Vai al contenuto principale

Staff WiFi Captive Portal: Onboarding e autenticazione dei dipendenti

Un riferimento tecnico completo per i leader IT sulla progettazione e l'implementazione di captive portal WiFi per il personale. Questa guida copre l'autenticazione EAP-TLS, l'onboarding BYOD, la segmentazione VLAN e la gestione della larghezza di banda per migliorare l'efficienza operativa e mitigare i rischi di sicurezza.

📖 6 minuti di lettura📝 1,263 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Staff WiFi Captive Portal: Onboarding and Authenticating Employees Un briefing di Purple Enterprise WiFi Intelligence [INTRODUZIONE - circa 1 minuto] Benvenuti alla serie Purple Enterprise WiFi Intelligence. Oggi tratteremo un argomento che si colloca all'intersezione tra sicurezza, operazioni HR e architettura di rete: il captive portal per il WiFi dello staff. Ora, so cosa potrebbero pensare alcuni di voi. Un captive portal per lo staff? Non è quello che si usa per gli ospiti? Ed è proprio questo il malinteso che dobbiamo affrontare fin da subito. Un captive portal per il WiFi dello staff non è una pagina di benvenuto per gli ospiti con un logo diverso. Si tratta di un gateway di onboarding strutturato che autentica i singoli dipendenti, applica l'accettazione delle policy e registra i dispositivi prima di concedere l'accesso alla rete aziendale. Se implementato correttamente, elimina la più grande vulnerabilità nella maggior parte delle distribuzioni WiFi aziendali: la chiave pre-condivisa. Se implementato in modo errato, vi ritroverete con ex dipendenti, collaboratori esterni e dispositivi personali che stazionano sulla rete dello staff a tempo indeterminato. Entriamo nei dettagli dell'architettura. [APPROFONDIMENTO TECNICO - circa 5 minuti] Il problema fondamentale della maggior parte delle distribuzioni WiFi per lo staff è la password condivisa. Una singola chiave pre-condivisa WPA2, scritta su un post-it nel retroufficio, condivisa in un gruppo WhatsApp e mai cambiata quando qualcuno se ne va. In un hotel di 200 camere con 80 membri dello staff, quella password è stata condivisa con circa 80 persone, i loro partner che hanno preso in prestito il telefono e almeno tre ex dipendenti. Quella non è una rete. È una porta aperta. Il captive portal per il WiFi dello staff risolve questo problema sostituendo la credenziale condivisa con un flusso di onboarding con identità verificata. Ecco come funziona in pratica. Quando un nuovo dipendente connette il proprio dispositivo alla rete dello staff per la prima volta, accede a un SSID di provisioning. Si tratta di una rete aperta, ma è un ambiente protetto - instrada solo al portale di onboarding e al vostro identity provider. Nient'altro. Il dipendente viene reindirizzato al captive portal, dove si autentica utilizzando la propria identità aziendale. Nella maggior parte degli ambienti aziendali odierni, ciò significa Single Sign-On tramite Microsoft Entra ID, Okta o Google Workspace. Una cyvolta che l'identity provider conferma che il dipendente è attivo e nel gruppo corretto, il portale esegue una delle due opzioni a seconda dell'architettura di autenticazione. In una distribuzione basata su credenziali che utilizza PEAP e MSCHAPv2, il portale convalida le credenziali ed emette un token di accesso alla rete. In una distribuzione basata su certificati che utilizza EAP-TLS, il portale avvia la generazione del certificato. Un certificato X.509 specifico per il dispositivo viene emesso dalla Certificate Authority, inserito in un profilo di configurazione - un file .mobileconfig su iOS o un profilo Passpoint su Android - e inviato al dispositivo. Il dispositivo installa il profilo, si disconnette dall'SSID di provisioning e si connette automaticamente all'SSID protetto dello staff utilizzando il certificato per l'autenticazione EAP-TLS. Da quel momento in poi, ogni volta che il dispositivo si connette alla rete del personale, il server RADIUS convalida il certificato. Nessuna richiesta di password. Nessun login manuale. Il dispositivo si connette semplicemente, in modo silenzioso e sicuro. Ora parliamo del perché EAP-TLS rappresenta lo stato obiettivo per la maggior parte delle installazioni enterprise. Lo standard IEEE 802.1X definisce il framework, ma EAP-TLS è il metodo che elimina completamente il furto di credenziali dal percorso di autenticazione. Non c'è alcuna password da sottrarre tramite phishing. Non c'è alcun hash da forzare con attacchi brute force. Il certificato è legato al dispositivo. Se il dispositivo viene smarrito o rubato, si revoca il certificato nella propria Autorità di Certificazione e il server RADIUS negherà l'accesso al tentativo di connessione successivo. Se il dipendente lascia l'azienda, si disabilita il suo