Pular para o conteúdo principal

Melhores Práticas para Proteger Redes Escolares de Ensino Fundamental e Médio com NAC

Este guia de referência técnica fornece estratégias práticas para líderes de TI projetarem, implantarem e gerenciarem o Controle de Acesso à Rede (NAC) em ambientes escolares de Ensino Fundamental e Médio. Ele abrange tópicos essenciais, desde autenticação 802.1X e segmentação de VLAN até o gerenciamento de dispositivos IoT com MAB e MPSK, garantindo uma proteção robusta e conformidade.

📖 6 min de leitura📝 1,270 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Melhores Práticas para Proteger Redes Escolares de K-12 com NAC Um Informativo Técnico da Purple WiFi - Aproximadamente 10 Minutos --- INTRODUÇÃO E CONTEXTO - aproximadamente 1 minuto Boas-vindas ao Informativo Técnico da Purple WiFi. Sou o seu anfitrião e hoje vamos abordar um tema que se encontra exatamente na interseção entre proteção de menores, conformidade e engenharia prática de redes: a segurança de redes escolares de K-12 usando o Controle de Acesso à Rede, ou NAC. Se você é um gerente de TI ou arquiteto de redes que trabalha na área da educação, já conhece o desafio. Você tem uma única rede física que precisa atender professores, alunos, diretores, pais visitantes, dispositivos IoT, como lousas digitais e câmeras de CFTV, e às vezes prestadores de serviço - tudo ao mesmo tempo, todos com níveis de confiança e requisitos de acesso muito diferentes. O risco é alto. As escolas guardam dados pessoais confidenciais de menores de idade. Elas estão sujeitas ao GDPR, à CIPA no contexto dos EUA e, cada vez mais, às diretrizes do Ofsted e do DfE no Reino Unido. Um único ponto de acesso configurado incorretamente pode expor registros de proteção à infância ou permitir que um aluno acesse a rede administrativa. Então, hoje, vamos mostrar exatamente como arquitetar e implantar uma solução de NAC em um ambiente K-12 - os padrões, a estratégia de segmentação, os pontos de integração e as armadilhas que atrapalham até mesmo equipes experientes. Vamos começar. --- APROFUNDAMENTO TÉCNICO - aproximadamente 5 minutos Vamos começar com os fundamentos. O NAC - Controle de Acesso à Rede - é a disciplina de controlar quem e o que pode se conectar à sua rede, e o que eles podem fazer uma vez conectados. Em um contexto de K-12, isso significa aplicar autenticação, autorização e políticas no ponto de entrada da rede, seja em uma porta de switch com fio ou em um ponto de acesso sem fio. O padrão fundamental aqui é o IEEE 802.1X. Este é o protocolo de autenticação baseado em porta que fica entre o solicitante - que é o dispositivo tentando se conectar - o autenticador, que é o seu switch ou ponto de acesso, e um servidor de autenticação, normalmente um servidor RADIUS. Quando um dispositivo tenta se conectar, o 802.1X o mantém em um estado não autenticado, repassa as credenciais para o servidor RADIUS e só concede acesso à rede quando o servidor confirma a identidade e a política correspondente. Em uma escola, isso se alinha diretamente às suas populações de usuários. Os funcionários se autenticam com suas credenciais do Active Directory ou Azure AD. Os alunos se autenticam com suas credenciais fornecidas pela escola ou certificados de dispositivos. Dispositivos não gerenciados - o telefone de um pai em uma noite de portas abertas, o notebook de um prestador de serviços - são redirecionados para um Captive Portal ou uma VLAN de visitantes restrita. Agora, vamos falar sobre a segmentação de VLAN, pois é aqui que a maioria das redes escolares acerta ou se deixa exposta. O modelo mínimo viável de segmentação para uma rede K-12 se parece com isto. Você precisa de pelo menos quatro VLANs. Primeiro, uma VLAN de Funcionários e Administração - ela transporta estações de trabalho de professores, sistemas MIS, dados de RH e aplicativos financeiros. Acesso total à internet, mas sem acesso lateral aos dispositivos dos alunos. Segundo, uma VLAN de Alunos - acesso à internet filtrado, filtragem de conteúdo aplicada, sem acesso aos recursos dos funcionários. Terceiro, uma VLAN de IoT e Infraestrutura - é aqui que ficam suas lousas digitais, câmeras IP, controladores de acesso de portas e impressoras. Criticamente, esta VLAN não deve ter nenhum acesso à internet, a menos que um dispositivo específico exija, e deve ser protegida por firewall tanto da VLAN de funcionários quanto da de alunos. Quarto, uma VLAN de Convidados ou Visitantes - apenas internet, completamente isolada, com um Captive Portal para aceitação de termos e captura de identidade. O servidor RADIUS é o cérebro desta operação. Na maioria das implantações escolares, você