Vai al contenuto principale
Italiano

Come configurare l'autenticazione WiFi 802.1X: una guida passo dopo passo

Questa guida tecnica fornisce un percorso dettagliato per la configurazione dell'autenticazione WiFi enterprise 802.1X. Copre la configurazione del server RADIUS, la distribuzione dei certificati e le strategie pratiche di implementazione per i responsabili IT all'interno di sedi ad alta affluenza.

📖 5 minuti di lettura📝 1,126 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Come configurare l'autenticazione WiFi 802.1X: una guida passo dopo passo Un podcast di Purple Enterprise WiFi Intelligence [INTRODUZIONE — circa 1 minuto] Benvenuti. Oggi vi parlo in veste di senior solutions architect e, se state ascoltando questo podcast, probabilmente vi trovate di fronte a un progetto di sicurezza di rete che prevede l'autenticazione 802.1X — o perché il vostro team di conformità lo ha segnalato, o perché la vostra compagnia assicurativa lo ha richiesto, o semplicemente perché avete ereditato una rete che funziona con una PSK condivisa e sapete bene che non è più sufficiente. Andiamo dritti al punto. L'802.1X è lo standard IEEE per il controllo dell'accesso alla rete basato su porta. È la spina dorsale della sicurezza WiFi aziendale — il meccanismo che garantisce che ogni dispositivo che si connette alla rete sia stato identificato e autorizzato in modo certo prima di poter trasmettere anche un solo byte di traffico. Questo non è opzionale per le organizzazioni che gestiscono dati di carte di pagamento ai sensi del PCI DSS, non è opzionale per gli ambienti sanitari ai sensi del GDPR e degli standard di sicurezza dei dati del NHS e, francamente, per qualsiasi organizzazione che gestisca più di una manciata di access point, è l'architettura corretta. Nei prossimi dieci minuti vi guiderò attraverso l'architettura tecnica, la configurazione RADIUS, l'implementazione dei certificati e gli scenari reali in cui le cose si complicano. Cominciamo. [APPROFONDIMENTO TECNICO — circa 5 minuti] Bene, l'architettura 802.1X si compone di tre elementi. Abbiamo il Supplicant — ovvero il dispositivo client, il laptop, il telefono, il sensore IoT. Abbiamo l'Authenticator — cioè l'access point o lo switch di rete, a volte chiamato NAS, Network Access Server. E infine abbiamo l'Authentication Server — quasi universalmente un server RADIUS nelle implementazioni aziendali. Ecco come funziona l'handshake. Quando un dispositivo tenta di connettersi a un SSID protetto da 802.1X, l'access point non si limita a farlo accedere. Al contrario, apre quella che viene definita una porta controllata — un canale limitato che trasmette solo traffico EAP, l'Extensible Authentication Protocol. L'AP invia una richiesta EAP-Request Identity al dispositivo. Il dispositivo risponde con la propria identità. L'AP la inoltra quindi al server RADIUS, incapsulata in un pacchetto RADIUS Access-Request. Il server RADIUS esegue l'autenticazione — verificando le credenziali rispetto ad Active Directory, a un archivio di certificati o a qualsiasi backend di identità configurato — e restituisce un Access-Accept o un Access-Reject. Solo in caso di Accept l'AP apre la porta dati completa e assegna il dispositivo alla VLAN appropriata. Ora, il metodo EAP che sceglierete in questa fase è di fondamentale importanza. Ne incontrerete principalmente cinque nelle implementazioni aziendali. EAP-TLS è il gold standard. Sia il client che il server presentano certificati X.509. Non sono coinvolte password. È l'opzione più sicura e quella richiesta per i livelli di conformità PCI DSS più elevati. L'unico inconveniente è che è necessaria una PKI completa — una Public Key Infrastructure — per emettere e gestire i certificati client. Ciò significa un'Autorità di Certificazione, la gestione del ciclo di vita dei certificati e un meccanismo per distribuire i certificati su ogni dispositivo. Per le organizzazioni con Microsoft Active Directory e Active Directory Certificate Services, questo è un obiettivo decisamente raggiungibile. Per le organizzazioni prive di tale infrastruttura, rappresenta un investimento significativo. PEAP-MSCHAPv2 è il metodo più diffuso nella pratica. Crea un tunnel TLS utilizzando solo un certificato lato server, quindi trasmette le credenziali di nome utente e password all'interno di quel tunnel. È compatibile con quasi tutti i dispositivi fin da subito, si integra direttamente con Active Directory tramite NPS su Windows Server e non richiede certificati