Saltar para o conteúdo principal
Português

Gestão de Segurança de Dispositivos IoT com NAC e MPSK

Este guia técnico detalha como os espaços empresariais podem proteger dispositivos IoT sem interface de utilizador (headless) utilizando a arquitetura Multiple Pre-Shared Key (MPSK) e Network Access Control (NAC). Fornece passos de implementação práticos para alcançar a micro-segmentação, conter o raio de impacto de incidentes de segurança e manter a conformidade sem sacrificar a escalabilidade.

📖 5 min de leitura📝 1,151 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo ao briefing técnico da Purple. Sou o vosso anfitrião e hoje vamos mergulhar num desafio crítico para as redes empresariais: Gerir a Segurança de Dispositivos IoT com Controlo de Acesso à Rede, ou NAC, e Múltiplas Chaves Pré-Partilhadas, conhecidas como MPSK. Vamos contextualizar. Se é um gestor de TI ou arquiteto de rede num grande espaço — por exemplo, um hotel de 500 quartos, uma cadeia de retalho ou um estádio — a sua rede já não serve apenas portáteis e smartphones. Tem termóstatos inteligentes, câmaras IP, terminais de ponto de venda, sinalização digital e sensores ambientais. O problema? A maioria destes dispositivos IoT sem interface de utilizador não suporta a autenticação 802.1X. Não conseguem processar certificados ou credenciais empresariais. Então, o que acontece? Historicamente, as equipas de TI têm dependido de uma única chave pré-partilhada global — uma PSK tradicional — para toda a rede IoT. Isto representa um risco de segurança massivo. Se uma única lâmpada inteligente for comprometida, ou se um prestador de serviços sair com a palavra-passe, toda a sua sub-rede IoT fica vulnerável. Alterar essa palavra-passe global significa atualizar manualmente centenas ou milhares de dispositivos, o que é simplesmente inviável à escala. É aqui que a combinação de NAC e MPSK muda o jogo. Vamos entrar na análise técnica detalhada. O MPSK permite-lhe emitir uma palavra-passe única e específica para cada dispositivo IoT, todos a transmitir no mesmo SSID. Quando um dispositivo se liga, o controlador sem fios comunica com o servidor RADIUS — que faz parte da sua solução NAC. O motor NAC analisa a palavra-passe específica utilizada, identifica o dispositivo exato e atribui-o dinamicamente à VLAN correta com as políticas de segurança adequadas. Pense no poder disso. As suas câmaras IP são colocadas na VLAN 40 com listas de controlo de acesso rigorosas que apenas lhes permitem comunicar com o servidor de vídeo local. Os seus termóstatos inteligentes vão para a VLAN 50 e apenas conseguem aceder ao seu gateway de nuvem específico. Se uma câmara for comprometida, o raio de impacto é contido inteiramente dentro do seu microsegmento. Se precisar de revogar o acesso, elimina um MPSK, e não a palavra-passe global. A implementação disto requer uma arquitetura sólida. Precisa de um motor de políticas NAC robusto. A plataforma de analítica da Purple integra-se perfeitamente com estes ambientes empresariais, proporcionando visibilidade sobre o comportamento dos dispositivos. Ao combinar o MPSK com um NAC forte, não está apenas a proteger a periferia da rede; está a obter controlo e visibilidade granulares. Vejamos algumas recomendações de implementação e armadilhas a evitar. Primeiro, automatize o processo de integração. Não gere os MPSKs manualmente. Utilize um portal de self-service ou uma integração de API com a sua ferramenta de gestão de serviços de TI para gerar e distribuir chaves. Segundo, aplique uma definição de perfis rigorosa. O seu NAC deve traçar o perfil do dispositivo com base no seu endereço MAC e na impressão digital DHCP para garantir que o dispositivo que utiliza o MPSK é realmente o dispositivo que afirma ser. Se um MPSK atribuído a um termóstato for subitamente utilizado por um portátil, o NAC deve colocar a ligação em quarentena instantaneamente.Um erro comum é não planear a sua estrutura de VLAN antes de implementar o MPSK. Não se limite a colocar todos os dispositivos IoT numa única "VLAN IoT", mesmo com chaves exclusivas. Segmente por tipo de dispositivo e função. Agora, para uma sessão rápida de perguntas e respostas baseada em dúvidas comuns dos clientes. Pergunta 1: O MPSK requer hardware novo? Resposta: Normalmente não, desde que os seus controladores de LAN sem fios e pontos de acesso executem firmware relativamente moderno que suporte MPSK ou Identity PSK, e tenha um servidor RADIUS/NAC capaz. Pergunta 2: Como é que isto afeta a conformidade? Resposta: Massivamente. Para o PCI DSS no retalho ou hotelaria, o MPSK combinado com a atribuição dinâmica de VLAN fornece a segmentação rigorosa necessária para manter os terminais POS isolados do tráfego geral de IoT. Em resumo, gerir a segurança de IoT não se trata de encontrar dispositivos que suportem autenticação empresarial; trata-se de construir uma infraestrutura que os proteja de qualquer forma. O MPSK e o NAC fornecem a escalabilidade, a microsegmentação e a contenção do raio de impacto que os espaços modernos exigem. Próximos passos? Audite os seus SSIDs de IoT atuais. Se estiver a utilizar uma PSK global, está na altura de planear uma estratégia de migração para o MPSK. Analise as suas capacidades de NAC e comece a definir as suas políticas de microsegmentação. Obrigado por se juntar a este briefing técnico. Mantenha-se seguro e continue a construir redes resilientes.

