relação à fonte de identidade configurada. O Microsoft Entra ID, o Okta e o Google Workspace são os fornecedores de identidade na nuvem canónicos que se integram diretamente com as plataformas modernas de Cloud RADIUS.

Autorização é o segundo pilar: determinar o que o utilizador autenticado pode fazer. O servidor RADIUS devolve atributos RADIUS ao ponto de acesso, sendo o mais crítico o ID de VLAN. Um membro da equipa financeira entra na VLAN 10 com acesso a sistemas internos. Um subcontratado entra na VLAN 20 apenas com acesso à Internet. Um convidado entra na VLAN 30, isolado de todos os recursos corporativos. Esta atribuição dinâmica de VLAN é o mecanismo que permite uma segmentação de rede adequada - um controlo obrigatório para a conformidade com o PCI DSS em ambientes de retalho .

Contabilização (Accounting) é o terceiro pilar: registar o que realmente aconteceu. O servidor RADIUS regista as horas de início e fim da sessão, a duração da sessão, os dados transferidos e o endereço MAC de cada dispositivo. De acordo com o PCI DSS v4.0, este registo é um requisito obrigatório. No caso de um incidente de segurança, estes registos são a base de qualquer investigação forense.

Seleção do método EAP

A segurança da sua implementação do servidor RADIUS depende fortemente do método EAP selecionado. Os três métodos mais comuns em WiFi empresarial são o PEAP, o EAP-TTLS e o EAP-TLS.

PEAP-MSCHAPv2 é o método mais amplamente implementado. Cria um túnel TLS encriptado utilizando um certificado do lado do servidor, dentro do qual o utilizador se autentica com um nome de utilizador e palavra-passe. É relativamente simples de implementar porque apenas necessita de gerir um certificado - o do servidor. No entanto, se os dispositivos cliente não estiverem explicitamente configurados para validar o certificado do servidor, ficam vulneráveis a ataques de pontos de acesso falsos. Um atacante pode apresentar um certificado fraudulento e capturar credenciais. Trata-se de uma ameaça real documentada, e não teórica. Aplique uma validação estrita de certificados através de Objetos de Política de Grupo (GPO) ou perfis de MDM sem exceção.

EAP-TLS é o padrão de excelência. Requer certificados digitais tanto no servidor RADIUS como em cada dispositivo cliente, eliminando totalmente as palavras-passe. Mesmo que um atacante capture toda a troca de autenticação, não existem credenciais para extrair. O compromisso é a sobrecarga administrativa: a implementação e gestão de certificados de cliente requer uma Infraestrutura de Chaves Públicas (PKI) e uma plataforma de MDM como o Microsoft Intune ou o Jamf. Para dispositivos corporativos, o EAP-TLS é o método de autenticação pelo qual deve optar. O Cloud RADIUS da Purple suporta nativamente o EAP-TLS, com gestão automatizada do ciclo de vida dos certificados.

Guia de implementação: cloud vs local (on-premises)

Ao implementar uma arquitetura de servidor RADIUS, as equipas de TI devem escolher entre uma implementação alojada na cloud ou local (on-premises). Esta é a decisão arquitetural mais consequente do projeto.

RADIUS on-premises, utilizando plataformas como o FreeRADIUS ou o Microsoft Network Policy Server (NPS), oferece-lhe controlo total sobre a infraestrutura. Para um único local de grandes dimensões - um estádio, um hospital ou uma instalação governamental - esta pode ser a escolha certa. Os pedidos de autenticação viajam pela LAN local, oferecendo tempos de resposta inferiores a um milissegundo. Se o seu diretório de identidades for um Active Directory on-premises que não pode ser exposto à internet por motivos de soberania de dados, um servidor RADIUS on-premises é frequentemente a sua única opção viável.

