EAP-TLS vs EAP-TTLS: quale protocollo WiFi basato su certificati scegliere?
Questa guida fornisce un confronto definitivo tra EAP-TLS e EAP-TTLS per l'autenticazione WiFi aziendale secondo lo standard 802.1X. Spiega la differenza architetturale tra l'autenticazione reciproca tramite certificati e il tunneling dei certificati solo lato server, offrendo a responsabili IT, architetti di rete e CISO un chiaro quadro decisionale basato sulle capacità di gestione dei dispositivi e sui requisiti di conformità. Purple supporta entrambi i percorsi di autenticazione EAP-TLS e EAP-TTLS per il WiFi del personale; questa guida aiuta le organizzazioni a comprendere i compromessi infrastrutturali prima di adottare una delle due soluzioni.
Ascolta questa guida
Visualizza trascrizione del podcast
- Sintesi Esecutiva
- Analisi Tecnica Approfondita
- Architettura di EAP-TLS
- Struttura di EAP-TTLS
- Confronto Diretto
- Guida all'Implementazione
- Distribuzione di EAP-TLS per Flotte Gestite
- Distribuzione di EAP-TTLS per Ambienti Misti
- Best Practice
- Imporre la validazione del certificato del server su ogni client
- Automatizzare la gestione del ciclo di vita dei certificati
- Segmentare la rete in base al metodo di autenticazione
- Sincronizzare l'ora in tutta l'infrastruttura
- Risoluzione dei problemi e mitigazione dei rischi
- Errori di CA sconosciuta
- Mancata corrispondenza del metodo EAP
- Errori di massa dovuti a certificati scaduti
- Errore di configurazione del client RADIUS
- Conformità e allineamento normativo
- ROI e impatto sul business

Sintesi Esecutiva
Scegliere il corretto metodo EAP per il tuo deployment 802.1X determina se il tuo WiFi aziendale sia realmente sicuro o semplicemente conforme sulla carta. EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), definito in RFC 5216, richiede un'autenticazione reciproca basata su certificati: sia il dispositivo client che il server RADIUS presentano certificati X.509 validi prima che venga concesso l'accesso alla rete. In nessun momento vengono scambiate password. EAP-TTLS (Tunneled Transport Layer Security), definito in RFC 5281, richiede solo un certificato sul lato server per stabilire un tunnel TLS crittografato, all'interno del quale il client si autentica utilizzando le credenziali di directory esistenti.
Per i CTO e i network architect che gestiscono infrastrutture in catene di vendita al dettaglio, strutture ricettive e organizzazioni del settore pubblico, questa decisione si riduce a una sola domanda: gestite voi i dispositivi? Se controllate la flotta di dispositivi tramite MDM, EAP-TLS è la scelta definitiva. Se supportate un ambiente BYOD diversificato o non disponete di una Public Key Infrastructure (PKI) solida, EAP-TTLS offre un'alternativa pragmatica e altamente sicura. Purple supporta entrambi i percorsi di autenticazione per il WiFi del personale in oltre 80.000 sedi attive.

Analisi Tecnica Approfondita
Architettura di EAP-TLS
EAP-TLS opera su un modello di autenticazione reciproca all'interno del framework di controllo dell'accesso basato su porta IEEE 802.1X. Ogni scambio di autenticazione coinvolge tre componenti fondamentali: il supplicant (dispositivo client), l'authenticator (access point wireless) e l'authentication server (server RADIUS). L'access point non prende la decisione di autenticazione in autonomia. Funge da relay trasparente, incapsulando i messaggi EAP in pacchetti RADIUS e inoltrandoli al server di autenticazione. L'handshake EAP-TLS procede come segue. L'access point invia un EAP-Request/Identity al dispositivo che si connette. Il dispositivo risponde con la propria identità. Il server RADIUS avvia l'handshake TLS con un messaggio EAP-TLS/Start. Il client invia un ClientHello, comunicando le suite di cifratura TLS supportate. Il server RADIUS risponde con un ServerHello, il proprio certificato server X.509 e una richiesta di certificato. Il client convalida il certificato del server rispetto al proprio archivio delle CA radice attendibili. Se la convalida fallisce, l'handshake si interrompe - fornendo protezione contro gli access point non autorizzati. Il client presenta quindi il proprio certificato X.509. Il server RADIUS convalida il certificato del client, controllando la catena di firma fino alla CA radice attendibile, verificando che il certificato non sia scaduto e controllando la lista di revoca dei certificati (CRL) o interrogando l'OCSP. Solo quando entrambe le parti sono soddisfatte, il tunnel TLS viene stabilito e viene concesso l'accesso alla rete.
