Vai al contenuto principale
Italiano

Come configurare SCEP per il BYOD sicuro e l'autenticazione di rete 802.1X

Questa guida fornisce un riferimento tecnico completo per la configurazione di SCEP al fine di implementare l'autenticazione di rete 802.1X basata su certificati. Copre il passaggio architetturale dalle password condivise a EAP-TLS, l'integrazione con il Mobile Device Management e una rigorosa segmentazione della rete per un accesso BYOD sicuro in ambienti aziendali.

📖 4 minuti di lettura📝 888 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Ciao e benvenuti a questo briefing tecnico di Purple. Sono il vostro ospite e oggi entreremo nei dettagli di SCEP - il Simple Certificate Enrollment Protocol - e di come configurarlo correttamente per un BYOD sicuro e l'autenticazione di rete 802.1X. Se siete un IT manager, un network architect o un CTO responsabile dell'infrastruttura WiFi in un gruppo alberghiero, una catena di negozi, uno stadio o un'organizzazione del settore pubblico, questo vi riguarda direttamente. Oggi non faremo teoria. Parleremo di architettura e decisioni. Iniziamo. [SEZIONE: Introduzione e contesto - circa 1 minuto] Ecco il problema che probabilmente state affrontando. Avete dispositivi del personale, laptop di collaboratori esterni e telefoni personali che necessitano tutti di accesso alla rete. Probabilmente avete un mix di dispositivi gestiti e non gestiti. E da qualche parte nella vostra infrastruttura c'è ancora una chiave precondivisa WPA2 che dodici persone conoscono, tre delle quali hanno lasciato l'azienda l'anno scorso. Questa non è una postura di sicurezza. È una vulnerabilità. La risposta è 802.1X, lo standard IEEE per il controllo dell'accesso alla rete basato su porta. Garantisce che nessun dispositivo trasmetta traffico finché non è stato esplicitamente autenticato. Ma l'802.1X è solo il framework. La vera domanda è quale metodo di autenticazione si trova al suo interno. E per il BYOD su larga scala, la risposta è EAP-TLS con certificati distribuiti tramite SCEP. Questo è ciò che analizzeremo oggi. [SEZIONE: Approfondimento tecnico - circa 5 minuti] Iniziamo con ciò che fa effettivamente SCEP. SCEP - Simple Certificate Enrollment Protocol - è stato originariamente pubblicato come Internet Draft dall'IETF nel 1999, creato by VeriSign. È stato formalizzato come RFC 8894. Il suo compito è semplice: automatizzare il processo di emissione di certificati digitali X.509 ai dispositivi su larga scala, senza richiedere a una persona di generare e installare manualmente ciascuno di essi. Ecco il flusso in quattro passaggi. Passaggio uno: il dispositivo si connette a un endpoint SCEP, un URL ospitato on-premises tramite un ruolo di Windows Server chiamato NDES (Network Device Enrollment Service) o tramite un provider PKI cloud. Questo URL è il gateway per la vostra Certificate Authority. Passaggio due: il dispositivo presenta una challenge SCEP, un segreto condiviso che dimostra che è autorizzato a richiedere un certificato. In un ambiente gestito da MDM come Microsoft Intune, questa challenge viene fornita in modo dinamico e univoco per dispositivo, il che è molto più sicuro di una password statica condivisa tra tutti i dispositivi. Passaggio tre: il dispositivo genera localmente la propria coppia di chiavi privata e pubblica. Crea una Certificate Signing Request (CSR) utilizzando la chiave pubblica e la invia al server SCEP. Ecco il punto critico per la sicurezza: la chiave privata non lascia mai il dispositivo. Viene generata localmente, memorizzata nell'enclave sicura del dispositivo (il TPM su Windows o la Secure Enclave su iOS) e non viene mai trasmessa. Ecco perché SCEP è la scelta giusta per l'autenticazione di rete, a differenza di PKCS, in cui la CA genera la chiave centralmente e deve inviarla al dispositivo. Passaggio quattro: la Certificate Authority convalida la CSR, la firma con la chiave privata della CA e restituisce il certificato X.509 firmato al dispositivo. Il dispositivo ora ha un'identità crittografica univoca. Ora, come viene utilizzato questo certificato per l'autenticazione 802.1X? Quando il dispositivo si connette al vostro SSID WiFi, l'access point (che si tratti di Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist o Ubiquiti UniFi) funge da autenticatore. Non prende direttamente la decisione di autenticazione, ma inoltra lo scambio EAP al vostro server RADIUS. Questo potrebbe essere Microsoft NPS, Cisco ISE o Aruba ClearPass. Il server RADIUS avvia un handshake EAP-TLS. Il dispositivo presenta il suo certificato client fornito tramite SCEP. Il server RADIUS convalida tre elementi: la catena di certificati fino alla CA radice attendibile, la data di scadenza del certificato e se il certificato è stato revocato, verificandolo rispetto a una Certificate Revocation List (CRL) o tramite OCSP (Online Certificate Status Protocol). Se tutti e tre i controlli hanno esito positivo, il server RADIUS invia un messaggio EAP-Success e l'access point apre la porta. Il dispositivo è sulla rete. Questa è un'autenticazione reciproca. Il dispositivo convalida anche il certificato del server RADIUS. Se qualcuno configura un access point non autorizzato, il dispositivo lo rifiuterà perché il certificato del server non verrà convalidato rispetto alla CA attendibile. Questa è la vostra protezione contro gli attacchi evil twin. Ora parliamo della sequenza di distribuzione in Microsoft Intune, poiché è la piattaforma