RADIUS Accounting: tracciamento delle sessioni, dell'utilizzo e dei log di audit

Questa guida fornisce un riferimento tecnico completo sul RADIUS accounting: come registra i dati di avvio, arresto e aggiornamento intermedio delle sessioni WiFi, quali attributi vengono acquisiti e come sfruttare tali dati per l'audit di sicurezza, la conformità GDPR e la pianificazione della capacità. È una lettura essenziale per i team di sicurezza e gestione della rete che necessitano di audit trail difendibili dagli eventi di autenticazione WiFi, e per i gestori di location che desiderano integrare i dati delle sessioni nelle piattaforme SIEM e nelle dashboard di analisi.

📖 9 minuti di lettura📝 2,044 parole🔧 2 esempi pratici❓ 3 domande di esercitazione📚 9 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

Benvenuto al Purple Technical Briefing. Sono il tuo ospite e oggi approfondiremo un componente fondamentale, ma spesso frainteso, dell'infrastruttura WiFi aziendale: il RADIUS Accounting. Nello specifico, vedremo come tracciamo le sessioni, monitoriamo l'utilizzo e creiamo registri di controllo robusti. Se sei un IT manager, un network architect o un direttore delle operazioni di una sede, questo fa al caso tuo. Salteremo la teoria accademica per passare direttamente all'applicazione pratica.

Iniziamo con i concetti fondamentali. Per il CTO che ha bisogno di una presentazione rapida di 60 secondi: cos'è il RADIUS accounting e in cosa si differenzia dall'autenticazione RADIUS?

In parole povere, l'autenticazione è il buttafuori alla porta che controlla i documenti. L'accounting è il barista che tiene traccia di quanto tempo rimani e di quanto consumi. L'autenticazione utilizza la porta UDP 1812 e gestisce il "chi" e il "come" dell'accesso alla rete. L'accounting utilizza la porta UDP 1813 e registra meticolosamente il "cosa", il "quando" e il "quanto". Traccia l'inizio e la fine di una sessione, quanti byte sono stati trasferiti e quale indirizzo IP è stato assegnato al dispositivo client.

Quindi è il registro di controllo. Ma come acquisisce esattamente questi dati? Qual è il meccanismo?

Si affida a tre tipi di pacchetti principali inviati dal Network Access Server — solitamente l'Access Point o il controller wireless — al server RADIUS. Questi sono chiamati pacchetti Accounting-Request. Innanzitutto, c'è il pacchetto Start. Questo viene inviato nel momento in cui un utente si connette correttamente. Stabilisce il record di base nel database di accounting, acquisendo l'identità dell'utente, l'indirizzo MAC del dispositivo, l'indirizzo IP assegnato e l'AP a cui l'utente si è connesso. Poi, c'è il pacchetto Stop, inviato quando l'utente si disconnette, che contiene le statistiche cumulative finali per l'intera sessione.

Sembra semplice. Start e Stop. Lavoro finito.

Non proprio. Affidarsi solo ai pacchetti Start e Stop rappresenta un rischio operativo significativo. Considera questo: cosa succede se un ospite si connette in un hotel e rimane connesso per tre giorni? Se ti affidi solo a Start e Stop, hai zero visibilità sul suo utilizzo per quei tre giorni. O peggio, cosa succede se l'Access Point perde alimentazione? Non invierà mai il pacchetto Stop e ti ritroverai con una sessione obsoleta nel database che sembrerà attiva a tempo indeterminato.

Quindi qual è la soluzione?

Il terzo tipo di pacchetto: l'Interim-Update. Questo è fondamentale ed è l'elemento configurato in modo errato più comunemente nelle distribuzioni di RADIUS accounting. Configuri il controller wireless per inviare un aggiornamento, ad esempio, ogni 15 minuti durante una sessione attiva. Funziona come un battito cardiaco e fornisce un'istantanea in tempo reale dell'utilizzo corrente: byte trasferiti, durata della sessione e conteggio dei pacchetti. Se il server RADIUS smette di ricevere aggiornamenti intermedi da una determinata sessione, sai che la sessione è terminata, anche se non hai mai ricevuto un pacchetto Stop. La regola empirica qui è semplice: No Interim, No Insight.

Ora parliamo dei dati stessi. Quali attributi specifici stiamo esaminando in questi pacchetti che sono così preziosi per i log di audit e la reportistica di conformità?

Ce ne sono diversi fondamentali. L'Acct-Session-Id è la chiave primaria che unisce i pacchetti Start, Interim-Update e Stop in un record di sessione coerente. Senza di questo, non è possibile correlare i tre tipi di pacchetto. Poi c'è il Calling-Station-Id, che in genere è l'indirizzo MAC del client, ovvero l'identificatore hardware del dispositivo. Il Framed-IP-Address è l'indirizzo IP assegnato al client per quella sessione. L'Acct-Input-Octets e l'Acct-Output-Octets tracciano il volume di dati ricevuti e inviati al client. E l'Acct-Terminate-Cause, incluso nei pacchetti Stop, indica il motivo per cui la sessione è terminata: se l'utente si è disconnesso manualmente, se è scaduto il tempo di inattività o se si è persa la connessione con l'operatore.

Come utilizziamo questi attributi in uno scenario reale? Prendiamo ad esempio la conformità al GDPR o una richiesta di intercettazione legale.

