Passwordless WiFi: What It Is and How to Implement It

Questa guida di riferimento tecnica fornisce ad architetti di rete e IT manager un piano completo per passare dalle vulnerabili password condivise a un'autenticazione WiFi sicura basata su certificati. Copre l'architettura 802.1X, le strategie di implementazione EAP-TLS, la gestione PKI e l'impatto aziendale misurabile in termini di riduzione dei costi di helpdesk, migliorando al contempo la postura di sicurezza aziendale e la conformità normativa.

📖 8 minuti di lettura📝 1,800 parole🔧 2 esempi pratici❓ 3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

[0:00 - 1:00] Introduction & Context
Buongiorno e benvenuti a questo briefing tecnico di Purple. Sono il vostro Senior Solutions Architect per la sessione di oggi, e affronteremo una transizione architetturale fondamentale per le reti aziendali: il passaggio al WiFi senza password (Passwordless WiFi).

Se siete direttori IT di una catena retail, gestite un grande hotel o supervisionate un campus del settore pubblico, conoscete già i problemi legati alla chiave precondivisa (la PSK). È l'unica password condivisa da tutti. Rappresenta un incubo per la sicurezza, rende incredibilmente complessi gli audit di conformità come PCI DSS e, francamente, sovraccarica pesantemente l'helpdesk. Ogni volta che un membro del personale si dimette, teoricamente dovreste aggiornare quella password. Ma non lo fate, perché questo interromperebbe la connettività di ogni scanner, tablet e laptop presente nell'edificio. Oggi parleremo della soluzione: l'autenticazione WiFi basata su certificati e identità. È sicura, è scalabile e cambia radicalmente l'economia operativa della gestione degli accessi wireless. Entriamo nel vivo dell'architettura.

[1:00 - 6:00] Technical Deep-Dive
Per comprendere il WiFi senza password, dobbiamo analizzare lo standard IEEE 802.1X. Non si tratta di una tecnologia nuova, ma il modo in cui la distribuiamo su larga scala si è evoluto in modo significativo.

L'802.1X si basa su tre componenti. Primo, il Supplicant: il dispositivo client, ovvero il laptop o lo smartphone. Secondo, l'Authenticator: in genere l'Access Point wireless. E terzo, l'Authentication Server: il vostro server RADIUS, collegato a un Identity Provider (IdP) come Active Directory o Okta.

Quando parliamo di "passwordless" in un contesto aziendale, ci riferiamo quasi sempre a EAP-TLS — Extensible Authentication Protocol con Transport Layer Security. EAP-TLS rappresenta il gold standard perché impone la mutua autenticazione. La rete dimostra la propria legittimità al dispositivo (impedendo attacchi di tipo "evil twin") e il dispositivo dimostra la propria identità alla rete utilizzando un certificato digitale univoco. Nessuna password viene mai trasmessa via etere.

Il motore alla base di questo sistema è la Public Key Infrastructure, o PKI. In passato, la configurazione on-premise di questa infrastruttura rappresentava un enorme grattacapo. Oggi, tuttavia, le soluzioni PKI e RADIUS gestite in cloud hanno reso questa infrastruttura ampiamente accessibile.

La vera magia risiede nell'onboarding dei dispositivi. Per i vostri asset aziendali — come laptop e tablet gestiti — potete sfruttare la vostra piattaforma di Mobile Device Management, come Intune o Jamf. Il sistema MDM utilizza un protocollo chiamato SCEP (Simple Certificate Enrollment Protocol) per richiedere silenziosamente un certificato alla Certificate Authority e installarlo sul dispositivo. Per l'utente finale l'esperienza è a zero interazioni (zero-touch). Aprendo il laptop, il collegamento avviene in modo sicuro. Nessuna password richiesta. Nessuna chiamata all'helpdesk necessaria.

Per i dispositivi non gestiti — BYOD o ospiti — utilizziamo portali di onboarding. L'utente si autentica una sola volta tramite la directory aziendale, o eventualmente attraverso un Captive Portal per gli ospiti, e un certificato temporaneo o un profilo Passpoint viene installato sul suo dispositivo.

Parlando di Passpoint, o Hotspot 2.0, questo è fondamentale per location come stadi, centri congressi o grandi ambienti retail. Consente ai dispositivi di rilevare e connettersi automaticamente alle reti autorizzate, proprio come il roaming cellulare. È qui che le piattaforme come Purple aggiungono un valore immenso. Purple può fungere da Identity Provider per servizi come OpenRoaming. Un ospite entra, il suo dispositivo riconosce la rete, si autentica in modo sicuro in background tramite un certificato ed è online. Nessun Captive Portal a ogni visita, ma si mantengono comunque le funzionalità di analisi e di engagement sul back-end.

