Metodi EAP a confronto: PEAP, EAP-TLS, EAP-TTLS e EAP-FAST

Questa guida di riferimento tecnico autorevole offre un confronto dettagliato di PEAP, EAP-TLS, EAP-TTLS e EAP-FAST per l'autenticazione WiFi aziendale. Fornisce indicazioni pratiche su postura di sicurezza, complessità di implementazione e compatibilità dei dispositivi per aiutare i responsabili IT e gli architetti di rete a scegliere la strategia di implementazione 802.1X ottimale.

📖 6 minuti di lettura📝 1,483 parole🔧 2 esempi pratici❓ 3 domande di esercitazione📚 8 definizioni chiave

Punti chiave

✓PEAP è il cavallo di battaglia versatile, ideale per ambienti BYOD grazie all'ampio supporto nativo, ma richiede una configurazione rigorosa lato client per prevenire il furto di credenziali.
✓EAP-TLS è il gold standard per la sicurezza, in quanto impone l'autenticazione reciproca dei certificati ed elimina completamente le password, rendendolo perfetto per la conformità PCI DSS.
✓EAP-TLS richiede un'infrastruttura di implementazione significativa, in particolare una PKI robusta e una soluzione MDM per gestire i certificati client.
✓EAP-TTLS fornisce un tunnel sicuro simile a PEAP ma offre la flessibilità di utilizzare protocolli di autenticazione interna più vecchi (come PAP), rendendolo utile per archivi di identità non Microsoft.
✓EAP-FAST utilizza Protected Access Credentials (PAC) anziché certificati, rimanendo rilevante principalmente in ambienti legacy incentrati su Cisco o in specifici ambienti IoT.
✓Indipendentemente dal metodo scelto, l'automazione della gestione del ciclo di vita dei certificati è fondamentale per prevenire interruzioni di rete.
✓La piattaforma di Purple si integra perfettamente con i server RADIUS che supportano tutti i principali metodi EAP, abilitando basi sicure per l'analisi avanzata delle sedi.

📚 Part of our core series: Sicurezza e autenticazione WiFi aziendale: la guida completa →

Sintesi esecutiva

Per i responsabili IT e gli architetti di rete aziendali, la scelta del giusto metodo EAP (Extensible Authentication Protocol) è una decisione critica che bilancia postura di sicurezza, complessità di implementazione ed esperienza utente. Man mano che le organizzazioni superano le vulnerabili chiavi pre-condivise (PSK) per passare all'autenticazione 802.1X, la scelta si restringe in genere a quattro metodi principali: PEAP, EAP-TLS, EAP-TTLS e EAP-FAST. Questa guida fornisce un confronto tecnico diretto di questi metodi, consentendovi di prendere decisioni architetturali informate per il vostro Guest WiFi e per le reti aziendali interne. Esamineremo le differenze di sicurezza tra i metodi con tunnel basati su password e l'autenticazione reciproca tramite certificati, valuteremo quando i metodi specifici sono appropriati e forniremo indicazioni pratiche per l'implementazione nei moderni ambienti aziendali.

Approfondimento tecnico: Metodi EAP a confronto

PEAP (Protected EAP)

PEAP è ampiamente considerato il cavallo di battaglia aziendale per l'autenticazione 802.1X. Sviluppato congiuntamente da Cisco, Microsoft e RSA Security, crea un tunnel TLS crittografato utilizzando un certificato lato server. All'interno di questo tunnel sicuro, il client si autentica utilizzando un metodo legacy, più comunemente MSCHAPv2.

Il vantaggio principale di PEAP è il suo supporto nativo quasi universale nei moderni sistemi operativi, inclusi Windows, macOS, iOS e Android. Poiché richiede solo un certificato sul server RADIUS e non sui dispositivi client, l'implementazione è notevolmente meno complessa rispetto alle alternative basate su certificati. Ciò rende PEAP estremamente interessante per gli ambienti BYOD (Bring Your Own Device) o per grandi spazi pubblici come gli hub di Trasporti dove la gestione dei certificati client non è pratica.

