Saltar para o conteúdo principal

Como Implementar a Autenticação 802.1X com Cloud RADIUS

Este guia de referência técnica fornece um enquadramento abrangente para a implementação da autenticação 802.1X com Cloud RADIUS em infraestruturas empresariais distribuídas. Detalha a arquitetura, a seleção do método EAP, a sequência de implementação e as estratégias de mitigação de riscos necessárias para proteger o acesso à rede, eliminando ao mesmo tempo os custos operacionais da infraestrutura local.

📖 5 min de leitura📝 1,189 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Como Implementar a Autenticação 802.1X com Cloud RADIUS Uma Sessão de Informação de Inteligência da Purple WiFi --- INTRODUÇÃO E ENQUADRAMENTO (aprox. 1 minuto) --- Bem-vindo à Sessão de Informação de Inteligência da Purple WiFi. Sou o vosso anfitrião e hoje vamos detalhar a autenticação 802.1X com Cloud RADIUS - o que é, por que razão é crucial neste momento e como implementá-la eficazmente numa infraestrutura multi-site. Se gere a infraestrutura de WiFi de um grupo hoteleiro, de uma cadeia de retalho, de um estádio ou de uma organização do setor público, este é um daqueles temas que surge constantemente - e por um bom motivo. O panorama das ameaças mudou. As redes PSK partilhadas são cada vez mais vistas como um risco de conformidade e não apenas como um inconveniente de segurança. Reguladores, auditores e seguradoras de riscos ciber estão a fazer perguntas cada vez mais exigentes sobre o controlo de acessos à rede. E a boa notícia é que o RADIUS baseado na nuvem tornou o 802.1X genuinamente viável de implementar à escala, sem os custos fixos de infraestrutura local que anteriormente o tornavam impraticável para redes distribuídas. Vamos então começar. --- ANÁLISE TÉCNICA DETALHADA (aprox. 5 minutos) --- Primeiro, vamos garantir que estamos todos alinhados com a mesma definição. O IEEE 802.1X é uma norma de controlo de acessos à rede baseada em portas. Define uma estrutura de autenticação que funciona na Camada 2 do modelo OSI - ou seja, opera antes de ser concedida qualquer conectividade IP ao dispositivo. Esta é a principal diferença em relação à autenticação na camada de aplicação. Com o 802.1X, um dispositivo não consegue entrar na rede até que tenha sido autenticado positivamente. O protocolo tem três componentes. O requerente (supplicant) - que é o dispositivo final, seja um portátil, um smartphone ou um terminal de ponto de venda. O autenticador - normalmente o seu ponto de acesso WiFi ou o seu switch gerido. E o servidor de autenticação - que nas implementações modernas é o seu serviço de cloud RADIUS. O fluxo funciona da seguinte forma. Um dispositivo tenta associar-se a um ponto de acesso. O ponto de acesso não concede acesso total à rede imediatamente. Em vez disso, abre uma porta controlada e inicia uma troca EAP - o Extensible Authentication Protocol - com o dispositivo. O dispositivo apresenta as suas credenciais, que podem ser um nome de utilizador e palavra-passe, um certificado digital ou uma identidade baseada em SIM. O ponto de acesso transmite essa troca para o servidor RADIUS utilizando o protocolo RADIUS através de UDP, tipicamente na porta 1812 para autenticação e 1813 para contabilidade (accounting). O servidor RADIUS valida as credenciais num diretório de identidades - como o Active Directory, Azure AD ou um diretório LDAP - e devolve uma mensagem de Access-Accept ou de Access-Reject. Se for aceite, o ponto de acesso abre a porta e o dispositivo obtém acesso à rede. Se for rejeitado, permanece bloqueado. Simples em teoria, mas os detalhes de implementação são extremamente importantes. Atualmente, a seleção do método EAP é o ponto onde muitas implementações falham. Existem vários métodos EAP de uso comum que apresentam perfis de segurança e requisitos operacionais muito diferentes. O EAP-TLS é o padrão de ouro. Requer autenticação mútua de certificados - tanto o servidor como o cliente apresentam um certificado. Isto elimina inteiramente o risco de roubo de credenciais, porque não existem palavras-passe para roubar. Mas requer uma