Saltar para o conteúdo principal
Português

Regras de Firewall para Redes WiFi de Convidados

Este guia fornece aos gestores de TI e arquitetos de rede uma referência autoritária para a configuração de regras de firewall para redes WiFi de convidados, especificamente em suporte a uma implementação Purple. Oferece orientação prática e neutra em termos de fornecedor sobre segmentação de rede, configuração de portas e melhores práticas de segurança para garantir um acesso de convidados simples e uma proteção robusta dos ativos corporativos.

📖 5 min de leitura📝 1,098 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
# Guião de Podcast: Dominar as Regras de Firewall para WiFi de Convidados **Apresentador:** Um arquiteto de soluções sénior da Purple. **(Música de introdução - Brilhante, profissional, diminui gradualmente após 5 segundos)** **Apresentador:** Olá e bem-vindo ao Purple Technical Briefing. Sou arquiteto de soluções sénior aqui na Purple e hoje vamos abordar um tema que é absolutamente fundamental para implementar um WiFi de convidados seguro e de alto desempenho: as regras de firewall. Isto é para os gestores de TI, os arquitetos de rede e os diretores de operações que precisam de equilibrar um acesso sem falhas para convidados com uma segurança de rede corporativa de ferro. Errar nisto é um dos maiores riscos em qualquer espaço, levando a falhas de segurança e estrangulamentos de desempenho. Neste briefing, forneceremos orientações diretas e práticas para o ajudar a configurar as suas firewalls corretamente, especificamente para uma implementação da Purple. **(Música de transição - curta, subtil)** **Apresentador:** Vamos entrar diretamente nos detalhes técnicos. O princípio mais importante a que deve aderir é o **isolamento**. A sua rede de convidados deve ser tratada como um ambiente totalmente não confiável. Isto significa criar uma LAN Virtual dedicada, ou VLAN, para o tráfego de convidados, totalmente segmentada da sua LAN corporativa, onde residem os seus sistemas de negócio críticos. Não deve haver absolutamente nenhum movimento lateral possível da VLAN de convidados para a VLAN corporativa. A sua firewall é o guardião que impõe esta separação. Então, que tráfego deve permitir explicitamente sair desta rede de convidados isolada? Operamos segundo um princípio de "bloqueio por omissão" (default deny). Nada passa a menos que crie uma regra de "permissão" específica para isso. Aqui estão os aspetos essenciais. Primeiro, a **Porta 53 para DNS**. Os seus convidados precisam de conseguir traduzir nomes de domínio como "purple.ai" em endereços IP. Deve configurar a sua rede de convidados para utilizar resolvedores de DNS públicos e confiáveis — como o 8.8.8.8 da Google ou o 1.1.1.1 da Cloudflare. Isto impede que os utilizadores possam usar servidores DNS personalizados para contornar as suas políticas ou realizar "DNS tunnelling". A seguir, e de forma mais óbvia, as **Portas 80 e 443, para HTTP e HTTPS**. Esta é a espinha dorsal de toda a navegação na web. Quando um convidado se liga pela primeira vez, o seu pedido web inicial é o que é intercetado pelo controlador de rede e redirecionado para o seu Captive Portal da Purple. Sem acesso a estas portas, todo o percurso do convidado falha antes mesmo de começar. Para uma implementação da Purple bem-sucedida, também precisa de garantir que a rede de convidados consegue comunicar com os serviços na nuvem da Purple e, potencialmente, com o seu controlador WiFi local. Isto envolve normalmente permitir o tráfego de saída nas **Portas 8080 e 8443** para gestão e estatísticas do controlador. Finalmente, existem alguns serviços de rede fundamentais. **Portas 67 e 68 para DHCP**, que é a forma como é atribuído automaticamente um endereço IP aos dispositivos dos convidados. E a **Porta 123 para NTP**, ou Network Time Protocol, que é crucial para manter a precisão dos carimbos de data/hora dos dispositivos e dos registos de log — algo que é inestimável durante qualquer investigação de segurança. E quanto às regras de entrada? Para a rede de convidados, isto é simples: não permite nenhuma. Não existe nenhuma razão legítima para que um dispositivo na internet pública inicie uma ligação *para dentro* da sua rede de convidados. A única exceção é se estiver a alojar o seu controlador WiFi ou Captive Portal localmente (on-premise). Nesse cenário específico, criaria uma regra de Port Forwarding altamente restrita, também conhecida como regra de Destination NAT, para orientar o tráfego externo para o endereço IP interno específico do portal. Para configurações mais avançadas