Accesso Ospiti Sicuro: Implementare il NAC per i Dispositivi Non Gestiti

Secure Guest Access: Implementing NAC for Unmanaged Devices. A Purple WiFi Intelligence Briefing. Introduction and Context. Welcome. If you're responsible for network security at a hotel, retail chain, stadium, or public-sector venue, you're dealing with a problem that's only getting harder: how do you give guests, visitors, and contractors fast, convenient WiFi access — without opening a door into your corporate infrastructure? That's exactly what we're going to work through today. This isn't a theoretical overview. We're going to cover the architecture, the deployment decisions, the compliance requirements, and the real-world scenarios where this goes right — and where it goes wrong. The core challenge is this: unmanaged devices. Your guests are connecting with personal smartphones, laptops, tablets, and increasingly IoT devices — none of which you control, none of which have your MDM agent installed, and all of which represent a potential security risk if they're not properly segmented and authenticated. Network Access Control, or NAC, is the framework that solves this. Let's get into it. Technical Deep-Dive. First, let's be precise about what NAC actually is. Network Access Control is a security framework that enforces policy-based access to network resources. It evaluates who is connecting, what device they're using, and whether that device meets your security posture requirements — before granting access. For unmanaged guest devices, the posture check is necessarily lightweight, but the identity and segmentation components are critical. The architecture breaks down into three functional layers. The first is the authentication layer. For managed corporate devices, you'd typically use IEEE 802.1X with EAP-TLS, where certificates are pushed via SCEP through your MDM. But for unmanaged guest devices, 802.1X isn't practical — guests don't have certificates, and you can't push them. So the authentication layer for guests relies on a Captive Portal: a web-based authentication page that intercepts the initial HTTP or HTTPS request and redirects the user to a login or registration flow. This is where platforms like Purple's Guest WiFi solution operate — capturing identity through social login, email, SMS verification, or form-based registration, and passing that identity to the NAC policy engine. The second layer is the policy engine. This is where access decisions are made. The NAC system evaluates the authenticated identity against your access policies and assigns the device to the appropriate network segment. For a guest, that typically means a dedicated Guest VLAN with internet-only access and no route to your corporate subnets. For a contractor with a known device, you might assign them to a restricted VLAN with access to specific internal resources. The policy engine can also enforce time-based access — a conference delegate gets access for the duration of the event, a hotel guest gets access for their stay duration. Il terzo livello è l'enforcement. Questo viene gestito all'edge della rete: i vostri access point wireless, switch e firewall. Il sistema NAC comunica con questi dispositivi tramite RADIUS, ovvero il protocollo Remote Authentication Dial-In User Service. Quando un ospite si autentica, il server RADIUS restituisce un messaggio di Access-Accept con gli attributi di assegnazione della VLAN, e l'access point inserisce il dispositivo nella VLAN corretta. Se l'autenticazione fallisce, il server RADIUS restituisce un Access-Reject e il dispositivo rimane in una VLAN di quarantena pre-autenticazione con accesso consentito solo al Captive Portal. Ora parliamo di WPA3. Se state distribuendo o aggiornando la vostra infrastruttura wireless, il WPA3 dovrebbe essere presente nella vostra roadmap. Il WPA3-SAE, che sta per Simultaneous Authentication of Equals, sostituisce il WPA2-PSK ed elimina la vulnerabilità agli attacchi di dizionario offline. Specificamente per le reti ospiti, il WPA3-OWE — Opportunistic Wireless Encryption — è particolarmente rilevante. L'OWE fornisce la crittografia senza richiedere una password, il che significa che gli ospiti ottengono una connessione crittografata senza alcun attrito aggiuntivo. Si tratta di un miglioramento significativo rispetto al