Pular para o conteúdo principal
Português (Brasil)

Staff WiFi Captive Portal: Onboarding and Authenticating Employees

Um guia técnico abrangente para líderes de TI sobre o design e a implantação de captive portals de WiFi para funcionários. Este guia aborda a autenticação EAP-TLS, integração de BYOD, segmentação de VLAN e gerenciamento de largura de banda para aumentar a eficiência operacional e mitigar riscos de segurança.

📖 6 min de leitura📝 1,263 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Staff WiFi Captive Portal: Onboarding and Authenticating Employees Uma Apresentação de Inteligência de WiFi da Purple Enterprise [INTRODUÇÃO - aproximadamente 1 minuto] Bem-vindo à série de Inteligência de WiFi da Purple Enterprise. Hoje estamos cobrindo um tópico que fica na interseção de segurança, operações de RH e arquitetura de rede: o staff WiFi captive portal. Agora, eu sei o que alguns de vocês podem estar pensando. Um captive portal para funcionários? Isso não é o que você usa para convidados? E esse é exatamente o equívoco que precisamos abordar de antemão. Um staff WiFi captive portal não é uma splash page de convidados com um logotipo diferente. É um portal de integração estruturado que autentica funcionários individualmente, impõe a aceitação de políticas e registra dispositivos antes de conceder acesso à sua rede operacional. Faça isso da maneira certa e você eliminará a maior vulnerabilidade na maioria das implantações de WiFi corporativas: a chave pré-compartilhada compartilhada. Faça errado e você terá ex-funcionários, prestadores de serviços e dispositivos pessoais conectados à sua rede de funcionários indefinidamente. Vamos entrar na arquitetura. [MERGULHO TÉCNICO PROFUNDO - aproximadamente 5 minutos] O problema fundamental com a maioria das implantações de WiFi para funcionários é a senha compartilhada. Uma única chave pré-compartilhada WPA2, escrita em um post-it no escritório administrativo, compartilhada em um grupo de WhatsApp e nunca alterada quando alguém sai. Em um hotel de 200 quartos com 80 funcionários, essa senha foi compartilhada com cerca de 80 pessoas, seus parceiros que pegaram o telefone emprestado e pelo menos três ex-funcionários. Isso não é uma rede. Isso é uma porta aberta. O staff WiFi captive portal resolve isso substituindo a credencial compartilhada por um fluxo de integração com identidade verificada. Veja como funciona na prática. Quando um novo funcionário conecta seu dispositivo à rede de funcionários pela primeira vez, ele acessa um SSID de provisionamento. Esta é uma rede aberta, mas é um jardim murado - ela roteia apenas para o portal de integração e para o seu provedor de identidade. Nada mais. O funcionário é redirecionado para o captive portal, onde se autentica usando sua identidade corporativa. Na maioria dos ambientes corporativos atuais, isso significa Single Sign-On via Microsoft Entra ID, Okta ou Google Workspace. Uma vez que o provedor de identidade confirma que o funcionário está ativo e no grupo correto, o portal faz uma de duas coisas, dependendo da sua arquitetura de autenticação. Em uma implantação baseada em credenciais usando PEAP e MSCHAPv2, o portal valida as credenciais e emite um token de acesso à rede. Em uma implantação baseada em certificado usando EAP-TLS, o portal aciona a geração do certificado. Um certificado X.509 específico do dispositivo é emitido pela sua Autoridade de Certificação, empacotado em um perfil de configuração - um arquivo .mobileconfig no iOS ou um perfil Passpoint no Android - e enviado para o dispositivo. O dispositivo instala o perfil, desconecta-se do SSID de provisionamento e conecta-se automaticamente ao SSID seguro de funcionários usando o certificado para autenticação EAP-TLS. A partir desse momento, toda vez que o dispositivo se conecta à rede de funcionários, o servidor RADIUS valida o certificado. Sem solicitação de senha. Sem login manual. O dispositivo simplesmente se conecta, de forma silenciosa e segura. Agora vamos falar sobre por que o EAP-TLS é o estado-alvo para a maioria das implantações corporativas. O padrão IEEE 802.1X define a estrutura, mas o EAP-TLS é o método que elimina totalmente o roubo de credenciais do caminho de autenticação. Não há senha para sofrer phishing. Não há hash para sofrer força bruta. O certificado está vinculado ao dispositivo. Se o dispositivo for perdido ou roubado, você revoga o certificado em sua Autoridade Certificadora e o servidor RADIUS nega o acesso na próxima tentativa de conexão. Se o funcionário sair da empresa, você desativa sua conta no