Vai al contenuto principale

Cos'è un Supplicant 802.1X? Tipi di Client e Configurazione dei Dispositivi

Questa guida spiega il ruolo del supplicant 802.1X nell'autenticazione WiFi aziendale. Copre l'architettura tecnica, confronta i supplicant nativi del sistema operativo con i client di terze parti e fornisce una guida pratica alla configurazione per i team IT che distribuiscono EAP-TLS e PEAP.

📖 5 minuti di lettura📝 1,091 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Speak in British English with a confident, authoritative, conversational tone - like a senior network security consultant briefing a client. Measured pace, clear diction, professional but not stiff. Occasional natural pauses for emphasis: Benvenuti nella serie di briefing tecnici di Purple. Oggi parleremo di un elemento fondamentale per la sicurezza WiFi aziendale - il supplicant 802.1X. Se vi siete mai chiesti perché alcuni dispositivi si connettono alla rete aziendale senza richiedere una password, mentre altri presentano errori di certificato e generano ticket di assistenza, questa è la puntata che fa per voi. [medium pause] Iniziamo con le basi. Il supplicant 802.1X è il componente software presente sul dispositivo client - un laptop, uno smartphone, un tablet - che gestisce l'handshake di autenticazione quando il dispositivo tenta di accedere a una rete protetta da IEEE 802.1X. Pensatelo come il presentatore del documento d'identità del dispositivo. La rete non fa entrare chiunque. Richiede delle credenziali. Il supplicant è ciò che si fa avanti e dice: ecco chi sono, ecco il mio certificato, lasciami entrare. Lo standard stesso - IEEE 802.1X - definisce il controllo dell'accesso alla rete basato su porta. Prima che l'autenticazione vada a buon fine, l'access point o lo switch consente il passaggio solo di un tipo di traffico molto limitato: i frame EAPOL, ovvero Extensible Authentication Protocol over LAN. Tutto il resto viene bloccato. Una volta che il supplicant dimostra la propria identità al server RADIUS tramite l'authenticator, la porta si apre e il traffico normale inizia a fluire. [medium pause] Ci sono tre attori in questo scenario. Primo, il supplicant - il dispositivo client. Secondo, l'authenticator - il vostro access point o switch, hardware come Cisco Meraki, HPE Aruba, Ruckus o Juniper Mist. Terzo, l'authentication server - quasi sempre un server RADIUS, che convalida le credenziali confrontandole con una directory come Microsoft Entra ID o Okta. Il supplicant avvia il processo inviando un messaggio EAPOL-Start. L'authenticator risponde con una richiesta EAP-Request per l'identità. Il supplicant risponde con la propria identità. Tale identità viene inoltrata al server RADIUS, che sfida il supplicant con il metodo EAP concordato. Se tutto va a buon fine, il server RADIUS invia un messaggio di Access-Accept, la porta si apre e il dispositivo viene inserito nella VLAN corretta. [medium pause] Parliamo ora dei metodi EAP, perché è qui che viene presa la maggior parte delle decisioni di implementazione. L'EAP-TLS - ovvero Extensible Authentication Protocol con Transport Layer Security - è lo standard di riferimento assoluto. Richiede che sia il client sia il server presentino dei certificati. Autenticazione reciproca. Niente password. Il certificato client dimostra l'identità del dispositivo; il certificato server dimostra che la rete è legittima, offrendo protezione contro gli attacchi evil twin in cui un access point non autorizzato tenta di sottrarre le credenziali. L'EAP-TLS si completa in dodici passaggi e utilizza la crittografia a chiave pubblica-privata durante l'intero processo. È il metodo richiesto per WPA3-Enterprise nella sua modalità di sicurezza più elevata e si allinea ai requisiti NIST SP 800-171 per la verifica dell'identità dei dispositivi. Il PEAP - Protected EAP - è il punto di partenza più comune per le organizzazioni che non dispongono ancora di una PKI completa. Il PEAP racchiude un metodo interno basato su password, in genere MSCHAPv2, all'interno di un tunnel TLS. Il server presenta un certificato; il client no. Ciò significa che l'implementazione è più semplice - non è necessario distribuire certificati client - ma è meno sicura. MSCHAPv2 utilizza l'hashing MD4, considerato compromesso dal 1995. Se un utente si connette a un access point contraffatto che presenta un certificato dall'aspetto attendibile, le sue credenziali possono