Pular para o conteúdo principal
Português (Brasil)

Regras de Firewall para Redes WiFi de Visitantes

Este guia fornece aos gerentes de TI e arquitetos de rede uma referência autoritativa para configurar regras de firewall para redes WiFi de visitantes, especificamente em suporte a uma implantação da Purple. Ele oferece orientações práticas e neutras em relação a fornecedores sobre segmentação de rede, configuração de portas e melhores práticas de segurança para garantir tanto o acesso contínuo de visitantes quanto a proteção robusta dos ativos corporativos.

📖 5 min de leitura📝 1,098 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
# Roteiro do Podcast: Dominando Regras de Firewall para Guest WiFi **Apresentador:** Um arquiteto de soluções sênior da Purple. **(Música de Introdução - Brilhante, profissional, diminui até sumir após 5 segundos)** **Apresentador:** Olá e boas-vindas ao Purple Technical Briefing. Sou arquiteto de soluções sênior aqui na Purple e hoje vamos abordar um tema que é absolutamente fundamental para implantar um guest WiFi seguro e de alto desempenho: as regras de firewall. Este conteúdo é voltado para gerentes de TI, arquitetos de rede e diretores de operações que precisam equilibrar o acesso contínuo de convidados com uma segurança de rede corporativa de ferro. Errar nisso é um dos maiores riscos em qualquer estabelecimento, levando a violações de segurança e gargalos de desempenho. Neste briefing, forneceremos orientações diretas e práticas para ajudar você a configurar seus firewalls corretamente, especificamente para uma implantação da Purple. **(Música de Transição - curta, sutil)** **Apresentador:** Vamos direto aos detalhes técnicos. O princípio mais importante que você deve seguir é o **isolamento**. Sua rede de convidados deve ser tratada como um ambiente totalmente não confiável. Isso significa criar uma LAN Virtual dedicada, ou VLAN, para o tráfego de convidados, totalmente segmentada da sua LAN corporativa, onde residem seus sistemas de negócios críticos. Não deve haver absolutamente nenhuma possibilidade de movimento lateral da VLAN de convidados para a VLAN corporativa. Seu firewall é o guardião que impõe essa separação. Então, qual tráfego você deve permitir explicitamente a saída dessa rede de convidados isolada? Operamos sob o princípio de "bloqueio por padrão". Nada passa, a menos que você crie uma regra específica de "permitir" para isso. Aqui estão os pontos essenciais. Primeiro, **Porta 53 para DNS**. Seus convidados precisam ser capazes de resolver nomes de domínio como "purple.ai" em endereços IP. Você deve configurar sua rede de convidados para usar resolvedores de DNS públicos e confiáveis — como o 8.8.8.8 do Google ou o 1.1.1.1 da Cloudflare. Isso evita que os usuários utilizem servidores DNS personalizados para burlar suas políticas ou realizar túneis de DNS. Em seguida, e de forma mais óbvia, **Portas 80 e 443, para HTTP e HTTPS**. Esta é a espinha dorsal de toda a navegação na web. Quando um convidado se conecta pela primeira vez, sua solicitação web inicial é interceptada pelo controlador de rede e redirecionada para o seu Captive Portal da Purple. Sem acesso a essas portas, toda a jornada do convidado falha antes mesmo de começar. Para uma implantação bem-sucedida da Purple, você também precisa garantir que a rede de convidados possa se comunicar com os serviços em nuvem da Purple e, potencialmente, com o seu controlador de WiFi local. Isso normalmente envolve permitir o tráfego de saída nas **Portas 8080 e 8443** para gerenciamento e estatísticas do controlador. Finalmente, existem alguns serviços de rede fundamentais. **Portas 67 e 68 para DHCP**, que é como os dispositivos dos convidados recebem automaticamente um endereço IP. E **Porta 123 para NTP**, ou Network Time Protocol, que é crucial para manter a precisão dos registros de data e hora dos dispositivos e logs — algo inestimável durante qualquer investigação de segurança. E quanto às regras de entrada? Para a rede de convidados, isso é simples: você não permite nenhuma. Não há motivo legítimo para um dispositivo na internet pública iniciar uma conexão *para dentro* da sua rede de convidados. A única exceção é se você estiver hospedando seu controlador de WiFi ou Captive Portal localmente. Nesse cenário específico, você criaria uma regra de Redirecionamento de Portas (Port Forwarding) altamente restrita, também conhecida como regra de NAT de Destino, para guiar o tráfego externo para o endereço IP interno específico do portal. Para