Saltar para o conteúdo principal
Português

Compreender o Cisco SUDI: Identidade de Dispositivo Baseada em Hardware no Controlo de Acesso à Rede

Este guia detalha a arquitetura técnica do Cisco SUDI, explicando como a identidade ancorada em hardware protege o controlo de acesso à rede. Fornece passos de implementação práticos para líderes de TI implementarem a autenticação 802.1X EAP-TLS e automatizarem o Zero Touch Provisioning em espaços empresariais.

📖 6 min de leitura📝 1,346 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Compreender o Cisco SUDI: Identidade de Dispositivo Baseada em Hardware no Controlo de Acesso à Rede Uma Sessão Técnica da Purple - Transcrição Completa do Podcast (aprox. 10 minutos) --- SEGMENTO 1: INTRODUÇÃO E CONTEXTO (aprox. 1 minuto) Olá e bem-vindo a uma sessão técnica da Purple. Vou passar os próximos dez minutos a explicar-lhe o Cisco SUDI - Secure Unique Device Identifier - o que é na realidade, como se enquadra na sua arquitetura de controlo de acesso à rede e o que precisa de fazer em relação a isso se estiver a gerir infraestrutura Cisco em grande escala. Isto destina-se a arquitetos de rede, gestores de TI e CTOs em espaços físicos - hotéis, superfícies comerciais, estádios, centros de conferências - qualquer local onde tenha WiFi empresarial e precise de ter a certeza de que o hardware na sua rede é exatamente o que afirma ser. Comecemos pelo problema que o SUDI resolve. Em qualquer rede de um grande espaço, existem dezenas ou centenas de pontos de acesso, switches e controladores. A questão da qual depende a sua postura de segurança é: como sabe que cada um desses dispositivos é um produto Cisco genuíno e não modificado - e não uma falsificação, uma unidade comprometida ou um dispositivo que foi adulterado em trânsito? É essa a lacuna que o SUDI preenche. --- SEGMENTO 2: ANÁLISE TÉCNICA DETALHADA (aprox. 5 minutos) SUDI significa Secure Unique Device Identifier. É um certificado X.509 versão 3 - o mesmo formato de certificado utilizado em HTTPS e TLS - mas, em vez de ser emitido para uma pessoa ou um servidor, é emitido para uma peça de hardware específica durante o fabrico. Contém o identificador de produto e o número de série do dispositivo, e está enraizado na própria infraestrutura de chaves públicas da Cisco. Eis o que torna o SUDI diferente de um certificado de software que instalaria por si próprio. O certificado SUDI, juntamente com o seu par de chaves associado, reside dentro de um chip inviolável chamado módulo Trust Anchor, ou TAm. A chave privada é gerada dentro desse chip e nunca sai dele. Não é possível exportá-la. Não é possível cloná-la. Se alguém adulterar fisicamente o chip, a chave é destruída. Essa é a raiz de confiança baseada em hardware. O SUDI é a implementação da Cisco do padrão IEEE 802.1AR - o padrão da indústria para Identificadores de Dispositivos Seguros, ou DevIDs. Ao abrigo do 802.1AR, a credencial instalada pelo fabricante é designada por Initial Device Identifier, ou IDevID. O SUDI da Cisco é exatamente isso - um IDevID que a Cisco instala na fábrica. Pode complementá-lo com um Locally Significant Device Identifier, ou LDevID, que a sua própria PKI emite para políticas de autorização locais. Agora, como é que isto se liga ao controlo de acessos à rede? O ponto de integração mais comum é o IEEE 802.1X - o padrão de controlo de acessos à rede baseado em portas. Quando um ponto de acesso ou switch Cisco fica online, pode apresentar o seu certificado SUDI a um servidor RADIUS - normalmente o Cisco ISE, Identity Services Engine - utilizando EAP-TLS, que é o Extensible Authentication Protocol com Transport Layer Security. O servidor RADIUS valida o certificado face à autoridade de certificação pública da Cisco, confirma que o dispositivo é genuíno e, em seguida, aplica a política de rede adequada. Isto é significativamente mais forte do que o bypass de endereço