account nell'identity provider e, poiché il certificato è stato emesso per quell'identità, l'integrazione SCIM propaga automaticamente il de-provisioning. L'accesso termina quando termina il rapporto di lavoro. Questa è l'architettura di cui organizzazioni come Premier Inn e Whitbread hanno bisogno per gestire centinaia di proprietà con migliaia di dispositivi del personale in un patrimonio distribuito. Non è possibile gestire tutto questo su larga scala con password condivise e revoche manuali. Affrontiamo anche la dimensione del BYOD, perché è qui che il captive portal diventa particolarmente prezioso. Nella maggior parte dei settori dell'ospitalità, del retail e degli eventi, una percentuale significativa del personale utilizza dispositivi personali per compiti operativi. Il personale delle pulizie controlla le assegnazioni delle camere sul proprio smartphone. Gli addetti alla vendita al dettaglio utilizzano tablet personali per la ricerca dell'inventario. I team operativi degli stadi utilizzano telefoni personali per le comunicazioni. Si tratta di dispositivi non gestiti. Non si controlla la versione del loro sistema operativo, lo stato del loro antivirus o quali altre applicazioni vi siano installate. Devono essere trattati, nel migliore dei casi, come semi-attendibili. Il captive portal per il WiFi del personale gestisce il BYOD inserendo questi dispositivi in una VLAN dedicata dopo l'autenticazione. La VLAN fornisce loro l'accesso alle specifiche applicazioni interne di cui hanno bisogno - il sistema di gestione della proprietà, l'interfaccia del punto vendita, l'app di pianificazione - e a nient'altro. Non possono raggiungere i server aziendali, i sistemi finanziari o la rete di dispositivi gestiti. Questa è la segmentazione VLAN applicata a livello RADIUS, ed è l'implementazione pratica del principio zero-trust: verificare l'identità, quindi concedere l'accesso minimo richiesto. Un altro elemento architetturale che vale la pena trattare: l'Acceptable Use Policy, o AUP. Il Captive Portal è il punto di applicazione naturale per l'accettazione dell'AUP. Prima che un dipendente ottenga l'accesso alla rete del personale, il portale presenta la policy - che copre l'uso accettabile, il monitoraggio, la gestione dei dati e le conseguenze di un uso improprio - e richiede una conferma esplicita. Questo crea un registro dell'accettazione della policy con timestamp e verificabile. Ai fini del GDPR, questo è importante. Ai fini PCI-DSS, per qualsiasi rete che tocca i dati dei titolari di carta, questo è importante. E nel caso di un'indagine disciplinare che comporti un uso improprio della rete, questo è estremamente importante. Ora, la larghezza di banda. È qui che Purple Shield diventa direttamente rilevante. In ambienti di personale ad alta densità - un hotel durante un fine settimana di tutto esaurito, un'area commerciale il Black Friday, uno stadio il giorno della partita - la congestione della larghezza di banda sulla rete del personale è un reale problema operativo. Purple Shield opera a livello DNS, bloccando i payload pubblicitari, gli script di tracciamento e i domini malware prima che raggiungano il dispositivo. L'effetto pratico è una riduzione fino al 40% dei dati totali scaricati sulla rete, secondo i dati di Purple. Per i dispositivi del personale, ciò significa caricamenti di pagina più rapidi, un minore consumo di batteria dei dispositivi e maggiore larghezza di banda disponibile per il traffico operativo. Le pagine si caricano fino a 3.5 volte più velocemente quando le oltre 120 query DNS tipiche di una pagina ricca di annunci vengono rimosse prima di colpire la rete. Si ottiene questo miglioramento senza toccare l'hardware, senza riconfigurare gli access point e senza alcuna configurazione per singolo dispositivo. [RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE DA EVITARE - circa 2 minuti] Permettetemi di fornirvi la sequenza di implementazione e le modalità di guasto da tenere d'occhio. Iniziate con la vostra architettura VLAN prima di configurare un singolo access point. Definite un minimo di tre VLAN: personale, ospiti e IoT. Mappate le policy del firewall. Ottenete l'approvazione del vostro team di sicurezza. Gli errori più costosi nelle implementazioni WiFi si verificano quando la rete viene creata prima e l'architettura di sicurezza viene aggiunta in un secondo momento. In secondo luogo, distribuite la vostra infrastruttura RADIUS con ridondanza. Un singolo guasto del server RADIUS blocca contemporaneamente ogni membro del personale fuori dalla rete. In un hotel, ciò significa che la reception non può elaborare i check-in. In un negozio al dettaglio, significa che i sistemi POS non possono autenticarsi. Distribuite almeno due server RADIUS in configurazione