Configuring RADIUS Authentication for Guest and Staff WiFi Networks
Questa guida di riferimento tecnica descrive l'architettura, la configurazione e l'implementazione dell'autenticazione RADIUS per le reti WiFi aziendali per ospiti e personale. Fornisce ai network architect e ai manager IT i protocolli esatti, gli standard di sicurezza e le metodologie di risoluzione dei problemi necessari per creare sistemi di controllo degli accessi wireless sicuri e scalabili.
- Executive Summary
- Technical Deep-Dive
- Il Framework AAA
- Componenti dell'Architettura RADIUS
- Metodi EAP per il WiFi del Personale
- Flusso di autenticazione per guest WiFi
- Trasporto sicuro: RadSec
- Guida all'implementazione
- Passaggio 1: Definire i client RADIUS sul server
- Passaggio 2: Configurare il Wireless LAN Controller (WLC) / Access Point
- Passaggio 3: Configura l'SSID del personale (802.1X)
- Passaggio 4: Configura l'SSID Ospiti con il Captive Portal
- Best Practice
- Alta Affidabilità e Ridondanza
- Gestione dei Certificati
- Segmentazione della VLAN
- Session Timeout e intervalli di accounting
- Risoluzione dei problemi e mitigazione dei rischi
- Modalità di guasto comuni e soluzioni
- ROI e impatto aziendale

Executive Summary
Negli ambienti aziendali moderni, la sicurezza delle reti wireless è un requisito operativo fondamentale. I metodi di sicurezza tradizionali, come le chiavi precondivise (PSK) comuni, introducono significative vulnerabilità di sicurezza. Se un singolo dipendente lascia l'azienda, o se un ospite compromette una password condivisa, l'intera sicurezza della rete viene compromessa. Questa guida spiega nel dettaglio come implementare Remote Authentication Dial-In User Service (RADIUS) per centralizzare il controllo degli accessi, applicare policy di sicurezza granulari e segmentare il traffico di ospiti e personale.
Passando a un'architettura RADIUS centralizzata, le organizzazioni possono implementare l'autenticazione 802.1X per il personale - garantendo che ogni dispositivo si autentichi con credenziali univoche e revocabili - e al contempo utilizzare Captive Portal sicuri e il MAC Authentication Bypass (MAB) per gli utenti ospiti. Questa guida tecnica di riferimento fornisce i progetti architetturali, i passaggi di configurazione e i framework di risoluzione dei problemi necessari per implementare un'infrastruttura di autenticazione wireless resiliente e di livello enterprise.
Technical Deep-Dive
Il Framework AAA
RADIUS opera sul framework AAA, che definisce le fasi principali del controllo degli accessi:
- Autenticazione: verifica dell'identità dell'utente o del dispositivo che tenta di connettersi alla rete WiFi. Questo avviene tramite credenziali, certificati digitali o token.
- Autorizzazione: determinazione del livello di accesso alla rete concesso all'entità autenticata. Ciò include l'assegnazione di VLAN specifiche, l'applicazione di liste di controllo degli accessi (ACL) o l'imposizione di limiti di larghezza di banda.
- Accounting: tracciamento del consumo di risorse di rete, inclusa la durata della sessione, i dati trasferiti e gli orari di accesso/disconnessione. Questi dati sono fondamentali per l'auditing, la conformità e la pianificazione della rete.
- Auditing: revisione dei dati di accounting raccolti per identificare anomalie, violazioni della sicurezza o violazioni delle policy.
Componenti dell'Architettura RADIUS
Un'implementazione RADIUS aziendale standard è costituita da tre componenti principali:
- Il Supplicant: il software client in esecuzione sul dispositivo dell'utente (ad es. laptop, smartphone) che richiede l'accesso alla rete e fornisce credenziali o certificati.
- L'Authenticator (Network Access Server / NAS): il dispositivo di rete fisico o virtuale - tipicamente un Wireless LAN Controller (WLC) o un Access Point (AP) - che controlla l'accesso fisico alla rete. L'authenticator non decide se le credenziali sono valide; funge da proxy, impacchettando la richiesta di autenticazione in pacchetti RADIUS e inoltrandoli al server RADIUS.
