Porque é que o RADIUS continua a ser importante
O RADIUS tem sido um elemento fundamental do acesso seguro à rede há mais de duas décadas. Autentica discretamente utilizadores que se ligam a redes Wi‑Fi, VPN e redes com fios em empresas, universidades e centros de dados em todo o mundo.
Mas a forma como nos ligamos mudou. As redes abrangem agora escritórios, ambientes de cloud e utilizadores em mobilidade. Os pedidos de autenticação viajam frequentemente por caminhos não fiáveis — por vezes até por ligações públicas à internet — onde o RADIUS tradicional, concebido para ambientes de rede mais simples e fechados, começa a mostrar a sua idade.
Para acompanhar, as organizações precisam da mesma estrutura RADIUS comprovada, mas com uma segurança de transporte mais forte. É exatamente isso que o RadSec, ou RADIUS over TLS, oferece.
O que é RadSec?
RadSec é uma evolução do RADIUS que envia dados de autenticação, autorização e accounting (AAA) através de ligações TLS encriptadas em vez de UDP sem encriptação.
Quando um cliente RADIUS, como um controlador sem fios ou gateway VPN, comunica com um servidor RADIUS através de RadSec, os dois lados estabelecem um túnel TLS com autenticação mútua. Dentro desse túnel, cada pacote RADIUS é encriptado e verificado quanto à integridade.
Esta simples mudança no transporte tem grandes benefícios:
As credenciais e as políticas mantêm-se privadas.
Os pacotes não podem ser alterados nem falsificados.
As ligações são fiáveis e rastreáveis via TCP.
O RadSec também cumpre os requisitos de segurança e interoperabilidade dos frameworks de roaming modernos, como o eduroam e o Wi-Fi empresarial multi-site, em que os pedidos de autenticação podem atravessar múltiplos domínios ou domínios não fidedignos.
Por que o RadSec é importante agora
O RADIUS tradicional sobre UDP é rápido e leve, mas não dispõe de encriptação, integridade de pacotes nem fiabilidade. Depende do hashing MD5 — uma norma considerada obsoleta há anos. Nos atuais ambientes distribuídos e de confiança zero, isso já não é suficiente.
O RadSec resolve estas fragilidades ao combinar a fiabilidade do TCP com a encriptação e a autenticação mútua do TLS. O resultado é uma base moderna e assente em normas para acesso de rede seguro e federado — que mantém os dados de autenticação privados, validados e verificáveis de ponta a ponta.
O RadSec é especialmente importante para:
Ambientes híbridos e multissite onde os pedidos RADIUS circulam entre datacenters ou regiões na cloud.
Redes de educação e investigação que dependem de frameworks de identidade itinerante como eduroam.
Organizações que implementam uma arquitetura de confiança zero, onde cada ligação tem de ser autenticada e encriptada.
O desafio: complexidade de fazer por conta própria
Apesar das suas vantagens, implementar o RadSec manualmente pode ser intimidante. Requer:
Gerir e rodar certificados em todos os clientes e servidores RADIUS.
Configurar e manter túneis TLS entre sites.
Gestão das configurações de firewall e de portas para comunicação baseada em TCP.
Para muitas equipas de DevOps e TI, a complexidade de criar e manter uma infraestrutura RadSec torna-se uma barreira — mesmo quando reconhecem a necessidade de segurança.
Como o RADIUS entregue a partir da cloud o simplifica
Os serviços RADIUS modernos baseados na cloud resolvem este problema ao fornecerem autenticação com RadSec pronta a usar. Em vez de configurar túneis e cadeias de certificados manualmente, as equipas ligam os seus pontos de acesso, VPNs ou controladores a um endpoint RADIUS gerido que já suporta transporte TLS encriptado.
Foxpass Cloud RADIUS, por exemplo, reúne:
RadSec (RADIUS over TLS) para transporte seguro.
Autenticação baseada em certificados (EAP-TLS) para eliminar palavras-passe.
Controlo de acesso baseado na identidade associado ao Microsoft Entra ID, Google Workspace, Okta e outros fornecedores.
Aplicação granular de VLAN e políticas para segmentação de rede com privilégio mínimo.
Gestão integrada do ciclo de vida dos certificados através de MDMs (Intune, Jamf, Kandji, Addigy) ou do instalador de certificados BYOD da Foxpass.
Auditoria e registo detalhados para suportar a conformidade com SOC 2, HIPAA, PCI DSS e ISO 27001.
Em resumo, as vantagens do RadSec já estão integradas, sem o peso operacional de manter servidores ou túneis por conta própria.
Porque é importante para as redes Zero Trust
As arquiteturas de confiança zero dependem de três fundamentos
Verificação de identidade robusta para cada ligação.
Transporte encriptado para todo o tráfego de autenticação.
Autorização granular com base no contexto e no princípio do menor privilégio.
O RadSec suporta os três. Combinado com acesso baseado em identidade e certificados, garante que cada sessão de Wi-Fi ou VPN seja autenticada, autorizada e encriptada antes de qualquer dispositivo aceder à rede.
A conclusão
O RadSec representa a evolução natural do RADIUS para um mundo distribuído de confiança zero. Preserva o que funciona — AAA padronizado — ao mesmo tempo que substitui pressupostos ultrapassados sobre os limites da rede.
Se ainda utiliza RADIUS legado sobre UDP, adotar um serviço RADIUS alojado na cloud com RadSec integrado é a forma mais fácil de atualizar a camada de autenticação para os padrões modernos de segurança.
Foxpass Cloud RADIUS fornece essa capacidade automaticamente, permitindo ativar acesso à rede baseado em identidade e protegido por TLS em minutos, em vez de meses.
Inicie a sua avaliação gratuita de 30 dias do Foxpass Cloud RADIUS e veja como o acesso seguro, baseado em identidade e certificados, pode simplificar o caminho para zero trust.