essere intercettate. La validazione del certificato server lato client è quindi imprescindibile quando si utilizza il PEAP. [medium pause] Passiamo ora al supplicant vero e proprio - in particolare alla scelta tra supplicant nativi del sistema operativo e software client di terze parti. Ogni principale sistema operativo viene fornito con un supplicant 802.1X integrato. Windows lo supporta nativamente da XP, tramite i servizi Configurazione automatica reti cablate e Configurazione automatica WLAN. macOS e iOS gestiscono l'802.1X tramite i loro profili di configurazione di rete. Android lo supporta attraverso il pannello delle impostazioni WiFi. Questi supplicant nativi coprono EAP-TLS e PEAP-MSCHAPv2 su tutte le piattaforme attuali. Il vantaggio dei supplicant nativi è evidente: nessun software aggiuntivo da distribuire, nessun costo di licenza, aggiornamenti di sicurezza automatici del sistema operativo e una stretta integrazione con l'archivio dei certificati del sistema operativo. Per i parchi dispositivi gestiti - macchine Windows registrate in Microsoft Entra ID tramite Microsoft Intune, Mac gestiti tramite Jamf - è possibile distribuire i profili di configurazione 802.1X in modo invisibile tramite MDM, senza che gli utenti visualizzino alcuna richiesta. Il dispositivo si autentica automaticamente ogni volta che entra nel raggio d'azione. I supplicanti di terze parti entrano in gioco in scenari specifici. Se utilizzi un'infrastruttura Cisco e desideri utilizzare EAP-FAST - il metodo EAP proprietario di Cisco - è necessario il software client di Cisco, storicamente il Secure Services Client o AnyConnect Network Access Manager. Se hai bisogno di una gestione coerente della configurazione su un parco macchine con sistemi operativi misti e desideri bloccare le impostazioni del supplicante in modo che gli utenti non possano accidentalmente configurarle in modo errato, un client di terze parti ti offre tale controllo. Strumenti come la suite JoinNow di SecureW2 fungono anche da agenti di onboarding - configurano il supplicante nativo anziché sostituirlo, guidando gli utenti attraverso la registrazione dei certificati e l'installazione dei profili. [medium pause] Permettimi di illustrarti due scenari reali per rendere concreto questo concetto. In primo luogo, un hotel da 400 camere. La struttura gestisce attualmente una rete per il personale su WPA2-Enterprise con PEAP-MSCHAPv2. Il team IT desidera migrare a EAP-TLS per eliminare l'autenticazione basata su password e ridurre il rischio di furto di credenziali. La sfida: i dispositivi del personale sono un mix di laptop Windows gestiti tramite Intune, telefoni Android personali utilizzati per il software di gestione della struttura e una manciata di macchine legacy Windows 7 nel back office. L'approccio in questo caso è graduale. Inizia con la flotta di dispositivi Windows gestiti. Distribuisci un profilo di configurazione Intune che installi il certificato CA radice del server RADIUS, configuri il profilo WiFi per EAP-TLS e avvii la registrazione del certificato basata su SCEP dalla PKI interna. Tali dispositivi si autenticheranno automaticamente fin dal primo giorno. Per i dispositivi Android BYOD, distribuisci un portale di onboarding self-service - gli utenti visitano un URL, scaricano un profilo di configurazione e il supplicante viene configurato per loro. Le macchine legacy Windows 7 rimangono su PEAP con una rigorosa convalida del certificato del server applicata, isolate in una VLAN separata con accesso limitato, fino alla loro dismissione. [medium pause] Secondo scenario: una grande catena di vendita al dettaglio con 200 negozi. Ogni negozio ha un mix di terminali per punti vendita, tablet per il personale e una rete WiFi per gli ospiti. Lo standard PCI-DSS richiede che gli ambienti con dati dei titolari di carta siano isolati dagli altri segmenti di rete. Il rivenditore utilizza lo standard 802.1X sulle reti del personale e dei terminali di vendita, con l'assegnazione delle VLAN guidata dagli attributi dei certificati. Un terminale di vendita presenta un certificato dispositivo con un'unità organizzativa pari a "POS" - la policy RADIUS lo assegna alla VLAN PCI. Un tablet del personale presenta un certificato con "Staff" - e finisce sulla VLAN del personale. I dispositivi degli ospiti si connettono a un SSID completamente separato, gestito da una soluzione di Captive Portal. La configurazione