{"id":3596,"date":"2025-11-12T10:34:23","date_gmt":"2025-11-12T15:34:23","guid":{"rendered":"https:\/\/www.tracenetsolutions.com\/?p=3596"},"modified":"2025-11-12T10:34:23","modified_gmt":"2025-11-12T15:34:23","slug":"protocolo-radius-autenticacao-autorizacao-e-contabilidade","status":"publish","type":"post","link":"https:\/\/www.tracenetsolutions.com\/pt\/2025\/11\/12\/protocolo-radius-autenticacao-autorizacao-e-contabilidade\/","title":{"rendered":"Protocolo RADIUS: Autentica\u00e7\u00e3o, Autoriza\u00e7\u00e3o e Contabilidade"},"content":{"rendered":"<p><span style=\"font-weight: 400;\">O <\/span><b>Protocolo RADIUS (Remote Authentication Dial-In User Service)<\/b><span style=\"font-weight: 400;\"> \u00e9 hoje um dos pilares da seguran\u00e7a de rede corporativa, especialmente em um cen\u00e1rio onde a <\/span><b>superf\u00edcie de ataque se expande exponencialmente<\/b><span style=\"font-weight: 400;\"> com o avan\u00e7o do trabalho h\u00edbrido, da prolifera\u00e7\u00e3o de dispositivos IoT e da migra\u00e7\u00e3o para a nuvem.\u00a0 <\/span><span style=\"font-weight: 400;\">A seguran\u00e7a moderna j\u00e1 n\u00e3o pode depender de per\u00edmetros fixos. \u00c9 essencial saber <\/span><b>quem est\u00e1 acessando a rede, de onde e com quais permiss\u00f5es<\/b><span style=\"font-weight: 400;\">, princ\u00edpios centrais do modelo <\/span><b>Zero Trust<\/b><span style=\"font-weight: 400;\">.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">H\u00e1 mais de tr\u00eas d\u00e9cadas, o RADIUS tem sido o padr\u00e3o que resolve esse desafio, atuando como a ponte entre as credenciais do usu\u00e1rio (ou dispositivo) e as pol\u00edticas de seguran\u00e7a da organiza\u00e7\u00e3o. Sem um Servidor RADIUS robusto, a gest\u00e3o de acesso torna-se fragmentada, inconsistente e vulner\u00e1vel.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Neste guia completo, n\u00f3s da <\/span><b>Tracenet Solutions<\/b><span style=\"font-weight: 400;\"> explicaremos como o <\/span><b>Protocolo RADIUS<\/b><span style=\"font-weight: 400;\"> se consolidou como o n\u00facleo do <\/span><b>Network Access Control (NAC)<\/b><span style=\"font-weight: 400;\">. Al\u00e9m disso, vamos apresentar as melhores pr\u00e1ticas para implement\u00e1-lo com seguran\u00e7a &#8211; desde a <\/span><b>centraliza\u00e7\u00e3o AAA<\/b><span style=\"font-weight: 400;\"> at\u00e9 as <\/span><b>integra\u00e7\u00f5es com EAP-TLS e MFA<\/b><span style=\"font-weight: 400;\">.<\/span><\/p>\n<h1><b>O que \u00e9 o Protocolo RADIUS? O pilar do Controle de Acesso de Rede (NAC)<\/b><\/h1>\n<p><span style=\"font-weight: 400;\">Esse protocolo \u00e9 respons\u00e1vel por controlar o acesso \u00e0 rede em praticamente todo ambiente que exige seguran\u00e7a e rastreabilidade: corpora\u00e7\u00f5es, hospitais, hot\u00e9is e institui\u00e7\u00f5es educacionais. <\/span><span style=\"font-weight: 400;\">Desde sua concep\u00e7\u00e3o, no in\u00edcio dos anos 1990, o RADIUS evoluiu de uma solu\u00e7\u00e3o para conex\u00f5es discadas (dial-up) para se tornar o <\/span><b>padr\u00e3o global (RFCs 2865 e 2866)<\/b><span style=\"font-weight: 400;\"> para <\/span><b>Autentica\u00e7\u00e3o, Autoriza\u00e7\u00e3o e Contabilidade de usu\u00e1rios (AAA)<\/b><span style=\"font-weight: 400;\">.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Hoje, ele \u00e9 o alicerce <\/span><b>fundamental para arquiteturas de seguran\u00e7a modernas<\/b><span style=\"font-weight: 400;\">, <\/span><b>atuando em conjunto com o padr\u00e3o<\/b> <b>IEEE 802.1X<\/b><span style=\"font-weight: 400;\"> e o <\/span><b>EAP (Extensible Authentication Protocol).