Pular para o conteúdo principal
Português (Brasil)

NAC (Network Access Control) Explicado

Uma referência técnica autorizada para líderes de TI sobre Network Access Control (NAC), explicando sua arquitetura, modelos de implantação e papel crítico na segurança de WiFi corporativo. Este guia fornece insights práticos para proteger o acesso à rede em ambientes de hotelaria, varejo e corporativos, detalhando como plataformas como a Purple se integram para aplicar políticas de acesso robustas.

📖 7 min de leitura📝 1,579 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
[Intro Music - Bright, professional, tech-focused tune, fades down after 5 seconds] **Host (Confident, authoritative, UK English voice):** Olá e boas-vindas ao Purple Technical Briefing. Eu sou o seu anfitrião e, nos próximos dez minutos, forneceremos uma visão geral de nível sênior sobre um tópico crítico de segurança: Network Access Control, ou NAC. Se você é um gerente de TI, arquiteto ou CTO responsável pela rede da sua organização, isso é para você. Estamos eliminando o jargão técnico para focar no que é o NAC, por que ele é importante para a sua estratégia de WiFi e como pensar na sua implementação. **(1-minute mark - Introduction & Context)** Então, qual é o problema que o NAC realmente resolve? Durante anos, protegemos nossas redes com uma senha simples. Mas hoje, com funcionários, convidados, prestadores de serviço e uma enxurrada de dispositivos IoT, todos querendo acesso, esse ponto único de falha não é mais defensável. O NAC nos move de um modelo baseado em senha para um modelo baseado em identidade. Ele deixa de perguntar "qual é a senha?" e passa a perguntar "quem é você, qual dispositivo está usando e é seguro permitir sua entrada?" É o segurança na porta do seu ambiente digital, verificando identidades e garantindo a conformidade antes de conceder o acesso. **(6-minute mark - Technical Deep-Dive)** Vamos entrar na arquitetura. O núcleo do NAC moderno é um padrão chamado IEEE 802.1X. Isso não é tão complexo quanto parece. Pense nisso como uma conversa em três partes. Primeiro, você tem o "Supplicant" – que é o laptop ou telefone que deseja se conectar. Segundo, o "Authenticator" – seu ponto de acesso WiFi ou switch. E terceiro, o "Authentication Server", que é quase sempre um servidor RADIUS. Quando seu laptop se conecta, o ponto de acesso o para na porta e diz: "Espere um pouco. Deixe-me verificar com meu chefe." Ele pega suas credenciais – idealmente um certificado digital, não uma senha – e as passa para o servidor RADIUS. O servidor RADIUS verifica sua identidade em um diretório, como o Active Directory. Mas aqui está a parte crucial. Uma solução NAC adequada não diz apenas "sim" ou "não". Ela também realiza uma verificação de postura. Ela pergunta: seu antivírus está atualizado? Seu sistema operacional está corrigido? Seu disco está criptografado? Se você passar tanto na verificação de identidade quanto na de integridade, o servidor RADIUS diz ao ponto de acesso: "Este é um dispositivo corporativo confiável. Coloque-o na VLAN de funcionários." Se você for um convidado, ele pode dizer: "Não conheço esta pessoa. Redirecione-a para o Captive Portal da Purple para se registrar." E se o seu dispositivo estiver fora de conformidade, ele pode dizer: "Este dispositivo não está íntegro. Coloque-o na VLAN de quarentena com acesso apenas ao servidor de remediação." Essa atribuição dinâmica e baseada em políticas é o superpoder do NAC. É o que permite que você construa uma rede verdadeiramente segmentada e de zero-trust. **(8-minute mark - Implementation Recommendations & Pitfalls)** Então, como você implanta isso sem causar o caos? Primeiro, não tente fazer tudo de uma vez. Comece no modo apenas de monitoramento. Deixe a solução NAC escutar por algumas semanas para descobrir e traçar o perfil de cada dispositivo em sua rede. Você ficará surpreso com o que vai encontrar. Segundo, comece sua aplicação em um segmento de baixo risco, como o Wi-Fi da sua própria equipe de TI. Teste suas políticas, refine-as. Para seus dispositivos corporativos, force a autenticação baseada em certificados. É mais segura e, uma vez configurada, totalmente transparente para o usuário. Para convidados, um Captive Portal é o caminho a seguir. É aqui que uma plataforma como a Purple se encaixa. Nós cuidamos da jornada do convidado, da conformidade legal, das análises, enquanto sua infraestrutura NAC principal cuida da segurança profunda dos seus ativos corporativos. A maior armadilha que vemos é a falta de planejamento para o gerenciamento de certificados e a dificuldade de lidar com aqueles dispositivos IoT sem interface que não suportam 802.1X. Para esses, você precisará de uma estratégia que combine autenticação MAC com perfil de dispositivo. **(Marcação de 9 minutos - Perguntas e Respostas Rápidas)** Vamos fazer um rápido Perguntas e Respostas. *Pergunta um: O NAC é apenas para Wi-Fi?* Não, é tanto para redes cabeadas quanto sem fio. Qualquer porta em que um dispositivo possa ser conectado deve ser protegida. *Pergunta dois: Isso é complexo demais para uma pequena empresa?* Não mais. Soluções NAC baseadas em nuvem tornaram isso acessível sem a necessidade de um rack de servidores locais. *Pergunta três: Isso substitui meu firewall?* Com certeza não. Ele funciona em conjunto com seu firewall. O NAC controla quem entra na rede, e o firewall controla o que eles podem fazer depois que entram. **(Marcação de 10 minutos - Resumo e Próximos Passos)** Para resumir: o Network Access Control consiste em migrar de um modelo de senha desatualizado para uma estrutura de segurança moderna e orientada por identidade. Ele permite autenticar, autorizar e auditar cada dispositivo em sua rede. Ao usar padrões como 802.1X e ferramentas como avaliação de postura e VLANs dinâmicas, você pode construir uma rede que é ao mesmo tempo mais segura e mais inteligente. Seu próximo passo? Comece com a descoberta. Você não pode proteger o que não pode ver. Identifique tudo em sua rede, defina suas funções e comece a construir suas políticas de acesso. Obrigado por participar deste Briefing Técnico da Purple. Para saber mais, visite-nos em purple.ai. [Música de Encerramento - Melodia brilhante, profissional e focada em tecnologia, aumenta gradualmente e toca por 5 segundos antes de terminar]