MAC, que é a alternativa que a maioria das redes utiliza para dispositivos de infraestrutura. Os endereços MAC podem ser falsificados em menos de um minuto. Um certificado associado ao hardware num chip resistente a adulterações não pode ser falsificado sem destruir fisicamente o dispositivo. No contexto de um espaço físico, isto é importante por três razões. Primeiro, elimina o risco de pontos de acesso não autorizados se juntarem à sua rede. Um dispositivo falsificado ou não autorizado simplesmente não consegue apresentar um SUDI válido. Segundo, permite o aprovisionamento automatizado e Zero Touch - um novo dispositivo é enviado para o seu espaço, liga-se, apresenta o seu SUDI e o seu sistema de gestão verifica-o face ao seu inventário antes de enviar a configuração. Sem intervenção manual. Terceiro, fornece-lhe um registo de auditoria criptograficamente verificável. Cada dispositivo que se autenticou na sua rede fê-lo com um certificado que prova que se trata de um produto Cisco específico e identificado. Deixe-me falar sobre o módulo Trust Anchor com um pouco mais de detalhe, porque é a base sobre a qual tudo o resto assenta. O TAm é um chip proprietário da Cisco que fornece três coisas: armazenamento seguro não volátil para o SUDI e chaves, serviços criptográficos incluindo a geração de números aleatórios, e recolha de impressões digitais de hardware. Vale a pena notar este último ponto - a Cisco recolhe as impressões digitais dos componentes de hardware críticos de um dispositivo no momento do fabrico e armazena essa impressão digital no TAm. Quando o dispositivo arranca, verifica a impressão digital de hardware observada face à armazenada. Se não coincidirem, o dispositivo não arranca. Isto deteta a adulteração de hardware em trânsito - uma preocupação real para implementações em grandes espaços onde o hardware pode passar por várias mãos antes da instalação. Uma questão operacional de que deve estar ciente: os certificados SUDI emitidos antes de maio de 2019 expiram dez anos após a data de fabrico ou a 14 de maio de 2029, o que ocorrer primeiro. A Cisco resolveu este problema com uma nova geração de certificados chamada SUDI-2099, válida até dezembro de 2099. Se estiver a executar hardware da série Catalyst 9000 fabricado antes de 2019, precisa de verificar as suas datas de expiração do SUDI agora. O comando é show crypto pki certificate no IOS-XE. Procure o trustpoint CISCO_IDEVID_SUDI e verifique a data de fim. Se estiver no Catalyst 9200, atualize para o IOS-XE 17.12.2 ou posterior para garantir que está a utilizar o certificado 2099 correto. --- SEGMENTO 3: RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ARMADILHAS (aprox. 2 minutos) Deixe-me dar-lhe uma perspetiva prática de implementação. Se está a implementar a autenticação baseada em SUDI num ambiente de recinto, eis a sequência que funciona. Comece com a sua infraestrutura RADIUS. O Cisco ISE é a escolha natural se já estiver no ecossistema Cisco, mas qualquer servidor RADIUS que suporte EAP-TLS e que possa validar contra uma CA externa funcionará. Precisa de importar a CA raiz da Cisco e os certificados ACT2 SUDI CA para o seu repositório de confiança RADIUS. Estes estão publicamente disponíveis no portal PKI da Cisco. Em seguida, configure a sua política 802.1X para exigir autenticação baseada em certificado para dispositivos de infraestrutura. Separe isto da sua política de autenticação de utilizador final - os fluxos de autenticação de funcionários e convidados são diferentes e devem estar em conjuntos de políticas diferentes no ISE. Para novas implementações, ative o Zero Touch Provisioning. O seu sistema de gestão de rede - Cisco DNA Centre ou Catalyst Centre - pode utilizar o SUDI para verificar a identidade do dispositivo antes de enviar a configuração. Isto elimina o processo de preparação manual e reduz o tempo de aprovisionamento de horas para