header_image.png

कार्यकारी सारांश

Retail , Hospitality , और Transport स्थानों के एंटरप्राइज़ नेटवर्क में हेडलेस IoT डिवाइसों—जैसे पर्यावरण सेंसर और स्मार्ट थर्मोस्टेट से लेकर IP कैमरे और पॉइंट-ऑफ़-सेल टर्मिनल तक—का भारी विस्तार हो रहा है। IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए बुनियादी चुनौती यह है कि इनमें से अधिकांश डिवाइस एंटरप्राइज़-ग्रेड IEEE 802.1X प्रमाणीकरण का समर्थन नहीं करते हैं।

ऐतिहासिक रूप से, संगठन अपने संपूर्ण IoT SSID के लिए एकल, ग्लोबल प्री-शेयर्ड की (PSK) पर निर्भर रहे हैं। यह एक अस्वीकार्य सुरक्षा स्थिति पैदा करता है जहाँ एक भी समझौता किया गया डिवाइस या लीक हुआ पासवर्ड पूरे IoT नेटवर्क सेगमेंट में सेंध लगा देता है।

यह तकनीकी संदर्भ मार्गदर्शिका विस्तार से बताती है कि एक मजबूत नेटवर्क एक्सेस कंट्रोल (NAC) पॉलिसी इंजन के साथ मल्टीपल प्री-शेयर्ड की (MPSK) आर्किटेक्चर को तैनात करने से यह चुनौती कैसे हल होती है। प्रति डिवाइस अद्वितीय क्रेडेंशियल जारी करके और डायनामिक VLAN असाइनमेंट का लाभ उठाकर, नेटवर्क टीमें हजारों एंडपॉइंट्स के लिए आवश्यक स्केलेबिलिटी से समझौता किए बिना माइक्रो-सेगमेंटेशन प्राप्त कर सकती हैं, ब्लास्ट रेडियस को सीमित कर सकती हैं और सख्त अनुपालन (जैसे PCI DSS) बनाए रख सकती हैं। जब इसे Purple के Guest WiFi और WiFi Analytics जैसे प्लेटफॉर्म के साथ एकीकृत किया जाता है, तो यह दृष्टिकोण निर्बाध, सुरक्षित और अत्यधिक दृश्यमान नेटवर्क संचालन सुनिश्चित करता है。

तकनीकी डीप-डाइव

पारंपरिक PSK और 802.1X की सीमाएँ

एक मानक एंटरप्राइज़ वातावरण में, डिवाइस प्रमाणपत्र (EAP-TLS) या क्रेडेंशियल (PEAP) का उपयोग करके IEEE 802.1X के माध्यम से प्रमाणित होते हैं। हालाँकि, हेडलेस IoT डिवाइसों में आमतौर पर 802.1X के लिए आवश्यक सप्लिकेंट सॉफ़्टवेयर का अभाव होता है। पारंपरिक रूप से इसका विकल्प एकल PSK का उपयोग करके WPA2/WPA3-Personal रहा है।