infraestrutura de PKI e um mecanismo para enviar os certificados de cliente para os dispositivos, o que normalmente significa uma solução de MDM. Para ambientes corporativos de BYOD e implementações de alta segurança, esta é a resposta certa. O PEAP com MSCHAPv2 é o método mais amplamente implementado em ambientes empresariais. Apenas requer um certificado do lado do servidor e canaliza a troca de credenciais dentro de TLS. É nativamente compatível com o Active Directory, o que o torna operacionalmente simples. O risco é ser vulnerável à recolha de credenciais se os utilizadores se ligarem a um ponto de acesso não autorizado com um certificado autoassinado - pelo que a validação do certificado do lado do cliente é não negociável. O EAP-TTLS é semelhante ao PEAP, mas mais flexível no método de autenticação interno. É particularmente útil em ambientes com dispositivos mistos, onde tem uma combinação de dispositivos Windows, macOS, iOS e Android com diferentes capacidades de suplicante. Para o suporte de dispositivos legados - pense em hardware de ponto de venda mais antigo ou sensores de IoT - o EAP-FAST pode ser uma escolha pragmática, pois não requer certificados e utiliza, em alternativa, uma Credencial de Acesso Protegido. Agora, a vertente de cloud RADIUS. Tradicionalmente, o RADIUS era um serviço local - FreeRADIUS num servidor Linux, ou Microsoft NPS em Windows Server. Esse modelo funciona, mas tem custos operacionais reais: manutenção de hardware, configuração de alta disponibilidade, aplicação de patches e a necessidade de infraestrutura local em cada local que necessite de autenticação de baixa latência. O cloud RADIUS altera significativamente esse cálculo. Um serviço de cloud RADIUS é alojado e gerido pelo fornecedor. Os seus pontos de acesso enviam pedidos RADIUS através da internet para o serviço de cloud, que trata da autenticação junto do seu fornecedor de identidade. A preocupação com a latência é real mas gerível - os serviços modernos de cloud RADIUS são distribuídos globalmente e as viagens de ida e volta de autenticação são normalmente concluídas em menos de 100 milissegundos, o que é impercetível para os utilizadores finais. A integração com os fornecedores de identidade é a dependência crítica. A maioria das plataformas de cloud RADIUS suporta LDAP, LDAPS, SAML 2.0 e integração direta com Azure AD ou Okta. Para as organizações que já executam o Microsoft 365, a integração com o Azure AD é o caminho natural - obtém início de sessão único, políticas de acesso condicional e imposição de MFA, tudo a alimentar a sua camada de controlo de acesso à rede. Para recintos que implementam WiFi para convidados juntamente com redes de funcionários, a arquitetura normalmente separa-as em SSIDs distintos com diferentes políticas de autenticação. As redes de funcionários utilizam 802.1X com credenciais corporativas. As redes de convidados utilizam um Captive Portal ou fluxo de login social. A plataforma da Purple suporta ambos os modelos, e a camada de analytics de WiFi funciona em ambos, oferecendo visibilidade sobre o comportamento dos dispositivos, tempo de permanência e utilização da rede sem comprometer a segmentação de segurança. --- RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS (aprox. 2 minutos) --- Deixe-me apresentar a sequência prática de implementação e destacar os modos de falha que vejo com mais frequência. Comece com a integração do seu fornecedor de identidade. Antes de tocar num único ponto de acesso, confirme que o seu serviço RADIUS em nuvem consegue autenticar-se no seu diretório. Teste com uma conta de serviço, valide a ligação LDAP e confirme que os atributos de pertença a grupos estão a ser devolvidos corretamente - porque precisará deles para as políticas de atribuição de VLAN. Segundo, planeie a sua estratégia de certificados. Se optar por EAP-TLS, precisa de uma CA, precisa de decidir se vai utilizar uma CA pública ou uma interna, e precisa de um plano de implementação de MDM para certificados de cliente. Se optar por PEAP, precisa de um certificado de servidor de uma CA fidedigna - não