- L'Authentication Server: il server centrale (come FreeRADIUS, Cisco ISE, Aruba ClearPass o il motore RADIUS basato su cloud di Purple) che convalida le credenziali rispetto a un archivio di identità (ad es. Active Directory, LDAP o un provider di identità cloud) e restituisce un messaggio di Access-Accept o Access-Reject all'authenticator.
Metodi EAP per il WiFi del Personale
Per le reti del personale, l'Extensible Authentication Protocol (EAP) viene utilizzato all'interno del framework 802.1X per negoziare l'autenticazione. I due metodi EAP aziendali più comuni sono:
- PEAP-MSCHAPv2 (Protected EAP): questo metodo stabilisce un tunnel TLS sicuro e crittografato tra il richiedente e il server RADIUS utilizzando il certificato digitale del server. All'interno di questo tunnel sicuro, il nome utente e la password dell'utente vengono autenticati utilizzando il protocollo MSCHAPv2. Questo metodo è molto diffuso per la sua facilità di implementazione, in quanto non richiede l'installazione di certificati sui dispositivi client.
- EAP-TLS: il metodo di autenticazione più sicuro disponibile. Richiede un'autenticazione reciproca, il che significa che sia il server RADIUS sia il dispositivo client devono presentare certificati digitali validi. Questo elimina gli attacchi basati su password, ma richiede una Public Key Infrastructure (PKI) robusta per gestire la distribuzione e la revoca dei certificati.
Flusso di autenticazione per guest WiFi
Le reti guest utilizzano in genere un flusso diverso per bilanciare la sicurezza e la praticità d'uso. Al posto del protocollo 802.1X, le reti guest utilizzano spesso un SSID aperto combinato con un Captive Portal.
Quando un ospite si connette, l'autenticatore utilizza il MAC Authentication Bypass (MAB) o una policy di reindirizzamento per inviare l'utente a un captive portal ospitato da una piattaforma come Purple. Una volta che l'utente ha completato il processo di registrazione o di accesso sul portale, la piattaforma del portale comunica con il server RADIUS, che invia un messaggio di Access-Accept al WLC/AP, autorizzando l'indirizzo MAC dell'ospite per l'accesso alla rete per una durata di sessione specificata.
Trasporto sicuro: RadSec
Il traffico RADIUS tradizionale viene inviato tramite UDP (porte 1812 per l'autenticazione e 1813 per l'accounting) in chiaro, con il solo campo della password dell'utente oscurato tramite un segreto condiviso. Questo comporta rischi per la sicurezza quando si instrada il traffico di autenticazione su connessioni WAN pubbliche o su Internet.
Per ovviare a questo inconveniente, è necessario implementare RadSec (RADIUS su TLS). RadSec avvolge i pacchetti RADIUS standard all'interno di un tunnel TLS sicuro (in genere utilizzando la porta TCP 2083). In questo modo si garantisce che tutti i dati di autenticazione e di accounting, compresi i nomi utente, gli indirizzi MAC e gli attributi di sessione, siano completamente crittografati durante il transito tra la rete locale e i server RADIUS basati sul cloud.
Guida all'implementazione
Passaggio 1: Definire i client RADIUS sul server
Prima che un dispositivo di rete possa comunicare con il server RADIUS, deve essere registrato come client.
- Accedere alla console di amministrazione del server RADIUS.
- Passare alla sezione Client o Dispositivi di rete.
- Aggiungere una nuova voce client per ogni WLC o AP.
- Inserire l'indirizzo IP o la sottorete dell'autenticatore.
- Generare un segreto condiviso ad alta entropia. Questo segreto deve essere lungo almeno 22 caratteri e contenere una combinazione di lettere maiuscole, lettere minuscole, numeri e caratteri speciali. Evitare l'uso di parole semplici del dizionario.
Passaggio 2: Configurare il Wireless LAN Controller (WLC) / Access Point
Configura il tuo hardware wireless per puntare al server RADIUS per l'autenticazione e l'accounting.
- Accedi all'interfaccia di gestione del tuo WLC o AP.
- Naviga su Sicurezza > AAA > RADIUS > Autenticazione.
- Aggiungi un nuovo Server di Autenticazione RADIUS:
- Indirizzo IP del Server: Inserisci l'indirizzo IP del tuo server RADIUS primario.