<\/b><\/p>\n<h2><b>Fundamentos do Protocolo RADIUS: a tr\u00edade AAA e a centraliza\u00e7\u00e3o de pol\u00edticas<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">O RADIUS foi desenvolvido com o objetivo de <\/span><b>centralizar a gest\u00e3o de acesso<\/b><span style=\"font-weight: 400;\">, substituindo a autentica\u00e7\u00e3o local (e redundante) em cada dispositivo de rede por uma pol\u00edtica unificada em um Servidor RADIUS centralizado. Esse modelo n\u00e3o apenas garante consist\u00eancia, mas tamb\u00e9m oferece a escalabilidade exigida por redes em crescimento. <\/span><\/p>\n<p><span style=\"font-weight: 400;\">O poder do RADIUS reside na implementa\u00e7\u00e3o do modelo AAA (Authentication, Authorization, Accounting), <\/span><b>essencial para qualquer estrat\u00e9gia de Network Access Control (NAC) e Zero Trust.<\/b><\/p>\n<h3><b>O que \u00e9 o Modelo AAA e como funciona dentro desse protocolo?<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Trata-se da estrutura de seguran\u00e7a que gerencia o ciclo de vida do acesso \u00e0 rede em tr\u00eas etapas distintas:<\/span><\/p>\n<h4><b>1. Autentica\u00e7\u00e3o (Authentication)<\/b><\/h4>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Defini\u00e7\u00e3o:<\/b><span style=\"font-weight: 400;\"> a confirma\u00e7\u00e3o da identidade do usu\u00e1rio ou dispositivo (IoT, m\u00e1quina) atrav\u00e9s de credenciais.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Mecanismo RADIUS:<\/b><span style=\"font-weight: 400;\"> o <\/span><b>Servidor RADIUS<\/b><span style=\"font-weight: 400;\"> atua como <\/span><i><span style=\"font-weight: 400;\">proxy<\/span><\/i><span style=\"font-weight: 400;\">, integrando-se a fontes de identidade externas, como <\/span><b>Active Directory (AD), LDAP, certificados digitais, tokens MFA<\/b><span style=\"font-weight: 400;\"> ou bancos de dados internos.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Benef\u00edcio:<\/b><span style=\"font-weight: 400;\"> evita a duplica\u00e7\u00e3o de contas e consolida a autentica\u00e7\u00e3o em um \u00fanico ponto de pol\u00edtica.<\/span><\/li>\n<\/ul>\n<h4><b>2. Autoriza\u00e7\u00e3o (Authorization)<\/b><\/h4>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Defini\u00e7\u00e3o:<\/b><span style=\"font-weight: 400;\"> a determina\u00e7\u00e3o detalhada dos recursos que o usu\u00e1rio ou dispositivo autenticado est\u00e1 autorizado a acessar.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Mecanismo RADIUS:<\/b><span style=\"font-weight: 400;\"> o servidor decide as permiss\u00f5es de acesso e as comunica ao dispositivo de rede (NAS) atrav\u00e9s dos <\/span><b>Atributos RADIUS<\/b><span style=\"font-weight: 400;\">.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Foco Avan\u00e7ado:<\/b><span style=\"font-weight: 400;\"> atributos como <\/span><span style=\"font-weight: 400;\">Tunnel-Private-Group-ID<\/span><span style=\"font-weight: 400;\"> (para <\/span><b>Dynamic VLAN Assignment &#8211; DVA<\/b><span style=\"font-weight: 400;\">) e os <\/span><b>Vendor-Specific Attributes (VSAs)<\/b><span style=\"font-weight: 400;\"> permitem a microsegmenta\u00e7\u00e3o e a aplica\u00e7\u00e3o de pol\u00edticas granulares, como largura de banda, hor\u00e1rios de acesso e regras de Qualidade de Servi\u00e7o (QoS).<\/span><\/li>\n<\/ul>\n<h4><b>3. Contabilidade (Accounting)<\/b><\/h4>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Defini\u00e7\u00e3o:<\/b><span style=\"font-weight: 400;\"> o registro e o monitoramento detalhado de cada sess\u00e3o de acesso.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Mecanismo RADIUS:<\/b><span style=\"font-weight: 400;\"> pacotes <\/span><i><span style=\"font-weight: 400;\">Accounting-Request<\/span><\/i><span style=\"font-weight: 400;\"> (Start, Stop, Interim) registram informa\u00e7\u00f5es cruciais, como: hor\u00e1rios de login\/logout, dura\u00e7\u00e3o da sess\u00e3o, volume de dados transferidos e recursos utilizados.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Foco Avan\u00e7ado:<\/b><span style=\"font-weight: 400;\"> este registro \u00e9 vital para <\/span><b>auditoria, conformidade (LGPD, ISO 27001), relat\u00f3rios de uso e rastreabilidade<\/b><span style=\"font-weight: 400;\"> completa das atividades, fortalecendo a governan\u00e7a e a detec\u00e7\u00e3o de anomalias.