Como Implementar a Autenticação 802.1X com Cloud RADIUS

Este guia de referência técnica fornece uma estrutura abrangente para a implementação da autenticação 802.1X com Cloud RADIUS em propriedades empresariais distribuídas. Detalha a arquitetura, a seleção do método EAP, a sequência de implementação e as estratégias de mitigação de riscos necessárias para proteger o acesso à rede, eliminando simultaneamente os custos operacionais da infraestrutura local.

📖 5 min de leitura📝 1,189 palavras🔧 2 exemplos práticos❓ 3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast

Como Implementar a Autenticação 802.1X com Cloud RADIUS
Um Briefing de Informação da Purple WiFi

--- INTRODUÇÃO E CONTEXTO (aprox. 1 minuto) ---

Bem-vindo ao Briefing de Informação da Purple WiFi. Sou o vosso anfitrião e hoje vamos entrar em detalhe sobre a autenticação 802.1X com Cloud RADIUS — o que é, por que razão é importante neste momento e como implementá-la de forma prática numa infraestrutura multi-site.

Se gere infraestruturas de WiFi para um grupo hoteleiro, uma cadeia de retalho, um estádio ou uma organização do setor público, este é um daqueles temas que continua a surgir — e por um bom motivo. O panorama de ameaças mudou. As redes com PSK partilhado são cada vez mais vistas como um risco de conformidade, e não apenas como um inconveniente de segurança. Reguladores, auditores e seguradoras de riscos cibernéticos estão a fazer perguntas mais difíceis sobre o controlo de acesso à rede. E a boa notícia é que o RADIUS fornecido na nuvem tornou o 802.1X genuinamente implementável em escala, sem a sobrecarga de infraestrutura local que costumava torná-lo impraticável para propriedades distribuídas.

Por isso, vamos a isso.

--- ANÁLISE TÉCNICA DETALHADA (aprox. 5 minutos) ---

Primeiro, vamos garantir que estamos todos a partir da mesma definição. O IEEE 802.1X é um padrão de controlo de acesso à rede baseado em portas. Define uma estrutura de autenticação que se situa na Camada 2 do modelo OSI — ou seja, opera antes de ser concedida qualquer conectividade IP ao dispositivo. Essa é a principal distinção da autenticação na camada de aplicação. Com o 802.1X, um dispositivo não consegue entrar na rede até ser positivamente autenticado.

O protocolo tem três componentes. O suplicante — que é o dispositivo final, seja um portátil, um smartphone ou um terminal de ponto de venda. O autenticador — normalmente o seu ponto de acesso WiFi ou o seu switch gerido. E o servidor de autenticação — que em implementações modernas é o seu serviço cloud RADIUS.

O fluxo funciona da seguinte forma. Um dispositivo tenta associar-se a um ponto de acesso. O ponto de acesso não concede acesso total à rede imediatamente. Em vez disso, abre uma porta controlada e inicia uma troca EAP — que é o Extensible Authentication Protocol — com o dispositivo. O dispositivo apresenta as suas credenciais, que podem ser um nome de utilizador e palavra-passe, um certificado digital ou uma identidade baseada em SIM. O ponto de acesso retransmite essa troca para o servidor RADIUS utilizando o protocolo RADIUS sobre UDP, normalmente na porta 1812 para autenticação e 1813 para monitorização (accounting). O servidor RADIUS valida as credenciais num repositório de identidades — Active Directory, Azure AD ou um diretório LDAP — e devolve uma mensagem de Access-Accept ou Access-Reject. Se for aceite, o ponto de acesso abre a porta e o dispositivo obtém acesso à rede. Se for rejeitado, permanece bloqueado. Simples em teoria, mas os detalhes de implementação importam imenso.

Ora, a seleção do método EAP é onde muitas implementações falham. Existem vários métodos EAP de uso comum, e estes têm perfis de segurança e requisitos operacionais muito diferentes.

