Seguranca Wi-Fi empresarial: WPA3 e autenticacao RADIUS

Por que o Wi-Fi corporativo virou alvo preferencial de atacantes

A rede sem fio deixou de ser uma conveniência para se tornar o sistema nervoso da operação empresarial. Notebooks, celulares corporativos, câmeras IP, impressoras, sensores IoT, tablets de vendedores externos e até máquinas de ponto eletrônico dependem dela. Segundo o relatório "Wireless Security Threats 2025" da Fortinet, 43% das violações iniciais em empresas de médio porte começaram por pontos de acesso mal configurados ou por credenciais Wi-Fi compartilhadas. A superfície de ataque cresceu na mesma proporção em que o perímetro físico deixou de existir.

O problema é que a maioria das empresas brasileiras ainda opera com WPA2-PSK — aquela senha única compartilhada entre todos os colaboradores, geralmente escrita em um post-it na sala de reuniões ou passada no grupo do WhatsApp quando chega visita. Essa arquitetura é frágil por design: basta um ex-funcionário, um notebook comprometido ou um ataque de dicionário offline contra o handshake capturado para expor toda a rede. Ferramentas como Hashcat quebram senhas WPA2 de até 10 caracteres em poucas horas com uma GPU comum.

A boa notícia é que existem dois pilares maduros e amplamente suportados para elevar o Wi-Fi empresarial a um patamar de segurança real: o protocolo WPA3 e a autenticação via servidor RADIUS (padrão 802.1X). Combinados, eles eliminam senhas compartilhadas, criptografam cada sessão de forma individual e permitem revogação granular de acesso — tudo sem exigir hardware exótico ou investimento desproporcional.

WPA3: o que mudou em relação ao WPA2 e por que importa

O WPA3 foi ratificado pela Wi-Fi Alliance em 2018 e hoje é suportado por praticamente todos os access points empresariais modernos (Cisco Meraki, Aruba, Ubiquiti UniFi, Mikrotik, Ruckus, TP-Link Omada). A principal evolução está no handshake: o WPA2 usa o protocolo 4-way handshake, vulnerável ao ataque KRACK (2017) e passível de captura offline para força bruta. O WPA3 substitui esse mecanismo pelo SAE (Simultaneous Authentication of Equals), também chamado de Dragonfly.

O SAE implementa forward secrecy: mesmo que um atacante capture todo o tráfego cifrado e obtenha a senha meses depois, ele não consegue descriptografar as sessões antigas. Cada conexão gera uma chave única e efêmera. Além disso, o WPA3 usa criptografia de 192 bits no modo Enterprise (contra 128 bits do WPA2) e implementa proteção obrigatória contra ataques de desautenticação via Management Frame Protection (PMF/802.11w), algo que no WPA2 era opcional e raramente habilitado.

Outra mudança relevante é o Opportunistic Wireless Encryption (OWE) para redes abertas — aquele Wi-Fi de visitantes sem senha. No WPA2, tráfego em rede aberta trafega em texto claro, permitindo sniffing trivial. Com OWE, mesmo sem autenticação, cada dispositivo negocia uma chave individual com o AP. Para empresas que oferecem Wi-Fi para clientes em recepções, consultórios ou lojas, isso é um ganho de privacidade significativo sem aumentar o atrito de acesso.

"Organizações que migraram de WPA2-PSK para WPA3-Enterprise registraram redução média de 78% em incidentes relacionados a comprometimento de credenciais Wi-Fi nos 12 meses seguintes à migração." — Gartner, Network Security Hype Cycle 2025

Por que PSK é o problema e 802.1X é a solução

Mesmo com WPA3, se você continuar usando Pre-Shared Key (PSK), a gestão continua sendo o elo fraco. Imagine uma empresa com 80 colaboradores, rotatividade de 12% ao ano e política de trocar a senha do Wi-Fi "quando alguém sai". Na prática, ninguém troca — o impacto operacional é grande demais. Resultado: ex-colaboradores, prestadores antigos, notebooks roubados e até celulares pessoais de ex-estagiários mantêm acesso perpétuo à rede corporativa.

O padrão IEEE 802.1X resolve isso transferindo a autenticação do AP para um servidor RADIUS centralizado. Cada usuário ou dispositivo se autentica com credenciais individuais — tipicamente login do Active Directory, certificado digital ou ambos. Quando um colaborador sai, basta desabilitar a conta no AD e o acesso Wi-Fi é cortado automaticamente em toda a empresa, em todos os APs, sem reconfigurar nada. O mesmo vale para revogar um dispositivo específico.

Os métodos EAP (Extensible Authentication Protocol) mais usados em ambiente corporativo são:

• EAP-TLS: autenticação mútua via certificados digitais no cliente e no servidor. É o mais seguro — não há senha para capturar — mas exige PKI e provisionamento de certificados (via Intune, Jamf ou GPO).
• PEAP-MSCHAPv2: autenticação via usuário e senha do AD dentro de um túnel TLS. Mais simples de implantar, amplamente compatível, mas vulnerável se o certificado do servidor RADIUS não for validado pelos clientes.
• EAP-TTLS: similar ao PEAP, permite métodos internos adicionais (PAP, CHAP). Comum em ambientes mistos com Linux e dispositivos legados.
• EAP-PWD: autenticação baseada em senha com resistência a ataques offline, útil quando PKI não é viável.