autoassinado - e precisa de enviar o certificado da CA para todos os dispositivos clientes para que a validação de certificados funcione corretamente. Este é o passo que costuma ser ignorado e que causa incidentes de segurança. Terceiro, configure os seus clientes RADIUS - que são os seus pontos de acesso e controladores - com o segredo partilhado correto e o IP do servidor ou nome de anfitrião. Utilize um segredo partilhado forte, gerado aleatoriamente, e não uma palavra de dicionário. E se o seu fornecedor de RADIUS em nuvem suportar RADIUS sobre TLS - RadSec - utilize-o. Este encripta o tráfego RADIUS em trânsito, o que é particularmente importante quando esse tráfego atravessa a internet pública. Quarto, teste com um grupo-piloto antes da implementação total. As falhas de autenticação em larga escala são disruptivas e difíceis de diagnosticar sob pressão. Realize um piloto com dez a vinte dispositivos, valide os registos de autenticação, confirme se a atribuição de VLAN está a funcionar e verifique se os registos de contabilidade estão a ser gravados corretamente. Os modos de falha que vejo com mais frequência: validação de certificados desativada nos clientes, levando a vulnerabilidade de man-in-the-middle. Segredos partilhados demasiado curtos ou reutilizados em vários locais. Lista de permissões de IP do servidor RADIUS não configurada, fazendo com que os pedidos de autenticação de novos locais sejam rejeitados silenciosamente. E perfis de MDM que não são atualizados quando os certificados expiram, causando falhas de autenticação em massa no dia da renovação. --- PERGUNTAS RÁPIDAS (aprox. 1 minuto) --- Algumas perguntas que me fazem regularmente. Posso executar 802.1X numa rede que também tenha dispositivos IoT que não suportam EAP? Sim - utilize o MAC Authentication Bypass como recurso para dispositivos que não conseguem executar um suplicante, mas coloque esses dispositivos numa VLAN restrita com regras de firewall rigorosas. O 802.1X substitui a encriptação WPA2 ou WPA3? Não - o 802.1X lida com a autenticação. O WPA2-Enterprise ou WPA3-Enterprise trata da encriptação. Precisa de ambos. O WPA3-Enterprise com 802.1X é a melhor prática atual para novas implementações. Qual é o impacto da latência na autenticação? Com um serviço RADIUS na nuvem bem configurado, conte com 50 a 150 milissegundos por autenticação. Para cenários de roaming, a transição rápida de BSS 802.11r pode reduzir significativamente a sobrecarga de nova autenticação. Isto está em conformidade com o PCI-DSS? O 802.1X com EAP-TLS ou PEAP numa rede devidamente segmentada cumpre o Requisito 1 e o Requisito 8 do PCI-DSS para controlo de acesso à rede. Envolva o seu QSA desde o início. --- RESUMO E PRÓXIMOS PASSOS (aprox. 1 minuto) --- Para resumir: o 802.1X com RADIUS na nuvem é a resposta certa para qualquer organização que precise de demonstrar o controlo de acesso à rede a auditores, reduzir o raio de impacto de uma quebra de credenciais ou gerir a autenticação centralmente num parque distribuído. A implementação não é trivial, mas é perfeitamente gerível com a preparação correta. Comece por configurar corretamente a integração com o seu fornecedor de identidade. Escolha o seu método EAP com base no seu parque de dispositivos e na sua capacidade operacional para gerir certificados. Utilize RadSec se a sua infraestrutura o suportar. E teste antes de implementar em escala. Se gere uma rede mista de convidados e funcionários - como a maioria dos operadores de hotelaria e retalho - plataformas como a Purple oferecem-lhe a capacidade de gerir ambos os modelos de autenticação a partir de um único painel de controlo, com a camada de analítica a abranger todo o parque. Para os seus próximos passos: audite a sua postura atual de controlo de acesso à rede, identifique quais os locais que ainda utilizam PSK partilhado e elabore um plano de migração faseado. Comece pelos locais de maior risco - aqueles que estão no âmbito do PCI-DSS ou que lidam com dados sensíveis - e avance para os restantes. Obrigado por nos ouvir. Estão disponíveis mais resumos técnicos em purple.ai.

