Cos'è un Supplicant 802.1X? Tipi di Client e Configurazione dei Dispositivi

Questa guida spiega il ruolo del supplicant 802.1X nell'autenticazione WiFi aziendale. Copre l'architettura tecnica, confronta i supplicant nativi del sistema operativo con i client di terze parti e fornisce una guida pratica alla configurazione per i team IT che distribuiscono EAP-TLS e PEAP.

📖 5 minuti di lettura📝 1,091 parole🔧 2 esempi pratici❓ 3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

Speak in British English with a confident, authoritative, conversational tone - like a senior network security consultant briefing a client. Measured pace, clear diction, professional but not stiff. Occasional natural pauses for emphasis:

Benvenuti nella serie di briefing tecnici di Purple. Oggi parleremo di un elemento che si trova proprio al centro della sicurezza WiFi aziendale: il supplicant 802.1X. Se vi siete mai chiesti perché alcuni dispositivi si connettono alla rete aziendale senza richiedere una password, mentre altri generano errori di certificato e ticket di assistenza, questa è la puntata che fa per voi.

[medium pause]

Iniziamo con le basi. Il supplicant 802.1X è il componente software presente su un dispositivo client (un laptop, uno smartphone, un tablet) che gestisce l'handshake di autenticazione quando il dispositivo tenta di accedere a una rete protetta da IEEE 802.1X. Pensatelo come il presentatore della carta d'identità del dispositivo. La rete non fa entrare chiunque. Chiede le credenziali. Il supplicant è ciò che si fa avanti e dice: ecco chi sono, ecco il mio certificato, fammi entrare.

Lo standard stesso — IEEE 802.1X — definisce il controllo dell'accesso alla rete basato su porta. Prima che l'autenticazione vada a buon fine, l'access point o lo switch consentono il passaggio di un tipo di traffico molto limitato: i frame EAPOL, che sta per Extensible Authentication Protocol over LAN. Tutto il resto viene bloccato. Una volta che il supplicant dimostra la propria identità al server RADIUS tramite l'autenticatore, la porta si apre e il traffico normale inizia a fluire.

[medium pause]

Ora, ci sono tre attori in questo scenario. Primo, il supplicant: il dispositivo client. Secondo, l'autenticatore: il vostro access point o switch, hardware come Cisco Meraki, HPE Aruba, Ruckus o Juniper Mist. Terzo, il server di autenticazione: quasi sempre un server RADIUS, che convalida le credenziali confrontandole con una directory come Microsoft Entra ID o Okta.

Il supplicant avvia il processo inviando un messaggio EAPOL-Start. L'autenticatore risponde con una richiesta EAP-Request di identità. Il supplicant risponde con la propria identità. Tale identità viene inoltrata al server RADIUS, che quindi sfida il supplicant con il metodo EAP concordato. Se tutto è in regola, il server RADIUS invia un Access-Accept, la porta si apre e il dispositivo viene inserito nella VLAN corretta.

[medium pause]

Parliamo dei metodi EAP, perché è qui che viene presa la maggior parte delle decisioni di deployment.

EAP-TLS, ovvero Extensible Authentication Protocol con Transport Layer Security, rappresenta il gold standard. Richiede che sia il client sia il server presentino dei certificati. Autenticazione reciproca. Nessuna password. Il certificato client dimostra l'identità del dispositivo; il certificato server dimostra la legittimità della rete, offrendo protezione contro gli attacchi evil twin, in cui un access point malevolo tenta di sottrarre credenziali. EAP-TLS si completa in dodici passaggi e utilizza la crittografia a chiave pubblica-privata durante l'intero processo. È il metodo richiesto per WPA3-Enterprise nella sua modalità di sicurezza più elevata, e si allinea ai requisiti NIST SP 800-171 per la verifica dell'identità dei dispositivi.

PEAP (Protected EAP) è il punto di partenza più comune per le organizzazioni che non dispongono ancora di una PKI completa. PEAP racchiude un metodo interno basato su password, in genere MSCHAPv2, all'interno di un tunnel TLS. Il server presenta un certificato, mentre il client no. Di conseguenza, l'implementazione è più semplice (non è necessario distribuire certificati client), ma è meno sicura. MSCHAPv2 utilizza l'hashing MD4, considerato compromesso fin dal 1995. Se un utente si connette a un access point malevolo che presenta un certificato dall'aspetto attendibile, le sue credenziali possono essere intercettate. La validazione del certificato server sul lato client è quindi imprescindibile quando si utilizza PEAP.