client. Il compromesso è che è vulnerabile agli attacchi di raccolta delle credenziali se gli utenti vengono indotti a connettersi a un AP non autorizzato — poiché il client non convalida il certificato del server per impostazione predefinita. È necessario imporre la convalida del certificato del server nei profili del supplicant. EAP-TTLS è simile a PEAP ma più flessibile nel metodo di autenticazione interno. È comune negli ambienti Linux e laddove sia necessario supportare backend di autenticazione legacy. EAP-FAST è stato sviluppato da Cisco in risposta ai punti deboli di LEAP. Utilizza Protected Access Credentials anziché certificati. È rilevante soprattutto se ti trovi in un ambiente prevalentemente Cisco o se gestisci dispositivi legacy che non possono supportare gli altri metodi. EAP-SIM ed EAP-AKA sono utilizzati nelle distribuzioni di livello carrier — come OpenRoaming o Passpoint — in cui l'autenticazione è legata a una scheda SIM o USIM. Questi metodi sono sempre più rilevanti per il WiFi nei luoghi pubblici in cui si desidera un onboarding sicuro e senza interruzioni, senza un Captive Portal. Parliamo ora della configurazione RADIUS. Che tu stia distribuendo Microsoft NPS, FreeRADIUS, Cisco ISE o Aruba ClearPass, i passaggi di configurazione principali sono gli stessi. In primo luogo, definisci i tuoi client RADIUS — ovvero i tuoi punti di accesso o controller LAN wireless. Ogni client viene registrato con il proprio indirizzo IP e un segreto condiviso. Tale segreto condiviso viene utilizzato per autenticare i messaggi RADIUS tra l'AP e il server. Utilizza un minimo di 22 caratteri, generati casualmente e univoci per ciascun dispositivo NAS. In secondo luogo, configuri i criteri di rete. Qui definisci chi ha accesso a cosa. In termini NPS, stai creando un criterio di rete che soddisfa determinate condizioni — appartenenza a un gruppo in Active Directory, tipo di dispositivo, ora del giorno — e assegna attributi — ID VLAN, timeout della sessione, limiti di larghezza di banda. L'attributo RADIUS che utilizzerai di più è l'assegnazione della VLAN, in particolare Tunnel-Type impostato su VLAN, Tunnel-Medium-Type impostato su 802 e Tunnel-Private-Group-ID impostato sul numero della tua VLAN. In terzo luogo, si configura il criterio di richiesta di connessione. Questo indica a NPS come gestire le richieste RADIUS in entrata, ovvero se autenticarle localmente o inoltrarle a un altro server RADIUS. In una distribuzione distribuita, si potrebbe avere un server RADIUS centrale con proxy NPS in ciascun sito. Per quanto riguarda i certificati, per PEAP ed EAP-TLS, il server RADIUS necessita di un certificato server attendibile per i client. La via più semplice è utilizzare un certificato di una CA pubblica (DigiCert, Sectigo, Let's Encrypt), poiché tali certificati root sono già considerati attendibili da tutti i principali sistemi operativi. Se si utilizza una CA interna, è necessario distribuire il certificato root a tutti i dispositivi client tramite Criteri di gruppo (Group Policy) o la piattaforma MDM. Specificamente per EAP-TLS, sono necessari anche i certificati client. In un ambiente Active Directory, si utilizzerà ADCS con registrazione automatica tramite Criteri di gruppo per distribuire i certificati ai dispositivi aggiunti al dominio. Per i dispositivi BYOD, si utilizzerà l'MDM (Intune, Jamf, VMware Workspace ONE) per distribuire sia il certificato sia il profilo WiFi. Sul lato access point, la configurazione è semplice. Si crea un nuovo SSID, si imposta la sicurezza su WPA2-Enterprise o WPA3-Enterprise, si punta il server di autenticazione RADIUS all'IP di NPS sulla porta UDP 1812, si imposta il server di accounting RADIUS sulla porta UDP 1813, si inserisce il segreto condiviso e si abilita l'assegnazione dinamica della VLAN se la si utilizza. La maggior parte delle piattaforme AP aziendali (Cisco Meraki, Aruba, Ruckus, Extreme) dispone di una GUI dedicata che richiede circa dieci minuti una volta che il server RADIUS è pronto. [RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE COMUNI — circa 2 minuti] Bene, parliamo di dove le distribuzioni falliscono, perché è qui che si giustificano le mie tariffe di consulenza. Il punto di errore più comune è la convalida del certificato. Ho visto organizzazioni distribuire correttamente PEAP-MSCHAPv2 sul lato server, per poi lasciare i profili supplicant dei client configurati per accettare qualsiasi certificato. Questo mina completamente il modello di