O EAP-TLS é o padrão de excelência. Requer autenticação mútua por certificado — tanto o servidor como o cliente apresentam um certificado. Isto elimina totalmente o risco de roubo de credenciais, porque não existem palavras-passe para roubar. No entanto, requer uma infraestrutura PKI e um mecanismo para enviar os certificados de cliente para os dispositivos, o que normalmente implica uma solução MDM. Para ambientes BYOD corporativos e implementações de alta segurança, esta é a resposta certa.

O PEAP com MSCHAPv2 é o método mais amplamente implementado em ambientes empresariais. Requer apenas um certificado do lado do servidor e canaliza a troca de credenciais dentro de TLS. É nativamente compatível com o Active Directory, o que o torna operacionalmente simples. O risco é que é vulnerável à recolha de credenciais se os utilizadores se ligarem a um ponto de acesso não autorizado com um certificado autoassinado — pelo que a validação do certificado do lado do cliente é inegociável.

O EAP-TTLS é semelhante ao PEAP, mas mais flexível no método de autenticação interno. É particularmente útil em ambientes de dispositivos mistos onde existe uma combinação de dispositivos Windows, macOS, iOS e Android com capacidades de suplicante variadas.

Para suporte de dispositivos legados — como hardware de ponto de venda mais antigo ou sensores IoT — o EAP-FAST pode ser uma escolha pragmática, pois não requer certificados e utiliza, em alternativa, uma Credencial de Acesso Protegido (PAC).

Agora, a vertente do RADIUS na nuvem. Tradicionalmente, o RADIUS era um serviço local — FreeRADIUS num servidor Linux ou Microsoft NPS em Windows Server. Esse modelo funciona, mas tem custos operacionais reais: manutenção de hardware, configuração de alta disponibilidade, aplicação de patches e a necessidade de infraestrutura local em cada local que necessite de autenticação de baixa latência. O RADIUS na nuvem altera significativamente esse cálculo.

Um serviço RADIUS na nuvem é alojado e gerido pelo fornecedor. Os seus pontos de acesso enviam pedidos RADIUS através da Internet para o serviço na nuvem, que trata da autenticação junto do seu fornecedor de identidade. A preocupação com a latência é real, mas gerível — os serviços modernos de RADIUS na nuvem estão distribuídos globalmente e as viagens de ida e volta de autenticação são normalmente concluídas em menos de 100 milissegundos, o que é impercetível para os utilizadores finais.

A integração com fornecedores de identidade é a dependência crítica. A maioria das plataformas RADIUS na nuvem suporta LDAP, LDAPS, SAML 2.0 e integração direta com Azure AD ou Okta. Para organizações que já utilizam o Microsoft 365, a integração com o Azure AD é o caminho natural — obtém início de sessão único, políticas de acesso condicional e aplicação de MFA, tudo a alimentar a sua camada de controlo de acesso à rede.

Para locais que implementam WiFi de convidados em paralelo com redes de funcionários, a arquitetura normalmente separa-as em SSIDs distintos com diferentes políticas de autenticação. As redes de funcionários utilizam 802.1X com credenciais corporativas. As redes de convidados utilizam um Captive Portal ou fluxo de login social. A plataforma da Purple suporta ambos os modelos, e a camada de WiFi analytics abrange ambos, proporcionando-lhe visibilidade sobre o comportamento dos dispositivos, tempo de permanência e utilização da rede sem comprometer a segmentação de segurança.

--- RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS (aprox. 2 minutos) ---

Permita-me apresentar a sequência prática de implementação e sinalizar os modos de falha que vejo com mais frequência.

Comece com a integração do seu fornecedor de identidade. Antes de tocar num único ponto de acesso, confirme que o seu serviço RADIUS na nuvem consegue autenticar-se no seu diretório. Teste com uma conta de serviço, valide a ligação LDAP e confirme que os atributos de pertença a grupos estão a ser devolvidos corretamente — porque precisará deles para as políticas de atribuição de VLAN.

