Saltar para o conteúdo principal

Automatizar a Segurança de WiFi Empresarial: O Guia de Implementação de Certificados SCEP

Este guia técnico explica como automatizar a segurança de WiFi empresarial utilizando a implementação de certificados SCEP. Disponibiliza um plano arquitetónico detalhado e as etapas de implementação para implementar a autenticação 802.1X EAP-TLS em redes corporativas e de convidados.

📖 5 min de leitura📝 1,248 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo a este briefing técnico. Estou aqui para o orientar no nosso guia mais recente: Automatizar a Segurança WiFi Empresarial, focando-se especificamente na Implantação de Certificados SCEP. Se gere redes para hotéis, cadeias de retalho ou locais públicos, já sabe que depender de chaves pré-partilhadas ou de Captive Portals simples para o acesso do pessoal é uma enorme vulnerabilidade de segurança. Hoje, estamos a falar sobre o padrão de ouro: autenticação 802.1X usando EAP-TLS. Vamos mergulhar na arquitetura. O principal desafio com o EAP-TLS não é o protocolo em si; é a logística de colocar certificados de cliente únicos em milhares de dispositivos - sejam portáteis Windows, iPads ou tablets de ponto de venda. É aqui que entram em jogo as plataformas de Gestão de Dispositivos Móveis, ou MDM, como o Microsoft Intune ou o Jamf. Mas como é que entrega esses certificados de forma segura? Geralmente tem duas opções: PKCS ou SCEP. Deixe-me ser absolutamente claro sobre isto: para autenticação WiFi, vai querer SCEP. Esse é o Simple Certificate Enrolment Protocol. Eis porque é importante. Com o SCEP, o MDM instrui o dispositivo final a gerar a sua própria chave privada localmente. Essa chave permanece bloqueada no hardware seguro do dispositivo. Nunca viaja pela rede. O dispositivo apenas envia um Pedido de Assinatura de Certificado para a sua Autoridade de Certificação através de um gateway, normalmente um servidor NDES. Contraste isso com o PKCS, onde a Autoridade de Certificação gera a chave privada centralmente e a envia pela rede para o dispositivo. Embora o PKCS tenha o seu lugar - por exemplo, para a encriptação de e-mails onde necessita de custódia de chaves - a transmissão de chaves privadas pela rede é um risco que simplesmente não precisa de correr para a autenticação de rede. Mantenha as chaves no dispositivo. Use SCEP. Agora, vamos falar sobre a implementação. Se reter apenas uma coisa deste briefing, que seja esta regra prática: Confiança antes da Autenticação. Não pode simplesmente enviar um perfil WiFi e esperar que funcione. Existe uma sequência de implantação rigorosa de três etapas que deve seguir. Etapa um: Implanti o Certificado de Raiz Confiável. Antes de um dispositivo poder solicitar um certificado de cliente, ou confiar no seu servidor RADIUS, tem de confiar na Autoridade de Certificação emissora. Envie este perfil primeiro. Etapa dois: Configure e envie o Perfil de Certificado SCEP. Isto diz ao dispositivo como comunicar com o gateway SCEP, que formato usar para o seu nome de assunto e para que serve realmente o certificado - neste caso, Autenticação de Cliente. Deve ligar este perfil à Raiz Confiável que implantou na etapa um. Etapa três: Implante o Perfil WiFi 802.1X. É aqui que une tudo. Especifica o SSID, seleciona WPA3-Enterprise, define o tipo de EAP para EAP-TLS e aponta para o certificado SCEP para autenticação de cliente. Aqui está uma grande armadilha que vemos constantemente. Um cliente liga-nos e diz: "Os certificados estão no dispositivo, mas o perfil de WiFi mostra um erro no Intune." Quase todas as vezes, trata-se de um desfasamento no direcionamento de grupos. Se atribuir o perfil SCEP a um grupo de 'Utilizadores', mas atribuir o perfil de WiFi a um grupo de 'Dispositivos', o MDM não consegue resolver a dependência. Corresponda exatamente os seus alvos em todos os três perfis. Vejamos um cenário do mundo real. Imagine um hotel de 200 quartos. Eles têm 150 dispositivos iOS geridos para o pessoal de limpeza. Atualmente, utilizam uma rede com palavra-passe padrão e a equipa continua a partilhar a palavra-passe com os hóspedes. É um pesadelo. Ao migrar para WPA2-Enterprise com EAP-TLS via SCEP, o Diretor de TI elimina totalmente a palavra-passe. Os dispositivos iOS autenticam-se silenciosamente em segundo plano utilizando os seus certificados. Mas o que acontece se um funcionário da limpeza perder um dispositivo ou sair da empresa? Desativar a sua conta do Active Directory não é suficiente, porque o certificado nesse dispositivo ainda é criptograficamente válido. Isto leva-nos a um controlo de segurança crítico: a verificação rigorosa da CRL. Deve configurar o seu servidor RADIUS para verificar a Lista de Revogação de Certificados (CRL). Se um dispositivo desaparecer, revoga o certificado na AC. O servidor RADIUS deteta a revogação na CRL e bloqueia imediatamente o acesso à rede. Sem uma verificação rigorosa da CRL, a sua postura de segurança fica incompleta. Para concluir, a transição para a implementação automatizada de certificados SCEP proporciona um ROI massivo. Verá uma redução de 70 a 80 por cento nos pedidos de suporte técnico relacionados com WiFi, porque os utilizadores não ficam bloqueados nem introduzem incorretamente as palavras-passe. Mais importante ainda, elimina o risco de recolha de credenciais, garantindo o cumprimento de quadros de conformidade como PCI-DSS e GDPR. Automatizar a segurança de WiFi empresarial não se trata apenas de bloquear as coisas; trata-se de tornar o caminho seguro no caminho mais fácil para os seus utilizadores. Obrigado por ouvir, e não se esqueça de consultar o guia escrito completo para obter os detalhes de configuração passo a passo completos.

