Validação obrigatória de certificado de servidor
Os clientes devem verificar o certificado do servidor RADIUS antes de enviar credenciais. Fecha o ataque 'evil-twin' que afetava as implementações WPA2-Enterprise mal configuradas.
WPA2 e WPA3-Enterprise. WiFi seguro, sem a palavra-passe partilhada.
Implemente WPA2-Enterprise ou WPA3-Enterprise com 802.1X nos seus pontos de acesso existentes. Cada utilizador autentica-se perante o seu fornecedor de identidade, cada dispositivo recebe uma chave de sessão única e o acesso pode ser revogado por dispositivo com um único clique. A Purple opera a infraestrutura de RADIUS e certificados como um serviço na nuvem — você mantém o hardware que já possui.
TL;DR / Key Takeaways
- WPA2 and WPA3-Enterprise offer the highest level of WiFi security, utilizing 802.1X authentication to secure connections.
- Instead of a single pre-shared key (PSK), each user or device authenticates uniquely, preventing lateral movement and shared-password leaks.
- Provides centralized visibility and immediate revocation of access when employees leave or devices are compromised.
- Integrates natively with Identity Providers (IdP) like Microsoft Entra ID, Okta, and Google Workspace for seamless onboarding.
Personal vs. Enterprise — escolha o modo certo
O padrão WPA tem dois modos. WPA-Personal (WPA2-PSK, WPA3-SAE) utiliza uma única palavra-passe partilhada por todos os que se ligam ao SSID. Suficiente para uma casa. WPA-Enterprise autentica cada utilizador ou dispositivo individualmente via 802.1X contra um servidor RADIUS. Necessário para qualquer local que se preocupe com revogação, auditoria ou conformidade.
| WPA-Personal (PSK / SAE) | WPA-Enterprise (802.1X) | |
|---|---|---|
| Credencial | Frase de acesso partilhada | Certificado por utilizador, palavra-passe ou iPSK |
| Infraestrutura | Apenas os pontos de acesso | APs + servidor RADIUS (ou RADIUS-as-a-Service) |
| Revogação | Rodar a frase de acesso de toda a rede | Desativar um utilizador no IdP |
| Registo de auditoria | Nenhum — todos os dispositivos parecem idênticos | Registos de sessão por utilizador |
| Indicado para | Casas, locais pequenos de confiança única | Escritórios, hotéis, campus, estádios, qualquer local regulamentado |
WPA3-Enterprise vs WPA2-Enterprise
O WPA3 não é apenas um WPA2 maior. Quatro alterações são importantes para implementações empresariais.
Tramas de gestão protegidas (PMF)
As tramas de desautenticação e desassociação são assinadas criptograficamente, pelo que os atacantes já não podem desligar os clientes da rede com tramas falsificadas.
Modo Suite B de 192 bits
Modo opcional de alta segurança para governo, defesa e infraestruturas críticas. Criptografia Suite B em todo o processo — troca de chaves, encriptação e MAC.
Retrocompatibilidade
O WPA3-Enterprise pode ser executado em modo de transição no mesmo SSID que o WPA2, pelo que não necessita de uma mudança radical. Os clientes mais recentes negoceiam WPA3; os mais antigos revertem para WPA2-Enterprise.
O fluxo de autenticação 802.1X
Três intervenientes, um handshake. A sequência é a mesma, quer utilize EAP-TLS, PEAP ou EAP-TTLS.
- O suplicante (portátil do cliente, telemóvel, IoT) tenta associar-se.
- O autenticador (ponto de acesso) mantém o cliente numa porta não controlada 802.1X, retransmitindo apenas tramas EAP.
- O suplicante apresenta a sua credencial — um certificado (EAP-TLS), um nome de utilizador + palavra-passe (PEAP) ou um iPSK.
- O servidor de autenticação (RADIUS) valida a credencial perante o fornecedor de identidade.
- O RADIUS responde com
Access-Acceptcom VLAN e política; o AP abre a porta controlada para o segmento correto. - A chave de sessão é derivada do handshake 802.1X — única para este dispositivo, para esta sessão.
Como a Purple implementa o WPA-Enterprise
A Purple opera o RADIUS e (opcionalmente) a autoridade de certificação como serviços na nuvem. Você mantém os seus pontos de acesso existentes.
- Dia 0: Ligue o seu IdP (Entra ID, Okta, Google Workspace). Escolha o método EAP — EAP-TLS para frotas geridas, PEAP para implementações de transição, iPSK para BYOD.
- Dia 1: Aponte a configuração RADIUS dos pontos de acesso para a Purple. Configure o SSID para WPA2 ou WPA3-Enterprise. Envie o perfil de integração via MDM.
- Contínuo: Os utilizadores são provisionados e desprovisionados via SCIM — sem rotações manuais de palavras-passe WiFi. Os certificados renovam-se automaticamente. O SIEM recebe o registo completo de autenticação via webhook.
Cobertura nos produtos Purple
- WiFi para Funcionários: WPA2/3-Enterprise com EAP-TLS para portáteis geridos e PEAP para dispositivos antigos.