Em segundo lugar, planeie a sua estratégia de certificados. Se optar por EAP-TLS, precisa de uma CA, precisa de decidir se vai utilizar uma CA pública ou interna, e precisa de um plano de implementação de MDM para certificados de cliente. Se optar por PEAP, precisa de um certificado de servidor de uma CA fidedigna — não autoassinado — e precisa de enviar o certificado da CA para todos os dispositivos clientes para que a validação do certificado funcione corretamente. Este é o passo que costuma ser ignorado e que causa incidentes de segurança.

Em terceiro lugar, configure os seus clientes RADIUS — ou seja, os seus pontos de acesso e controladores — com o segredo partilhado correto e o IP ou nome de anfitrião do servidor. Utilize um segredo partilhado forte, gerado aleatoriamente, e não uma palavra de dicionário. E se o seu fornecedor de RADIUS na nuvem suportar RADIUS sobre TLS — RadSec — utilize-o. Este encripta o tráfego RADIUS em trânsito, o que é particularmente importante quando esse tráfego atravessa a internet pública.

Em quarto lugar, teste com um grupo piloto antes da implementação total. As falhas de autenticação em grande escala são disruptivas e difíceis de diagnosticar sob pressão. Realize um piloto com dez a vinte dispositivos, valide os registos de autenticação, confirme se a atribuição de VLAN está a funcionar e verifique se os registos de contabilidade estão a ser gravados corretamente.

Os modos de falha que vejo com mais frequência: validação de certificados desativada nos clientes, levando a vulnerabilidades de man-in-the-middle. Segredos partilhados demasiado curtos ou reutilizados em vários locais. Lista de permissões de IP do servidor RADIUS não configurada, fazendo com que os pedidos de autenticação de novos locais sejam rejeitados silenciosamente. E perfis de MDM que não são atualizados quando os certificados expiram, causando falhas de autenticação em massa no dia da renovação.

--- PERGUNTAS E RESPOSTAS RÁPIDAS (aprox. 1 minuto) ---

Algumas perguntas que me fazem regularmente.

Posso executar 802.1X numa rede que também tenha dispositivos IoT que não suportam EAP? Sim — utilize o MAC Authentication Bypass como alternativa para dispositivos que não conseguem executar um suplicante, mas coloque esses dispositivos numa VLAN restrita com regras de firewall rigorosas.

O 802.1X substitui a encriptação WPA2 ou WPA3? Não — o 802.1X lida com a autenticação. O WPA2-Enterprise ou WPA3-Enterprise lida com a encriptação. Precisa de ambos. O WPA3-Enterprise com 802.1X é a melhor prática atual para novas implementações.

Qual é o impacto da latência na autenticação? Com um serviço RADIUS na nuvem bem configurado, conte com 50 a 150 milissegundos por autenticação. Para cenários de roaming, a transição rápida de BSS 802.11r pode reduzir significativamente a sobrecarga de reautenticação.

Isto está em conformidade com o PCI DSS? O 802.1X com EAP-TLS ou PEAP numa rede devidamente segmentada cumpre o Requisito 1 e o Requisito 8 do PCI DSS para controlo de acesso à rede. Envolva o seu QSA desde o início.

--- RESUMO E PRÓXIMOS PASSOS (aprox. 1 minuto) ---

Para resumir: o 802.1X com RADIUS na nuvem é a resposta certa para qualquer organização que precise de demonstrar o controlo de acesso à rede a auditores, reduzir o raio de impacto de uma quebra de credenciais ou gerir a autenticação de forma centralizada num património distribuído.

A implementação não é trivial, mas é absolutamente gerível com a preparação correta. Acerte primeiro na integração do seu fornecedor de identidade. Escolha o seu método EAP com base no seu parque de dispositivos e na sua capacidade operacional para gerir certificados. Utilize o RadSec se a sua infraestrutura o suportar. E teste antes de implementar em grande escala.