sicurezza. Ogni profilo supplicant, sia esso distribuito tramite Criteri di gruppo o MDM, deve specificare la CA root attendibile e il nome del server previsto. Senza questo, si è vulnerabili agli attacchi evil twin. Il secondo problema comune è la gestione del segreto condiviso RADIUS. Ho visto reti di produzione funzionare con il segreto condiviso impostato su "radius" o sul valore predefinito del fornitore. Questi segreti sono le chiavi della vostra infrastruttura di autenticazione. Generateli in modo casuale, memorizzateli in un gestore di segreti e ruotateli periodicamente. Terzo: configurazione errata della VLAN. L'assegnazione dinamica della VLAN è potente: consente di inserire i dispositivi del personale nella VLAN aziendale, i collaboratori esterni in una VLAN limitata e i dispositivi IoT in una VLAN isolata, il tutto dallo stesso SSID. Ma se gli attributi RADIUS non sono configurati correttamente, o se le porte trunk dello switch non trasportano le VLAN corrette, i dispositivi non riusciranno a connettersi o finiranno sul segmento sbagliato. Testate questo aspetto a fondo in un laboratorio prima di passare alla produzione. Quarto: ridondanza. Il server RADIUS è ormai un elemento critico dell'infrastruttura. Se smette di funzionare, nessuno si connette. È necessario configurare come minimo un server RADIUS primario e uno secondario su ogni AP. Nelle implementazioni su larga scala, prendi in considerazione i cluster proxy RADIUS con monitoraggio dello stato. Quinto, e questo è specifico per i settori hospitality e retail: separazione tra rete ospiti e aziendale. L'SSID aziendale 802.1X e l'SSID del WiFi ospiti devono essere completamente separati: VLAN diverse, policy di firewall diverse, DNS diversi. Una piattaforma come Purple gestisce la parte ospiti con il proprio Captive Portal e il livello di analytics, mentre l'infrastruttura 802.1X gestisce la parte aziendale. Si tratta di sistemi complementari, non concorrenti. [Domande e risposte rapide — circa 1 minuto] Passiamo in rassegna le domande che ricevo più spesso. Posso eseguire 802.1X su una piattaforma AP gestita in cloud? Sì, Meraki, Aruba Central e Ruckus Cloud lo supportano. È sufficiente configurare i dettagli del server RADIUS nella dashboard cloud e gli AP gestiranno il proxying EAP. Ho bisogno di Active Directory? No. FreeRADIUS può autenticarsi tramite LDAP, database SQL, file flat o persino API REST. Tuttavia, l'integrazione con AD tramite NPS è di gran lunga il percorso aziendale più comune. E per i dispositivi IoT che non supportano l'802.1X? Utilizza il MAC Authentication Bypass (MAB) come soluzione di fallback. L'indirizzo MAC del dispositivo viene inviato a RADIUS come nome utente e password. Non è sicuro come l'EAP, ma consente di integrare i dispositivi IoT mantenendoli in una VLAN limitata. L'802.1X funziona con WPA3? Sì. WPA3-Enterprise è essenzialmente WPA3 con autenticazione 802.1X. Aggiunge una crittografia più forte (a 192 bit nella modalità ad alta sicurezza) ed è lo standard consigliato per le nuove implementazioni. [Riepilogo e passaggi successivi — circa 1 minuto] Quindi, per riassumere: l'802.1X non è un optional. Per qualsiasi organizzazione che gestisce dati sensibili, elabora pagamenti o opera in un ambiente regolamentato, rappresenta lo standard di base per la sicurezza del WiFi aziendale. L'architettura è consolidata, gli strumenti sono maturi e il percorso di implementazione è chiaro. Inizia con la selezione del metodo EAP: PEAP-MSCHAPv2 se hai bisogno di risultati rapidi e di un'ampia compatibilità, EAP-TLS se disponi dell'infrastruttura PKI e necessiti del massimo livello di sicurezza. Configura il server RADIUS e la ridondanza prima di toccare un singolo AP. Distribuisci i profili supplicant tramite Group Policy o MDM prima di andare online. E mantieni il WiFi ospiti completamente separato, utilizzando una piattaforma dedicata per quel livello. Se gestisci un ambiente multi-sede (hotel, catene di negozi, stadi), la complessità aumenta con il numero di siti, ma l'architettura non cambia. La chiave è un RADIUS centralizzato con ridondanza locale per sito e un profilo supplicant coerente distribuito tramite MDM su tutta la flotta di dispositivi. Grazie per l'ascolto. La guida scritta completa, i diagrammi di architettura e le checklist di configurazione sono disponibili su purple.ai. Se stai pianificando una distribuzione 802.1X e desideri discutere le specifiche del tuo ambiente, contatta direttamente il team di Purple.

