Vai al contenuto principale
Italiano

Configurazione delle policy RADIUS per un controllo granulare dell'accesso alla rete

Questa guida autorevole fornisce a IT manager, architetti di rete e direttori operativi delle location un modello tecnico completo per configurare le policy RADIUS al fine di ottenere un controllo granulare dell'accesso alla rete. Copre l'architettura 802.1X, l'assegnazione dinamica delle VLAN, la selezione del metodo EAP e le strategie di implementazione graduale. Scenari di implementazione reali nei settori hospitality e retail dimostrano come queste tecniche offrano conformità, sicurezza e ROI operativo misurabili.

📖 6 minuti di lettura📝 1,468 parole🔧 2 esempi pratici3 domande di esercitazione📚 9 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuti al Technical Briefing di Purple. Sono il vostro ospite e oggi approfondiremo un argomento fondamentale per gli architetti di rete aziendali e i direttori IT: la configurazione delle policy RADIUS per un controllo granulare dell'accesso alla rete. Se gestite l'infrastruttura di una catena alberghiera, di una rete retail o di una grande struttura pubblica, sapete bene che i giorni in cui ci si affidava a una semplice chiave precondivisa sono ormai lontani. Sicurezza, conformità e user experience richiedono un approccio più sofisticato. Oggi analizzeremo l'architettura dell'accesso sensibile al contesto, esploreremo le strategie di implementazione e discuteremo come evitare gli errori più comuni e costosi. Partiamo dal contesto. Perché parliamo di RADIUS e 802.1X? Perché il perimetro si è dissolto. Abbiamo laptop aziendali, smartphone di ospiti, tablet di collaboratori esterni e un enorme afflusso di dispositivi IoT che si collegano tutti agli stessi access point fisici. È necessario un meccanismo per segmentare dinamicamente questo traffico, garantire la conformità e offrire comunque una user experience fluida. È proprio qui che entrano in gioco le policy RADIUS. Sfruttando lo standard 802.1X, si passa da un modello basato su 'chi conosce la password' a uno basato su 'chi sei, che dispositivo usi e qual è il tuo contesto?'. Questo cambiamento è fondamentale. L'architettura si basa su tre componenti. In primo luogo, il supplicant: il client software sul dispositivo dell'utente finale. In secondo luogo, l'authenticator: solitamente l'access point wireless o lo switch. E in terzo luogo, l'authentication server: il server RADIUS. Quando un dispositivo si connette, l'authenticator trasmette i messaggi EAP al server RADIUS. Il server RADIUS verifica le credenziali confrontandole con l'archivio delle identità, come Active Directory, LDAP o un provider basato su cloud come Entra ID. Ma ecco la parte cruciale: un server RADIUS configurato correttamente non si limita a restituire un semplice sì o no. Restituisce attributi specifici del fornitore (VSA) che indicano all'infrastruttura di rete esattamente come gestire quella specifica sessione. L'applicazione più potente di questo sistema è l'assegnazione dinamica della VLAN. Immaginate un ambiente ad alta densità come uno stadio o un grande centro congressi. Trasmettere più SSID per diversi gruppi di utenti crea un enorme sovraccarico di beacon e riduce le prestazioni RF. Ogni SSID trasmesso consuma tempo di trasmissione prezioso. Con RADIUS, viene trasmesso un solo SSID sicuro. Quando un responsabile finanziario si autentica, il RADIUS indica all'access point di instradare il suo traffico sulla VLAN 10. Quando si connette un terminale POS, questo viene inserito nella VLAN 20. Quando si autentica un collaboratore esterno, questo finisce sulla VLAN 30 con accesso limitato. È una soluzione pulita, efficiente e riduce drasticamente la superficie di attacco. Ora passiamo all'approfondimento tecnico. Gli attributi chiave che configurerai nei tuoi profili di applicazione RADIUS sono Tunnel-Type, impostato su VLAN; Tunnel-Medium-Type, impostato su 802; e Tunnel-Private-Group-Id, che corrisponde al tuo ID VLAN effettivo. Questi tre attributi, restituiti insieme in un messaggio di Access-Accept, indicano all'autenticatore di inserire la sessione nel segmento di rete corretto. Per i protocolli di autenticazione, hai diverse opzioni. EAP-TLS rappresenta lo standard di riferimento. Utilizza certificati client per l'autenticazione, eliminando completamente il rischio di furto di credenziali e l'affaticamento da password. È la scelta ideale per i dispositivi gestiti a livello aziendale in cui si dispone di una piattaforma MDM per automatizzare la fornitura dei certificati. PEAP-MSCHAPv2 è una scelta solida per gli scenari BYOD in cui la distribuzione dei certificati non è pratica: utilizza un certificato server per stabilire un tunnel TLS e poi trasmette le credenziali di nome utente e password all'interno di quel tunnel. Evita completamente i protocolli legacy come LEAP o EAP-MD5; sono crittograficamente deboli e non dovrebbero essere utilizzati in nessuna implementazione moderna. Parliamo ora dell'implementazione. Raccomando sempre un approccio graduale. La fase uno è l'Integrazione della Fonte di Identità. Le tue policy RADIUS sono efficaci solo quanto la directory sottostante. Assicurati che i tuoi gruppi Active Directory o Entra ID siano logici, ben strutturati e mappati direttamente sui segmenti di rete previsti. Esegui un audit dei tuoi gruppi prima di iniziare. Rimuovi gli account obsoleti, consolida i gruppi sovrapposti e stabilisci livelli di accesso chiari: Executive, Staff, Contractor, Guest e IoT. Per le reti aperte al pubblico, piattaforme come Purple fungono da identity provider, colmando il divario tra l'accesso guest pubblico e i framework di autenticazione sicuri. La fase due è la Configurazione delle Policy. Crea policy che valutino molteplici fattori contestuali, non solo le credenziali. Valuta il NAS-IP-Address (ovvero l'IP dell'autenticatore) per capire da quale posizione fisica proviene la richiesta. Valuta il Called-Station-Id, che contiene il nome dell'SSID, per capire a quale rete si sta connettendo l'utente. Valuta l'ora del giorno. Il profilo di accesso di un collaboratore esterno alle due