Vai al contenuto principale
Italiano

eduroam e 802.1X: autenticazione WiFi sicura per l'istruzione superiore

Questa guida tecnica di riferimento autorevole spiega l'architettura, l'implementazione e la sicurezza dell'autenticazione eduroam e 802.1X. Progettata per IT manager e architetti di rete, copre i passaggi pratici di implementazione, la selezione del metodo EAP e il modo in cui i gestori delle sedi possono supportare in sicurezza il roaming accademico.

📖 6 minuti di lettura📝 1,343 parole🔧 3 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
PODCAST SCRIPT: eduroam e 802.1X — Autenticazione WiFi Sicura per l'Istruzione Superiore Durata: circa 10 minuti Voce: inglese britannico, maschile, tono da consulente senior — fiducioso, colloquiale, autorevole --- [INTRO — 1 minuto] Bentornati. Nei prossimi dieci minuti vi guiderò attraverso eduroam e 802.1X — cosa sono, come funzionano effettivamente dietro le quinte e cosa deve sapere il vostro team prima di distribuire o integrarli. Se siete un IT manager, un progettista di rete o un CTO presso un'università, un istituto di istruzione superiore o un istituto di ricerca — o se siete gestori di una sede che ha bisogno di capire cosa si aspettano i visitatori accademici dalla vostra infrastruttura wireless — questo è il briefing che fa per voi. Iniziamo con il quadro generale. eduroam sta per "education roaming". Si tratta di un servizio di roaming WiFi globale che consente a studenti, ricercatori e personale delle istituzioni affiliate di connettersi a Internet presso qualsiasi sede partecipante — in modo automatico, sicuro e utilizzando le credenziali del proprio istituto di provenienza. Nessun Captive Portal. Nessun codice voucher. Nessuna richiesta di password alla reception. È attivo dal 2003, copre oggi oltre 10.000 istituti in più di 100 paesi ed è lo standard de facto per le reti wireless nei campus universitari di tutto il mondo. Se la vostra organizzazione interagisce con le università — che siate un hotel vicino a un campus, un centro congressi che ospita eventi accademici o una biblioteca pubblica in una città universitaria — comprendere eduroam è direttamente rilevante per la vostra strategia di rete. --- [APPROFONDIMENTO TECNICO — 5 minuti] Bene. Entriamo nei dettagli tecnici. eduroam è basato sullo standard IEEE 802.1X — lo standard di controllo dell'accesso alla rete basato su porte. L'802.1X definisce un framework per l'autenticazione dei dispositivi prima che venga concesso loro l'accesso a una rete. Originariamente era stato progettato per le reti Ethernet cablate, ma si adatta perfettamente al wireless ed è la base di ciò che chiamiamo sicurezza WPA2-Enterprise o WPA3-Enterprise. Il modello 802.1X si compone di tre elementi. Primo, il Supplicant — ovvero il dispositivo che tenta di connettersi. Il laptop di uno studente, lo smartphone di un ricercatore. Secondo, l'Authenticator — cioè il vostro access point di rete o switch gestito. Si interpone tra il supplicant e il resto della rete e funge da gatekeeper. Terzo, l'Authentication Server — quasi sempre un server RADIUS. RADIUS sta per Remote Authentication Dial-In User Service. È il componente che convalida effettivamente le credenziali. Ecco come funziona l'handshake. Il dispositivo dello studente si associa all'access point wireless. L'access point non concede ancora l'accesso completo alla rete: apre quello che viene chiamato una porta controllata, ma solo per il traffico EAP. EAP è l'Extensible Authentication Protocol. L'access point fa da proxy per la conversazione EAP tra il dispositivo e il server RADIUS. Il server RADIUS sfida il dispositivo, il dispositivo risponde con le credenziali — in genere un nome utente e una password, o un certificato — e se il server RADIUS è soddisfatto, invia un messaggio di Access-Accept. L'access point apre quindi la porta di rete completa. L'intero scambio richiede meno di due secondi in un'implementazione ben configurata. Ora, come si inserisce eduroam in questo contesto? eduroam utilizza un'infrastruttura proxy RADIUS gerarchica. Ogni istituto partecipante gestisce il proprio server RADIUS, chiamato Identity Provider o IdP. Quando uno studente, ad esempio, dell'Università di Manchester visita l'Imperial College di Londra e si connette all'SSID eduroam, il