MDM più comune che vediamo negli ambienti aziendali. Si distribuiscono tre profili di configurazione di Intune, in ordine rigoroso. Primo, il profilo Trusted Root Certificate: questo invia il certificato della CA radice a ogni dispositivo in modo che si fidi della vostra PKI. Secondo, il profilo SCEP Certificate: questo indica ai dispositivi l'URL SCEP, il formato del nome del soggetto, l'utilizzo della chiave e l'utilizzo esteso della chiave per l'autenticazione client. L'OID per l'autenticazione client è 1.3.6.1.5.5.7.3.2. Terzo, il profilo WiFi: questo specifica l'SSID, imposta il tipo di sicurezza su WPA2-Enterprise o WPA3-Enterprise, imposta il tipo EAP su EAP-TLS e si collega al profilo del certificato SCEP. L'ordine è importante. Il profilo WiFi ha una dipendenza dal profilo SCEP, che a sua volta ha una dipendenza dal profilo Trusted Root. Se li distribuite fuori sequenza, otterrete degli errori. Una decisione architetturale da prendere riguarda dove ospitare il server NDES. Deve essere raggiungibile da Internet in modo che i dispositivi possano registrarsi prima di arrivare in sede. Il modo sicuro per farlo è pubblicare l'URL NDES tramite Microsoft Entra ID Application Proxy. Questo evita di aprire porte in entrata nel firewall e consente di applicare criteri di accesso condizionale al flusso di registrazione. Per le organizzazioni che desiderano eliminare completamente l'infrastruttura on-premises, i provider PKI cloud (come Cloud PKI di Microsoft in Intune o opzioni di terze parti) rimuovono completamente la dipendenza da NDES. [SEZIONE: Raccomandazioni di implementazione ed errori comuni - circa 2 minuti] Permettetemi di elencarvi i tre scenari di errore più comuni che riscontriamo. Scenario di errore uno: mancata corrispondenza nella destinazione dei gruppi. Questa è la causa più frequente di errori di distribuzione dei profili WiFi in Intune. Se il profilo Trusted Root è assegnato a un gruppo di Utenti, il profilo SCEP a un gruppo di Dispositivi e il profilo WiFi a un gruppo di Utenti diverso, Intune non può risolvere la catena di dipendenze. Tutti e tre i profili devono avere come destinazione lo stesso identico gruppo Azure AD (tutti gli Utenti o tutti i Dispositivi). Sceglietene uno e siate coerenti. Scenario di errore due: disponibilità della CRL. Il server RADIUS controlla la CRL per verificare che i certificati non siano stati revocati. Se il CRL Distribution Point (l'URL CDP incorporato nel certificato) non è raggiungibile, l'autenticazione fallisce per ogni dispositivo. Questa è una causa comune di interruzioni di massa dopo modifiche alla rete. Assicuratevi che i vostri CDP siano altamente disponibili, idealmente pubblicati sia su un URL interno che su un URL esterno per i dispositivi remoti. Considerate l'OCSP come un'alternativa più resiliente al controllo della CRL. Scenario di errore tre: mancata imposizione della convalida del certificato del server sui client. Questa è la singola configurazione errata con il maggiore impatto nelle distribuzioni 802.1X. Se il profilo WiFi distribuito tramite MDM non specifica la CA attendibile e il nome del server RADIUS previsto, i dispositivi si connetteranno a qualsiasi server che presenti un certificato qualsiasi. Ciò vanifica l'intero scopo di EAP-TLS. Configurate sempre la convalida del server nel vostro profilo WiFi. [SEZIONE: Domande e risposte rapide - circa 1 minuto] Facciamo qualche domanda rapida. Domanda: Abbiamo bisogno di WPA3? Sì. Migrate a WPA3-Enterprise. Rende obbligatori i Protected Management Frames, bloccando gli attacchi di deautenticazione. Tutto l'hardware di Cisco Meraki, HPE Aruba, Ruckus e Juniper Mist lo supporta. Domanda: E per i dispositivi che non supportano l'802.1X, come i sensori IoT o le stampanti legacy? Utilizzate il MAC Authentication Bypass come fallback, ma collocate tali dispositivi su una VLAN fortemente limitata senza accesso alle risorse aziendali. Domanda: Come si inserisce Purple in tutto questo? La piattaforma Guest WiFi di Purple gestisce il livello di accesso per visitatori e ospiti: il Captive Portal, l'acquisizione dei dati, la reportistica. La vostra infrastruttura 802.1X e SCEP gestisce l'accesso del personale e dei dispositivi gestiti. Funzionano su SSID separati e VLAN separate. Purple si integra con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet, proteggendo così il vostro investimento hardware. [SEZIONE: Riepilogo e passaggi successivi - circa 1 minuto] Per concludere. SCEP automatizza l'emissione dei certificati su larga scala. La chiave privata rimane sul dispositivo: questo è il vantaggio in termini di sicurezza rispetto a PKCS. Distribuite tramite MDM in sequenza rigorosa: Trusted Root, poi profilo SCEP, infine profilo WiFi, tutti con lo stesso gruppo di destinazione. Pubblicate NDES tramite Application Proxy o passate a una PKI cloud. Imponete il controllo CRL o OCSP sul vostro server RADIUS. E configurate sempre la convalida del certificato del server sui supplicant dei client. Se utilizzate ancora una chiave precondivisa per il WiFi del personale, questo è il cambiamento da fare in questo trimestre. L'infrastruttura dei certificati richiede più lavoro iniziale, ma elimina un'intera classe di attacchi basati su credenziali e in genere riduce i ticket di assistenza relativi al WiFi del 70-80% una volta implementata. Per la guida tecnica completa, i diagrammi architetturali e gli esempi pratici, visitate purple.ai. Grazie per l'ascolto.

