Vai al contenuto principale

Come configurare l'autenticazione WiFi 802.1X: una guida dettagliata

Questa guida tecnica fornisce una procedura dettagliata per configurare l'autenticazione WiFi aziendale 802.1X. Copre la configurazione del server RADIUS, la distribuzione dei certificati e le strategie pratiche di implementazione per i responsabili IT in ambienti ad alta affluenza.

📖 5 minuti di lettura📝 1,126 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Come configurare l'autenticazione WiFi 802.1X: una guida passo dopo passo Un podcast di Purple Enterprise WiFi Intelligence [INTRODUZIONE — circa 1 minuto] Benvenuti di nuovo. Vi parlo oggi in qualità di senior solutions architect e, se state ascoltando questo podcast, probabilmente vi trovate di fronte a un progetto di sicurezza di rete che prevede l'autenticazione 802.1X - o perché il vostro team di compliance l'ha segnalato, o perché il vostro assicuratore lo ha richiesto, oppure perché avete appena ereditato una rete che funziona su una chiave PSK condivisa e sapete bene che non è più sufficiente. Quindi entriamo subito nel vivo. Lo standard 802.1X è lo standard IEEE per il controllo dell'accesso alla rete basato su porte. È la spina dorsale della sicurezza WiFi aziendale - il meccanismo che garantisce che ogni dispositivo che si connette alla vostra rete sia stato identificato e autorizzato in modo certo prima di ricevere anche un solo byte di traffico. Non si tratta di un'opzione facoltativa per le organizzazioni che gestiscono i dati delle carte di pagamento ai sensi dello standard PCI-DSS, non è facoltativa per gli ambienti sanitari ai sensi del GDPR e degli standard di sicurezza dei dati del SSN e, francamente, per qualsiasi organizzazione che gestisca più di una manciata di access point, è l'architettura corretta. Nei prossimi dieci minuti vi guiderò attraverso l'architettura tecnica, la configurazione RADIUS, l'implementazione dei certificati e gli scenari reali in cui la situazione si complica. Cominciamo. [APPROFONDIMENTO TECNICO — circa 5 minuti] Bene, l'infrastruttura 802.1X si compone di tre elementi. Abbiamo il Supplicant - ovvero il dispositivo client, il laptop, il telefono, il sensore IoT. Abbiamo l'Authenticator - che è il vostro access point o il vostro switch di rete, talvolta chiamato NAS, il Network Access Server. E infine l'Authentication Server - quasi universalmente un server RADIUS nelle implementazioni aziendali. Ecco come funziona l'handshake. Quando un dispositivo tenta di connettersi a un SSID protetto da 802.1X, l'access point non si limita a farlo accedere. Al contrario, apre quella che viene definita una porta controllata - un canale limitato che trasmette solo il traffico EAP, l'Extensible Authentication Protocol. L'AP invia un pacchetto EAP-Request Identity al dispositivo. Il dispositivo risponde con la propria identità. L'AP la inoltra quindi al server RADIUS, incapsulata in un pacchetto RADIUS Access-Request. Il server RADIUS esegue l'autenticazione - verificando le credenziali rispetto ad Active Directory, a un archivio di certificati o a qualsiasi backend di identità configurato - e restituisce un messaggio di Access-Accept o di Access-Reject. Solo in caso di Accept l'AP apre la porta dati completa e assegna il dispositivo alla VLAN appropriata. Ora, il metodo EAP scelto in questa fase è di fondamentale importanza. Ne esistono cinque che incontrerete nelle implementazioni aziendali. EAP-TLS è lo standard di riferimento. Sia il client che il server presentano certificati X.509. Non sono coinvolte password. È l'opzione più sicura e quella richiesta per i livelli di conformità PCI-DSS più elevati. Il problema è che è necessaria una PKI completa (una Public Key Infrastructure) per emettere e gestire i certificati client. Ciò significa un'Autorità di Certificazione, la gestione del ciclo di vita dei certificati e un meccanismo per distribuire i certificati su ogni dispositivo. Per le organizzazioni con Microsoft Active Directory e Active Directory Certificate Services, questo è facilmente realizzabile. Per le organizzazioni prive di tale infrastruttura, rappresenta un investimento significativo. PEAP-MSCHAPv2 è il metodo più ampiamente implementato nella pratica. Crea un tunnel TLS utilizzando solo un certificato lato server, quindi trasmette le credenziali di nome utente e password all'interno di tale tunnel. È compatibile con quasi tutti i dispositivi pronti all'uso, si integra direttamente con Active Directory tramite NPS su Windows Server e non richiede certificati client. Il compromesso