Vai al contenuto principale
Italiano

Come configurare WPA2-Enterprise sulle piattaforme di Access Point più diffuse (Cisco, Aruba, Ubiquiti)

Questa guida di riferimento tecnico fornisce ai professionisti IT senior e agli architetti di rete una procedura dettagliata e specifica per fornitore per la distribuzione di WPA2-Enterprise su piattaforme Cisco, Aruba e Ubiquiti. Dettaglia l'architettura, l'integrazione RADIUS, i requisiti di conformità e gli scenari di implementazione reali in ambienti aziendali e grandi sedi.

📖 6 minuti di lettura📝 1,309 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Come configurare WPA2-Enterprise sulle piattaforme di Access Point più diffuse — Cisco, Aruba e Ubiquiti Un briefing informativo di Purple WiFi [INTRODUZIONE — circa 1 minuto] Benvenuti alla serie di briefing informativi di Purple WiFi. Sono il vostro ospite e oggi andremo dritti al punto su uno degli argomenti più richiesti dai nostri clienti enterprise: come configurare WPA2-Enterprise sulle tre piattaforme di access point più diffuse sul mercato — Cisco, Aruba e Ubiquiti. Che siate il direttore IT di un gruppo alberghiero da 500 camere, l'architetto di rete di una catena di vendita al dettaglio nazionale o il CTO di un operatore di centri congressi, questo briefing è pensato per voi. Non ci soffermeremo sulla teoria fine a se stessa. Esamineremo ciò che occorre sapere per prendere una decisione di implementazione, eseguirla correttamente ed evitare gli errori in cui incorrono anche i team più esperti. Entriamo nel vivo. [APPROFONDIMENTO TECNICO — circa 5 minuti] Innanzitutto, facciamo un rapido punto della situazione su cosa sia effettivamente WPA2-Enterprise, perché c'è ancora una sorprendente confusione sul mercato tra WPA2-Personal e WPA2-Enterprise — e la distinzione è estremamente importante per la conformità e la gestione del rischio. Il WPA2-Personal — la versione con cui la maggior parte delle persone ha familiarità — utilizza una singola chiave precondivisa. Tutti i membri della rete utilizzano la stessa password. Questo va bene per una rete domestica. Non è assolutamente accettabile per un ambiente aziendale in cui sono necessari l'autenticazione per singolo utente, i registri di controllo e la possibilità di revocare l'accesso istantaneamente. Il WPA2-Enterprise, definito dallo standard IEEE 802.1X, sostituisce la chiave condivisa con uno scambio di autenticazione individuale. Ogni utente o dispositivo presenta le proprie credenziali — che si tratti di nome utente e password, di un certificato digitale o di un token — e tali credenziali vengono convalidate da un server RADIUS prima che venga concesso l'accesso alla rete. L'access point stesso non vede mai le credenziali. Agisce esclusivamente come autenticatore, trasmettendo lo scambio EAP — Extensible Authentication Protocol — tra il client e il server RADIUS. Si tratta di un'architettura fondamentalmente più sicura ed è il requisito di base per la conformità PCI DSS in qualsiasi ambiente che gestisca dati di carte di pagamento, oltre a essere fortemente raccomandata ai sensi del GDPR per le organizzazioni che elaborano dati personali su reti wireless. Ora, parliamo delle tre piattaforme. Iniziamo con Cisco. Il portfolio WiFi aziendale di Cisco — principalmente le linee Catalyst e Meraki — rappresenta la scelta di riferimento per le installazioni su larga scala. Cisco DNA Center fornisce una gestione centralizzata delle policy, mentre la dashboard Meraki offre la semplicità della gestione in cloud per le infrastrutture distribuite. Per configurare WPA2-Enterprise su un access point Cisco Catalyst, si opera tramite il WLC — Wireless LAN Controller — o DNA Center. I passaggi chiave sono: definire il server RADIUS in Sicurezza, poi AAA, quindi Server di Autenticazione RADIUS; creare un nuovo profilo WLAN; impostare la policy di sicurezza su WPA2 con 802.1X come metodo di gestione delle chiavi; e associare il server RADIUS a tale WLAN. Un punto critico su Cisco: assicurarsi di configurare l'accounting RADIUS oltre all'autenticazione. L'accounting fornisce la traccia di controllo per sessione richiesta dai framework di conformità. Su Meraki, il processo è ancora più semplice — basta navigare su Wireless, poi SSIDs, selezionare l'SSID di destinazione, impostare la sicurezza su WPA2-Enterprise con il proprio server RADIUS e inserire l'IP del server RADIUS, la porta — in genere 1812 per l'autenticazione e 1813 per l'accounting — e la chiave segreta condivisa. Meraki supporta anche