Acesso Seguro de Visitantes: Implementando NAC para Dispositivos Não Gerenciados

Acesso Seguro para Convidados: Implementando NAC para Dispositivos Não Gerenciados. Um Informativo de Inteligência da Purple WiFi. Introdução e Contexto. Bem-vindo. Se você é responsável pela segurança de rede em um hotel, rede de varejo, estádio ou local do setor público, está lidando com um problema que só fica mais difícil: como oferecer aos convidados, visitantes e prestadores de serviço um acesso WiFi rápido e conveniente — sem abrir uma porta para a sua infraestrutura corporativa? É exatamente isso que vamos abordar hoje. Este não é um panorama teórico. Vamos cobrir a arquitetura, as decisões de implantação, os requisitos de conformidade e os cenários do mundo real onde isso dá certo — e onde dá errado. O principal desafio é este: dispositivos não gerenciados. Seus convidados estão se conectando com smartphones pessoais, laptops, tablets e, cada vez mais, dispositivos IoT — nenhum dos quais você controla, nenhum possui seu agente de MDM instalado e todos representam um risco potencial de segurança se não forem devidamente segmentados e autenticados. O Controle de Acesso à Rede, ou NAC, é a estrutura que resolve isso. Vamos começar. Análise Técnica Detalhada. Primeiro, vamos ser precisos sobre o que o NAC realmente é. O Controle de Acesso à Rede é uma estrutura de segurança que impõe acesso baseado em políticas aos recursos da rede. Ele avalia quem está se conectando, qual dispositivo está usando e se esse dispositivo atende aos seus requisitos de postura de segurança — antes de conceder o acesso. Para dispositivos de convidados não gerenciados, a verificação de postura é necessariamente leve, mas os componentes de identidade e segmentação são críticos. A arquitetura se divide em três camadas funcionais. A primeira é a camada de autenticação. Para dispositivos corporativos gerenciados, você normalmente usaria IEEE 802.1X com EAP-TLS, onde os certificados são enviados via SCEP através do seu MDM. Mas para dispositivos de convidados não gerenciados, o 802.1X não é prático — os convidados não possuem certificados e você não pode enviá-los. Portanto, a camada de autenticação para convidados depende de um Captive Portal: uma página de autenticação baseada na web que intercepta a solicitação HTTP ou HTTPS inicial e redireciona o usuário para um fluxo de login ou registro. É aqui que operam as plataformas como a solução de Guest WiFi da Purple — capturando a identidade por meio de login social, e-mail, verificação por SMS ou registro baseado em formulário, e passando essa identidade para o mecanismo de política do NAC. A segunda camada é o mecanismo de política. É aqui que as decisões de acesso são tomadas. O sistema NAC avalia a identidade autenticada em relação às suas políticas de acesso e atribui o dispositivo ao segmento de rede apropriado. Para um convidado, isso normalmente significa uma VLAN de Convidados dedicada, com acesso apenas à internet e sem rota para suas sub-redes corporativas. Para um prestador de serviços com um dispositivo conhecido, você pode atribuí-lo a uma VLAN restrita com acesso a recursos internos específicos. O mecanismo de política também pode impor acesso baseado em tempo — um participante de conferência obtém acesso pela duração do evento, um hóspede de hotel obtém acesso pela duração da sua estadia. A terceira camada é a aplicação. Isso é tratado na borda da rede — seus pontos de acesso sem fio, switches e firewall. O sistema NAC se comunica com esses dispositivos via RADIUS, que é o protocolo Remote Authentication Dial-In User Service. Quando um convidado se autentica, o servidor RADIUS retorna uma mensagem Access-Accept com atributos de atribuição de VLAN, e o ponto de acesso coloca o dispositivo na VLAN correta. Se a autenticação falhar, o servidor RADIUS retorna Access-Reject, e o dispositivo permanece em uma VLAN de quarentena de pré-autenticação com acesso apenas ao Captive Portal. Agora, vamos falar sobre o WPA3. Se você está implantando ou atualizando sua infraestrutura sem fio, o WPA3 deve estar no seu planejamento. O WPA3-SAE, que significa Simultaneous Authentication of Equals, substitui o WPA2-PSK e elimina a vulnerabilidade a ataques de dicionário offline. Especificamente para redes de convidados, o WPA3-OWE — Opportunistic Wireless Encryption — é particularmente relevante. O OWE fornece criptografia sem exigir uma senha, o que significa que os convidados obtêm uma conexão criptografada sem qualquer atrito adicional. Esta é uma melhoria significativa em relação ao SSID de convidado aberto tradicional, que transmite dados em texto simples. A conformidade é inegociável na maioria dos setores de que estamos falando. Se você gerencia um hotel com um sistema de ponto de venda, o PCI DSS exige uma segmentação de rede rigorosa entre os ambientes de dados de portadores de cartão e as redes de convidados. O requisito é explícito: o WiFi de convidados deve estar em um segmento de rede separado, sem rota para o escopo do PCI. O NAC aplica isso na camada de rede, e sua política de firewall aplica isso no perímetro. O GDPR adiciona outra dimensão — se você está coletando dados de identidade de convidados por meio do seu Captive Portal, precisa de consentimento explícito, uma base legal para o processamento e uma política de retenção de dados. A plataforma da Purple lida com a captura de consentimento em conformidade com o GDPR de forma nativa, com períodos de retenção configuráveis e trilhas de auditoria. Vamos também abordar a randomização de endereços MAC, porque é uma verdadeira dor de cabeça operacional. Desde o iOS 14, Android 10 e Windows 10, os dispositivos randomizam seu endereço MAC por SSID por padrão. Isso quebra qualquer política de NAC que dependa do endereço MAC como um identificador persistente. A resposta correta é mover seu modelo de identidade para o usuário autenticado, não para o MAC do dispositivo. Quando um convidado se autentica por meio do seu Captive Portal, você vincula a sessão dele à sua identidade autenticada — e-mail, número de telefone ou perfil de rede social — em vez do endereço MAC. A plataforma de analytics da Purple lida com isso corretamente, mantendo a identidade no nível do usuário entre as sessões, mesmo quando o endereço MAC muda. Para organizações que precisam de uma avaliação de postura de dispositivo mais robusta para dispositivos não gerenciados, existem abordagens com e sem agente. A avaliação de postura sem agente usa técnicas como OS fingerprinting, varredura de portas abertas e análise de HTTP user-agent para classificar dispositivos e avaliar a conformidade básica. Isso é apropriado para redes de convidados onde você deseja identificar o tipo de dispositivo para fins de análise ou aplicar políticas diferenciadas — por exemplo, bloquear dispositivos IoT conhecidos de acessar determinados serviços. A avaliação de postura baseada em agente exige que o usuário instale um agente temporário, o que é apropriado para cenários de acesso de prestadores de serviços ou parceiros, mas cria atrito para convidados casuais. Recomendações de Implementação e Armadilhas. Deixe-me guiar você pela sequência de implantação que funciona na prática. Comece com a segmentação de rede antes de tocar na configuração do NAC. Defina suas VLANs: uma VLAN de pré-autenticação com acesso apenas ao Captive Portal e DNS, uma VLAN de convidados com acesso à internet e sem rotas internas e, opcionalmente, uma VLAN de prestadores de serviços com acesso interno restrito. Configure suas ACLs de firewall. Essa é a base — todo o resto fica por cima dela. Em segundo lugar, implante sua infraestrutura RADIUS. Para a maioria das implantações de médio porte, um serviço RADIUS hospedado na nuvem e integrado à sua plataforma de Captive Portal é a escolha certa. Isso elimina a sobrecarga operacional de gerenciar servidores RADIUS locais e fornece a redundância necessária para uma rede de convidados em produção. Certifique-se de que seus segredos compartilhados RADIUS sejam fortes e rotacionados regularmente. Em terceiro lugar, configure seu Captive Portal. O portal precisa estar acessível a partir da VLAN de pré-autenticação — o que significa que a resolução de DNS para o domínio do portal deve funcionar antes da autenticação. Configure seu escopo DHCP na VLAN de pré-autenticação para apontar para um servidor DNS que resolva o domínio do portal. Teste isso com cuidado — a configuração incorreta do DNS é a causa mais comum de falhas no Captive Portal. Em quarto lugar, teste sua atribuição de VLAN de ponta a ponta. Conecte um dispositivo de teste, conclua o fluxo de autenticação e verifique se o dispositivo vai