Vai al contenuto principale

eduroam e 802.1X: Autenticazione WiFi Sicura per l'Istruzione Superiore

Questa guida tecnica di riferimento autorevole spiega l'architettura, l'implementazione e la sicurezza di eduroam e dell'autenticazione 802.1X. Progettata per IT manager e architetti di rete, copre le fasi pratiche di implementazione, la selezione del metodo EAP e il modo in cui i gestori delle sedi possono supportare in sicurezza il roaming accademico.

📖 6 minuti di lettura📝 1,343 parole🔧 3 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
SCRIPT DEL PODCAST: eduroam e 802.1X - Autenticazione WiFi sicura per l'istruzione superiore Durata: circa 10 minuti Voce: inglese britannico, maschile, tono da consulente senior - fiducioso, colloquiale, autorevole --- [INTRODUZIONE - 1 minuto] Benvenuti. Nei prossimi dieci minuti vi illustrerò eduroam e 802.1X: cosa sono, come funzionano effettivamente dietro le quinte e cosa deve sapere il vostro team prima di procedere all'implementazione o all'integrazione. Se siete responsabili IT, network architect o CTO di un'università, di un istituto di istruzione superiore o di un centro di ricerca, oppure se gestite una struttura e volete capire cosa si aspettano i visitatori accademici dalla vostra infrastruttura wireless, questo è il briefing che fa per voi. Partiamo dal quadro generale. eduroam sta per "education roaming". Si tratta di un servizio di roaming WiFi globale che consente a studenti, ricercatori e personale delle istituzioni affiliate di connettersi a Internet presso qualsiasi sede aderente, in modo automatico e sicuro, utilizzando le credenziali della propria istituzione d'origine. Nessun Captive Portal per gli ospiti. Nessun codice voucher. Senza dover chiedere la password alla reception. Attivo dal 2003, oggi copre oltre 10.000 istituzioni in più di 100 Paesi ed è lo standard de facto per le reti wireless nei campus universitari di tutto il mondo. Se la vostra organizzazione interagisce con le università - che si tratti di un hotel vicino a un campus, di un centro congressi che ospita eventi accademici o di una biblioteca pubblica in una città universitaria - comprendere eduroam è direttamente rilevante per la vostra strategia di rete. --- [APPROFONDIMENTO TECNICO - 5 minuti] Bene. Entriamo nei dettagli tecnici. eduroam si basa sullo standard IEEE 802.1X, lo standard di controllo dell'accesso alla rete basato su porte. Lo standard 802.1X definisce un framework per l'autenticazione dei dispositivi prima che venga concesso loro l'accesso a una rete. Originariamente progettato per l'Ethernet cablato, si adatta perfettamente al wireless ed è la base di ciò che chiamiamo sicurezza WPA2-Enterprise o WPA3-Enterprise. Il modello 802.1X è composto da tre elementi. In primo luogo, il Supplicant, ovvero il dispositivo che tenta di connettersi. Il laptop di uno studente, il telefono di un ricercatore. In secondo luogo, l'Authenticator, cioè l'access point di rete o lo switch gestito. Si interpone tra il supplicant e il resto della rete e funge da gatekeeper. In terzo luogo, l'Authentication Server, quasi sempre un server RADIUS. RADIUS sta per Remote Authentication Dial-In User Service. È il componente che convalida effettivamente le credenziali. Ecco come funziona l'handshake. Il dispositivo dello studente si associa all'access point wireless. L'access point non concede ancora l'accesso completo alla rete - apre quello che viene chiamato una porta controllata, ma solo per il traffico EAP. EAP è l'Extensible Authentication Protocol. L'access point fa da proxy per la conversazione EAP tra il dispositivo e il server RADIUS. Il server RADIUS sfida il dispositivo, il dispositivo risponde con le credenziali - in genere un nome utente e una password, o un certificato - e se il server RADIUS è soddisfatto, invia un messaggio di Access-Accept. L'access point apre quindi la porta di rete completa. L'intero scambio richiede meno di due secondi in un'installazione ben configurata. Ora, come si posiziona eduroam su tutto questo? eduroam utilizza un'infrastruttura proxy RADIUS gerarchica. Ogni istituto partecipante gestisce il proprio server RADIUS - chiamato Identity Provider, o IdP. Quando uno studente, ad esempio, della University of Manchester visita l'Imperial College London e si