Pular para o conteúdo principal
Português (Brasil)

Como Implementar SCEP para BYOD Seguro e Registro de Rede no Ensino Superior

Este guia técnico fornece aos arquitetos de rede e gerentes de TI um modelo neutro de fornecedor para implantar o registro de certificados baseado em SCEP para proteger redes de campus de ensino superior. Ele detalha como migrar do PEAP baseado em senha para o 802.1X EAP-TLS, automatizar a integração de BYOD e aplicar uma segmentação robusta de VLAN.

📖 5 min de leitura📝 1,022 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Fale em inglês britânico com um tom claro, confiante e autoritário. Você é um consultor sênior de segurança de rede instruindo uma sala de diretores de TI e CTOs em uma universidade. Sua fala é comedida, direta e ocasionalmente irônica. Você faz pausas naturais entre as seções. O ritmo é constante e profissional, sem pressa: Bem-vindos a este briefing técnico da Purple. Vou orientar vocês em tudo o que precisam saber sobre a implementação do SCEP - o Simple Certificate Enrolment Protocol - para BYOD seguro e registro de rede no ensino superior. Se você é um diretor de TI ou arquiteto de rede em uma universidade e ainda depende de senhas compartilhadas ou Captive Portals para autenticar dispositivos de estudantes no WiFi do campus, este briefing é para você. [medium pause] Vamos começar com o problema. A maioria das universidades hoje opera o que eu chamaria de modelo de confiança no primeiro uso. Um estudante chega, conecta-se ao SSID do campus, insere suas credenciais universitárias e está na rede. Simples. Familiar. E, francamente, um risco de segurança significativo. Senhas são compartilhadas. Credenciais sofrem phishing. Uma única conta comprometida pode colocar milhares de dispositivos na sua rede que não deveriam estar lá. E quando você lida com obrigações do GDPR, dados de pesquisa e sistemas de pagamento na mesma infraestrutura, esse não é um risco que você possa correr. [medium pause] O SCEP resolve isso na camada de identidade do dispositivo. Em vez de perguntar "quem é você?" por meio de uma senha, ele pergunta "o que é você?" por meio de um certificado criptográfico. O SCEP - formalmente definido no RFC 8894 pela IETF - é um protocolo que automatiza a emissão, entrega e renovação de certificados digitais X.509 para dispositivos gerenciados e não gerenciados. Ele tem sido a espinha dorsal do PKI empresarial por mais de duas décadas e é nativamente suportado por todas as principais plataformas de MDM: Microsoft Intune, JAMF Pro e VMware Workspace ONE. Veja como funciona o fluxo de registro na prática. Quando o dispositivo de um estudante se conecta ao seu SSID de integração, o agente MDM nesse dispositivo gera um par de chaves e cria uma solicitação de assinatura de certificado - um CSR. Essa solicitação vai para o seu gateway SCEP, que valida uma senha de desafio de uso único. O gateway encaminha o CSR para a sua Autoridade Certificadora, que o assina e retorna um certificado X.509 exclusivo para o dispositivo. A partir desse momento, o dispositivo usa esse certificado para se autenticar via 802.1X EAP-TLS - o método de autenticação sem fio mais seguro definido no padrão IEEE 802.1X. Sem senhas. Sem segredos compartilhados. Apenas prova criptográfica da identidade do dispositivo. [medium pause] Agora, o EAP-TLS - Extensible Authentication Protocol com Transport Layer Security - merece um momento da sua atenção. Ele exige autenticação mútua: o dispositivo comprova sua identidade para o servidor RADIUS, e o servidor RADIUS comprova sua identidade para o dispositivo. Isso elimina ataques do tipo man-in-the-middle na camada