ग्लोबल PSK की परिचालन वास्तविकता गंभीर है:

  1. शून्य सेगमेंटेशन: PSK पर सभी डिवाइस एक ही ब्रॉडकास्ट डोमेन साझा करते हैं जब तक कि उन्हें MAC पते द्वारा मैन्युअल रूप से मैप न किया जाए, जो परिचालन रूप से अस्थिर है।
  2. उच्च ब्लास्ट रेडियस: एक समझौता किया गया स्मार्ट बल्ब पूरे VLAN तक लेटरल मूवमेंट एक्सेस प्रदान करता है।
  3. की रोटेशन की समस्या: एक समझौता किए गए डिवाइस के लिए एक्सेस रद्द करने के लिए ग्लोबल PSK को बदलना और नेटवर्क पर हर दूसरे डिवाइस को मैन्युअल रूप से अपडेट करना आवश्यक होता है।

MPSK और NAC आर्किटेक्चर

MPSK (जिसे वेंडर आइडेंटिटी PSK या iPSK भी कहते हैं) मौलिक रूप से इस प्रतिमान को बदल देता है। यह एक एकल SSID को हजारों अद्वितीय पासवर्ड स्वीकार करने की अनुमति देता है। हालाँकि, इसकी बुद्धिमत्ता NAC या RADIUS सर्वर के साथ एकीकरण में निहित है।

जब कोई डिवाइस MPSK SSID से जुड़ता है, तो वायरलेस LAN कंट्रोलर (WLC) प्रमाणीकरण अनुरोध को NAC को अग्रेषित करता है। NAC इंजन उपयोग किए गए विशिष्ट पासवर्ड का मूल्यांकन करता है, इसे डिवाइस की पहचान (MAC पता, प्रोफाइलिंग डेटा) के साथ सहसंबंधित करता है, और विशिष्ट विशेषताओं—विशेष रूप से, VLAN ID और एक्सेस कंट्रोल लिस्ट (ACL) नीतियों—युक्त एक RADIUS एक्सेस-एक्सेप्ट संदेश लौटाता है।

nac_architecture_overview.png

यह आर्किटेक्चर डायनामिक VLAN असाइनमेंट को सक्षम बनाता है। एक स्मार्ट थर्मोस्टेट और एक IP कैमरा अलग-अलग पासवर्ड का उपयोग करके बिल्कुल एक ही SSID से कनेक्ट हो सकते हैं, और नेटवर्क इन्फ्रास्ट्रक्चर थर्मोस्टेट को VLAN 50 (क्लाउड गेटवे एक्सेस तक सीमित) और कैमरे को VLAN 40 (स्थानीय NVR सर्वर तक सीमित) में डाल देगा।

mpsk_vs_psk_comparison.png

ऑडियो ब्रीफिंग

इस आर्किटेक्चर पर हमारे वरिष्ठ सलाहकार की तकनीकी ब्रीफिंग सुनें:

कार्यान्वयन मार्गदर्शिका

NAC के साथ MPSK को तैनात करने के लिए स्केलेबिलिटी और सुरक्षा सुनिश्चित करने हेतु सावधानीपूर्वक योजना बनाने की आवश्यकता होती है। सफल रोलआउट के लिए इन चरणों का पालन करें।

चरण 1: इन्फ्रास्ट्रक्चर तत्परता मूल्यांकन

सुनिश्चित करें कि आपके वायरलेस कंट्रोलर और एक्सेस पॉइंट MPSK/iPSK का समर्थन करते हैं। अधिकांश आधुनिक एंटरप्राइज़ नेटवर्किंग वेंडर (Cisco, Aruba, Meraki, Ruckus) मूल रूप से इसका समर्थन करते हैं, बशर्ते फर्मवेयर अप-टू-डेट हो। सत्यापित करें कि आपका NAC समाधान RADIUS अनुरोधों के अपेक्षित लोड को संभाल सकता है और पासवर्ड मिलान के आधार पर डायनामिक VLAN असाइनमेंट का समर्थन करता है।

चरण 2: माइक्रो-सेगमेंटेशन नीतियां परिभाषित करें

एक भी कुंजी उत्पन्न करने से पहले, अपने VLAN आर्किटेक्चर को परिभाषित करें। IoT डिवाइसों को उनके कार्य और आवश्यक एक्सेस के आधार पर समूहीकृत करें।