il test RADIUS direttamente dalla dashboard, il che è prezioso in fase di collaudo. Passiamo ad Aruba. Aruba Networks, ora parte di HPE, è la scelta dominante nel settore dell'ospitalità e dell'istruzione superiore. Aruba Central fornisce la gestione in cloud, e ArubaOS è la piattaforma sottostante. Su Aruba, la configurazione WPA2-Enterprise risiede all'interno del profilo SSID. È necessario definire un profilo AAA che faccia riferimento al server RADIUS, quindi associare tale profilo AAA al profilo AP virtuale. ClearPass Policy Manager di Aruba merita una menzione specifica — è il motore RADIUS e di policy proprietario di Aruba, e aggiunge funzionalità significative in termini di profilazione dei dispositivi, controllo degli accessi basato sui ruoli e onboarding degli ospiti. Se si gestisce un ambiente misto con dipendenti, collaboratori esterni e ospiti che si connettono tutti alla stessa infrastruttura, ClearPass offre la granularità delle policy necessaria per segmentarli in modo appropriato. Per un hotel che distribuisce WPA2-Enterprise sulle reti del personale e del back-office, gestendo al contempo una soluzione WiFi per gli ospiti separata tramite una piattaforma come Purple, la segmentazione degli SSID di Aruba combinata con ClearPass per l'autenticazione del personale rappresenta un'architettura estremamente pulita. Ora passiamo a Ubiquiti. La piattaforma UniFi di Ubiquiti ha ottenuto una trazione significativa nel mercato delle PMI e delle medie imprese — e sempre più nel settore dell'ospitalità boutique e del retail — grazie al suo prezzo competitivo e a un'interfaccia di gestione davvero efficiente. UniFi Network Controller è il luogo in cui svolgerai il lavoro più impegnativo. Per configurare WPA2-Enterprise su UniFi, vai su Impostazioni, poi su WiFi, crea o modifica il tuo SSID, imposta la sicurezza su WPA2 Enterprise e configura il tuo profilo RADIUS — ancora una volta, indirizzo IP, porta di autenticazione 1812, porta di accounting 1813 e chiave segreta condivisa. Una considerazione importante con Ubiquiti: non viene fornito con un server RADIUS integrato nello stesso modo in cui lo fanno alcune piattaforme enterprise. Avrai bisogno di un server RADIUS esterno — che si tratti di Windows Server NPS, FreeRADIUS o di un servizio RADIUS cloud. Questa non è una limitazione in sé, ma è una dipendenza che deve essere pianificata. Per le distribuzioni più piccole, l'applicazione UniFi Network include un server RADIUS di base, ma per gli ambienti di produzione consiglio sempre un'istanza RADIUS dedicata. Su tutte e tre le piattaforme, la selezione del metodo EAP merita attenzione. PEAP con MSCHAPv2 è il metodo più diffuso perché funziona con le credenziali di Active Directory senza richiedere certificati lato client. EAP-TLS è più sicuro — utilizza l'autenticazione reciproca dei certificati — ma richiede un'infrastruttura PKI e la distribuzione dei certificati a ogni dispositivo client, il che aumenta i costi operativi di gestione. Per la maggior parte delle distribuzioni aziendali, PEAP-MSCHAPv2 con un server RADIUS configurato correttamente e la convalida del certificato lato client rappresenta il giusto equilibrio tra sicurezza e gestibilità operativa. [RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE COMUNI — circa 2 minuti] Ora lascia che ti illustri i tre scenari di errore più comuni che riscontro nelle distribuzioni WPA2-Enterprise e come evitarli. Numero uno: disponibilità del server RADIUS. Il tuo server RADIUS è ora nel percorso critico per ogni autenticazione wireless. Se si interrompe, nessuno può connettersi. Ciò significa che hai bisogno di ridondanza RADIUS — come minimo un server RADIUS primario e uno secondario configurati su ogni access point. La maggior parte delle piattaforme supporta questa funzione in modo nativo. Su Cisco, puoi configurare gruppi di server RADIUS con failover. Su Aruba, il profilo AAA supporta più server RADIUS con valori di timeout e tentativi configurabili. Su Ubiquiti, puoi specificare un server RADIUS secondario nel profilo RADIUS. Non saltare questo passaggio. Numero due: validazione del certificato. Una percentuale incredibilmente alta di implementazioni che analizzo presenta dispositivi client configurati per accettare qualsiasi certificato del server RADIUS. Questo mina completamente il modello di sicurezza, esponendoti ad attacchi "evil twin" in cui un access point canaglia impersona la tua rete e sottrae credenziali. Configura il certificato del tuo server RADIUS da una