Qual è la differenza tra una rete WiFi per ospiti e la rete principale?

PODCAST SCRIPT: "Qual è la differenza tra una rete WiFi per ospiti e la rete principale?" DURATION: ~10 minutes | VOICE: UK English, Male, Senior Consultant Tone --- [INTRO — 1 MINUTE] Bentornati. Oggi andrò dritto al punto, perché questo è uno di quegli argomenti che sembrano ingannevolmente semplici, ma che mettono le organizzazioni in gravi difficoltà quando non vengono gestiti correttamente. La domanda è: qual è in realtà la differenza tra una rete WiFi ospiti e la rete aziendale principale, e perché questa distinzione è estremamente importante dal punto di vista della sicurezza, della conformità e dell'operatività? Che si tratti di una catena alberghiera, di un patrimonio retail, di un centro congressi o di una struttura del settore pubblico, nel momento in cui offrite il WiFi ai visitatori, introducete un vettore di rischio sulla vostra infrastruttura. Il modo in care gestite questa separazione — a livello di SSID, a livello di VLAN e attraverso la vostra architettura di autenticazione — determinerà se il vostro WiFi ospiti è una risorsa aziendale o una passività. Entriamo nel dettaglio. --- [TECHNICAL DEEP-DIVE — 5 MINUTES] Iniziamo dalle basi. La vostra rete aziendale — quella che chiameremmo la vostra rete principale — è l'ambiente in cui risiedono i vostri sistemi critici per il business. Si tratta dei controller di dominio, dei file server, dei terminali POS, dell'infrastruttura TVCC, dei sistemi ERP, dei database delle risorse umane. L'accesso a queste risorse deve essere strettamente controllato, autenticato tramite IEEE 802.1X con certificati o credenziali e limitato a dispositivi noti e gestiti. La vostra rete wireless ospiti, al contrario, è un ambiente condiviso, di solo accesso a Internet, destinato a visitatori, clienti e appaltatori che hanno bisogno di connettività ma non hanno alcun motivo di accedere alle vostre risorse interne. Nel momento in cui un ospite si connette, dovrebbe atterrare in un segmento di rete completamente isolato, senza visibilità e senza alcuna rotta verso la vostra rete aziendale. Ora, ecco dove molte organizzazioni sbagliano. Pensano che avere semplicemente un SSID separato — un nome di rete diverso — sia un isolamento sufficiente. Non è così. Un SSID è solo un'etichetta. Senza un corretto tagging VLAN a livello di switch e access point, il traffico di entrambi gli SSID può ancora attraversare lo stesso dominio di trasmissione Layer 2. Ciò significa che un dispositivo sul vostro SSID "GuestWiFi" potrebbe, in teoria, vedere il traffico del vostro SSID aziendale se l'infrastruttura di switching sottostante non è configurata correttamente. L'architettura corretta è la mappatura da SSID a VLAN. Il vostro SSID ospiti si mappa su una VLAN dedicata — ad esempio la VLAN 10 — che viene convogliata tramite trunk attraverso i vostri switch gestiti e terminata su un'interfaccia firewall separata o in una zona DMZ. Quella VLAN ha una rotta verso Internet e nient'altro. Il vostro SSID aziendale si mappa sulla VLAN 20, che instrada attraverso il vostro firewall principale con accesso completo alle risorse interne. Le due VLAN non si scambiano mai traffico a meno che non abbiate configurato esplicitamente il routing inter-VLAN con le relative ACL — cosa che, per il traffico ospiti, non dovreste fare. Dal lato dell'access point, la maggior parte dei controller wireless di livello enterprise — sia che utilizziate Cisco Meraki, Aruba, Juniper Mist o Ruckus — supporta più SSID per radio con assegnazione della VLAN per SSID. Questa è una funzionalità standard. Ciò che dovete garantire è che i vostri access point siano collegati a porte trunk sui vostri switch, non a porte di accesso, in modo che i tag VLAN vengano preservati fino al livello di distribuzione. Ora parliamo di autenticazione. Per la vostra rete aziendale, il gold standard è lo standard IEEE 802.1X con un backend RADIUS, idealmente con EAP-TLS basato su certificati anziché metodi con nome utente e password. Ciò garantisce che solo i dispositivi aggiunti al dominio o dotati di certificato possano autenticarsi. Se utilizzate un'infrastruttura RADIUS, vale la pena dare un'occhiata a RadSec — ovvero RADIUS su TLS — che crittografa il traffico di autenticazione tra i vostri access point e il vostro server RADIUS. C'è una guida dettagliata a riguardo su [RadSec: Securing RADIUS Authentication Traffic with TLS](/guides/radsec-radius-over-tls) se volete approfondire. Per la vostra rete ospiti, il modello di autenticazione è fondamentalmente diverso. Non avete a che fare con dispositivi gestiti. Avete a che fare con smartphone, tablet e laptop personali appartenenti a persone che non avete mai incontrato. L'approccio standard in questo caso è un captive portal — una pagina di accesso basata sul web che intercetta la prima richiesta HTTP o HTTPS dell'ospite e la reindirizza a una pagina di registrazione o di accettazione dei termini di servizio. È qui che le piattaforme come la soluzione guest WiFi di Purple aggiungono un valore significativo: invece di presentare semplicemente una pagina di benvenuto di base, acquisite dati di prima parte — nome, e-mail, informazioni demografiche — con un consenso esplicito conforme al GDPR, che alimenta direttamente i vostri flussi di lavoro di CRM e marketing automation. Per quanto riguarda la crittografia, WPA3 è ora lo standard consigliato per