Se gere uma rede mista de convidados e funcionários — o que acontece com a maioria dos operadores de hotelaria e retalho — plataformas como a Purple dão-lhe a capacidade de gerir ambos os modelos de autenticação a partir de um único painel de controlo, com a camada de análise a abranger todo o património.

Para os seus próximos passos: audite a sua postura atual de controlo de acesso à rede, identifique quais os locais que ainda utilizam PSK partilhado e elabore um plano de migração faseado. Comece pelos locais de maior risco — aqueles que estão no âmbito do PCI DSS ou que lidam com dados sensíveis — e avance a partir daí.

Obrigado por ouvir. Estão disponíveis mais briefings técnicos em purple.ai.

Principais Conclusões

✓O 802.1X fornece controlo de acesso baseado em portas, autenticando os dispositivos antes de ser concedido o acesso à rede, eliminando os riscos de PSKs partilhadas.
✓O Cloud RADIUS centraliza a autenticação, eliminando a necessidade de servidores locais distribuídos e reduzindo os custos de manutenção.
✓O PEAP-MSCHAPv2 é o mais fácil de implementar, mas requer uma validação rigorosa do certificado do lado do cliente para evitar a recolha de credenciais.
✓O EAP-TLS oferece a segurança mais elevada através de autenticação mútua por certificado, ideal para dispositivos corporativos geridos.
✓O RadSec deve ser utilizado para encriptar o tráfego RADIUS que atravessa a Internet pública entre os pontos de acesso e o serviço de nuvem.
✓Os dispositivos legados que não suportam 802.1X podem utilizar o MAC Authentication Bypass (MAB), desde que sejam isolados em VLANs restritas.
✓A integração do 802.1X com fornecedores de identidade centrais (como o Azure AD) permite a aplicação de políticas dinâmicas, tais como a atribuição de VLAN baseada em funções.

执行摘要

对于管理酒店、零售和公共部门等分布式网络环境的 IT 决策者而言，保护网络访问已从一种运营偏好转变为严格的合规性强制要求。依赖预共享密钥 (PSK) 会带来不可接受的风险，无法满足 PCI DSS 等现代审计标准，并在凭据泄露时使组织面临横向移动的风险。过渡到基于 IEEE 802.1X 端口的网络访问控制，通过在授予 IP 连接之前对设备进行身份验证，可以有效降低这些风险。

从历史上看，由于需要本地化的 RADIUS 基础设施来管理延迟和可用性，在多站点资产中部署 802.1X 受到阻碍。Cloud RADIUS 架构的成熟从根本上改变了这一现状。通过集中身份验证决策并直接与云身份提供商（如 Azure AD 或 Okta）集成，组织可以在所有位置统一实施强大的访问策略，而无需承担本地服务器的资本支出和维护负担。本指南概述了成功实施基于 Cloud RADIUS 的 802.1X 身份验证的技术架构、部署方法和运营最佳实践，确保企业 Guest WiFi 和企业网络的安全性与可扩展性。

技术深度解析

现代企业无线安全的基础建立在 IEEE 802.1X 标准之上。与应用层身份验证不同，802.1X 运行在 OSI 模型的第 2 层。当设备（客户端）尝试与接入点（认证系统）关联时，端口保持在未授权状态，仅允许通过可扩展身份验证协议 (EAP) 流量。该流量被封装在 RADIUS 数据包中并转发到身份验证服务器（Cloud RADIUS 实例）。只有在收到 Access-Accept 消息后，认证系统才会将端口转换为授权状态，从而授予网络访问权限。

Cloud RADIUS 架构

从本地到 Cloud RADIUS 的架构转变消除了对分布式 FreeRADIUS 或 Microsoft NPS 服务器的需求。在云模式中，接入点或无线局域网控制器通过互联网直接与全球分布的 RADIUS 服务进行通信。为了确保此传输的安全，实施 RadSec (RADIUS over TLS) 至关重要，它对身份验证负载进行加密，防止其被拦截。Cloud RADIUS 服务充当中介，通过 LDAP、SAML 或原生 API 集成，对照中央身份提供商 (IdP) 验证凭据。这实现了动态策略实施，例如基于 Azure AD 组群成员身份分配 VLAN，将网络访问与更广泛的企业身份管理策略无缝集成。

