Wi-Fi empresarial: projeto e seguranca

Wi-Fi empresarial não é Wi-Fi doméstico com mais antenas

A maior confusão no mercado de redes sem fio corporativas começa com uma premissa equivocada: a de que basta comprar um roteador "mais potente" para resolver os problemas de conectividade da empresa. Essa abordagem ignora que o Wi-Fi empresarial é um sistema de engenharia, não um produto de prateleira. Enquanto um roteador residencial é projetado para atender 10-15 dispositivos em até 100m² com tráfego previsível (streaming, navegação), uma rede corporativa precisa suportar centenas de dispositivos simultâneos, com perfis de tráfego heterogêneos (VoIP, videoconferência, ERP, IoT, câmeras), em ambientes com múltiplos obstáculos físicos e fontes de interferência.

A diferença técnica fundamental está na arquitetura. Roteadores residenciais operam de forma autônoma, cada um decidindo seu canal e potência sem coordenação. Em uma empresa, isso gera o fenômeno conhecido como co-channel interference: dois ou mais access points operando no mesmo canal acabam competindo pelo espectro, derrubando a performance global. Soluções empresariais usam controladores centralizados (físicos ou em nuvem) que orquestram canais, potências e roaming entre access points, comportando-se como uma rede unificada. Sem essa coordenação, mesmo dez APs caros podem entregar pior experiência que três APs bem projetados.

Outro ponto crítico é a densidade. Em uma reunião com 40 pessoas usando notebooks, tablets e celulares conectados, um único AP residencial entra em colapso por limitação de associações simultâneas e contenção do meio. APs empresariais Wi-Fi 6 (802.11ax) e Wi-Fi 6E utilizam OFDMA e MU-MIMO para servir múltiplos clientes em paralelo, multiplicando a capacidade efetiva. Não é marketing — é diferença arquitetural mensurável em testes de carga.

Site survey: o passo que ninguém quer pagar (e que define tudo)

O site survey é o levantamento técnico que mapeia o comportamento real do sinal de rádio no ambiente físico da empresa. Sem ele, qualquer projeto de Wi-Fi vira chute. Existem três tipos: predictive (simulação por software com plantas), passive (medição de RF no ambiente já existente) e active (testes com clientes reais conectados). Em projetos críticos, os três se complementam. O custo médio de um survey profissional varia de R$ 3 mil a R$ 25 mil dependendo do tamanho do site — investimento que se paga evitando o cenário clássico de "compramos 12 APs e ainda tem ponto morto na sala da diretoria".

Materiais construtivos influenciam dramaticamente a propagação do sinal. Uma parede de drywall atenua cerca de 3 dB, alvenaria comum 6 dB, concreto armado 12-15 dB e vidros laminados ou películas espelhadas podem atenuar até 20 dB — número que destrói qualquer planejamento feito "no olho". Espelhos d'água, elevadores, salas-cofre e geladeiras industriais são bloqueios quase totais. O survey identifica essas barreiras, propõe posicionamento ótimo de APs e calcula a quantidade mínima necessária para garantir cobertura sem desperdício.

O survey também identifica fontes de interferência não-Wi-Fi: fornos micro-ondas (afetam 2.4 GHz), câmeras analógicas sem fio, equipamentos médicos, motores industriais e até telefones DECT. Em prédios comerciais, a poluição espectral causada por redes vizinhas é frequentemente o maior gargalo. A engenharia de canais (channel planning) e a definição de potências precisam considerar esse cenário real, não o ideal de laboratório.

"Wi-Fi corporativo bem projetado entrega -65 dBm de sinal e -85 dBm de ruído em qualquer ponto útil do escritório. Tudo abaixo disso é experiência do usuário degradada — e o usuário sempre vai culpar a TI, nunca o fornecedor de internet."

Segurança Wi-Fi: WPA3, segmentação e o fim das senhas compartilhadas

A segurança da rede sem fio empresarial passou por uma transformação silenciosa nos últimos anos. O WPA2-PSK (com senha compartilhada) — ainda padrão na maioria das pequenas empresas — é tecnicamente quebrado desde 2017 com o ataque KRACK e remains vulnerable a brute-force offline a partir do handshake capturado. Em 2026, manter WPA2-PSK em ambiente corporativo é equivalente a deixar a porta da empresa entreaberta: pode não ser invadida hoje, mas a chance é função do tempo.

O padrão correto é WPA3-Enterprise com autenticação 802.1X via RADIUS, integrado ao Active Directory ou ao Microsoft Entra ID. Cada usuário recebe credenciais individuais, sessões são criptografadas com chaves únicas e a desativação de um colaborador remove imediatamente seu acesso à rede. Quando a infraestrutura ainda não suporta 802.1X, a segunda melhor opção é WPA3-Personal com SAE (Simultaneous Authentication of Equals), que substitui o handshake vulnerável do WPA2 por um protocolo resistente a ataques de dicionário offline.

