Server RADIUS: una guida completa per le aziende

Questa guida fornisce a IT manager, architetti di rete e CTO un riferimento tecnico definitivo sull'autenticazione tramite server RADIUS per il WiFi aziendale. Copre il framework AAA, l'architettura 802.1X, la selezione del metodo EAP, i compromessi tra implementazioni cloud e on-premises e l'assegnazione dinamica della VLAN. I gestori di location nei settori dell'ospitalità, del retail, degli eventi e del settore pubblico troveranno indicazioni pratiche per l'implementazione, casi di studio reali e i framework decisionali necessari per migrare da chiavi pre-condivise non sicure a un'architettura di controllo degli accessi alla rete sicura e basata sull'identità.

📖 9 minuti di lettura📝 2,075 parole🔧 2 esempi pratici❓ 4 domande di esercitazione📚 10 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

Benvenuto al Technical Briefing di Purple. Sono la tua guida e, nei prossimi dieci minuti, affronteremo una delle decisioni infrastrutturali più importanti per qualsiasi team IT aziendale: l'autenticazione tramite server RADIUS. Se sei un responsabile IT, un network architect o un CTO responsabile del WiFi in un hotel, una catena di negozi, uno stadio o un centro congressi, questo briefing fa al caso tuo. Andremo dritti al punto, spiegando chiaramente l'architettura e offrendoti spunti pratici per prendere decisioni informate in questo trimestre.

Iniziamo con una visione d'insieme. Perché tutto questo è importante?

Se offri ancora l'accesso WiFi a ospiti o personale tramite una singola password condivisa, ovvero una Pre-Shared Key, stai operando con un rischio di sicurezza significativo e crescente. Quella password viene condivisa, scritta sugli scontrini, fotografata sulle lavagne e inoltrata tramite app di messaggistica. Una volta diffusa, perdi visibilità su chi è presente nella tua rete, non hai la possibilità di revocare l'accesso a un singolo utente senza interrompere il servizio per tutti e non disponi di un audit trail in caso di problemi. Per le organizzazioni soggette a PCI DSS, GDPR o HIPAA, questo non è solo un problema tecnico: è una responsabilità in termini di conformità.

Il server RADIUS è la soluzione su cui l'intero settore è confluito per risolvere questo problema. Cerchiamo quindi di capire esattamente cos'è e come funziona.

RADIUS sta per Remote Authentication Dial-In User Service. Il nome è un retaggio storico dei primi tempi delle connessioni dial-up, ma il protocollo si è evoluto in modo significativo e oggi rappresenta la spina dorsale del controllo degli accessi alle reti aziendali. Fondamentalmente, un server RADIUS è un sistema centralizzato che gestisce l'accesso alla rete utilizzando un framework chiamato AAA: Authentication, Authorisation e Accounting (Autenticazione, Autorizzazione e Tracciamento). Questi tre pilastri sono la base di tutto ciò che discuteremo oggi.

L'Autenticazione è il primo pilastro: verificare l'identità di qualcuno. L'Autorizzazione è il secondo: determinare cosa è autorizzato a fare. L'Accounting è il terzo: registrare ciò che ha effettivamente fatto.

Esploriamoli uno per uno.

Autenticazione. Quando un utente tenta di connettersi a una rete WiFi protetta con WPA2-Enterprise o WPA3-Enterprise, il suo dispositivo, che chiamiamo Supplicant, invia una richiesta di connessione all'access point wireless. L'access point, che chiamiamo Authenticator, non prende autonomamente la decisione di autenticazione. Funge da relè, inoltrando la richiesta al server RADIUS. Il server convalida quindi l'identità dell'utente confrontandola con una sorgente di identità configurata. Questa potrebbe essere Microsoft Entra ID, Okta, Google Workspace o un database di utenti locale. La sorgente di identità è l'unica fonte di verità per stabilire chi è autorizzato ad accedere alla tua rete.