attivo-passivo e testate il failover prima di andare online. In terzo luogo, integrate il vostro server RADIUS con il vostro identity provider tramite LDAP o SAML. Questo è ciò che consente il deprovisioning automatico. Quando un dipendente viene disabilitato in Microsoft Entra ID o Okta, il server RADIUS smette di accettare le sue credenziali o il suo certificato al tentativo di connessione successivo. Nessun passaggio manuale, nessuna coda di ticket, nessun divario temporale tra la partenza e la rimozione dell'accesso. In quarto luogo, progetta il flusso di onboarding del tuo captive portal per l'utente meno tecnico del tuo team. Non per l'IT manager. Pensa all'operatore di magazzino stagionale che non ha mai installato un profilo di configurazione. Istruzioni chiare, interfaccia personalizzata con il brand e un numero di telefono dell'assistenza visibile su ogni schermata. Ora parliamo dei potenziali problemi. L'errore più comune è un walled garden troppo permissivo. Se l'SSID di provisioning consente l'accesso generale a Internet, il personale rimarrà semplicemente su di esso invece di completare il flusso di onboarding. Bloccale l'accesso limitandolo al portale, agli endpoint dell'identity provider e al server di download dei certificati. Nient'altro. Il secondo problema è la frammentazione di Android. iOS gestisce i profili dot-mobileconfig in modo coerente. Android no. Produttori e versioni del sistema operativo diversi gestiscono l'installazione dei certificati in modi differenti. Testa il tuo flusso di onboarding sui dispositivi Android specifici che il tuo personale utilizza effettivamente prima del lancio. Passpoint, noto anche come Hotspot 2.0, migliora notevolmente l'esperienza Android consentendo il rilevamento automatico della rete e l'autenticazione dopo la configurazione iniziale. Il terzo problema è la scadenza dei certificati. Rilascia certificati a breve durata - 90 giorni è un valore predefinito ragionevole per i dispositivi BYOD. Alla scadenza del certificato, il dispositivo deve eseguire nuovamente l'onboarding tramite il portale. Questo rimuove naturalmente i dispositivi obsoleti dalla rete e impone una nuova autenticazione in base allo stato corrente dell'identity provider. Un dispositivo appartenente a un ex dipendente il cui account è stato disabilitato sei mesi fa non supererà automaticamente il nuovo onboarding. [D&R RAPIDE - circa 1 minuto] Alcune domande che sentiamo di frequente. "Possiamo usare iPSK invece del protocollo completo 802.1X?" Sì, per gli ambienti in cui la distribuzione dei certificati non è fattibile. iPSK, o Identity Pre-Shared Key, assegna una password WiFi unica a ciascun utente o dispositivo. È più sicuro di una PSK condivisa perché ogni credenziale è individuale e revocabile. È meno sicuro di EAP-TLS perché è ancora basato su password. Utilizzalo come una soluzione di passaggio, non come destinazione finale. "Abbiamo bisogno di WPA3 se utilizziamo già WPA2-Enterprise?" Se il tuo hardware lo supporta, sì. WPA3-Enterprise introduce il protocollo Simultaneous Authentication of Equals, che elimina gli attacchi a dizionario offline contro l'handshake. Il costo della migrazione sull'hardware supportato si limita a una modifica della configurazione. Il miglioramento della sicurezza è concreto. "Come gestiamo i collaboratori esterni che non hanno un'identità aziendale?" Utilizza iPSK o credenziali ospite con scadenza temporale emesse tramite il portale. Imposta una data di scadenza corrispondente alla data di fine contratto. La piattaforma di Purple supporta nativamente le credenziali di accesso limitate nel tempo. [RIASSUNTO E PROSSIMI PASSI - circa 1 minuto] In sintesi. Un Captive Portal WiFi per il personale non è una funzionalità di comodo. È il punto di applicazione per la verifica dell'identità, l'accettazione delle policy, la registrazione dei dispositivi e il controllo degli accessi sulla rete operativa. La chiave pre-condivisa condivisa rappresenta un rischio di conformità e una vulnerabilità di sicurezza. Sostituiscila con un flusso di onboarding con verifica dell'identità, segmentazione VLAN e autenticazione basata su RADIUS. I tuoi prossimi passi immediati: verifica il metodo di autenticazione attuale della rete del personale. Se utilizzi una PSK condivisa, questo è l'intervento correttivo con massima priorità. Se utilizzi lo standard 802.1X basato su credenziali, valuta il passaggio a EAP-TLS basato su certificati. E se non hai Purple Shield distribuito sulla rete del personale, la sola riduzione della larghezza di banda giustifica l'investimento. Per guide all'implementazione, modelli di architettura e casi di studio delle installazioni di Purple in oltre 80.000 sedi attive, visita purple.ai. Grazie per l'attenzione.

