Vai al contenuto principale

Linee guida per la sicurezza delle reti scolastiche K-12 con il NAC

Questa guida di riferimento tecnica fornisce strategie pratiche per i responsabili IT per progettare, distribuire e gestire il controllo dell'accesso alla rete (NAC) negli ambienti scolastici K-12. Copre argomenti essenziali dall'autenticazione 802.1X e la segmentazione VLAN alla gestione dei dispositivi IoT con MAB e MPSK, garantendo una solida salvaguardia e conformità.

📖 6 minuti di lettura📝 1,270 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Best Practices for Securing K-12 School Networks with NAC Una sessione informativa di Purple WiFi - Circa 10 minuti --- INTRODUZIONE E CONTESTO - circa 1 minuto Benvenuti alla sessione informativa di Purple WiFi. Sono il vostro ospite e oggi affronteremo un argomento che si colloca esattamente all'intersezione tra salvaguardia, conformità e ingegneria di rete pratica: la sicurezza delle reti scolastiche K-12 tramite Network Access Control, o NAC. Se siete IT manager o architetti di rete che lavorano nel settore dell'istruzione, conoscete già la sfida. Avete un'unica rete fisica che deve servire insegnanti, studenti, membri del consiglio di istituto, genitori in visita, dispositivi IoT come lavagne interattive e telecamere a circuito chiuso, e talvolta fornitori esterni - tutto allo stesso tempo, tutti con livelli di attendibilità e requisiti di accesso molto diversi. La posta in gioco è alta. Le scuole conservano dati personali sensibili di minori. Sono soggette al GDPR, al CIPA nel contesto statunitense e, sempre più spesso, alle linee guida di Ofsted e DfE nel Regno Unito. Un singolo access point configurato in modo errato può esporre i registri di tutela o consentire a uno studente di passare alla rete amministrativa. Oggi vedremo quindi esattamente come progettare e distribuire una soluzione NAC in un ambiente K-12 - gli standard, la strategia di segmentazione, i punti di integrazione e le trappole che mettono in difficoltà anche i team più esperti. Iniziamo. --- APPROFONDIMENTO TECNICO - circa 5 minuti Cominciamo dalle basi. Il NAC - Network Access Control - è la disciplina che controlla chi e cosa può connettersi alla rete e cosa può fare una volta connesso. In un contesto K-12, ciò significa imporre l'autenticazione, l'autorizzazione e le policy al punto di accesso alla rete, che si tratti di una porta di uno switch cablato o di un access point wireless. Lo standard fondamentale in questo ambito è lo standard IEEE 802.1X. Si tratta del protocollo di autenticazione basato su porta che si interpone tra un supplicant - ovvero il dispositivo che tenta di connettersi -, un authenticator, che è lo switch o l'access point, e un server di autenticazione, in genere un server RADIUS. Quando un dispositivo tenta di connettersi, lo standard 802.1X lo mantiene in uno stato non autenticato, trasmette le credenziali al server RADIUS e concede l'accesso alla rete solo dopo che il server ha confermato la corrispondenza dell'identità e delle policy. In una scuola, questo si ricollega direttamente ai vari gruppi di utenti. Il personale si autentica con le proprie credenziali Active Directory o Azure AD. Gli studenti si autenticano con le credenziali fornite dalla scuola o con i certificati dei dispositivi. I dispositivi non gestiti - come il telefono di un genitore durante una serata di orientamento o il laptop di un fornitore esterno - vengono reindirizzati a un Captive Portal o a una VLAN ospiti limitata. Ora parliamo di segmentazione VLAN, perché è qui che la maggior parte delle reti scolastiche fa la scelta giusta o si espone a rischi. Il modello di segmentazione minimo praticabile per una rete scolastica (K-12) si presenta così. Sono necessarie almeno quattro VLAN. Primo, una VLAN Staff e Amministrazione - che supporta le workstation dei docenti, i sistemi MIS, i dati delle risorse umane e le applicazioni finanziarie. Accesso a Internet completo, ma nessun accesso laterale ai dispositivi degli studenti. Secondo, una VLAN Studenti - accesso a Internet filtrato, filtraggio dei contenuti applicato, nessun accesso alle risorse dello staff. Terzo, una VLAN IoT e Infrastruttura - dove risiedono smartboard, telecamere IP, sistemi di controllo degli accessi e stampanti. Questa VLAN non deve avere alcun accesso a Internet a meno che un dispositivo specifico non lo richieda, e deve essere protetta da firewall sia rispetto alla VLAN dello staff che a quella degli studenti. Quarto, una VLAN Ospiti o Visitatori - solo Internet, completamente isolata, con un captive portal per l'accettazione delle condizioni e l'acquisizione dell'identità. Il server RADIUS è il cervello di questa operazione. Nella maggior