No entanto, para organizações multi-site, o RADIUS on-premises introduz uma sobrecarga operacional significativa. Passa a gerir instâncias de servidores separadas em cada localização, lidando com renovações de certificados manualmente e respondendo a falhas às duas da manhã quando um certificado expira. Para uma cadeia de retalho com 50 localizações, isso significa 50 instâncias RADIUS separadas para atualizar, monitorizar e manter.

Cloud RADIUS muda isto por completo. A infraestrutura é alojada globalmente em múltiplas zonas de disponibilidade. Quando um utilizador se liga numa filial, o pedido é encaminhado para o nó de edge na cloud mais próximo. A alta disponibilidade está integrada por predefinição. A rotação de certificados é automatizada, eliminando a causa individual mais comum de falhas de autenticação em implementações on-premises. Para organizações com várias localizações e fornecedores de identidade nativos na cloud, como o Microsoft Entra ID, Okta ou Google Workspace, o Cloud RADIUS é quase sempre a escolha operacionalmente superior.

A solução Cloud RADIUS da Purple integra-se diretamente com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Implemente em todo o seu parque de hardware sem substituir um único ponto de acesso.

Implementação passo a passo

Passo 1: Escolha o seu modelo de implementação. Avalie três fatores: o seu fornecedor de identidade atual e se o mesmo é nativo na cloud; a resiliência da sua WAN em cada site; e a capacidade da sua equipa para gerir a manutenção contínua. Estes três fatores determinam se o caminho certo é a cloud ou on-premises.

Passo 2: Integre a sua fonte de identidade. Ligue o seu servidor RADIUS ao diretório de identidades da sua organização. A maioria das plataformas Cloud RADIUS suporta integração direta com o Microsoft Entra ID, Okta e Google Workspace via LDAP ou SAML. Para o Active Directory on-premises, utilize LDAP através de um conector seguro.

Passo 3: Configure o hardware da sua rede. Crie um novo SSID configurado para WPA2-Enterprise ou WPA3-Enterprise e aponte-o para o seu servidor RADIUS. Configure o segredo partilhado - a palavra-passe que encripta a comunicação entre o ponto de acesso e o servidor RADIUS. Este segredo partilhado deve coincidir exatamente de ambos os lados. Uma incompatibilidade é uma das causas mais comuns de falhas de autenticação durante a implementação inicial.

Passo 4: Defina as políticas de autorização. Mapeie os grupos de utilizadores do seu diretório de identidade para as políticas de rede. Os funcionários obtêm acesso total na VLAN 10. Os convidados obtêm acesso apenas à internet na VLAN 20. Os dispositivos IoT obtêm uma VLAN restrita com regras de firewall que bloqueiam o movimento lateral.

Passo 5: Integre os seus utilizadores. Para os funcionários corporativos, implemente perfis de WiFi através da sua plataforma MDM. Para os convidados, utilize um captive portal. A plataforma Guest WiFi da Purple automatiza o fluxo de integração de convidados, suportando login social, formulários de registo e códigos de voucher. Os funcionários e os dispositivos corporativos autenticam-se silenciosamente através de 802.1X, enquanto os convidados são direcionados para um portal personalizado - um modelo de acesso em níveis que proporciona segurança e WiFi Analytics .

Para uma análise mais aprofundada da arquitetura de SSID em redes de convidados, funcionários e IoT, consulte Três SSIDs para controlar tudo: guest, Passpoint e IoT WiFi .

Melhores práticas

Exija uma validação rigorosa de certificados em todos os dispositivos clientes. Utilize Objetos de Política de Grupo para dispositivos Windows e perfis MDM para macOS e dispositivos móveis. O perfil deve especificar exatamente em qual Autoridade de Certificação confiar e qual é o nome do servidor esperado. Não deixe que o utilizador configure isto manualmente. A não imposição desta regra é o principal vetor de ataque para o roubo de credenciais em implementações PEAP.

Implemente pelo menos duas instâncias de servidor RADIUS. Configure todos os pontos de acesso para fazer failover para o secundário se o primário ficar inacessível. Para o Cloud RADIUS, esta redundância é integrada e gerida pelo fornecedor. Para locais (on-premises), implemente um cluster ativo-ativo em dois locais geograficamente separados.