CA attendibile e configura i tuoi supplicant client per validare tale certificato. Su Windows, questo si fa tramite Group Policy. Su iOS e Android, viene gestito tramite profili MDM. Questo è un requisito non negoziabile per qualsiasi ambiente che gestisca dati sensibili. Numero tre: assegnazione della VLAN. WPA2-Enterprise consente l'assegnazione dinamica della VLAN: il server RADIUS può restituire un attributo VLAN nel messaggio Access-Accept, inserendo ogni utente autenticato nel segmento di rete appropriato in base alla sua identità o al suo ruolo. Questa è una delle funzionalità più potenti dell'architettura 802.1X, e spesso non viene configurata. Se gestisci una struttura con personale, management e dispositivi IoT tutti sulla stessa infrastruttura fisica, l'assegnazione dinamica della VLAN è il modo in cui imponi la segmentazione della rete senza dover gestire più SSID. Per quanto riguarda l'integrazione con Purple: se stai implementando WPA2-Enterprise per il tuo personale e le reti operative, e utilizzi la piattaforma guest WiFi di Purple per la connettività dei visitatori, questi due sistemi coesistono perfettamente. Purple gestisce l'autenticazione degli ospiti, l'acquisizione dei dati e il livello di analytics — inclusi i WiFi analytics e la footfall intelligence che i gestori delle strutture utilizzano per le decisioni operative — mentre la tua infrastruttura WPA2-Enterprise protegge la rete aziendale. La chiave è una netta separazione di SSID e VLAN a livello di access point, supportata da tutte e tre le piattaforme. [Q&A RAPIDO — circa 1 minuto] Rispondo rapidamente ad alcune domande che sorgono regolarmente. Posso gestire WPA2-Enterprise e una rete ospiti sugli stessi access point? Sì, assolutamente. Tutte e tre le piattaforme supportano più SSID per radio, ciascuno con policy di sicurezza indipendenti. Il tuo SSID aziendale esegue WPA2-Enterprise; il tuo SSID ospiti può essere gestito tramite il Captive Portal di Purple con un isolamento adeguato. Devo sostituire i miei access point esistenti per implementare WPA2-Enterprise? Quasi certamente no. WPA2-Enterprise è supportato su access point di livello enterprise da ben oltre un decennio. Se il tuo hardware ha meno di otto anni e utilizza un firmware aggiornato, supporterà lo standard 802.1X. Qual è la differenza tra WPA2-Enterprise e WPA3-Enterprise? WPA3-Enterprise aggiunge una modalità di sicurezza a 192 bit che utilizza la crittografia Suite B, rilevante per gli ambienti governativi e della difesa. Per la maggior parte delle implementazioni commerciali, WPA2-Enterprise con metodi EAP forti rimane lo standard. Vale la pena pianificare la transizione a WPA3 per le nuove installazioni, ma non si tratta di una migrazione urgente per la maggior parte delle organizzazioni. Il RADIUS in cloud è un'opzione praticabile? Sì, e lo è sempre di più. Servizi come Cisco ISE nel cloud, Aruba ClearPass as a service o opzioni di terze parti come JumpCloud e Foxpass forniscono il RADIUS come servizio gestito, eliminando i costi generali dell'infrastruttura. Per le proprietà distribuite — si pensi a una catena di vendita al dettaglio con 200 sedi — il RADIUS in cloud può ridurre significativamente la complessità operativa. [RIASSUNTO E PROSSIMI PASSI — circa 1 minuto] Per concludere: WPA2-Enterprise è la base non negoziabile per qualsiasi implementazione wireless aziendale. Il processo di configurazione su Cisco, Aruba e Ubiquiti segue lo stesso schema fondamentale: definire il server RADIUS, creare l'SSID con la gestione delle chiavi 802.1X, selezionare il metodo EAP e testare prima di andare online. Le differenze risiedono nelle interfacce di gestione e negli strumenti dell'ecosistema che circondano ciascuna piattaforma. Le tre cose da fare bene: ridondanza RADIUS, validazione dei certificati sui client e assegnazione dinamica della VLAN. Gestendo correttamente questi tre elementi, otterrete una postura di sicurezza wireless solida, conforme e verificabile. Per i prossimi passi: se state valutando le piattaforme, utilizzate il framework di confronto dei vendor nella guida allegata. Se siete pronti per l'implementazione, le guide dettagliate alla configurazione passo-passo per ciascuna piattaforma si trovano nella sezione di implementazione. E se state pensando a come il WiFi per gli ospiti si integri con la vostra rete aziendale, la documentazione della piattaforma Purple copre in dettaglio l'architettura di integrazione. Grazie per l'attenzione. Ci vediamo al prossimo briefing.