Autorizzazione. Una volta autenticato l'utente, il server RADIUS non si limita a dare il via libera e a farsi da parte. Comunica anche all'access point esattamente cosa fare con questo utente. Invia una serie di attributi, essenzialmente istruzioni, che definiscono l'esperienza di rete dell'utente. Il più importante di questi è in genere l'assegnazione della VLAN. Il server RADIUS potrebbe stabilire: questo utente fa parte del gruppo del personale aziendale, assegnalo alla VLAN dieci, che ha accesso ai file server e alle stampanti interne. Oppure: questo utente è un ospite, assegnalo alla VLAN venti, che ha solo accesso a Internet ed è completamente isolata dalla rete aziendale. Questa assegnazione dinamica della VLAN è una delle funzionalità più potenti del server RADIUS ed è il meccanismo che consente una corretta segmentazione della rete.

Accounting. Il terzo pilastro viene spesso trascurato, ma è di fondamentale importanza per la conformità e l'operatività. Con il progredire della sessione di un utente, il server RADIUS registra informazioni chiave: l'ora di connessione, l'ora di disconnessione, la durata totale della sessione, la quantità di dati trasferiti e l'indirizzo MAC del loro dispositivo. Questo crea un registro di controllo dettagliato per ogni connessione sulla rete. Secondo la versione quattro dello standard PCI DSS, questo tipo di registrazione non è opzionale. Si tratta di un requisito vincolante. E in caso di incidente di sicurezza, questi log sono preziosissimi per le indagini forensi.

Ora parliamo dello standard tecnico che rende possibile tutto questo: IEEE 802.1X.

Lo standard 802.1X definisce il controllo dell'accesso alla rete basato su porte. È il protocollo che consente a un access point di bloccare tutto il traffico di rete da un dispositivo finché il server RADIUS non ha confermato che il dispositivo è autorizzato. La comunicazione tra il dispositivo dell'utente e l'access point utilizza un protocollo chiamato EAP, ovvero Extensible Authentication Protocol. L'EAP è essenzialmente un framework che supporta molteplici metodi di autenticazione.

I tre metodi EAP più comuni nel WiFi aziendale sono: PEAP, che sta per Protected Extensible Authentication Protocol; EAP-TTLS; ed EAP-TLS.

PEAP ed EAP-TTLS sono metodi basati su credenziali. Creano un tunnel crittografato tra il dispositivo e il server RADIUS, dopodiché il nome utente e la password dell'utente vengono verificati all'interno di tale tunnel. Sono relativamente facili da implementare e funzionano bene in ambienti in cui non si è ancora pronti per un'infrastruttura di certificati completa.

L'EAP-TLS rappresenta lo standard di riferimento. È basato su certificati, il che significa che sia il server sia il dispositivo client presentano certificati digitali per autenticarsi a vicenda. Non è coinvolta alcuna password. Questo elimina completamente il rischio di furto di credenziali, attacchi di phishing e attacchi man-in-the-middle. Per i dispositivi aziendali, l'EAP-TLS è il metodo di autenticazione a cui si dovrebbe tendere.

Ora parliamo dei modelli di implementazione. Quando si tratta di server RADIUS, si hanno due opzioni principali: on-premises e ospitato in cloud.

Il RADIUS on-premises, che utilizza piattaforme come FreeRADIUS o Microsoft Network Policy Server, offre un controllo completo sull'infrastruttura. Per una singola struttura di grandi dimensioni, come uno stadio o un ospedale, questa può essere la scelta corretta. Le richieste di autenticazione viaggiano sulla rete locale, garantendo tempi di risposta inferiori al millisecondo. E se la tua directory di identità è un Active Directory on-premises che non può essere esposta a Internet per motivi di conformità GDPR, un server RADIUS on-premises è spesso l'unica opzione praticabile.

Tuttavia, per le organizzazioni multi-sede, il RADIUS on-premises comporta un notevole sovraccarico operativo. Ti ritrovi a gestire istanze server separate in ogni sede, a gestire manualmente i rinnovi dei certificati e ad affrontare le conseguenze quando qualcosa va storto alle due del mattino.

Il Cloud RADIUS cambia completamente le cose. L'infrastruttura è ospitata a livello globale in più zone di disponibilità. Quando un utente si connette in una filiale, la richiesta viene instradata al nodo edge cloud più vicino. L'elevata disponibilità è integrata per impostazione predefinita. Inoltre, la rotazione dei certificati è automatizzata, eliminando la causa più comune di interruzioni dell'autenticazione nelle distribuzioni on-premises.