header_image.png

Resumo Executivo

Para os decisores de TI que gerem infraestruturas de rede distribuídas nos setores da hotelaria, retalho e setor público, a segurança do acesso à rede passou de uma preferência operacional para um mandato de conformidade estrito. A dependência de chaves pré-partilhadas (PSKs) introduz riscos inaceitáveis, falha nos padrões de auditoria modernos como o PCI-DSS e expõe a organização a movimentos laterais em caso de comprometimento de credenciais. A transição para o controlo de acesso à rede baseado em portas IEEE 802.1X mitiga estes riscos de forma eficaz, autenticando os dispositivos antes que a conectividade IP seja concedida.

Historicamente, a implementação de 802.1X em infraestruturas multiclientes era dificultada pela necessidade de uma infraestrutura RADIUS localizada para gerir a latência e a disponibilidade. O amadurecimento da arquitetura Cloud RADIUS alterou fundamentalmente este cenário. Ao centralizar as decisões de autenticação e ao integrar-se diretamente com fornecedores de identidade na nuvem (como o Azure AD ou o Okta), as organizações podem impor políticas de acesso robustas de forma uniforme em todos os locais, sem as despesas de capital e o fardo de manutenção dos servidores locais. Este guia descreve a arquitetura técnica, a metodologia de implementação e as melhores práticas operacionais para implementar com sucesso a autenticação 802.1X com Cloud RADIUS, garantindo que tanto o WiFi para convidados Guest WiFi corporativo como as redes empresariais permaneçam seguros e escaláveis.

Análise Técnica Detalhada

A base da segurança sem fios empresarial moderna assenta no padrão IEEE 802.1X. Ao contrário da autenticação na camada de aplicação, o 802.1X opera na Camada 2 do modelo OSI. Quando um dispositivo (o suplicante) tenta associar-se a um ponto de acesso (o autenticador), a porta permanece num estado não autorizado, permitindo apenas tráfego de Extensible Authentication Protocol (EAP). Este tráfego é encapsulado em pacotes RADIUS e encaminhado para o servidor de autenticação - a instância Cloud RADIUS. Apenas após a receção de uma mensagem de Access-Accept é que o autenticador transita a porta para um estado autorizado, concedendo acesso à rede.

Arquitetura Cloud RADIUS

architecture_overview.png

A transição arquitetural de infraestruturas locais para o Cloud RADIUS elimina a necessidade de servidores distribuídos FreeRADIUS ou Microsoft NPS. No modelo cloud, os pontos de acesso ou controladores de LAN sem fios comunicam diretamente através da internet com um serviço RADIUS globalmente distribuído. Para proteger este trânsito, a implementação de RadSec (RADIUS sobre TLS) é essencial, encriptando o payload de autenticação e protegendo-o de interceções. O serviço Cloud RADIUS atua como intermediário, validando credenciais contra um Fornecedor de Identidade (IdP) central através de integrações LDAP, SAML ou API nativas. Isto permite a aplicação de políticas dinâmicas, como a atribuição de VLANs com base na pertença a grupos do Azure AD, integrando perfeitamente o acesso à rede com a estratégia de gestão de identidade corporativa mais ampla.

Seleção de Método EAP

A escolha do método EAP determina o nível de segurança e a complexidade operacional da implementação.

eap_comparison_chart.png

  • EAP-TLS (Transport Layer Security): O método mais seguro, exigindo certificados tanto do servidor como do cliente para autenticação mútua. Como não são trocadas palavras-passe, elimina o risco de roubo de credenciais. No entanto, requer uma Infraestrutura de Chaves Públicas (PKI) e Gestão de Dispositivos Móveis (MDM) para distribuir os certificados de cliente. Fortemente recomendado para dispositivos corporativos.
  • PEAP-MSCHAPv2 (Protected EAP): Amplamente implementado graças ao suporte nativo em Windows e à sua dependência exclusiva de um certificado do lado do servidor. Cria um túnel para a troca de credenciais dentro de uma sessão TLS. Embora seja mais fácil de implementar, é vulnerável a ataques de recolha de credenciais se a validação do certificado do lado do cliente não for rigorosamente aplicada.
  • EAP-TTLS: Semelhante ao PEAP, mas oferece maior flexibilidade no protocolo de autenticação interno, tornando-o adequado para ambientes com uma mistura diversificada de sistemas operativos de clientes.