è che è vulnerabile agli attacchi di raccolta delle credenziali se gli utenti vengono indotti a connettersi a un AP non autorizzato, poiché il client non convalida il certificato del server per impostazione predefinita. È necessario imporre la convalida del certificato del server nei profili supplicant. EAP-TTLS è simile a PEAP ma più flessibile nel metodo di autenticazione interno. È comune negli ambienti Linux e laddove è necessario supportare backend di autenticazione legacy. EAP-FAST è stato sviluppato da Cisco come risposta ai punti deboli di LEAP. Utilizza Protected Access Credentials anziché certificati. È rilevante principalmente se ci si trova in un ambiente a forte presenza Cisco o se si gestiscono dispositivi legacy che non supportano gli altri metodi. EAP-SIM ed EAP-AKA sono utilizzati nelle distribuzioni di livello carrier - si pensi a OpenRoaming o Passpoint - in cui l'autenticazione è legata a una scheda SIM o USIM. Questi metodi sono sempre più rilevanti per il WiFi dei luoghi pubblici in cui si desidera un onboarding sicuro e senza interruzioni senza un Captive Portal. Parliamo ora della configurazione RADIUS. Sia che si stia distribuendo Microsoft NPS, FreeRADIUS, Cisco ISE o Aruba ClearPass, i passaggi fondamentali di configurazione sono gli stessi. In primo luogo, si definiscono i client RADIUS: questi sono i punti di accesso o i controller LAN wireless. Ogni client viene registrato con il proprio indirizzo IP e un segreto condiviso. Tale segreto condiviso viene utilizzato per autenticare i messaggi RADIUS tra l'AP e il server. Utilizzare un minimo di 22 caratteri, generati casualmente e univoci per ogni dispositivo NAS. In secondo luogo, si configura la policy di rete. Qui si definisce chi ottiene l'accesso a cosa. In termini NPS, si crea una Network Policy che soddisfa determinate condizioni - appartenenza a un gruppo in Active Directory, tipo di dispositivo, ora del giorno - e assegna attributi - ID VLAN, timeout di sessione, limiti di larghezza di banda. L'attributo RADIUS che verrà utilizzato di più è l'assegnazione della VLAN, in particolare Tunnel-Type impostato su VLAN, Tunnel-Medium-Type impostato su 802 e Tunnel-Private-Group-ID impostato sul numero della propria VLAN. In terzo luogo, si configura il criterio di richiesta di connessione. Questo indica a NPS come gestire le richieste RADIUS in entrata - se autenticarle localmente o inoltrarle a un altro server RADIUS. In una distribuzione distribuita, potreste avere un server RADIUS centrale con proxy NPS presso ciascun sito. Per quanto riguarda i certificati, per PEAP ed EAP-TLS, il server RADIUS necessita di un certificato server considerato attendibile dai client. La via più semplice consiste nell'utilizzare un certificato rilasciato da una CA pubblica - DigiCert, Sectigo, Let's Encrypt - poiché tali certificati root sono già considerati attendibili da tutti i principali sistemi operativi. Se utilizzate una CA interna, dovete distribuire il certificato root a tutti i dispositivi client tramite Criteri di gruppo o la vostra piattaforma MDM. Specificamente per EAP-TLS, sono necessari anche i certificati client. In un ambiente Active Directory, utilizzereste ADCS con registrazione automatica tramite Criteri di gruppo per inviare i certificati ai dispositivi aggiunti al dominio. Per i dispositivi BYOD, utilizzereste il vostro MDM - Intune, Jamf, VMware Workspace ONE - per distribuire sia il certificato sia il profilo WiFi. Sul lato access point, la configurazione è semplice. Create un nuovo SSID, impostate la sicurezza su WPA2-Enterprise o WPA3-Enterprise, puntate il server di autenticazione RADIUS sull'IP del vostro NPS sulla porta UDP 1812, impostate il server di accounting RADIUS sulla porta UDP 1813, inserite il segreto condiviso e abilitate l'assegnazione dinamica della VLAN, se la utilizzate. La maggior parte delle piattaforme AP aziendali - Cisco Meraki, Aruba, Ruckus, Extreme - dispone di una GUI dedicata che richiede circa dieci minuti di configurazione una volta che il server RADIUS è pronto. [CONSIGLI DI IMPLEMENTAZIONE E TRAPPOLE COMUNI - circa 2 minuti] Bene, parliamo di dove i deployment tendono a fallire, perché è proprio qui che si gioca la mia reputazione di consulente. Il punto di vulnerabilità più comune è la convalida del certificato. Ho visto organizzazioni distribuire correttamente PEAP-MSCHAPv2 sul lato server, per poi lasciare i profili supplicant dei client configurati in modo da accettare qualsiasi certificato. Questo vanifica completamente il modello di sicurezza. Ogni profilo