Saltar para o conteúdo principal
Português

Staff WiFi vs. Guest WiFi: Melhores Práticas de Segmentação de Rede Corporativa

Um guia técnico abrangente para líderes de TI sobre como segmentar redes WiFi de funcionários e convidados. Abrange arquitetura de VLAN, autenticação 802.1X, políticas de firewall e o impacto comercial de um design de rede seguro.

📖 4 min de leitura📝 855 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo ao Purple Technical Briefing. Sou o seu anfitrião e, nos próximos dez minutos, vamos abordar uma das decisões mais consequentes que irá tomar na rede do seu espaço: como separar corretamente o seu Staff WiFi do seu Guest WiFi. Se gere um hotel, uma cadeia de retalho, um estádio ou um centro de conferências, está a servir dois públicos fundamentalmente diferentes no mesmo espaço aéreo. Um grupo precisa de acesso aos seus sistemas de ponto de venda, ao seu software de gestão de propriedades, às suas partilhas de ficheiros de back-office. O outro grupo apenas precisa de internet. Misturar estes dois grupos na mesma rede não é apenas uma má prática. É uma responsabilidade legal. Vamos entrar na análise técnica detalhada. O problema central de uma rede plana e não segmentada é o movimento lateral. Quando o dispositivo de um convidado se liga à mesma rede que os terminais da sua equipa, esse dispositivo pode, em princípio, comunicar diretamente com esses terminais. Se esse dispositivo estiver infetado com malware, ou se um ator malicioso estiver deliberadamente a sondar a rede, toda a sua infraestrutura corporativa fica exposta. Já vimos isto acontecer em violações reais. O ataque não começa na firewall. Começa no Guest WiFi. A principal ferramenta para resolver isto é a VLAN, ou Virtual Local Area Network. Pense nisto como a criação de vias separadas e logicamente isoladas na mesma estrada física. Os seus pontos de acesso transmitem vários nomes de rede WiFi, aos quais chamamos SSIDs. Um SSID para convidados, um para a equipa. Mas o SSID é apenas a etiqueta na porta. A verdadeira separação acontece quando cada SSID é mapeado para uma VLAN diferente. Assim, o Guest WiFi é mapeado para a VLAN 10. O Staff WiFi é mapeado para a VLAN 20. Cada pacote de dados de um dispositivo de convidado é marcado com a VLAN 10. Cada pacote de um dispositivo da equipa é marcado com a VLAN 20. Os seus switches transportam estas etiquetas pela rede e a sua firewall lê-as e aplica as regras. E as regras são simples. O tráfego da VLAN 10 vai para a internet e para mais lado nenhum. Ponto final. O tráfego da VLAN 20 obtém acesso controlado a sistemas internos específicos, conforme definido pela sua política de segurança. Essa é a arquitetura. Simples em princípio, mas os detalhes de implementação importam imenso. Agora, a autenticação. A arquitetura de rede é apenas tão forte quanto as credenciais que a protegem. Para o seu Staff WiFi, deve utilizar WPA3-Enterprise com autenticação 802.1X. Este padrão significa que cada membro da equipa se autentica com uma identidade única. Sem palavras-passe partilhadas. Isto é crítico por duas razões. Primeiro, a segurança: se um dispositivo for comprometido ou um funcionário sair, revoga as suas credenciais no seu fornecedor de identidade, seja o Microsoft Entra ID, Okta ou Google Workspace, e eles são imediatamente bloqueados. Segundo, registos de auditoria: pode ver exatamente quem se ligou, quando e a partir de que dispositivo. Com uma palavra-passe partilhada, não tem nada disso. O framework 802.1X utiliza um servidor RADIUS como intermediário de autenticação. O ponto de acesso encaminha as credenciais do utilizador para o servidor RADIUS, que as valida junto do seu fornecedor de identidade. Se as credenciais forem válidas, o servidor RADIUS envia uma mensagem de aceitação de acesso e o utilizador entra na rede. Caso contrário, o acesso é negado. O ponto de acesso em si nunca vê a palavra-passe. Essa é uma propriedade de segurança importante. Para autenticação baseada em certificados, pode ir mais longe com EAP-TLS, que