Vai al contenuto principale
Italiano

RadSec: come RADIUS over TLS migliora la sicurezza dell'autenticazione WiFi

Questo riferimento tecnico autorevole spiega come RadSec (RFC 6614) protegga l'autenticazione WiFi aziendale avvolgendo il traffico RADIUS tradizionale nella crittografia TLS. Progettato per IT manager e architetti di rete, copre l'architettura, le strategie di implementazione e i passaggi pratici per mitigare i rischi del traffico RADIUS UDP non crittografato nelle reti aziendali e guest.

📖 4 minuti di lettura📝 871 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
RadSec: Come RADIUS over TLS Migliora la Sicurezza dell'Autenticazione WiFi Un briefing informativo di Purple Enterprise WiFi Durata stimata: 10 minuti --- [INTRODUZIONE E CONTESTO — circa 1 minuto] Benvenuti alla serie Purple Enterprise WiFi Intelligence. Sono il vostro ospite e oggi affronteremo un argomento che si colloca esattamente all'intersezione tra sicurezza di rete e rischio operativo: RadSec — formalmente definito nella RFC 6614 — e perché dovrebbe essere presente nella roadmap della vostra infrastruttura, se non lo è già. Se siete IT manager, network architect o CTO responsabili del WiFi aziendale in un gruppo alberghiero, in una catena di negozi, in uno stadio o in un campus del settore pubblico, questo briefing fa al caso vostro. Analizzeremo cos'è concretamente RadSec, perché il protocollo RADIUS tradizionale vi lascia esposti, come implementare RadSec in un ambiente reale e le insidie che mettono in difficoltà i team di lavoro. Niente teoria fine a se stessa — solo le informazioni necessarie per prendere una decisione in questo trimestre. Entriamo nel vivo. --- [APPROFONDIMENTO TECNICO — circa 5 minuti] Iniziamo quindi dal problema. Il RADIUS — Remote Authentication Dial-In User Service — è stato la spina dorsale dell'autenticazione WiFi aziendale fin dagli anni '90. Quando un utente o un dispositivo si connette al vostro WiFi aziendale o guest, l'access point funge da client RADIUS, inoltrando le richieste di autenticazione a un server RADIUS, che convalida le credenziali rispetto alla vostra directory — Active Directory, LDAP o un provider di identità cloud — e concede o nega l'accesso. Questo è il modello di autenticazione 802.1X alla base delle reti WPA2-Enterprise e WPA3-Enterprise. Il problema è che il RADIUS tradizionale è stato progettato per un'era diversa. Funziona su UDP — User Datagram Protocol — sulle porte 1812 e 1813. L'UDP è privo di connessione, il che significa che non c'è handshake, non c'è stato della sessione e, cosa fondamentale, non c'è crittografia nativa. L'unica protezione tra l'access point e il server RADIUS è un segreto condiviso — essenzialmente una password — utilizzato per offuscare la password dell'utente in transito tramite l'hashing MD5. L'MD5, come la maggior parte di voi saprà, è crittograficamente compromesso. Lo è da anni. Cosa significa questo all'atto pratico? Significa che in qualsiasi segmento di rete in cui un utente malintenzionato possa intercettare il traffico RADIUS — inclusi switch compromessi, dispositivi non autorizzati sulla VLAN di gestione o qualsiasi punto tra un access point remoto e un server RADIUS ospitato nel cloud — quest'ultimo può potenzialmente catturare gli scambi di autenticazione, tentare attacchi dizionario offline contro il segreto condiviso e, in alcune configurazioni, esporre completamente le credenziali dell'utente. Per un gruppo alberghiero che gestisce il WiFi guest in 200 strutture, o per una catena di negozi con access point in ogni punto vendita che si collegano a un server RADIUS centrale tramite la rete internet pubblica, questo non è un rischio teorico. Si tratta di una superficie di attacco reale.Questo è esattamente ciò che RadSec risolve. RadSec — definito in RFC 6614 e aggiornato da RFC 7360 — incapsula il traffico RADIUS all'interno di un tunnel TLS. Invece di UDP, utilizza TCP sulla porta 2083. Invece di un segreto condiviso e MD5, utilizza l'autenticazione TLS reciproca con certificati X.509. Sia il client RADIUS che il server RADIUS presentano i certificati, verificano l'identità reciproca e stabiliscono una sessione crittografata prima che venga scambiato qualsiasi dato di autenticazione. TLS 1.3 è la versione attualmente raccomandata, che garantisce la forward secrecy ed elimina una serie di vulnerabilità dei cifrari legacy. L'effetto pratico è significativo. I dati delle