Vai al contenuto principale
Italiano

eduroam e 802.1X: autenticazione WiFi sicura per l'istruzione superiore

Questa guida tecnica di riferimento autorevole spiega l'architettura, l'implementazione e la sicurezza dell'autenticazione eduroam e 802.1X. Progettata per IT manager e architetti di rete, copre i passaggi pratici di implementazione, la selezione del metodo EAP e il modo in cui i gestori delle sedi possono supportare in sicurezza il roaming accademico.

📖 6 minuti di lettura📝 1,343 parole🔧 3 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
PODCAST SCRIPT: eduroam e 802.1X — Autenticazione WiFi Sicura per l'Istruzione Superiore Durata: circa 10 minuti Voce: inglese britannico, maschile, tono da consulente senior — fiducioso, colloquiale, autorevole --- [INTRO — 1 minuto] Bentornati. Nei prossimi dieci minuti vi guiderò attraverso eduroam e 802.1X — cosa sono, come funzionano effettivamente dietro le quinte e cosa deve sapere il vostro team prima di distribuire o integrarli. Se siete un IT manager, un progettista di rete o un CTO presso un'università, un istituto di istruzione superiore o un istituto di ricerca — o se siete gestori di una sede che ha bisogno di capire cosa si aspettano i visitatori accademici dalla vostra infrastruttura wireless — questo è il briefing che fa per voi. Iniziamo con il quadro generale. eduroam sta per "education roaming". Si tratta di un servizio di roaming WiFi globale che consente a studenti, ricercatori e personale delle istituzioni affiliate di connettersi a Internet presso qualsiasi sede partecipante — in modo automatico, sicuro e utilizzando le credenziali del proprio istituto di provenienza. Nessun Captive Portal. Nessun codice voucher. Nessuna richiesta di password alla reception. È attivo dal 2003, copre oggi oltre 10.000 istituti in più di 100 paesi ed è lo standard de facto per le reti wireless nei campus universitari di tutto il mondo. Se la vostra organizzazione interagisce con le università — che siate un hotel vicino a un campus, un centro congressi che ospita eventi accademici o una biblioteca pubblica in una città universitaria — comprendere eduroam è direttamente rilevante per la vostra strategia di rete. --- [APPROFONDIMENTO TECNICO — 5 minuti] Bene. Entriamo nei dettagli tecnici. eduroam è basato sullo standard IEEE 802.1X — lo standard di controllo dell'accesso alla rete basato su porte. L'802.1X definisce un framework per l'autenticazione dei dispositivi prima che venga concesso loro l'accesso a una rete. Originariamente era stato progettato per le reti Ethernet cablate, ma si adatta perfettamente al wireless ed è la base di ciò che chiamiamo sicurezza WPA2-Enterprise o WPA3-Enterprise. Il modello 802.1X si compone di tre elementi. Primo, il Supplicant — ovvero il dispositivo che tenta di connettersi. Il laptop di uno studente, lo smartphone di un ricercatore. Secondo, l'Authenticator — cioè il vostro access point di rete o switch gestito. Si interpone tra il supplicant e il resto della rete e funge da gatekeeper. Terzo, l'Authentication Server — quasi sempre un server RADIUS. RADIUS sta per Remote Authentication Dial-In User Service. È il componente che convalida effettivamente le credenziali. Ecco come funziona l'handshake. Il dispositivo dello studente si associa all'access point wireless. L'access point non concede ancora l'accesso completo alla rete: apre quello che viene chiamato una porta controllata, ma solo per il traffico EAP. EAP è l'Extensible Authentication Protocol. L'access point fa da proxy per la conversazione EAP tra il dispositivo e il server RADIUS. Il server RADIUS sfida il dispositivo, il dispositivo risponde con le credenziali — in genere un nome utente e una password, o un certificato — e se il server RADIUS è soddisfatto, invia un messaggio di Access-Accept. L'access point apre quindi la porta di rete completa. L'intero scambio richiede meno di due secondi in un'implementazione ben configurata. Ora, come si inserisce eduroam in questo contesto? eduroam utilizza un'infrastruttura proxy RADIUS gerarchica. Ogni istituto partecipante gestisce il proprio server RADIUS, chiamato Identity Provider o IdP. Quando uno studente, ad esempio, dell'Università di Manchester visita l'Imperial College di Londra e si connette all'SSID eduroam, il