header_image.png

Executive Summary

Per gli IT manager e gli architetti di rete nei settori hospitality, retail e grandi sedi pubbliche, la gestione dell'accesso alla rete per i dispositivi dei dipendenti presenta sfide operative e di sicurezza significative. Affidarsi a chiavi pre-condivise (PSK) comuni è fondamentalmente insicuro e crea un onere operativo, consentendo agli ex dipendenti e ai dispositivi non gestiti di mantenere l'accesso alla rete a tempo indeterminato. Questa guida illustra un approccio pratico e sicuro per l'onboarding del WiFi per il personale utilizzando un flusso Captive Portal integrato con il provider di identità. Sfruttando questa architettura, è possibile guidare in modo sicuro i dispositivi BYOD non gestiti su una rete 802.1X, applicare le policy di utilizzo accettabile e mantenere la conformità, il tutto senza l'attrito di una registrazione completa a un Mobile Device Management (MDM). Per le sedi che già utilizzano Guest WiFi e WiFi Analytics , l'estensione dell'onboarding sicuro ai dispositivi dei dipendenti fornisce una strategia di gestione della rete unificata e robusta.

Ascolta questa Guida

Approfondimento Tecnico

La base di un onboarding sicuro per i dipendenti è la transizione dai metodi di autenticazione legacy a EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). EAP-TLS è lo standard di settore per l'autenticazione WiFi sicura, che si basa su certificati digitali anziché su password. La sfida con le reti dei dipendenti, in particolare negli ambienti BYOD, è la distribuzione di questi certificati ai dispositivi non gestiti.