que utilizem autenticação de nível empresarial, também poderá necessitar de regras de entrada para **RADIUS nas portas UDP 1812 e 1813**. Lembre-se, a regra padrão na parte inferior da sua política de firewall deve ser: **Negar Tudo**. Se o tráfego não corresponder a uma destas regras específicas de 'permitir', é rejeitado. **(Música de Transição - curta, subtil)** **Apresentador:** Agora, vamos falar sobre a implementação e os erros comuns. Estas recomendações são neutras em termos de fornecedor. Primeiro, utilize sempre uma firewall stateful. Uma firewall stateful monitoriza o estado das ligações e permite automaticamente o tráfego de retorno para sessões estabelecidas, o que simplifica o seu conjunto de regras. Segundo, ative o 'Isolamento de Clientes' nos seus pontos de acesso sem fios. Esta é uma funcionalidade crítica que impede que os dispositivos na mesma rede WiFi comuniquem entre si. E terceiro, agende auditorias regulares às suas regras de firewall. Regras não utilizadas ou excessivamente permissivas são uma dívida de segurança que tem de liquidar. Vemos erros comuns a toda a hora. O pecado capital é a regra de 'permitir qualquer-para-qualquer', muitas vezes implementada temporariamente para testes e depois esquecida. É uma porta escancarada para os atacantes. Outro erro é esquecer o IPv6; certifique-se de que as suas regras de firewall se aplicam ao tráfego IPv4 e IPv6. E, finalmente, não se limite a configurar as suas regras e ir embora. Os registos da sua firewall são o seu sistema de alerta precoce. Monitorize-os para detetar padrões invulgares ou ligações recusadas repetidamente. Deixe-me dar-lhe um exemplo rápido do mundo real. Trabalhámos com uma grande cadeia hoteleira que registava queixas frequentes de hóspedes sobre WiFi lento. As suas regras de firewall eram demasiado permissivas, o que permitia que tempestades de broadcast de dispositivos de convidados mal configurados inundassem a rede. Ao implementar um isolamento rigoroso de VLAN e as regras essenciais de saída de que acabámos de falar, não só protegeram a sua rede corporativa, como também aumentaram o débito do WiFi de convidados em mais de 30% e reduziram drasticamente as chamadas de suporte relacionadas com a rede. **(Música de Transição - curta, subtil)** **Apresentador:** Vamos passar para uma sessão rápida de Perguntas e Respostas. Perguntam-me isto a toda a hora. *Primeira pergunta: Devo bloquear VPNs na rede de convidados?* Esta é uma decisão de política. Bloqueá-las dá-lhe mais visibilidade sobre o tráfego, mas pode frustrar os viajantes de negócios que necessitam de uma VPN para trabalhar. Uma abordagem equilibrada é permiti-las, mas garantir que as suas outras regras sejam rigorosas. *Segundo: E em relação aos dispositivos IoT, como smart TVs ou colunas na rede de convidados?* Trate-os como altamente não confiáveis. Idealmente, coloque-os numa terceira VLAN, ainda mais restrita, com regras de firewall que apenas permitam a comunicação com os seus servidores de gestão de cloud específicos e nada mais. *E terceiro: Como é que isto se relaciona com a conformidade com o PCI DSS para os nossos locais de retalho?* O PCI DSS exige a separação completa e verificável do ambiente de dados do titular do cartão. Uma rede de convidados devidamente configurada e isolada, protegida por firewall da VLAN que os seus terminais de pagamento utilizam, é um controlo fundamental e não negociável para a conformidade. **(Música de Transição - curta, subtil)** **Anfitrião:** Portanto, para resumir. A segurança de toda a sua rede empresarial depende de como configura o limite em torno do seu WiFi de convidados. Os princípios fundamentais são: **Isolar** o tráfego de convidados na sua própria VLAN. **Aplicar** uma política de 'rejeição por defeito', permitindo apenas as portas essenciais para navegação na web, DNS e serviços Purple. **Prevenir** todo o tráfego de entrada e movimento lateral. E, finalmente, **Auditar** as suas regras e monitorizar os seus logs continuamente. Ao seguir estas orientações, pode fornecer um serviço valioso para os seus visitantes, ao mesmo tempo que protege os seus ativos de negócio críticos, garante a conformidade e proporciona uma experiência de utilizador superior. Para obter um guia detalhado de referência de portas e diagramas de rede, visite o guia de referência técnica no nosso website que acompanha este briefing. **(Música de Encerramento - Alegre, profissional, surge gradualmente)** **Anfitrião:** Obrigado por se juntar a este Purple Technical Briefing. Vemo-nos na próxima. **(A música desaparece gradualmente)**