Per le organizzazioni multi-sede con provider di identità cloud-native come Microsoft Entra ID, Okta o Google Workspace, Cloud RADIUS è quasi sempre la scelta operativamente superiore. Il Cloud RADIUS di Purple si integra direttamente con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Ciò significa che puoi distribuirlo su tutto il tuo parco hardware senza sostituire un singolo access point.

Permettimi di condividere due scenari reali per rendere il tutto più concreto.

Il primo riguarda un gruppo alberghiero europeo con 45 strutture in sei paesi. Il team IT eseguiva FreeRADIUS su macchine virtuali in ogni struttura: 45 istanze separate da aggiornare, monitorare e mantenere. Quando un certificato è scaduto in una struttura, ha causato un'interruzione totale del WiFi per gli ospiti durante un'importante conferenza. Sono passati a un servizio Cloud RADIUS, centralizzando la gestione delle policy ed eliminando la manutenzione per singola sede. Il team di tre ingegneri ha recuperato circa il 40% del tempo precedentemente dedicato alla manutenzione del RADIUS.

Il secondo scenario è uno stadio sportivo nazionale con 68.000 posti a sedere. Il team IT aveva requisiti severi in materia di sovranità dei dati. Tutti i log di autenticazione dovevano rimanere sul suolo del Regno Unito. Hanno distribuito un doppio cluster RADIUS on-premises in configurazione active-active, con un cluster secondario in una struttura di co-location a 20 miglia di distanza. Questo ha offerto loro un controllo locale, un'autenticazione inferiore al millisecondo e la capacità di gestire i picchi di traffico senza dipendere dalla connettività Internet.

Questi due scenari illustrano chiaramente il quadro decisionale. Scegli Cloud RADIUS se hai una presenza multi-sito distribuita, identity provider cloud-native e un piccolo team IT centrale. Scegli on-premises se hai un'unica grande sede con rigidi requisiti di sovranità dei dati o un ambiente di sicurezza air-gapped.

Passiamo ora ad alcune delle domande più frequenti.

Prima: qual è la differenza tra un server RADIUS e un Captive Portal? Un Captive Portal è la pagina di login che gli ospiti vedono quando si connettono. Funziona con RADIUS. Il portale è l'interfaccia utente; il server RADIUS è il motore di back-end.

Seconda: posso usare RADIUS per le reti cablate? Assolutamente sì. Lo standard 802.1X si applica ugualmente alla rete Ethernet cablata e alle reti wireless.

Terza: cosa succede se il mio provider Cloud RADIUS ha un'interruzione di servizio? I provider affidabili pubblicano accordi sul livello del servizio (SLA) con un uptime del 99,99%, supportato da ridondanza multi-regione. Configura sempre i tuoi access point con una policy di fallback, come l'accesso aperto a una VLAN limitata o credenziali memorizzate nella cache locale, per gestire lo scenario in modo ottimale.

Quarta: in che modo RADIUS interagisce con il WiFi ospiti? Per le strutture che offrono il WiFi ai visitatori, l'integrazione dell'infrastruttura server RADIUS con una soluzione Captive Portal crea un modello di accesso a più livelli. Il personale e i dispositivi aziendali si autenticano silenziosamente tramite 802.1X, mentre gli ospiti vengono indirizzati a un portale personalizzato per l'onboarding. La piattaforma di Purple acquisisce quindi dati di prima parte e fornisce analisi sul comportamento dei visitatori, trasformando la tua rete da un centro di costo in una risorsa di business intelligence.

In sintesi. Il server RADIUS è il protocollo centralizzato che alimenta la sicurezza del WiFi aziendale. Implementa il framework AAA per offrirti un controllo granulare su chi può accedere alla tua rete, cosa può fare e un audit trail completo della loro attività. Per gestori di sedi, albergatori, rivenditori e organizzazioni del settore pubblico, l'implementazione del server RADIUS è il passo fondamentale per creare un'infrastruttura WiFi sicura, conforme e gestita in modo professionale.

