Il ruolo di SCEP e NAC nelle moderne infrastrutture MDM
Questa guida offre un'analisi tecnica completa di come SCEP e NAC si integrano con le piattaforme MDM per fornire un accesso alla rete sicuro e zero-touch su scala aziendale. Copre l'intera architettura, dall'emissione dei certificati fino all'applicazione di 802.1X, con scenari di implementazione reali tratti dai settori dell'ospitalità e del retail. Progettata per i responsabili IT di grandi strutture che hanno l'esigenza di eliminare le vulnerabilità legate alle password, automatizzare il provisioning dei dispositivi e soddisfare i requisiti di conformità in questo trimestre.
Ascolta questa guida
Visualizza trascrizione del podcast
- Executive Summary
- Approfondimento Tecnico
- L'Architettura a Tre Livelli
- Come SCEP Automatizza la PKI su Scala
- NAC e 802.1X EAP-TLS: Lo Strato di Esecuzione delle Policy
- Segregazione della Rete Guest
- Guida all'implementazione
- Passaggio 1: Preparazione della PKI e del protocollo SCEP
- Passaggio 2: Configurazione dell'MDM
- Passaggio 3: Configurazione di NAC e RADIUS
- Passaggio 4: Integrazione dell'infrastruttura di rete
- Passaggio 5: Implementazione parallela e transizione
- Best Practice
- Risoluzione dei problemi e mitigazione dei rischi
- ROI e Impatto Aziendale

Executive Summary
Per le sedi aziendali - dagli stadi da 80.000 posti alle catene di vendita al dettaglio multisede - la sicurezza del perimetro di rete è andata decisamente oltre le chiavi pre-condivise e la gestione manuale delle credenziali. La proliferazione di endpoint aziendali, dispositivi BYOD e infrastrutture IoT richiede un'architettura zero-trust che si adatti alle diverse esigenze senza gravare sull'help desk IT.
Questa guida illustra in dettaglio l'architettura tecnica per l'integrazione del Simple Certificate Enrolment Protocol (SCEP) e del Network Access Control (NAC) con l'infrastruttura Mobile Device Management (MDM). Sfruttando SCEP per automatizzare la distribuzione dei certificati X.509 e il NAC per applicare l'autenticazione IEEE 802.1X EAP-TLS, le organizzazioni possono ottenere un provisioning zero-touch, eliminare i percorsi di furto delle credenziali e imporre un accesso alla rete dinamico basato sulla postura. Mentre l'accesso rivolto al pubblico è gestito tramite una soluzione dedicata di Guest WiFi , questa architettura protegge le operazioni critiche di back-of-house che mantengono in funzione la struttura. Il risultato è una drastica riduzione dei costi generali IT, una maggiore conformità ai requisiti PCI-DSS e GDPR e l'applicazione proattiva dei principi zero-trust sul perimetro di rete.
Approfondimento Tecnico
L'Architettura a Tre Livelli
La moderna sicurezza di rete si basa sull'identità crittografica piuttosto che sulla conoscenza dell'utente. Lo stack SCEP-NAC-MDM opera su tre livelli principali:
| Livello | Componenti | Funzione |
|---|---|---|
| Gestione dei dispositivi | MDM / UEM | Autorità centrale per la configurazione, la conformità e il ciclo di vita dei dispositivi |
| Identità ed emissione | PKI / SCEP / CA | Genera, emette e gestisce i certificati digitali |
| Applicazione dell'accesso | NAC / RADIUS | Valuta i certificati e la postura dei dispositivi prima di concedere l'accesso alla rete |
Questi livelli non sono sequenziali - operano in un ciclo di feedback continuo. L'MDM informa il NAC sullo stato di conformità in tempo reale, mentre il NAC può attivare flussi di lavoro di rimedio dell'MDM quando un dispositivo non supera un controllo di postura.

Come SCEP Automatizza la PKI su Scala
La distribuzione manuale dei certificati è operativamente impossibile su larga scala. Un parco di 500 dispositivi richiederebbe a un amministratore IT di generare, firmare e installare un singolo certificato X.509 su ogni dispositivo - un processo che richiede diversi minuti per dispositivo e introduce un rischio significativo di errore umano. SCEP elimina completamente questo problema.