configurações mais avançadas usando autenticação de nível empresarial, você também pode precisar de regras de entrada para **RADIUS nas portas UDP 1812 e 1813**. Lembre-se, a regra padrão no final da sua política de firewall deve ser: **Bloquear Tudo**. Se o tráfego não corresponder a uma dessas regras específicas de 'permitir', ele será descartado. **(Trilha Sonora de Transição - curta, sutil)** **Apresentador:** Agora, vamos falar sobre implementação e erros comuns. Essas recomendações são independentes de fornecedor. Primeiro, sempre use um firewall stateful. Um firewall stateful rastreia o estado das conexões e permite automaticamente o tráfego de retorno para sessões estabelecidas, o que simplifica seu conjunto de regras. Segundo, ative o 'Isolamento de Clientes' (Client Isolation) em seus pontos de acesso sem fio. Este é um recurso crítico que impede que dispositivos na mesma rede WiFi se comuniquem entre si. E terceiro, agende auditorias regulares de suas regras de firewall. Regras não utilizadas ou excessivamente permissivas são uma dívida de segurança que você precisa pagar. Vemos erros comuns o tempo todo. O pecado capital é a regra 'permitir qualquer-para-qualquer', muitas vezes colocada temporariamente para testes e depois esquecida. É uma porta escancarada para invasores. Outro erro é esquecer o IPv6; certifique-se de que suas regras de firewall se apliquem ao tráfego IPv4 e IPv6. E, finalmente, não configure apenas suas regras e vá embora. Os logs do seu firewall são seu sistema de alerta precoce. Monitore-os em busca de padrões incomuns ou conexões negadas repetidas. Deixe-me dar um exemplo rápido do mundo real. Trabalhamos com uma grande rede de hotéis que estava enfrentando reclamações frequentes de hóspedes sobre WiFi lento. Suas regras de firewall eram muito permissivas, o que permitia que tempestades de broadcast de dispositivos de hóspedes mal configurados inundassem a rede. Ao implementar o isolamento estrito de VLAN e as regras essenciais de saída que acabamos de discutir, eles não apenas protegeram sua rede corporativa, mas também aumentaram a taxa de transferência do WiFi dos hóspedes em mais de 30% e reduziram drasticamente as chamadas de suporte relacionadas à rede. **(Trilha Sonora de Transição - curta, sutil)** **Apresentador:** Vamos para um perguntas e respostas rápido. Sempre me perguntam sobre isso. *Primeira pergunta: Devo bloquear VPNs na rede de convidados?* Esta é uma decisão de política. Bloqueá-las oferece mais visibilidade do tráfego, mas pode frustrar viajantes a negócios que precisam de uma VPN para trabalhar. Uma abordagem equilibrada é permitir, mas garantir que suas outras regras sejam rígidas. *Segundo: E quanto aos dispositivos IoT, como smart TVs ou alto-falantes na rede de convidados?* Trate-os como altamente não confiáveis. O ideal é colocá-los em uma terceira VLAN, ainda mais restrita, com regras de firewall que permitam apenas a comunicação com seus servidores específicos de gerenciamento em nuvem e nada mais. *E terceiro: Como isso se relaciona com a conformidade PCI DSS para nossas lojas de varejo?* O PCI DSS exige a separação completa e verificável do ambiente de dados dos portadores de cartão. Uma rede de convidados configurada e isolada adequadamente, protegida por firewall da VLAN usada pelos seus terminais de pagamento, é um controle fundamental e inegociável para a conformidade. **(Música de Transição - curta, sutil)** **Apresentador:** Então, para resumir. A segurança de toda a sua rede corporativa depende de como você configura o limite em torno do seu WiFi de convidados. Os princípios fundamentais são: **Isole** o tráfego de convidados em sua própria VLAN. **Aplique** uma política de "bloqueio por padrão", permitindo apenas as portas essenciais para navegação na web, DNS e serviços Purple. **Impeça** todo o tráfego de entrada e o movimento lateral. E, finalmente, **Audite** suas regras e monitore seus logs continuamente. Ao seguir estas orientações, você pode oferecer uma comodidade valiosa para seus visitantes, ao mesmo tempo em que protege seus ativos de negócios críticos, garante a conformidade e oferece uma experiência de usuário superior. Para obter um guia detalhado de referência de portas e diagramas de rede, visite o guia de referência técnica em nosso site que acompanha este briefing. **(Música de Encerramento - Alegre, profissional, surge gradualmente)** **Apresentador:** Obrigado por se juntar a este Briefing Técnico da Purple. Nos vemos na próxima. **(A música diminui até sumir)**