header_image.png

Sintesi esecutiva

Per gli IT manager e i network architect che operano in ambienti aziendali, la gestione dell'accesso WiFi BYOD (Bring Your Own Device) è passata da una funzionalità di comodità a un imperativo di sicurezza critico. Affidarsi a chiavi precondivise o a Captive Portal di base per il WiFi del personale rappresenta una vulnerabilità di sicurezza e un collo di bottiglia operativo. La moderna architettura di rete richiede l'autenticazione 802.1X tramite EAP-TLS, garantendo che ogni dispositivo sia verificato crittograficamente prima di accedere alla rete.

Questa guida fornisce un framework pragmatico e indipendente dai fornitori per implementare un accesso WiFi BYOD sicuro utilizzando il Simple Certificate Enrollment Protocol (SCEP). Descriviamo in dettaglio le configurazioni precise necessarie per proteggere il moderno edge aziendale, concentrandoci sull'implementazione dell'autenticazione 802.1X, sull'utilizzo del Mobile Device Management (MDM) per la conformità e sull'imposizione di una rigorosa segmentazione della rete. Mappando questi controlli tecnici sui risultati aziendali, i leader IT possono implementare soluzioni che proteggono l'integrità dei dati mantenendo l'efficienza operativa.

Approfondimento tecnico: architettura SCEP e 802.1X

Le fondamenta di un WiFi BYOD sicuro si basano sull'abbandono delle password condivise a favore di un controllo degli accessi basato sull'identità.

Lo standard 802.1X ed EAP-TLS

Lo standard IEEE 802.1X è la base non negoziabile per la sicurezza del WiFi aziendale. Fornisce il Network Access Control basato su porta (PNAC), garantendo che un dispositivo non possa comunicare sulla rete finché non è stato esplicitamente autenticato. Per le distribuzioni BYOD, EAP-TLS (Transport Layer Security) rappresenta lo standard di riferimento. EAP-TLS si basa su certificati X.509 lato client, eliminando il rischio di furto di credenziali e attacchi man-in-the-middle.