header_image.png

Resumo Executivo

O Network Access Control (NAC) evoluiu de uma medida de segurança de nicho para um componente fundamental da estratégia de rede corporativa moderna. Para gerentes de TI, arquitetos de rede e CTOs, a implementação de uma solução NAC robusta não é mais uma questão de "se", mas de "quando" e "como". Este guia serve como uma referência prática e neutra em relação a fornecedores para entender e implantar o NAC, particularmente no contexto de ambientes WiFi complexos encontrados em hotéis, redes de varejo e grandes locais de eventos. Vamos dissecar os componentes principais do NAC, contrastando-o com métodos básicos de autenticação para esclarecer seu valor na mitigação de riscos de segurança. O foco está em resultados tangíveis: alcançar a conformidade dos endpoints, aplicar políticas de acesso granulares e proteger o perímetro da rede contra uma gama em constante expansão de dispositivos gerenciados e não gerenciados. Ao ir além dos conceitos teóricos para abordar cenários de implantação do mundo real, este documento fornece a estrutura necessária para tomar decisões informadas, calcular o ROI e alinhar a segurança da rede com objetivos de negócios mais amplos. Ele também esclarece onde soluções como a plataforma Purple se encaixam em uma arquitetura NAC abrangente, preenchendo a lacuna entre o acesso de convidados, a segurança da equipe e a aplicação centralizada de políticas.

Aprofundamento Técnico

Em sua essência, o Network Access Control é um paradigma de segurança que visa unificar a tecnologia de segurança de endpoint (como antivírus e prevenção de intrusão de host), autenticação de usuário ou sistema e aplicação de segurança de rede. Onde uma rede WiFi tradicional protegida por senha pergunta apenas "qual é a senha?", uma rede habilitada para NAC faz uma série de perguntas mais inteligentes: "Quem é você?", "Qual dispositivo você está usando?", "Este dispositivo está em conformidade com nossas políticas de segurança?" e "Quais recursos você está autorizado a acessar?"