provedor de identidade e, como o certificado foi emitido contra essa identidade, a integração SCIM propaga o desprovisionamento automaticamente. O acesso termina quando o vínculo da pessoa termina. Esta é a arquitetura que organizações como Premier Inn e Whitbread precisam ao gerenciar centenas de propriedades com milhares de dispositivos de funcionários em uma propriedade distribuída. Você não pode gerenciar isso em escala com senhas compartilhadas e revogação manual. Vamos também abordar a dimensão do BYOD, porque é aqui que o Captive Portal se torna particularmente valioso. Na maioria dos ambientes de hotelaria, varejo e eventos, uma proporção significativa de funcionários usa dispositivos pessoais para tarefas operacionais. A equipe de governança verifica as atribuições dos quartos em seus próprios smartphones. Os associados de varejo usam tablets pessoais para consultas de inventário. As equipes de operações de estádios usam telefones pessoais para comunicações. Esses são dispositivos não gerenciados. Você não controla a versão do sistema operacional, o status do antivírus ou quais outros aplicativos estão instalados. Eles devem ser tratados, na melhor das hipóteses, como semiconfiáveis. O Captive Portal de WiFi para funcionários lida com o BYOD colocando esses dispositivos em uma VLAN dedicada após a autenticação. A VLAN dá a eles acesso aos aplicativos internos específicos de que precisam - o sistema de gerenciamento de propriedades, a interface de ponto de venda, o aplicativo de agendamento - e nada mais. Eles não podem acessar seus servidores corporativos, seus sistemas financeiros ou sua rede de dispositivos gerenciados. Isso é segmentação de VLAN aplicada no nível do RADIUS, e é a implementação prática do princípio de zero-trust: verificar a identidade e, em seguida, conceder o acesso mínimo necessário. Mais um elemento arquitetônico que vale a pena cobrir: a Política de Uso Aceitável, ou AUP. O Captive Portal é o ponto de aplicação natural para a aceitação da AUP. Antes que um funcionário obtenha acesso à rede da equipe, o portal apresenta a política - cobrindo uso aceitável, monitoramento, manuseio de dados e consequências de uso indevido - e exige um reconhecimento explícito. Isso cria um registro auditável e com carimbo de data/hora da aceitação da política. Sob a GDPR, isso importa. Sob a PCI DSS, para qualquer rede que toque em dados de titulares de cartão, isso importa. E no caso de uma investigação disciplinar envolvendo uso indevido da rede, isso importa consideravelmente. Agora, largura de banda. É aqui que o Purple Shield se torna diretamente relevante. Em ambientes de equipe de alta densidade - um hotel durante um fim de semana de lotação máxima, uma rede de varejo na Black Friday, um estádio em dia de jogo - a disputa por largura de banda na rede de funcionários é um problema operacional real. O Purple Shield opera no nível de DNS, bloqueando payloads de anúncios, scripts de rastreamento e domínios de malware antes que cheguem ao dispositivo. O efeito prático é uma redução de até 40% no total de dados baixados na rede, de acordo com os próprios dados da Purple. Para os dispositivos da equipe, isso significa carregamentos de página mais rápidos, menor consumo de bateria do dispositivo e mais largura de banda disponível para o tráfego operacional. As páginas carregam até 3,5 vezes mais rápido quando as mais de 120 consultas DNS típicas de uma página cheia de anúncios são eliminadas antes de atingirem a rede. Você obtém essa melhoria sem tocar no hardware, sem reconfigurar os pontos de acesso e sem qualquer configuração por dispositivo. [RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ARMADILHAS - aproximadamente 2 minutos] Deixe-me apresentar a sequência de implementação e os modos de falha que você deve observar. Comece com sua arquitetura de VLAN antes de configurar um único ponto de acesso. Defina no mínimo três VLANs: equipe, convidados e IoT. Mapeie suas políticas de firewall. Obtenha a aprovação da sua equipe de segurança. Os erros mais caros em implantações de WiFi acontecem quando a rede é construída primeiro e a arquitetura de segurança é adicionada depois. Segundo, implante sua infraestrutura RADIUS com redundância. Uma única falha no servidor RADIUS bloqueia todos os membros da equipe fora da rede simultaneamente. Em um hotel, isso significa que a recepção não pode processar check-ins. Em uma loja de varejo, significa que os sistemas de ponto de venda não podem autenticar. Implante pelo menos dois servidores RADIUS em uma configuração ativo-passivo