del mattino dovrebbe essere molto diverso dal suo accesso alle nove del mattino. Combina queste condizioni per creare policy realmente sensibili al contesto. La fase tre è il rollout. E non lo sottolineerò mai abbastanza: non distribuire mai l'applicazione di 802.1X in tutta l'azienda contemporaneamente. Inizia in modalità di monitoraggio. In modalità di monitoraggio, i fallimenti di autenticazione vengono registrati ma l'accesso viene comunque concesso. Questo ti offre visibilità sui supplicant configurati in modo errato, sui dispositivi con certificati scaduti e sulle apparecchiature legacy che non supportano l'802.1X. Trascorri da due a quattro settimane in modalità di monitoraggio, risolvi i problemi riscontrati e poi inizia ad applicare le policy sede per sede. Ora parliamo delle best practice e delle insidie che mettono in difficoltà i team. La causa principale di un errore di autenticazione catastrofico in un ambiente 802.1X è un certificato scaduto. O scade il certificato del server RADIUS, o scade il certificato della CA radice. Quando ciò accade, ogni dispositivo che convalida il certificato del server non riuscirà a connettersi. Implementa una gestione robusta del ciclo di vita dei certificati. Configura avvisi automatici a novanta, sessanta e trenta giorni prima della scadenza. Rendi il rinnovo del certificato un'attività operativa pianificata, non un'emergenza reattiva. La seconda grande sfida è l'IoT. Molti dispositivi — stampanti, telecamere, apparecchiature mediche, sistemi di gestione degli edifici — semplicemente non supportano l'802.1X. Per questi, è necessario utilizzare il MAC Authentication Bypass, o MAB. L'indirizzo MAC del dispositivo viene utilizzato come credenziale. Ma ricorda questa regola: mai fidarsi del MAC. Gli indirizzi MAC possono essere facilmente clonati. Utilizza il MAB solo quando è assolutamente necessario e inserisci sempre tali dispositivi in VLAN isolate e fortemente limitate, con ACL rigide che consentano solo il traffico specifico di cui tali dispositivi hanno bisogno per funzionare. La terza insidia è la configurazione errata del supplicant. I dispositivi degli utenti finali potrebbero essere configurati per convalidare il certificato del server ma non disporre della CA radice necessaria nel loro archivio attendibile. Ciò comporta il rifiuto del certificato del server da parte del dispositivo e il conseguente errore di connessione. La soluzione consiste nell'utilizzare l'MDM per inviare profili wireless standardizzati a tutti i dispositivi aziendali, assicurando che la CA radice corretta sia attendibile e che sia configurato il metodo EAP corretto. Infine, considera il percorso di rete. Un'elevata latenza tra l'autenticatore e il server RADIUS può causare timeout EAP, con conseguenti connessioni non riuscite. Per le aziende distribuite con molte sedi remote, assicurati che l'architettura WAN fornisca una connettività a bassa latenza ai servizi AAA centralizzati. Passiamo al ROI e all'impatto sul business. Perché fare tutto questo sforzo? In primo luogo, per ridurre i costi operativi. Il consolidamento di più SSID in un'unica rete 802.1X con assegnazione dinamica delle VLAN migliora le prestazioni wireless e riduce la complessità di gestione. Meno SSID significano meno sovraccarico di beacon, più tempo di trasmissione disponibile e un throughput migliore per gli utenti. In secondo luogo, per la conformità. Se operi nel settore retail, una rigorosa segmentazione della rete è un requisito PCI DSS. Se operi nel settore sanitario, è richiesta per l'HIPAA. Le policy RADIUS forniscono i controlli verificabili e controllabili necessari per superare gli audit di conformità ed evitare pesanti sanzioni finanziarie. In terzo luogo, per l'esperienza utente. Un'autenticazione fluida e sicura — in particolare tramite EAP-TLS o OpenRoaming — elimina l'attrito dei Captive Portal per gli utenti aziendali abituali e gli ospiti VIP. Nei settori dell'ospitalità e dei trasporti, questo influisce direttamente sui punteggi di soddisfazione e sulla fidelizzazione dei clienti. Ora passiamo alle nostre domande e risposte rapide. Domanda: 'Abbiamo molti dispositivi legacy. Dovremmo continuare a usare WPA2-PSK per semplicità?' Risposta: No. Passa i tuoi dispositivi compatibili a 802.1X e usa il MAB per i dispositivi legacy, posizionandoli in segmenti isolati. Una singola PSK compromessa mette a rischio l'intera rete. Non è un compromesso che vale la pena accettare. Domanda: 'Come si integra Purple in una distribuzione RADIUS?' Risposta: Purple fornisce analisi approfondite sulle tendenze di autenticazione, sulla durata delle sessioni e sul comportamento di roaming, il che è fondamentale per ottimizzare la distribuzione. Inoltre, in qualità di identity provider per OpenRoaming, semplifica l'accesso sicuro per gli ospiti senza gli ostacoli di un Captive Portal tradizionale. Domanda: 'Qual è il risultato più rapido per un team che ha appena iniziato questo percorso?' Risposta: Distribuisci RADIUS in modalità monitor questa settimana. Otterrai immediatamente visibilità sul tuo panorama di autenticazione e identificherai i dispositivi e gli utenti che richiederanno attenzione prima di applicare le policy. La conoscenza è il primo passo. In sintesi, la configurazione delle policy RADIUS per un controllo granulare dell'accesso alla rete è un investimento strategico nella sicurezza, nelle prestazioni e nella conformità della tua rete. Inizia con una directory delle identità pulita e ben strutturata. Sfrutta l'assegnazione dinamica delle VLAN per consolidare i tuoi SSID e ottimizzare il tuo ambiente RF. Dai la priorità all'autenticazione basata su certificati per i dispositivi aziendali. Usa il MAB con parsimonia e in modo sicuro per l'IoT. E procedi sempre con un'implementazione graduale, iniziando con la modalità monitor. Grazie per aver partecipato a questo Briefing Tecnico Purple. Per guide più dettagliate, strategie di implementazione e per scoprire come la piattaforma di guest WiFi e analytics di Purple può integrarsi con la tua architettura di controllo dell'accesso alla rete, visita purple dot ai.