Poiché non vengono scambiate password, EAP-TLS è al sicuro da attacchi a dizionario offline, credential stuffing e phishing. È l'unico metodo EAP che soddisfa i requisiti WPA3-Enterprise a 192 bit (Suite B), ed è obbligatorio o fortemente raccomandato da PCI-DSS 4.0 per gli ambienti con dati dei titolari di carta e da NIST SP 800-120 per le distribuzioni WiFi ad alta sicurezza.
EAP-TLS richiede una PKI. È necessaria almeno una CA radice offline e una CA di emissione online. La CA radice deve essere isolata (air-gapped), poiché la sua chiave privata è l'ancora di attendibilità master per l'intera gerarchia dei certificati. La CA di emissione gestisce l'emissione giornaliera dei certificati e pubblica le CRL. I certificati client vengono rilasciati ai singoli dispositivi, non agli utenti - questo è un modello di identità del dispositivo. Questa distinzione è fondamentale per i dispositivi IoT, i terminali condivisi e i sistemi headless.
Struttura di EAP-TTLS
EAP-TTLS è stato progettato per fornire una robusta sicurezza 802.1X senza l'onere operativo di distribuire certificati su ogni dispositivo client. Funziona in due fasi. Nella prima fase, il server RADIUS presenta il proprio certificato e stabilisce un tunnel TLS sicuro. Solo il server richiede un certificato. Nella seconda fase, il client viene autorizzato all'interno di quel tunnel crittografato utilizzando un metodo di autenticazione interno. I metodi interni comuni includono PAP (Password Authentication Protocol), CHAP e MS-CHAPv2. Il client invia il proprio nome utente e password, ma poiché questo scambio avviene all'interno del tunnel TLS, le credenziali vengono crittografate in transito e non vengono mai esposte via etere.
EAP-TTLS offre un eccellente supporto multipiattaforma su macOS, Linux, Android e iOS. L'avvertenza riguarda Windows: il supplicant integrato di Windows non supporta nativamente EAP-TTLS per il WiFi 802.1X pronto all'uso. Gli ambienti con un volume elevato di dispositivi Windows potrebbero richiedere un supplicant di terze parti, il che aumenta la complessità operativa. Per gli ambienti incentrati su Windows, PEAP con MS-CHAPv2 è spesso la scelta più pragmatica.La limitazione principale di EAP-TTLS è che non elimina i rischi intrinseci delle password. Se un utente sceglie una password debole, questa rimane vulnerabile ad attacchi brute force offline. Se l'autenticazione interna utilizza PAP, la password viene inviata in testo normale all'interno del tunnel - il che è accettabile se si considera affidabile la propria infrastruttura RADIUS, ma rimane un modello di attendibilità essenziale da comprendere.
Confronto Diretto
| Funzionalità | EAP-TLS | EAP-TTLS |
|---|---|---|
| Standard RFC | RFC 5216 | RFC 5281 |
| Certificato Client Richiesto | Sì | No |
| Certificato Server Richiesto | Sì | Sì |
| Modello di Autenticazione | Mutua (Entrambe le Parti) | Solo Server |
| Rischio Password | Nessuno - Passwordless | Password in Tunnel Crittografato |
| Requisito PKI | PKI Completa (Root CA + Issuing CA + MDM) | Solo Certificato Server |
| WPA3-Enterprise 192-bit | Metodo Richiesto | Non Supportato |
| Allineamento PCI-DSS 4.0 | Fortemente Raccomandato | Accettabile con Autenticazione Interna Forte |
| Idoneità BYOD | Bassa (Richiede Certificato Client) | Alta (Solo Credenziali) |
| Idoneità Dispositivi IoT | Alta (Certificato Configurato in Staging) | Bassa (Nessuna UI per Inserimento Credenziali) |
| Supporto Nativo Windows | Sì | Parziale (Spesso Richiede Supplicant di Terze Parti) |
| Supporto macOS/Linux/Android | Sì | Sì |
| Complessità di Distribuzione | Alta | Media |
Guida all'Implementazione
Distribuzione di EAP-TLS per Flotte Gestite
La distribuzione di EAP-TLS richiede una PKI funzionante e una piattaforma MDM. L'installazione manuale del certificato non è praticabile su scala aziendale. È necessario integrare la PKI con l'MDM utilizzando SCEP (Simple Certificate Enrolment Protocol) o EST (Enrolment over Secure Transport). Quando un dispositivo aziendale viene registrato, richiede e riceve automaticamente il proprio certificato senza l'intervento dell'utente.