suo dispositivo invia le credenziali nel formato username@manchester.ac.uk. Il server RADIUS dell'Imperial vede il realm — ovvero la parte dopo il simbolo @ — e inoltra la richiesta di autenticazione al server RADIUS nazionale, gestito nel Regno Unito da Jisc, la rete nazionale per la ricerca e l'istruzione. Jisc reindirizza quindi la richiesta al server RADIUS dell'Università di Manchester, che convalida le credenziali e restituisce un Accept o Reject. L'intera catena si risolve in millisecondi. Questa catena di proxy è ciò che consente a eduroam di funzionare oltre i confini istituzionali senza segreti precondivisi tra gli istituti. Ogni hop nella catena utilizza un segreto RADIUS condiviso solo con il suo vicino immediato. La password effettiva dello studente non lascia mai il server RADIUS dell'istituto di origine: è protetta end-to-end dal tunnel EAP. A proposito di metodi EAP — è qui che molte distribuzioni falliscono, quindi fate attenzione. I metodi EAP più comuni in eduroam sono PEAP — Protected EAP — ed EAP-TLS. PEAP avvolge un metodo di autenticazione interno, solitamente MSCHAPv2, all'interno di un tunnel TLS. Richiede un certificato lato server sul server RADIUS, ma il client ha bisogno solo di nome utente e password. EAP-TLS è l'opzione più sicura: utilizza l'autenticazione reciproca con certificato, il che significa che sia il server che il client presentano i certificati. È più difficile da distribuire su larga scala perché è necessaria una PKI per emettere i certificati client, ma è essenzialmente immune al phishing delle credenziali. Il requisito di sicurezza fondamentale su cui molte istituzioni sbagliano è la validazione del certificato lato client. Quando un dispositivo si connette a eduroam utilizzando PEAP, il dispositivo deve verificare il certificato del server RADIUS prima di inviare le credenziali. Se il dispositivo è configurato in modo errato per accettare qualsiasi certificato, un malintenzionato può attivare un access point non autorizzato che trasmette l'SSID eduroam, presentare un certificato autofirmato e sottrarre le credenziali. Questo è un vettore di attacco noto. La soluzione consiste nel configurare i profili dei supplicant — tramite MDM per i dispositivi gestiti, o tramite l'eduroam Configuration Assistant Tool, noto come CAT, per i dispositivi personali — per bloccare l'autorità di certificazione e il nome del server previsti. Dal punto di vista degli standard, le implementazioni di eduroam devono essere conformi alla eduroam Policy Service Definition, che impone TLS 1.2 o superiore per tutte le connessioni RADIUS su TLS, vieta l'uso di metodi EAP deboli come EAP-MD5 o LEAP, e richiede che tutte le connessioni proxy RADIUS utilizzino RadSec — RADIUS su TLS — anziché il semplice UDP RADIUS dove possibile. Questo è in linea con le linee guida NCSC nel Regno Unito e NIST SP 800-120 negli Stati Uniti. Un altro punto tecnico degno di nota: l'assegnazione della VLAN. In un'implementazione eduroam ben progettata, la risposta RADIUS Access-Accept include attributi VLAN che indicano all'access point quale VLAN assegnare al dispositivo che si connette. Ciò consente di segmentare il traffico, inserendo gli studenti in visita su una VLAN limitata con accesso solo a Internet, mentre il proprio personale viene instradato verso la rete interna. Questo è essenziale per la conformità, in particolare se si è soggetti a PCI DSS o se è necessario mantenere la separazione tra le reti di dati di ricerca e il traffico internet generale. --- [RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE DA EVITARE — 2 minuti] Permettetemi di fornirvi alcune indicazioni pratiche. Se state implementando eduroam per la prima volta, la vostra prima chiamata dovrebbe essere alla vostra NREN nazionale — nel Regno Unito è Jisc, in Irlanda HEAnet, negli Stati Uniti Internet2. Gestiscono l'adesione alla federazione e vi assegneranno un dominio RADIUS. Non è possibile partecipare a eduroam senza essere membri della propria federazione nazionale. La vostra checklist per l'infrastruttura: avete bisogno di access point compatibili con 802.1X — qualsiasi kit di livello enterprise di Cisco, Aruba, Juniper, Ruckus o Ubiquiti UniFi andrà bene. Avete bisogno di un server RADIUS — FreeRADIUS è lo standard open-source, oppure