Il tuo prossimo passo è chiaro. Se utilizzi ancora chiavi precondivise, inizia a pianificare la tua migrazione oggi stesso. Verifica il supporto a WPA3-Enterprise sul tuo hardware attuale, valuta le opzioni di integrazione della directory delle identità ed esplora una piattaforma Cloud RADIUS in grado di scalare con la tua organizzazione.

Per ulteriori guide tecniche e risorse di implementazione, visitaci su purple dot ai. Alla prossima, rimani al sicuro.

Punti chiave

✓Il server RADIUS è lo standard del settore per il controllo dell'accesso alle reti aziendali, che sostituisce le chiavi precondivise non sicure con l'autenticazione basata sull'identità tramite il framework AAA.
✓L'assegnazione dinamica della VLAN è il meccanismo che impone la segmentazione della rete, un controllo obbligatorio per la conformità PCI DSS negli ambienti retail e dell'ospitalità.
✓EAP-TLS è il metodo di autenticazione d'eccellenza, che elimina del tutto le password tramite la validazione reciproca dei certificati tra client e server.
✓Il Cloud RADIUS è operativamente superiore per le sedi distribuite con piccoli team IT centrali, offrendo la rotazione automatizzata dei certificati, l'alta affidabilità integrata e la gestione centralizzata delle policy.
✓Il server RADIUS on-premises rimane la scelta corretta per singole grandi sedi con requisiti di sovranità dei dati, ambienti isolati (air-gapped) o directory locali legacy.
✓La scadenza del certificato è la causa principale delle interruzioni di servizio del RADIUS on-premises: configura gli avvisi di monitoraggio a 60, 30 e 7 giorni prima della scadenza.
✓Il Cloud RADIUS di Purple si integra con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet in oltre 80.000 sedi attive con un uptime del 99,999%.

Executive summary

Per i responsabili IT, gli architetti di rete e i CTO che operano nei settori dell' hospitality , del retail , del transport e dei grandi spazi pubblici, la protezione dell'accesso wireless è un requisito operativo fondamentale, non un upgrade opzionale. Affidarsi a una chiave pre-condivisa (PSK) per l'accesso WiFi rappresenta una grave vulnerabilità di sicurezza. Una singola credenziale compromessa espone l'intera rete e la revoca dell'accesso richiede la modifica della password per ogni dispositivo presente nella struttura. L'implementazione dell'autenticazione 802.1X tramite un'architettura server RADIUS (Remote Authentication Dial-In User Service) elimina questo problema. Ogni utente si autentica individualmente, l'accesso può essere revocato istantaneamente e la segmentazione della rete viene applicata in modo dinamico.

Il server RADIUS implementa il framework AAA: Authentication, Authorisation, and Accounting. Convalida le identità rispetto a directory come Microsoft Entra ID, Okta o Google Workspace, assegna gli utenti al segmento di rete corretto tramite l'assegnazione dinamica delle VLAN e mantiene un registro di audit dettagliato per ogni sessione. Per le organizzazioni soggette a PCI DSS, GDPR o Cyber Essentials, questo registro di audit non è opzionale. È un requisito di conformità rigoroso. Il server Cloud RADIUS di Purple protegge il personale e i dispositivi aziendali tramite l'autenticazione 802.1X basata su certificati, integrandovisi con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet in oltre 80.000 sedi attive.

Technical deep-dive: server RADIUS architecture

Lo standard IEEE 802.1X definisce il controllo dell'accesso alla rete basato su porta (PNAC). In un contesto wireless, prevede tre ruoli principali che operano di concerto per proteggere il perimetro della rete.

Ruolo	Componente	Responsabilità
Supplicant	Dispositivo client (laptop, smartphone)	Presenta le credenziali per richiedere l'accesso alla rete
Authenticator	Access point o controller WiFi	Applica il controllo dell'accesso; inoltra i messaggi EAP
Authentication server	Server RADIUS	Convalida le credenziali; restituisce l'accettazione o il rifiuto e gli attributi dei criteri

Quando un supplicant si associa a un access point, l'AP blocca tutto il traffico dati ad eccezione dei messaggi Extensible Authentication Protocol (EAP). L'AP incapsula questi messaggi EAP in pacchetti RADIUS e li inoltra al server RADIUS sulla porta UDP 1812. Il server verifica le credenziali rispetto a una directory backend e restituisce un messaggio Access-Accept o Access-Reject. Se accettato, l'AP sblocca la porta e il traffico del client fluisce liberamente.