Per la gestione delle identità, Purple agisce come provider di identità gratuito per servizi come OpenRoaming nell'ambito della licenza Purple Connect, facilitando il roaming sicuro tra diverse sedi tramite i framework di certificati e identità sottostanti.
Sul lato RADIUS, configura il tuo server per convalidare i certificati client rispetto alla CA interna e verificare le CRL o utilizzare OCSP per il controllo della revoca in tempo reale. Le piattaforme RADIUS supportate includono FreeRADIUS, Microsoft NPS e Cisco ISE. L'overlay cloud di Purple si integra con l'hardware Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet.
Distribuzione di EAP-TTLS per Ambienti Misti
EAP-TTLS è la scelta ottimale per gli ambienti con dispositivi non gestiti. È sufficiente distribuire un certificato attendibile sul server RADIUS. Assicurati che il server RADIUS si integri direttamente con il tuo servizio di directory - Microsoft Entra ID, Okta o Google Workspace - per convalidare le credenziali di autenticazione interna. Configura i profili WiFi distribuiti tramite MDM per imporre la convalida del certificato del server rispetto alla tua CA attendibile specifica. Senza questo passaggio, il tunnel TLS non fornisce alcuna protezione contro gli access point non autorizzati.

Best Practice
Imporre la validazione del certificato del server su ogni client
Il passaggio di configurazione più critico sia per EAP-TLS che per EAP-TTLS consiste nell'imporre la validazione del certificato del server sui dispositivi client. Se un dispositivo non convalida il certificato del server RADIUS rispetto a una CA attendibile specifica, si connetterà a qualsiasi server che presenti un certificato qualsiasi - incluso un access point canaglia. Specifica sempre la CA attendibile e il nome del server previsto nei profili WiFi distribuiti tramite MDM. Questo singolo controllo di configurazione è il miglioramento della sicurezza più efficace che puoi implementare oggi.
Automatizzare la gestione del ciclo di vita dei certificati
I certificati scadono. Se non disponi di un processo di rinnovo automatizzato, dovrai affrontare errori di autenticazione di massa quando i certificati scadono simultaneamente. Utilizza SCEP o EST per automatizzare i rinnovi e configura gli avvisi di monitoraggio con largo anticipo rispetto alle date di scadenza. Se un dispositivo viene smarrito o un dipendente si licenzia, revoca immediatamente il certificato. Configura il tuo server RADIUS per controllare le CRL o utilizza OCSP per la validazione in tempo reale.
Segmentare la rete in base al metodo di autenticazione
In ambienti grandi o distribuiti, prendi in considerazione l'esecuzione di entrambi i protocolli su SSID separati. I dispositivi aziendali gestiti si autenticano tramite EAP-TLS su un SSID WiFi dedicato allo staff. I contrattisti e i dispositivi BYOD si autenticano tramite EAP-TTLS su un SSID separato con un'opportuna segmentazione VLAN. Questo modello è comune nei gruppi del settore alberghiero come Premier Inn e Whitbread, dove i dispositivi del personale sono gestiti e dotati di certificati, mentre l'infrastruttura per gli ospiti utilizza un percorso di autenticazione separato. Per ulteriori dettagli sull'architettura SSID, consulta la nostra guida Tre SSID per domarli tutti: il design WiFi per ospiti, staff e IoT .
