Saltar para o conteúdo principal
Português

Como Implementar SCEP para Integração Segura de BYOD e Redes no Ensino Superior

Este guia técnico fornece aos arquitetos de rede e gestores de TI um plano neutro em termos de fornecedor para implementar a emissão de certificados baseada em SCEP para proteger as redes dos campus do ensino superior. Detalha como migrar de PEAP baseado em palavra-passe para 802.1X EAP-TLS, automatizar a integração de BYOD e impor uma segmentação robusta de VLAN.

📖 5 min de leitura📝 1,022 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Fale em inglês britânico com um tom claro, confiante e autoritário. É um consultor sénior de segurança de rede a dar um briefing a diretores de TI e CTOs numa universidade. O seu discurso é compassado, direto e ocasionalmente seco. Faça pausas naturais entre as secções. O ritmo é constante e profissional, sem pressas: Bem-vindos a este briefing técnico da Purple. Vou orientar-vos através de tudo o que precisam de saber sobre a implementação de SCEP - o Simple Certificate Enrolment Protocol - para BYOD seguro e registo de rede no ensino superior. Se é um diretor de TI ou arquiteto de rede numa universidade, e ainda depende de palavras-passe partilhadas ou de Captive Portals para autenticar dispositivos de estudantes na WiFi do campus, este briefing é para si. [medium pause] Comecemos pelo problema. A maioria das universidades de hoje está a correr o que eu chamaria de modelo de confiança à primeira utilização. Um estudante chega, liga-se ao SSID do campus, introduz as suas credenciais universitárias e está na rede. Simples. Familiar. E, francamente, uma responsabilidade de segurança significativa. As palavras-passe são partilhadas. As credenciais são alvo de phishing. Uma única conta comprometida pode colocar milhares de dispositivos na sua rede que não deveriam estar lá. E quando lidamos com obrigações do GDPR, dados de investigação e sistemas de pagamento na mesma infraestrutura, esse não é um risco que se possa correr. [medium pause] O SCEP resolve isto na camada de identidade do dispositivo. Em vez de perguntar "quem é você?" através de uma palavra-passe, pergunta "o que é você?" através de um certificado criptográfico. O SCEP - formalmente definido no RFC 8894 pelo IETF - é um protocolo que automatiza a emissão, entrega e renovação de certificados digitais X.509 para dispositivos geridos e não geridos. Tem sido a espinha dorsal da PKI empresarial há mais de duas décadas, e é suportado nativamente por todas as principais plataformas MDM: Microsoft Intune, JAMF Pro e VMware Workspace ONE. Eis como funciona o fluxo de registo na prática. Quando o dispositivo de um estudante se liga ao seu SSID de integração, o agente MDM nesse dispositivo gera um par de chaves e cria um Certificate Signing Request - um CSR. Esse pedido vai para o seu gateway SCEP, que valida uma palavra-passe de desafio única. O gateway reencaminha o CSR para a sua Autoridade de Certificação, que o assina e devolve um certificado X.509 exclusivo ao dispositivo. A partir desse momento, o dispositivo utiliza esse certificado para se autenticar via 802.1X EAP-TLS - o método de autenticação sem fios mais seguro definido na norma IEEE 802.1X. Sem palavras-passe. Sem segredos partilhados. Apenas prova criptográfica da identidade do dispositivo. [medium pause] Agora, o EAP-TLS - Extensible Authentication Protocol com Transport Layer Security - merece um momento da sua atenção. Requer autenticação mútua: o dispositivo prova a sua identidade ao servidor RADIUS e o servidor RADIUS prova a sua identidade ao dispositivo. Isto elimina os ataques man-in-the-middle