[medium pause]

Passiamo ora al supplicant vero e proprio, in particolare alla scelta tra i supplicant nativi del sistema operativo e i software client di terze parti.

Ogni sistema operativo principale viene fornito con un supplicant 802.1X integrato. Windows lo supporta nativamente fin da XP, tramite i servizi Configurazione automatica reti cablate e Configurazione automatica WLAN. macOS e iOS gestiscono 802.1X tramite i loro profili di configurazione di rete. Android lo supporta attraverso il pannello delle impostazioni WiFi. Questi supplicant nativi coprono EAP-TLS e PEAP-MSCHAPv2 su tutte le piattaforme attuali.

Il vantaggio dei supplicant nativi è evidente: nessun software aggiuntivo da distribuire, nessun costo di licenza, aggiornamenti di sicurezza automatici del sistema operativo e stretta integrazione con l'archivio certificati del sistema operativo. Per i parchi dispositivi gestiti (macchine Windows registrate in Microsoft Intune, Mac gestiti tramite Jamf) è possibile inviare i profili di configurazione 802.1X in modo silente tramite MDM, senza che gli utenti visualizzino alcuna richiesta. Il dispositivo si autentica automaticamente ogni volta che entra nel raggio di copertura.

I supplicant di terze parti entrano in gioco in scenari specifici. Se utilizzi un'infrastruttura Cisco e desideri utilizzare EAP-FAST, il metodo EAP proprietario di Cisco, hai bisogno del software client di Cisco, storicamente il Secure Services Client o AnyConnect Network Access Manager. Se hai bisogno di una gestione coerente della configurazione in un parco macchine con sistemi operativi misti e desideri bloccare le impostazioni del supplicant in modo che gli utenti non possano configurarle erroneamente per errore, un client di terze parti ti offre tale controllo. Strumenti come la suite JoinNow di SecureW2 fungono anche da agenti di onboarding: configurano il supplicant nativo anziché sostituirlo, guidando gli utenti attraverso la registrazione dei certificati e l'installazione dei profili.

[medium pause]

Permettimi di illustrarti due scenari del mondo reale per rendere questo concetto concreto.

Innanzitutto, un hotel da 400 camere. Oggi la struttura gestisce una rete per il personale su WPA2-Enterprise con PEAP-MSCHAPv2. Il team IT desidera migrare a EAP-TLS per eliminare l'autenticazione basata su password e ridurre il rischio di furto di credenziali. La sfida: i dispositivi del personale sono un mix di laptop Windows gestiti tramite Intune, telefoni personali Android utilizzati per il software di gestione della struttura e una manciata di macchine legacy Windows 7 nel back-of-house.

L'approccio qui è graduale. Inizia con la flotta Windows gestita. Distribuisci un profilo di configurazione Intune che installi il certificato CA radice del server RADIUS, configuri il profilo WiFi per EAP-TLS e avvii la registrazione del certificato basata su SCEP dalla PKI interna. Tali dispositivi si autenticano automaticamente fin dal primo giorno. Per i dispositivi Android BYOD, distribuisci un portale di onboarding self-service: gli utenti visitano un URL, scaricano un profilo di configurazione e il supplicant viene configurato per loro. Le macchine legacy Windows 7 rimangono su PEAP con una rigorosa convalida del certificato del server applicata, isolate in una VLAN separata con accesso limitato, fino alla loro dismissione.

[medium pause]

Secondo scenario: una grande catena di vendita al dettaglio con 200 negozi. Ogni negozio ha un mix di terminali POS, tablet del personale e una rete WiFi per gli ospiti. Il PCI DSS richiede che gli ambienti dei dati dei titolari di carta siano isolati da altri segmenti di rete. Il rivenditore utilizza l'802.1X sulle reti del personale e POS, con l'assegnazione della VLAN guidata dagli attributi del certificato. Un terminale POS presenta un certificato del dispositivo con un'unità organizzativa pari a "POS" - la policy RADIUS lo assegna alla VLAN PCI. Un tablet del personale presenta un certificato con "Staff" - finisce sulla VLAN del personale. I dispositivi degli ospiti si connettono a un SSID completamente separato, gestito da una soluzione di Captive Portal.

