Saltar para o conteúdo principal

Melhores Práticas para Proteger Redes Escolares de K-12 com NAC

Este guia de referência técnica fornece estratégias práticas para que os líderes de TI possam desenhar, implementar e gerir o Network Access Control (NAC) em ambientes escolares de K-12. Abrange tópicos essenciais desde a autenticação 802.1X e segmentação de VLAN até à gestão de dispositivos IoT com MAB e MPSK, garantindo uma proteção robusta e conformidade.

📖 6 min de leitura📝 1,270 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Melhores Práticas para Proteger Redes Escolares do Ensino Básico e Secundário com NAC Um Briefing de Inteligência da Purple WiFi - Aproximadamente 10 Minutos --- INTRODUÇÃO E ENQUADRAMENTO - aproximadamente 1 minuto Bem-vindo ao Briefing de Inteligência da Purple WiFi. Sou o vosso anfitrião e hoje vamos abordar um tema que se situa exatamente na intersecção da salvaguarda, conformidade e engenharia de rede prática: proteger redes escolares do ensino básico e secundário utilizando o Network Access Control, ou NAC. Se é um gestor de TI ou arquiteto de rede a trabalhar na educação, já conhece o desafio. Tem uma única rede física que precisa de servir professores, alunos, membros da direção, encarregados de educação de visita, dispositivos IoT como quadros interativos e câmaras de CCTV, e por vezes prestadores de serviços - tudo ao mesmo tempo, todos com níveis de confiança e requisitos de acesso muito diferentes. Os riscos são elevados. As escolas detêm dados pessoais sensíveis de menores. Estão sujeitas ao GDPR, à CIPA no contexto dos EUA e, cada vez mais, às diretrizes da Ofsted e do DfE no Reino Unido. Um único ponto de acesso mal configurado pode expor registos de proteção de menores ou permitir que um aluno aceda à rede administrativa. Por isso, hoje, vamos analisar detalhadamente como estruturar e implementar uma solução NAC num ambiente de ensino básico e secundário - as normas, a estratégia de segmentação, os pontos de integração e as armadilhas que complicam o trabalho até das equipas mais experientes. Vamos a isso. --- ANÁLISE TÉCNICA DETALHADA - aproximadamente 5 minutos Comecemos pelos fundamentos. O NAC - Network Access Control - é a disciplina de controlar quem e o que se pode ligar à sua rede, e o que pode fazer depois de estar ligado. Num contexto escolar, isto significa impor autenticação, autorização e políticas no ponto de entrada da rede, quer seja numa porta de switch com fios ou num ponto de acesso sem fios. A norma fundamental aqui é a IEEE 802.1X. Este é o protocolo de autenticação baseado em portas que se situa entre um suplicante - o dispositivo que se tenta ligar - um autenticador, que é o seu switch ou ponto de acesso, e um servidor de autenticação, tipicamente um servidor RADIUS. Quando um dispositivo tenta ligar-se, o 802.1X mantém-no num estado não autenticado, passa as credenciais para o servidor RADIUS e apenas concede acesso à rede assim que o servidor confirmar a identidade e a correspondência da política. Numa escola, isto mapeia-se diretamente para os seus grupos de utilizadores. O pessoal docente e não docente autentica-se com as suas credenciais do Active Directory ou Azure AD. Os alunos autenticam-se com as credenciais emitidas pela escola ou com certificados de dispositivo. Os dispositivos não geridos - o telemóvel de um encarregado de educação numa noite aberta, o portátil de um prestador de serviços - são redirecionados para um Captive Portal ou para uma VLAN de convidados restrita. Agora, vamos falar sobre a segmentação de VLAN, porque é aqui que a maioria das redes escolares faz as coisas bem ou se deixa exposta. O modelo de segmentação mínimo viável para uma rede de ensino básico e secundário é o seguinte. Precisa de, pelo menos, quatro VLANs. Primeiro, uma VLAN de Pessoal e Administração - esta suporta postos de trabalho de professores, sistemas MIS, dados de RH e aplicações financeiras. Acesso total à internet, mas sem acesso lateral aos dispositivos dos alunos. Segundo, uma VLAN de Alunos - acesso filtrado à internet, filtragem de conteúdos aplicada, sem acesso aos recursos do pessoal. Terceiro, uma VLAN de IoT e Infraestrutura - é aqui que residem os seus quadros interativos, câmaras IP, controladores de acesso a portas e impressoras. Crucialmente, esta VLAN não deve ter qualquer acesso à internet, a menos que um dispositivo específico o exija, e deve estar protegida por firewall tanto da VLAN de pessoal como da de alunos. Quarto, uma VLAN de Convidados ou Visitantes - apenas internet, completamente isolada, com um Captive Portal para aceitação de termos e recolha de identidade. O servidor RADIUS