Man mano che sempre più dispositivi si connettono alle reti WiFi pubbliche, le preoccupazioni relative alla sicurezza e all'autenticazione degli utenti continuano a dominare la conversazione. Questo è particolarmente vero quando si discutono i protocolli di sicurezza appropriati per le reti guest WiFi su larga scala che accolgono centinaia, migliaia o persino milioni di utenti al giorno. Senza le necessarie misure di sicurezza, gli utenti della rete condivisa rimangono vulnerabili. Inoltre, chi gestisce la rete potrebbe scoprire che quest'ultima risulta ingestibile.
Come standard di sicurezza di base, il WiFi pubblico ad alto traffico dovrebbe essere configurato con protocolli WPA-enterprise che utilizzano un meccanismo di autenticazione 802.1X. L'802.1X opera in combinazione con due protocolli di rete sicuri: Extensible Authentication Protocol Over Lans (EAPoL) e il server Remote Authentication Dial-In User Service (RADIUS). Questi rendono l'802.1x intrinsecamente più sicuro rispetto ai protocolli standard WPA-PSK o WPA2-PSK, che richiedono una password condivisa per consentire a tutti gli utenti di accedere alla rete.
Quando prendere in considerazione l'autenticazione 802.1x
Quando un utente internet accede a una rete WPA-PSK o WPA2-PSK (dove PSK sta per 'pre-shared key' o chiave precondivisa), l'autenticazione avviene quando l'utente inserisce la password o la chiave di sicurezza corretta della rete. Ciò consente alla macchina o al dispositivo dell'utente di unirsi, operare e potenzialmente controllare la rete senza alcuna credenziale identificativa. Questo diventa particolarmente problematico quando le aziende (con computer, registratori di cassa e dispositivi IoT connessi) condividono la loro rete principale con i clienti. Man mano che sempre più utenti accedono al tuo guest WiFi, sapere esattamente chi utilizza la tua rete (o chi conosce la password) diventa praticamente impossibile. Cambiare frequentemente la password per rimuovere utenti indesiderati dalla rete è inoltre laborioso e inefficiente, e non è l'ideale per reti di grandi dimensioni con un elevato volume di utenti.
Se sei un'azienda o una struttura che offre la sicurezza delle porte (che determina quali macchine possono unirsi a una rete in base all'indirizzo MAC del dispositivo), sorgono comunque problemi di sicurezza. Sebbene gli utenti non autorizzati non possano unirsi alla rete con i propri dispositivi, secondo Keith Bogart, nulla impedisce loro di impersonare un individuo su quel dispositivo se ne hanno l'opportunità (ad es. se un dispositivo autorizzato viene rubato, non è possibile determinare se l'utente corretto stia utilizzando la macchina).
L'autenticazione 802.1x risolve i problemi relativi ai protocolli di rete basati su password o sulla sicurezza delle porte, richiedendo che l'utente sia autenticato, indipendentemente dal dispositivo. Per questo motivo, raccomandiamo agli ambienti commerciali e professionali di utilizzare questi framework AAA (Authentication, Authorization, and Accounting) come misura standard.
Il processo di autenticazione 802.1x spiegato
L'autenticazione 802.1x è composta da tre parti che lavorano insieme per consentire a un utente di accedere a una determinata rete: il supplicant (richiedente), l'authenticator (autenticatore) e il server di autenticazione.
Al supplicant (o utente finale) che tenta di unirsi a una rete SSID viene inizialmente impedito l'accesso da un Authenticator. La comunicazione che avviene tra il supplicant e l'authenticator fa parte del protocollo EAPoL e contiene frame ethernet che trasportano le credenziali di accesso univoche del supplicant per una particolare rete. A seconda del livello di sicurezza necessario, gli authenticator possono richiedere ulteriori dettagli o interazioni da parte del supplicant (ad es. richiedendo un PIN o la compilazione di un codice captcha).
Dopo che i dati EAPoL sono stati identificati dall'authenticator come un tentativo di accesso, l'authenticator prepara i dati per il server di autenticazione, che alla fine consentirà o negherà l'accesso alla rete all'utente finale. Ciò comporta la conversione dei dati EAPoL in pacchetti RADIUS che consentono al server di interpretare le credenziali di accesso come una richiesta di accesso.
I server che operano sul protocollo di sicurezza RADIUS utilizzano un sistema di Authentication, Authorization, and Accounting (AAA o Triple A), che è un metodo molto più intelligente e sicuro per controllare l'accesso a reti, server, computer e così via. Server di questo tipo richiedono che i dati forniti dall'authenticator vengano incrociati (o autenticati) con infrastrutture di backend come directory o database contenenti i dettagli dell'utente e le corrispondenti credenziali necessarie per l'autenticazione. Una volta che le informazioni all'interno del pacchetto RADIUS vengono approvate dal server, una richiesta di approvazione viene inviata all'authenticator, concedendo al supplicant i diritti e i permessi di accesso appropriati.
Semplificare la vita
Poiché l'autenticazione 802.1x opera su server abilitati al protocollo RADIUS, le difficoltà relative alla gestione degli utenti e alla scalabilità per le reti protette da WPA sono inesistenti. Gli utenti che si uniscono alle reti con autenticazione 802.1x passano attraverso due livelli di crittografia dei dati e le loro sessioni sicure all'interno di reti specifiche vengono monitorate dal server RADIUS. A differenza delle reti protette da password (WPA), gli utenti autenticati possono essere tracciati individualmente e rimossi da una rete qualora rappresentino un qualsiasi tipo di minaccia. Anche scalare il numero di utenti è molto più semplice in assenza di una password, poiché gli utenti possono essere autenticati automaticamente in background. Per quanto riguarda le aziende che condividono la connessione con altri, l'accesso può anche essere limitato a determinate aree di una rete su un server RADIUS, il che è notevolmente più sicuro rispetto ad avere una rete ad accesso aperto che può essere facilmente infiltrata.
In definitiva, le operazioni WiFi su larga scala hanno molto da guadagnare dall'implementazione di una rete autenticata. Hanno anche molto da perdere se ignorano i rischi per la sicurezza legati alla gestione di reti WPA-PSK o WPA2-PSK con accesso pubblico.
