Vai al contenuto principale

Come configurare WPA2-Enterprise sulle piattaforme di Access Point più diffuse (Cisco, Aruba, Ubiquiti)

Questa guida di riferimento tecnica fornisce ai professionisti IT senior e agli architetti di rete una guida definitiva e specifica per vendor per l'implementazione di WPA2-Enterprise su piattaforme Cisco, Aruba e Ubiquiti. Dettaglia l'architettura, l'integrazione RADIUS, i requisiti di conformità e gli scenari di implementazione reali in ambienti aziendali e venue.

📖 6 minuti di lettura📝 1,309 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Come configurare WPA2-Enterprise sulle piattaforme Access Point più diffuse — Cisco, Aruba e Ubiquiti Un briefing informativo di Purple WiFi [INTRO — circa 1 minuto] Benvenuti alla serie Purple WiFi Intelligence. Sono il vostro ospite e oggi andremo dritti al punto su uno dei temi più richiesti dai nostri clienti enterprise: come configurare WPA2-Enterprise sulle tre piattaforme di access point più diffuse — Cisco, Aruba e Ubiquiti. Che siate il direttore IT di un gruppo alberghiero da 500 camere, l'architetto di rete di una catena retail nazionale o il CTO di un operatore di centri congressi, questo briefing è pensato per voi. Non ci soffermeremo sulla teoria fine a se stessa. Analizzeremo nel dettaglio ciò che dovete sapere per prendere una decisione di implementazione, eseguirla correttamente ed evitare le insidie che ostacolano anche i team più esperti. Cominciamo. [APPROFONDIMENTO TECNICO — circa 5 minuti] In primo luogo, facciamo un rapido punto su cosa sia effettivamente WPA2-Enterprise, perché sul mercato c'è ancora molta confusione tra WPA2-Personal e WPA2-Enterprise - e la differenza è estremamente importante per la conformità e la sicurezza. WPA2-Personal — la versione con cui la maggior parte delle persone ha familiarità — utilizza una singola chiave precondivisa. Tutti i membri della rete utilizzano la stessa password. Va bene per una rete domestica. Non è assolutamente accettabile per un ambiente aziendale in cui sono necessari l'autenticazione per singolo utente, i log di controllo e la possibilità di revocare l'accesso all'istante. WPA2-Enterprise, definito dallo standard 802.1X, sostituisce la chiave condivisa con uno scambio di autenticazione individuale. Ogni utente o dispositivo presenta le proprie credenziali — che si tratti di nome utente e password, di un certificato digitale o di un token — e tali credenziali vengono convalidate da un server RADIUS prima che venga concesso l'accesso alla rete. L'access point stesso non vede mai le credenziali. Funge puramente da autenticatore, passando lo scambio EAP — Extensible Authentication Protocol — tra il client e il server RADIUS. Si tratta di un'architettura fondamentalmente più sicura, ed è il requisito di base per la conformità PCI-DSS in qualsiasi ambiente che gestisce dati di carte di pagamento, oltre a essere fortemente raccomandata dal GDPR per le organizzazioni che elaborano dati personali su reti wireless. Ora, parliamo delle tre piattaforme. Iniziamo con Cisco. Il portfolio WiFi aziendale di Cisco - principalmente le linee Catalyst e Meraki - è la scelta di riferimento per le distribuzioni su larga scala. Cisco DNA Center fornisce una gestione centralizzata delle policy, e la dashboard Meraki offre la semplicità della gestione in cloud per le proprietà distribuite. Per configurare WPA2-Enterprise su un access point Cisco Catalyst, lavorerai tramite il WLC (Wireless LAN Controller) o il DNA Center. I passaggi chiave sono: definire il server RADIUS in Sicurezza, poi AAA, quindi RADIUS Authentication Servers; creare un nuovo profilo WLAN; impostare la policy di sicurezza su WPA2 con 802.1X come metodo di gestione delle chiavi; e associare il server RADIUS a quella WLAN. Un punto critico su Cisco: assicurati di configurare sia il RADIUS accounting che l'autenticazione. L'accounting ti fornisce la traccia di controllo per sessione richiesta dai framework di conformità. Su Meraki, il processo è ancora più semplice - naviga su Wireless, poi SSIDs, seleziona l'SSID di destinazione, imposta la sicurezza su WPA2-Enterprise con "il mio server RADIUS" e inserisci l'IP del server RADIUS, la porta - in genere 1812 per l'autenticazione e 1813 per l'accounting - e la chiave segreta condivisa. Meraki supporta anche i test RADIUS direttamente dalla dashboard, il che è prezioso durante la messa in servizio. Passiamo ad