header_image.png

Resumo Executivo

Para a empresa moderna, disponibilizar WiFi para convidados já não é um luxo — é um serviço de missão crítica que impulsiona o engagement do cliente, fornece análises valiosas e melhora a experiência no local. No entanto, uma rede de convidados incorretamente protegida representa um dos vetores de ataque mais significativos no ambiente corporativo. Este guia de referência técnica fornece uma estrutura prática para líderes de TI e arquitetos de rede implementarem configurações de firewall robustas, seguras e de alto desempenho para redes WiFi de convidados. Foca-se nos princípios fundamentais de isolamento de rede, acesso com privilégios mínimos e monitorização proativa. Ao aderir a estas boas práticas independentes de fabricante, as organizações podem mitigar riscos de segurança, garantir a conformidade regulatória (como PCI DSS e GDPR) e maximizar o ROI da sua infraestrutura de WiFi. Este documento vai além da teoria académica para oferecer orientações pragmáticas passo a passo e exemplos do mundo real, adaptados para profissionais técnicos ocupados, responsáveis pela implementação e gestão de redes empresariais nos setores de hotelaria, retalho e grandes recintos públicos.

Detalhe Técnico Aprofundado

O princípio fundamental de uma arquitetura segura de WiFi de convidados é a segmentação de rede rigorosa. A rede de convidados deve ser tratada como um ambiente externo não confiável, logicamente separado da LAN corporativa confiável onde residem sistemas de negócio críticos, servidores e dados de colaboradores. Isto é alcançado de forma mais eficaz através de Virtual LANs (VLANs), com uma firewall a atuar como ponto de aplicação de políticas entre elas.

architecture_overview.png

O diagrama acima ilustra a arquitetura ideal. Todo o tráfego com origem na VLAN de WiFi de convidados é filtrado por firewall e inspecionado antes de poder alcançar a internet ou qualquer outro segmento de rede. Crucialmente, deve existir uma regra de firewall para explicitamente negar qualquer tráfego iniciado a partir da VLAN de Convidados para a LAN Corporativa. Isto impede que um dispositivo de convidado comprometido seja utilizado como ponto de partida para atacar recursos internos.

Operamos numa postura de segurança de 'Bloqueio por Omissão' (Default Deny). Isto significa que a firewall irá bloquear todo o tráfego, a menos que uma regra o permita explicitamente. As seguintes regras de saída (outbound) constituem a base para uma rede de convidados funcional e segura:

port_reference_table.png

Regras de Entrada (Inbound) e Encaminhamento de Portas: Para a VLAN de Convidados, a política de entrada é simples: negar todo o tráfego iniciado a partir da internet. Não existe nenhum motivo comercial válido para que uma entidade externa inicie uma ligação ao dispositivo de um convidado. A única exceção aplica-se ao hardware local. Se alojar o seu próprio controlador WiFi ou servidor de Captive Portal dentro da sua rede (em oposição à utilização de uma solução alojada na nuvem), precisará de criar uma regra específica de Port Forwarding (ou NAT de Destino). Esta regra mapeia uma porta específica no seu endereço IP público para o endereço IP interno e porta do controlador, por exemplo, encaminhando o tráfego de entrada na porta TCP 443 para 192.168.100.10:8443. Esta regra deve ser o mais restritiva possível, especificando a origem exata (se conhecida), o destino e a porta.