È proprio qui che l'accounting RADIUS dimostra il suo ritorno sull'investimento. Supponiamo che le forze dell'ordine si rivolgano a una catena di negozi e dicano: un indirizzo IP sulla vostra rete WiFi per gli ospiti è stato utilizzato per accedere a contenuti dannosi martedì scorso alle 14:00. Chi è stato? Se disponete solo dei log del firewall, avete solo un indirizzo IP. Ma gli indirizzi IP cambiano continuamente con il DHCP. È necessario collegare quell'IP a un dispositivo specifico in un momento specifico. Quindi, interrogate il vostro database di accounting RADIUS. Cercate una sessione in cui il Framed-IP-Address corrisponda all'IP del log del firewall e in cui il timestamp dell'incidente rientri tra l'ora di Start e l'ora di Stop della sessione. Quel record vi fornirà il Calling-Station-Id, ovvero l'indirizzo MAC del dispositivo. Avete appena collegato il livello di rete al livello del dispositivo. Questo è il vostro audit trail completo.

Vediamo un altro scenario: una grande struttura alberghiera. Il settore dell'ospitalità è particolarmente esposto in questo ambito. Un hotel di 300 camere con strutture congressuali potrebbe avere migliaia di sessioni WiFi simultanee. Il team operativo deve comprendere i periodi di picco di utilizzo per la pianificazione della capacità, mentre il team di conformità deve dimostrare che i dati degli ospiti sono gestiti in modo appropriato ai sensi del GDPR.

In questo contesto, l'accounting RADIUS offre entrambe le cose. I dati di sessione alimentano una piattaforma di analisi WiFi, che traduce i byte grezzi e la durata delle sessioni in metriche di affluenza e tendenze di consumo della larghezza di banda. Contemporaneamente, gli stessi dati alimentano un modulo di reportistica di conformità in grado di dimostrare ai revisori esattamente quali dati sono stati raccolti, per quanto tempo sono stati conservati e come sono stati protetti.

Quindi, per realizzare tutto questo, dobbiamo estrarre questi dati dal server RADIUS e inserirli in sistemi in cui possiamo interrogarli e agire su di essi. In che modo i team dovrebbero progettare questa pipeline?

La prima regola è: non lasciare i log all'interno di file di testo piatto sul server RADIUS. Configura il server per scrivere i dati di accounting in un database relazionale strutturato — PostgreSQL o MySQL sono scelte comuni. Da lì, hai due percorsi di fruizione principali. Primo, inoltra i log al tuo SIEM — Splunk, Microsoft Sentinel o IBM QRadar — utilizzando Syslog o una REST API. Questo consente al tuo team di sicurezza di correlare gli eventi di autenticazione WiFi con i blocchi del firewall, gli avvisi di rilevamento delle intrusioni o i trigger di prevenzione della perdita di dati. Secondo, inserisci i dati nella tua piattaforma di analytics. Purple WiFi Analytics, ad esempio, può importare questi dati di sessione e trasformarli in insight utili su affluenza, tempo di permanenza e utilizzo della capacità.

Ora parliamo delle trappole comuni. Dove falliscono le implementazioni?

Ci sono due modalità di errore principali. Primo, come abbiamo già discusso, non abilitare affatto gli Interim-Update. Questo è sorprendentemente comune. Gli amministratori configurano correttamente l'autenticazione ma non toccano mai le impostazioni di accounting. Secondo, e questo è altrettanto dannoso, impostare l'intervallo di Interim-Update in modo troppo aggressivo. Se hai 10.000 utenti simultanei e imposti l'intervallo a 1 minuto, generi 10.000 operazioni di scrittura sul database al minuto solo per gli aggiornamenti di accounting. Questo saturerà la capacità di I/O del tuo server RADIUS molto rapidamente. Il punto di equilibrio per la maggior parte delle implementazioni aziendali è compreso tra 10 e 15 minuti. Fornisce una granularità sufficiente per la visibilità operativa senza creare un carico di scrittura insostenibile.

Esaminiamo una serie rapida di scenari.

Scenario uno: il gestore di una sede segnala che la dashboard di analytics mostra utenti connessi per 48 ore, ma la sede è chiusa durante la notte.

Questo è un problema di sessione obsoleta. Gli Access Point non inviano pacchetti di Stop — probabilmente a causa di un ciclo di spegnimento/riaccensione o di un'interruzione di rete — e le sessioni non vengono mai chiuse nel database. La soluzione consiste nell'implementare uno script di pulizia delle sessioni inattive sul server RADIUS. Qualsiasi sessione che non ha ricevuto un aggiornamento intermedio entro due o tre volte l'intervallo configurato dovrebbe essere chiusa automaticamente.

Scenario due: il team di sicurezza di una catena di negozi al dettaglio afferma che i log del firewall mostrano solo indirizzi IP, rendendo impossibile verificare quale specifico terminale del punto vendita abbia effettuato l'accesso a un IP esterno sospetto.

Assicurati che gli Access Point siano configurati per includere l'attributo Framed-IP-Address nei pacchetti di accounting RADIUS e integra il database di accounting RADIUS con il SIEM per correlare l'indirizzo IP all'indirizzo MAC.

Scenario tre: il server RADIUS riscontra un carico di CPU elevato durante le ore di punta, causando ritardi di autenticazione.

Verificare innanzitutto l'intervallo di aggiornamento provvisorio (interim update interval). Se è impostato su 1 o 2 minuti in un'ampia infrastruttura, aumentarlo a 15 minuti. Verificare inoltre che il database di accounting disponga degli indici appropriati sulle colonne Acct-Session-Id e User-Name. Le tabelle non indicizzate causeranno scansioni complete della tabella a ogni scrittura, il che è catastrofico su larga scala. Valutare inoltre la possibilità di separare i carichi di lavoro di autenticazione e accounting su istanze server dedicate.

Per concludere, ecco i punti chiave per qualsiasi IT manager o architetto di rete che implementi o esegua l'audit della propria infrastruttura di accounting RADIUS.