e teste o failover antes de entrar em operação. Terceiro, integre seu servidor RADIUS com seu provedor de identidade via LDAP ou SAML. É isso que permite o desprovisionamento automático. Quando um funcionário é desativado no Microsoft Entra ID ou Okta, o servidor RADIUS para de aceitar suas credenciais ou seu certificado na próxima tentativa de conexão. Sem etapa manual, sem fila de chamados, sem lacuna entre a saída e a remoção do acesso. Em quarto lugar, projete o fluxo de integração do seu Captive Portal para o usuário menos técnico da sua equipe. Não para o gerente de TI. Pense no operador de armazém temporário que nunca instalou um perfil de configuração. Instruções claras, interface com a identidade visual da marca e um número de contato do suporte visível em todas as telas. Agora, as armadilhas. O modo de falha mais comum é o "walled garden" ser permissivo demais. Se o seu SSID de provisionamento permitir acesso geral à internet, a equipe simplesmente permanecerá nele em vez de concluir o fluxo de integração. Bloqueie-o apenas para o portal, os endpoints do provedor de identidade e o servidor de download de certificados. Nada mais. A segunda armadilha é a fragmentação do Android. O iOS lida com perfis dot-mobileconfig de forma consistente. O Android não. Diferentes fabricantes e versões de sistema operacional lidam com a instalação de certificados de maneiras distintas. Teste seu fluxo de integração nos dispositivos Android específicos que sua equipe realmente usa antes de implementar. O Passpoint, também conhecido como Hotspot 2.0, melhora significativamente a experiência no Android ao permitir a descoberta automática de rede e autenticação após a configuração inicial. A terceira armadilha é a expiração do certificado. Emita certificados de curta duração — 90 dias é um padrão razoável para dispositivos BYOD. Quando o certificado expira, o dispositivo deve passar novamente pela integração através do portal. Isso remove naturalmente dispositivos inativos da rede e força a reautenticação em relação ao status atual do provedor de identidade. Um dispositivo pertencente a um ex-funcionário cuja conta foi desativada há seis meses falhará na reintegração automaticamente. [PERGUNTAS E RESPOSTAS RÁPIDAS - aproximadamente 1 minuto] Algumas perguntas que ouvimos com frequência. "Podemos usar iPSK em vez de 802.1X completo?" Sim, para ambientes onde a implantação de certificados não é viável. O iPSK, ou Identity Pre-Shared Key, atribui uma senha de WiFi exclusiva para cada usuário ou dispositivo. É mais seguro do que uma PSK compartilhada porque cada credencial é individual e revogável. É menos seguro do que o EAP-TLS porque ainda é baseado em senha. Use-o como um degrau de transição, não como o destino final. "Precisamos de WPA3 se já estamos no WPA2-Enterprise?" Se o seu hardware for compatível, sim. O WPA3-Enterprise introduz a Autenticação Simultânea de Iguais (SAE), que elimina ataques de dicionário offline contra o handshake. O custo de migração em hardware compatível é apenas uma alteração de configuração. O ganho de segurança é substancial. "Como lidamos com prestadores de serviços que não possuem uma identidade corporativa?" Use iPSK ou uma credencial de convidado com tempo limitado emitida pelo portal. Defina uma data de expiração que coincida com a data de término do contrato. A plataforma da Purple oferece suporte nativo a credenciais de acesso com limite de tempo. [RESUMO E PRÓXIMOS PASSOS - aproximadamente 1 minuto] Deixe-me resumir tudo. Um Captive Portal de WiFi para funcionários não é um recurso de conveniência. É o ponto de aplicação para verificação de identidade, aceitação de políticas, registro de dispositivos e controle de acesso em sua rede operacional. A chave pré-compartilhada (PSK) compartilhada é um passivo de conformidade e uma vulnerabilidade de segurança. Substitua-a por um fluxo de integração com identidade verificada, segmentação de VLAN e autenticação baseada em RADIUS. Seus próximos passos imediatos: audite seu método atual de autenticação de rede de funcionários. Se você estiver executando uma PSK compartilhada, essa é sua prioridade máxima de correção. Se você estiver usando 802.1X baseado em credenciais, avalie o caminho para EAP-TLS baseado em certificado. E se você não tem o Purple Shield implantado em sua rede de funcionários, a redução de largura de banda por si só já justifica a conversa. Para orientações de implementação, modelos de arquitetura e estudos de caso das implantações da Purple em 80.000 locais ativos, visite purple.ai. Obrigado por ouvir.