<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">\ud83d\udcdd <\/span><b>Diferencial:<\/b><span style=\"font-weight: 400;\"> a abordagem centralizada do <\/span><b>Protocolo RADIUS<\/b><span style=\"font-weight: 400;\"> garante que o acesso \u00e0 rede seja concedido com base no princ\u00edpio de &#8220;m\u00ednimo privil\u00e9gio&#8221; e constantemente reavaliado.<\/span><\/p>\n<h5><b>Arquitetura, fluxo e mecanismos de comunica\u00e7\u00e3o do servidor RADIUS<\/b><\/h5>\n<table>\n<tbody>\n<tr>\n<td><b>Papel<\/b><\/td>\n<td><b>Descri\u00e7\u00e3o<\/b><\/td>\n<td><b>Exemplo<\/b><\/td>\n<\/tr>\n<tr>\n<td><b>Supplicant (Requerente)<\/b><\/td>\n<td><span style=\"font-weight: 400;\">O usu\u00e1rio, dispositivo ou aplicativo que solicita acesso \u00e0 rede.<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Um laptop, smartphone ou impressora IoT.<\/span><\/td>\n<\/tr>\n<tr>\n<td><b>NAS (Network Access Server) &#8211; Cliente RADIUS<\/b><\/td>\n<td><span style=\"font-weight: 400;\">O equipamento de rede que atua como porta de acesso e intermedi\u00e1rio.<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Um Access Point Wi-Fi, um switch 802.1X, ou um concentrador VPN.<\/span><\/td>\n<\/tr>\n<tr>\n<td><b>Servidor RADIUS (Autenticador)<\/b><\/td>\n<td><span style=\"font-weight: 400;\">O sistema que valida credenciais, consulta bases de dados, aplica pol\u00edticas AAA e retorna a decis\u00e3o de acesso.<\/span><\/td>\n<td><span style=\"font-weight: 400;\">FreeRADIUS, Microsoft NPS, Cisco ISE.<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3><b>Protocolo de transporte e seguran\u00e7a da comunica\u00e7\u00e3o<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">O RADIUS utiliza o protocolo <\/span><b>UDP (User Datagram Protocol)<\/b><span style=\"font-weight: 400;\">, com as portas padr\u00e3o:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Porta 1812:<\/b><span style=\"font-weight: 400;\"> Padr\u00e3o para pacotes de <\/span><b>Autentica\u00e7\u00e3o e Autoriza\u00e7\u00e3o<\/b><span style=\"font-weight: 400;\">.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Porta 1813:<\/b><span style=\"font-weight: 400;\"> Padr\u00e3o para pacotes de <\/span><b>Contabilidade (Accounting)<\/b><span style=\"font-weight: 400;\">.<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">A seguran\u00e7a tradicional entre o NAS (Cliente) e o <\/span><b>Servidor RADIUS<\/b><span style=\"font-weight: 400;\"> \u00e9 baseada em um <\/span><b>Shared Secret (Segredo Compartilhado)<\/b><span style=\"font-weight: 400;\">, usado para assinatura de pacotes e ofusca\u00e7\u00e3o da senha do usu\u00e1rio.<\/span><\/p>\n<h4><b>Portanto, qual \u00e9 o fluxo de comunica\u00e7\u00e3o detalhado do RADIUS Protocol?<\/b><\/h4>\n<ol>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Solicita\u00e7\u00e3o do Supplicant:<\/b><span style=\"font-weight: 400;\"> O usu\u00e1rio\/dispositivo envia suas credenciais para o NAS.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Encaminhamento (Access-Request):<\/b><span style=\"font-weight: 400;\"> O NAS encapsula a solicita\u00e7\u00e3o em um pacote RADIUS, criptografa a senha com base no <\/span><i><span style=\"font-weight: 400;\">Shared Secret<\/span><\/i><span style=\"font-weight: 400;\"> e a envia via UDP (porta 1812) para o Servidor RADIUS.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Valida\u00e7\u00e3o AAA:<\/b><span style=\"font-weight: 400;\"> O <\/span><b>Servidor RADIUS<\/b><span style=\"font-weight: 400;\"> consulta suas bases de identidade (AD\/LDAP), verifica a autentica\u00e7\u00e3o e, simultaneamente, aplica as pol\u00edticas de autoriza\u00e7\u00e3o definidas.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Resposta do Servidor:<\/b><span style=\"font-weight: 400;\"> O Servidor RADIUS envia um dos seguintes pacotes: <\/span><b>Access-Accept<\/b><span style=\"font-weight: 400;\">, <\/span><b>Access-Reject<\/b><span style=\"font-weight: 400;\"> ou <\/span><b>Access-Challenge<\/b><span style=\"font-weight: 400;\">.