EAP 方法选择

EAP 方法的选择决定了部署的安全态势和运营复杂度。

EAP-TLS (传输层安全): 最安全的方法，需要服务器和客户端证书进行双向身份验证。由于不交换密码，它消除了凭据被盗的风险。但是，它需要公共密钥基础设施 (PKI) 和移动设备管理 (MDM) 来分发客户端证书。强烈推荐用于企业设备。
PEAP-MSCHAPv2 (受保护的 EAP): 由于在 Windows 中获得原生支持且仅依赖服务器端证书，因此部署广泛。它在 TLS 会话中对凭据交换进行隧道传输。虽然更易于部署，但如果未严格执行客户端证书验证，它很容易受到凭据收集攻击。
EAP-TTLS: 类似于 PEAP，但在内部身份验证协议中提供了更大的灵活性，使其适用于具有多种客户端操作系统的环境。

实施指南

使用 Cloud RADIUS 部署 802.1X 需要采用分阶段、系统化的方法，以尽量减少对现有业务的中断。

身份提供商集成: 建立并验证 Cloud RADIUS 服务与企业 IdP 之间的连接。确保目录同步准确，并且必要的用户属性（例如组群成员身份）可用于策略制定。
证书管理: 对于 PEAP 部署，从受信任的公共证书颁发机构 (CA) 获取服务器证书。至关重要的是，通过 MDM 或组策略配置客户端，以明确信任此 CA 并验证服务器证书名称。对于 EAP-TLS，部署内部 CA 基础设施并开始向托管设备颁发客户端证书。
网络基础设施配置: 配置无线控制器和接入点以指向 Cloud RADIUS 端点。如果硬件供应商支持，请实施 RadSec。使用强加密安全字符串定义 RADIUS 共享密钥，确保每个站点或控制器集群的密钥唯一。
策略定义: 在 Cloud RADIUS 平台内构建身份验证策略。根据用户组、设备类型或位置定义条件，以便在成功身份验证后动态分配 VLAN 或应用访问控制列表 (ACL)。
试点和分阶段推广: 选择具有代表性的用户和设备子集进行初始试点。密切监控身份验证日志，以识别延迟问题、证书验证n 次失败，或错误的 VLAN 分配。在试点成功后，执行分阶段部署，优先考虑高风险场所，例如行政办公室或处理敏感数据的场所。

最佳实践

强制执行客户端证书验证： PEAP 部署中最常见的漏洞是未能强制客户端进行服务器证书验证。如果允许客户端盲目信任任何呈现的证书，它们就很容易受到流氓接入点攻击。
谨慎实施 MAC 身份验证绕过 (MAB)： 对于无法运行 802.1X 客户端的无头设备（例如打印机、IoT 传感器），可以使用 MAB。然而，MAC 地址极易被伪造。MAB 设备必须隔离在受到严格限制的 VLAN 上，并配合严格的防火墙规则来限制其网络访问。
利用 802.11r 进行漫游： 在设备频繁在接入点之间移动的环境中，完整的 802.1X 身份验证过程可能会引入不可接受的延迟，从而干扰语音等实时应用。实施 802.11r（快速 BSS 过渡）通过缓存身份验证密钥来简化漫游。
与分析系统集成： 对于同时运营企业 802.1X 网络和公共访问网络的场所，将身份验证基础设施与 WiFi Analytics 集成，可以全面了解整个区域的网络利用率和设备行为。