Guia de Implementação

  1. Criação de VLAN: Nos seus switches de rede, crie uma VLAN nova e dedicada para o tráfego de convidados (ex: VLAN 100). Atribua este ID de VLAN ao SSID que transmite a sua rede de convidados.
  2. Configuração da Interface do Firewall: Configure uma nova interface ou sub-interface no seu firewall e atribua-a à VLAN de convidados. Esta interface servirá como o gateway predefinido para todos os dispositivos de convidados.
  3. Serviço DHCP: Configure um servidor DHCP para a VLAN de convidados para atribuir automaticamente endereços IP. Certifique-se de que o âmbito do DHCP fornece apenas o endereço IP, a máscara de sub-rede e a interface de convidados do firewall como o gateway predefinido. Os servidores DNS fornecidos devem ser resolvedores públicos (ex: 1.1.1.1, 8.8.8.8).
  4. Regras de Firewall de Saída: Crie as regras de firewall de saída essenciais conforme detalhado na tabela de referência de portas. Comece com as regras mais específicas e termine com uma regra ‘Negar Tudo’ (Deny All). A ordem é crítica. O firewall avalia as regras de cima para baixo, e a primeira correspondência determina a ação.
  5. Isolamento de Clientes: Nos seus pontos de acesso sem fios, ative a funcionalidade ‘Isolamento de Clientes’ (por vezes designada ‘Isolamento de AP’ ou ‘Modo Convidado’). Este é um controlo crítico que impede que os dispositivos de convidados na mesma rede WiFi comuniquem entre si, mitigando o risco de ataques peer-to-peer.
  6. Registo e Monitorização: Ative o registo detalhado (logging) para todas as regras de firewall, especialmente para o tráfego negado. Encaminhe estes registos para um sistema central SIEM (Security Information and Event Management) para correlação e alertas sobre atividades anómalas.

Boas Práticas

  • Utilize um Firewall Stateful: Um firewall stateful monitoriza o estado das ligações ativas e permite automaticamente o tráfego de retorno para sessões estabelecidas. Isto simplifica a criação de regras, uma vez que apenas necessita de definir regras de saída para o tráfego iniciado pelos convidados.
  • Audite Regularmente: Agende revisões trimestrais do seu conjunto de regras de firewall. Remova quaisquer regras temporárias, não utilizadas ou excessivamente permissivas. A segurança é um processo, não uma configuração única.
  • Aborde o IPv6: Garanta que as suas regras de firewall se aplicam ao tráfego IPv4 e IPv6. Muitos dispositivos modernos utilizam o IPv6 por predefinição, e ignorá-lo pode deixar uma lacuna de segurança significativa.
  • Cite Industry Standards: Align your configuration with established security frameworks. For retail, PCI DSS Requirement 1.2.1 explicitly requires restricting traffic between trusted and untrusted networks. For handling personal data, the GDPR mandates ‘technical and organisational measures’ to protect data, for which network segmentation is a fundamental control.

Troubleshooting & Risk Mitigation

  • Issue: Captive Portal Not Loading: This is almost always a DNS or firewall rule issue. Ensure the guest can resolve the portal’s hostname (check Port 53) and that traffic to the portal’s IP address and port (usually 80/443) is allowed before authentication.
  • Issue: Slow Guest WiFi: Overly permissive firewall rules can allow broadcast storms or malicious traffic to consume bandwidth. Implement the principle of least privilege to restrict traffic to only what is necessary.
  • Risk: Zero-Day Worm: A guest connects with a device infected with a zero-day worm that spreads automatically. Mitigation: Client Isolation is your primary defence, as it prevents the worm from spreading to other guests on the same WiFi network. Strict egress filtering can also block the command-and-control traffic the malware needs to operate.

ROI & Business Impact

A secure and well-managed guest WiFi network is a direct contributor to business success. In retail environments, it enables access to Purple’s analytics, providing insights into footfall, dwell times, and customer behaviour that directly inform marketing and operational decisions. In hospitality, a high-performance guest network is a key driver of guest satisfaction and positive reviews. By investing in a proper firewall architecture, you are not just mitigating risk; you are ensuring the reliability and performance of a critical business intelligence and customer engagement platform. A secure deployment builds trust and protects the brand, delivering a clear return on investment by preventing costly data breaches and compliance failures.

retail_deployment_scenario.png

Podcast Briefing

For an audible summary of these key points, listen to our 10-minute technical briefing.