tradizionale SSID ospite aperto, che trasmette i dati in chiaro. La conformità non è negoziabile nella maggior parte dei settori di cui stiamo parlando. Se gestite un hotel con un sistema di punto vendita, il PCI DSS richiede una rigorosa segmentazione della rete tra gli ambienti con i dati dei titolari di carta e le reti ospiti. Il requisito è esplicito: il WiFi ospiti deve trovarsi su un segmento di rete separato senza alcun instradamento verso l'ambito PCI. Il NAC impone questo a livello di rete, e la policy del vostro firewall lo impone al perimetro. Il GDPR aggiunge un'altra dimensione: se raccogliete dati sull'identità degli ospiti tramite il vostro Captive Portal, avete bisogno di un consenso esplicito, di una base giuridica per il trattamento e di una policy di conservazione dei dati. La piattaforma di Purple gestisce l'acquisizione del consenso conforme al GDPR in modo nativo, con periodi di conservazione configurabili e registri di controllo. Affrontiamo anche la randomizzazione degli indirizzi MAC, perché rappresenta un vero problema operativo. A partire da iOS 14, Android 10 e Windows 10, i dispositivi randomizzano il proprio indirizzo MAC per SSID per impostazione predefinita. Questo interrompe qualsiasi policy NAC che si affida all'indirizzo MAC come identificatore persistente. La risposta corretta consiste nello spostare il modello di identità sull'utente autenticato, non sul MAC del dispositivo. Quando un ospite si autentica tramite il vostro Captive Portal, collegate la sua sessione alla sua identità autenticata — e-mail, numero di telefono o profilo social — anziché al suo indirizzo MAC. La piattaforma di analisi di Purple gestisce questo aspetto correttamente, mantenendo l'identità a livello di utente tra le sessioni anche al variare dell'indirizzo MAC. Per le organizzazioni che necessitano di una valutazione più rigorosa dello stato di sicurezza dei dispositivi non gestiti, esistono approcci con e senza agente. La valutazione dello stato senza agente utilizza tecniche come l'OS fingerprinting, la scansione delle porte aperte e l'analisi dell'user-agent HTTP per classificare i dispositivi e valutare la conformità di base. Questo approccio è ideale per le reti ospiti in cui si desidera identificare il tipo di dispositivo a scopo di analisi o applicare policy differenziate, ad esempio bloccando l'accesso di determinati dispositivi IoT a servizi specifici. La valutazione dello stato basata su agente richiede invece che l'utente installi un agente temporaneo, il che è appropriato per scenari di accesso di partner o collaboratori esterni, ma crea attrito per gli ospiti occasionali. Raccomandazioni di implementazione e trappole da evitare. Vediamo ora la sequenza di implementazione più efficace nella pratica. Inizia con la segmentazione della rete prima ancora di toccare la configurazione del NAC. Definisci le tue VLAN: una VLAN di pre-autenticazione con accesso esclusivo al Captive Portal e al DNS, una VLAN ospiti con accesso a Internet e senza rotte interne e, opzionalmente, una VLAN per i collaboratori esterni con accesso interno limitato. Configura i tuoi ACL del firewall. Questa è la base su cui si poggia tutto il resto. In secondo luogo, implementa la tua infrastruttura RADIUS. Per la maggior parte delle implementazioni del mercato medio, la scelta migliore è un servizio RADIUS ospitato in cloud e integrato con la tua piattaforma di Captive Portal. Questo elimina i costi operativi di gestione dei server RADIUS on-premise e fornisce la ridondanza necessaria per una rete ospiti di produzione. Assicurati che i segreti condivisi RADIUS siano robusti e ruotati regolarmente. In terzo luogo, configura il tuo Captive Portal. Il portale deve essere accessibile dalla VLAN di pre-autenticazione, il che significa che la risoluzione DNS per il dominio del portale deve funzionare prima dell'autenticazione. Configura il tuo scope DHCP sulla VLAN di pre-autenticazione in modo che punti a un server DNS in grado di risolvere il dominio del portale. Esegui test accurati: la configurazione errata del DNS è la causa più comune di malfunzionamento del Captive Portal. In quarto luogo, testa l'assegnazione delle VLAN end-to-end. Connetti un dispositivo di test, completa il flusso di autenticazione e verifica che il dispositivo venga indirizzato sulla VLAN corretta