del supplicante sui terminali di vendita è bloccata tramite MDM. Non è richiesta alcuna interazione da parte dell'utente. I terminali si autenticano silenziosamente all'avvio. Il rinnovo dei certificati è automatizzato tramite SCEP, eliminando qualsiasi intervento manuale alla scadenza dei certificati. [medium pause] Ora, i problemi comuni di implementazione. Ti illustrerò i quattro più frequenti. Numero uno: la mancata validazione del certificato del server sulle implementazioni PEAP. Se non configuri il supplicant per validare il certificato del server RADIUS e verificare il nome del server, gli utenti sono vulnerabili alla connessione a un access point canaglia. Specifica sempre la CA radice attendibile e il nome del server nel profilo del supplicant. Numero due: la scadenza dei certificati che causa errori di autenticazione di massa. I certificati client hanno un periodo di validità. Se non disponi di un rinnovo automatico tramite SCEP o NDES, ti scontrerai con una situazione critica in cui centinaia di dispositivi smetteranno di autenticarsi contemporaneamente. Configura l'automazione del rinnovo prima di andare online. Numero tre: dispositivi BYOD con comportamenti del supplicant incoerenti. Android in particolare presenta un supporto 802.1X frammentato tra i vari produttori. Alcune versioni richiedono che l'utente installi manualmente il certificato della CA prima che il profilo WiFi lo accetti. Un portale di onboarding che gestisce questo passaggio riduce notevolmente il volume di richieste all'helpdesk. Numero quattro: gli aggiornamenti delle funzionalità di Windows 11 che interrompono la configurazione del supplicant. Microsoft ha modificato il comportamento di 802.1X in diversi aggiornamenti di Windows 11. Nello specifico, l'aggiornamento 24H2 ha introdotto modifiche al modo in cui il supplicant nativo gestisce il fallback EAP-TLS. Testa i profili del supplicant con le nuove versioni del sistema operativo prima di implementarli in produzione. [pausa media] Ora passiamo alle domande rapide. I dispositivi IoT possono supportare lo standard 802.1X? La maggior parte non può farlo. I dispositivi IoT in genere sono privi di un supplicant. L'alternativa di ripiego è il MAC Authentication Bypass - MAB - in cui il server RADIUS autentica il dispositivo in base al suo indirizzo MAC. Gli indirizzi MAC possono essere contraffatti, quindi i dispositivi MAB dovrebbero sempre connettersi a una VLAN IoT isolata con regole di firewall rigide. Ho bisogno di una PKI per eseguire 802.1X? Per PEAP, no - ti serve solo un certificato server sul server RADIUS. Per EAP-TLS, sì - hai bisogno di una PKI per emettere certificati client. I servizi PKI basati su cloud riducono notevolmente i costi operativi dell'infrastruttura. In che modo 802.1X interagisce con la piattaforma di accesso alla rete di Purple? Purple opera come un overlay cloud sopra il tuo hardware esistente - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e altri. Sulle reti WiFi del personale, l'add-on SecurePass di Purple si integra con il tuo identity provider - Microsoft Entra ID, Okta o Google Workspace - per applicare l'autenticazione 802.1X e applicare policy VLAN per utente senza richiedere un'infrastruttura RADIUS on-premises. [pausa media] Per concludere: il supplicant 802.1X è l'agente lato dispositivo che fa funzionare il controllo dell'accesso alla rete basato su porta. La tua scelta del metodo EAP - EAP-TLS per la massima sicurezza, PEAP come opzione di transizione - determina i requisiti della tua PKI e l'approccio alla configurazione del supplicant. I supplicant nativi del sistema operativo coprono la maggior parte degli scenari dei dispositivi gestiti quando vengono distribuiti tramite MDM. I client di terze parti aggiungono valore in casi specifici: metodi EAP proprietari, parchi macchine con sistemi operativi misti che richiedono una configurazione coerente o onboarding BYOD self-service. I tre aspetti principali da ricordare: convalidate il certificato del server RADIUS su ogni profilo supplicant, automatizzate il rinnovo dei certificati prima di distribuire EAP-TLS su vasta scala e isolate i dispositivi che non supportano l'802.1X - IoT, hardware legacy - su VLAN dedicate con MAC Authentication Bypass come soluzione di backup. Per maggiori informazioni su come Purple si integra con la vostra architettura di accesso alla rete, visitate purple dot ai. Grazie per l'ascolto.