header_image.png

Resumo Executivo

Para empresas no setor da hotelaria, retalho e setor público, depender de chaves pré-partilhadas ou de um Captive Portal básico para o acesso à rede introduz vulnerabilidades de segurança graves. A arquitetura de rede moderna exige autenticação 802.1X utilizando EAP-TLS, garantindo que cada dispositivo é verificado criptograficamente antes de aceder à rede. Para gestores de TI e arquitetos de rede, o desafio reside em implementar de forma eficiente certificados de cliente únicos em milhares de dispositivos Windows, iOS e Android.

Este guia fornece o modelo arquitetónico definitivo e a estratégia de implementação passo a passo para a implementação automatizada de certificados WiFi utilizando o Simple Certificate Enrolment Protocol (SCEP). Ao integrar a sua plataforma de Mobile Device Management (MDM) com um gateway SCEP e uma Certificate Authority (CA), pode enviar silenciosamente certificados raiz e de cliente confiáveis para endpoints geridos. Exploramos as diferenças críticas entre SCEP e PKCS, detalhamos a sequência precisa de passos necessários para uma implementação bem-sucedida e delineamos estratégias práticas de mitigação de riscos para manter a sua rede WiFi segura e com alto desempenho.

Oiça o briefing do podcast correspondente:

Análise Técnica Detalhada: Arquitetura SCEP e EAP-TLS

Ao desenhar uma estratégia de implementação de certificados WiFi corporativos, a decisão arquitetónica central é como os certificados são entregues de forma segura. O padrão da indústria para este processo é o SCEP. O SCEP automatiza o processo de inscrição de certificados, permitindo que os dispositivos solicitem certificados de forma segura a uma Certificate Authority utilizando um protocolo padronizado.

As Vantagens do SCEP face ao PKCS

Embora as plataformas como o Microsoft Intune suportem tanto SCEP como Public Key Cryptography Standards (PKCS), os seus mecanismos de funcionamento são fundamentalmente diferentes. No fluxo de trabalho SCEP, o serviço MDM instrui o endpoint a gerar o seu próprio par de chaves privada e pública. O dispositivo cria então um Certificate Signing Request (CSR) e envia-o para a sua CA através de um servidor Network Device Enrolment Service (NDES). A CA assina o pedido e devolve o certificado de chave pública ao dispositivo.