parte delle distribuzioni scolastiche, integrerai il RADIUS con il tuo servizio di directory esistente. Se utilizzi Microsoft Active Directory, questo viene in genere fatto tramite NPS (Network Policy Server) su Windows Server, oppure tramite un servizio RADIUS cloud se sei passato a Azure AD o Google Workspace. Il server RADIUS applica le policy in base all'appartenenza ai gruppi: a un utente nel gruppo di sicurezza "Staff" viene assegnata la VLAN 10, a un utente in "Studenti" viene assegnata la VLAN 20 e così via. Per quanto riguarda il wireless, l'attuale best practice è WPA3-Enterprise. WPA3 risolve le vulnerabilità note di WPA2, in particolare quelle relative agli attacchi a dizionario offline e alla vulnerabilità KRACK. WPA3-Enterprise utilizza la modalità di sicurezza a 192 bit per ambienti ad alta sensibilità, appropriata per l'SSID dello staff e dell'amministrazione. Per gli SSID degli studenti, WPA3-Personal con SAE (Simultaneous Authentication of Equals) rappresenta un miglioramento significativo rispetto a WPA2-PSK, poiché impedisce gli attacchi di forza bruta offline anche se la chiave precondivisa è compromessa. Una decisione architetturale che vale la pena evidenziare riguarda la scelta tra l'esecuzione di un singolo SSID con assegnazione dinamica della VLAN o l'utilizzo di più SSID. L'approccio a SSID singolo è più pulito dal punto di vista operativo: gli utenti si connettono a un solo nome di rete e il server RADIUS li assegna dinamicamente alla VLAN corretta in base alle loro credenziali. Ciò riduce il sovraccarico RF e semplifica la configurazione dei dispositivi. Tuttavia, richiede che tutti gli access point supportino l'assegnazione dinamica della VLAN tramite attributi RADIUS, nello specifico gli attributi Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID nella risposta RADIUS Access-Accept. Ora, la gestione dei dispositivi IoT rappresenta una sfida particolare nelle scuole. Smartboard, videocamere per documenti, sensori ambientali - questi dispositivi spesso non supportano affatto lo standard 802.1X. La soluzione in questo caso è il MAC Authentication Bypass, o MAB, combinato con il Multi-PSK, o MPSK. Il MAB consente di autenticare i dispositivi tramite il loro indirizzo MAC confrontandolo con una whitelist nel server RADIUS. Il MPSK va oltre - consente di assegnare una chiave pre-condivisa unica per dispositivo o gruppo di dispositivi, in modo che ogni dispositivo IoT abbia le proprie credenziali e la compromissione della chiave di un dispositivo non influisca sugli altri. Per una guida dettagliata su questo approccio, la guida di Purple su Managing IoT Device Security with NAC and MPSK copre in modo approfondito le specifiche di configurazione. Affrontiamo anche il controllo dello stato di conformità degli endpoint, perché è qui che le soluzioni NAC aziendali aggiungono un valore significativo rispetto al semplice 802.1X. Soluzioni come Cisco ISE, Aruba ClearPass o Forescout possono interrogare gli endpoint prima di concedere l'accesso - verificando se un dispositivo ha definizioni antivirus aggiornate, se il sistema operativo è patchato, se la crittografia del disco è abilitata. In un contesto scolastico, questo è particolarmente prezioso per i dispositivi di proprietà del personale o per gli scenari BYOD. Un dispositivo che fallisce i controlli di postura può essere messo in quarantena in una VLAN di remediation dove può accedere solo ai server di aggiornamento, anziché ottenere l'accesso completo alla rete. --- RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE DA EVITARE - circa 2 minuti Lasciate che vi illustri la sequenza pratica di deployment e poi vi segnali i tre errori che vedo più spesso. Iniziate con un audit completo della rete. Prima di toccare una singola configurazione, è necessario un inventario completo di ogni dispositivo sulla rete - cablata e wireless - e di ogni SSID attualmente in trasmissione. Utilizzate uno strumento come Nmap o la vostra piattaforma di gestione della rete esistente per censire i dispositivi. Troverete quasi certamente della shadow IT: hotspot personali, switch non gestiti, dispositivi che nessuno sapeva fossero lì. Fasate il vostro rollout. Non tentate di imporre l'autenticazione 802.1X in tutta la scuola dal primo giorno. Iniziate con un pilota - in genere la rete del personale nel blocco amministrativo. Eseguite prima in modalità di monitoraggio, in cui l'802.1X viene valutato ma non applicato, in modo da poter identificare i dispositivi che falliranno l'autenticazione prima di bloccare l'accesso a chiunque. Passate poi all'applicazione, VLAN per VLAN. Integrate con il vostro servizio di directory prima di distribuire agli utenti. La modalità di