credenziali, gli attributi utente e i token di sessione sono crittografati end-to-end tra l'access point — o un proxy RadSec — e il server RADIUS. Un utente malintenzionato che intercetta il traffico sulla rete vede solo record TLS crittografati. Il segreto condiviso è ancora presente per compatibilità con le versioni precedenti, ma non svolge più alcun lavoro di sicurezza significativo: è il TLS a farsi carico di tutto. C'è un'altra dimensione qui che è sempre più rilevante: il roaming. La federazione Eduroam, utilizzata da università e istituti di ricerca in tutta Europa e non solo, utilizza RadSec da anni come parte della sua infrastruttura di roaming interistituzionale. Più di recente, lo standard OpenRoaming di Wi-Fi Alliance — che consente il roaming WiFi continuo tra le sedi partecipanti — impone RadSec per tutto il traffico della federazione. Se si distribuisce un'infrastruttura abilitata per OpenRoaming, RadSec non è opzionale; è un prerequisito. Purple supporta OpenRoaming con la sua licenza Connect, agendo come identity provider all'interno della federazione, e RadSec è fondamentale per il funzionamento di questa rete di roaming sicuro. Dal punto di vista della conformità, RadSec è sempre più rilevante per PCI DSS 4.0, che inasprisce i requisiti relativi alla protezione dei dati di autenticazione in transito. Se la tua infrastruttura WiFi tocca ambienti con carte di pagamento — e nel retail e nell'hospitality accade di frequente — il divario di crittografia nel RADIUS tradizionale è una vulnerabilità che aspetta solo di essere rilevata. Il GDPR richiede allo stesso modo misure tecniche adeguate per proteggere i dati personali; le credenziali utente e i metadati di sessione che transitano non crittografati sulla rete sono difficili da difendere in un audit di protezione dei dati. Ora parliamo di architettura. Esistono due modelli di implementazione principali per RadSec. Il primo è il supporto nativo di RadSec sul server RADIUS e sugli access point. FreeRADIUS 3.0 e versioni successive supportano RadSec nativamente. Microsoft NPS non supporta RadSec nativamente nelle versioni attuali, il che rappresenta un limite significativo per le organizzazioni che gestiscono infrastrutture incentrate su Windows. Cisco ISE supporta RadSec. Aruba ClearPass supporta RadSec. Se sia il server RADIUS che il fornitore dell'access point supportano RadSec nativamente, questo è il percorso più lineare: configura i certificati TLS su entrambi i lati, apri la porta TCP 2083 sul firewall e crittograferai il traffico RADIUS end-to-end. Il secondo modello è un proxy RadSec. Questa è l'implementazione più comune nella pratica, in particolare per le organizzazioni con infrastrutture RADIUS legacy o ambienti multi-vendor. Un proxy RadSec — radsecproxy è l'implementazione open-source più diffusa — si posiziona tra i tuoi access point e il tuo server RADIUS. Gli access point inviano il traffico RADIUS standard su UDP al proxy sulla rete locale. Il proxy termina quella connessione, reincapsula il traffico RADIUS all'interno di un tunnel TLS e lo inoltra al server RADIUS a monte tramite TCP 2083. Questo approccio consente di aggiungere RadSec a un'infrastruttura esistente senza sostituire il server RADIUS, ed è particolarmente utile quando il server RADIUS è ospitato nel cloud o vi si accede tramite l'internet pubblico. La gestione dei certificati è la complessità operativa che è necessario pianificare. Avrai bisogno di una PKI — Public Key Infrastructure — per emettere e gestire i certificati X.509 utilizzati per il mutual TLS. Ciò significa una Certificate Authority, l'emissione di certificati per ogni client e server RADIUS e un processo per la rotazione dei certificati prima della scadenza. I certificati che scadono inosservati interromperanno l'autenticazione per ogni utente sulla rete contemporaneamente — e questo è uno scenario che si desidera evitare. Automatizza il rinnovo dei certificati utilizzando ACME o l'API della tua CA e imposta avvisi di monitoraggio con largo anticipo rispetto alle date di scadenza. --- [RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE COMUNI — circa 2 minuti] Permettetemi di fornirvi alcune raccomandazioni pratiche. Primo: effettuare un audit prima dell'implementazione. Mappa ogni client RADIUS — access point, concentratori VPN, switch che eseguono l'802.1X — e ogni server RADIUS nel tuo ambiente. Identifica quali supportano RadSec