- WiFi Multi-inquilino: iPSK num único SSID, com cada inquilino isolado numa Private Area Network.
- WiFi para Convidados: OpenRoaming/Passpoint no SSID público, com WPA3-Enhanced Open como alternativa quando apropriado.
- WiFi sem Palavra-passe: o hub mais abrangente que cobre EAP-TLS, iPSK, Passpoint e SAML.
- RADIUS-as-a-Service: o motor RADIUS na nuvem que autentica cada pedido de ligação.
Perguntas frequentes
O que é o WPA-Enterprise?
O WPA-Enterprise é o modo de segurança IEEE 802.11 concebido para organizações. Em vez de uma única palavra-passe partilhada (WPA-Personal), cada utilizador ou dispositivo autentica-se individualmente contra um servidor RADIUS via 802.1X, normalmente com um certificado (EAP-TLS) ou nome de utilizador e palavra-passe (PEAP). Cada sessão recebe uma chave de encriptação única e o acesso pode ser revogado por dispositivo sem interromper o resto da rede.
Qual é a diferença entre WPA2-Enterprise e WPA3-Enterprise?
O WPA3-Enterprise corrige vulnerabilidades conhecidas no WPA2-Enterprise. As alterações mais importantes: a validação do certificado do servidor é agora obrigatória (fecha o vetor de ataque 'evil-twin' que afetava o WPA2), as tramas de gestão são protegidas e o modo opcional Suite B de 192 bits oferece criptografia de nível de defesa. O WPA3-Enterprise é retrocompatível com o WPA2-Enterprise num modo de transição, para que possa atualizar gradualmente.
Como funciona a autenticação 802.1X?
Estão envolvidas três partes. O suplicante (dispositivo cliente) solicita a ligação. O autenticador (ponto de acesso) mantém o cliente num estado de quarentena e encaminha as suas mensagens EAP para um servidor de autenticação (RADIUS). O servidor RADIUS valida a credencial — certificado, palavra-passe ou token — e indica ao ponto de acesso se deve admitir ou rejeitar. Cada sessão bem-sucedida recebe uma chave de encriptação única derivada da autenticação, pelo que um dispositivo comprometido não pode desencriptar outro.
O que é o EAP-TLS e por que razão é o padrão de excelência?
O EAP-TLS utiliza um handshake TLS com autenticação mútua de certificados. O cliente prova a sua identidade com um certificado de dispositivo, o servidor prova a sua identidade com um certificado de servidor e a chave de sessão é negociada dentro do túnel encriptado. Não existe uma palavra-passe para pescar ou roubar — teria de extrair a chave privada do próprio dispositivo. Para frotas geridas com um MDM, o EAP-TLS é a escolha predefinida correta.
Posso implementar o WPA3-Enterprise nos meus pontos de acesso existentes?
A maioria dos pontos de acesso de nível empresarial lançados a partir de 2020 suporta WPA3-Enterprise no firmware. Normalmente, ativa o WPA3-Enterprise no SSID e mantém o WPA2 como alternativa durante a transição. Os APs mais antigos podem suportar apenas WPA2-Enterprise — estes continuam a ser seguros quando emparelhados com RADIUS na nuvem e EAP-TLS, pelo que raramente é necessária uma atualização total do hardware.
Preciso de executar um servidor RADIUS para utilizar o WPA-Enterprise?
Sim — o WPA-Enterprise é definido em torno de um servidor de autenticação externo, o que na prática significa RADIUS. Pode executá-lo localmente (FreeRADIUS, Microsoft NPS, Cisco ISE) ou consumi-lo como um serviço. O RADIUS-as-a-Service da Purple é a opção alojada na nuvem que a maioria dos clientes escolhe quando não quer operar servidores.
O WPA2-Enterprise ainda é seguro para implementar?
Sim, quando implementado corretamente. Os ataques conhecidos ao WPA2-Enterprise requerem um cliente mal configurado (sem validação de certificado de servidor, que é o que o WPA3 torna obrigatório) ou acesso físico a um dispositivo. Aplicar a validação do certificado do servidor via MDM e utilizar EAP-TLS elimina os riscos práticos. O WPA3-Enterprise continua a ser preferível para o futuro, mas não há razão para migrar em pânico uma implementação WPA2-Enterprise funcional.
Como lidar com dispositivos que não suportam 802.1X?
Duas boas opções. Primeiro, o iPSK (Identity PSK) atribui a cada dispositivo uma chave pré-partilhada única num único SSID — a experiência de utilizador do WPA-Personal, com a revogação por dispositivo do WPA-Enterprise. Segundo, o MAC Authentication Bypass (MAB) admite endereços MAC conhecidos numa VLAN restrita. A Purple suporta ambos juntamente com WPA2/3-Enterprise na mesma rede.
WPA-Enterprise for your industry
See how wpa-enterprise works in venues like yours, and how Purple compares to alternatives.
WiFi seguro, nos pontos de acesso que já possui
A Purple sobrepõe WPA2/3-Enterprise, RADIUS na nuvem e certificados geridos sobre Cisco, Aruba, Ruckus, Juniper Mist, Meraki ou Ubiquiti. Operacional em poucos dias.