Quando un dispositivo si registra nel MDM, il MDM invia un profilo di configurazione contenente un payload SCEP. Il payload indica al dispositivo di generare localmente una coppia di chiavi - aspetto fondamentale, la chiave privata non lascia mai il dispositivo - e di inviare una richiesta di firma del certificato (CSR) al server SCEP. Il server SCEP (solitamente il Network Device Enrolment Service (NDES) di Microsoft o un equivalente basato su cloud) convalida la richiesta confrontandola con il MDM per confermare che il dispositivo sia autorizzato. Successivamente, inoltra la CSR alla Certificate Authority (CA), che emette il certificato X.509 firmato. Il certificato viene restituito al dispositivo e installato nella sua enclave sicura o nel keystore di sistema.
L'intero processo avviene in background, via etere, senza alcuna interazione da parte dell'utente. Per un'implementazione su 1.000 dispositivi, l'intero parco certificati può essere fornito entro poche ore dal completamento della registrazione nel MDM.
NAC e 802.1X EAP-TLS: Lo Strato di Esecuzione delle Policy
Una volta che un dispositivo possiede un certificato valido, tenta di connettersi all'SSID aziendale o alla porta cablata utilizzando lo standard IEEE 802.1X. L'access point o lo switch funge da autenticatore, inoltrando la richiesta a un server RADIUS gestito dal motore di policy del NAC. Il metodo EAP più sicuro è EAP-TLS, che richiede l'autenticazione reciproca - sia il client che il server RADIUS devono presentare certificati validi, prevenendo attacchi man-in-the-middle tramite access point fraudolenti. Il NAC esegue diversi controlli critici in sequenza:
- Validazione crittografica: Il certificato è matematicamente valido e firmato da una CA radice attendibile?
- Verifica della revoca: Il certificato è inserito in una Certificate Revocation List (CRL) o segnalato tramite l'Online Certificate Status Protocol (OCSP)?
- Valutazione dello stato di sicurezza: Interrogando il MDM tramite API, il NAC verifica: Il dispositivo è conforme? Il sistema operativo è aggiornato con le patch richieste? La crittografia del disco è abilitata?
Se tutti i controlli vengono superati, il NAC invia un messaggio di Access-Accept RADIUS, che in genere contiene attributi specifici del fornitore (VSA) che assegnano dinamicamente il dispositivo a una specifica VLAN o applicano liste di controllo degli accessi (ACL). I dispositivi non conformi vengono inseriti in una VLAN di remediation con permessi limitati - solitamente sufficienti solo a ad attivare flussi di lavoro di remediation gestiti dal MDM.

Segregazione della Rete Guest
In qualsiasi tipo di locale, l'infrastruttura aziendale deve essere rigorosamente segregata dalle reti rivolte al pubblico. La piattaforma di WiFi per ospiti opera interamente su SSID e VLAN separati, senza percorsi instradati verso le risorse aziendali. L'architettura SCEP-NAC governa il livello aziendale; il livello ospiti è controllato dall'autenticazione tramite Captive Portal e dai flussi di lavoro di acquisizione dati. Per i locali che implementano WiFi Analytics , questa segregazione è un prerequisito - i dati analitici fluiscono attraverso la rete ospiti, mentre i dati operativi fluiscono attraverso la rete aziendale autenticata tramite certificato. Per ulteriori informazioni sull'architettura RF sottostante che supporta entrambe le reti, consultare la Guida 2026 alle frequenze WiFi .
Guida all'implementazione
La distribuzione di questa architettura richiede una sequenza attenta per evitare di bloccare gli utenti legittimi durante la transizione.
Passaggio 1: Preparazione della PKI e del protocollo SCEP
Stabilire una PKI interna robusta o sfruttare un servizio PKI gestito basato su cloud (mPKI). Distribuire e proteggere il server SCEP - se si utilizza Microsoft NDES, assicurarsi che venga eseguito su un server dedicato anziché in co-locazione con la CA. Configurare il server SCEP per l'utilizzo di password di verifica dinamiche generate per dispositivo dall'MDM, anziché un segreto condiviso statico. Questo impedisce richieste di certificato non autorizzate nel caso in cui l'URL SCEP venga scoperto.
