Come configurare WPA2-Enterprise sulle piattaforme di Access Point più diffuse (Cisco, Aruba, Ubiquiti)
Questa guida di riferimento tecnica fornisce ai professionisti IT senior e agli architetti di rete una guida definitiva e specifica per vendor per l'implementazione di WPA2-Enterprise su piattaforme Cisco, Aruba e Ubiquiti. Dettaglia l'architettura, l'integrazione RADIUS, i requisiti di conformità e gli scenari di implementazione reali in ambienti aziendali e venue.
Ascolta questa guida
Visualizza trascrizione del podcast
Executive Summary
L'implementazione di WPA2-Enterprise non è più un aggiornamento di sicurezza opzionale, ma costituisce lo standard minimo essenziale per qualsiasi rete wireless di livello enterprise. Per i responsabili IT e i network architect che operano nei settori dell'ospitalità, del retail e della pubblica amministrazione, il passaggio dalle chiavi precondivise all'autenticazione 802.1X è dettato da rigorosi requisiti di conformità, tra cui PCI-DSS e GDPR. Questa guida di riferimento tecnico fornisce passaggi di configurazione concreti, pratici e specifici per le piattaforme dei tre principali vendor di access point: Cisco, Aruba e Ubiquiti.
Passando a WPA2-Enterprise, le organizzazioni enterprise possono eliminare i rischi associati alle credenziali condivise, ottenere audit trail granulari per singola sessione e abilitare la segmentazione dinamica della rete. Se implementata correttamente, questa architettura non solo protegge il perimetro aziendale, ma si integra anche perfettamente con le reti per gli ospiti gestite tramite una piattaforma completa di Guest WiFi . Le sezioni seguenti descrivono in dettaglio l'architettura tecnica, i passaggi di implementazione e le strategie di mitigazione del rischio necessarie per un rollout di successo.

Technical Deep-Dive
WPA2-Enterprise si basa sullo standard IEEE 802.1X per fornire il controllo dell'accesso alla rete basato su porta. A differenza di WPA2-Personal, che utilizza una chiave precondivisa (PSK) statica, WPA2-Enterprise richiede che ogni supplicant (dispositivo client) si autentichi individualmente rispetto a un server di autenticazione esterno - in genere un server RADIUS - prima di ottenere l'accesso alla rete.
L'architettura è composta da tre componenti principali:
- Il Supplicant: il dispositivo client che tenta di connettersi alla rete.
- L'Authenticatore: l'access point enterprise o il controller LAN wireless (ad esempio, un Cisco WLC o Aruba Mobility Controller) che facilita il processo di autenticazione.
- Il Server di Autenticazione: il server RADIUS di back-end (ad esempio, Cisco ISE, Aruba ClearPass o Windows NPS), che convalida le credenziali rispetto a un servizio di directory come Active Directory o LDAP.
Il Processo di Scambio EAP
Il processo di autenticazione utilizza il protocollo Extensible Authentication Protocol over LAN (EAPOL). Durante la fase iniziale, l'authenticatore agisce esclusivamente come proxy trasparente. Una volta che il server RADIUS ha convalidato le credenziali, restituisce un messaggio di Access-Accept all'authenticatore, che poi ricava le chiavi di crittografia necessarie per proteggere la sessione wireless.
La scelta del metodo EAP è fondamentale. PEAP-MSCHAPv2 è il metodo più ampiamente utilizzato perché supporta la tradizionale autenticazione con password Active Directory proteggendo lo scambio all'interno di un tunnel TLS stabilito dal certificato del server. Per la massima sicurezza, tuttavia, si raccomanda EAP-TLS. EAP-TLS richiede un'autenticazione reciproca dei certificati (sia il server che il client devono presentare certificati validi), il che protegge dal furto di credenziali ma richiede una solida infrastruttura a chiave pubblica (PKI) o una soluzione di Mobile Device Management (MDM) per la distribuzione dei certificati.

