Vai al contenuto principale
Italiano

Implementazione di WPA3-Enterprise per una sicurezza wireless avanzata

Questa guida di riferimento tecnica fornisce una roadmap completa e pratica per i leader IT che passano da WPA2 a WPA3-Enterprise. Copre i cambiamenti architetturali, i miglioramenti obbligatori della sicurezza come EAP-TLS e PMF, e le strategie pratiche di implementazione per proteggere le reti aziendali in ambienti enterprise complessi.

📖 6 minuti di lettura📝 1,275 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Implementare WPA3-Enterprise per una Sicurezza Wireless Avanzata. Un briefing informativo Purple WiFi. Benvenuti nella serie Purple Technical Briefing. Oggi andremo dritti al punto: WPA3-Enterprise — cosa significa concretamente per la tua rete, perché il tempismo è fondamentale in questo momento e come passare dalla situazione attuale a un'infrastruttura wireless completamente conforme e a prova di futuro. Se gestisci un gruppo alberghiero, una rete di punti vendita, un centro congressi o una struttura del settore pubblico, questo briefing è per te. Non ci perderemo in teorie accademiche. Parleremo di decisioni reali, configurazioni reali e risultati reali. WPA3-Enterprise è diventato un requisito obbligatorio per i dispositivi Wi-Fi CERTIFIED nel 2020, eppure la maggior parte degli ambienti aziendali utilizza ancora WPA2. Questo divario rappresenta la tua esposizione al rischio. Lo standard PCI DSS 4.0, entrato pienamente in vigore a marzo 2024, fa esplicito riferimento a standard di autenticazione più forti. Gli obblighi del GDPR in materia di protezione dei dati fin dalla progettazione (data protection by design) vengono sempre più interpretati come comprensivi della sicurezza a livello di rete. La finestra temporale per considerare WPA3 come un "optional" si è chiusa. Entriamo nel vivo. Cosa cambia concretamente con WPA3-Enterprise? Partiamo dal livello di autenticazione. WPA2-Enterprise si basa su IEEE 802.1X con EAP — Extensible Authentication Protocol — e questa parte non cambia con WPA3. Ciò che cambia è tutto il resto: l'handshake, la crittografia e la protezione dei frame di gestione. Con WPA2, l'handshake a quattro vie utilizzato per derivare le chiavi di sessione è vulnerabile agli attacchi dizionario offline. Un utente malintenzionato intercetta l'handshake, lo porta offline e lo esegue a confronto con un elenco di parole. Questa è la base dell'attacco KRACK — Key Reinstallation Attack — divulgato nel 2017. WPA3 lo sostituisce con SAE — Simultaneous Authentication of Equals — che è uno scambio di chiavi basato su Diffie-Hellman. La differenza fondamentale è che SAE garantisce la forward secrecy (segretezza in avanti). Anche se un utente malintenzionato intercettasse ogni pacchetto di una sessione e successivamente compromettesse una chiave a lungo termine, non potrebbe decrittografare retroattivamente quella sessione. Ogni sessione ha le proprie chiavi effimere. Sul fronte della crittografia, WPA2 utilizza CCMP-128 — Counter Mode with Cipher Block Chaining Message Authentication Code Protocol — basato su AES-128. WPA3-Enterprise impone GCMP-256 — Galois Counter Mode Protocol con chiavi a 256 bit — per la sua modalità di sicurezza a 192 bit. Questa è la modalità ideale per qualsiasi ambiente che gestisca dati sensibili: cartelle cliniche, dati di carte di pagamento, informazioni governative. Ci sono poi i Protected Management Frames — PMF — definiti dallo standard IEEE 802.11w. Con WPA2, i PMF sono opzionali. Con WPA3, sono obbligatori. I frame di gestione sono i segnali di controllo che gestiscono l'associazione, la disassociazione e l'autenticazione tra i client e gli access point. Senza PMF, un utente malintenzionato può contraffare frame di deautenticazione — forzando i client a disconnettersi dalla rete — come attacco denial-of-service o come preludio a un attacco man-in-the-middle. L'obbligatorietà dei PMF chiude completamente questo vettore di attacco. Ora passiamo alla configurazione del server RADIUS. È qui che la maggior parte delle implementazioni ha successo o si blocca. Il server RADIUS — che si tratti di Microsoft NPS, FreeRADIUS, Cisco ISE o Aruba ClearPass — deve essere configurato per supportare EAP-TLS como metodo di autenticazione principale per WPA3-Enterprise. EAP-TLS utilizza l'autenticazione reciproca basata su certificati. Il client presenta un certificato, il server presenta un certificato e si convalidano a vicenda. Non ci sono password in questo scambio. Ciò elimina completamente gli attacchi basati sulle credenziali. L'infrastruttura dei certificati — la PKI — è la spina dorsale di questo processo. È necessaria un'Autorità di Certificazione (CA), interna utilizzando Microsoft Active Directory Certificate Services, o un servizio PKI basato su cloud. Ogni dispositivo client deve avere un certificato registrato, in genere tramite la piattaforma MDM — Intune, Jamf o simili. Il server RADIUS ha bisogno di un proprio certificato server emesso da una CA attendibile per i client. Inoltre, è necessario un endpoint OCSP o CRL affinché i client possano convalidare la revoca dei certificati in tempo reale. Per gli ambienti in cui un EAP-TLS completo non è immediatamente realizzabile — ad esempio a causa di un mix di dispositivi gestiti e non gestiti — EAP-TTLS o PEAP con MSCHAPv2 rimangono un'opzione come misura di transizione. Ma voglio essere diretto: i metodi EAP basati su credenziali sono un punto di partenza, non di arrivo. Il livello di sicurezza di EAP-TLS è categoricamente superiore e la vostra roadmap dovrebbe puntare a questo. Un'ultima cosa sul piano tecnico: la modalità di transizione. La maggior parte dei controller wireless moderni supporta la WPA3 Transition Mode, che consente ai client WPA2 e WPA3 di associarsi contemporaneamente allo stesso SSID. Questo è il vostro percorso di migrazione. Abilitate la modalità di transizione, verificate che i client WPA3 si autentichino correttamente, monitorate i log e poi — una volta che avete fiducia nel parco dispositivi client — passate alla modalità solo WPA3. Non tentate un passaggio drastico il primo giorno. La modalità di transizione esiste proprio per evitare questo rischio. Ora permettetemi di elencarvi i tre scenari di errore più comuni che riscontro nelle implementazioni di WPA3-Enterprise e come evitarli. Primo: la gestione del ciclo di vita dei certificati. Le organizzazioni implementano la PKI, emettono certificati e poi dimenticano che i certificati scadono. La scadenza di un certificato sul server RADIUS interromperà contemporaneamente l'autenticazione per ogni singolo client sulla rete. Sono necessari il rinnovo automatizzato, avvisi di monitoraggio a 90, 60 e 30 giorni prima della scadenza e un runbook di rinnovo testato. Questo non è opzionale. Ho visto grandi gruppi alberghieri perdere l'intero accesso wireless aziendale perché un certificato RADIUS è scaduto durante un fine settimana festivo. Secondo: ipotesi di compatibilità dei client. Non tutti i dispositivi della tua infrastruttura supporteranno il WPA3. I dispositivi IoT legacy (sistemi di gestione degli edifici, terminali POS più vecchi, alcuni sistemi TVCC) potrebbero supportare solo il WPA2 o persino il WPA. La soluzione è la segmentazione della rete. Posiziona i tuoi dispositivi aziendali compatibili con il WPA3 su un SSID solo WPA3. Metti i tuoi IoT legacy su una VLAN separata e isolata con WPA2, con rigide regole di firewall che impediscono il movimento laterale. Non scendere a compromessi sulla sicurezza