Inoltre, l'802.1X consente l'assegnazione dinamica della VLAN. Il server RADIUS analizza il certificato, identifica il gruppo dell'utente e indica all'Access Point su quale VLAN specifica posizionarlo. I terminali punto vendita sono isolati dal personale aziendale, che a sua volta è isolato dalla rete ospiti. Questo è esattamente il modo in cui si ottiene la conformità e si limita il raggio d'azione di un eventuale incidente di sicurezza.

[6:00 - 8:00] Consigli per l'implementazione ed errori da evitare
Quando si è pronti per il deployment, è bene adottare un approccio graduale.

In primo luogo, verificate l'infrastruttura. Assicuratevi che i vostri Wireless LAN Controller e Access Point supportino WPA3-Enterprise e 802.1X. L'hardware legacy potrebbe richiedere aggiornamenti del firmware o la sostituzione.

In secondo luogo, sistemate la PKI e il RADIUS. Raccomando caldamente un cloud-RADIUS per scalabilità e ridondanza. I server RADIUS on-premises diventano singoli punti di vulnerabilità (single point of failure) nelle implementazioni distribuite.

In terzo luogo, curate al massimo l'esperienza di onboarding. Se per gli utenti è difficile ottenere i certificati, l'helpdesk sarà sovraccaricato durante la transizione.

Ora, quali sono gli errori da evitare? Il più grande è il disallineamento temporale (clock skew). L'EAP-TLS si basa fortemente sulla crittografia, che a sua volta dipende dall'accuratezza dell'orario. Se l'orario sul dispositivo client non è sincronizzato con il server RADIUS, la convalida del certificato fallirà, in modo silenzioso. L'utente semplicemente non riuscirà a connettersi e non saprà il perché. Assicuratevi che tutto sia sincronizzato con una sorgente NTP affidabile.

Un altro problema comune è la fiducia nella catena dei certificati (certificate chain trust). Se il dispositivo client non ha installato la CA radice e le eventuali Certificate Authority intermedie, rifiuterà il certificato del server. Assicuratevi sempre che il server RADIUS sia configurato per inviare l'intera catena di certificati durante lo scambio EAP.

Infine, non spegnete la vecchia rete PSK da un giorno all'altro. Eseguite entrambi gli SSID in parallelo, ma riducete la larghezza di banda sulla rete legacy per incentivare gli utenti a migrare verso l'SSID sicuro. Concedetevi da quattro a sei settimane per la transizione.

[8:00 - 9:00] Domande e risposte rapide
Domanda uno: Il Wi-Fi senza password è solo per le grandi aziende? Non più. Il RADIUS gestito in cloud e la PKI hanno reso questa soluzione accessibile anche alle medie imprese. I risparmi operativi — solo in termini di riduzione dei ticket di assistenza — spesso giustificano l'investimento già entro il primo anno.

Domanda due: cosa succede se un dispositivo viene perso o rubato? Questo è il bello di EAP-TLS. Non occorre cambiare una password che influisce su ogni singolo utente della rete. È sufficiente revocare il certificato di quel dispositivo specifico nella PKI. Il server RADIUS controlla la Certificate Revocation List, o utilizza OCSP — l'Online Certificate Status Protocol — e blocca immediatamente quel dispositivo dalla rete. Chirurgico, preciso e istantaneo.

[9:00 - 10:00] Riepilogo e prossimi passi
Per riassumere, passare al Wi-Fi senza password tramite 802.1X ed EAP-TLS è un imperativo strategico per qualsiasi organizzazione che gestisca il Wi-Fi su larga scala. Elimina le vulnerabilità di sicurezza delle password condivise, consente una segmentazione granulare della rete per la conformità con framework come PCI DSS e GDPR, e riduce drasticamente i costi operativi dell'helpdesk.

Come prossimi passi, consiglio di condurre una valutazione della prontezza dell'infrastruttura in questo trimestre. Valutate i provider cloud-RADIUS e osservate da vicino come piattaforme come Purple possano semplificare il processo di onboarding — in particolare per gli scenari guest e BYOD — trasformando quello che è fondamentalmente un aggiornamento di sicurezza in un vero e proprio strumento di abilitazione del business.

Grazie per il vostro tempo oggi. Se desiderate scoprire come Purple può supportare la vostra implementazione di Wi-Fi senza password, visitate purple dot ai.