Utilize o MAC Authentication Bypass (MAB) para dispositivos IoT sem interface (headless). Impressoras, sensores e sinalética digital não conseguem apresentar credenciais 802.1X. O MAB permite a autenticação com base no endereço MAC. Como os endereços MAC são facilmente falsificados, associe sempre os dispositivos autenticados por MAB a uma VLAN restritiva e a regras de firewall que bloqueiem o acesso aos recursos corporativos.

Rode os segredos partilhados regularmente. O segredo partilhado entre os seus pontos de acesso e o seu servidor RADIUS deve ser longo, aleatório e rodado periodicamente. Um segredo partilhado fraco ou predefinido compromete toda a cadeia de autenticação. Valide a segmentação com testes de intrusão. A configuração por si só não é uma prova. Solicite um teste de intrusão que inclua explicitamente o ambiente sem fios e a validação da segmentação de VLAN. O auditor deve tentar ativamente aceder aos recursos corporativos a partir da VLAN de convidados e documentar que todas as tentativas são bloqueadas. Esta é a evidência de que o seu Qualified Security Assessor de PCI DSS necessita.

Resolução de problemas e mitigação de riscos

Os modos de falha mais comuns nas implementações de servidores RADIUS enquadram-se em quatro categorias.

Incompatibilidade de segredo partilhado. Se o segredo partilhado configurado no ponto de acesso não corresponder ao segredo no servidor RADIUS, todas as tentativas de autenticação falharão silenciosamente. Copie e cole sempre os segredos partilhados em vez de os digitar manualmente. Verifique a configuração de ambos os lados antes de testar.

Expiração de certificados. Em implementações locais (on-premises), se o certificado do servidor expirar, todos os dispositivos cliente rejeitarão a ligação. Isto causa uma interrupção completa da autenticação sem uma degradação controlada. Os fornecedores de Cloud RADIUS automatizam a rotação de certificados, eliminando este risco. Para implementações locais, configure alertas de monitorização a 60 dias, 30 dias e sete dias antes da expiração.

Validação de certificado de cliente não aplicada. Se os clientes PEAP não estiverem configurados para validar o certificado do servidor, ligar-se-ão a qualquer servidor RADIUS que responda – incluindo pontos de acesso não autorizados. Force a validação de certificados através de perfis GPO ou MDM em todos os dispositivos geridos.

Dependência de WAN para Cloud RADIUS. O Cloud RADIUS depende inteiramente da ligação WAN em cada local. Se a ligação à Internet falhar, a autenticação falha. Implemente uma estratégia de sobrevivência local: configure os pontos de acesso para armazenar credenciais em cache para funcionários críticos ou utilize SD-WAN para garantir a elevada disponibilidade da ligação à Internet. Configure sempre uma política de recurso (fallback) – seja acesso aberto a uma VLAN restrita ou credenciais em cache localmente.

Retorno do investimento (ROI) e impacto no negócio

A implementação de uma arquitetura de servidor RADIUS transforma a rede sem fios de uma vulnerabilidade num ativo gerido e seguro com benefícios operacionais mensuráveis.

Para um grupo hoteleiro europeu com 45 propriedades, a migração de 45 instâncias locais do FreeRADIUS para o Cloud RADIUS recuperou cerca de 40% do tempo de manutenção da equipa central de TI (dados internos da Purple). Isto representa capacidade de engenharia redirecionada da manutenção básica para iniciativas estratégicas.

Para uma cadeia de retalho que se prepara para uma auditoria PCI DSS, a segmentação de rede adequada através da atribuição dinâmica de VLAN remove completamente a rede WiFi de convidados do âmbito do Ambiente de Dados de Titulares de Cartões (CDE). Plataformas como o Guest WiFi da Purple operam na VLAN voltada para os convidados, totalmente isolada do tráfego de pagamentos. A plataforma de analítica fica fora do âmbito do PCI, e a empresa mantém a liberdade de implementar ferramentas geradoras de receita – análise de convidados, programas de fidelização, envolvimento de clientes – de forma segura e confiante.