header_image.png

Executive Summary

Per le sedi aziendali — dai vasti complessi commerciali agli stadi ad alta densità — la sicurezza della rete e l'esperienza utente sono indissolubilmente legate. La configurazione delle policy RADIUS per un controllo granulare dell'accesso alla rete fornisce il meccanismo per segmentare il traffico in modo dinamico, garantendo che le risorse aziendali rimangano isolate dalle reti ospiti e dai dispositivi IoT vulnerabili. Questo non è più un aggiornamento discrezionale; è un requisito fondamentale guidato da mandati di conformità tra cui PCI DSS e GDPR.

Questa guida fornisce un progetto tecnico approfondito per l'implementazione del controllo degli accessi basato su RADIUS. Esaminiamo l'architettura dell'autenticazione IEEE 802.1X, i meccanismi di assegnazione dinamica delle VLAN tramite Vendor-Specific Attributes (VSA) e l'integrazione di identity provider tra cui Active Directory, Entra ID e l'identity provider OpenRoaming di Purple. Passando dalle chiavi pre-condivise (PSK) di base all'applicazione di policy sensibili al contesto, i responsabili IT possono mitigare i rischi, snellire le operazioni e sfruttare piattaforme come Purple per trasformare il WiFi ospiti da un centro di costo a una risorsa strategica. L'attenzione è costantemente rivolta a strategie pratiche e indipendenti dai vendor che offrono un ROI misurabile e resilienza operativa.