Passaggio 2: Configurazione dell'MDM
Creare il payload SCEP nella piattaforma MDM. Definire attentamente i campi Subject Alternative Name (SAN) - il SAN deve contenere identificatori univoci (come il numero di serie del dispositivo o l'UPN dell'utente) che il NAC utilizzerà per le decisioni relative ai criteri. Distribuire inizialmente il profilo a un gruppo pilota di dispositivi del team IT e convalidare l'intero flusso di registrazione prima di qualsiasi distribuzione più ampia.
Passaggio 3: Configurazione di NAC e RADIUS
Configurare il NAC per considerare attendibile la CA radice che ha emesso i certificati client. Installare un certificato server sul server RADIUS per l'autenticazione reciproca EAP-TLS. Definire i criteri di accesso in base agli attributi del certificato e allo stato di conformità MDM. Implementare regole di assegnazione dinamica della VLAN: dispositivi aziendali conformi alla VLAN aziendale, dispositivi non conformi alla VLAN di remediation e dispositivi IoT a una VLAN dedicata e limitata a Internet.
Passaggio 4: Integrazione dell'infrastruttura di rete
Configurare switch e access point wireless per lo standard 802.1X. Per scenari con hardware POS legacy negli ambienti del settore retail , o controller per camere smart nei locali del settore hospitality , implementare il MAC Authentication Bypass (MAB) come alternativa per i dispositivi che non possono partecipare a EAP-TLS. Limitare il MAB a porte di switch specifiche e assicurarsi che il database degli indirizzi MAC sia controllato rigorosamente. Per gli ambienti del settore sanitario e del settore trasporti , configurare le regole di valutazione della postura per soddisfare i requisiti di conformità specifici del settore.
Passaggio 5: Implementazione parallela e transizione
Non effettuare mai la transizione immediatamente. Trasmetti il nuovo SSID 802.1X in parallelo alla rete esistente. Distribuisci il nuovo profilo WiFi tramite MDM. Monitora l'adozione e risolvi gli errori di registrazione. Quando più del 95% dei dispositivi si autentica con successo sul nuovo SSID, disattiva la rete legacy.
Best Practice
Imponi EAP-TLS. Non accettare mai EAP-PEAP o EAP-TTLS come metodo di autenticazione primario per i dispositivi aziendali. Questi metodi si basano su credenziali nome utente/password all'interno di un tunnel TLS e rimangono vulnerabili alla raccolta di credenziali. L'autenticazione EAP-TLS elimina completamente questa superficie di attacco.
Implementa la revoca in tempo reale. I download pianificati delle CRL creano finestre di esposizione. Configura il NAC per eseguire controlli OCSP in tempo reale. Quando un dispositivo viene segnalato come smarrito o rubato, revoca il certificato presso la CA e il dispositivo perderà l'accesso alla rete al successivo tentativo di autenticazione - o immediatamente, se è implementato il Change of Authorisation (CoA).
Imposta periodi di validità dei certificati ragionevoli. Un periodo di validità di un anno, con rinnovo SCEP automatico attivato 30 giorni prima della scadenza, rappresenta lo standard del settore. Una validità più lunga aumenta la finestra di esposizione in caso di compromissione del certificato; una validità più breve aumenta il rischio che errori di rinnovo causino interruzioni del servizio.
Segrega l'IoT in modo rigoroso. I dispositivi IoT non dovrebbero mai condividere una VLAN con gli endpoint aziendali. Utilizza il NAC per applicare ACL rigide sulla VLAN IoT, consentendo solo i protocolli e le destinazioni specifici richiesti da ciascuna classe di dispositivi. Per le sedi che implementano servizi di localizzazione, consulta la guida Indoor WiFi Positioning Systems: How They Work and How to Deploy Them per scoprire come l'infrastruttura di posizionamento si integra con l'architettura di rete più ampia.
Allineati con WPA3. Laddove l'hardware lo supporti, configura gli SSID aziendali per utilizzare WPA3-Enterprise, che impone i Protected Management Frames (PMF) e fornisce una protezione crittografica più solida rispetto a WPA2. Per dettagli su come questo si inserisce nel panorama più ampio della connettività aziendale, consulta SD-WAN vs MPLS: A 2026 Guide to Enterprise Networking .