Flusso di Onboarding Self-Service

Per raggiungere questo obiettivo, le sedi distribuiscono un portale di onboarding self-service. Questo processo segue un percorso strutturato per garantire la consegna sicura delle credenziali:

  1. Connessione Iniziale: L'utente connette il proprio dispositivo personale a un SSID di provisioning aperto e dedicato. Questa rete funge da walled garden, limitando l'accesso a tutto tranne che al portale di onboarding e all'identity provider (IdP).
  2. Autenticazione: L'utente viene reindirizzato al Captive Portal, dove si autentica utilizzando le proprie credenziali aziendali. Ciò comporta l'integrazione SAML o SCIM con IdP come Microsoft Entra ID, Okta o Google Workspace.
  3. Generazione del Certificato: In seguito a un'autenticazione riuscita, il sistema genera un certificato client unico e specifico per il dispositivo.
  4. Installazione del Profilo: Un profilo di configurazione viene inviato al dispositivo. Questo profilo contiene il certificato client, il certificato della CA radice e le impostazioni di configurazione di rete per l'SSID 802.1X sicuro.
  5. Connessione Sicura: Il dispositivo si disconnette automaticamente dall'SSID di provisioning e si connette all'SSID aziendale sicuro utilizzando il certificato appena installato per l'autenticazione EAP-TLS.

byod_onboarding_flow.png

Perché le PSK Condivise Falliscono nelle Reti dei Dipendenti

Storicamente, le strutture si sono affidate alle Pre-Shared Keys (PSK) per l'accesso dei dipendenti. Questo approccio è fondamentalmente inadeguato in un ambiente aziendale moderno. Le PSK, una volta condivise, rappresentano un rischio per la sicurezza. Non offrono responsabilità individuale e, se un dispositivo viene smarrito o un dipendente si licenzia, è necessario modificare la password sull'intera rete. In un hotel di 200 camere con 80 dipendenti, una password condivisa è stata probabilmente condivisa con circa 80 persone, i loro partner e almeno tre ex dipendenti. Questa non è una rete sicura; è una porta aperta.

authentication_methods_comparison.png

Guida all'Implementazione

L'implementazione di un Captive Portal WiFi sicuro per i dipendenti richiede una pianificazione e un'esecuzione attente. Segui questi passaggi per un rollout di successo in ambienti hospitality, retail o stadi.

Passaggio 1: Definire le Policy di Accesso e la Segmentazione

Prima di configurare l'infrastruttura tecnica, definisci chiaramente a cosa devono poter accedere i dispositivi dei dipendenti. I dispositivi BYOD non sono gestiti; non hai alcun controllo sugli aggiornamenti del loro sistema operativo, sullo stato dell'antivirus o sulle applicazioni installate. Pertanto, devono essere trattati come dispositivi non attendibili.

Colloca i dispositivi dei dipendenti in una VLAN dedicata. Questa VLAN deve fornire l'accesso a internet e limitare l'accesso solo alle specifiche applicazioni interne richieste per il ruolo del dipendente, come un'interfaccia web per i punti vendita retail o un'applicazione di housekeeping per l'hospitality. Non inserire mai i dispositivi BYOD nella stessa VLAN dei server aziendali o dei dispositivi gestiti. Per ulteriori approfondimenti sulla sicurezza delle reti back-of-house, consulta la nostra guida su Retail Staff WiFi Policies: Securing the Back-of-House Network o la versione portoghese Políticas de WiFi para Colaboradores no Retalho: Proteger as Redes Back-of-House .

Passaggio 2: Configurare il Server RADIUS e l'Integrazione con l'IdP

Il server RADIUS è il cuore del processo di autenticazione 802.1X. Deve essere configurato per supportare EAP-TLS e integrarsi con il tuo identity provider.

Connetti il tuo server RADIUS al tuo IdP tramite SAML o LDAP. Questo assicura che solo i dipendenti attivi possano autenticarsi e ricevere certificati. Quando un dipendente viene rimosso in Microsoft Entra ID o Okta, il server RADIUS smetterà di accettare le sue credenziali o i suoi certificati al successivo tentativo di connessione. Stabilisci una CA interna o sfrutta una PKI ospitata in cloud per emettere certificati client. Il server RADIUS deve considerare attendibile questa CA.

Passaggio 3: Progetta il portale di onboarding e applica la AUP

Il portale di onboarding è il primo punto di interazione dell'utente con il sistema. Deve essere intuitivo e chiaramente personalizzato con il brand. Fornisci istruzioni dettagliate passo dopo passo sullo schermo del portale. Gli utenti devono sapere esattamente cosa fare clic e cosa aspettarsi successivamente.