Technical Deep-Dive

L'Architettura dell'Accesso Sensibile al Contesto

Fondamentalmente, la configurazione delle policy RADIUS per un controllo granulare dell'accesso alla rete si basa sullo standard IEEE 802.1X. Questo framework facilita il controllo dell'accesso alla rete basato su porta, garantendo che solo i dispositivi autenticati e autorizzati accedano a segmenti di rete specifici. L'architettura è composta da tre componenti principali: il supplicant (dispositivo client), l'authenticator (access point wireless o switch) e l'authentication server (RADIUS).

radius_architecture_overview.png

Quando un dispositivo si connette, l'autenticatore incapsula i messaggi Extensible Authentication Protocol (EAP) e li inoltra al server RADIUS. Il server RADIUS valuta le credenziali rispetto a un archivio di identità, come Active Directory, LDAP o un provider di identità basato su cloud. Aspetto fondamentale, le moderne implementazioni RADIUS non si limitano a restituire un messaggio di Access-Accept o Access-Reject. Esse restituiscono Vendor-Specific Attributes (VSA) che determinano il contesto di rete dell'utente: assegnazione della VLAN, applicazione della Access Control List (ACL) e parametri di limitazione della larghezza di banda.

Per le distribuzioni aziendali, comprendere Wi Fi Frequencies: A Guide to Wi-Fi Frequencies in 2026 è essenziale, poiché le caratteristiche del livello fisico influiscono direttamente sulle prestazioni degli handshake di autenticazione in ambienti ad alta densità.

Assegnazione Dinamica della VLAN e Micro-Segmentazione

L'applicazione più potente delle policy RADIUS è l'assegnazione dinamica della VLAN. Invece di trasmettere più SSID per diversi gruppi di utenti — il che degrada le prestazioni RF a causa del sovraccarico dei beacon — un singolo SSID abilitato per 802.1X può servire tutti gli utenti aziendali. Il server RADIUS determina la VLAN appropriata in base all'appartenenza al gruppo dell'utente e a fattori contestuali.

Ad esempio, quando un membro del team finanziario si autentica, il server RADIUS indica all'access point di instradare il suo traffico sulla VLAN 10. Quando un dispositivo IoT si autentica tramite MAC Authentication Bypass (MAB), viene inserito in una VLAN 40 isolata con ACL rigide. Questo approccio riduce drasticamente la superficie di attacco e, al contempo, semplifica l'ambiente RF. Per implementazioni di vendor specifici, consultare How to Configure NAC Policies for VLAN Steering in Cisco Meraki .

radius_policy_decision_flow.png

Selezione del Metodo EAP

La scelta del metodo EAP comporta implicazioni significative sia per il livello di sicurezza che per la complessità operativa. La tabella seguente riassume le opzioni principali:

Metodo EAP Meccanismo di Autenticazione Caso d'Uso Consigliato Livello di Sicurezza
EAP-TLS Basato su certificato mutuo Dispositivi aziendali gestiti con MDM Massimo
PEAP-MSCHAPv2 Certificato server + nome utente/password BYOD, dispositivi del personale Alto
EAP-TTLS Certificato server + credenziali interne Ambienti misti Alto
MAB Indirizzo MAC come credenziale IoT headless, dispositivi legacy Basso (utilizzare con ACL rigide)

Evitare completamente i protocolli legacy come LEAP ed EAP-MD5; sono crittograficamente deboli e non dovrebbero essere presenti in nessuna implementazione moderna.

Guida all'Implementazione

L'implementazione di un'infrastruttura RADIUS robusta richiede una pianificazione meticolosa e un'esecuzione graduale. I passaggi seguenti delineano un approccio indipendente dal fornitore per la configurazione delle policy RADIUS per un controllo granulare dell'accesso alla rete.

Fase 1: Integrazione della sorgente di identità

La base di qualsiasi policy è una directory di identità pulita e ben strutturata. Sia che si utilizzi Active Directory on-premises o soluzioni cloud-native come Entra ID o Okta, i gruppi della directory devono mapparsi direttamente sui segmenti di rete previsti.

  1. Verifica dei gruppi esistenti: Assicurarsi che i gruppi di utenti siano logici e, ove possibile, mutuamente esclusivi. Rimuovere gli account obsoleti e consolidare i gruppi sovrapposti.
  2. Definizione dei livelli di accesso: Stabilire livelli chiari — Executive, Staff, Contractor, Guest, IoT — con diritti di accesso documentati per ciascuno.
  3. Integrazione di Purple come Identity Provider: Per le reti aperte al pubblico, Purple funge da identity provider gratuito per servizi come OpenRoaming nell'ambito della licenza Connect. Questo colma perfettamente il divario tra l'accesso pubblico Guest WiFi e i framework di autenticazione sicuri, eliminando la necessità di un Captive Portal tradizionale per gli utenti che ritornano.

Fase 2: Configurazione delle policy e mappatura degli attributi

Configurare il server RADIUS per valutare le richieste in entrata in base a molteplici fattori contestuali, non solo alle credenziali.