header_image.png

Resumo Executivo

Para gerentes de TI e arquitetos de rede nos setores de hotelaria, varejo e grandes espaços públicos, gerenciar o acesso à rede para dispositivos de funcionários apresenta um desafio operacional e de segurança significativo. Depender de chaves pré-compartilhadas (PSKs) comuns é fundamentalmente inseguro e operacionalmente oneroso, criando um cenário onde ex-funcionários e dispositivos não gerenciados mantêm acesso por tempo indeterminado à rede. Este guia descreve uma abordagem prática e segura para o onboarding de WiFi de funcionários usando um fluxo de Captive Portal integrado ao seu provedor de identidade. Ao aproveitar essa arquitetura, você pode realizar o onboarding de forma segura de dispositivos BYOD não gerenciados em uma rede 802.1X, aplicar políticas de uso aceitável e manter a conformidade sem o atrito de um registro completo em gerenciamento de dispositivos móveis (MDM). Para estabelecimentos que já utilizam Guest WiFi e WiFi Analytics , estender o onboarding seguro aos dispositivos dos funcionários oferece uma estratégia de gerenciamento de rede unificada e robusta.

Ouça este guia

Mergulho Técnico Profundo

A base do onboarding seguro de funcionários é a transição de métodos de autenticação legados para o EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). O EAP-TLS é o padrão da indústria para autenticação segura de WiFi, baseando-se em certificados digitais em vez de senhas. O desafio com redes de funcionários, particularmente em ambientes BYOD, é distribuir esses certificados para dispositivos não gerenciados.

O Fluxo de Onboarding de Autoatendimento

Para alcançar isso, os estabelecimentos implementam um portal de onboarding de autoatendimento. O processo segue um caminho estruturado para garantir a entrega segura do certificado:

  1. Conexão Inicial: O usuário conecta seu dispositivo pessoal a um SSID de provisionamento aberto e dedicado. Essa rede funciona como um jardim murado (walled garden), restringindo o acesso a tudo, exceto ao portal de onboarding e ao provedor de identidade (IdP).
  2. Autenticação: O usuário é redirecionado para um Captive Portal onde se autentica usando suas credenciais corporativas. Isso envolve a integração SAML ou SCIM com um IdP como Microsoft Entra ID, Okta ou Google Workspace.
  3. Geração de Certificado: Após a autenticação bem-sucedida, o sistema gera um certificado de cliente exclusivo e específico para o dispositivo.
  4. Instalação do Perfil: Um perfil de configuração é enviado para o dispositivo. Este perfil contém o certificado do cliente, o certificado da CA raiz e as configurações de rede para o SSID 802.1X seguro.
  5. Conexão Segura: O dispositivo se desconecta automaticamente do SSID de provisionamento e se conecta ao SSID corporativo seguro usando o certificado recém-instalado para autenticação EAP-TLS.