nativamente e quali avranno bisogno di un proxy. Questo audit in genere fa emergere dispositivi legacy che non supportano affatto il TLS, e questi devono essere inseriti nella roadmap di sostituzione. Secondo: iniziare con il traffico a più alto rischio. Se hai traffico RADIUS che attraversa l'internet pubblico — sedi remote, RADIUS ospitato in cloud, gruppi alberghieri multi-proprietà — questa è la tua prima priorità. Il traffico RADIUS locale su una VLAN di gestione ben segmentata è a minor rischio, ma dovrebbe comunque essere inserito nella roadmap. Terzo: testare a fondo il mutual TLS prima del go-live. La modalità di errore più comune nelle implementazioni RadSec è rappresentata dagli errori di validazione dei certificati — Common Name non corrispondenti, certificati intermedi scaduti o client che non si fidano della CA che ha firmato il certificato del server. Usa openssl s_client per testare gli handshake TLS prima di trasferire il traffico di produzione. Quarto: non trascurare il monitoraggio. RadSec aggiunge un livello di connessione TCP che il RADIUS tradizionale non ha. I fallimenti di connessione TCP, i timeout degli handshake TLS e gli errori dei certificati si manifesteranno come fallimenti di autenticazione per i tuoi utenti. Assicurati che i log del tuo server RADIUS e i log del tuo proxy vengano inviati al tuo SIEM o alla tua piattaforma di monitoraggio, in modo da poter distinguere un problema di connettività RadSec da un problema di policy di autenticazione. L'errore che vedo più spesso è che le organizzazioni distribuiscono RadSec sul lato server ma dimenticano di aggiornare le regole del firewall. La porta TCP 2083 deve essere aperta tra ogni client RADIUS e il server o proxy RADIUS. Se si è abituati a gestire le regole UDP 1812, la porta TCP 2083 può essere facilmente dimenticata nel processo di modifica del firewall. --- [Q&A RAPIDO — circa 1 minuto] Vediamo di rispondere ad alcune domande che sento regolarmente. "RadSec sostituisce l'802.1X?" No. RadSec protegge il livello di trasporto tra l'access point e il server RADIUS. L'802.1X è il framework di autenticazione tra il dispositivo client e l'access point. Operano su livelli diversi e sono complementari. "RadSec è supportato da tutti i produttori di access point?" Non universalmente. Cisco, Aruba, Ruckus e Meraki hanno tutti diversi livelli di supporto RadSec — verificate la vostra versione specifica del firmware. Laddove manchi il supporto nativo, un proxy RadSec rappresenta la soluzione ideale. "E per quanto riguarda DTLS — RADIUS su DTLS?" La specifica RFC 7360 definisce RADIUS su DTLS, che utilizza UDP anziché TCP, preservando alcune delle caratteristiche senza connessione del RADIUS tradizionale e aggiungendo al contempo la crittografia. È meno diffuso rispetto a RadSec su TLS, ma vale la pena valutarlo se la latenza rappresenta un problema in ambienti ad alta velocità di trasmissione. "In che modo questo influisce sulle prestazioni di roaming?" La connessione TCP di RadSec è persistente, il che può effettivamente migliorare le prestazioni di roaming in ambienti federati riducendo il sovraccarico di configurazione della connessione per le successive richieste di autenticazione. --- [RIASSUNTO E PROSSIMI PASSI — circa 1 minuto] Per concludere: RadSec è la risposta matura e basata su standard a una reale lacuna di sicurezza nel RADIUS tradizionale. Se gestite una rete WiFi aziendale su larga scala — su più sedi, tramite Internet o in ambienti soggetti a PCI DSS o GDPR — la domanda non è se implementare RadSec, ma quando e come. I vostri prossimi passi: verificate la vostra infrastruttura RADIUS questa settimana. Identificate i flussi di traffico a più alto rischio. Controllate la documentazione del server RADIUS e del produttore dell'access point per verificare il supporto nativo a RadSec. Se utilizzate FreeRADIUS, potete avere un'implementazione RadSec di prova attiva in un giorno. Se utilizzate Microsoft NPS, iniziate a valutare un proxy o un percorso di migrazione verso un server compatibile con RadSec. La piattaforma di Purple è progettata per integrarsi con l'infrastruttura RADIUS aziendale, supportando flussi di autenticazione sicuri sia per gli ambienti WiFi aziendali che per quelli guest. Se desiderate capire come RadSec si adatta alla vostra specifica implementazione, il team di Purple può guidarvi nel processo. Grazie per l'attenzione. Alla prossima. --- FINE DELLO SCRIPT