Aruba. Aruba Networks, ora parte di HPE, è la scelta dominante nel settore dell'ospitalità e dell'istruzione superiore. Aruba Central fornisce la gestione in cloud, e ArubaOS è la piattaforma sottostante. Su Aruba, la configurazione WPA2-Enterprise risiede all'interno del profilo SSID. Definirai un profilo AAA che fa riferimento al tuo server RADIUS, quindi collegherai quel profilo AAA al tuo profilo AP virtuale. Il ClearPass Policy Manager di Aruba merita una menzione specifica in questo contesto: è il motore RADIUS e di policy proprietario di Aruba, e aggiunge funzionalità significative in termini di profilazione dei dispositivi, controllo degli accessi basato sui ruoli e onboarding degli ospiti. Se gestisci un ambiente misto con personale, collaboratori esterni e ospiti che si connettono tutti alla stessa infrastruttura, ClearPass ti offre la granularità delle policy necessaria per segmentarli in modo appropriato. Per un hotel che distribuisce WPA2-Enterprise sulle reti del personale e del back-office e gestisce al contempo una soluzione WiFi separata per gli ospiti tramite una piattaforma come Purple, la segmentazione SSID di Aruba combinata con ClearPass per l'autenticazione del personale rappresenta un'architettura estremamente pulita. Ora passiamo a Ubiquiti. La piattaforma UniFi di Ubiquiti ha ottenuto una trazione significativa nello spazio delle PMI e del mercato medio - e sempre più nell'ospitalità boutique e nel retail - grazie al suo prezzo competitivo e a un'interfaccia di gestione davvero efficiente. Il controller di rete UniFi è il luogo in cui svolgerai il lavoro più impegnativo. Per configurare WPA2-Enterprise su UniFi, vai su Impostazioni, quindi WiFi, crea o modifica il tuo SSID, imposta la sicurezza su WPA2 Enterprise e configura il tuo profilo RADIUS - di nuovo, indirizzo IP, porta di autenticazione 1812, porta di accounting 1813 e il shared secret. Una considerazione importante con Ubiquiti: non viene fornito con un server RADIUS integrato nello stesso modo in cui lo fanno alcune piattaforme enterprise. Avrai bisogno di un server RADIUS esterno - che si tratti di Windows Server NPS, FreeRADIUS o di un servizio RADIUS cloud. Questa non è una limitazione in sé, ma è una dipendenza che deve essere pianificata. Per implementazioni più piccole, l'applicazione di rete UniFi include un server RADIUS di base, ma per gli ambienti di produzione consiglio sempre un'istanza RADIUS dedicata. Su tutte e tre le piattaforme, la selezione del metodo EAP merita attenzione. PEAP con MSCHAPv2 è il metodo più diffuso perché funziona con le credenziali di Active Directory senza richiedere certificati lato client. EAP-TLS è più sicuro - utilizza l'autenticazione reciproca dei certificati - ma richiede un'infrastruttura PKI e la distribuzione dei certificati su ogni dispositivo client, il che aggiunge un sovraccarico operativo. Per la maggior parte delle installazioni aziendali, PEAP-MSCHAPv2 con un server RADIUS configurato correttamente e la convalida del certificato sul lato client rappresenta il giusto equilibrio tra sicurezza e gestibilità operativa. [RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE DA EVITARE — circa 2 minuti] Ora ti illustro i tre scenari di errore più comuni che riscontro nelle implementazioni WPA2-Enterprise e come evitarli. Numero uno: disponibilità del server RADIUS. Il tuo server RADIUS è ora nel percorso critico per ogni autenticazione wireless. Se si interrompe, nessuno può connettersi. Ciò significa che è necessaria la ridondanza RADIUS - come minimo un server RADIUS primario e uno secondario configurati su ogni access point. La maggior parte delle piattaforme supporta questa funzione in modo nativo. Su Cisco, puoi configurare gruppi di server RADIUS con failover. Su Aruba, il profilo AAA supporta più server RADIUS con valori di timeout e tentativi configurabili. Su Ubiquiti, puoi specificare un server RADIUS secondario nel profilo RADIUS. Non saltare questo passaggio. Numero due: validazione del certificato. Una percentuale incredibilmente alta di implementazioni che esamino ha dispositivi client configurati per accettare qualsiasi certificato del server RADIUS. Questo compromette completamente il modello di sicurezza - ti espone ad attacchi evil twin in cui un access point rogue impersona la tua rete e raccoglie le credenziali. Configura il certificato del tuo server RADIUS da una CA fidata e configura i tuoi supplicant