header_image.png

Sintesi Esecutiva

Quando un dispositivo si connette a una rete aziendale, il supplicant 802.1X è il componente software responsabile della verifica della sua identità. Per i responsabili IT e gli architetti di rete di grandi strutture, comprendere il funzionamento del supplicant è fondamentale per proteggere l'accesso alla rete senza generare ticket di assistenza. Questa guida fa chiarezza sull'agente lato dispositivo nell'autenticazione IEEE 802.1X, mettendo a confronto le funzionalità native del sistema operativo con i software supplicant di terze parti. Esamineremo come configurare i supplicant per EAP-TLS e PEAP-MSCHAPv2, esploreremo scenari di implementazione reali nei settori dell'ospitalità e del retail, e spiegheremo in dettaglio come una corretta configurazione del supplicant si integri con le reti basate sull'identità per ottimizzare l'accesso. Sia che gestiate un hotel da 200 camere o una struttura attiva con oltre 80.000 posti a sedere, la corretta configurazione del supplicant è un pilastro fondamentale per la creazione di un WiFi sicuro e affidabile.

Approfondimento Tecnico

Lo standard IEEE 802.1X definisce il controllo dell'accesso alla rete basato su porta. Funziona su una premessa semplice: bloccare tutto il traffico ai margini della rete finché un dispositivo non dimostra la propria identità. Il supplicant è il partecipante lato client in questo processo.

I Tre Componenti di 802.1X

L'autenticazione richiede tre entità distinte:

  1. Supplicant: Il dispositivo client (laptop, smartphone o tablet) che richiede l'accesso alla rete.
  2. Authenticator: Il dispositivo di accesso alla rete, come un access point Cisco Meraki, HPE Aruba, Ruckus o Juniper Mist.
  3. Authentication Server: Il server RADIUS che convalida le credenziali confrontandole con un provider di identità come Microsoft Entra ID o Okta.

Prima dell'autenticazione, la porta dell'authenticator si trova in uno stato non autorizzato, consentendo solo il traffico EAPOL (Extensible Authentication Protocol over LAN). Il supplicant avvia il processo con un frame EAPOL-Start. L'authenticator richiede l'identità e il supplicant risponde. Questa identità viene inoltrata al server RADIUS, che determina il metodo EAP da utilizzare. In caso di convalida positiva, il server RADIUS invia un messaggio di Access-Accept, la porta passa a uno stato autorizzato e al dispositivo viene solitamente assegnata una VLAN specifica.

architecture_overview.png

Metodi EAP: Il Linguaggio del Supplicant

Il supplicant e il server RADIUS devono concordare un metodo EAP (Extensible Authentication Protocol). La scelta del metodo EAP determina il livello di sicurezza e l'onere di configurazione sul supplicant.