header_image.png

Executive Summary

Per le reti aziendali, le PSK (Pre-Shared Keys) condivise non sono più sufficienti per proteggere l'infrastruttura societaria. Poiché le organizzazioni devono affrontare requisiti di conformità sempre più severi (PCI DSS, GDPR) e una superficie di attacco in continua espansione, il passaggio all'autenticazione 802.1X rappresenta un imperativo di sicurezza fondamentale.

Questa guida fornisce un percorso di implementazione pratico e indipendente dal fornitore per configurare l'autenticazione 802.1X sugli access point aziendali. Vengono trattati l'architettura principale (Supplicant, Authenticator e Authentication Server), la gestione dei certificati, la configurazione RADIUS e i problemi di implementazione più comuni. Per i responsabili IT e i network architect che operano nei settori retail, hospitality o pubblico, questo riferimento fornisce i passaggi pratici necessari per implementare un controllo degli accessi alla rete robusto e basato sull'identità, mantenendo il traffico aziendale e quello degli ospiti rigorosamente separati.

Ascolta il nostro podcast di approfondimento qui sotto per una panoramica di 10 minuti sull'architettura e sulle strategie di implementazione.

Approfondimento Tecnico: L'Architettura 802.1X

Lo standard IEEE 802.1X definisce il controllo degli accessi alla rete basato su porta. In un contesto wireless, impedisce a un dispositivo client di inviare o ricevere traffico dati fino a quando non si è autenticato con successo rispetto a una directory centrale.

architecture_overview.png

I Tre Componenti Principali

  1. Il Supplicant (Dispositivo Client): Il software sul laptop, smartphone o dispositivo IoT che richiede l'accesso. Deve supportare il metodo EAP (Extensible Authentication Protocol) prescelto.
  2. L'Authenticator (Access Point / WLC): Il dispositivo di rete che funge da gatekeeper. Apre una "porta controllata" che consente solo il traffico EAP fino al completamento dell'autenticazione.
  3. L'Authentication Server (RADIUS): Il server centrale (ad es. Microsoft NPS, FreeRADIUS, Cisco ISE) che convalida le credenziali rispetto a un archivio di identità (come Active Directory) e restituisce un messaggio di Access-Accept o Access-Reject.