é o cérebro desta operação. Na maioria das implementações escolares, irá integrar o RADIUS com o seu serviço de diretório existente. Se estiver a executar o Microsoft Active Directory, isso é normalmente feito através de NPS (Network Policy Server) no Windows Server, ou através de um serviço RADIUS na nuvem se tiver migrado para o Azure AD ou Google Workspace. O servidor RADIUS aplica políticas com base na adesão a grupos: um utilizador no grupo de segurança "Pessoal" é atribuído à VLAN 10, um utilizador em "Alunos" obtém a VLAN 20, e assim sucessivamente. Do lado sem fios, a melhor prática atual é o WPA3-Enterprise. O WPA3 aborda as vulnerabilidades conhecidas do WPA2, particularmente no que diz respeito a ataques de dicionário offline e à vulnerabilidade KRACK. O WPA3-Enterprise utiliza o modo de segurança de 192 bits para ambientes de alta sensibilidade, o que é adequado para o SSID de pessoal e administração. Para os SSIDs de alunos, o WPA3-Personal com SAE (Simultaneous Authentication of Equals) é uma melhoria significativa em relação ao WPA2-PSK, pois previne ataques de força bruta offline mesmo que a chave pré-partilhada esteja comprometida. Uma decisão de arquitetura que vale a pena destacar é se deve executar um único SSID com atribuição dinâmica de VLAN, ou múltiplos SSIDs. A abordagem de SSID único é operacionalmente mais limpa - os utilizadores ligam-se a um único nome de rede e o servidor RADIUS atribui-lhes dinamicamente a VLAN correta com base nas suas credenciais. Isto reduz a sobrecarga de RF e simplifica a configuração do dispositivo. No entanto, exige que todos os seus pontos de acesso suportem a atribuição dinâmica de VLAN através de atributos RADIUS, especificamente os atributos Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID na resposta RADIUS Access-Accept. Agora, a gestão de dispositivos IoT é um desafio particular nas escolas. Quadros interativos, câmaras de documentos, sensores ambientais - estes dispositivos muitas vezes não suportam 802.1X de todo. A solução aqui é o MAC Authentication Bypass, ou MAB, combinado com Multi-PSK, ou MPSK. O MAB permite autenticar dispositivos pelo seu endereço MAC contra uma whitelist no seu servidor RADIUS. O MPSK vai mais longe - permite atribuir uma chave pré-partilhada única por dispositivo ou grupo de dispositivos, para que cada dispositivo IoT tenha a sua própria credencial, e a violação da chave de um dispositivo não afete os outros. Para um passo a passo detalhado desta abordagem, o guia da Purple sobre Como Gerir a Segurança de Dispositivos IoT com NAC e MPSK aborda as especificidades de configuração em detalhe. Abordemos também a verificação de postura de conformidade dos endpoints, porque é aqui que as soluções de NAC empresarial acrescentam um valor significativo em relação ao 802.1X básico. Soluções como Cisco ISE, Aruba ClearPass ou Forescout podem interrogar os endpoints antes de conceder acesso - verificando se um dispositivo tem as definições de antivírus atualizadas, se o sistema operativo tem os patches aplicados, se a encriptação de disco está ativada. Num contexto escolar, isto é particularmente valioso para dispositivos pessoais de funcionários ou cenários de BYOD. Um dispositivo que falhe as verificações de postura pode ser colocado em quarentena numa VLAN de remediação, onde apenas consegue aceder a servidores de atualização, em vez de lhe ser concedido acesso total à rede. --- RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS - aproximadamente 2 minutos Deixe-me dar-lhe a sequência prática de implementação e, em seguida, assinalar os três erros que vejo com mais frequência. Comece com uma auditoria de rede completa. Antes de tocar numa única configuração, precisa de um inventário completo de todos os dispositivos na rede - com e sem fios - e de cada SSID atualmente a transmitir. Utilize uma ferramenta como o Nmap ou a sua plataforma de gestão de rede existente para listar os dispositivos. Irá quase de certeza encontrar shadow IT: hotspots pessoais, switches não geridos, dispositivos que ninguém sabia que lá estavam. Faseie a sua implementação. Não tente impor a autenticação 802.1X em toda a escola no primeiro dia. Comece com um piloto - normalmente a rede de funcionários no bloco administrativo. Execute primeiro em modo de monitorização, onde o 802.1X é avaliado mas não imposto, para que possa identificar dispositivos que irão falhar a autenticação antes de bloquear o acesso a alguém. Em seguida, avance para a imposição, VLAN por VLAN. Integre com o seu serviço de diretório antes de implementar para os utilizadores. O modo de falha mais comum é implementar o RADIUS e depois