Para organizações com mais de 10 locais e menos de cinco engenheiros de rede, as despesas operacionais previsíveis do Cloud RADIUS normalmente proporcionam um retorno positivo do investimento no prazo de 18 meses, em comparação com a manutenção de infraestrutura local (dados internos da Purple). A aquisição de hardware, energia, refrigeração e o tempo de engenharia para implementações locais à escala excedem consistentemente o custo de subscrição de um serviço Cloud RADIUS gerido.

A Purple opera em mais de 80 000 locais ativos com 99,999% de uptime, certificação ISO 27001, conformidade com o GDPR e CCPA, e certificação Cyber Essentials. Para as equipas de TI que necessitam de demonstrar a devida diligência perante o seu conselho de administração ou auditores, estas certificações fornecem a validação de terceiros que uma implementação local autogerida não consegue fornecer.

Para uma comparação detalhada do Cloud RADIUS da Purple com plataformas alternativas, consulte a comparação de funcionalidades e co-implementação Aruba ClearPass vs. Purple WiFi .

Definições Principais

Server RADIUS

Remote Authentication Dial-In User Service. Um servidor de protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Auditoria (AAA) para acesso à rede. Definido no RFC 2865 e estendido por RFCs subsequentes.

O motor central que valida as credenciais do utilizador contra um diretório e dita as políticas de acesso à rede. Qualquer implementação de WiFi empresarial que utilize 802.1X requer um server RADIUS.

802.1X

Um padrão IEEE para controlo de acesso à rede baseado em portas que fornece um mecanismo de autenticação para dispositivos que se desejam ligar a uma LAN ou WLAN. Define as funções de Supplicant, Authenticator e Authentication Server.

O padrão que os pontos de acesso utilizam para comunicar com o servidor RADIUS. Sem o 802.1X, não existe um mecanismo para bloquear dispositivos não autenticados na periferia da rede.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Um método de autenticação que requer certificados digitais tanto no dispositivo cliente como no servidor RADIUS. Fornece autenticação mútua sem envolver palavra-passe.

O padrão de excelência para autenticação de dispositivos corporativos. Elimina o roubo de credenciais e ataques de phishing. Requer uma plataforma PKI e MDM para implementar certificados de cliente à escala.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol com Microsoft Challenge Handshake Authentication Protocol versão 2. Utiliza um certificado TLS do lado do servidor para criar um túnel encriptado, dentro do qual o utilizador se autentica com um nome de utilizador e palavra-passe.

O método de autenticação WiFi empresarial mais comum. Seguro apenas quando os clientes estão explicitamente configurados para validar o certificado do servidor através de perfis GPO ou MDM.

Segmentação dinâmica de VLAN

O processo pelo qual um servidor RADIUS instrui um ponto de acesso a colocar um utilizador autenticado numa Virtual Local Area Network (VLAN) específica com base na sua identidade e pertença a um grupo no diretório.

O mecanismo que impõe a segmentação de rede. Essencial para a conformidade com o PCI DSS no retalho e hotelaria. Permite que um único SSID sirva funcionários, prestadores de serviços, convidados e dispositivos IoT em segmentos de rede separados.

Estrutura AAA

Autenticação, Autorização e Auditoria. A estrutura de três pilares implementada pelo servidor RADIUS para gerir o acesso à rede. A Autenticação verifica a identidade, a Autorização determina o nível de acesso e a Auditoria regista a atividade da sessão.

A base conceptual de todas as implementações de servidores RADIUS. O PCI DSS v4.0 exige que todos os três pilares sejam implementados para redes que lidam com dados de pagamento.