de autenticação. Compare isso com o PEAP-MSCHAPv2, que ainda é amplamente implementado e possui vulnerabilidades conhecidas de captura de credenciais. Se você está utilizando PEAP hoje, a migração para EAP-TLS via SCEP é uma atualização de segurança significativa, e não apenas incremental. [medium pause] Deixe-me apresentar uma arquitetura concreta. Você está operando três SSIDs. O primeiro é o seu SSID seguro para estudantes - vamos chamá-lo de UniSecure - na VLAN 10. Ele possui autenticação por certificado via 802.1X EAP-TLS. Apenas dispositivos com um certificado válido emitido pela sua CA podem se conectar. O segundo é o seu SSID para funcionários na VLAN 20, onde dispositivos gerenciados recebem certificados de forma automática via Intune ou JAMF durante o registro do dispositivo. O terceiro é o seu WiFi para convidados na VLAN 30 - um Captive Portal para visitantes, completamente isolado da sua rede acadêmica. O seu servidor RADIUS - seja ele Microsoft NPS, Cisco ISE ou HPE Aruba ClearPass - fica posicionado entre os pontos de acesso e a sua Autoridade de Certificação, aplicando políticas a cada tentativa de autenticação. [medium pause] Em termos de hardware, essa arquitetura roda perfeitamente em Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e Ubiquiti UniFi. O gateway SCEP pode ser o seu servidor Microsoft NDES existente, um serviço SCEP em nuvem ou uma plataforma PKI dedicada. Se você já utiliza o Microsoft Entra ID - antigo Azure Active Directory - a integração com o Certificate Connector do Intune é simples e bem documentada. [medium pause] Agora, permita-me apresentar dois cenários do mundo real. O primeiro é uma grande universidade com 30.000 estudantes distribuídos em um campus principal e quatro unidades satélites. O desafio deles: os alunos chegam em setembro com uma mistura de notebooks Windows, MacBooks, iPhones e dispositivos Android. Anteriormente, eles utilizavam PEAP com credenciais universitárias. O compartilhamento de credenciais era crônico. Eles migraram para SCEP com Intune para dispositivos gerenciados de funcionários e um portal de autoatendimento para integração de BYOD de estudantes. Os alunos acessam uma página web, autenticam-se com o login único da universidade, e o portal envia um perfil SCEP para o dispositivo deles. O dispositivo se registra, recebe um certificado e se conecta ao SSID seguro automaticamente. Os chamados de suporte de TI relacionados à autenticação WiFi caíram 60% no primeiro período acadêmico. A autenticação baseada em certificados também proporcionou uma trilha de auditoria limpa para conformidade com a GDPR - permitindo comprovar exatamente qual dispositivo acessou qual segmento de rede em qualquer momento. [medium pause] O segundo cenário é uma faculdade de ensino profissionalizante que utiliza uma mistura de Chromebooks pertencentes aos alunos e dispositivos Windows compartilhados em laboratórios de informática. Eles usaram o JAMF para dispositivos macOS e o gerenciamento de certificados do Google Workspace para Chromebooks. Os perfis SCEP foram enviados por meio de cada MDM durante o registro do dispositivo. Os dispositivos de laboratório compartilhados receberam certificados de máquina em vez de certificados de usuário, de modo que a autenticação foi baseada no dispositivo, em vez de vinculada a um login individual. Isso significava que os alunos podiam se sentar em qualquer máquina do laboratório e se conectar sem etapas adicionais de autenticação. A faculdade também segmentou dispositivos IoT - projetores, impressoras, lousas digitais - em uma VLAN separada sem roteamento de internet, reduzindo significativamente