SCEP (Simple Certificate Enrollment Protocol)

Per distribuire questi certificati su larga scala, SCEP automatizza l'emissione e la gestione dei certificati all'interno di una Public Key Infrastructure (PKI). In un flusso di lavoro SCEP, il servizio MDM indica all'endpoint di generare la propria coppia di chiavi privata/pubblica. Il dispositivo crea quindi una Certificate Signing Request (CSR) e la invia tramite un server NDES (Network Device Enrollment Service) alla vostra Certificate Authority (CA).

Il vantaggio critico in termini di sicurezza di SCEP è che la chiave privata non lascia mai il dispositivo. Viene generata localmente e memorizzata nell'enclave sicura del dispositivo (come il TPM su Windows o la Secure Enclave su iOS).

scep_architecture_overview.png

Guida all'implementazione: la sequenza di distribuzione

La configurazione corretta di SCEP per 802.1X richiede il rispetto rigoroso di una sequenza di distribuzione specifica. Le dipendenze dei profili di Intune impongono che la relazione di attendibilità debba essere stabilita prima di poter configurare l'autenticazione.

Passaggio 1: Distribuire il profilo del certificato Trusted Root

Prima che qualsiasi dispositivo possa richiedere un certificato client o considerare attendibile il vostro server RADIUS, deve considerare attendibile la Certificate Authority emittente. Esportate il certificato della CA radice come file .cer e distribuite questo profilo ai gruppi di dispositivi di destinazione.

Passaggio 2: Configurare il profilo del certificato SCEP

Configurate il profilo SCEP per indicare ai dispositivi come ottenere il proprio certificato client. Collegate questo profilo al profilo del certificato Trusted Root creato nel Passaggio 1 e fornite l'URL esterno del vostro server NDES.

Passaggio 3: Distribuire il profilo WiFi 802.1X

L'ultimo passaggio consiste nell'inviare la configurazione WiFi che associa i certificati all'SSID di rete. Impostate il tipo di sicurezza su WPA2-Enterprise o WPA3-Enterprise, impostate il tipo EAP su EAP-TLS e selezionate il profilo del certificato SCEP creato nel Passaggio 2 come certificato di autenticazione client.

scep_vs_pkcs_comparison.png

Best practice e segmentazione della rete

Quando si implementa la distribuzione dei certificati SCEP, attenersi alle seguenti best practice indipendenti dai fornitori per garantire conformità e affidabilità.

Rigorosa architettura a tre zone

Una rete piatta è una rete compromessa. Implementate una segmentazione rigorosa:

  1. Zona aziendale: dispositivi gestiti di proprietà dell'azienda con accesso completo alle risorse interne.
  2. Zona BYOD: dispositivi di proprietà dei dipendenti con accesso a Internet e accesso limitato a specifiche applicazioni interne.
  3. Zona Guest: dispositivi dei visitatori con solo accesso a Internet e isolamento dei client abilitato.

Posizionamento del server NDES

Pubblicate l'URL NDES utilizzando Microsoft Entra ID Application Proxy. Questo fornisce un accesso remoto sicuro senza aprire porte in entrata nel firewall e consente di applicare criteri di accesso condizionale al flusso di registrazione.

WPA3-Enterprise e OpenRoaming

Passate da WPA2 a WPA3-Enterprise per beneficiare dei Protected Management Frames (PMF) obbligatori. Per una connettività fluida e sicura in diverse sedi, prendete in considerazione l'implementazione di OpenRoaming. Purple funge da identity provider gratuito per OpenRoaming con la licenza Connect, semplificando l'accesso sicuro senza onboarding manuale.

Risoluzione dei problemi e mitigazione dei rischi

Anche con una pianificazione meticolosa, la distribuzione dei certificati può riscontrare problemi.

Mancate corrispondenze nella destinazione dei gruppi

Se il profilo SCEP è assegnato a un gruppo di utenti, ma il profilo WiFi è assegnato a un gruppo di dispositivi, l'MDM non può risolvere la dipendenza. Assicuratevi che i profili Trusted Root, SCEP e WiFi siano tutti distribuiti allo stagire nello stesso gruppo.

Verifica RADIUS e CRL

Se un certificato di dispositivo viene revocato, il server RADIUS deve saperlo immediatamente. Configura il tuo Network Policy Server (NPS) o server RADIUS per applicare una verifica rigorosa della Certificate Revocation List (CRL). Assicurati che i tuoi CRL Distribution Points (CDP) siano altamente disponibili.