suo dispositivo invia le credenziali nel formato username@manchester.ac.uk. Il server RADIUS dell'Imperial vede il realm — ovvero la parte dopo il simbolo @ — e inoltra la richiesta di autenticazione al server RADIUS nazionale, gestito nel Regno Unito da Jisc, la rete nazionale per la ricerca e l'istruzione. Jisc reindirizza quindi la richiesta al server RADIUS dell'Università di Manchester, che convalida le credenziali e restituisce un Accept o Reject. L'intera catena si risolve in millisecondi. Questa catena di proxy è ciò che consente a eduroam di funzionare oltre i confini istituzionali senza segreti precondivisi tra gli istituti. Ogni hop nella catena utilizza un segreto RADIUS condiviso solo con il suo vicino immediato. La password effettiva dello studente non lascia mai il server RADIUS dell'istituto di origine: è protetta end-to-end dal tunnel EAP. A proposito di metodi EAP — è qui che molte distribuzioni falliscono, quindi fate attenzione. I metodi EAP più comuni in eduroam sono PEAP — Protected EAP — ed EAP-TLS. PEAP avvolge un metodo di autenticazione interno, solitamente MSCHAPv2, all'interno di un tunnel TLS. Richiede un certificato lato server sul server RADIUS, ma il client ha bisogno solo di nome utente e password. EAP-TLS è l'opzione più sicura: utilizza l'autenticazione reciproca con certificato, il che significa che sia il server che il client presentano i certificati. È più difficile da distribuire su larga scala perché è necessaria una PKI per emettere i certificati client, ma è essenzialmente immune al phishing delle credenziali. Il requisito di sicurezza fondamentale su cui molte istituzioni sbagliano è la validazione del certificato lato client. Quando un dispositivo si connette a eduroam utilizzando PEAP, il dispositivo deve verificare il certificato del server RADIUS prima di inviare le credenziali. Se il dispositivo è configurato in modo errato per accettare qualsiasi certificato, un malintenzionato può attivare un access point non autorizzato che trasmette l'SSID eduroam, presentare un certificato autofirmato e sottrarre le credenziali. Questo è un vettore di attacco noto. La soluzione consiste nel configurare i profili dei supplicant — tramite MDM per i dispositivi gestiti, o tramite l'eduroam Configuration Assistant Tool, noto come CAT, per i dispositivi personali — per bloccare l'autorità di certificazione e il nome del server previsti. Dal punto di vista degli standard, le implementazioni di eduroam devono essere conformi alla eduroam Policy Service Definition, che impone TLS 1.2 o superiore per tutte le connessioni RADIUS su TLS, vieta l'uso di metodi EAP deboli come EAP-MD5 o LEAP, e richiede che tutte le connessioni proxy RADIUS utilizzino RadSec — RADIUS su TLS — anziché il semplice UDP RADIUS dove possibile. Questo è in linea con le linee guida NCSC nel Regno Unito e NIST SP 800-120 negli Stati Uniti. Un altro punto tecnico degno di nota: l'assegnazione della VLAN. In un'implementazione eduroam ben progettata, la risposta RADIUS Access-Accept include attributi VLAN che indicano all'access point quale VLAN assegnare al dispositivo che si connette. Ciò consente di segmentare il traffico, inserendo gli studenti in visita su una VLAN limitata con accesso solo a Internet, mentre il proprio personale viene instradato verso la rete interna. Questo è essenziale per la conformità, in particolare se si è soggetti a PCI DSS o se è necessario mantenere la separazione tra le reti di dati di ricerca e il traffico internet generale. --- [RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE DA EVITARE — 2 minuti] Permettetemi di fornirvi alcune indicazioni pratiche. Se state implementando eduroam per la prima volta, la vostra prima chiamata dovrebbe essere alla vostra NREN nazionale — nel Regno Unito è Jisc, in Irlanda HEAnet, negli Stati Uniti Internet2. Gestiscono l'adesione alla federazione e vi assegneranno un dominio RADIUS. Non è possibile partecipare a eduroam senza essere membri della propria federazione nazionale. La vostra checklist per l'infrastruttura: avete bisogno di access point compatibili con 802.1X — qualsiasi kit di livello enterprise di Cisco, Aruba, Juniper, Ruckus o Ubiquiti UniFi andrà bene. Avete bisogno di un server RADIUS — FreeRADIUS è lo standard open-source, oppure