Mettere in Sicurezza le Reti WiFi per Ospiti: Best Practice e Implementazione

Mettere in Sicurezza le Reti WiFi per Ospiti: Best Practice e Implementazione. Un briefing informativo di Purple WiFi. Introduzione e Contesto. Benvenuti. Se state ascoltando questo briefing, probabilmente siete responsabili IT, architetti di rete o CTO a cui è stato affidato il compito di rendere il WiFi per gli ospiti sia utilizzabile che sicuro, e avete bisogno di un quadro chiaro e pratico su cui lavorare. Questo è esattamente ciò di cui parleremo oggi. Il WiFi per gli ospiti non è più un semplice servizio di cortesia. È un elemento critico dell'infrastruttura che si colloca all'intersezione tra esperienza del cliente, conformità dei dati e sicurezza della rete. E la posta in gioco è più alta di quanto la maggior parte delle organizzazioni si renda conto. Una rete ospiti non segmentata correttamente può fornire a un aggressore un punto di accesso ai sistemi aziendali. Un Captive Portal configurato male può esporvi a responsabilità in materia di GDPR. E una rete senza gestione della larghezza di banda può bloccare le vostre attività durante le ore di punta. Nei prossimi dieci minuti esamineremo l'architettura, le opzioni di autenticazione, i requisiti di conformità e le pratiche operative che distinguono una rete ospiti sicura e ben gestita da una potenziale fonte di vulnerabilità. Approfondimento Tecnico. Iniziamo dalle fondamenta: la segmentazione della rete. La cosa più importante da fare quando si distribuisce un WiFi per gli ospiti è garantire il completo isolamento tra la rete ospiti e l'infrastruttura aziendale. Questa non è solo una buona pratica, è un requisito fondamentale previsto da framework come il PCI DSS se elaborate pagamenti con carta sulla stessa infrastruttura fisica. L'approccio standard è la segmentazione basata su VLAN. Si assegna il traffico degli ospiti a una VLAN dedicata (in genere qualcosa come la VLAN 30) e il traffico aziendale a una VLAN separata. Queste VLAN vengono poi applicate a livello di switch gestito, con il routing inter-VLAN disabilitato del tutto o strettamente controllato dalle ACL del firewall. La VLAN degli ospiti deve avere una rotta verso Internet e nient'altro. Nessun accesso alle condivisioni di file, nessun accesso alle stampanti, nessun accesso ai risolutori DNS interni che potrebbero rivelare informazioni sulla topologia interna. Per le organizzazioni che gestiscono più sedi (ad esempio, una catena di negozi con 200 punti vendita o un gruppo alberghiero con strutture in tutta Europa) questa segmentazione deve essere applicata in modo coerente su ogni access point e su ogni switch dell'infrastruttura. È qui che le piattaforme di gestione centralizzata diventano essenziali. Non è possibile verificare manualmente le configurazioni VLAN su centinaia di siti. È necessaria un'applicazione delle policy gestita da un controller centrale. Inoltre, oltre alla segmentazione VLAN, dovreste implementare il Client Isolation all'interno della stessa VLAN degli ospiti. Ciò impedisce ai dispositivi degli ospiti di comunicare tra loro, il che è particolarmente importante in ambienti come hotel e centri congressi dove si connettono allo stesso SSID sia dispositivi personali che aziendali. Il Client Isolation è in genere una singola casella di controllo nel controller wireless, ma viene spesso trascurata. Passiamo ora alla configurazione del Captive Portal. Il Captive Portal è il principale punto di controllo per l'accesso degli ospiti. È il luogo in cui autenticate gli utenti, acquisite il consenso e stabilite le condizioni alle quali accedono alla rete. Se ben progettato, offre un'esperienza fluida che richiede pochi secondi. Se progettato male, diventa fonte di chiamate al supporto, rischi di conformità e frustrazione per gli ospiti. Dal punto di vista della sicurezza, il Captive Portal deve essere fornito tramite HTTPS. Sembra ovvio, ma un numero sorprendente di installazioni reindirizza ancora gli utenti a una pagina HTTP per la fase iniziale di autenticazione. Qualsiasi portale fornito tramite HTTP semplice è vulnerabile all'intercettazione delle credenziali e all'iniezione di contenuti. Utilizzate un certificato TLS valido, idealmente rilasciato da un'autorità di certificazione nota, e assicuratevi che il portale sia accessibile sulla porta 443. Il portale stesso dovrebbe essere ospitato in una DMZ, una zona demilitarizzata che si trova tra la VLAN degli ospiti e Internet. Ciò significa che il server del portale è raggiungibile dai dispositivi degli ospiti prima che si siano autenticati, ma non si trova sulla rete aziendale. Se il server del portale viene compromesso, l'area di impatto è limitata. In termini di metodi di autenticazione, avete diverse opzioni e la scelta corretta dipende dal vostro caso d'uso. Il social login (che utilizza OAuth 2.0 tramite provider come Google, Facebook o Apple) è l'opzione con il minor attrito