- Segreto Condiviso: Inserisci l'esatto segreto condiviso configurato nel Passaggio 1.
- Porta: 1812 (o 2083 se utilizzi RadSec).
- Timeout: Imposta su 5 secondi per consentire la latenza di rete.
- Numero di Tentativi: Imposta su 3.
- Naviga su RADIUS Accounting e aggiungi una nuova voce del server utilizzando la porta 1813 (o 2083 per RadSec).
- Ripeti questi passaggi per aggiungere un server RADIUS secondario (di backup) per l'alta affidabilità.
Passaggio 3: Configura l'SSID del personale (802.1X)
- Crea un nuovo SSID denominato
Staff_Enterprise. - Imposta il Tipo di Sicurezza su WPA3-Enterprise (o in modalità di transizione WPA2/WPA3-Enterprise se è richiesto il supporto per dispositivi legacy).
- Seleziona 802.1X come protocollo di gestione delle chiavi.
- Associa l'SSID ai server di autenticazione e accounting RADIUS configurati nel Passaggio 2.
- Associa l'SSID alla VLAN protetta del personale (ad es. VLAN 10).
Passaggio 4: Configura l'SSID Ospiti con il Captive Portal
- Crea un nuovo SSID denominato
Guest_WiFi. - Imposta il Tipo di Sicurezza su Open (o Enhanced Open / OWE per la crittografia wireless opportunistica).
- Abilita il Filtraggio MAC o l'Autenticazione MAC e indirizzalo al server RADIUS.
- Abilita il reindirizzamento al Captive Portal / Web Portal.
- Configura l'URL di reindirizzamento per puntare alla pagina di accesso del Captive Portal di Purple.
- Configura il Walled Garden (ACL di pre-autenticazione) per consentire il traffico verso il dominio del Captive Portal, i server DNS e le risorse CDN necessarie prima del completamento dell'autenticazione.
- Associa l'SSID a una VLAN Ospiti isolata (ad es. VLAN 20).
Best Practice
Alta Affidabilità e Ridondanza
Distribuisci sempre i server RADIUS in coppie ridondanti (primario e secondario). Assicurati che questi server si trovino su hardware fisici diversi o in diverse zone di disponibilità cloud. Configura i tuoi WLC per eseguire il failover in modo ottimale sul server secondario se il server primario smette di rispondere. Implementa il bilanciamento del carico dove opportuno per distribuire equamente il traffico di autenticazione.
Gestione dei Certificati
Per le distribuzioni PEAP ed EAP-TLS, la validità e l'affidabilità del certificato del server RADIUS sono di fondamentale importanza.
- Utilizza un certificato emesso da un'Autorità di Certificazione (CA) pubblica attendibile per i portali ospiti e le distribuzioni PEAP per evitare messaggi di avviso sui certificati sui dispositivi degli utenti.
- Per EAP-TLS, stabilisci una CA privata interna dedicata per emettere e gestire i certificati client e server.
- Monitora attentamente le date di scadenza dei certificati e implementa processi di rinnovo automatizzati (come SCEP o ACME) per prevenire improvvisi errori di autenticazione a livello di rete.
Segmentazione della VLAN
Segmenta rigorosamente il traffico di rete utilizzando le VLAN. Il traffico guest deve essere completamente isolato dalle risorse aziendali. Implementa regole di firewall sullo switch principale o sul gateway per impedire il routing inter-VLAN tra la VLAN Guest e le VLAN Staff/Management. Consenti solo il routing diretto del traffico guest verso internet.
Session Timeout e intervalli di accounting
Configura session timeout appropriati per evitare che le sessioni inattive consumino indirizzi IP e risorse di rete.
- Per le reti dello staff, imposta un session timeout compreso tra 8 e 12 ore, in linea con un turno di lavoro standard.
- Per le reti guest, imposta un session timeout più breve, da 2 a 4 ore.
- Configura l'intervallo interim-update di accounting RADIUS a 10 o 15 minuti. Questo garantisce che il server RADIUS riceva aggiornamenti regolari sulla connettività dei dispositivi e sull'utilizzo dei dati senza sovraccaricare il server con pacchetti di accounting.
