Entenda RADIUS, 802.1X, supplicant, authenticator, EAP, certificados, VLAN dinâmica, NAC, equipamentos legados e aplicação em ambientes OT.
Confira!
RADIUS e IEEE 802.1X são tecnologias utilizadas para autenticar usuários e dispositivos antes de liberar acesso a redes cabeadas, Wi-Fi, VPNs e interfaces administrativas. RADIUS centraliza autenticação, autorização e accounting; 802.1X controla a porta de acesso utilizando um supplicant, um authenticator e um servidor de autenticação.
Em ambientes OT e subestações, essas tecnologias podem proteger portas de switches, redes de engenharia, Wi-Fi de manutenção e acesso administrativo. A adoção precisa considerar equipamentos legados, disponibilidade, certificados, redundância e comportamento quando o servidor de autenticação está indisponível.
Nem todo IED ou dispositivo embarcado suporta 802.1X. O projeto deve combinar autenticação forte onde possível com controles compensatórios, como portas fixas, VLANs restritas, listas de MAC, segurança física e monitoramento.
O que é RADIUS
RADIUS significa Remote Authentication Dial-In User Service. O protocolo centraliza decisões de autenticação, autorização e registro de uso.
Um cliente RADIUS, como switch, controlador Wi-Fi, firewall ou VPN, encaminha a tentativa de acesso ao servidor. O servidor valida a identidade e retorna aceitação, rejeição e atributos de autorização.
RADIUS não é utilizado diretamente pelo usuário final na maioria dos casos. Ele atua entre o equipamento de acesso e o serviço central de identidade.
O que é AAA
AAA representa Authentication, Authorization e Accounting.
Autenticação confirma quem é o usuário ou dispositivo. Autorização define o que pode acessar. Accounting registra início, término, endereço, porta, método e outras informações da sessão.
Separar essas funções melhora governança. Um usuário pode ser autenticado, mas receber somente acesso de leitura ou uma VLAN específica.
O que é IEEE 802.1X
IEEE 802.1X é um mecanismo de controle de acesso baseado em porta. Antes da autenticação, apenas tráfego necessário ao processo é permitido.
Após sucesso, o authenticator libera a porta conforme a política. A autorização pode incluir VLAN, ACL, perfil ou outras regras.
802.1X é aplicado em Ethernet e Wi-Fi corporativo. No Wi-Fi, está associado ao modo Enterprise e a métodos EAP.
Supplicant, authenticator e authentication server
O supplicant é o software ou dispositivo que solicita acesso. O authenticator é o switch ou ponto de acesso que controla a porta. O authentication server é normalmente um servidor RADIUS.
O authenticator não precisa conhecer a senha ou chave privada do usuário. Ele encaminha mensagens EAP entre supplicant e servidor.
A disponibilidade depende dos três elementos. Um certificado expirado no supplicant pode bloquear acesso mesmo com switch e RADIUS funcionando.
EAPOL e EAP
Entre supplicant e authenticator, o 802.1X utiliza EAP over LAN, ou EAPOL. Entre authenticator e RADIUS, as mensagens EAP são encapsuladas no protocolo RADIUS.
EAP é um framework que suporta diferentes métodos. A segurança depende do método escolhido e da validação de certificados.
O projeto precisa padronizar os métodos e desabilitar opções fracas ou não utilizadas.
802.1X precisa ser implantado com identidade, PKI e contingência.
Métodos EAP, certificados, perfis de porta, VLANs, ACLs e comportamento diante de falhas devem ser definidos antes da ativação obrigatória.
EAP-TLS
EAP-TLS utiliza certificados no cliente e no servidor. Ele oferece autenticação mútua e é uma das opções mais robustas para dispositivos gerenciados.
A implantação exige PKI, emissão, renovação, revogação e armazenamento seguro da chave privada.
Equipamentos precisam suportar o método e os algoritmos. IEDs e dispositivos OT podem ter limitações de certificado, cadeia ou tamanho de chave.
PEAP e métodos baseados em senha
PEAP cria um túnel TLS e autentica o usuário dentro dele, normalmente por credencial.
A segurança depende da validação do certificado do servidor. Se o cliente aceitar qualquer certificado, pode enviar credenciais a um servidor falso.
Métodos baseados em senha podem ser mais simples para usuários, mas exigem políticas de identidade, bloqueio e MFA em camadas complementares quando aplicável.
Certificados e PKI
Certificados possuem validade, emissor, finalidade e chave privada. A operação precisa prever ciclo completo.