supplicant - che sia distribuito tramite Criteri di gruppo o MDM - deve specificare la CA root attendibile e il nome del server previsto. Senza questo accorgimento, sarete vulnerabili agli attacchi di tipo "evil twin". Il secondo problema comune è la gestione del segreto condiviso RADIUS. Ho visto reti di produzione attive con il segreto condiviso impostato su "radius" o sul valore predefinito del fornitore. Questi segreti sono le chiavi di accesso alla vostra infrastruttura di autenticazione. Generateli in modo casuale, memorizzateli in un gestore di credenziali e ruotateli periodicamente. Terzo: la configurazione errata delle VLAN. L'assegnazione dinamica della VLAN è uno strumento potente - vi consente di inserire i dispositivi del personale sulla VLAN aziendale, i collaboratori esterni su una VLAN con restrizioni e i dispositivi IoT su una VLAN isolata, il tutto dallo stesso SSID. Tuttavia, se gli attributi RADIUS non sono configurati correttamente o se le porte trunk degli switch non trasportano le VLAN corrette, i dispositivi non riusciranno a connettersi o finiranno sul segmento sbagliato. Testate accuratamente questo aspetto in un ambiente di prova prima di passare alla produzione.Quarto: la ridondanza. Il server RADIUS è ormai un elemento critico dell'infrastruttura. Se smette di funzionare, nessuno si connette. È necessario configurare come minimo un server RADIUS primario e uno secondario su ogni AP. Nelle implementazioni di grandi dimensioni, considera i cluster proxy RADIUS con monitoraggio dello stato. Quinto, e questo è specifico per i settori hospitality e retail: la separazione tra rete ospiti e aziendale. Il tuo SSID aziendale 802.1X e il tuo SSID WiFi per gli ospiti devono essere completamente separati - VLAN diverse, policy di firewall diverse, DNS diversi. Una piattaforma come Purple gestisce la parte ospiti con il proprio captive portal e il relativo livello di analytics, mentre l'infrastruttura 802.1X gestisce la parte aziendale. Si tratta di sistemi complementari, non concorrenti. [DOMANDE E RISPOSTE RAPIDE - circa 1 minuto] Passiamo in rassegna le domande che ricevo più spesso. Posso eseguire 802.1X su una piattaforma AP gestita in cloud? Sì - Meraki, Aruba Central e Ruckus Cloud lo supportano. Configura i dettagli del server RADIUS nella dashboard cloud e gli AP gestiranno il proxying EAP. Ho bisogno di Active Directory? No. FreeRADIUS può autenticarsi tramite LDAP, database SQL, file flat o persino API REST. Ma l'integrazione di AD tramite NPS è di gran lunga il percorso aziendale più comune. E per i dispositivi IoT che non supportano 802.1X? Utilizza il MAC Authentication Bypass - MAB - come fallback. L'indirizzo MAC del dispositivo viene inviato a RADIUS come nome utente e password. Non è sicuro come l'EAP, ma consente di integrare i dispositivi IoT mantenendoli in una VLAN limitata. Il protocollo 802.1X funziona con WPA3? Sì. WPA3-Enterprise è essenzialmente WPA3 con autenticazione 802.1X. Aggiunge una crittografia più forte - a 192 bit nella modalità ad alta sicurezza - ed è lo standard consigliato per le nuove installazioni. [RIASSUNTO E PROSSIMI PASSI - circa 1 minuto] Quindi, per riassumere: l'802.1X non è un optional. Per qualsiasi organizzazione che gestisce dati sensibili, elabora pagamenti o opera in un ambiente regolamentato, rappresenta la linea di base per la sicurezza WiFi aziendale. L'architettura è consolidata, gli strumenti sono maturi e il percorso di implementazione è chiaro. Inizia con la selezione del metodo EAP - PEAP-MSCHAPv2 se hai bisogno di risultati rapidi e di un'ampia compatibilità, EAP-TLS se disponi di un'infrastruttura PKI e necessiti del massimo livello di sicurezza. Configura il tuo server RADIUS e impostalo come ridondante prima di toccare un singolo AP. Distribuisci i profili supplicant tramite Criteri di gruppo o MDM prima di andare online. E mantieni il tuo WiFi ospiti completamente separato - utilizza una piattaforma dedicata per quel livello. Se gestisci un ambiente multisede - hotel, catene di negozi, stadi - la complessità aumenta con il numero di siti, ma l'architettura non cambia. La chiave è un RADIUS centralizzato con ridondanza locale per ogni sito e un profilo supplicant coerente distribuito tramite MDM su tutta la flotta di dispositivi. Grazie per l'ascolto. La guida scritta completa, i diagrammi di architettura e le checklist di configurazione sono disponibili su purple.ai. Se stai pianificando una distribuzione 802.1X e desideri discutere le specificità del tuo ambiente, contatta direttamente il team di Purple.