EAP-TLS (Transport Layer Security) L'EAP-TLS richiede un'autenticazione reciproca basata su certificati. Il supplicant fornisce un certificato client per dimostrare la propria identità, e il server RADIUS fornisce un certificato server per dimostrare la legittimità della rete. Questo metodo senza password elimina il furto di credenziali ed è richiesto da framework di sicurezza rigorosi come NIST SP 800-171. Il supplicant deve essere configurato per considerare attendibile l'Autorità di Certificazione (CA) emittente e deve possedere un certificato client valido.

PEAP (Protected EAP) Nei contesti in cui una Public Key Infrastructure (PKI) completa non è praticabile, il PEAP è ampiamente utilizzato. Esso incapsula un metodo di autenticazione interno (solitamente MSCHAPv2) all'interno di un tunnel TLS sicuro. Il server RADIUS fornisce un certificato, ma il supplicant deve solo fornire un nome utente e una password. Sebbene il PEAP sia più semplice da distribuire, è altamente vulnerabile al furto di credenziali se il supplicant non è rigorosamente configurato per convalidare il certificato del server.

Guida all'implementazione

Durante la distribuzione di 802.1X, i team IT devono decidere se utilizzare il supplicant nativo integrato nel sistema operativo o distribuire un software supplicant di terze parti.

Supplicant nativi del sistema operativo

Ogni sistema operativo moderno include un supplicant 802.1X nativo. Windows utilizza i servizi Configurazione automatica reti cablate e Configurazione automatica WLAN. I dispositivi Apple utilizzano i Profili di rete. Android integra questa funzione all'interno delle sue impostazioni WiFi.

I supplicant nativi sono ideali per le flotte di dispositivi gestiti. Utilizzando piattaforme di Mobile Device Management (MDM) come Microsoft Intune o Jamf, gli amministratori IT possono distribuire in modo invisibile profili di configurazione che definiscono l'SSID, il metodo EAP, le CA radice attendibili e i processi di registrazione dei certificati tramite SCEP. L'esperienza utente è fluida; il dispositivo si autentica in background.

Software supplicant di terze parti

I supplicant di terze parti, come Cisco AnyConnect Network Access Manager o SecureW2 JoinNow, sono necessari in scenari specifici:

  • Protocolli proprietari: l'uso di Cisco EAP-FAST richiede un supplicant Cisco.
  • Onboarding BYOD: gli strumenti di terze parti spesso fungono da procedure guidate di onboarding, aiutando gli utenti a installare i certificati su dispositivi non gestiti dove la configurazione nativa risulta complessa (in particolare negli ambienti Android frammentati).
  • Controllo rigoroso della configurazione: i supplicant di terze parti possono bloccare le impostazioni, impedendo agli utenti di disattivare la convalida del certificato del server.

native_vs_thirdparty_comparison.png

Configurazione della convalida del certificato del server

A prescindere dal supplicant scelto, la configurazione della convalida del certificato del server è fondamentale, in particolare per il PEAP. Se il supplicant non convalida il certificato del server RADIUS, invierà ciecamente le credenziali a un access point canaglia che imita il tuo SSID.

In Windows, questo significa spuntare "Verifica l'identità del server convalidando il certificato" nelle proprietà PEAP, selezionare l'Autorità di certificazione radice attendibile (Root CA) e specificare i nomi esatti dei server che il client deve aspettarsi. Sui dispositivi Apple, il profilo di configurazione deve elencare esplicitamente i certificati attendibili.