Sincronizzare l'ora in tutta l'infrastruttura
La validazione del certificato si basa su un'ora di sistema accurata. La sfasatura dell'orologio sui dispositivi client o sui server RADIUS genera errori di certificato "non ancora valido" o "scaduto" difficili da diagnosticare. Assicurati che tutti i componenti dell'infrastruttura siano sincronizzati con server NTP affidabili.
Risoluzione dei problemi e mitigazione dei rischi
Errori di CA sconosciuta
Se i log RADIUS mostrano "CA sconosciuta", il dispositivo client non considera attendibile la CA che ha emesso il certificato del server RADIUS. Verifica che il tuo profilo MDM includa il certificato della CA radice e che il supplicant sia configurato per ritenerlo attendibile. A seguito di una rotazione della CA o del rinnovo di un certificato, invia nuovamente il bundle CA aggiornato a tutti i dispositivi.
Mancata corrispondenza del metodo EAP
Se i dispositivi si connettono all'access point ma l'autenticazione non va a buon fine, verificare che il metodo EAP configurato sul client corrisponda a quello accettato dal server RADIUS. Un profilo di dispositivo impostato per EAP-TLS fallirà su un server RADIUS configurato solo per PEAP.
Errori di massa dovuti a certificati scaduti
Se un gran numero di dispositivi non riesce a eseguire l'autenticazione contemporaneamente, verificare innanzitutto le date di scadenza dei certificati. Questa è la causa più comune di guasti di massa del protocollo 802.1X nelle distribuzioni EAP-TLS. Implementare un sistema di monitoraggio che invii avvisi 60 giorni, 30 giorni e sette giorni prima della scadenza.
Errore di configurazione del client RADIUS
Ogni access point o controller wireless deve essere definito come client RADIUS con l'indirizzo IP corretto e la chiave segreta condivisa. Eventuali discrepanze causano timeout di autenticazione che vengono spesso erroneamente attribuiti al metodo EAP. Abilitare la registrazione dettagliata di RADIUS fin dal primo giorno. Per ulteriori indicazioni sulla risoluzione dei problemi WiFi, consultare la nostra guida Troubleshooting Public WiFi: Fixing 'Connected, No Internet' and Splash Page Redirection Failures .
-
Conformità e allineamento normativo
Per i CISO e gli architetti di rete, comprendere lo scenario normativo è fondamentale quando si sceglie tra EAP-TLS ed EAP-TTLS. La scelta del metodo EAP influisce direttamente sulla postura di conformità all'interno di diversi framework chiave.
PCI-DSS 4.0 (Payment Card Industry Data Security Standard) richiede un'autenticazione crittografica forte per le reti wireless negli ambienti dei dati dei titolari di carta. Il requisito 8.3 impone l'autenticazione a più fattori per tutti gli accessi al CDE, e le reti wireless incluse nel campo di applicazione devono utilizzare meccanismi di autenticazione forte. EAP-TLS, con autenticazione reciproca basata su certificati, soddisfa in modo definitivo questo requisito. EAP-TTLS con MS-CHAPv2 è accettabile se l'autenticazione interna è protetta in modo appropriato e viene applicata la convalida del certificato del server, ma EAP-TLS rappresenta la scelta più robusta e ideale per gli audit. HIPAA (Health Insurance Portability and Accountability Act) richiede ai soggetti coperti di implementare misure di sicurezza tecniche che proteggano le informazioni sanitarie protette elettroniche (ePHI) trasmesse su reti di comunicazione elettronica. La regola di sicurezza HIPAA non impone protocolli specifici, ma l'esigenza di crittografia e controllo degli accessi per le reti wireless che trasportano ePHI propende fortemente a favore di EAP-TLS per le flotte di dispositivi medici gestiti ed EAP-TTLS con convalida forzata del certificato del server per i dispositivi del personale. WPA3-Enterprise 192-bit (noto anche come modalità Suite B o CNSA) rappresenta il livello di sicurezza più elevato della certificazione WPA3 della Wi-Fi Alliance. Impone EAP-TLS come unico metodo di autenticazione consentito, richiede TLS 1.2 o superiore con suite di cifratura specifiche (ECDHE con P-384, AES-256-GCM) e richiede certificati ECDSA o RSA-3072. Le organizzazioni che implementano WPA3-Enterprise 192-bit per applicazioni governative, di difesa o per infrastrutture critiche devono utilizzare EAP-TLS. ISO 27001 non impone protocolli specifici, ma richiede alle organizzazioni di implementare controlli di accesso adeguati per le risorse di rete. Una distribuzione 802.1X con EAP-TLS o EAP-TTLS (con convalida forzata del certificato del server) soddisfa i requisiti di controllo dell'accesso alla rete dell'Allegato A.9.1 e A.13.1.