Risoluzione dei problemi e mitigazione dei rischi
Modalità di guasto comuni e soluzioni
1. Mancata corrispondenza del Shared Secret
- Sintomo: I log del WLC mostrano "Server RADIUS non rispondente" e i log del server RADIUS mostrano "Pacchetto scartato - autenticatore non valido" o "Autenticatore errato nella richiesta".
- Causa principale: Il shared secret configurato sul WLC non corrisponde a quello configurato sul server RADIUS.
- Mitigazione: Reinserisci il shared secret su entrambi i dispositivi, assicurandoti che non vengano copiati spazi finali o caratteri nascosti.
2. Problemi di attendibilità dei certificati
- Sintomo: I dispositivi client non riescono a connettersi al SSID dello staff, mostrando errori come "Certificato server non attendibile" o "Connessione rifiutata".
- Causa principale: Il dispositivo client non considera attendibile la CA che ha firmato il certificato del server RADIUS, oppure il certificato è scaduto.
- Mitigazione: Assicurati che i certificati CA radice e intermedi siano installati nell'archivio radice attendibile del dispositivo client. Per i dispositivi gestiti a livello aziendale, distribuisci questi certificati tramite MDM o Criteri di gruppo.
3. Blocchi del Firewall
- Sintomo: Il server RADIUS non riceve alcun traffico dal WLC, anche se il routing è verificato.
- Causa principale: I firewall intermedi stanno bloccando le porte UDP 1812 e 1813.
- Mitigazione: Crea regole firewall esplicite per consentire le porte UDP 1812 e 1813 (o TCP 2083 per RadSec) tra l'IP di gestione del WLC e l'IP del server RADIUS.
4. Timeout causati dalla latenza
- Sintomo: Errori di autenticazione intermittenti, in particolare durante le ore di punta o quando si utilizzano server RADIUS basati su cloud.
- Causa principale: La latenza di rete supera la soglia di timeout RADIUS del WLC, inducendo il WLC a presumere che il server sia offline.
- Mitigazione: Aumenta l'impostazione del timeout RADIUS del WLC dal valore predefinito (in genere 2 secondi) a 5 o 7 secondi. Ottimizza il routing WAN o implementa proxy RADIUS locali per memorizzare nella cache le richieste di autenticazione.
ROI e impatto aziendale
Il passaggio a un modello di autenticazione RADIUS centralizzato offre un valore aziendale misurabile in diverse aree chiave:
- Costi operativi ridotti: Elimina lo sforzo manuale richiesto per ruotare le password WiFi condivise quando il personale lascia l'organizzazione. Gli account utente possono essere disabilitati istantaneamente in Active Directory o nel tuo identity provider, revocando immediatamente il loro accesso alla rete.
- Postura di sicurezza migliorata: Mitiga il rischio di violazioni dei dati causate dal furto di credenziali o dall'accesso non autorizzato alla rete. Imponendo l'autenticazione basata su certificati e 802.1X, le organizzazioni garantiscono che solo i dispositivi autorizzati e conformi possano accedere alle risorse aziendali sensibili.
- Operazioni della sede ottimizzate: Integrando il WiFi ospiti con la piattaforma cloud RADIUS di Purple, i gestori delle sedi acquisiscono preziosi dati demografici e comportamentali. Questi dati possono essere utilizzati per progettare campagne di marketing mirate, migliorare il coinvolgimento dei visitatori e ottimizzare l'utilizzo dello spazio fisico sulla base dell'analisi del flusso di persone.
- Conformità normativa: I log di tracciamento RADIUS centralizzati forniscono un registro di controllo degli accessi alla rete, aiutando le organizzazioni a soddisfare i requisiti di conformità per standard come PCI-DSS, ISO 27001 e GDPR.
Definizioni chiave
RADIUS
Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e tracciamento (Authentication, Authorization, and Accounting) per gli utenti che si connettono e utilizzano un servizio di rete.
È il protocollo standard del settore utilizzato per connettere l'hardware della rete wireless con i database di identità centrali.
Supplicant
Il software client o il dispositivo (come un laptop, un telefono o un tablet) che richiede l'accesso a una rete e fornisce credenziali o certificati per la verifica.
Il supplicant deve supportare lo specifico metodo EAP configurato sul server RADIUS per autenticarsi con successo.