Primo: l'accounting RADIUS è distinto dall'autenticazione. Tiene traccia dei dati di sessione, non delle decisioni di accesso. Entrambi sono essenziali, ma servono a scopi operativi e di conformità diversi.

Secondo: abilitare sempre gli Interim-Updates. Senza di essi, non si ha alcuna visibilità sulle sessioni attive e nessun meccanismo per rilevare i record obsoleti.

Terzo: i tre attributi da acquisire sempre sono Acct-Session-Id, Framed-IP-Address e Calling-Station-Id. Questi tre costituiscono la base di qualsiasi audit trail significativo.

Quarto: esportare i dati di accounting. Non lasciarli in file flat. Scrivere su un database strutturato, inoltrare a un SIEM e inserire in una piattaforma di analisi.

Quinto: progettare per la scalabilità. Un intervallo di aggiornamento provvisorio di 15 minuti rappresenta il giusto equilibrio per la maggior parte delle distribuzioni aziendali. Regolarlo in base ai requisiti specifici di conformità e alla capacità dell'infrastruttura.

La conclusione è questa: l'accounting RADIUS non è un optional. In qualsiasi ambiente regolamentato (ospitalità, vendita al dettaglio, sanità, settore pubblico) costituisce la base dell'audit trail del Wi-Fi. Se configurato correttamente, si dispone di uno strumento potente per la sicurezza, la conformità e l'intelligence operativa. In caso contrario, si crea una lacuna nell'audit trail che potrebbe rivelarsi molto costosa.

Grazie per aver ascoltato il Purple Technical Briefing. Alla prossima.

Punti chiave

✓L'accounting RADIUS (RFC 2866) è distinto dall'autenticazione: registra i dati di utilizzo della sessione — durata, byte trasferiti, assegnazione IP — anziché prendere decisioni sul controllo degli accessi.
✓I tre tipi di pacchetti — Start, Interim-Update e Stop — devono essere tutti configurati e operativi per un audit trail completo. Gli Interim-Update rappresentano la configurazione che viene tralasciata più comunemente.
✓Gli attributi Acct-Session-Id, Framed-IP-Address e Calling-Station-Id costituiscono l'audit trail minimo vitale, consentendo la correlazione tra IP e dispositivo per indagini di conformità e sicurezza.
✓Le sessioni obsolete (causate dalla mancanza di pacchetti Stop) devono essere gestite con uno script di pulizia delle sessioni inattive utilizzando la regola dell'intervallo di aggiornamento provvisorio di 2.5x.
✓I dati di accounting RADIUS devono essere esportati in un database strutturato e integrati con un SIEM e una piattaforma di analisi per offrire il loro pieno valore operativo e di conformità.
✓Per la conformità a PCI DSS, GDPR e intercettazioni legali, la capacità di associare un indirizzo IP a un indirizzo MAC in un momento specifico è il requisito fondamentale soddisfatto dall'accounting RADIUS.
✓Su larga scala (oltre 5.000 utenti simultanei), separa le istanze dei server di autenticazione e accounting e considera un database di serie temporali per le scritture di accounting per prevenire il degrado delle prestazioni.

Executive Summary

Per i team IT e di network operations aziendali, l'autenticazione degli utenti su una rete WiFi è solo metà dell'opera. Una volta che un dispositivo è connesso, capire cosa fa — quanto tempo rimane connesso, quanti dati consuma e quando si disconnette — è fondamentale per la sicurezza, la pianificazione della capacità e la conformità normativa. È qui che il RADIUS accounting diventa indispensabile. Mentre l'autenticazione RADIUS gestisce il chi e il come dell'accesso alla rete, il RADIUS accounting registra meticolosamente il cosa, il quando e il quanto.

Questa guida fornisce un approfondimento tecnico sul RADIUS accounting, esplorando i meccanismi dei pacchetti Start, Stop e Interim-Update, e gli attributi che li rendono preziosi. Descrive come i gestori di sedi nei settori Hospitality , Retail e altri comparti possano sfruttare questi dati per mantenere audit trail robusti, garantire la conformità al GDPR e alimentare con informazioni utili le piattaforme SIEM o i sistemi di WiFi Analytics . Padroneggiando il RADIUS accounting, i network architect possono trasformare i log di sessione grezzi in asset strategici che guidano l'efficienza operativa e mitigano i rischi.

Technical Deep-Dive

RADIUS Accounting vs. RADIUS Authentication

Il protocollo RADIUS (Remote Authentication Dial-In User Service), definito nella specifica RFC 2865 ed esteso per l'accounting nella specifica RFC 2866 , opera su un modello client-server. In una tipica implementazione WiFi aziendale, l'Access Point (AP) o il Wireless LAN Controller (WLC) funge da Network Access Server (NAS) — il client RADIUS. Il server RADIUS (ad es., FreeRADIUS, Cisco ISE, Aruba ClearPass) riceve ed elabora le richieste.

La distinzione tra autenticazione e accounting è fondamentale:

Dimensione	RADIUS Authentication	RADIUS Accounting
Scopo	Verificare l'identità e concedere/negare l'accesso	Registrare l'utilizzo e l'attività della sessione
Porta UDP	1812	1813
Riferimento RFC	RFC 2865	RFC 2866
Tipi di Pacchetto	Access-Request, Access-Accept, Access-Reject	Accounting-Request (Start/Stop/Interim)
Dati Acquisiti	Credenziali, assegnazione VLAN, policy	Tempo di sessione, byte trasferiti, indirizzo IP
Ruolo di Conformità	Controllo degli accessi	Audit trail, intercettazione legale

Per i team che distribuiscono il Guest WiFi su larga scala, entrambe le funzioni sono necessarie — ma l'accounting è quella che garantisce la conformità e la tutelabilità.