utiliza certificados de cliente em vez de palavras-passe. Isto elimina o risco de phishing de credenciais na rede de funcionários. É mais complexo de implementar, mas para ambientes de alta segurança, é a escolha certa. Para o seu Guest WiFi, o mecanismo de autenticação é diferente. Utiliza um Captive Portal. Quando um convidado se liga, é redirecionado para uma página de entrada antes de poder aceder à Internet. É aqui que apresenta os seus termos e condições, recolhe o consentimento de marketing e, com uma plataforma como a Purple, começa a construir um perfil rico desse visitante. O Captive Portal não é apenas um mecanismo de conformidade. É o ponto de entrada para a sua capacidade de marketing e análise de convidados. Deixe-me apresentar-lhe dois cenários do mundo real que ilustram como isto funciona na prática. Primeiro, um hotel de luxo com duzentos quartos. Eles precisam de servir os hóspedes do hotel, a equipa corporativa - incluindo a receção e as equipas de limpeza - e uma frota de dispositivos IoT, incluindo minibar inteligentes e fechaduras de portas. Também processam pagamentos com cartão de crédito através do seu sistema de gestão de propriedade, o que significa que a conformidade com o PCI-DSS é obrigatória. A solução é uma arquitetura de quatro VLAN. VLAN 10 para convidados, VLAN 20 para funcionários corporativos, VLAN 30 para o ambiente de cartões de pagamento e VLAN 40 para dispositivos IoT. A política de firewall é estrita e segue o princípio do privilégio mínimo. Os convidados têm apenas acesso à Internet. Os funcionários têm acesso ao sistema de gestão de propriedade e ao e-mail interno, e a mais nada. Os terminais de pagamento apenas comunicam com o gateway de pagamento em portas específicas. Os dispositivos IoT apenas conseguem alcançar o servidor de inventário do minibar. Mais nada. Esta arquitetura cumpre o Requisito 1.2 do PCI-DSS, que exige que os ambientes de dados de titulares de cartões sejam isolados de redes não confiáveis. Também reduz significativamente o seu âmbito de conformidade, porque o avaliador apenas precisa de examinar os sistemas dentro da VLAN 30, e não toda a sua rede. A Premier Inn, parte do grupo Whitbread, opera este tipo de arquitetura segmentada em centenas de propriedades, utilizando a plataforma da Purple para gerir de forma centralizada a camada de análise e o Captive Portal voltado para os convidados. Segundo cenário: uma cadeia de retalho com quinhentas lojas. O desafio aqui é a escala e a consistência. Não se pode dar ao luxo de ter um engenheiro de rede a configurar manualmente cada loja. A solução é uma implementação baseada em templates utilizando Zero-Touch Provisioning. Define a configuração uma vez: duas VLANs, dois SSIDs, regras de firewall, políticas de QoS. Cada novo ponto de acesso enviado para uma loja descarrega automaticamente a configuração correta a partir do controlador de nuvem. O hardware neste cenário poderia ser Cisco Meraki, HPE Aruba ou Ruckus, todos eles suportando Zero-Touch Provisioning gerido na nuvem. O Captive Portal de convidados é gerido de forma centralizada pela Purple, oferecendo à equipa de marketing análises de tráfego pedonal e ferramentas de campanha em todas as quinhentas localizações a partir de um único painel de controlo. Quando um comprador se liga ao Guest WiFi em qualquer loja, surge a mesma experiência de marca. Os mesmos dados fluem para a mesma plataforma de análise. Este modelo reduz drasticamente o custo total de propriedade e garante uma postura de segurança consistente em todo o património. Uma configuração incorreta numa loja não se propaga, porque cada loja é construída a partir do mesmo template validado. Agora, recomendações de implementação e os erros a evitar. Primeiro, ative o isolamento de clientes em cada SSID direcionado a convidados. Isto impede que os dispositivos na rede de convidados comuniquem diretamente entre si. Sem isto, um ator malicioso sentado no lobby do seu hotel poderia realizar um ataque man-in-the-middle contra os