Il framework AAA nella pratica

L'Autenticazione è il primo pilastro: verificare l'identità di un utente. Quando un dispositivo si connette a un SSID WPA3-Enterprise, il server RADIUS verifica le credenziali o il certificato presentati confrontandoli con la sorgente di identità configurata. Microsoft Entra ID, Okta e Google Workspace sono i provider di identità cloud standard che si integrano direttamente con le moderne piattaforme Cloud RADIUS.

L'Autorizzazione è il secondo pilastro: determinare cosa può fare l'utente autenticato. Il server RADIUS restituisce gli attributi RADIUS all'access point, in particolare l'ID VLAN. Un membro del team finanziario viene assegnato alla VLAN 10 con accesso ai sistemi interni. Un collaboratore esterno viene assegnato alla VLAN 20 con accesso solo a Internet. Un ospite viene assegnato alla VLAN 30, isolato da tutte le risorse aziendali. Questa assegnazione dinamica della VLAN è il meccanismo che consente una corretta segmentazione della rete, un controllo obbligatorio per la conformità PCI DSS negli ambienti retail .

L'Accounting è il terzo pilastro: registrare ciò che è effettivamente accaduto. Il server RADIUS registra gli orari di inizio e fine sessione, la durata della sessione, i dati trasferiti e l'indirizzo MAC di ciascun dispositivo. Ai sensi dello standard PCI DSS v4.0, questa registrazione è un requisito rigoroso. In caso di incidente di sicurezza, questi log costituiscono la base di qualsiasi indagine informatica forense.

Selezione del metodo EAP

La sicurezza dell'implementazione del server RADIUS dipende fortemente dal metodo EAP selezionato. I tre metodi più comuni nelle reti WiFi aziendali sono PEAP, EAP-TTLS ed EAP-TLS.

PEAP-MSCHAPv2 è il metodo più diffuso. Crea un tunnel TLS crittografato utilizzando un certificato lato server, all'interno del quale l'utente si autentica con nome utente e password. È relativamente semplice da implementare poiché è necessario gestire un solo certificato, quello del server. Tuttavia, se i dispositivi client non sono configurati esplicitamente per convalidare il certificato del server, sono vulnerabili ad attacchi di rogue access point. Un malintenzionato può presentare un certificato fraudolento e intercettare le credenziali. Si tratta di una minaccia reale e documentata, non teorica. Imponi una convalida rigorosa del certificato tramite Group Policy Objects o profili MDM senza eccezioni.

EAP-TLS è il gold standard. Richiede certificati digitali sia sul server RADIUS che su ogni dispositivo client, eliminando completamente le password. Anche se un malintenzionato intercettasse l'intero scambio di autenticazione, non ci sarebbero credenziali da estrarre. Il compromesso è il sovraccarico amministrativo: la distribuzione e la gestione dei certificati client richiedono un'infrastruttura a chiave pubblica (PKI) e una piattaforma MDM come Microsoft Intune o Jamf. Per i dispositivi aziendali, EAP-TLS è il metodo di autenticazione a cui tendere. Il Cloud RADIUS di Purple supporta EAP-TLS in modo nativo, con gestione automatizzata del ciclo di vita dei certificati.

Guida all'implementazione: cloud vs on-premises

Quando si implementa un'architettura server RADIUS, i team IT devono scegliere tra l'implementazione ospitata in cloud e quella on-premises. Questa è la decisione architetturale più importante del progetto.

Il RADIUS on-premises, che utilizza piattaforme come FreeRADIUS o Microsoft Network Policy Server (NPS), offre un controllo completo sull'infrastruttura. Per una singola sede di grandi dimensioni - uno stadio, un ospedale o una struttura governativa - questa può essere la scelta giusta. Le richieste di autenticazione viaggiano sulla LAN locale, offrendo tempi di risposta inferiori al millisecondo. Se la directory delle identità è un Active Directory on-premises che non può essere esposto a Internet per motivi di sovranità dei dati, un server RADIUS on-premises è spesso l'unica opzione praticabile.