Executive Summary

L'implementazione di WPA2-Enterprise non è più un aggiornamento di sicurezza opzionale; rappresenta la linea di base fondamentale per qualsiasi rete wireless aziendale. Per i responsabili IT e gli architetti di rete che operano nei settori dell'ospitalità, del retail e del settore pubblico, il passaggio dalle chiavi pre-condivise all'autenticazione 802.1X è guidato da rigidi requisiti di conformità, tra cui PCI DSS e GDPR. Questa guida tecnica di riferimento fornisce passaggi di configurazione pratici e specifici per piattaforma per i tre principali fornitori di access point: Cisco, Aruba e Ubiquiti.

Passando a WPA2-Enterprise, le organizzazioni eliminano i rischi associati alle credenziali condivise, ottengono registri di controllo granulari per sessione e consentono la segmentazione dinamica della rete. Se implementata correttamente, questa architettura non solo protegge il perimetro aziendale, ma si integra perfettamente anche con le reti per i visitatori gestite da una piattaforma completa di Guest WiFi . Le sezioni seguenti descrivono in dettaglio l'architettura tecnica, i passaggi di implementazione e le strategie di mitigazione del rischio necessarie per un rollout di successo.

header_image.png

Technical Deep-Dive

WPA2-Enterprise si basa sullo standard IEEE 802.1X per fornire il controllo dell'accesso alla rete basato su porta. A differenza di WPA2-Personal, che utilizza una chiave pre-condivisa (PSK) statica, WPA2-Enterprise richiede che ogni supplicant (dispositivo client) si autentichi individualmente rispetto a un server di autenticazione esterno (in genere un server RADIUS) prima che venga concesso l'accesso alla rete.

L'architettura è composta da tre componenti principali:

  1. Il Supplicant: Il dispositivo client che tenta di connettersi alla rete.
  2. L'Authenticator: L'access point aziendale o il controller LAN wireless (ad es. Cisco WLC, Aruba Mobility Controller) che facilita il processo di autenticazione.
  3. L'Authentication Server: Il server RADIUS di backend (ad es. Cisco ISE, Aruba ClearPass, Windows NPS) che convalida le credenziali rispetto a un servizio di directory come Active Directory o LDAP.

Il processo di scambio EAP

Il processo di autenticazione utilizza l'Extensible Authentication Protocol (EAP) incapsulato su LAN (EAPOL). L'authenticator agisce esclusivamente come proxy di pass-through durante la fase iniziale. Una volta che il server RADIUS convalida le credenziali, restituisce un messaggio di Access-Accept all'authenticator, che quindi ricava le chiavi di crittografia necessarie per proteggere la sessione wireless.