errore più comune è il deployment di RADIUS per poi scoprire che l'integrazione della directory è interrotta - a causa di regole del firewall che bloccano il traffico LDAP, o perché l'account di servizio utilizzato da RADIUS non ha autorizzazioni sufficienti per interrogare l'appartenenza al gruppo. Ora, i tre tranelli. Primo: i dispositivi legacy. Ogni scuola ne ha. Vecchie stampanti, apparecchiature AV legacy, lavagne interattive del 2012. Questi dispositivi non supporteranno l'802.1X. Tieni pronta una strategia di whitelist MAB prima di imporre l'autenticazione, o ti ritroverai a gestire le chiamate di tutti gli insegnanti la cui stampante ha smesso di funzionare il primo giorno di scuola. Secondo: la gestione dei certificati. L'autenticazione WPA3-Enterprise ed EAP-TLS richiede certificati. Se utilizzi una PKI gestita dalla scuola, assicurati che la tua autorità di certificazione sia attendibile su tutti i dispositivi gestiti prima della distribuzione. I dispositivi BYOD non gestiti chiederanno agli utenti di accettare un certificato non attendibile, il che crea un rischio di phishing - gli utenti vengono abituati a fare clic su "accetta" sugli avvisi di certificato. Terzo: conformità della rete ospiti. Ai sensi del GDPR, se acquisisci dati personali tramite un captive portal - anche solo un indirizzo email - hai bisogno di una base giuridica, di un'informativa sulla privacy e di una politica di conservazione dei dati. La piattaforma di guest WiFi di Purple gestisce tutto questo in modo nativo, fornendo flussi di captive portal conformi con gestione del consenso integrata, il che è particolarmente utile per le serate di orientamento e gli eventi per i genitori in cui si registrano rapidamente grandi numeri di visitatori. - DOMANDE E RISPOSTE RAPIDE - circa 1 minuto Lascia che passi in rassegna le domande che ricevo più spesso su questo argomento. "Abbiamo bisogno di un server RADIUS dedicato o possiamo usare un servizio cloud?" - Entrambe le opzioni sono valide. NPS on-premises su Windows Server è gratuito e si integra nativamente con Active Directory. I servizi di cloud RADIUS come Foxpass o JumpCloud RADIUS sono più adatti ad ambienti Azure AD o Google Workspace e riducono l'impronta della tua infrastruttura on-premises. "E i Chromebook?" - I Chromebook supportano l'802.1X nativamente e possono essere configurati tramite Google Admin Console per utilizzare EAP-TLS con certificati di dispositivo emessi tramite la gestione dei certificati di Google. Questo è l'approccio più pulito per le distribuzioni di Google Workspace per Education. "Come gestiamo i genitori alle serate di orientamento?" - Captive portal su una VLAN ospiti isolata. Nessun 802.1X richiesto. La piattaforma guest WiFi di Purple fornisce un portale personalizzato con il tuo brand e conforme al GDPR che acquisisce il consenso e può inviare dati analitici al tuo team di marketing o comunicazione. "Qual è il ROI per il NAC in una scuola?" - Principalmente la mitigazione del rischio. Una violazione dei dati che coinvolge i registri degli studenti può comportare sanzioni da parte dell'ICO, danni d'immagine e costi di riparazione significativi. Il costo di una soluzione NAC correttamente distribuita è una frazione del costo di una singola indagine su una violazione. - RIASSUNTO E PROSSIMI PASSI - circa 1 minuto In sintesi: proteggere una rete scolastica con NAC si basa su quattro pilastri. Identità - sapere chi e cosa si trova sulla rete in ogni momento. Segmentazione - garantire che un dispositivo studentesco compromesso non possa accedere ai dati del personale o all'infrastruttura IoT. Conformità - soddisfare i requisiti GDPR, CIPA e DfE per la protezione dei dati e la salvaguardia. E visibilità - disporre di funzionalità di logging e analisi per rilevare anomalie e rispondere rapidamente. Il punto di partenza pratico è un audit di rete e la progettazione delle VLAN. Fatto questo, la distribuzione di 802.1X segue una sequenza logica. Non cercare di fare tutto in una volta - procedi a fasi, testa in modalità monitor e crea la tua whitelist MAB prima dell'applicazione. Se stai valutando come una piattaforma di WiFi per ospiti e analisi si inserisca in questa architettura, la piattaforma di Purple si integra direttamente con la tua infrastruttura NAC per fornire onboarding conforme degli ospiti, analisi dei visitatori e applicazione delle policy - senza aggiungere complessità alla segmentazione della rete principale. Per ulteriori letture, le guide di Purple sulla sicurezza dei dispositivi IoT con NAC e MPSK, e le risorse più ampie sull'architettura di rete aziendale, sono collegate nelle note dello show. Grazie per l'ascolto. Alla prossima. --- FINE DELLO SCRIPT