Supplicant

O dispositivo cliente (portátil, smartphone, sensor IoT) que solicita acesso à rede apresentando credenciais ou um certificado ao Authenticator.

O endpoint que deve responder ao desafio de autenticação do servidor RADIUS. Compreender qual o componente que está a falhar é a base para uma resolução de problemas eficaz.

Captive Portal

Uma página web com a qual os utilizadores devem interagir antes de lhes ser concedido acesso a uma rede WiFi pública. Gere a experiência de integração do utilizador, enquanto o servidor RADIUS gere a autenticação de back-end e a aplicação de políticas de sessão.

Utilizado para a integração de convidados em ambientes de hotelaria, retalho e locais públicos. Funciona em conjunto com o servidor RADIUS – o portal é a interface do utilizador, o servidor RADIUS é o motor de back-end.

MAC Authentication Bypass (MAB)

Um mecanismo que permite que dispositivos sem capacidades 802.1X (impressoras, sensores IoT, sinalização digital) sejam autenticados com base no seu endereço MAC em vez de credenciais ou certificados.

Necessário para dispositivos sem ecrã/interface (headless) que não conseguem executar um supplicant 802.1X. Como os endereços MAC são fáceis de falsificar, os dispositivos autenticados por MAB devem ser sempre colocados numa VLAN altamente restrita.

Segredo partilhado

Uma palavra-passe que encripta a comunicação entre um ponto de acesso (cliente RADIUS) e o servidor RADIUS. Deve ser configurada de forma idêntica em ambos os lados e rodada periodicamente.

Uma incompatibilidade de segredo partilhado é uma das causas mais comuns de falhas de autenticação durante a implementação inicial. Opte sempre por copiar e colar em vez de digitar manualmente.

Exemplos Práticos

Um hotel de 200 quartos precisa de proteger os dispositivos da equipa através de 802.1X, fornecendo simultaneamente acesso WiFi isolado para convidados. O sistema de gestão de propriedades é executado nos dispositivos da equipa e não deve ser acessível a partir da rede de convidados. O hotel faz parte de um grupo de 45 propriedades gerido por uma equipa central de TI de três pessoas.

Implemente o Cloud RADIUS da Purple integrado com o Microsoft Entra ID. Configure um SSID para a equipa utilizando WPA3-Enterprise com EAP-TLS, implementando certificados de cliente em todos os dispositivos da equipa através do Microsoft Intune. Configure o server RADIUS para atribuir dinamicamente os dispositivos da equipa à VLAN 10, que tem acesso ao sistema de gestão de propriedades e às impressoras internas. Aloje um SSID de convidados separado utilizando WPA2-Personal com um Captive Portal para integração, atribuído à VLAN 20 com acesso exclusivo à Internet e regras de firewall estritas que bloqueiam todo o tráfego para a VLAN 10. O Cloud RADIUS gere as 45 propriedades a partir de um único painel de controlo, com a rotação automatizada de certificados a eliminar a carga de manutenção por local que anteriormente consumia 40% do tempo da equipa.

Comentário do Examinador: Este cenário ilustra o valor central do Cloud RADIUS para a hotelaria multilocal. O server RADIUS lida com a autenticação da equipa através de EAP-TLS, fornecendo a segurança mais forte disponível para dispositivos que acedem a sistemas operacionais sensíveis. O Captive Portal gere a integração de convidados separadamente, com o isolamento de VLAN a garantir que a rede de convidados permaneça fora do âmbito do PCI DSS. O modelo de implementação na cloud é o fator decisivo para uma equipa de três pessoas que gere 45 propriedades — uma implementação local exigiria a manutenção de 45 instâncias separadas.

Uma cadeia de retalho com 50 lojas está a registar interrupções frequentes de autenticação causadas por certificados expirados nos seus servidores FreeRADIUS locais. Os tablets POS autenticam-se através de 802.1X e cada interrupção impede a equipa de processar pagamentos até que o certificado seja renovado manualmente. O diretor de TI pretende eliminar este modo de falha antes do próximo período de pico de vendas.

