Saltar para o conteúdo principal

Captive Portal para WiFi de Funcionários: Integração e Autenticação de Colaboradores

Uma referência técnica abrangente para líderes de TI sobre a conceção e implementação de captive portals de WiFi para funcionários. Este guia aborda a autenticação EAP-TLS, integração de BYOD, segmentação de VLAN e gestão de largura de banda para melhorar a eficiência operacional e mitigar riscos de segurança.

📖 6 min de leitura📝 1,263 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Staff WiFi Captive Portal: Onboarding and Authenticating Employees Uma Sessão de Informação sobre Inteligência de WiFi de Grande Empresa Purple [INTRODUÇÃO - aproximadamente 1 minuto] Bem-vindo à série de Inteligência de WiFi de Grande Empresa Purple. Hoje estamos a abordar um tema que se situa na interseção entre segurança, operações de recursos humanos e arquitetura de rede: o Captive Portal de WiFi para colaboradores. Ora, eu sei o que alguns de vocês podem estar a pensar. Um Captive Portal para colaboradores? Isso não é o que se usa para convidados? E é exatamente esse equívoco que precisamos de esclarecer desde o início. Um Captive Portal de WiFi para colaboradores não é uma página de entrada de convidados com um logótipo diferente. É um portal estruturado de integração que autentica colaboradores individuais, impõe a aceitação de políticas e regista dispositivos antes de conceder acesso à sua rede operacional. Se fizer isto bem, elimina a maior vulnerabilidade na maioria das implementações de WiFi empresariais: a chave pré-partilhada. Se fizer mal, terá ex-colaboradores, subcontratados e dispositivos pessoais na sua rede interna indefinidamente. Vamos analisar a arquitetura. [ANÁLISE TÉCNICA DETALHADA - aproximadamente 5 minutos] O problema fundamental com a maioria das implementações de WiFi para colaboradores é a palavra-passe partilhada. Uma única chave pré-partilhada WPA2, escrita num post-it no escritório, partilhada num grupo de WhatsApp e que nunca é alterada quando alguém se demite. Num hotel de 200 quartos com 80 colaboradores, essa palavra-passe já foi partilhada com cerca de 80 pessoas, com os respetivos parceiros que pediram o telemóvel emprestado e com pelo menos três ex-colaboradores. Isso não é uma rede. É uma porta aberta. O Captive Portal de WiFi para colaboradores resolve isto ao substituir a credencial partilhada por um fluxo de integração com identidade verificada. Eis como funciona na prática. Quando um novo colaborador liga o seu dispositivo à rede interna pela primeira vez, acede a um SSID de aprovisionamento. Esta é uma rede aberta, mas é um jardim vedado - apenas encaminha para o portal de integração e para o seu fornecedor de identidade. Mais nada. O colaborador é redirecionado para o Captive Portal, onde se autentica utilizando a sua identidade corporativa. Na maioria dos ambientes empresariais atuais, isso significa Single Sign-On via Microsoft Entra ID, Okta ou Google Workspace. Assim que o fornecedor de identidade confirma que o colaborador está ativo e no grupo correto, o portal faz uma de duas coisas, dependendo da sua arquitetura de autenticação. Numa implementação baseada em credenciais que utilize PEAP e MSCHAPv2, o portal valida as credenciais e emite um token de acesso à rede. Numa implementação baseada em certificados que utilize EAP-TLS, o portal inicia a geração de certificados. É emitido um certificado X.509 específico para o dispositivo pela sua Autoridade de Certificação, empacotado num perfil de configuração - um ficheiro dot-mobileconfig em iOS, ou um perfil Passpoint em Android - e enviado para o dispositivo. O dispositivo instala o perfil, desliga-se do SSID de aprovisionamento e liga-se automaticamente ao SSID seguro para colaboradores utilizando o certificado para autenticação EAP-TLS. A partir desse momento, sempre que o dispositivo se liga à rede de funcionários, o servidor RADIUS valida o certificado. Sem pedidos de palavra-passe. Sem início de sessão manual. O dispositivo simplesmente liga-se, de forma silenciosa e segura. Falemos agora sobre a razão pela qual o EAP-TLS é o estado ideal para a maioria das implementações empresariais. A norma IEEE 802.1X define a estrutura, mas o EAP-TLS é o método que elimina totalmente o roubo de credenciais do processo de autenticação. Não há palavra-passe para pescar (phishing). Não há hash para forçar por força bruta. O certificado está associado ao dispositivo. Se o dispositivo for perdido ou roubado, revoga-se o certificado na Autoridade de Certificação e o servidor RADIUS recusa o acesso na tentativa de ligação seguinte. Se