della tua rete primaria per adattarti ai dispositivi legacy. Terzo: ridondanza del server RADIUS. Un singolo server RADIUS rappresenta un singolo punto di fallimento (single point of failure). In una distribuzione multi-sito, ad esempio una catena di negozi con 200 punti vendita, è necessario disporre almeno di un server RADIUS primario e di uno secondario, con failover configurato a livello di controller wireless. Testa il failover. Testalo attivamente. Simula un guasto del RADIUS primario in una finestra di manutenzione e conferma che i client si autentichino sul secondario entro la soglia di timeout accettabile. Specificamente per gli ambienti hospitality, ovvero chiunque gestisca una piattaforma di guest WiFi, la sfida di rete è doppia. La tua rete aziendale trasporta i dispositivi del personale e i sistemi di back-office, e dovrebbe essere WPA3-Enterprise con EAP-TLS. La tua rete guest è un problema completamente diverso, solitamente gestito tramite un Captive Portal con autenticazione social o email. Si tratta di SSID separati, VLAN separate e policy di sicurezza separate. Non confonderli. Alcune domande che mi vengono poste regolarmente. Ho bisogno di nuovi access point? Probabilmente no. La maggior parte degli access point prodotti dopo il 2019 supporta il WPA3 tramite aggiornamento del firmware. Controlla le note di rilascio del tuo fornitore. Ruckus, Cisco Meraki, Aruba e Ubiquiti supportano tutti il WPA3 nel firmware attuale. Quanto tempo richiede una distribuzione completa? Per una rete retail di 50 siti con MDM e Active Directory esistenti, calcola da 12 a 16 settimane. La creazione della PKI e l'implementazione dei certificati rappresentano la fase più lunga del processo. Quali sono i costi? Probabilmente disponi già dei componenti dell'infrastruttura (RADIUS, PKI, MDM). Il costo incrementale è rappresentato dai servizi professionali per la configurazione e i test, oltre a eventuali costi di aggiornamento del firmware o di sostituzione degli access point. Per la maggior parte delle organizzazioni, la sola mitigazione del rischio di conformità giustifica l'investimento. Il WPA3 influisce sul throughput? In modo trascurabile. GCMP-256 è efficiente dal punto di vista computazionale. All'atto pratico, non noterai differenze di throughput sull'hardware moderno. Per concludere: WPA3-Enterprise non è una considerazione per il futuro. È un requisito attuale per qualsiasi organizzazione che prenda sul serio la sicurezza della rete, la conformità normativa e la protezione dei dati delle persone che frequentano i tuoi spazi. I tuoi prossimi passi immediati: esegui un audit delle versioni del firmware dei tuoi access point attuali e conferma il supporto WPA3. Valuta lo stato di preparazione della tua PKI: disponi di una CA interna o devi crearne una? Esamina la configurazione e la ridondanza del tuo server RADIUS. E mappa il parco dispositivi client per identificare eventuali dispositivi legacy che dovranno essere segmentati. La piattaforma di Purple si integra direttamente con la tua infrastruttura wireless per fornire il livello di analisi e gestione al di sopra della tua base di rete sicura. Sia che tu gestisca un gruppo alberghiero, una catena di negozi o un locale pubblico, la combinazione di WPA3-Enterprise per la tua rete aziendale e un livello WiFi per gli ospiti adeguatamente protetto ti offre sia la postura di sicurezza sia la data intelligence di cui la tua azienda ha bisogno. Grazie per l'ascolto. Se desideri approfondire uno di questi argomenti — autenticazione dei certificati, configurazione RADIUS o architettura della rete ospiti — la guida scritta completa è disponibile sul sito web di Purple, insieme alla nostra più ampia libreria di materiale di riferimento tecnico. Alla prossima.