potete usare Microsoft NPS, Cisco ISE o Aruba ClearPass. È necessario un certificato TLS valido per il server RADIUS emesso da una CA attendibile per la community eduroam — in genere un certificato della PKI dell'istituto o di una CA commerciale inclusa nell'elenco approvato di eduroam. I tre fallimenti di implementazione più comuni che riscontro sono: in primo luogo, l'errata configurazione dei certificati — o il certificato RADIUS è scaduto, o i profili del supplicant client non sono associati correttamente. In secondo luogo, i timeout del proxy RADIUS — se la connessione NREN a monte presenta problemi di latenza, l'autenticazione andrà in timeout e gli utenti vedranno errori di connessione che sembrano errori di credenziali. In terzo luogo, l'errata configurazione delle VLAN — gli utenti ospiti finiscono sul segmento di rete sbagliato, non ottenendo alcun accesso a Internet o, peggio, ottenendo l'accesso a risorse interne che non dovrebbero vedere. Sul lato client, distribuisci i profili eduroam CAT a tutti i dispositivi gestiti tramite la tua piattaforma MDM. Per i dispositivi personali, pubblica in evidenza il link del programma di installazione CAT. Questo singolo passaggio elimina la maggior parte dei ticket di supporto. Per le sedi che non sono istituti di istruzione superiore ma desiderano offrire l'accesso a eduroam — centri congressi, hotel e simili — il processo si chiama eduroam Visitor Access, o eVA. Consente alle organizzazioni non membre di ospitare l'SSID eduroam e di delegare l'autenticazione tramite proxy alla federazione senza essere membri effettivi. Vale la pena approfondire se ospiti regolarmente conferenze accademiche o eventi universitari. --- [DOMANDE E RISPOSTE RAPIDE — 1 minuto] Domande rapide che mi vengono poste regolarmente. "eduroam può sostituire interamente il nostro WiFi per gli ospiti?" No. eduroam funziona solo per gli utenti che dispongono di credenziali presso un istituto membro. Avrai comunque bisogno di una soluzione WiFi per gli ospiti separata per tutti gli altri — visitatori, appaltatori, pubblico in generale. "eduroam è conforme al GDPR?" Sì, con alcune riserve. L'architettura della federazione implica che il tuo istituto elabori i dati di autenticazione, ma devi assicurarti che le tue informative sulla privacy coprano questo aspetto e che i tuoi log RADIUS siano gestiti in modo appropriato. "Possiamo usare WPA3 con eduroam?" Sì. WPA3-Enterprise è completamente compatibile con 802.1X ed è lo standard consigliato per le nuove implementazioni. Aggiunge la crittografia in modalità a 192 bit per ambienti ad alta sicurezza. "Qual è la differenza tra eduroam e OpenRoaming?" OpenRoaming è un'iniziativa di settore più ampia della Wireless Broadband Alliance che utilizza la stessa architettura proxy 802.1X e RADIUS ma estende il roaming oltre l'istruzione ai siti commerciali. Alcune piattaforme, tra cui Purple, supportano OpenRoaming come parte della loro offerta WiFi per gli ospiti. --- [RIEPILOGO E PROSSIMI PASSI — 1 minuto] Per concludere. eduroam è un servizio di roaming WiFi maturo, ben regolamentato e distribuito a livello globale, basato su 802.1X e su un'infrastruttura proxy RADIUS gerarchica. Offre autenticazione per singolo utente, crittografia avanzata e roaming trasparente in oltre 10.000 istituti — senza password condivise o Captive Portal. Per i team IT che distribuiscono o aggiornano la rete wireless del campus: date priorità a EAP-TLS rispetto a PEAP dove la vostra PKI può supportarlo, applicate la validazione dei certificati su tutti i profili client, utilizzate RadSec per tutte le connessioni proxy RADIUS e segmentate gli utenti ospiti in una VLAN dedicata. Per i gestori delle sedi: se ospitate regolarmente visitatori accademici, informatevi su eduroam Visitor Access. E a prescindere dal fatto che implementiate o meno eduroam, la vostra infrastruttura guest WiFi dovrebbe essere basata su principi 802.1X di livello enterprise, non su PSK condivise. Se desiderate approfondire uno di questi argomenti — architettura RADIUS, progettazione PKI per EAP-TLS o come piattaforme come Purple si integrano con eduroam e OpenRoaming — la guida scritta completa è accessibile tramite il link nelle note dell'episodio. Grazie per l'ascolto. Alla prossima. --- FINE DELLO SCRIPT