Punti chiave

✓Il WiFi passwordless sostituisce le password condivise (PSK) con certificati digitali univoci per dispositivo, migliorando radicalmente la sicurezza della rete aziendale.
✓Lo standard IEEE 802.1X con EAP-TLS fornisce un'autenticazione reciproca: sia il dispositivo che la rete verificano l'identità dell'altro in modo crittografico.
✓L'eliminazione delle password condivise riduce drasticamente i ticket di helpdesk relativi a problemi di connettività, rotazione delle password e compromissione delle credenziali.
✓La distribuzione richiede tre componenti fondamentali: un server RADIUS, un Identity Provider (IdP) e una Public Key Infrastructure (PKI) per la gestione del ciclo di vita dei certificati.
✓Il Mobile Device Management (MDM) con SCEP consente il provisioning dei certificati zero-touch per i dispositivi aziendali, senza richiedere alcuna interazione da parte dell'utente.
✓Passpoint (Hotspot 2.0) e piattaforme come Purple offrono un onboarding fluido e sicuro per l'accesso di ospiti e BYOD, fungendo da IdP per OpenRoaming.
✓L'assegnazione dinamica delle VLAN tramite RADIUS consente una segmentazione granulare della rete in base all'identità dell'utente, un requisito fondamentale per la conformità PCI DSS e GDPR.

Sintesi Esecutiva

La transizione dalle chiavi pre-condivise (PSK) comuni all'autenticazione WiFi senza password e basata su certificati rappresenta una svolta architetturale cruciale per le reti aziendali. Per i responsabili IT e gli architetti di rete che operano su larga scala — sia che si tratti di un hotel da 200 camere, di una catena di vendita al dettaglio nazionale o di un vasto campus del settore pubblico — l'approccio legacy di gestire un'unica password per tutti gli accessi degli ospiti o dei dispositivi BYOD non è più sostenibile. Questo introduce vulnerabilità di sicurezza inaccettabili, complica la conformità a framework come PCI DSS e GDPR e genera un volume sproporzionato di ticket di assistenza legati a problemi di connettività e alla rotazione delle password.

Il WiFi senza password, basato fondamentalmente sullo standard IEEE 802.1X e su EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), elimina questi punti di attrito. Rilasciando certificati univoci e crittograficamente sicuri ai singoli dispositivi, gli amministratori di rete possono applicare un controllo degli accessi granulare e basato sull'identità. Questa guida fornisce un riferimento tecnico completo per l'implementazione del WiFi senza password, descrivendo in dettaglio l'architettura sottostante, le metodologie di implementazione e il ritorno sull'investimento (ROI) misurabile e raggiungibile grazie alla riduzione dei costi operativi e alla mitigazione dei rischi. Inoltre, esploreremo come l'integrazione di una piattaforma come il Guest WiFi di Purple possa semplificare questa transizione, fungendo da solido Identity Provider (IdP) per facilitare un onboarding fluido e sicuro.

Approfondimento Tecnico: L'Architettura del WiFi Senza Password

Per comprendere l'implementazione del WiFi senza password, occorre innanzitutto decostruire i componenti principali del framework di autenticazione 802.1X. A differenza del WPA2-Personal, che si basa su un segreto condiviso, l'802.1X opera su un modello tripartito: il Supplicant, l'Authenticator e l'Authentication Server.

Il Modello Tripartito 802.1X

Il Supplicant è il dispositivo client — uno smartphone, un computer portatile o un sensore IoT — che tenta di connettersi alla rete. In un ambiente senza password, il supplicant deve possedere un certificato digitale valido anziché una password. L'Authenticator è in genere il Wireless Access Point (WAP) o il controller LAN wireless. Funge da gatekeeper, non valutando direttamente le credenziali, ma incapsulando la richiesta del supplicant e inoltrandola al server di autenticazione tramite il protocollo RADIUS. L'Authentication Server è l'autorità centralizzata — spesso un server RADIUS integrato con un Identity Provider (IdP) come Active Directory, LDAP o un servizio di directory cloud-native. Il server convalida il certificato presentato dal supplicant confrontandolo con il proprio database e con una Certificate Revocation List (CRL).

EAP-TLS: Lo Standard di Riferimento per l'Autenticazione Senza Password

Sebbene lo standard 802.1X supporti vari metodi Extensible Authentication Protocol (EAP), l'EAP-TLS è universalmente riconosciuto come lo standard più sicuro per le distribuzioni aziendali. L'EAP-TLS impone un'autenticazione reciproca: il server RADIUS presenta il proprio certificato al supplicant, dimostrando che la rete è legittima e prevenendo attacchi evil twin; a sua volta, il supplicant presenta il proprio certificato client univoco al server RADIUS, dimostrando la propria identità senza trasmettere alcun hash di password via etere. Questo handshake crittografico reciproco stabilisce un tunnel TLS sicuro attraverso il quale avvengono l'autorizzazione finale e la derivazione della chiave, garantendo la massima integrità e riservatezza dei dati.