integrará o RADIUS ao seu serviço de diretório existente. Se você estiver executando o Microsoft Active Directory, isso geralmente é feito via NPS - Network Policy Server - no Windows Server, ou via um serviço RADIUS em nuvem se você migrou para o Azure AD ou Google Workspace. O servidor RADIUS aplica políticas com base na associação de grupo: um usuário no grupo de segurança "Funcionários" é atribuído à VLAN 10, um usuário em "Alunos" recebe a VLAN 20, e assim por diante. No lado sem fio, a melhor prática atual é o WPA3-Enterprise. O WPA3 aborda as vulnerabilidades conhecidas no WPA2, particularmente em relação a ataques de dicionário offline e à vulnerabilidade KRACK. O WPA3-Enterprise usa o modo de segurança de 192 bits para ambientes de alta sensibilidade, o que é apropriado para o SSID de funcionários e admin. Para SSIDs de alunos, o WPA3-Personal com SAE - Simultaneous Authentication of Equals - é uma melhoria significativa em relação ao WPA2-PSK, pois evita ataques de força bruta offline mesmo se a chave pré-compartilhada for comprometida. Uma decisão de arquitetura que vale a pena destacar é se deve-se executar um único SSID com atribuição dinâmica de VLAN ou múltiplos SSIDs. A abordagem de SSID único é mais limpa operacionalmente - os usuários se conectam a um único nome de rede e o servidor RADIUS os atribui dinamicamente à VLAN correta com base em suas credenciais. Isso reduz a sobrecarga de RF e simplifica a configuração do dispositivo. No entanto, exige que todos os seus pontos de acesso suportem a atribuição dinâmica de VLAN via atributos RADIUS, especificamente os atributos Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID na resposta RADIUS Access-Accept. Agora, o gerenciamento de dispositivos IoT é um desafio particular nas escolas. Lousas digitais, câmeras de documentos, sensores ambientais - esses dispositivos frequentemente não oferecem nenhum suporte a 802.1X. A solução aqui é o MAC Authentication Bypass, ou MAB, combinado com Multi-PSK, ou MPSK. O MAB permite que você autentique dispositivos por seus endereços MAC contra uma lista de permissões em seu servidor RADIUS. O MPSK vai além - permite que você atribua uma chave pré-compartilhada exclusiva por dispositivo ou grupo de dispositivos, de modo que cada dispositivo IoT tenha sua própria credencial, e o comprometimento da chave de um dispositivo não afete os outros. Para um passo a passo detalhado dessa abordagem, o guia da Purple sobre Gerenciamento de Segurança de Dispositivos IoT com NAC e MPSK cobre as especificidades de configuração em profundidade. Vamos abordar também a verificação de postura de conformidade de endpoints, pois é aqui que as soluções de NAC corporativas agregam um valor significativo em relação ao 802.1X básico. Soluções como Cisco ISE, Aruba ClearPass ou Forescout podem interrogar os endpoints antes de conceder acesso - verificando se um dispositivo possui definições de antivírus atualizadas, se o sistema operacional está corrigido, se a criptografia de disco está habilitada. Em um contexto escolar, isso é particularmente valioso para dispositivos de propriedade dos funcionários ou cenários de BYOD. Um dispositivo que falhar nas verificações de postura pode ser colocado em quarentena em uma VLAN de remediação, onde poderá acessar apenas servidores de atualização, em vez de receber acesso total à rede. --- RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS - aproximadamente 2 minutos Deixe-me apresentar a sequência prática de implantação e, em seguida, apontar as três armadilhas que vejo com mais frequência. Comece com uma auditoria de rede completa. Antes de tocar em uma única configuração, você precisa de um inventário completo de todos os dispositivos na rede - cabeada e sem fio - e de cada SSID em transmissão no momento. Use uma ferramenta como o Nmap ou sua plataforma de gerenciamento de rede existente para enumerar os dispositivos. Você quase certamente encontrará shadow IT: pontos de acesso pessoais, switches não gerenciados, dispositivos que ninguém sabia que estavam lá. Faça a implantação em fases. Não tente impor a autenticação 802.1X em toda a escola no primeiro dia. Comece com um piloto - normalmente a rede da equipe administrativa no bloco administrativo. Execute primeiro no modo de monitoramento, onde o 802.1X é avaliado, mas não imposto, para que você possa identificar dispositivos que falharão na autenticação antes de bloquear o acesso de qualquer usuário. Em seguida, mude para a imposição, VLAN por VLAN. Integre com seu serviço de diretório antes de implantar para os usuários. O modo de falha mais comum é implantar o RADIUS e depois descobrir que a integração