Metodi EAP: Scegliere il Giusto Livello di Sicurezza

La scelta del metodo EAP determina il livello di sicurezza e la complessità dell'implementazione.

eap_comparison_chart.png

  • EAP-TLS (Transport Layer Security): Lo standard di riferimento. Richiede certificati sia lato server che lato client. Non vengono trasmesse password. Essenziale per ambienti ad alta sicurezza, ma richiede un'infrastruttura a chiave pubblica (PKI) completa.
  • PEAP-MSCHAPv2 (Protected EAP): La distribuzione enterprise più comune. Utilizza un certificato lato server per creare un tunnel TLS sicuro, all'interno del quale il client invia un nome utente e una password. Più facile da distribuire, ma vulnerabile alla raccolta delle credenziali se i dispositivi client non sono configurati per convalidare rigorosamente il certificato del server.
  • EAP-SIM/AKA: Utilizza le credenziali della scheda SIM per l'autenticazione. Sempre più rilevante per un onboarding fluido negli hub di Trasporto e nei grandi spazi pubblici.

Guida all'implementazione: Configurazione passo dopo passo

La distribuzione di 802.1X richiede una configurazione coordinata tra il server RADIUS, gli access point e i dispositivi client.

Passaggio 1: Preparazione del server RADIUS

Sia che si utilizzi Microsoft Network Policy Server (NPS) o un'alternativa, i principi fondamentali rimangono identici.

  1. Definire i client RADIUS: Registrare ciascun Access Point (o Wireless LAN Controller) nel server RADIUS. Assegnare un Shared Secret forte e generato casualmente (minimo 22 caratteri) per proteggere le comunicazioni tra l'AP e il server RADIUS.
  2. Installare il certificato del server: Per PEAP o EAP-TLS, installare un certificato X.509 sul server RADIUS. L'utilizzo di un certificato emesso da un'Autorità di Certificazione (CA) pubblica e attendibile semplifica la distribuzione per gli ambienti BYOD, poiché il certificato radice è già considerato attendibile dai sistemi operativi dei client.

Passaggio 2: Configurazione dei criteri

Configurare i criteri di rete per stabilire i diritti di accesso in base all'identità.

  1. Criteri di richiesta di connessione: Definire il modo in care il server RADIUS gestisce le richieste in entrata. In genere, ciò comporta la corrispondenza del NAS-Port-Type (Wireless - IEEE 802.11) e l'autenticazione locale delle richieste.
  2. Criteri di rete: Associare i gruppi di Active Directory ai diritti di accesso alla rete. Ad esempio, mappare il gruppo "Domain Computers" sulla VLAN aziendale. Utilizzare gli attributi RADIUS (Tunnel-Type=VLAN, Tunnel-Medium-Type=802, Tunnel-Private-Group-ID=[VLAN_ID]) per assegnare dinamicamente le VLAN in seguito a un'autenticazione riuscita.

Passaggio 3: Configurazione dell'Access Point

Configurare l'SSID sull'infrastruttura wireless (es. Meraki, Aruba, Cisco).

  1. Creare un nuovo SSID e selezionare WPA2-Enterprise o WPA3-Enterprise.
  2. Inserire l'indirizzo IP dei server RADIUS primario e secondario.
  3. Inserire lo Shared Secret definito al Passaggio 1.
  4. Abilitare l'Assegnazione dinamica della VLAN se il server RADIUS sta inviando gli attributi VLAN.

Passaggio 4: Provisioning del supplicant client

Questo è il passaggio più critico e spesso trascurato. Non fare affidamento sugli utenti per configurare manualmente i propri dispositivi.

  • Dispositivi aziendali: Utilizza i Group Policy Objects (GPO) o la tua piattaforma di Mobile Device Management (MDM) per distribuire il profilo WiFi. Il profilo deve specificare la CA Root attendibile e il nome server esatto del tuo server RADIUS per prevenire attacchi Evil Twin.
  • BYOD: Implementa un portale di onboarding o una soluzione MDM per distribuire profili sicuri sui dispositivi di proprietà dei dipendenti.