  • VLAN 40 (सुरक्षा कैमरे): केवल स्थानीय NVR IP और विशिष्ट NTP सर्वर पर ट्रैफ़िक की अनुमति दें। इंटरनेट एक्सेस को ब्लॉक करें।
  • VLAN 50 (पर्यावरण सेंसर): विशिष्ट वेंडर क्लाउड एंडपॉइंट्स पर आउटबाउंड HTTPS ट्रैफ़िक की अनुमति दें। इंटर-VLAN रूटिंग को ब्लॉक करें।
  • VLAN 60 (पॉइंट ऑफ़ सेल): सख्त PCI DSS अनुपालन। सभी इनबाउंड ट्रैफ़िक को अस्वीकार करें; केवल पेमेंट गेटवे के लिए आउटबाउंड की अनुमति दें।

चरण 3: डिवाइस प्रोफाइलिंग और की जनरेशन

कुंजियों को मैन्युअल रूप से उत्पन्न न करें। प्रति डिवाइस अद्वितीय कुंजियाँ उत्पन्न करने के लिए NAC के API या सेल्फ़-सर्विस पोर्टल का उपयोग करें। प्रत्येक कुंजी को डिवाइस के MAC पते से बाइंड करें। यह सुनिश्चित करता है कि भले ही किसी थर्मोस्टेट से MPSK निकाल लिया जाए, इसका उपयोग नेटवर्क को स्पूफ करने वाले किसी दुष्ट लैपटॉप द्वारा नहीं किया जा सकता है।

चरण 4: एनालिटिक्स और गेस्ट नेटवर्क के साथ एकीकरण

हालाँकि IoT नेटवर्क अलग-थलग होते हैं, लेकिन समग्र प्रबंधन एकीकृत होना चाहिए। सुनिश्चित करें कि आपका NAC परिनियोजन आपकी व्यापक नेटवर्क रणनीति के अनुरूप है, जिसमें Guest WiFi प्रोविजनिंग शामिल है। जो प्लेटफ़ॉर्म WiFi Analytics प्रदान करते हैं, वे सभी सेगमेंट में डिवाइस घनत्व और नेटवर्क स्वास्थ्य के बारे में मूल्यवान जानकारी दे सकते हैं। नेटवर्क के मूल सिद्धांतों के बारे में अधिक जानने के लिए, Wi Fi Frequencies: A Guide to Wi-Fi Frequencies in 2026 की समीक्षा करें।

सर्वोत्तम प्रथाएँ

  • MAC बाइंडिंग लागू करें: हमेशा MPSK को डिवाइस के विशिष्ट MAC पते से बाइंड करें। यदि कोई भिन्न MAC कुंजी का उपयोग करने का प्रयास करता है, तो NAC को प्रमाणीकरण अस्वीकार कर देना चाहिए。
  • DHCP फिंगरप्रिंटिंग लागू करें: डिवाइस प्रकारों को सत्यापित करने के लिए NAC के भीतर DHCP प्रोफाइलिंग का उपयोग करें। यदि 'स्मार्ट टीवी' को असाइन किया गया MPSK अचानक 'Windows 11' के रूप में फिंगरप्रिंटिंग करने वाले डिवाइस द्वारा उपयोग किया जाता है, तो स्वचालित क्वारंटाइन ट्रिगर करें。
  • जीवनचक्र प्रबंधन को स्वचालित करें: अपने IT सर्विस मैनेजमेंट (ITSM) प्लेटफ़ॉर्म के साथ MPSK जनरेशन को एकीकृत करें। जब एसेट रजिस्टर में किसी डिवाइस को डिकमीशन किया जाता है, तो संबंधित MPSK को API के माध्यम से स्वचालित रूप से रद्द कर दिया जाना चाहिए。
  • नियमित ऑडिटिंग: अनाथ कुंजियों की पहचान करने और उन्हें हटाने के लिए अपनी एसेट इन्वेंट्री के विरुद्ध सक्रिय MPSKs का त्रैमासिक ऑडिट करें。