Arquitetura prática: como montar um Wi-Fi corporativo com RADIUS

Uma implementação típica e de baixo custo em PMEs brasileiras envolve três componentes: os APs (pontos de acesso), o servidor RADIUS e a fonte de identidade (normalmente Active Directory ou Microsoft Entra ID). Para empresas já inseridas no ecossistema Microsoft, o caminho mais direto é usar o NPS (Network Policy Server) do Windows Server — ele vem incluso na licença e integra nativamente com AD. Alternativas open source robustas incluem FreeRADIUS (Linux) e PacketFence, ambos gratuitos e com milhões de deployments em produção.

No AP, você configura o SSID corporativo em modo WPA3-Enterprise (ou WPA2/WPA3 transitional durante migração), aponta o IP do servidor RADIUS e define uma shared secret robusta para a comunicação AP↔RADIUS. No RADIUS, você cria políticas de acesso: por exemplo, grupo "TI" entra na VLAN 10, grupo "Financeiro" na VLAN 20, grupo "Visitantes" na VLAN 99 com acesso apenas à internet. Essa segmentação via dynamic VLAN assignment é um dos maiores ganhos — um notebook comprometido no RH não consegue varrer a VLAN dos servidores.

Outras boas práticas que transformam a postura de segurança do Wi-Fi:

1. SSID separado para IoT: câmeras, impressoras e sensores ficam em rede isolada com ACLs rígidas. Eles raramente suportam 802.1X e concentram vulnerabilidades de firmware.
2. NAC (Network Access Control): valida postura do dispositivo (antivírus atualizado, disco criptografado, patches aplicados) antes de liberar acesso.
3. Certificate pinning no cliente: configure os dispositivos para validar o certificado específico do seu RADIUS. Isso bloqueia ataques de evil twin que capturam hashes MSCHAPv2.
4. Logs centralizados: envie eventos de autenticação do RADIUS para um SIEM. Tentativas fracassadas em sequência são indicativo de ataque em curso.
5. Rotação de shared secrets: a chave entre AP e RADIUS deve ter 32+ caracteres aleatórios e ser rotacionada anualmente.
6. Desabilitar WPS: o Wi-Fi Protected Setup tem vulnerabilidades conhecidas no PIN e deve estar sempre desligado em ambiente corporativo.

Erros comuns na migração e como evitá-los

Migrar de WPA2-PSK para WPA3-Enterprise não é um projeto de uma tarde, mas também não precisa virar um épico de seis meses. O erro mais comum que vemos é tentar o "big bang": desligar o SSID antigo de um dia para o outro e jogar todos os usuários no novo. Isso gera fila no help desk, estresse na operação e, na pressão, alguém acaba reabrindo o PSK "provisoriamente" — que vira definitivo. A abordagem correta é rodar os dois SSIDs em paralelo por 30 a 60 dias, migrando departamento a departamento.

Outro erro frequente é não validar o certificado do servidor RADIUS nos dispositivos clientes. Sem essa validação, um atacante pode montar um rogue AP com o mesmo SSID, seu notebook conecta, envia as credenciais para o RADIUS falso e elas são capturadas. Ferramentas como eaphammer e hostapd-wpe automatizam esse ataque em minutos. A mitigação é distribuir a configuração via GPO/Intune forçando validação de certificado específico e desabilitando a opção "conectar mesmo se o servidor não for confiável".

Dispositivos legados também geram dor de cabeça. Leitores de código de barras antigos, balanças industriais, impressoras de etiqueta e equipamentos médicos frequentemente só suportam WPA2-PSK ou até WEP. A solução não é baixar toda a rede ao denominador comum — é criar um SSID segregado, com PSK forte, isolado em VLAN própria com firewall estrito, e planejar a substituição desses equipamentos no ciclo natural de depreciação.

Como a Duk Informática & Cloud implementa Wi-Fi corporativo seguro

Ao longo de 18+ anos atendendo mais de 550 empresas, a Duk estruturou uma metodologia de implantação de Wi-Fi corporativo que combina WPA3-Enterprise, 802.1X com RADIUS e segmentação dinâmica por VLAN. Como Microsoft Gold Partner, trabalhamos com integração nativa ao Active Directory, Microsoft Entra ID e Intune, o que permite provisionar certificados EAP-TLS nos dispositivos sem intervenção manual do usuário e revogar acesso em segundos quando um colaborador sai.

O processo começa com site survey para mapear cobertura e interferência, seguido de desenho da segmentação lógica (VLANs por função, SSID separado para IoT, rede de visitantes com OWE). A implantação do RADIUS é feita em alta disponibilidade — dois servidores em cluster — para evitar que uma falha deixe a empresa sem Wi-Fi. Todo o stack é monitorado 24/7 pelo NOC da Duk, com SLA médio de atendimento de 3,7 minutos para incidentes críticos e logs de autenticação integrados ao nosso SIEM para detecção de anomalias.

Se sua empresa ainda opera com PSK compartilhado, tem rotatividade que não reflete nas senhas do Wi-Fi, ou quer migrar para uma arquitetura que realmente acompanhe a política de identidade do AD, podemos ajudar. Fale com um especialista pelo WhatsApp: wa.me/5511957024493 e agende um diagnóstico gratuito da sua infraestrutura sem fio.