Cos'è Cloud RADIUS? Una guida completa a RADIUS as a Service

Che cos'è Cloud RADIUS? Una guida completa a RADIUS as a Service. Benvenuti al Purple WiFi Intelligence Podcast. Sono il vostro ospite e oggi faremo un approfondimento su Cloud RADIUS: cos'è, come funziona dietro le quinte e, soprattutto, come valutare se sia la mossa giusta per la vostra organizzazione in questo trimestre. Che si tratti di un gruppo alberghiero, di una rete di vendita al dettaglio, di uno stadio o di una rete del settore pubblico, questo episodio fa al caso vostro. Prepariamo lo scenario. Introduzione e contesto. Se vi è mai capitato di dover spiegare a un consiglio di amministrazione perché il server di autenticazione di rete è andato in crash alle 2 del mattino — e perché ci sono volute tre ore per ripristinarlo — avete già compreso il problema principale che Cloud RADIUS risolve. L'infrastruttura RADIUS on-premises tradizionale è potente, ma comporta costi operativi significativi. Hardware da acquistare, cicli di patch da gestire, ridondanza da progettare manualmente e un unico punto di vulnerabilità (single point of failure) situato nella sala server. Cloud RADIUS, o RADIUS as a Service, sposta questo livello di autenticazione in un ambiente cloud gestito e ad alta disponibilità. Il protocollo in sé — Remote Authentication Dial-In User Service — non è cambiato. Rimane la spina dorsale del controllo dell'accesso alla rete IEEE 802.1X, nonché il meccanismo utilizzato dagli access point per convalidare chi accede alla rete. Ma l'infrastruttura che lo gestisce è ora un problema di qualcun altro. E nell'IT aziendale, questo rappresenta un cambiamento significativo. Entriamo quindi nei dettagli tecnici. Approfondimento tecnico. Il protocollo RADIUS è stato originariamente definito nella RFC 2865, pubblicata nel 2000, ed è rimasto incredibilmente solido nel tempo. Il protocollo opera su un modello client-server. Il dispositivo di accesso alla rete — che si tratti di un access point WiFi, di un concentratore VPN o di uno switch cablato — funge da client RADIUS, chiamato anche Network Access Server o NAS. Quando un utente tenta di connettersi, il NAS inoltra un pacchetto Access-Request al server RADIUS, che convalida le credenziali confrontandole con una directory utenti (in genere Active Directory, LDAP o un provider di identità cloud) e restituisce un pacchetto Access-Accept o Access-Reject. Questo è lo scambio fondamentale. Ma la vera complessità risiede in ciò che avviene intorno ad esso: metodi EAP, assegnazione delle VLAN, applicazione delle policy, record di accounting e gestione dei certificati. In un'installazione on-premises tradizionale, FreeRADIUS o Microsoft NPS vengono eseguiti su hardware dedicato, gestendo i propri certificati, configurando il proprio failover e mantenendo la sincronizzazione del database utenti. Per un'installazione in un'unica sede con un team IT competente, questo è gestibile. Per una rete retail di 50 punti vendita o per un gruppo alberghiero con strutture in diversi Paesi, diventa un onere operativo non indifferente. Cloud RADIUS semplifica tutto questo. La logica di autenticazione, l'infrastruttura dei certificati, la ridondanza e il motore delle policy vengono forniti come servizio gestito. I tuoi access point puntano a endpoint RADIUS ospitati nel cloud (in genere un indirizzo IP primario e uno secondario) e il servizio gestisce tutto ciò che sta dietro. Ora parliamo dei metodi di autenticazione, perché è qui che le decisioni tecniche contano davvero. Il metodo EAP più comune nei sistemi WiFi aziendali è PEAP (Protected EAP), che incapsula MSCHAPv2 all'interno di una sessione TLS. È ampiamente supportato, funziona nativamente con Active Directory ed è l'impostazione predefinita per la maggior parte dei dispositivi Windows e Android. Tuttavia, PEAP presenta vulnerabilità note, in particolare per quanto riguarda la validazione dei certificati. Se i dispositivi client non sono configurati per verificare il certificato del server, sei esposto ad attacchi di furto di credenziali tramite access point non autorizzati. EAP-TLS rappresenta il gold standard. Utilizza l'autenticazione reciproca tramite certificato (sia il server che il client presentano i certificati), eliminando completamente la superficie di attacco basata su password. Il compromesso è la distribuzione dei certificati client, che richiede un'infrastruttura PKI e l'integrazione con un MDM. Per le flotte di dispositivi gestiti, questa è in assoluto la scelta giusta. Per