o funcionário sair da empresa, desativa-se a sua conta no fornecedor de identidade e, como o certificado foi emitido associado a essa identidade, a integração SCIM propaga a desativação automaticamente. O acesso termina quando a pessoa sai. Esta é a arquitetura de que organizações como a Premier Inn e a Whitbread necessitam ao gerir centenas de propriedades com milhares de dispositivos de funcionários em toda uma infraestrutura distribuída. Não é possível gerir isto à escala com palavras-passe partilhadas e revogação manual. Abordemos também a dimensão BYOD, porque é aqui que o captive portal se torna particularmente valioso. Na maioria dos ambientes de hotelaria, retalho e eventos, uma proporção significativa do pessoal utiliza dispositivos pessoais para tarefas operacionais. O pessoal de limpeza verifica a atribuição de quartos nos seus próprios smartphones. Os assistentes de retalho utilizam tablets pessoais para consultas de inventário. As equipas de operações dos estádios utilizam telemóveis pessoais para comunicações. Estes são dispositivos não geridos. Não controla a versão do seu OS, o estado do antivírus ou que outras aplicações estão instaladas. Devem ser tratados, na melhor das hipóteses, como semi-confiáveis. O captive portal de WiFi para funcionários gere o BYOD colocando estes dispositivos numa VLAN dedicada após a autenticação. A VLAN dá-lhes acesso às aplicações internas específicas de que necessitam - o sistema de gestão de propriedade, a interface do ponto de venda, a aplicação de agendamento - e a nada mais. Não conseguem aceder aos seus servidores corporativos, aos seus sistemas financeiros ou à sua rede de dispositivos geridos. Esta é uma segmentação de VLAN aplicada ao nível do RADIUS, e é a implementação prática do princípio de zero-trust: verificar a identidade e, em seguida, conceder o acesso mínimo necessário. Mais um elemento de arquitetura que vale a pena cobrir: a Política de Utilização Aceitável, ou AUP. O Captive Portal é o ponto de aplicação natural para a aceitação da AUP. Antes de um colaborador obter acesso à rede de pessoal, o portal apresenta a política - cobrindo a utilização aceitável, monitorização, tratamento de dados e consequências do uso indevido - e exige um consentimento explícito. Isto cria um registo auditável e com carimbo data/hora da aceitação da política. Sob o GDPR, isto é importante. Sob o PCI-DSS, para qualquer rede que toque em dados de titulares de cartões, isto é importante. E no caso de uma investigação disciplinar que envolva o uso indevido da rede, isto é consideravelmente importante. Agora, a largura de banda. É aqui que o Purple Shield se torna diretamente relevante. Em ambientes de pessoal de alta densidade - um hotel durante um fim de semana de casa cheia, um espaço de retalho na Black Friday, um estádio em dia de jogo - a disputa de largura de banda na rede de pessoal é um problema operacional real. O Purple Shield opera ao nível do DNS, bloqueando payloads de anúncios, scripts de rastreamento e domínios de malware antes que estes cheguem ao dispositivo. O efeito prático é uma redução de até 40% no total de dados descarregados em toda a rede, de acordo com os próprios dados da Purple. Para os dispositivos da equipa, isso significa carregamentos de página mais rápidos, menor consumo de bateria do dispositivo e mais largura de banda disponível para o tráfego operacional. As páginas carregam até 3,5 vezes mais rápido quando as mais de 120 consultas DNS típicas de uma página carregada de anúncios são eliminadas antes de chegarem à rede. Obtém essa melhoria sem tocar no hardware, sem reconfigurar os pontos de acesso e sem qualquer configuração por dispositivo. [RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS A EVITAR - aproximadamente 2 minutos] Permita-me apresentar-lhe a sequência de implementação e os modos de falha que deve monitorizar. Comece com a sua arquitetura VLAN antes de configurar um único ponto de acesso. Defina no mínimo três VLANs: pessoal, convidados e IoT. Mapeie as suas políticas de firewall. Obtenha a aprovação da sua equipa de segurança. Os erros mais dispendiosos em implementações de WiFi acontecem quando a rede é construída primeiro e a arquitetura de segurança é adicionada depois. Segundo, implemente a sua infraestrutura RADIUS com redundância. Uma única falha no servidor RADIUS bloqueia todos os membros do pessoal fora da rede em simultâneo. Num hotel, isso significa que a receção não pode processar check-ins. Numa loja de retalho, significa que os sistemas de ponto de venda não conseguem autenticar. Implemente pelo menos