Il Captive Portal è un punto di applicazione naturale per l'accettazione della Politica di Utilizzo Accettabile (AUP) obbligatoria. Prima che i dipendenti accedano alla rete del personale, il portale presenta la politica e richiede un'accettazione esplicita. Questo crea un record dell'accettazione della politica con timestamp e verificabile, fondamentale per la conformità GDPR e PCI-DSS.

Best Practice

Per garantire un'implementazione sicura e gestibile, segui queste best practice del settore.

Implementa certificati a breve durata

Poiché i dispositivi BYOD non sono gestiti, esiste un rischio maggiore che dispositivi compromessi rimangano sulla rete. Mitiga questo rischio emettendo certificati a breve durata. Invece di emettere certificati validi per tre anni, emetti certificati validi per 90 giorni. Alla scadenza del certificato, l'utente deve autenticarsi nuovamente attraverso il portale di onboarding. Questo elimina naturalmente i dispositivi obsoleti dalla rete e garantisce che solo i dipendenti attivi mantengano l'accesso.

Sfrutta Passpoint (Hotspot 2.0)

Per un'esperienza di onboarding fluida, specialmente sui dispositivi Android, sfrutta Passpoint. Passpoint consente ai dispositivi di rilevare e autenticarsi automaticamente su reti sicure senza richiedere all'utente di selezionare manualmente lo SSID o di interagire con un captive portal dopo la configurazione iniziale. Questo riduce significativamente gli attriti e migliora l'esperienza utente.

Usa Purple Shield per la gestione della larghezza di banda

Negli ambienti dei dipendenti ad alta densità, la congestione della banda sulla rete del personale è un problema operativo reale. Purple Shield opera a livello DNS, bloccando payload pubblicitari, script di tracciamento e domini malware prima che raggiungano il dispositivo. L'effetto pratico è una riduzione fino al 40% del totale dei dati scaricati sulla rete. Per i dispositivi dei dipendenti, questo si traduce in tempi di caricamento delle pagine più rapidi, un ridotto consumo della batteria del dispositivo e una maggiore larghezza di banda disponibile per il traffico operativo.

Risoluzione dei problemi e mitigazione

Anche con sistemi ben progettati, possono sorgere problemi. Comprendere le modalità di guasto comuni è fondamentale per una rapida risoluzione.

Configurazione del Walled Garden

L'SSID di provisioning deve essere strettamente controllato. Se il Walled Garden è troppo aperto, gli utenti potrebbero semplicemente rimanere connessi alla rete di provisioning per l'accesso a Internet, aggirando completamente il processo di onboarding sicuro. Assicurati che l'SSID di provisioning consenta l'accesso solo al portale di onboarding, agli endpoint di autenticazione IdP e ai server di download dei certificati necessari. Tutto il resto del traffico deve essere bloccato.

Frammentazione Android

I dispositivi Apple iOS gestiscono i profili di configurazione in modo estremamente coerente. Android, tuttavia, è altamente frammentato. Produttori e versioni del sistema operativo diversi gestiscono i profili WiFi e l'installazione dei certificati in modo differente. Per mitigare questo problema, assicurati che la tua soluzione di onboarding fornisca istruzioni chiare e specifiche per ogni sistema operativo e sfrutta Passpoint ogni volta che è possibile.

ROI e impatto aziendale

L'implementazione di un captive portal WiFi sicuro per il personale offre un chiaro ritorno sull'investimento grazie a una maggiore sicurezza, alla riduzione dei costi di gestione IT e all'aumento della produttività dei dipendenti.

Consentendo agli utenti di eseguire l'onboarding in autonomia, l'help desk IT registra una drastica riduzione dei ticket di supporto relativi alle password WiFi e ai problemi di connettività. Il passaggio da PSK a EAP-TLS riduce significativamente il rischio di accessi non autorizzati alla rete e di violazioni dei dati. Questo è fondamentale per mantenere la conformità a standard come PCI DSS e GDPR. I dipendenti possono connettere i propri dispositivi personali in modo rapido e sicuro per accedere agli strumenti di cui hanno bisogno, migliorando l'efficienza complessiva e la soddisfazione nei settori retail , sanità , accoglienza e trasporti .