potete usare Microsoft NPS, Cisco ISE o Aruba ClearPass. È necessario un certificato TLS valido per il server RADIUS emesso da una CA attendibile per la community eduroam — in genere un certificato della PKI dell'istituto o di una CA commerciale inclusa nell'elenco approvato di eduroam. I tre fallimenti di implementazione più comuni che riscontro sono: in primo luogo, l'errata configurazione dei certificati — o il certificato RADIUS è scaduto, o i profili del supplicant client non sono associati correttamente. In secondo luogo, i timeout del proxy RADIUS — se la connessione NREN a monte presenta problemi di latenza, l'autenticazione andrà in timeout e gli utenti vedranno errori di connessione che sembrano errori di credenziali. In terzo luogo, l'errata configurazione delle VLAN — gli utenti ospiti finiscono sul segmento di rete sbagliato, non ottenendo alcun accesso a Internet o, peggio, ottenendo l'accesso a risorse interne che non dovrebbero vedere. Sul lato client, distribuisci i profili eduroam CAT a tutti i dispositivi gestiti tramite la tua piattaforma MDM. Per i dispositivi personali, pubblica in evidenza il link del programma di installazione CAT. Questo singolo passaggio elimina la maggior parte dei ticket di supporto. Per le sedi che non sono istituti di istruzione superiore ma desiderano offrire l'accesso a eduroam — centri congressi, hotel e simili — il processo si chiama eduroam Visitor Access, o eVA. Consente alle organizzazioni non membre di ospitare l'SSID eduroam e di delegare l'autenticazione tramite proxy alla federazione senza essere membri effettivi. Vale la pena approfondire se ospiti regolarmente conferenze accademiche o eventi universitari. --- [DOMANDE E RISPOSTE RAPIDE — 1 minuto] Domande rapide che mi vengono poste regolarmente. "eduroam può sostituire interamente il nostro WiFi per gli ospiti?" No. eduroam funziona solo per gli utenti che dispongono di credenziali presso un istituto membro. Avrai comunque bisogno di una soluzione WiFi per gli ospiti separata per tutti gli altri — visitatori, appaltatori, pubblico in generale. "eduroam è conforme al GDPR?" Sì, con alcune riserve. L'architettura della federazione implica che il tuo istituto elabori i dati di autenticazione, ma devi assicurarti che le tue informative sulla privacy coprano questo aspetto e che i tuoi log RADIUS siano gestiti in modo appropriato. "Possiamo usare WPA3 con eduroam?" Sì. WPA3-Enterprise è completamente compatibile con 802.1X ed è lo standard consigliato per le nuove implementazioni. Aggiunge la crittografia in modalità a 192 bit per ambienti ad alta sicurezza. "Qual è la differenza tra eduroam e OpenRoaming?" OpenRoaming è un'iniziativa di settore più ampia della Wireless Broadband Alliance che utilizza la stessa architettura proxy 802.1X e RADIUS ma estende il roaming oltre l'istruzione ai siti commerciali. Alcune piattaforme, tra cui Purple, supportano OpenRoaming come parte della loro offerta WiFi per gli ospiti. --- [RIEPILOGO E PROSSIMI PASSI — 1 minuto] Per concludere. eduroam è un servizio di roaming WiFi maturo, ben regolamentato e distribuito a livello globale, basato su 802.1X e su un'infrastruttura proxy RADIUS gerarchica. Offre autenticazione per singolo utente, crittografia avanzata e roaming trasparente in oltre 10.000 istituti — senza password condivise o Captive Portal. Per i team IT che distribuiscono o aggiornano la rete wireless del campus: date priorità a EAP-TLS rispetto a PEAP dove la vostra PKI può supportarlo, applicate la validazione dei certificati su tutti i profili client, utilizzate RadSec per tutte le connessioni proxy RADIUS e segmentate gli utenti ospiti in una VLAN dedicata. Per i gestori delle sedi: se ospitate regolarmente visitatori accademici, informatevi su eduroam Visitor Access. E a prescindere dal fatto che implementiate o meno eduroam, la vostra infrastruttura guest WiFi dovrebbe essere basata su principi 802.1X di livello enterprise, non su PSK condivise. Se desiderate approfondire uno di questi argomenti — architettura RADIUS, progettazione PKI per EAP-TLS o come piattaforme come Purple si integrano con eduroam e OpenRoaming — la guida scritta completa è accessibile tramite il link nelle note dell'episodio. Grazie per l'ascolto. Alla prossima. --- FINE DELLO SCRIPT