La configurazione del supplicant sui terminali POS è bloccata tramite MDM. Nessuna interazione da parte dell'utente richiesta. I terminali si autenticano silenziosamente all'avvio. Il rinnovo del certificato è automatizzato tramite SCEP, quindi non vi è alcun intervento manuale alla scadenza dei certificati.

[medium pause]

Ora, le trappole dell'implementazione. Lascia che ti illustri le quattro più comuni.

Numero uno: validazione del certificato del server mancante nelle distribuzioni PEAP. Se non si configura il supplicant per convalidare il certificato del server RADIUS e verificare il nome del server, gli utenti sono vulnerabili alla connessione a un access point fittizio. Specificare sempre la CA radice attendibile e il nome del server nel profilo del supplicant.

Numero due: la scadenza dei certificati che causa errori di autenticazione di massa. I certificati client hanno un periodo di validità. Se non si dispone di un rinnovo automatico tramite SCEP o NDES, si andrà incontro a un evento critico in cui centina extinction di dispositivi smetteranno di autenticarsi simultaneamente. Configurare l'automazione del rinnovo prima di andare online.

Numero tre: dispositivi BYOD con comportamento del supplicant incoerente. Android, in particolare, presenta un supporto 802.1X frammentato tra i vari produttori. Alcune versioni richiedono che l'utente installi manualmente il certificato CA prima che il profilo WiFi lo accetti. Un portale di onboarding che gestisce questo passaggio riduce significativamente il volume di richieste all'helpdesk.

Numero quattro: gli aggiornamenti delle funzionalità di Windows 11 che interrompono la configurazione del supplicant. Microsoft ha modificato il comportamento di 802.1X in diversi aggiornamenti di Windows 11. Nello specifico, l'aggiornamento 24H2 ha introdotto modifiche al modo in cui il supplicant nativo gestisce il fallback EAP-TLS. Testare i profili del supplicant con le nuove versioni del sistema operativo prima di distribuirli in produzione.

[medium pause]

Ora passiamo alle domande rapide.

I dispositivi IoT possono supportare l'802.1X? La maggior parte no. I dispositivi IoT in genere sono privi di un supplicant. L'alternativa è il MAC Authentication Bypass (MAB), in cui il server RADIUS autentica il dispositivo in base al suo indirizzo MAC. Gli indirizzi MAC possono essere contraffatti, quindi i dispositivi MAB dovrebbero sempre essere inseriti in una VLAN IoT isolata con regole firewall rigorose.

Ho bisogno di una PKI per eseguire l'802.1X? Per PEAP, no: è necessario solo un certificato server sul server RADIUS. Per EAP-TLS, sì: è necessaria una PKI per emettere i certificati client. I servizi PKI basati su cloud riducono notevolmente i costi operativi dell'infrastruttura.

In che modo l'802.1X interagisce con la piattaforma di accesso alla rete di Purple? Purple funziona come un overlay cloud sopra l'hardware esistente: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e altri. Sulle reti WiFi del personale, l'add-on SecurePass di Purple si integra con il provider di identità (Microsoft Entra ID, Okta o Google Workspace) per applicare l'autenticazione 802.1X e le policy VLAN per singolo utente senza richiedere un'infrastruttura RADIUS on-premises.

[medium pause]

Per riassumere: il supplicant 802.1X è l'agente lato dispositivo che consente il funzionamento del controllo dell'accesso alla rete basato su porta. La scelta del metodo EAP (EAP-TLS per la massima sicurezza, PEAP come opzione di transizione) determina i requisiti PKI e l'approccio alla configurazione del supplicant. I supplicant nativi del sistema operativo coprono la maggior parte degli scenari dei dispositivi gestiti se distribuiti tramite MDM. I client di terze parti offrono valore aggiunto in casi specifici: metodi EAP proprietari, parchi macchine con sistemi operativi misti che richiedono una configurazione coerente o onboarding BYOD self-service.

I tre punti chiave da ricordare: convalida il certificato del server RADIUS su ogni profilo supplicant, automatizza il rinnovo del certificato prima di distribuire EAP-TLS su larga scala e isola i dispositivi che non supportano l'802.1X (dispositivi IoT e hardware legacy) su VLAN dedicate con il MAC Authentication Bypass come fallback.