sua superfície de ataque. [medium pause] Vamos falar sobre as armadilhas de implementação, porque existem algumas que pegam as equipes de surpresa. A primeira é o gerenciamento de senhas de desafio. No SCEP puro, a senha de desafio é um segredo compartilhado. Se for estática e de longa duração, é uma vulnerabilidade. Use seu MDM para gerar senhas de desafio de uso único por registro de dispositivo. O Intune faz isso automaticamente por meio de seu Certificate Connector. Se você estiver executando um servidor SCEP independente, implemente janelas de expiração curtas - 15 minutos é um padrão razoável. A segunda armadilha é o gerenciamento do ciclo de vida dos certificados. Os certificados expiram. Se você não tiver a renovação automatizada configurada, terá alunos incapazes de se conectar ao WiFi na manhã de um exame. Defina a renovação para ser acionada em 80% do período de validade do certificado. A maioria dos MDMs lida com isso automaticamente, mas verifique sua configuração antes de entrar em operação. A terceira armadilha é a expansão descontrolada do BYOD. Nem todo dispositivo pessoal que um aluno possui deve estar na sua VLAN acadêmica. Defina claramente sua política de registro: quais tipos de dispositivos são qualificados, quais verificações de conformidade são necessárias - versão do SO, bloqueio de tela, criptografia - e o que acontece quando um dispositivo falha na conformidade. As políticas de acesso condicional do seu MDM aplicam isso automaticamente depois de configuradas. [medium pause] Uma seção rápida de perguntas e respostas para as dúvidas que recebo com mais frequência. O SCEP pode funcionar com dispositivos pessoais não gerenciados? Sim, por meio de um portal de integração de autoatendimento que envia um perfil SCEP leve. O dispositivo não precisa estar totalmente registrado no MDM. O SCEP substitui o eduroam? Não - o eduroam usa 802.1X com federação RADIUS, e o SCEP é o mecanismo que entrega os certificados que esses dispositivos usam para se autenticar no eduroam. Eles são complementares. O SCEP está em conformidade com o GDPR? A autenticação baseada em certificado gera um registro de auditoria limpo e atribuível - identidade do dispositivo, carimbo de data/hora, atribuição de VLAN - o que apoia suas obrigações do Artigo 32 do GDPR em relação a medidas de segurança técnica apropriadas. O WPA3 muda alguma coisa? O WPA3-Enterprise com modo de 192 bits exige o EAP-TLS, que requer certificados. O SCEP é o mecanismo de entrega natural. Adotar o WPA3 e o SCEP juntos é a direção arquitetônica correta. [medium pause] Em resumo. O SCEP automatiza a entrega de certificados para dispositivos de alunos e funcionários, permitindo a autenticação 802.1X EAP-TLS no WiFi do seu campus. Ele elimina senhas compartilhadas, reduz o risco de phishing de credenciais e oferece uma trilha de auditoria criptograficamente atribuível. A arquitetura é agnóstica em relação ao hardware - ela funciona em Cisco Meraki, HPE Aruba, Ruckus e Juniper Mist. Ela se integra ao Microsoft Entra ID, Okta e Google Workspace. E escala desde uma faculdade de campus único até uma universidade com múltiplos campi do Russell Group. Se você está avaliando a postura de segurança do WiFi do seu campus este ano, o SCEP com EAP-TLS é o padrão que você deve adotar. A plataforma da Purple se integra a essa arquitetura na camada de WiFi de convidados e analytics, fornecendo dados proprietários sobre o comportamento dos visitantes sem comprometer a segurança da sua rede acadêmica. Obrigado por nos acompanhar. Se quiser se aprofundar em qualquer um desses tópicos, o guia técnico completo está disponível em purple.ai.