A principal vantagem de segurança do SCEP é que a chave privada nunca sai do dispositivo. É gerada localmente e armazenada no enclave seguro do dispositivo. Isto torna o SCEP o método fortemente recomendado para autenticação 802.1X. Em contraste, com o PKCS a CA gera ambas as chaves de forma centralizada e transmite-as através da rede. O PKCS adequa-se melhor a casos de uso que exijam custódia de chaves (como a encriptação de email S/MIME) em vez de autenticação de rede.

scep_vs_pkcs_comparison.png

Autenticação 802.1X e EAP-TLS

O padrão IEEE 802.1X fornece a estrutura para a gestão centralizada de acessos à rede. Define como os pacotes de Extensible Authentication Protocol (EAP) são transportados através da LAN (EAPoL) para permitir a autenticação entre o cliente, o ponto de acesso e o servidor de autenticação - tipicamente um servidor RADIUS.

O EAP-TLS é o protocolo de autenticação mais seguro para redes 802.1X. Requer autenticação mútua: o cliente valida o certificado do servidor RADIUS, e o servidor RADIUS valida o certificado do cliente. Este processo de validação rigoroso garante que apenas utilizadores autenticados e autorizados em dispositivos inscritos obtenham acesso, protegendo a rede contra ameaças como ataques Evil Twin.

Guia de Implementação: A Sequência de Implementação

Configurar com sucesso a implementação automatizada de certificados para o 802.1X requer a adesão estrita a uma sequência específica. As dependências do perfil ditam que a confiança deve ser estabelecida antes de a autenticação ser configurada. Isto aplica-se quer esteja a utilizar o Microsoft Intune, o Jamf ou outra plataforma de MDM.

Passo 1: Implementar o Certificado de Raiz Confiável

Antes que qualquer dispositivo possa solicitar um certificado de cliente ou confiar no seu servidor RADIUS, deve confiar na Autoridade de Certificação que emite os certificados.

  1. Exporte o seu certificado de CA raiz e quaisquer certificados de CA intermédios.
  2. Na sua plataforma de MDM, crie um perfil de certificado confiável.
  3. Faça o upload dos ficheiros de certificado e implemente este perfil nos seus grupos de dispositivos de destino.

Passo 2: Configurar o Perfil de Certificado SCEP

Com a confiança estabelecida, configure o perfil SCEP para instruir os dispositivos sobre como obter os seus certificados de cliente.

  1. Crie um novo perfil de configuração de certificado SCEP.
  2. Configure o formato do nome do assunto. Para autenticação baseada no utilizador, utilize o User Principal Name (UPN). Para autenticação do dispositivo, utilize o ID do dispositivo.
  3. Defina a utilização da chave para assinatura digital e cifragem de chave.
  4. Especifique a autenticação do cliente para a utilização de chave estendida.
  5. Associe este perfil ao perfil de certificado de raiz confiável criado no Passo 1.
  6. Forneça o URL externo do seu gateway SCEP ou servidor NDES.

Passo 3: Implementar o Perfil de WiFi 802.1X

O passo final é o envio da configuração de WiFi que associa o certificado ao SSID da rede.

  1. Crie um perfil de configuração de WiFi.
  2. Introduza o SSID exatamente como é transmitido pelos seus pontos de acesso.
  3. Selecione WPA2-Enterprise ou WPA3-Enterprise como o tipo de segurança.
  4. Defina o tipo de EAP para EAP-TLS.
  5. Selecione o perfil de certificado SCEP criado no Passo 2 para a autenticação do cliente.
  6. Especifique o certificado de raiz confiável para a validação do servidor, garantindo que os dispositivos apenas se ligam ao seu servidor RADIUS legítimo.

scep_architecture_overview.png

Melhores Práticas para Ambientes Enterprise

Ao implementar a implementação de certificados SCEP, siga estas melhores práticas independentes de fornecedor para garantir a conformidade e a fiabilidade.

Proteger o SCEP Gateway

O SCEP gateway ou servidor NDES deve estar acessível a partir da internet para que os dispositivos remotos possam aprovisionar certificados antes de chegarem ao local. No entanto, expor um servidor interno diretamente à internet representa um risco de segurança significativo. Publique o URL utilizando um proxy de aplicação. Isto fornece um acesso remoto seguro sem abrir portas de entrada no firewall e permite-lhe aplicar políticas de acesso condicional ao fluxo de registo.