connette all'SSID eduroam, il suo dispositivo invia le credenziali nel formato username@manchester.ac.uk. Il server RADIUS dell'Imperial vede il dominio - cioè la parte dopo il simbolo @ - e inoltra la richiesta di autenticazione al server RADIUS nazionale, gestito nel Regno Unito da Jisc, la rete nazionale per la ricerca e l'istruzione. Jisc reindirizza quindi la richiesta al server RADIUS della University of Manchester, che convalida le credenziali e invia una risposta di Accept o Reject. L'intera catena si risolve in millisecondi. Questa catena di proxy è ciò che permette a eduroam di funzionare oltre i confini istituzionali senza segreti pre-condivisi tra gli istituti. Ogni nodo della catena utilizza un segreto RADIUS condiviso solo con il suo vicino immediato. La password reale dello studente non lascia mai il server RADIUS dell'istituto di origine - è protetta end-to-end dal tunnel EAP. A proposito di metodi EAP - è qui che molte distribuzioni falliscono, quindi fate attenzione. I metodi EAP più comuni in eduroam sono PEAP - Protected EAP - ed EAP-TLS. PEAP avvolge un metodo di autenticazione interno, solitamente MSCHAPv2, all'interno di un tunnel TLS. Richiede un certificato lato server sul server RADIUS, ma il client ha bisogno solo di nome utente e password. EAP-TLS è l'opzione più sicura - utilizza l'autenticazione a certificati reciproci, il che significa che sia il server che il client presentano i certificati. È più difficile da distribuire su larga scala perché è necessaria una PKI per emettere i certificati client, ma è essenzialmente immune al phishing delle credenziali. Il requisito di sicurezza fondamentale su cui molte istituzioni sbagliano è la validazione del certificato sul lato client. Quando un dispositivo si connette a eduroam utilizzando PEAP, deve verificare il certificato del server RADIUS prima di inviare le credenziali. Se il dispositivo è configurato in modo errato per accettare qualsiasi certificato, un utente malintenzionato può configurare un access point non autorizzato che trasmette l'SSID eduroam, presentare un certificato autofirmato e sottrarre le credenziali. Questo è un vettore di attacco noto. La soluzione consiste nel configurare i profili del richiedente - tramite MDM per i dispositivi gestiti o tramite lo strumento eduroam Configuration Assistant Tool, noto come CAT, per i dispositivi personali - per associare l'autorità di certificazione e il nome del server previsti. Dal punto di vista degli standard, le implementazioni eduroam devono essere conformi alla eduroam Policy Service Definition, che impone TLS 1.2 o superiore per tutte le connessioni RADIUS su TLS, vieta l'uso di metodi EAP deboli come EAP-MD5 o LEAP e richiede che tutte le connessioni proxy RADIUS utilizzino RadSec - RADIUS su TLS - anziché il semplice RADIUS UDP, ove possibile. Questo è in linea con le linee guida NCSC nel Regno Unito e NIST SP 800-120 negli Stati Uniti. Un altro punto tecnico che vale la pena segnalare: l'assegnazione della VLAN. In un'implementazione eduroam ben strutturata, la risposta RADIUS Access-Accept include attributi VLAN che indicano all'access point a quale VLAN assegnare il dispositivo che si connette. Ciò consente di segmentare il traffico, inserendo gli studenti in visita su una VLAN limitata con accesso solo internet, mentre il personale interno viene indirizzato alla rete interna. Questo è essenziale per la conformità, in particolare se si è soggetti a PCI-DSS o se è necessario mantenere la separazione tra le reti di dati di ricerca e il traffico internet generale. - [RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE COMUNI - 2 minuti] Ecco alcune linee guida pratiche. Se state implementando eduroam per la prima volta, il vostro primo punto di contatto dovrebbe essere la vostra NREN nazionale: nel Regno Unito è Jisc, in Irlanda HEAnet, negli Stati Uniti Internet2. Gestiscono l'adesione alla federazione e vi assegneranno un dominio RADIUS. Non è possibile partecipare a eduroam senza essere membri della propria federazione nazionale. La vostra checklist per l'infrastruttura: avete bisogno di access point che supportino lo standard 802.1X - qualsiasi kit di livello enterprise di Cisco, Aruba, Juniper, Ruckus o Ubiquiti UniFi sarà adatto. Avete bisogno di un server RADIUS - FreeRADIUS è lo standard open source, oppure potete utilizzare Microsoft NPS, Cisco ISE o Aruba ClearPass. Avete bisogno di un certificato TLS valido per il vostro server RADIUS rilasciato da una CA fidata dalla community eduroam - in genere un certificato della PKI della vostra istituzione o di una CA commerciale inclusa nell'elenco approvato di eduroam. I tre fallimenti di implementazione più comuni che vedo sono: in primo luogo, la configurazione errata dei certificati - o il certificato RADIUS è scaduto, o i profili del supplicant client non sono associati correttamente. In secondo luogo, i timeout del proxy RADIUS - se la connessione NREN a monte ha problemi di latenza, l'autenticazione andrà in timeout e gli utenti riscontreranno errori di connessione che sembrano errori di credenziali. In terzo luogo, la configurazione errata delle VLAN - gli utenti visitatori finiscono nel segmento di rete errato, non ottenendo alcun accesso a Internet o, peggio, ottenendo l'accesso a risorse interne che non dovrebbero vedere. Lato client, distribuisci i profili eduroam CAT a tutti i dispositivi gestiti tramite la tua piattaforma MDM. Per i dispositivi personali, pubblica in evidenza il link del programma di installazione CAT. Questo singolo passaggio elimina la maggior parte dei ticket di supporto. Per le sedi che non sono istituti di istruzione superiore ma desiderano offrire l'accesso a eduroam - centri congressi, hotel e simili - il processo si chiama eduroam Visitor Access, o eVA. Consente alle organizzazioni non membre di ospitare l'SSID eduroam e l'autenticazione proxy alla federazione senza essere membri a tutti gli effetti. Vale la pena approfondire se ospiti regolarmente conferenze accademiche o eventi universitari. - - - [D&R RAPIDE - 1 minuto] Domande rapide che mi vengono poste regolarmente. "eduroam può sostituire interamente il nostro WiFi ospiti?" No. eduroam funziona solo per gli utenti che dispongono di credenziali presso un istituto membro. Hai comunque bisogno di una soluzione WiFi ospiti separata per tutti gli altri - visitatori, appaltatori, pubblico in generale. "eduroam è conforme al GDPR?" Sì, con alcune riserve. L'architettura della federazione implica che il tuo istituto elabori i dati di autenticazione, ma devi assicurarti che le tue informative sulla privacy coprano questo aspetto e che i tuoi log RADIUS siano gestiti in modo appropriato. "Possiamo usare WPA3 con eduroam?" Sì. WPA3-Enterprise è completamente compatibile con 802.1X ed è lo standard consigliato per le nuove implementazioni. Aggiunge la crittografia in modalità a 192 bit per ambienti ad alta sicurezza. "Qual è la differenza tra eduroam e OpenRoaming?" OpenRoaming è un'iniziativa di settore più ampia della Wireless Broadband Alliance che utilizza la stessa architettura 802.1X e proxy RADIUS, ma estende il roaming oltre l'istruzione ai luoghi commerciali. Alcune piattaforme, tra cui Purple, supportano OpenRoaming come parte della loro offerta WiFi ospiti. - - - [RIASSUNTO E PROSSIMI PASSI - 1 minuto] Per concludere. eduroam è un servizio di roaming WiFi maturo, ben regolamentato e distribuito a livello globale, basato su 802.1X e un'infrastruttura proxy RADIUS gerarchica. Offre autenticazione per utente, crittografia avanzata e roaming trasparente in oltre 10.000 istituti - senza password condivise o Captive Portals. Per i team IT che distribuiscono o aggiornano il wireless del campus: date priorità a EAP-TLS rispetto a PEAP dove la vostra PKI può supportarlo, imponete la convalida dei certificati su tutti i profili client, utilizzate RadSec per tutte le connessioni proxy RADIUS e segmentate gli utenti visitatori in una VLAN dedicata. Per i gestori delle sedi: se ospitate regolarmente visitatori accademici, informatevi su eduroam Visitor Access. E indipendentemente dal fatto che implementiate eduroam, la vostra infrastruttura WiFi per gli ospiti dovrebbe basarsi su principi 802.1X di livello enterprise - non su PSK condivise. Se desiderate approfondire uno di questi argomenti - l'architettura RADIUS, la progettazione PKI per EAP-TLS o il modo in cui piattaforme come Purple si integrano con eduroam e OpenRoaming - la guida scritta completa è indicata nelle note dell'episodio. Grazie per l'ascolto. Alla prossima. --- FINE DELLO SCRIPT