client per validare quel certificato. Su Windows, questo viene fatto tramite Group Policy. Su iOS e Android, viene gestito tramite profili MDM. Questo è non negoziabile per qualsiasi ambiente che gestisca dati sensibili. Numero tre: assegnazione VLAN. WPA2-Enterprise consente l'assegnazione dinamica della VLAN - il server RADIUS può restituire un attributo VLAN nel messaggio Access-Accept, posizionando ogni utente autenticato nel segmento di rete appropriato in base alla sua identità o al suo ruolo. Questa è una delle funzionalità più potenti dell'architettura 802.1X ed è spesso lasciata non configurata. Se gestisci una sede con personale, direzione e dispositivi IoT tutti sulla stessa infrastruttura fisica, l'assegnazione dinamica della VLAN è il modo in cui applichi la segmentazione di rete senza gestire SSID multipli. Sul fronte dell'integrazione con Purple: se stai implementando WPA2-Enterprise per il personale e le reti operative, e utilizzi la piattaforma Purple per il guest WiFi per la connettività dei visitatori, questi due sistemi coesistono in modo pulito. Purple gestisce l'autenticazione degli ospiti, l'acquisizione dei dati e il livello di analytics - inclusi i WiFi analytics e la footfall intelligence che i gestori delle sedi utilizzano per le decisioni operative - mentre la tua infrastruttura WPA2-Enterprise protegge la rete aziendale. La chiave è una netta separazione di SSID e VLAN a livello di access point, supportata da tutte e tre le piattaforme. [D&R RAPIDE - circa 1 minuto] Vediamo di passare in rassegna alcune domande che sorgono regolarmente. Posso eseguire WPA2-Enterprise e una rete ospite sugli stessi access point? Sì, assolutamente. Tutte e tre le piattaforme supportano SSID multipli per radio, ciascuno con policy di sicurezza indipendenti. Il tuo SSID aziendale esegue WPA2-Enterprise; il tuo SSID ospite può essere gestito tramite il captive portal di Purple con un isolamento appropriato. Devo sostituire i miei access point esistenti per implementare WPA2-Enterprise? Quasi certamente no. WPA2-Enterprise è supportato su access point di livello enterprise da ben oltre un decennio. Se il tuo hardware ha meno di otto anni ed esegue un firmware corrente, supporterà lo standard 802.1X. Qual è la differenza tra WPA2-Enterprise e WPA3-Enterprise? WPA3-Enterprise aggiunge una modalità di sicurezza a 192 bit utilizzando la crittografia Suite B, rilevante per gli ambienti governativi e di difesa. Per la maggior parte delle implementazioni commerciali, WPA2-Enterprise con metodi EAP forti rimane lo standard. Vale la pena pianificare la transizione a WPA3 per le nuove installazioni, ma non si tratta di una migrazione urgente per la maggior parte delle organizzazioni. Il RADIUS in cloud è un'opzione praticabile? Sì, e lo è sempre di più. Servizi come Cisco ISE in cloud, Aruba ClearPass as a service, o opzioni di terze parti come JumpCloud e Foxpass offrono RADIUS come servizio gestito, eliminando i costi di gestione dell'infrastruttura. Per le proprietà distribuite - si pensi a una catena retail con 200 sedi - il RADIUS in cloud può ridurre significativamente la complessità operativa. [RIASSUNTO E PROSSIMI PASSI — circa 1 minuto] Per concludere: il WPA2-Enterprise è la base non negoziabile per qualsiasi implementazione wireless aziendale. Il processo di configurazione tra Cisco, Aruba e Ubiquiti segue lo stesso schema fondamentale - definire il server RADIUS, creare l'SSID con gestione delle chiavi 802.1X, selezionare il metodo EAP e testare prima di andare online. Le differenze risiedono nelle interfacce di gestione e negli strumenti dell'ecosistema che circondano ciascuna piattaforma. Le tre cose da fare bene: ridondanza RADIUS, validazione dei certificati sui client e assegnazione dinamica delle VLAN. Gestendo correttamente questi tre elementi si otterrà una postura di sicurezza wireless solida, conforme e verificabile. Per i prossimi passi: se si stanno valutando le piattaforme, utilizzare il framework di confronto dei fornitori nella guida allegata. Se si è pronti per l'implementazione, i passaggi di configurazione dettagliati per ciascuna piattaforma sono inclusi nella sezione di implementazione. E se si sta valutando come integrare il WiFi per gli ospiti insieme alla rete aziendale, la documentazione della piattaforma Purple descrive in dettaglio l'architettura di integrazione. Grazie per l'attenzione. Ci vediamo al prossimo briefing.