byod_onboarding_flow.png

Por que PSKs Compartilhados Falham em Redes de Funcionários

Historicamente, os locais dependiam de Chaves Pré-Compartilhadas (PSKs) para o acesso da equipe. Esse método é fundamentalmente falho em ambientes corporativos modernos. As PSKs, uma vez compartilhadas, estão comprometidas. Elas não oferecem responsabilidade individual e exigem uma alteração de senha em toda a rede se um dispositivo for perdido ou se um funcionário sair. Em um hotel de 200 quartos com 80 funcionários, uma senha compartilhada provavelmente foi compartilhada com cerca de 80 pessoas, seus parceiros e pelo menos três ex-funcionários. Isso não é uma rede segura; é uma porta aberta.

authentication_methods_comparison.png

Guia de Implementação

A implantação de um Captive Portal de WiFi seguro para funcionários exige planejamento e execução cuidadosos. Siga estas etapas para uma implementação bem-sucedida em um ambiente de hotel, varejo ou estádio.

Etapa 1: Definir Políticas de Acesso e Segmentação

Antes de configurar a infraestrutura técnica, defina claramente o que os dispositivos dos funcionários devem ter permissão para acessar. Dispositivos BYOD não são gerenciados; você não controla suas atualizações de SO, status de antivírus ou aplicativos instalados. Portanto, eles devem ser tratados como dispositivos não confiáveis.

Coloque os dispositivos dos funcionários em uma VLAN dedicada. Essa VLAN deve fornecer acesso à internet e acesso restrito apenas aos aplicativos internos específicos exigidos para a função do funcionário, como a interface web do ponto de venda de varejo ou o aplicativo de governança de hospitalidade. Nunca coloque dispositivos BYOD na mesma VLAN que servidores corporativos ou dispositivos gerenciados. Para ler mais sobre a segurança de redes de back-of-house, consulte nosso guia sobre Staff WiFi Policies for Retail: Securing Back-of-House Networks ou a versão em português Políticas de WiFi para Colaboradores no Retalho: Proteger as Redes Back-of-House .

Etapa 2: Configurar o Servidor RADIUS e a Integração com o IdP

Seu servidor RADIUS é o núcleo do processo de autenticação 802.1X. Ele deve ser configurado para suportar EAP-TLS e integrado ao seu Provedor de Identidade (IdP).

Conecte seu servidor RADIUS ao seu IdP via SAML ou LDAP. Isso garante que apenas funcionários ativos possam se autenticar e receber um certificado. Quando um funcionário é desativado no Microsoft Entra ID ou Okta, o servidor RADIUS deixa de aceitar suas credenciais ou seu certificado na próxima tentativa de conexão. Estabeleça uma CA interna ou utilize uma PKI gerenciada baseada em nuvem para emitir os certificados de cliente. O servidor RADIUS deve confiar nesta CA.

Passo 3: Desenhar o Portal de Onboarding e Impor a AUP

O portal de onboarding é a primeira interação do usuário com o sistema. Ele deve ser intuitivo e ter uma identidade visual clara. Forneça instruções passo a passo na tela do portal. Os usuários precisam saber exatamente onde clicar e o que esperar.

O Captive Portal é o ponto de imposição natural para a aceitação da Política de Uso Aceitável (AUP). Antes que um funcionário obtenha acesso à rede da equipe, o portal apresenta a política e exige uma confirmação explícita. Isso cria um registro auditável com carimbo de data/hora da aceitação da política, o que é crítico para a conformidade com o GDPR e PCI DSS.

Boas Práticas

Para garantir uma implantação segura e gerenciável, siga estas boas práticas do setor.

Implementar Certificados de Curta Duração

Como os dispositivos BYOD não são gerenciados, o risco de um dispositivo comprometido permanecer na rede é maior. Mitigue esse risco emitindo certificados de curta duração. Em vez de um certificado válido por três anos, emita certificados válidos por 90 dias. Quando o certificado expirar, o usuário deverá se autenticar novamente por meio do portal de onboarding. Isso elimina naturalmente dispositivos inativos da rede e garante que apenas funcionários ativos mantenham o acesso.