Guida all'implementazione
I principi fondamentali della configurazione di WPA2-Enterprise sono coerenti tra i vari fornitori, ma l'esecuzione varia in base all'interfaccia di gestione e all'ecosistema.

Cisco (Catalyst e Meraki)
Gli ambienti Cisco spaziano tipicamente da implementazioni campus a reti aziendali distribuite.
Cisco Catalyst (WLC/DNA Center):
- Definire i server RADIUS: Passare alla scheda "Sicurezza", selezionare "AAA" e configurare i server di autenticazione e accounting RADIUS primari e secondari. Assicurarsi che il segreto condiviso corrisponda alla configurazione del server RADIUS.
- Creare un profilo WLAN: Nella scheda "WLANs", creare un nuovo profilo.
- Configurare la policy di sicurezza: Impostare la sicurezza di Livello 2 su WPA+WPA2 e abilitare 802.1X come metodo di Authentication Key Management (AKM).
- Associare i server AAA: Mappare i server RADIUS precedentemente definiti al profilo WLAN. Se è richiesta l'assegnazione dinamica della VLAN, abilitare "AAA Override".
Cisco Meraki:
- Configurazione SSID: Nella dashboard Meraki, passare a Wireless > SSIDs e selezionare la rete di destinazione.
- Controllo degli accessi: Impostare il requisito di associazione su "WPA2-Enterprise con il mio server RADIUS".
- Impostazioni RADIUS: Inserire l'indirizzo IP dell'infrastruttura RADIUS, la porta di autenticazione (solitamente 1812), la porta di accounting (1813) e il segreto condiviso. La dashboard Meraki include uno strumento di test integrato per verificare la connettività RADIUS prima dell'implementazione.
Aruba Networks
Aruba è la piattaforma dominante nel settore dell' Ospitalità e dell'istruzione superiore, e fa un uso estensivo del suo ClearPass Policy Manager per il controllo avanzato degli accessi.
- Definire un profilo AAA: In Aruba Central o nell'interfaccia utente del Mobility Controller, creare un nuovo profilo AAA. Questo profilo determina come viene gestita l'autenticazione.
- Configurare un gruppo di server RADIUS: Aggiungere i server RADIUS a un gruppo di server, specificando le regole di failover e i valori di timeout. Associare questo gruppo al profilo AAA.3. Configurazione Virtual AP: Creare o modificare il profilo Virtual AP (SSID). Impostare il tipo di sicurezza su WPA2-Enterprise.
- Associare i profili: Associare il profilo AAA al profilo Virtual AP. Se si utilizza ClearPass, assicurarsi che la porta RADIUS CoA (Change of Authorization) (3799) sia consentita attraverso eventuali firewall intermedi per abilitare l'applicazione dinamica delle policy.
Ubiquiti (UniFi)
Ubiquiti, attraverso il UniFi Network Controller, offre una soluzione conveniente per gli ambienti Retail e le PMI.
- Creare un profilo RADIUS: Passare a Impostazioni > Profili > RADIUS. Creare un nuovo profilo utilizzando l'indirizzo IP, le porte (1812/1813) e il segreto condiviso del server RADIUS esterno.
- Configurazione SSID: Andare su Impostazioni > WiFi e creare una nuova rete wireless.
- Impostazioni di sicurezza: Selezionare "WPA2 Enterprise" come protocollo di sicurezza e associare il profilo RADIUS appena creato.
- Considerazioni sull'architettura RADIUS: A differenza dei controller di livello enterprise che possono offrire RADIUS locale resiliente, UniFi si affida fortemente a server esterni (ad esempio, FreeRADIUS o Windows NPS). Garantire una connettività affidabile tra gli AP UniFi e il back-end RADIUS.