header_image.png

Resumo Executivo

Para as empresas modernas, oferecer WiFi para convidados não é mais um luxo — é um serviço de missão crítica que impulsiona o engajamento do cliente, fornece análises valiosas e aprimora a experiência no local. No entanto, uma rede de convidados protegida de forma inadequada representa um dos vetores de ataque mais significativos para o ambiente corporativo. Este guia de referência técnica fornece uma estrutura prática para líderes de TI e arquitetos de rede implementarem configurações de firewall robustas, seguras e de alto desempenho para redes WiFi de convidados. Ele se concentra nos princípios fundamentais de isolamento de rede, acesso de menor privilégio e monitoramento proativo. Ao aderir a essas práticas recomendadas e neutras em relação a fornecedores, as organizações podem mitigar riscos de segurança, garantir a conformidade regulatória (como PCI DSS e GDPR) e maximizar o ROI de sua infraestrutura de WiFi. Este documento vai além da teoria acadêmica para oferecer orientações pragmáticas, passo a passo, e exemplos do mundo real adaptados para profissionais técnicos ocupados, responsáveis pela implantação e gerenciamento de redes corporativas em hotelaria, varejo e grandes locais públicos.

Aprofundamento Técnico

O princípio fundamental de uma arquitetura segura de WiFi para convidados é a segmentação estrita de rede. A rede de convidados deve ser tratada como um ambiente externo não confiável, logicamente separado da LAN corporativa confiável onde residem os sistemas de negócios críticos, servidores e dados de funcionários. Isso é alcançado de forma mais eficaz usando VLANs (Virtual LANs), com um firewall atuando como o ponto de aplicação entre elas.

architecture_overview.png

O diagrama acima ilustra a arquitetura ideal. Todo o tráfego originado da VLAN de WiFi de convidados passa por firewall e inspeção antes de chegar à internet ou a qualquer outro segmento de rede. Crucialmente, uma regra de firewall deve estar em vigor para negar explicitamente qualquer tráfego iniciado da VLAN de convidados para a LAN corporativa. Isso evita que um dispositivo de convidado comprometido seja usado como ponto de partida para atacar recursos internos.

Operamos em uma postura de segurança de "Negação Padrão" (Default Deny). Isso significa que o firewall bloqueará todo o tráfego, a menos que uma regra o permita explicitamente. As seguintes regras de saída formam a linha de base para uma rede de convidados funcional e segura:

port_reference_table.png

Regras de Entrada e Redirecionamento de Portas: Para a VLAN de Visitantes, a política de entrada é simples: negar todo o tráfego iniciado a partir da internet. Não há motivo comercial válido para que uma entidade externa inicie uma conexão com o dispositivo de um visitante. A única exceção é para hardware local. Se você hospeda seu próprio controlador de WiFi ou servidor de Captive Portal dentro da sua rede (em vez de usar uma solução hospedada na nuvem), será necessário criar uma regra específica de Redirecionamento de Portas (ou Destination NAT). Essa regra mapeia uma porta específica no seu endereço IP público para o endereço IP interno e a porta do controlador, por exemplo, redirecionando o tráfego de entrada na porta TCP 443 para 192.168.100.10:8443. Essa regra deve ser o mais restritiva possível, especificando a origem exata (se conhecida), o destino e a porta.