com o diretório está corrompida - seja por regras de firewall bloqueando o tráfego LDAP ou porque a conta de serviço usada pelo RADIUS não possui permissões suficientes para consultar a associação de grupos. Agora, as três armadilhas. Primeira: dispositivos legados. Toda escola os possui. Impressoras mais antigas, equipamentos de AV legados, lousas interativas de 2012. Esses dispositivos não suportarão 802.1X. Tenha uma estratégia de lista de permissões MAB pronta antes de impor a autenticação, ou você estará recebendo chamadas de todos os professores cuja impressora parou de funcionar no primeiro dia de aula. Segunda: gerenciamento de certificados. A autenticação WPA3-Enterprise e EAP-TLS exige certificados. Se você estiver usando uma PKI gerenciada pela escola, certifique-se de que sua autoridade de certificação seja confiável em todos os dispositivos gerenciados antes da implantação. Dispositivos BYOD não gerenciados solicitarão que os usuários aceitem um certificado não confiável, o que cria um risco de phishing - os usuários são treinados a clicar em "aceitar" nos avisos de certificado. Terceira: conformidade da rede de convidados. Sob o GDPR, se você estiver capturando dados pessoais por meio de um Captive Portal - mesmo que seja apenas um endereço de e-mail - você precisa de uma base legal, um aviso de privacidade e uma política de retenção de dados. A plataforma de WiFi para convidados da Purple lida com isso de forma nativa, fornecendo fluxos de Captive Portal em conformidade com gerenciamento de consentimento integrado, o que é particularmente útil para noites de portas abertas e eventos de pais, onde você realiza o onboarding de grandes números de visitantes rapidamente. - PERGUNTAS E RESPOSTAS RÁPIDAS - aproximadamente 1 minuto Deixe-me passar pelas perguntas que recebo com mais frequência sobre este tema. "Precisamos de um servidor RADIUS dedicado ou podemos usar um serviço em nuvem?" - Ambos são válidos. O NPS local no Windows Server é gratuito e se integra nativamente com o Active Directory. Serviços de RADIUS na nuvem como Foxpass ou JumpCloud RADIUS são mais adequados para ambientes Azure AD ou Google Workspace, e reduzem a pegada de infraestrutura local. "E quanto aos Chromebooks?" - Os Chromebooks suportam 802.1X nativamente e podem ser configurados através do Google Admin Console para usar EAP-TLS com certificados de dispositivo emitidos através do gerenciamento de certificados do Google. Esta é a abordagem mais limpa para implantações do Google Workspace for Education. "Como lidamos com os pais em noites de portas abertas?" - Captive Portal em uma VLAN de convidados isolada. Nenhum 802.1X é necessário. A plataforma de WiFi para convidados da Purple oferece um portal personalizado com a marca, em conformidade com o GDPR, que captura o consentimento e pode enviar relatórios analíticos de volta para sua equipe de marketing ou comunicações. "Qual é o caso de ROI para o NAC em uma escola?" - Principalmente mitigação de riscos. Uma violação de dados envolvendo registros de alunos pode resultar em multas do ICO, danos à reputação e custos significativos de remediação. O custo de uma solução NAC implantada adequadamente é uma fração do custo de uma única investigação de violação. - RESUMO E PRÓXIMOS PASSOS - aproximadamente 1 minuto Para resumir: proteger uma rede de K - 12 com NAC se resume a quatro pilares. Identidade - saber quem e o que está em sua rede a todo momento. Segmentação - garantir que um dispositivo de aluno comprometido não possa alcançar dados da equipe ou infraestrutura de IoT. Conformidade - atender aos requisitos de GDPR, CIPA e DfE para proteção de dados e salvaguarda. E visibilidade - ter a capacidade de registro e análise para detectar anomalias e responder rapidamente. O ponto de partida prático é uma auditoria de rede e design de VLAN. Faça isso corretamente, e a implantação do 802.1X seguirá uma sequência lógica. Não tente fazer tudo de uma vez - faça por fases, teste no modo de monitoramento e crie sua lista de permissões MAB antes de aplicar. Se você está avaliando como uma plataforma de guest WiFi e análise de dados se encaixa nessa arquitetura, a plataforma da Purple integra-se diretamente com sua infraestrutura de NAC para fornecer integração de convidados em conformidade, análise de visitantes e aplicação de políticas - sem adicionar complexidade à segmentação de sua rede principal. Para leituras adicionais, os guias da Purple sobre segurança de dispositivos IoT com NAC e MPSK, e os recursos mais amplos de arquitetura de rede corporativa, estão vinculados nas notas do programa. Obrigado por ouvir. Até a próxima. --- FIM DO ROTEIRO