Best Practice

  1. Imporre la convalida del server: Quando si distribuisce PEAP, non farlo mai senza configurare i supplicant per la convalida del certificato del server RADIUS. Questa è la linea di difesa principale contro gli attacchi "evil twin".
  2. Automatizzare il ciclo di vita dei certificati: Quando si utilizza EAP-TLS, automatizza la registrazione e il rinnovo dei certificati client tramite MDM utilizzando SCEP o NDES. La gestione manuale dei certificati non è scalabile e porta a improvvisi errori di autenticazione.
  3. Segregare per identità: Utilizza gli attributi RADIUS per assegnare le VLAN in base all'identità convalidata. I dispositivi dei dipendenti e i terminali POS dovrebbero autenticarsi sullo stesso SSID ma atterrare su VLAN completamente diverse.
  4. Pianificare per l'IoT: La maggior parte dei dispositivi IoT è priva di supplicant 802.1X. Per questi dispositivi, utilizza il MAC Address Bypass (MAB), ma assicurati che siano rigorosamente isolati su una VLAN IoT dedicata.

Risoluzione dei problemi e mitigazione dei rischi

Quando un dispositivo non riesce a connettersi, il problema risiede quasi sempre nella configurazione del client o nella catena dei certificati.

  • "Connesso, senza Internet": Questo di solito indica un errore di assegnazione della VLAN o problemi DHCP post - autenticazione. Controlla i log RADIUS per verificare che il messaggio Access-Accept contenga il Tunnel-Private-Group-Id corretto.
  • Errori silenziosi su Windows 11: I recenti aggiornamenti delle funzionalità di Windows 11 (come il 24H2) hanno cambiato il modo in cui il supplicant nativo gestisce il fallback EAP-TLS. Testa sempre i profili sulle nuove build del sistema operativo prima di una distribuzione su larga scala.
  • Scadenza del certificato: Se un gruppo di dispositivi si disconnette improvvisamente, verifica il periodo di validità dei certificati client. Assicurati che il tuo MDM li rinnovi correttamente prima della scadenza.

ROI e impatto aziendale

La migrazione a 802.1X con supplicant configurati correttamente offre un valore aziendale misurabile. Eliminando le password condivise (Pre-Shared Keys/PSK), si rimuove completamente il sovraccarico operativo legato alla rotazione delle password quando i dipendenti lasciano l'azienda. Il passaggio a EAP-TLS può eliminare del tutto i ticket di reimpostazione della password, liberando ore significative di produttività per il service desk.

Inoltre, 802.1X consente l'isolamento della rete basato sull'identità su un singolo SSID. Invece di trasmettere reti separate per il Guest WiFi , il personale e le operazioni, un singolo SSID può instradare il traffico in modo sicuro in base alle credenziali del client. Ciò riduce le interferenze di canale e migliora le prestazioni complessive della rete, supportando direttamente l'approccio overlay cloud di Purple per la gestione della rete indipendente dall'hardware. Per approfondimenti analitici più dettagliati, esplora la nostra funzionalità di WiFi Analytics .

Definizioni chiave

Supplicant 802.1X

Il componente software su un dispositivo client che gestisce il processo di autenticazione richiesto per accedere a una rete protetta da IEEE 802.1X.

I team IT configurano il supplicant per definire il modo in care un dispositivo dimostra la propria identità alla rete.

Authenticatore

Il dispositivo di rete (switch o access point) che blocca il traffico fino a quando il supplicant non si autentica con successo.

L'hardware di fornitori come Cisco Meraki o HPE Aruba funge da autenticatore, trasmettendo i messaggi tra il dispositivo e il server.

RADIUS

Remote Authentication Dial-In User Service. Il server che verifica le credenziali fornite dal supplicant.

Il server RADIUS verifica l'identità confrontandola con directory come Okta o Microsoft Entra ID prima di concedere l'accesso.

EAP-TLS

Extensible Authentication Protocol con Transport Layer Security. Un metodo di autenticazione che richiede certificati digitali sia lato client che lato server.

Considerato il metodo più sicuro per le reti aziendali, in quanto elimina la necessità di password.

PEAP

Protected Extensible Authentication Protocol. Un metodo di autenticazione che crea un tunnel TLS sicuro per proteggere l'autenticazione basata su password.