Tuttavia, l'affidamento di PEAP alle password (tramite MSCHAPv2) introduce rischi per la sicurezza. Se un dispositivo client non è configurato rigorosamente per convalidare il certificato del server, gli utenti possono essere indotti a connettersi a un access point non autorizzato (un attacco "evil twin"). L'AP non autorizzato può quindi catturare la richiesta-risposta MSCHAPv2, che può essere decifrata offline per recuperare la password dell'utente. Pertanto, l'imposizione di una convalida rigorosa del certificato del server tramite Group Policy o MDM è un controllo di sicurezza obbligatorio quando si distribuisce PEAP.

EAP-TLS (EAP-Transport Layer Security)

EAP-TLS rappresenta il gold standard per la sicurezza wireless aziendale. A differenza di PEAP, EAP-TLS richiede l'autenticazione reciproca dei certificati. Sia il server RADIUS che il dispositivo client devono presentare un certificato digitale valido prima che venga concesso qualsiasi accesso alla rete.

Questa autenticazione reciproca elimina completamente la necessità di password, rendendo inefficaci il furto di credenziali, gli attacchi con dizionario e gli attacchi da AP non autorizzati. Se un dispositivo non dispone del certificato client corretto, semplicemente non può connettersi alla rete. Per le organizzazioni soggette a severi requisiti normativi, come PCI DSS nel settore Retail o HIPAA in Sanità , EAP-TLS è l'approccio fortemente raccomandato.

Il compromesso per questa maggiore sicurezza è la complessità di implementazione. L'implementazione di EAP-TLS richiede una solida infrastruttura a chiave pubblica (PKI) per emettere, rinnovare e revocare i certificati. Richiede inoltre una soluzione di Mobile Device Management (MDM), como Microsoft Intune o Jamf, per distribuire in modo sicuro questi certificati agli endpoint. Per indicazioni sugli ambienti Apple, consultate la nostra guida su Jamf e RADIUS: Autenticazione WiFi basata su certificato per flotte di dispositivi Apple . EAP-TLS è la scelta ottimale per flotte di dispositivi gestiti e di proprietà aziendale in cui la sicurezza è fondamentale.

EAP-TTLS (EAP Tunneled TLS)

EAP-TTLS, sviluppato congiuntamente da Funk Software e Certicom, funziona in modo simile a PEAP stabilendo un tunnel TLS crittografato tramite un certificato lato server. Il fattore di differenziazione chiave è la sua flessibilità riguardo al metodo di autenticazione interna. Mentre PEAP è strettamente legato a MSCHAPv2, EAP-TTLS può incapsulare quasi tutti i protocolli di autenticazione, inclusi PAP, CHAP o MSCHAP, in modo sicuro all'interno del tunnel.

Questa flessibilità rende EAP-TTLS estremamente prezioso in ambienti che devono eseguire l'autenticazione rispetto a directory LDAP legacy, proxy RADIUS o archivi di identità non Microsoft che non supportano nativamente MSCHAPv2. È notoriamente il protocollo alla base di eduroam, il servizio di accesso in roaming globale per la comunità internazionale della ricerca e dell'istruzione. Storicamente, il supporto nativo dei client per EAP-TTLS era meno diffuso rispetto a PEAP, richiedendo spesso supplicant di terze parti su versioni precedenti di Windows, ma i moderni sistemi operativi offrono ora un solido supporto nativo.

EAP-FAST (Flexible Authentication via Secure Tunneling)

Sviluppato da Cisco come rapida sostituzione del vulnerabile protocollo LEAP, EAP-FAST è stato progettato per fornire un'autenticazione sicura senza il requisito rigoroso di implementare certificati digitali. Invece di utilizzare un certificato server per stabilire il tunnel sicuro, EAP-FAST si basa sulle Protected Access Credentials (PAC) — blocchi di dati opachi forniti dinamicamente ai client dal server di autenticazione.