Tuttavia, per le organizzazioni multi-sede, il RADIUS on-premises introduce un sovraccarico operativo significativo. È necessario gestire istanze server separate in ogni sede, gestire i rinnovi dei certificati manualmente e rispondere ai disservizi alle due di notte quando un certificato scade. Per una catena di negozi con 50 punti vendita, ciò significa 50 istanze RADIUS separate da aggiornare, monitorare e mantenere.

Cloud RADIUS cambia completamente questo scenario. L'infrastruttura è ospitata a livello globale in più zone di disponibilità. Quando un utente si connette in una filiale, la richiesta viene instradata al nodo edge cloud più vicino. L'elevata disponibilità è integrata di default. La rotazione dei certificati è automatizzata, eliminando la causa più comune di interruzioni dell'autenticazione nelle distribuzioni on-premises. Per le organizzazioni multi-sede con provider di identità cloud-native come Microsoft Entra ID, Okta o Google Workspace, Cloud RADIUS è quasi sempre la scelta operativamente superiore.

Il Cloud RADIUS di Purple si integra direttamente con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. L'implementazione avviene sull'intero parco hardware senza dover sostituire un singolo access point.

Implementazione passo dopo passo

Passo 1: Scegli il modello di implementazione. Analizza tre fattori: il provider di identità attuale e se è cloud-native; la resilienza della WAN in ciascuna sede; e la capacità del team di gestire la manutenzione ordinaria. Questi tre fattori determinano se il percorso corretto è il cloud o l'on-premises.

Passo 2: Integra la sorgente di identità. Connetti il server RADIUS alla directory delle identità dell'organizzazione. La maggior parte delle piattaforme Cloud RADIUS supporta l'integrazione diretta con Microsoft Entra ID, Okta e Google Workspace tramite LDAP o SAML. Per Active Directory on-premises, utilizza LDAP tramite un connettore sicuro.

Fase 3: Configura l'hardware di rete. Crea un nuovo SSID configurato per WPA2-Enterprise o WPA3-Enterprise e indirizzalo al tuo server RADIUS. Configura il segreto condiviso, ovvero la password che crittografa la comunicazione tra l'access point e il server RADIUS. Questo segreto condiviso deve corrispondere esattamente su entrambi i lati. Una mancata corrispondenza è una delle cause più comuni di errore di autenticazione durante la distribuzione iniziale.

Fase 4: Definisci i criteri di autorizzazione. Associa i gruppi di utenti dalla tua directory di identità ai criteri di rete. Il personale ottiene l'accesso completo sulla VLAN 10. Gli ospiti ottengono l'accesso solo a Internet sulla VLAN 20. I dispositivi IoT ottengono una VLAN limitata con regole di firewall che bloccano i movimenti laterali.

Fase 5: Integra i tuoi utenti. Per il personale aziendale, distribuisci i profili WiFi tramite la tua piattaforma MDM. Per gli ospiti, utilizza un captive portal. La piattaforma Guest WiFi di Purple automatizza il flusso di onboarding degli ospiti, supportando il social login, i moduli di registrazione e i codici voucher. Il personale e i dispositivi aziendali si autenticano silenziosamente tramite 802.1X mentre gli ospiti vengono indirizzati a un portale personalizzato: un modello di accesso a più livelli che offre sia sicurezza che WiFi Analytics .

Per un esame più approfondito dell'architettura SSID tra reti ospiti, personale e IoT, consulta Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi .

Best practice

Applica una convalida rigorosa dei certificati su ogni dispositivo client. Utilizza gli oggetti Criteri di gruppo per i dispositivi Windows e i profili MDM per macOS e i dispositivi mobili. Il profilo deve specificare esattamente di quale Autorità di certificazione fidarsi e qual è il nome del server previsto. Non lasciare questa configurazione manuale all'utente. La mancata applicazione di questa misura è il principale vettore di attacco per il furto di credenziali sulle distribuzioni PEAP.