Risoluzione dei problemi e mitigazione dei rischi
| Modalità di guasto | Causa principale | Mitigazione |
|---|---|---|
| I dispositivi falliscono l'autenticazione EAP-TLS dopo il rinnovo del certificato | Il rinnovo SCEP fallisce in modo silenzioso | Monitora i log del server SCEP; imposta avvisi per gli invii CSR falliti |
| La convalida del certificato fallisce a causa del disallineamento dell'orologio | Configurazione errata di NTP | Imponi la sincronizzazione NTP su tutti gli endpoint e sull'infrastruttura |
| I dispositivi IoT non riescono a eseguire l'autenticazione | Assenza di un supplicant 802.1X | Implementa MAB con controlli rigorosi sugli indirizzi MAC e una VLAN isolata |
| Blocco di massa dei dispositivi dopo la migrazione della CA | CA radice legacy non considerata attendibile dal NAC | Organizza le migrazioni della CA in fasi; aggiungi la nuova CA radice al trust store del NAC prima di revocare quella vecchia |
| I dispositivi revocati mantengono l'accesso alla rete | Revoca basata solo su CRL con lunghi intervalli di download | Implementa OCSP e CoA per la revoca in tempo reale |
| Per i dispositivi IoT basati su BLE, l'architettura di autenticazione differisce dai terminali connessi via WiFi. Consulta BLE Low Energy Explained for the Enterprise per le considerazioni di sicurezza specifiche che si applicano all'infrastruttura Bluetooth Low Energy. |
ROI e Impatto Aziendale
Il business case per l'integrazione SCEP-NAC-MDM è evidente se confrontato con il costo delle alternative.
| Metrica | Prima dell'implementazione | Dopo l'implementazione |
|---|---|---|
| Ticket del service desk IT (accesso alla rete) | Elevati - reimpostazioni password, rotazioni delle chiavi | Quasi zero - ciclo di vita dei certificati automatizzato |
| Tempo medio per revocare un dispositivo compromesso | Ore (processo manuale) | Secondi (OCSP + CoA) |
| Conformità al controllo degli accessi PCI-DSS | Manuale, ad alta intensità di audit | Automatizzata, applicata continuamente |
| Tempo di onboarding BYOD | 15-30 minuti per dispositivo | Meno di 5 minuti con zero intervento IT |
Per un parco dispositivi di 500 unità, l'eliminazione della gestione manuale dei certificati e dei ticket del service desk legati alle password riduce tipicamente i costi operativi del supporto IT di rete del 25-35%. Il valore di mitigazione del rischio - evitando una singola violazione basata sulle credenziali - supera abitualmente l'intero costo di implementazione. Per le organizzazioni del settore pubblico e sanitario vincolate dal GDPR, la capacità di dimostrare un controllo degli accessi automatizzato e verificabile rappresenta un significativo vantaggio in termini di conformità.
Definizioni chiave
SCEP (Simple Certificate Enrollment Protocol)
Un protocollo che automatizza l'emissione e la revoca di certificati digitali ai dispositivi senza l'intervento dell'utente, fungendo da livello di comunicazione tra la piattaforma MDM e l'Autorità di Certificazione.
Utilizzato dalle piattaforme MDM per distribuire in modo trasparente certificati X.509 a migliaia di endpoint su scala. I team IT utilizzano SCEP durante la configurazione dei profili MDM per l'autenticazione WiFi 802.1X.
NAC (Network Access Control)
Una soluzione di sicurezza che applica policy sui dispositivi che cercano di accedere all'infrastruttura di rete, valutando le credenziali di autenticazione, la validità dei certificati e lo stato di conformità del dispositivo prima di concedere l'accesso.
Agisce come custode al perimetro della rete. I team IT configurano le policy NAC per definire quali dispositivi hanno accesso a quali VLAN in base ai loro attributi di certificato e allo stato di conformità MDM.
MDM (Mobile Device Management)
Software utilizzato dai dipartimenti IT per monitorare, gestire e proteggere gli endpoint dei dipendenti su più sistemi operativi, fungendo da fonte centrale di verità per l'identità e la conformità dei dispositivi.