समस्या निवारण और जोखिम न्यूनीकरण

सामान्य विफलता मोड

  1. RADIUS टाइमआउट समस्याएँ: यदि NAC इंजन पर अत्यधिक भार है या विलंबता अधिक है, तो हेडलेस डिवाइस टाइम आउट हो सकते हैं और कनेक्ट होने में विफल हो सकते हैं।
    • बचाव: यदि बड़ी रिटेल चेन जैसे अत्यधिक वितरित वातावरण से निपट रहे हैं, तो उच्च उपलब्धता और स्थानीयकृत RADIUS प्रॉक्सी सुनिश्चित करें।
  2. MAC स्पूफिंग: एक हमलावर अधिकृत IoT डिवाइस के MAC पते को क्लोन करता है और उसका MPSK निकाल लेता है।
    • बचाव: डीप पैकेट इंस्पेक्शन और व्यवहार संबंधी प्रोफाइलिंग पर भरोसा करें। यदि "थर्मोस्टेट" अचानक पोर्ट 22 (SSH) पर नेटवर्क को स्कैन करना शुरू कर देता है, तो NAC या IDS को तुरंत पोर्ट को अलग कर देना चाहिए।
  3. रोमिंग डिस्कनेक्ट: कुछ खराब डिज़ाइन किए गए IoT डिवाइस MPSK का उपयोग करके APs के बीच रोमिंग करते समय कनेक्शन छोड़ देते हैं।
    • बचाव: न्यूनतम बुनियादी दरों को समायोजित करें और उचित RF सेल ओवरलैप सुनिश्चित करें। गहन वायरलेस डिज़ाइन विचारों के लिए, BLE Low Energy Explained for Enterprise देखें।

ROI और व्यावसायिक प्रभाव

MPSK/NAC आर्किटेक्चर में परिवर्तन औसत दर्जे का व्यावसायिक मूल्य प्रदान करता है:

  • कम परिचालन व्यय (OpEx): जब कोई एक डिवाइस समझौता किया जाता है या बदला जाता है, तो ग्लोबल PSK को मैन्युअल रूप से अपडेट करने में IT टीमों द्वारा खर्च किए जाने वाले सैकड़ों घंटों को समाप्त करता है।
  • अनुपालन आश्वासन: रिटेल और हॉस्पिटैलिटी स्थानों के लिए, सख्त माइक्रो-सेगमेंटेशन PCI DSS की एक मुख्य आवश्यकता है। MPSK भुगतान टर्मिनलों को अलग करने के लिए एक सिद्ध, ऑडिट योग्य तंत्र प्रदान करता है, जिससे महंगे अनुपालन जुर्माने से बचा जा सकता है।
  • जोखिम न्यूनीकरण: किसी भी समझौता किए गए डिवाइस के ब्लास्ट रेडियस को उसके विशिष्ट माइक्रो-सेगमेंट तक सीमित करके, लेटरल-मूवमेंट रैंसमवेयर हमले के संभावित वित्तीय और प्रतिष्ठित नुकसान को काफी कम कर दिया जाता है।
  • भविष्य की तैयारी: जैसे-जैसे एंटरप्राइज़ नेटवर्क विकसित होते हैं, IoT सुरक्षा को व्यापक WAN रणनीतियों के साथ एकीकृत करना महत्वपूर्ण हो जाता है। व्यापक नेटवर्क आर्किटेक्चर के संदर्भ के लिए, SD WAN vs MPLS: The 2026 Enterprise Network Guide और The Role of SCEP and NAC in Modern MDM Infrastructure देखें।

Definições Principais

MPSK (Multiple Pre-Shared Key)

Uma funcionalidade de segurança sem fios que permite a utilização de múltiplas palavras-passe exclusivas num único SSID, sendo que cada palavra-passe é capaz de acionar diferentes políticas de rede.

Crucial para proteger dispositivos IoT sem interface de utilizador (headless) que não suportam autenticação empresarial 802.1X.

NAC (Network Access Control)

Uma solução de segurança que aplica políticas em dispositivos que tentam aceder à rede, garantindo que cumprem os requisitos de segurança antes de lhes ser concedido acesso.

Atua como o motor de inteligência por trás do MPSK, determinando a atribuição de VLAN com base na palavra-passe utilizada.

Atribuição Dinâmica de VLAN

O processo através do qual um comutador de rede (switch) ou controlador sem fios atribui um dispositivo a uma VLAN específica com base em credenciais de autenticação, em vez de uma porta física ou SSID.