I Tre Tipi di Pacchetto di Accounting

Il RADIUS accounting si basa su tre tipi principali di pacchetti Accounting-Request, ciascuno definito dall'attributo Acct-Status-Type:

Start (Acct-Status-Type = 1): inviato dal NAS quando un utente si connette con successo e inizia una sessione. Stabilisce il record di base nel database di accounting, registrando l'identità dell'utente, l'indirizzo MAC del dispositivo, l'indirizzo IP assegnato e l'AP a cui l'utente si è connesso.
Interim-Update (Acct-Status-Type = 3): inviato periodicamente durante una sessione attiva. Questi pacchetti forniscono istantanee in tempo reale dell'utilizzo corrente: byte trasferiti, durata della sessione e conteggio dei pacchetti. Fungono da heartbeat per confermare che la sessione è ancora attiva e offrono visibilità sulle sessioni a lungo termine senza attendere la disconnessione.
Stop (Acct-Status-Type = 2): inviato al termine della sessione, sia a causa di una disconnessione avviata dall'utente, di un riavvio dell'AP, di un timeout di inattività o di un timeout di sessione. Contiene le statistiche finali e cumulative per l'intera sessione.

Figura 1: Il ciclo di vita del pacchetto di accounting RADIUS durante una sessione WiFi.

Attributi di Accounting Chiave

Per tracciare efficacemente le sessioni e creare log di audit difendibili, il NAS popola i pacchetti Accounting-Request con attributi specifici. Di seguito sono riportati i più significativi a livello operativo:

Attributo	Descrizione	Rilevanza per la Conformità
Acct-Session-Id	Identificativo di sessione unico generato dal NAS	Chiave primaria per correlare i record Start, Interim e Stop
User-Name	Identità autenticata (nome utente o indirizzo MAC)	Mappa la sessione a un utente o dispositivo specifico
NAS-IP-Address	Indirizzo IP dell'AP o WLC segnalante	Identifica il segmento di rete e la posizione fisica
Framed-IP-Address	Indirizzo IP assegnato al dispositivo client	Fondamentale per la correlazione con i log del firewall e del proxy web
Calling-Station-Id	Indirizzo MAC del dispositivo client	Identità a livello di dispositivo per la traccia di audit
Called-Station-Id	Indirizzo MAC dell'AP e SSID	Identifica la radio e la rete specifiche a cui l'utente si è connesso
Acct-Input-Octets	Byte ricevuti dal client	Monitoraggio della larghezza di banda e pianificazione della capacità
Acct-Output-Octets	Byte inviati al client	Monitoraggio della larghezza di banda e pianificazione della capacità
Acct-Session-Time	Durata della sessione in secondi	Analisi del tempo di permanenza e fatturazione
Acct-Terminate-Cause	Motivo per cui la sessione è terminata	Risoluzione dei problemi e rilevamento delle anomalie

Per i team che lavorano con l'autenticazione 802.1X , l'attributo User-Name conterrà l'identità autenticata dallo scambio EAP, fornendo una traccia di audit più ricca rispetto al solo MAC Authentication Bypass (MAB).

Guida all'Implementazione

L'implementazione di un'infrastruttura di accounting RADIUS robusta richiede una configurazione accurata sia a livello di NAS che di server RADIUS. Di seguito viene descritto un approccio indipendente dal fornitore per stabilire una pipeline di accounting affidabile.

Passaggio 1: Configurare il NAS (Access Point / Controller)

La configurazione del NAS è il punto in cui fallisce la maggior parte delle implementazioni. Gli amministratori spesso configurano correttamente l'autenticazione, ma lasciano l'accounting con le impostazioni predefinite o completamente disabilitato.

Definire il server di accounting: Specificare l'indirizzo IP del server RADIUS e il segreto condiviso per la porta UDP 1813. Nelle implementazioni ad alta disponibilità, configurare un server di accounting secondario per prevenire la perdita di dati nel caso in cui il primario diventi irraggiungibile.
Abilitare gli aggiornamenti intermedi (Interim Updates): Questo è il passaggio di configurazione in assoluto più importante. Impostare un intervallo appropriato, in genere da 10 a 15 minuti per le implementazioni aziendali. Intervalli più brevi (ad es. 1 minuto) forniscono dati più granulari ma generano un carico di scrittura insostenibile su larga scala; intervalli più lunghi (ad es. 30 minuti) riducono il sovraccarico ma ritardano la visibilità sulle sessioni attive.
Garantire la sincronizzazione dell'ora: Configurare l'NTP su tutti i dispositivi NAS e sul server RADIUS. Timestamp precisi sono indispensabili per i log di audit e la correlazione SIEM. Una sfasatura dell'orologio anche solo di 5 minuti può invalidare una traccia di audit in uno scenario di intercettazione legale.

Passaggio 2: Configurare il server RADIUS

Integrazione del database: Configurare il server RADIUS per registrare i dati di accounting in un database relazionale strutturato (ad es. PostgreSQL, MySQL) anziché in file di testo piatto. L'archiviazione strutturata consente di eseguire query, indicizzazioni e integrazioni efficienti con i sistemi a valle. Assicurarsi che esistano indici su Acct-Session-Id, User-Name, Framed-IP-Address e sul timestamp di inizio sessione.
Criteri di conservazione dei dati: Implementare script automatizzati di archiviazione o eliminazione in linea con i requisiti di conformità. L'articolo 5, paragrafo 1, lettera e) del GDPR richiede che i dati siano conservati per un tempo non superiore a quello necessario; tuttavia, le normative sulle intercettazioni legali in molte giurisdizioni (ad es. l'Investigatory Powers Act 2016 del Regno Unito) possono richiedere una conservazione fino a 12 mesi.