-
ROI e impatto sul business
La migrazione a EAP-TLS richiede un investimento iniziale nell'integrazione di PKI e MDM, ma elimina i costi operativi legati al ripristino delle password e il rischio finanziario di violazioni della rete dovute a credenziali compromesse. Per una catena di vendita al dettaglio con 400 negozi, una singola password compromessa su una rete PSK condivisa può mettere a repentaglio l'intero patrimonio. EAP-TLS elimina completamente questo vettore di attacco.
Per gli ambienti multi-tenant e gli hub di trasporto, l'autenticazione sicura garantisce che solo gli utenti autorizzati accedano alla larghezza di banda della rete, ottimizzando così l'utilizzo dell'infrastruttura. L'assegnazione dinamica della VLAN tramite gli attributi dei certificati RADIUS consente una segmentazione della rete applicata crittograficamente, garantendo che i dispositivi siano posizionati sul segmento di rete corretto in base alle proprietà del certificato anziché affidarsi alla selezione del SSID o al filtraggio degli indirizzi MAC.
La piattaforma WiFi Analytics di Purple si integra con entrambi i percorsi di autenticazione, fornendo visibilità sul numero di dispositivi, sulla durata delle sessioni e sull'utilizzo della rete in tutto il vostro patrimonio. Per una guida all'implementazione specifica per settore, esplorate le nostre risorse per Hospitality , Retail , Healthcare e Transport .
Definizioni chiave
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
Un metodo di autenticazione 802.1X definito nella RFC 5216 che richiede sia al dispositivo client che al server RADIUS di presentare certificati X.509 validi. Non vengono scambiate password. L'autenticazione è reciproca e vincolata crittograficamente.
Il gold standard per la sicurezza wireless aziendale. Richiesto per WPA3-Enterprise a 192 bit e fortemente raccomandato per gli ambienti di dati dei titolari di carta PCI-DSS 4.0.
EAP-TTLS (Extensible Authentication Protocol - Tunneled Transport Layer Security)
Un metodo di autenticazione 802.1X definito nella RFC 5281 che richiede solo un certificato lato server per stabilire un tunnel TLS crittografato. Il client si autentica all'interno del tunnel utilizzando un metodo di autenticazione interno secondario, in genere un nome utente e una password.
La scelta preferita per gli ambienti BYOD e le reti con sistemi operativi misti dove l'implementazione di certificati client è operativamente impraticabile.
802.1X
Uno standard IEEE per il controllo dell'accesso alla rete basato su porta che fornisce un meccanismo di autenticazione per i dispositivi che si connettono a una LAN o WLAN. Definisce i ruoli di supplicant, authenticator e server di autenticazione.
Il framework fondamentale che consente alle reti aziendali di autenticare i singoli dispositivi invece di affidarsi a una singola password condivisa. Sia EAP-TLS che EAP-TTLS operano all'interno di questo framework.
RADIUS (Remote Authentication Dial-In User Service)
Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e tracciamento per gli utenti che si connettono a un servizio di rete. Nelle implementazioni 802.1X, il server RADIUS è il server di autenticazione che verifica i certificati o le credenziali.
Il componente server che verifica i certificati o le password e indica all'access point se concedere o negare l'accesso alla rete. Le piattaforme supportate includono FreeRADIUS, Microsoft NPS e Cisco ISE.
PKI (Public Key Infrastructure)
Un insieme di ruoli, criteri, hardware, software e procedure necessari per creare, gestire, distribuire, utilizzare, memorizzare e revocare certificati digitali. Una tipica PKI aziendale è costituita da una CA root offline e da una CA emittente online.
