La guida completa all'autenticazione 802.1X per le reti aziendali

La spiegazione dell'autenticazione 802.1X per le reti aziendali. Un briefing informativo di Purple WiFi. Benvenuto. Se hai la responsabilità della sicurezza di rete in un'organizzazione multi-sede — che si tratti di un gruppo alberghiero, una catena retail, uno stadio o un ente del settore pubblico — questo briefing è pensato per te. Nei prossimi dieci minuti copriremo tutto ciò che c'è da sapere sull'autenticazione 802.1X: cos'è, come funziona dietro le quinte, come distribuirla correttamente e le insidie che mettono in difficoltà la maggior parte delle organizzazioni. Entriamo nel vivo. Sezione uno: Contesto e perché questo è importante proprio ora. Il panorama delle minacce per il WiFi aziendale è cambiato radicalmente. Le reti con chiave pre-condivisa — quelle in cui tutti conoscono la password del WiFi — non sono più accettabili per le reti del personale in ambienti regolamentati. Ai sensi della versione 4.0 del PCI DSS, entrata pienamente in vigore nel 2024, le organizzazioni che gestiscono dati di carte di pagamento devono implementare controlli di accesso rigorosi su qualsiasi rete che entri in contatto con l'ambiente dei dati dei titolari di carta. Il GDPR impone obblighi simili su qualsiasi rete che trasporti dati personali. E con il lavoro ibrido che comporta la connessione del personale da dispositivi gestiti e non gestiti in decine di sedi diverse, il vecchio modello basato sul perimetro semplicemente non regge più. L'802.1X è lo standard IEEE che risolve questo problema. Fornisce un controllo dell'accesso alla rete basato sulle porte — il che significa che un dispositivo non può accedere affatto alla rete finché non è stato autenticato rispetto a un archivio di identità centrale. Non una semplice password condivisa, ma un'identità reale e verificata. Questo è il cambiamento fondamentale. Sezione due: Approfondimento tecnico. Analizziamo l'architettura. Lo standard 802.1X definisce tre ruoli. Il supplicant — ovvero il dispositivo finale, il laptop o lo smartphone che tenta di connettersi. L'authenticator — ovvero l'access point wireless o lo switch di rete. E l'authentication server — che in quasi tutte le implementazioni aziendali è un server RADIUS. Ecco come funziona l'handshake. Quando un dispositivo tenta di connettersi a un SSID protetto, l'access point lo pone in uno stato non autenticato. Il dispositivo non può raggiungere la rete. L'AP invia un frame EAP Request Identity al dispositivo. EAP sta per Extensible Authentication Protocol — è il framework che trasporta le credenziali effettive. Il dispositivo risponde con la propria identità. L'AP inoltra questa risposta al server RADIUS, incapsulata in un pacchetto RADIUS Access-Request. Il server RADIUS invia quindi una richiesta di verifica (challenge) al dispositivo — la richiesta specifica dipende dal metodo EAP in uso. Il dispositivo risponde con le proprie credenziali. Il server RADIUS convalida tali credenziali rispetto all'archivio delle identità — Active Directory, LDAP o un IdP cloud — e restituisce un messaggio di Access-Accept o Access-Reject. Se si tratta di un Accept, l'AP apre la porta e il dispositivo ottiene l'accesso alla rete. Se si tratta di un Reject, il dispositivo rimane bloccato. L'intero scambio richiede meno di un secondo. Ora, la selezione del metodo EAP è il punto in cui la maggior parte degli architetti di rete trascorre il proprio tempo. Ci sono quattro opzioni principali. EAP-TLS rappresenta lo standard di riferimento. Richiede un certificato client su ogni dispositivo, il che significa che è necessaria un'infrastruttura PKI, ma fornisce un'autenticazione reciproca: il server dimostra la propria identità al client e il client dimostra la propria identità al server. Nessuna credenziale può essere soggetta a phishing perché non sono coinvolte password. Questa è la scelta giusta per flotte di dispositivi completamente gestite. PEAP — Protected EAP — è il metodo più ampiamente distribuito