header_image.png

Sintesi per la Direzione

La protezione delle reti scolastiche K - 12 è fondamentalmente un esercizio di mitigazione del rischio, gestione delle identità e conformità. I responsabili IT si trovano ad affrontare la complessa sfida di fornire un accesso continuo a un'utenza estremamente diversificata - tra cui personale, studenti, visitatori e appaltatori - proteggendo al contempo una gamma crescente di dispositivi IoT, come lavagne interattive e telecamere di sicurezza. Il Network Access Control (NAC), basato sullo standard IEEE 802.1X, fornisce la base architetturale per una solida segmentazione della rete, garantendo che i dispositivi siano autenticati, autorizzati e adeguatamente isolati prima di ottenere l'accesso alla rete.

Questa guida fornisce un quadro tecnico completo per l'implementazione del NAC negli ambienti scolastici. Descrive in dettaglio le best practice per l'integrazione RADIUS, l'architettura VLAN, il controllo della postura degli endpoint e il provisioning sicuro degli ospiti. Implementando queste strategie, i direttori delle operazioni delle strutture e i network architect possono ridurre significativamente la superficie di attacco, proteggere i dati sensibili relativi alla tutela dei minori e mantenere una rigorosa conformità agli standard normativi (come il GDPR e il CIPA) senza compromettere l'efficienza operativa della scuola.

Approfondimento Tecnico

Il principio fondamentale del NAC è lo zero trust all'edge della rete. Quando un dispositivo (il supplicant) si connette a uno switch di accesso o a un access point wireless (l'authenticator), il dispositivo viene posto in uno stato limitato. L'authenticator inoltra le credenziali a un server di autenticazione (solitamente un server RADIUS) utilizzando il protocollo 802.1X. Solo dopo che l'autenticazione ha avuto successo e la valutazione dei criteri è stata superata, il dispositivo viene assegnato alla VLAN appropriata con specifiche liste di controllo degli accessi (ACL).

Il Protocollo 802.1X e i Metodi EAP

Il framework Extensible Authentication Protocol (EAP) fornisce il meccanismo di trasporto per i vari metodi di autenticazione all'interno di 802.1X. Negli ambienti K - 12, le implementazioni più comuni sono:

  • PEAP-MSCHAPv2: Tipicamente utilizzato per i dispositivi del personale e degli studenti che si autenticano tramite credenziali Active Directory. Sebbene sia più semplice da implementare, è suscettibile ad attacchi di furto di credenziali se i client non convalidano rigorosamente il certificato del server.
  • EAP-TLS: Il gold standard per la sicurezza aziendale. Si basa su un'autenticazione reciproca basata su certificati, eliminando completamente la necessità di password. È fortemente raccomandato per i dispositivi gestiti (come i Chromebook forniti dalla scuola o i laptop del personale), dove una soluzione di Public Key Infrastructure (PKI) o Mobile Device Management (MDM) può configurare automaticamente i certificati necessari.