header_image.png

Executive Summary

Per gli istituti di istruzione superiore, e per le strutture che servono il loro personale e i loro studenti, fornire una connettività wireless sicura e fluida non è più un lusso - è un requisito operativo. Lo standard per questa connettività è eduroam, un servizio di roaming globale basato sul framework IEEE 802.1X.

Questa guida fornisce ai responsabili IT, agli architetti di rete e ai direttori operativi delle strutture un riferimento completo e indipendente dal fornitore per comprendere, implementare e risolvere i problemi di 802.1X ed eduroam. Andiamo oltre i modelli teorici di base per esaminare come il WiFi di livello enterprise nei campus funzioni effettivamente nella pratica, inclusa la gestione dei certificati, l'architettura dei proxy RADIUS e l'integrazione con una strategia di rete guest più ampia.

Sia che stiate aggiornando una rete universitaria obsoleta o configurando un centro congressi per supportare i visitatori accademici, l'implementazione corretta di 802.1X riduce significativamente i rischi di sicurezza - in particolare il furto di credenziali - riducendo al contempo drasticamente i costi di supporto. Per le strutture al di fuori della tradizionale istruzione superiore, comprendere questi standard è essenziale per valutare le federazioni di roaming commerciale come OpenRoaming, che condividono la stessa architettura di base.

Approfondimento Tecnico: Architettura 802.1X ed eduroam

Nel profondo, eduroam è un'implementazione di IEEE 802.1X, lo standard di controllo dell'accesso alla rete basato su porta. 802.1X è stato originariamente progettato per le reti cablate, ma costituisce la base della sicurezza WPA2-Enterprise e WPA3-Enterprise.

Il Modello a Triangolo di 802.1X

Il framework 802.1X si basa sull'interazione di tre componenti distinti per autorizzare l'accesso:

  1. Supplicant (Richiedente): Il dispositivo client che richiede l'accesso alla rete (ad esempio, il laptop o lo smartphone di uno studente).
  2. Authenticator (Autenticatore): Il dispositivo di accesso alla rete (ad esempio, un access point wireless o uno switch gestito). Agisce come un guardiano, bloccando tutto il traffico ad eccezione dei messaggi di autenticazione fino a quando il dispositivo non viene autorizzato.
  3. Authentication Server (Server di Autenticazione): Il sistema di back-end che convalida le credenziali, quasi universalmente un server RADIUS (Remote Authentication Dial-In User Service).

Quando un dispositivo si connette, l'autenticatore stabilisce una porta controllata. Trasmette i messaggi EAP (Extensible Authentication Protocol) tra il richiedente e il server di autenticazione. Se le credenziali sono valide, il server restituisce un messaggio RADIUS Access-Accept e l'autenticatore apre la porta per consentire il passaggio del normale traffico IP.

architecture_overview.png

Gerarchia Proxy RADIUS di eduroam

Ciò che rende eduroam unico è la sua architettura federata. Consente agli utenti di autenticarsi presso qualsiasi istituto partecipante utilizzando le proprie credenziali d'origine, senza che l'istituto ospitante conservi mai una copia di tali credenziali.

Questo si ottiene attraverso una catena gerarchica di proxy RADIUS. Quando un utente di username@university.ac.uk si connette al SSID eduroam presso una sede ospitante:

  1. Il dispositivo dell'utente invia una richiesta di autenticazione nel formato username@university.ac.uk.
  2. Il server RADIUS della sede ospitante ispeziona il realm (la parte dopo il simbolo @). Riconoscendolo come dominio esterno, inoltra la richiesta tramite proxy al server RADIUS nazionale di primo livello (gestito dalla National Research and Education Network, o NREN).
  3. Il server nazionale instrada la richiesta al server RADIUS dell'istituto d'origine (university.ac.uk).
  4. L'istituto d'origine convalida le credenziali e restituisce un messaggio di Access-Accept o Access-Reject lungo la catena.

L'intero processo si completa in genere in meno di due secondi. Aspetto fondamentale, la password dell'utente non viene mai esposta all'istituto ospitante o ai server proxy intermedi; è protetta all'interno di un tunnel EAP crittografato stabilito direttamente tra il richiedente e il server RADIUS d'origine.

Metodi EAP: il compromesso tra sicurezza e facilità di implementazione

La scelta del metodo EAP determina il modo in care viene formato il tunnel crittografato e come vengono scambiate le credenziali. La definizione del servizio di policy eduroam limita rigorosamente i metodi consentiti per garantire la sicurezza.