Forçar Verificação Estrita de CRL

A implementação de certificados é apenas metade da equação de segurança; a revogação é igualmente crítica. Se um colaborador sair, desativar a sua conta de diretório pode não revogar imediatamente o seu acesso ao WiFi se o seu certificado de cliente permanecer válido. Configure o seu servidor RADIUS para forçar a verificação estrita da Lista de Revogação de Certificados (CRL). Garanta que os seus pontos de distribuição de CRL estão altamente disponíveis; se o servidor RADIUS não conseguir aceder à CRL, a autenticação falhará, causando uma interrupção generalizada do serviço.

Integração de Hardware

Garanta que a sua infraestrutura de rede suporta os protocolos necessários. O Purple integra-se perfeitamente com hardware Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Configure estes sistemas para encaminhar os pedidos de autenticação para a sua infraestrutura RADIUS centralizada.

Resolução de Problemas e Mitigação de Riscos

Mesmo com um planeamento cuidadoso, as implementações de certificados podem encontrar problemas. Abaixo estão os modos de falha comuns e as estratégias de mitigação.

Falhas de Dependência

Um problema comum é um dispositivo receber a raiz confiável e os certificados SCEP, mas o perfil de WiFi falhar ao ser aplicado. Isto é quase sempre causado por uma segmentação de grupo incompatível dentro do MDM. Se o perfil SCEP for atribuído a um grupo de utilizadores enquanto o perfil de WiFi é atribuído a um grupo de dispositivos, o MDM não consegue resolver a dependência. Audite as suas atribuições e garanta que todos os perfis relacionados são implementados exatamente para os mesmos grupos de diretório.

Erros de Registo

Se os dispositivos não conseguirem obter os certificados SCEP e os registos do gateway mostrarem erros HTTP 403, a conta de serviço poderá não ter as permissões necessárias no modelo de certificado, ou a filtragem de URL no firewall poderá estar a bloquear os parâmetros específicos da query string utilizados pelo SCEP. Verifique se a conta do conector tem permissões de leitura e inscrição no modelo da CA e analise os registos do firewall para garantir que o URL do SCEP não está a ser bloqueado.

ROI e Impacto no Negócio

A transição para a implementação automatizada de certificados 802.1X proporciona retornos mensuráveis tanto na segurança como nas operações.

O WiFi baseado em palavras-passe gera um volume elevado de pedidos de suporte devido à expiração de credenciais, bloqueios e erros de digitação. A autenticação baseada em certificados é invisível para o utilizador e reduz tipicamente o volume de pedidos de suporte relacionados com WiFi em 70% a 80%.

Além disso, o EAP-TLS elimina o risco de roubo de credenciais e de ataques do tipo man-in-the-middle. Isto é essencial para a conformidade com frameworks como o PCI-DSS e o GDPR. Para operações de retalho multi-site ou grandes cadeias de hotéis, a automatização deste processo garante uma experiência de aprovisionamento consistente e zero-touch desde o primeiro dia, protegendo o perímetro da rede ao mesmo tempo que reduz significativamente os custos operacionais.

Definições Principais

SCEP

Simple Certificate Enrolment Protocol. Um protocolo que automatiza o processo de solicitação e instalação de certificados digitais em dispositivos, no qual a chave privada é gerada localmente.

O método recomendado para implementar certificados de autenticação WiFi em escala através de plataformas MDM.

PKCS

Public Key Cryptography Standards. Um método de implementação onde a Autoridade de Certificação gera as chaves pública e privada e as transmite para o endpoint.

Frequentemente utilizado para encriptação de email S/MIME, mas menos ideal para WiFi devido à transmissão da chave privada pela rede.

802.1X

Um padrão IEEE para controlo de acesso à rede baseado em portas que fornece um mecanismo de autenticação para dispositivos que se desejam ligar a uma LAN ou WLAN.