Standard di Sicurezza Wireless: WPA3-Enterprise

Per le reti wireless, WPA3-Enterprise rappresenta l'attuale punto di riferimento. Impone i Protected Management Frames (PMF) per prevenire gli attacchi di deautenticazione e offre una modalità di sicurezza a 192 bit per gli ambienti altamente sensibili (come le reti del personale e degli amministratori). Per le reti degli studenti, dove WPA3-Enterprise potrebbe risultare troppo complesso a causa degli scenari BYOD, WPA3-Personal con Simultaneous Authentication of Equals (SAE) fornisce una protezione robusta contro gli attacchi a dizionario offline, un miglioramento significativo rispetto allo standard legacy WPA2-PSK.

Architettura di segmentazione della rete

Un NAC efficace si basa su una rigida segmentazione della rete. Un'architettura di rete piatta costituisce una vulnerabilità critica. Una distribuzione standard per le scuole dell'obbligo dovrebbe implementare, come minimo, la seguente struttura VLAN:

  1. VLAN per il personale e gli amministratori: Accesso completo alle risorse interne, ai sistemi MIS e a Internet. Il movimento laterale da altre VLAN è rigorosamente limitato.
  2. VLAN per gli studenti: Accesso a Internet filtrato con l'applicazione di un rigido filtraggio dei contenuti. Nessun accesso alle risorse del personale o alle interfacce di gestione.
  3. VLAN per IoT e infrastruttura: Ospita lavagne multimediali, telecamere IP e sistemi di gestione degli edifici. Questa VLAN non deve avere accesso a Internet in uscita, a meno che un dispositivo specifico non lo richieda esplicitamente, e deve essere isolata dalle VLAN degli utenti.
  4. VLAN per gli ospiti: Solo accesso a Internet, isolata da tutte le reti interne, solitamente preceduta da un Captive Portal per l'accettazione dei termini e l'acquisizione dell'identità.

nac_architecture_overview.png

Guida all'implementazione

La distribuzione di un NAC richiede un approccio graduale e metodico per evitare di interrompere le attività didattiche.

Fase 1: Individuazione e audit

Prima di implementare qualsiasi misura di applicazione delle policy, esegui un audit completo della rete. Utilizza strumenti specifici per individuare tutti i dispositivi connessi, identificare la shadow IT (switch o access point non autorizzati) e documentare lo stato attuale della rete. Questa fase è fondamentale per creare una whitelist MAB (MAC Authentication Bypass) accurata per i dispositivi legacy.

Fase 2: Distribuzione dell'infrastruttura RADIUS

Distribuisci la tua infrastruttura RADIUS. Se utilizzi un Active Directory locale, Network Policy Server (NPS) rappresenta una scelta comune. Per gli ambienti orientati al cloud (Azure AD, Google Workspace), le soluzioni cloud RADIUS offrono un'integrazione semplificata. Assicurati che il server RADIUS sia configurato correttamente per comunicare con il tuo servizio di directory e che le regole del firewall consentano il traffico LDAP/LDAPS.

Fase 3: Modalità di monitoraggio

Abilita 802.1X in modalità monitor (a volte chiamata modalità aperta) sugli switch di accesso e sui controller wireless. In questo stato, l'autenticatore valuta le credenziali 802.1X e registra i risultati, ma non blocca l'accesso in caso di errore di autenticazione. Ciò consente al team IT di identificare i dispositivi configurati in modo errato, i certificati mancanti o i dispositivi legacy che richiedono MAB senza causare interruzioni di rete.