dois servidores RADIUS numa configuração ativo-passivo e teste a capacidade de failover antes de entrar em produção. Terceiro, integre o seu servidor RADIUS com o seu fornecedor de identidade através de LDAP ou SAML. É isto que permite o desaprovisionamento automático. Quando um colaborador é desativado no Microsoft Entra ID ou Okta, o servidor RADIUS deixa de aceitar as suas credenciais ou o seu certificado na tentativa de ligação seguinte. Sem passos manuais, sem filas de pedidos de suporte, sem lacunas entre a saída e a remoção do acesso. Quarto, desenhe o fluxo de integração do seu captive portal para o utilizador menos técnico da sua equipa. Não o gestor de TI. O operador de armazém sazonal que nunca instalou um perfil de configuração. Instruções claras, interface de marca e um número de contacto do suporte visível em todos os ecrãs. Agora as armadilhas. O modo de falha mais comum é o walled garden ser demasiado permissivo. Se o seu SSID de aprovisionamento permitir o acesso geral à internet, a equipa simplesmente continuará nele em vez de concluir o fluxo de integração. Bloqueie-o para o portal, para os endpoints do fornecedor de identidade e para o servidor de download de certificados. Nada mais. A segunda armadilha é a fragmentação do Android. O iOS lida com perfis dot-mobileconfig de forma consistente. O Android não. Diferentes fabricantes e versões do OS lidam com a instalação de certificados de forma diferente. Teste o seu fluxo de integração nos dispositivos Android específicos que a sua equipa realmente utiliza antes de implementar. O Passpoint, também conhecido como Hotspot 2.0, melhora significativamente a experiência no Android ao permitir a descoberta automática de rede e a autenticação após a configuração inicial. A terceira armadilha é a expiração de certificados. Emita certificados de curta duração - 90 dias é um padrão razoável para dispositivos BYOD. Quando o certificado expirar, o dispositivo deve voltar a integrar-se através do portal. Isto remove naturalmente os dispositivos inativos da rede e força a reautenticação em relação ao estado atual do fornecedor de identidade. Um dispositivo pertencente a um ex-funcionário cuja conta foi desativada há seis meses falhará a reintegração automaticamente. [PERGUNTAS E RESPOSTAS RÁPIDAS - aproximadamente 1 minuto] Algumas perguntas que ouvimos com frequência. "Podemos usar iPSK em vez de 802.1X completo?" Sim, para ambientes onde a implementação de certificados não é viável. O iPSK, ou Identity Pre-Shared Key, atribui uma palavra-passe de WiFi única a cada utilizador ou dispositivo. É mais seguro do que uma PSK partilhada porque cada credencial é individual e revogável. É menos seguro do que o EAP-TLS porque continua a ser baseado em palavra-passe. Use-o como um trampolim, não como um destino final. "Precisamos de WPA3 se já estamos no WPA2-Enterprise?" Se o seu hardware o suportar, sim. O WPA3-Enterprise introduz Simultaneous Authentication of Equals, o que elimina ataques de dicionário offline contra o handshake. O custo de migração em hardware suportado é uma alteração de configuração. A melhoria de segurança é relevante. "Como lidamos com prestadores de serviços que não têm uma identidade corporativa?" Utilize iPSK ou uma credencial de convidado com tempo limitado emitida através do portal. Defina uma data de expiração correspondente à data de fim do contrato. A plataforma da Purple suporta nativamente credenciais de acesso limitadas no tempo. [RESUMO E PRÓXIMOS PASSOS - aproximadamente 1 minuto] Deixe-me resumir. Um captive portal de WiFi para funcionários não é uma funcionalidade de conveniência. É o ponto de aplicação para verificação de identidade, aceitação de políticas, registo de dispositivos e controlo de acesso na sua rede operacional. A chave pré-partilhada partilhada é uma responsabilidade de conformidade e uma vulnerabilidade de segurança. Substitua-a por um fluxo de integração com identidade verificada, segmentação de VLAN e autenticação baseada em RADIUS. Os seus próximos passos imediatos: audite o seu método atual de autenticação de rede de funcionários. Se estiver a utilizar uma PSK partilhada, essa é a sua correção de maior prioridade. Se estiver a utilizar 802.1X baseado em credenciais, avalie o caminho para EAP-TLS baseado em certificados. E se não tem o Purple Shield implementado na sua rede de funcionários, a redução de largura de banda por si só justifica a conversa. Para orientações de implementação, modelos de arquitetura e estudos de caso das implementações da Purple em 80.000 locais ativos, visite purple.ai. Obrigado por ouvir.