Migre das 50 instâncias FreeRADIUS locais para uma plataforma Cloud RADIUS centralizada. Integre o Cloud RADIUS com o diretório Okta corporativo. Atualize as configurações do ponto de acesso em todos os 50 locais para apontar para os novos endpoints do Cloud RADIUS. Configure a atribuição dinâmica de VLAN para colocar os tablets POS na VLAN 10 (rede de pagamento) e os dispositivos da equipa na VLAN 20 (rede corporativa). O fornecedor de cloud lida com toda a rotação de certificados do servidor automaticamente. Valide a segmentação de VLAN entre a rede de pagamento e a rede WiFi de convidados com um teste de intrusão antes do próximo ciclo de auditoria.

Comentário do Examinador: A causa raiz das interrupções é a gestão manual de certificados em 50 instâncias locais separadas — um risco operacional clássico para infraestruturas de TI de retalho distribuídas. O Cloud RADIUS elimina isto ao automatizar a gestão do ciclo de vida dos certificados. A migração também centraliza a gestão de políticas, o que significa que uma alteração de política é implementada nos 50 locais em simultâneo, em vez de exigir atualizações manuais em cada site. A recomendação do teste de intrusão aborda o requisito do PCI DSS de validar a segmentação, e não apenas configurá-la.

Perguntas de Prática

Q1. Um espaço de retalho está a preparar-se para uma auditoria PCI DSS v4.0. Atualmente, utilizam um único SSID com uma chave pré-partilhada (PSK) tanto para os tablets POS dos funcionários como para o acesso de convidados. O Qualified Security Assessor sinalizou isto como uma falha crítica. Qual é a alteração arquitetónica imediata necessária e qual é a funcionalidade central de servidor RADIUS para a remediação?

Dica: Foque-se na segmentação de rede e na funcionalidade específica do RADIUS que a impõe dinamicamente.

Ver resposta modelo

O espaço de retalho deve implementar um servidor RADIUS para aplicar a autenticação 802.1X e substituir a PSK partilhada. A funcionalidade central é a atribuição dinâmica de VLAN: o servidor RADIUS deve ser configurado para colocar os tablets POS numa VLAN de pagamentos e os convidados numa VLAN isolada apenas de internet, com regras de firewall rígidas que impeçam qualquer tráfego entre elas. O SSID de convidados deve utilizar um Captive Portal para a integração. A segmentação deve ser validada com um teste de intrusão, e não apenas por revisão de configuração, para cumprir o Requisito 11 do PCI DSS.

Q2. Uma empresa com 30 sucursais está a decidir entre o Cloud RADIUS e um servidor RADIUS local. Têm uma pequena equipa central de TI de quatro engenheiros, utilizam o Okta para gestão de identidade e não têm requisitos de soberania de dados. Qual o modelo de implementação recomendado e qual a principal justificação operacional?

Dica: Avalie o custo operacional de manutenção de gerir 30 instâncias separadas versus um serviço de cloud centralizado.

Ver resposta modelo

O Cloud RADIUS é fortemente recomendado. Com 30 localizações e quatro engenheiros, implementar e manter 30 instâncias de servidor RADIUS locais consumiria uma parte desproporcional da capacidade da equipa. O Cloud RADIUS integra-se nativamente com o Okta, automatiza a rotação de certificados e fornece alta disponibilidade integrada sem exigir que a equipa gira a infraestrutura subjacente. A ausência de requisitos de soberania de dados elimina a principal justificação para o modelo local. A equipa deve configurar os pontos de acesso com uma política de contingência (fallback) para lidar com a dependência de WAN de forma resiliente.

Q3. Durante uma implementação de PEAP-MSCHAPv2, os utilizadores reportam avisos de certificado de segurança nos seus dispositivos ao ligarem-se ao SSID corporativo. Alguns utilizadores estão a ignorar os avisos e a ligar-se de qualquer forma. Qual é o risco de segurança e qual o passo de configuração que foi omitido?