Passaggio 3: Costruire la pipeline di dati

Per massimizzare il valore dei dati di accounting, questi devono essere esportati verso piattaforme di consumo dove possono essere interrogati, correlati e visualizzati.

Integrazione SIEM: Configurare il server RADIUS o il database sottostante per inoltrare i log al SIEM (ad es. Splunk, Microsoft Sentinel, IBM QRadar) utilizzando Syslog o una API REST. Ciò consente ai team di sicurezza di correlare gli eventi di autenticazione WiFi con i blocchi del firewall, gli avvisi di rilevamento delle intrusioni o i trigger di prevenzione della perdita di dati.
Analytics Integration: Feed session data into platforms like Purple's WiFi Analytics to transform raw bytes and MAC addresses into actionable insights regarding footfall, dwell time, and peak usage periods. This is particularly valuable for Retail and Hospitality operators who need to align staffing and infrastructure investment with actual usage patterns.

Figure 2: The RADIUS accounting data pipeline from Access Points to SIEM and analytics platforms.

Best Practices

Always Use Interim Updates. Relying solely on Start and Stop packets creates operational blind spots. A dropped connection or AP power failure may prevent a Stop packet from being sent, leaving a stale session in the database indefinitely. Interim updates provide the mechanism to detect and close these stale sessions. The rule of thumb: if a session hasn't sent an interim update within two to three times the configured interval, treat it as terminated.

Correlate RADIUS Accounting with DHCP Logs. RADIUS accounting provides the Framed-IP-Address, but DHCP lease times can be shorter than session durations in some environments. Maintaining DHCP logs alongside RADIUS logs provides a more resilient audit trail, particularly in high-density venues where IP address recycling is frequent.

Secure the Transport with RadSec. Traditional RADIUS traffic is transmitted over UDP with minimal encryption — only the user password field is obfuscated. In distributed deployments, particularly those spanning multiple sites or cloud-hosted RADIUS servers, use RadSec (RADIUS over TLS, defined in RFC 6614) or IPsec tunnels to protect accounting data in transit. This is a requirement under PCI DSS 4.0 for any network handling cardholder data.

Monitor the Accounting Queue. If the RADIUS server becomes unreachable, NAS devices will queue accounting packets locally. Monitor this queue length; a full queue will result in dropped packets and lost audit data. Configure alerting on queue depth and implement a secondary accounting server for high-availability deployments.

Separate Authentication and Accounting Servers at Scale. In deployments exceeding 5,000 concurrent users, the write load from accounting can degrade authentication response times. Dedicated accounting servers with separate database instances prevent this contention.

Troubleshooting & Risk Mitigation

The Stale Session Problem

Sintomo: Il database RADIUS mostra che un utente è connesso da 48 ore, ma la sede ha chiuso durante la notte.

Causa principale: Il NAS non ha inviato un pacchetto di Stop — solitamente a causa di un'interruzione di corrente, del riavvio di un AP o di un'interruzione di rete — e il pacchetto non è mai stato ricevuto dal server RADIUS.

Risoluzione: Implementare uno script di pulizia delle sessioni inattive sul server RADIUS. Lo script deve scansionare periodicamente le sessioni attive in cui l'ultimo pacchetto ricevuto (Start o Interim-Update) è più vecchio di una soglia definita (ad es. 2,5 volte l'intervallo di aggiornamento provvisorio). Le sessioni che superano questa soglia devono essere chiuse forzatamente con un record di Stop sintetico, indicando come causa di terminazione 'Lost-Carrier' o 'Admin-Reset'.

Carico elevato di CPU e I/O sul server RADIUS

Sintomo: I tempi di risposta dell'autenticazione peggiorano durante le ore di punta; il server RADIUS segnala un utilizzo elevato di CPU e I/O del disco.

Causa principale: Un intervallo di aggiornamento provvisorio eccessivamente aggressivo (ad es. 1 minuto) su migliaia di AP genera un volume insostenibile di scritture sul database.

Risoluzione: Aumentare l'intervallo di aggiornamento provvisorio a 15 minuti. Verificare che il database di accounting disponga degli indici appropriati. Valutare la possibilità di separare l'autenticazione e l'accounting su istanze di server dedicate. Valutare se un database di serie temporali (ad es. InfluxDB) sia più appropriato di un database relazionale per dati di accounting ad alto volume.

Framed-IP-Address mancante nei record di accounting

Sintomo: I record di accounting RADIUS esistono, ma il campo Framed-IP-Address è vuoto o assente, rendendo impossibile la correlazione IP-to-MAC.

Causa principale: Il NAS potrebbe inviare il pacchetto di Start prima che il DHCP abbia assegnato un indirizzo IP al client. L'IP è disponibile solo al completamento dello scambio DHCP.

Risoluzione: Configurare il NAS per ritardare l'invio del pacchetto di Start a dopo l'assegnazione del DHCP, se la piattaforma lo supporta. In alternativa, fare affidamento sui pacchetti di Interim-Update, che vengono inviati dopo l'assegnazione del DHCP e conterranno il Framed-IP-Address. Assicurarsi che le query di audit ne tengano conto controllando i record di Interim-Update se il record di Start è privo di IP.

ROI e impatto aziendale

L'implementazione di un solido sistema di accounting RADIUS offre un valore aziendale misurabile su tre dimensioni:

Mitigazione della conformità e del rischio legale. In caso di incidente di sicurezza, di una richiesta di accesso ai dati da parte dell'interessato ai sensi del GDPR o di un ordine di intercettazione legale, registri di accounting accurati forniscono la traccia di controllo necessaria per identificare quale utente o dispositivo possedeva uno specifico indirizzo IP in un momento specifico. Senza questo, le organizzazioni rischiano potenziali sanzioni normative ai sensi del GDPR (fino al 4% del fatturato annuo globale) e danni alla reputazione. Il costo per l'implementazione di un'adeguata infrastruttura di accounting è una frazione del costo di una singola azione sanzionatoria.