header_image.png

Resumo Executivo

A segurança de redes escolares de educação básica (K-12) é, fundamentalmente, um exercício de mitigação de riscos, gestão de identidade e conformidade. Os líderes de TI enfrentam o complexo desafio de fornecer acesso contínuo para uma base de usuários altamente diversificada - incluindo funcionários, alunos, visitantes e prestadores de serviços - ao mesmo tempo em que protegem uma quantidade crescente de dispositivos IoT, como lousas digitais e câmeras de segurança. O Network Access Control (NAC), impulsionado pelo IEEE 802.1X, fornece a base arquitetônica para uma segmentação de rede robusta, garantindo que os dispositivos sejam autenticados, autorizados e adequadamente isolados antes de receberem acesso à rede.

Este guia fornece uma estrutura técnica abrangente para implantar o NAC em ambientes educacionais. Ele detalha as melhores práticas para integração RADIUS, arquitetura de VLAN, verificação de postura de endpoint e integração segura de convidados. Ao implementar essas estratégias, diretores de operações de locais e arquitetos de rede podem reduzir significativamente a superfície de ataque, proteger dados confidenciais de proteção e manter estrita adesão aos padrões regulatórios (como GDPR e CIPA) sem comprometer a eficiência operacional da escola.

Aprofundamento Técnico

O princípio fundamental do NAC é o zero trust na borda da rede. Quando um dispositivo (o suplicante) se conecta a um switch de acesso ou a um ponto de acesso sem fio (o autenticador), o dispositivo é colocado em um estado restrito. O autenticador encaminha as credenciais para um servidor de autenticação (geralmente um servidor RADIUS) usando o protocolo 802.1X. Somente quando a autenticação é bem-sucedida e a avaliação da política é aprovada, o dispositivo é atribuído à VLAN apropriada com listas de controle de acesso (ACLs) específicas.