Executive Summary

L'implementazione di WPA2-Enterprise non è più un aggiornamento di sicurezza opzionale, ma costituisce lo standard minimo essenziale per qualsiasi rete wireless di livello enterprise. Per i responsabili IT e i network architect che operano nei settori dell'ospitalità, del retail e della pubblica amministrazione, il passaggio dalle chiavi precondivise all'autenticazione 802.1X è dettato da rigorosi requisiti di conformità, tra cui PCI-DSS e GDPR. Questa guida di riferimento tecnico fornisce passaggi di configurazione concreti, pratici e specifici per le piattaforme dei tre principali vendor di access point: Cisco, Aruba e Ubiquiti.

Passando a WPA2-Enterprise, le organizzazioni enterprise possono eliminare i rischi associati alle credenziali condivise, ottenere audit trail granulari per singola sessione e abilitare la segmentazione dinamica della rete. Se implementata correttamente, questa architettura non solo protegge il perimetro aziendale, ma si integra anche perfettamente con le reti per gli ospiti gestite tramite una piattaforma completa di Guest WiFi . Le sezioni seguenti descrivono in dettaglio l'architettura tecnica, i passaggi di implementazione e le strategie di mitigazione del rischio necessarie per un rollout di successo.

header_image.png

Technical Deep-Dive

WPA2-Enterprise si basa sullo standard IEEE 802.1X per fornire il controllo dell'accesso alla rete basato su porta. A differenza di WPA2-Personal, che utilizza una chiave precondivisa (PSK) statica, WPA2-Enterprise richiede che ogni supplicant (dispositivo client) si autentichi individualmente rispetto a un server di autenticazione esterno - in genere un server RADIUS - prima di ottenere l'accesso alla rete.

L'architettura è composta da tre componenti principali:

  1. Il Supplicant: il dispositivo client che tenta di connettersi alla rete.
  2. L'Authenticatore: l'access point enterprise o il controller LAN wireless (ad esempio, un Cisco WLC o Aruba Mobility Controller) che facilita il processo di autenticazione.
  3. Il Server di Autenticazione: il server RADIUS di back-end (ad esempio, Cisco ISE, Aruba ClearPass o Windows NPS), che convalida le credenziali rispetto a un servizio di directory come Active Directory o LDAP.

Il Processo di Scambio EAP

Il processo di autenticazione utilizza il protocollo Extensible Authentication Protocol over LAN (EAPOL). Durante la fase iniziale, l'authenticatore agisce esclusivamente come proxy trasparente. Una volta che il server RADIUS ha convalidato le credenziali, restituisce un messaggio di Access-Accept all'authenticatore, che poi ricava le chiavi di crittografia necessarie per proteggere la sessione wireless. La scelta del metodo EAP è fondamentale. PEAP-MSCHAPv2 è il metodo più ampiamente utilizzato perché supporta la tradizionale autenticazione con password Active Directory proteggendo lo scambio all'interno di un tunnel TLS stabilito dal certificato del server. Per la massima sicurezza, tuttavia, si raccomanda EAP-TLS. EAP-TLS richiede un'autenticazione reciproca dei certificati (sia il server che il client devono presentare certificati validi), il che protegge dal furto di credenziali ma richiede una solida infrastruttura a chiave pubblica (PKI) o una soluzione di Mobile Device Management (MDM) per la distribuzione dei certificati.