dispositivos de outros convidados. É uma simples opção na configuração do seu ponto de acesso e é não negociável. Segundo, aplique políticas de QoS, Quality of Service. Marque o tráfego do seu pessoal com uma classe de prioridade mais elevada. Isto garante que uma centena de convidados a transmitir vídeo não degrade o desempenho dos seus terminais de ponto de venda ou do seu sistema de gestão de propriedade. Aplique a limitação de largura de banda por utilizador na rede de convidados. Um limite razoável é de cinco megabits por segundo por utilizador. Isto evita que um único utilizador sature a sua ligação de uplink. Terceiro, gira a sua contagem de SSIDs. Cada SSID que transmite adiciona sobrecarga ao espetro de rádio. Cada SSID requer tramas de gestão, que consomem tempo de antena. Num ambiente denso, a transmissão de seis ou oito SSIDs pode degradar visivelmente o desempenho do WiFi para todos. O limite prático é de três a quatro SSIDs por ponto de acesso. Se precisar de mais segmentos lógicos, utilize a atribuição dinâmica de VLAN através de RADIUS em vez de SSIDs adicionais. Agora, o modo de falha mais comum. Não se trata de um ataque sofisticado. É uma configuração incorreta. Uma única porta de switch configurada como porta de acesso em vez de uma porta trunk pode ligar em ponte as suas VLANs de forma silenciosa. A sua monitorização não irá sinalizar isso. Os seus utilizadores não irão notar. Mas um dispositivo de convidado pode, de repente, aceder à sua rede corporativa. Isto chama-se VLAN hopping e é surpreendentemente fácil de introduzir através de uma alteração de configuração de rotina. A mitigação é a disciplina operacional. Utilize modelos de configuração padronizados. Documente todas as alterações. Realize auditorias trimestrais que verifiquem o isolamento de VLAN ao tentar encaminhar tráfego entre segmentos a partir de um dispositivo de teste. Se o teste for bem-sucedido, tem um problema. Automatize esta verificação sempre que possível. Perguntas rápidas. Preciso de pontos de acesso físicos separados para cada rede? Não. Os pontos de acesso empresariais modernos da Cisco Meraki, HPE Aruba, Ruckus e Juniper Mist suportam múltiplos SSIDs e VLANs num único rádio. A separação é lógica, não física. Ocultar o SSID dos meus colaboradores é segurança suficiente? Não. Um SSID oculto é apenas um pequeno dissuasor. Um digitalizador de WiFi passivo consegue descobri-lo em segundos. A segurança real provém da autenticação 802.1X, que exige credenciais válidas mesmo após a rede ser descoberta. O meu espaço é pequeno. Isto é um exagero? Não. O risco é idêntico independentemente da escala. Um pequeno café com um único terminal de pagamento está tão exposto como um grande hotel se o tráfego de convidados e colaboradores partilhar a mesma rede. A maioria dos routers de nível empresarial inclui uma funcionalidade integrada de rede de convidados que fornece segmentação básica sem custos adicionais. Utilize-a. É a proteção mínima viável. Em resumo. Segmente as suas redes utilizando VLANs. É inegociável para qualquer espaço que sirva tanto convidados como colaboradores. Utilize WPA3-Enterprise com 802.1X para os colaboradores e um Captive Portal para os convidados. Aplique o princípio do menor privilégio na sua firewall: negue tudo por predefinição e permita apenas o que for explicitamente necessário. Ative o isolamento de clientes em todos os SSIDs de convidados. Gira a largura de banda com políticas de QoS e limitação por utilizador. Trate a gestão de configurações como um controlo de segurança, não como algo secundário. Garantir isto corretamente não reduz apenas o risco de violação de dados. Satisfaz os requisitos de PCI-DSS e GDPR, fornece uma plataforma estável para as operações comerciais e, quando adiciona a plataforma de analítica da Purple, transforma o seu Guest WiFi de um centro de custos num ativo de receita mensurável. Para obter mais detalhes sobre como a Purple se implementa em 80.000 espaços em todo o mundo, visite purple.ai. Obrigado por ouvir.