header_image.png

Sintesi Esecutiva

Per le reti aziendali, una chiave PSK condivisa non è più sufficiente a proteggere l'infrastruttura societaria. Poiché le organizzazioni devono affrontare requisiti di conformità più severi (PCI-DSS, GDPR) e una superficie di attacco in continua espansione, la transizione all'autenticazione 802.1X è diventata un imperativo di sicurezza fondamentale.

Questa guida fornisce una panoramica pratica e indipendente dai fornitori per configurare lo standard 802.1X sugli access point aziendali. Vengono trattati l'architettura principale - supplicant, autenticatore e server di autenticazione - oltre alla gestione dei certificati, alla configurazione RADIUS e ai problemi comuni di implementazione. Per i responsabili IT e gli architetti di rete che operano nei settori retail, hospitality o pubblico, questo riferimento fornisce i passaggi operativi necessari per implementare un controllo degli accessi di rete robusto e basato sull'identità, mantenendo il traffico aziendale e quello degli ospiti rigorosamente separati.

Ascolta qui sotto il nostro podcast di approfondimento per una panoramica di 10 minuti sull'architettura e sulle strategie di implementazione.

Approfondimento: Architettura 802.1X

Lo standard IEEE 802.1X definisce il controllo degli accessi alla rete basato su porte. In un ambiente wireless, impedisce ai dispositivi client di inviare o ricevere traffico dati fino a quando non si sono autenticati con successo tramite una directory centrale.

architecture_overview.png

I Tre Componenti Chiave

  1. Supplicant (Dispositivo Client): Il software presente sul laptop, smartphone o dispositivo IoT che richiede l'accesso. Deve supportare il metodo EAP (Extensible Authentication Protocol) scelto.
  2. Autenticatore (Access Point/WLC): Il dispositivo di rete che funge da guardiano. Apre una "porta controllata" che consente solo il traffico EAP fino a quando l'autenticazione non va a buon fine.
  3. Server di Autenticazione (RADIUS): Il server centrale (ad es. Microsoft NPS, FreeRADIUS, Cisco ISE) che convalida le credenziali confrontandole con un archivio di identità (come Active Directory) e restituisce un messaggio di Access-Accept o Access-Reject.