header_image.png

执行摘要

对于企业 IT 领导者来说,向 WPA3-Enterprise 的过渡不再是未来的路线图项目;它是当前的运营要求。自 2020 年起,WPA3 已成为所有 Wi-Fi 认证设备的强制性要求,然而许多企业网络——涵盖酒店、零售和公共部门场所——仍停留在 WPA2。这一差距代表着显著的风险暴露,特别是因为合规框架如 PCI DSS 4.0 和 GDPR 日益要求强大、先进的网络安全控制。

本指南提供了 WPA3-Enterprise 的全面技术剖析,重点关注其相对于 WPA2 的根本架构改进。我们详细说明了向更强加密(GCMP-256)的强制性转变、受保护管理帧 (PMF) 的必要性,以及通过 EAP-TLS 实现基于证书的相互身份验证的关键实施。本文档面向网络架构师和 CTO,避开学术理论,提供可操作的部署策略、故障排除方法和真实案例研究,以确保安全、可扩展和合规的无线基础设施。

收听配套的技术简报播客,了解执行概述:

技术深潜:WPA3-Enterprise 架构

WPA2 和 WPA3-Enterprise 的根本区别不在于底层的 802.1X 框架,该框架仍然是基于端口的网络访问控制的标准,而在于围绕它构建的加密协议和管理帧保护。WPA3 解决了其前身的系统性漏洞,特别针对离线字典攻击和管理帧操纵。

身份验证和密钥交换

WPA2-Enterprise 依赖 4 次握手来派生会话密钥,这一过程已被证明容易受到密钥重装攻击 (KRACK) 和离线字典暴力破解(如果使用弱凭据)的攻击。WPA3 通过实施同时等值身份验证 (SAE) 来缓解这一问题,这是一种基于 Diffie-Hellman 的密钥交换协议。SAE 确保了前向保密性;即使攻击者获取了长期密钥,也无法追溯解密捕获的流量,因为每个会话都使用临时的、唯一的密钥。

对于企业环境,核心身份验证机制果断转向 EAP-TLS(可扩展身份验证协议-传输层安全)。虽然 WPA2 允许使用较弱的基于凭据的方法,如 PEAP 或 EAP-TTLS,但 WPA3-Enterprise 强烈建议,并在高安全性 192 位模式中强制要求 EAP-TLS。这需要基于证书的相互身份验证,完全消除密码并中和凭据窃取途径。

加密增强

WPA2 使用基于 AES-128 的 CCMP-128(计数器模式及密码块链接消息身份验证码协议)。WPA3-Enterprise 引入了一个可选但强烈推荐的 192 位安全套件,与商业国家安全算法 (CNSA) 套件保持一致。此模式强制使用 GCMP-256(256 位密钥的 Galois/计数器模式协议)进行强健加密,同时使用 384 位椭圆曲线密码学进行密钥建立和管理。

wpa3_vs_wpa2_comparison.png

受保护管理帧 (PMF)

根据 IEEE 802.11w,受保护管理帧保护管理客户端关联、取消关联和身份验证的控制信号。在 WPA2 中,PMF 是可选的,使网络容易受到伪造的取消身份验证帧的攻击——这是拒绝服务或中间人攻击的常见前兆。WPA3 强制要求所有连接使用 PMF,从根本上关闭了这一攻击途径。

实施指南:部署 WPA3-Enterprise

在数百个零售地点或庞大的酒店综合体上过渡企业网络需要分阶段、有条不紊的方法。以下步骤概述了一种与供应商无关的部署策略。

wpa3_architecture_overview.png

第 1 阶段:基础设施审计和 PKI 准备

实施 WPA3-Enterprise(特别是使用 EAP-TLS)的先决条件是强大的公钥基础设施 (PKI)。

  1. 评估 RADIUS 能力: 确保您的 RADIUS 服务器(例如,Cisco ISE、Aruba ClearPass、FreeRADIUS)支持 WPA3 参数并已配置 EAP-TLS。
  2. 建立证书颁发机构 (CA): 部署内部 CA(如 Microsoft AD CS)或利用基于云的 PKI 服务。
  3. MDM 集成: 利用移动设备管理 (MDM) 平台(Intune、Jamf)自动向受管设备部署客户端证书。这对可扩展性至关重要。

有关证书部署的进一步阅读,请参阅 WiFi 证书身份验证:数字证书如何保护无线网络

第 2 阶段:启用 WPA3 过渡模式

在多样化的企业环境中,硬切换很少可行。大多数企业无线局域网控制器支持 WPA3 过渡模式,允许单个 SSID 同时接受 WPA2 和 WPA3 客户端。

  1. 配置过渡 SSID: 在公司 SSID 上启用 WPA3 过渡模式。
  2. 监控客户端关联: 使用无线管理仪表板监控客户端连接。确保现代设备成功协商 WPA3,而旧设备回退到 WPA2。
  3. 解决兼容性问题: 识别无法关联的设备。通常,旧无线驱动程序难以满足 WPA3 的强制性 PMF 要求,即使在过渡模式下也是如此。尽可能更新驱动程序。