para a VLAN correta com a política de acesso correta. Use uma captura de pacotes para confirmar se os atributos RADIUS estão sendo transmitidos corretamente. Verifique se a VLAN de convidados não tem rota para suas sub-redes corporativas — execute um traceroute da VLAN de convidados para um IP corporativo e confirme que ele falha. Agora, as armadilhas. O modo de falha mais comum é a configuração incorreta de split-tunnel — onde a VLAN de convidados tem uma rota indesejada para recursos internos devido a uma regra de firewall mal configurada ou a uma ACL ausente. Audite suas regras de firewall antes de entrar em operação. A segunda falha comum é o tratamento de timeout do RADIUS — se o seu servidor RADIUS estiver inacessível, o que acontece? Certifique-se de que seus pontos de acesso estejam configurados para fail-closed (falhar fechado), não fail-open (falhar aberto). Fail-open significa que os convidados ganham acesso à rede mesmo se o RADIUS estiver fora do ar, o que é um risco de segurança. Fail-closed significa nenhum acesso se o RADIUS estiver inacessível, o que é a postura correta para uma implantação segura. A terceira armadilha é a expiração do certificado no seu Captive Portal. Se o certificado TLS do seu portal expirar, os convidados verão um aviso de segurança do navegador e sua taxa de autenticação cairá para quase zero. Automatize a renovação de certificados com o Let's Encrypt ou com sua plataforma de gerenciamento de certificados. Perguntas e Respostas Rápidas. Preciso de 802.1X para redes de convidados? Não. O 802.1X é adequado para dispositivos corporativos gerenciados. Para convidados não gerenciados, um Captive Portal com atribuição de VLAN baseada em RADIUS é a arquitetura correta. Posso usar um único SSID para convidados e dispositivos corporativos? Tecnicamente sim, usando atribuição dinâmica de VLAN com base no resultado da autenticação. Mas, operacionalmente, SSIDs separados são mais simples de gerenciar e mais fáceis de auditar. Mantenha-os separados. Como lidar com dispositivos IoT que não conseguem concluir o fluxo de um Captive Portal? Use o bypass de autenticação baseado em MAC, ou MAB, para dispositivos IoT conhecidos com endereços MAC pré-registrados. Para dispositivos IoT desconhecidos, coloque-os em uma VLAN de quarentena e analise manualmente. Qual é o timeout de sessão correto para acesso de convidados? Para hotelaria, alinhe com a duração da estadia do hóspede. Para varejo, de duas a quatro horas é o ideal. Para eventos, alinhe com a programação do evento. Sempre defina um timeout de inatividade — 30 minutos de inatividade é um padrão razoável. Devo registrar o tráfego de convidados? Sim, para fins legais e de conformidade. Retenha os logs de conexão — IP de origem, carimbo de data/hora, identidade autenticada — por no mínimo 90 dias, ou mais se a sua jurisdição exigir. A plataforma da Purple fornece essa trilha de auditoria nativamente. Resumo e Próximos Passos. Para resumir: o acesso seguro de convidados para dispositivos não gerenciados é um problema resolvido, mas exige uma arquitetura deliberada. Os três pilares são identidade — quem está se conectando; segmentação — para onde podem ir; e aplicação — como você garante que a política seja mantida. O NAC une tudo isso, com o RADIUS como o protocolo de comunicação entre sua plataforma de autenticação e sua infraestrutura de rede. Para seus próximos passos: se ainda não o fez, audite a segmentação atual da sua rede de convidados. Confirme se não há rotas da sua VLAN de convidados para as suas sub-redes corporativas. Revise o fluxo de consentimento da GDPR e a configuração de retenção de dados do seu Captive Portal. E se você estiver usando WPA2 com um SSID de convidado aberto, coloque o WPA3-OWE no seu roadmap de atualização de infraestrutura. A plataforma da Purple se integra diretamente com essa arquitetura — fornecendo o Captive Portal, captura de identidade, camada de conformidade com a GDPR e análises que operam sobre a sua infraestrutura NAC. Se você quiser ver como isso se aplica ao ambiente específico do seu local, a equipe da Purple pode apresentar uma arquitetura de referência para o seu caso de uso. Obrigado por nos acompanhar. Este foi um Informativo de Inteligência Purple WiFi sobre Acesso Seguro de Convidados: Implementando NAC para Dispositivos Não Gerenciados.