Fase 4: Applicazione e segmentazione

Una volta che i log della modalità monitor mostrano un tasso di successo elevato e tutte le anomalie sono state risolte, avvia l'applicazione dell'autenticazione 802.1X. Distribuisci a tappe - inizia con un gruppo pilota (ad esempio, il reparto IT), poi estendi al personale e infine agli studenti. Implementa l'assegnazione dinamica della VLAN tramite attributi RADIUS (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) per garantire che gli utenti siano inseriti nel segmento di rete corretto in base alla loro appartenenza ai gruppi di directory.

nac_deployment_checklist.png

Best Practice

  • Implementa MAB e MPSK per l'IoT: I dispositivi legacy e gli endpoint IoT headless spesso non dispongono di un supplicant 802.1X. Utilizza il MAC Authentication Bypass (MAB) per i dispositivi legacy, ma preferisci il Multi-PSK (MPSK) per i dispositivi IoT moderni. MPSK assegna una chiave pre-condivisa unica a ciascun dispositivo, garantendo che anche se una chiave viene compromessa, il resto della rete rimane sicuro. Per una guida dettagliata sulla configurazione, consulta la guida Gestione della sicurezza dei dispositivi IoT con NAC e MPSK .
  • Applica il controllo della postura dell'endpoint: Vai oltre la semplice autenticazione integrando i controlli di postura. Prima di concedere l'accesso, la soluzione NAC dovrebbe verificare che gli endpoint abbiano un software antivirus attivo, siano completamente aggiornati con le patch e abbiano la crittografia del disco abilitata. I dispositivi non conformi devono essere inseriti in una VLAN di ripristino.
  • Integra l'accesso ospiti con gli analytics: La rete ospiti deve essere isolata e conforme. L'integrazione di una piattaforma come Guest WiFi garantisce che l'accesso dei visitatori sia sicuro, conforme al GDPR e fornisca preziosi WiFi Analytics per comprendere l'utilizzo della struttura e l'affluenza.
  • Usa l'autenticazione basata su certificati (EAP-TLS) ovunque sia possibile: Per i dispositivi gestiti, EAP-TLS elimina la dipendenza dalle password, riducendo drasticamente il rischio di furto di credenziali e attacchi di phishing.

Risoluzione dei problemi e mitigazione dei rischi

Modalità di guasto comuni

  1. Errori di attendibilità del certificato: Se agli utenti BYOD viene richiesto di accettare un certificato server non attendibile durante l'autenticazione PEAP, verranno indotti a ignorare gli avvisi di sicurezza, creando un'enorme vulnerabilità al phishing. Mitigazione: Utilizzare sempre un certificato firmato da una Certificate Authority (CA) pubblicamente attendibile per il server RADIUS, oppure assicurarsi che il certificato root della CA interna venga distribuito a tutti i dispositivi gestiti tramite MDM.
  2. Errori di integrazione della directory: Se il server RADIUS non riesce a comunicare con il servizio di directory (ad esempio, se i domain controller AD non sono raggiungibili o la password di un account di servizio è scaduta), l'autenticazione RADIUS fallirà. Mitigazione: Implementare server RADIUS ridondanti e monitorare costantemente lo stato dell'integrazione della directory.
  3. Il "problema della stampante" (blocco dei dispositivi legacy): L'applicazione di 802.1X senza una whitelist MAB completa disconnetterà immediatamente le stampanti legacy, le apparecchiature AV e le vecchie lavagne interattive. Mitigazione: La fase di modalità monitor è essenziale. Non passare all'applicazione delle regole finché ogni dispositivo non autenticato non è stato identificato e profilato.

ROI e impatto aziendale

Sebbene il NAC sia principalmente un investimento in termini di sicurezza e conformità, offre un valore aziendale misurabile:

  • Mitigazione del rischio: Il costo finanziario e reputazionale di una violazione dei dati che coinvolge i registri degli studenti è catastrofico. Il NAC riduce drasticamente la superficie di attacco e impedisce il movimento laterale, contenendo le potenziali violazioni.
  • Efficienza operativa: L'assegnazione dinamica della VLAN riduce il sovraccarico amministrativo della configurazione manuale delle porte dello switch. Il personale IT dedica meno tempo alla gestione delle VLAN e più tempo alle iniziative strategiche.
  • Garanzia di conformità: Una solida implementazione NAC fornisce i percorsi di audit e i controlli di accesso necessari per dimostrare la conformità a GDPR, CIPA e alle normative locali sulla salvaguardia dei dati, semplificando gli audit e riducendo i rischi legali.