Il Ruolo della Public Key Infrastructure (PKI)

L'implementazione dell'EAP-TLS richiede una Public Key Infrastructure (PKI) robusta. La PKI è responsabile della generazione, dell'emissione e della gestione del ciclo di vita dei certificati digitali. In passato, la gestione di una Certificate Authority (CA) locale rappresentava una barriera significativa all'adozione. Tuttavia, le moderne soluzioni PKI gestite in cloud e le integrazioni con i Mobile Device Management (MDM) hanno automatizzato il processo di provisioning, consentendo di distribuire i certificati in modo invisibile ai dispositivi gestiti tramite protocolli come SCEP (Simple Certificate Enrollment Protocol) o EST (Enrollment over Secure Transport).

Per i dispositivi non gestiti — BYOD o accessi guest — le piattaforme di onboarding forniscono un portale self-service in cui gli utenti si autenticano una sola volta (ad esempio, tramite OAuth o SAML a fronte di una directory aziendale, o tramite un Captive Portal per gli ospiti) e ricevono successivamente un certificato temporaneo o un profilo sicuro come Passpoint/Hotspot 2.0.

Guida all'Implementazione: Configurazione Passo dopo Passo

L'implementazione di un'architettura WiFi senza password richiede un'attenta pianificazione e un'esecuzione graduale. I passaggi seguenti delineano un approccio indipendente dai fornitori, adatto ad ambienti aziendali su larga scala, come quelli dei settori Sanità o Trasporti .

Fase 1: Valutazione dell'infrastruttura e idoneità

Prima di modificare i metodi di autenticazione, assicurarsi che l'infrastruttura di rete sottostante supporti i protocolli richiesti. Verificare che tutti i controller LAN wireless e gli Access Point supportino 802.1X e WPA3-Enterprise — l'hardware legacy potrebbe richiedere aggiornamenti del firmware o la sostituzione. Selezionare una soluzione RADIUS robusta in grado di gestire il carico di autenticazione previsto; le soluzioni cloud-RADIUS offrono un'elevata disponibilità e scalabilità rispetto alle implementazioni on-premises. Determinare la fonte primaria di verità per le identità degli utenti (ad es. Azure AD, Okta, Google Workspace) e verificare che il server RADIUS sia in grado di comunicare con questa directory.

Fase 2: Configurazione della PKI e gestione dei certificati

La base dell'accesso senza password è la gestione del ciclo di vita dei certificati. Distribuire un'Autorità di Certificazione (CA) fidata: per i dispositivi aziendali interni è sufficiente una CA interna; per l'accesso degli ospiti o BYOD, considerare una CA pubblica o un servizio di onboarding specializzato. Definire politiche chiare sulla validità dei certificati — i dispositivi aziendali potrebbero ricevere certificati validi per un anno, mentre i certificati degli ospiti potrebbero scadere dopo 24 ore. Configurare i meccanismi di revoca, assicurando che il server RADIUS verifichi le Certificate Revocation Lists (CRL) o utilizzi l'OCSP per bloccare immediatamente l'accesso ai dispositivi smarriti o compromessi.

Fase 3: Onboarding e provisioning dei dispositivi

L'esperienza di onboarding determina il successo dell'implementazione. Per i dispositivi aziendali gestiti, sfruttare una soluzione MDM (ad es. Microsoft Intune, Jamf) per inviare in modo silenzioso il certificato CA e il certificato client univoco utilizzando SCEP o EST. Ciò non richiede alcuna interazione da parte dell'utente. Per i dispositivi BYOD non gestiti, implementare un portale di onboarding sicuro in cui gli utenti si connettono a un SSID di provisioning aperto, si autenticano tramite credenziali aziendali (SAML/OAuth) e scaricano un profilo di configurazione che installa i certificati necessari e configura l'SSID sicuro. Per l'accesso ospiti in ambienti come l' Ospitalità o il Retail , integrarsi con una piattaforma come Purple's WiFi Analytics . Purple può fungere da IdP, consentendo agli ospiti di autenticarsi tramite login social o un Captive Portal personalizzato, per poi passare senza problemi a una connessione sicura e crittografata — spesso sfruttando gli standard OpenRoaming o Passpoint — senza dover mai digitare una password di rete.