descobrir que a sua integração de diretório está corrompida - seja devido a regras de firewall a bloquear o tráfego LDAP, ou porque a conta de serviço utilizada pelo RADIUS não tem permissões suficientes para consultar a pertença a grupos. Agora, as três armadilhas. Primeiro: dispositivos legados. Todas as escolas os têm. Impressoras antigas, equipamentos de AV legados, quadros brancos interativos de 2012. Estes dispositivos não suportam 802.1X. Tenha uma estratégia de lista de permissões MAB pronta antes de forçar a autenticação, ou estará a receber chamadas de todos os professores cuja impressora deixou de funcionar no primeiro dia do período letivo. Segundo: gestão de certificados. A autenticação WPA3-Enterprise e EAP-TLS requer certificados. Se estiver a utilizar uma PKI gerida pela escola, certifique-se de que a sua autoridade de certificação é confiável em todos os dispositivos geridos antes da implementação. Os dispositivos BYOD não geridos solicitarão aos utilizadores que aceitem um certificado não confiável, o que cria um risco de phishing - os utilizadores são habituados a clicar em "aceitar" nos avisos de certificado. Terceiro: conformidade da rede de convidados. Ao abrigo do GDPR, se estiver a recolher dados pessoais através de um captive portal - mesmo que seja apenas um endereço de email - precisa de uma base legal, de um aviso de privacidade e de uma política de retenção de dados. A plataforma de guest WiFi da Purple trata disto de forma nativa, fornecendo fluxos de captive portal em conformidade com gestão de consentimento integrada, o que é particularmente útil para noites abertas e eventos de pais, onde está a integrar um grande número de visitantes rapidamente. - PERGUNTAS E RESPOSTAS RÁPIDAS - aproximadamente 1 minuto Vou responder rapidamente às perguntas que recebo com mais frequência sobre este tema. "Precisamos de um servidor RADIUS dedicado ou podemos utilizar um serviço de nuvem?" - Ambos são válidos. O NPS local no Windows Server é gratuito e integra-se nativamente com o Active Directory. Os serviços de RADIUS na nuvem, como o Foxpass ou o JumpCloud RADIUS, são mais adequados para ambientes Azure AD ou Google Workspace e reduzem a pegada da sua infraestrutura local. "E quanto aos Chromebooks?" - Os Chromebooks suportam 802.1X nativamente e podem ser configurados através da Consola de Administração Google para utilizar EAP-TLS com certificados de dispositivo emitidos através da gestão de certificados da Google. Esta é a abordagem mais limpa para implementações do Google Workspace for Education. "Como lidamos com os pais nas noites abertas?" - Captive portal numa VLAN de convidados isolada. Não é necessário 802.1X. A plataforma de guest WiFi da Purple fornece um portal de marca, em conformidade com o GDPR, que recolhe o consentimento e pode enviar dados analíticos para a sua equipa de marketing ou comunicação. "Qual é o ROI de um NAC numa escola?" - Principalmente a mitigação de riscos. Uma violação de dados envolvendo registos de alunos pode resultar em multas do ICO, danos na reputação e custos de remediação significativos. O custo de uma solução NAC devidamente implementada é uma fração do custo de uma única investigação de violação de dados. - RESUMO E PRÓXIMOS PASSOS - aproximadamente 1 minuto Em resumo: proteger uma rede escolar K-12 com NAC resume-se a quatro pilares. Identidade - saber quem e o que está na sua rede em todos os momentos. Segmentação - garantir que um dispositivo de aluno comprometido não consegue aceder a dados do pessoal ou à infraestrutura de IoT. Conformidade - cumprir os requisitos de GDPR, CIPA e DfE para proteção de dados e salvaguarda. E visibilidade - ter a capacidade de registo e análise para detetar anomalias e responder rapidamente. O ponto de partida prático é uma auditoria de rede e o desenho de VLAN. Acerte nesta parte e a implementação de 802.1X seguirá uma sequência lógica. Não tente fazer tudo de uma vez - planeie por fases, teste em modo de monitorização e crie a sua whitelist de MAB antes de aplicar. Se está a avaliar como uma plataforma de WiFi de convidados e analítica se enquadra nesta arquitetura, a plataforma da Purple integra-se diretamente com a sua infraestrutura de NAC para fornecer integração de convidados em conformidade, analítica de visitantes e aplicação de políticas - sem adicionar complexidade à segmentação da sua rede principal. Para uma leitura mais aprofundada, os guias da Purple sobre segurança de dispositivos IoT com NAC e MPSK, bem como os recursos mais abrangentes de arquitetura de rede empresarial, estão ligados nas notas do programa. Obrigado por ouvir. Até à próxima. --- FIM DO GUIÃO