A PKI deve emitir certificados para RADIUS, usuários ou dispositivos conforme o método. Templates e nomes precisam ser padronizados.
A expiração simultânea de muitos certificados pode causar indisponibilidade. Monitoramento e renovação antecipada são essenciais.
O servidor NTP precisa manter horário consistente para validação e logs.
Portas RADIUS
Autenticação e autorização usam normalmente UDP 1812. Accounting utiliza normalmente UDP 1813. Portas antigas 1645 e 1646 ainda aparecem em legados.
Firewalls devem permitir apenas clientes RADIUS autorizados. Um servidor não deve aceitar solicitações de qualquer equipamento.
RADIUS tradicional utiliza segredo compartilhado entre cliente e servidor. Esses segredos precisam ser únicos, fortes e protegidos.
RADIUS over TLS
RadSec transporta RADIUS sobre TLS em arquiteturas compatíveis. Ele pode proteger melhor o transporte e facilitar relações entre domínios.
O suporte varia entre fabricantes. Não se deve presumir que qualquer switch ou controlador oferece RadSec.
Mesmo com TLS, políticas, certificados e autorização continuam necessárias.
Autorização dinâmica
O servidor RADIUS pode retornar VLAN, ACL, perfil de usuário, tempo de sessão e outros atributos.
Isso permite aplicar políticas baseadas em identidade. Um computador corporativo pode receber uma VLAN; um equipamento de manutenção, outra.
A autorização precisa ser previsível. Atributos incompatíveis ou não suportados pelo switch podem resultar em acesso inadequado ou falha.
VLAN dinâmica
VLAN dinâmica associa a porta à rede definida pelo RADIUS após autenticação.
A função reduz configuração manual, mas exige que todas as VLANs necessárias existam nos switches e enlaces.
Em OT, mudanças dinâmicas devem ser usadas com cautela. Um IED precisa permanecer na zona correta e não pode depender de uma política que varie sem controle.
ACL dinâmica
ACLs podem limitar destinos e portas conforme perfil. Isso permite acesso mais restrito que a simples associação de VLAN.
A escala depende do switch. Muitas ACLs dinâmicas podem consumir recursos de hardware.
Políticas precisam ser testadas com tráfego real e caminhos redundantes.
Accounting
Accounting registra início, término e atualizações da sessão. Ele apoia auditoria e investigação.
O servidor deve receber identificadores de usuário, dispositivo, switch, porta e horário. Dados incompletos reduzem utilidade.
Logs de accounting podem ser enviados a um SIEM em ambientes OT para correlação.
Change of Authorization
Change of Authorization, ou CoA, permite alterar ou encerrar uma sessão após autenticação.
Uma plataforma NAC pode usar CoA quando detecta mudança de postura ou incidente.
O suporte deve ser validado. CoA mal configurado pode desconectar ativos críticos.
MAB e dispositivos sem 802.1X
MAC Authentication Bypass utiliza o endereço MAC como identidade quando não existe supplicant.
MAB é mais fraco porque MAC pode ser observado e imitado. Ele serve como mecanismo de compatibilidade, não como autenticação forte.
Em OT, pode ser combinado com porta fixa, VLAN restrita, ACL, segurança física e monitoramento de mudança.
Ordem e prioridade de autenticação
Switches podem tentar 802.1X e depois MAB, ou outra sequência. Temporizadores influenciam tempo de liberação.
Configuração inadequada pode atrasar inicialização de dispositivos ou permitir fallback desnecessário.
Cada perfil de porta deve indicar o método esperado. Portas de usuário, telefone, IED e impressora podem ter políticas diferentes.
Multi-auth e múltiplos dispositivos
Uma porta pode conectar telefone e computador, switch não gerenciado ou vários dispositivos.
Modos como single-host, multi-domain e multi-auth definem quantas identidades são permitidas.
Em ambientes críticos, switches intermediários não autorizados devem ser evitados. A topologia precisa ser conhecida.
802.1X em redes cabeadas
No acesso cabeado, o switch bloqueia a porta até autenticação. A porta pode possuir VLAN de pré-autenticação para serviços mínimos.
Wake-on-LAN, PXE, imaging e autenticação de máquina precisam ser considerados.
Dispositivos sem usuário interativo exigem certificados de máquina ou MAB.
802.1X em Wi-Fi
Wi-Fi Enterprise utiliza 802.1X com controlador ou ponto de acesso como authenticator.