Pianificazione della capacità e ROI dell'infrastruttura. Analizzando le tendenze di Acct-Input-Octets e Acct-Output-Octets nel tempo, i progettisti di rete possono identificare i modelli di consumo della larghezza di banda, i periodi di picco di utilizzo e gli specifici AP o SSID che generano il carico maggiore. Questi dati informano direttamente le decisioni di aggiornamento della WAN e le strategie di posizionamento degli AP, garantendo che gli investimenti infrastrutturali siano indirizzati dove offrono il massimo impatto. Per gli hub di Trasporto e le grandi strutture, questo può rappresentare un risparmio significativo in termini di spese in conto capitale.

Analisi avanzata e Venue Intelligence. Quando i dati di sessione RADIUS vengono combinati con piattaforme come WiFi Analytics e Sensors di Purple, i dati contabili grezzi si trasformano in intelligenza per i locali. Diventano così disponibili metriche sul tempo di permanenza derivate dalla durata delle sessioni, l'identificazione dei visitatori ricorrenti dalla cronologia di Calling-Station-Id e l'analisi dell'occupazione di picco dal conteggio delle sessioni simultanee. Per gli operatori del settore Hospitality , questi dati informano direttamente i modelli di turnazione del personale, il posizionamento di cibo e bevande (F&B) e le strategie di personalizzazione del marketing. Per ulteriori informazioni su come l'infrastruttura WiFi supporti queste funzionalità, consulta le nostre guide sui Wireless Access Points e sulle Soluzioni WiFi moderne per l'Hospitality .

Definizioni chiave

RADIUS Accounting

Il processo di raccolta e registrazione dei dati relativi al consumo di risorse di rete da parte degli utenti, inclusi gli orari di inizio e fine sessione, il volume di dati trasferiti e l'assegnazione dell'indirizzo IP. Definito nella RFC 2866.

Essenziale per la fatturazione, la pianificazione della capacità, la conformità al GDPR e il mantenimento dei registri di controllo della sicurezza in qualsiasi implementazione WiFi aziendale.

Acct-Status-Type

Un attributo RADIUS (ID attributo 40) che indica lo scopo di un pacchetto di accounting. I valori includono Start (1), Stop (2) e Interim-Update (3).

Utilizzato dal server RADIUS per determinare se creare un nuovo record di sessione, aggiornarne uno esistente o chiuderlo. L'attributo più fondamentale in qualsiasi pacchetto di accounting.

Interim-Update

Un pacchetto di accounting RADIUS periodico inviato dal NAS durante una sessione attiva per segnalare le statistiche di utilizzo correnti, inclusi i byte trasferiti e la durata della sessione.

Fondamentale per il tracciamento delle sessioni di lunga durata e per il rilevamento di sessioni inattive se un client si disconnette in modo imprevisto senza inviare un pacchetto di Stop.

Acct-Session-Id

Una stringa univoca generata dal NAS per identificare una specifica istanza di connessione utente. Questo valore è coerente in tutti i pacchetti di accounting (Start, Interim-Update, Stop) per la stessa sessione.

La chiave primaria utilizzata per correlare tutti i record di accounting appartenenti alla stessa sessione. Senza di essa, è impossibile ricostruire una cronologia completa della sessione.

NAS (Network Access Server)

Il dispositivo — tipicamente un Wireless Access Point o un Wireless LAN Controller — che controlla l'accesso fisico alla rete e funge da client RADIUS, generando e inviando pacchetti di accounting.

Il NAS è responsabile dell'accuratezza e della completezza dei dati di accounting. Un'errata configurazione a livello di NAS (ad esempio, accounting disabilitato, attributi mancanti) non può essere corretta a livello di server RADIUS.

Framed-IP-Address

L'indirizzo IP assegnato al dispositivo client per la durata della sessione, incluso nei pacchetti di accounting RADIUS.

Fondamentale per correlare i log di accounting RADIUS con altri log di rete come quelli di firewall, web proxy o DNS. L'assenza di questo attributo rende impossibile la correlazione tra IP e dispositivo.

Calling-Station-Id

In genere l'indirizzo MAC del dispositivo client che si connette alla rete, formattato come stringa esadecimale separata da due punti (es. AA:BB:CC:DD:EE:FF).

Utilizzato per identificare lo specifico dispositivo hardware, indipendentemente dall'indirizzo IP assegnato. L'ancora a livello di dispositivo del registro di controllo.

Acct-Terminate-Cause

Un attributo incluso nei pacchetti di Stop che specifica il motivo per cui una sessione è terminata. I valori comuni includono User-Request, Lost-Carrier, Idle-Timeout, Session-Timeout e Admin-Reset.

Prezioso per la risoluzione dei problemi di connettività e per il rilevamento di anomalie — ad esempio, un tasso elevato di terminazioni Lost-Carrier su uno specifico AP può indicare un problema hardware o di interferenza.

RadSec

RADIUS su TLS (Transport Layer Security), definito nella RFC 6614. Fornisce un trasporto crittografato e autenticato per i pacchetti RADIUS, sostituendo il tradizionale trasporto basato su UDP.

Richiesto in qualsiasi implementazione in cui il traffico RADIUS attraversa reti non attendibili (ad esempio, server RADIUS cloud connessi a Internet). Sempre più richiesto dallo standard PCI DSS 4.0 per gli ambienti con dati dei titolari di carta.