Comunemente utilizzato negli ambienti BYOD dove la distribuzione di certificati client a dispositivi non gestiti è troppo complessa.

EAPOL

Extensible Authentication Protocol over LAN. Il protocollo utilizzato per incapsulare i messaggi EAP tra il supplicant e l'autenticatore.

Prima dell'autenticazione, l'EAPOL è l'unico tipo di traffico che l'autenticatore consente di far passare attraverso la porta.

MAC Authentication Bypass (MAB)

Un metodo di autenticazione di ripiego in cui la rete utilizza l'indirizzo MAC del dispositivo come sua identità.

Utilizzato per stampanti, telecamere e dispositivi IoT privi di un supplicant 802.1X.

Assegnazione VLAN

Il processo di inserimento dinamico di un dispositivo autenticato in uno specifico segmento di rete virtuale.

Il server RADIUS indica all'autenticatore quale VLAN assegnare in base all'identità del supplicant.

Esempi pratici

Un hotel da 200 camere deve mettere in sicurezza la rete del personale. Attualmente utilizza WPA2-Personal con una password condivisa e desidera passare a 802.1X. Il personale utilizza un mix di laptop Windows aziendali e telefoni Android personali per la turnistica. Come dovrebbero configurare i supplicant?

L'hotel dovrebbe adottare un approccio ibrido. Per i laptop Windows aziendali, si dovrebbe utilizzare il supplicant nativo di Windows configurato tramite Microsoft Intune. Il profilo MDM dovrebbe applicare le impostazioni EAP-TLS, installare la Root CA e automatizzare la registrazione dei certificati client tramite SCEP. Per i telefoni Android personali, si dovrebbe distribuire un agente di onboarding di terze parti (come SecureW2) tramite un portale self-service. Il membro del personale accede al portale utilizzando le proprie credenziali Microsoft Entra ID e l'agente configura automaticamente il supplicant nativo di Android per PEAP-MSCHAPv2, garantendo che la convalida del certificato del server sia bloccata.

Commento dell'esaminatore: Questo approccio bilancia la sicurezza con la realtà operativa. L'EAP-TLS viene imposto laddove esiste il controllo MDM, fornendo la massima sicurezza. Il PEAP viene utilizzato per il BYOD dove la distribuzione dei certificati client è complessa, ma l'agente di onboarding garantisce che il supplicant sia configurato in modo sicuro, mitigando il rischio di access point non autorizzati.

Una grande catena di vendita al dettaglio con 50 negozi sta introducendo nuovi tablet mobili per i punti vendita (POS). Lo standard PCI DSS richiede un rigoroso isolamento della rete. In che modo la configurazione del supplicant deve garantire la conformità?

I tablet dovrebbero essere gestiti tramite MDM. L'MDM applica un profilo di configurazione del supplicant nativo che impone l'EAP-TLS. Ogni tablet riceve un certificato client unico contenente un attributo che lo identifica come dispositivo POS. Quando il supplicant del tablet si autentica, il server RADIUS legge questo attributo e restituisce un'assegnazione VLAN specifica per il segmento di rete conforme a PCI. La configurazione del supplicant deve essere bloccata in modo che il personale del negozio non possa modificare le impostazioni di rete.

Commento dell'esaminatore: L'uso di EAP-TLS con assegnazione della VLAN basata su certificati è il metodo da manuale per ottenere la conformità PCI sulle reti wireless. Elimina l'errore umano dalla segmentazione della rete e garantisce che il dispositivo non possa essere accidentalmente connesso alle reti meno sicure del personale o degli ospiti di [Retail](/industries/retail).

Domande di esercitazione

Q1. La tua organizzazione sta implementando PEAP-MSCHAPv2 per una nuova rete BYOD del personale. Durante i test, noti che i dispositivi possono connettersi a un access point di test che trasmette lo stesso SSID, anche se non è connesso al tuo server RADIUS. Quale passaggio di configurazione del supplicant è stato saltato?