na camada de autenticação. Compare isso com o PEAP-MSCHAPv2, que ainda é amplamente implementado e possui vulnerabilidades conhecidas para a recolha de credenciais. Se está a executar PEAP atualmente, a migração para o EAP-TLS via SCEP é uma atualização de segurança significativa, e não incremental. [medium pause] Deixe-me dar-lhe uma arquitetura concreta. Está a executar três SSIDs. O primeiro é o seu SSID seguro para estudantes - chamemos-lhe UniSecure - na VLAN 10. Este é autenticado por certificado através de 802.1X EAP-TLS. Apenas os dispositivos com um certificado válido emitido pela sua CA podem aderir. O segundo é o seu SSID para funcionários na VLAN 20, onde os dispositivos geridos recebem certificados automaticamente através do Intune ou JAMF durante o registo do dispositivo. O terceiro é o seu WiFi de convidados na VLAN 30 - um Captive Portal para visitantes, completamente isolado da sua rede académica. O seu servidor RADIUS - seja o Microsoft NPS, Cisco ISE ou HPE Aruba ClearPass - situa-se entre os pontos de acesso e a sua Autoridade de Certificação, aplicando políticas em cada tentativa de autenticação. [medium pause] Para o hardware, esta arquitetura funciona perfeitamente em Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e Ubiquiti UniFi. O gateway SCEP pode ser o seu servidor Microsoft NDES existente, um serviço SCEP na nuvem ou uma plataforma PKI dedicada. Se já utiliza o Microsoft Entra ID - anteriormente Azure Active Directory - a integração com o Certificate Connector do Intune é simples e está bem documentada. [medium pause] Agora deixe-me orientá-lo por dois cenários do mundo real. O primeiro é uma grande universidade com 30.000 estudantes espalhados por um campus principal e quatro instalações satélite. O seu desafio: os estudantes chegam em setembro com uma mistura de portáteis Windows, MacBooks, iPhones e dispositivos Android. Anteriormente, executavam PEAP com credenciais universitárias. A partilha de credenciais era endémica. Migraram para SCEP com Intune para dispositivos geridos de funcionários e um portal de integração self-service para BYOD de estudantes. Os estudantes visitam uma página web, autenticam-se com o início de sessão único da universidade e o portal envia um perfil SCEP para o seu dispositivo. O dispositivo regista-se, recebe um certificado e liga-se ao SSID seguro automaticamente. Os pedidos de suporte de TI relacionados com a autenticação WiFi caíram 60% no primeiro período. A autenticação baseada em certificados também lhes proporcionou um registo de auditoria limpo para a conformidade com o GDPR - puderam demonstrar exatamente qual o dispositivo que acedeu a que segmento de rede em qualquer momento. [medium pause] O segundo cenário é um colégio de ensino secundário que utiliza uma mistura de Chromebooks pertencentes aos alunos e dispositivos Windows partilhados em laboratórios de informática. Utilizaram o JAMF para dispositivos macOS e a gestão de certificados do Google Workspace para Chromebooks. Os perfis SCEP foram enviados através de cada MDM durante a inscrição do dispositivo. Os dispositivos de laboratório partilhados receberam certificados de máquina em vez de certificados de utilizador, pelo que a autenticação foi baseada no dispositivo em vez de estar associada a um início de sessão individual. Isto significava que os alunos podiam sentar-se em qualquer máquina do laboratório e ligar-se sem passos de autenticação adicionais. O colégio também segmentou os dispositivos IoT - projetores, impressoras, quadros interativos - numa VLAN separada sem encaminhamento de Internet, reduzindo significativamente a sua superfície de