Guia de Implementação

A implementação de 802.1X com Cloud RADIUS requer uma abordagem faseada e sistemática para minimizar a interrupção da atividade empresarial existente.

  1. Integração do fornecedor de identidade: Estabeleça e valide a ligação entre o serviço Cloud RADIUS e o IdP corporativo. Garanta que a sincronização do diretório é precisa e que os atributos de utilizador necessários (como a pertença a grupos) estão disponíveis para as decisões de política.
  2. Gestão de certificados: Para implementações PEAP, obtenha um certificado de servidor de uma Autoridade de Certificação (CA) pública fidedigna. Crucialmente, configure os clientes através de MDM ou Política de Grupo para confiarem explicitamente nesta CA e validarem o nome do certificado do servidor. Para EAP-TLS, implemente a infraestrutura de CA interna e comece a emitir certificados de cliente para os dispositivos geridos.
  3. Configuração da infraestrutura de rede: Configure os controladores sem fios e os pontos de acesso para apontarem para os endpoints de Cloud RADIUS. Implemente RadSec onde o fornecedor de hardware o suporte. Defina segredos partilhados RADIUS usando strings criptograficamente fortes e seguras, garantindo que o segredo é único por site ou cluster de controladores.
  4. Definição de políticas: Construa as políticas de autenticação dentro da plataforma Cloud RADIUS. Defina condições com base no grupo de utilizadores, tipo de dispositivo ou localização para atribuir VLANs de forma dinâmica ou aplicar Listas de Controlo de Acesso (ACLs) após uma autenticação bem-sucedida.
  5. Piloto e implementação faseada: Selecione um subconjunto representativo de utilizadores e dispositivos para o piloto inicial. Monitorize os registos de autenticação de perto para identificar problemas de latência, falhas de validação de certificados ou atribuições incorretas de VLAN. Após um piloto bem-sucedido, execute uma implementação faseada, priorizando locais de alto risco, como escritórios executivos ou sites que lidam com dados confidenciais.

Melhores Práticas

  • Impor a validação de certificados no lado do cliente: A vulnerabilidade mais comum em implementações PEAP é a falha em impor a validação do certificado do servidor no cliente. Se os clientes tiverem permissão para confiar cegamente em qualquer certificado apresentado, ficam totalmente expostos a ataques de pontos de acesso falsos.
  • Implementar o MAC Authentication Bypass (MAB) com cautela: Para dispositivos sem ecrã/interface que não conseguem executar um suplicante 802.1X (como impressoras e sensores IoT), o MAB pode ser utilizado. No entanto, os endereços MAC são facilmente falsificados. Os dispositivos MAB devem ser isolados em VLANs altamente restritas, com regras de firewall estritas que limitem o seu acesso à rede.
  • Aproveitar o 802.11r para roaming: Em ambientes onde os dispositivos se movem frequentemente entre pontos de acesso, o processo completo de autenticação 802.1X pode introduzir uma latência inaceitável que interrompe aplicações em tempo real, como a voz. A implementação do 802.11r (Fast BSS Transition) otimiza o roaming através do armazenamento em cache das chaves de autenticação.
  • Integrar com ferramentas analíticas: Para locais que operam tanto uma rede corporativa 802.1X como uma rede de acesso público, a integração da infraestrutura de autenticação com o WiFi Analytics oferece uma visão abrangente da utilização da rede e do comportamento dos dispositivos em todo o património.

Resolução de Problemas e Mitigação de Riscos

As falhas de autenticação num ambiente 802.1X podem causar interrupções generalizadas de conectividade. Um processo robusto de resolução de problemas é essencial.