header_image.png

Resumo Executivo

A segurança das redes escolares do ensino básico e secundário é fundamentalmente um exercício de mitigação de riscos, gestão de identidade e conformidade. Os líderes de TI enfrentam o desafio complexo de fornecer um acesso contínuo a uma base de utilizadores altamente diversa - incluindo funcionários, alunos, visitantes e subempreiteiros - ao mesmo tempo que protegem uma gama crescente de dispositivos IoT, tais como quadros interativos e câmaras de segurança. O Network Access Control (NAC), impulsionado pelo IEEE 802.1X, fornece a base arquitetural para uma segmentação de rede robusta, garantindo que os dispositivos são autenticados, autorizados e isolados de forma adequada antes de lhes ser concedido acesso à rede.

Este guia fornece uma estrutura técnica abrangente para implementar o NAC em ambientes educativos. Detalha as melhores práticas para a integração de RADIUS, arquitetura de VLAN, verificação de postura de endpoints e onboarding seguro de convidados. Ao implementar estas estratégias, os diretores de operações do espaço e os arquitetos de rede podem reduzir significativamente a superfície de ataque, proteger dados confidenciais de salvaguarda e manter uma adesão estrita aos padrões regulatórios (tais como o GDPR e a CIPA) sem comprometer a eficiência operacional da escola.

Análise Técnica Detalhada

O princípio fundamental do NAC é o zero trust na periferia da rede. Quando um dispositivo (o suplicante) se liga a um switch de acesso ou a um ponto de acesso sem fios (o autenticador), o dispositivo é colocado num estado restrito. O autenticador encaminha as credenciais para um servidor de autenticação (normalmente um servidor RADIUS) utilizando o protocolo 802.1X. Apenas após a autenticação ser bem-sucedida e a avaliação das políticas ser aprovada é que o dispositivo é atribuído à VLAN apropriada com Access Control Lists (ACLs) específicas.