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Acesso e Contabilidade (Accounting):<\/b><span style=\"font-weight: 400;\"> Se aceito, o NAS concede o acesso e envia um <\/span><i><span style=\"font-weight: 400;\">Accounting-Start<\/span><\/i><span style=\"font-weight: 400;\"> (porta 1813). Ao fim da sess\u00e3o, envia um <\/span><i><span style=\"font-weight: 400;\">Accounting-Stop<\/span><\/i><span style=\"font-weight: 400;\">.<\/span><\/li>\n<\/ol>\n<h3><b>802.1X e EAP:\u00a0 indissoci\u00e1vel base da autentica\u00e7\u00e3o moderna<\/b><\/h3>\n<figure id=\"attachment_3597\" aria-describedby=\"caption-attachment-3597\" style=\"width: 1421px\" class=\"wp-caption alignnone\"><img fetchpriority=\"high\" decoding=\"async\" class=\"wp-image-3597\" src=\"https:\/\/www.tracenetsolutions.com\/wp-content\/uploads\/2025\/11\/image2.png\" alt=\"PROTOCOLO RADIUS\" width=\"1421\" height=\"555\" srcset=\"https:\/\/www.tracenetsolutions.com\/wp-content\/uploads\/2025\/11\/image2.png 1173w, https:\/\/www.tracenetsolutions.com\/wp-content\/uploads\/2025\/11\/image2-300x117.png 300w, https:\/\/www.tracenetsolutions.com\/wp-content\/uploads\/2025\/11\/image2-1024x400.png 1024w, https:\/\/www.tracenetsolutions.com\/wp-content\/uploads\/2025\/11\/image2-768x300.png 768w, https:\/\/www.tracenetsolutions.com\/wp-content\/uploads\/2025\/11\/image2-18x7.png 18w\" sizes=\"(max-width: 1421px) 100vw, 1421px\" \/><figcaption id=\"caption-attachment-3597\" class=\"wp-caption-text\">Fonte: <a href=\"https:\/\/www.cloudradius.com\/the-stages-of-802-1x-authentication\/\" target=\"_blank\" rel=\"noopener\">Cloud Radius<\/a><\/figcaption><\/figure>\n<p><span style=\"font-weight: 400;\">O RADIUS \u00e9 o motor do <\/span><b>IEEE 802.1X<\/b><span style=\"font-weight: 400;\">, o padr\u00e3o de controle de acesso \u00e0 porta <\/span><b>usado em redes cabeadas e Wi-Fi Empresarial (WPA2\/3-Enterprise).<\/b><\/p>\n<p><span style=\"font-weight: 400;\">O <\/span><b>EAP (Extensible Authentication Protocol)<\/b><span style=\"font-weight: 400;\"> \u00e9 o framework que define <\/span><b>como a autentica\u00e7\u00e3o ser\u00e1 realizada <\/b><span style=\"font-weight: 400;\">dentro do t\u00fanel RADIUS.<\/span><\/p>\n<table>\n<tbody>\n<tr>\n<td><b>M\u00e9todo EAP<\/b><\/td>\n<td><b>Destaque de Seguran\u00e7a<\/b><\/td>\n<td><b>N\u00edvel de Seguran\u00e7a<\/b><\/td>\n<\/tr>\n<tr>\n<td><b>PEAP-MSCHAPv2<\/b><\/td>\n<td><span style=\"font-weight: 400;\">Baseado em usu\u00e1rio\/senha com tunelamento TLS.<\/span><\/td>\n<td><b>Moderado<\/b><span style=\"font-weight: 400;\">. Vulner\u00e1vel se a senha for fraca.<\/span><\/td>\n<\/tr>\n<tr>\n<td><b>EAP-TLS<\/b><\/td>\n<td><span style=\"font-weight: 400;\">Utiliza <\/span><b>certificados digitais<\/b><span style=\"font-weight: 400;\"> (cliente e servidor) com autentica\u00e7\u00e3o m\u00fatua. <\/span><b>Elimina o uso de senhas.<\/b><\/td>\n<td><b>Alto\/Recomendado<\/b><span style=\"font-weight: 400;\">. Resistente a ataques Man-in-the-Middle.<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><b>Recomenda\u00e7\u00e3o:<\/b><span style=\"font-weight: 400;\"> a migra\u00e7\u00e3o para o <\/span><b>EAP-TLS<\/b><span style=\"font-weight: 400;\"> \u00e9 a principal estrat\u00e9gia de seguran\u00e7a, pois facilita a autentica\u00e7\u00e3o de m\u00e1quinas (<\/span><i><span style=\"font-weight: 400;\">Machine Authentication<\/span><\/i><span style=\"font-weight: 400;\">) em ambientes <\/span><a href=\"https:\/\/www.tracenetsolutions.com\/pt\/2024\/02\/20\/zero-trust-conheca-o-futuro-da-seguranca-cibernetica\/\" target=\"_blank\" rel=\"noopener\"><b>Zero Trust<\/b><\/a><span style=\"font-weight: 400;\">.<\/span><\/p>\n<h3><b>Autoriza\u00e7\u00e3o din\u00e2mica e microsegmenta\u00e7\u00e3o: o poder dos atributos RADIUS<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Al\u00e9m de apenas dizer &#8220;Sim&#8221; ou &#8220;N\u00e3o&#8221; ao acesso, o RADIUS \u00e9 um motor de segmenta\u00e7\u00e3o e automa\u00e7\u00e3o.