Os Componentes Principais: 802.1X e RADIUS

A pedra angular da maioria das implementações modernas de NAC é o padrão IEEE 802.1X. Isso não é uma tecnologia única, mas uma estrutura para controle de acesso à rede baseado em porta. Envolve três participantes principais:

  1. Suplicante (Supplicant): O dispositivo cliente (por exemplo, um laptop, smartphone) que solicita acesso à rede.
  2. Autenticador (Authenticator): O hardware de rede que protege a rede, normalmente um ponto de acesso WiFi ou um switch. Ele age como um guardião, permitindo ou bloqueando o tráfego.
  3. Servidor de Autenticação (Authentication Server): O cérebro centralizado da operação, quase sempre um servidor RADIUS (Remote Authentication Dial-In User Service). Ele valida as credenciais do suplicante e instrui o autenticador sobre qual nível de acesso conceder.

O processo funciona por meio do Extensible Authentication Protocol (EAP), que permite vários métodos de autenticação, desde simples usuário/senha (EAP-PEAP) até certificados digitais altamente seguros (EAP-TLS). Quando um dispositivo se conecta, o autenticador bloqueia todo o tráfego, exceto a comunicação 802.1X. Ele retransmite as credenciais do suplicante para o servidor RADIUS, que as verifica em um diretório (como o Active Directory). Se a autenticação for bem-sucedida, o servidor RADIUS envia uma mensagem de "Access-Accept" de volta ao autenticador, geralmente incluindo instruções de política específicas, como a atribuição do dispositivo a uma VLAN específica.

architecture_overview.png

NAC vs. Autenticação WiFi Básica: Uma Distinção Crítica

É crucial que os tomadores de decisão entendam que o NAC não é meramente uma senha aprimorada. A diferença é fundamental para a postura de segurança da rede.

comparison_chart.png

Como ilustra a comparação, o NAC fornece controle baseado em identidade que é impossível com credenciais compartilhadas. Ele move o perímetro de segurança da borda da rede para o dispositivo individual, permitindo uma abordagem Zero Trust onde o acesso nunca é presumido e sempre verificado.

O Papel da Conformidade do Endpoint

Uma solução NAC madura vai além da autenticação. Ela realiza a avaliação de postura nos dispositivos que se conectam para garantir que eles atendam às políticas de segurança predefinidas antes de receberem acesso. Isso pode incluir verificações de:

  • Nível de Patch do Sistema Operacional: O dispositivo está executando as atualizações de segurança mais recentes?
  • Software Antivírus: Um cliente de AV aprovado está instalado, em execução e atualizado?
  • Criptografia de Disco: O disco rígido do dispositivo está criptografado?
  • Firewall do Host: O firewall local está ativado?

Se um dispositivo falhar nessas verificações, ele pode ser colocado em uma VLAN de quarentena com acesso limitado — talvez apenas a servidores de remediação onde o usuário possa baixar as atualizações necessárias. Essa aplicação proativa é uma ferramenta poderosa para evitar a propagação de malware a partir de endpoints comprometidos.

Guia de Implementação

A implantação do NAC é um projeto estratégico, não uma simples instalação de software. Recomenda-se uma abordagem em fases para minimizar interrupções e garantir o sucesso.

Fase 1: Descoberta e Definição de Políticas

Antes de aplicar qualquer política, você deve entender o que está em sua rede. A fase inicial deve ser um modo passivo, apenas de descoberta. A solução NAC monitorará o tráfego de rede para traçar o perfil de cada dispositivo conectado — desde laptops corporativos e smartphones de funcionários até dispositivos de visitantes e hardware de IoT, como smart TVs, terminais de PDV e sistemas de climatização (HVAC). Essa visibilidade é fundamental para a construção de uma política de acesso abrangente. Durante esta fase, você definirá funções (por exemplo, Usuário Corporativo, Visitante, Terceirizado, Dispositivo IoT) e mapeará os direitos de acesso para cada um.