La scelta del metodo EAP è fondamentale. PEAP-MSCHAPv2 è il metodo più diffuso in quanto supporta l'autenticazione legacy delle password di Active Directory, proteggendo al contempo lo scambio all'interno di un tunnel TLS stabilito dal certificato del server. Tuttavia, per la massima sicurezza, si consiglia EAP-TLS. EAP-TLS richiede un'autenticazione reciproca dei certificati (sia il server che il client devono presentare certificati validi), il che riduce il furto di credenziali ma richiede una solida infrastruttura a chiave pubblica (PKI) o una soluzione di Mobile Device Management (MDM) per la distribuzione dei certificati.

architecture_overview.png

Guida all'implementazione

I principi fondamentali della configurazione di WPA2-Enterprise sono coerenti tra i vari fornitori, ma l'esecuzione varia in base all'interfaccia di gestione e all'ecosistema.

vendor_comparison_chart.png

Cisco (Catalyst e Meraki)

Gli ambienti Cisco scalano tipicamente dalle distribuzioni di campus alle reti aziendali distribuite.

Cisco Catalyst (WLC/DNA Center):

  1. Definire i server RADIUS: Passare alla scheda Sicurezza, selezionare AAA e configurare i server RADIUS di autenticazione e accounting primari e secondari. Assicurarsi che il segreto condiviso corrisponda alla configurazione del server RADIUS.
  2. Creare il profilo WLAN: Nella scheda WLAN, creare un nuovo profilo.
  3. Configurare i criteri di sicurezza: Impostare la sicurezza di livello 2 su WPA+WPA2 e abilitare 802.1X come metodo di gestione delle chiavi di autenticazione (AKM).
  4. Associare i server AAA: Mappare i server RADIUS precedentemente definiti al profilo WLAN. Abilitare "AAA Override" se è richiesta l'assegnazione dinamica della VLAN.

Cisco Meraki:

  1. Configurazione SSID: Nel Dashboard Meraki, passare a Wireless > SSIDs e selezionare la rete di destinazione.
  2. Controllo degli accessi: Impostare il requisito di associazione su "WPA2-Enterprise con il mio server RADIUS".
  3. Impostazioni RADIUS: Inserire gli indirizzi IP, la porta di autenticazione (solitamente 1812), la porta di accounting (1813) e i segreti condivisi per l'infrastruttura RADIUS. Il dashboard di Meraki include uno strumento di test integrato per verificare la connettività RADIUS prima della distribuzione.

Aruba Networks

Aruba è la piattaforma dominante nel settore Hospitality e dell'istruzione superiore, e sfrutta ampiamente il suo ClearPass Policy Manager per un controllo degli accessi avanzato.

  1. Definire il profilo AAA: In Aruba Central o nell'interfaccia utente del Mobility Controller, creare un nuovo profilo AAA. Questo profilo determina la gestione dell'autenticazione.
  2. Configurare il gruppo di server RADIUS: Aggiungere i server RADIUS a un gruppo di server, specificando le regole di failover e i valori di timeout. Associare questo gruppo al profilo AAA.
  3. Configurazione AP Virtuale: Creare o modificare un profilo AP Virtuale (SSID). Impostare il tipo di sicurezza su WPA2-Enterprise.
  4. Associazione Profili: Associare il profilo AAA al profilo AP Virtuale. Se si utilizza ClearPass, assicurarsi che la porta RADIUS CoA (Change of Authorization) (3799) sia consentita attraverso eventuali firewall intermedi per permettere l'applicazione dinamica delle policy.

Ubiquiti (UniFi)

Ubiquiti offre una soluzione conveniente per gli ambienti Retail e le PMI tramite l'UniFi Network Controller.

  1. Creazione Profilo RADIUS: Andare su Impostazioni > Profili > RADIUS. Creare un nuovo profilo con l'indirizzo IP, le porte (1812/1813) e la chiave segreta condivisa (shared secret) del server RADIUS esterno.
  2. Configurazione SSID: Andare su Impostazioni > WiFi e creare una nuova rete wireless.
  3. Impostazioni di Sicurezza: Selezionare "WPA2 Enterprise" come protocollo di sicurezza e associare il profilo RADIUS appena creato.
  4. Nota sull'Infrastruttura RADIUS: A differenza dei controller enterprise che possono offrire un RADIUS locale resiliente, UniFi si affida fortemente a server esterni (es. FreeRADIUS, Windows NPS). Garantire una connettività affidabile tra gli AP UniFi e il backend RADIUS.