nella pratica. Crea un tunnel TLS utilizzando solo un certificato server, quindi passa le credenziali di nome utente e password all'interno di quel tunnel. È significativamente più facile da distribuire rispetto a EAP-TLS perché non richiede certificati client ed è supportato nativamente su tutti i principali sistemi operativi. Il compromesso è che si affida agli utenti per la convalida del certificato del server, cosa che in pratica spesso non avviene. Una corretta distribuzione di PEAP richiede il blocco della configurazione del supplicant in modo che si fidi solo del certificato del server RADIUS specifico. EAP-TTLS è simile a PEAP ma più flessibile nel metodo di autenticazione interno. È particolarmente utile in ambienti con dispositivi legacy o endpoint non Windows. EAP-FAST è stato sviluppato da Cisco come alternativa più rapida che utilizza Protected Access Credentials anziché certificati, ma è meno comunemente distribuito nelle nuove installazioni. Il server RADIUS stesso merita attenzione. Le due opzioni open-source dominanti sono FreeRADIUS, che alimenta una percentuale significativa di distribuzioni aziendali a livello globale, e Microsoft NPS — Network Policy Server — che è incluso in Windows Server e si integra nativamente con Active Directory. Le opzioni commerciali includono Cisco ISE, Aruba ClearPass e Portnox Cloud, che offre un modello RADIUS-as-a-service nativo del cloud che elimina completamente la necessità di un'infrastruttura server on-premises. L'assegnazione della VLAN è una delle funzionalità più potenti di una distribuzione 802.1X configurata correttamente. Il server RADIUS può restituire gli attributi VLAN nella risposta Access-Accept, assegnando dinamicamente il dispositivo autenticato al segmento di rete appropriato. Un membro dello staff si autentica e finisce sulla VLAN dello staff. Un collaboratore esterno si autentica con credenziali diverse e finisce su una VLAN limitata con accesso ristretto. Un dispositivo che non supera la convalida del certificato viene inserito in una VLAN di quarantena. Questa è la segmentazione dinamica ed è un controllo di sicurezza significativo. Sezione tre: Raccomandazioni di implementazione ed errori da evitare. Lascia che ti illustri la sequenza di implementazione ideale. Inizia con un audit di rete. Prima di toccare una singola configurazione, documenta ogni dispositivo che dovrà autenticarsi. Questo include stampanti, telefoni IP, sistemi di gestione degli edifici, telecamere a circuito chiuso — qualsiasi dispositivo che si connette alla rete. Questi dispositivi headless non hanno un supplicant e non possono eseguire l'802.1X. Avrai bisogno di una strategia per loro, in genere il MAC Authentication Bypass con una whitelist rigorosa degli indirizzi MAC e il posizionamento in una VLAN isolata. Fase due: configura la tua infrastruttura RADIUS. Per garantire la resilienza, hai bisogno come minimo di un server RADIUS primario e uno secondario. Configura i tuoi access point per il failover automatico. Un'interruzione del servizio RADIUS che blocca tutto il personale fuori dalla rete è un incidente P1. Non lasciare che accada solo perché hai distribuito un singolo server. Fase tre: distribuisci la tua PKI se utilizzi EAP-TLS. Usa i tuoi Active Directory Certificate Services esistenti o un provider PKI cloud. L'auto-enrolment tramite Group Policy rende gestibile la distribuzione dei certificati client su larga scala. Fase quattro: configura le tue policy di rete. Definisci le tue policy di autenticazione in RADIUS — quali utenti o gruppi di dispositivi ottengono quali assegnazioni VLAN, cosa succede in caso di autenticazioni fallite, come gestisci il traffico degli ospiti rispetto a quello del personale. È qui che applichi il principio del privilegio minimo a livello di rete. Fase cinque: fai un progetto pilota prima del roll-out. Prendi una sede, un piano, un SSID. Testa ogni tipo di dispositivo. Testa gli scenari di errore. Testa cosa succede quando il server RADIUS non è raggiungibile. Solo