<\/span><\/p>\n<h4><b>1. Dynamic VLAN Assignment (DVA)<\/b><\/h4>\n<p><span style=\"font-weight: 400;\">O DVA permite que o <\/span><b>Servidor RADIUS coloque o usu\u00e1rio ou dispositivo na VLAN correta automaticamente<\/b><span style=\"font-weight: 400;\"> com base em seu perfil ou grupo do Active Directory.<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Mecanismo:<\/b><span style=\"font-weight: 400;\"> o servidor RADIUS envia o ID da VLAN dentro dos atributos <\/span><span style=\"font-weight: 400;\">Tunnel-Type<\/span><span style=\"font-weight: 400;\"> e <\/span><span style=\"font-weight: 400;\">Tunnel-Private-Group-ID<\/span><span style=\"font-weight: 400;\"> do pacote <\/span><i><span style=\"font-weight: 400;\">Access-Accept<\/span><\/i><span style=\"font-weight: 400;\">.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Benef\u00edcio:<\/b><span style=\"font-weight: 400;\"> essencial para o <\/span><b>isolamento l\u00f3gico multi-tenant<\/b><span style=\"font-weight: 400;\"> em coworkings, hot\u00e9is e universidades.<\/span><\/li>\n<\/ul>\n<h4><b>2. Vendor-Specific Attributes (VSAs)<\/b><\/h4>\n<p><span style=\"font-weight: 400;\">Os VSAs permitem que os fabricantes de equipamentos (Cisco, Aruba, Juniper, etc.) insiram atributos propriet\u00e1rios.<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Vantagem:<\/b><span style=\"font-weight: 400;\"> o VSA permite que a pol\u00edtica de seguran\u00e7a mais avan\u00e7ada (regras de firewall din\u00e2mico, QoS) seja definida e gerenciada no <\/span><b>Servidor RADIUS central<\/b><span style=\"font-weight: 400;\">.<\/span><\/li>\n<\/ul>\n<h3><b>RADIUS e seguran\u00e7a contempor\u00e2nea: MFA, IoT e Cloud<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Com a expans\u00e3o das redes, o papel do Servidor RADIUS foi estendido para suportar tecnologias de seguran\u00e7a mais sofisticadas.<\/span><\/p>\n<h4><b>1. Multi-Factor Authentication (MFA) com o Protocolo RADIUS<\/b><\/h4>\n<p><span style=\"font-weight: 400;\">O RADIUS se adapta ao MFA atrav\u00e9s:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Access-Challenge:<\/b><span style=\"font-weight: 400;\"> o fluxo do RADIUS pode solicitar um segundo fator de autentica\u00e7\u00e3o (c\u00f3digo do token).<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Integra\u00e7\u00e3o de proxies:<\/b><span style=\"font-weight: 400;\"> solu\u00e7\u00f5es de MFA na nuvem atuam como um <\/span><b>RADIUS Proxy<\/b><span style=\"font-weight: 400;\">, validando o primeiro fator (senha) e intermediando o desafio do segundo fator (app push).<\/span><\/li>\n<\/ul>\n<h4><b>2. Autentica\u00e7\u00e3o de dispositivos IoT e m\u00e1quinas (Machine Authentication)<\/b><\/h4>\n<p><span style=\"font-weight: 400;\">O RADIUS, via <\/span><b>EAP-TLS<\/b><span style=\"font-weight: 400;\">, permite:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Identidade forte para m\u00e1quinas:<\/b><span style=\"font-weight: 400;\"> cada dispositivo (IoT, impressoras) recebe um certificado digital \u00fanico. O Servidor RADIUS valida esse certificado, garantindo que apenas dispositivos corporativos e conhecidos tenham acesso.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Segmenta\u00e7\u00e3o autom\u00e1tica:<\/b><span style=\"font-weight: 400;\"> dispositivos IoT podem ser isolados em uma VLAN separada (via DVA), limitando seu potencial de causar danos em caso de comprometimento.<\/span><\/li>\n<\/ul>\n<h4><b>3. RADIUS na Nuvem (Cloud RADIUS)<\/b><\/h4>\n<p><span style=\"font-weight: 400;\">Solu\u00e7\u00f5es de <\/span><b>Cloud RADIUS<\/b><span style=\"font-weight: 400;\"> ou <\/span><b>RADIUS as a Service (RaaS)<\/b><span style=\"font-weight: 400;\"> simplificam a opera\u00e7\u00e3o:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Escalabilidade e alta disponibilidade:<\/b><span style=\"font-weight: 400;\"> a infraestrutura de autentica\u00e7\u00e3o \u00e9 gerenciada por um provedor.