O Protocolo 802.1X e os Métodos EAP

A estrutura Extensible Authentication Protocol (EAP) fornece o mecanismo de transporte para vários métodos de autenticação dentro do 802.1X. Em ambientes escolares, as implementações mais comuns são:

  • PEAP-MSCHAPv2: Normalmente utilizado para dispositivos de funcionários e alunos que se autenticam contra credenciais do Active Directory. Embora seja mais fácil de implementar, é suscetível a ataques de roubo de credenciais se os clientes não validarem estritamente o certificado do servidor.
  • EAP-TLS: O padrão de excelência para a segurança empresarial. Baseia-se em autenticação mútua baseada em certificados, eliminando totalmente a necessidade de palavras-passe. É fortemente recomendado para dispositivos geridos (como Chromebooks emitidos pela escola ou portáteis de funcionários), onde uma Infraestrutura de Chaves Públicas (PKI) ou uma solução de Gestão de Dispositivos Móveis (MDM) pode fornecer automaticamente os certificados necessários.

Padrões de Segurança sem Fios: WPA3-Enterprise

Para redes sem fios, o WPA3-Enterprise é a referência atual. Exige Protected Management Frames (PMF) para prevenir ataques de desautenticação e disponibiliza um modo de segurança de 192 bits para ambientes altamente confidenciais (tais como redes de funcionários/administração). Para redes de alunos onde o WPA3-Enterprise possa ser demasiado complexo devido a cenários BYOD, o WPA3-Personal com Simultaneous Authentication of Equals (SAE) fornece uma proteção robusta contra ataques de dicionário offline, uma melhoria significativa em relação ao padrão legado WPA2-PSK.

Arquitetura de Segmentação de Rede

Um NAC eficaz baseia-se numa segmentação de rede rigorosa. Uma arquitetura de rede plana é uma vulnerabilidade crítica. Uma implementação padrão para o ensino básico e secundário deve aplicar, no mínimo, a seguinte estrutura de VLAN:

  1. VLAN de Funcionários e Administração: Acesso total a recursos internos, sistemas MIS e internet. O movimento lateral a partir de outras VLANs é estritamente restrito.
  2. VLAN de Alunos: Acesso filtrado à internet com filtragem de conteúdos rigorosa aplicada. Sem acesso a recursos de funcionários ou interfaces de gestão.
  3. VLAN de IoT e Infraestrutura: Aloja quadros interativos, câmaras IP e sistemas de gestão de edifícios. Esta VLAN não deve ter acesso externo à internet, a menos que um dispositivo específico o exija explicitamente, e deve ser isolada das VLANs de utilizadores.
  4. VLAN de Convidados: Acesso exclusivo à internet, isolado de todas as redes internas, normalmente antecedido por um Captive Portal para aceitação de termos e recolha de identidade.

nac_architecture_overview.png

Guia de Implementação

A implementação de um NAC requer uma abordagem faseada e metódica para evitar a interrupção das operações educativas.

Fase 1: Descoberta e Auditoria

Antes de aplicar qualquer medida de execução, realize uma auditoria de rede abrangente. Utilize ferramentas para descobrir todos os dispositivos ligados, identificar shadow IT (comutadores ou pontos de acesso não autorizados) e documentar o estado atual da rede. Esta fase é crítica para construir uma lista de permissões de MAC Authentication Bypass (MAB) precisa para dispositivos legados.

Fase 2: Implementação da Infraestrutura RADIUS

Implemente a sua infraestrutura RADIUS. Se utilizar o Active Directory local, o Network Policy Server (NPS) é uma escolha comum. Para ambientes centrados na nuvem (Azure AD, Google Workspace), as soluções de cloud RADIUS oferecem uma integração simplificada. Certifique-se de que o servidor RADIUS está configurado corretamente para comunicar com o seu serviço de diretório e que as regras de firewall permitem o tráfego LDAP/LDAPS.

Fase 3: Modo de Monitorização

Ative o 802.1X em modo de monitorização (por vezes designado por modo aberto) nos switches de acesso e nos controladores sem fios. Neste estado, o autenticador avalia as credenciais 802.1X e regista os resultados, mas não bloqueia o acesso quando a autenticação falha. Isto permite que a equipa de TI identifique dispositivos mal configurados, certificados em falta ou dispositivos antigos que necessitem de MAB sem causar interrupções na rede.