Guia de Implementação

  1. Criação de VLAN: Nos switches da sua rede, crie uma nova VLAN dedicada para o tráfego de visitantes (ex: VLAN 100). Atribua este ID de VLAN ao SSID que transmite a sua rede de visitantes.
  2. Configuração da Interface do Firewall: Configure uma nova interface ou subinterface no seu firewall e atribua-a à VLAN de visitantes. Essa interface servirá como o gateway padrão para todos os dispositivos de visitantes.
  3. Serviço DHCP: Configure um servidor DHCP para a VLAN de visitantes para atribuir endereços IP automaticamente. Certifique-se de que o escopo do DHCP forneça apenas o endereço IP, a máscara de sub-rede e a interface de visitantes do firewall como o gateway padrão. Os servidores DNS fornecidos devem ser resolvedores públicos (ex: 1.1.1.1, 8.8.8.8).
  4. Regras de Saída do Firewall: Crie as regras de saída essenciais do firewall conforme detalhado na tabela de referência de portas. Comece com as regras mais específicas e termine com uma regra de ‘Negar Tudo’. A ordem é crítica. O firewall avalia as regras de cima para baixo, e a primeira correspondência determina a ação.
  5. Isolamento de Clientes: Em seus pontos de acesso sem fio, ative o recurso ‘Isolamento de Clientes’ (às vezes chamado de ‘Isolamento de AP’ ou ‘Modo Visitante’). Este é um controle crítico que impede que os dispositivos de visitantes na mesma rede WiFi se comuniquem entre si, mitigando o risco de ataques ponto a ponto (peer-to-peer).
  6. Registro e Monitoramento: Ative o registro detalhado (logging) para todas as regras de firewall, especialmente para o tráfego negado. Encaminhe esses logs para um sistema SIEM (Security Information and Event Management) central para correlação e alertas sobre atividades anômalas.

Boas Práticas

  • Use um Firewall Stateful: Um firewall stateful rastreia o estado das conexões ativas e permite automaticamente o tráfego de retorno para sessões estabelecidas. Isso simplifica a criação de regras, pois você só precisa definir regras de saída para o tráfego iniciado por visitantes.
  • Audite Regularmente: Agende revisões trimestrais do seu conjunto de regras de firewall. Remova quaisquer regras temporárias, não utilizadas ou excessivamente permissivas. A segurança é um processo, não uma configuração única.
  • Atenção ao IPv6: Certifique-se de que as regras do seu firewall se apliquem tanto ao tráfego IPv4 quanto ao IPv6. Muitos dispositivos modernos usam o IPv6 por padrão, e ignorá-lo pode deixar uma lacuna de segurança significativa.
  • Cite Padrões do Setor: Alinhe sua configuração com frameworks de segurança estabelecidos. Para o varejo, o Requisito 1.2.1 do PCI DSS exige explicitamente a restrição de tráfego entre redes confiáveis e não confiáveis. Para o tratamento de dados pessoais, o GDPR exige "medidas técnicas e organizacionais" para proteger os dados, para as quais a segmentação de rede é um controle fundamental.

Solução de Problemas e Mitigação de Riscos

  • Problema: Captive Portal Não Carrega: Isso quase sempre é um problema de DNS ou de regra de firewall. Certifique-se de que o convidado consiga resolver o hostname do portal (verifique a Porta 53) e que o tráfego para o endereço IP e porta do portal (geralmente 80/443) seja permitido antes da autenticação.
  • Problema: WiFi de Convidado Lento: Regras de firewall excessivamente permissivas podem permitir que tempestades de broadcast ou tráfego malicioso consumam largura de banda. Implemente o princípio do privilégio mínimo para restringir o tráfego apenas ao que for necessário.
  • Risco: Worm de Dia Zero: Um convidado se conecta com um dispositivo infectado com um worm de dia zero que se espalha automaticamente. Mitigação: O Isolamento de Cliente é sua principal defesa, pois evita que o worm se espalhe para outros convidados na mesma rede WiFi. O filtragem estrita de saída também pode bloquear o tráfego de comando e controle que o malware precisa para operar.