header_image.png

Executive Summary

Per gli istituti di istruzione superiore e le strutture che ospitano i loro studenti e il personale, fornire una connettività wireless sicura e fluida non è più un lusso, ma un mandato operativo. Lo standard per questa connettività è eduroam, un servizio di roaming globale basato sul framework IEEE 802.1X.

Questa guida fornisce ai responsabili IT, agli architetti di rete e ai direttori operativi delle strutture un riferimento completo e indipendente dai fornitori per comprendere, distribuire e risolvere i problemi di 802.1X ed eduroam. Superiamo i modelli teorici di base per affrontare le realtà pratiche del WiFi aziendale nei campus, tra cui la gestione dei certificati, l'architettura proxy RADIUS e l'integrazione con strategie più ampie di reti per ospiti.

Sia che stiate aggiornando una rete universitaria obsoleta o configurando un centro congressi per supportare visitatori accademici, l'implementazione corretta di 802.1X mitiga rischi di sicurezza significativi, in particolare il furto di credenziali, riducendo drasticamente i costi di supporto. Per le strutture al di fuori della tradizionale istruzione superiore, comprendere questi standard è fondamentale per valutare le federazioni di roaming commerciale come OpenRoaming, che condividono la stessa architettura sottostante.

Approfondimento Tecnico: 802.1X e l'Architettura eduroam

Nel profondo, eduroam è un'implementazione di IEEE 802.1X, lo standard per il controllo dell'accesso alla rete basato su porta. Sebbene originariamente progettato per le reti cablate, 802.1X costituisce la base della sicurezza WPA2-Enterprise e WPA3-Enterprise.

Il Triangolo 802.1X

Il framework 802.1X si basa su tre componenti distinti che interagiscono per autorizzare l'accesso:

  1. Supplicant: Il dispositivo client (ad esempio, il laptop o lo smartphone di uno studente) che richiede l'accesso alla rete.
  2. Authenticator: Il dispositivo di accesso alla rete (ad esempio, un access point wireless o uno switch gestito). Funge da guardiano, bloccando tutto il traffico ad eccezione dei messaggi di autenticazione fino a quando il dispositivo non è autorizzato.
  3. Authentication Server: Il sistema backend che convalida le credenziali, quasi universalmente un server RADIUS (Remote Authentication Dial-In User Service).

Quando un dispositivo si connette, l'Authenticator stabilisce una porta controllata. Trasmette i messaggi EAP (Extensible Authentication Protocol) tra il Supplicant e l'Authentication Server. Se le credenziali sono valide, il server restituisce un messaggio RADIUS Access-Accept e l'Authenticator apre la porta per il normale traffico IP.

architecture_overview.png

La gerarchia dei proxy RADIUS di eduroam

Ciò che rende eduroam unico è la sua architettura federata. Consente agli utenti di autenticarsi presso qualsiasi istituto partecipante utilizzando le proprie credenziali personali, senza che l'istituto ospitante debba averne una copia.

Questo risultato viene raggiunto attraverso una catena gerarchica di proxy RADIUS. Quando un utente con username@university.ac.uk si connette all'SSID eduroam presso una sede ospitante:

  1. Il dispositivo dell'utente invia una richiesta di autenticazione nel formato username@university.ac.uk.
  2. Il server RADIUS della sede ospitante esamina il realm (la parte successiva alla @). Riconoscendolo come dominio esterno, inoltra la richiesta tramite proxy al server RADIUS nazionale di primo livello (gestito dal National Research and Education Network, o NREN).
  3. Il server nazionale instrada la richiesta al server RADIUS dell'istituto di appartenenza (university.ac.uk).
  4. L'istituto di appartenenza convalida le credenziali e restituisce un messaggio di Access-Accept o Access-Reject lungo la catena.

L'intero processo si completa in genere in meno di due secondi. Aspetto fondamentale, la password dell'utente non viene mai esposta all'istituto ospitante o ai proxy intermedi; è protetta all'interno di un tunnel EAP crittografato stabilito direttamente tra il supplicant e il server RADIUS di appartenenza.

Metodi EAP: Sicurezza vs. Facilità di Implementazione

La scelta del metodo EAP determina il modo in cui viene formato il tunnel crittografato e il modo in cui vengono scambiate le credenziali. La eduroam Policy Service Definition limita fortemente i metodi consentiti per garantire la massima sicurezza.