Metodi EAP: Scegliere il Giusto Livello di Sicurezza

La scelta del metodo EAP determina il livello di sicurezza e la complessità dell'implementazione.

eap_comparison_chart.png

  • EAP-TLS (Transport Layer Security): Lo standard di riferimento. Richiede certificati sia sul server sia sul client. Non vengono trasmesse password. Fondamentale per gli ambienti ad alta sicurezza, ma richiede un'infrastruttura a chiave pubblica (PKI) completa.
  • PEAP-MSCHAPv2 (Protected EAP): L'implementazione aziendale più comune. Utilizza un certificato lato server per creare un tunnel TLS sicuro entro il quale il client invia un nome utente e una password. Più semplice da implementare, ma vulnerabile alla sottrazione di credenziali se i dispositivi client non sono configurati per convalidare rigorosamente il certificato del server.
  • EAP-SIM/AKA: Utilizza le credenziali della scheda SIM per l'autenticazione. Sempre più rilevante negli hub di trasporto e nei grandi spazi pubblici per una registrazione fluida.

Guida all'implementazione: configurazione passo dopo passo

L'implementazione di 802.1X richiede una configurazione coordinata tra il server RADIUS, gli access point e i dispositivi client.

Passaggio 1: Preparazione del server RADIUS

Sia che si utilizzi Microsoft Network Policy Server (NPS) o un'alternativa, i principi fondamentali rimangono gli stessi.

  1. Definizione dei client RADIUS: Registrare ciascun access point (o controller wireless) nel server RADIUS. Assegnare un segreto condiviso forte e generato casualmente (almeno 22 caratteri) per proteggere la comunicazione tra l'AP e il server RADIUS.
  2. Installazione del certificato del server: Per PEAP o EAP-TLS, installare un certificato X.509 sul server RADIUS. L'uso di un certificato proveniente da un'autorità di certificazione (CA) pubblica attendibile semplifica le implementazioni BYOD, poiché il certificato radice è già considerato attendibile dai sistemi operativi dei client.

Passaggio 2: Configurazione dei criteri

Configurare i criteri di rete per stabilire l'accesso in base all'identità.

  1. Criteri di richiesta di connessione: Definire il modo in care il server RADIUS gestisce le richieste in entrata. In genere, ciò comporta l'associazione del tipo di porta NAS (Wireless - IEEE 802.11) e l'autenticazione locale delle richieste.
  2. Criteri di rete: Associare i gruppi di Active Directory ai privilegi di accesso alla rete. Ad esempio, mappare il gruppo "Computer di dominio" alla VLAN aziendale. Utilizzare gli attributi RADIUS (Tunnel-Type=VLAN, Tunnel-Medium-Type=802, Tunnel-Private-Group-ID=[VLAN_ID]) per assegnare dinamicamente le VLAN in seguito a un'autenticazione riuscita.

Passaggio 3: Configurazione dell'access point

Configurare l'SSID sulla propria infrastruttura wireless (ad es. Meraki, Aruba, Cisco).

  1. Creare un nuovo SSID e selezionare WPA2-Enterprise o WPA3-Enterprise come tipo di sicurezza.
  2. Inserire gli indirizzi IP dei server RADIUS primario e secondario.
  3. Inserire il segreto condiviso definito nel Passaggio 1.
  4. Abilitare l'assegnazione dinamica della VLAN se il server RADIUS sta inviando gli attributi VLAN.

Passaggio 4: Configurazione del supplicant client

Questo è il passaggio più critico e spesso trascurato. Non affidarsi alla configurazione manuale dei dispositivi da parte degli utenti.

  • Dispositivi aziendali: utilizzate gli oggetti Criteri di gruppo (GPO) o la vostra piattaforma di gestione dei dispositivi mobili (MDM) per distribuire i profili WiFi. I profili devono specificare la CA radice attendibile e i nomi server esatti dei server RADIUS per prevenire attacchi man-in-the-middle (evil twin).
  • BYOD: implementate un portale di onboarding o una soluzione MDM per inviare profili sicuri ai dispositivi di proprietà dei dipendenti.