Utilizar Passpoint (Hotspot 2.0)

Para uma experiência de onboarding perfeita, especialmente em dispositivos Android, aproveite o Passpoint. O Passpoint permite que os dispositivos descubram e se autentiquem automaticamente na rede segura sem exigir que o usuário selecione manualmente o SSID ou interaja com um Captive Portal após a configuração inicial. Isso reduz significativamente o atrito e melhora a experiência do usuário.

Gerenciamento de Largura de Banda com Purple Shield

Em ambientes de equipe de alta densidade, a disputa por largura de banda na rede de funcionários é um problema operacional real. O Purple Shield opera no nível do DNS, bloqueando payloads de anúncios, scripts de rastreamento e domínios de malware antes que cheguem ao dispositivo. O efeito prático é uma redução de até 40% no total de dados baixados na rede. Para os dispositivos da equipe, isso significa carregamentos de página mais rápidos, menor consumo de bateria do dispositivo e mais largura de banda disponível para o tráfego operacional.

Solução de Problemas e Mitigação de Riscos

Mesmo com um sistema bem projetado, problemas podem surgir. Compreender os modos de falha comuns é crítico para uma resolução rápida.

A Configuração do Walled Garden

O SSID de provisionamento deve ser estritamente controlado. Se o walled garden for muito aberto, os usuários podem simplesmente permanecer conectados à rede de provisionamento para acessar a internet, ignorando completamente o processo de integração seguro. Certifique-se de que o SSID de provisionamento permita apenas o acesso ao portal de integração, aos endpoints de autenticação do IdP e aos servidores de download de certificados necessários. Todo o restante do tráfego deve ser bloqueado.

Fragmentação do Android

Os dispositivos Apple iOS lidam com perfis de configuração de forma consistente. O Android, no entanto, é altamente fragmentado. Diferentes fabricantes e versões de sistema operacional lidam com perfis de WiFi e instalação de certificados de maneira diferente. Para mitigar isso, certifique-se de que sua solução de integração forneça instruções claras e específicas para cada sistema operacional e aproveite o Passpoint sempre que possível.

ROI e Impacto nos Negócios

A implementação de um Captive Portal de WiFi seguro para funcionários oferece um retorno significativo sobre o investimento por meio de segurança aprimorada, redução de despesas operacionais de TI e maior produtividade dos colaboradores.

Ao capacitar os usuários a realizarem a própria integração, as equipes de suporte de TI veem uma redução drástica nos chamados relacionados a senhas de WiFi e problemas de conexão. A transição de PSKs para EAP-TLS reduz significativamente o risco de acesso não autorizado à rede e violações de dados. Isso é fundamental para manter a conformidade com padrões como PCI DSS e GDPR. Os funcionários podem conectar seus dispositivos pessoais de forma rápida e segura para acessar as ferramentas de que precisam, melhorando a eficiência geral e a satisfação nos setores de Varejo , Saúde , Hospitalidade e Transporte .

Definições principais

Captive Portal

Uma página web que um usuário de uma rede de acesso público ou corporativa é obrigado a visualizar e interagir antes que o acesso seja concedido.

Usado em redes de funcionários como o gateway para verificação de identidade, aceitação de AUP e provisionamento de certificados.

EAP-TLS

Extensible Authentication Protocol-Transport Layer Security. Um método de autenticação 802.1X que utiliza certificados digitais tanto no cliente quanto no servidor.

O método de autenticação WiFi mais seguro, eliminando a necessidade de senhas e prevenindo o roubo de credenciais.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gerenciamento centralizado de autenticação, autorização e tarifação (accounting).

O servidor central que valida os certificados dos dispositivos junto ao provedor de identidade antes de conceder o acesso à rede.

VLAN Segmentation

A prática de dividir uma rede física em múltiplas redes lógicas para isolar o tráfego.

Essencial para manter os dispositivos BYOD não confiáveis de funcionários separados de servidores corporativos confidenciais e sistemas de PDV.

Passpoint (Hotspot 2.0)

Um padrão da indústria que permite onboarding e roaming de WiFi seguros e integrados, sem exigir a seleção manual de SSID ou interação com o Captive Portal após a configuração inicial.