Permite a micro-segmentação de dispositivos IoT que transmitem na mesma rede sem fios.

Raio de Impacto (Blast Radius)

A extensão dos danos ou do movimento lateral que um atacante pode alcançar após comprometer um único dispositivo ou sistema.

O MPSK e o NAC reduzem drasticamente o raio de impacto ao isolar dispositivos IoT comprometidos dentro de micro-segmentos estritos.

Dispositivo Sem Interface (Headless Device)

Um dispositivo informático, típico em implementações de IoT, que funciona sem monitor, teclado ou interface de utilizador.

Estes dispositivos não conseguem solicitar credenciais ao utilizador, tornando impossível a autenticação tradicional 802.1X.

Associação de MAC (MAC Binding)

Um controlo de segurança que restringe a utilização de uma credencial específica (como um MPSK) a um único endereço MAC autorizado.

Impede que um atacante roube um MPSK de uma lâmpada inteligente e o utilize num portátil malicioso.

Impressão Digital DHCP (DHCP Fingerprinting)

Uma técnica de criação de perfis utilizada pelos sistemas NAC para identificar o sistema operativo e o tipo de um dispositivo com base na sequência específica de opções DHCP que este solicita.

Utilizada para verificar se um dispositivo que se liga com um MPSK de IoT é realmente um dispositivo IoT e não um endpoint falsificado.

Micro-segmentação

Uma técnica de segurança que divide a rede em zonas granulares e isoladas para manter um controlo de acesso rigoroso e limitar o movimento lateral.

O principal objetivo arquitetónico da implementação de MPSK e NAC para a segurança de IoT.

Exemplos Práticos

Um hotel de 300 quartos está a implementar novas smart TVs, fechaduras de portas baseadas em IP e sensores ambientais. A infraestrutura atual utiliza uma única PSK global para todos os dispositivos não corporativos. Como deve o arquiteto de rede redesenhar isto para obter a máxima segurança e facilidade de gestão?

O arquiteto deve implementar um SSID MPSK ('Hotel-IoT'). O motor de políticas NAC deve ser configurado com três perfis de dispositivos distintos. As smart TVs recebem MPSKs exclusivas e são atribuídas dinamicamente à VLAN 100 (apenas Internet, com isolamento de clientes ativado). As fechaduras das portas recebem MPSKs exclusivas, são associadas aos seus endereços MAC específicos e atribuídas à VLAN 110 (acesso restrito apenas ao servidor de segurança local). Os sensores recebem MPSKs exclusivas e são atribuídos à VLAN 120 (acesso apenas à cloud de gestão de AVAC). Todas as chaves são geradas via API durante o registo do dispositivo.

Comentário do Examinador: Esta abordagem elimina a vulnerabilidade da PSK global. Ao utilizar a atribuição dinâmica de VLAN via NAC, o arquiteto alcança uma micro-segmentação rigorosa. A associação das fechaduras das portas aos endereços MAC fornece uma camada essencial de segurança para a infraestrutura crítica.

Uma grande cadeia de retalho precisa de ligar centenas de leitores de código de barras de Ponto de Venda (POS) sem fios e ecrãs de sinalização digital em 50 localizações. Como podem garantir a conformidade com o PCI DSS minimizando os custos operacionais de TI?

Implementar uma arquitetura NAC centralizada com MPSK. Aos leitores POS são emitidas MPSKs exclusivas e estes são perfilados numa VLAN altamente restrita, em conformidade com o PCI, que nega todo o tráfego lateral e apenas permite ligações de saída para o gateway de processamento de pagamentos. Os ecrãs de sinalização digital utilizam MPSKs separadas e são colocados numa VLAN diferente com acesso exclusivo à internet para atualizações de conteúdos. A gestão do ciclo de vida das chaves é integrada com o sistema central de gestão de ativos.

Comentário do Examinador: Esta solução responde diretamente aos requisitos do PCI DSS, garantindo uma segmentação lógica rigorosa dos dispositivos de pagamento em relação ao tráfego IoT geral. A gestão centralizada de chaves reduz a carga operacional sobre as equipas de TI das filiais.