Fase 4: Configurazione e test della rete

Crea il nuovo SSID configurato per WPA3-Enterprise (o WPA2-Enterprise se è richiesto il supporto legacy) e l'autenticazione 802.1X, indirizzando l'autenticatore al server RADIUS. Configura il server RADIUS per restituire attributi specifici in caso di autenticazione riuscita — ad esempio, assegnando l'utente a una VLAN specifica in base alla sua appartenenza a un gruppo, inserendo il personale su una VLAN aziendale e gli ospiti su una VLAN isolata per il solo accesso a Internet. Distribuisci l'SSID sicuro prima a un piccolo gruppo pilota (il dipartimento IT è di solito l'ideale) e monitora meticolosamente i log di autenticazione per identificare eventuali errori di validazione dei certificati o timeout di RADIUS prima di una distribuzione completa.

Best Practice per Ambienti Enterprise

Imponi l'Autenticazione Reciproca: Non distribuire mai EAP-TLS senza richiedere al richiedente (supplicant) di convalidare il certificato del server. In caso contrario, la rete viene esposta ad attacchi Man-in-the-Middle (MitM).

Implementa una Validazione Rigida dei Certificati: Configura i richiedenti per considerare attendibile esplicitamente solo la CA specifica che ha emesso il certificato del server RADIUS, e verifica il Common Name (CN) o il Subject Alternative Name (SAN) del server.

Sfrutta Passpoint (Hotspot 2.0): Per i luoghi aperti al pubblico, Passpoint rappresenta il futuro della connettività senza password. Consente ai dispositivi di rilevare automaticamente e connettersi in modo sicuro alle reti autorizzate utilizzando le credenziali fornite dal proprio operatore mobile o da un IdP di terze parti, funzionando in modo simile al roaming cellulare. La licenza Connect di Purple facilita questo processo agendo come identity provider per servizi come OpenRoaming.

Segmenta il Traffico: Utilizza sempre l'assegnazione dinamica della VLAN tramite RADIUS per separare logicamente le diverse classi di utenti (terminali POS, personale aziendale, dispositivi IoT, ospiti). Ciò limita l'area d'impatto di qualsiasi potenziale compromissione. Per un approfondimento sulla segmentazione delle reti specializzate, consulta la nostra guida su WiFi in Hospitals: A Guide to Secure Clinical Networks .

Risoluzione dei Problemi e Mitigazione dei Rischi

Anche con una pianificazione meticolosa, possono sorgere problemi. Comprendere i modi di guasto più comuni è fondamentale per una rapida risoluzione.

Il disallineamento dell'orologio (Clock Skew) è la causa singola più comune di fallimento dell'autenticazione EAP-TLS. La validazione dei certificati si basa su un cronometraggio accurato; se l'ora sul richiedente, sul server RADIUS o sulla CA è fuori sincrono di oltre pochi minuti, la validazione fallirà in modo silenzioso. Assicurati che tutta l'infrastruttura si affidi a una sorgente NTP affidabile.

I problemi legati alla catena dei certificati si verificano quando il richiedente non ha installato la catena di attendibilità completa, comprese le CA intermedie. Rifiuterà quindi il certificato del server. Assicurati sempre che il server RADIUS sia configurato per inviare la catena completa di certificati durante lo scambio EAP. I RADIUS Timeout possono verificarsi se la latenza tra l'autenticatore (WAP) e il server RADIUS è troppo elevata, causando il timeout dell'handshake EAP. Questo è comune nelle distribuzioni distribuite che utilizzano un cloud RADIUS centralizzato. Regola i valori di timeout sul WLC o valuta l'implementazione di proxy RADIUS regionali.

Certificati Scaduti: I dispositivi che tentano di autenticarsi con certificati scaduti verranno rifiutati silenziosamente. Implementa un monitoraggio robusto per avvisare gli amministratori delle imminenti scadenze dei certificati prima che abbiano un impatto sugli utenti.

Per mitigare il rischio, mantieni temporaneamente la rete PSK legacy durante la transizione, ma limitane la larghezza di banda o i privilegi di accesso per incentivare la migrazione. Invia tutti i log di autenticazione RADIUS a una piattaforma SIEM ed effettua revisioni periodiche dell'infrastruttura PKI e delle policy RADIUS per garantire l'allineamento con gli standard di sicurezza attuali.

ROI e Impatto Aziendale

La transizione al Wi-Fi senza password è un investimento strategico con un ritorno misurabile su diverse dimensioni.