Best Practice
Per garantire che la distribuzione sia resiliente e sicura, gli architetti di rete devono seguire diverse best practice fondamentali:
- Imporre la validazione del certificato: I dispositivi client devono essere configurati esplicitamente per convalidare il certificato del server RADIUS rispetto a un'Autorità di Certificazione (CA) fidata. La mancata esecuzione di questa operazione espone la rete ad attacchi "Evil Twin", consentendo a un access point non autorizzato di intercettare le credenziali dell'utente.
- Implementare la ridondanza RADIUS: Il server RADIUS si trova nel percorso critico per l'accesso alla rete. Configurare sempre server RADIUS primari e secondari. In ambienti distribuiti, prendere in considerazione una soluzione RADIUS ospitata in cloud per un'elevata disponibilità.
- Sfruttare l'assegnazione dinamica della VLAN: Utilizzare gli attributi RADIUS (come
Tunnel-Pvt-Group-ID) per assegnare dinamicamente gli utenti a specifiche VLAN in base alla loro appartenenza ai gruppi Active Directory. Questo applica la segmentazione della rete senza trasmettere più SSID. - Abilitare RADIUS Accounting: Non configurare solo l'autenticazione. Il RADIUS Accounting (porta 1813) è obbligatorio per generare i percorsi di audit richiesti dai framework di conformità.
- Proteggere il perimetro della rete: Maggiori informazioni sulla protezione della vostra infrastruttura sono disponibili nella nostra guida Protecting Your Network with Robust DNS and Security .
Risoluzione dei problemi e mitigazione dei rischi
Anche con una pianificazione attenta, le distribuzioni possono riscontrare problemi. I problemi più comuni includono:
- Mancata corrispondenza del segreto condiviso: Un semplice errore di battitura nel segreto condiviso RADIUS causa errori di autenticazione silenziosi. Verificare il segreto sia sull'autenticatore sia sul server RADIUS.
- Errori di sincronizzazione dell'ora: La validazione del certificato richiede timestamp precisi. Assicurarsi che tutti gli AP, i controller e i server RADIUS siano sincronizzati tramite una sorgente NTP affidabile.
- Firewall che bloccano il traffico RADIUS: Assicurarsi che le porte UDP 1812 (autenticazione) e 1813 (accounting) siano aperte tra gli AP/controller e i server RADIUS. Se si utilizza CoA, assicurarsi che la porta UDP 3799 sia aperta.
- Errata configurazione del client: Il problema più comune è rappresentato dai dispositivi client non configurati per considerare attendibile la CA che ha rilasciato il certificato del server RADIUS. Utilizzare un MDM o le Criteri di gruppo per distribuire il profilo wireless corretto ai dispositivi aziendali.
Per una comprensione più approfondita del protocollo di autenticazione, consultare Come configurare l'autenticazione WiFi 802.1X: una guida passo dopo passo .
ROI e impatto aziendale
Oltre al tangibile miglioramento della sicurezza, il passaggio a WPA2-Enterprise offre un valore aziendale significativo.
- Riduzione del rischio: L'eliminazione delle password condivise riduce drasticamente la superficie di attacco e il rischio di violazione dei dati, che può comportare gravi conseguenze finanziarie e di reputazione.
- Efficienza operativa: L'integrazione dell'autenticazione WiFi con il provider di identità esistente (come Active Directory) consente di automatizzare l'onboarding e l'offboarding del personale. Quando un dipendente lascia l'azienda, la disattivazione del suo account AD revoca istantaneamente il suo accesso al WiFi.
- Allineamento alla conformità: Audit trail dettagliati e l'autenticazione per singolo utente sono requisiti fondamentali per la conformità PCI-DSS e ISO 27001.
- Infrastruttura unificata: Utilizzando l'assegnazione dinamica della VLAN, le strutture possono gestire in modo sicuro il traffico aziendale, del back-of-house e IoT sulla stessa infrastruttura hardware fisica utilizzata per l'accesso degli ospiti. La rete ospiti può quindi essere monetizzata e analizzata utilizzando una soluzione dedicata di WiFi Analytics , massimizzando il ritorno sull'investimento hardware. Assicuratevi di disporre di una larghezza di banda sufficiente comprendendo Che cos'è una linea dedicata? Internet aziendale dedicato .