header_image.png

Resumo Executivo

Fornecer acesso à internet ao público enquanto se mantêm operações corporativas seguras exige uma separação arquitetural rigorosa. Executar tráfego de funcionários e convidados numa rede plana é uma vulnerabilidade crítica que permite o movimento lateral de dispositivos não geridos diretamente para os seus terminais de ponto de venda, sistemas de gestão de propriedade e servidores de back-office. Este guia detalha os requisitos técnicos para implementar a segmentação de WiFi de funcionários e convidados utilizando VLANs, autenticação 802.1X e políticas de firewall zero-trust. Ao isolar o tráfego não confiável, mitiga o risco de violação de dados, cumpre mandatos de conformidade como PCI-DSS e cria uma base segura para implementar o Guest WiFi como um ativo de dados proprietários.

Ouça o podcast de briefing técnico:

Análise Técnica Profunda

O mecanismo fundamental para a segmentação de rede é a Virtual Local Area Network (VLAN). Em vez de implementar uma infraestrutura física separada para cada grupo de utilizadores, os pontos de acesso empresariais de fornecedores como Cisco Meraki, HPE Aruba e Juniper Mist transmitem múltiplos SSIDs a partir de um único rádio. Cada SSID é mapeado para uma etiqueta 802.1Q VLAN distinta.

Quando um dispositivo se liga ao SSID do Guest WiFi, o ponto de acesso etiqueta o seu tráfego (ex. VLAN 10). Quando um funcionário se liga ao SSID do Staff WiFi, o seu tráfego recebe uma etiqueta diferente (ex. VLAN 20). Estas etiquetas persistem através da infraestrutura de comutação até à firewall central. A firewall funciona como o ponto de aplicação absoluto, rejeitando quaisquer pacotes que tentem cruzar os limites das VLANs sem uma regra de permissão explícita.

Arquitetura de Autenticação

A segmentação de rede exige uma verificação de identidade robusta. Um SSID oculto oferece zero segurança contra varrimentos passivos.

Para o Staff WiFi, o WPA3-Enterprise com IEEE 802.1X é o padrão obrigatório. Esta arquitetura substitui palavras-passe partilhadas por credenciais individuais e revogáveis, verificadas contra um fornecedor de identidade como o Microsoft Entra ID ou Okta através de um servidor RADIUS. Se um funcionário sair, a revogação da sua identidade central termina instantaneamente o seu acesso à rede. Para ambientes de alta segurança, o EAP-TLS substitui as palavras-passe por certificados de cliente, eliminando o risco de phishing de credenciais.

Para o Guest WiFi, a autenticação baseia-se num Captive Portal. Isto fornece um ponto de demarcação legal para os termos e condições e serve como camada de ingestão de dados para uma plataforma de WiFi Analytics . vlan_architecture_diagram.png

Guia de Implementação

A implementação de uma rede segmentada exige uma configuração rigorosa no controlador sem fios, na estrutura de switching e na firewall.

  1. Defina o Esquema de VLAN: Atribua sub-redes que não se sobreponham a cada VLAN. Por exemplo, 10.10.0.0/22 para convidados e 10.20.0.0/24 para colaboradores.
  2. Configure os Access Points: Mapeie o SSID de Convidados para a VLAN de convidados e o SSID de Colaboradores para a VLAN corporativa. Ative o Isolamento de Clientes (Client Isolation) no SSID de Convidados para bloquear a comunicação peer-to-peer entre dispositivos não confiáveis.
  3. Configure a Estrutura de Switching: Certifique-se de que todas as portas de switch que ligam aos access points estão configuradas como portas trunk 802.1Q que permitem as etiquetas VLAN necessárias. Evite utilizar a VLAN nativa para tráfego de gestão.
  4. Implemente Políticas de Firewall: Aplique uma postura de negação por defeito (default-deny). A VLAN de convidados requer uma regra de permissão explícita para tráfego HTTP/HTTPS com destino à interface WAN, e uma regra de negação para todas as gamas de IP internos RFC 1918. A VLAN de colaboradores requer regras de permissão granulares com base nos requisitos específicos das aplicações.