A base obrigatória para a segurança de WiFi empresarial, substituindo as vulneráveis chaves pré-partilhadas.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Um protocolo de autenticação que exige que tanto o cliente como o servidor apresentem certificados digitais válidos.

Considerado o método de autenticação mais seguro para redes 802.1X, eliminando vulnerabilidades baseadas em palavras-passe.

NDES

Network Device Enrolment Service. Uma função de servidor que atua como um gateway, permitindo que dispositivos sem credenciais de domínio obtenham certificados via SCEP.

Um componente de infraestrutura obrigatório ao implementar a distribuição de certificados SCEP com o Microsoft Intune.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gestão centralizada de autenticação, autorização e contabilização.

O servidor que valida os certificados de cliente no diretório e concede acesso à rede.

CRL

Certificate Revocation List. Uma lista publicada pela Autoridade de Certificação que contém os números de série dos certificados que foram revogados.

Os servidores RADIUS devem verificar a CRL para garantir que um certificado apresentado ainda é válido e não foi comprometido.

CSR

Certificate Signing Request. Um bloco de texto codificado enviado a uma Autoridade de Certificação ao solicitar um certificado SSL/TLS.

Gerado pelo dispositivo durante o processo de registo SCEP para solicitar um certificado assinado.

Exemplos Práticos

Um hotel com 200 quartos necessita de implementar um WiFi seguro para os colaboradores em 150 dispositivos iOS geridos, utilizados pelas equipas de limpeza e manutenção. Atualmente, utilizam uma rede WPA2-PSK, mas a equipa continua a partilhar a palavra-passe com os hóspedes. Como deve o Diretor de TI implementar uma solução segura e automatizada?

O Diretor de TI deve migrar o WiFi dos colaboradores para WPA2-Enterprise utilizando a autenticação 802.1X EAP-TLS. Deve configurar o seu MDM (por exemplo, Jamf) para enviar uma carga de dados SCEP para os dispositivos iOS. A sequência de implementação é: 1) Enviar o certificado Root CA para que os dispositivos confiem na rede. 2) Enviar o perfil SCEP, instruindo os dispositivos a solicitar um certificado de cliente à CA através do gateway SCEP. 3) Enviar o perfil de WiFi configurado para WPA2-Enterprise e EAP-TLS, associando-o ao certificado SCEP. Os pontos de acesso de rede (por exemplo, HPE Aruba) são configurados para autenticar os clientes num servidor RADIUS central. Quando os colaboradores chegam, os seus dispositivos autenticam-se automaticamente utilizando o certificado, sem necessidade de palavra-passe.

Comentário do Examinador: Esta abordagem elimina completamente a vulnerabilidade da palavra-passe partilhada. Ao utilizar SCEP e EAP-TLS, o hotel garante que apenas dispositivos geridos e autorizados podem aceder ao WiFi dos colaboradores. As chaves privadas permanecem seguras nos dispositivos iOS e, se um dispositivo for perdido ou um colaborador sair, o certificado pode ser revogado centralmente através da CRL, terminando imediatamente o acesso à rede.

Uma cadeia de lojas está a implementar novos tablets de ponto de venda (POS) em 50 localizações. Para cumprir os requisitos PCI-DSS, os tablets têm de se ligar a uma rede sem fios segura. O arquiteto de rede planeia utilizar o Microsoft Intune para a implementação. Que escolhas arquitetónicas garantem a conformidade e a segurança?

Para cumprir os requisitos PCI-DSS de criptografia e autenticação fortes, o arquiteto deve implementar 802.1X EAP-TLS. Utilizando o Microsoft Intune, deve selecionar SCEP em vez de PKCS para a implementação de certificados. Isto garante que a chave privada é gerada no TPM do tablet POS e nunca é transmitida pela rede. Deve configurar um servidor NDES publicado de forma segura através do Azure AD Application Proxy. Finalmente, deve configurar o servidor RADIUS para impor uma verificação rigorosa da CRL, garantindo que, se um tablet POS for comprometido, o seu certificado possa ser revogado e o acesso à rede bloqueado de imediato.