ROI e Impacto no Negócio

Uma rede WiFi de convidados segura e bem gerenciada contribui diretamente para o sucesso do negócio. Em ambientes de varejo, ela permite o acesso às análises da Purple, fornecendo insights sobre fluxo de pessoas, tempo de permanência e comportamento do cliente que informam diretamente as decisões de marketing e operacionais. Na hotelaria, uma rede de convidados de alto desempenho é um fator essencial para a satisfação dos hóspedes e avaliações positivas. Ao investir em uma arquitetura de firewall adequada, você não está apenas mitigando riscos; você está garantindo a confiabilidade e o desempenho de uma plataforma crítica de business intelligence e engajamento do cliente. Uma implantação segura gera confiança e protege a marca, entregando um retorno claro sobre o investimento ao evitar violações de dados dispendiosas e falhas de conformidade.

retail_deployment_scenario.png

Briefing em Podcast

Para um resumo em áudio destes pontos-chave, ouça nosso briefing técnico de 10 minutos.

Definições principais

VLAN (Virtual LAN)

Um método de criação de redes logicamente separadas na mesma infraestrutura de rede física. Dispositivos em VLANs diferentes não podem se comunicar sem passar por um roteador ou firewall.

As equipes de TI usam VLANs como a principal ferramenta para impor a segmentação entre a rede de convidados e a rede corporativa, o que é um requisito fundamental para segurança e conformidade.

Filtragem de Saída do Firewall

A prática de filtrar o tráfego conforme ele sai de uma rede, em oposição a quando ele entra. Ela controla quais conexões de saída os dispositivos internos têm permissão para fazer.

Para uma rede de convidados, a filtragem de saída é crítica. Ao permitir apenas o tráfego de saída em portas específicas (como 80 e 443), você pode bloquear malware, impedir que os usuários executem serviços não autorizados e reduzir sua superfície de ataque.

Isolamento de Cliente/AP

Um recurso de segurança em pontos de acesso sem fio que impede que dispositivos conectados à mesma rede WiFi se comuniquem diretamente entre si.

Esta é uma defesa crítica contra ataques peer-to-peer na rede de convidados. Se o dispositivo de um convidado for comprometido, o Isolamento de Cliente impede que ele ataque os laptops ou telefones de outros convidados no mesmo local.

Firewall Stateful

Um firewall que rastreia o estado das conexões de rede (por exemplo, fluxos TCP). Ele permite automaticamente o tráfego de retorno para conexões que foram iniciadas de dentro da rede.

O uso de um firewall stateful simplifica a administração. Um gerente de TI só precisa criar uma regra permitindo que um convidado se conecte a um site na porta 443; o firewall lida automaticamente com o tráfego de retorno sem a necessidade de uma regra de entrada complexa.

Bloqueio por Padrão (Default Deny)

Uma postura de segurança em que qualquer tráfego que não seja explicitamente permitido por uma regra de firewall é bloqueado.

Este é um princípio de melhor prática para toda configuração de firewall. Ele garante que qualquer tráfego novo ou não categorizado seja bloqueado por padrão, oferecendo um nível de segurança muito maior do que uma política de "permissão por padrão".

PCI DSS

O Payment Card Industry Data Security Standard, um conjunto de padrões de segurança projetado para garantir que todas as empresas que aceitam, processam, armazenam ou transmitem informações de cartão de crédito mantenham um ambiente seguro.

Para qualquer empresa de varejo ou hospitalidade, provar que a rede WiFi de convidados está robustamente isolada da rede que processa pagamentos (o Ambiente de Dados do Portador do Cartão) é um requisito fundamental para passar em uma auditoria PCI DSS.

Captive Portal

Uma página web que o usuário de uma rede de acesso público é obrigado a visualizar e interagir antes que o acesso seja concedido. É usada para autenticação, pagamento ou aceitação dos termos de serviço.

O firewall deve ser configurado para permitir que usuários não autenticados acessem o Captive Portal (e seus serviços de suporte, como DNS) antes de terem acesso total à internet. Esse acesso pré-autenticação é frequentemente gerenciado por meio de uma configuração de walled-garden.

Redirecionamento de Portas (Destination NAT)

Uma técnica usada para redirecionar uma solicitação de comunicação de uma combinação de endereço e número de porta para outra enquanto os pacotes atravessam um gateway de rede, como um roteador ou firewall.

Se um local hospeda seu próprio controlador WiFi local, as equipes de TI devem configurar o redirecionamento de portas para permitir que os dispositivos dos convidados na internet alcancem o Captive Portal na rede interna. Este é um passo crítico para viabilizar a jornada do convidado.