ROI e impatto aziendale

La transizione alla distribuzione dei certificati SCEP 802.1X offre ritorni misurabili in termini di sicurezza e operazioni.

  1. Riduzione dei ticket di helpdesk: il WiFi basato su password genera un volume significativo di ticket di supporto. L'autenticazione basata su certificati è invisibile all'utente, riducendo in genere il volume di helpdesk relativo al WiFi del 70%.
  2. Postura di sicurezza migliorata: EAP-TLS elimina il rischio di sottrazione delle credenziali. Questo è fondamentale per la conformità a framework come PCI DSS e GDPR, in particolare nei settori Healthcare e Retail.
  3. Onboarding fluido: l'integrazione di SCEP con i flussi di lavoro MDM esistenti garantisce un'esperienza di provisioning zero-touch unificata fin dal primo giorno.

Per ulteriori letture su argomenti correlati, consulta Guest WiFi , WiFi Analytics e la nostra guida Enterprise WiFi Security: A Complete Guide for 2026 .

Definizioni chiave

SCEP (Simple Certificate Enrollment Protocol)

Un protocollo che consente ai dispositivi di richiedere certificati digitali a una Certificate Authority, in cui la chiave privata viene generata e memorizzata in modo sicuro sul dispositivo stesso.

Il metodo consigliato per distribuire i certificati di autenticazione WiFi grazie alla sua elevata sicurezza e scalabilità.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Il metodo di autenticazione 802.1X più sicuro, che richiede sia al server che al client di presentare certificati digitali validi.

Il protocollo di autenticazione di destinazione che i profili WiFi e certificati dell'MDM sono progettati per abilitare.

802.1X

Uno standard IEEE per il Network Access Control basato su porta (PNAC) che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN.

Il framework fondamentale che impedisce ai dispositivi non autenticati di trasmettere traffico sulla rete aziendale.

NDES (Network Device Enrollment Service)

Un ruolo di Microsoft Windows Server che funge da ponte, consentendo ai dispositivi senza credenziali di dominio di ottenere certificati tramite SCEP.

Un componente infrastrutturale richiesto quando si implementa la distribuzione di certificati SCEP on-premises.

PKCS (Public Key Cryptography Standards)

Un insieme di standard in cui sia la chiave pubblica che quella privata vengono generate dalla Certificate Authority e poi consegnate in modo sicuro all'endpoint.

Spesso utilizzato per la crittografia delle e-mail S/MIME, ma meno ideale per il WiFi a causa della trasmissione in rete della chiave privata.

CRL (Certificate Revocation List)

Un elenco pubblicato dalla Certificate Authority contenente i numeri di serie dei certificati che sono stati revocati prima della loro data di scadenza prevista.

I server RADIUS devono controllare questo elenco per garantire che ai dispositivi compromessi o smarriti venga negato l'accesso alla rete.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e contabilità (AAA) per gli utenti che si connettono e utilizzano un servizio di rete.

Il server che convalida il certificato client durante l'handshake EAP-TLS.

VLAN (Virtual Local Area Network)

Una sottorete logica che raggruppa una raccolta di dispositivi provenienti da diverse LAN fisiche.

Utilizzato per imporre una rigorosa segmentazione della rete tra dispositivi aziendali, BYOD e Guest.

Esempi pratici

Un hotel di 400 camere deve mettere in sicurezza la propria rete WiFi per il personale, composta da 150 dipendenti che utilizzano i propri smartphone, sostituendo una vecchia rete WPA2-PSK.

L'hotel distribuisce un MDM basato su cloud (come Microsoft Intune). Trasmette un SSID di provisioning che indirizza gli utenti a un Captive Portal. Il portale richiede agli utenti di registrare il proprio dispositivo nell'MDM. Una volta registrato, l'MDM invia un profilo Trusted Root, un profilo SCEP e un profilo WiFi 802.1X. Il dispositivo genera silenziosamente una coppia di chiavi, richiede un certificato tramite l'URL SCEP e si connette all'SSID BYOD sicuro utilizzando EAP-TLS. L'SSID di provisioning viene quindi rimosso.

Commento dell'esaminatore: Questo approccio funziona perché elimina completamente la password condivisa. Utilizzando SCEP, la chiave privata rimane sul dispositivo personale del dipendente, soddisfacendo i requisiti di privacy e verificando crittograficamente l'identità sul server RADIUS.