Metrica	PSK Condivisa	Basata su Certificato (802.1X)
Ticket di helpdesk (connettività)	Alti — frequenti reimpostazioni della password	Quasi zero — provisioning automatizzato
Rischio di sicurezza	Alto — credenziale singola per tutti	Basso — univoco, revocabile per dispositivo
Conformità normativa	Scarsa — nessuna responsabilità individuale	Forte — audit trail completo per dispositivo
Tempo di onboarding (aziendale)	Minuti (manuale)	Secondi (automatizzato tramite MDM)
Revoca delle credenziali	Dirompente — richiede la rotazione completa della PSK	Istantanea — revoca del singolo certificato
nRiduzione dei Costi di Helpdesk: La gestione delle password condivise rappresenta un notevole spreco di risorse IT. L'autenticazione senza password, in particolare se automatizzata tramite MDM o un portale di onboarding self-service, elimina virtualmente i ticket di helpdesk legati alle password.

Miglioramento del Livello di Sicurezza: Eliminando le credenziali condivise, il rischio di furto delle credenziali e di accesso non autorizzato alla rete viene drasticamente ridotto. Ogni dispositivo ha un'identità univoca e crittograficamente sicura che può essere revocata istantaneamente in caso di smarrimento o compromissione del dispositivo.

Conformità Semplificata: Framework come PCI DSS richiedono controlli di accesso rigorosi e responsabilità individuale. L'autenticazione basata su certificati fornisce un audit trail chiaro di quale dispositivo ha effettuato l'accesso alla rete e quando, semplificando il reporting di conformità.

Migliore Esperienza Utente e Raccolta Dati: Una volta configurato, il processo di connessione è completamente trasparente per l'utente. In ambienti come il Retail , questa connettività fluida incoraggia gli utenti a connettersi alla rete, consentendo alle sedi di acquisire preziosi dati di prima parte e di promuovere un coinvolgimento personalizzato attraverso piattaforme come Purple. Per le organizzazioni che gestiscono ambienti RF complessi, comprendere l'interazione tra autenticazione e infrastruttura fisica è fondamentale. Ulteriori approfondimenti sulle considerazioni relative all'infrastruttura sono disponibili nella guida Your Guide to a Wireless Access Point Ruckus . Inoltre, può essere utile comprendere come si applicano i concetti di networking più ampi; consulta la nostra guida su Personal Area Networks (PANs): Technologies, Applications, Security, and Future Trends .

Definizioni chiave

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta, che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN. È il protocollo fondamentale per il WiFi aziendale senza password.

Lo standard fondamentale alla base di ogni autenticazione WiFi aziendale, che sostituisce il modello PSK condiviso.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Un metodo EAP altamente sicuro che richiede un'autenticazione reciproca utilizzando certificati digitali sia sul client che sul server. Nessuna password viene trasmessa via etere.

Considerato il gold standard per la sicurezza wireless. Il metodo ideale per qualsiasi organizzazione intenzionata a eliminare i rischi legati alle credenziali.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e tracciamento (AAA) per gli utenti che si connettono e utilizzano un servizio di rete.

Il motore che elabora le richieste di autenticazione provenienti dagli Access Point e le convalida rispetto a una directory. Un server RADIUS è un componente obbligatorio in qualsiasi implementazione 802.1X.

Supplicant

Il dispositivo client (ad es. laptop, smartphone, sensore IoT) che tenta di accedere alla rete. In 802.1X, il supplicant deve presentare un certificato o una credenziale valida per ottenere l'accesso.

Il punto di partenza di ogni richiesta di autenticazione. Comprendere le capacità del supplicant (ad esempio, se supporta EAP-TLS) è fondamentale durante la fase di pianificazione.

PKI (Public Key Infrastructure)

Un insieme di ruoli, policy, hardware, software e procedure necessari per creare, gestire, distribuire, utilizzare, memorizzare e revocare certificati digitali e gestire la crittografia a chiave pubblica.

Il sistema sottostante necessario per emettere e gestire i certificati utilizzati in EAP-TLS. Senza una PKI funzionante, l'autenticazione basata su certificato non è possibile.

Passpoint (Hotspot 2.0)

Uno standard Wi-Fi Alliance che semplifica l'accesso alla rete, consentendo ai dispositivi di rilevare e connettersi automaticamente alle reti WiFi autorizzate senza passaggi di autenticazione manuale.

Consente agli utenti un'esperienza di roaming fluida, simile a quella cellulare, in diverse sedi. Particolarmente rilevante per i settori dell'ospitalità, del retail e della pubblica amministrazione.

Dynamic VLAN Assignment

Il processo in cui un server RADIUS istruisce l'autenticatore a inserire un utente autenticato con successo in una specifica LAN virtuale in base alla sua identità o all'appartenenza a un gruppo.

Cruciale per la segmentazione della rete, garantisce che i dispositivi IoT, gli ospiti e il personale aziendale siano isolati logicamente tra loro, un requisito chiave per la conformità PCI DSS.