con la policy di accesso appropriata. Utilizza un packet capture per confermare che gli attributi RADIUS vengano passati correttamente. Verifica che la VLAN ospiti non abbia rotte verso le sottoreti aziendali: esegui un traceroute dalla VLAN ospiti a un IP aziendale e conferma che fallisca. Ora, le insidie. La modalità di errore più comune è la configurazione errata dello split-tunnel, in cui la VLAN guest ha una rotta non intenzionale verso le risorse interne a causa di una regola del firewall configurata male o di una ACL mancante. Controlla le regole del firewall prima del go-live. Il secondo errore comune è la gestione del timeout RADIUS: se il server RADIUS non è raggiungibile, cosa succede? Assicurati che i tuoi punti di accesso siano configurati in modalità fail-closed, non fail-open. Fail-open significa che gli ospiti ottengono l'accesso alla rete anche se il RADIUS è inattivo, il che rappresenta un rischio per la sicurezza. Fail-closed significa nessun accesso se il RADIUS non è raggiungibile, il che rappresenta la postura corretta per un'implementazione sicura. La terza insidia è la scadenza del certificato sul Captive Portal. Se il certificato TLS del tuo portale scade, gli ospiti vedranno un avviso di sicurezza del browser e il tasso di autenticazione scenderà quasi a zero. Automatizza il rinnovo del certificato con Let's Encrypt o con la tua piattaforma di gestione dei certificati. Domande e risposte rapide. Ho bisogno di 802.1X per le reti guest? No. 802.1X è appropriato per i dispositivi aziendali gestiti. Per gli ospiti non gestiti, un Captive Portal con assegnazione VLAN basata su RADIUS è l'architettura corretta. Posso usare un singolo SSID sia per gli ospiti che per i dispositivi aziendali? Tecnicamente sì, utilizzando l'assegnazione dinamica della VLAN in base all'esito dell'autenticazione. Ma dal punto di vista operativo, SSID separati sono più semplici da gestire e più facili da controllare. Tienili separati. Come gestisco i dispositivi IoT che non possono completare il flusso di un Captive Portal? Utilizza il bypass dell'autenticazione basato su MAC, o MAB, per i dispositivi IoT noti con indirizzi MAC preregistrati. Per i dispositivi IoT sconosciuti, inseriscili in una VLAN di quarantena e verificali manualmente. Qual è il timeout di sessione corretto per l'accesso guest? Per il settore hospitality, allinealo alla durata del soggiorno dell'ospite. Per il retail, la durata tipica è da due a quattro ore. Per gli eventi, allinealo al programma dell'evento. Imposta sempre un timeout di inattività: 30 minuti di inattività sono un valore predefinito ragionevole. Devo registrare il traffico degli ospiti? Sì, per scopi legali e di conformità. Conserva i log di connessione (IP di origine, timestamp, identità autenticata) per un minimo di 90 giorni, o più a lungo se richiesto dalla tua giurisdizione. La piattaforma di Purple fornisce questo audit trail in modo nativo. Sintesi e prossimi passi. Per riassumere: l'accesso guest sicuro per i dispositivi non gestiti è un problema risolto, ma richiede un'architettura deliberata. I tre pilastri sono l'identità (chi si connette), la segmentazione (dove possono andare) e l'applicazione (come garantire che la policy venga rispettata). Il NAC unisce questi elementi, con RADIUS come protocollo di comunicazione tra la piattaforma di autenticazione e l'infrastruttura di rete. Per i tuoi prossimi passi: se non l'hai già fatto, controlla l'attuale segmentazione della tua rete guest. Conferma che non vi siano rotte dalla VLAN guest alle sottoreti aziendali. Verifica il flusso di consenso GDPR del tuo Captive Portal e la configurazione della conservazione dei dati. E se utilizzi WPA2 con un SSID guest aperto, inserisci WPA3-OWE nella roadmap di aggiornamento della tua infrastruttura. La piattaforma di Purple si integra direttamente con questa architettura, fornendo il captive portal, l'acquisizione dell'identità, il livello di conformità GDPR e la reportistica analitica che si appoggiano alla tua infrastruttura NAC. Se desideri vedere come questo si adatta al tuo specifico ambiente, il team di Purple può illustrarti un'architettura di riferimento per il tuo caso d'uso. Grazie per l'attenzione. Questo è stato un Purple WiFi Intelligence Briefing su Secure Guest Access: Implementing NAC for Unmanaged Devices.