  • PEAP (Protected EAP): Il metodo di implementazione più comune. Utilizza un certificato lato server sul server RADIUS per stabilire un tunnel TLS. Il client si autentica quindi all'interno di quel tunnel, in genere utilizzando MSCHAPv2 (nome utente e password). È relativamente facile da distribuire, ma è vulnerabile ad attacchi di rogue access point se i client non sono configurati per convalidare rigorosamente il certificato del server.
  • EAP-TLS: Lo standard di riferimento per la sicurezza. Richiede l'autenticazione reciproca, il che significa che sia il server RADIUS che il dispositivo client devono presentare certificati validi. Sebbene sia immune al phishing delle credenziali, richiede un'infrastruttura a chiave pubblica (PKI) robusta per emettere e gestire i certificati client, rendendo più complessa l'implementazione su larga scala.

Guida all'implementazione

L'implementazione di 802.1X ed eduroam richiede un'attenta coordinazione tra l'infrastruttura di rete, la gestione delle identità e la configurazione dei client.

1. Preparazione dell'infrastruttura

Assicurati che i tuoi access point e controller wireless supportino WPA2-Enterprise/WPA3-Enterprise e 802.1X. Qualsiasi hardware moderno di livello enterprise (Cisco, Aruba, Juniper e altri) soddisferà questo requisito. È inoltre necessario distribuire un'infrastruttura RADIUS robusta (come FreeRADIUS, Cisco ISE o Aruba ClearPass) in grado di gestire il carico di autenticazione previsto e di fungere da proxy per le richieste.

2. Gestione dei certificati

Per le distribuzioni PEAP, il server RADIUS necessita di un certificato TLS emesso da un'autorità di certificazione (CA) attendibile per i client. Non utilizzare mai certificati autofirmati in una distribuzione eduroam di produzione. I certificati devono essere rinnovati regolarmente per evitare interruzioni dell'autenticazione.

3. Configurazione del client (lo strumento CAT)

Il punto di errore più comune nelle distribuzioni eduroam è la configurazione errata del client. Quando gli utenti si connettono manualmente, spesso non riescono a configurare la convalida del certificato, rimanendo esposti ad attacchi di raccolta delle credenziali.

Per mitigare questo rischio, gli istituti devono utilizzare l'eduroam Configuration Assistant Tool (CAT) o una soluzione MDM per distribuire profili preconfigurati. Questi profili configurano automaticamente il metodo EAP corretto, associano il certificato del server RADIUS previsto e impostano il protocollo di autenticazione interno appropriato.

4. Assegnazione e segmentazione della VLAN

Una distribuzione matura utilizza gli attributi RADIUS per assegnare in modo dinamico le VLAN in base all'identità dell'utente.

  • Utenti interni: Assegnati a VLAN interne con accesso appropriato alle risorse del campus.
  • Utenti ospiti: Assegnati a una VLAN guest limitata che offre solo l'accesso a Internet.

Questa segmentazione è fondamentale per la sicurezza e la conformità, garantendo che i dispositivi dei visitatori non possano accedere a reti interne sensibili.

comparison_chart.png

Best practice e raccomandazioni indipendenti dai fornitori

  • Dai priorità a WPA3: Per le nuove distribuzioni, abilita WPA3-Enterprise per ottenere la crittografia obbligatoria a 192 bit e una migliore protezione contro gli attacchi di dizionario offline.
  • Imponi la convalida del certificato: Richiedi l'uso di profili di configurazione (tramite CAT o MDM) per garantire che il supplicant convalidi rigorosamente il certificato del server RADIUS prima di trasmettere le credenziali.
  • Usa RadSec: Quando configuri le connessioni proxy RADIUS alla federazione nazionale, utilizza RadSec (RADIUS su TLS) anziché il semplice UDP. Questo crittografa il traffico proxy e migliora l'affidabilità sui collegamenti geografici.
  • Integra con una soluzione per ospiti: eduroam serve solo utenti con credenziali accademiche. È necessario mantenere una soluzione di Guest WiFi separata e sicura per appaltatori, membri del pubblico e partecipanti agli eventi.
  • Esamina l'infrastruttura correlata: Assicurati che la tua rete sottostante sia sicura. Leggi la nostra guida Garantire la sicurezza della rete con DNS robusti e sicurezza per maggiori dettagli. Se stai distribuendo un'infrastruttura temporanea per eventi universitari, consulta WiFi per Eventi: Pianificazione e Distribuzione di Reti Wireless Temporanee o la versione in lingua portoghese Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias .

Risoluzione dei Problemi e Mitigazione dei Rischi

Quando l'autenticazione fallisce, una risoluzione dei problemi sistematica è essenziale.

  1. Isola il dominio di errore: Determina se il guasto è locale (che interessa gli utenti sulla tua rete), remoto (che interessa i tuoi utenti altrove) o in entrata (che interessa i visitatori sulla tua rete).
  2. Controlla i log RADIUS: I log del server RADIUS sono la fonte autorevole di verità. Cerca i messaggi di Access-Reject (che indicano credenziali errate o violazioni delle policy) o timeout (che indicano problemi di connettività del proxy).
  3. Verifica la validità del certificato: Assicurati che il certificato del server RADIUS non sia scaduto e che l'intera catena di certificati venga presentata ai client.
  4. Monitora la latenza a monte: Un'elevata latenza verso il proxy RADIUS nazionale può causare timeout dei client, con conseguenti connessioni fallite anche quando le credenziali sono corrette.

ROI e Impatto Aziendale

Per gli istituti di istruzione superiore, il ritorno sull'investimento di un'implementazione eduroam correttamente configurata si traduce in una drastica riduzione dei ticket di supporto. Eliminando i Captive Portal e l'inserimento manuale delle password, gli helpdesk IT registrano un calo significativo delle chiamate relative alla connettività. (L'impegno di Purple in questo settore è evidente; vedi Purple nomina Tim Peers come VP di Education, sottolineando le sue ambizioni nel settore dell'istruzione superiore ).

Per i locali commerciali - come hospitality , retail , healthcare o transport - il supporto a eduroam Visitor Access (eVA) o a federazioni simili come OpenRoaming offre un'esperienza senza intoppi per un target demografico di alto valore. Garantisce che i visitatori accademici si connettano automaticamente e in modo sicuro, migliorando la soddisfazione e consentendo al locale di mantenere una rigorosa segmentazione della rete. Se la tua struttura ha bisogno di una larghezza di banda dedicata per supportare questa domanda, considera la lettura di Cos'è una linea dedicata? Internet su misura per le aziende .

Quando si pianificano gli aggiornamenti di rete, l'integrazione della funzionalità 802.1X assicura che la tua infrastruttura sia pronta per il moderno networking basato sull'identità, ponendo le basi per servizi avanzati di WiFi Analytics e servizi basati sulla posizione.

Definizioni chiave

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta (PNAC). Fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN.

Il protocollo fondamentale per la sicurezza WiFi di livello enterprise, che sostituisce le password condivise (PSK) con un'autenticazione personalizzata.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e tracciamento (AAA) per gli utenti che si connettono e utilizzano un servizio di rete.

Il server backend in un'implementazione 802.1X che controlla effettivamente le credenziali dell'utente rispetto a una directory (come Active Directory).

EAP (Extensible Authentication Protocol)

Un framework di autenticazione utilizzato frequentemente nelle reti wireless e nelle connessioni point-to-point. Consente il trasporto e l'utilizzo di vari meccanismi di autenticazione.

La lingua parlata tra il dispositivo client e il server RADIUS durante l'handshake 802.1X.

Supplicant

Il dispositivo client (ad esempio, laptop, smartphone) o il software su tale dispositivo che tenta di autenticarsi a una rete utilizzando 802.1X.

L'entità che richiede l'accesso. La sua configurazione (specialmente per quanto riguarda la convalida del certificato) è fondamentale per la sicurezza.

Authenticator

Il dispositivo di rete (ad esempio, access point wireless, switch Ethernet) che facilita il processo di autenticazione 802.1X trasmettendo messaggi tra il Supplicant e il server di autenticazione.

Il guardiano che blocca il traffico di rete finché il server RADIUS non dà il via libera.

PEAP (Protected Extensible Authentication Protocol)

Un metodo EAP che incapsula la transazione EAP all'interno di un tunnel TLS stabilito utilizzando un certificato lato server, proteggendo l'autenticazione interna (solitamente una password).

Il metodo di autenticazione più comune per eduroam, in grado di bilanciare la sicurezza con la facilità di implementazione.

RadSec

Un protocollo per la trasmissione di dati RADIUS su TCP e TLS, invece del tradizionale UDP.

Consigliato per proteggere le connessioni proxy tra le istituzioni e la federazione nazionale eduroam, impedendo l'intercettazione del traffico di autenticazione.