Fase 2: Aplicação Gradual

Comece a aplicação em um segmento limitado e de baixo risco da rede, como o WiFi da equipe do departamento de TI. Isso permite que a equipe refine as políticas e solucione problemas em um ambiente controlado. Para dispositivos corporativos, a implantação do 802.1X com autenticação baseada em certificado (EAP-TLS) é o padrão ouro, oferecendo a experiência de usuário mais segura e contínua. Para acesso de visitantes e BYOD, uma abordagem de Captive Portal é mais prática.

Fase 3: Integrando o Acesso de Visitantes e Funcionários com a Purple

Em locais com populações de usuários distintas, separar o tráfego de visitantes e de funcionários é primordial. É aqui que uma plataforma como a Purple se integra à arquitetura NAC. A política de NAC no autenticador (AP/switch) pode identificar o tráfego de visitantes e redirecioná-lo para o Captive Portal da Purple para autenticação e aceitação de políticas. Enquanto isso, os dispositivos dos funcionários podem ser autenticados silenciosamente via 802.1X em um servidor RADIUS.

purple_nac_deployment.png

Este modelo híbrido oferece o melhor dos dois mundos:

  • Rede de Visitantes: Gerenciada pela Purple para uma jornada de usuário personalizada com a marca, opções de login social, análise de dados e conformidade com regulamentos de privacidade de dados como o GDPR. A rede subjacente é isolada em uma VLAN de visitantes.
  • Rede de Funcionários: Protegida via 802.1X para autenticação robusta baseada em certificado, com dispositivos inseridos em uma VLAN corporativa com acesso a recursos internos.
  • Rede IoT/Operacional: Dispositivos como terminais de PDV ou sistemas de gestão predial são colocados em sua própria VLAN altamente restrita, geralmente usando autenticação baseada em MAC como um controle básico.

Fase 4: Implantação Completa e Monitoramento

Depois que as políticas forem validadas e a integração testada, a aplicação pode ser estendida para toda a organização. O monitoramento contínuo é essencial. O painel do NAC torna-se uma ferramenta fundamental para as operações de segurança, fornecendo visibilidade em tempo real dos eventos de acesso à rede, status de conformidade e ameaças potenciais.

Boas Práticas

  • Priorize a Autenticação Baseada em Certificado (EAP-TLS): Para dispositivos gerenciados pela empresa, evite senhas. Os certificados são mais seguros e proporcionam uma experiência de usuário sem atritos.
  • Implemente o Direcionamento Dinâmico de VLAN: Use atributos RADIUS para atribuir dispositivos automaticamente ao segmento de rede correto com base em sua função e postura. Essa é a essência da aplicação de políticas.
  • Projete Pensando em Falhas: O que acontece se o servidor RADIUS estiver inacessível? Configure os autenticadores para fail-open (permitir o acesso, menos seguro) ou fail-closed (negar o acesso, mais seguro) com base em uma avaliação de risco do segmento de rede específico.
  • Não Tente Abraçar o Mundo: Comece com uma política simples e faça iterações. Um ponto de partida comum é aplicar verificações de postura para dispositivos corporativos e fornecer acesso básico apenas à internet para convidados.
  • Integre com seu Ecossistema de Segurança: Uma solução NAC moderna deve se integrar com firewalls, SIEMs e ferramentas de gerenciamento de endpoint para permitir uma resposta automatizada a ameaças. Por exemplo, se um firewall detectar tráfego malicioso de um endpoint, ele pode sinalizar para a solução NAC colocar esse dispositivo em quarentena automaticamente.

Solução de Problemas e Mitigação de Riscos

  • Problemas de Suplicante 802.1X: A dor de cabeça mais comum é o suporte inconsistente para 802.1X em diferentes sistemas operacionais e drivers de dispositivos. Certifique-se de que os dispositivos estejam configurados corretamente via MDM ou GPO.
  • Gerenciamento de Certificados: O EAP-TLS requer uma Infraestrutura de Chaves Públicas (PKI). O gerenciamento do ciclo de vida dos certificados (emissão, renovação, revogação) pode ser complexo. Planeje esse custo operacional.
  • Randomização de Endereço MAC: Dispositivos móveis modernos (iOS, Android) usam endereços MAC randomizados para evitar o rastreamento, o que pode quebrar as regras de autenticação baseadas em MAC. Para redes de convidados, isso reforça a necessidade de um login baseado em portal. Para BYOD corporativo, exige um fluxo de autenticação baseado no usuário.
  • Integração de IoT: Muitos dispositivos IoT não suportam 802.1X. Uma combinação de autenticação baseada em MAC e criação de perfil é frequentemente necessária. A solução NAC deve ser capaz de identificar um dispositivo como, por exemplo, uma Smart TV Samsung e atribuí-lo automaticamente à VLAN de IoT apropriada.