Suggerimento: Considera come il supplicant verifica l'identità della rete prima di inviare le credenziali MSCHAPv2.

Visualizza risposta modello

Il supplicant non è stato configurato per convalidare il certificato del server. In PEAP, il supplicant deve essere esplicitamente configurato per considerare attendibile la specifica Root CA che ha emesso il certificato del server RADIUS e per verificare il nome di dominio del server. Senza questo passaggio, il supplicant stabilirà un tunnel TLS con qualsiasi server che presenti un certificato, esponendo le credenziali dell'utente a un access point canaglia.

Q2. Un'università sta migrando la sua flotta di laptop Windows gestiti da PEAP a EAP-TLS. Distribuiscono il nuovo profilo di configurazione tramite MDM, ma l'autenticazione di tutti i dispositivi fallisce. I log RADIUS mostrano 'EAP-TLS failed SSL/TLS handshake'. Qual è la causa più probabile?

Suggerimento: EAP-TLS richiede l'autenticazione reciproca. Di cosa ha bisogno il client che non era necessario per PEAP?

Visualizza risposta modello

I dispositivi client sono privi di un certificato client valido. EAP-TLS richiede che il supplicant presenti un certificato al server RADIUS. Il profilo MDM deve essere configurato non solo per impostare il metodo EAP su TLS, ma anche per attivare un protocollo come SCEP per richiedere e installare un certificato client dalla PKI dell'organizzazione prima di tentare l'autenticazione.

Q3. Devi connettere 50 smart TV alla rete in un ambiente [Healthcare](/industries/healthcare). Le TV supportano solo WPA2-Personal (Pre-Shared Key) e non dispongono di un supplicant 802.1X. Come metti in sicurezza il loro accesso mantenendo al contempo il protocollo 802.1X per i dispositivi del personale?

Suggerimento: Se il dispositivo non può comunicare in EAP, l'autenticatore deve identificarlo in un altro modo.

Visualizza risposta modello

Dovresti utilizzare il MAC Authentication Bypass (MAB). L'autenticatore utilizzerà l'indirizzo MAC della smart TV come nome utente e password inviati al server RADIUS. Poiché gli indirizzi MAC possono essere falsificati, il server RADIUS deve essere configurato per assegnare questi dispositivi a una VLAN IoT isolata e altamente limitata che consenta solo il traffico necessario.

Continua a leggere questa serie

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Questa guida di riferimento tecnica descrive l'architettura, la configurazione e l'implementazione dell'autenticazione RADIUS per le reti WiFi aziendali per ospiti e personale. Fornisce ai network architect e ai manager IT i protocolli esatti, gli standard di sicurezza e le metodologie di risoluzione dei problemi necessari per creare sistemi di controllo degli accessi wireless sicuri e scalabili.

Leggi la guida →

Passpoint and OpenRoaming: Complete Guide

Questa guida di riferimento tecnico fornisce un'analisi completa dei framework Passpoint (Hotspot 2.0) e WBA OpenRoaming all'interno delle reti WiFi aziendali. Descrive in dettaglio i protocolli di autenticazione sottostanti, i componenti architetturali e le strategie di implementazione necessarie per stabilire una connettività guest sicura e senza attriti. I progettisti di rete e i responsabili IT impareranno a progettare, implementare e risolvere i problemi di questi standard per eliminare le barriere di accesso manuale mantenendo al contempo una sicurezza di livello enterprise.

Leggi la guida →

Come Implementare SCEP per il Secure BYOD e l'Iscrizione di Rete nell'Istruzione Superiore

Questa guida tecnica fornisce ad architetti di rete e responsabili IT un modello indipendente dal fornitore per implementare la registrazione dei certificati basata su SCEP per proteggere le reti dei campus universitari. Descrive in dettaglio come migrare dal protocollo PEAP basato su password a 802.1X EAP-TLS, automatizzare l'onboarding dei dispositivi BYOD e applicare una robusta segmentazione VLAN.

Leggi la guida →