Best Practice e Standard di Settore

Per garantire un'implementazione solida, attieniti alle seguenti best practice architetturali:

  1. Validazione rigorosa del certificato: Non consentire mai ai client di accettare ciecamente qualsiasi certificato server. Questo è il vettore principale per la sottrazione di credenziali PEAP.
  2. Isolare il traffico Guest: La tua infrastruttura 802.1X è destinata all'accesso aziendale. Il traffico Guest deve rimanere completamente segregato. Implementa una piattaforma Guest WiFi dedicata con il proprio Captive Portal e livello di analytics. Come discusso nella nostra guida su Proteggere la rete con DNS e sicurezza avanzati , la separazione logica è fondamentale per la difesa della rete.
  3. Implementare la ridondanza: RADIUS è un servizio critico. Distribuisci server RADIUS primari e secondari. In ambienti distribuiti come le grandi catene del settore Retail , prendi in considerazione proxy RADIUS locali per garantire la continuità operativa in caso di caduta del collegamento WAN.

Risoluzione dei problemi e mitigazione dei rischi

Quando le distribuzioni falliscono, di solito la causa è da ricercarsi in alcuni errori di configurazione comuni:

  • Errori di timeout RADIUS: Spesso causati da un Shared Secret non corrispondente tra l'AP e il server RADIUS, o da regole del firewall che bloccano le porte UDP 1812 (Autenticazione) e 1813 (Accounting).
  • Rifiuto del client: Controlla i registri degli eventi RADIUS (ad es. Visualizzatore eventi di Windows -> Visualizzazioni personalizzate -> Ruoli del server -> Servizi di criteri di rete e di accesso). Cerca l'ID evento 6273. Le cause comuni includono certificati client scaduti o il mancato riconoscimento della catena di certificati del server da parte del client.
  • Errori di assegnazione della VLAN: Se l'autenticazione va a buon fine ma il client non riceve alcun indirizzo IP, verifica che la porta dello switch collegata all'AP sia configurata come porta trunk per consentire la VLAN assegnata dinamicamente.

ROI e impatto sul business

L'implementazione di 802.1X genera un ROI operativo e di sicurezza significativo:

  • Mitigazione del rischio: Elimina il rischio che una singola PSK compromessa violi l'intera rete aziendale, supportando direttamente gli sforzi di conformità PCI DSS e GDPR.
  • Efficienza operativa: Centralizza il controllo degli accessi. Quando un dipendente lascia l'azienda, la disattivazione del suo account Active Directory revoca immediatamente il suo accesso WiFi. Non è necessario aggiornare le PSK in tutta l'azienda.
  • Visibilità della rete: Fornisce una visibilità granulare su chi si trova esattamente sulla rete e quale dispositivo sta utilizzando, consentendo una migliore pianificazione della capacità e il rilevamento delle minacce. Per ambienti complessi e ad alta densità come stadi o strutture del settore Hospitality , gestire la sicurezza aziendale insieme all'accesso degli ospiti è una sfida. Proteggendo le risorse aziendali con 802.1X e sfruttando una solida piattaforma di WiFi Analytics per il traffico dei visitatori, i leader IT possono offrire una connettività sicura e scalabile al servizio sia dell'azienda che dei suoi clienti. Per approfondimenti sulla gestione di ambienti ad alta densità, consulta la nostra Zoo and Theme Park WiFi: High-Footfall Venue Connectivity Guide .

Definizioni chiave

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN.

Il protocollo fondamentale per la sicurezza del WiFi aziendale, che sostituisce le vulnerabili password condivise.

Supplicant

Il dispositivo client o l'applicazione software che richiede l'accesso alla rete.

I team IT devono gestire la configurazione del supplicant tramite MDM per garantire connessioni sicure.

Authenticator

Il dispositivo di rete (Access Point o Switch) che facilita il processo di autenticazione fungendo da proxy tra il Supplicant e l'Authentication Server.

Configurato con l'IP del server RADIUS e un segreto condiviso per inoltrare in modo sicuro il traffico EAP.

RADIUS

Remote Authentication Dial-In User Service; un protocollo di rete che fornisce una gestione centralizzata di Autenticazione, Autorizzazione e Contabilità (AAA).

Il server backend (come Microsoft NPS) che convalida effettivamente le credenziali dell'utente rispetto a una directory.

EAP (Extensible Authentication Protocol)

Un framework di autenticazione frequentemente utilizzato nelle reti wireless e nelle connessioni point-to-point, che supporta molteplici metodi di autenticazione.