Definizioni chiave
WPA2-Enterprise
Un protocollo di sicurezza per reti wireless che utilizza lo standard 802.1X per fornire l'autenticazione per singolo utente tramite un server esterno, anziché una singola password condivisa.
Lo standard obbligatorio per la protezione delle reti WiFi aziendali e operative in contesti enterprise.
802.1X
Uno standard IEEE per il controllo dell'accesso alla rete basato su porta che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN.
Il framework sottostante che abilita il funzionamento di WPA2-Enterprise.
RADIUS
Remote Authentication Dial-In User Service; un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e accounting (AAA).
Il componente server che convalida le credenziali utente rispetto a un database come Active Directory.
Supplicant
Il client software su un dispositivo (laptop, smartphone) che comunica con l'autenticatore per richiedere l'accesso alla rete.
L'endpoint che deve essere configurato con le corrette impostazioni EAP e la attendibilità del certificato.
Authenticator
Il dispositivo di rete (Access Point o Switch) che facilita il processo di autenticazione inoltrando i messaggi tra il supplicant e il server di autenticazione.
L'hardware Cisco, Aruba o Ubiquiti gestito dal team IT.
EAP (Extensible Authentication Protocol)
Un framework di autenticazione utilizzato frequentemente nelle reti wireless e nelle connessioni point-to-point, che supporta molteplici metodi di autenticazione.
Il protocollo utilizzato per incapsulare lo scambio di credenziali.
PEAP-MSCHAPv2
Un metodo EAP che incapsula lo scambio di password MSCHAPv2 all'interno di un tunnel TLS sicuro stabilito dal certificato del server.
Il metodo di implementazione più comune in quanto bilancia la sicurezza con la praticità di utilizzare le password AD standard.
Assegnazione VLAN Dinamica
Il processo in cui un server RADIUS istruisce l'access point di inserire un utente autenticato in una VLAN specifica in base alla sua identità o all'appartenenza a un gruppo.
Fondamentale per la segmentazione della rete, in quanto consente a diversi tipi di utenti di condividere gli stessi AP fisici in modo sicuro.
Esempi pratici
Un hotel da 200 camere deve implementare un WiFi sicuro per il personale di servizio (pulizie, direzione) utilizzando gli access point Aruba esistenti, mantenendo il traffico del personale rigorosamente separato dalla rete ospiti.
Il team IT configura un singolo SSID "Hotel_Staff" utilizzando WPA2-Enterprise. Integra Aruba ClearPass con l'Active Directory dell'hotel. In ClearPass, configura le policy di applicazione: se un utente appartiene al gruppo AD "Management", ClearPass restituisce un attributo RADIUS che lo assegna alla VLAN 10 (Rete Management). Se l'utente appartiene al gruppo "Housekeeping", viene assegnato alla VLAN 20 (Rete Operations). Gli AP sono configurati per applicare queste assegnazioni VLAN dinamiche.
Una catena retail nazionale con 50 punti vendita utilizza Cisco Meraki. Devono proteggere i loro terminali POS (Point-of-Sale) tramite WiFi per soddisfare la conformità PCI DSS, sostituendo la loro vecchia configurazione WPA2-Personal.
L'architetto di rete distribuisce un servizio RADIUS ospitato in cloud per evitare l'implementazione di server locali in ogni negozio. Nel dashboard Meraki, configura l'SSID "Retail_POS" per WPA2-Enterprise e lo punta agli IP del RADIUS cloud. Genera certificati client univoci per ciascun terminale POS tramite la piattaforma MDM e configura il server RADIUS per richiedere EAP-TLS. Gli AP Meraki sono configurati per inviare sia i dati di autenticazione che di accounting RADIUS al servizio cloud.