ROI e Impacto nos Negócios

Investir em NAC não é apenas uma despesa de segurança; entrega valor comercial tangível.

Área de Impacto nos Negócios Métrica de Medição Resultado Esperado
Mitigação de Riscos Redução em incidentes de segurança originados de endpoints comprometidos. Menor custo de remediação de violações e recuperação de dados.
Conformidade Auditorias bem-sucedidas de PCI DSS, GDPR, HIPAA. Prevenção de multas regulatórias e danos à reputação.
Eficiência Operacional Redução de chamados no helpdesk de TI para problemas de acesso à rede. A automatização da integração e da aplicação de políticas libera a equipe de TI para projetos estratégicos.
Experiência do Usuário Experiência de conexão mais rápida e fluida para a equipe. Aumento da produtividade e redução da frustração do usuário.
Business Intelligence (Com Purple) Análises ricas sobre o comportamento e dados demográficos dos convidados. Decisões baseadas em dados para marketing, operações e layout do local.

Ao quantificar esses benefícios, os líderes de TI podem construir um caso de negócios convincente para a implantação do NAC, enquadrando-o como um facilitador estratégico de um local de trabalho digital seguro e eficiente.

Referências

[1] IBM, "Cost of a Data Breach Report 2023." [2] PCI Security Standards Council, "Guidance for PCI DSS Scoping and Network Segmentation." [3] IEEE, "IEEE 802.1X-2020 - IEEE Standard for Port-Based Network Access Control."

Definições principais

Network Access Control (NAC)

Uma solução de segurança de rede que usa um conjunto de protocolos para definir e implementar uma política que descreve como proteger o acesso aos nós da rede por dispositivos quando eles tentam acessar a rede inicialmente.

As equipes de TI implantam o NAC para evitar que usuários não autorizados e dispositivos não conformes acessem redes corporativas ou privadas, reduzindo assim a superfície de ataque.

IEEE 802.1X

Um padrão IEEE para Controle de Acesso à Rede Baseado em Porta (PNAC). Faz parte do grupo de protocolos de rede IEEE 802.1 e fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN.

Este é o padrão fundamental para autenticação de nível empresarial em redes cabeadas e sem fio, permitindo a verificação de identidade por usuário e por dispositivo.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA) para usuários e dispositivos que se conectam e usam um serviço de rede.

Em uma arquitetura NAC, o servidor RADIUS é o cérebro. Ele recebe solicitações de autenticação de switches e APs, valida credenciais em um diretório de usuários e envia de volta as decisões de política.

Endpoint Compliance (Posture Assessment)

O processo de verificação de um dispositivo durante a autenticação para garantir que ele esteja em conformidade com um conjunto predefinido de políticas de segurança, como ter um sistema operacional atualizado, antivírus ativo e firewall habilitado.

Este é um recurso fundamental das soluções NAC avançadas. Ele garante que um dispositivo não esteja apenas autorizado, mas também íntegro antes de ser permitido na rede, evitando a propagação de malware.

VLAN (Virtual Local Area Network)

Um agrupamento lógico de dispositivos no mesmo domínio de transmissão. As VLANs geralmente são configuradas em switches colocando algumas interfaces em um domínio de transmissão e outras em outro.

O NAC usa VLANs como uma ferramenta de aplicação primária. Com base na identidade e na postura de um dispositivo, a solução NAC instrui o switch a colocá-lo em uma VLAN específica (por exemplo, "Visitante", "Corporativo"), segmentando a rede de forma eficaz.