La "lingua" parlata tra il Supplicant e il server RADIUS.

EAP-TLS

Un metodo EAP che utilizza Transport Layer Security, richiedendo certificati sia lato server che lato client per la mutua autenticazione.

Il metodo più sicuro disponibile, spesso obbligatorio per ambienti ad alta sicurezza o classificati.

PEAP

Protected Extensible Authentication Protocol; incapsula l'EAP all'interno di un tunnel TLS crittografato e autenticato.

Il metodo aziendale più diffuso, che bilancia la sicurezza con la facilità di implementazione richiedendo solo un certificato lato server.

Dynamic VLAN Assignment

Il processo in cui un server RADIUS indica all'Access Point di inserire un utente autenticato in una VLAN specifica in base alla sua appartenenza a un gruppo di directory.

Cruciale per segmentare il traffico di rete (ad es. separando HR, Engineering e dispositivi IoT) trasmettendo al contempo un unico SSID aziendale.

Esempi pratici

Un hotel di lusso con 300 camere deve proteggere la propria rete operativa di back-of-house (tablet del personale, telefoni VoIP, laptop della direzione) mantenendola completamente separata dalla rete ospiti. Attualmente utilizzano una singola PSK per il personale.

  1. Distribuire Microsoft NPS collegato all'Active Directory esistente dell'hotel.
  2. Configurare PEAP-MSCHAPv2, utilizzando un certificato pubblico (ad es. DigiCert) sul server NPS per semplificare l'onboarding dei tablet.
  3. Creare un SSID 802.1X ('Hotel_Ops') sugli AP.
  4. Utilizzare la piattaforma MDM dell'hotel per inviare il profilo WiFi 'Hotel_Ops' a tutti i tablet e laptop del personale, configurando esplicitamente il profilo per considerare attendibile la CA radice di DigiCert e convalidare il nome del server NPS.
  5. Mantenere l'SSID ospite aperto esistente, instradandolo attraverso il Captive Portal di Purple per l'accettazione dei termini e l'analisi dei dati, assicurando che le VLAN degli ospiti non possano instradarsi verso le VLAN operative.
Commento dell'esaminatore: Questo approccio bilancia la sicurezza con la complessità di implementazione. Utilizzando un certificato pubblico sul server RADIUS, l'hotel evita i costi di gestione di una PKI completa, eliminando al contempo il rischio associato alla PSK condivisa. La rigorosa separazione del traffico ospiti e aziendale tramite VLAN e meccanismi di autenticazione distinti è in linea con i requisiti PCI DSS per i sistemi point-of-sale dell'hotel.

Un campus universitario sta migrando a 802.1X e deve supportare un ambiente BYOD massivo per 15.000 studenti su vari sistemi operativi.

  1. Distribuire un cluster RADIUS robusto (ad es. FreeRADIUS o Cisco ISE) con bilanciamento del carico.
  2. Implementare PEAP-MSCHAPv2 per un'ampia compatibilità con i dispositivi.
  3. Distribuire un portale di onboarding (ad es. SecureW2) che configuri automaticamente il supplicant del dispositivo dello studente per utilizzare le impostazioni EAP corrette e considerare attendibile il certificato del server RADIUS dell'università.
  4. Utilizzare l'assegnazione dinamica della VLAN tramite attributi RADIUS per collocare gli studenti nelle sottoreti appropriate in base alla loro posizione nel campus per gestire i domini di trasmissione.
Commento dell'esaminatore: Nell'istruzione superiore, il BYOD rappresenta la sfida principale. Affidarsi alla configurazione manuale da parte degli studenti garantisce un elevato volume di ticket di assistenza e configurazioni non sicure (utenti che accettano certificati non validi). Il portale di onboarding è il fattore critico di successo in questo scenario, garantendo che il supplicant sia protetto per prevenire il furto di credenziali.

Domande di esercitazione

Q1. La tua organizzazione sta implementando 802.1X utilizzando PEAP-MSCHAPv2. Durante i test, gli utenti segnalano che viene richiesto loro di "Accettare un certificato" al primo collegamento. Come dovresti affrontare questo problema?