minutos por dispositivo. Agora, as armadilhas. A mais comum que vejo é misturar a autenticação SUDI com o bypass de endereço MAC na mesma porta. Se recorrer ao MAB quando o SUDI falha, comprometeu o modelo de segurança. Defina uma política clara: os dispositivos compatíveis com SUDI devem autenticar-se via SUDI, ponto final. Os dispositivos não-SUDI vão para uma VLAN de quarentena a aguardar revisão manual. A segunda armadilha é a expiração do certificado. Configure a monitorização para as datas de expiração do SUDI em todo o seu parque informático agora. Não espere por uma interrupção de serviço para descobrir que os seus pontos de acesso já não se conseguem autenticar. A plataforma da Purple integra-se com a Cisco Meraki e outros fornecedores de hardware para apresentar sinais de integridade dos dispositivos - incluindo o estado de autenticação - num único painel, o que torna este tipo de monitorização proativa prático à escala. A terceira armadilha é o desvio de âmbito. O SUDI autentica o dispositivo de hardware. Não autentica o utilizador que se liga através desse dispositivo. Continua a precisar de uma camada de identidade separada para convidados, funcionários e residentes. É aí que se posiciona uma plataforma como a Purple - nós tratamos da camada de identidade humana, da recolha de consentimento, da atribuição de VLAN para tráfego de convidados e da análise de dados, enquanto o SUDI trata da camada de infraestrutura subjacente. --- SEGMENTO 4: PERGUNTAS E RESPOSTAS RÁPIDAS (aprox. 1 minuto) Deixe-me responder rapidamente a três perguntas que me fazem regularmente. O SUDI substitui a minha PKI existente? Não. O SUDI é um IDevID instalado pelo fabricante. Prova que o dispositivo é hardware genuíno da Cisco. A sua PKI empresarial emite LDevIDs e certificados de utilizador para tudo o resto. Funcionam em paralelo. Posso utilizar o SUDI em hardware que não seja da Cisco? Não. O SUDI é específico da Cisco. A HPE Aruba tem um equivalente chamado certificados de aprovisionamento IAP. A Ruckus e a Juniper Mist têm os seus próprios mecanismos de identidade de dispositivos. O padrão subjacente - IEEE 802.1AR - é neutro em termos de fornecedor, mas cada fabricante implementa-o de forma diferente. O que acontece quando um certificado SUDI expira? Os serviços que dependem do SUDI para autenticação - HTTPS, SSH com autenticação por certificado, Zero Touch Provisioning - irão falhar. O dispositivo em si continua a funcionar, mas já não consegue provar a sua identidade de forma criptográfica. É por isso que a migração para o SUDI-2099 é importante. --- SEGMENTO 5: RESUMO E PRÓXIMOS PASSOS (aprox. 1 minuto) Para concluir: o Cisco SUDI oferece-lhe uma identidade de dispositivo enraizada no hardware que não pode ser falsificada, clonada ou exportada. É a base de uma camada de infraestrutura fiável. Combinado com o IEEE 802.1X e uma política RADIUS bem configurada, elimina o risco de dispositivos não autorizados e permite o aprovisionamento automatizado à escala. As suas três ações imediatas: primeiro, audite o seu parque de equipamentos Cisco para verificar as datas de expiração do SUDI utilizando o comando "show crypto pki certificate". Segundo, importe a CA raiz da Cisco para o seu repositório de fidedignidade RADIUS e configure políticas EAP-TLS para dispositivos de infraestrutura. Terceiro, separe a sua política de autenticação de infraestrutura da sua política de autenticação de utilizadores finais - estas servem propósitos diferentes e devem ser geridas de forma independente. Se quiser aprofundar a forma como a Purple se integra com a Cisco Meraki e outros fornecedores de hardware para disponibilizar segmentação de rede baseada em identidade para convidados, funcionários e residentes, visite purple.ai ou leia os guias relacionados com hiperligação abaixo deste episódio. Obrigado por ouvir. Vemo-nos no próximo briefing. --- FIM DO SCRIPT