gli ambienti BYOD, è più complesso. Vale la pena conoscere anche EAP-TTLS ed EAP-FAST. TTLS è particolarmente comune negli ambienti in cui è necessario supportare un'ampia gamma di dispositivi client, inclusi i sistemi Linux. EAP-FAST è stato sviluppato da Cisco come alternativa a PEAP che evita la dipendenza dalla validazione del certificato, utilizzando invece le Protected Access Credentials. Un servizio Cloud RADIUS ben progettato supporta tutti questi metodi e consente di configurare policy per SSID; in questo modo, l'SSID aziendale utilizza EAP-TLS con validazione del certificato, l'SSID del personale utilizza PEAP con Active Directory e la rete ospiti utilizza un Captive Portal o un flusso di login social completamente separato dallo stack RADIUS. A questo proposito, il RADIUS e il WiFi ospiti vengono spesso confusi, ma servono a scopi diversi. RADIUS è il tuo livello di autenticazione e autorizzazione per utenti e dispositivi noti. Il WiFi ospiti utilizza in genere un flusso con Captive Portal, che è un meccanismo completamente diverso. La piattaforma di Purple, ad esempio, gestisce l'autenticazione degli ospiti attraverso un livello di identità separato, acquisendo dati di prima parte e consentendo la marketing automation, mentre RADIUS gestisce il controllo degli accessi alla rete aziendale e del personale. Si tratta di sistemi complementari, non concorrenti. Ora parliamo di cosa significa concretamente "ospitato in cloud". Un servizio Cloud RADIUS con un'architettura corretta viene eseguito su più zone di disponibilità, con failover automatico. Le richieste di autenticazione sono bilanciate tra i nodi e il servizio mantiene tempi di risposta inferiori a 100 millisecondi anche in condizioni di picco di carico. Per uno stadio che gestisce 40.000 connessioni simultanee durante un evento, questo profilo di latenza e throughput è fondamentale. Un singolo server on-premises semplicemente non può eguagliare tale elasticità. Dal punto di vista della conformità, i provider Cloud RADIUS che operano nel Regno Unito e nell'UE devono essere conformi al GDPR nel modo in cui gestiscono i log di autenticazione e i dati degli utenti. Per gli ambienti retail e hospitality che elaborano anche i dati delle carte di pagamento, i requisiti PCI DSS relativi alla segmentazione della rete e al controllo degli accessi sono direttamente rilevanti: il RADIUS fa parte del tuo ambiente di controllo e il tuo QSA vorrà vedere le prove di una corretta configurazione e della registrazione dei log di audit. Vale la pena affrontare anche il tema del WPA3. La transizione da WPA2 a WPA3 introduce la Simultaneous Authentication of Equals (SAE) per le reti personali e la WPA3-Enterprise per gli ambienti aziendali. La WPA3-Enterprise impone la modalità di sicurezza a 192 bit per la classificazione più elevata, il che richiede metodi EAP e suite di cifratura specifici. Un servizio Cloud RADIUS deve supportare queste configurazioni per essere a prova di futuro. Raccomandazioni di implementazione ed errori da evitare. Bene, passiamo alla pratica. Se stai valutando il Cloud RADIUS per l'implementazione in questo trimestre, ecco su cosa mi concentrerei. In primo luogo, l'integrazione con il tuo identity provider. Il tuo servizio Cloud RADIUS deve sincronizzarsi con il luogo in cui risiedono effettivamente i tuoi utenti, che si tratti di Microsoft Entra ID (precedentemente Azure AD), Google Workspace, Okta o un Active Directory on-premises tramite proxy LDAP. La qualità di questa integrazione determina il tuo sovraccarico operativo. Il provisioning nativo SAML o SCIM è di gran lunga preferibile alle importazioni manuali di file CSV. In secondo luogo, la gestione dei certificati. Se stai implementando EAP-TLS, hai bisogno di una risposta chiara su come i certificati client vengono emessi, rinnovati e revocati. I migliori servizi Cloud RADIUS includono una PKI integrata o si integrano perfettamente con la tua autorità di certificazione esistente. La scadenza del certificato è una delle cause più comuni di errore di autenticazione nel WiFi aziendale: è del tutto evitabile con una corretta automazione. In terzo luogo, la compatibilità dei dispositivi di rete. I tuoi punti di accesso devono supportare l'autenticazione RADIUS (praticamente tutti gli AP di livello enterprise lo fanno), ma devi verificare i metodi EAP specifici e gli attributi RADIUS supportati dal servizio scelto rispetto all'implementazione del fornitore dei tuoi AP. Cisco, Aruba, Juniper Mist e Ruckus