Suggerimento: Considera le implicazioni di sicurezza nel consentire agli utenti di prendere decisioni di affidabilità riguardanti l'infrastruttura di rete.

Visualizza risposta modello

È necessario configurare i profili del supplicant client (tramite MDM o Group Policy) per considerare esplicitamente attendibile la Root CA che ha emesso il certificato del server RADIUS e per convalidare il nome specifico del server. Affidarsi agli utenti per l'accettazione manuale dei certificati li addestra a ignorare gli avvisi di sicurezza e lascia la rete vulnerabile ad attacchi Evil Twin (raccolta di credenziali).

Q2. È necessario mettere in sicurezza una flotta di scanner di codici a barre per magazzini. Supportano WPA2-Enterprise ma non dispongono di un meccanismo per installare certificati client o per unirsi ad Active Directory. Qual è l'approccio di implementazione più sicuro?

Suggerimento: Valuta i metodi EAP che non richiedono certificati lato client ma forniscono comunque un'autenticazione crittografata.

Visualizza risposta modello

Implementa PEAP-MSCHAPv2. Crea un account di servizio dedicato nella tua directory per gli scanner. Configura il server RADIUS con un certificato server per stabilire il tunnel TLS e configura gli scanner per l'autenticazione utilizzando le credenziali dell'account di servizio all'interno del tunnel. Assicurati che la policy RADIUS limiti questo account di servizio a una VLAN di magazzino specifica e isolata.

Q3. Dopo aver configurato gli AP e il server RADIUS, i dispositivi client si autenticano correttamente (verificato nei log RADIUS con un Access-Accept), ma non riescono a ricevere un indirizzo IP e non possono accedere alla rete. Qual è il problema infrastrutturale più probabile?

Suggerimento: L'autenticazione è andata a buon fine, il che significa che la fase 802.1X è completata. Il problema risiede nella successiva fase di provisioning di rete.

Visualizza risposta modello

Il problema più probabile è una configurazione errata della VLAN sulla rete cablata. Se il server RADIUS utilizza l'assegnazione dinamica della VLAN per posizionare il client su una VLAN specifica (ad es. VLAN 20), la porta dello switch che collega l'Access Point deve essere configurata come porta trunk 802.1Q che consente la VLAN 20. Se la VLAN non è in trunking verso l'AP, le richieste DHCP del client verranno scartate.

Continua a leggere questa serie

PSK per dispositivo per fornitore: confronto tra iPSK, DPSK, MPSK e PPSK (e supporto WPA3)

Un confronto completo delle implementazioni PSK per dispositivo tra Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet e Ubiquiti UniFi. Scopri come WPA3-SAE influisce sulle strategie delle chiavi per dispositivo e quando distribuire le modalità di transizione rispetto al passaggio a 802.1X.

Leggi la guida →

Metodi di autenticazione del Captive Portal a confronto

Questa guida di riferimento tecnico autorevole valuta i compromessi architetturali, operativi e di conformità di cinque metodi di autenticazione principali per captive portal. Fornisce ad architetti di rete, direttori IT e marketing manager i dati quantitativi e i framework decisionali necessari per bilanciare l'attrito nell'onboarding degli ospiti con i requisiti di raccolta dati all'interno delle sedi aziendali.

Leggi la guida →

Cos'è l'autenticazione tramite indirizzo MAC? Quando usarla e quando evitarla

Questa guida tecnica di riferimento autorevole copre l'autenticazione tramite indirizzo MAC negli ambienti WiFi aziendali: come funziona l'autenticazione MAC basata su RADIUS a livello Layer 2, le sue vulnerabilità di sicurezza intrinseche (incluso il MAC spoofing e l'impatto della randomizzazione MAC a livello di sistema operativo) e i precisi contesti operativi in cui rimane uno strumento valido per la gestione di dispositivi IoT e headless. Fornisce linee guida di implementazione pratiche per responsabili IT e architetti di rete nei settori dell'ospitalità, del retail, della sanità e dei luoghi pubblici, con esempi pratici reali, framework decisionali e contesti di integrazione per la piattaforma di guest WiFi e analytics di Purple.

Leggi la guida →