Authenticator
Il dispositivo di rete (in genere un Wireless LAN Controller o un Access Point) che controlla l'accesso fisico alla rete e funge da proxy tra il supplicant e il server RADIUS.
L'authenticator non convalida direttamente le credenziali; si limita a inoltrarle al server RADIUS.
EAP-TLS
Extensible Authentication Protocol - Transport Layer Security. Un metodo di autenticazione estremamente sicuro che utilizza certificati digitali reciproci sia sul client che sul server per la verifica dell'identità.
È il metodo di autenticazione preferito per i dispositivi gestiti dall'azienda sulle reti WiFi del personale.
PEAP-MSCHAPv2
Protected Extensible Authentication Protocol con Microsoft Challenge Handshake Authentication Protocol versione 2. Un metodo di autenticazione basato su credenziali che protegge la trasmissione delle password all'interno di un tunnel TLS crittografato.
È ampiamente utilizzato per le reti del personale perché non richiede certificati sul lato client, rendendolo più facile da distribuire rispetto a EAP-TLS.
RadSec
Un protocollo che protegge il traffico RADIUS racchiudendo i pacchetti RADIUS standard all'interno di un tunnel Transport Layer Security (TLS), tipicamente in esecuzione sulla porta TCP 2083.
Essenziale per le reti WiFi gestite in cloud dove il traffico di autenticazione deve viaggiare su internet pubblica.
Captive Portal
Una pagina web visualizzata dagli utenti wireless appena connessi prima che venga loro concesso un accesso alla rete più ampio. È comunemente usata per l'autenticazione degli ospiti, l'accettazione dei termini di servizio e la raccolta di dati di marketing.
Purple fornisce un captive portal ospitato in cloud che si integra con l'hardware della rete locale tramite RADIUS.
MAC Authentication Bypass (MAB)
Un meccanismo che consente il controllo dell'accesso alla rete in base all'indirizzo MAC di un dispositivo client. Viene in genere utilizzato per i dispositivi che non supportano l'autenticazione 802.1X.
Spesso utilizzato nelle reti WiFi per gli ospiti per consentire ai dispositivi di riconnettersi senza problemi senza visualizzare ripetutamente il captive portal.
Esempi pratici
Un marchio di vendita al dettaglio multisito con 150 negozi desidera implementare una rete WiFi sicura per il personale. Attualmente utilizza un'unica chiave precondivisa (PSK) in tutti i negozi, che viene frequentemente trapelata. Richiede una soluzione che si integri con il proprio Microsoft Azure Active Directory esistente (ora Microsoft Entra ID) e garantisca che il personale possa autenticarsi solo utilizzando laptop gestiti dall'azienda.
Per risolvere questo problema, implementeremo WPA3-Enterprise con autenticazione EAP-TLS, integrata con Microsoft Entra ID tramite un servizio RADIUS basato su cloud.
- Stabilire una CA privata: implementare una Public Key Infrastructure (PKI) basata su cloud o utilizzare una distribuzione esistente di Active Directory Certificate Services (AD CS) per rilasciare certificati di dispositivo a tutti i laptop gestiti dall'azienda.
- Distribuzione dei certificati: configurare il sistema Mobile Device Management (MDM) dell'organizzazione (ad esempio, Microsoft Intune) per distribuire automaticamente il certificato della Root CA e un certificato client univoco a ciascun laptop gestito. Il certificato client deve includere il nome host o il numero di serie del dispositivo nel Subject Alternative Name (SAN).
- Configurare il server RADIUS cloud: configurare un servizio RADIUS cloud che si integri con Microsoft Entra ID. Configurare il server RADIUS per convalidare i certificati client in entrata rispetto alla CA privata attendibile.
- Configurare i WLC/AP: sui controller wireless di ciascun negozio al dettaglio, configurare un nuovo SSID denominato
Retail_Staff. Impostare la sicurezza su WPA3-Enterprise e indirizzare l'autenticazione agli IP del server RADIUS cloud utilizzando RadSec (porta TCP 2083) per proteggere il traffico di autenticazione su Internet pubblico. - Definire le policy di accesso: sul server RADIUS, creare una policy che consenta l'accesso solo se il certificato client è valido, il certificato non è revocato (verificato tramite CRL o OCSP) e l'identità del dispositivo esiste ed è attiva all'interno di Microsoft Entra ID.