Definizioni chiave

Captive Portal

Una pagina web che l'utente di una rete ad accesso pubblico o aziendale è obbligato a visualizzare e con cui deve interagire prima che venga concesso l'accesso.

Utilizzato nelle reti del personale come gateway per la verifica dell'identità, l'accettazione dell'AUP e il provisioning dei certificati.

EAP-TLS

Extensible Authentication Protocol-Transport Layer Security. Un metodo di autenticazione 802.1X che utilizza certificati digitali sia sul client che sul server.

Il metodo di autenticazione WiFi più sicuro, che elimina la necessità di password e previene il furto di credenziali.

RADIUS

Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e tracciamento.

Il server centrale che convalida i certificati dei dispositivi rispetto all'identity provider prima di concedere l'accesso alla rete.

VLAN Segmentation

La pratica di suddividere una rete fisica in più reti logiche per isolare il traffico.

Essenziale per mantenere separati i dispositivi personali BYOD non affidabili del personale dai server aziendali sensibili e dai sistemi POS.

Passpoint (Hotspot 2.0)

Uno standard di settore che consente l'onboarding e il roaming WiFi fluidi e sicuri senza richiedere la selezione manuale dell'SSID o l'interazione con il captive portal dopo la configurazione iniziale.

Migliora l'esperienza utente per l'onboarding del personale, in particolare sui dispositivi Android.

Walled Garden

Un ambiente di rete limitato che controlla l'accesso degli utenti a specifici contenuti e servizi web.

Utilizzato sull'SSID di provisioning per garantire che il personale possa accedere solo al portale di onboarding e all'IdP, impedendo loro di aggirare la configurazione di sicurezza.

SCIM

System for Cross-domain Identity Management. Uno standard aperto per automatizzare lo scambio di informazioni sull'identità degli utenti tra domini di identità.

Consente il deprovisioning automatico dell'accesso alla rete quando un dipendente lascia l'azienda e viene disabilitato nell'IdP.

iPSK

Identity Pre-Shared Key. Una funzionalità di sicurezza che assegna una password WiFi unica a ogni singolo utente o dispositivo.

Utilizzato come alternativa a 802.1X per dispositivi headless o collaboratori esterni che non possono installare un certificato.

Esempi pratici

Un hotel di 200 camere deve fornire l'accesso WiFi a 80 addetti alle pulizie e alla manutenzione che utilizzano i propri smartphone personali per accedere al sistema di gestione immobiliare (PMS) basato su cloud. L'hotel attualmente utilizza un'unica password WPA2 che non viene modificata da tre anni. In che modo il responsabile IT dovrebbe proteggere questa rete senza acquistare software MDM per i dispositivi personali?

  1. Creare un nuovo SSID di provisioning aperto (ad es. 'Hotel-Staff-Onboard') con un walled garden rigoroso che consenta l'accesso solo al captive portal e a Microsoft Entra ID.
  2. Configurare un captive portal per richiedere l'accesso SSO tramite Entra ID e visualizzare la Politica di Utilizzo Accettabile (AUP) per il personale.
  3. Una volta completato l'accesso e accettata l'AUP, generare un certificato EAP-TLS specifico per il dispositivo con validità di 90 giorni.
  4. Inviare il profilo di configurazione al telefono del dipendente per connettersi automaticamente all'SSID protetto 802.1X (ad es. 'Hotel-Staff-Secure').
  5. Configurare il server RADIUS per assegnare i dispositivi connessi a una VLAN BYOD dedicata che instradi il traffico solo verso internet e il PMS cloud, bloccando l'accesso alla VLAN del server aziendale.
Commento dell'esaminatore: Questo approccio elimina la vulnerabilità della password condivisa, evitando al contempo i problemi di privacy legati a una registrazione MDM completa. Il certificato di 90 giorni garantisce la rimozione automatica dei dispositivi obsoleti, e la segmentazione VLAN protegge la rete aziendale da dispositivi personali potenzialmente compromessi.