故障排除与风险缓解

802.1X 环境中的身份验证失败可能导致大范围的连接中断。强大的故障排除流程至关重要。

证书过期： 服务器或客户端证书过期将导致立即的身份验证失败。对证书有效期实施自动化监控和告警，确保在过期前尽早处理更新。
延迟和超时： 如果 Cloud RADIUS 服务或 IdP 出现高延迟，认证器可能会超时并断开连接。在无线控制器上配置适当的超时值（通常为 5-10 秒），并部署备份 RADIUS 服务器以提供冗余。
RADIUS 共享密钥不匹配： 认证器上配置的共享密钥与 RADIUS 服务器上的不匹配将导致数据包被静默丢弃。标准化密钥管理，并尽可能避免手动输入。

ROI 与业务影响

过渡到带有 Cloud RADIUS 的 802.1X 可带来可衡量的业务价值。它通过消除共享密码，极大地减少了攻击面，直接支持符合 PCI DSS（要求 1 和 8）以及 GDPR 数据保护指令。在运营方面，它实现了集中式访问控制，使 IT 团队只需在中央目录中禁用用户帐户，即可立即撤销其在全球所有地点的访问权限。此外，通过停用传统的本地 RADIUS 服务器，企业降低了硬件维护成本、软件许可费用，以及修补和管理分布式基础设施的行政负担。对于 Retail 和 Hospitality 等行业的全面部署，这种集中式的安全态势是实现安全数字化转型的关键推动力。

听听我们关于该主题的全面简报：

Definições Principais

Suplicante

O cliente de software num dispositivo de utilizador final (portátil, smartphone) que negoceia o acesso à rede utilizando EAP.

As equipas de TI devem garantir que o suplicante está corretamente configurado (frequentemente via MDM) para validar os certificados do servidor, de modo a evitar o roubo de credenciais.

Autenticador

O dispositivo de rede (normalmente um ponto de acesso WiFi ou switch) que controla o acesso físico ou lógico à rede com base no estado de autenticação.

O autenticador atua como intermediário, retransmitindo mensagens EAP entre o suplicante e o servidor RADIUS.

Cloud RADIUS

Um serviço de autenticação centralizado e alojado na nuvem que processa pedidos RADIUS a partir de infraestruturas de rede distribuídas, sem necessidade de servidores locais.

Essencial para organizações com vários locais que procuram implementar segurança de nível empresarial sem os custos de manutenção de hardware.

EAP (Extensible Authentication Protocol)

A estrutura utilizada para encapsular mensagens de autenticação entre o suplicante e o servidor de autenticação.

A escolha do método EAP correto (por exemplo, PEAP vs. EAP-TLS) determina o nível de segurança e a complexidade de implementação da rede sem fios.

RadSec

Um protocolo que transmite dados RADIUS através de um túnel TLS, garantindo a encriptação do tráfego de autenticação em trânsito.

Crucial ao utilizar o Cloud RADIUS, pois protege as trocas de credenciais confidenciais contra a interceção na internet pública.

Atribuição Dinâmica de VLAN

O processo em que o servidor RADIUS instrui o autenticador a colocar um dispositivo num segmento de rede virtual específico com base na identidade do utilizador ou na pertença a um grupo.

Permite que as TI transmitam um único SSID enquanto segmentam o tráfego de forma segura (por exemplo, colocando a equipa de RH e a equipa de TI em sub-redes diferentes).

Autenticação Mútua

Um processo de segurança no qual o cliente verifica a identidade do servidor e o servidor verifica a identidade do cliente (normalmente utilizando certificados).

A característica definidora do EAP-TLS, tornando-o altamente resistente a ataques do tipo "man-in-the-middle".

MAC Authentication Bypass (MAB)

Um método de autenticação alternativo que utiliza o endereço MAC de um dispositivo como credencial quando este não suporta um suplicante 802.1X.

Utilizado para hardware antigo, como impressoras ou dispositivos IoT, mas requer uma segmentação de rede rigorosa devido à facilidade de falsificação de MAC.