Certificados e validação do servidor reduzem risco de pontos falsos. SSIDs e políticas devem separar corporativo, manutenção e visitantes.
Em subestações, Wi-Fi precisa de análise de necessidade, cobertura, segurança e interferência. Nem sempre é apropriado para funções operacionais.
Integração com diretório e identidade
O RADIUS pode consultar Active Directory, LDAP, PKI ou provedores de identidade.
Grupos determinam autorização. Mudanças no diretório devem refletir acesso de forma controlada.
A dependência do diretório corporativo precisa ser avaliada. A rede OT não pode ficar indisponível porque um serviço remoto está inacessível sem estratégia de contingência.
Redundância de servidores RADIUS
Switches devem possuir servidores primário e secundário. A ordem, timeout e tentativas precisam ser configurados.
Redundância apenas no servidor não resolve perda do caminho de rede. DNS, PKI e diretório também podem ser dependências.
Testes precisam desligar cada servidor e verificar tempo de failover e comportamento das sessões existentes.
Fail-open e fail-closed
Fail-closed bloqueia acesso quando autenticação não está disponível. Fail-open libera conforme política de contingência.
Nenhuma escolha é universal. Em OT, bloquear todos os ativos após perda do RADIUS pode afetar disponibilidade; liberar qualquer dispositivo pode afetar segurança.
A política pode usar VLAN crítica, autorização em cache ou lista restrita. A decisão deve ser baseada em risco e testada.
Critical VLAN e contingência
Alguns switches oferecem VLAN crítica quando todos os servidores RADIUS estão indisponíveis.
Ela deve fornecer apenas os serviços necessários. Não pode equivaler à rede operacional completa sem controle.
O retorno ao RADIUS precisa reautenticar ou manter sessão conforme política.
NAC e postura
NAC combina autenticação, inventário, classificação e política. Pode avaliar sistema operacional, agente, certificado ou comportamento.
Em OT, agentes nem sempre são possíveis. Classificação passiva e perfis de comunicação podem complementar.
A arquitetura de Redes Industriais deve definir onde o NAC controla e onde apenas monitora.
Equipamentos legados exigem exceções controladas, não portas abertas.
MAB, portas fixas, VLAN restrita, segurança física e monitoramento devem compensar a ausência de supplicant sem transformar a exceção em padrão.
Aplicação em subestações
802.1X pode proteger notebooks de engenharia, estações, servidores e portas administrativas.
IEDs com suporte podem utilizar EAP-TLS. Equipamentos legados podem usar MAB e controles compensatórios.
Portas de GOOSE, Sampled Values ou redes de processo exigem cuidado. A autenticação não deve introduzir indisponibilidade ou comportamento incompatível com o projeto IEC 61850.
Compatibilidade com IEDs
O IED em subestações pode suportar 802.1X apenas em determinadas portas ou firmwares.
A documentação deve informar métodos EAP, certificados, tempo de boot e comportamento após expiração.
O teste precisa incluir reinicialização, troca de certificado, perda do RADIUS e redundância de rede.
Port security e 802.1X
Port security limita MACs, mas não substitui autenticação. Pode complementar MAB e bloquear mudanças inesperadas.
Configurações rígidas podem impedir substituição emergencial de equipamento. Procedimentos precisam existir.
Eventos de violação devem ser enviados ao monitoramento.
Segurança do RADIUS
Servidores RADIUS são componentes críticos. Precisam de hardening, contas administrativas protegidas, atualizações, logs e backup.
O hardening em ambientes OT orienta baseline para servidores e endpoints.
Segredos compartilhados não devem ser reutilizados. Acesso administrativo precisa de MFA e rede de gestão.
Segmentação e firewall
Clientes RADIUS ficam em redes de gestão ou acesso. Regras permitem somente UDP 1812/1813 ou transporte definido entre equipamentos e servidores.
Diretório, PKI, DNS e NTP precisam de fluxos específicos. Abrir acesso amplo para “funcionar” contraria o princípio de menor privilégio.
A DMZ entre TI e OT pode hospedar serviços intermediários quando existe dependência entre domínios.
Logs e monitoramento
Logs devem registrar Access-Request, Accept, Reject, motivo, cliente, usuário e atributos.
Muitos rejects podem indicar certificado expirado, configuração incorreta ou ataque. Novos clientes RADIUS devem ser investigados.
Switches também precisam registrar mudança de estado, método, VLAN e violação.
Projeto e documentação
O projeto deve incluir arquitetura, servidores, clientes RADIUS, métodos EAP, PKI, perfis, VLANs, ACLs, accounting e contingência.