entrambe le reti. Per la vostra rete ospiti, WPA3-SAE — Simultaneous Authentication of Equals — fornisce forward secrecy, il che significa che anche se la chiave precondivisa viene compromessa, il traffico delle sessioni passate non può essere decrittografato. Per la vostra rete aziendale, WPA3-Enterprise con modalità a 192 bit offre il massimo livello di protezione per gli ambienti sensibili. Un'ultima cosa sul lato tecnico: l'isolamento dei client. Sulla vostra VLAN ospiti, dovreste abilitare l'isolamento dei client wireless — a volte chiamato isolamento AP — che impedisce ai dispositivi degli ospiti di comunicare tra loro sullo stesso SSID. Senza questo, un dispositivo ospite potrebbe tentare di sondare o attaccare altri dispositivi ospiti sulla stessa rete. Ciò è particolarmente importante in ambienti ad alta densità come hall di hotel, centri congressi e negozi al dettaglio dove possono essere connessi contemporaneamente centinaia di dispositivi. --- [IMPLEMENTATION RECOMMENDATIONS AND PITFALLS — 2 MINUTES] Bene, parliamo di cosa va storto nella pratica. L'errore più comune che vedo è che le organizzazioni distribuiscono il WiFi ospiti su hardware di livello consumer o non gestito che non supporta il corretto tagging VLAN. Se i vostri access point non possono gestire il trunking delle VLAN, non potete ottenere una corretta segmentazione della rete. Punto. Questo è un requisito infrastrutturale non negoziabile. La seconda trappola è la congestione della larghezza di banda. Senza criteri di QoS, un singolo ospite che riproduce video in streaming 4K può saturare il vostro uplink e degradare le prestazioni per i vostri utenti aziendali. È necessaria una limitazione della velocità sulla VLAN ospiti — in genere un limite di download per client compreso tra 5 e 20 megabit al secondo a seconda della capacità dell'uplink — e una prioritizzazione del traffico che garantisca che il traffico aziendale abbia sempre la precedenza. Terzo: DNS e DHCP. La vostra VLAN ospiti dovrebbe avere il proprio ambito DHCP con un intervallo IP separato — qualcosa come 192.168.100.0/24 — e dovrebbe utilizzare un resolver DNS pubblico come 8.8.8.8 o 1.1.1.1, non il vostro server DNS interno. Se gli ospiti risolvono il DNS tramite il vostro server interno, avete creato un vettore di fuga di informazioni e potenzialmente una superficie di attacco di DNS rebinding. Quarto, e questo è fondamentale per l'hospitality e il retail: la conformità PCI DSS. Se la vostra infrastruttura per le carte di pagamento — i vostri terminali POS, i vostri gateway di pagamento — condivide un qualsiasi segmento di rete con il vostro WiFi ospiti, siete quasi certamente in violazione dei requisiti PCI DSS. L'ambiente dei dati dei titolari di carta deve essere completamente isolato. Una VLAN ospiti adeguatamente segmentata senza routing inter-VLAN verso la rete POS è un requisito fondamentale per la conformità PCI. Infine, la registrazione e il monitoraggio. La vostra rete ospiti dovrebbe avere il proprio feed NetFlow o syslog nel vostro SIEM. Dovete essere in grado di dimostrare, ai fini del GDPR e delle intercettazioni legali, chi era connesso, quando e quale traffico ha generato. La piattaforma di analisi di Purple acquisisce gli eventi di connessione, il tempo di permanenza e i dati sulla frequenza delle visite che alimentano direttamente questo percorso di audit. --- [RAPID-FIRE Q&A — 1 MINUTE] Domande rapide che mi vengono poste regolarmente: "Posso utilizzare gli stessi access point fisici per entrambe le reti?" — Sì, assolutamente. Questo è l'intero scopo del multi-SSID con tagging VLAN. Un AP, più reti logiche. "Ho bisogno di connessioni Internet separate per gli ospiti e per l'azienda?" — No, ma avete bisogno di criteri firewall separati e idealmente di interfacce WAN o sotto-interfacce separate per applicare la QoS e il traffic shaping in modo indipendente. "E i dispositivi IoT, dove vanno a finire?" — Ottengono la loro VLAN, separata sia da quella degli ospiti che da quella aziendale. L'IoT è un terzo segmento di rete, non un sottoinsieme di nessuna delle due. "WPA2 è ancora accettabile per le reti ospiti?" — È funzionante ma WPA3 è fortemente preferito. WPA2 con TKIP è deprecato. Se state ancora eseguendo TKIP da qualche parte, risolvete il problema oggi stesso. --- [SUMMARY AND NEXT STEPS — 1 MINUTE] Per riassumere: la differenza tra una rete WiFi ospiti e la vostra rete principale non è solo una questione di password diversa o di un nome SSID diverso. Si tratta di una separazione architetturale fondamentale implementata a livello di VLAN, applicata dalla vostra infrastruttura di switching e firewall, con modelli di autenticazione, criteri di QoS e requisiti di monitoraggio distinti per ciascuna. Fate le cose per bene e avrete un'implementazione WiFi ospiti sicura, conforme e — con la piattaforma giusta sopra — una vera risorsa di dati di prima parte per i vostri team di marketing e operativi. Sbagliate e avrete un rischio di movimento laterale seduto nella vostra hall, che trasmette a 2,4 e 5 gigahertz. Se volete approfondire l'aspetto dell'autenticazione, consultate la guida RadSec. E se state valutando piattaforme WiFi per ospiti, la soluzione di Purple su purple.ai copre l'intero stack — dal captive portal e dall'acquisizione dei dati conforme al GDPR fino alla WiFi analytics e alla venue intelligence. Grazie per l'ascolto. Ci vediamo alla prossima. --- END OF SCRIPT