Exemplos Práticos

Um hotel de 200 quartos que opera uma rede PSK herdada para operações de back-of-house (tablets de limpeza, terminais de ponto de venda, portáteis de gerentes) precisa de obter a conformidade com a norma PCI DSS antes de uma auditoria futura. Não dispõem de pessoal de TI no local e não podem implementar servidores locais.

O hotel deve implementar uma solução Cloud RADIUS integrada diretamente com o seu inquilino central do Azure AD. Para os portáteis dos gerentes (Windows/macOS), devem implementar PEAP-MSCHAPv2, utilizando um perfil MDM para enviar o certificado de servidor fidedigno e impor a validação. Para os terminais de ponto de venda que possam carecer de suplicantes robustos, devem utilizar o MAC Authentication Bypass (MAB), mas atribuir estritamente estes dispositivos a uma VLAN isolada que apenas permita a comunicação com o gateway de pagamento. A implementação requer a configuração dos pontos de acesso geridos na nuvem existentes para apontarem para os endereços IP do Cloud RADIUS, protegendo a ligação com RadSec.

Comentário do Examinador: Esta abordagem satisfaz o requisito PCI de identificação única de utilizador (PEAP para funcionários) e segmentação de rede (MAB + VLAN isolada para POS). Ao utilizar o Cloud RADIUS, o hotel evita a complexidade de implementar e manter um servidor FreeRADIUS local, o que seria ingerível sem pessoal de TI no local. O uso do RadSec é fundamental aqui para proteger o tráfego de autenticação que atravessa a internet pública.

Uma cadeia de retalho nacional está a lançar uma nova frota de tablets de propriedade corporativa para gestão de inventário em 500 lojas. Querem garantir que, mesmo que um tablet seja roubado, não possa ser utilizado para aceder à rede, e pretendem eliminar os pedidos de suporte técnico relacionados com palavras-passe.

O retalhista deve implementar EAP-TLS. Irá implementar uma Autoridade de Certificação (CA) interna e integrá-la com a sua plataforma MDM. Quando um tablet é aprovisionado, o MDM envia um certificado de cliente exclusivo para o dispositivo. O serviço Cloud RADIUS é configurado para autenticar dispositivos com base unicamente na presença de um certificado de cliente válido. Se um tablet for reportado como roubado, a equipa de TI simplesmente revoga esse certificado específico na CA. O serviço Cloud RADIUS, ao verificar a Lista de Revogação de Certificados (CRL) ou através de OCSP, irá negar imediatamente o acesso à rede.

Comentário do Examinador: O EAP-TLS é a escolha ideal neste caso. Fornece o nível mais elevado de segurança e remove completamente as palavras-passe dos utilizadores do fluxo de autenticação, alcançando o objetivo de reduzir os pedidos de suporte técnico. A capacidade de revogação centralizada é essencial para gerir o risco de hardware roubado num ambiente de retalho distribuído.

Perguntas de Prática

Q1. A sua organização está a migrar de uma PSK partilhada para 802.1X utilizando PEAP-MSCHAPv2. Durante a fase piloto, os utilizadores reportam que conseguem ligar-se, mas uma auditoria de segurança revela que os dispositivos estão a aceitar silenciosamente qualquer certificado de servidor que lhes seja apresentado. Qual é o risco imediato e como deve ser remediado?

Dica: Considere o que acontece se um atacante configurar um ponto de acesso que transmita o seu SSID corporativo.

Ver resposta modelo

O risco imediato é um ataque Man-in-the-Middle (MitM) através de um ponto de acesso não autorizado (rogue). Um atacante pode transmitir o SSID corporativo, apresentar um certificado autoassinado e recolher credenciais de utilizadores à medida que os dispositivos tentam autenticar-se. Para remediar isto, a equipa de TI deve configurar os perfis de suplicante (via MDM ou Política de Grupo) para validar explicitamente o certificado do servidor. Isto envolve especificar a CA de Raiz Confiável exata que emitiu o certificado do servidor RADIUS e definir rigorosamente o nome de anfitrião (hostname) esperado do servidor.