header_image.png

Executive Summary

Traditional RADIUS over UDP (ports 1812/1813) was not designed for the modern enterprise threat landscape. Relying solely on a shared secret and MD5 hashing, it leaves authentication credentials and session attributes vulnerable to interception, particularly when traversing public networks or large distributed estates like hospitality and retail chains. RadSec (RADIUS over TLS, RFC 6614) solves this fundamental security gap by encapsulating RADIUS traffic within a TCP-based TLS 1.3 tunnel over port 2083.

For CTOs and network architects, deploying RadSec is no longer just a best practice—it is a critical requirement for protecting corporate wifi , maintaining PCI DSS 4.0 compliance, and participating in modern federated roaming frameworks like OpenRoaming. This guide details the architecture, implementation patterns, and operational requirements for securing your authentication infrastructure.

Technical Deep-Dive: RADIUS vs. RadSec

The Vulnerability in Traditional RADIUS

In a standard 802.1X deployment, the access point (authenticator) forwards client credentials to the RADIUS server (authentication server). In traditional RADIUS, this payload is sent over UDP. The only protection is a pre-shared key (PSK) used to obfuscate the password via MD5.

This architecture presents three critical risks:

  1. Lack of Transport Encryption: User attributes, MAC addresses, and session data are transmitted in cleartext.
  2. Cryptographic Weakness: MD5 is vulnerable to offline dictionary attacks if an attacker captures the traffic.
  3. No Mutual Authentication: The access point cannot cryptographically verify it is talking to the legitimate RADIUS server, enabling rogue server attacks.

The RadSec Architecture (RFC 6614)

RadSec addresses these flaws by shifting the transport layer from UDP to TCP and wrapping the entire payload in TLS.

architecture_overview.png

  • Transport: TCP Port 2083 ensures reliable delivery and stateful connections, improving performance in high-latency environments.
  • Encryption: TLS 1.2 or 1.3 provides robust, end-to-end encryption of all RADIUS attributes.
  • Mutual Authentication: Both the RADIUS client (or proxy) and the server must present valid X.509 certificates issued by a trusted Certificate Authority (CA). The shared secret is retained only for backwards compatibility; TLS provides the actual security. This architecture is essential for distributed environments, such as Retail chains or Hospitality venues, where access points backhaul authentication requests over the public internet to a central or cloud-hosted RADIUS server.