Distribuisci almeno due istanze del server RADIUS. Configura tutti gli access point per il failover sul secondario se il primario diventa irraggiungibile. Per Cloud RADIUS, questa ridondanza è integrata e gestita dal provider. Per le installazioni on-premises, distribuisci un cluster active-active in due sedi geograficamente distinte.

Utilizza il MAC Authentication Bypass (MAB) per i dispositivi IoT headless. Stampanti, sensori e segnaletica digitale non possono presentare credenziali 802.1X. Il MAB consente l'autenticazione basata sull'indirizzo MAC. Poiché gli indirizzi MAC sono facilmente falsificabili, associa sempre i dispositivi autenticati tramite MAB a una VLAN restrittiva e a regole di firewall che bloccano l'accesso alle risorse aziendali.

Ruota regolarmente i segreti condivisi. Il segreto condiviso tra i tuoi access point e il tuo server RADIUS deve essere lungo, casuale e ruotato periodicamente. Un segreto condiviso debole o predefinito compromette l'intera catena di autenticazione.

Convalida la segmentazione con i penetration test. La sola configurazione non è una prova. Commissiona un penetration test che includa esplicitamente l'ambiente wireless e la convalida della segmentazione VLAN. Un tester dovrebbe tentare attivamente di accedere alle risorse aziendali dalla VLAN ospiti e documentare che ogni tentativo viene bloccato. Questa è la prova di cui il tuo Qualified Security Assessor PCI DSS ha bisogno.

Risoluzione dei problemi e mitigazione dei rischi

I più comuni scenari di errore nelle distribuzioni di server RADIUS rientrano in quattro categorie.

Mancata corrispondenza del segreto condiviso. Se il segreto condiviso configurato sull'access point non corrisponde a quello sul server RADIUS, ogni tentativo di autenticazione fallirà in modo silenzioso. Copia e incolla sempre i segreti condivisi anziché digitarli manualmente. Verifica la configurazione su entrambi i lati prima di eseguire il test.

Scadenza del certificato. Nelle distribuzioni on-premise, se il certificato del server scade, ogni dispositivo client rifiuterà la connessione. Ciò causa un'interruzione completa dell'autenticazione senza un degrado controllato delle prestazioni. I provider di Cloud RADIUS automatizzano la rotazione dei certificati, eliminando questo rischio. Per le distribuzioni on-premise, configura avvisi di monitoraggio a 60 giorni, 30 giorni e sette giorni prima della scadenza.

Validazione del certificato client non applicata. Se i client PEAP non sono configurati per convalidare il certificato del server, si connetteranno a qualsiasi server RADIUS che risponde, inclusi gli access point non autorizzati (rogue). Imponi la convalida del certificato tramite GPO o profili MDM su ogni dispositivo gestito.

Dipendenza dalla WAN per il Cloud RADIUS. Il Cloud RADIUS si affida interamente al collegamento WAN di ciascuna sede. Se la connessione Internet si interrompe, l'autenticazione fallisce. Implementa una strategia di sopravvivenza locale: configura gli access point per memorizzare nella cache le credenziali del personale critico, oppure utilizza l'SD-WAN per garantire l'alta disponibilità del collegamento Internet. Configura sempre una policy di fallback, impostando l'accesso aperto a una VLAN limitata o l'uso di credenziali memorizzate nella cache locale.

ROI e impatto aziendale

La distribuzione di un'architettura server RADIUS trasforma la rete wireless da una vulnerabilità a una risorsa gestita e sicura, con vantaggi operativi misurabili.

Per un gruppo alberghiero europeo con 45 strutture, la migrazione da 45 istanze FreeRADIUS on-premise a Cloud RADIUS ha consentito di recuperare circa il 40% del tempo di manutenzione del team IT centrale (dati interni Purple). Si tratta di capacità ingegneristica reindirizzata dal semplice mantenimento dell'operatività a iniziative strategiche.