Definições Principais

VLAN (Virtual LAN)

Um método de criação de redes logicamente separadas na mesma infraestrutura de rede física. Os dispositivos em VLANs diferentes não se conseguem comunicar sem passar por um router ou firewall.

As equipas de TI utilizam VLANs como a principal ferramenta para impor a segmentação entre a rede de convidados e a rede corporativa, o que é um requisito fundamental para a segurança e conformidade.

Firewall Egress Filtering

A prática de filtrar o tráfego à medida que este sai de uma rede, por oposição a quando entra. Controla quais as ligações de saída que os dispositivos internos têm permissão para efetuar.

Para uma rede de convidados, a filtragem de saída (egress filtering) é crítica. Ao permitir apenas o tráfego de saída em portas específicas (como a 80 e a 443), pode bloquear malware, impedir os utilizadores de executar serviços não autorizados e reduzir a sua superfície de ataque.

Isolamento de Cliente/AP

Uma funcionalidade de segurança em pontos de acesso sem fios que impede os dispositivos ligados à mesma rede WiFi de comunicarem diretamente entre si.

Esta é uma defesa crítica contra ataques peer-to-peer na rede de convidados. Se o dispositivo de um convidado for comprometido, o Isolamento de Cliente impede que este ataque os portáteis ou telemóveis de outros convidados no mesmo espaço.

Stateful Firewall

Uma firewall que monitoriza o estado das ligações de rede (por exemplo, fluxos TCP). Permite automaticamente o tráfego de retorno para ligações que foram iniciadas a partir do interior da rede.

A utilização de uma stateful firewall simplifica a administração. Um gestor de TI apenas precisa de escrever uma regra que permita a um convidado ligar-se a um website na porta 443; a firewall trata automaticamente do tráfego de retorno sem necessidade de uma regra de entrada complexa.

Default Deny

Uma postura de segurança em que qualquer tráfego que não seja explicitamente permitido por uma regra de firewall é bloqueado.

Este é um princípio de boas práticas para qualquer configuração de firewall. Garante que qualquer tráfego novo ou não categorizado seja bloqueado por predefinição, proporcionando um nível de segurança muito mais elevado do que uma política de "permitir por predefinição".

PCI DSS

O Payment Card Industry Data Security Standard, um conjunto de normas de segurança concebidas para garantir que todas as empresas que aceitam, processam, armazenam ou transmitem informações de cartões de crédito mantêm um ambiente seguro.

Para qualquer negócio de retalho ou hotelaria, provar que a rede WiFi de convidados está solidamente isolada da rede que lida com pagamentos (o Ambiente de Dados do Titular do Cartão) é um requisito fundamental para passar uma auditoria PCI DSS.

Captive Portal

Uma página web que o utilizador de uma rede de acesso público é obrigado a visualizar e com a qual deve interagir antes de lhe ser concedido acesso. É utilizada para autenticação, pagamento ou aceitação de termos de serviço.

A firewall deve estar configurada para permitir que utilizadores não autenticados acedam ao Captive Portal (e aos seus serviços de suporte, como o DNS) antes de terem acesso total à internet. Este acesso pré-autenticação é frequentemente gerido através de uma configuração de walled-garden.

Port Forwarding (Destination NAT)

Uma técnica utilizada para redirecionar um pedido de comunicação de uma combinação de endereço e número de porta para outra enquanto os pacotes atravessam um gateway de rede, como um router ou firewall.

Se um espaço aloja o seu próprio controlador WiFi local (on-premise), as equipas de TI devem configurar o port forwarding para permitir que os dispositivos dos convidados na internet alcancem o Captive Portal na rede interna. Este é um passo crítico para viabilizar o percurso do convidado.