Exemplos práticos

Um hotel de 200 quartos está enfrentando reclamações frequentes de hóspedes sobre WiFi lento e quedas de conexão. Uma verificação inicial revela uma arquitetura de rede plana onde o tráfego de visitantes e o operacional do hotel (CCTV, PCs da equipe) compartilham a mesma sub-rede. O firewall possui uma regra permissiva 'allow any-to-any' para todo o tráfego interno.

  1. Ação Imediata: Crie uma nova VLAN de Visitantes (ex: VLAN 200) e um SSID de visitantes correspondente. 2. Segmentação: Migre todos os pontos de acesso voltados para visitantes para a nova VLAN. 3. Política de Firewall: Crie uma nova zona e interface para a VLAN de Visitantes no firewall. Implemente uma política de saída estrita permitindo apenas as portas 53, 80, 443 e 123. Adicione uma regra para negar explicitamente qualquer tráfego da VLAN de Visitantes para a VLAN corporativa. 4. Habilitar Isolamento de Cliente: Ative o Isolamento de AP/Cliente no controlador sem fio para o SSID de visitantes. 5. Remover Regra Permissiva: Assim que o tráfego de visitantes estiver segmentado com sucesso, remova a regra legada 'allow any-to-any' e substitua-a por regras específicas para o tráfego corporativo necessário.
Comentário do examinador: Este é um caso clássico de débito técnico. A rede plana é um risco de segurança significativo e a causa raiz dos problemas de desempenho. O tráfego de broadcast e possíveis malwares no segmento de visitantes provavelmente estavam consumindo largura de banda e impactando os sistemas corporativos. A solução prioriza corretamente o isolamento como a correção principal, o que melhora simultaneamente a postura de segurança e o desempenho da rede. A abordagem em fases garante uma migração suave com o mínimo de interrupção para os visitantes.

Uma rede de varejo está abrindo uma nova loja conceito e precisa fornecer WiFi de visitantes que esteja em conformidade com o PCI DSS 4.0. A loja terá terminais de ponto de venda (POS), leitores de inventário e PCs corporativos na mesma infraestrutura de rede física.

  1. Definir CDE: O primeiro passo é definir o Ambiente de Dados de Portadores de Cartão (CDE). Crie uma VLAN dedicada para todos os terminais POS. 2. Isolar Rede de Visitantes: Crie uma VLAN separada para o WiFi de visitantes. 3. Isolar Serviços Corporativos: Crie uma terceira VLAN para outros serviços corporativos, como leitores de inventário e PCs da equipe. 4. Aplicação do Firewall: O firewall deve aplicar uma segmentação estrita. Deve haver uma regra explícita de 'deny all' para qualquer tráfego originado da VLAN de Visitantes ou da VLAN de Serviços Corporativos para a VLAN do CDE. 5. Restringir Saída do CDE: A VLAN do CDE deve ter permissão de acesso de saída apenas para os endereços IP específicos do processador de pagamentos, e nada mais. 6. Comprovar Isolamento: Use ferramentas como nmap ou um scanner de vulnerabilidades para executar testes a partir da rede de visitantes para comprovar que nenhum host ou porta do CDE está acessível.
Comentário do examinador: Esta solução interpreta corretamente o mandato principal do PCI DSS: isolamento verificável. Apenas usar sub-redes diferentes não é suficiente. O uso de múltiplas VLANs, aplicadas por um firewall, é a abordagem padrão do setor. A etapa final, que comprova o isolamento por meio de varredura ativa, é crítica para qualquer auditoria de conformidade. Isso demonstra um processo de segurança maduro que passa de 'presumir seguro' para 'provar seguro'.

Questões práticas

Q1. Um estádio está sediando um grande evento esportivo e espera 50.000 usuários simultâneos em seu WiFi de convidados. Qual é a consideração de firewall mais crítica para garantir a estabilidade e a segurança da rede?

Dica: Considere o impacto do tráfego de broadcast e multicast em um ambiente de alta densidade como este.