Q2. Uma filial de retalho remota perdeu a sua ligação à Internet. Os pontos de acesso locais continuam ligados. Os dispositivos dos funcionários atualmente ligados à rede 802.1X permanecerão ligados e os novos dispositivos conseguirão autenticar-se? Assuma uma arquitetura Cloud RADIUS padrão sem nós de sobrevivência local.

Dica: Pense no caminho que um pedido de autenticação deve percorrer e no estado das portas já autorizadas.

Ver resposta modelo

Os dispositivos que já estão autenticados e ligados permanecerão normalmente ligados até que o tempo limite da sessão expire ou que se desliguem, uma vez que a porta do autenticador já se encontra no estado autorizado. No entanto, novos dispositivos que tentem ligar-se, ou dispositivos que tentem reautenticar-se, irão falhar. Como a ligação à Internet está inativa, os pontos de acesso não conseguem contactar o servidor Cloud RADIUS para processar a troca EAP. Isto realça a importância de ligações WAN resilientes quando se depende de autenticação baseada na nuvem.

Q3. Precisa de proteger o acesso à rede para uma frota de leitores de códigos de barras legados num armazém. Estes leitores não suportam suplicantes 802.1X e apenas suportam WPA2-Personal (PSK). Não pode atualizar o hardware. Como integra estes dispositivos numa arquitetura de rede segura juntamente com os seus dispositivos corporativos 802.1X?

Dica: Precisa de uma alternativa ao 802.1X que continue a fornecer controlo de acesso, combinada com isolamento ao nível da rede.

Ver resposta modelo

A abordagem recomendada é utilizar o MAC Authentication Bypass (MAB) para os leitores de códigos de barras. O ponto de acesso utilizará o endereço MAC do leitor como identidade e enviá-lo-á para o servidor RADIUS. Como os endereços MAC são facilmente falsificados, isto fornece uma autenticação fraca. Portanto, o servidor RADIUS deve ser configurado para devolver um atributo VLAN específico após uma autenticação MAB bem-sucedida. Esta VLAN deve ser fortemente restringida através de firewalls ou ACLs, permitindo que os leitores comuniquem apenas com os servidores de inventário específicos de que necessitam, e bloqueando qualquer outro acesso de rede lateral.

Continue a ler esta série

Os Benefícios de Segurança do RADIUS as a Service para Equipas de Trabalho Híbridas

Este guia de referência técnica explica como o RADIUS as a Service protege o acesso à rede para equipas de trabalho híbridas em locais distribuídos. Abrange a arquitetura, os benefícios de segurança e as etapas de implementação para substituir a infraestrutura RADIUS local por um serviço de autenticação gerido na nuvem. Para gestores de TI e arquitetos de rede em hotéis, cadeias de retalho, estádios e organizações do setor público, este guia fornece as provas necessárias para avaliar e agir sobre uma migração para RADIUS na nuvem este trimestre.

Integrar o RADIUS as a Service com Diretórios Cloud (Azure AD & Google Workspace)

Este guia de referência técnica detalha como integrar o RADIUS as a Service com diretórios cloud - Microsoft Entra ID e Google Workspace - para a autenticação de WiFi empresarial. Abrange a transição arquitetónica de NPS on-premise para RADIUS nativo na nuvem, a implementação de autenticação EAP-TLS baseada em certificados e as melhores práticas operacionais para proteger o acesso sem fios em ambientes de hotelaria, retalho e setor público. Para gestores de TI e arquitetos de rede que já investem em identidade na nuvem, este guia preenche a lacuna entre a gestão de diretórios e a segurança da rede física.

O que é o Cloud RADIUS? Um Guia Completo sobre RADIUS as a Service

Este guia completo explora o Cloud RADIUS (RADIUS as a Service), detalhando a sua arquitetura, métodos EAP e estratégias de implementação. Fornece aos líderes de TI informações práticas sobre a migração de servidores locais para um modelo de autenticação baseado na nuvem, escalável, seguro e em conformidade.