header_image.png

Resumo Executivo

A autenticação de hardware protege a fundação física das redes empresariais. O Cisco Secure Unique Device Identifier (SUDI) fornece uma identidade imutável e criptograficamente verificável para dispositivos de infraestrutura, incorporada diretamente num chip inviolável durante o fabrico. Para os líderes de TI que gerem implementações em grande escala nos setores da hotelaria, retalho e setor público, o SUDI elimina o risco de hardware não autorizado e permite o Zero Touch Provisioning automatizado.

Este guia detalha a arquitetura técnica do Cisco SUDI, a sua integração com o Network Access Control (NAC) IEEE 802.1X e os passos operacionais necessários para implementar e manter a identidade baseada em hardware à escala. Irá aprender a transitar de um bypass de endereço MAC fraco para uma autenticação EAP-TLS robusta, a gerir o ciclo de vida do certificado SUDI-2099 e a alinhar a segurança da infraestrutura com plataformas de gestão de identidade de utilizadores como a Purple.

Análise Técnica Detalhada

A Arquitetura da Identidade de Hardware

O Cisco Secure Unique Device Identifier (SUDI) é um certificado X.509v3 que fornece uma identidade permanente para dispositivos de rede. Ao contrário dos certificados de software que as equipas de TI geram e implementam, a Cisco injeta o certificado SUDI e o seu par de chaves associado no dispositivo durante o processo de fabrico.

O certificado é armazenado de forma segura no módulo Trust Anchor (TAm), um chip proprietário e inviolável. O TAm gera a chave privada internamente, garantindo que esta nunca possa ser exportada ou clonada. Esta raiz de confiança de hardware garante que, se um dispositivo se autenticar com sucesso utilizando o seu SUDI, trata-se de um produto Cisco genuíno.

O SUDI implementa a norma IEEE 802.1AR para Identificadores de Dispositivos Seguros. Ao abrigo desta norma, o certificado fornecido pelo fabricante é conhecido como Initial Device Identifier (IDevID). As organizações podem complementar o IDevID com um Locally Significant Device Identifier (LDevID) emitido pela sua própria infraestrutura de chaves públicas (PKI) empresarial.

sudi_architecture_overview.png

Integração com o Network Access Control

Num ambiente empresarial, o SUDI integra-se com sistemas de Network Access Control (NAC) principalmente através de autenticação baseada em porta IEEE 802.1X. Quando um ponto de acesso ou switch Cisco se liga à rede, atua como um suplicante e apresenta o seu certificado SUDI a um servidor RADIUS, como o Cisco Identity Services Engine (ISE).

O processo de autenticação utiliza o Extensible Authentication Protocol com Transport Layer Security (EAP-TLS). O servidor RADIUS valida o certificado SUDI contra a Cisco Public Key Infrastructure. Uma vez validado, o servidor RADIUS autoriza o dispositivo e atribui-o à VLAN correta com base na política de acesso à rede.

Esta abordagem substitui o MAC Address Bypass (MAB), um método legado que depende de endereços MAC facilmente falsificáveis. O MAB oferece zero garantia criptográfica da identidade do dispositivo, deixando as redes vulneráveis a pontos de acesso não autorizados.

Impressão Digital de Hardware e Deteção de Violação

O módulo Trust Anchor oferece mais do que armazenamento seguro. Protege ativamente o dispositivo contra violações físicas durante o transporte ou a implementação.

Durante o fabrico, a Cisco regista uma impressão digital criptográfica dos componentes de hardware críticos, tais como CPUs e ASICs. Esta impressão digital é armazenada permanentemente no TAm. Quando o dispositivo arranca, o firmware UEFI calcula uma nova impressão digital do hardware observado e compara-a com a impressão digital mestre no TAm. Se as impressões digitais não coincidirem, o dispositivo interrompe o processo de arranque. Este mecanismo garante que o hardware implementado num hotel ou loja de retalho não foi comprometido entre a fábrica e o local de instalação.