Perguntas de Prática

Q1. Uma equipa de TI de um estádio precisa de implementar 200 novos terminais de ponto de venda sem fios. Planeiam utilizar MPSK. Para garantir a máxima segurança, que duas verificações de perfil (profiling) deve o NAC realizar antes de atribuir o terminal POS à VLAN segura?

Dica: Considere como evitar que uma MPSK roubada seja utilizada num dispositivo que não seja POS.

Ver resposta modelo

O NAC deve realizar a Associação de MAC (MAC Binding - verificando se a MPSK específica está a ser utilizada pelo endereço MAC autorizado) e a Identificação de DHCP (DHCP Fingerprinting - verificando se o dispositivo que solicita um endereço IP apresenta as características do SO do terminal POS esperado, e não de um portátil ou smartphone genérico).

Q2. Durante uma auditoria, descobriu-se que uma MPSK atribuída a um termostato inteligente foi utilizada com sucesso pelo portátil de um prestador de serviços para obter acesso à rede. O NAC atribuiu o portátil à VLAN do termostato. Que falha de configuração permitiu que isto acontecesse?

Dica: Pense na relação entre a chave e a identidade do dispositivo.

Ver resposta modelo

A falha principal foi a falta de Associação de MAC (MAC Binding). A MPSK não estava restrita ao endereço MAC específico do termostato. Adicionalmente, o NAC falhou ao não impor o perfil do dispositivo (ex.: DHCP fingerprinting), o que teria identificado o portátil do prestador de serviços como um tipo de dispositivo anómalo para aquela chave e VLAN específicas.

Q3. Uma cadeia de retalho está a migrar de uma PSK global para MPSK. Possuem 5.000 leitores de códigos de barras antigos que suportam WPA2-Personal, mas que não podem ser atualizados para suportar protocolos mais recentes. A MPSK pode ser utilizada para proteger estes dispositivos e, em caso afirmativo, como?

Dica: Considere os requisitos do lado do cliente para MPSK.

Ver resposta modelo

Sim, a MPSK pode ser utilizada. Do ponto de vista do dispositivo cliente (o leitor de códigos de barras), a MPSK é idêntica à PSK WPA2-Personal padrão. A inteligência e a diferenciação ocorrem inteiramente do lado da infraestrutura (WLC e NAC). Os leitores apenas precisam de ser configurados com as suas novas palavras-passe exclusivas atribuídas.

Continue a ler esta série

Como Segregar com Segurança Redes WiFi de Funcionários e Convidados

Este guia técnico de referência fornece aos líderes de TI estratégias práticas para segregar com segurança redes WiFi de funcionários, convidados e IoT utilizando VLANs e 802.1X. Detalha como proteger a infraestrutura empresarial, manter a conformidade com o PCI-DSS e potenciar Captive Portals para recolher dados primários (first-party data).

Ler o guia →

Melhor filtragem DNS: um guia completo para empresas

Este guia de referência técnica explica como a filtragem DNS empresarial protege as redes públicas bloqueando domínios maliciosos na camada de resolução - antes de uma ligação ser estabelecida. Oferece aos diretores de TI, arquitetos de rede e equipas de operações de locais a arquitetura de implementação, configuração de firewall e contexto de conformidade necessários para proteger o Guest WiFi em ambientes de hotelaria, retalho e setor público. O Purple Shield bloqueia malware, botnets e conteúdos inadequados ao nível do DNS em mais de 80.000 locais ativos.

Ler o guia →

How to Configure SCEP for Automated Enterprise WiFi Certificate Enrollment

Este guia explica como configurar o SCEP (Simple Certificate Enrollment Protocol) para a atribuição automatizada de certificados WiFi empresariais, cobrindo toda a arquitetura desde PKI e NDES até à implementação de perfis MDM e validação RADIUS. Destina-se a gestores de TI, arquitetos de rede e CTOs em hotéis, cadeias de retalho, estádios, centros de conferências e organizações do setor público que necessitam de ir além das chaves pré-partilhadas e implementar uma autenticação 802.1X EAP-TLS escalável e baseada em identidade. A plataforma de sobreposição na nuvem da Purple, independente de hardware, integra-se diretamente com esta arquitetura, fornecendo a camada de WiFi para convidados e BYOD que coexiste com a sua rede de colaboradores autenticada por certificado.

Ler o guia →