Definizioni chiave

Network Access Control (NAC)

Un'architettura di sicurezza che applica criteri sui dispositivi che tentano di accedere a una rete, garantendo che vengano ammessi solo i dispositivi autenticati e conformi.

Essenziale per i team IT per impedire l'accesso non autorizzato e segmentare il traffico di rete in base ai ruoli degli utenti (ad es. personale vs. studenti).

IEEE 802.1X

Lo standard IEEE per il controllo dell'accesso alla rete basato su porte, che fornisce un meccanismo di autenticazione ai dispositivi che desiderano collegarsi a una LAN o WLAN.

Il protocollo fondamentale che consente a switch e access point di verificare l'identità dell'utente prima di concedere l'accesso alla rete.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e tracciabilità (AAA) per gli utenti che si connettono e utilizzano un servizio di rete.

Il "cervello" della distribuzione del NAC, responsabile della verifica delle credenziali rispetto a una directory (come Active Directory) e dell'assegnazione delle VLAN.

MAC Authentication Bypass (MAB)

Una tecnica utilizzata per autenticare i dispositivi che non supportano 802.1X utilizzando il loro indirizzo MAC come credenziale rispetto a una whitelist approvata in precedenza.

Cruciale per consentire ai dispositivi legacy come vecchie stampanti e lavagne interattive di accedere alla rete senza compromettere il requisito 802.1X per i dispositivi moderni.

Multi-PSK (MPSK)

Una funzionalità di sicurezza wireless che consente di utilizzare più chiavi precondivise univoche su un singolo SSID, con ciascuna chiave che assegna policy di rete o VLAN specifiche.

La best practice per proteggere i moderni dispositivi IoT che non possono eseguire l'autenticazione 802.1X, isolandoli in modo sicuro.

Dynamic VLAN Assignment

Il processo in cui un server RADIUS istruisce lo switch o l'access point a inserire un utente autenticato in una VLAN specifica in base alla sua appartenenza a un gruppo di directory.

Riduce il sovraccarico amministrativo consentendo a un singolo SSID o alla configurazione di una porta dello switch di servire in modo sicuro più tipi di utenti.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Un metodo di autenticazione 802.1X che richiede l'autenticazione reciproca dei certificati tra il client e il server, eliminando l'uso delle password.

Il metodo di autenticazione più sicuro, fortemente raccomandato per i dispositivi gestiti forniti dalle scuole per prevenire il furto di credenziali.

Endpoint Posture Checking

Il processo di valutazione dello stato di sicurezza di un dispositivo (ad esempio, lo stato dell'antivirus, il livello di patch del sistema operativo) prima di concedergli l'accesso alla rete.

Garantisce che anche gli utenti autenticati non possano introdurre malware nella rete tramite dispositivi compromessi o privi di patch.

Esempi pratici

Una scuola secondaria di 1500 studenti deve distribuire 200 nuovi sensori ambientali wireless in tutto il campus. Questi sensori supportano solo WPA2-Personal e non dispongono di un supplicant 802.1X. In che modo il progettista di rete dovrebbe proteggere questi dispositivi senza compromettere la rete principale?

Il progettista dovrebbe distribuire un SSID nascosto dedicato per i dispositivi IoT e implementare il Multi-PSK (MPSK). A ciascun sensore (o gruppo di sensori) viene assegnata una chiave precondivisa complessa e univoca. Il controller wireless o il server RADIUS viene configurato per mappare queste chiavi specifiche sulla VLAN isolata "IoT & Infrastructure". Questa VLAN deve avere regole ACL rigorose applicate, negando qualsiasi accesso alle VLAN del personale e degli studenti, e limitando l'accesso a Internet in uscita solo ai particolari endpoint cloud richiesti dai sensori ambientali.

Commento dell'esaminatore: Questo approccio isola i dispositivi IoT vulnerabili evitando al contempo l'incubo operativo di gestire una singola PSK condivisa. Se un sensore viene rubato o compromesso, la sua chiave individuale può essere revocata senza influire sugli altri 199 dispositivi. Ciò è in linea con le linee guida descritte nella guida [Managing IoT Device Security with NAC and MPSK](/guides/managing-iot-device-security-with-nac-and-mpsk).