第 3 阶段:网络分段和遗留设备隔离

并非所有设备都支持 WPA3。遗留物联网设备、较旧的销售点系统或 医疗保健 环境中的专业医疗设备通常缺乏必要的硬件或固件更新。

  1. 隔离遗留设备: 为这些设备创建一个专用的、隔离的 VLAN 和一个单独的仅 WPA2 的 SSID。
  2. 实施严格的访问控制: 对此遗留 VLAN 应用严格的防火墙规则,防止横向移动到安全的 WPA3 公司网络。

第 4 阶段:全面强制 WPA3

一旦绝大多数公司设备成功使用 WPA3,并且遗留设备已分段,将主要公司 SSID 转换为仅 WPA3-Enterprise。

企业环境最佳实践

实施技术只是成功的一半;维护其完整性需要持续的运营纪律。

  • 自动化证书生命周期管理: EAP-TLS 失败的最常见原因是证书过期。实施自动续订流程和警报机制,在 RADIUS 服务器证书到期前 90 天、60 天和 30 天提醒。
  • 确保 RADIUS 冗余: 单个 RADIUS 服务器是单点故障。在地理位置不同的位置部署主 RADIUS 服务器和辅助 RADIUS 服务器,在无线控制器上配置无缝故障切换。
  • 分离访客和公司网络: 绝不要将公司安全策略与访客访问混淆。公司网络需要具有 EAP-TLS 的 WPA3-Enterprise。访客网络应使用隔离的 VLAN,通常通过 Captive Portal 管理。Purple 的 Guest WiFi 解决方案提供安全、合规的访客访问,同时捕获有价值的 WiFi Analytics
  • 利用 OpenRoaming 为了在不同场所实现无缝、安全的连接,考虑实施 Passpoint/Hotspot 2.0。Purple 在 Connect 许可证下作为 OpenRoaming 等服务的免费身份提供商,促进无摩擦、安全的访问,而不会损害企业安全标准。

故障排除与风险缓解

即使经过精心规划,部署也会遇到摩擦。以下是常见故障模式和缓解策略。

症状:启用过渡模式时客户端无法连接。

根本原因: 旧客户端驱动程序在遇到接入点在过渡模式中广播的强制性 PMF(受保护管理帧)时经常失败,即使它们尝试进行 WPA2 连接。 缓解措施: 更新客户端无线网络接口 (NIC) 驱动程序。如果更新不可用,必须将设备移至隔离的仅 WPA2 的 SSID。

症状:所有设备普遍身份验证失败。

根本原因: RADIUS 服务器证书已过期,或者根 CA 证书已被吊销或从客户端信任存储中删除。 缓解措施: 立即续订并部署 RADIUS 服务器证书。查看自动化生命周期管理警报以防止再次发生。

症状:在接入点之间漫游时延迟高。

根本原因: 802.11r(快速 BSS 过渡)配置错误或与正在使用的特定 EAP 方法不兼容。 缓解措施: 确保 802.11r 已明确启用,并受 WLAN 控制器和客户端设备为 WPA3 SSID 支持。在维护窗口期间测试漫游性能。

投资回报率和业务影响

向 WPA3-Enterprise 的过渡需要对专业服务、潜在的硬件更新和 PKI 基础设施进行投资。然而,投资回报是通过风险缓解和合规性遵守来衡量的。

对于大型 零售 连锁店,涉及支付卡信息的数据泄露成本远远超过 WPA3 的部署成本。PCI DSS 4.0 合规要求强健的加密和身份验证;WPA3-Enterprise 直接满足这些要求,简化合规审计并避免潜在罚款。

此外,现代化无线基础设施为未来的数字计划提供了稳定、高性能的基础,无论是在 酒店业 部署先进的物联网传感器,还是启用安全的移动销售点系统。业务影响是一个弹性、合规且面向未来的网络架构。

Definizioni chiave

WPA3-Enterprise

Lo standard attuale per la sicurezza wireless aziendale, che impone una crittografia più forte, frame di gestione protetti e forward secrecy, solitamente distribuito con 802.1X e RADIUS.

Richiesto per la conformità (PCI DSS, GDPR) e per proteggere i dati aziendali dai moderni attacchi crittografici.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Un framework di autenticazione che richiede sia al client sia al server RADIUS di presentare certificati digitali per verificare l'identità reciproca.

Il gold standard per l'autenticazione WPA3-Enterprise, che elimina la dipendenza dalle vulnerabili password degli utenti.