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Integra\u00e7\u00e3o de identidade na nuvem:<\/b><span style=\"font-weight: 400;\"> facilita a integra\u00e7\u00e3o com diret\u00f3rios baseados na nuvem, como <\/span><b>Azure Active Directory (AAD)<\/b><span style=\"font-weight: 400;\">.<\/span><\/li>\n<\/ul>\n<h5><span style=\"font-weight: 400;\">Seguran\u00e7a e vulnerabilidades hist\u00f3ricas: a evolu\u00e7\u00e3o da prote\u00e7\u00e3o<\/span><\/h5>\n<p><span style=\"font-weight: 400;\">O RADIUS carrega limita\u00e7\u00f5es hist\u00f3ricas que precisam ser mitigadas, como o uso do hash MD5 para ofusca\u00e7\u00e3o de senhas.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">A vulnerabilidade <\/span><b>Blast-RADIUS (CVE-2024-3596)<\/b><span style=\"font-weight: 400;\"> exp\u00f4s uma falha que permite a manipula\u00e7\u00e3o de pacotes para transformar <\/span><i><span style=\"font-weight: 400;\">Access-Reject<\/span><\/i><span style=\"font-weight: 400;\"> em <\/span><i><span style=\"font-weight: 400;\">Access-Accept<\/span><\/i><span style=\"font-weight: 400;\">. As mitiga\u00e7\u00f5es s\u00e3o obrigat\u00f3rias:<\/span><\/p>\n<ol>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Utilizar o Atributo Message-Authenticator (RFC 3579):<\/b><span style=\"font-weight: 400;\"> adiciona uma <\/span><i><span style=\"font-weight: 400;\">Integrity Check Value (ICV)<\/span><\/i><span style=\"font-weight: 400;\"> que garante a integridade de <\/span><i><span style=\"font-weight: 400;\">todo<\/span><\/i><span style=\"font-weight: 400;\"> o pacote RADIUS. <\/span><b>\u00c9 uma defesa essencial.<\/b><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Migrar para EAP-TLS:<\/b><span style=\"font-weight: 400;\"> eliminar o uso de senhas.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Shared-Secrets fortes:<\/b><span style=\"font-weight: 400;\"> adotar <\/span><i><span style=\"font-weight: 400;\">Shared Secrets<\/span><\/i><span style=\"font-weight: 400;\"> complexos com mais de 20 caracteres.<\/span><\/li>\n<\/ol>\n<h3><b>Diagn\u00f3stico e Troubleshooting Avan\u00e7ado (Portas e Atributos)<\/b><\/h3>\n<table>\n<tbody>\n<tr>\n<td><b>Sintoma Comum<\/b><\/td>\n<td><b>Poss\u00edvel Causa\/Diagn\u00f3stico<\/b><\/td>\n<td><b>Resolu\u00e7\u00e3o pela Tracenet Solutions<\/b><\/td>\n<\/tr>\n<tr>\n<td><b>Nenhuma resposta do Servidor<\/b><\/td>\n<td><span style=\"font-weight: 400;\">Firewall bloqueando portas UDP 1812\/1813.<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Verificar logs de firewall e a rota de tr\u00e1fego entre NAS e Servidor RADIUS.<\/span><\/td>\n<\/tr>\n<tr>\n<td><b>&#8220;Access-Reject&#8221; Inesperado<\/b><\/td>\n<td><span style=\"font-weight: 400;\">Shared Secret incorreto ou NAS n\u00e3o cadastrado.<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Revalidar e reconfigurar o <\/span><b>Shared Secret<\/b><span style=\"font-weight: 400;\">.<\/span><\/td>\n<\/tr>\n<tr>\n<td><b>Autentica, mas cai na VLAN errada<\/b><\/td>\n<td><span style=\"font-weight: 400;\">Atributos de Autoriza\u00e7\u00e3o (DVA) n\u00e3o est\u00e3o sendo enviados.<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Validar os <\/span><b>Vendor-Specific Attributes (VSAs)<\/b><span style=\"font-weight: 400;\"> no Servidor RADIUS e verificar a compatibilidade do NAS.<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h4><b>RFC 3576: O poder das mensagens de desconex\u00e3o (CoA\/PoD)<\/b><\/h4>\n<p><span style=\"font-weight: 400;\">O RFC 3576 define o uso de mensagens de controle fora de banda que permitem ao Servidor RADIUS gerenciar sess\u00f5es ativas:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Change of Authorization (CoA):<\/b><span style=\"font-weight: 400;\"> permite alterar as permiss\u00f5es de um usu\u00e1rio <\/span><b>durante a sess\u00e3o<\/b><span style=\"font-weight: 400;\"> (ex: mudar a VLAN).