Melhora a experiência do usuário no onboarding de funcionários, particularmente em dispositivos Android.

Walled Garden

Um ambiente de rede restrito que controla o acesso do usuário a conteúdos e serviços web específicos.

Usado no SSID de provisionamento para garantir que os funcionários acessem apenas o portal de onboarding e o IdP, impedindo-os de burlar a configuração de segurança.

SCIM

System for Cross-domain Identity Management. Um padrão aberto para automatizar a troca de informações de identidade de usuários entre domínios de identidade.

Permite o desprovisionamento automático do acesso à rede quando um funcionário deixa a empresa e é desativado no IdP.

iPSK

Identity Pre-Shared Key. Um recurso de segurança que atribui uma senha de WiFi exclusiva para cada usuário ou dispositivo individual.

Usado como uma alternativa ao 802.1X para dispositivos sem interface de usuário (headless) ou prestadores de serviço que não podem instalar um certificado.

Exemplos práticos

Um hotel de 200 quartos precisa fornecer acesso WiFi a 80 funcionários de limpeza e manutenção que usam seus smartphones pessoais para acessar o sistema de gerenciamento de propriedades (PMS) baseado em nuvem. O hotel usa atualmente uma única senha WPA2 que não é alterada há três anos. Como o gerente de TI deve proteger essa rede sem adquirir software de MDM para dispositivos pessoais?

  1. Crie um novo SSID de provisionamento aberto (por exemplo, 'Hotel-Staff-Onboard') com um walled garden estrito que permita o acesso apenas ao Captive Portal e ao Microsoft Entra ID.
  2. Configure um Captive Portal para exigir login de SSO via Entra ID e exibir a Política de Uso Aceitável para funcionários.
  3. Após o login bem-sucedido e a aceitação da política, gere um certificado EAP-TLS de 90 dias específico para o dispositivo.
  4. Envie o perfil de configuração para o telefone do funcionário para conectar-se automaticamente ao SSID 802.1X seguro (por exemplo, 'Hotel-Staff-Secure').
  5. Configure o servidor RADIUS para atribuir dispositivos conectados a uma VLAN de BYOD dedicada que roteia apenas para a internet e o PMS em nuvem, bloqueando o acesso à VLAN do servidor corporativo.
Comentário do examinador: Esta abordagem elimina a vulnerabilidade de senha compartilhada, evitando as preocupações de privacidade de um registro completo em MDM. O certificado de 90 dias garante que os dispositivos inativos sejam removidos automaticamente, e a segmentação de VLAN protege a rede corporativa de dispositivos pessoais potencialmente comprometidos.

Uma grande rede de varejo enfrenta sérios problemas de conectividade no ponto de venda (POS) durante as vendas da Black Friday porque os funcionários estão transmitindo vídeos em seus telefones pessoais conectados à rede de funcionários durante os intervalos. Como o arquiteto de rede pode resolver isso sem banir os dispositivos pessoais?

  1. Implemente o Purple Shield na rede de funcionários para bloquear payloads de anúncios e scripts de rastreamento no nível de DNS, recuperando instantaneamente até 40% da largura de banda desperdiçada.
  2. Implemente políticas de Qualidade de Serviço (QoS) no controlador sem fio para priorizar o tráfego de aplicativos de POS e inventário em relação à navegação na web em geral e streaming de vídeo.
  3. Aplique limitação de taxa à VLAN de BYOD para limitar a largura de banda máxima disponível para qualquer dispositivo pessoal individual.
Comentário do examinador: Esta solução aborda a disputa de largura de banda tecnicamente, em vez de políticas de RH inexequíveis. O Purple Shield reduz a carga de dados de linha de base, enquanto o QoS e a limitação de taxa garantem que o tráfego operacional crítico sempre tenha prioridade durante os períodos de pico.

Questões práticas

Q1. Um diretor de operações de estádio deseja emitir uma única senha de WiFi para todos os 500 funcionários do evento no dia do jogo para tornar 'mais fácil para eles se conectarem rapidamente'. Qual é o principal risco de segurança dessa abordagem e qual é a alternativa recomendada?