Per saperne di più su come Purple si integra con la tua architettura di accesso alla rete, visita purple punto ai. Grazie per l'ascolto.

Punti chiave

✓Il supplicant 802.1X è il software sul dispositivo client che gestisce l'autenticazione di rete.
✓EAP-TLS offre la massima sicurezza richiedendo sia il certificato client che quello server.
✓PEAP semplifica l'implementazione richiedendo solo un certificato server, ma richiede una configurazione rigorosa del supplicant per prevenire il furto di credenziali.
✓I supplicant nativi del sistema operativo sono sufficienti per la maggior parte degli ambienti gestiti quando distribuiti tramite MDM.
✓I software client di terze parti sono utili per l'onboarding BYOD o per imporre protocolli proprietari.
✓Configura sempre il supplicant per convalidare il certificato del server RADIUS al fine di prevenire attacchi di tipo evil twin.
✓Automatizza il rinnovo del certificato client per evitare interruzioni di autenticazione di massa.

执行摘要

当设备连接到企业网络时，802.1X 客户端 (Supplicant) 是负责证明其身份的软件组件。对于大型场馆的 IT 经理和网络架构师而言，了解客户端的工作原理对于在不产生服务台工单的情况下确保网络访问安全至关重要。本指南将揭秘 IEEE 802.1X 认证中的设备端代理，对比原生操作系统功能与第三方客户端软件。我们将研究如何为 EAP-TLS 和 PEAP-MSCHAPv2 配置客户端，探讨酒店和零售行业的实际部署场景，并详细介绍正确的客户端配置如何与基于身份的网络（Identity-Based Networks）集成以优化访问。无论您是管理 200 间客房的酒店，还是管理拥有 80,000 多个座位的活动场馆，正确配置客户端都是构建安全、可靠 WiFi 的基石。

技术深挖

IEEE 802.1X 标准定义了基于端口的网络访问控制。它基于一个简单的原则：在设备证明其身份之前，阻断网络边缘的所有流量。客户端是此过程中的客户端参与者。

802.1X 的三个组成部分

认证需要三个不同的实体：

客户端 (Supplicant)：请求网络访问的客户端设备（笔记本电脑、智能手机或平板电脑）。
认证器 (Authenticator)：网络访问设备，例如 Cisco Meraki、HPE Aruba、Ruckus 或 Juniper Mist 接入点。
认证服务器 (Authentication Server)：根据 Microsoft Entra ID 或 Okta 等身份提供商验证凭据的 RADIUS 服务器。

在认证之前，认证器的端口处于未授权状态，仅允许局域网上的可扩展身份验证协议 (EAPOL) 流量。客户端通过 EAPOL-Start 帧发起该过程。认证器请求身份，客户端进行响应。该身份将被转发到 RADIUS 服务器，由其决定要使用的 EAP 方法。验证成功后，RADIUS 服务器会发送 Access-Accept 消息，端口转换为授权状态，设备通常会被分配到特定的 VLAN。

EAP 方法：客户端的语言

客户端和 RADIUS 服务器必须就可扩展身份验证协议 (EAP) 方法达成一致。EAP 方法的选择决定了安全状况以及客户端的配置负担。

EAP-TLS（传输层安全协议） EAP-TLS 需要使用数字证书进行双向身份验证。客户端（Supplicant）提供客户端证书以证明其身份，RADIUS 服务器提供服务器证书以证明网络的合法性。这种无密码方法消除了凭据窃取，并且是 NIST SP 800-171 等严格安全框架所要求的。客户端必须配置为信任颁发证书颁发机构 (CA) 并拥有有效的客户端证书。

PEAP (Protected EAP) 在无法使用完整公钥基础设施 (PKI) 的情况下，PEAP 被广泛使用。它在 TLS 隧道内封装了一个内部身份验证方法（通常是 MSCHAPv2）。RADIUS 服务器提供证书，但客户端只需提供用户名和密码。虽然 PEAP 更易于部署，但如果未严格配置客户端来验证服务器证书，它很容易受到凭据收集攻击。

实施指南

在部署 802.1X 时，IT 团队必须在选择使用操作系统内置的原生客户端，还是部署第三方客户端软件之间做出决定。

原生系统客户端

每个现代操作系统都包含一个原生的 802.1X 客户端。Windows 使用有线自动配置 (Wired AutoConfig) 和无线自动配置 (WLAN AutoConfig) 服务。Apple 设备使用网络配置文件。Android 将其集成在 WiFi 设置中。