architecture_overview.png

Guida all'implementazione

I principi fondamentali della configurazione di WPA2-Enterprise sono coerenti tra i vari fornitori, ma l'esecuzione varia in base all'interfaccia di gestione e all'ecosistema.

vendor_comparison_chart.png

Cisco (Catalyst e Meraki)

Gli ambienti Cisco spaziano tipicamente da implementazioni campus a reti aziendali distribuite.

Cisco Catalyst (WLC/DNA Center):

  1. Definire i server RADIUS: Passare alla scheda "Sicurezza", selezionare "AAA" e configurare i server di autenticazione e accounting RADIUS primari e secondari. Assicurarsi che il segreto condiviso corrisponda alla configurazione del server RADIUS.
  2. Creare un profilo WLAN: Nella scheda "WLANs", creare un nuovo profilo.
  3. Configurare la policy di sicurezza: Impostare la sicurezza di Livello 2 su WPA+WPA2 e abilitare 802.1X come metodo di Authentication Key Management (AKM).
  4. Associare i server AAA: Mappare i server RADIUS precedentemente definiti al profilo WLAN. Se è richiesta l'assegnazione dinamica della VLAN, abilitare "AAA Override".

Cisco Meraki:

  1. Configurazione SSID: Nella dashboard Meraki, passare a Wireless > SSIDs e selezionare la rete di destinazione.
  2. Controllo degli accessi: Impostare il requisito di associazione su "WPA2-Enterprise con il mio server RADIUS".
  3. Impostazioni RADIUS: Inserire l'indirizzo IP dell'infrastruttura RADIUS, la porta di autenticazione (solitamente 1812), la porta di accounting (1813) e il segreto condiviso. La dashboard Meraki include uno strumento di test integrato per verificare la connettività RADIUS prima dell'implementazione.

Aruba Networks

Aruba è la piattaforma dominante nel settore dell' Ospitalità e dell'istruzione superiore, e fa un uso estensivo del suo ClearPass Policy Manager per il controllo avanzato degli accessi.

  1. Definire un profilo AAA: In Aruba Central o nell'interfaccia utente del Mobility Controller, creare un nuovo profilo AAA. Questo profilo determina come viene gestita l'autenticazione.
  2. Configurare un gruppo di server RADIUS: Aggiungere i server RADIUS a un gruppo di server, specificando le regole di failover e i valori di timeout. Associare questo gruppo al profilo AAA.3. Configurazione Virtual AP: Creare o modificare il profilo Virtual AP (SSID). Impostare il tipo di sicurezza su WPA2-Enterprise.
  3. Associare i profili: Associare il profilo AAA al profilo Virtual AP. Se si utilizza ClearPass, assicurarsi che la porta RADIUS CoA (Change of Authorization) (3799) sia consentita attraverso eventuali firewall intermedi per abilitare l'applicazione dinamica delle policy.

Ubiquiti (UniFi)

Ubiquiti, attraverso il UniFi Network Controller, offre una soluzione conveniente per gli ambienti Retail e le PMI.

  1. Creare un profilo RADIUS: Passare a Impostazioni > Profili > RADIUS. Creare un nuovo profilo utilizzando l'indirizzo IP, le porte (1812/1813) e il segreto condiviso del server RADIUS esterno.
  2. Configurazione SSID: Andare su Impostazioni > WiFi e creare una nuova rete wireless.
  3. Impostazioni di sicurezza: Selezionare "WPA2 Enterprise" come protocollo di sicurezza e associare il profilo RADIUS appena creato.
  4. Considerazioni sull'architettura RADIUS: A differenza dei controller di livello enterprise che possono offrire RADIUS locale resiliente, UniFi si affida fortemente a server esterni (ad esempio, FreeRADIUS o Windows NPS). Garantire una connettività affidabile tra gli AP UniFi e il back-end RADIUS.