SCEP (Simple Certificate Enrollment Protocol)

Un protocollo che consente ai dispositivi di rete di richiedere e ricevere automaticamente certificati digitali da un'autorità di certificazione, solitamente orchestrato da una soluzione MDM.

Il meccanismo che consente il provisioning zero-touch dei certificati per i dispositivi aziendali, eliminando la necessità di un'installazione manuale.

Esempi pratici

Una catena retail nazionale con 500 punti vendita utilizza attualmente un'unica rete WPA2-Personal (PSK) sia per le operazioni di negozio (scanner di inventario, tablet POS) sia per i laptop del personale aziendale. Il direttore IT deve migliorare la sicurezza per soddisfare la conformità PCI DSS e ridurre l'onere operativo legato alla rotazione della PSK ogni volta che un dipendente si dimette. Come dovrebbe implementare il passwordless WiFi?

Distribuire una soluzione Cloud-RADIUS integrata con l'Identity Provider centrale (ad es. Azure AD). 2. Per i laptop aziendali, utilizzare l'MDM esistente (Microsoft Intune) per distribuire un certificato client univoco tramite SCEP, configurando i dispositivi per connettersi a un nuovo SSID "Corp-Secure" utilizzando EAP-TLS. 3. Per gli scanner di inventario e i tablet POS, utilizzare un portale di onboarding per fornire certificati specifici per ciascun dispositivo, associandoli a una VLAN "Ops-Secure" dedicata tramite attributi RADIUS. 4. Mantenere temporaneamente la rete PSK, ma cambiare la password e limitarla a una VLAN di quarantena per identificare i dispositivi legacy che non hanno completato la migrazione. 5. Una volta verificati tutti i dispositivi sulla rete 802.1X, disattivare l'SSID PSK.

Commento dell'esaminatore: Questo approccio graduale riduce al minimo le interruzioni raggiungendo al contempo gli obiettivi principali. L'utilizzo dell'MDM per i laptop offre un'esperienza zero-touch per il personale. La segmentazione del traffico di POS e scanner tramite l'assegnazione dinamica della VLAN risponde direttamente ai requisiti PCI DSS, isolando i sistemi interessati dal traffico aziendale generale. La VLAN di quarantena temporanea è una fase cruciale di mitigazione del rischio per garantire la continuità aziendale durante la transizione.

Un grande centro congressi desidera offrire un WiFi sicuro e fluido ai partecipanti, senza stampare le password sui badge o richiedere loro di accedere nuovamente a un Captive Portal ogni giorno. Desiderano sfruttare la loro piattaforma di analytics Purple esistente. Come possono ottenere questo risultato?

La struttura implementa un'infrastruttura di rete abilitata per Passpoint (Hotspot 2.0). 2. Utilizzano la licenza Connect di Purple, configurando Purple come Identity Provider (IdP) per OpenRoaming. 3. All'arrivo di un partecipante, se il suo dispositivo dispone già di un profilo OpenRoaming (ad es. fornito dal proprio operatore mobile o da una struttura visitata in precedenza), la connessione avviene in modo automatico e sicuro tramite EAP-TTLS o EAP-TLS. 4. Gli utenti senza un profilo si connettono a un SSID di onboarding standard, si autenticano una sola volta tramite il Captive Portal di Purple (fornendo preziosi dati di prima parte) e ricevono l'invito a scaricare un profilo Passpoint sicuro. 5. Per il resto dell'evento e per le visite successive, l'utente si connetterà automaticamente alla rete sicura senza inserire alcuna password.

Commento dell'esaminatore: Questa soluzione bilancia efficacemente sicurezza, esperienza utente e obiettivi di marketing. Utilizzando Passpoint e OpenRoaming, la struttura offre un'esperienza di connettività simile a quella cellulare. L'integrazione di Purple come IdP garantisce che la struttura acquisisca comunque i dati analitici necessari e i consensi di marketing durante la fase iniziale di onboarding, eliminando al contempo l'ostacolo dei login giornalieri al Captive Portal.

Domande di esercitazione

Q1. Stai distribuendo EAP-TLS all'interno di un campus universitario. Durante la fase pilota, diversi laptop Windows non riescono a connettersi, segnalando un errore di autenticazione. I log RADIUS mostrano che il server ha rifiutato i certificati client. I certificati sono validi ed emessi dalla CA interna corretta. Qual è la causa più probabile e come la risolvi?

Suggerimento: Prendi in considerazione i fattori ambientali su cui si basa la convalida dei certificati crittografici, al di là del contenuto stesso del certificato.