O Protocolo 802.1X e os Métodos EAP

A estrutura do Extensible Authentication Protocol (EAP) fornece o mecanismo de transporte para vários métodos de autenticação dentro do 802.1X. Em ambientes escolares, as implementações mais comuns são:

  • PEAP-MSCHAPv2: Normalmente usado para dispositivos de funcionários e alunos que se autenticam em credenciais do Active Directory. Embora seja mais fácil de implantar, é suscetível a ataques de roubo de credenciais se os clientes não validarem estritamente o certificado do servidor.
  • EAP-TLS: O padrão de excelência para segurança empresarial. Ele se baseia em autenticação mútua baseada em certificado, eliminando totalmente a necessidade de senhas. É altamente recomendado para dispositivos gerenciados (como Chromebooks emitidos pela escola ou notebooks de funcionários), onde uma infraestrutura de chave pública (PKI) ou solução de gerenciamento de dispositivos móveis (MDM) pode provisionar automaticamente os certificados necessários.

Padrões de Segurança Sem Fio: WPA3-Enterprise

Para redes sem fio, o WPA3-Enterprise é a referência atual. Ele exige Frames de Gerenciamento Protegidos (PMF) para evitar ataques de desautenticação e oferece um modo de segurança de 192 bits para ambientes altamente confidenciais (como redes de funcionários e administradores). Para redes de estudantes onde o WPA3-Enterprise pode ser muito complexo devido a cenários de BYOD, o WPA3-Personal com Autenticação Simultânea de Iguais (SAE) oferece proteção robusta contra ataques de dicionário offline, uma melhoria significativa em relação ao padrão legado WPA2-PSK.

Arquitetura de Segmentação de Rede

Um NAC eficaz depende de uma segmentação de rede rigorosa. Uma arquitetura de rede plana é uma vulnerabilidade crítica. Uma implantação padrão de ensino básico deve implementar, no mínimo, a seguinte estrutura de VLAN:

  1. VLAN de Funcionários e Administradores: Acesso total a recursos internos, sistemas MIS e internet. O movimento lateral a partir de outras VLANs é estritamente restrito.
  2. VLAN de Estudantes: Acesso filtrado à internet com imposição de filtragem de conteúdo rigorosa. Sem acesso a recursos de funcionários ou interfaces de gerenciamento.
  3. VLAN de IoT e Infraestrutura: Abriga lousas digitais, câmeras IP e sistemas de gerenciamento predial. Esta VLAN não deve ter acesso de saída para a internet, a menos que um dispositivo específico exija explicitamente, e deve ser isolada das VLANs de usuários.
  4. VLAN de Visitantes: Acesso apenas à internet, isolado de todas as redes internas, normalmente precedido por um Captive Portal para aceitação de termos e captura de identidade.

nac_architecture_overview.png

Guia de Implantação

A implantação de NAC requer uma abordagem em fases e metódica para evitar a interrupção das operações educacionais.

Fase 1: Descoberta e Auditoria

Antes de implementar qualquer imposição, realize uma auditoria de rede abrangente. Use ferramentas para descobrir todos os dispositivos conectados, identificar shadow IT (switches ou pontos de acesso não autorizados) e documentar o estado atual da rede. Esta fase é crítica para criar uma lista de permissões de desvio de autenticação MAC (MAB) precisa para dispositivos legados.

Fase 2: Implantação da Infraestrutura RADIUS

Implante sua infraestrutura RADIUS. Se estiver usando o Active Directory local, o Network Policy Server (NPS) é uma escolha comum. Para ambientes focados em nuvem (Azure AD, Google Workspace), as soluções de cloud RADIUS oferecem integração simplificada. Certifique-se de que o servidor RADIUS esteja configurado corretamente para se comunicar com seu serviço de diretório e que as regras de firewall permitam o tráfego LDAP/LDAPS.

Fase 3: Modo de Monitoramento

Habilite o 802.1X em modo de monitoramento (às vezes chamado de modo aberto) nos switches de acesso e controladores sem fio. Nesse estado, o autenticador avalia as credenciais 802.1X e registra os resultados, mas não bloqueia o acesso quando a autenticação falha. Isso permite que a equipe de TI identifique dispositivos configurados incorretamente, certificados ausentes ou dispositivos legados que exigem MAB sem causar interrupções na rede.