Best Practice

Per garantire che la distribuzione sia resiliente e sicura, gli architetti di rete devono seguire diverse best practice fondamentali:

  1. Imporre la validazione del certificato: I dispositivi client devono essere configurati esplicitamente per convalidare il certificato del server RADIUS rispetto a un'Autorità di Certificazione (CA) fidata. La mancata esecuzione di questa operazione espone la rete ad attacchi "Evil Twin", consentendo a un access point non autorizzato di intercettare le credenziali dell'utente.
  2. Implementare la ridondanza RADIUS: Il server RADIUS si trova nel percorso critico per l'accesso alla rete. Configurare sempre server RADIUS primari e secondari. In ambienti distribuiti, prendere in considerazione una soluzione RADIUS ospitata in cloud per un'elevata disponibilità.
  3. Sfruttare l'assegnazione dinamica della VLAN: Utilizzare gli attributi RADIUS (come Tunnel-Pvt-Group-ID) per assegnare dinamicamente gli utenti a specifiche VLAN in base alla loro appartenenza ai gruppi Active Directory. Questo applica la segmentazione della rete senza trasmettere più SSID.
  4. Abilitare RADIUS Accounting: Non configurare solo l'autenticazione. Il RADIUS Accounting (porta 1813) è obbligatorio per generare i percorsi di audit richiesti dai framework di conformità.
  5. Proteggere il perimetro della rete: Maggiori informazioni sulla protezione della vostra infrastruttura sono disponibili nella nostra guida Protecting Your Network with Robust DNS and Security .

Risoluzione dei problemi e mitigazione dei rischi

Anche con una pianificazione attenta, le distribuzioni possono riscontrare problemi. I problemi più comuni includono:

  • Mancata corrispondenza del segreto condiviso: Un semplice errore di battitura nel segreto condiviso RADIUS causa errori di autenticazione silenziosi. Verificare il segreto sia sull'autenticatore sia sul server RADIUS.
  • Errori di sincronizzazione dell'ora: La validazione del certificato richiede timestamp precisi. Assicurarsi che tutti gli AP, i controller e i server RADIUS siano sincronizzati tramite una sorgente NTP affidabile.
  • Firewall che bloccano il traffico RADIUS: Assicurarsi che le porte UDP 1812 (autenticazione) e 1813 (accounting) siano aperte tra gli AP/controller e i server RADIUS. Se si utilizza CoA, assicurarsi che la porta UDP 3799 sia aperta.
  • Errata configurazione del client: Il problema più comune è rappresentato dai dispositivi client non configurati per considerare attendibile la CA che ha rilasciato il certificato del server RADIUS. Utilizzare un MDM o le Criteri di gruppo per distribuire il profilo wireless corretto ai dispositivi aziendali.

Per una comprensione più approfondita del protocollo di autenticazione, consultare Come configurare l'autenticazione WiFi 802.1X: una guida passo dopo passo .

ROI e impatto aziendale

Oltre al tangibile miglioramento della sicurezza, il passaggio a WPA2-Enterprise offre un valore aziendale significativo.

  • Riduzione del rischio: L'eliminazione delle password condivise riduce drasticamente la superficie di attacco e il rischio di violazione dei dati, che può comportare gravi conseguenze finanziarie e di reputazione.
  • Efficienza operativa: L'integrazione dell'autenticazione WiFi con il provider di identità esistente (come Active Directory) consente di automatizzare l'onboarding e l'offboarding del personale. Quando un dipendente lascia l'azienda, la disattivazione del suo account AD revoca istantaneamente il suo accesso al WiFi.
  • Allineamento alla conformità: Audit trail dettagliati e l'autenticazione per singolo utente sono requisiti fondamentali per la conformità PCI-DSS e ISO 27001.
  • Infrastruttura unificata: Utilizzando l'assegnazione dinamica della VLAN, le strutture possono gestire in modo sicuro il traffico aziendale, del back-of-house e IoT sulla stessa infrastruttura hardware fisica utilizzata per l'accesso degli ospiti. La rete ospiti può quindi essere monetizzata e analizzata utilizzando una soluzione dedicata di WiFi Analytics , massimizzando il ritorno sull'investimento hardware. Assicuratevi di disporre di una larghezza di banda sufficiente comprendendo Che cos'è una linea dedicata? Internet aziendale dedicato .