Visualizza risposta modello

La causa più probabile è il Clock Skew (disallineamento temporale). La convalida dei certificati EAP-TLS è estremamente sensibile alle discrepanze orarie. Se l'ora di sistema sui laptop Windows è significativamente sfasata rispetto al server RADIUS o alla Certificate Authority, i certificati saranno considerati non validi anche se rientrano nel loro periodo di validità dichiarato. Risoluzione: assicurarsi che tutti i dispositivi e i componenti dell'infrastruttura siano configurati per sincronizzarsi con un server NTP affidabile. Verificare la sincronizzazione dell'ora sul server RADIUS, sulla CA e sui dispositivi client.

Q2. Il direttore IT di un ospedale vuole implementare il WiFi senza password per tutti i dispositivi clinici (pompe d'infusione, workstation mobili) ma è preoccupato per il carico amministrativo derivante dalla gestione dei certificati per migliaia di dispositivi headless che non possono utilizzare un portale di onboarding. Qual è l'approccio consigliato?

Suggerimento: Pensa ai protocolli di provisioning automatizzato utilizzati dai sistemi di gestione dei dispositivi e a come i certificati possono essere distribuiti senza l'interazione dell'utente.

Visualizza risposta modello

L'approccio consigliato consiste nello sfruttare una soluzione di Mobile Device Management (MDM) o Unified Endpoint Management (UEM) integrata con la PKI dell'ospedale. Utilizzando protocolli come SCEP (Simple Certificate Enrollment Protocol) o EST (Enrollment over Secure Transport), l'MDM può richiedere e installare silenziosamente certificati client univoci sui dispositivi clinici via etere (over the air), richiedendo zero interventi manuali da parte del personale IT o dei medici. L'MDM deve inoltre essere configurato per rinnovare automaticamente i certificati prima della loro scadenza.

Q3. La tua organizzazione sta passando da una rete PSK condivisa a una rete 802.1X EAP-TLS. Prevedi di gestire entrambi gli SSID contemporaneamente per un mese. Tuttavia, vuoi assicurarti che gli utenti che hanno migrato con successo alla rete sicura non tornino accidentalmente alla rete PSK meno sicura. Come puoi configurare l'infrastruttura per evitare questo problema?

Suggerimento: Considera come il server RADIUS può essere utilizzato per controllare l'accesso sulla rete legacy e quali informazioni sono disponibili su di esso riguardo ai dispositivi che sono già stati configurati.

Visualizza risposta modello

Implementa una policy RADIUS sulla rete legacy PSK che utilizzi il MAC Authentication Bypass (MAB) per identificare i dispositivi. Quando un dispositivo si autentica con successo tramite EAP-TLS sulla nuova rete, il suo indirizzo MAC viene registrato nel database RADIUS. La policy RADIUS per la rete PSK legacy può quindi essere configurata per negare l'accesso — o assegnare a una VLAN di quarantena con larghezza di banda limitata — qualsiasi indirizzo MAC noto per essere già configurato per l'802.1X. Questo costringe il dispositivo a utilizzare l'SSID sicuro e impedisce il rollback accidentale.

Continua a leggere questa serie

PSK per dispositivo per fornitore: confronto tra iPSK, DPSK, MPSK e PPSK (e supporto WPA3)

Un confronto completo delle implementazioni PSK per dispositivo tra Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet e Ubiquiti UniFi. Scopri come WPA3-SAE influisce sulle strategie delle chiavi per dispositivo e quando distribuire le modalità di transizione rispetto al passaggio a 802.1X.

Metodi di autenticazione del Captive Portal a confronto

Questa guida di riferimento tecnico autorevole valuta i compromessi architetturali, operativi e di conformità di cinque metodi di autenticazione principali per captive portal. Fornisce ad architetti di rete, direttori IT e marketing manager i dati quantitativi e i framework decisionali necessari per bilanciare l'attrito nell'onboarding degli ospiti con i requisiti di raccolta dati all'interno delle sedi aziendali.

Cos'è l'autenticazione tramite indirizzo MAC? Quando usarla e quando evitarla

Questa guida tecnica di riferimento autorevole copre l'autenticazione tramite indirizzo MAC negli ambienti WiFi aziendali: come funziona l'autenticazione MAC basata su RADIUS a livello Layer 2, le sue vulnerabilità di sicurezza intrinseche (incluso il MAC spoofing e l'impatto della randomizzazione MAC a livello di sistema operativo) e i precisi contesti operativi in cui rimane uno strumento valido per la gestione di dispositivi IoT e headless. Fornisce linee guida di implementazione pratiche per responsabili IT e architetti di rete nei settori dell'ospitalità, del retail, della sanità e dei luoghi pubblici, con esempi pratici reali, framework decisionali e contesti di integrazione per la piattaforma di guest WiFi e analytics di Purple.