Melhores Práticas

Para manter a integridade da sua segmentação de rede, cumpra estes padrões operacionais.

  • Force o Isolamento de Clientes: Ative sempre o isolamento de clientes em SSIDs públicos. Isto evita que um dispositivo comprometido no lobby de um hotel possa analisar ou atacar outros dispositivos ligados ao mesmo access point.
  • Implemente a Limitação de Largura de Banda: Aplique políticas de Qualidade de Serviço (QoS) para priorizar o tráfego dos colaboradores. Aplique limites de largura de banda por utilizador (por exemplo, 5 Mbps) na rede de convidados para evitar que um único utilizador sature o uplink WAN e degrade as aplicações de negócio críticas.
  • Limite a Dispersão de SSIDs: A transmissão excessiva de SSIDs degrada o desempenho de rádio devido à sobrecarga de tráfego de gestão (management frames). Restrinja as implementações a três ou quatro SSIDs por access point. Utilize a atribuição dinâmica de VLAN via RADIUS se necessitar de uma separação lógica mais granular.
  • Padronize as Configurações: Utilize modelos geridos na nuvem para implementar configurações consistentes em locais múltiplos. Uma única porta de switch mal configurada em modo de acesso em vez de modo trunk pode interligar VLANs silenciosamente e expor a rede corporativa.

Resolução de Problemas e Mitigação de Riscos

O risco mais grave numa arquitetura segmentada é o VLAN hopping causado por uma configuração incorreta. Se uma porta trunk for provisionada incorretamente, o tráfego de convidados não etiquetado pode ser direcionado por defeito para a VLAN de gestão corporativa.

Mitigue este risco através de auditorias de configuração automatizadas. Realize testes de intrusão regulares que tentem encaminhar tráfego da rede de convidados para endereços IP internos. Se um ping alcançar um servidor corporativo a partir de um IP de convidado, a segmentação falhou. Certifique-se de que todas as interfaces de gestão (SSH, HTTPS) para o hardware de rede residem numa VLAN de gestão isolada e dedicada que seja inacessível tanto para o segmento de convidados como para o de funcionários.

ROI e Impacto no Negócio

A segmentação de rede é um pré-requisito para operar em segurança nos ambientes modernos de Retalho , Hotelaria e Transportes . Cumpre o Requisito 1.2 do PCI-DSS, que exige o isolamento dos ambientes de dados de titulares de cartões de redes não confiáveis, reduzindo significativamente o âmbito e o custo das auditorias de conformidade.

Alem da redução de riscos, uma arquitetura segmentada transforma o Guest WiFi de um mero custo operacional num ativo seguro de recolha de dados. Ao isolar com segurança o tráfego público, os espaços podem implementar Captive Portals avançados para recolher dados primários (first-party data), impulsionar inscrições em programas de fidelização e gerar um ROI de marketing mensurável, sem comprometer a segurança dos seus sistemas internos.

retail_deployment_scenario.png

Definições Principais

VLAN (Virtual Local Area Network)

Uma sub-rede lógica que agrupa uma coleção de dispositivos na mesma infraestrutura física como se estivessem em LANs separadas e isoladas.

As VLANs são a tecnologia fundamental para separar o tráfego de convidados do tráfego de funcionários sem necessitar de switches e pontos de acesso duplicados.

Autenticação 802.1X

Um padrão IEEE para controlo de acesso à rede baseado em portas que fornece um mecanismo de autenticação para dispositivos que desejam ligar-se a uma LAN ou WLAN.

Substitui as palavras-passe de WiFi partilhadas por credenciais individuais, garantindo que apenas dispositivos de funcionários autorizados podem aceder à VLAN corporativa.

Isolamento de Clientes

Uma funcionalidade de segurança sem fios que impede dispositivos ligados ao mesmo ponto de acesso de comunicar diretamente entre si.

Obrigatório em redes Guest WiFi para evitar que um utilizador malicioso lance ataques contra portáteis ou telemóveis de outros visitantes.

Captive Portal

Uma página web que um utilizador de uma rede de acesso público é obrigado a visualizar e interagir antes de lhe ser concedido acesso.