Best practice e standard di settore

Per garantire una distribuzione solida, seguite queste best practice architetturali:

  1. Imponete una convalida rigorosa del certificato: non consentite mai ai client di accettare ciecamente qualsiasi certificato del server. Questo è il vettore principale per la raccolta delle credenziali PEAP.
  2. Isolate il traffico ospiti: la vostra infrastruttura 802.1X è destinata all'accesso aziendale. Il traffico degli ospiti deve rimanere completamente isolato. Distribuite una piattaforma Guest WiFi dedicata, dotata di un proprio Captive Portal e di un livello di analisi. Come descritto nella nostra guida Securing Your Network: Robust DNS and Security , l'isolamento logico è fondamentale per la difesa della rete.
  3. Implementate la ridondanza: RADIUS è un servizio di percorso critico. Distribuite server RADIUS primari e secondari. In ambienti distribuiti, come le grandi catene di retail , prendete in considerazione proxy RADIUS locali per mantenere la sopravvivenza in caso di interruzione del collegamento WAN.

Risoluzione dei problemi e mitigazione dei rischi

Quando le distribuzioni falliscono, di solito la causa è da ricondurre ad alcuni errori di configurazione comuni:

  • Errori di timeout RADIUS: solitamente causati da una mancata corrispondenza del segreto condiviso tra l'AP e il server RADIUS, o da regole del firewall che bloccano le porte UDP 1812 (autenticazione) e 1813 (accounting).
  • Rifiuti del client: controllate i registri degli eventi RADIUS (ad esempio, Visualizzatore eventi di Windows -> Visualizzazioni personalizzate -> Ruoli del server -> Servizi di criteri di rete e accesso). Cercate l'ID evento 6273. Le cause comuni includono certificati client scaduti o la mancata attendibilità della catena di certificati del server da parte del client.
  • Errori di assegnazione VLAN: se l'autenticazione va a buon fine ma il client non riceve un indirizzo IP, verificate che la porta dello switch collegata all'AP sia configurata come porta trunk, consentendo l'assegnazione dinamica delle VLAN.

ROI e impatto aziendale

L'implementazione dello standard 802.1X offre un ROI operativo e di sicurezza significativo:

  • Mitigazione dei rischi: elimina il rischio che una singola chiave PSK compromessa metta a repentaglio l'intera rete aziendale, supportando direttamente gli sforzi di conformità PCI-DSS e GDPR.
  • Efficienza operativa: centralizza il controllo degli accessi. Quando un dipendente lascia l'azienda, la disattivazione del suo account Active Directory revoca immediatamente il suo accesso WiFi. Non è necessario aggiornare periodicamente le chiavi PSK a livello aziendale.
  • Visibilità della rete: offre una visibilità granulare su chi si trova esattamente sulla rete e quali dispositivi sta utilizzando, consentendo una pianificazione della capacità e una ricerca delle minacce di livello superiore. Per ambienti complessi e ad alta densità come gli stadi sportivi o il settore dell' hospitality , gestire la sicurezza aziendale offrendo al contempo l'accesso agli ospiti è una sfida. Proteggendo le risorse aziendali con lo standard 802.1X e sfruttando una solida piattaforma di WiFi analytics per gestire il traffico degli ospiti, i leader IT possono offrire una connettività sicura e scalabile che serva sia l'azienda sia i suoi clienti. Per approfondimenti sulla gestione degli ambienti ad alta densità, consulta la nostra guida Zoo and Theme Park WiFi: Connectivity Guide for High-Footfall Venues .

Definizioni chiave

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porte che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN.

Il protocollo fondamentale per la sicurezza del WiFi aziendale, che sostituisce le vulnerabili password condivise.

Supplicant

Il dispositivo client o l'applicazione software che richiede l'accesso alla rete.

I team IT devono gestire la configurazione del supplicant tramite MDM per garantire connessioni sicure.

Authenticator

Il dispositivo di rete (Access Point o Switch) che facilita il processo di autenticazione agendo come proxy tra il Supplicant e l'Authentication Server.

Configurato con l'IP del server RADIUS e un segreto condiviso per inoltrare in modo sicuro il traffico EAP.

RADIUS

Remote Authentication Dial-In User Service; un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e tracciamento (AAA).

Il server backend (come Microsoft NPS) che convalida effettivamente le credenziali dell'utente rispetto a una directory.