Guia de Implementação

A implementação da autenticação baseada em SUDI requer coordenação entre a sua infraestrutura de switching, o seu servidor RADIUS e a sua plataforma de gestão de rede. Siga estes passos para implementar a identidade de hardware.

Passo 1: Configurar a Confiança do RADIUS

O seu servidor RADIUS deve confiar na Cisco Certificate Authority que emitiu o SUDI.

  1. Transfira os certificados Cisco Root CA e ACT2 SUDI CA a partir do portal Cisco PKI.
  2. Importe estes certificados para o repositório de certificados fidedignos do seu servidor RADIUS (por exemplo, Cisco ISE).
  3. Configure o servidor RADIUS para utilizar estes certificados para autenticação EAP-TLS.

Passo 2: Definir Políticas 802.1X

Crie políticas de autenticação específicas para dispositivos de infraestrutura, separadas das políticas de autenticação de utilizadores.

  1. Crie um conjunto de políticas no Cisco ISE que corresponda aos atributos do certificado SUDI (por exemplo, fazendo corresponder o Subject Alternative Name com os PIDs de dispositivo esperados).
  2. Atribua as autenticações bem-sucedidas à VLAN de gestão de infraestrutura.
  3. Configure uma VLAN de quarentena para dispositivos que falhem a autenticação SUDI. Não configure uma alternativa (fallback) para MAB em portas de infraestrutura.

Passo 3: Ativar o Zero Touch Provisioning

Utilize o SUDI para automatizar a integração de dispositivos.

  1. Configure o seu sistema de gestão de rede (como o Cisco Catalyst Center) para funcionar como o servidor ZTP.
  2. Quando um novo dispositivo se liga, apresenta o seu certificado SUDI.
  3. O sistema de gestão verifica o certificado, confirma o número de série do dispositivo com a base de dados de inventário e envia a configuração inicial. sudi_lifecycle_diagram.png

Passo 4: Gerir a Migração do SUDI-2099

Os certificados SUDI emitidos antes de maio de 2019 expiram 10 anos após a data de fabrico ou a 14 de maio de 2029, consoante o que ocorrer primeiro. Quando um SUDI expira, as funcionalidades que dependem dele, incluindo HTTPS, SSH e Zero Touch Provisioning, irão falhar.

A Cisco introduziu os certificados SUDI-2099, que permanecem válidos até dezembro de 2099. Para garantir a continuidade:

  1. Audite o seu inventário utilizando o comando show crypto pki certificate em dispositivos IOS-XE. Verifique a end date do trustpoint CISCO_IDEVID_SUDI.
  2. Atualize o hardware afetado para as versões de software recomendadas. Por exemplo, os switches Catalyst 9200 requerem o IOS-XE 17.12.2 ou posterior para processar corretamente a data de expiração de 2099.

Melhores Práticas

Para maximizar os benefícios de segurança da identidade de hardware, adira a estes princípios neutros de fornecedor.

  1. Impor EAP-TLS Estrito: Exija EAP-TLS para todos os dispositivos de infraestrutura. Não permita métodos EAP mais fracos, como PEAP, para autenticação de dispositivos.
  2. Isolar a Identidade da Infraestrutura da Identidade do Utilizador: O SUDI autentica o hardware, não o utilizador. Utilize uma plataforma dedicada para gerir a identidade humana. Por exemplo, utilize a Purple para gerir a autenticação de convidados, a recolha de consentimento e a recolha de dados primários, enquanto confia no SUDI para proteger o hardware Cisco Meraki ou HPE Aruba subjacente.
  3. Automatizar a Monitorização de Certificados: Implemente ferramentas de monitorização para acompanhar as datas de expiração dos certificados em todo o seu parque de dispositivos. A monitorização proativa evita falhas de autenticação repentinas.
  4. Implementar Micro-segmentação: Utilize a identidade verificada pelo SUDI para atribuir dispositivos a VLANs estritamente controladas. Um ponto de acesso deve apenas ter alcançabilidade de rede para o seu controlador e sistemas de gestão, e nada mais.