Fase 4: Aplicação e Segmentação

Assim que os registos do modo de monitorização mostrarem uma taxa de sucesso elevada e todas as anomalias tiverem sido resolvidas, inicie a aplicação da autenticação 802.1X. Implemente por etapas - comece com um grupo-piloto (por exemplo, o departamento de TI), depois estenda à equipa e, finalmente, aos alunos. Implemente a atribuição dinâmica de VLAN através de atributos RADIUS (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) para garantir que os utilizadores são colocados no segmento de rede correto com base na sua pertença a grupos do diretório.

nac_deployment_checklist.png

Melhores Práticas

  • Implemente MAB e MPSK para IoT: Os dispositivos antigos e os endpoints IoT sem ecrã ou interface direta carecem frequentemente de um suplicante 802.1X. Utilize o MAC Authentication Bypass (MAB) para equipamentos antigos, mas prefira o Multi-PSK (MPSK) para dispositivos IoT modernos. O MPSK atribui uma chave pré-partilhada única a cada dispositivo, garantindo que, mesmo que uma chave seja comprometida, o resto da rede permanece seguro. Para um guia detalhado de configuração, consulte o guia Managing IoT Device Security with NAC and MPSK .
  • Aplique a verificação de postura de endpoints: Vá além da simples autenticação ao integrar verificações de postura. Antes de conceder acesso, a solução NAC deve verificar se os endpoints possuem software antivírus ativo, se estão totalmente atualizados com patches e se têm a encriptação de disco ativada. Os dispositivos não conformes devem ser colocados numa VLAN de remediação.
  • Integre o acesso de convidados com analítica: A rede de convidados deve ser isolada e estar em conformidade. A integração de uma plataforma como o Guest WiFi garante que o acesso dos visitantes é seguro, em conformidade com o GDPR, e fornece dados valiosos de WiFi Analytics para compreender a utilização do espaço e a frequência de visitantes.
  • Utilize autenticação baseada em certificados (EAP-TLS) sempre que possível: Para dispositivos geridos, o EAP-TLS elimina a dependência de palavras-passe, reduzindo drasticamente o risco de roubo de credenciais e ataques de phishing.

Resolução de Problemas e Mitigação de Riscos

Modos de Falha Comuns

  1. Erros de fidedignidade de certificados: Se for solicitado aos utilizadores BYOD que aceitem um certificado de servidor não fidedigno durante a autenticação PEAP, estes são habituados a ignorar avisos de segurança, criando uma enorme vulnerabilidade de phishing. Mitigação: Utilize sempre um certificado assinado por uma Autoridade de Certificação (CA) publicamente fidedigna para o servidor RADIUS, ou garanta que o certificado raiz da CA interna é enviado para todos os dispositivos geridos através de MDM.
  2. Falhas na integração do diretório: Se o servidor RADIUS não conseguir comunicar com o serviço de diretório (por exemplo, os controladores de domínio AD estão inacessíveis ou a palavra-passe de uma conta de serviço expirou), a autenticação RADIUS irá falhar. Mitigação: Implemente servidores RADIUS redundantes e monitorize continuamente a integridade da integração do diretório.
  3. O "problema da impressora" (bloqueio de dispositivos legados): Impor o 802.1X sem uma lista de permissões MAB completa irá desligar imediatamente impressoras legadas, equipamentos AV e quadros interativos mais antigos. Mitigação: A fase de modo de monitorização é essencial. Não avance para a aplicação prática até que todos os dispositivos não autenticados tenham sido identificados e perfilados.

ROI e Impacto Empresarial

Embora o NAC seja principalmente um investimento em segurança e conformidade, proporciona um valor empresarial mensurável:

  • Mitigação de riscos: O custo financeiro e de reputação de uma violação de dados que envolva registos de estudantes é catastrófico. O NAC reduz drasticamente a superfície de ataque e impede o movimento lateral, contendo potenciais violações.
  • Eficiência operacional: A atribuição dinâmica de VLAN reduz a carga administrativa de configurar manualmente as portas do switch. A equipa de TI despende menos tempo a gerir VLANs e mais tempo em iniciativas estratégicas.
  • Garantia de conformidade: Uma implementação robusta de NAC fornece os registos de auditoria e controlos de acesso necessários para demonstrar a conformidade com o GDPR, CIPA e regulamentos de proteção locais, simplificando as auditorias e reduzindo o risco legal.