header_image.png

执行摘要

对于高等教育机构以及为其师生提供服务的场所而言,提供安全、无缝的无线连接已不再是奢侈品,而是运营上的硬性要求。这一连接的标准便是 eduroam,一个基于 IEEE 802.1X 框架构建的全球漫游服务。

本指南为 IT 经理、网络架构师以及场馆运营总监提供一份全面的、技术中立的参考资料,用于理解、部署和排错 802.1X 与 eduroam。我们超越基础理论模型,深入探讨企业级校园 WiFi 的实际运作,包括证书管理、RADIUS 代理架构以及与更广泛的访客网络策略的集成。

无论您是在升级老旧的大学网络,还是在配置会议中心以支持学术访客,正确实施 802.1X 都能显著降低安全风险——尤其是凭证窃取——同时大幅减少支持工作量。对于传统高等教育之外的场所,理解这些标准对于评估诸如 OpenRoaming 等商业漫游联盟至关重要,它们共享相同的底层架构。

技术深入解读:802.1X 与 eduroam 架构

eduroam 的核心是 IEEE 802.1X 的实现,这是基于端口的网络访问控制标准。802.1X 最初为有线网络设计,但它构成了 WPA2-EnterpriseWPA3-Enterprise 安全的基础。

802.1X 三角模型

802.1X 框架依赖三个不同组件的交互来授权访问:

  1. Supplicant(请求方): 请求网络访问的客户端设备(例如学生的笔记本电脑或智能手机)。
  2. Authenticator(认证器): 网络接入设备(例如无线接入点或管理型交换机)。它充当守门人,在设备获得授权之前,阻止除认证消息外的所有流量。
  3. Authentication Server(认证服务器): 验证凭据的后端系统,几乎普遍采用 RADIUS(Remote Authentication Dial-In User Service)服务器。

当设备连接时,认证器建立一个受控端口。它在 Supplicant 和 Authentication Server 之间传递 Extensible Authentication Protocol (EAP) 消息。如果凭据有效,服务器返回一个 RADIUS Access-Accept 消息,认证器随之开放端口,允许标准 IP 流量通过。

architecture_overview.png

eduroam 的 RADIUS 代理层级

eduroam 的独特之处在于其联合架构。它允许用户在任何参与机构使用其归属凭据进行认证,而主办机构无需拥有这些凭据的副本。

这通过一个层级化的 RADIUS 代理链实现。当来自 username@university.ac.uk 的用户连接到主办场所的 eduroam SSID 时:

  1. 用户的设备以 username@university.ac.uk 的格式发送认证请求。
  2. 主办场所的 RADIUS 服务器检查 realm(@ 符号之后的部分)。识别出其为外部域后,它将请求代理到国家级顶级 RADIUS 服务器(由国家科研和教育网络 NREN 运营)。
  3. 国家级服务器将请求路由到归属机构的 RADIUS 服务器(university.ac.uk)。
  4. 归属机构验证凭据,并沿链路返回 Access-AcceptAccess-Reject 消息。

整个过程通常在不到两秒内完成。关键的是,用户的密码永远不会暴露给主办机构或中间的代理服务器;它被保护在直接由 supplicant 与归属 RADIUS 服务器建立的加密 EAP 隧道内。