allora procedi all'espansione. Ora, le insidie. La più comune che riscontro è l'errata configurazione della validazione del certificato sulle distribuzioni PEAP. Se la policy del tuo supplicant non impone la validazione del certificato del server, sei vulnerabile ad attacchi di rogue AP in cui un utente malintenzionato configura un access point falso e raccoglie le credenziali. Blocca i profili dei tuoi supplicant tramite Group Policy o MDM. La seconda insidia è ignorare i dispositivi non-802.1X fino al giorno del go-live. I dispositivi IoT, le stampanti e i sistemi legacy comprometteranno il tuo roll-out se non li hai pianificati in anticipo. Il MAC Authentication Bypass è la soluzione ideale in questo caso, ma deve essere configurato prima di attivare il sistema. La terza insidia riguarda i singoli punti di vulnerabilità (single points of failure) nel RADIUS. Ho visto organizzazioni distribuire un singolo server NPS e scoprire che l'intera rete del personale andava offline durante il riavvio per un Windows Update. Distribuisci sempre un'infrastruttura RADIUS ridondante. Sezione quattro: Domande rapide. L'802.1X può funzionare insieme a una rete WiFi per gli ospiti? Assolutamente sì. Il tuo SSID per gli ospiti funziona separatamente — in genere utilizzando un approccio con Captive Portal — mentre il tuo SSID per il personale impone l'802.1X. Sono SSID completamente indipendenti con VLAN separate. La piattaforma di Purple gestisce la parte ospiti, con strumenti di analytics e di engagement integrati, mentre la tua infrastruttura 802.1X protegge la parte del personale. L'802.1X sostituisce una VPN? No. L'802.1X controlla l'ammissione alla rete, ovvero chi può accedervi. Una VPN crittografa il traffico in transito ed estende la rete aziendale su connessioni non attendibili. Servono a scopi diversi e vengono spesso utilizzate insieme. Qual è l'impatto sulle prestazioni di roaming? Con l'802.1X, ogni volta che un dispositivo si sposta tra i punti di accesso, deve autenticarsi nuovamente. Per la maggior parte delle implementazioni aziendali questo è impercettibile. Il caching PMK e l'OKC (Opportunistic Key Caching) riducono significativamente il sovraccarico di riautenticazione. Per ambienti ad alta densità come stadi o centri congressi, vale la pena configurarlo esplicitamente. WPA3-Enterprise sostituisce l'802.1X? No, WPA3-Enterprise utilizza l'802.1X per l'autenticazione. WPA3 migliora il livello di crittografia, imponendo in particolare la modalità di sicurezza a 192 bit per le implementazioni più sensibili. L'802.1X è il framework di autenticazione sottostante. Sezione cinque: Riepilogo e passaggi successivi. Ecco cosa dovresti ricordare da questo briefing. L'802.1X è l'unico meccanismo di autenticazione di livello enterprise per il WiFi aziendale. Le chiavi pre-condivise non sono accettabili per gli ambienti regolamentati. Scegli il tuo metodo EAP in base alla tua flotta di dispositivi: EAP-TLS se disponi di dispositivi gestiti e di una PKI, PEAP se hai bisogno di una compatibilità più ampia. Pianifica la gestione dei dispositivi non-802.1X prima della distribuzione, non dopo. Distribuisci un'infrastruttura RADIUS ridondante: un singolo server rappresenta un singolo punto di errore. Utilizza l'assegnazione dinamica delle VLAN per applicare la segmentazione della rete al momento dell'autenticazione. E conduci un pilot approfondito prima di procedere con la distribuzione su tutta la tua infrastruttura. Se stai realizzando un'implementazione multi-sito e hai bisogno di progettarne l'architettura, il team tecnico di Purple collabora ogni giorno con i network architect dei settori hospitality, retail e pubblico. La combinazione di un WiFi aziendale sicuro per il personale tramite 802.1X e di un WiFi ospiti intelligente tramite la piattaforma Purple ti offre una strategia di rete completa e segmentata che soddisfa sia i tuoi obblighi di sicurezza sia i requisiti di esperienza degli ospiti. Questo è tutto per questo briefing. Grazie per l'ascolto.