Definições Principais

Network Access Control (NAC)

Uma arquitetura de segurança que aplica políticas em dispositivos que tentam aceder a uma rede, garantindo que apenas dispositivos autenticados e conformes tenham acesso concedido.

Essencial para as equipas de TI prevenirem acessos não autorizados e segmentarem o tráfego de rede com base nas funções dos utilizadores (por exemplo, pessoal vs. alunos).

IEEE 802.1X

O padrão IEEE para Network Access Control baseado em portas, fornecendo um mecanismo de autenticação para dispositivos que desejam ligar-se a uma LAN ou WLAN.

O protocolo fundamental que permite a switches e pontos de acesso verificar a identidade do utilizador antes de conceder acesso à rede.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Contabilização (AAA) para utilizadores que se ligam e utilizam um serviço de rede.

O 'cérebro' da implementação de NAC, responsável por verificar credenciais num diretório (como o Active Directory) e atribuir VLANs.

MAC Authentication Bypass (MAB)

Uma técnica utilizada para autenticar dispositivos que não suportam 802.1X, utilizando o seu endereço MAC como credencial contra uma lista de permissões pré-aprovada.

Crucial para permitir que dispositivos antigos, como impressoras antigas e quadros interativos, acedam à rede sem comprometer o requisito de 802.1X para dispositivos modernos.

Multi-PSK (MPSK)

Uma funcionalidade de segurança sem fios que permite a utilização de múltiplas chaves pré-partilhadas exclusivas num único SSID, com cada chave a atribuir políticas de rede ou VLANs específicas.

A melhor prática para proteger dispositivos IoT modernos que não conseguem efetuar a autenticação 802.1X, isolando-os de forma segura.

Dynamic VLAN Assignment

O processo em que um servidor RADIUS instrui o switch ou ponto de acesso a colocar um utilizador autenticado numa VLAN específica com base na sua pertença a um grupo de diretório.

Reduz a sobrecarga administrativa ao permitir que uma única configuração de SSID ou porta de switch atenda a múltiplos tipos de utilizadores de forma segura.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Um método de autenticação 802.1X que requer autenticação mútua de certificados entre o cliente e o servidor, eliminando a utilização de palavras-passe.

O método de autenticação mais seguro, altamente recomendado para dispositivos geridos emitidos por escolas para evitar o roubo de credenciais.

Endpoint Posture Checking

O processo de avaliação do estado de segurança de um dispositivo (por exemplo, estado do antivírus, nível de atualização do SO) antes de lhe conceder acesso à rede.

Garante que mesmo os utilizadores autenticados não consigam introduzir malware na rede através de dispositivos comprometidos ou sem atualizações de segurança.

Exemplos Práticos

Uma escola secundária de 1500 alunos precisa de implementar 200 novos sensores ambientais sem fios em todo o campus. Estes sensores apenas suportam WPA2-Personal e não possuem um suplicante 802.1X. Como deve o arquiteto de rede proteger estes dispositivos sem comprometer a rede principal?

O arquiteto deve implementar um SSID oculto dedicado para dispositivos IoT e implementar Multi-PSK (MPSK). Cada sensor (ou grupo de sensores) é associado a uma chave pré-partilhada complexa e única. O controlador sem fios ou o servidor RADIUS é configurado para mapear estas chaves específicas para a 'VLAN de IoT & Infraestrutura' isolada. Esta VLAN deve ter ACLs estritas aplicadas, negando qualquer acesso às VLAN de Pessoal e de Alunos, e restringindo o acesso à internet apenas aos endpoints de nuvem específicos exigidos pelos sensores ambientais.

Comentário do Examinador: Esta abordagem isola os dispositivos IoT vulneráveis enquanto evita o pesadelo operacional de gerir uma única PSK partilhada. Se um sensor for roubado ou comprometido, a sua chave individual pode ser revogada sem afetar os outros 199 dispositivos. Isto está alinhado com as melhores práticas descritas no guia [Managing IoT Device Security with NAC and MPSK](/guides/managing-iot-device-security-with-nac-and-mpsk).