PMF (Protected Management Frames)

Uno standard di sicurezza (802.11w) che crittografa i frame di controllo utilizzati per l'associazione e la disassociazione dei client.

Obbligatorio in WPA3, il PMF impedisce agli aggressori di contraffare pacchetti di deautenticazione per disconnettere gli utenti dalla rete o eseguire attacchi man-in-the-middle.

SAE (Simultaneous Authentication of Equals)

Un protocollo sicuro di stabilimento delle chiavi utilizzato in WPA3 che sostituisce il vulnerabile handshake a 4 vie di WPA2.

Il protocollo SAE fornisce forward secrecy e protegge dagli attacchi con dizionario offline, garantendo che anche se una password è debole, l'handshake non può essere forzato con attacchi brute-force.

GCMP-256 (Galois/Counter Mode Protocol)

Un protocollo di crittografia altamente sicuro ed efficiente che utilizza chiavi a 256 bit.

Obbligatorio per la suite di sicurezza a 192 bit di WPA3-Enterprise, richiesto per ambienti che gestiscono dati altamente sensibili come documenti governativi o finanziari.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete centralizzato che fornisce la gestione di Autenticazione, Autorizzazione e Accounting (AAA) per gli utenti che si connettono a un servizio di rete.

Il server backend principale in una distribuzione WPA3-Enterprise che convalida i certificati o le credenziali del client prima di concedere l'accesso alla rete.

Forward Secrecy

Una caratteristica crittografica che garantisce che le chiavi di sessione siano effimere; la compromissione futura di una chiave a lungo termine non consentirà a un aggressore di decifrare le sessioni registrate in passato.

Un miglioramento critico in WPA3 fornito dall'handshake SAE, che protegge i dati storici.

PKI (Public Key Infrastructure)

Il framework di ruoli, policy, hardware, software e procedure necessari per creare, gestire, distribuire, utilizzare, memorizzare e revocare certificati digitali.

L'infrastruttura prerequisito necessaria per implementare l'autenticazione EAP-TLS in un ambiente WPA3-Enterprise.

Esempi pratici

Un hotel di lusso da 200 camere sta aggiornando la propria rete aziendale a WPA3-Enterprise. Dispone di un mix di moderni laptop aziendali, iPad utilizzati dal personale di portineria e serrature legacy abilitate al Wi-Fi che supportano solo WPA2. In che modo l'architetto di rete dovrebbe progettare gli SSID e le VLAN per garantire la massima sicurezza senza compromettere la funzionalità operativa?

L'architetto deve utilizzare la segmentazione della rete.

  1. Creare un SSID aziendale primario ('HotelCorp_Secure') configurato solo per WPA3-Enterprise, utilizzando EAP-TLS. Distribuire i certificati a tutti i laptop aziendali e agli iPad tramite la soluzione MDM dell'hotel. Assegnare questo SSID alla VLAN aziendale primaria.
  2. Creare un SSID secondario nascosto ('Hotel_IoT_Legacy') configurato per WPA2-Personal (PSK) o WPA2-Enterprise (se supportato dalle serrature), utilizzando una passphrase complessa e ruotata o il MAC authentication bypass (MAB).
  3. Assegnare l'SSID legacy a una VLAN isolata e fortemente limitata. Configurare le regole del firewall per consentire alle serrature di comunicare SOLO con lo specifico server di gestione delle porte on-premise o basato su cloud, bloccando qualsiasi movimento laterale verso la VLAN aziendale o internet.
Commento dell'esaminatore: Questo approccio dà correttamente la priorità alla sicurezza per i dispositivi abilitati, accogliendo al contempo l'hardware legacy. Tentare di utilizzare la modalità di transizione WPA3 su un singolo SSID spesso fallisce perché i dispositivi IoT legacy si bloccano frequentemente quando incontrano frame PMF obbligatori. La segmentazione fisica/logica è l'unico metodo sicuro per gestire ambienti con capacità miste.

Un'organizzazione del settore pubblico ha implementato WPA3-Enterprise con EAP-TLS. Il lunedì mattina, nessun dipendente riesce a connettersi alla rete wireless. Il controller wireless mostra che i client si associano, ma l'autenticazione RADIUS fallisce. Qual è la causa più probabile e quale l'intervento correttivo immediato?