header_image.png

Resumo Executivo

Para gestores de TI e arquitetos de rede nos setores da hotelaria, retalho e grandes espaços públicos, a gestão do acesso à rede para dispositivos de funcionários apresenta desafios operacionais e de segurança significativos. A dependência de chaves partilhadas Pre-Shared Keys (PSKs) é fundamentalmente insegura e cria um fardo operacional, permitindo que ex-funcionários e dispositivos não geridos mantenham o acesso à rede indefinidamente. Este guia descreve uma abordagem prática e segura para a integração de funcionários em redes WiFi utilizando um fluxo de Captive Portal integrado com o seu fornecedor de identidade. Ao tirar partido desta arquitetura, pode encaminhar com segurança dispositivos BYOD não geridos para uma rede 802.1X, aplicar políticas de utilização aceitável e manter a conformidade, tudo sem a fricção de uma inscrição completa em Mobile Device Management (MDM). Para espaços que já utilizam Guest WiFi e WiFi Analytics , a extensão da integração segura aos dispositivos dos funcionários fornece uma estratégia de gestão de rede unificada e robusta.

Ouça este Guia

Análise Técnica Detalhada

A base da integração segura de funcionários é a transição de métodos de autenticação antigos para EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). O EAP-TLS é o padrão da indústria para autenticação WiFi segura, baseando-se em certificados digitais em vez de palavras-passe. O desafio com as redes de funcionários, particularmente em ambientes BYOD, é distribuir estes certificados por dispositivos não geridos.