presentano tutti sfumature diverse nel modo in cui gestiscono gli attributi RADIUS e i messaggi CoA (Change of Authorisation). Quarto: la configurazione della ridondanza. Configura sempre sia un IP del server RADIUS primario che uno secondario. Il timeout di failover sui dispositivi NAS è fondamentale: se impostato su un valore troppo alto, gli utenti subiranno un ritardo di autenticazione di 30 secondi quando il server primario non è raggiungibile. Un timeout da 3 a 5 secondi con failover immediato è la configurazione corretta per la maggior parte degli ambienti. Quinto (e questo è l'aspetto che spesso sfugge): l'accounting. I record di accounting RADIUS costituiscono il tuo audit trail. Ti dicono chi si è connesso, da quale dispositivo, a che ora e per quanto tempo. Ai fini della conformità, in particolare negli ambienti sanitari e del settore pubblico, questi record devono essere conservati e accessibili. Assicurati che il tuo fornitore di Cloud RADIUS ti offra l'accesso ai dati di accounting, non solo ai log di autenticazione. Errori comuni: la complessità del shared secret. Il tuo shared secret RADIUS (la chiave precondivisa tra il NAS e il server RADIUS) deve essere lungo e casuale. Gli shared secret brevi o facilmente indovinabili rappresentano un reale vettore di attacco. Utilizza almeno 32 caratteri, generati casualmente, e ruotali periodicamente. Presta attenzione anche al whitelisting degli IP. Molti servizi Cloud RADIUS richiedono di inserire in whitelist gli IP di origine dei tuoi dispositivi NAS. In un ambiente cloud dinamico in cui la tua piattaforma di gestione degli AP potrebbe utilizzare il NAT, ciò può causare errori di autenticazione imprevisti. Verifica il comportamento del NAT della tua rete prima dell'implementazione. Domande e risposte rapide. Rispondo rapidamente ad alcune domande che mi vengono poste regolarmente. Il Cloud RADIUS può supportare ambienti multi-tenant? Sì, la maggior parte dei servizi Cloud RADIUS aziendali supporta l'isolamento dei tenant, consentendo a un managed service provider di gestire policy RADIUS separate per più clienti da un'unica piattaforma. Qual è la latenza tipica per un'autenticazione Cloud RADIUS? Meno di 100 millisecondi per un servizio ben progettato. L'handshake 802.1X in sé aggiunge un po' di overhead, ma per la maggior parte dei metodi EAP, il tempo totale di autenticazione dovrebbe essere inferiore a 500 millisecondi end-to-end. Il Cloud RADIUS funziona con OpenRoaming? Sì. OpenRoaming (il framework di roaming della Wireless Broadband Alliance) si basa sulla federazione RADIUS. Un servizio Cloud RADIUS che supporta Hotspot 2.0 e OpenRoaming consente ai tuoi utenti di autenticarsi automaticamente sulle reti partecipanti a livello globale. Purple supporta OpenRoaming con la sua licenza Connect, agendo come identity provider nella federazione. Il Cloud RADIUS è adatto per ambienti ad alta sicurezza? Per la maggior parte degli ambienti aziendali, sì. Per ambienti con dati classificati o specifiche classificazioni di sicurezza governative, potrebbe essere necessario valutare se un servizio cloud gestito soddisfi i tuoi requisiti di accreditamento specifici. Riepilogo e prossimi passi. Per riassumere: Cloud RADIUS è un approccio maturo e pronto per la produzione al controllo degli accessi di rete, che elimina l'onere operativo dell'infrastruttura RADIUS on-premises senza scendere a compromessi in termini di sicurezza o funzionalità. Per le organizzazioni multi-sito, il ROI è evidente: si eliminano le spese in conto capitale per l'hardware, si riducono i costi generali IT, si ottiene una ridondanza integrata e si usufruisce di un servizio che si adegua alle dimensioni del patrimonio immobiliare. Le decisioni chiave riguardano: quale metodo EAP è più adatto alla flotta di dispositivi, come integrarsi con l'identity provider esistente e se il servizio scelto offre le funzionalità di conformità e di audit richieste dall'organizzazione. Se gestite un gruppo alberghiero, una catena di negozi o reti del settore pubblico, il mio consiglio è di iniziare con un proof-of-concept su un singolo sito: impostate correttamente la configurazione RADIUS, convalidate l'integrazione con il vostro identity provider e misurate la latenza di autenticazione prima di procedere alla distribuzione sull'intera rete. Per saperne di più su WiFi analytics, gestione delle reti guest e su come la piattaforma di Purple si integra con l'autenticazione basata su RADIUS, visitate purple.ai. Grazie per l'attenzione.