EAP-FAST è caratterizzato da rapide capacità di ripresa della sessione. Sebbene fornisca un tunnel sicuro e crittografato, la sua dipendenza dalle PAC anziché dai certificati standard X.509 lo rende in qualche modo proprietario e meno allineato con le moderne architetture zero-trust indipendenti dai fornitori. Oggi, EAP-FAST è rilevante principalmente in ambienti legacy incentrati su Cisco, in specifiche implementazioni IoT o in dispositivi rugged specializzati. Per la maggior parte delle nuove implementazioni aziendali, si preferiscono PEAP o EAP-TLS.

Guida all'implementazione

L'implementazione dell'autenticazione 802.1X richiede un'attenta pianificazione dell'intero stack di rete, dagli access point wireless all'infrastruttura RADIUS e agli identity provider. Durante l'integrazione con la piattaforma di Purple, i nostri server RADIUS supportano tutti i principali metodi EAP, garantendo un'autenticazione fluida prima che gli utenti interagiscano con funzionalità come Wayfinding o WiFi Analytics .

Passaggio 1: Definire la strategia di autenticazione

Valuta la tua flotta di endpoint. Se i dispositivi sono di proprietà aziendale e gestiti tramite MDM, punta a EAP-TLS. Se supporti il BYOD, PEAP è la scelta più pragmatica. Assicurati che il tuo identity provider (Active Directory, Google Workspace, Okta) supporti i protocolli richiesti (ad es. MSCHAPv2 per PEAP).

Passaggio 2: Gestione dei certificati

Per tutti i metodi eccetto EAP-FAST, è necessario distribuire un certificato server sul server RADIUS. Idealmente, questo certificato dovrebbe essere emesso da una Certificate Authority (CA) pubblica attendibile per ridurre al minimo gli avvisi di attendibilità lato client, sebbene sia possibile utilizzare una CA aziendale interna se si controllano tutti gli endpoint. Per EAP-TLS, stabilisci la tua PKI e configura il tuo MDM per fornire automaticamente i certificati client con le corrette mappature Subject Alternative Name (SAN).

Passaggio 3: Configurazione di RADIUS e degli Access Point

Configura i tuoi access point wireless per utilizzare WPA2-Enterprise o WPA3-Enterprise, indirizzandoli agli indirizzi IP del tuo server RADIUS con i segreti condivisi corretti. Sul server RADIUS, definisci i criteri di rete, specificando i metodi EAP consentiti e mappando le autenticazioni andate a buon fine sulle VLAN appropriate in base all'appartenenza al gruppo di utenti o dispositivi.

Passaggio 4: Configurazione del supplicant dell'endpoint

Questo è il passaggio più critico per la sicurezza. Per PEAP, utilizza l'MDM o le Group Policy per inviare un profilo WiFi preconfigurato ai dispositivi. Questo profilo DEVE specificare esplicitamente i nomi dei server RADIUS attendibili e la Root CA attendibile che ha emesso il certificato del server. Aspetto fondamentale, disabilita l'opzione che chiede agli utenti di considerare attendibili nuovi server o certificati.

Best Practice

Non affidarsi mai al giudizio dell'utente per i certificati: Quando si distribuisce PEAP o EAP-TTLS, preconfigura sempre i supplicant degli endpoint affinché considerino attendibili certificati server specifici. Affidarsi agli utenti che fanno clic su "Accetta" su un avviso di certificato compromette l'intero modello di sicurezza e espone la rete ad attacchi di rogue AP.
Automatizzare la gestione del ciclo di vita dei certificati: La scadenza dei certificati è una delle cause principali delle interruzioni di 802.1X. Implementa processi automatizzati di monitoraggio e rinnovo sia per i certificati del server RADIUS che per i certificati client nelle distribuzioni EAP-TLS.
Implementare WPA3-Enterprise: Laddove il supporto dei client lo consenta, passa a WPA3-Enterprise. Questo impone l'uso di Protected Management Frames (PMF) e offre un'opzione di suite di sicurezza a 192 bit, fornendo protezioni crittografiche più forti rispetto a WPA2.
Segmentare la rete: Utilizza gli attributi RADIUS (come Filter-Id o Tunnel-Private-Group-Id) to dynamically assign authenticated users to specific VLANs based on their role, isolando il traffico guest dalle risorse aziendali. Per saperne di più sulla progettazione di reti moderne, consulta I vantaggi principali di SD-WAN per le aziende moderne .