Best Practice

Per garantire un'implementazione resiliente e sicura, i progettisti di rete devono attenersi ad alcune best practice fondamentali:

  1. Imporre la Validazione del Certificato: I dispositivi client devono essere configurati esplicitamente per convalidare il certificato del server RADIUS tramite un'Autorità di Certificazione (CA) attendibile. La mancata esecuzione di questa operazione espone la rete ad attacchi "Evil Twin", in cui gli access point non autorizzati sottraggono le credenziali degli utenti.
  2. Implementare la Ridondanza RADIUS: Il server RADIUS si trova nel percorso critico per l'accesso alla rete. Configurare sempre server RADIUS primari e secondari. In ambienti distribuiti, prendere in considerazione soluzioni RADIUS ospitate in cloud per un'elevata disponibilità.
  3. Sfruttare l'Assegnazione Dinamica della VLAN: Utilizzare gli attributi RADIUS (es. Tunnel-Pvt-Group-ID) per assegnare dinamicamente gli utenti a VLAN specifiche in base alla loro appartenenza ai gruppi di Active Directory. Questo garantisce la segmentazione della rete senza trasmettere più SSID.
  4. Abilitare il RADIUS Accounting: Non limitarsi a configurare la sola autenticazione. Il RADIUS accounting (Porta 1813) è obbligatorio per generare i percorsi di audit richiesti dai framework di conformità.
  5. Proteggere il Perimetro della Rete: Scopri di più su come proteggere la tua infrastruttura nella nostra guida su come Proteggere la tua rete con DNS e sicurezza avanzati .

Risoluzione dei Problemi e Mitigazione dei Rischi

Anche con una pianificazione attenta, le implementazioni possono riscontrare problemi. I casi di errore più comuni includono:

  • Mancata Corrispondenza della Chiave Segreta Condivisa: Un semplice errore di battitura nella chiave segreta condivisa del RADIUS causerà errori di autenticazione invisibili. Verificare le chiavi sia sull'autenticatore che sul server RADIUS.
  • Errori di Sincronizzazione dell'Ora: La convalida del certificato richiede una misurazione precisa del tempo. Assicurarsi che tutti gli AP, i controller e i server RADIUS siano sincronizzati tramite una sorgente NTP affidabile.
  • Traffico RADIUS bloccato dal firewall: assicurarsi che le porte UDP 1812 (Autenticazione) e 1813 (Accounting) siano aperte tra gli AP/Controller e il server RADIUS. Se si utilizza CoA, assicurarsi che la porta UDP 3799 sia aperta.
  • Configurazione errata del client supplicant: il problema più comune è che il dispositivo client non è configurato per considerare attendibile la CA che ha emesso il certificato del server RADIUS. Utilizzare MDM o Group Policy per distribuire i profili wireless corretti ai dispositivi aziendali.

Per una comprensione più ampia dei protocolli di autenticazione, consultare How to Configure 802.1X WiFi Authentication: A Step-by-Step Guide .

ROI e impatto aziendale

Il passaggio a WPA2-Enterprise offre un valore aziendale significativo che va oltre i semplici miglioramenti della sicurezza.

  • Mitigazione del rischio: l'eliminazione delle password condivise riduce drasticamente la superficie di attacco e il rischio di una violazione dei dati, che può comportare gravi sanzioni finanziarie e reputazionali.
  • Efficienza operativa: l'integrazione dell'autenticazione WiFi con gli identity provider esistenti (come Active Directory) automatizza l'onboarding e l'offboarding dei dipendenti. Quando un dipendente lascia l'azienda, la disattivazione del suo account AD revoca istantaneamente il suo accesso alla rete WiFi.
  • Abilitazione della conformità: audit trail granulari e autenticazione per singolo utente sono prerequisiti per la conformità PCI DSS e ISO 27001.
  • Infrastruttura unificata: utilizzando l'assegnazione dinamica delle VLAN, le strutture possono gestire il traffico aziendale, del back-of-house e IoT in modo sicuro sulla stessa infrastruttura fisica utilizzata per l'accesso degli ospiti. La rete ospiti può quindi essere monetizzata e analizzata utilizzando una soluzione dedicata di WiFi Analytics , massimizzando il ritorno sull'investimento hardware. Assicuratevi di avere la larghezza di banda necessaria comprendendo What Is a Leased Line? Dedicated Business Internet .