  • Protocolli di autenticazione: Imporre EAP-TLS per i dispositivi aziendali. Implementare PEAP-MSCHAPv2 per il BYOD. Applicare questi protocolli tramite la policy RADIUS, rifiutando le connessioni che tentano metodi più deboli.
  • Corrispondenza delle condizioni: Creare policy che valutino il NAS-IP-Address (l'IP dell'autenticatore), il Called-Station-Id (l'SSID) e l'ora del giorno. Il profilo di accesso di un contractor alle 02:00 dovrebbe differire sostanzialmente dal suo profilo alle 09:00.
  • Profili di applicazione: Definire gli attributi RADIUS da restituire. Gli attributi standard di assegnazione della VLAN sono: Tunnel-Type=VLAN, Tunnel-Medium-Type=802 e Tunnel-Private-Group-Id=[VLAN_ID].

Fase 3: Rollout graduale e monitoraggio

Non distribuire mai l'applicazione dello standard 802.1X in tutta l'azienda contemporaneamente.

  1. Modalità di monitoraggio: Distribuire le policy in modalità di monitoraggio o audit, in cui i fallimenti di autenticazione vengono registrati ma l'accesso viene comunque concesso. Questo consente di identificare i supplicant configurati in modo errato e i dispositivi legacy prima che inizi l'applicazione effettiva.
  2. Applicazione mirata: Abilitare l'applicazione delle policy per singola sede o per reparto, risolvendo i problemi prima di ampliare la portata.
  3. Integrazione degli analytics: Sfruttare piattaforme come WiFi Analytics di Purple per monitorare i tassi di successo dell'autenticazione, la durata delle sessioni e il comportamento di roaming. Questi dati sono fondamentali per identificare lacune nella copertura e colli di bottiglia nell'autenticazione.

Best Practice

Durante la configurazione delle policy RADIUS per un controllo granulare dell'accesso alla rete, l'adesione agli standard di settore garantisce stabilità e sicurezza a lungo termine.

Autenticazione basata su certificati (EAP-TLS): Ove possibile, implementa EAP-TLS. Elimina i rischi associati al furto di credenziali e alla fatica da password. Le piattaforme di Mobile Device Management (MDM) possono automatizzare la fornitura di certificati su scala.

Implementa la mitigazione della randomizzazione MAC: I moderni sistemi operativi mobili utilizzano la randomizzazione degli indirizzi MAC per proteggere la privacy degli utenti. Per le distribuzioni di Guest WiFi , assicurati che il tuo Captive Portal e i sistemi di accounting RADIUS gestiscano la variazione degli indirizzi MAC in modo fluido, ad esempio affidandosi a token di sessione o profili di dispositivo persistenti generati durante il primo onboarding.

Ridondanza e Failover: RADIUS è un componente infrastrutturale critico. Distribuisci i server RADIUS in cluster ad alta disponibilità in aree geografiche diverse. Configura gli autenticatori con IP dei server primari e secondari e stabilisci valori aggressivi di timeout e tentativi per ridurre al minimo i ritardi di autenticazione durante gli eventi di failover.

Sfrutta i dati contestuali: Incorpora i dati sulla posizione nelle decisioni relative alle policy. A un fornitore potrebbe essere concesso l'accesso alle risorse interne quando è connesso a un AP nel blocco di ingegneria, ma limitato al solo accesso a Internet quando è connesso nella caffetteria. Le tecnologie discusse in BLE Low Energy Explained for Enterprise possono integrare questo contesto di posizione con dati di posizionamento di precisione.

Risoluzione dei problemi e mitigazione dei rischi

La complessità delle distribuzioni 802.1X introduce modalità di guasto specifiche. Una mitigazione proattiva dei rischi è essenziale per mantenere il tempo di attività.

Modalità di guasto comuni

Modalità di guasto Causa principale Mitigazione
Errore di autenticazione di massa Certificato del server RADIUS o della CA radice scaduto Gestione del ciclo di vita dei certificati con avvisi automatici a 90/60/30 giorni
Errori del singolo dispositivo Configurazione errata del supplicant o CA radice mancante Profili wireless inviati tramite MDM con trust store corretto
Timeout EAP Elevata latenza WAN verso il RADIUS centralizzato Ottimizza il percorso WAN; valuta un RADIUS distribuito o un proxy RADIUS
Errori dei dispositivi IoT Il dispositivo non supporta l'802.1X Distribuisci MAB con isolamento VLAN rigoroso e ACL

Per le aziende distribuite, l'architettura discussa in SD WAN vs MPLS: The 2026 Enterprise Network Guide è direttamente rilevante per garantire una connettività a bassa latenza ai servizi AAA centralizzati in più sedi.

ROI e impatto aziendale

Investire lo sforzo ingegneristico richiesto per la configurazione delle policy RADIUS per un controllo granulare dell'accesso alla rete produce ritorni sostanziali e misurabili su più dimensioni.