Captive Portal

Uma página web que o usuário de uma rede de acesso público é obrigado a visualizar e interagir antes que o acesso seja concedido. Os Captive Portals são normalmente usados por centros comerciais, aeroportos, saguões de hotéis e outros locais que oferecem Wi-Fi gratuito.

Embora não sejam tão seguros quanto o 802.1X, os Captive Portals são o padrão para autenticação de visitantes. Plataformas como a Purple os utilizam para gerenciar termos de serviço, coletar dados de marketing e aplicar políticas de acesso para usuários não corporativos.

EAP (Extensible Authentication Protocol)

Uma estrutura de autenticação frequentemente usada em conexões de rede e internet. É definida na RFC 3748 e fornece uma maneira padrão para que diferentes métodos de autenticação sejam usados dentro da estrutura 802.1X.

Os arquitetos de TI escolhem diferentes tipos de EAP com base nas necessidades de segurança. O EAP-TLS (usando certificados) é altamente seguro, enquanto o PEAP (usando senhas) é mais fácil de implantar, mas menos seguro.

PCI DSS

O Payment Card Industry Data Security Standard. Um conjunto de padrões de segurança projetados para garantir que todas as empresas que aceitam, processam, armazenam ou transmitem informações de cartão de crédito mantenham um ambiente seguro.

Um dos principais impulsionadores para a implantação do NAC no varejo e na hotelaria é o requisito 1.2.1 do PCI DSS, que exige a segmentação da rede onde os dados dos portadores de cartão são armazenados em relação às redes de visitantes ou outras redes.

Exemplos práticos

Um hotel de luxo de 500 quartos precisa fornecer WiFi seguro para hóspedes, funcionários e um número crescente de dispositivos IoT (smart TVs, termostatos, sensores de frigobar), garantindo ao mesmo tempo a conformidade com o PCI DSS para seus sistemas de pagamento.

  1. Segmentação de Rede: Implante uma solução NAC para criar SSIDs e VLANs distintas: "HotelGuest", "HotelStaff" e "HotelIoT". Uma quarta VLAN, apenas cabeada, é criada para os terminais de pagamento em conformidade com o PCI.
  2. Acesso de Hóspedes: O SSID "HotelGuest" redireciona os usuários para um Captive Portal da Purple. Os hóspedes se autenticam via login social ou formulário de e-mail, aceitando os termos de serviço. A Purple gerencia o consentimento da GDPR e fornece ao hotel análises de visitantes. A política do NAC coloca todos os dispositivos dos hóspedes na VLAN de Hóspedes, que possui acesso apenas à internet e é isolada de todos os sistemas internos do hotel.
  3. Acesso de Funcionários: O SSID "HotelStaff" é configurado para WPA3-Enterprise com 802.1X EAP-TLS. Dispositivos corporativos (laptops, tablets) são provisionados com certificados de cliente por meio de uma solução MDM. Quando os funcionários se conectam, seu dispositivo é autenticado pelo servidor RADIUS e colocado na VLAN de Funcionários, concedendo acesso a recursos internos como o Sistema de Gestão de Propriedade (PMS).
  4. Acesso IoT: O SSID "HotelIoT" usa autenticação MAC. Os endereços MAC de todos os dispositivos IoT implantados são pré-registrados no sistema NAC. Quando uma smart TV se conecta, seu MAC é verificado e ela é colocada na VLAN de IoT, que possui acesso apenas ao seu servidor de gerenciamento específico e é bloqueada tanto para a rede de hóspedes quanto para a de funcionários.
Comentário do examinador: Esta abordagem em camadas aplica corretamente o princípio do privilégio mínimo. Ela utiliza o método de autenticação mais apropriado para cada tipo de usuário e dispositivo, equilibrando segurança e usabilidade. A integração da Purple para a experiência do hóspede elimina a complexidade do gerenciamento de consentimento e fornece dados de marketing valiosos, enquanto a robusta estrutura 802.1X protege o tráfego corporativo sensível. Essa segmentação é fundamental para alcançar a conformidade com o PCI DSS, isolando os sistemas de pagamento de todas as outras redes.

Uma rede de varejo multi-site com 150 lojas deseja substituir sua rede WPA2-PSK compartilhada e insegura. Eles precisam proteger os dispositivos corporativos, fornecer WiFi para hóspedes e garantir que os terminais de PDV das lojas estejam isolados.