ataque. [medium pause] Falemos sobre as armadilhas de implementação, porque existem algumas que apanham as equipas de surpresa. A primeira é a gestão da palavra-passe de desafio. No SCEP puro, a palavra-passe de desafio é um segredo partilhado. Se for estática e duradoura, é uma vulnerabilidade. Utilize o seu MDM para gerar palavras-passe de desafio de utilização única por inscrição de dispositivo. O Intune faz isto automaticamente através do seu Certificate Connector. Se estiver a executar um servidor SCEP autónomo, implemente janelas de expiração curtas - 15 minutos é um valor padrão razoável. A segunda armadilha é a gestão do ciclo de vida dos certificados. Os certificados expiram. Se não tiver uma renovação automática configurada, terá alunos impossibilitados de se ligarem ao WiFi na manhã de um exame. Configure a renovação para ser acionada a 80% do período de validade do certificado. A maioria dos MDMs trata disto automaticamente, mas verifique a sua configuração antes de entrar em produção. A terceira armadilha é o descontrolo do âmbito BYOD. Nem todos os dispositivos pessoais que um aluno possui devem estar na sua VLAN académica. Defina claramente a sua política de inscrição: quais os tipos de dispositivos elegíveis, quais os controlos de conformidade necessários - versão do OS, bloqueio de ecrã, encriptação - e o que acontece quando um dispositivo falha a conformidade. As políticas de acesso condicional do seu MDM aplicam isto automaticamente após serem configuradas. [medium pause] Uma secção rápida de perguntas e respostas para as dúvidas que recebo com mais frequência. O SCEP funciona com dispositivos pessoais não geridos? Sim, através de um portal de integração self-service que envia um perfil SCEP leve. O dispositivo não precisa de estar totalmente inscrito no MDM. O SCEP substitui o eduroam? Não - o eduroam utiliza 802.1X com federação RADIUS, e o SCEP é o mecanismo que fornece os certificados que esses dispositivos utilizam para se autenticarem no eduroam. São complementares. O SCEP está em conformidade com o GDPR? A autenticação baseada em certificados gera um registo de auditoria limpo e atribuível - identidade do dispositivo, carimbo de data/hora, atribuição de VLAN - o que apoia as suas obrigações do Artigo 32 do GDPR em matéria de medidas técnicas de segurança adequadas. O WPA3 altera alguma coisa? O WPA3-Enterprise com o modo de 192 bits exige EAP-TLS, que requer certificados. O SCEP é o mecanismo de entrega natural. Adotar o WPA3 e o SCEP em conjunto é a direção arquitetural correta. [medium pause] Em resumo. O SCEP automatiza a distribuição de certificados para dispositivos de estudantes e funcionários, permitindo a autenticação 802.1X EAP-TLS no WiFi do seu campus. Elimina palavras-passe partilhadas, reduz o risco de phishing de credenciais e fornece uma pista de auditoria criptograficamente atribuível. A arquitetura é agnóstica em termos de hardware - funciona em Cisco Meraki, HPE Aruba, Ruckus e Juniper Mist. Integra-se com Microsoft Entra ID, Okta e Google Workspace. E escala desde uma escola de ensino pós-secundário de campus único até uma universidade multi-site do Russell Group. Se está a avaliar a postura de segurança do WiFi do seu campus este ano, o SCEP com EAP-TLS é o padrão em cuja direção deve construir. A plataforma da Purple integra-se com esta arquitetura na camada de WiFi de convidados e analítica, fornecendo-lhe dados primários sobre o comportamento dos visitantes sem comprometer a segurança da sua rede académica. Obrigado por ouvir. Se quiser aprofundar qualquer um destes tópicos, o guia técnico completo está disponível em purple.ai.