Utilizado na VLAN de Convidados para apresentar os termos de serviço e recolher dados de marketing primários antes de encaminhar o tráfego para a internet.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Contabilização (AAA) para utilizadores que se ligam e utilizam um serviço de rede.

O intermediário que valida as credenciais de WiFi de um funcionário no diretório corporativo (como o Microsoft Entra ID) antes de conceder acesso à rede.

Zero-Touch Provisioning

Um método de implementação onde os dispositivos de rede descarregam automaticamente a sua configuração a partir de uma plataforma de gestão centralizada ao ligarem-se à internet.

Essencial para grandes cadeias de retalho ou hotelaria para garantir configurações de VLAN consistentes e sem erros em centenas de locais.

PCI-DSS Requisito 1.2

Uma norma de conformidade que exige a restrição de ligações entre redes não confiáveis e quaisquer componentes do sistema no ambiente de dados do titular do cartão.

Uma segmentação de rede adequada utilizando VLANs é necessária para passar nesta auditoria e processar pagamentos com cartão de crédito de forma segura.

Quality of Service (QoS)

A utilização de mecanismos ou tecnologias que funcionam numa rede para controlar o tráfego e garantir o desempenho de aplicações críticas.

Utilizado para priorizar o tráfego de WiFi para funcionários (como transações POS) em detrimento do tráfego de WiFi para convidados (como streaming de vídeo) durante períodos de elevada congestão de rede.

Exemplos Práticos

Um hotel de luxo com 200 quartos necessita de fornecer WiFi para convidados, funcionários corporativos e uma nova implementação de fechaduras de portas com tecnologia IoT, mantendo a conformidade PCI-DSS para o seu sistema de gestão de propriedade.

Implemente uma arquitetura de quatro VLANs. Atribua a VLAN 10 para convidados, a VLAN 20 para funcionários corporativos, a VLAN 30 para o ambiente de cartões de pagamento (CDE) e a VLAN 40 para dispositivos IoT. O firewall deve impor listas de controlo de acesso (ACLs) rigorosas. O tráfego de convidados é encaminhado exclusivamente para a WAN. O tráfego de funcionários é permitido para o sistema de gestão de propriedade. A VLAN CDE é isolada de todas as outras VLANs, cumprindo o Requisito 1.2 do PCI-DSS. A VLAN IoT é restrita a comunicar apenas com o servidor cloud específico do fornecedor.

Comentário do Examinador: Esta arquitetura aplica o princípio do privilégio mínimo. Ao isolar os terminais de pagamento na sua própria VLAN, o hotel reduz drasticamente o seu âmbito de conformidade PCI-DSS. Se o dispositivo de um convidado for comprometido, a infeção não consegue atravessar o firewall para alcançar as redes corporativas ou de pagamento.

Uma cadeia de retalho com 500 localizações necessita de implementar WiFi seguro para funcionários e convidados de forma consistente, minimizando o risco de configurações incorretas locais que possam expor a rede corporativa.

Implemente uma implementação baseada em templates utilizando hardware gerido na cloud, como Cisco Meraki ou HPE Aruba. Defina um perfil de configuração mestre que especifique os SSIDs, tags de VLAN e regras de firewall. Utilize o Zero-Touch Provisioning para que, quando um novo ponto de acesso for ligado numa loja, este descarregue automaticamente a configuração validada. Gerencie o Captive Portal de convidados centralmente através da Purple para garantir uma experiência de marca consistente e uma recolha de dados unificada.

Comentário do Examinador: A escala introduz desvios de configuração. Depender da configuração manual de CLI em 500 locais garante erros. Os templates em nuvem garantem que a postura de segurança desenhada pela equipa de arquitetura central é imposta de forma idêntica em cada localização periférica, ao mesmo tempo que centraliza os dados analíticos.

Perguntas de Prática

Q1. O diretor de TI de um estádio propõe a difusão de oito SSIDs diferentes para separar o tráfego de adeptos, bilheteira, media, operações, VIPs, equipas, fornecedores e segurança. Qual é a falha arquitetónica nesta abordagem?