原生客户端是托管设备群的理想选择。使用 Microsoft Intune 或 Jamf 等移动设备管理 (MDM) 平台，IT 管理员可以静默推送配置文件，这些文件通过 SCEP 定义了 SSID、EAP 方法、受信任的根 CA 以及证书注册过程。用户体验是无缝的；设备在后台进行身份验证。

第三方客户端软件

在特定场景下，需要使用第三方客户端，例如 Cisco AnyConnect 网络访问管理器或 SecureW2 JoinNow：

专有协议：使用 Cisco EAP-FAST 需要 Cisco 客户端。
BYOD 准入：第三方工具通常充当准入助手，引导用户在原生配置较为复杂的非托管设备上安装证书（特别是在碎片化的 Android 环境中）。
严格的配置控制：第三方客户端可以锁定设置，防止用户禁用服务器证书验证。

配置服务器证书验证

无论选择哪种客户端，配置服务器证书验证都至关重要，特别是对于 PEAP。如果客户端不验证 RADIUS 服务器的证书，它会毫无防备地将凭据发送给模仿您 SSID 的恶意接入点。

在 Windows 中，这意味着勾选 PEAP 属性中的“验证服务器证书”、选择受信任的根证书颁发机构（Root CA），并指定客户端应期望的确切服务器名称。在 Apple 设备上，配置文件必须明确列出受信任的证书。

最佳实践

强制服务器验证：部署 PEAP 时，切勿在未配置客户端验证 RADIUS 服务器证书的情况下进行。这是防御“邪恶双胞胎”（evil twin）攻击的首要防线。
自动化证书生命周期：使用 EAP-TLS 时，应通过 MDM 使用 SCEP 或 NDES 自动执行客户端证书的注册和更新。手动证书管理难以扩展，且会导致突发性的身份验证失败。
按身份进行隔离：使用 RADIUS 属性根据验证的身份分配 VLAN。员工设备和 POS 终端应验证到同一个 SSID，但最终落在不同的 VLAN 上。
为物联网（IoT）做好规划：大多数 IoT 设备缺乏 802.1X 客户端。对于这些设备，请使用 MAC 地址绕过认证（MAB），但必须将其严格隔离在专用的 IoT VLAN 上。

故障排查与风险缓解

当设备无法连接时，问题几乎总是出在客户端配置或证书链上。

“已连接，无互联网”：这通常表明 VLAN 分配失败或身份验证后出现 DHCP 问题。请检查 RADIUS 日志以确认 Access-Accept 消息中是否包含了正确的 Tunnel-Private-Group-Id。
Windows 11 上的静默失败：最近的 Windows 11 功能更新（如 24H2）改变了原生客户端处理 EAP-TLS 回退的方式。在广泛部署之前，请务必针对新的操作系统版本测试配置文件。
证书过期：如果一批设备突然掉网，请检查客户端证书的有效期。确保您的 MDM 在证书过期之前成功对其进行了更新。

投资回报率（ROI）与业务影响

迁移到配置了正确客户端的 802.1X 可以带来可衡量的业务价值。通过消除共享密码（预共享密钥/PSK），您可以彻底免除在员工离职时轮换密码的操作开销。转向 EAP-TLS 可以完全消除密码重置工单，从而为服务台释放大量的生产力时间。

此外，802.1X 允许在单个 SSID 上实现基于身份的网络隔离。无需为 Guest WiFi 、员工和运营广播独立的网络，单个 SSID 即可根据客户端的凭据安全地路由流量。这减少了信道干扰并提高了整体网络性能，直接支持了 Purple 的云端覆盖方法来进行与硬件无关的网络管理。如需更深入地了解分析，请探索我们的 WiFi Analytics 功能。

Definizioni chiave

Supplicant 802.1X

Il componente software su un dispositivo client che gestisce il processo di autenticazione richiesto per accedere a una rete protetta da IEEE 802.1X.

I team IT configurano il supplicant per definire in che modo un dispositivo dimostra la propria identità alla rete.

Autenticatore

Il dispositivo di rete (switch o access point) che blocca il traffico finché il supplicant non si autentica con successo.