<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Packet of Disconnect (PoD):<\/b><span style=\"font-weight: 400;\"> permite que o servidor encerre a sess\u00e3o de um usu\u00e1rio imediatamente (usado para revoga\u00e7\u00e3o instant\u00e2nea de acesso).<\/span><\/li>\n<\/ul>\n<h3><b>Aplica\u00e7\u00f5es pr\u00e1ticas do RADIUS em projetos corporativos<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Al\u00e9m de sua fun\u00e7\u00e3o t\u00e9cnica, o RADIUS \u00e9 amplamente utilizado como <\/span><b>componente central em projetos de controle de acesso modernos<\/b><span style=\"font-weight: 400;\">. Duas das aplica\u00e7\u00f5es mais recorrentes s\u00e3o em <\/span><b>NAC (Network Access Control com 802.1X)<\/b><span style=\"font-weight: 400;\"> e <\/span><b>Captive Portal (Wi-Fi com autentica\u00e7\u00e3o)<\/b><span style=\"font-weight: 400;\">.<\/span><\/p>\n<h4><b>1. Projetos de NAC (Network Access Control com 802.1X)<\/b><\/h4>\n<p><span style=\"font-weight: 400;\">O RADIUS \u00e9 o c\u00e9rebro do NAC. O 802.1X define como o dispositivo solicita acesso \u00e0 rede, enquanto o RADIUS valida credenciais e aplica pol\u00edticas de autoriza\u00e7\u00e3o baseadas em identidade.<\/span><\/p>\n<p><b>Em uma arquitetura t\u00edpica:<\/b><\/p>\n<ol>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Dispositivo solicita acesso via 802.1X.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">NAS encaminha ao Servidor RADIUS.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">RADIUS autentica no AD\/LDAP e decide o n\u00edvel de acesso.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">A VLAN e as permiss\u00f5es s\u00e3o aplicadas dinamicamente.<\/span><\/li>\n<\/ol>\n<p><span style=\"font-weight: 400;\">Al\u00e9m disso, a microsegmenta\u00e7\u00e3o via <\/span><b>DVA<\/b><span style=\"font-weight: 400;\"> e <\/span><b>VSAs<\/b><span style=\"font-weight: 400;\"> torna o NAC mais inteligente, permitindo pol\u00edticas adapt\u00e1veis e isolando usu\u00e1rios automaticamente em suas VLANs.<\/span><\/p>\n<h4><b>2. Projetos de Captive Portal (Wi-Fi com autentica\u00e7\u00e3o)<\/b><\/h4>\n<p><span style=\"font-weight: 400;\">Em redes Wi-Fi corporativas, o Captive Portal funciona como a camada visual de login. Quando o usu\u00e1rio insere suas credenciais, o portal envia os dados ao Servidor RADIUS, que autentica e autoriza o acesso.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Esse modelo traz:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Controle centralizado e auditoria de logins;<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Seguran\u00e7a refor\u00e7ada antes do acesso \u00e0 internet;<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Integra\u00e7\u00e3o com AD\/LDAP;<\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\">Personaliza\u00e7\u00e3o da experi\u00eancia do usu\u00e1rio com a identidade da empresa.<\/span><\/li>\n<\/ul>\n<h5><b>Por que incluir o RADIUS nesses projetos \u00e9 essencial?<\/b><\/h5>\n<p><span style=\"font-weight: 400;\">Tanto em <\/span><b>projetos de NAC<\/b><span style=\"font-weight: 400;\"> quanto de <\/span><b>Captive Portal<\/b><span style=\"font-weight: 400;\">, o RADIUS atua como o <\/span><b>n\u00facleo de confian\u00e7a<\/b><span style=\"font-weight: 400;\"> que integra:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Usu\u00e1rio\/dispositivo (Supplicant);<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Equipamento de rede (NAS);<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Diret\u00f3rio de identidade (AD, LDAP, certificados);<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Pol\u00edticas centralizadas de seguran\u00e7a.<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Essa integra\u00e7\u00e3o \u00e9 a base de uma arquitetura <\/span><b>Zero Trust<\/b><span style=\"font-weight: 400;\">, onde <\/span><b>nenhum acesso ocorre sem autentica\u00e7\u00e3o forte, autoriza\u00e7\u00e3o granular e registro completo<\/b><span style=\"font-weight: 400;\">.