Risoluzione dei problemi e mitigazione dei rischi

Le modalità di errore comuni nelle distribuzioni EAP riguardano in genere la convalida dei certificati e l'integrazione con l'identity provider.

Sintomo: I client non riescono a connettersi dopo un aggiornamento del server RADIUS.
- Rischio: Il nuovo certificato del server non è stato emesso dalla Root CA considerata attendibile dai client, oppure il nome del server è cambiato.
- Mitigazione: Testa sempre i rollover dei certificati in un ambiente di staging. Assicurati che la nuova catena di certificati sia completamente attendibile per tutti i profili di endpoint prima di applicarla alla produzione.
Sintomo: I dispositivi iOS si connettono correttamente, ma i dispositivi Windows falliscono.
- Rischio: I supplicant di Windows sono spesso più severi nella convalida della Server Name Indication (SNI) o degli attributi EKU (Extended Key Usage) specifici sul certificato del server.
- Mitigazione: Verifica che il certificato del server includa l'EKU 'Server Authentication' e che la SAN corrisponda al nome configurato nel profilo WiFi di Windows.

ROI e impatto aziendale

Il passaggio a un metodo EAP robusto offre un valore aziendale significativo che va oltre la semplice sicurezza. Eliminando le password condivise, i team IT riducono il sovraccarico operativo dei ticket di helpdesk relativi alla reimpostazione delle password o a PSK compromesse. In ambienti come l' Hospitality , dove il turnover del personale può essere elevato, l'autenticazione basata su certificati (EAP-TLS) garantisce che l'accesso venga revocato automaticamente quando un dispositivo viene inizializzato o un certificato scade, senza dover modificare una password globale.

Inoltre, un'autenticazione forte è un prerequisito per i framework di conformità come PCI DSS e GDPR. Dimostrando controlli di accesso robusti, le organizzazioni mitigano il rischio di sanzioni normative e danni alla reputazione associati alle violazioni dei dati. Per uno sguardo più ampio sull'aggiornamento dell'infrastruttura delle strutture, consulta Soluzioni WiFi moderne per l'hospitality che i tuoi ospiti meritano .

Briefing del podcast

Ascolta il nostro briefing tecnico di 10 minuti sui metodi EAP, che copre le strategie di implementazione e gli errori comuni: eap_methods_compared_peap_eap_tls_eap_ttls_and_eap_fast_podcast.wav

Definizioni chiave

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN.

I team IT implementano l'802.1X per sostituire le password condivise non sicure (PSK) con un'autenticazione personalizzata di livello aziendale.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e contabilità (AAA) per gli utenti che si connettono e utilizzano un servizio di rete.

Il server RADIUS funge da cervello centrale di un'implementazione 802.1X, verificando le credenziali rispetto a un provider di identità e indicando all'access point se consentire la connessione.

Supplicant

Il client software su un dispositivo endpoint (laptop, smartphone) che comunica con l'autenticatore (access point) per negoziare l'accesso alla rete tramite 802.1X.

I supplicant configurati in modo errato sono la causa principale delle vulnerabilità di sicurezza nelle implementazioni PEAP, in particolare quando la convalida del certificato del server è disabilitata.

Mutual Authentication

Un processo di sicurezza in cui entrambe le entità in un collegamento di comunicazione si autenticano a vicenda (ad es. il client verifica il server e il server verifica il client).

Cruciale per prevenire attacchi da AP non autorizzati; EAP-TLS la impone intrinsecamente, mentre PEAP richiede una configurazione rigorosa del supplicant per ottenere la verifica da client a server.

PKI (Public Key Infrastructure)

Un insieme di ruoli, policy, hardware, software e procedure necessari per creare, gestire, distribuire, utilizzare, memorizzare e revocare certificati digitali.

Una PKI robusta è il prerequisito per l'implementazione di EAP-TLS, rappresentando spesso la barriera all'ingresso più grande per i team IT più piccoli.

Evil Twin Attack

Un access point wireless non autorizzato che si maschera da rete aziendale legittima per intercettare le comunicazioni wireless o rubare credenziali.