per gli ambienti rivolti ai consumatori, come la vendita al dettaglio e l'ospitalità. L'utente si autentica con un account esistente, voi ricevete un token di identità verificato e potete acquisire dati di prima parte come l'indirizzo email e il nome come parte del flusso. La principale considerazione tecnica in questo caso è che vi affidate a un provider di identità terzo, quindi dovete gestire correttamente la scadenza e la revoca dei token. La verifica tramite SMS (l'invio di un codice monouso a un numero di cellulare) è un segnale di identità più forte perché collega l'accesso a una scheda SIM fisica. È particolarmente adatta per ambienti in cui è necessaria una traccia di controllo verificabile, come stadi, snodi di trasporto o spazi del settore pubblico. Il compromesso è rappresentato dai costi (le tariffe dei gateway SMS si accumulano su larga scala) e dall'attrito di richiedere un numero di cellulare. La registrazione tramite email è l'approccio più comune per i centri congressi e i luoghi di lavoro. È economica, acquisisce una risorsa di marketing utile e si integra naturalmente con i flussi di consenso del GDPR. Lo svantaggio è che gli indirizzi email sono facili da inventare, quindi fornisce una garanzia di identità inferiore rispetto agli SMS o al social login. L'accesso a tempo (l'emissione di codici voucher o token a tempo limitato) è appropriato laddove non si desideri esplicitamente raccogliere dati personali. Le biblioteche, le sale d'attesa degli ospedali e alcuni ambienti del settore pubblico rientrano in questa categoria. Il token di accesso viene generato, utilizzato e fatto scadere, senza che vi siano collegate informazioni personali identificabili. Si mantiene comunque un registro di controllo degli eventi di connessione, ma senza collegarli a un individuo. Ora parliamo di WPA3. Se state distribuendo nuovi access point o aggiornando la vostra infrastruttura wireless, il WPA3 dovrebbe essere il vostro standard di crittografia di base. Il WPA3-Personal introduce il Simultaneous Authentication of Equals (SAE), che sostituisce l'handshake Pre-Shared Key utilizzato nel WPA2 ed elimina la vulnerabilità agli attacchi con dizionario offline. Per le reti degli ospiti, il WPA3-Enhanced Open (noto anche come OWE, o Opportunistic Wireless Encryption) è particolarmente rilevante. Fornisce la crittografia per le reti aperte senza richiedere una password, il che significa che anche una rete senza barriere di autenticazione crittografa comunque il traffico tra il dispositivo e l'access point. Si tratta di un miglioramento significativo rispetto al WiFi aperto legacy, in cui tutto il traffico veniva trasmesso in chiaro. Per le installazioni aziendali in cui si utilizza l'autenticazione 802.1X (in genere in ambienti ibridi in cui il personale e gli ospiti condividono l'infrastruttura fisica) il WPA3-Enterprise con modalità a 192 bit offre il livello di sicurezza più elevato disponibile. La gestione della larghezza di banda è il livello operativo che spesso viene trascurato nelle discussioni sulla sicurezza, ma è direttamente rilevante per la disponibilità, che è essa stessa una proprietà della sicurezza. Una rete ospiti non gestita è vulnerabile alla saturazione della banda, sia a causa di un singolo utente che trasmette video ad alta definizione, sia per un dispositivo configurato male che genera tempeste di broadcast, o per un tentativo deliberato di Denial of Service. Implementate limiti di larghezza di banda per utente e per SSID a livello di controller wireless. Impostate limiti di upload e download adeguati al vostro caso d'uso (in genere da 5 a 20 megabit al secondo per utente per l'accesso generale degli ospiti). Abilitate policy di QoS che diano priorità al traffico DNS e HTTPS rispetto ai trasferimenti di grandi dimensioni. E configurate la limitazione della larghezza di banda sul firewall per evitare che un singolo dispositivo ospite consumi una quota sproporzionata della capacità di uplink. Raccomandazioni di Implementazione ed Errori Comuni. Lasciate che vi illustri la sequenza di implementazione che funziona nella pratica. Iniziate con il diagramma di rete. Prima di toccare qualsiasi apparecchiatura, documentate la topologia corrente e identificate esattamente dove terminerà la VLAN degli ospiti, dove verranno applicate le regole del firewall e dove verrà ospitato il Captive Portal. Sembra elementare, ma la maggior parte degli incidenti di sicurezza nelle installazioni di reti ospiti è riconducibile a una topologia che non è mai stata documentata correttamente. In secondo luogo, applicate la segmentazione VLAN a livello di switch, non solo sul controller wireless. I controller possono essere aggirati o configurati male. Se gli switch gestiti applicano l'appartenenza alla VLAN a livello di porta, avrete una difesa approfondita. In terzo luogo, configurate il Captive Portal con HTTPS, un certificato valido e un'informativa sulla