Riduzione dei costi operativi: Il consolidamento di più SSID in un'unica rete 802.1X con assegnazione dinamica delle VLAN riduce le interferenze RF, migliora il tempo di trasmissione disponibile e semplifica la gestione continua. I team segnalano una significativa riduzione dei ticket di helpdesk relativi alla connettività WiFi una volta implementata una distribuzione 802.1X stabile.

Enhanced Compliance Posture: For sectors like Retail and Healthcare , strict network segmentation is a regulatory requirement — PCI DSS and HIPAA respectively. RADIUS policies provide the verifiable, auditable controls necessary to pass compliance audits and avoid substantial financial penalties. For public-sector organisations, GDPR obligations around data segregation are similarly addressed.

Improved User Experience: Seamless, secure authentication — particularly via EAP-TLS or OpenRoaming — eliminates the friction of Captive Portals for returning corporate users and VIP guests. In Hospitality and Transport venues, this directly impacts satisfaction metrics and repeat engagement.

Definizioni chiave

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che fornisce una gestione centralizzata di Autenticazione, Autorizzazione e Contabilità (AAA) per gli utenti che si connettono e utilizzano un servizio di rete. Definito nella RFC 2865.

Il motore centrale per il controllo degli accessi alla rete aziendale, che determina chi accede alla rete, a cosa può accedere e registra l'attività a fini di audit.

IEEE 802.1X

Uno standard IEEE per il controllo degli accessi alla rete basato su porta (PNAC). Fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN, bloccando tutto il traffico fino al completamento dell'autenticazione.

Lo standard che costringe un dispositivo a dimostrare la propria identità prima di poter inviare qualsiasi traffico dati sulla rete. Il meccanismo di applicazione che rende operative le policy RADIUS.

EAP (Extensible Authentication Protocol)

Un framework di autenticazione frequentemente utilizzato nelle reti wireless e nelle connessioni point-to-point. Fornisce un livello di trasporto per i metodi di autenticazione (metodi EAP) come TLS o MSCHAPv2.

La busta che trasporta le credenziali di autenticazione effettive tra il client e il server RADIUS. La scelta del metodo EAP determina il livello di sicurezza dello scambio di autenticazione.

VSA (Vendor-Specific Attribute)

Attributi all'interno di un messaggio RADIUS che consentono ai fornitori di supportare attributi estesi non definiti nelle RFC RADIUS di base. Utilizzati per trasmettere le istruzioni sulle policy di rete dal server RADIUS all'autenticatore.

Il meccanismo con cui RADIUS indica all'hardware di rete di assegnare un utente a una VLAN specifica, applicare un ruolo di firewall o imporre limiti di larghezza di banda. Senza i VSA, RADIUS può solo consentire o negare l'accesso.

Dynamic VLAN Assignment

Il processo in cui un server RADIUS indica a un access point o a uno switch di instradare il traffico di un utente su una specifica VLAN in base alla sua identità, all'appartenenza a un gruppo o ad attributi contestuali.

La tecnica chiave per la micro-segmentazione della rete. Consente a una singola infrastruttura fisica di supportare in modo sicuro molteplici gruppi di utenti distinti senza trasmettere più SSID.

Supplicant

Il client software su un dispositivo dell'utente finale (laptop, smartphone, dispositivo IoT) che avvia e negozia lo scambio di autenticazione 802.1X con l'autenticatore di rete.

Integrato nei moderni sistemi operativi (Windows, macOS, iOS, Android). I supplicant configurati in modo errato — in particolare le impostazioni errate di attendibilità dei certificati — sono la causa più comune di problemi di connettività 802.1X.

Authenticator

Il dispositivo di rete (access point wireless o switch Ethernet) che funge da punto di applicazione in una distribuzione 802.1X. Inoltra i messaggi EAP tra il supplicant e il server RADIUS e applica la decisione della policy.

Il guardiano. L'autenticatore blocca tutto il traffico da una porta o da un'associazione wireless fino a quando il server RADIUS non restituisce un messaggio di Access-Accept, momento in cui applica i VSA ricevuti.

MAB (MAC Authentication Bypass)

Un metodo di autenticazione di fallback in cui l'indirizzo MAC del dispositivo di rete viene inviato come credenziale al server RADIUS. Utilizzato per i dispositivi che non supportano i supplicant 802.1X.

Uno strumento operativo necessario per i dispositivi IoT legacy e headless, ma intrinsecamente meno sicuro dell'autenticazione crittografica. Dovrebbe sempre essere associato a un isolamento rigoroso della VLAN e alle ACL.

EAP-TLS (EAP Transport Layer Security)

Un metodo EAP basato su certificati che fornisce un'autenticazione reciproca tra il client e il server RADIUS utilizzando certificati X.509. Considerato il metodo EAP più sicuro disponibile.