Realm

La parte dell'identità di un utente che segue il simbolo "@" (ad esempio, "university.ac.uk" in "user@university.ac.uk").

Utilizzato dai server proxy RADIUS per determinare dove instradare la richiesta di autenticazione in un ambiente federato come eduroam.

Esempi pratici

Un hotel per conferenze da 400 camere adiacente a una grande università ospita frequentemente simposi accademici. Il Direttore IT desidera consentire agli accademici in visita di connettersi automaticamente senza utilizzare il Captive Portal standard dell'hotel, ma deve garantire che questi visitatori non possano accedere alla rete aziendale dell'hotel o alla VLAN della rete ospiti standard.

L'hotel dovrebbe implementare eduroam Visitor Access (eVA) o aderire a una federazione commerciale come OpenRoaming.

  1. L'hotel configura un nuovo SSID ("eduroam" o "OpenRoaming") sui propri access point aziendali.
  2. Gli AP sono configurati per utilizzare WPA2-Enterprise/802.1X.
  3. L'hotel distribuisce un server RADIUS locale configurato per inoltrare le richieste di autenticazione per i domini esterni alla federazione nazionale (per eduroam) o all'hub OpenRoaming.
  4. Fondamentalmente, il server RADIUS locale è configurato per restituire un attributo ID VLAN specifico nel messaggio Access-Accept per tutte le autenticazioni tramite proxy.
  5. Gli access point inseriscono questi utenti autenticati su una VLAN isolata, di solo internet, completamente segmentata dal traffico aziendale e ospiti standard dell'hotel.
Commento dell'esaminatore: Questo approccio sfrutta correttamente l'architettura proxy RADIUS per delegare l'autenticazione alle istituzioni di provenienza dei visitatori. Utilizzando l'assegnazione dinamica della VLAN tramite attributi RADIUS, l'hotel mantiene una rigorosa segmentazione della rete, soddisfacendo i requisiti di sicurezza e offrendo al contempo un'esperienza utente senza attriti.

Un team IT universitario nota un picco di account studenteschi compromessi. Le indagini rivelano che gli studenti si connettono a un access point canaglia che trasmette l'SSID "eduroam" presso una caffetteria locale. L'AP canaglia utilizza un certificato autofirmato per raccogliere le credenziali tramite PEAP.

Il team IT deve imporre immediatamente una rigida convalida dei certificati su tutti i dispositivi client.

  1. Devono smettere di consigliare agli studenti di connettersi manualmente all'SSID e di "accettare l'avviso del certificato".
  2. Distribuiscono l'eduroam Configuration Assistant Tool (CAT) per i dispositivi BYOD e aggiornano i profili MDM per i dispositivi gestiti.
  3. Questi profili configurano il supplicant per considerare attendibile solo la specifica Certificate Authority (CA) che ha emesso il certificato del server RADIUS dell'università e per verificare il Common Name (CN) del server.
  4. Una volta configurato, se il dispositivo di uno studente incontra l'AP canaglia, l'attivazione del tunnel EAP fallirà perché il certificato canaglia non corrisponde alla CA/CN associata, impedendo la trasmissione delle credenziali.
Commento dell'esaminatore: Questo scenario evidenzia la vulnerabilità più critica nelle distribuzioni PEAP. La soluzione identifica correttamente che la correzione risiede nella configurazione lato client. Affidarsi all'educazione degli utenti per individuare i certificati falsi è inefficace; i controlli tecnici (blocco dei profili) sono obbligatori.

Una catena di negozi di vendita al dettaglio desidera offrire OpenRoaming in 50 sedi utilizzando la propria infrastruttura WiFi per gli ospiti esistente, che attualmente si basa su un SSID aperto con un Captive Portal.

La catena di negozi deve aggiornare la propria rete per supportare il proxy 802.1X e RADIUS.

  1. Il team di rete abilita un nuovo SSID che trasmette l'OI (Organisation Identifier) di OpenRoaming Consortium.
  2. Configura gli access point per l'autenticazione tramite 802.1X.
  3. Configura il proprio server RADIUS centrale per inoltrare le richieste tramite proxy all'hub della federazione OpenRoaming.
  4. Si assicura che la propria connessione internet di backhaul possa supportare l'aumento previsto delle connessioni automatiche, aggiornando potenzialmente a linee dedicate se necessario.
Commento dell'esaminatore: Questo evidenzia che il passaggio da un Captive Portal a un modello federato 802.1X richiede modifiche strutturali fondamentali, in particolare l'implementazione del proxy RADIUS e la capacità di gestire un maggior numero di connessioni automatiche.