header_image.png

Resumo Executivo

As redes de ensino superior enfrentam um conjunto único de desafios: picos sazonais massivos de integração, alta rotatividade de dispositivos, compartilhamento generalizado de credenciais e requisitos de conformidade rigorosos. Os modelos tradicionais de autenticação baseados em senha (como PEAP-MSCHAPv2) não atendem aos padrões de segurança modernos e geram uma sobrecarga significativa de suporte de TI.

Este guia detalha como implementar o Simple Certificate Enrollment Protocol (SCEP) para automatizar a entrega de certificados digitais X.509 tanto para dispositivos gerenciados de funcionários quanto para endpoints não gerenciados de estudantes BYOD (Bring Your Own Device). Ao migrar para a autenticação 802.1X EAP-TLS baseada em certificado, as universidades podem eliminar senhas compartilhadas, neutralizar o phishing de credenciais e estabelecer uma trilha de auditoria criptograficamente verificável. Abordamos a mecânica do protocolo subjacente, arquiteturas de referência para segmentação multi-VLAN, integração com plataformas de Gerenciamento de Dispositivos Móveis (MDM) e a transição operacional necessária para proteger o WiFi do campus em escala.

Detalhamento Técnico

As Limitações da Autenticação Legada

Muitas redes universitárias ainda dependem do PEAP (Protected Extensible Authentication Protocol) com credenciais universitárias. Esse modelo de confiança no primeiro uso apresenta riscos graves:

  1. Coleta de Credenciais: Atacantes podem transmitir SSIDs falsificados para capturar credenciais de estudantes.
  2. Compartilhamento de Senhas: Os estudantes frequentemente compartilham credenciais, prejudicando o controle de acesso à rede e a alocação de largura de banda.
  3. Sobrecarga de Suporte: Redefinições de senha e erros de configuração manual impulsionam o volume máximo de chamados no suporte técnico durante o início do ano letivo.

Arquitetura SCEP e EAP-TLS

O SCEP, definido na RFC 8894, automatiza o ciclo de vida dos certificados digitais. Em vez de autenticar o usuário por meio de uma senha, a rede autentica o dispositivo por meio de um certificado X.509 exclusivo. Isso viabiliza o EAP-TLS (Extensible Authentication Protocol com Transport Layer Security), que exige autenticação mútua entre o dispositivo cliente e o servidor RADIUS.

scep_enrollment_flow.png

O fluxo de inscrição SCEP opera da seguinte forma:

  1. Conexão Inicial: O dispositivo se conecta a um portal de integração ou recebe um perfil MDM.
  2. Geração de CSR: O dispositivo gera um par de chaves e cria uma Solicitação de Assinatura de Certificado (CSR).
  3. Validação de Desafio: O gateway SCEP valida uma senha de desafio dinâmica e de uso único fornecida pelo MDM ou portal de integração.
  4. Emissão do Certificado: A Autoridade Certificadora (CA) assina a CSR e retorna o certificado X.509.
  5. Autenticação: O dispositivo apresenta o certificado ao servidor RADIUS via 802.1X EAP-TLS para obter acesso à VLAN segura.

Componentes de Infraestrutura

A implantação do SCEP requer vários componentes integrados:

  • Autoridade Certificadora (CA): A raiz de confiança que emite os certificados (ex.: Microsoft AD CS, uma PKI em nuvem).
  • Gateway SCEP: O intermediário que valida as solicitações antes de encaminhá-las para a CA (ex.: Microsoft NDES, SecureW2, IronWiFi).
  • Plataforma de MDM / Integração: Gerencia a implantação de perfis SCEP (ex.: Microsoft Intune, JAMF Pro, Google Workspace).
  • Servidor RADIUS: Aplica a política de acesso à rede com base na validade do certificado (ex.: Cisco ISE, HPE Aruba ClearPass, Microsoft NPS).
  • Infraestrutura Sem Fio: Os pontos de acesso e controladores que aplicam o 802.1X (ex.: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist).

Guia de Implementação

Passo 1: Estabelecer a PKI e o Gateway SCEP

Se a sua universidade utiliza o Microsoft Entra ID, a integração do Intune com uma PKI em nuvem ou um servidor NDES local é a abordagem padrão. O gateway SCEP deve estar acessível externamente se você planeja provisionar dispositivos antes que eles cheguem ao campus.

Passo 2: Configurar os Perfis de MDM

Para dispositivos gerenciados (laptops de funcionários, máquinas de laboratório), configure os perfis SCEP no seu MDM. Certifique-se de que o perfil especifique:

  • Formato do Nome do Assunto: CN={{AAD_Device_ID}} ou semelhante, para identificar o dispositivo de forma exclusiva.
  • Uso da Chave: Assinatura Digital e Criptografia de Chave.
  • Uso Estendido da Chave: Autenticação de Cliente.
  • Tipo de Desafio: Dinâmico (senha de uso único), nunca estático.

Passo 3: Implantar o Portal de Integração BYOD

Para dispositivos de estudantes não gerenciados, implante um portal de integração de autoatendimento. Os estudantes se autenticam por meio do provedor de logon único (SSO) da universidade (ex.: Microsoft Entra ID, Okta). O portal verifica o status de matrícula ativa e envia um perfil SCEP leve para o dispositivo, automatizando a solicitação de certificado sem exigir o gerenciamento completo por MDM.