  • PEAP (Protected EAP): L'implementazione più comune. Stabilisce un tunnel TLS utilizzando un certificato lato server sul server RADIUS. Il client si autentica quindi all'interno di questo tunnel, in genere utilizzando MSCHAPv2 (nome utente e password). È relativamente facile da implementare ma vulnerabile ad attacchi di tipo rogue access point se i client non sono configurati per convalidare rigorosamente il certificato del server.
  • EAP-TLS: Lo standard di riferimento per la sicurezza. Richiede l'autenticazione reciproca, il che significa che sia il server RADIUS che il dispositivo client devono presentare certificati validi. Sebbene sia immune al phishing delle credenziali, richiede una solida Public Key Infrastructure (PKI) per emettere e gestire i certificati client, rendendone più complessa l'implementazione su larga scala.

Guida all'implementazione

L'implementazione di 802.1X e eduroam richiede un'attenta coordinazione tra infrastruttura di rete, gestione delle identità e configurazione dei client.

1. Preparazione dell'infrastruttura

Assicurati che i tuoi access point e controller wireless supportino WPA2-Enterprise/WPA3-Enterprise e 802.1X. Qualsiasi hardware moderno di livello enterprise (Cisco, Aruba, Juniper, ecc.) soddisferà questo requisito. È inoltre necessario implementare una solida infrastruttura RADIUS (ad es. FreeRADIUS, Cisco ISE, Aruba ClearPass) in grado di gestire il carico di autenticazione previsto e di fungere da proxy per le richieste.

2. Gestione dei certificati

Per le distribuzioni PEAP, il server RADIUS richiede un certificato TLS emesso da una Certificate Authority (CA) attendibile per i client. Non utilizzare certificati autofirmati per le distribuzioni eduroam di produzione. Il certificato deve essere rinnovato regolarmente per prevenire interruzioni dell'autenticazione.

3. Configurazione del client (lo strumento CAT)

Il punto di errore più comune nelle distribuzioni eduroam è l'errata configurazione del client. Gli utenti che si connettono manualmente spesso non riescono a configurare la convalida del certificato, rimanendo vulnerabili alla raccolta di credenziali.

Per ovviare a questo problema, gli istituti devono utilizzare l'eduroam Configuration Assistant Tool (CAT) o una soluzione MDM per distribuire profili preconfigurati. Questi profili configurano automaticamente il metodo EAP corretto, associano il certificato del server RADIUS previsto e impostano i protocolli di autenticazione interna appropriati.

4. Assegnazione e segmentazione della VLAN

Una distribuzione matura utilizza gli attributi RADIUS per assegnare dinamicamente le VLAN in base all'identità dell'utente.

  • Utenti interni: Assegnati a VLAN interne con accesso appropriato alle risorse del campus.
  • Utenti ospiti: Assegnati a una VLAN guest limitata con solo accesso a Internet.

Questa segmentazione è fondamentale per la sicurezza e la conformità, garantendo che i dispositivi degli ospiti non possano accedere alle reti interne sensibili.

comparison_chart.png

Best practice e raccomandazioni indipendenti dal fornitore

  • Dai la priorità a WPA3: Per le nuove distribuzioni, abilita WPA3-Enterprise per beneficiare della crittografia obbligatoria a 192 bit e di una migliore protezione contro gli attacchi offline a dizionario.
  • Imponi la convalida del certificato: Richiedi l'uso di profili di configurazione (tramite CAT o MDM) per garantire che i client (supplicant) convalidino rigorosamente il certificato del server RADIUS prima di trasmettere le credenziali.
  • Usa RadSec: Quando configuri le connessioni proxy RADIUS verso la federazione nazionale, usa RadSec (RADIUS su TLS) anziché il semplice UDP. Questo crittografa il traffico proxy e migliora l'affidabilità sui collegamenti WAN.
  • Integra con soluzioni per gli ospiti: eduroam serve solo utenti con credenziali accademiche. È necessario mantenere una soluzione di Guest WiFi separata e sicura per appaltatori, visitatori pubblici e partecipanti a eventi.
  • Esamina l'infrastruttura correlata: Assicurati che la rete sottostante sia sicura. Leggi la nostra guida su come Proteggere la tua rete con DNS efficaci e sicurezza per maggiori dettagli. Se distribuisci un'infrastruttura temporanea per eventi universitari, consulta Event WiFi: pianificazione e distribuzione di reti wireless temporanee o la versione portoghese Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias .

Risoluzione dei problemi e mitigazione dei rischi

Quando l'autenticazione non va a buon fine, è essenziale procedere a una risoluzione sistematica dei problemi.