Esempi pratici

Un hotel da 300 camere con strutture congressuali sta implementando una nuova rete WiFi per gli ospiti. L'IT manager deve garantire che l'implementazione soddisfi i requisiti GDPR in materia di minimizzazione dei dati e completezza dell'audit trail, fornendo al contempo al team di marketing analisi sul tempo di permanenza (dwell time) e sui visitatori ricorrenti. L'hotel utilizza un server RADIUS ospitato in cloud e AP Cisco Meraki.

L'implementazione deve essere configurata come segue. Sulla dashboard Meraki, accedere a Network-wide > RADIUS servers e aggiungere il server RADIUS cloud sulla porta 1813 con un segreto condiviso sicuro. Abilitare l'accounting e impostare l'intervallo di aggiornamento provvisorio (interim update) a 15 minuti. Sul server RADIUS, configurare l'accounting per la scrittura su un database PostgreSQL con il seguente schema: session_id (chiave primaria), user_name, nas_ip, framed_ip, calling_station_id, called_station_id, session_start, session_end, input_octets, output_octets, terminate_cause. Implementare una policy di conservazione dei dati che archivi automaticamente i record più vecchi di 12 mesi in un cold storage ed elimini definitivamente i record più vecchi di 24 mesi, documentando il tutto nel Registro delle attività di trattamento GDPR dell'hotel. Configurare un'integrazione con Purple WiFi Analytics per importare i dati di sessione, consentendo al team di marketing di accedere ai report sul tempo di permanenza e alle dashboard sulla frequenza dei visitatori ricorrenti. Assicurarsi che l'NTP sia sincronizzato su tutti gli AP Meraki e sul server RADIUS entro 1 secondo.

Commento dell'esaminatore: Questo scenario dimostra la duplice funzione dell'accounting RADIUS: conformità e analisi. L'intervallo di aggiornamento provvisorio di 15 minuti è adeguato per un ambiente alberghiero in cui le sessioni possono durare giorni. La progettazione dello schema PostgreSQL garantisce l'acquisizione di tutti i campi rilevanti ai fini del GDPR, evitando al contempo la raccolta di dati non necessari. La policy di conservazione a 12/24 mesi bilancia i requisiti dell'Investigatory Powers Act del Regno Unito con i principi di minimizzazione dei dati del GDPR.

Una catena di vendita al dettaglio con 150 negozi deve conformarsi ai requisiti PCI DSS 4.0 per il monitoraggio dell'accesso alla rete. I loro terminali POS utilizzano il MAC Authentication Bypass (MAB) sulla rete WiFi. Il team di sicurezza ha ricevuto una richiesta dal proprio QSA (Qualified Security Assessor) per dimostrare di poter identificare quale specifico terminale POS ha effettuato l'accesso alla rete di pagamento in un dato momento, utilizzando solo un indirizzo IP di origine e un timestamp provenienti da un log del firewall.

La soluzione richiede un'integrazione a tre componenti. In primo luogo, verificare che tutti i Wireless LAN Controller siano configurati per includere l'attributo Framed-IP-Address nei pacchetti di accounting RADIUS. Questa opzione non è sempre abilitata di default e deve essere configurata esplicitamente. In secondo luogo, integrare il database di accounting RADIUS con la piattaforma SIEM (ad es. Splunk). Creare una tabella di lookup in Splunk che associ il Framed-IP-Address e gli intervalli temporali di sessione al Calling-Station-Id (indirizzo MAC). In terzo luogo, creare una ricerca salvata in Splunk che accetti un IP di origine e un timestamp come input e restituisca l'indirizzo MAC corrispondente, il NAS-IP-Address (che identifica il negozio e l'AP) e lo User-Name dai record di accounting RADIUS. Al QSA potrà quindi essere mostrato questo flusso di lavoro: dato un record di log del firewall che mostra l'IP di origine 10.5.12.44 alle 14:23:07 in una data specifica, la ricerca restituisce l'indirizzo MAC del terminale POS, l'AP a cui era connesso e la posizione del negozio.

Commento dell'esaminatore: Questo scenario evidenzia il ruolo critico dell'attributo Framed-IP-Address nel colmare il divario tra l'identità a livello di rete (indirizzo IP) e l'identità a livello di dispositivo (indirizzo MAC). L'approccio con tabella di lookup SIEM è il metodo standard del settore per questo tipo di correlazione. Si noti che in ambienti con tempi di lease DHCP molto brevi, la correlazione deve utilizzare una query basata su un intervallo temporale anziché una ricerca puntuale, poiché lo stesso IP potrebbe essere stato assegnato a più dispositivi all'interno di una finestra temporale ristretta.

Domande di esercitazione

Q1. Un IT manager di un hotel nota che la dashboard di analytics del WiFi mostra pochissimi utenti attivi durante il giorno, anche se la hall e il ristorante sono visibilmente affollati. Tuttavia, i report storici del giorno precedente mostrano un enorme picco nell'utilizzo dei dati. I log del server RADIUS confermano che i pacchetti Start vengono ricevuti, ma il database mostra pochissimi record di Interim-Update. Qual è la configurazione errata più probabile e come la risolveresti?

Suggerimento: Considera come viene segnalato l'utilizzo dei dati durante una sessione attiva rispetto al momento della disconnessione.