Dica: Considere o impacto das tramas de gestão no espetro de radiofrequência.

Ver resposta modelo

A difusão de oito SSIDs causará interferência de cocanal grave e sobrecarga de tramas de gestão, reduzindo drasticamente o tempo de antena disponível para a transmissão de dados real. A abordagem correta é transmitir no máximo três a quatro SSIDs (ex.: Adepto, Funcionários, Operações) e utilizar a atribuição dinâmica de VLAN 802.1X via RADIUS para colocar diferentes grupos de utilizadores (como media ou VIPs) nas respetivas VLANs isoladas após a autenticação.

Q2. Durante uma auditoria de rede num hospital, descobre que um portátil de convidado conseguiu fazer ping ao endereço IP de um servidor de radiologia interno. Os pontos de acesso estão configurados com SSIDs separados para convidados e funcionários. Qual é o erro de configuração mais provável?

Dica: Pense em como o tráfego viaja do ponto de acesso para a firewall.

Ver resposta modelo

O erro mais provável é uma vulnerabilidade de VLAN hopping causada por uma porta de switch mal configurada. Se a porta do switch que liga o ponto de acesso estiver configurada como uma porta de "acesso" na VLAN nativa e não como uma porta "trunk" 802.1Q, as etiquetas de VLAN aplicadas pelo ponto de acesso podem ser removidas ou ignoradas, enviando o tráfego de convidados diretamente para a rede corporativa não etiquetada.

Q3. Uma cadeia de retalho quer implementar WiFi para convidados, mas teme que os clientes que descarregam ficheiros grandes impeçam os terminais de ponto de venda (POS) de processar transações rapidamente. Como deve ser configurada a rede para evitar isto?

Dica: Considere tanto os limites de largura de banda como a priorização do tráfego.

Ver resposta modelo

A rede deve implementar dois controlos. Primeiro, aplicar limitação de largura de banda por utilizador na VLAN de convidados (ex.: limitando cada dispositivo a 5 Mbps) para evitar que um único utilizador sature a ligação. Segundo, configurar políticas de Quality of Service (QoS) no router/firewall para priorizar o tráfego originado na VLAN de funcionários/POS sobre o tráfego da VLAN de convidados, garantindo que os dados críticos do negócio sejam processados primeiro durante a congestão.

Continue a ler esta série

Guia completo de iPSK: um guia abrangente para empresas

Este guia explica a arquitetura de Identity Pre-Shared Key (iPSK) para promotores imobiliários, operadores de BTR e senhorios que implementam WiFi multi-inquilino. Abrange a integração de RADIUS, atribuição dinâmica de VLAN, isolamento de Camada 2 e gestão automatizada do ciclo de vida das credenciais para proporcionar uma experiência de residente de ativação instantânea em escala. Detalha também o caso de negócio para eliminar os routers de consumo por fração e as vantagens operacionais de integrar o iPSK com fornecedores de identidade como o Microsoft Entra ID, Okta e Google Workspace.

Ler o guia →

Guia de PPSK em PDF: comparação de funcionalidades e modelos de implementação

Este guia de referência técnica compara a arquitetura WiFi de Chave Privada Pré-Partilhada (PPSK) com as implementações tradicionais de 802.1X e PSK padrão. Fornece aos arquitetos de rede e gestores de TI estratégias de implementação neutras em termos de fornecedor para ambientes multi-inquilino residenciais, IoT e BTR.

Ler o guia →

Uu PPSK 2023: comparação de funcionalidades e modelos de implementação

Este guia de referência técnica compara a arquitetura WiFi Unique per-User Private Pre-Shared Key (UU PPSK) com as implementações tradicionais de PSK partilhado e 802.1X, com um foco específico no panorama de 2023 de implementações de fornecedores e capacidades de plataforma. Fornece aos promotores imobiliários, operadores de BTR e proprietários de MDU estratégias de implementação acionáveis, orientação sobre arquitetura de VLAN e fluxos de trabalho de gestão automatizada do ciclo de vida. O guia abrange três modelos de implementação, estudos de caso do mundo real e as implicações de conformidade de cada abordagem de autenticação.

Ler o guia →