Una catena di negozi con 50 sedi riscontra errori di autenticazione di massa dopo la migrazione da PEAP a EAP-TLS tramite SCEP.

Il team IT analizza i log del server RADIUS e scopre che il CRL Distribution Point (CDP) non è raggiungibile dal server RADIUS. Poiché è abilitato il controllo rigoroso della CRL, il server RADIUS rifiuta tutti i tentativi di connessione quando non può verificare lo stato di revoca. Il team risolve il problema pubblicando la CRL su un server web interno ad alta disponibilità e aggiornando l'estensione CDP nel modello della CA.

Commento dell'esaminatore: Questo evidenzia una dipendenza critica nell'autenticazione basata su certificati. Sebbene EAP-TLS offra una sicurezza superiore, richiede che l'infrastruttura PKI sottostante sia altamente disponibile. Se il server RADIUS non può verificare la CRL, deve bloccarsi per mantenere la sicurezza.

Domande di esercitazione

Q1. Stai distribuendo profili WiFi di Intune per 802.1X. I dispositivi ricevono correttamente il certificato SCEP, ma l'applicazione del profilo WiFi non va a buon fine. Qual è la causa più probabile?

Suggerimento: Considera come Intune risolve le dipendenze tra i profili.

Visualizza risposta modello

La causa più probabile è una mancata corrispondenza nella destinazione dei gruppi. I profili Trusted Root, SCEP e WiFi devono essere tutti assegnati allo stesso identico gruppo Azure AD (tutti gli Utenti o tutti i Dispositivi). Se le assegnazioni differiscono, Intune non può risolvere la catena di dipendenze.

Q2. Un direttore IT di un ospedale desidera utilizzare PKCS anziché SCEP per la distribuzione del WiFi BYOD perché richiede meno infrastruttura on-premises. Quale rischio per la sicurezza dovresti evidenziare?

Suggerimento: Pensa a dove viene generata la chiave privata.

Visualizza risposta modello

Dovresti evidenziare che con PKCS la chiave privata viene generata centralmente dalla CA e trasmessa sulla rete al dispositivo. Per l'autenticazione di rete, SCEP è fortemente raccomandato perché la chiave privata viene generata localmente sul dispositivo e non lascia mai l'enclave sicura.

Q3. Durante un handshake EAP-TLS, il dispositivo client rifiuta la connessione al server RADIUS, impedendo un potenziale attacco evil twin. Quale impostazione di configurazione abilita questa protezione?

Suggerimento: Cosa controlla il client durante l'autenticazione reciproca?

Visualizza risposta modello

L'imposizione della convalida del certificato del server sul supplicant del client abilita questa protezione. Il profilo WiFi distribuito tramite MDM deve specificare la CA attendibile e il nome del server RADIUS previsto, garantendo che il dispositivo si connetta solo al server RADIUS aziendale legittimo.

Continua a leggere questa serie

Come configurare un Captive Portal su Starlink: una guida per sedi remote e marittime

Questa guida spiega in dettaglio come escludere l'hardware nativo di Starlink e integrare un Captive Portal gestito in cloud utilizzando apparecchiature di routing aziendali. Imparerai come superare il limite del CGNAT, applicare la segmentazione VLAN, gestire i vincoli di larghezza di banda satellitare e garantire la conformità normativa.

Leggi la guida →

Hotel Guest WiFi Management: Integrating PMS, Portals, and Brand Standards

Questa guida tecnica descrive in dettaglio come progettare reti WiFi per hotel di livello enterprise, concentrandosi sulla segmentazione VLAN, sull'integrazione PMS per la gestione automatizzata delle sessioni e sull'ottimizzazione del Captive Portal per l'acquisizione di dati conforme al GDPR.

Leggi la guida →

Captive Portal Best Practices: Designing for High Conversion and Compliance

Questa guida tecnica offre a IT manager, architetti di rete e direttori operativi delle sedi un modello completo per l'implementazione di captive portal in grado di bilanciare la sicurezza di rete con un'elevata conversione degli utenti. Copre l'intera architettura, dalla segmentazione VLAN e l'autenticazione RADIUS fino alla progettazione del consenso conforme al GDPR e alla selezione del metodo di autenticazione. Tratta dall'esperienza operativa di Purple in oltre 80.000 sedi e 440 milioni di accessi nel 2024, ogni raccomandazione si basa su dati di implementazione reali.

Leggi la guida →