Resolução de Problemas e Mitigação de Riscos

Ao implementar a autenticação baseada em SUDI, prepare-se para estes modos de falha comuns.

Modo de Falha Causa Raiz Estratégia de Mitigação
Falha na Autenticação EAP-TLS O servidor RADIUS não possui os certificados Cisco Root ou Intermediate CA corretos. Verifique se a cadeia de confiança completa da Cisco está instalada no repositório fidedigno do servidor RADIUS.
O Dispositivo Recusa-se a Inicializar A assinatura digital do hardware calculada na inicialização não corresponde à assinatura mestre no TAm. Trate o dispositivo como comprometido. Devolva o hardware ao fornecedor através do processo de RMA.
Falha no Acesso de Gestão O certificado SUDI expirou, quebrando a autenticação de certificados HTTPS e SSH. Atualize o firmware do dispositivo para uma versão que suporte SUDI-2099, ou implemente um LDevID utilizando a PKI da sua empresa.
Rogue Device Gains Access The switch port is configured to fall back to MAC Address Bypass (MAB) if 802.1X fails. Remove MAB fallback configurations from infrastructure ports. Enforce strict 802.1X policy.

ROI & Impacto de Negócio

A implementação da identidade de dispositivos baseada em hardware proporciona um valor de negócio mensurável em três áreas.

1. Redução de Custos de Provisionamento O Zero Touch Provisioning protegido por SUDI elimina a preparação manual. Em vez de um engenheiro passar 45 minutos a pré-configurar um ponto de acesso antes de o enviar para uma loja de retalho, o dispositivo é enviado diretamente do distribuidor. Este autentica-se de forma segura ao ligar-se e descarrega a sua configuração automaticamente. Para uma implementação de retalho em 500 locais, isto poupa aproximadamente 375 horas de engenharia.

2. Eliminação do Risco de Dispositivos Não Autorizados Ao descontinuar o MAC Address Bypass em favor da identidade criptográfica de hardware, elimina o risco de um atacante ligar um dispositivo não autorizado a uma porta de infraestrutura. Isto apoia diretamente a conformidade com os requisitos do PCI DSS e ISO 27001 para controlo de acessos à rede.

3. Fronteiras de Identidade Claras A implementação do SUDI estabelece uma fronteira arquitetural limpa. A camada de hardware autentica-se criptograficamente, permitindo-lhe focar os seus recursos na camada de identidade do utilizador. Ao integrar uma plataforma como a Purple para gerir o Guest WiFi e o WiFi Analytics , fá-lo sobre uma base de infraestrutura verificável e segura.

Definições Principais

SUDI (Secure Unique Device Identifier)

Um certificado X.509v3 e a respetiva chave privada associada, incorporados num dispositivo Cisco durante o fabrico para fornecer uma identidade de hardware imutável.

Utilizado pelas equipas de TI para verificar criptograficamente que um dispositivo que se liga à rede é um produto Cisco genuíno.

TAm (Trust Anchor module)

Um chip de hardware proprietário e resistente a adulterações que armazena de forma segura o certificado SUDI, gera chaves criptográficas e gere a impressão digital do hardware.

Fornece a raiz de confiança do hardware. Se o TAm for comprometido, o dispositivo não conseguirá arrancar ou autenticar-se.

IDevID (Initial Device Identifier)

O identificador de dispositivo seguro instalado pelo fabricante, definido pela norma IEEE 802.1AR. O Cisco SUDI é uma implementação de um IDevID.

Fornece a identidade fundamental para um dispositivo antes de este ser integrado no ambiente PKI próprio de uma organização.

LDevID (Locally Significant Device Identifier)

Um certificado de dispositivo emitido pela infraestrutura de chaves públicas (PKI) empresarial de uma organização, complementando o IDevID do fabricante.

Utilizado quando as equipas de TI exigem que os dispositivos se autentiquem utilizando certificados emitidos pela sua CA corporativa interna, em vez da CA do fornecedor.

IEEE 802.1X

A norma IEEE para controlo de acesso à rede baseado em portas, fornecendo um mecanismo de autenticação para dispositivos que pretendem ligar-se a uma LAN ou WLAN.