Fluxo de Integração Self-Service

Para o conseguir, os espaços implementam um portal de integração self-service. Este processo segue um caminho estruturado para garantir a entrega segura de credenciais:

  1. Ligação Inicial: O utilizador liga o seu dispositivo pessoal a um SSID de provisionamento aberto dedicado. Esta rede funciona como um jardim vedado, restringindo o acesso a tudo exceto ao portal de integração e ao fornecedor de identidade (IdP).
  2. Autenticação: O utilizador é redirecionado para o Captive Portal, onde se autentica utilizando as suas credenciais corporativas. Isto envolve a integração SAML ou SCIM com IdPs como o Microsoft Entra ID, Okta ou Google Workspace.
  3. Geração de Certificados: Após a autenticação bem-sucedida, o sistema gera um certificado de cliente exclusivo e específico do dispositivo.
  4. Instalação do Perfil: Um perfil de configuração é enviado para o dispositivo. Este perfil contém o certificado de cliente, o certificado CA raiz e as definições de configuração de rede para o SSID 802.1X seguro.
  5. Ligação Segura: O dispositivo desliga-se automaticamente do SSID de provisionamento e liga-se ao SSID corporativo seguro utilizando o certificado recém-instalado para autenticação EAP-TLS.

byod_onboarding_flow.png

Porque é que as PSKs Partilhadas Falham nas Redes de Colaboradores

Historicamente, os locais têm dependido de Pre-Shared Keys (PSKs) para o acesso dos colaboradores. Esta abordagem é fundamentalmente falha num ambiente empresarial moderno. As PSKs, uma vez partilhadas, representam um risco de segurança. Não oferecem responsabilidade individual e, se um dispositivo for perdido ou um colaborador sair, é necessário alterar a palavra-passe em toda a rede. Num hotel de 200 quartos com 80 colaboradores, uma palavra-passe partilhada foi provavelmente partilhada com cerca de 80 pessoas, os seus parceiros e pelo menos três ex-colaboradores. Isso não é uma rede segura; é uma porta aberta.

authentication_methods_comparison.png

Guia de Implementação

A implementação de um Captive Portal de WiFi seguro para colaboradores requer um planeamento e execução cuidadosos. Siga estes passos para uma implementação bem-sucedida em ambientes de hotelaria, retalho ou estádios.

Passo 1: Definir Políticas de Acesso e Segmentação

Antes de configurar a infraestrutura técnica, defina claramente a que dispositivos de colaboradores deve ser permitido o acesso. Os dispositivos BYOD não são geridos; não tem controlo sobre as atualizações do seu sistema operativo, estado do antivírus ou aplicações instaladas. Portanto, devem ser tratados como dispositivos não fidedignos.

Coloque os dispositivos dos colaboradores numa VLAN dedicada. Esta VLAN deve fornecer acesso à internet e restringir o acesso apenas às aplicações internas específicas exigidas para a função do colaborador, como uma interface web de Ponto de Venda de retalho ou uma aplicação de limpeza de hotelaria. Nunca coloque dispositivos BYOD na mesma VLAN que os servidores corporativos ou dispositivos geridos. Para mais informações sobre como proteger redes de back-of-house, consulte o nosso guia sobre Retail Staff WiFi Policies: Securing the Back-of-House Network ou a versão em português Políticas de WiFi para Colaboradores no Retalho: Proteger as Redes Back-of-House .

Passo 2: Configurar o Servidor RADIUS e a Integração com o IdP

O seu servidor RADIUS é o coração do processo de autenticação 802.1X. Deve ser configurado para suportar EAP-TLS e integrar-se com o seu fornecedor de identidade.Ligue o seu servidor RADIUS ao seu IdP via SAML ou LDAP. Isto garante que apenas os colaboradores ativos se possam autenticar e receber certificados. Quando um colaborador é desaprovisionado no Microsoft Entra ID ou Okta, o servidor RADIUS deixará de aceitar as suas credenciais ou certificados na tentativa de ligação seguinte. Estabeleça uma CA interna ou utilize uma PKI alojada na nuvem para emitir certificados de cliente. O servidor RADIUS deve confiar nesta CA.

Passo 3: Desenhar o Portal de Integração e Impor os AUP

O portal de integração é o primeiro ponto de interação do utilizador com o sistema. Deve ser intuitivo e ter uma marca clara. Forneça instruções passo a passo no ecrã do portal. Os utilizadores precisam de saber exatamente onde clicar e o que esperar a seguir.