Passo 4: Implementar a Segmentação de VLAN

Configure seu servidor RADIUS para atribuir VLANs dinamicamente com base nos atributos do certificado ou no grupo de usuários em seu diretório.

byod_network_segmentation.png

  • VLAN 10 (BYOD de Estudantes): Autenticado por EAP-TLS. Acesso a recursos acadêmicos e internet.
  • VLAN 20 (Gerenciado por Funcionários): Autenticado por EAP-TLS. Acesso a sistemas administrativos e servidores internos.
  • VLAN 30 (WiFi de Visitantes): Autenticado por Captive Portal. Apenas acesso à internet, isolado da rede principal.

Melhores Práticas

  • Senhas de Desafio Dinâmicas: Nunca use um segredo compartilhado estático para o seu gateway SCEP. Certifique-se de que seu MDM ou plataforma de integração gere senhas de desafio de uso único para cada solicitação de registro.* Renovação Automatizada: Configure os certificados para serem renovados automaticamente a 80% do seu período de validade. Isso evita expirações em massa durante períodos acadêmicos críticos.
  • Conformidade do Dispositivo: Use políticas de acesso condicional de MDM para garantir que os dispositivos atendam aos requisitos mínimos de segurança (por exemplo, versão do SO, criptografia) antes que o perfil SCEP seja entregue.
  • Verificação de Revogação: Certifique-se de que seu servidor RADIUS esteja configurado para verificar a Lista de Certificados Revogados (CRL) ou use o Online Certificate Status Protocol (OCSP) para bloquear o acesso imediatamente se um dispositivo for relatado como perdido ou roubado.

Resolução de Problemas e Mitigação de Riscos

Modos de Falha Comuns

  1. Gateway NDES/SCEP Inacessível: Se o gateway SCEP não estiver acessível externamente, os dispositivos não poderão se registrar fora do campus. Garanta que o gateway seja publicado de forma segura por meio de um proxy de aplicativo.
  2. Erros de Confiança na Cadeia de Certificados: O dispositivo cliente deve confiar na CA Raiz que emitiu o certificado do servidor RADIUS. Certifique-se de que o certificado da CA Raiz seja enviado junto com o perfil SCEP.
  3. Timeout do RADIUS: O EAP-TLS requer várias viagens de ida e volta. Certifique-se de que seus controladores sem fio e servidores RADIUS estejam configurados com valores de timeout adequados para acomodar a latência, especialmente durante os picos de integração.

ROI e Impacto nos Negócios

A migração para SCEP e EAP-TLS proporciona resultados de negócios mensuráveis para os departamentos de TI das universidades:

  • Custos de Suporte Reduzidos: Ao automatizar o registro, as universidades normalmente observam uma redução de 50 a 70% nos chamados de suporte relacionados a WiFi durante o início do ano letivo.
  • Postura de Segurança Aprimorada: A eliminação de senhas compartilhadas e a migração para a identidade criptográfica do dispositivo neutralizam ataques de captura de credenciais.
  • Conformidade Regulatória: A autenticação baseada em certificados fornece um log de auditoria robusto e atribuível, apoiando os requisitos do Artigo 32 do GDPR para medidas técnicas de segurança.

A plataforma da Purple integra-se a essa arquitetura na camada de WiFi para convidados. Enquanto suas redes acadêmicas e de funcionários permanecem protegidas via SCEP e EAP-TLS, a Purple oferece uma integração perfeita de Captive Portal para visitantes, capturando dados primários e fornecendo análises sem comprometer a segurança da rede principal.

Definições principais

SCEP (Simple Certificate Enrollment Protocol)

Um protocolo IETF que automatiza o processo de solicitação, emissão e instalação de certificados digitais em dispositivos de rede sem intervenção manual.

Usado por equipes de TI para implantar certificados em escala para milhares de dispositivos de alunos e funcionários simultaneamente.

EAP-TLS (Extensible Authentication Protocol with Transport Layer Security)

O método de autenticação 802.1X mais seguro, que exige que o dispositivo cliente e o servidor RADIUS comprovem suas identidades usando certificados digitais.