Fase 4: Imposição e Segmentação

Assim que os logs do modo de monitoramento mostrarem uma alta taxa de sucesso e todas as anomalias tiverem sido resolvidas, comece a impor a autenticação 802.1X. Implemente em etapas - comece com um grupo piloto (por exemplo, o departamento de TI), depois estenda para a equipe de funcionários e, finalmente, para os alunos. Implemente a atribuição dinâmica de VLAN por meio de atributos RADIUS (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) para garantir que os usuários sejam colocados no segmento de rede correto com base em sua associação ao grupo de diretórios.

nac_deployment_checklist.png

Melhores Práticas

  • Implemente MAB e MPSK para IoT: Dispositivos legados e endpoints de IoT sem interface de usuário muitas vezes carecem de um suplicante 802.1X. Use o MAC Authentication Bypass (MAB) para equipamentos legados, mas prefira o Multi-PSK (MPSK) para dispositivos de IoT modernos. O MPSK atribui uma chave pré-compartilhada exclusiva para cada dispositivo, garantindo que, mesmo se uma chave for comprometida, o restante da rede permaneça seguro. Para um passo a passo detalhado da configuração, consulte o guia Gerenciando a Segurança de Dispositivos IoT com NAC e MPSK .
  • Imponha a verificação de postura do endpoint: Vá além da autenticação simples integrando verificações de postura. Antes de conceder o acesso, a solução NAC deve verificar se os endpoints possuem software antivírus ativo, estão totalmente atualizados com patches e possuem criptografia de disco ativada. Dispositivos não conformes devem ser colocados em uma VLAN de remediação.
  • Integre o acesso de visitantes com análise de dados: A rede de visitantes deve ser isolada e estar em conformidade. A integração de uma plataforma como o Guest WiFi garante que o acesso dos visitantes seja seguro, em conformidade com a GDPR, e fornece recursos valiosos de WiFi Analytics para entender o uso do local e o fluxo de pessoas.
  • Use autenticação baseada em certificado (EAP-TLS) sempre que possível: Para dispositivos gerenciados, o EAP-TLS elimina a dependência de senhas, reduzindo drasticamente o risco de roubo de credenciais e ataques de phishing.

Solução de Problemas e Mitigação de Riscos

Modos de Falha Comuns

  1. Erros de confiança de certificado: Se os usuários de BYOD forem solicitados a aceitar um certificado de servidor não confiável durante a autenticação PEAP, eles serão treinados a ignorar avisos de segurança, criando uma enorme vulnerabilidade de phishing. Mitigação: Sempre use um certificado assinado por uma Autoridade de Certificação (CA) publicamente confiável para o servidor RADIUS ou garanta que o certificado raiz da CA interna seja enviado a todos os dispositivos gerenciados via MDM.
  2. Falhas de integração de diretório: Se o servidor RADIUS não puder se comunicar com o serviço de diretório (por exemplo, os controladores de domínio AD estiverem inacessíveis ou a senha de uma conta de serviço tiver expirado), a autenticação RADIUS falhará. Mitigação: Implemente servidores RADIUS redundantes e monitore continuamente a integridade da integração do diretório.
  3. O "problema da impressora" (bloqueio de dispositivos legados): A aplicação do 802.1X sem uma whitelist de MAB completa desconectará imediatamente impressoras legadas, equipamentos de AV e smartboards mais antigos. Mitigação: A fase de modo de monitoramento é essencial. Não avance para a aplicação até que cada dispositivo não autenticável tenha sido identificado e perfilado.

ROI e Impacto nos Negócios

Embora o NAC seja principalmente um investimento em segurança e conformidade, ele entrega um valor de negócio mensurável:

  • Mitigação de riscos: O custo financeiro e de reputação de uma violação de dados envolvendo registros de alunos é catastrófico. O NAC reduz drasticamente a superfície de ataque e impede o movimento lateral, contendo possíveis violações.
  • Eficiência operacional: A atribuição dinâmica de VLAN reduz a sobrecarga administrativa de configurar manualmente as portas dos switches. A equipe de TI passa menos tempo gerenciando VLANs e mais tempo em iniciativas estratégicas.
  • Garantia de conformidade: Uma implantação robusta de NAC fornece as trilhas de auditoria e os controles de acesso necessários para demonstrar a conformidade com o GDPR, CIPA e as regulamentações de proteção locais, simplificando as auditorias e reduzindo os riscos jurídicos.