Dica: Considere o que acontece quando um cliente não valida o certificado do servidor e como um atacante poderia explorar isso.

Ver resposta modelo

O risco de segurança é um ataque de ponto de acesso não autorizado (rogue access point). Sem a validação obrigatória de certificado, o dispositivo cliente ligar-se-á a qualquer servidor RADIUS que responda – incluindo um operado por um atacante. O atacante apresenta um certificado fraudulento, o utilizador ignora o aviso e o atacante captura o nome de utilizador e a palavra-passe dentro do túnel PEAP. O passo de configuração omitido é a implementação de perfis MDM (para macOS e dispositivos móveis) e Objetos de Política de Grupo (GPO para Windows) que especifiquem explicitamente a Autoridade de Certificação fidedigna e o nome do servidor esperado. Os utilizadores nunca devem ser deixados a tomar decisões de confiança de certificados manualmente.

Q4. Um estádio com 68.000 lugares precisa de autenticar os dispositivos da equipa durante um grande evento onde 40.000 dispositivos podem tentar ligar-se num intervalo de 30 minutos. A equipa de TI tem requisitos rigorosos de soberania de dados: todos os registos de autenticação devem permanecer em solo do Reino Unido. Qual o modelo de implementação recomendado e que arquitetura específica responde ao requisito de tráfego de pico?

Dica: Considere as vantagens de latência e taxa de transferência da autenticação local face a pedidos encaminhados pela cloud sob condições de pico.

Ver resposta modelo

O servidor RADIUS on-premises é recomendado devido aos requisitos de soberania de dados e à carga extrema de pico de autenticação. A arquitetura recomendada é um cluster RADIUS on-premises duplo em configuração ativo-ativo, com um cluster secundário numa instalação de co-localização no Reino Unido. A autenticação local oferece tempos de resposta inferiores a um milissegundo e elimina a dependência de WAN que criaria um estrangulamento durante eventos de pico. O cluster ativo-ativo fornece redundância sem depender de conectividade de internet. Os registos de autenticação permanecem em solo do Reino Unido, satisfazendo o requisito de soberania de dados.

Continue a ler esta série

Aruba ClearPass vs. Purple WiFi: Comparando Funcionalidades e Co-implementação

Um guia técnico abrangente que detalha a arquitetura de co-implementação do Aruba ClearPass e do Purple WiFi. Abrange a configuração de proxy RADIUS, atribuição dinâmica de VLAN e as melhores práticas para fornecer redes de convidados seguras e orientadas por análise de dados, em conjunto com o NAC empresarial.

Cisco ISE vs. Purple WiFi: Como se Comparam e Trabalham em Conjunto

Este guia explica como o Cisco ISE e o Purple WiFi desempenham funções distintas mas complementares em redes empresariais. Detalha como utilizar o Cisco ISE para acesso corporativo seguro 802.1X enquanto aproveita o Purple para WiFi de convidados em conformidade com o GDPR, análises de marketing e integração com CRM.

EAP-TLS vs EAP-TTLS: Qual Protocolo de WiFi Baseado em Certificados Deve Escolher?

Este guia fornece uma comparação direta e definitiva entre o EAP-TLS e o EAP-TTLS para a autenticação de WiFi empresarial ao abrigo da norma IEEE 802.1X. Explica a diferença arquitetónica entre a autenticação mútua por certificado e o tunelamento de certificado apenas do servidor, oferecendo aos gestores de TI, arquitetos de rede e CISOs uma estrutura de decisão clara com base nas capacidades de gestão de dispositivos e requisitos de conformidade. A Purple suporta ambos os caminhos de autenticação EAP-TLS e EAP-TTLS para WiFi de Funcionários, e este guia ajuda as organizações a compreender os compromissos de infraestrutura antes de se comprometerem com qualquer uma das abordagens.