O protocolo principal utilizado para aplicar a segurança de rede, garantindo que apenas dispositivos e utilizadores autorizados podem enviar tráfego através de uma porta de switch.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Um protocolo de autenticação altamente seguro que exige que tanto o cliente como o servidor de autenticação provem as suas identidades utilizando certificados digitais.

O método específico utilizado no âmbito do 802.1X para validar o certificado SUDI entre o dispositivo de rede e o servidor RADIUS.

Zero Touch Provisioning (ZTP)

Um processo automatizado que permite que os dispositivos de rede sejam provisionados e configurados automaticamente sem intervenção manual.

O SUDI protege o ZTP garantindo que o sistema de gestão apenas envia configurações para hardware verificado e genuíno.

MAC Address Bypass (MAB)

Um método de autenticação legado no qual um switch utiliza o endereço MAC do dispositivo de ligação como a sua credencial de identidade.

Um método de contingência inseguro que deve ser eliminado e substituído pela autenticação 802.1X baseada em SUDI.

Exemplos Práticos

Um hotel de 400 quartos está a atualizar a sua infraestrutura de rede e precisa de implementar 250 novos pontos de acesso Cisco Catalyst. A equipa de TI quer evitar a configuração manual de cada dispositivo antes da instalação, garantindo ao mesmo tempo que nenhum dispositivo não autorizado se possa juntar à VLAN de gestão.

  1. A equipa de TI configura o Cisco ISE com a Cisco Root CA para confiar nos certificados SUDI.
  2. Cria uma política 802.1X no ISE que atribui os dispositivos que apresentem um SUDI válido a uma VLAN de aprovisionamento restrita.
  3. Os pontos de acesso são enviados diretamente para o hotel e ligados aos switches PoE.
  4. Cada AP arranca, apresenta o seu SUDI via EAP-TLS e é autenticado pelo ISE.
  5. O sistema de gestão (Catalyst Center) verifica o número de série, aprovisiona o AP e o ISE altera a porta para a VLAN de gestão de produção.
Comentário do Examinador: Esta abordagem utiliza o Zero Touch Provisioning protegido por identidade de hardware. Elimina os custos de preparação manual e impede que dispositivos não autorizados explorem portas de aprovisionamento abertas. A utilização de Change of Authorization (CoA) para mover o dispositivo de uma VLAN de aprovisionamento para uma VLAN de produção demonstra uma forte segmentação de rede.

Uma cadeia de retalho nacional com 1.200 lojas descobre que os seus switches antigos utilizam MAC Address Bypass (MAB) para autenticar pontos de acesso. Precisam de migrar para um padrão seguro sem causar interrupções nas lojas.

  1. A equipa de rede audita o inventário de switches para confirmar que todos os dispositivos suportam 802.1X e SUDI.
  2. Implementa os certificados Cisco CA na sua infraestrutura RADIUS.
  3. Configura as portas dos switches em 'modo de monitorização' (autenticação aberta), permitindo que os dispositivos tentem o 802.1X EAP-TLS utilizando o SUDI, recorrendo ao MAB em caso de falha, mas registando os resultados.
  4. Após verificar nos registos do RADIUS que todos os APs legítimos se estão a autenticar com sucesso via SUDI, altera as portas para 'modo fechado', impondo o 802.1X estrito e desativando o MAB.
Comentário do Examinador: A migração faseada utilizando o modo de monitorização é a abordagem operacional correta para uma grande rede de retalho. Permite à equipa validar a cadeia de confiança PKI e a validade dos certificados sem correr o risco de isolamento de rede para os pontos de acesso. A remoção total do MAB é o passo final necessário para proteger o ambiente.

Perguntas de Prática

Q1. Está a implementar 50 novos switches Cisco Catalyst num ambiente de estádio. A política de segurança exige uma autenticação 802.1X rigorosa para todos os dispositivos de infraestrutura. Durante os testes, os switches não conseguem autenticar-se no seu servidor Cisco ISE. Qual é a causa mais provável?