Una grande catena di vendita al dettaglio riscontra gravi problemi di connettività dei punti vendita (POS) durante i saldi del Black Friday perché il personale riproduce video in streaming sui propri telefoni personali connessi alla rete del personale durante le pause. Come può l'architetto di rete risolvere questo problema senza vietare i dispositivi personali?

  1. Implementare Purple Shield sulla rete del personale per bloccare payload pubblicitari e script di tracciamento a livello DNS, recuperando istantaneamente fino al 40% della larghezza di banda sprecata.
  2. Implementare politiche di Quality of Service (QoS) sul controller wireless per dare priorità al traffico delle applicazioni POS e di inventario rispetto alla navigazione web generale e allo streaming video.
  3. Applicare la limitazione della larghezza di banda (rate limiting) alla VLAN BYOD per limitare la banda massima disponibile per ogni singolo dispositivo personale.
Commento dell'esaminatore: Questa soluzione affronta la saturazione della banda dal punto di vista tecnico piuttosto che attraverso politiche HR non applicabili. Purple Shield riduce il carico di dati di base, mentre il QoS e la limitazione della banda assicurano che il traffico operativo critico abbia sempre la priorità durante i periodi di punta.

Domande di esercitazione

Q1. Un direttore delle operazioni di uno stadio desidera distribuire una singola password WiFi a tutti i 500 membri del personale dell'evento nel giorno della partita per 'facilitare una connessione rapida'. Qual è il principale rischio di sicurezza di questo approccio e qual è l'alternativa raccomandata?

Suggerimento: Considera cosa succede quando un membro dello staff presente solo nel giorno della partita non torna per l'evento successivo.

Visualizza risposta modello

Il rischio principale è l'impossibilità di revocare l'accesso ai singoli individui. Quando un membro dello staff se ne va, mantiene la password, garantendogli un accesso a tempo indeterminato alla rete operativa. L'alternativa consigliata è un flusso di onboarding tramite Captive Portal che rilascia certificati EAP-TLS specifici per il dispositivo e legati alla loro identità, consentendo all'IT di revocare l'accesso per singolo dispositivo o automaticamente al momento della cessazione del rapporto.

Q2. I log del tuo server RADIUS mostrano che diversi dispositivi Android non riescono a completare il processo di installazione del certificato dopo l'autenticazione sul Captive Portal. Qual è la causa più probabile e come può essere mitigata?

Suggerimento: Considera le differenze nel modo in care i sistemi operativi mobili gestiscono i profili di configurazione.

Visualizza risposta modello

La causa più probabile è la frammentazione del sistema operativo Android, poiché i diversi produttori gestiscono l'installazione dei certificati in modo differente. Questo problema può essere mitigato fornendo istruzioni chiare e specifiche per i diversi sistemi operativi sul Captive Portal, utilizzando un'app di onboarding dedicata o sfruttando Passpoint (Hotspot 2.0) per un'esperienza di onboarding più fluida e standardizzata.

Q3. Il team IT di un ospedale sta progettando una rete BYOD per il personale. Prevedono di collocare i dispositivi BYOD sulla stessa VLAN dei server delle cartelle cliniche elettroniche (EHR) dell'ospedale per garantire che il personale possa accedere rapidamente ai dati dei pazienti. Si tratta di un design sicuro? Perché?

Suggerimento: Considera il livello di fiducia dei dispositivi BYOD non gestiti.

Visualizza risposta modello

No, questo non è un design sicuro. I dispositivi BYOD non sono gestiti, il che significa che il team IT non ne controlla lo stato di sicurezza, gli aggiornamenti del sistema operativo o le applicazioni installate. Devono essere trattati come non attendibili. Posizionarli sulla stessa VLAN di server sensibili come quelli EHR crea un rischio significativo di movimento laterale. I dispositivi BYOD dovrebbero essere collocati su una VLAN dedicata e segmentata con regole di firewall rigide che limitino l'accesso solo alle interfacce web necessarie, mai un accesso diretto al server.