Definizioni chiave

WPA2-Enterprise

Un protocollo di sicurezza per reti wireless che utilizza lo standard IEEE 802.1X per fornire l'autenticazione per singolo utente tramite un server esterno, anziché una singola password condivisa.

Lo standard obbligatorio per la sicurezza delle reti WiFi aziendali e operative in ambienti enterprise.

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN.

Il framework sottostante che consente il funzionamento di WPA2-Enterprise.

RADIUS

Remote Authentication Dial-In User Service; un protocollo di rete che fornisce la gestione centralizzata di autenticazione, autorizzazione e contabilità (AAA).

Il componente server che convalida le credenziali utente rispetto a un database come Active Directory.

Supplicant

Il client software su un dispositivo (laptop, smartphone) che comunica con l'autenticatore per richiedere l'accesso alla rete.

L'endpoint che deve essere configurato con le corrette impostazioni EAP e l'attendibilità del certificato.

Authenticator

Il dispositivo di rete (Access Point o Switch) che facilita il processo di autenticazione trasmettendo i messaggi tra il supplicant e il server di autenticazione.

L'hardware Cisco, Aruba o Ubiquiti gestito dal team IT.

EAP (Extensible Authentication Protocol)

Un framework di autenticazione frequentemente utilizzato nelle reti wireless e nelle connessioni point-to-point, che supporta molteplici metodi di autenticazione.

Il protocollo utilizzato per incapsulare lo scambio di credenziali.

PEAP-MSCHAPv2

Un metodo EAP che incapsula lo scambio di password MSCHAPv2 all'interno di un tunnel TLS sicuro stabilito dal certificato del server.

Il metodo di implementazione più comune in quanto bilancia la sicurezza con la praticità di utilizzare le password AD standard.

Dynamic VLAN Assignment

Il processo in cui un server RADIUS indica all'access point di inserire un utente autenticato in una VLAN specifica in base alla sua identità o appartenenza a un gruppo.

Fondamentale per la segmentazione della rete, consente a diversi tipi di utenti di condividere in sicurezza gli stessi AP fisici.

Esempi pratici

Un hotel di 200 camere deve implementare un WiFi sicuro per il personale di servizio (pulizie, direzione) utilizzando gli access point Aruba esistenti, mantenendo il traffico del personale rigorosamente separato dalla rete degli ospiti.

Il team IT configura un singolo SSID "Hotel_Staff" utilizzando WPA2-Enterprise. Integra Aruba ClearPass con l'Active Directory dell'hotel. In ClearPass, configura le policy di applicazione: se un utente appartiene al gruppo AD "Management", ClearPass restituisce un attributo RADIUS che lo assegna alla VLAN 10 (Rete di Gestione). Se l'utente appartiene al gruppo "Housekeeping", viene assegnato alla VLAN 20 (Rete Operativa). Gli AP sono configurati per applicare queste assegnazioni dinamiche di VLAN.

Commento dell'esaminatore: Questo approccio dimostra l'efficacia dell'assegnazione dinamica della VLAN. Evita l'interferenza RF e il sovraccarico di gestione derivanti dalla trasmissione di più SSID ("Hotel_Management", "Hotel_Housekeeping"), garantendo al contempo una rigorosa segmentazione della rete e sfruttando le identità di directory esistenti.

Una catena di vendita al dettaglio nazionale con 50 sedi utilizza Cisco Meraki. Devono proteggere i loro terminali POS (Point-of-Sale) tramite WiFi per soddisfare la conformità PCI DSS, sostituendo la loro vecchia configurazione WPA2-Personal.

L'architetto di rete distribuisce un servizio RADIUS ospitato in cloud per evitare di implementare server locali in ogni negozio. Nella dashboard Meraki, configura l'SSID "Retail_POS" per WPA2-Enterprise e lo indirizza agli IP RADIUS del cloud. Genera certificati client univoci per ciascun terminale POS tramite la propria piattaforma MDM e configura il server RADIUS per richiedere EAP-TLS. Gli AP Meraki sono configurati per inviare sia i dati di autenticazione che quelli di accounting RADIUS al servizio cloud.

Commento dell'esaminatore: Questo scenario evidenzia il passaggio a EAP-TLS per ambienti ad alta sicurezza. Utilizzando i certificati anziché le password, i terminali POS si autenticano in modo silenzioso e sicuro. L'inclusione dell'accounting RADIUS garantisce che la catena soddisfi i requisiti PCI DSS per l'audit degli accessi.