privacy chiara che soddisfi i requisiti dell'Articolo 13 del GDPR. Il vostro team legale deve approvare il testo del consenso prima della messa in funzione. In quarto luogo, implementate la registrazione dei log. Ogni evento di connessione (indirizzo MAC del dispositivo, timestamp, metodo di autenticazione, durata della sessione) deve essere scritto su un log centralizzato. In base all'Investigatory Powers Act del Regno Unito e a legislazioni equivalenti in altre giurisdizioni, potrebbe essere richiesto di conservare questi dati fino a 12 mesi. Assicuratevi che la policy di conservazione sia documentata e che lo spazio di archiviazione sia dimensionato di conseguenza. In quinto luogo, testate la segmentazione. Utilizzate un dispositivo sulla VLAN degli ospiti e provate a raggiungere le risorse interne: il server di file, le applicazioni web interne, il DNS aziendale. Se riuscite a raggiungere qualcosa, la segmentazione non funziona. Questo test dovrebbe far parte della checklist di attivazione e della revisione annuale della sicurezza. Ora, gli errori comuni. Il più frequente che riscontro riguarda le organizzazioni che distribuiscono il WiFi per gli ospiti come un'aggiunta secondaria: aggiungono un SSID per gli ospiti alla loro infrastruttura esistente senza una corretta segmentazione VLAN, e la rete ospiti finisce sullo stesso dominio di trasmissione Layer 2 della rete aziendale. Questo rappresenta un fallimento totale del modello di sicurezza. Il secondo errore comune sono i Captive Portal che reindirizzano a pagine HTTP. Risolvete questo problema immediatamente. Il terzo è l'assenza di Client Isolation. In un hotel con 300 camere, avete 300 potenziali vettori di attacco se il Client Isolation è disabilitato. E il quarto è l'assenza di log. Se si verifica un incidente di sicurezza e non ci sono log, non avrete capacità di analisi forense e potreste incorrere in problemi normativi. Domande e Risposte Rapide. Ho bisogno di WPA3 se utilizzo già un Captive Portal? Sì. Il Captive Portal gestisce l'autenticazione e il consenso. Il WPA3 gestisce la crittografia del collegamento radio. Affrontano vettori di minaccia diversi ed entrambi sono necessari. Posso utilizzare gli stessi access points fisici per il traffico ospiti e aziendale? Sì, utilizzando SSID separati mappati su VLAN separate. Assicuratevi però che gli access point supportino i requisiti di throughput di entrambe le reti contemporaneamente e che il controller wireless applichi correttamente il tagging VLAN. Con quale frequenza devo aggiornare le credenziali o l'SSID della rete ospiti? Per le reti ospiti basate su PSK, aggiornate la passphrase almeno trimestralmente, o immediatamente dopo una sospetta compromissione. Per le reti con Captive Portal con autenticazione per singolo utente, i singoli token di sessione scadono automaticamente: l'SSID stesso non deve essere modificato. Qual è il periodo minimo di conservazione dei log? Dodici mesi è la raccomandazione standard per la conformità alle normative sulle telecomunicazioni del Regno Unito e dell'UE. Verificate i requisiti specifici della vostra giurisdizione e del vostro settore. Riepilogo e Prossimi Passi. Per riassumere: una distribuzione sicura del WiFi per gli ospiti si basa su quattro pilastri. Segmentazione della rete: completo isolamento VLAN tra il traffico ospiti e quello aziendale. Sicurezza del Captive Portal: HTTPS, certificati validi, flussi di consenso conformi al GDPR. Autenticazione: adatta al vostro caso d'uso, che si tratti di social login, SMS, email o token a tempo. E controlli operativi: gestione della larghezza di banda, Client Isolation, registrazione centralizzata dei log e test di sicurezza regolari. Le organizzazioni che gestiscono correttamente questo aspetto considerano il WiFi per gli ospiti come un'infrastruttura di prim'ordine, non come un elemento secondario. Documentano la topologia, applicano le policy a livello di switch e verificano regolarmente la configurazione. Se state avviando una nuova installazione o verificando una esistente, la prima cosa da fare è eseguire il test di segmentazione. Collegate un dispositivo alla rete ospiti e provate a raggiungere una risorsa interna. Ciò che scoprirete vi dirà tutto ciò che dovete sapere su da dove iniziare. Per ulteriori informazioni sull'implementazione di WPA3, la guida di Purple sull'implementazione di WPA3-Enterprise è un valido riferimento tecnico. E se operate in un settore con requisiti di conformità specifici (sanità, trasporti, vendita al dettaglio) vale la pena consultare le risorse specifiche di Purple per le sfumature applicabili al vostro ambiente. Grazie per l'ascolto. Se questo briefing è stato utile, condividetelo con il vostro team di rete. E se state valutando piattaforme WiFi per gli ospiti, la piattaforma di WiFi intelligence di Purple gestisce il Captive Portal, l'analisi e il livello di conformità in un'unica soluzione. Fine del briefing.