EAP 方法:安全性与可部署性的权衡

EAP 方法的选择决定了加密隧道的形成方式以及凭据的交换方式。eduroam 策略服务定义严格限制可允许的方法,以确保安全。

  • PEAP (Protected EAP): 最常见的部署方式。它利用 RADIUS 服务器上的服务器端证书建立 TLS 隧道。然后客户端在此隧道内进行认证,通常使用 MSCHAPv2(用户名和密码)。它相对容易部署,但如果客户端未配置严格验证服务器证书,则容易受到恶意接入点攻击。
  • EAP-TLS 安全性的黄金标准。它要求双向认证,即 RADIUS 服务器和客户端设备都必须出示有效证书。虽然免疫凭据钓鱼,但需要强大的公钥基础设施 (PKI) 来颁发和管理客户端证书,因此大规模部署更为复杂。

实施指南

部署 802.1X 和 eduroam 需要网络基础设施、身份管理和客户端配置之间的精心协调。

1. 基础设施准备

确保您的无线接入点和控制器支持 WPA2-Enterprise/WPA3-Enterprise 和 802.1X。任何现代企业级硬件(Cisco、Aruba、Juniper 等)都能满足此要求。您还必须部署一个健壮的 RADIUS 基础设施(例如 FreeRADIUS、Cisco ISE、Aruba ClearPass),能够处理预期的认证负载并代理请求。

2. 证书管理

对于 PEAP 部署,您的 RADIUS 服务器需要一个由客户端信任的证书颁发机构 (CA) 签发的 TLS 证书。请勿在生产环境的 eduroam 部署中使用自签名证书。证书必须定期更新,以防止认证中断。

3. 客户端配置(CAT 工具)

eduroam 部署中最常见的故障点是客户端配置错误。用户手动连接时,往往未能配置证书验证,从而容易遭受凭据收集攻击。

为缓解此风险,机构必须使用 eduroam 配置助手工具 (CAT) 或 MDM 解决方案来分发预配置的配置文件。这些配置文件会自动配置正确的 EAP 方法、固定预期的 RADIUS 服务器证书,并设置适当的内在认证协议。

4. VLAN 分配与分段

一个成熟的部署利用 RADIUS 属性根据用户身份动态分配 VLAN。

  • 内部用户: 分配到具有适当校园资源访问权限的内部 VLAN。
  • 访客用户: 分配到受限的访客 VLAN,仅提供互联网访问。

这种分段对于安全性和合规性至关重要,确保访客设备无法访问敏感的内部网络。

comparison_chart.png

最佳实践与技术中立建议

  • 优先采用 WPA3: 对于新部署,启用 WPA3-Enterprise 以获得强制性的 192 位加密和更好的离线字典攻击防护。
  • 强制证书验证: 要求使用配置配置文件(通过 CAT 或 MDM),以确保 supplicant 在传输凭据前严格验证 RADIUS 服务器证书。
  • 使用 RadSec: 在配置与国家级联盟的 RADIUS 代理连接时,使用 RadSec(RADIUS over TLS)而非普通的 UDP。这将加密代理流量,并提高广域网链路的可靠性。
  • 与访客解决方案集成: eduroam 仅服务于拥有学术凭据的用户。您必须为承包商、公众访客和活动参与者维持一个独立的、安全的 访客 WiFi 解决方案。
  • 审查相关基础设施: 确保您的底层网络安全。阅读我们的指南 通过强大的 DNS 和安全措施保护您的网络 以获取更多细节。如果为大学活动部署临时基础设施,请参阅 活动 WiFi:规划和部署临时无线网络 或葡萄牙语版本 Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias

故障排除与风险缓解

当认证失败时,系统化的故障排除至关重要。

  1. 隔离故障域: 确定故障是本地的(影响您自己网络上的用户)、远程的(影响您用户在别处)还是入站的(影响您网络上的访客)。
  2. 检查 RADIUS 日志: RADIUS 服务器日志是权威的事实来源。查找 Access-Reject 消息(表示凭据错误或策略违规)或超时(表示代理连接问题)。
  3. 验证证书有效性: 确保 RADIUS 服务器证书未过期,且完整的证书链被呈现给客户端。
  4. 监控上游延迟: 与国家级 RADIUS 代理之间的高延迟可能导致客户端超时,即使凭据正确也会连接失败。