Visualizza risposta modello

La causa più probabile è che gli Interim-Updates siano disabilitati o non configurati sul Wireless LAN Controller. Senza gli aggiornamenti intermedi, il server RADIUS riceve solo un pacchetto Start quando l'utente si connette e un pacchetto Stop quando si disconnette. La dashboard di analytics non può mostrare l'utilizzo corrente perché non vengono segnalati dati durante la sessione. Una volta che gli utenti se ne vanno e si disconnettono, arrivano i pacchetti Stop con il totale dei dati accumulati, causando il picco ritardato nei report storici. La soluzione consiste nell'abilitare gli Interim-Updates sul WLC e impostare un intervallo appropriato — 15 minuti è consigliato per l'ambiente di un hotel. Dopo l'abilitazione, verifica che il server RADIUS riceva i pacchetti Interim-Update controllando nel database di accounting la presenza di record con Acct-Status-Type = 3.

Q2. Durante l'investigazione di un incidente di sicurezza, il tuo SIEM ha segnalato che un indirizzo IP sulla rete WiFi ospiti ha effettuato l'accesso a un server di command-and-control noto alle 09:47:23 di una data specifica. È necessario identificare il dispositivo fisico responsabile. Il tempo di lease DHCP è impostato su 30 minuti. Descrivi la logica esatta della query che utilizzeresti sul database di accounting RADIUS per identificare il dispositivo.

Suggerimento: Gli indirizzi IP non sono statici. È necessario utilizzare una query basata su un intervallo temporale, non una ricerca puntuale, e tenere conto del riciclo dei lease DHCP.

Visualizza risposta modello

È necessario interrogare il database di accounting RADIUS per le sessioni in cui: (1) il Framed-IP-Address è uguale all'indirizzo IP segnalato, E (2) il timestamp session_start è precedente o uguale alle 09:47:23, E (3) il timestamp session_end è successivo o uguale alle 09:47:23, OPPURE session_end è NULL (sessione ancora attiva al momento della query). Se corrispondono più sessioni (possibile con un lease DHCP di 30 minuti), esamina i record di Interim-Update per confermare quale sessione stesse segnalando attivamente l'utilizzo alle 09:47:23. Il record della sessione corrispondente conterrà il Calling-Station-Id (indirizzo MAC del dispositivo) e lo User-Name (identità autenticata, se è stato utilizzato il protocollo 802.1X). Effettua un controllo incrociato dell'indirizzo MAC con l'inventario dei dispositivi o con i log del server DHCP per identificare il dispositivo fisico e il suo proprietario.

Q3. Sei il network architect di un centro congressi che ospita eventi con un massimo di 8.000 utenti WiFi simultanei. Il tuo server RADIUS attuale sta riscontrando una saturazione delle scritture sul database durante i picchi degli eventi, causando ritardi di autenticazione di 3-5 secondi. L'intervallo di aggiornamento intermedio corrente è impostato su 2 minuti. Descrivi un piano di remediation in più fasi che affronti sia il problema immediato di prestazioni sia il rischio architetturale di fondo.

Suggerimento: Considera sia le modifiche di configurazione che quelle architetturali. L'obiettivo è mantenere la completezza del log di controllo riducendo al contempo il carico di scrittura.

Visualizza risposta modello

Il piano di remediation dovrebbe intervenire su tre livelli. In primo luogo, come soluzione immediata, aumenta l'intervallo di aggiornamento intermedio da 2 a 15 minuti su tutti i Wireless Controller. Questo riduce il carico di scrittura dell'accounting di circa l'87% (da una scrittura ogni 2 minuti a una ogni 15 minuti per sessione), il che dovrebbe alleviare immediatamente la pressione di I/O sul database. In secondo luogo, separa i carichi di lavoro di autenticazione e accounting su istanze server dedicate. Il server di autenticazione gestisce i pacchetti Access-Request/Accept/Reject, mentre un server di accounting dedicato gestisce i pacchetti Accounting-Request e scrive su un database separato. Questo evita che il carico di scrittura dell'accounting influisca sui tempi di risposta dell'autenticazione. In terzo luogo, per il rischio architetturale di fondo, valuta se un database a serie temporali (ad esempio, InfluxDB o TimescaleDB) sia più appropriato di un database relazionale per il carico di lavoro di accounting. I database a serie temporali sono ottimizzati per scritture sequenziali ad alto volume e query su intervalli temporali, il che corrisponde esattamente al pattern dei dati di accounting. Migra le scritture di accounting sul database a serie temporali mantenendo il database relazionale per le query di reportistica di conformità.

Continua a leggere questa serie

Misurare il ROI aziendale del Guest WiFi e della Location Analytics

Questa guida fornisce un framework tecnico e operativo per misurare il ROI aziendale del guest WiFi e della location analytics. Descrive in dettaglio come calcolare il valore degli investimenti hardware attraverso l'aumento del tempo di permanenza (dwell time), l'efficienza operativa e l'acquisizione di dati di prima parte nei settori retail, hospitality e spazi pubblici. I manager IT, gli architetti di rete, i CTO e i direttori delle operazioni delle strutture troveranno framework di misurazione concreti, casi di studio reali e linee guida di conformità per giustificare e massimizzare il proprio investimento nel WiFi.

Privacy by Design: Anonymizing WiFi Data for GDPR Compliance

Questa guida autorevole descrive in dettaglio l'architettura tecnica e le strategie di implementazione per l'anonimizzazione dei dati WiFi al fine di garantire la conformità al GDPR. Fornisce ai leader IT e agli architetti di rete framework operativi per bilanciare solide analisi dei visitatori con rigorosi requisiti di privacy dei dati.

Heatmapping vs Presence Analytics: Differenze Tecniche

Questa guida tecnica autorevole illustra in dettaglio le differenze strutturali e operative cruciali tra il WiFi heatmapping e la presence analytics per i gestori di grandi spazi aziendali. Fornisce ai leader IT, ai progettisti di rete e ai direttori operativi schemi di implementazione pratici, scenari applicativi reali e best practice indipendenti dai fornitori per massimizzare il ROI dall'infrastruttura wireless esistente.