Cada tipo de porta deve possuir template. Exceções precisam de justificativa e controles compensatórios.
A matriz de dependências inclui diretório, DNS, NTP, CA e firewall.
Implantação por etapas
A ativação deve começar em modo monitor ou portas piloto. Políticas são ajustadas antes de expandir.
Inventário de dispositivos evita bloqueio inesperado. Certificados precisam ser emitidos antes da exigência.
Mudanças devem possuir plano de retorno e comunicação com operação.
Comissionamento e aceite
Os testes devem cobrir autenticação válida e inválida, autorização, accounting, redundância e contingência.
O roteiro mínimo inclui:
- EAP-TLS ou método definido;
- certificado expirado, revogado e não confiável;
- 802.1X, MAB e ordem de fallback;
- VLAN e ACL atribuídas;
- perda de cada servidor RADIUS;
- fail-open, fail-closed ou critical VLAN;
- CoA quando utilizado;
- logs no RADIUS, switch e SIEM;
- reinicialização de IEDs e equipamentos sem usuário.
O Comissionamento e Aceite Técnico deve comprovar que a política não reduz indevidamente a disponibilidade operacional.
O aceite precisa testar autenticação e indisponibilidade.
Certificados, RADIUS primário e secundário, fallback, VLANs, ACLs, CoA, logs e reinicialização de dispositivos devem ser exercitados em condições reais.
Diagnóstico de falhas
Timeout indica rota, firewall, segredo ou servidor indisponível. Reject exige analisar método EAP, certificado, usuário, grupo e política.
A porta presa em estado não autorizado pode indicar supplicant ausente ou EAPOL bloqueado. VLAN incorreta aponta atributo ou configuração do switch.
Falhas após renovação de certificado podem envolver cadeia, EKU, horário ou confiança.
Erros comuns
Erros frequentes incluem ativar 802.1X sem inventário, utilizar MAB como segurança equivalente e não testar indisponibilidade do RADIUS.
Também são comuns certificados sem monitoramento, VLAN dinâmica inexistente nos enlaces e política corporativa aplicada a IEDs sem compatibilidade.
Outro erro é manter fail-open irrestrito, eliminando o controle durante falhas.
Conclusão
RADIUS e 802.1X permitem centralizar identidade e controlar portas de rede. EAP-TLS, VLANs, ACLs e accounting oferecem políticas mais fortes que configurações estáticas.
Em OT, a adoção precisa respeitar disponibilidade e legado. Com PKI, redundância, exceções documentadas e testes de contingência, a autenticação de rede pode reduzir conexões não autorizadas sem comprometer a operação.
Referências técnicas
[1] IEEE. IEEE 802.1X — Port-Based Network Access Control.
[2] RIGNEY, C. et al. RFC 2865 — Remote Authentication Dial In User Service (RADIUS). IETF, 2000.
[3] RIGNEY, C. RFC 2866 — RADIUS Accounting. IETF, 2000.
[4] ABBA, J. et al. RFC 5216 — The EAP-TLS Authentication Protocol. IETF, 2008.
[5] WINTER, S. et al. RFC 6614 — Transport Layer Security Encryption for RADIUS. IETF, 2012.
[6] NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. NIST SP 800-82 Rev. 3 — Guide to Operational Technology Security. Gaithersburg, 2023.
Perguntas frequentes
RADIUS é um protocolo que centraliza autenticação, autorização e accounting para equipamentos de acesso à rede.
É um mecanismo de controle de acesso por porta que autentica usuário ou dispositivo antes de liberar a rede.
Supplicant, authenticator e authentication server, normalmente RADIUS.
É um método EAP baseado em certificados de cliente e servidor, com autenticação mútua.
Normalmente UDP 1812 para autenticação e UDP 1813 para accounting.
MAC Authentication Bypass utiliza o endereço MAC como identidade para dispositivos sem 802.1X, com segurança inferior.
É a atribuição de VLAN pelo servidor RADIUS após autenticação.
O comportamento depende da política: fail-closed, fail-open, critical VLAN ou cache. Deve ser definido e testado.
Alguns suportam, dependendo do modelo e firmware. Legados exigem MAB ou controles compensatórios.
Devem ser testados certificados, autorização, fallback, redundância, contingência, logs e reinicialização dos dispositivos.
Materiais técnicos complementares
Soluções relacionadas
Serviços relacionados
Artigos e materiais técnicos relacionados