  1. RADIUS Centralizado: Um servidor RADIUS hospedado na nuvem é implantado para gerenciar a autenticação de todas as 150 lojas, garantindo a aplicação consistente de políticas.
  2. Dispositivos Corporativos: Os tablets dos gerentes de loja e os scanners portáteis dos funcionários são configurados via MDM para se conectar a um SSID "Corporate" usando autenticação baseada em certificado 802.1X. A política do NAC também realiza uma verificação de postura para garantir que os dispositivos estejam executando a versão de software aprovada pela empresa.
  3. WiFi para Hóspedes: Um SSID público "RetailGuest" usa um Captive Portal (como o da Purple) para fornecer acesso à internet. Isso isola o tráfego dos hóspedes e permite que a rede execute campanhas de marketing direcionadas com base em análises de localização.
  4. Isolamento de Terminais de PDV: Os terminais de PDV são conectados via portas cabeadas. As portas do switch são configuradas com autenticação baseada em MAC, bloqueando-as para os endereços MAC específicos dos terminais. Essas portas são atribuídas a uma VLAN PCI dedicada e altamente restrita, que só pode se comunicar com o processador de pagamentos.
  5. Implantação Gradual: A solução é implantada primeiro em uma única loja piloto. Uma vez validada, a configuração é enviada remotamente para as outras 149 lojas, aproveitando as plataformas centralizadas de NAC e MDM.
Comentário do examinador: A chave para o sucesso neste cenário multi-site é a centralização. Uma solução de NAC e RADIUS baseada em nuvem evita a necessidade de servidores dedicados em cada loja, reduzindo drasticamente os custos e a sobrecarga de gerenciamento. O uso de conexões cabeadas e autenticação MAC para os terminais de PDV estáticos é uma solução robusta e prática para a conformidade com o PCI. A implantação gradual é uma estratégia crítica de mitigação de riscos para um projeto desta escala.

Questões práticas

Q1. Um estádio está sediando um grande evento esportivo e precisa fornecer WiFi para torcedores, imprensa e equipe operacional. A imprensa exige maior largura de banda e acesso a servidores de mídia específicos. Como você projetaria a política de acesso à rede?

Dica: Considere o uso de diferentes SSIDs e direcionamento de VLAN baseado em RADIUS.

Ver resposta modelo
  1. WiFi para Torcedores: Um SSID aberto, "StadiumFanWiFi", redireciona todos os usuários para um Captive Portal para autenticação. O portal pode lidar com conexões de alta densidade e aplicar limitação de largura de banda para garantir o uso justo. Todos os torcedores são colocados em uma VLAN de acesso geral, apenas para internet.
  2. WiFi da Imprensa: Um SSID oculto, "StadiumPress", é protegido com WPA2/3-Enterprise (802.1X). Membros da imprensa pré-registrados recebem credenciais. Após a autenticação, o servidor RADIUS os identifica como parte do grupo "Imprensa" e os atribui a uma VLAN dedicada à Imprensa. Esta VLAN possui um perfil de QoS mais alto e acesso aos servidores de mídia internos.
  3. WiFi da Equipe: Um terceiro SSID oculto, "StadiumOps", também usa 802.1X para a equipe operacional. Eles são atribuídos a uma VLAN de Operações segura com acesso aos sistemas de bilheteria, segurança e gerenciamento predial.

Q2. Sua empresa está implementando uma política de BYOD (Bring Your Own Device). Um funcionário deseja conectar seu notebook pessoal à rede corporativa. Quais são as verificações mínimas de postura que sua solução NAC deve realizar antes de conceder o acesso?

Dica: Pense nos vetores mais comuns para malware e vazamento de dados.