  • Expiração de certificados: Um certificado de servidor ou cliente expirado causará uma falha imediata de autenticação. Implemente a monitorização e alertas automatizados sobre os períodos de validade dos certificados, garantindo que as renovações são tratadas muito antes da expiração.
  • Latência e tempos de limite (timeouts): Se o serviço Cloud RADIUS ou o IdP registarem uma latência elevada, o autenticador pode sofrer um timeout e desligar a ligação. Configure valores de timeout adequados nos controladores sem fios (normalmente de 5 a 10 segundos) e implemente servidores RADIUS de cópia de segurança para fornecer redundância.
  • Incompatibilidade do segredo partilhado RADIUS: Um segredo partilhado configurado no autenticador que não coincida com o do servidor RADIUS fará com que os pacotes sejam silenciosamente descartados. Padronize a gestão de segredos e evite a introdução manual sempre que possível.

ROI e Impacto no Negócio

A transição para o 802.1X com Cloud RADIUS proporciona um valor de negócio mensurável. Ao eliminar as palavras-passe partilhadas, reduz drasticamente a superfície de ataque, apoiando diretamente a conformidade com as normas PCI-DSS (Requisitos 1 e 8) e as obrigações de proteção de dados do GDPR. Em termos operacionais, permite um controlo de acessos centralizado, permitindo que as equipas de TI revoguem instantaneamente o acesso de um utilizador em todas as localizações do mundo, bastando para isso desativar a sua conta no diretório central. Além disso, ao desmantelar os servidores RADIUS legados instalados localmente, as organizações reduzem os custos de manutenção de hardware, as taxas de licenciamento de software e o fardo administrativo de atualizar e gerir infraestruturas distribuídas. Para implementações em larga escala em setores como o Retalho e a Hotelaria , esta postura de segurança centralizada é um facilitador essencial da transformação digital segura.

Ouça o nosso briefing detalhado sobre o tema:

Definições Principais

Suplicante

O cliente de software num dispositivo de utilizador final (portátil, smartphone) que negoceia o acesso à rede utilizando EAP.

As equipas de TI devem garantir que o suplicante está configurado corretamente (frequentemente via MDM) para validar os certificados do servidor, de modo a evitar o roubo de credenciais.

Autenticador

O dispositivo de rede (normalmente um ponto de acesso WiFi ou switch) que controla o acesso físico ou lógico à rede com base no estado de autenticação.

O autenticador funciona como intermediário, retransmitindo mensagens EAP entre o suplicante e o servidor RADIUS.

Cloud RADIUS

Um serviço de autenticação centralizado e alojado na nuvem que processa pedidos RADIUS a partir de uma infraestrutura de rede distribuída, sem necessidade de servidores locais.

Essencial para organizações multilocalização que procuram implementar segurança de nível empresarial sem os custos de manutenção de hardware.

EAP (Extensible Authentication Protocol)

O enquadramento utilizado para encapsular mensagens de autenticação entre o suplicante e o servidor de autenticação.

A escolha do método EAP correto (por exemplo, PEAP vs. EAP-TLS) determina a força de segurança e a complexidade de implementação da rede sem fios.

RadSec

Um protocolo que transmite dados RADIUS através de um túnel TLS, garantindo a encriptação do tráfego de autenticação em trânsito.

Crucial ao utilizar Cloud RADIUS, pois protege as trocas de credenciais confidenciais contra a interceção na internet pública.

Dynamic VLAN Assignment

O processo em que o servidor RADIUS instrui o autenticador a colocar um dispositivo num segmento de rede virtual específico com base na identidade ou pertença a um grupo do utilizador.

Permite que as equipas de TI transmitam um único SSID enquanto segmentam o tráfego de forma segura (por exemplo, colocando os funcionários de RH e de TI em sub-redes diferentes).

Mutual Authentication

Um processo de segurança onde o cliente verifica a identidade do servidor e o servidor verifica a identidade do cliente (geralmente através de certificados).

A característica definidora do EAP-TLS, tornando-o altamente resistente a ataques de man-in-the-middle.

MAC Authentication Bypass (MAB)

Um método de autenticação alternativo que utiliza o endereço MAC de um dispositivo como a sua credencial quando este não consegue suportar um suplicante 802.1X.