Durante la distribuzione di 802.1X (PEAP-MSCHAPv2) per i dispositivi BYOD degli studenti, l'helpdesk IT è sopraffatto da ticket di studenti che segnalano che i loro dispositivi mostrano un avviso relativo a un "certificato di rete non attendibile". Come dovrebbe essere risolto questo problema?

Il problema si verifica perché il server RADIUS utilizza un certificato firmato dall'Autorità di Certificazione (CA) interna e privata della scuola, di cui i dispositivi BYOD non si fidano nativamente. La soluzione immediata consiste nel sostituire il certificato del server RADIUS con uno rilasciato da una CA pubblica ampiamente riconosciuta (ad es. DigiCert, Let's Encrypt). A lungo termine, la scuola dovrebbe implementare un portale di onboarding che configuri in modo sicuro il supplicant e installi le ancore di attendibilità necessarie prima che il dispositivo tenti di connettersi.

Commento dell'esaminatore: Istruire gli utenti ad "accettare" o "considerare attendibile" manualmente un certificato sconosciuto è un grave errore di sicurezza, poiché li abitua a cadere vittima di attacchi Evil Twin o Man-in-the-Middle (MitM). L'uso di una CA pubblica per l'autenticazione RADIUS BYOD è una procedura standard del settore per garantire un onboarding fluido e sicuro.

Domande di esercitazione

Q1. Un distretto scolastico sta migrando interamente i propri servizi di directory su Google Workspace e sta dismettendo Active Directory on-premise. Attualmente utilizzano NPS per il RADIUS. Quale modifica architetturale è richiesta per mantenere l'autenticazione 802.1X per la loro flotta di Chromebook gestiti?

Suggerimento: Considera come i Chromebook si autenticano nativamente e quale infrastruttura è necessaria quando Active Directory viene rimosso.

Visualizza risposta modello

Il distretto dovrebbe migrare a un provider cloud RADIUS (ad esempio, SecureW2, Foxpass) che si integra nativamente con Google Workspace, oppure utilizzare le funzionalità Cloud RADIUS di Google se disponibili nel loro livello di licenza. Dovrebbero configurare i Chromebook tramite la Google Admin Console per utilizzare EAP-TLS, sfruttando i certificati dei dispositivi forniti automaticamente dalla gestione dei certificati di Google, rimuovendo completamente la dipendenza da password e server NPS on-premise.

Q2. Durante un controllo di rete, il team IT scopre un router wireless di livello consumer collegato a una porta a muro di un'aula, che trasmette un SSID nascosto. In che modo una soluzione NAC configurata correttamente impedisce a questa infrastruttura IT ombra di compromettere la rete?

Suggerimento: Pensa a cosa succede a livello di porta dello switch quando viene collegato un dispositivo non gestito.

Visualizza risposta modello

Con l'802.1X applicato sulle porte dello switch cablato, il router consumer fallirà l'autenticazione perché privo di credenziali valide o di un certificato. La porta dello switch rimarrà in uno stato non autorizzato (bloccando tutto il traffico) o assegnerà dinamicamente la porta a una VLAN di remediation isolata. Inoltre, le soluzioni NAC aziendali possono rilevare la presenza di NAT o di più indirizzi MAC dietro una singola porta, attivando lo spegnimento automatico della porta per isolare il dispositivo non autorizzato.

Q3. Un direttore delle operazioni di una grande sede universitaria desidera fornire un accesso WiFi continuo ai genitori in visita durante un torneo sportivo, ma il team IT è preoccupato per la conformità al GDPR e la sicurezza della rete. Qual è l'approccio consigliato?

Suggerimento: Considera il compromesso tra la facilità di accesso e i requisiti legali per l'acquisizione dei dati degli utenti.

Visualizza risposta modello

Il team IT dovrebbe predisporre una VLAN Guest dedicata, strettamente isolata da tutte le risorse interne e con accesso esclusivo a Internet. Dovrebbero implementare una soluzione di captive portal, come la piattaforma Guest WiFi di Purple, per gestire la registrazione. Ciò garantisce che i visitatori debbano accettare i termini e le condizioni e fornire il consenso esplicito al trattamento dei dati prima di ottenere l'accesso, soddisfacendo i requisiti GDPR e mantenendo al contempo sicura la rete principale.