O Captive Portal é um ponto de aplicação natural para a aceitação obrigatória da Política de Utilização Aceitável (AUP). Antes de os colaboradores acederem à rede do pessoal, o portal apresenta a política e exige uma confirmação explícita. Isto cria um registo auditável e com carimbo de data/hora da aceitação da política, o que é fundamental para a conformidade com o GDPR e PCI-DSS.

Melhores Práticas

Para garantir uma implementação segura e gerível, siga estas melhores práticas do setor.

Implementar Certificados de Curta Duração

Como os dispositivos BYOD não são geridos, existe um risco acrescido de dispositivos comprometidos permanecerem na rede. Mitigue este risco emitindo certificados de curta duração. Em vez de emitir certificados válidos por três anos, emita certificados válidos por 90 dias. Quando o certificado expira, o utilizador deve autenticar-se novamente através do portal de integração. Isto elimina naturalmente os dispositivos inativos da rede e garante que apenas os colaboradores ativos mantêm o acesso.

Aproveitar o Passpoint (Hotspot 2.0)

Para uma experiência de integração simples, especialmente em dispositivos Android, aproveite o Passpoint. O Passpoint permite que os dispositivos detetem e se autentiquem automaticamente em redes seguras sem exigir que o utilizador selecione manualmente o SSID ou interaja com um captive portal após a configuração inicial. Isto reduz significativamente a fricção e melhora a experiência do utilizador.

Utilizar o Purple Shield para Gestão de Largura de Banda

Em ambientes de colaboradores com elevada densidade, a contenção de largura de banda na rede do pessoal é um problema operacional real. O Purple Shield opera ao nível do DNS, bloqueando payloads de anúncios, scripts de rastreio e domínios de malware antes que estes cheguem ao dispositivo. O efeito prático é uma redução de até 40% no total de dados descarregados na rede. Para os dispositivos dos colaboradores, isto traduz-se em velocidades de carregamento de páginas mais rápidas, menor consumo de bateria do dispositivo e mais largura de banda disponível para o tráfego operacional.

Resolução de Problemas e Mitigação

Mesmo com sistemas bem concebidos, podem surgir problemas. Compreender os modos de falha comuns é fundamental para uma resolução rápida.

Configuração de Walled Garden

O SSID de aprovisionamento deve ser rigidamente controlado. Se o Walled Garden for demasiado aberto, os utilizadores podem simplesmente permanecer ligados à rede de aprovisionamento para aceder à internet, ignorando completamente o processo de integração seguro. Certifique-se de que o SSID de aprovisionamento apenas permite o acesso ao portal de integração, aos endpoints de autenticação do IdP e aos servidores de descarregamento de certificados necessários. Todo o restante tráfego deve ser bloqueado.

Fragmentação do Android

Os dispositivos Apple iOS gerem os perfis de configuração de forma muito consistente. O Android, no entanto, é altamente fragmentado. Diferentes fabricantes e versões do SO gerem os perfis de WiFi e a instalação de certificados de forma diferente. Para mitigar isto, certifique-se de que a sua solução de integração fornece instruções claras e específicas para cada SO, e aproveite o Passpoint sempre que possível.

ROI e Impacto Empresarial

A implementação de um portal cativo de WiFi seguro para colaboradores proporciona um retorno claro do investimento através de uma segurança melhorada, redução dos custos de TI e maior produtividade dos colaboradores.

Ao capacitar os utilizadores para realizarem a sua própria integração, os help desks de TI registam uma redução drástica nos pedidos de suporte relacionados com palavras-passe de WiFi e problemas de conectividade. A transição de PSK para EAP-TLS reduz significativamente o risco de acesso não autorizado à rede e de violações de dados. Isto é fundamental para manter a conformidade com normas como o PCI DSS e o GDPR. Os colaboradores podem ligar os seus dispositivos pessoais de forma rápida e segura para aceder às ferramentas de que necessitam, melhorando a eficiência global e a satisfação nos setores de retalho , saúde , hotelaria e transportes .