Ver resposta modelo

A consideração mais crítica é a filtragem agressiva de todo o tráfego desnecessário, particularmente o tráfego de broadcast e multicast (como mDNS), no nível do firewall e do ponto de acesso. Em um ambiente de alta densidade, esse tráfego pode levar rapidamente a uma tempestade de broadcast, consumindo toda a largura de banda disponível e paralisando a rede. Regras rígidas de saída que permitem apenas o tráfego essencial de web e DNS, combinadas com o Client Isolation, são fundamentais.

Q2. Você descobre que um administrador anterior configurou a rede de convidados para usar os servidores DNS corporativos internos. Quais são os riscos e qual é a correção imediata?

Dica: Quais informações podem ser obtidas a partir dos registros DNS internos?

Ver resposta modelo

Os riscos são significativos. Isso expõe os nomes e endereços IP de todos os servidores corporativos internos (por exemplo, payroll.internal.corp, dc01.internal.corp) a qualquer pessoa na rede de convidados, fornecendo um mapa detalhado para um invasor. Também cria um vetor potencial para ataques de envenenamento de cache DNS contra a rede corporativa. A correção imediata é alterar a configuração do DHCP para a VLAN de convidados para atribuir apenas servidores DNS públicos (por exemplo, 1.1.1.1, 8.8.8.8) e garantir que o firewall bloqueie a VLAN de convidados de enviar qualquer tráfego para os servidores DNS internos.

Q3. Um usuário relata que não consegue acessar a VPN corporativa através do WiFi de convidados. Os logs do seu firewall mostram tráfego UDP negado nas portas 500 e 4500 a partir do IP do usuário. Qual é o problema e como você decidiria se deve resolvê-lo?

Dica: Qual protocolo usa as portas UDP 500 e 4500?

Ver resposta modelo

O problema é que o firewall está bloqueando os protocolos IKE e IPsec NAT-T, que são comumente usados para estabelecer túneis VPN IPsec. A decisão de resolver isso é uma questão de política. Para um local que atende a viajantes de negócios (como um hotel ou centro de conferências), permitir o acesso VPN costuma ser um requisito de negócios. A resolução seria criar uma regra de firewall de saída específica para permitir o tráfego UDP nas portas 500 e 4500. Para uma biblioteca pública ou escola, a política pode ser bloquear VPNs para garantir que o tráfego possa ser filtrado. A decisão deve equilibrar as necessidades do usuário com a política de segurança e a tolerância ao risco da organização.

Continue a ler esta série

Como Configurar o SCEP para Registro Automatizado de Certificados de WiFi Corporativo

Este guia explica como configurar o SCEP (Simple Certificate Enrollment Protocol) para o registro automatizado de certificados de WiFi corporativo, cobrindo toda a arquitetura, desde PKI e NDES até a implantação de perfis MDM e validação RADIUS. Destina-se a gerentes de TI, arquitetos de rede e CTOs de hotéis, redes de varejo, estádios, centros de convenções e organizações do setor público que precisam ir além das chaves pré-compartilhadas e implementar a autenticação 802.1X EAP-TLS escalável e baseada em identidade. A plataforma de sobreposição em nuvem da Purple, independente de hardware, integra-se diretamente a essa arquitetura, fornecendo a camada de WiFi para convidados e BYOD que opera em conjunto com a rede de funcionários autenticada por certificado.

Ler o guia →

O Guia Corporativo para SCEP: Implantando o Simple Certificate Enrollment Protocol para Segurança Automatizada de WiFi em Campus

Este guia de referência técnica fornece um modelo arquitetônico definitivo e uma estratégia de implementação passo a passo para a implantação de certificados WiFi corporativos usando SCEP. Ele aborda as diferenças críticas entre SCEP e PKCS, a sequência exata de implantação necessária para o sucesso e estratégias reais de mitigação de riscos para líderes de TI.

Ler o guia →

Como implementar SCEP para registro automatizado de certificados WiFi

Este guia explica como implementar o SCEP (Simple Certificate Enrollment Protocol) para registro automatizado de certificados WiFi em locais corporativos. Ele abrange o projeto arquitetônico completo - desde o design de PKI e integração com MDM até a sequência obrigatória de implantação em três etapas - e mostra aos gerentes de TI e arquitetos de rede como eliminar credenciais compartilhadas, automatizar o gerenciamento do ciclo de vida dos certificados e atender aos requisitos do PCI DSS e GDPR em escala.

Ler o guia →