A segmentação por SSID e VLAN é igualmente crítica. Uma arquitetura saudável separa minimamente:

• SSID Corporativo: WPA3-Enterprise, 802.1X, acesso a recursos internos via VLAN dedicada
• SSID Visitantes: portal cativo, isolamento de cliente ativado, VLAN com saída direta para internet sem rota para LAN interna
• SSID IoT: dispositivos como câmeras, impressoras, controles de acesso e sensores em VLAN isolada com firewall restritivo
• SSID BYOD: quando aplicável, com políticas de NAC (Network Access Control) validando postura do dispositivo

A regra de ouro é: nunca coloque dispositivos IoT, câmeras IP ou impressoras na mesma rede dos servidores e estações de trabalho. Pesquisas da Palo Alto Networks mostram que 57% dos dispositivos IoT corporativos têm vulnerabilidades exploráveis, e câmeras IP são frequentemente o ponto de entrada inicial em incidentes de ransomware. Segmentação não é luxo — é contenção de blast radius.

Roaming, capacidade e a experiência real do usuário

Mesmo com cobertura adequada e segurança em dia, uma rede pode entregar péssima experiência se o roaming entre APs não for ajustado. Quando um colaborador caminha do almoxarifado para o showroom em uma chamada de Teams, o handover entre access points precisa acontecer em menos de 50 milissegundos para não derrubar a chamada. Tecnologias como 802.11k (informações de vizinhança), 802.11v (sugestão de roaming) e 802.11r (Fast BSS Transition) precisam estar habilitadas e suportadas tanto pelos APs quanto pelos clientes.

A maior parte dos problemas de "Wi-Fi cai sozinho" não é cobertura, é sticky client: o dispositivo permanece conectado a um AP distante com sinal fraco em vez de migrar para um AP próximo. A solução envolve ajustar Minimum RSSI (forçar disconnect quando o sinal cai abaixo de um limiar), Band Steering (empurrar dispositivos dual-band para 5 GHz) e Load Balancing entre APs. Esses parâmetros são triviais em soluções empresariais e inexistentes em equipamentos consumer.

Em termos de capacidade, a recomendação técnica é dimensionar não pelo metro quadrado, mas pela densidade de dispositivos. Um auditório com 200 lugares pode precisar de 6-8 APs Wi-Fi 6 com canais estreitos (20 MHz em 5 GHz) para evitar sobreposição, enquanto um andar corporativo aberto de 800m² com 60 colaboradores pode operar bem com 4 APs em canais largos (40 ou 80 MHz). A escolha entre largura de canal e densidade é um trade-off que depende do perfil de uso — outro motivo pelo qual o projeto não pode ser terceirizado para um fornecedor que vende caixa.

Monitoramento contínuo e governança

Wi-Fi empresarial não é projeto de implantação, é serviço continuado. O ambiente de RF é dinâmico: novos vizinhos sobem APs, dispositivos IoT são adicionados, o layout do escritório muda, fornos micro-ondas são instalados em copas. Sem monitoramento contínuo, a rede que funcionava perfeitamente na semana da entrega degrada em meses. Plataformas modernas (Cisco Meraki, Aruba Central, UniFi Network, Mist AI) entregam dashboards com métricas de conexão, throughput por cliente, falhas de autenticação e mapas de calor em tempo real.

Os indicadores que importam acompanhar mensalmente:

1. Tempo médio para associar (Connection Time): ideal abaixo de 3 segundos. Acima de 5s indica problema em RADIUS, DHCP ou DNS
2. Taxa de retransmissão: acima de 15% sinaliza interferência ou cobertura ruim
3. Clientes com sinal abaixo de -75 dBm: mapear áreas para reforço
4. Falhas de autenticação 802.1X: identificar usuários com certificados expirados ou senhas vazadas
5. Detecção de Rogue APs: APs não autorizados que podem ser ataque de man-in-the-middle

Governança também envolve ciclo de vida do hardware. APs têm vida útil técnica de 5-7 anos, considerando evolução de padrões (Wi-Fi 6 → Wi-Fi 7), descontinuação de firmware e fim de suporte de segurança. Manter equipamentos fora de suporte é a forma mais cara de "economizar": uma vulnerabilidade não corrigida em AP de borda pode comprometer toda a rede interna.

Como a Duk projeta e opera Wi-Fi corporativo

Com mais de 18 anos de experiência e mais de 550 empresas atendidas, a Duk Informática & Cloud entrega projetos de rede sem fio corporativa que combinam engenharia rigorosa e operação continuada. Como Microsoft Gold Partner, integramos a autenticação Wi-Fi nativamente ao Active Directory e ao Microsoft Entra ID dos clientes, eliminando senhas compartilhadas e permitindo desativação imediata de acessos quando colaboradores são desligados.

Nosso processo começa com site survey presencial — predictive, passive e active, conforme a criticidade — seguido de projeto detalhado com posicionamento de APs, plano de canais, dimensionamento de VLANs e definição de SSIDs por perfil de uso. A implantação inclui configuração de WPA3-Enterprise, segmentação completa entre rede corporativa, visitantes e IoT, e ativação de protocolos de roaming rápido (802.11k/v/r). Após a entrega, o cliente entra em nosso modelo de operação contínua com SLA de resposta de 3,7 minutos e monitoramento 24/7 a partir do nosso data center próprio em Alphaville.

Trabalhamos com as principais plataformas do mercado — Cisco Meraki, Aruba, Ubiquiti UniFi e Mist AI — e a recomendação é sempre baseada no perfil real do cliente, nunca em comissionamento de fabricante. Se sua empresa enfrenta quedas de Wi-Fi, pontos mortos, lentidão em videoconferências ou simplesmente não tem certeza se a rede atual é segura, conversamos sem compromisso. Fale com nossos especialistas pelo WhatsApp: wa.me/5511957024493 e agende um diagnóstico técnico do seu ambiente.