Definições Principais

Captive Portal

Uma página web que um utilizador de uma rede pública ou corporativa é obrigado a visualizar e com a qual deve interagir antes de lhe ser concedido acesso.

Utilizado em redes de funcionários como o portal para verificação de identidade, aceitação de políticas de utilização e atribuição de certificados.

EAP-TLS

Extensible Authentication Protocol-Transport Layer Security. Um método de autenticação 802.1X que utiliza certificados digitais tanto no cliente como no servidor.

O método de autenticação WiFi mais seguro, eliminando a necessidade de palavras-passe e prevenindo o roubo de credenciais.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gestão centralizada de autenticação, autorização e auditoria.

O servidor central que valida os certificados dos dispositivos face ao fornecedor de identidade antes de conceder acesso à rede.

VLAN Segmentation

A prática de dividir uma rede física em várias redes lógicas para isolar o tráfego.

Essencial para manter os dispositivos BYOD não confiáveis dos funcionários separados dos servidores corporativos sensíveis e sistemas POS.

Passpoint (Hotspot 2.0)

Um padrão de indústria que permite uma integração e roaming de WiFi fluidos e seguros, sem necessidade de seleção manual de SSID ou interação com um captive portal após a configuração inicial.

Melhora a experiência do utilizador na integração de funcionários, especialmente em dispositivos Android.

Walled Garden

Um ambiente de rede restrito que controla o acesso dos utilizadores a conteúdos e serviços web específicos.

Utilizado no SSID de aprovisionamento para garantir que a equipa apenas consegue aceder ao portal de integração e ao IdP, impedindo-os de contornar a configuração de segurança.

SCIM

System for Cross-domain Identity Management. Um padrão aberto para automatizar a troca de informações de identidade de utilizadores entre domínios de identidade.

Permite o desaprovisionamento automático do acesso à rede quando um colaborador sai da empresa e é desativado no IdP.

iPSK

Identity Pre-Shared Key. Uma funcionalidade de segurança que atribui uma palavra-passe de WiFi exclusiva a cada utilizador ou dispositivo individual.

Utilizado como alternativa ao 802.1X para dispositivos headless ou prestadores de serviços que não conseguem instalar um certificado.

Exemplos Práticos

Um hotel com 200 quartos necessita de fornecer acesso WiFi a 80 funcionários de limpeza e manutenção que utilizam os seus smartphones pessoais para aceder ao sistema de gestão de propriedades (PMS) baseado na cloud. Atualmente, o hotel utiliza uma única palavra-passe WPA2 que não é alterada há três anos. Como deve o gestor de TI proteger esta rede sem adquirir software de MDM para dispositivos pessoais?

  1. Crie um novo SSID de provisionamento aberto (ex: "Hotel-Staff-Onboard") com um walled garden rigoroso que permita o acesso apenas ao captive portal e ao Microsoft Entra ID.
  2. Configure um captive portal para exigir o início de sessão via SSO através do Entra ID e apresentar a Política de Utilização Aceitável para funcionários.
  3. Após o início de sessão bem-sucedido e aceitação da política, gere um certificado EAP-TLS de 90 dias específico para o dispositivo.
  4. Envie o perfil de configuração para o telemóvel do funcionário para que este se ligue automaticamente ao SSID 802.1X seguro (ex: "Hotel-Staff-Secure").
  5. Configure o servidor RADIUS para atribuir os dispositivos ligados a uma VLAN BYOD dedicada que apenas encaminhe para a internet e para o PMS na cloud, bloqueando o acesso à VLAN do servidor corporativo.
Comentário do Examinador: Esta abordagem elimina a vulnerabilidade de partilha de palavra-passe, evitando simultaneamente as preocupações com a privacidade de uma inscrição completa em MDM. O certificado de 90 dias garante que os dispositivos inativos sejam removidos de forma automática, e a segmentação de VLAN protege a rede corporativa de dispositivos pessoais potencialmente comprometidos.