Definizioni chiave

WPA2-Enterprise

Un protocollo di sicurezza per reti wireless che utilizza lo standard 802.1X per fornire l'autenticazione per singolo utente tramite un server esterno, anziché una singola password condivisa.

Lo standard obbligatorio per la protezione delle reti WiFi aziendali e operative in contesti enterprise.

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN.

Il framework sottostante che abilita il funzionamento di WPA2-Enterprise.

RADIUS

Remote Authentication Dial-In User Service; un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e accounting (AAA).

Il componente server che convalida le credenziali utente rispetto a un database come Active Directory.

Supplicant

Il client software su un dispositivo (laptop, smartphone) che comunica con l'autenticatore per richiedere l'accesso alla rete.

L'endpoint che deve essere configurato con le corrette impostazioni EAP e la attendibilità del certificato.

Authenticator

Il dispositivo di rete (Access Point o Switch) che facilita il processo di autenticazione inoltrando i messaggi tra il supplicant e il server di autenticazione.

L'hardware Cisco, Aruba o Ubiquiti gestito dal team IT.

EAP (Extensible Authentication Protocol)

Un framework di autenticazione utilizzato frequentemente nelle reti wireless e nelle connessioni point-to-point, che supporta molteplici metodi di autenticazione.

Il protocollo utilizzato per incapsulare lo scambio di credenziali.

PEAP-MSCHAPv2

Un metodo EAP che incapsula lo scambio di password MSCHAPv2 all'interno di un tunnel TLS sicuro stabilito dal certificato del server.

Il metodo di implementazione più comune in quanto bilancia la sicurezza con la praticità di utilizzare le password AD standard.

Assegnazione VLAN Dinamica

Il processo in cui un server RADIUS istruisce l'access point di inserire un utente autenticato in una VLAN specifica in base alla sua identità o all'appartenenza a un gruppo.

Fondamentale per la segmentazione della rete, in quanto consente a diversi tipi di utenti di condividere gli stessi AP fisici in modo sicuro.

Esempi pratici

Un hotel da 200 camere deve implementare un WiFi sicuro per il personale di servizio (pulizie, direzione) utilizzando gli access point Aruba esistenti, mantenendo il traffico del personale rigorosamente separato dalla rete ospiti.

Il team IT configura un singolo SSID "Hotel_Staff" utilizzando WPA2-Enterprise. Integra Aruba ClearPass con l'Active Directory dell'hotel. In ClearPass, configura le policy di applicazione: se un utente appartiene al gruppo AD "Management", ClearPass restituisce un attributo RADIUS che lo assegna alla VLAN 10 (Rete Management). Se l'utente appartiene al gruppo "Housekeeping", viene assegnato alla VLAN 20 (Rete Operations). Gli AP sono configurati per applicare queste assegnazioni VLAN dinamiche.

Commento dell'esaminatore: Questo approccio dimostra la potenza dell'assegnazione dinamica della VLAN. Evita l'interferenza RF e il sovraccarico di gestione derivanti dalla trasmissione di più SSID ("Hotel_Management", "Hotel_Housekeeping"), garantendo al contempo una rigorosa segmentazione della rete e sfruttando le identità di directory esistenti.

Una catena retail nazionale con 50 punti vendita utilizza Cisco Meraki. Devono proteggere i loro terminali POS (Point-of-Sale) tramite WiFi per soddisfare la conformità PCI DSS, sostituendo la loro vecchia configurazione WPA2-Personal.

L'architetto di rete distribuisce un servizio RADIUS ospitato in cloud per evitare l'implementazione di server locali in ogni negozio. Nel dashboard Meraki, configura l'SSID "Retail_POS" per WPA2-Enterprise e lo punta agli IP del RADIUS cloud. Genera certificati client univoci per ciascun terminale POS tramite la piattaforma MDM e configura il server RADIUS per richiedere EAP-TLS. Gli AP Meraki sono configurati per inviare sia i dati di autenticazione che di accounting RADIUS al servizio cloud.