投资回报与业务影响

对于高等教育机构,适当部署 eduroam 的投资回报体现在大幅减少的支持工单上。通过消除 Captive Portal 和手动输入密码,IT 帮助台会看到连接相关呼叫的显著下降。(Purple 对该领域的承诺显而易见;请参阅 Purple 任命教育副总裁 Tim Peers 彰显高等教育雄心 )。

对于商业场所——如 酒店业零售业医疗业交通业 ——支持 eduroam 访客接入 (eVA) 或类似的联盟(如 OpenRoaming),能为高价值人群提供无摩擦的体验。它确保学术访客能够自动、安全地连接,提高满意度,同时允许场所维持严格的网络分段。如果您的场所需要专用带宽来支持此需求,请考虑阅读 什么是专线?专为企业提供的互联网

在规划网络升级时,集成 802.1X 功能可确保基础设施为现代身份驱动的网络做好准备,为高级 WiFi 分析 和基于位置的服务奠定基础。

Definizioni chiave

802.1X

Uno standard IEEE per il Network Access Control (PNAC) basato su porta. Fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN.

Il protocollo fondamentale per la sicurezza WiFi di livello enterprise, che sostituisce le password condivise (PSK) con un'autenticazione individualizzata.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che fornisce una gestione centralizzata di Authentication, Authorization, e Accounting (AAA) per gli utenti che si connettono e utilizzano un servizio di rete.

Il server backend in una distribuzione 802.1X che verifica effettivamente le credenziali dell'utente rispetto a una directory (come Active Directory).

EAP (Extensible Authentication Protocol)

Un framework di autenticazione frequentemente utilizzato nelle reti wireless e nelle connessioni point-to-point. Consente il trasporto e l'utilizzo di vari meccanismi di autenticazione.

Il linguaggio parlato tra il dispositivo client e il server RADIUS durante l'handshake 802.1X.

Supplicant

Il dispositivo client (ad es. laptop, smartphone) o il software su tale dispositivo che tenta di autenticarsi a una rete utilizzando lo standard 802.1X.

L'entità che richiede l'accesso. La sua configurazione (specialmente per quanto riguarda la validazione del certificato) è fondamentale per la sicurezza.

Authenticator

Il dispositivo di rete (ad es. access point wireless, switch Ethernet) che facilita il processo di autenticazione 802.1X passando i messaggi tra il Supplicant e l'Authentication Server.

Il gatekeeper che blocca il traffico di rete finché il server RADIUS non dà il via libera.

PEAP (Protected Extensible Authentication Protocol)

Un metodo EAP che incapsula la transazione EAP all'interno di un tunnel TLS stabilito utilizzando un certificato lato server, proteggendo l'autenticazione interna (solitamente una password).

Il metodo di autenticazione più comune per eduroam, che bilancia la sicurezza con la facilità di implementazione.

RadSec

Un protocollo per la trasmissione di dati RADIUS tramite TCP e TLS, anziché il tradizionale UDP.

Consigliato per proteggere le connessioni proxy tra gli istituti e la federazione nazionale eduroam, impedendo l'intercettazione del traffico di autenticazione.

Realm

La parte dell'identità di un utente che segue il simbolo '@' (ad es. 'university.ac.uk' in 'user@university.ac.uk').

Utilizzato dai server proxy RADIUS per determinare dove instradare la richiesta di autenticazione in un ambiente federato come eduroam.

Esempi pratici

Un hotel per conferenze da 400 camere adiacente a una delle principali università ospita frequentemente simposi accademici. Il Direttore IT desidera consentire agli accademici in visita di connettersi automaticamente senza utilizzare il Captive Portal standard dell'hotel, ma deve garantire che questi visitatori non possano accedere alla rete aziendale dell'hotel o alla VLAN della rete ospiti standard.