  1. Isolate the Failure Domain: Determina se il guasto è locale (interessa i tuoi utenti sulla tua rete), remoto (interessa i tuoi utenti altrove) o in entrata (interessa i visitatori sulla tua rete).
  2. Check the RADIUS Logs: I log del server RADIUS sono la fonte di verità definitiva. Cerca messaggi Access-Reject (che indicano credenziali errate o violazioni delle policy) o timeout (che indicano problemi di connettività proxy).
  3. Verify Certificate Validity: Assicurati che il certificato del server RADIUS non sia scaduto e che l'intera catena di certificati venga presentata al client.
  4. Monitor Upstream Latency: Una latenza elevata sulla connessione al proxy RADIUS nazionale può causare timeout del client, con conseguenti connessioni non riuscite anche con credenziali corrette.

ROI e impatto aziendale

Per gli istituti di istruzione superiore, il ROI di un'implementazione eduroam corretta si misura in una drastica riduzione dei ticket di supporto. Eliminando i captive portal e l'inserimento manuale delle password, gli helpdesk IT registrano un calo significativo delle chiamate relative alla connettività. (L'impegno di Purple in questo settore è evidente; vedi Purple Signals Higher Education Ambitions with Appointment of VP Education Tim Peers ).

Per le sedi commerciali, come quelle nei settori Hospitality , Retail , Healthcare o Transport , il supporto a eduroam Visitor Access (eVA) o a federazioni simili come OpenRoaming offre un'esperienza fluida per target demografici di alto valore. Garantisce che i visitatori accademici possano connettersi in modo automatico e sicuro, migliorando la soddisfazione e consentendo alla sede di mantenere una rigida segmentazione della rete. Se la tua sede richiede una larghezza di banda dedicata per supportare questo servizio, considera la lettura di What Is a Leased Line? Dedicated Business Internet .

Quando si pianificano gli aggiornamenti di rete, l'integrazione delle funzionalità 802.1X garantisce che l'infrastruttura sia pronta per il moderno networking basato sull'identità, gettando le basi per servizi avanzati di WiFi Analytics e basati sulla posizione.

Definizioni chiave

802.1X

Uno standard IEEE per il Network Access Control (PNAC) basato su porta. Fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN.

Il protocollo fondamentale per la sicurezza WiFi di livello enterprise, che sostituisce le password condivise (PSK) con un'autenticazione individualizzata.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che fornisce una gestione centralizzata di Authentication, Authorization, e Accounting (AAA) per gli utenti che si connettono e utilizzano un servizio di rete.

Il server backend in una distribuzione 802.1X che verifica effettivamente le credenziali dell'utente rispetto a una directory (come Active Directory).

EAP (Extensible Authentication Protocol)

Un framework di autenticazione frequentemente utilizzato nelle reti wireless e nelle connessioni point-to-point. Consente il trasporto e l'utilizzo di vari meccanismi di autenticazione.

Il linguaggio parlato tra il dispositivo client e il server RADIUS durante l'handshake 802.1X.

Supplicant

Il dispositivo client (ad es. laptop, smartphone) o il software su tale dispositivo che tenta di autenticarsi a una rete utilizzando lo standard 802.1X.

L'entità che richiede l'accesso. La sua configurazione (specialmente per quanto riguarda la validazione del certificato) è fondamentale per la sicurezza.

Authenticator

Il dispositivo di rete (ad es. access point wireless, switch Ethernet) che facilita il processo di autenticazione 802.1X passando i messaggi tra il Supplicant e l'Authentication Server.

Il gatekeeper che blocca il traffico di rete finché il server RADIUS non dà il via libera.

PEAP (Protected Extensible Authentication Protocol)

Un metodo EAP che incapsula la transazione EAP all'interno di un tunnel TLS stabilito utilizzando un certificato lato server, proteggendo l'autenticazione interna (solitamente una password).

Il metodo di autenticazione più comune per eduroam, che bilancia la sicurezza con la facilità di implementazione.

RadSec

Un protocollo per la trasmissione di dati RADIUS tramite TCP e TLS, anziché il tradizionale UDP.

Consigliato per proteggere le connessioni proxy tra gli istituti e la federazione nazionale eduroam, impedendo l'intercettazione del traffico di autenticazione.

Realm

La parte dell'identità di un utente che segue il simbolo '@' (ad es. 'university.ac.uk' in 'user@university.ac.uk').