L'infrastruttura backend richiesta per emettere i certificati client e server utilizzati nell'autenticazione EAP-TLS. Senza una PKI, non è possibile distribuire EAP-TLS.
MDM (Mobile Device Management)
Software utilizzato dai dipartimenti IT per monitorare, gestire e proteggere i dispositivi mobili e i laptop dei dipendenti. Le piattaforme MDM come Microsoft Intune e Jamf possono automatizzare la distribuzione di certificati e profili WiFi sui dispositivi registrati.
Essenziale per automatizzare la distribuzione dei certificati client per EAP-TLS su scala. Senza l'integrazione MDM, l'installazione manuale dei certificati su migliaia di dispositivi è operativamente impossibile.
SCEP (Simple Certificate Enrollment Protocol)
Un protocollo utilizzato per automatizzare l'emissione di certificati digitali ai dispositivi di rete. Le piattaforme MDM utilizzano SCEP per richiedere e installare silenziosamente certificati sui dispositivi aziendali registrati senza l'interazione dell'utente.
Il meccanismo standard per il provisioning dei certificati zero touch nelle implementazioni EAP-TLS. Supportato da Microsoft Intune, Jamf e dalla maggior parte delle piattaforme MDM aziendali.
CRL (Certificate Revocation List)
Un elenco di certificati digitali che sono stati revocati dall'Autorità di Certificazione emittente prima della loro data di scadenza prevista. I server RADIUS controllano la CRL per verificare che il certificato di un dispositivo connesso sia ancora valido.
Il meccanismo che consente di bloccare immediatamente l'accesso alla rete a un dispositivo rubato o compromesso revocandone il certificato. I server RADIUS devono essere configurati per controllare frequentemente la CRL, oppure utilizzare OCSP per la convalida in tempo reale.
X.509
Uno standard ITU-T che definisce il formato dei certificati a chiave pubblica. EAP-TLS ed EAP-TTLS utilizzano entrambi certificati X.509 per l'autenticazione del server. EAP-TLS richiede anche certificati X.509 sul dispositivo client.
Il formato di certificato utilizzato in tutte le distribuzioni PKI aziendali. Quando i team IT fanno riferimento ai "certificati digitali" nel contesto di 802.1X, intendono i certificati X.509.
Metodo di autenticazione interna
Il protocollo di autenticazione secondario utilizzato all'interno del tunnel TLS crittografato stabilito da EAP-TTLS. I metodi interni comuni includono PAP (Password Authentication Protocol), CHAP e MS-CHAPv2.
La scelta del metodo di autenticazione interna influisce sulle proprietà di sicurezza di una distribuzione EAP-TTLS. PAP invia la password in testo non crittografato all'interno del tunnel; MS-CHAPv2 utilizza un meccanismo di challenge-response. Il tunnel crittografa tutto il traffico di autenticazione interna.
Esempi pratici
Una catena di vendita al dettaglio nazionale con 400 negozi deve proteggere i propri terminali POS e gli scanner portatili del personale. L'ambiente rientra nell'ambito di applicazione dello standard PCI-DSS 4.0. Tutti i dispositivi sono registrati in Microsoft Intune. Quale protocollo dovrebbero implementare e quali sono le fasi chiave di configurazione?
Implementare EAP-TLS. Passaggio 1: stabilire una PKI a due livelli con una CA radice offline isolata e una CA emittente online. Passaggio 2: configurare Microsoft Intune con un profilo di certificato SCEP destinato a tutti i dispositivi POS e scanner. Passaggio 3: distribuire un server RADIUS (Microsoft NPS o RADIUS in cloud) e configurarlo per convalidare i certificati client rispetto alla CA interna. Passaggio 4: abilitare il controllo CRL o OCSP sul server RADIUS. Passaggio 5: inviare un profilo WiFi tramite Intune specificando l'SSID, EAP-TLS come metodo di autenticazione, la CA radice attendibile e il nome del server RADIUS previsto. Passaggio 6: testare con un gruppo pilota di 10 dispositivi prima di procedere alla distribuzione in tutti i 400 siti. Passaggio 7: stabilire un processo di monitoraggio della scadenza dei certificati con avvisi a 60, 30 e sette giorni dalla scadenza.