Definições principais

Controle de Acesso à Rede (NAC)

Uma arquitetura de segurança que aplica políticas em dispositivos que tentam acessar uma rede, garantindo que apenas dispositivos autenticados e em conformidade tenham permissão de entrada.

Essencial para equipes de TI evitarem acessos não autorizados e segmentarem o tráfego de rede com base nas funções dos usuários (ex.: funcionários vs. alunos).

IEEE 802.1X

O padrão IEEE para Controle de Acesso à Rede baseado em porta, fornecendo um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN.

O protocolo fundamental que permite que switches e pontos de acesso verifiquem a identidade do usuário antes de conceder acesso à rede.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilidade (AAA) para usuários que se conectam e utilizam um serviço de rede.

O 'cérebro' da implantação do NAC, responsável por verificar as credenciais em um diretório (como o Active Directory) e atribuir VLANs.

MAC Authentication Bypass (MAB)

Uma técnica usada para autenticar dispositivos que não suportam 802.1X, utilizando seu endereço MAC como credencial em uma lista de permissões pré-aprovada.

Crucial para permitir que dispositivos legados, como impressoras antigas e lousas digitais, entrem na rede sem comprometer o requisito de 802.1X para dispositivos modernos.

Multi-PSK (MPSK)

Um recurso de segurança wireless que permite o uso de múltiplas chaves pré-compartilhadas exclusivas em um único SSID, com cada chave atribuindo políticas de rede ou VLANs específicas.

A melhor prática para proteger dispositivos IoT modernos que não conseguem realizar a autenticação 802.1X, isolando-os de forma segura.

Dynamic VLAN Assignment

O processo em que um servidor RADIUS instrui o switch ou ponto de acesso a colocar um usuário autenticado em uma VLAN específica com base em sua associação ao grupo de diretório.

Reduz a sobrecarga administrativa ao permitir que uma única configuração de porta de switch ou SSID atenda a múltiplos tipos de usuários com segurança.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Um método de autenticação 802.1X que exige autenticação mútua de certificados entre o cliente e o servidor, eliminando o uso de senhas.

O método de autenticação mais seguro, altamente recomendado para dispositivos gerenciados fornecidos por escolas para evitar o roubo de credenciais.

Endpoint Posture Checking

O processo de avaliação do estado de segurança de um dispositivo (ex: status do antivírus, nível de patch do sistema operacional) antes de conceder acesso à rede.

Garante que mesmo os usuários autenticados não possam introduzir malware na rede por meio de dispositivos comprometidos ou sem correções aplicadas.

Exemplos práticos

Uma escola secundária de 1.500 alunos precisa implantar 200 novos sensores ambientais sem fio em todo o campus. Esses sensores suportam apenas WPA2-Personal e não possuem um suplicante 802.1X. Como o arquiteto de rede deve proteger esses dispositivos sem comprometer a rede principal?

O arquiteto deve implantar um SSID oculto dedicado para dispositivos IoT e implementar Multi-PSK (MPSK). Cada sensor (ou grupo de sensores) recebe uma chave pré-compartilhada exclusiva e complexa. O controlador sem fio ou servidor RADIUS é configurado para mapear essas chaves específicas para a 'VLAN de IoT e Infraestrutura' isolada. Esta VLAN deve ter ACLs rígidas aplicadas, negando todo o acesso às VLANs de Funcionários e Alunos, e restringindo o acesso de saída à internet apenas aos endpoints de nuvem específicos exigidos pelos sensores ambientais.

Comentário do examinador: Esta abordagem isola os dispositivos IoT vulneráveis, evitando o pesadelo operacional de gerenciar um único PSK compartilhado. Se um sensor for roubado ou comprometido, sua chave individual pode ser revogada sem afetar os outros 199 dispositivos. Isso se alinha com as melhores práticas descritas no guia [Managing IoT Device Security with NAC and MPSK](/guides/managing-iot-device-security-with-nac-and-mpsk).