Dica: Considere a cadeia de confiança necessária para a autenticação EAP-TLS.

Ver resposta modelo

O servidor Cisco ISE não tem os certificados Cisco Root CA ou ACT2 SUDI CA no seu repositório de certificados fidedignos. Sem estes, o ISE não consegue validar o certificado SUDI apresentado pelos switches. Deve descarregar os certificados do portal Cisco PKI e importá-los para o ISE.

Q2. Um engenheiro de rede propõe configurar as portas do switch para tentar primeiro a autenticação 802.1X, mas reverter para MAC Address Bypass (MAB) se o dispositivo não tiver um certificado válido. Por que razão deve rejeitar esta proposta para portas de infraestrutura?

Dica: Avalie a robustez de segurança do mecanismo de fallback.

Ver resposta modelo

A reversão para MAB compromete todo o modelo de segurança. Um atacante pode simplesmente ligar um dispositivo não autorizado, aguardar pelo timeout do 802.1X e falsificar o endereço MAC de um access point legítimo para obter acesso à VLAN de infraestrutura. As portas de infraestrutura devem impor 802.1X rigoroso com SUDI, e os dispositivos não conformes devem ser colocados numa VLAN de quarentena restrita.

Q3. Está a auditar uma rede de switches Catalyst 9200 implementados em 2018. Executa o comando 'show crypto pki certificate' e nota que o trustpoint CISCO_IDEVID_SUDI expira em maio de 2029. Que ação deve tomar para evitar futuras interrupções de serviço?

Dica: Reveja os requisitos de migração do SUDI-2099 para hardware legado.

Ver resposta modelo

Deve atualizar o software IOS-XE nos switches Catalyst 9200 para a versão 17.12.2 ou posterior. Esta atualização garante que o hardware suporta corretamente a extensão de certificado SUDI-2099, prolongando a identidade válida do dispositivo até dezembro de 2099 e evitando falhas de autenticação em serviços como HTTPS e ZTP.

Continue a ler esta série

How to Configure SCEP for Automated Enterprise WiFi Certificate Enrollment

Este guia explica como configurar o SCEP (Simple Certificate Enrollment Protocol) para a atribuição automatizada de certificados WiFi empresariais, cobrindo toda a arquitetura desde PKI e NDES até à implementação de perfis MDM e validação RADIUS. Destina-se a gestores de TI, arquitetos de rede e CTOs em hotéis, cadeias de retalho, estádios, centros de conferências e organizações do setor público que necessitam de ir além das chaves pré-partilhadas e implementar uma autenticação 802.1X EAP-TLS escalável e baseada em identidade. A plataforma de sobreposição na nuvem da Purple, independente de hardware, integra-se diretamente com esta arquitetura, fornecendo a camada de WiFi para convidados e BYOD que coexiste com a sua rede de colaboradores autenticada por certificado.

Ler o guia →

O Guia Empresarial do SCEP: Implementar o Simple Certificate Enrollment Protocol para Segurança Automatizada de WiFi em Campus

Este guia de referência técnica fornece um modelo arquitetónico definitivo e uma estratégia de implementação passo a passo para a implementação de certificados de WiFi empresariais utilizando SCEP. Abrange as diferenças críticas entre SCEP e PKCS, a sequência exata de implementação necessária para o sucesso e estratégias reais de mitigação de riscos para líderes de TI.

Ler o guia →

Como Implementar SCEP para a Inscrição Automatizada de Certificados WiFi

Este guia explica como implementar o SCEP (Simple Certificate Enrollment Protocol) para a inscrição automatizada de certificados WiFi em espaços empresariais. Abrange todo o plano de arquitetura - desde o design de PKI e integração de MDM até à sequência de implementação obrigatória de três passos - e mostra aos gestores de TI e arquitetos de rede como eliminar credenciais partilhadas, automatizar a gestão do ciclo de vida dos certificados e cumprir os requisitos de PCI DSS e GDPR à escala.

Ler o guia →