L'hardware di fornitori come Cisco Meraki o HPE Aruba funge da autenticatore, inoltrando i messaggi tra il dispositivo e il server.

RADIUS

Remote Authentication Dial-In User Service. Il server che verifica le credenziali fornite dal supplicant.

Il server RADIUS verifica l'identità confrontandola con directory come Okta o Microsoft Entra ID prima di concedere l'accesso.

EAP-TLS

Extensible Authentication Protocol con Transport Layer Security. Un metodo di autenticazione che richiede certificati digitali sia del client che del server.

Considerato il metodo più sicuro per le reti aziendali, elimina la necessità di password.

PEAP

Protected Extensible Authentication Protocol. Un metodo di autenticazione che crea un tunnel TLS sicuro per proteggere l'autenticazione basata su password.

Comunemente utilizzato in ambienti BYOD in cui la distribuzione di certificati client a dispositivi non gestiti è troppo complessa.

EAPOL

Extensible Authentication Protocol over LAN. Il protocollo utilizzato per incapsulare i messaggi EAP tra il supplicant e l'authenticator.

Prima dell'autenticazione, EAPOL è l'unico tipo di traffico che l'autenticatore consente di far passare attraverso la porta.

MAC Authentication Bypass (MAB)

Un metodo di autenticazione di fallback in cui la rete utilizza l'indirizzo MAC del dispositivo come sua identità.

Utilizzato per stampanti, telecamere e dispositivi IoT che non dispongono di un supplicant 802.1X.

Assegnazione VLAN

Il processo di inserimento dinamico di un dispositivo autenticato all'interno di uno specifico segmento di rete virtuale.

Il server RADIUS comunica all'authenticator quale VLAN assegnare in base all'identità del supplicant.

Esempi pratici

Un hotel da 200 camere deve proteggere la rete del personale. Attualmente utilizza WPA2-Personal con una password condivisa, ma desidera passare a 802.1X. Il personale utilizza un mix di laptop Windows aziendali e telefoni personali Android per la turnistica. Come dovrebbero configurare i supplicant?

L'hotel dovrebbe adottare un approccio ibrido. Per i laptop Windows aziendali, dovrebbero utilizzare il supplicant nativo di Windows configurato tramite Microsoft Intune. Il profilo MDM deve inviare le impostazioni EAP-TLS, installare la Root CA e automatizzare la registrazione dei certificati client tramite SCEP. Per i telefoni personali Android, dovrebbero distribuire un agente di onboarding di terze parti (come SecureW2) tramite un portale self-service. Il membro del personale accede al portale utilizzando le proprie credenziali Microsoft Entra ID e l'agente configura automaticamente il supplicant nativo di Android per PEAP-MSCHAPv2, garantendo che la convalida del certificato del server sia bloccata.

Commento dell'esaminatore: Questo approccio bilancia la sicurezza con la realtà operativa. EAP-TLS viene applicato laddove esiste il controllo MDM, garantendo la massima sicurezza. PEAP viene utilizzato per il BYOD dove la distribuzione dei certificati client è complessa, ma l'agente di onboarding assicura che il supplicant sia configurato in modo sicuro, mitigando il rischio di access point non autorizzati.

Una grande catena di vendita al dettaglio con 50 negozi sta introducendo nuovi tablet POS (Point of Sale) mobili. La normativa PCI DSS richiede un isolamento rigoroso della rete. In che modo la configurazione del supplicant deve garantire la conformità?

I tablet devono essere gestiti tramite MDM. L'MDM invia un profilo di configurazione del supplicant nativo che impone EAP-TLS. Ogni tablet riceve un certificato client unico contenente un attributo che lo identifica come dispositivo POS. Quando il supplicant del tablet si autentica, il server RADIUS legge questo attributo e restituisce un'assegnazione VLAN specifica per il segmento di rete conforme a PCI. La configurazione del supplicant deve essere bloccata in modo che il personale del negozio non possa modificare le impostazioni di rete.

Commento dell'esaminatore: L'uso di EAP-TLS con assegnazione di VLAN basata su certificati è il metodo da manuale per ottenere la conformità PCI sulle reti wireless. Elimina l'errore umano dalla segmentazione della rete e garantisce che il dispositivo non possa essere collegato accidentalmente alle reti meno sicure del personale o degli ospiti di [Retail](/industries/retail).