Durante a implantação do 802.1X (PEAP-MSCHAPv2) para dispositivos BYOD de alunos, o suporte de TI está sobrecarregado com chamados de alunos relatando que seus dispositivos estão exibindo um aviso sobre um 'certificado de rede não confiável'. Como isso deve ser resolvido?

O problema ocorre porque o servidor RADIUS está usando um certificado assinado pela Autoridade Certificadora (CA) privada e interna da escola, na qual os dispositivos BYOD não confiam nativamente. A correção imediata é substituir o certificado do servidor RADIUS por um emitido por uma CA pública amplamente reconhecida (ex.: DigiCert, Let's Encrypt). A longo prazo, a escola deve implementar um portal de integração que configure o suplicante de forma segura e instale as âncoras de confiança necessárias antes que o dispositivo tente se conectar.

Comentário do examinador: Instruir os usuários a 'aceitar' ou 'confiar' manualmente em um certificado desconhecido é uma falha de segurança grave, pois os treina para se tornarem vítimas de ataques do tipo Evil Twin ou Man-in-the-Middle (MitM). O uso de uma CA pública para autenticação RADIUS de BYOD é uma prática recomendada padrão do setor para garantir uma integração simples e segura.

Questões práticas

Q1. Um distrito escolar está migrando seus serviços de diretório inteiramente para o Google Workspace e descontinuando o Active Directory local. Atualmente, eles usam NPS para RADIUS. Qual mudança arquitetônica é necessária para manter a autenticação 802.1X para sua frota de Chromebooks gerenciados?

Dica: Considere como os Chromebooks se autenticam nativamente e qual infraestrutura é necessária quando o AD é removido.

Ver resposta modelo

O distrito deve migrar para um provedor RADIUS em nuvem (ex: SecureW2, Foxpass) que se integre nativamente ao Google Workspace, ou utilizar os próprios recursos de Cloud RADIUS do Google, se disponíveis em seu nível de licenciamento. Eles devem configurar os Chromebooks por meio do Google Admin Console para usar EAP-TLS, aproveitando os certificados de dispositivo provisionados automaticamente pelo gerenciamento de certificados do Google, removendo completamente a dependência de senhas e servidores NPS locais.

Q2. Durante uma auditoria de rede, a equipe de TI descobre um roteador wireless de nível doméstico conectado a uma porta de parede de uma sala de aula, transmitindo um SSID oculto. Como uma solução NAC configurada corretamente impede que esse shadow IT comprometa a rede?

Dica: Pense no que acontece no nível da porta do switch quando um dispositivo não gerenciado é conectado.

Ver resposta modelo

Com o 802.1X forçado nas portas físicas do switch, o roteador doméstico falhará na autenticação por não possuir credenciais válidas ou um certificado. A porta do switch permanecerá em um estado não autorizado (bloqueando todo o tráfego) ou atribuirá dinamicamente a porta a uma VLAN de remediação isolada. Além disso, as soluções NAC corporativas podem detectar a presença de NAT ou de múltiplos endereços MAC atrás de uma única porta, acionando o bloqueio automático da porta para isolar o dispositivo não autorizado.

Q3. Um diretor de operações de um grande campus educacional deseja fornecer acesso fácil à WiFi para pais visitantes durante um torneio esportivo, mas a equipe de TI está preocupada com a conformidade com a GDPR e a segurança da rede. Qual é a abordagem recomendada?

Dica: Considere o equilíbrio entre a facilidade de acesso e os requisitos legais para captura de dados de usuários.

Ver resposta modelo

A equipe de TI deve provisionar uma VLAN de Visitantes dedicada que seja estritamente isolada de todos os recursos internos e tenha acesso exclusivo à internet. Eles devem implantar uma solução de Captive Portal, como a plataforma Guest WiFi da Purple, para gerenciar a integração de usuários. Isso garante que os visitantes aceitem os termos e condições e forneçam consentimento explícito para o processamento de dados antes de obter acesso, atendendo aos requisitos da GDPR enquanto mantêm a rede principal segura.