Dica: Considere o que acontece quando um membro da equipe do dia do jogo não retorna para o próximo evento.

Ver resposta modelo

O principal risco é a impossibilidade de revogar o acesso individualmente. Quando um funcionário sai, ele mantém a senha, concedendo-lhe acesso por tempo indeterminado à rede operacional. A alternativa recomendada é um fluxo de integração via Captive Portal que emite certificados EAP-TLS específicos para o dispositivo vinculados à sua identidade, permitindo que a TI revogue o acesso por dispositivo ou automaticamente após o desligamento.

Q2. Os logs do seu servidor RADIUS mostram que vários dispositivos Android estão falhando ao concluir o processo de instalação do certificado após a autenticação no Captive Portal. Qual é a causa mais provável e como ela pode ser mitigada?

Dica: Considere as diferenças na forma como os sistemas operacionais móveis lidam com perfis de configuração.

Ver resposta modelo

A causa mais provável é a fragmentação do Android OS, já que diferentes fabricantes lidam com a instalação de certificados de maneiras distintas. Isso pode ser mitigado fornecendo instruções claras e específicas para cada sistema operacional no Captive Portal, utilizando um aplicativo de integração dedicado ou aproveitando o Passpoint (Hotspot 2.0) para uma experiência de integração mais fluida e padronizada.

Q3. A equipe de TI de um hospital está projetando uma rede BYOD para funcionários. Eles planejam colocar os dispositivos BYOD na mesma VLAN que os servidores de registro eletrônico de saúde (EHR) do hospital para garantir que a equipe possa acessar os dados dos pacientes rapidamente. Este é um design seguro? Por que sim ou por que não?

Dica: Considere o nível de confiança de dispositivos BYOD não gerenciados.

Ver resposta modelo

Não, este não é um design seguro. Os dispositivos BYOD não são gerenciados, o que significa que a equipe de TI não controla sua postura de segurança, atualizações de sistema operacional ou aplicativos instalados. Eles devem ser tratados como não confiáveis. Colocá-los na mesma VLAN que os servidores EHR confidenciais cria um risco significativo de movimentação lateral. Os dispositivos BYOD devem ser colocados em uma VLAN dedicada e segmentada, com regras rígidas de firewall que limitem o acesso apenas às interfaces web necessárias, nunca permitindo o acesso direto ao servidor.

Continue a ler esta série

How to Set Up a Captive Portal on Starlink: A Guide for Remote & Maritime Venues

Este guia detalha como contornar o hardware nativo da Starlink e integrar um Captive Portal gerenciado na nuvem usando equipamentos de roteamento corporativos. Você aprenderá como superar a limitação de CGNAT, impor a segmentação de VLAN, gerenciar restrições de largura de banda de satélite e garantir a conformidade regulatória.

Ler o guia →

Melhores Práticas de Captive Portal: Projetando para Alta Conversão e Conformidade

Este guia técnico oferece aos gerentes de TI, arquitetos de rede e diretores de operações de locais um roteiro completo para a implantação de captive portals que equilibram a segurança de rede com uma alta conversão de usuários. O guia abrange toda a arquitetura, desde a segmentação de VLAN e autenticação RADIUS até o design de consentimento em conformidade com a GDPR e a seleção de métodos de autenticação. Extraído da experiência operacional da Purple em mais de 80.000 locais e 440 milhões de logins em 2024, cada recomendação é baseada em dados reais de implantação.

Ler o guia →

Como otimizar Captive Portals para máxima segurança de rede e conversão de usuários

Este guia fornece um blueprint técnico completo para otimizar captive portals em ambientes corporativos, cobrindo arquitetura de segmentação de rede, seleção de métodos de autenticação, design de consentimento em conformidade com o GDPR e otimização de conversão. Ele foi escrito para gerentes de TI, arquitetos de rede e CTOs em hotéis, redes de varejo, estádios e organizações do setor público que precisam equilibrar a segurança de rede com a captura de dados primários (first-party data). A Purple opera a infraestrutura de captive portal em mais de 80.000 locais, com 440 milhões de logins em 2024, e as estruturas apresentadas aqui refletem essa experiência operacional.

Ler o guia →