Exemplos Práticos

Um hotel com 200 quartos está a registar reclamações frequentes dos convidados sobre WiFi lento e quedas de ligação. Uma verificação inicial revela uma arquitetura de rede plana onde o tráfego de convidados e o operacional do hotel (CCTV, PCs dos funcionários) partilham a mesma sub-rede. O firewall tem uma regra permissiva 'allow any-to-any' para todo o tráfego interno.

  1. Ação Imediata: Criar uma nova VLAN de Convidados (ex. VLAN 200) e um SSID de convidados correspondente. 2. Segmentação: Migrar todos os pontos de acesso dedicados aos convidados para a nova VLAN. 3. Política de Firewall: Criar uma nova zona e interface para a VLAN de Convidados no firewall. Implementar uma política de saída estrita que permita apenas as portas 53, 80, 443 e 123. Adicionar uma regra para negar explicitamente qualquer tráfego da VLAN de Convidados para la VLAN corporativa. 4. Ativar Isolamento de Clientes: Ativar o Isolamento de AP/Clientes no controlador sem fios para o SSID de convidados. 5. Remover Regra Permissiva: Assim que o tráfego de convidados estiver segmentado com sucesso, remover a regra legada 'allow any-to-any' e substituí-la por regras específicas para o tráfego corporativo necessário.
Comentário do Examinador: Este é um caso clássico de dívida técnica. A rede plana constitui um risco de segurança significativo e é a causa raiz dos problemas de desempenho. O tráfego de difusão (broadcast) e potenciais malwares no segmento de convidados estariam provavelmente a consumir largura de banda e a afetar os sistemas corporativos. A solução prioriza corretamente o isolamento como a correção principal, o que melhora simultaneamente a postura de segurança e o desempenho da rede. A abordagem faseada garante uma migração suave com o mínimo de perturbação para os convidados.

Uma cadeia de retalho está a abrir uma nova loja emblemática (flagship store) e precisa de disponibilizar um WiFi de convidados que esteja em conformidade com o PCI DSS 4.0. A loja terá terminais de ponto de venda (POS), scanners de inventário e PCs corporativos na mesma infraestrutura de rede física.

  1. Definir o CDE: O primeiro passo é definir o Cardholder Data Environment (CDE). Criar uma VLAN dedicada para todos os terminais POS. 2. Isolar a Rede de Convidados: Criar uma VLAN separada para o WiFi de convidados. 3. Isolar os Serviços Corporativos: Criar uma terceira VLAN para outros serviços corporativos, como scanners de inventário e PCs dos funcionários. 4. Aplicação no Firewall: O firewall deve impor uma segmentação estrita. Deve existir uma regra explícita de 'deny all' para qualquer tráfego com origem na VLAN de Convidados ou na VLAN de Serviços Corporativos para a VLAN do CDE. 5. Restringir Saída do CDE: A VLAN do CDE apenas deve ter permissão de acesso de saída para os endereços IP específicos do processador de pagamentos, e nada mais. 6. Provar o Isolamento: Utilizar ferramentas como o nmap ou um scanner de vulnerabilidades para executar testes a partir da rede de convidados para provar que nenhuns hosts ou portas do CDE estão acessíveis.
Comentário do Examinador: Esta solução interpreta corretamente o mandato central do PCI DSS: o isolamento verificável. A simples utilização de sub-redes diferentes não é suficiente. A utilização de múltiplas VLANs, impostas por um firewall, é a abordagem padrão do setor. O passo final, que consiste em provar o isolamento através de scanning ativo, é crítico para qualquer auditoria de conformidade. Isto demonstra um processo de segurança maduro que passa do 'assumir como seguro' para o 'provar que está seguro'.

Perguntas de Prática

Q1. Um estádio está a acolher um grande evento desportivo e espera 50.000 utilizadores simultâneos no seu WiFi de convidados. Qual é a consideração mais crítica do firewall para garantir a estabilidade e a segurança da rede?

Dica: Considere o impacto do tráfego de broadcast e multicast num ambiente de tão alta densidade.

Ver resposta modelo

A consideração mais crítica é a filtragem agressiva de todo o tráfego desnecessário, particularmente o tráfego de broadcast e multicast (como mDNS), ao nível da firewall e dos pontos de acesso. Num ambiente de alta densidade, este tráfego pode levar rapidamente a uma tempestade de broadcast, consumindo toda a largura de banda disponível e paralisando a rede. Regras estritas de saída que permitam apenas o tráfego web e DNS essencial, combinadas com o Isolamento de Clientes, são fundamentais.