Utilizado para hardware antigo, como impressoras ou dispositivos IoT, mas requer uma segmentação de rede rigorosa devido à facilidade de falsificação de endereços MAC.

Exemplos Práticos

Um hotel de 200 quartos que opera uma rede PSK herdada para operações internas (tablets de limpeza, terminais de ponto de venda, portáteis de gestão) necessita de obter a conformidade PCI-DSS antes de uma próxima auditoria. Não dispõem de pessoal de TI no local e não podem implementar servidores locais.

O hotel deve implementar uma solução Cloud RADIUS integrada diretamente com o seu inquilino central do Azure AD. Para os portáteis de gestão (Windows/macOS), devem implementar PEAP-MSCHAPv2, utilizando um perfil de MDM para instalar o certificado de servidor confiável e forçar a validação. Para os terminais de ponto de venda que possam não ter suplicantes robustos, devem utilizar o MAC Authentication Bypass (MAB), mas atribuir estritamente estes dispositivos a uma VLAN isolada que apenas permita a comunicação com o gateway de pagamento. A implementação exige a configuração dos pontos de acesso geridos na nuvem existentes para apontarem para os endereços IP do Cloud RADIUS, protegendo a ligação com RadSec.

Comentário do Examinador: Esta abordagem cumpre o requisito de PCI para a identificação única de utilizadores (PEAP para funcionários) e segmentação de rede (MAB + VLAN isolada para POS). Ao utilizar o Cloud RADIUS, o hotel evita a complexidade de implementar e manter um servidor FreeRADIUS local, que seria ingerível sem pessoal de TI no local. A utilização do RadSec é fundamental neste caso para proteger o tráfego de autenticação que atravessa a internet pública.

Uma cadeia de retalho nacional está a disponibilizar uma nova frota de tablets de propriedade corporativa para gestão de inventário em 500 lojas. Pretendem garantir que, mesmo que um tablet seja roubado, não possa ser utilizado para aceder à rede, e querem eliminar os pedidos de suporte de assistência técnica relacionados com palavras-passe.

O retalhista deve implementar EAP-TLS. Irá implementar uma Autoridade de Certificação (CA) interna e integrá-la com a sua plataforma de MDM. Quando um tablet é preparado, o MDM instala um certificado de cliente exclusivo no dispositivo. O serviço Cloud RADIUS é configurado para autenticar dispositivos com base exclusivamente na presença de um certificado de cliente válido. Se um tablet for comunicado como roubado, a equipa de TI simplesmente revoga esse certificado específico na CA. O serviço Cloud RADIUS, ao verificar a Lista de Revogação de Certificados (CRL) ou via OCSP, irá recusar imediatamente o acesso à rede.

Comentário do Examinador: O EAP-TLS é a escolha ideal neste caso. Fornece o nível mais elevado de segurança e remove completamente as palavras-passe dos utilizadores do fluxo de autenticação, alcançando o objetivo de reduzir os pedidos de suporte de assistência técnica. A capacidade de revogação centralizada é essencial para gerir o risco de hardware roubado num ambiente de retalho distribuído.

Perguntas de Prática

Q1. A sua organização está a migrar de uma PSK partilhada para 802.1X utilizando PEAP-MSCHAPv2. Durante a fase piloto, os utilizadores reportam que conseguem ligar-se, mas uma auditoria de segurança revela que os dispositivos estão a aceitar silenciosamente qualquer certificado de servidor que lhes seja apresentado. Qual é o risco imediato e como deve ser remediado?

Dica: Considere o que acontece se um atacante configurar um ponto de acesso a transmitir o SSID corporativo.

Ver resposta modelo

O risco imediato é um ataque Man-in-the-Middle (MitM) através de um ponto de acesso não autorizado. Um atacante pode transmitir o SSID corporativo, apresentar um certificado autoassinado e recolher credenciais de utilizador enquanto os dispositivos tentam autenticar-se. Para remediar isto, a equipa de TI deve configurar os perfis de suplicante (via MDM ou Política de Grupo) para validar explicitamente o certificado do servidor. Isto envolve especificar a AC de Raiz Confiável exata que emitiu o certificado do servidor RADIUS e definir rigorosamente o nome de anfitrião esperado do servidor.