Questo è il principale vettore di minaccia contro le implementazioni PEAP configurate in modo errato, in cui i client non convalidano il certificato del server RADIUS.

PAC (Protected Access Credential)

Un segreto condiviso forte fornito dinamicamente a un client da un server di autenticazione, utilizzato specificamente in EAP-FAST per stabilire un tunnel sicuro.

Le PAC consentono a EAP-FAST di fornire un'autenticazione sicura senza richiedere l'implementazione di certificati digitali.

MDM (Mobile Device Management)

Software di sicurezza utilizzato da un reparto IT per monitorare, gestire e proteggere i dispositivi mobili dei dipendenti tra più fornitori di servizi mobili e diversi sistemi operativi mobili.

L'MDM è essenziale per le moderne implementazioni EAP-TLS, consentendo all'IT di inviare silenziosamente certificati client e profili WiFi rigorosi ai dispositivi aziendali.

Esempi pratici

Una catena di vendita al dettaglio nazionale deve implementare un WiFi sicuro per i tablet dei punti vendita (POS) in 500 negozi. I tablet sono di proprietà aziendale e gestiti tramite Microsoft Intune. Devono essere conformi ai requisiti PCI DSS. Quale metodo EAP dovrebbero implementare e come?

L'organizzazione dovrebbe implementare EAP-TLS. Utilizzando Microsoft Intune, configurerà un profilo SCEP (Simple Certificate Enrollment Protocol) per fornire automaticamente certificati client univoci a ciascun tablet POS. Successivamente, invierà un profilo Wi-Fi tramite Intune che configura i tablet per connettersi utilizzando WPA2/WPA3-Enterprise, specificando EAP-TLS come metodo di autenticazione e selezionando il certificato client fornito. I server RADIUS saranno configurati per autenticare i dispositivi in base a questi certificati, mappandoli su una VLAN limitata conforme a PCI.

Commento dell'esaminatore: EAP-TLS è l'unica scelta corretta in questo caso. Lo standard PCI DSS regola rigorosamente gli ambienti che gestiscono i dati dei titolari di carta. PEAP si baserebbe su password, che sono suscettibili di compromissione e richiedono complesse policy di rotazione. EAP-TLS fornisce un'autenticazione reciproca ed elimina completamente le password, soddisfacendo i rigorosi requisiti di conformità. La gestione dell'implementazione tramite Intune annulla la complessità tradizionalmente associata a EAP-TLS.

Una grande università deve fornire un WiFi sicuro a 20.000 studenti che utilizzano un mix di laptop personali, smartphone e tablet (BYOD). L'università utilizza Active Directory per la gestione delle identità. Come dovrebbero approcciare l'802.1X?

L'università dovrebbe implementare PEAP con MSCHAPv2. Installerà un certificato server da una Certificate Authority pubblica nota (ad es. DigiCert, Let's Encrypt) sui propri server RADIUS. Per garantire la sicurezza, deve fornire uno strumento di onboarding (come SecureW2 o un'app personalizzata) che configuri automaticamente i dispositivi degli studenti. Questo strumento creerà il profilo WiFi, definirà esplicitamente i nomi dei server RADIUS attendibili e imporrà la convalida del certificato del server, impedendo agli studenti di connettersi ad AP non autorizzati.

Commento dell'esaminatore: PEAP è la scelta pragmatica per implementazioni BYOD massive, poiché il rilascio e la gestione di 20.000 certificati client per dispositivi non gestiti (EAP-TLS) rappresentano un incubo operativo. Il fattore critico di successo in questo caso è lo strumento di onboarding. Se gli studenti configurano manualmente i propri dispositivi, probabilmente non riusciranno a configurare correttamente la convalida del server, lasciando le proprie credenziali Active Directory vulnerabili all'intercettazione.

Domande di esercitazione

Q1. La tua organizzazione sta migrando da Google Workspace a un nuovo provider di identità basato su cloud che supporta solo LDAP e non supporta MSCHAPv2. È necessario mantenere il WiFi 802.1X esistente basato su password per i dispositivi legacy. Quale metodo EAP devi configurare sul tuo server RADIUS?