L'iniziatore del processo di registrazione SCEP e la fonte dei dati sullo stato del dispositivo interrogati dal NAC. Senza l'integrazione MDM, il NAC non può eseguire il controllo degli accessi basato sullo stato di conformità.
IEEE 802.1X
Uno standard IEEE per il controllo degli accessi alla rete basato su porte che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN, richiedendo un'autenticazione corretta prima dell'apertura della porta.
Il protocollo sottostante che costringe i dispositivi ad autenticarsi prima che lo switch o l'access point consentano il passaggio di qualsiasi traffico. Configurato sia sull'infrastruttura di rete che sul supplicant 802.1X del dispositivo.
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
Lo standard EAP più sicuro, che richiede un'autenticazione reciproca in cui sia il dispositivo client che il server RADIUS devono presentare certificati digitali validi, eliminando gli attacchi alle credenziali basati su password.
Il gold standard per la sicurezza wireless aziendale. Gli architetti IT dovrebbero imporre EAP-TLS rispetto a PEAP o TTLS ovunque sia presente un'infrastruttura di certificati di dispositivo.
CSR (Certificate Signing Request)
Un blocco di testo codificato generato da un dispositivo contenente la sua chiave pubblica e i dettagli di identità, inviato all'Autorità di Certificazione per richiedere un certificato X.509 firmato.
Generata automaticamente dal dispositivo durante il processo di registrazione SCEP. La chiave privata corrispondente alla CSR non lascia mai il dispositivo, garantendo che il certificato non possa essere duplicato.
MAB (MAC Authentication Bypass)
Un metodo di autenticazione di fallback in cui la rete utilizza l'indirizzo MAC hardware del dispositivo come credenziale, utilizzato per i dispositivi che non dispongono della funzionalità supplicant 802.1X.
Utilizzato per dispositivi IoT legacy come stampanti, sensori e controller di sale intelligenti che non possono partecipare a EAP-TLS. Dovrebbe sempre tradursi nell'assegnazione a una VLAN altamente limitata.
OCSP (Online Certificate Status Protocol)
Un protocollo internet utilizzato per ottenere lo stato di revoca di un certificato digitale X.509 in tempo reale, fornendo un'alternativa al download e all'analisi delle Certificate Revocation List (liste di revoca dei certificati).
Fondamentale per i sistemi NAC che devono bloccare immediatamente l'accesso alla rete quando un dispositivo è compromesso o segnalato come rubato. OCSP fornisce lo stato in tempo reale; i download delle CRL creano una finestra temporale di vulnerabilità prima della revoca.
CoA (Change of Authorization)
Un'estensione RADIUS (RFC 5176) che consente al NAC di modificare o terminare dinamicamente una sessione di rete attiva senza attendere la scadenza della sessione o la ri-autenticazione del dispositivo.
Utilizzato per disconnettere immediatamente un dispositivo quando il suo certificato viene revocato o il suo stato di conformità MDM cambia. Essenziale per l'applicazione in tempo reale del modello zero-trust.
Esempi pratici
Un resort di lusso da 500 camere deve proteggere la propria rete operativa per il personale di servizio. Lo staff utilizza tablet condivisi per la gestione delle pulizie, mentre il management utilizza laptop aziendali. L'attuale rete WPA2-PSK ha subìto più volte la compromissione della chiave pre-condivisa, provocando due incidenti di sicurezza nell'ultimo anno. In che modo il team IT dovrebbe passare all'autenticazione basata su certificati senza interrompere le attività operative?
Fase 1 - Preparazione (Settimane 1–2): Distribuire una soluzione cloud RADIUS/NAC e integrarla con il MDM esistente. Configurare un profilo SCEP nel MDM per distribuire certificati basati sul dispositivo a tutti i tablet e laptop. Utilizzare certificati basati sul dispositivo (collegati al numero di serie del dispositivo) anziché certificati basati sull'utente, in modo che i tablet condivisi si autentichino automaticamente indipendentemente da quale membro dello staff li stia utilizzando. Fase 2 - Distribuzione parallela (Settimane 3–4): Trasmettere un nuovo SSID nascosto configurato per 802.1X EAP-TLS. Inviare il nuovo profilo WiFi tramite MDM a tutti i dispositivi registrati. Monitorare la dashboard del NAC per verificare le autenticazioni andate a buon fine. Fase 3 - Passaggio definitivo (Settimana 5): Una volta che oltre il 95% dei dispositivi è connesso al nuovo SSID, dismettere la vecchia rete WPA2-PSK. Revocare la vecchia PSK da tutta la documentazione e dagli access point.