Un grande centro congressi che ospita fino a 20.000 utenti simultanei deve implementare una rete WiFi per gli ospiti. La rete deve offrire un'esperienza di accesso fluida tramite un captive portal, imporre un limite di sessione di 3 ore per impedire l'accaparramento della larghezza di banda e raccogliere il consenso di marketing in conformità con il GDPR. L'infrastruttura è costituita da WLC Cisco Catalyst.
Implementeremo un Open SSID con MAC Authentication Bypass (MAB) e reindirizzamento al captive portal integrato con la piattaforma Purple.
- Configurare il Guest SSID: Sul Cisco WLC, creare un SSID denominato
Convention_Guest. Impostare la sicurezza su Open. Abilitare il MAC Filtering e selezionare il gruppo di server RADIUS associato a Purple. - Configurare il Reindirizzamento: Configurare una policy di Web Auth sul WLC per reindirizzare gli utenti non autenticati all'URL del captive portal di Purple:
https://portal.purplewifi.net/.... - Configurare il Walled Garden: Creare una Access Control List (ACL) sul WLC denominata
GUEST_RED_ACL. Questa ACL deve consentire il traffico DNS (porta UDP 53), il traffico DHCP (porte UDP 67 e 68) e il traffico da e verso gli intervalli IP e le CDN di Purple. Tutto l'altro traffico HTTP/HTTPS deve essere reindirizzato. - Configurare il RADIUS Accounting: Abilitare il RADIUS accounting sul WLC, puntando ai server di accounting di Purple con un intervallo di interim-update di 10 minuti.
- Configurare i Limiti di Sessione: Sulla dashboard del portale Purple, configurare il percorso di accesso per imporre un timeout di sessione di 3 ore. Una volta che l'utente completa l'accesso e accetta i termini di marketing conformi al GDPR, il server RADIUS di Purple invia un pacchetto Access-Accept al Cisco WLC contenente l'attributo
Session-Timeoutimpostato su 10800 secondi (3 ore). - Flusso di Nuova Autenticazione: Dopo 3 ore, il WLC termina la sessione. Se l'utente tenta di riconnettersi, viene reindirizzato al captive portal per autenticarsi nuovamente.
Domande di esercitazione
Q1. Un'organizzazione ha recentemente rinnovato il certificato SSL sul proprio server RADIUS. Subito dopo, diversi laptop Windows gestiti dall'azienda non sono stati in grado di connettersi alla rete WiFi del personale, mentre i dispositivi macOS e iOS si sono connessi senza problemi. Qual è la causa più probabile di questo problema e come dovrebbe essere risolto?
Suggerimento: Considera in che modo i diversi sistemi operativi convalidano i certificati del server e il ruolo della catena della Certificate Authority (CA).
Visualizza risposta modello
La causa più probabile è che il nuovo certificato del server RADIUS sia stato emesso da una diversa Certificate Authority (CA) o CA intermedia che non è considerata attendibile dai laptop Windows interessati, oppure che i criteri di gruppo di Windows siano configurati per convalidare la connessione a un nome server o a una CA radice specifica che non corrisponde al nuovo certificato. I dispositivi macOS e iOS sono spesso più permissivi o richiedono all'utente di considerare attendibile il nuovo certificato manualmente, mentre le configurazioni aziendali di Windows bloccano rigorosamente le connessioni ai certificati non attendibili senza chiedere conferma. Per risolvere questo problema, verifica che i certificati radice e intermedi della nuova CA siano distribuiti a tutti i dispositivi Windows tramite criteri di gruppo o MDM e aggiorna la configurazione del profilo wireless per considerare attendibile la nuova CA.
Q2. Durante le ore di punta in un grande stadio sportivo, gli utenti della rete WiFi ospiti riferiscono di aver completato con successo la registrazione al captive portal ma di non essere stati reindirizzati a Internet. Al contrario, viene mostrata loro ripetutamente la pagina di accesso del captive portal. I log del WLC mostrano "RADIUS authentication timeout". Come diagnosticheresti e risolveresti questo problema?