O padrão de autenticação alvo para universidades que buscam eliminar o acesso WiFi baseado em senha.

CSR (Certificate Signing Request)

Um bloco de texto criptografado gerado pelo dispositivo cliente contendo sua chave pública e informações de identificação, enviado à CA para solicitar um certificado.

A primeira etapa técnica no processo de registro SCEP depois que o dispositivo se conecta ao gateway.

MDM (Mobile Device Management)

Plataformas de software como Microsoft Intune ou JAMF Pro usadas para gerenciar configurações de dispositivos, impor conformidade e implantar perfis SCEP.

O plano de controle administrativo para dispositivos de funcionários e o ponto de integração para desafios dinâmicos do SCEP.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA) para usuários que se conectam e usam um serviço de rede.

O servidor (como Cisco ISE ou ClearPass) que valida o certificado do dispositivo e o atribui à VLAN correta.

NDES (Network Device Enrollment Service)

Uma função do Microsoft Windows Server que atua como um gateway SCEP, permitindo que dispositivos sem credenciais do Active Directory obtenham certificados de uma CA corporativa.

O gateway SCEP local (on-premises) tradicional usado em ambientes Microsoft, frequentemente integrado com o Intune.

VLAN (Virtual Local Area Network)

Uma sub-rede lógica que agrupa uma coleção de dispositivos de diferentes LANs físicas, isolando o tráfego de broadcast e impondo limites de segurança.

Usada para separar o tráfego BYOD dos alunos dos dispositivos dos funcionários, do acesso de visitantes e da infraestrutura de IoT.

BYOD (Bring Your Own Device)

A prática de permitir que alunos e funcionários usem seus laptops, smartphones e tablets pessoais para acessar a rede da universidade.

O principal impulsionador para a implementação de portais de integração automatizados e SCEP no ensino superior.

Exemplos práticos

Uma universidade com 30.000 alunos está migrando do PEAP para o EAP-TLS. Eles usam o Microsoft Entra ID e o Intune para funcionários, mas precisam de uma solução para notebooks e smartphones BYOD não gerenciados de alunos. Como eles devem estruturar a arquitetura de registro?

Implante um portal de integração de autoatendimento integrado ao Microsoft Entra ID para SSO. Os dispositivos dos funcionários recebem perfis SCEP automaticamente via Intune durante a provisão do dispositivo. Os alunos se conectam a um SSID de 'Integração' aberto, autenticam-se pelo portal usando suas credenciais universitárias e o portal envia um perfil SCEP temporário para o dispositivo. O dispositivo gera uma CSR, o gateway SCEP valida o desafio dinâmico e a CA emite o certificado. O dispositivo então se reconecta automaticamente ao SSID seguro 'eduroam' ou 'Aluno' usando EAP-TLS.

Comentário do examinador: Essa abordagem separa corretamente os dispositivos gerenciados do BYOD não gerenciado. Ao usar um portal de integração dinâmico para os alunos, a universidade alcança a segurança baseada em certificado sem a sobrecarga administrativa de forçar o registro total de MDM em dispositivos pessoais.

Uma faculdade de ensino técnico precisa proteger computadores de laboratório Windows compartilhados e dispositivos IoT (projetores, lousas digitais) juntamente com sua rede BYOD. Como eles devem lidar com a autenticação de dispositivos sem um usuário específico?

Para computadores de laboratório compartilhados, implante certificados de máquina via SCEP usando SCCM ou Intune. Os dispositivos se autenticam na rede usando EAP-TLS no nível da máquina, permitindo que qualquer aluno faça login sem acionar um evento de autenticação de rede separado. Para dispositivos IoT que não suportam 802.1X ou SCEP, implemente Identity PSK (iPSK) ou MAC Authentication Bypass (MAB), e segmente-os em uma VLAN de IoT dedicada e isolada, sem acesso à rede acadêmica.