Una catena retail nazionale sta distribuendo 3.000 nuovi terminali Point of Sale in 150 negozi. Il team di sicurezza impone una rigida segmentazione della rete PCI-DSS e un accesso zero-trust. La tempistica di distribuzione è di 8 settimane. In che modo SCEP e NAC facilitano questo processo su scala senza richiedere personale IT in ogni negozio?
Pre-distribuzione: Il fornitore dei POS registra preventivamente tutti i 3.000 dispositivi nel MDM del retailer utilizzando il programma di registrazione zero-touch del fornitore. Il MDM viene configurato con un profilo SCEP che si attiverà automaticamente al primo avvio. Distribuzione: Quando un terminale POS viene acceso in negozio, si connette a un SSID di onboarding temporaneo (solo internet, nessun accesso aziendale). Viene inviato il profilo MDM, si attiva il payload SCEP e il dispositivo richiede e riceve il suo certificato X.509 dalla CA. Il MDM invia quindi il profilo WiFi aziendale. Accesso alla rete: Quando il POS si connette alla porta dello switch del negozio, lo switch avvia il protocollo 802.1X. Il NAC convalida il certificato, interroga il MDM per confermare che il POS sia conforme (crittografia abilitata, agente MDM attivo, nessun jailbreak rilevato) e assegna dinamicamente la porta dello switch alla VLAN PCI-DSS. Il POS è ora operativo. Non è stato richiesto alcun personale IT in negozio.
Domande di esercitazione
Q1. La tua organizzazione sta migrando da WPA2-Enterprise con PEAP-MSCHAPv2 a EAP-TLS. Durante il pilot, i laptop Windows e gli iPhone si connettono correttamente, ma 200 scanner di codici a barre del magazzino non riescono a autenticarsi. Gli scanner supportano l'802.1X ma non possono elaborare il payload SCEP dal MDM - eseguono un sistema operativo proprietario integrato senza supporto per l'agente MDM. Qual è la soluzione architetturale più sicura che mantiene la segmentazione della rete senza richiedere la sostituzione degli scanner?
Suggerimento: Considera meccanismi alternativi di distribuzione dei certificati che non richiedano un agente MDM e quali controlli di segmentazione della rete dovrebbero applicarsi ai dispositivi che non possono partecipare a una valutazione completa della postura.
Visualizza risposta modello
Poiché gli scanner supportano l'802.1X ma non lo SCEP o la registrazione MDM, l'approccio più sicuro consiste nel fornire manualmente i certificati del dispositivo utilizzando un modello di certificato dedicato con un profilo di utilizzo delle chiavi limitato. I certificati vengono installati una sola volta durante una finestra di manutenzione. Il NAC è configurato per accettare questi certificati ma assegnare gli scanner a una VLAN dedicata alle operazioni di magazzino con ACL rigorose - non la VLAN aziendale completa - perché la valutazione della postura non è possibile. In alternativa, se il provisioning manuale dei certificati non è scalabile a livello operativo, configurare il MAB come fallback specificamente per le OUI MAC dell'hardware dello scanner, con il NAC che li assegna alla stessa VLAN limitata. Registra questa eccezione nota nel registro dei rischi e pianifica la sostituzione dello scanner nel prossimo ciclo di aggiornamento hardware.
Q2. Un responsabile della sicurezza di rete nota che quando un dipendente segnala il furto di un laptop, l'MDM invia un comando di inizializzazione remota, ma il dispositivo rimane connesso alla rete WiFi aziendale fino a 12 ore - l'attuale timeout della sessione RADIUS. Durante questa finestra, il dispositivo potrebbe essere utilizzato per esfiltrare dati. Come dovrebbe essere modificata l'architettura per interrompere l'accesso alla rete immediatamente dopo la segnalazione del furto del dispositivo?