Domande di esercitazione

Q1. La tua organizzazione sta implementando WPA2-Enterprise utilizzando gli access point Ubiquiti UniFi. Durante i test, i client riescono a connettersi correttamente, ma il team di conformità rileva che non ci sono log relativi alla durata delle sessioni utente o all'utilizzo dei dati nel sistema di logging centrale. Qual è l'omissione di configurazione più probabile?

Suggerimento: L'autenticazione concede l'accesso, ma un altro processo traccia l'utilizzo.

Visualizza risposta modello

La porta RADIUS Accounting (1813) non è stata configurata o è bloccata da un firewall. Mentre l'autenticazione (porta 1812) funziona, l'Accounting deve essere esplicitamente abilitato per generare i log di controllo delle sessioni.

Q2. Un utente riferisce di non riuscire a connettersi alla rete aziendale WPA2-Enterprise. Controlli i log del Cisco WLC e noti che l'AP sta inoltrando l'EAP-Request, ma i log del server RADIUS mostrano un errore "Access-Reject" dovuto a "Unknown CA". Cosa deve essere corretto?

Suggerimento: Pensa alla relazione di fiducia stabilita durante la configurazione del tunnel TLS.

Visualizza risposta modello

Il supplicant del dispositivo client non è configurato per considerare attendibile la Certificate Authority (CA) che ha emesso il certificato del server RADIUS. Il client sta interrompendo la connessione per prevenire un potenziale attacco Evil Twin. Il certificato della CA deve essere distribuito sul dispositivo client.

Q3. Stai progettando una rete per uno stadio. Devi supportare il personale aziendale, i terminali di biglietteria e il WiFi per gli ospiti. Come dovresti progettare gli SSID per ridurre al minimo le interferenze RF mantenendo la sicurezza?

Suggerimento: Evita di trasmettere un SSID per ogni singolo caso d'uso.

Visualizza risposta modello

Distribuisci un massimo di due SSID. Un SSID per gli ospiti che utilizza un Captive Portal (come Purple). Un secondo SSID per tutte le attività aziendali che utilizza WPA2-Enterprise. Utilizza l'assegnazione dinamica della VLAN tramite il server RADIUS per segmentare il personale aziendale su una VLAN e i terminali di biglietteria su un'altra in base alle loro credenziali di autenticazione.

Continua a leggere questa serie

PSK per dispositivo per fornitore: confronto tra iPSK, DPSK, MPSK e PPSK (e supporto WPA3)

Un confronto completo delle implementazioni PSK per dispositivo tra Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet e Ubiquiti UniFi. Scopri come WPA3-SAE influisce sulle strategie delle chiavi per dispositivo e quando distribuire le modalità di transizione rispetto al passaggio a 802.1X.

Leggi la guida →

Metodi di autenticazione del Captive Portal a confronto

Questa guida di riferimento tecnico autorevole valuta i compromessi architetturali, operativi e di conformità di cinque metodi di autenticazione principali per captive portal. Fornisce ad architetti di rete, direttori IT e marketing manager i dati quantitativi e i framework decisionali necessari per bilanciare l'attrito nell'onboarding degli ospiti con i requisiti di raccolta dati all'interno delle sedi aziendali.

Leggi la guida →

Cos'è l'autenticazione tramite indirizzo MAC? Quando usarla e quando evitarla

Questa guida tecnica di riferimento autorevole copre l'autenticazione tramite indirizzo MAC negli ambienti WiFi aziendali: come funziona l'autenticazione MAC basata su RADIUS a livello Layer 2, le sue vulnerabilità di sicurezza intrinseche (incluso il MAC spoofing e l'impatto della randomizzazione MAC a livello di sistema operativo) e i precisi contesti operativi in cui rimane uno strumento valido per la gestione di dispositivi IoT e headless. Fornisce linee guida di implementazione pratiche per responsabili IT e architetti di rete nei settori dell'ospitalità, del retail, della sanità e dei luoghi pubblici, con esempi pratici reali, framework decisionali e contesti di integrazione per la piattaforma di guest WiFi e analytics di Purple.

Leggi la guida →