header_image.png

Resumo Executivo

As redes do ensino superior enfrentam um conjunto único de desafios: picos massivos de integração sazonal, elevada rotatividade de dispositivos, partilha generalizada de credenciais e requisitos de conformidade rigorosos. Os modelos tradicionais de autenticação baseados em palavra-passe (como o PEAP-MSCHAPv2) não cumprem as normas de segurança modernas e geram uma sobrecarga significativa de suporte de TI.

Este guia detalha como implementar o Simple Certificate Enrollment Protocol (SCEP) para automatizar a entrega de certificados digitais X.509 tanto para dispositivos geridos de funcionários como para terminais não geridos de alunos BYOD (Bring Your Own Device). Ao migrar para a autenticação 802.1X EAP-TLS baseada em certificados, as universidades podem eliminar palavras-passe partilhadas, neutralizar o phishing de credenciais e estabelecer uma pista de auditoria criptograficamente verificável. Abordamos a mecânica do protocolo subjacente, as arquiteturas de referência para segmentação multi-VLAN, a integração com plataformas de Mobile Device Management (MDM) e a transição operacional necessária para proteger o WiFi do campus em escala.

Aprofundamento Técnico

As Limitações da Autenticação Legada

Muitas redes universitárias ainda dependem do PEAP (Protected Extensible Authentication Protocol) com credenciais universitárias. Este modelo de confiança na primeira utilização apresenta riscos graves:

  1. Recolha de Credenciais: Os atacantes podem transmitir SSIDs falsificados para capturar credenciais de estudantes.
  2. Partilha de Palavras-passe: Os estudantes partilham frequentemente credenciais, comprometendo o controlo de acesso à rede e a alocação de largura de banda.
  3. Sobrecarga de Suporte: A reposição de palavras-passe e os erros de configuração manual impulsionam o volume máximo de pedidos de suporte no início do ano letivo.

Arquitetura SCEP e EAP-TLS

O SCEP, definido no RFC 8894, automatiza o ciclo de vida dos certificados digitais. Em vez de autenticar o utilizador através de uma palavra-passe, a rede autentica o dispositivo através de um certificado X.509 exclusivo. Isto permite o EAP-TLS (Extensible Authentication Protocol com Transport Layer Security), que requer autenticação mútua entre o dispositivo cliente e o servidor RADIUS.

scep_enrollment_flow.png

O fluxo de registo SCEP funciona da seguinte forma:

  1. Ligação Inicial: O dispositivo liga-se a um portal de integração ou recebe um perfil de MDM.
  2. Geração de CSR: O dispositivo gera um par de chaves e cria um Certificate Signing Request (CSR).
  3. Validação de Desafio: O gateway SCEP valida uma palavra-passe de desafio dinâmica e de utilização única fornecida pelo MDM ou pelo portal de integração.
  4. Emissão de Certificado: A Autoridade de Certificação (CA) assina o CSR e devolve o certificado X.509.5. Autenticação: O dispositivo apresenta o certificado ao servidor RADIUS via 802.1X EAP-TLS para obter acesso à VLAN segura.

Componentes de Infraestrutura

A implementação do SCEP requer vários componentes integrados:

  • Autoridade de Certificação (CA): A raiz de confiança que emite os certificados (ex: Microsoft AD CS, uma PKI em nuvem).
  • Gateway SCEP: O intermediário que valida os pedidos antes de os encaminhar para a CA (ex: Microsoft NDES, SecureW2, IronWiFi).
  • Plataforma de MDM / Integração: Gere a implementação de perfis SCEP (ex: Microsoft Intune, JAMF Pro, Google Workspace).
  • Servidor RADIUS: Aplica a política de acesso à rede com base na validade do certificado (ex: Cisco ISE, HPE Aruba ClearPass, Microsoft NPS).
  • Infraestrutura Sem Fios: Os pontos de acesso e controladores que aplicam o 802.1X (ex: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist).

Guia de Implementação

Passo 1: Estabelecer a PKI e o Gateway SCEP

Se a sua universidade utiliza o Microsoft Entra ID, a integração do Intune com uma PKI em nuvem ou com um servidor NDES no local é a abordagem padrão. O gateway SCEP deve estar acessível externamente se pretender provisionar dispositivos antes de estes chegarem ao campus.

Passo 2: Configurar os Perfis de MDM

Para dispositivos geridos (computadores portáteis de funcionários, máquinas de laboratório), configure perfis SCEP no seu MDM. Certifique-se de que o perfil especifica:

  • Formato do Nome do Requerente (Subject Name): CN={{AAD_Device_ID}} ou semelhante, para identificar o dispositivo de forma única.
  • Utilização de Chaves: Assinatura Digital e Cifragem de Chaves (Key Encipherment).
  • Utilização Alargada de Chaves: Autenticação de Cliente.
  • Tipo de Desafio: Dinâmico (palavra-passe única), nunca estático.

Passo 3: Implementar o Portal de Integração BYOD

Para dispositivos de estudantes não geridos, implemente um portal de integração self-service. Os estudantes autenticam-se através do fornecedor de início de sessão único (SSO) da universidade (ex: Microsoft Entra ID, Okta). O portal verifica o seu estado de matrícula ativa e envia um perfil SCEP leve para o seu dispositivo, automatizando o pedido de certificado sem exigir uma gestão de MDM completa.