Domande di esercitazione

Q1. La tua organizzazione sta distribuendo PEAP-MSCHAPv2 per una nuova rete BYOD del personale. Durante i test, noti che i dispositivi riescono a connettersi a un access point di prova che trasmette lo stesso SSID, anche se non è connesso al tuo server RADIUS. Quale passaggio di configurazione del supplicant è stato saltato?

Suggerimento: Considera in che modo il supplicant verifica l'identità della rete prima di inviare le credenziali MSCHAPv2.

Visualizza risposta modello

Il supplicant non è stato configurato per convalidare il certificato del server. In PEAP, il supplicant deve essere esplicitamente configurato per considerare attendibile la specifica Root CA che ha emesso il certificato del server RADIUS e per verificare il nome di dominio del server. Senza questo passaggio, il supplicant stabilirà un tunnel TLS con qualsiasi server che presenti un certificato, esponendo le credenziali dell'utente a un access point non autorizzato.

Q2. Un'università sta migrando la sua flotta di laptop Windows gestiti da PEAP a EAP-TLS. Distribuiscono il nuovo profilo di configurazione tramite MDM, ma tutti i dispositivi non riescono a autenticarsi. I log di RADIUS mostrano 'EAP-TLS failed SSL/TLS handshake'. Qual è la causa più probabile?

Suggerimento: EAP-TLS richiede un'autenticazione reciproca. Di cosa ha bisogno il client che non era invece necessario per PEAP?

Visualizza risposta modello

I dispositivi client non dispongono di un certificato client valido. EAP-TLS richiede che il supplicant presenti un certificato al server RADIUS. Il profilo MDM deve essere configurato non solo per impostare il metodo EAP su TLS, ma anche per attivare un protocollo come SCEP per richiedere e installare un certificato client dalla PKI dell'organizzazione prima di tentare l'autenticazione.

Q3. Devi connettere 50 smart TV alla rete in un ambiente [Healthcare](/industries/healthcare). Le TV supportano solo WPA2-Personal (Pre-Shared Key) e non hanno un supplicant 802.1X. Come metti in sicurezza il loro accesso mantenendo al contempo l'802.1X per i dispositivi del personale?

Suggerimento: Se il dispositivo non supporta EAP, l'authenticator deve identificarlo in un altro modo.

Visualizza risposta modello

Dovresti utilizzare il MAC Authentication Bypass (MAB). L'authenticator utilizzerà l'indirizzo MAC della smart TV come nome utente e password inviati al server RADIUS. Poiché gli indirizzi MAC possono essere contraffatti, il server RADIUS deve essere configurato per assegnare questi dispositivi a una VLAN IoT isolata e altamente limitata che consenta solo il traffico necessario.

Continua a leggere questa serie

Server RADIUS: una guida completa per le aziende

Questa guida fornisce a IT manager, architetti di rete e CTO un riferimento tecnico definitivo sull'autenticazione tramite server RADIUS per il WiFi aziendale. Copre il framework AAA, l'architettura 802.1X, la selezione del metodo EAP, i compromessi tra implementazioni cloud e on-premises e l'assegnazione dinamica della VLAN. I gestori di location nei settori dell'ospitalità, del retail, degli eventi e del settore pubblico troveranno indicazioni pratiche per l'implementazione, casi di studio reali e i framework decisionali necessari per migrare da chiavi pre-condivise non sicure a un'architettura di controllo degli accessi alla rete sicura e basata sull'identità.

Aruba ClearPass vs. Purple WiFi: Confronto delle Funzionalità e Co-implementazione

Una guida tecnica completa che dettaglia l'architettura di co-implementazione di Aruba ClearPass e Purple WiFi. Copre la configurazione del proxy RADIUS, l'assegnazione dinamica della VLAN e le best practice per fornire reti guest sicure e basate sull'analisi dei dati insieme al NAC aziendale.

Cisco ISE vs. Purple WiFi: Come si Confrontano e Come Lavorano Insieme

Questa guida spiega come Cisco ISE e Purple WiFi ricoprano ruoli distinti ma complementari nelle reti aziendali. Spiega dettagliatamente come utilizzare Cisco ISE per l'accesso aziendale sicuro 802.1X, sfruttando al contempo Purple per il guest WiFi conforme al GDPR, l'analisi di marketing e l'integrazione CRM.