Suggerimento: Il NAC deve essere informato del cambio di stato istantaneamente anziché attendere il ciclo di autenticazione successivo. Considera sia il meccanismo di terminazione della sessione sia il meccanismo di prevenzione della ri-autenticazione.
Visualizza risposta modello
Implementa due controlli complementari. Innanzitutto, configura l'MDM per inviare un webhook al NAC immediatamente dopo che un dispositivo è stato contrassegnato come smarrito o rubato. Il NAC invia quindi un messaggio RADIUS Change of Authorization (CoA) Disconnect-Request all'access point specifico o alla porta dello switch, terminando immediatamente la sessione attiva. In secondo luogo, revoca il certificato del dispositivo nella CA e assicurati che il NAC sia configurato per il controllo OCSP in tempo reale anziché per la revoca basata su CRL. Ciò significa che anche se il dispositivo si riconnette prima che il CoA venga elaborato, l'autenticazione EAP-TLS fallirà al controllo OCSP. Entrambi i controlli insieme riducono la finestra di esposizione da 12 ore a meno di 60 secondi.
Q3. Durante un audit di sicurezza della rete di un grande centro congressi, si scopre che il server SCEP è esposto a internet pubblico utilizzando una password di verifica statica per consentire la registrazione remota dei dispositivi. L'auditor lo segnala come una vulnerabilità critica. Come dovrebbe essere riprogettato il processo di registrazione SCEP per mantenere la capacità di registrazione remota eliminando al contempo il rischio legato alla password statica?
Suggerimento: Il server SCEP ha bisogno di un modo per verificare che il dispositivo che richiede un certificato sia effettivamente autorizzato dall'MDM, senza fare affidamento su un segreto condiviso che potrebbe essere estratto da un dispositivo o intercettato.
Visualizza risposta modello
Sostituire la password di verifica statica con password di verifica monouso dinamiche per singolo dispositivo generate dall'MDM. Il flusso di lavoro diventa: (1) L'MDM genera una password di verifica univoca a tempo limitato per ciascun dispositivo durante la registrazione. (2) L'MDM include questa verifica nel payload SCEP inviato al dispositivo. (3) Il dispositivo include la verifica nella sua CSR. (4) Il server SCEP convalida la verifica con l'MDM tramite API prima di inoltrare la CSR alla CA. (5) La verifica viene invalidata immediatamente dopo l'uso. Questo garantisce che solo i dispositivi gestiti dall'MDM possano ottenere correttamente un certificato e che, anche se l'URL SCEP venisse scoperto, un utente malintenzionato non possa generare certificati validi senza una verifica monouso valida. Inoltre, limitare il server SCEP al solo HTTPS e implementare l'allowlist degli IP per gli IP di uscita dell'MDM ove possibile.
Continua a leggere questa serie
Staff WiFi vs. Guest WiFi: Best Practices for Corporate Network Segmentation
Una guida tecnica completa per i leader IT sulla segmentazione delle reti WiFi per il personale e gli ospiti. Copre l'architettura VLAN, l'autenticazione 802.1X, le policy dei firewall e l'impatto aziendale di una progettazione di rete sicura.
Soluzioni WiFi per appartamenti: una guida completa per le aziende
Questa guida copre l'architettura, l'implementazione e il business case per le soluzioni WiFi per appartamenti nelle proprietà Build to Rent e nelle unità abitative plurifamiliari. Spiega come la tecnologia Identity Pre-Shared Key (iPSK) crei bolle di rete sicure e isolate per ogni residente, supportando al contempo i dispositivi intelligenti e l'IoT. Gli sviluppatori immobiliari, i proprietari e gli operatori BTR troveranno indicazioni pratiche per l'implementazione, dati sul ROI e scenari di implementazione pratici.
Cox business managed WiFi: a comprehensive guide for businesses
Questa guida spiega in dettaglio come gli sviluppatori immobiliari e gli operatori BTR possano implementare reti scalabili e sicure utilizzando Cox Business managed WiFi. Copre l'architettura di rete, l'implementazione di hardware indipendente dai fornitori e l'impatto aziendale del passaggio della connettività da problema operativo a infrastruttura affidabile.