Passo 4: Implementar Segmentação de VLAN

Configure o seu servidor RADIUS para atribuir VLANs dinamicamente com base nos atributos do certificado ou no grupo de utilizadores no seu diretório.

byod_network_segmentation.png

  • VLAN 10 (BYOD de Estudante): Autenticado por EAP-TLS. Acesso a recursos académicos e internet.
  • VLAN 20 (Gerido por Funcionários): Autenticado por EAP-TLS. Acesso a sistemas administrativos e servidores internos.
  • VLAN 30 (Guest WiFi): Autenticado por Captive Portal. Apenas acesso à internet, isolado da rede principal.

Boas Práticas

  • Palavras-passe de Desafio Dinâmicas: Nunca utilize um segredo partilhado estático para o seu gateway SCEP. Certifique-se de que o seu MDM ou plataforma de integração gera palavras-passe de desafio únicas para cada pedido de registo.
  • Renovação Automática: Configure os certificados para se renovarem automaticamente a 80% do seu período de validade. Isto evita expirações em massa durante períodos académicos críticos.
  • Conformidade do Dispositivo: Utilize políticas de acesso condicional de MDM para garantir que os dispositivos cumprem os requisitos mínimos de segurança (ex.: versão do SO, encriptação) antes de o perfil SCEP ser entregue.
  • Verificação de Revogação: Certifique-se de que o seu servidor RADIUS está configurado para verificar a Lista de Revogação de Certificados (CRL) ou utilize o Online Certificate Status Protocol (OCSP) para bloquear o acesso imediatamente caso um dispositivo seja reportado como perdido ou roubado.

Resolução de Problemas e Mitigação de Riscos

Falhas Comuns

  1. Gateway NDES/SCEP Inacessível: Se o gateway SCEP não estiver acessível externamente, os dispositivos não se poderão registar fora do campus. Certifique-se de que o gateway é publicado de forma segura através de um proxy de aplicação.
  2. Erros de Confiança na Cadeia de Certificados: O dispositivo cliente deve confiar na CA Raiz que emitiu o certificado do servidor RADIUS. Certifique-se de que o certificado da CA Raiz é enviado juntamente com o perfil SCEP.
  3. Timeout do RADIUS: O EAP-TLS requer várias viagens de ida e volta (round trips). Certifique-se de que os seus controladores sem fios e servidores RADIUS estão configurados com valores de timeout adequados para acomodar a latência, especialmente durante os picos de adesão.

ROI e Impacto no Negócio

A migração para SCEP e EAP-TLS proporciona resultados comerciais mensuráveis para os departamentos de TI das universidades:

  • Redução dos Custos de Suporte: Ao automatizar o registo, as universidades registam normalmente uma redução de 50 a 70% nos pedidos de suporte relacionados com WiFi durante o início do ano académico.
  • Melhoria da Segurança: A eliminação de palavras-passe partilhadas e a migração para a identidade criptográfica do dispositivo neutraliza os ataques de roubo de credenciais.
  • Conformidade Regulamentar: A autenticação baseada em certificados fornece um registo de auditoria robusto e atribuível, apoiando os requisitos do Artigo 32.º do GDPR para medidas técnicas de segurança.

A plataforma da Purple integra-se com esta arquitetura na camada de WiFi de convidados. Enquanto as suas redes académicas e de funcionários permanecem protegidas via SCEP e EAP-TLS, a Purple oferece uma integração fluida de Captive Portal para visitantes, capturando dados primários (first-party data) e fornecendo análises sem comprometer a segurança da rede principal.

Definições Principais

SCEP (Simple Certificate Enrollment Protocol)

Um protocolo IETF que automatiza o processo de solicitação, emissão e instalação de certificados digitais em dispositivos de rede sem intervenção manual.

Utilizado por equipas de TI para implementar certificados em escala para milhares de dispositivos de estudantes e funcionários em simultâneo.

EAP-TLS (Extensible Authentication Protocol with Transport Layer Security)

O método de autenticação 802.1X mais seguro, que exige que tanto o dispositivo cliente como o servidor RADIUS provem as suas identidades utilizando certificados digitais.

O padrão de autenticação alvo para universidades que procuram eliminar o acesso WiFi baseado em palavras-passe.