Suggerimento: Analizza il percorso del pacchetto RADIUS e le impostazioni di timeout sul controller wireless.
Visualizza risposta modello
Si tratta di un classico problema di timeout causato dalla latenza. Durante le ore di punta, l'elevato volume di traffico causa congestione sul collegamento WAN o un elevato utilizzo della CPU sul server RADIUS, ritardando la risposta RADIUS Access-Accept. Poiché il timeout predefinito del WLC è impostato su un valore troppo basso (in genere 2 secondi), il WLC presume che il server RADIUS sia offline e interrompe la sessione, costringendo l'utente a tornare al captive portal. Per diagnosticare, controlla il tempo di andata e ritorno (RTT) dei pacchetti RADIUS durante le ore di punta. Per risolvere: 1) Aumenta il timeout RADIUS sul WLC a 5 o 7 secondi. 2) Aumenta il numero di tentativi a 3. 3) Implementa la Quality of Service (QoS) sul gateway WAN per dare priorità al traffico RADIUS (UDP 1812/1813) rispetto al traffico Internet generale degli ospiti.
Q3. Un controllo di sicurezza rivela che gli utenti della rete WiFi ospiti possono accedere alle interfacce di gestione interna degli switch di rete e dei WLC. La rete ospiti è configurata come SSID aperto con un captive portal. Quali modifiche architetturali devono essere apportate per rimediare a questa vulnerabilità?
Suggerimento: Pensa alla segmentazione della rete e a dove dovrebbero essere applicate le policy di controllo degli accessi.
Visualizza risposta modello
Per rimediare a questa vulnerabilità, è necessario applicare una rigorosa segmentazione della rete. In primo luogo, assicurati che il SSID ospite sia mappato su una VLAN ospite dedicata (ad esempio, VLAN 20) completamente separata dalla VLAN del personale e dalla VLAN di gestione (dove risiedono switch e WLC). In secondo luogo, configura le liste di controllo degli accessi (ACL) o le regole del firewall sul router core o sul gateway per bloccare tutto il traffico proveniente dalla VLAN ospite e destinato a qualsiasi sottorete IP privata interna (intervalli RFC 1918), prendendo di mira in particolare gli IP di gestione dell'infrastruttura di rete. La VLAN ospite dovrebbe avere solo percorsi di routing verso Internet e verso i server DNS specifici e gli IP del captive portal richiesti per la pre-autenticazione.
Continua a leggere questa serie
Passpoint and OpenRoaming: Complete Guide
Questa guida di riferimento tecnico fornisce un'analisi completa dei framework Passpoint (Hotspot 2.0) e WBA OpenRoaming all'interno delle reti WiFi aziendali. Descrive in dettaglio i protocolli di autenticazione sottostanti, i componenti architetturali e le strategie di implementazione necessarie per stabilire una connettività guest sicura e senza attriti. I progettisti di rete e i responsabili IT impareranno a progettare, implementare e risolvere i problemi di questi standard per eliminare le barriere di accesso manuale mantenendo al contempo una sicurezza di livello enterprise.
Come Implementare SCEP per il Secure BYOD e l'Iscrizione di Rete nell'Istruzione Superiore
Questa guida tecnica fornisce ad architetti di rete e responsabili IT un modello indipendente dal fornitore per implementare la registrazione dei certificati basata su SCEP per proteggere le reti dei campus universitari. Descrive in dettaglio come migrare dal protocollo PEAP basato su password a 802.1X EAP-TLS, automatizzare l'onboarding dei dispositivi BYOD e applicare una robusta segmentazione VLAN.
Server RADIUS: una guida completa per le aziende
Questa guida fornisce a IT manager, architetti di rete e CTO un riferimento tecnico definitivo sull'autenticazione tramite server RADIUS per il WiFi aziendale. Copre il framework AAA, l'architettura 802.1X, la selezione del metodo EAP, i compromessi tra implementazioni cloud e on-premises e l'assegnazione dinamica della VLAN. I gestori di location nei settori dell'ospitalità, del retail, degli eventi e del settore pubblico troveranno indicazioni pratiche per l'implementazione, casi di studio reali e i framework decisionali necessari per migrare da chiavi pre-condivise non sicure a un'architettura di controllo degli accessi alla rete sicura e basata sull'identità.