Uma grande cadeia de retalho enfrenta graves problemas de conectividade no ponto de venda (POS) durante os saldos da Black Friday porque os funcionários transmitem vídeo nos seus telemóveis pessoais ligados à rede de funcionários durante as pausas. Como pode o arquiteto de rede resolver isto sem proibir os dispositivos pessoais?

  1. Implemente o Purple Shield na rede de funcionários para bloquear payloads de anúncios e scripts de rastreamento ao nível do DNS, recuperando instantaneamente até 40% da largura de banda desperdiçada.
  2. Implemente políticas de Qualidade de Serviço (QoS) no controlador sem fios para dar prioridade ao tráfego das aplicações de POS e de inventário sobre a navegação web geral e streaming de vídeo.
  3. Aplique limitação de débito à VLAN BYOD para limitar a largura de banda máxima disponível para qualquer dispositivo pessoal individual.
Comentário do Examinador: Esta solução aborda a saturação da largura de banda tecnicamente, em vez de recorrer a políticas de RH impossíveis de aplicar. O Purple Shield reduz a carga de dados de base, enquanto o QoS e a limitação de débito garantem que o tráfego operacional crítico tenha sempre prioridade durante os períodos de pico.

Perguntas de Prática

Q1. O diretor de operações de um estádio pretende emitir uma única palavra-passe de WiFi para todos os 500 colaboradores do dia de jogo para 'facilitar a ligação rápida à Internet'. Qual é o principal risco de segurança desta abordagem e qual é a alternativa recomendada?

Dica: Considere o que acontece quando um membro da equipa do dia de jogo não regressa para o evento seguinte.

Ver resposta modelo

O principal risco é a incapacidade de revogar o acesso individualmente. Quando um colaborador sai, mantém a palavra-passe, o que lhe concede acesso por tempo indeterminado à rede operacional. A alternativa recomendada é um fluxo de integração por Captive Portal que emite certificados EAP-TLS específicos para cada dispositivo vinculados à sua identidade, permitindo que as TI revoguem o acesso por dispositivo ou automaticamente no momento da rescisão.

Q2. Os registos do seu servidor RADIUS mostram que vários dispositivos Android não conseguem concluir o processo de instalação do certificado após a autenticação no Captive Portal. Qual é a causa mais provável e como pode ser mitigada?

Dica: Considere as diferenças na forma como os sistemas operativos móveis gerem os perfis de configuração.

Ver resposta modelo

A causa mais provável é a fragmentação do SO Android, uma vez que diferentes fabricantes gerem a instalação de certificados de forma diferente. Isto pode ser mitigado fornecendo instruções claras e específicas de cada SO no Captive Portal, utilizando uma aplicação de integração dedicada ou aproveitando o Passpoint (Hotspot 2.0) para uma experiência de integração mais integrada e padronizada.

Q3. A equipa de TI de um hospital está a desenhar uma rede BYOD para funcionários. Pretendem colocar os dispositivos BYOD na mesma VLAN que os servidores de registos de saúde eletrónicos (EHR) do hospital para garantir que os funcionários acedem rapidamente aos dados dos doentes. Este design é seguro? Porquê?

Dica: Considere o nível de confiança de dispositivos BYOD não geridos.

Ver resposta modelo

Não, este design não é seguro. Os dispositivos BYOD não são geridos, o que significa que a equipa de TI não controla o seu estado de segurança, atualizações do SO ou aplicações instaladas. Devem ser tratados como não confiáveis. Colocá-los na mesma VLAN que servidores EHR confidenciais cria um risco significativo de movimento lateral. Os dispositivos BYOD devem ser colocados numa VLAN dedicada e segmentada, com regras de firewall estritas que limitem o acesso apenas às interfaces web necessárias - nunca acesso direto ao servidor.