CSR (Certificate Signing Request)

Um bloco de texto encriptado gerado pelo dispositivo cliente contendo a sua chave pública e informações de identificação, enviado à CA para solicitar um certificado.

O primeiro passo técnico no processo de registo SCEP após o dispositivo se ligar ao gateway.

MDM (Mobile Device Management)

Plataformas de software como o Microsoft Intune ou JAMF Pro utilizadas para gerir configurações de dispositivos, impor conformidade e implementar perfis SCEP.

O plano de controlo administrativo para dispositivos de funcionários e o ponto de integração para desafios dinâmicos SCEP.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Contabilização (AAA) para utilizadores que se ligam e utilizam um serviço de rede.

O servidor (como Cisco ISE ou ClearPass) que valida o certificado do dispositivo e o atribui à VLAN correta.

NDES (Network Device Enrollment Service)

Uma função do Microsoft Windows Server que funciona como um gateway SCEP, permitindo que dispositivos sem credenciais do Active Directory obtenham certificados de uma CA Empresarial.

O gateway SCEP tradicional no local utilizado em ambientes Microsoft, frequentemente integrado com o Intune.

VLAN (Virtual Local Area Network)

Uma sub-rede lógica que agrupa uma coleção de dispositivos de diferentes LANs físicas, isolando o tráfego de transmissão (broadcast) e aplicando limites de segurança.

Utilizada para separar o tráfego BYOD de estudantes dos dispositivos de funcionários, acesso de convidados e infraestrutura de IoT.

BYOD (Bring Your Own Device)

A prática de permitir que estudantes e funcionários utilizem os seus computadores portáteis, smartphones e tablets pessoais para aceder à rede universitária.

O principal motor para a implementação de portais de integração automatizados e SCEP no ensino superior.

Exemplos Práticos

Uma universidade com 30.000 estudantes está a migrar de PEAP para EAP-TLS. Utiliza o Microsoft Entra ID e o Intune para os funcionários, mas necessita de uma solução para computadores portáteis e smartphones BYOD de estudantes não geridos. Como deve estruturar a arquitetura de integração?

Implementar um portal de integração self-service integrado com o Microsoft Entra ID para SSO. Os dispositivos dos funcionários recebem perfis SCEP automaticamente via Intune durante o aprovisionamento do dispositivo. Os estudantes ligam-se a um SSID de 'Integração' aberto, autenticam-se através do portal utilizando as suas credenciais universitárias, e o portal envia um perfil SCEP temporário para o dispositivo. O dispositivo gera um CSR, o gateway SCEP valida o desafio dinâmico e a CA emite o certificado. O dispositivo volta então a ligar-se automaticamente ao SSID seguro 'eduroam' ou 'Student' utilizando EAP-TLS.

Comentário do Examinador: Esta abordagem separa corretamente os dispositivos geridos dos BYOD não geridos. Ao utilizar um portal de integração dinâmico para os estudantes, a universidade alcança segurança baseada em certificados sem o fardo administrativo de forçar a inscrição total em MDM nos dispositivos pessoais.

Uma faculdade de ensino técnico e profissional necessita de proteger computadores partilhados em laboratórios de Windows e dispositivos IoT (projetores, quadros interativos) juntamente com a sua rede BYOD. Como deve lidar com a autenticação de dispositivos sem um utilizador específico?

Para computadores de laboratório partilhados, implemente certificados de máquina via SCEP utilizando SCCM ou Intune. Os dispositivos autenticam-se na rede utilizando EAP-TLS ao nível da máquina, permitindo que qualquer estudante inicie sessão sem desencadear um evento de autenticação de rede separado. Para dispositivos IoT que não suportam 802.1X ou SCEP, implemente Identity PSK (iPSK) ou MAB (MAC Authentication Bypass), e segmente-os numa VLAN IoT dedicada e isolada, sem acesso à rede académica.

Comentário do Examinador: A solução identifica corretamente que o SCEP pode emitir certificados de máquina para hardware partilhado. Também reconhece a limitação prática de que muitos dispositivos IoT carecem de suplicantes 802.1X, recomendando apropriadamente iPSK e uma segmentação estrita de VLAN como controlo compensatório.