Q2. Descobre que um administrador anterior configurou a rede de convidados para utilizar os servidores DNS corporativos internos. Quais são os riscos e qual é a remediação imediata?

Dica: Que informações podem ser obtidas a partir de registos DNS internos?

Ver resposta modelo

Os riscos são significativos. Expõe os nomes e endereços IP de todos os servidores corporativos internos (ex.: payroll.internal.corp, dc01.internal.corp) a qualquer pessoa na rede de convidados, fornecendo um mapa detalhado para um atacante. Também cria um vetor potencial para ataques de envenenamento de cache DNS contra a rede corporativa. A remediação imediata é alterar a configuração DHCP para a VLAN de convidados para atribuir apenas servidores DNS públicos (ex.: 1.1.1.1, 8.8.8.8) e garantir que a firewall impede a VLAN de convidados de enviar qualquer tráfego para os servidores DNS internos.

Q3. Um utilizador relata que não consegue aceder à sua VPN corporativa através do WiFi de convidados. Os registos da sua firewall mostram tráfego UDP negado nas portas 500 e 4500 a partir do IP do utilizador. Qual é o problema e como decidiria se o deve resolver?

Dica: Qual o protocolo que utiliza as portas UDP 500 e 4500?

Ver resposta modelo

O problema é que a firewall está a bloquear os protocolos IKE e IPsec NAT-T, que são comummente utilizados para estabelecer túneis VPN IPsec. A decisão de resolver isto é ao nível da política. Para um local que atende a viajantes de negócios (como um hotel ou centro de conferências), permitir o acesso VPN é frequentemente um requisito de negócio. A resolução seria criar uma regra de firewall de saída específica para permitir o tráfego UDP nas portas 500 e 4500. Para uma biblioteca pública ou escola, a política pode ser bloquear VPNs para garantir que o tráfego possa ser filtrado. A decisão deve equilibrar as necessidades dos utilizadores com a política de segurança e a tolerância ao risco da organização.

Continue a ler esta série

How to Configure SCEP for Automated Enterprise WiFi Certificate Enrollment

Este guia explica como configurar o SCEP (Simple Certificate Enrollment Protocol) para a atribuição automatizada de certificados WiFi empresariais, cobrindo toda a arquitetura desde PKI e NDES até à implementação de perfis MDM e validação RADIUS. Destina-se a gestores de TI, arquitetos de rede e CTOs em hotéis, cadeias de retalho, estádios, centros de conferências e organizações do setor público que necessitam de ir além das chaves pré-partilhadas e implementar uma autenticação 802.1X EAP-TLS escalável e baseada em identidade. A plataforma de sobreposição na nuvem da Purple, independente de hardware, integra-se diretamente com esta arquitetura, fornecendo a camada de WiFi para convidados e BYOD que coexiste com a sua rede de colaboradores autenticada por certificado.

Ler o guia →

O Guia Empresarial do SCEP: Implementar o Simple Certificate Enrollment Protocol para Segurança Automatizada de WiFi em Campus

Este guia de referência técnica fornece um modelo arquitetónico definitivo e uma estratégia de implementação passo a passo para a implementação de certificados de WiFi empresariais utilizando SCEP. Abrange as diferenças críticas entre SCEP e PKCS, a sequência exata de implementação necessária para o sucesso e estratégias reais de mitigação de riscos para líderes de TI.

Ler o guia →

Como Implementar SCEP para a Inscrição Automatizada de Certificados WiFi

Este guia explica como implementar o SCEP (Simple Certificate Enrollment Protocol) para a inscrição automatizada de certificados WiFi em espaços empresariais. Abrange todo o plano de arquitetura - desde o design de PKI e integração de MDM até à sequência de implementação obrigatória de três passos - e mostra aos gestores de TI e arquitetos de rede como eliminar credenciais partilhadas, automatizar a gestão do ciclo de vida dos certificados e cumprir os requisitos de PCI DSS e GDPR à escala.

Ler o guia →