EAP (Extensible Authentication Protocol)

Un framework di autenticazione frequentemente utilizzato nelle reti wireless e nelle connessioni point-to-point, che supporta molteplici metodi di autenticazione.

La "lingua" parlata tra il Supplicant e il server RADIUS.

EAP-TLS

Un metodo EAP che utilizza Transport Layer Security, richiedendo certificati sia lato server che lato client per la mutua autenticazione.

Il metodo più sicuro disponibile, spesso obbligatorio per ambienti ad alta sicurezza o riservati.

PEAP

Protected Extensible Authentication Protocol; incapsula EAP all'interno di un tunnel TLS crittografato e autenticato.

Il metodo aziendale più diffuso, che bilancia la sicurezza con la facilità di implementazione richiedendo solo un certificato lato server.

Assegnazione VLAN Dinamica

Il processo in cui un server RADIUS indica all'Access Point di inserire un utente autenticato in una specifica VLAN in base alla sua appartenenza a un gruppo di directory.

Fondamentale per segmentare il traffico di rete (ad esempio, separando le risorse umane, la progettazione e i dispositivi IoT) trasmettendo al contempo un unico SSID aziendale.

Esempi pratici

Un hotel di lusso da 300 camere deve proteggere la propria rete operativa interna (tablet del personale, telefoni VoIP, laptop della direzione) mantenendola completamente separata dalla rete ospiti. Attualmente utilizzano una singola PSK per il personale.

  1. Distribuire Microsoft NPS collegato all'Active Directory esistente dell'hotel.
  2. Configurare PEAP-MSCHAPv2, utilizzando un certificato pubblico (ad es. DigiCert) sul server NPS per semplificare l'onboarding dei tablet.
  3. Creare un SSID 802.1X ('Hotel_Ops') sugli AP.
  4. Utilizzare la piattaforma MDM dell'hotel per distribuire il profilo WiFi 'Hotel_Ops' a tutti i tablet e laptop del personale, configurando esplicitamente il profilo per considerare attendibile la CA radice di DigiCert e convalidare il nome del server NPS.
  5. Mantenere l'SSID ospite aperto esistente, instradandolo attraverso il captive portal di Purple per l'accettazione dei termini e la reportistica, assicurando che le VLAN degli ospiti non possano instradarsi verso le VLAN operative.
Commento dell'esaminatore: Questo approccio bilancia la sicurezza con la complessità di distribuzione. Utilizzando un certificato pubblico sul server RADIUS, l'hotel evita i costi di gestione di una PKI completa, eliminando al contempo il rischio associato a una PSK condivisa. La rigorosa separazione del traffico ospiti e aziendale tramite VLAN e meccanismi di autenticazione distinti è in linea con i requisiti PCI-DSS per i sistemi point-of-sale dell'hotel.

Un campus universitario sta migrando a 802.1X e deve supportare un enorme ambiente BYOD per 15.000 studenti su vari sistemi operativi.

  1. Distribuire un cluster RADIUS robusto (ad es. FreeRADIUS o Cisco ISE) con bilanciamento del carico.
  2. Implementare PEAP-MSCHAPv2 per un'ampia compatibilità con i dispositivi.
  3. Distribuire un portale di onboarding (ad es. SecureW2) che configuri automaticamente il supplicant del dispositivo dello studente per utilizzare le impostazioni EAP corrette e considerare attendibile il certificato del server RADIUS dell'università.
  4. Utilizzare l'assegnazione dinamica delle VLAN tramite attributi RADIUS per inserire gli studenti nelle subnet appropriate in base alla loro posizione nel campus per gestire i domini di broadcast.
Commento dell'esaminatore: Nell'istruzione superiore, il BYOD rappresenta la sfida principale. Affidarsi alla configurazione manuale da parte degli studenti garantisce un volume elevato di ticket di assistenza e configurazioni non sicure (utenti che accettano certificati non validi). Il portale di onboarding è il fattore critico di successo in questo scenario, garantendo che il supplicant sia bloccato per prevenire il furto di credenziali.