Perguntas de Prática

Q1. A sua universidade está a implementar o SCEP através do Microsoft NDES e Intune. Durante os testes, os computadores portáteis Windows registam-se com sucesso, mas os dispositivos iOS não conseguem receber um certificado. Os registos do servidor NDES não mostram pedidos recebidos dos dispositivos Apple. Qual é o problema de arquitetura mais provável?

Dica: Considere a localização na rede dos dispositivos durante a fase inicial de registo.

Ver resposta modelo

O servidor NDES (gateway SCEP) provavelmente não está publicado externamente. Os dispositivos Windows podem estar a registar-se enquanto estão na rede interna ou VPN, enquanto os dispositivos iOS estão a tentar registar-se através de dados móveis ou de uma rede externa. O gateway SCEP deve ser publicado de forma segura na internet (por exemplo, através do Azure AD Application Proxy) para permitir o registo fora do campus.

Q2. Um estudante relata que não se consegue ligar ao WiFi do campus. O seu dispositivo possui um certificado emitido via SCEP há dois anos. A CA está a funcionar e o servidor RADIUS está online. Que boa prática de configuração foi provavelmente esquecida?

Dica: Os certificados digitais têm um tempo de vida definido.

Ver resposta modelo

A renovação automatizada de certificados provavelmente não foi configurada ou falhou. O certificado do estudante expirou. As boas práticas ditam a configuração do perfil de MDM ou SCEP para solicitar automaticamente uma renovação quando o certificado atingir 80% do seu período de validade.

Q3. Está a conceber a segmentação de rede para um novo edifício do campus. Implementou EAP-TLS para funcionários e estudantes. A equipa de instalações necessita de ligar 50 novos sensores de AVAC sem fios que não suportam 802.1X ou certificados. Como protege estes dispositivos?

Dica: Estes dispositivos não podem utilizar SCEP. Considere métodos de autenticação alternativos e isolamento de rede.

Ver resposta modelo

Implemente Identity PSK (iPSK) ou MAC Authentication Bypass (MAB) para os sensores de AVAC. Fundamentalmente, segmente estes dispositivos numa VLAN de IoT dedicada. Configure regras de firewall para bloquear o acesso desta VLAN à internet ou às sub-redes académicas/de funcionários, restringindo o tráfego apenas ao servidor de gestão de AVAC interno específico.

Continue a ler esta série

Server RADIUS: um guia abrangente para empresas

Este guia fornece aos gestores de TI, arquitetos de rede e CTOs uma referência técnica definitiva sobre a autenticação de server RADIUS para WiFi empresarial. Abrange a estrutura AAA, a arquitetura 802.1X, a seleção do método EAP, as vantagens e desvantagens da implementação na cloud versus local, e a atribuição dinâmica de VLAN. Os operadores de espaços nos setores da hotelaria, retalho, eventos e setor público encontrarão orientações de implementação práticas, estudos de caso do mundo real e as estruturas de decisão necessárias para migrar de chaves pré-partilhadas inseguras para uma arquitetura de controlo de acesso à rede segura e orientada pela identidade.

Ler o guia →

Aruba ClearPass vs. Purple WiFi: Comparando Funcionalidades e Co-implementação

Um guia técnico abrangente que detalha a arquitetura de co-implementação do Aruba ClearPass e do Purple WiFi. Abrange a configuração de proxy RADIUS, atribuição dinâmica de VLAN e as melhores práticas para fornecer redes de convidados seguras e orientadas por análise de dados, em conjunto com o NAC empresarial.

Ler o guia →

Cisco ISE vs. Purple WiFi: Como se Comparam e Trabalham em Conjunto

Este guia explica como o Cisco ISE e o Purple WiFi desempenham funções distintas mas complementares em redes empresariais. Detalha como utilizar o Cisco ISE para acesso corporativo seguro 802.1X enquanto aproveita o Purple para WiFi de convidados em conformidade com o GDPR, análises de marketing e integração com CRM.

Ler o guia →