La causa più probabile è un certificato del server RADIUS scaduto. Poiché EAP-TLS si basa sulla mutua autenticazione, se il server presenta un certificato scaduto, i client rifiuteranno immediatamente la connessione e interromperanno l'handshake.

Rimedio immediato: il team IT deve generare una nuova richiesta di firma del certificato (CSR) dal server RADIUS, farla firmare dalla CA interna e associare il nuovo certificato alla policy di autenticazione EAP-TLS sul server RADIUS. Successivamente, i servizi devono essere riavviati.

Commento dell'esaminatore: Questo scenario evidenzia l'importanza critica della gestione del ciclo di vita dei certificati. EAP-TLS è altamente sicuro ma fragile se i processi amministrativi falliscono. L'organizzazione deve implementare avvisi automatici per la scadenza dei certificati per prevenire future interruzioni del servizio.

Domande di esercitazione

Q1. Sei l'architetto di rete per una grande catena di vendita al dettaglio che sta implementando il WPA3-Enterprise. Durante la fase pilota in tre negozi che utilizzano la WPA3 Transition Mode, diversi scanner di codici a barre più vecchi si disconnettono frequentemente dalla rete e richiedono riavvii manuali per riconnettersi. I tablet moderni si connettono senza problemi. Qual è la risposta architetturale più appropriata?

Suggerimento: Considera come i driver wireless legacy gestiscono i frame di gestione non familiari trasmessi in Transition Mode.

Visualizza risposta modello

Gli scanner di codici a barre probabilmente vanno in crash a causa dei Protected Management Frames (PMF) obbligatori trasmessi dagli AP in Transition Mode. La risposta appropriata è abbandonare la Transition Mode per questi dispositivi. Crea un SSID dedicato, nascosto e solo WPA2, mappato su una VLAN isolata specificamente per gli scanner, e configura l'SSID aziendale primario su solo WPA3-Enterprise per i tablet moderni.

Q2. Un CTO impone l'implementazione del WPA3-Enterprise in tutti gli uffici aziendali entro 60 giorni per soddisfare i nuovi requisiti di conformità. L'ambiente attuale utilizza WPA2-Enterprise con PEAP-MSCHAPv2 (nome utente/password). L'organizzazione non dispone attualmente di una Certificate Authority (CA) interna o di una soluzione Mobile Device Management (MDM). Questa tempistica è realistica e qual è il percorso critico?

Suggerimento: Valuta i prerequisiti per il metodo di autenticazione WPA3 consigliato (EAP-TLS).

Visualizza risposta modello

La tempistica di 60 giorni è altamente irrealistica. Per implementare correttamente il WPA3-Enterprise, l'organizzazione dovrebbe migrare a EAP-TLS per eliminare le vulnerabilità delle credenziali. Il percorso critico richiede la progettazione e l'implementazione di una PKI (Certificate Authority) e l'integrazione di una soluzione MDM per distribuire i certificati client. Costruire questa infrastruttura da zero, testarla e registrare tutti i dispositivi aziendali richiederà quasi certamente più di 60 giorni. L'architetto deve comunicare questa dipendenza al CTO.

Q3. Durante un audit di sicurezza, un esaminatore nota che i tuoi server RADIUS sono configurati per EAP-TLS, ma la funzione di 'controllo della Certificate Revocation List (CRL)' è disabilitata sui controller wireless e sui server RADIUS. Perché questa è una scoperta di sicurezza significativa in un ambiente WPA3?

Suggerimento: Cosa succede se un laptop aziendale viene rubato, ma il suo certificato non è ancora scaduto?

Visualizza risposta modello

Senza il controllo CRL o OCSP abilitato, il server RADIUS non ha modo di sapere se un certificato presentato è stato revocato dalla CA prima della sua data di scadenza naturale. Se un dispositivo viene smarrito o un dipendente viene licenziato, il rispettivo certificato deve essere revocato. Se il controllo della revoca è disabilitato, quel certificato compromesso può ancora essere utilizzato per autenticarsi correttamente e accedere alla rete WPA3-Enterprise, vanificando completamente lo scopo dell'autenticazione reciproca.

Continua a leggere questa serie