Domande di esercitazione
Q1. La tua organizzazione sta implementando WPA2-Enterprise utilizzando access point Ubiquiti UniFi. Durante i test, i client si connettono con successo, ma il team di conformità rileva che non ci sono registri delle durate delle sessioni utente o dell'utilizzo dei dati nel sistema di logging centrale. Qual è l'omissione di configurazione più probabile?
Suggerimento: L'autenticazione concede l'accesso, ma un altro processo traccia l'utilizzo.
Visualizza risposta modello
La porta RADIUS Accounting (1813) non è stata configurata o è bloccata da un firewall. Sebbene l'Autenticazione (porta 1812) funzioni, il servizio di Accounting deve essere esplicitamente abilitato per generare i log di controllo delle sessioni.
Q2. Un utente riferisce di non riuscire a connettersi alla rete aziendale WPA2-Enterprise. Controlli i log del Cisco WLC e vedi che l'AP sta inoltrando l'EAP-Request, ma i log del server RADIUS mostrano un errore "Access-Reject" a causa di "Unknown CA". Cosa deve essere corretto?
Suggerimento: Pensa alla relazione di fiducia stabilita durante la configurazione del tunnel TLS.
Visualizza risposta modello
Il supplicant del dispositivo client non è configurato per considerare attendibile l'Autorità di Certificazione (CA) che ha emesso il certificato del server RADIUS. Il client interrompe la connessione per prevenire un potenziale attacco Evil Twin. Il certificato CA deve essere inviato al dispositivo client.
Q3. Stai progettando una rete per uno stadio. Devi supportare il personale aziendale, i terminali di biglietteria e il WiFi per gli ospiti. Come dovresti progettare gli SSID per ridurre al minimo le interferenze RF mantenendo al contempo la sicurezza?
Suggerimento: Evita di trasmettere un SSID per ogni singolo caso d'uso.
Visualizza risposta modello
Implementa un massimo di due SSID. Un SSID per gli Ospiti che utilizza un Captive Portal (come Purple). Un secondo SSID per tutte le attività aziendali che utilizza WPA2-Enterprise. Utilizza l'Assegnazione VLAN Dinamica tramite il server RADIUS per segmentare il personale aziendale su una VLAN e i terminali di biglietteria su un'altra in base alle loro credenziali di autenticazione.
Continua a leggere questa serie
Configuring RADIUS Authentication for Guest and Staff WiFi Networks
Questa guida di riferimento tecnica descrive l'architettura, la configurazione e l'implementazione dell'autenticazione RADIUS per le reti WiFi aziendali per ospiti e personale. Fornisce ai network architect e ai manager IT i protocolli esatti, gli standard di sicurezza e le metodologie di risoluzione dei problemi necessari per creare sistemi di controllo degli accessi wireless sicuri e scalabili.
Passpoint and OpenRoaming: Complete Guide
Questa guida di riferimento tecnico fornisce un'analisi completa dei framework Passpoint (Hotspot 2.0) e WBA OpenRoaming all'interno delle reti WiFi aziendali. Descrive in dettaglio i protocolli di autenticazione sottostanti, i componenti architetturali e le strategie di implementazione necessarie per stabilire una connettività guest sicura e senza attriti. I progettisti di rete e i responsabili IT impareranno a progettare, implementare e risolvere i problemi di questi standard per eliminare le barriere di accesso manuale mantenendo al contempo una sicurezza di livello enterprise.
Come Implementare SCEP per il Secure BYOD e l'Iscrizione di Rete nell'Istruzione Superiore
Questa guida tecnica fornisce ad architetti di rete e responsabili IT un modello indipendente dal fornitore per implementare la registrazione dei certificati basata su SCEP per proteggere le reti dei campus universitari. Descrive in dettaglio come migrare dal protocollo PEAP basato su password a 802.1X EAP-TLS, automatizzare l'onboarding dei dispositivi BYOD e applicare una robusta segmentazione VLAN.