Domande di esercitazione

Q1. La tua università sta implementando una nuova rete wireless. Il CISO esige che il phishing delle credenziali tramite access point non autorizzati sia matematicamente impossibile. Quale metodo EAP devi selezionare?

Suggerimento: Considera quale metodo si affida alle password rispetto a quello che si affida interamente a chiavi crittografiche.

Visualizza risposta modello

È necessario selezionare EAP-TLS. A differenza di PEAP, che si affida a una password all'interno di un tunnel TLS, EAP-TLS richiede un'autenticazione reciproca dei certificati. Poiché il dispositivo client si autentica utilizzando un certificato crittografico anziché una password, non ci sono credenziali che un access point non autorizzato possa sottrarre tramite phishing.

Q2. Un ricercatore ospite proveniente da un'altra università lamenta l'impossibilità di connettersi alla tua rete eduroam. I tuoi utenti locali si connettono correttamente. Controlli i log del tuo server RADIUS locale e vedi che la richiesta arriva, ma va in timeout prima che venga ricevuto un Access-Accept. Qual è la causa più probabile?

Suggerimento: Pensa al percorso che la richiesta di autenticazione compie per un utente ospite rispetto a un utente locale.

Visualizza risposta modello

La causa più probabile è un problema di connettività o di latenza tra il tuo server RADIUS locale e il proxy RADIUS NREN nazionale. Poiché gli utenti locali si autenticano direttamente sul tuo server, non sono interessati dal problema. La richiesta dell'utente ospite deve essere inoltrata tramite proxy a monte e un timeout indica che la risposta dell'istituto di origine non ritorna in tempo.

Q3. Sei un network architect per una catena di negozi situata vicino a una grande università. Desideri offrire un accesso WiFi trasparente agli studenti che utilizzano eduroam Visitor Access (eVA), ma devi rispettare lo standard PCI-DSS per i tuoi terminali POS. Come puoi integrare in modo sicuro eVA?

Suggerimento: In che modo l'802.1X consente all'access point di rete di differenziare il traffico dopo l'autenticazione?

Visualizza risposta modello

Integri eVA configurando il tuo server RADIUS per assegnare tutte le autenticazioni eVA andate a buon fine a una VLAN guest dedicata, solo internet. Il messaggio Access-Accept dal server RADIUS deve includere l'ID VLAN specifico. Ciò garantisce che i dispositivi degli studenti siano completamente segmentati dalla VLAN conforme a PCI utilizzata dai terminali del punto vendita, soddisfacendo i requisiti di conformità.

Continua a leggere questa serie

Come Implementare SCEP per il Secure BYOD e l'Iscrizione di Rete nell'Istruzione Superiore

Questa guida tecnica fornisce ad architetti di rete e responsabili IT un modello indipendente dal fornitore per implementare la registrazione dei certificati basata su SCEP per proteggere le reti dei campus universitari. Descrive in dettaglio come migrare dal protocollo PEAP basato su password a 802.1X EAP-TLS, automatizzare l'onboarding dei dispositivi BYOD e applicare una robusta segmentazione VLAN.

Leggi la guida →

Server RADIUS: una guida completa per le aziende

Questa guida fornisce a IT manager, architetti di rete e CTO un riferimento tecnico definitivo sull'autenticazione tramite server RADIUS per il WiFi aziendale. Copre il framework AAA, l'architettura 802.1X, la selezione del metodo EAP, i compromessi tra implementazioni cloud e on-premises e l'assegnazione dinamica della VLAN. I gestori di location nei settori dell'ospitalità, del retail, degli eventi e del settore pubblico troveranno indicazioni pratiche per l'implementazione, casi di studio reali e i framework decisionali necessari per migrare da chiavi pre-condivise non sicure a un'architettura di controllo degli accessi alla rete sicura e basata sull'identità.

Leggi la guida →

Aruba ClearPass vs. Purple WiFi: Confronto delle Funzionalità e Co-implementazione

Una guida tecnica completa che dettaglia l'architettura di co-implementazione di Aruba ClearPass e Purple WiFi. Copre la configurazione del proxy RADIUS, l'assegnazione dinamica della VLAN e le best practice per fornire reti guest sicure e basate sull'analisi dei dati insieme al NAC aziendale.

Leggi la guida →