Comentário do examinador: A solução identifica corretamente que o SCEP pode emitir certificados de máquina para hardware compartilhado. Também reconhece a limitação prática de que muitos dispositivos IoT carecem de suplicantes 802.1X, recomendando apropriadamente o iPSK e a segmentação estrita de VLAN como controle de compensação.

Questões práticas

Q1. Sua universidade está implantando o SCEP por meio do Microsoft NDES e Intune. Durante os testes, os laptops Windows se registram com sucesso, mas os dispositivos iOS não conseguem receber um certificado. Os logs do servidor NDES não mostram solicitações recebidas dos dispositivos Apple. Qual é o problema de arquitetura mais provável?

Dica: Considere a localização de rede dos dispositivos durante a fase inicial de registro.

Ver resposta modelo

O servidor NDES (gateway SCEP) provavelmente não está publicado externamente. Os dispositivos Windows podem estar se registrando enquanto estão na rede interna ou VPN, enquanto os dispositivos iOS estão tentando se registrar por meio de dados móveis ou uma rede externa. O gateway SCEP deve ser publicado com segurança na internet (por exemplo, via Azure AD Application Proxy) para permitir o registro fora do campus.

Q2. Um aluno relata que não consegue se conectar ao WiFi do campus. O dispositivo dele possui um certificado emitido via SCEP há dois anos. A CA está funcionando e o servidor RADIUS está online. Qual prática recomendada de configuração provavelmente foi esquecida?

Dica: Os certificados digitais possuem uma vida útil definida.

Ver resposta modelo

A renovação automática de certificados provavelmente não foi configurada ou falhou. O certificado do aluno expirou. As melhores práticas exigem a configuração do MDM ou do perfil SCEP para solicitar automaticamente uma renovação quando o certificado atingir 80% do seu período de validade.

Q3. Você está projetando a segmentação de rede para um novo edifício do campus. Você implementou EAP-TLS para funcionários e alunos. A equipe de instalações precisa conectar 50 novos sensores de HVAC sem fio que não suportam 802.1X ou certificados. Como você protege esses dispositivos?

Dica: Esses dispositivos não podem usar SCEP. Considere métodos alternativos de autenticação e isolamento de rede.

Ver resposta modelo

Implemente Identity PSK (iPSK) ou MAC Authentication Bypass (MAB) para os sensores de HVAC. Fundamentalmente, segmente esses dispositivos em uma VLAN de IoT dedicada. Configure regras de firewall para bloquear o acesso desta VLAN à internet ou às sub-redes acadêmicas/de funcionários, restringindo o tráfego apenas ao servidor de gerenciamento de HVAC interno específico.

Continue a ler esta série

Server RADIUS: um guia completo para empresas

Este guia fornece a gerentes de TI, arquitetos de rede e CTOs uma referência técnica definitiva sobre autenticação de server RADIUS para WiFi corporativo. Ele aborda a estrutura AAA, arquitetura 802.1X, seleção de método EAP, compensações de implantação em nuvem versus local e atribuição dinâmica de VLAN. Operadores de locais nos setores de hospitalidade, varejo, eventos e setor público encontrarão orientações práticas de implementação, estudos de caso do mundo real e as estruturas de decisão necessárias para migrar de chaves pré-compartilhadas inseguras para uma arquitetura de controle de acesso à rede segura e orientada por identidade.

Ler o guia →

Aruba ClearPass vs. Purple WiFi: Comparando Recursos e Co-implantação

Um guia técnico abrangente detalhando a arquitetura de co-implantação do Aruba ClearPass e Purple WiFi. Ele aborda a configuração de proxy RADIUS, atribuição dinâmica de VLAN e melhores práticas para fornecer redes de convidados seguras e orientadas por análise de dados junto com o NAC corporativo.

Ler o guia →

Cisco ISE vs. Purple WiFi: Como eles se comparam e trabalham juntos

Este guia explica como o Cisco ISE e o Purple WiFi desempenham papéis distintos, porém complementares, em redes corporativas. Ele detalha como usar o Cisco ISE para acesso corporativo seguro 802.1X, enquanto aproveita o Purple para WiFi de convidados em conformidade com o GDPR, análise de marketing e integração com CRM.

Ler o guia →