Implementation Guide

Deploying RadSec typically follows one of two patterns: Native Support or Proxy-based.

Pattern 1: Native RadSec

If your infrastructure supports it natively (e.g., FreeRADIUS 3.0+, Cisco ISE, Aruba ClearPass), you configure TLS certificates directly on the RADIUS server and the access points/controllers. This provides true end-to-end encryption from the edge to the core.

Pattern 2: The RadSec Proxy

Many legacy RADIUS servers (notably Microsoft NPS) do not natively support RadSec. In these environments, a proxy (such as radsecproxy) is deployed.

  1. Local Leg: The AP sends standard UDP RADIUS to the local proxy.
  2. WAN Leg: The proxy encapsulates the traffic in TLS and sends it over TCP 2083 to the upstream server.

This pattern allows you to secure wide-area traffic without replacing legacy infrastructure.

deployment_checklist.png

Integration with Purple

Purple's Guest WiFi and WiFi Analytics platforms integrate seamlessly with enterprise RADIUS infrastructure. Under the Connect licence, Purple acts as a free identity provider for OpenRoaming, where RadSec is a mandatory requirement for securing federation traffic between venues and the central hub.

Best Practices

  1. Certificate Lifecycle Management: Mutual TLS relies on valid certificates. Implement automated renewal (e.g., via ACME) and strict monitoring. An expired certificate will cause a total authentication outage.
  2. Firewall Configuration: Ensure TCP port 2083 is explicitly allowed both outbound from the venue and inbound to the RADIUS server. Do not assume existing UDP 1812 rules will apply.
  3. Prioritise High-Risk Traffic: Begin deployment on links that traverse the public internet or untrusted WANs before moving to local management VLANs.

For more on securing the edge, read our guide on Access Point Security: Your 2026 Enterprise Guide .

Troubleshooting & Risk Mitigation

When RadSec fails, it is rarely an authentication issue; it is almost always a TLS or TCP issue.

  • Symptom: Access points show as disconnected from the RADIUS server.
    • Check: Firewall rules for TCP 2083. Traditional RADIUS uses UDP; network teams frequently forget to open the TCP port.
  • Symptom: TCP connection establishes, but authentication fails immediately.
    • Check: Certificate validation. Verify that the Common Name (CN) or Subject Alternative Name (SAN) matches, the certificate has not expired, and the client trusts the signing CA. Use openssl s_client -connect :2083 to debug the handshake.

Ensure your network fundamentals are solid. Review our advice on Protect Your Network with Strong DNS and Security .

ROI & Business Impact

Implementing RadSec is a risk mitigation investment. The ROI is measured in the avoidance of data breaches, compliance fines (PCI DSS, GDPR), and reputational damage. Furthermore, it enables participation in modern roaming federations like OpenRoaming, which can significantly enhance the guest experience in Healthcare and Transport environments.

Listen to the Briefing

For a deeper dive into the operational realities of deploying RadSec, listen to our 10-minute technical briefing:

For specific configuration steps on client devices, refer to How to Set Up Enterprise WiFi on iOS and macOS with 802.1X or the Portuguese version Como Configurar WiFi Corporativo em iOS e macOS com 802.1X .

Definizioni chiave

RadSec

Un'estensione del protocollo RADIUS che incapsula il traffico RADIUS all'interno di un tunnel TLS sulla porta TCP 2083.

Utilizzato per proteggere il traffico di autenticazione quando si attraversano reti non affidabili, impedendo l'intercettazione delle credenziali.

Mutual TLS (mTLS)

Un processo di sicurezza in cui sia il client che il server presentano certificati X.509 per verificare l'identità reciproca prima di stabilire una connessione crittografata.