Suggerimento: Considera quale metodo con tunnel consente protocolli di autenticazione interna diversi da MSCHAPv2.

Visualizza risposta modello

È necessario configurare EAP-TTLS. A differenza di PEAP, che dipende fortemente da MSCHAPv2 per l'autenticazione interna, EAP-TTLS può incapsulare protocolli più vecchi come PAP o CHAP all'interno del suo tunnel TLS sicuro, consentendogli di interfacciarsi con directory LDAP che non supportano MSCHAPv2.

Q2. Un audit di sicurezza rivela che le password Active Directory degli utenti vengono compromesse quando collegano i loro smartphone a reti WiFi pubbliche nei bar. Gli aggressori trasmettono l'SSID aziendale. La tua implementazione attuale utilizza PEAP. Come puoi mitigare questo problema senza cambiare il metodo EAP?

Suggerimento: Il problema è che i dispositivi client si fidano ciecamente dell'AP non autorizzato. Come si costringe il client a verificare che stia comunicando con la vera rete aziendale?

Visualizza risposta modello

È necessario configurare i supplicant degli endpoint (tramite MDM o Group Policy) per imporre una convalida rigorosa del certificato del server. Il profilo WiFi deve specificare esplicitamente i nomi dei server RADIUS aziendali attendibili e la Root CA specifica che ha emesso i loro certificati. Inoltre, è necessario disabilitare l'impostazione che richiede agli utenti di considerare attendibili i certificati sconosciuti, garantendo che la connessione fallisca silenziosamente se il server non è autenticato.

Q3. Stai implementando una flotta di scanner di codici a barre rugged in un magazzino. I dispositivi eseguono un sistema operativo embedded legacy che non supporta WPA2-Enterprise o i certificati 802.1X standard, ma supportano Cisco Compatible Extensions (CCX). Hai bisogno di un'autenticazione sicura. Qual è il metodo EAP più probabile da utilizzare?

Suggerimento: Cerca il protocollo sviluppato specificamente da Cisco per ambienti in cui l'implementazione dei certificati è complessa o impossibile.

Visualizza risposta modello

EAP-FAST è la scelta appropriata in questo caso. È stato progettato da Cisco specificamente per ambienti in cui l'implementazione dei certificati non è pratica. Utilizza Protected Access Credentials (PAC) fornite dinamicamente per stabilire il tunnel sicuro, rendendolo adatto a hardware legacy o specializzato che supporta CCX ma è privo di solide funzionalità PKI.

Continua a leggere questa serie

PSK per dispositivo per fornitore: confronto tra iPSK, DPSK, MPSK e PPSK (e supporto WPA3)

Un confronto completo delle implementazioni PSK per dispositivo tra Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet e Ubiquiti UniFi. Scopri come WPA3-SAE influisce sulle strategie delle chiavi per dispositivo e quando distribuire le modalità di transizione rispetto al passaggio a 802.1X.

What Is MAC Address Authentication? When to Use It and When to Avoid It

Questa guida tecnica di riferimento autorevole copre l'autenticazione tramite indirizzo MAC negli ambienti WiFi aziendali — come funziona l'autenticazione MAC basata su RADIUS al Livello 2, le sue vulnerabilità di sicurezza intrinseche (inclusi lo spoofing MAC e l'impatto della randomizzazione MAC a livello di OS), e i precisi contesti operativi in cui rimane uno strumento valido per la gestione di dispositivi IoT e headless. Fornisce indicazioni pratiche per l'implementazione a responsabili IT e architetti di rete in strutture ricettive, retail, sanitarie e del settore pubblico, con esempi pratici, framework decisionali e contesto di integrazione per la piattaforma di guest WiFi e analisi di Purple.

How to Set Up Enterprise WiFi on iOS and macOS with 802.1X

Questa guida autorevole fornisce ai leader IT senior passaggi pratici per l'implementazione del WiFi aziendale 802.1X su dispositivi iOS e macOS. Copre l'autenticazione basata su certificati (EAP-TLS), i profili di configurazione MDM e l'integrazione dell'architettura per proteggere le reti aziendali supportando al contempo le iniziative BYOD.