Domande di esercitazione

Q1. La tua organizzazione sta implementando 802.1X utilizzando PEAP-MSCHAPv2. Durante i test, gli utenti riferiscono che viene richiesto di "Accettare un certificato" al primo collegamento. Come dovresti risolvere questo problema?

Suggerimento: Considera le implicazioni di sicurezza nel consentire agli utenti di prendere decisioni di fiducia riguardanti l'infrastruttura di rete.

Visualizza risposta modello

È necessario configurare i profili del supplicant del client (tramite MDM o Criteri di gruppo) per considerare attendibile esplicitamente la Root CA che ha emesso il certificato del server RADIUS e per convalidare il nome specifico del server. Affidarsi agli utenti per accettare manualmente i certificati li addestra a ignorare gli avvisi di sicurezza e lascia la rete vulnerabile ad attacchi di tipo Evil Twin (sottrazione di credenziali).

Q2. Devi mettere in sicurezza una flotta di scanner di codici a barre per magazzini. Supportano WPA2-Enterprise ma non dispongono di un meccanismo per installare certificati client o per unirsi ad Active Directory. Qual è l'approccio di implementazione più sicuro?

Suggerimento: Valuta i metodi EAP che non richiedono certificati lato client ma forniscono comunque un'autenticazione crittografata.

Visualizza risposta modello

Distribuisci PEAP-MSCHAPv2. Crea un account di servizio dedicato nella tua directory per gli scanner. Configura il server RADIUS con un certificato server per stabilire il tunnel TLS e configura gli scanner per autenticarsi utilizzando le credenziali dell'account di servizio all'interno del tunnel. Assicurati che il criterio RADIUS limiti questo account di servizio a una VLAN di magazzino specifica e isolata.

Q3. Dopo aver configurato gli AP e il server RADIUS, i dispositivi client si autenticano correttamente (verificato nei log RADIUS con un Access-Accept), ma non riescono a ricevere un indirizzo IP e non possono accedere alla rete. Qual è il problema infrastrutturale più probabile?

Suggerimento: L'autenticazione è andata a buon fine, il che significa che la fase 802.1X è completata. Il problema risiede nella successiva fase di provisioning della rete.

Visualizza risposta modello

Il problema più probabile è una configurazione errata della VLAN sulla rete cablata. Se il server RADIUS utilizza l'assegnazione VLAN dinamica per posizionare il client su una VLAN specifica (ad esempio, VLAN 20), la porta dello switch che collega l'Access Point deve essere configurata come una porta trunk 802.1Q che consente la VLAN 20. Se la VLAN non è trunked sull'AP, le richieste DHCP del client verranno ignorate.

Continua a leggere questa serie

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Questa guida di riferimento tecnica descrive l'architettura, la configurazione e l'implementazione dell'autenticazione RADIUS per le reti WiFi aziendali per ospiti e personale. Fornisce ai network architect e ai manager IT i protocolli esatti, gli standard di sicurezza e le metodologie di risoluzione dei problemi necessari per creare sistemi di controllo degli accessi wireless sicuri e scalabili.

Leggi la guida →

Passpoint and OpenRoaming: Complete Guide

Questa guida di riferimento tecnico fornisce un'analisi completa dei framework Passpoint (Hotspot 2.0) e WBA OpenRoaming all'interno delle reti WiFi aziendali. Descrive in dettaglio i protocolli di autenticazione sottostanti, i componenti architetturali e le strategie di implementazione necessarie per stabilire una connettività guest sicura e senza attriti. I progettisti di rete e i responsabili IT impareranno a progettare, implementare e risolvere i problemi di questi standard per eliminare le barriere di accesso manuale mantenendo al contempo una sicurezza di livello enterprise.

Leggi la guida →

Come Implementare SCEP per il Secure BYOD e l'Iscrizione di Rete nell'Istruzione Superiore

Questa guida tecnica fornisce ad architetti di rete e responsabili IT un modello indipendente dal fornitore per implementare la registrazione dei certificati basata su SCEP per proteggere le reti dei campus universitari. Descrive in dettaglio come migrare dal protocollo PEAP basato su password a 802.1X EAP-TLS, automatizzare l'onboarding dei dispositivi BYOD e applicare una robusta segmentazione VLAN.

Leggi la guida →