Un grande campus universitario deve fornire un accesso WiFi sicuro a 20.000 studenti che utilizzano un mix di laptop personali, smartphone e tablet (BYOD). Il team IT non può installare certificati sui dispositivi personali. L'università utilizza Microsoft Entra ID per la gestione delle identità. Quale protocollo dovrebbe implementare?
Implementare EAP-TTLS con MS-CHAPv2 come metodo di autenticazione interno, integrato con Microsoft Entra ID tramite RADIUS. Passaggio 1: ottenere un certificato server da una CA pubblica attendibile da tutti i principali sistemi operativi, oppure distribuire una CA interna e distribuire il certificato radice tramite gli strumenti di gestione dei dispositivi dell'università per i dispositivi gestiti. Passaggio 2: configurare il server RADIUS per l'autenticazione rispetto a Microsoft Entra ID utilizzando LDAP o proxy RADIUS. Passaggio 3: creare una guida all'onboarding WiFi per gli studenti specificando l'SSID, EAP-TTLS, MS-CHAPv2 e la CA attendibile. Passaggio 4: applicare policy per password sicure a livello di Microsoft Entra ID e valutare l'abilitazione dell'autenticazione a più fattori per la registrazione iniziale. Passaggio 5: configurare il profilo WiFi per imporre la convalida del certificato del server e specificare la CA attendibile e il nome del server RADIUS.
Domande di esercitazione
Q1. Stai distribuendo EAP-TLS per una flotta di 5.000 laptop aziendali in 50 sedi d'ufficio. Dopo aver distribuito il profilo WiFi tramite Microsoft Intune, i dispositivi non riescono a connettersi. I log del server RADIUS mostrano "Unknown CA" per ogni tentativo di autenticazione non riuscito. Qual è la causa più probabile e come si risolve?
Suggerimento: Considera la catena di convalida dei certificati sul lato client e cosa deve includere il profilo MDM oltre alla semplice impostazione del metodo EAP.
Visualizza risposta modello
I dispositivi client non sono configurati per considerare attendibile l'Autorità di Certificazione interna che ha emesso il certificato del server RADIUS. Il profilo WiFi MDM deve includere il certificato della CA radice (e gli eventuali certificati CA intermedi) e configurare il supplicant per ritenerli attendibili per la convalida del server. Senza questo, il client rifiuta il certificato del server RADIUS e interrompe l'handshake. Risoluzione: aggiornare il profilo WiFi di Intune per includere il certificato della CA radice attendibile nell'impostazione "Certificato radice per la convalida del server" e ridistribuire il profilo su tutti i dispositivi.
Q2. La tua organizzazione ha distribuito EAP-TTLS per un ambiente BYOD misto. Durante una revisione della sicurezza, il tuo team di penetration testing dimostra di poter catturare le credenziali degli utenti configurando un access point fittizio con un certificato autofirmato. Come puoi rimediare a questa vulnerabilità senza migrare a EAP-TLS?
Suggerimento: Pensa a cosa succede prima dell'autenticazione interna e quale configurazione sul lato client impedisce al tunnel TLS di stabilirsi con un server non attendibile.
Visualizza risposta modello
La vulnerabilità esiste perché i dispositivi client non sono configurati per convalidare il certificato del server RADIUS. Soluzione: aggiornare tutti i profili WiFi (tramite MDM per i dispositivi gestiti e tramite una nuova guida all'onboarding per il BYOD) per imporre la convalida del certificato del server. Specificare la CA attendibile e il nome del server RADIUS previsto nel profilo. I client configurati in questo modo rifiuteranno di stabilire il tunnel TLS con qualsiasi server che non sia in grado di presentare un certificato firmato dalla CA attendibile specificata, eliminando il vettore di attacco dell'access point fittizio.
Q3. Un direttore IT ospedaliero desidera distribuire 802.1X per i propri dispositivi IoT medici (pompe di infusione, monitor dei pazienti, sensori ambientali). Sta valutando EAP-TTLS perché ritiene che la gestione dei certificati sia troppo complessa. Perché questo ragionamento è errato e qual è l'approccio corretto?