Durante a implementação de 802.1X (PEAP-MSCHAPv2) para dispositivos BYOD de alunos, o suporte de TI está sobrecarregado com pedidos de alunos que relatam que os seus dispositivos estão a apresentar avisos sobre um 'certificado de rede não confiável'. Como deve isto ser resolvido?

O problema ocorre porque o servidor RADIUS está a utilizar um certificado assinado pela Autoridade de Certificação (CA) interna e privada da escola, na qual os dispositivos BYOD não confiam nativamente. A solução imediata consiste em substituir o certificado do servidor RADIUS por um emitido por uma CA pública amplamente reconhecida (por exemplo, DigiCert, Let's Encrypt). A longo prazo, a escola deve implementar um portal de integração (onboarding) que configure o suplicante de forma segura e instale as âncoras de confiança necessárias antes de o dispositivo tentar ligar-se.

Comentário do Examinador: Instruir os utilizadores a 'aceitar' ou 'confiar' manualmente num certificado desconhecido é uma falha de segurança crítica, pois treina-os a tornarem-se vítimas de ataques de Evil Twin ou Man-in-the-Middle (MitM). Utilizar uma CA pública para a autenticação RADIUS de BYOD é uma melhor prática padrão do setor para garantir uma integração simples e segura.

Perguntas de Prática

Q1. Um agrupamento escolar está a migrar totalmente os seus serviços de diretório para o Google Workspace e a descontinuar o Active Directory local. Atualmente, utilizam NPS para RADIUS. Que alteração arquitetónica é necessária para manter a autenticação 802.1X para a sua frota de Chromebooks geridos?

Dica: Considere como os Chromebooks se autenticam nativamente e que infraestrutura é necessária quando o AD é removido.

Ver resposta modelo

O agrupamento deve migrar para um fornecedor de RADIUS na nuvem (por exemplo, SecureW2, Foxpass) que se integre nativamente com o Google Workspace, ou utilizar as capacidades de Cloud RADIUS da própria Google, se disponíveis no seu nível de licenciamento. Devem configurar os Chromebooks através da Consola de Administração Google para utilizar EAP-TLS, aproveitando os certificados de dispositivo provisionados automaticamente pela gestão de certificados da Google, removendo completamente a dependência de palavras-passe e servidores NPS locais.

Q2. Durante uma auditoria de rede, a equipa de TI descobre um router sem fios doméstico ligado a uma porta de parede numa sala de aula, a transmitir um SSID oculto. Como é que uma solução NAC devidamente configurada impede que esta "shadow IT" comprometa a rede?

Dica: Pense no que acontece ao nível da porta do switch quando um dispositivo não gerido é ligado.

Ver resposta modelo

Com o 802.1X forçado nas portas físicas do switch, o router doméstico falhará a autenticação porque não possui credenciais válidas ou um certificado. A porta do switch permanecerá num estado não autorizado (bloqueando todo o tráfego) ou atribuirá dinamicamente a porta a uma VLAN de remediação isolada. Adicionalmente, as soluções NAC empresariais conseguem detetar a presença de NAT ou de múltiplos endereços MAC por trás de uma única porta, acionando o encerramento automático da porta para isolar o dispositivo não autorizado.

Q3. Um diretor de operações de instalações num grande campus educativo pretende disponibilizar acesso WiFi contínuo para os pais visitantes durante um torneio desportivo, mas a equipa de TI está preocupada com a conformidade com o GDPR e a segurança da rede. Qual é a abordagem recomendada?

Dica: Considere o equilíbrio entre a facilidade de acesso e os requisitos legais para a recolha de dados dos utilizadores.

Ver resposta modelo

A equipa de TI deve provisionar uma VLAN de Convidados dedicada que esteja estritamente isolada de todos os recursos internos e que tenha acesso exclusivo à Internet. Devem implementar uma solução de Captive Portal, como a plataforma de Guest WiFi da Purple, para gerir o registo. Isto garante que os visitantes devem aceitar os termos e condições e fornecer consentimento explícito para o processamento de dados antes de obterem acesso, cumprindo os requisitos do GDPR ao mesmo tempo que mantém a rede principal segura.