Il meccanismo di autenticazione principale di RadSec, che sostituisce l'affidamento su segreti condivisi statici.

802.1X

Lo standard IEEE per il controllo dell'accesso alla rete basato su porte, utilizzato per autenticare i dispositivi che tentano di connettersi a una LAN o WLAN.

Il framework che si affida a RADIUS (e di conseguenza a RadSec) per convalidare le credenziali utente rispetto a una directory.

radsecproxy

Un daemon open-source che funge da proxy, convertendo il traffico RADIUS UDP standard in RadSec (TLS su TCP) e viceversa.

Distribuito quando il supporto nativo RadSec è assente dagli access point o dai server RADIUS legacy come Microsoft NPS.

OpenRoaming

Uno standard di federazione sviluppato dalla Wi-Fi Alliance che consente agli utenti di connettersi in modo fluido e sicuro alle reti WiFi partecipanti a livello globale.

OpenRoaming impone l'uso di RadSec per proteggere il traffico di autenticazione tra le sedi e gli identity provider.

Shared Secret

Una stringa di testo statica utilizzata nel RADIUS tradizionale per offuscare le password e verificare l'origine delle richieste.

Sebbene sia ancora tecnicamente presente nelle configurazioni RadSec per la compatibilità con le versioni precedenti, è sostituito dalla crittografia TLS.

FreeRADIUS

Un server RADIUS open-source ampiamente distribuito che fornisce supporto nativo per RadSec.

Spesso utilizzato in ambienti aziendali e federazioni di roaming grazie alla sua flessibilità e alle funzionalità TLS native.

PKI (Public Key Infrastructure)

Il framework di ruoli, policy e software necessari per creare, gestire, distribuire e revocare certificati digitali.

Un prerequisito per la distribuzione di RadSec, in quanto è necessario emettere e gestire i certificati per tutti i client e server RADIUS.

Esempi pratici

Un gruppo alberghiero con 200 strutture utilizza Microsoft NPS a livello centrale per l'autenticazione del personale. Gli access point di ciascun hotel inviano attualmente richieste RADIUS su Internet pubblico tramite UDP 1812. Il CTO impone la crittografia per tutto il traffico di autenticazione, ma la sostituzione di NPS non è un'opzione praticabile per quest'anno.

Distribuire un proxy RadSec (ad esempio, radsecproxy) in ciascun hotel e un proxy corrispondente nel data center centrale davanti ai server NPS. Gli AP locali inviano RADIUS UDP al proxy locale. Il proxy locale stabilisce un tunnel TLS reciproco su TCP 2083 attraverso Internet verso il proxy centrale. Il proxy centrale termina il tunnel TLS e inoltra il RADIUS UDP standard al server NPS.

Commento dell'esaminatore: Questo approccio raggiunge l'obiettivo di sicurezza principale, ovvero la crittografia dei dati di autenticazione sulla WAN non attendibile, senza richiedere una sostituzione costosa e complessa dell'infrastruttura core Microsoft NPS. Introduce tuttavia un carico di gestione dei certificati per i proxy, che deve essere automatizzato.

Una grande università sta implementando OpenRoaming nel proprio campus per consentire un accesso fluido ai docenti in visita. Utilizzano FreeRADIUS 3.0.

Abilitare RadSec nativo all'interno di FreeRADIUS. Generare certificati X.509 da una CA fidata della federazione OpenRoaming. Configurare il firewall del campus per consentire il traffico TCP 2083 in entrata e in uscita verso gli hub della federazione. Configurare i controller LAN wireless per utilizzare RadSec per tutte le richieste di autenticazione destinate alla federazione.

Commento dell'esaminatore: Poiché FreeRADIUS supporta nativamente RadSec, non è richiesto alcun proxy. Questa è l'architettura più pulita. La dipendenza critica in questo caso è garantire che i certificati siano allineati con i requisiti PKI specifici della federazione OpenRoaming.