Suggerimento: Considera come i dispositivi IoT headless gestiscono le richieste di autenticazione e cosa succede quando un dispositivo non può inserire le credenziali.
Visualizza risposta modello
Il ragionamento è errato per due motivi. Primo, la maggior parte dei dispositivi IoT medicali headless non ha un'interfaccia utente per inserire le credenziali, rendendo operativamente impossibile l'uso di EAP-TTLS con autenticazione interna tramite nome utente/password. Secondo, EAP-TLS è in realtà più semplice per l'IoT nella pratica: i certificati possono essere predisposti durante la configurazione iniziale del dispositivo prima dell'implementazione, e il dispositivo si autentica automaticamente senza interazione dell'utente. L'approccio corretto è EAP-TLS con certificati distribuiti tramite il sistema di gestione dei dispositivi utilizzato in fase di configurazione. Questo soddisfa anche i requisiti HIPAA per l'autenticazione wireless forte negli ambienti sanitari.
Q4. Sei l'architetto di rete per un gruppo alberghiero con 200 proprietà. Devi proteggere la rete Staff WiFi per 3.000 dispositivi gestiti del personale (registrati in Intune) e fornire anche un accesso WiFi sicuro a collaboratori esterni e fornitori terzi che utilizzano i propri laptop. Progetta l'architettura di autenticazione.
Suggerimento: Considera se un singolo SSID con un unico metodo EAP può servire entrambe le popolazioni e quali implicazioni di segmentazione della rete derivano dai due tipi di utenti.
Visualizza risposta modello
Configura due SSID separati con diversi metodi di autenticazione e assegnazioni VLAN. SSID 1 (Staff WiFi): EAP-TLS, certificati distribuiti tramite Intune SCEP, VLAN assegnata al segmento di rete del personale con accesso completo ai sistemi di gestione dell'hotel. SSID 2 (Contractor WiFi): EAP-TTLS con MS-CHAPv2, credenziali convalidate rispetto a una directory separata o a un account collaboratore a tempo limitato in Microsoft Entra ID, VLAN assegnata a un segmento isolato abilitato solo per internet, senza accesso ai sistemi interni. Entrambi gli SSID devono imporre la convalida del certificato del server. Questa architettura offre al personale il massimo livello di sicurezza fornendo al contempo ai collaboratori esterni un metodo di autenticazione pratico, mentre la segmentazione della rete garantisce che una credenziale compromessa di un collaboratore non possa raggiungere i sistemi di gestione interni dell'hotel.
Continua a leggere questa serie
Configuring RADIUS Authentication for Guest and Staff WiFi Networks
Questa guida di riferimento tecnica descrive l'architettura, la configurazione e l'implementazione dell'autenticazione RADIUS per le reti WiFi aziendali per ospiti e personale. Fornisce ai network architect e ai manager IT i protocolli esatti, gli standard di sicurezza e le metodologie di risoluzione dei problemi necessari per creare sistemi di controllo degli accessi wireless sicuri e scalabili.
Passpoint and OpenRoaming: Complete Guide
Questa guida di riferimento tecnico fornisce un'analisi completa dei framework Passpoint (Hotspot 2.0) e WBA OpenRoaming all'interno delle reti WiFi aziendali. Descrive in dettaglio i protocolli di autenticazione sottostanti, i componenti architetturali e le strategie di implementazione necessarie per stabilire una connettività guest sicura e senza attriti. I progettisti di rete e i responsabili IT impareranno a progettare, implementare e risolvere i problemi di questi standard per eliminare le barriere di accesso manuale mantenendo al contempo una sicurezza di livello enterprise.
Come Implementare SCEP per il Secure BYOD e l'Iscrizione di Rete nell'Istruzione Superiore
Questa guida tecnica fornisce ad architetti di rete e responsabili IT un modello indipendente dal fornitore per implementare la registrazione dei certificati basata su SCEP per proteggere le reti dei campus universitari. Descrive in dettaglio come migrare dal protocollo PEAP basato su password a 802.1X EAP-TLS, automatizzare l'onboarding dei dispositivi BYOD e applicare una robusta segmentazione VLAN.