L'hotel dovrebbe implementare eduroam Visitor Access (eVA) o aderire a una federazione commerciale come OpenRoaming.

  1. L'hotel configura un nuovo SSID ('eduroam' o 'OpenRoaming') sui propri access point aziendali.
  2. Gli AP sono configurati per utilizzare WPA2-Enterprise/802.1X.
  3. L'hotel distribuisce un server RADIUS locale configurato per inoltrare le richieste di autenticazione per i realm esterni alla federazione nazionale (per eduroam) o all'hub OpenRoaming.
  4. Aspetto fondamentale, il server RADIUS locale è configurato per restituire un attributo VLAN ID specifico nel messaggio Access-Accept per tutte le autenticazioni inoltrate.
  5. Gli access point inseriscono questi utenti autenticati in una VLAN isolata, di solo accesso a Internet, completamente segmentata dal traffico aziendale e della rete ospiti standard dell'hotel.
Commento dell'esaminatore: Questo approccio sfrutta correttamente l'architettura proxy RADIUS per delegare l'autenticazione alle istituzioni di provenienza dei visitatori. Utilizzando l'assegnazione dinamica della VLAN tramite attributi RADIUS, l'hotel mantiene una rigorosa segmentazione della rete, soddisfacendo i requisiti di sicurezza e offrendo al contempo un'esperienza utente fluida.

Il team IT di un'università rileva un picco di account studenteschi compromessi. Un'indagine rivela che gli studenti si connettono a un access point canaglia che trasmette l'SSID 'eduroam' in una caffetteria locale. L'AP canaglia utilizza un certificato autofirmato per raccogliere le credenziali tramite PEAP.

Il team IT deve imporre immediatamente una rigorosa convalida dei certificati su tutti i dispositivi client.

  1. Devono smettere di consigliare agli studenti di connettersi manualmente all'SSID e di 'accettare l'avviso del certificato'.
  2. Distribuiscono l'eduroam Configuration Assistant Tool (CAT) per i dispositivi BYOD e aggiornano i profili MDM per i dispositivi gestiti.
  3. Questi profili configurano il supplicant in modo che si fidi solo della specifica Autorità di Certificazione (CA) che ha emesso il certificato del server RADIUS dell'università e che verifichi il Common Name (CN) del server.
  4. Una volta configurato, se il dispositivo di uno studente incontra l'AP canaglia, l'attivazione del tunnel EAP fallirà perché il certificato canaglia non corrisponde alla CA/CN associata, impedendo la trasmissione delle credenziali.
Commento dell'esaminatore: Questo scenario evidenzia la vulnerabilità più critica nelle distribuzioni PEAP. La soluzione identifica correttamente che la correzione risiede nella configurazione lato client. Affidarsi all'educazione degli utenti per individuare i certificati falsi non è efficace; i controlli tecnici (blocco del profilo) sono obbligatori.

Una catena di vendita al dettaglio desidera offrire OpenRoaming in 50 sedi utilizzando l'infrastruttura WiFi ospiti esistente, che attualmente si affida a un SSID aperto con un Captive Portal.

La catena di vendita al dettaglio deve aggiornare la propria rete per supportare l'autenticazione 802.1X e il proxying RADIUS.

  1. Il team di rete abilita un nuovo SSID che trasmette l'OI (Organization Identifier) di OpenRoaming Consortium.
  2. Configura gli access point per l'autenticazione tramite 802.1X.
  3. Configura il proprio server RADIUS centrale per inoltrare le richieste all'hub della federazione OpenRoaming.
  4. Si assicura che il backhaul Internet sia in grado di supportare l'aumento previsto delle connessioni automatizzate, eventualmente effettuando l'upgrade a linee dedicate se necessario.
Commento dell'esaminatore: Questo evidenzia come il passaggio da un Captive Portal a un modello federato 802.1X richieda modifiche architetturali fondamentali, in particolare l'implementazione del proxying RADIUS e la capacità di gestire un numero maggiore di connessioni automatizzate.