Q2. Uma filial de retalho remota perdeu a sua ligação à internet. Os pontos de acesso locais continuam ligados. Os dispositivos dos funcionários atualmente ligados à rede 802.1X permanecerão ligados e novos dispositivos conseguirão autenticar-se? Assuma uma arquitetura Cloud RADIUS padrão sem nós de sobrevivência local.

Dica: Pense no caminho que um pedido de autenticação deve percorrer e no estado das portas já autorizadas.

Ver resposta modelo

Os dispositivos que já estão autenticados e ligados permanecerão tipicamente ligados até que o limite de tempo da sessão expire ou que se desliguem, uma vez que a porta do autenticador já se encontra no estado autorizado. No entanto, novos dispositivos que tentem ligar-se, ou dispositivos que tentem reautenticar-se, irão falhar. Como a ligação à internet está inativa, os pontos de acesso não conseguem aceder ao servidor Cloud RADIUS para processar a troca EAP. Isto realça a importância de ligações WAN resilientes ao depender de autenticação baseada na nuvem.

Q3. Precisa de proteger o acesso à rede para uma frota de leitores de códigos de barras antigos num armazém. Estes leitores não suportam suplicantes 802.1X e apenas suportam WPA2-Personal (PSK). Não pode atualizar o hardware. Como integra estes dispositivos numa arquitetura de rede segura juntamente com os seus dispositivos corporativos 802.1X?

Dica: Precisa de uma alternativa ao 802.1X que continue a fornecer controlo de acesso, combinada com isolamento ao nível da rede.

Ver resposta modelo

A abordagem recomendada é utilizar MAC Authentication Bypass (MAB) para os leitores de códigos de barras. O ponto de acesso utilizará o endereço MAC do leitor como identidade e enviá-lo-á para o servidor RADIUS. Como os endereços MAC são facilmente falsificados, isto fornece uma autenticação fraca. Portanto, o servidor RADIUS deve ser configurado para retornar um atributo VLAN específico após a autenticação MAB com sucesso. Esta VLAN deve ser fortemente restringida através de firewalls ou ACLs, permitindo que os leitores comuniquem apenas com os servidores de inventário específicos de que necessitam, e bloqueando qualquer outro acesso lateral à rede.

Continue a ler esta série

Os Benefícios de Segurança do RADIUS as a Service para Equipas de Trabalho Híbridas

Este guia de referência técnica explica como o RADIUS as a Service protege o acesso à rede para equipas de trabalho híbridas em locais distribuídos. Abrange a arquitetura, os benefícios de segurança e as etapas de implementação para substituir a infraestrutura RADIUS local por um serviço de autenticação gerido na nuvem. Para gestores de TI e arquitetos de rede em hotéis, cadeias de retalho, estádios e organizações do setor público, este guia fornece as provas necessárias para avaliar e agir sobre uma migração para RADIUS na nuvem este trimestre.

Ler o guia →

Integrar o RADIUS as a Service com Diretórios Cloud (Azure AD & Google Workspace)

Este guia de referência técnica detalha como integrar o RADIUS as a Service com diretórios cloud - Microsoft Entra ID e Google Workspace - para a autenticação de WiFi empresarial. Abrange a transição arquitetónica de NPS on-premise para RADIUS nativo na nuvem, a implementação de autenticação EAP-TLS baseada em certificados e as melhores práticas operacionais para proteger o acesso sem fios em ambientes de hotelaria, retalho e setor público. Para gestores de TI e arquitetos de rede que já investem em identidade na nuvem, este guia preenche a lacuna entre a gestão de diretórios e a segurança da rede física.

Ler o guia →

O que é Cloud RADIUS? Um Guia Completo para RADIUS-as-a-Service

Este guia completo explora o Cloud RADIUS (RADIUS-as-a-Service), detalhando a sua arquitetura, métodos EAP e estratégias de implementação. Fornece aos líderes de TI perspetivas práticas sobre a migração de servidores locais para um modelo de autenticação baseado na nuvem escalável, seguro e em conformidade.

Ler o guia →