Il metodo di autenticazione consigliato per i dispositivi gestiti dall'azienda. Elimina completamente i rischi legati alle credenziali basate su password. Richiede un'infrastruttura PKI e un MDM per il provisioning dei certificati.

Esempi pratici

Un grande centro congressi deve fornire un accesso WiFi sicuro e segmentato per il personale dell'evento, gli espositori e i partecipanti generici. Attualmente trasmettono tre SSID separati, il che sta causando una significativa interferenza co-canale e scarse prestazioni nei padiglioni espositivi ad alta densità.

La struttura passa a un unico SSID abilitato per 802.1X denominato "Conference_Secure". Implementano un server RADIUS integrato con il database di gestione degli eventi.

  1. Il personale dell'evento si autentica utilizzando le proprie credenziali aziendali tramite PEAP-MSCHAPv2. La policy RADIUS corrisponde al loro gruppo Active Directory e restituisce Tunnel-Private-Group-Id=10 (VLAN Staff), garantendo l'accesso ai sistemi di gestione AV interni.
  2. Agli espositori vengono fornite credenziali uniche e limitate nel tempo, collegate alla prenotazione del loro stand. Al momento dell'autenticazione, il server RADIUS restituisce Tunnel-Private-Group-Id=20 (VLAN Espositori), che dispone di ACL che consentono l'accesso a specifici server di presentazione e all'uscita internet.
  3. I partecipanti generici utilizzano un SSID aperto separato con un Captive Portal integrato con Purple per la raccolta di dati di marketing, la gestione del consenso e l'accesso a internet di base.

Il risultato è una riduzione del 40% del sovraccarico dei frame di gestione, un throughput notevolmente migliorato nei padiglioni espositivi e un audit trail chiaro ai fini della conformità.

Commento dell'esaminatore: Questo approccio risolve il problema delle interferenze RF riducendo il sovraccarico degli SSID da tre a due (uno sicuro, uno aperto per gli ospiti). L'assegnazione dinamica della VLAN consente di ottenere una segmentazione rigorosa della rete senza compromettere l'esperienza dell'utente. L'integrazione di Purple per la rete dei partecipanti generici garantisce il raggiungimento degli obiettivi di marketing mantenendo la sicurezza per le operazioni interne. Le credenziali a tempo limitato per gli espositori rappresentano una pratica particolarmente efficace: scadono automaticamente, eliminando il rischio di riutilizzo delle credenziali dopo l'evento.

Una catena di vendita al dettaglio deve proteggere migliaia di terminali POS (Point of Sale) wireless in 500 sedi. Attualmente utilizzano WPA2-PSK e il reparto IT è preoccupato per il rischio operativo legato alla rotazione della chiave precondivisa in 500 siti, nonché per i risultati degli audit PCI DSS.

Il team IT distribuisce un'infrastruttura RADIUS centralizzata e configura i terminali POS per l'autenticazione EAP-TLS.

  1. Una soluzione MDM distribuisce un certificato client univoco a ciascun terminale POS durante il provisioning.
  2. Gli access point wireless di ciascun negozio sono configurati per inoltrare le richieste di autenticazione ai server RADIUS centrali tramite la rete SD-WAN.
  3. La policy RADIUS verifica il certificato client rispetto alla PKI interna e restituisce gli attributi per posizionare il dispositivo sulla VLAN POS isolata (VLAN 50), soddisfacendo i requisiti di segmentazione della rete PCI DSS.
  4. Viene mantenuta una lista di revoca dei certificati (CRL), che consente all'IT di mettere istantaneamente in quarantena un terminale smarrito o rubato revocando il suo certificato, senza alcun impatto su altri dispositivi.
Commento dell'esaminatore: La migrazione da PSK a EAP-TLS per i dispositivi headless rappresenta un aggiornamento significativo della sicurezza che risponde direttamente ai requisiti PCI DSS per la segmentazione della rete e il controllo degli accessi. La funzionalità di revoca dei certificati è un importante vantaggio operativo rispetto a PSK: invece di ruotare un segreto condiviso in 500 siti, è possibile revocare un singolo certificato in pochi secondi. L'uso di certificati univoci per dispositivo fornisce inoltre un audit trail completo di quale terminale specifico si è connesso, quando e da quale posizione.

Domande di esercitazione

Q1. Un ospedale deve distribuire nuove pompe di infusione wireless in tre reparti. Questi dispositivi non supportano i supplicant 802.1X. Il CISO richiede che questi dispositivi siano completamente isolati dalla rete aziendale e possano comunicare solo con lo specifico server di gestione clinica all'indirizzo 10.5.1.20. Come dovresti configurare la policy di controllo dell'accesso alla rete?