Commento dell'esaminatore: Questo scenario evidenzia il passaggio a EAP-TLS per ambienti ad alta sicurezza. Utilizzando i certificati invece delle password, i terminali POS si autenticano in modo silenzioso e sicuro. L'inclusione del RADIUS Accounting garantisce che la catena soddisfi i requisiti PCI DSS per l'auditing degli accessi.

Domande di esercitazione

Q1. La tua organizzazione sta implementando WPA2-Enterprise utilizzando access point Ubiquiti UniFi. Durante i test, i client si connettono con successo, ma il team di conformità rileva che non ci sono registri delle durate delle sessioni utente o dell'utilizzo dei dati nel sistema di logging centrale. Qual è l'omissione di configurazione più probabile?

Suggerimento: L'autenticazione concede l'accesso, ma un altro processo traccia l'utilizzo.

Visualizza risposta modello

La porta RADIUS Accounting (1813) non è stata configurata o è bloccata da un firewall. Sebbene l'Autenticazione (porta 1812) funzioni, il servizio di Accounting deve essere esplicitamente abilitato per generare i log di controllo delle sessioni.

Q2. Un utente riferisce di non riuscire a connettersi alla rete aziendale WPA2-Enterprise. Controlli i log del Cisco WLC e vedi che l'AP sta inoltrando l'EAP-Request, ma i log del server RADIUS mostrano un errore "Access-Reject" a causa di "Unknown CA". Cosa deve essere corretto?

Suggerimento: Pensa alla relazione di fiducia stabilita durante la configurazione del tunnel TLS.

Visualizza risposta modello

Il supplicant del dispositivo client non è configurato per considerare attendibile l'Autorità di Certificazione (CA) che ha emesso il certificato del server RADIUS. Il client interrompe la connessione per prevenire un potenziale attacco Evil Twin. Il certificato CA deve essere inviato al dispositivo client.

Q3. Stai progettando una rete per uno stadio. Devi supportare il personale aziendale, i terminali di biglietteria e il WiFi per gli ospiti. Come dovresti progettare gli SSID per ridurre al minimo le interferenze RF mantenendo al contempo la sicurezza?

Suggerimento: Evita di trasmettere un SSID per ogni singolo caso d'uso.

Visualizza risposta modello

Implementa un massimo di due SSID. Un SSID per gli Ospiti che utilizza un Captive Portal (come Purple). Un secondo SSID per tutte le attività aziendali che utilizza WPA2-Enterprise. Utilizza l'Assegnazione VLAN Dinamica tramite il server RADIUS per segmentare il personale aziendale su una VLAN e i terminali di biglietteria su un'altra in base alle loro credenziali di autenticazione.

Continua a leggere questa serie

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Questa guida di riferimento tecnica descrive l'architettura, la configurazione e l'implementazione dell'autenticazione RADIUS per le reti WiFi aziendali per ospiti e personale. Fornisce ai network architect e ai manager IT i protocolli esatti, gli standard di sicurezza e le metodologie di risoluzione dei problemi necessari per creare sistemi di controllo degli accessi wireless sicuri e scalabili.

Leggi la guida →

Passpoint and OpenRoaming: Complete Guide

Questa guida di riferimento tecnico fornisce un'analisi completa dei framework Passpoint (Hotspot 2.0) e WBA OpenRoaming all'interno delle reti WiFi aziendali. Descrive in dettaglio i protocolli di autenticazione sottostanti, i componenti architetturali e le strategie di implementazione necessarie per stabilire una connettività guest sicura e senza attriti. I progettisti di rete e i responsabili IT impareranno a progettare, implementare e risolvere i problemi di questi standard per eliminare le barriere di accesso manuale mantenendo al contempo una sicurezza di livello enterprise.

Leggi la guida →

Come Implementare SCEP per il Secure BYOD e l'Iscrizione di Rete nell'Istruzione Superiore

Questa guida tecnica fornisce ad architetti di rete e responsabili IT un modello indipendente dal fornitore per implementare la registrazione dei certificati basata su SCEP per proteggere le reti dei campus universitari. Descrive in dettaglio come migrare dal protocollo PEAP basato su password a 802.1X EAP-TLS, automatizzare l'onboarding dei dispositivi BYOD e applicare una robusta segmentazione VLAN.

Leggi la guida →