Domande di esercitazione

Q1. La tua università sta distribuendo una nuova rete wireless. Il CISO impone che il phishing di credenziali tramite rogue access point sia matematicamente impossibile. Quale metodo EAP devi selezionare?

Suggerimento: Considera quale metodo si affida alle password rispetto a quale si affida interamente alle chiavi crittografiche.

Visualizza risposta modello

Devi selezionare EAP-TLS. A differenza di PEAP, che si affida a una password all'interno di un tunnel TLS, EAP-TLS richiede un'autenticazione reciproca basata su certificati. Poiché il dispositivo client si autentica utilizzando un certificato crittografico anziché una password, non ci sono credenziali che un rogue access point possa sottrarre tramite phishing.

Q2. Un ricercatore ospite proveniente da un'altra università lamenta di non riuscire a connettersi alla tua rete eduroam. I tuoi utenti locali si connettono normalmente. Controlli i log del tuo server RADIUS locale e vedi la richiesta arrivare, ma va in timeout prima che venga ricevuto un Access-Accept. Qual è la causa più probabile?

Suggerimento: Pensa al percorso che la richiesta di autenticazione compie per un utente ospite rispetto a un utente locale.

Visualizza risposta modello

La causa più probabile è un problema di connettività o di latenza tra il tuo server RADIUS locale e il proxy RADIUS NREN nazionale. Poiché gli utenti locali si autenticano direttamente sul tuo server, non ne risentono. La richiesta dell'utente ospite deve essere inoltrata tramite proxy a monte e un timeout indica che la risposta dell'istituto di provenienza non sta tornando in tempo.

Q3. Sei un progettista di rete per una catena di negozi situata vicino a una grande università. Vuoi offrire una connessione WiFi fluida agli studenti che utilizzano eduroam Visitor Access (eVA), ma devi rispettare lo standard PCI DSS per i tuoi terminali POS. Come integri eVA in modo sicuro?

Suggerimento: In che modo l'802.1X consente all'access point di rete di differenziare il traffico dopo l'autenticazione?

Visualizza risposta modello

Integri eVA configurando il tuo server RADIUS per assegnare tutte le autenticazioni eVA andate a buon fine a una VLAN ospiti dedicata, riservata esclusivamente a internet. Il messaggio Access-Accept dal server RADIUS deve includere l'ID VLAN specifico. Ciò garantisce che i dispositivi degli studenti siano completamente segmentati dalla VLAN conforme a PCI utilizzata dai terminali POS, soddisfacendo i requisiti di conformità.

Continua a leggere questa serie

Server RADIUS: una guida completa per le aziende

Questa guida fornisce a IT manager, architetti di rete e CTO un riferimento tecnico definitivo sull'autenticazione tramite server RADIUS per il WiFi aziendale. Copre il framework AAA, l'architettura 802.1X, la selezione del metodo EAP, i compromessi tra implementazioni cloud e on-premises e l'assegnazione dinamica della VLAN. I gestori di location nei settori dell'ospitalità, del retail, degli eventi e del settore pubblico troveranno indicazioni pratiche per l'implementazione, casi di studio reali e i framework decisionali necessari per migrare da chiavi pre-condivise non sicure a un'architettura di controllo degli accessi alla rete sicura e basata sull'identità.

Leggi la guida →

Aruba ClearPass vs. Purple WiFi: Confronto delle Funzionalità e Co-implementazione

Una guida tecnica completa che dettaglia l'architettura di co-implementazione di Aruba ClearPass e Purple WiFi. Copre la configurazione del proxy RADIUS, l'assegnazione dinamica della VLAN e le best practice per fornire reti guest sicure e basate sull'analisi dei dati insieme al NAC aziendale.

Leggi la guida →

Cisco ISE vs. Purple WiFi: Come si Confrontano e Come Lavorano Insieme

Questa guida spiega come Cisco ISE e Purple WiFi ricoprano ruoli distinti ma complementari nelle reti aziendali. Spiega dettagliatamente come utilizzare Cisco ISE per l'accesso aziendale sicuro 802.1X, sfruttando al contempo Purple per il guest WiFi conforme al GDPR, l'analisi di marketing e l'integrazione CRM.

Leggi la guida →