<\/span><\/p>\n<h6><b><i>Conclus\u00e3o: O RADIUS como n\u00facleo de seguran\u00e7a e conformidade<\/i><\/b><\/h6>\n<p><span style=\"font-weight: 400;\">O Protocolo RADIUS \u00e9 o n\u00facleo do <\/span><b>controle de acesso centralizado<\/b><span style=\"font-weight: 400;\"> que garante a integridade, a escalabilidade e a visibilidade sobre quem acessa a rede e como o faz.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Para uma implementa\u00e7\u00e3o moderna, segura e alinhada \u00e0s melhores pr\u00e1ticas de Zero Trust, recomendamos priorizar:<\/span><\/p>\n<ol>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>EAP-TLS:<\/b><span style=\"font-weight: 400;\"> para autentica\u00e7\u00e3o m\u00fatua e elimina\u00e7\u00e3o da vulnerabilidade de senhas.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Autoriza\u00e7\u00e3o Din\u00e2mica (DVA\/VSAs):<\/b><span style=\"font-weight: 400;\"> para microsegmenta\u00e7\u00e3o automatizada de usu\u00e1rios e dispositivos.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Message-Authenticator (RFC 3579): <\/b><span style=\"font-weight: 400;\">para garantir a integridade de todos os pacotes.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Integra\u00e7\u00e3o Centralizada:<\/b><span style=\"font-weight: 400;\"> unificar pol\u00edticas e logs com o Active Directory e sistemas de SIEM.<\/span><\/li>\n<\/ol>\n<p><span style=\"font-weight: 400;\">Com uma configura\u00e7\u00e3o adequada e as camadas de prote\u00e7\u00e3o atualizadas, o RADIUS continua sendo o padr\u00e3o de ouro para controle de acesso corporativo e uma pe\u00e7a central nas <\/span><b>estrat\u00e9gias de<\/b> <b>Network Access Control (NAC)<\/b><span style=\"font-weight: 400;\"> e <\/span><b>Zero Trust<\/b><span style=\"font-weight: 400;\">.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Gostaria de agendar uma consultoria com a Tracenet Solutions para avaliar a seguran\u00e7a de seu servidor RADIUS atual e planejar uma migra\u00e7\u00e3o para o EAP-TLS e o Zero Trust? <\/span><b>Entre em contato com um de nossos consultores!<\/b><\/p>","protected":false},"excerpt":{"rendered":"<p>O Protocolo RADIUS (Remote Authentication Dial-In User Service) \u00e9 hoje um dos pilares da seguran\u00e7a de rede corporativa, especialmente em um cen\u00e1rio onde a superf\u00edcie de ataque se expande exponencialmente com o avan\u00e7o do trabalho h\u00edbrido, da prolifera\u00e7\u00e3o de dispositivos IoT e da migra\u00e7\u00e3o para a nuvem.\u00a0 A seguran\u00e7a moderna j\u00e1 n\u00e3o pode depender de [&hellip;]<\/p>\n","protected":false},"author":8,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[35,43],"tags":[],"class_list":["post-3596","post","type-post","status-publish","format-standard","hentry","category-portugues","category-tecnology-pt"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.tracenetsolutions.com\/pt\/wp-json\/wp\/v2\/posts\/3596","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.tracenetsolutions.com\/pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.tracenetsolutions.com\/pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.tracenetsolutions.com\/pt\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/www.tracenetsolutions.com\/pt\/wp-json\/wp\/v2\/comments?post=3596"}],"version-history":[{"count":1,"href":"https:\/\/www.tracenetsolutions.com\/pt\/wp-json\/wp\/v2\/posts\/3596\/revisions"}],"predecessor-version":[{"id":3598,"href":"https:\/\/www.tracenetsolutions.com\/pt\/wp-json\/wp\/v2\/posts\/3596\/revisions\/3598"}],"wp:attachment":[{"href":"https:\/\/www.tracenetsolutions.com\/pt\/wp-json\/wp\/v2\/media?parent=3596"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.tracenetsolutions.com\/pt\/wp-json\/wp\/v2\/categories?post=3596"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.tracenetsolutions.com\/pt\/wp-json\/wp\/v2\/tags?post=3596"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}