Utilizzato dai server proxy RADIUS per determinare dove instradare la richiesta di autenticazione in un ambiente federato come eduroam.

Esempi pratici

Un hotel per conferenze da 400 camere adiacente a una delle principali università ospita frequentemente simposi accademici. Il Direttore IT desidera consentire agli accademici in visita di connettersi automaticamente senza utilizzare il Captive Portal standard dell'hotel, ma deve garantire che questi visitatori non possano accedere alla rete aziendale dell'hotel o alla VLAN della rete ospiti standard.

L'hotel dovrebbe implementare eduroam Visitor Access (eVA) o aderire a una federazione commerciale come OpenRoaming.

  1. L'hotel configura un nuovo SSID ('eduroam' o 'OpenRoaming') sui propri access point aziendali.
  2. Gli AP sono configurati per utilizzare WPA2-Enterprise/802.1X.
  3. L'hotel distribuisce un server RADIUS locale configurato per inoltrare le richieste di autenticazione per i realm esterni alla federazione nazionale (per eduroam) o all'hub OpenRoaming.
  4. Aspetto fondamentale, il server RADIUS locale è configurato per restituire un attributo VLAN ID specifico nel messaggio Access-Accept per tutte le autenticazioni inoltrate.
  5. Gli access point inseriscono questi utenti autenticati in una VLAN isolata, di solo accesso a Internet, completamente segmentata dal traffico aziendale e della rete ospiti standard dell'hotel.
Commento dell'esaminatore: Questo approccio sfrutta correttamente l'architettura proxy RADIUS per delegare l'autenticazione alle istituzioni di provenienza dei visitatori. Utilizzando l'assegnazione dinamica della VLAN tramite attributi RADIUS, l'hotel mantiene una rigorosa segmentazione della rete, soddisfacendo i requisiti di sicurezza e offrendo al contempo un'esperienza utente fluida.

Il team IT di un'università rileva un picco di account studenteschi compromessi. Un'indagine rivela che gli studenti si connettono a un access point canaglia che trasmette l'SSID 'eduroam' in una caffetteria locale. L'AP canaglia utilizza un certificato autofirmato per raccogliere le credenziali tramite PEAP.

Il team IT deve imporre immediatamente una rigorosa convalida dei certificati su tutti i dispositivi client.

  1. Devono smettere di consigliare agli studenti di connettersi manualmente all'SSID e di 'accettare l'avviso del certificato'.
  2. Distribuiscono l'eduroam Configuration Assistant Tool (CAT) per i dispositivi BYOD e aggiornano i profili MDM per i dispositivi gestiti.
  3. Questi profili configurano il supplicant in modo che si fidi solo della specifica Autorità di Certificazione (CA) che ha emesso il certificato del server RADIUS dell'università e che verifichi il Common Name (CN) del server.
  4. Una volta configurato, se il dispositivo di uno studente incontra l'AP canaglia, l'attivazione del tunnel EAP fallirà perché il certificato canaglia non corrisponde alla CA/CN associata, impedendo la trasmissione delle credenziali.
Commento dell'esaminatore: Questo scenario evidenzia la vulnerabilità più critica nelle distribuzioni PEAP. La soluzione identifica correttamente che la correzione risiede nella configurazione lato client. Affidarsi all'educazione degli utenti per individuare i certificati falsi non è efficace; i controlli tecnici (blocco del profilo) sono obbligatori.

Una catena di vendita al dettaglio desidera offrire OpenRoaming in 50 sedi utilizzando l'infrastruttura WiFi ospiti esistente, che attualmente si affida a un SSID aperto con un Captive Portal.

La catena di vendita al dettaglio deve aggiornare la propria rete per supportare l'autenticazione 802.1X e il proxying RADIUS.

  1. Il team di rete abilita un nuovo SSID che trasmette l'OI (Organization Identifier) di OpenRoaming Consortium.
  2. Configura gli access point per l'autenticazione tramite 802.1X.
  3. Configura il proprio server RADIUS centrale per inoltrare le richieste all'hub della federazione OpenRoaming.
  4. Si assicura che il backhaul Internet sia in grado di supportare l'aumento previsto delle connessioni automatizzate, eventualmente effettuando l'upgrade a linee dedicate se necessario.
Commento dell'esaminatore: Questo evidenzia come il passaggio da un Captive Portal a un modello federato 802.1X richieda modifiche architetturali fondamentali, in particolare l'implementazione del proxying RADIUS e la capacità di gestire un numero maggiore di connessioni automatizzate.