Comentário do Examinador: A escolha de SCEP em vez de PKCS é a decisão crítica aqui para a conformidade com o PCI-DSS, uma vez que impede a transmissão da chave privada. A publicação do servidor NDES através de um proxy de aplicação protege a infraestrutura de registo. A verificação rigorosa da CRL é obrigatória; sem ela, um certificado revogado ainda poderia permitir que um dispositivo comprometido acedesse à rede de pagamentos.

Perguntas de Prática

Q1. Está a implementar uma nova rede WiFi 802.1X para um campus corporativo utilizando o Microsoft Intune. Configurou o perfil Trusted Root, o perfil SCEP e o perfil WiFi. No entanto, durante os testes, os dispositivos recebem os certificados mas o perfil WiFi aparece como "Erro" na consola do Intune. Qual é a causa mais provável?

Dica: Considere como o MDM resolve as dependências entre perfis.

Ver resposta modelo

A causa mais provável é uma incompatibilidade na segmentação de grupos. O Intune exige que os perfis dependentes sejam atribuídos exatamente ao mesmo grupo do Azure AD. Se o perfil SCEP for atribuído a um grupo de Utilizadores e o perfil WiFi for atribuído a um grupo de Dispositivos, o Intune não consegue resolver a dependência, resultando num erro.

Q2. Uma organização de retalho pretende automatizar a distribuição de certificados para os tablets dos gerentes de loja. Estão a hesitar entre utilizar SCEP ou PKCS. A segurança é a sua principal preocupação, especificamente a proteção das chaves privadas. Qual protocolo devem escolher e porquê?

Dica: Pense em onde a chave privada é gerada em cada protocolo.

Ver resposta modelo

Devem escolher o SCEP. Num fluxo de trabalho SCEP, a chave privada é gerada localmente no tablet e armazenada no seu enclave seguro; nunca sai do dispositivo. Com o PKCS, a Autoridade de Certificação gera a chave privada e transmite-a através da rede para o dispositivo, o que introduz uma potencial vulnerabilidade de segurança.

Q3. Um funcionário sai da empresa e a sua conta de Active Directory é desativada. No entanto, a equipa de TI repara que o dispositivo do funcionário ainda está ligado à rede WiFi corporativa. A rede utiliza autenticação EAP-TLS. Que configuração está em falta no servidor RADIUS?

Dica: Desativar uma conta não invalida automaticamente um certificado emitido anteriormente.

Ver resposta modelo

Falta ao servidor RADIUS a verificação rigorosa da Certificate Revocation List (CRL). Mesmo que a conta do diretório esteja desativada, o certificado de cliente permanece criptograficamente válido até expirar ou ser explicitamente revogado. O servidor RADIUS deve estar configurado para verificar a CRL para garantir que o acesso à rede seja negado a certificados revogados.

Continue a ler esta série

Como Segregar com Segurança Redes WiFi de Funcionários e Convidados

Este guia técnico de referência fornece aos líderes de TI estratégias práticas para segregar com segurança redes WiFi de funcionários, convidados e IoT utilizando VLANs e 802.1X. Detalha como proteger a infraestrutura empresarial, manter a conformidade com o PCI-DSS e potenciar Captive Portals para recolher dados primários (first-party data).

Ler o guia →

Melhor filtragem DNS: um guia completo para empresas

Este guia de referência técnica explica como a filtragem DNS empresarial protege as redes públicas bloqueando domínios maliciosos na camada de resolução - antes de uma ligação ser estabelecida. Oferece aos diretores de TI, arquitetos de rede e equipas de operações de locais a arquitetura de implementação, configuração de firewall e contexto de conformidade necessários para proteger o Guest WiFi em ambientes de hotelaria, retalho e setor público. O Purple Shield bloqueia malware, botnets e conteúdos inadequados ao nível do DNS em mais de 80.000 locais ativos.

Ler o guia →

Compreender o Cisco SUDI: Identidade Ancorada em Hardware no Controlo de Acesso Seguro à Rede

Este guia explica como o Cisco SUDI fornece uma identidade criptograficamente segura e ancorada em hardware para a infraestrutura de rede empresarial. Saiba como substituir endereços MAC clonáveis por certificados 802.1AR imutáveis para proteger o controlo de acesso à rede do seu espaço.

Ler o guia →