Ver resposta modelo

A avaliação mínima de postura para um dispositivo BYOD deve incluir:

  1. Firewall Funcional: O firewall baseado em host do dispositivo deve estar ativado para evitar conexões de entrada não solicitadas.
  2. Antivírus Atualizado: Uma solução de antivírus aprovada deve estar instalada, em execução e ter recebido atualizações de assinatura nas últimas 24 a 48 horas.
  3. Atualizações do SO: O sistema operacional deve ter todos os patches de segurança críticos instalados. A política pode especificar que o SO não deve estar mais de um mês desatualizado em relação ao lançamento do patch mais recente.
  4. Sem Softwares Não Aprovados: Uma verificação de aplicativos proibidos específicos, como clientes de compartilhamento de arquivos ponto a ponto (P2P), que possam introduzir riscos. Se o dispositivo falhar em qualquer uma dessas verificações, o acesso deve ser negado ou ele deve ser colocado em uma VLAN de remediação.

Q3. Um hospital deseja implantar novas bombas de infusão conectadas por WiFi. Esses dispositivos não suportam 802.1X. Como você pode integrá-los e gerenciá-los com segurança usando uma solução NAC?

Dica: Considere uma abordagem de múltiplos fatores para dispositivos headless que não suportam autenticação avançada.

Ver resposta modelo

Como as bombas não suportam 802.1X, é necessária uma abordagem em camadas:

  1. Autenticação MAC: Registre o endereço MAC de cada bomba de infusão no sistema NAC. Isso fornece um nível básico de identidade.
  2. Perfil de Dispositivo (Profiling): A solução NAC deve ser configurada para traçar o perfil do dispositivo com base em seu tráfego de rede (por exemplo, a impressão digital DHCP, protocolos usados). Ela deve identificar o dispositivo como uma "Bomba de Infusão Modelo X".
  3. Política Combinada: Crie uma política que exija TANTO que o endereço MAC esteja na lista de permissões QUANTO que o perfil do dispositivo corresponda à impressão digital esperada. Isso evita a falsificação de MAC (MAC spoofing), pois o notebook de um invasor pode ter um MAC válido, mas não se comportará como uma bomba de infusão na rede.
  4. VLAN e ACLs Rígidas: Uma vez autenticada, a bomba é colocada em uma VLAN "Medical_IoT" altamente restrita. Uma Lista de Controle de Acesso (ACL) é aplicada ao seu tráfego, permitindo que ela se comunique APENAS com o endereço IP específico do servidor de gerenciamento das bombas de infusão e nada mais. Todo o restante do tráfego é explicitamente negado.

Continue a ler esta série

Como Configurar o SCEP para Registro Automatizado de Certificados de WiFi Corporativo

Este guia explica como configurar o SCEP (Simple Certificate Enrollment Protocol) para o registro automatizado de certificados de WiFi corporativo, cobrindo toda a arquitetura, desde PKI e NDES até a implantação de perfis MDM e validação RADIUS. Destina-se a gerentes de TI, arquitetos de rede e CTOs de hotéis, redes de varejo, estádios, centros de convenções e organizações do setor público que precisam ir além das chaves pré-compartilhadas e implementar a autenticação 802.1X EAP-TLS escalável e baseada em identidade. A plataforma de sobreposição em nuvem da Purple, independente de hardware, integra-se diretamente a essa arquitetura, fornecendo a camada de WiFi para convidados e BYOD que opera em conjunto com a rede de funcionários autenticada por certificado.

Ler o guia →

O Guia Corporativo para SCEP: Implantando o Simple Certificate Enrollment Protocol para Segurança Automatizada de WiFi em Campus

Este guia de referência técnica fornece um modelo arquitetônico definitivo e uma estratégia de implementação passo a passo para a implantação de certificados WiFi corporativos usando SCEP. Ele aborda as diferenças críticas entre SCEP e PKCS, a sequência exata de implantação necessária para o sucesso e estratégias reais de mitigação de riscos para líderes de TI.

Ler o guia →

Como implementar SCEP para registro automatizado de certificados WiFi

Este guia explica como implementar o SCEP (Simple Certificate Enrollment Protocol) para registro automatizado de certificados WiFi em locais corporativos. Ele abrange o projeto arquitetônico completo - desde o design de PKI e integração com MDM até a sequência obrigatória de implantação em três etapas - e mostra aos gerentes de TI e arquitetos de rede como eliminar credenciais compartilhadas, automatizar o gerenciamento do ciclo de vida dos certificados e atender aos requisitos do PCI DSS e GDPR em escala.

Ler o guia →