Suggerimento: Considera come possono essere identificati i dispositivi privi di funzionalità 802.1X e il principio del privilegio minimo quando definisci l'ACL.

Visualizza risposta modello

Implementa il MAC Authentication Bypass (MAB). Registra gli indirizzi MAC di tutte le pompe di infusione nel database RADIUS durante il processo di provisioning. Crea una policy RADIUS specifica che corrisponda a questi indirizzi MAC e restituisca VSA che li assegnino a una VLAN IoT isolata (ad esempio, VLAN 60). Applica ACL rigide a questa VLAN che consentano il traffico in uscita solo verso 10.5.1.20 sulle porte di gestione clinica richieste e blocchino tutto l'altro traffico inter-VLAN e internet. Inoltre, configura il DHCP snooping e la dynamic ARP inspection sulla VLAN IoT per prevenire attacchi di spoofing.

Q2. A seguito di una recente acquisizione, un'azienda dispone ora di due domini Active Directory distinti: corp.acme.com e corp.legacy.com. Desiderano che tutti i dipendenti di entrambe le entità utilizzino lo stesso SSID "ACME_Corporate" senza migrare il dominio legacy. In che modo RADIUS può facilitare questo processo?

Suggerimento: Pensa a come RADIUS gestisce l'instradamento dell'autenticazione in base al realm dell'identità e a come i server di policy possono fungere da proxy per le richieste verso diverse directory backend.

Visualizza risposta modello

Configura l'infrastruttura RADIUS (utilizzando un server di policy come Cisco ISE, Aruba ClearPass o un proxy RADIUS) per valutare il suffisso del realm fornito nell'identità EAP dell'utente, ad esempio user@corp.acme.com rispetto a user@corp.legacy.com . Crea policy di instradamento che inoltrino le richieste di autenticazione al dominio Active Directory backend appropriato in base al realm. Definisci profili di applicazione standardizzati che restituiscano VSA VLAN coerenti indipendentemente dal dominio backend, garantendo che gli utenti di entrambe le entità ricevano la corretta collocazione di rete. Questo approccio evita una migrazione di directory complessa, mantenendo al contempo un'esperienza utente unificata.

Q3. Stai progettando il WiFi per uno stadio da 60.000 posti. Il progetto attuale del cliente prevede 8 SSID separati per le diverse funzioni del personale: Biglietteria, Sicurezza, Concessioni, Medico, Media, Operazioni, VIP e Manutenzione. Qual è la tua raccomandazione e perché?

Suggerimento: Considera l'impatto del sovraccarico dei frame di gestione sulle prestazioni wireless in un ambiente RF ad alta densità.

Visualizza risposta modello

Sconsiglia vivamente la trasmissione di 8 SSID. In un ambiente ad alta densità, ogni SSID genera frame beacon su ogni access point a intervalli regolari, consumando una quantità significativa di tempo di trasmissione e riducendo la capacità disponibile per il traffico dati effettivo. La raccomandazione è di consolidare tutte le funzioni del personale su un unico SSID abilitato per 802.1X. Utilizza l'assegnazione dinamica della VLAN tramite RADIUS per segmentare il traffico sul backend: quando un dispositivo di biglietteria si autentica, RADIUS lo inserisce nella VLAN Biglietteria; quando si autentica un dispositivo medico, questo va alla VLAN Medica con le ACL appropriate. Ciò fornisce la separazione logica richiesta ottimizzando al contempo l'ambiente RF fisico. Un SSID aperto separato con un Captive Portal può gestire l'accesso del pubblico generale.

Continua a leggere questa serie

Hotel Guest WiFi Management: Integrating PMS, Portals, and Brand Standards

Questa guida tecnica descrive in dettaglio come progettare reti WiFi per hotel di livello enterprise, concentrandosi sulla segmentazione VLAN, sull'integrazione PMS per la gestione automatizzata delle sessioni e sull'ottimizzazione del Captive Portal per l'acquisizione di dati conforme al GDPR.

Leggi la guida →

Come configurare il Guest WiFi: una guida alla configurazione aziendale sicura

Questa guida autorevole fornisce ai leader IT e agli architetti di rete un modello definitivo per implementare un Guest WiFi aziendale sicuro. Copre l'architettura essenziale, la migrazione a WPA3, la segmentazione VLAN e l'integrazione del Captive Portal per proteggere i sistemi interni acquisendo al contempo dati di prima parte conformi.

Leggi la guida →

Gestione della larghezza di banda per il WiFi del personale: Shaping, QoS e riduzione del traffico

Questa guida illustra metodi pratici per gestire la larghezza di banda per il WiFi del personale nelle sedi aziendali. Copre il traffic shaping, l'implementazione del QoS e come l'implementazione di Purple Shield riduca il carico di rete senza richiedere aggiornamenti dell'infrastruttura.

Leggi la guida →