Domande di esercitazione

Q1. Il tuo team ha distribuito RadSec nativo tra gli access point della tua filiale remota e il server FreeRADIUS centrale. Gli AP riescono a pingare il server, ma le richieste di autenticazione vanno costantemente in timeout e nessun traffico raggiunge i log di RADIUS.

Suggerimento: RadSec utilizza un protocollo di trasporto e una porta diversi rispetto al RADIUS tradizionale.

Visualizza risposta modello

È probabile che il firewall stia bloccando la porta TCP 2083. I team di rete abituati al RADIUS tradizionale spesso consentono solo le porte UDP 1812/1813. È necessario consentire esplicitamente la porta TCP 2083 in uscita dalla filiale e in entrata verso il server RADIUS.

Q2. Stai effettuando l'audit dell'architettura WiFi di un cliente retail. Utilizzano Microsoft NPS a livello centrale. Gli AP dei loro negozi inviano richieste di autenticazione su Internet tramite una VPN IPsec. RadSec è necessario in questo scenario?

Suggerimento: Considera i livelli di crittografia già attivi.

Visualizza risposta modello

Sebbene RadSec rappresenti la best practice, la VPN IPsec fornisce già la crittografia a livello di trasporto per il traffico RADIUS UDP sulla rete Internet non protetta. L'implementazione di RadSec in questo caso offrirebbe una difesa approfondita (defence-in-depth), ma è meno urgente rispetto a una situazione in cui il traffico attraversa Internet in modo nativo.

Q3. Una settimana dopo una corretta implementazione del proxy RadSec, tutte le autenticazioni WiFi dell'intera azienda falliscono contemporaneamente alle 09:00 di lunedì mattina. Il team di rete conferma che le regole del firewall non hanno subito modifiche.

Suggerimento: Qual è il meccanismo di autenticazione principale per il tunnel TLS stesso?

Visualizza risposta modello

I certificati X.509 utilizzati per la mutual TLS authentication sono probabilmente scaduti. Quando i certificati scadono, l'handshake TLS fallisce, la connessione TCP si interrompe e il traffico RADIUS non può transitare. Implementa il monitoraggio e la rotazione automatizzata dei certificati per prevenire questo problema.

Continua a leggere questa serie

Come segregare in sicurezza le reti WiFi del personale e degli ospiti

Questa guida tecnica autorevole fornisce ai leader IT strategie pratiche per segregare in sicurezza le reti WiFi del personale, degli ospiti e dei dispositivi IoT utilizzando VLAN e 802.1X. Descrive dettagliatamente come proteggere l'infrastruttura aziendale, mantenere la conformità PCI DSS e sfruttare i captive portal per raccogliere dati di prima parte.

Leggi la guida →

Il miglior filtro DNS: una guida completa per le aziende

Questa guida tecnica di riferimento spiega in che modo il filtraggio DNS aziendale protegge le reti pubbliche bloccando i domini dannosi a livello di risoluzione - prima ancora che venga stabilita una connessione. Fornisce ai direttori IT, agli architetti di rete e ai team operativi delle sedi l'architettura di implementazione, la configurazione del firewall e il contesto di conformità necessari per proteggere il WiFi per gli ospiti in ambienti alberghieri, retail e del settore pubblico. Purple Shield blocca malware, botnet e contenuti inappropriati a livello DNS in oltre 80.000 sedi attive.

Leggi la guida →

Comprensione di Cisco SUDI: Identità ancorata all'hardware nel controllo degli accessi di rete sicuro

Questa guida spiega come Cisco SUDI fornisca un'identità crittograficamente sicura e ancorata all'hardware per l'infrastruttura di rete aziendale. Scopri come sostituire gli indirizzi MAC facilmente falsificabili con certificati 802.1AR immutabili per proteggere il controllo degli accessi alla rete della tua struttura.

Leggi la guida →