Domande di esercitazione

Q1. La tua università sta distribuendo una nuova rete wireless. Il CISO impone che il phishing di credenziali tramite rogue access point sia matematicamente impossibile. Quale metodo EAP devi selezionare?

Suggerimento: Considera quale metodo si affida alle password rispetto a quale si affida interamente alle chiavi crittografiche.

Visualizza risposta modello

Devi selezionare EAP-TLS. A differenza di PEAP, che si affida a una password all'interno di un tunnel TLS, EAP-TLS richiede un'autenticazione reciproca basata su certificati. Poiché il dispositivo client si autentica utilizzando un certificato crittografico anziché una password, non ci sono credenziali che un rogue access point possa sottrarre tramite phishing.

Q2. Un ricercatore ospite proveniente da un'altra università lamenta di non riuscire a connettersi alla tua rete eduroam. I tuoi utenti locali si connettono normalmente. Controlli i log del tuo server RADIUS locale e vedi la richiesta arrivare, ma va in timeout prima che venga ricevuto un Access-Accept. Qual è la causa più probabile?

Suggerimento: Pensa al percorso che la richiesta di autenticazione compie per un utente ospite rispetto a un utente locale.

Visualizza risposta modello

La causa più probabile è un problema di connettività o di latenza tra il tuo server RADIUS locale e il proxy RADIUS NREN nazionale. Poiché gli utenti locali si autenticano direttamente sul tuo server, non ne risentono. La richiesta dell'utente ospite deve essere inoltrata tramite proxy a monte e un timeout indica che la risposta dell'istituto di provenienza non sta tornando in tempo.

Q3. Sei un progettista di rete per una catena di negozi situata vicino a una grande università. Vuoi offrire una connessione WiFi fluida agli studenti che utilizzano eduroam Visitor Access (eVA), ma devi rispettare lo standard PCI DSS per i tuoi terminali POS. Come integri eVA in modo sicuro?

Suggerimento: In che modo l'802.1X consente all'access point di rete di differenziare il traffico dopo l'autenticazione?

Visualizza risposta modello

Integri eVA configurando il tuo server RADIUS per assegnare tutte le autenticazioni eVA andate a buon fine a una VLAN ospiti dedicata, riservata esclusivamente a internet. Il messaggio Access-Accept dal server RADIUS deve includere l'ID VLAN specifico. Ciò garantisce che i dispositivi degli studenti siano completamente segmentati dalla VLAN conforme a PCI utilizzata dai terminali POS, soddisfacendo i requisiti di conformità.

Continua a leggere questa serie

PSK per dispositivo per fornitore: confronto tra iPSK, DPSK, MPSK e PPSK (e supporto WPA3)

Un confronto completo delle implementazioni PSK per dispositivo tra Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet e Ubiquiti UniFi. Scopri come WPA3-SAE influisce sulle strategie delle chiavi per dispositivo e quando distribuire le modalità di transizione rispetto al passaggio a 802.1X.

Leggi la guida →

Metodi di autenticazione del Captive Portal a confronto

Questa guida di riferimento tecnico autorevole valuta i compromessi architetturali, operativi e di conformità di cinque metodi di autenticazione principali per captive portal. Fornisce ad architetti di rete, direttori IT e marketing manager i dati quantitativi e i framework decisionali necessari per bilanciare l'attrito nell'onboarding degli ospiti con i requisiti di raccolta dati all'interno delle sedi aziendali.

Leggi la guida →

Cos'è l'autenticazione tramite indirizzo MAC? Quando usarla e quando evitarla

Questa guida tecnica di riferimento autorevole copre l'autenticazione tramite indirizzo MAC negli ambienti WiFi aziendali: come funziona l'autenticazione MAC basata su RADIUS a livello Layer 2, le sue vulnerabilità di sicurezza intrinseche (incluso il MAC spoofing e l'impatto della randomizzazione MAC a livello di sistema operativo) e i precisi contesti operativi in cui rimane uno strumento valido per la gestione di dispositivi IoT e headless. Fornisce linee guida di implementazione pratiche per responsabili IT e architetti di rete nei settori dell'ospitalità, del retail, della sanità e dei luoghi pubblici, con esempi pratici reali, framework decisionali e contesti di integrazione per la piattaforma di guest WiFi e analytics di Purple.

Leggi la guida →