Per una catena retail che si prepara a un audit PCI DSS, una corretta segmentazione della rete tramite l'assegnazione dinamica delle VLAN rimuove completamente la rete guest WiFi dall'ambito del Cardholder Data Environment. Piattaforme come il Guest WiFi di Purple operano sulla VLAN rivolta agli ospiti, completamente isolata dal traffico dei pagamenti. La piattaforma di analytics è fuori dall'ambito PCI e l'azienda mantiene la libertà di distribuire strumenti che generano entrate (analytics degli ospiti, programmi di fidelizzazione, coinvolgimento dei clienti) in modo sicuro e fiducioso.

Per le organizzazioni con più di 10 sedi e meno di cinque ingegneri di rete, la spesa operativa prevedibile di Cloud RADIUS offre tipicamente un ritorno sull'investimento positivo entro 18 mesi rispetto al mantenimento dell'infrastruttura on-premises (dati interni Purple). L'approvvigionamento dell'hardware, l'alimentazione, il raffreddamento e il tempo dedicato all'ingegnerizzazione per le distribuzioni on-premises su scala superano costantemente il costo di abbonamento di un servizio Cloud RADIUS gestito.

Purple opera in oltre 80.000 sedi attive con un uptime del 99,999%, certificazione ISO 27001, conformità GDPR e CCPA e certificazione Cyber Essentials. Per i team IT che devono dimostrare la dovuta diligenza al proprio consiglio di amministrazione o ai revisori dei conti, queste certificazioni forniscono quella convalida di terze parti che una distribuzione on-premises autogestita non può offrire.

Per un confronto dettagliato tra il Cloud RADIUS di Purple e le piattaforme alternative, consulta il confronto delle funzionalità e del co-deployment tra Aruba ClearPass e Purple WiFi .

Definizioni chiave

Server RADIUS

Remote Authentication Dial-In User Service. Un server di protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e tracciamento (AAA) per l'accesso alla rete. Definito in RFC 2865 ed esteso da successivi RFC.

Il motore principale che convalida le credenziali dell'utente rispetto a una directory e definisce le policy di accesso alla rete. Ogni implementazione WiFi aziendale che utilizza 802.1X richiede un server RADIUS.

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porte che fornisce un meccanismo di autenticazione per i dispositivi che desiderano connettersi a una LAN o WLAN. Definisce i ruoli di Supplicant, Authenticator e Authentication Server.

Lo standard che gli access point utilizzano per comunicare con il server RADIUS. Senza 802.1X, non esiste alcun meccanismo per bloccare i dispositivi non autenticati ai margini della rete.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un metodo di autenticazione che richiede certificati digitali sia sul dispositivo client che sul server RADIUS. Fornisce un'autenticazione reciproca senza l'uso di password.

Il gold standard per l'autenticazione dei dispositivi aziendali. Elimina il furto di credenziali e gli attacchi di phishing. Richiede una piattaforma PKI e MDM per distribuire i certificati client su larga scala.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol con Microsoft Challenge Handshake Authentication Protocol versione 2. Utilizza un certificato TLS lato server per creare un tunnel crittografato, all'interno del quale l'utente si autentica con nome utente e password.

Il metodo di autenticazione WiFi aziendale più comune. Sicuro solo quando i client sono configurati esplicitamente per convalidare il certificato del server tramite GPO o profili MDM.

Assegnazione dinamica della VLAN

Il processo mediante il quale un server RADIUS indica a un access point di inserire un utente autenticato in una specifica Virtual Local Area Network (VLAN) in base alla sua identità e all'appartenenza a un gruppo nella directory.

Il meccanismo che applica la segmentazione della rete. Essenziale per la conformità PCI DSS nel settore retail e hospitality. Consente a un singolo SSID di servire personale, appaltatori, ospiti e dispositivi IoT su segmenti di rete separati.

Framework AAA

Autenticazione, Autorizzazione e Tracciamento (Accounting). Il framework a tre pilastri implementato dal server RADIUS per la gestione dell'accesso alla rete. L'Autenticazione verifica l'identità, l'Autorizzazione determina il livello di accesso, il Tracciamento registra l'attività della sessione.

La base concettuale di tutte le implementazioni di server RADIUS. PCI DSS v4.0 richiede l'implementazione di tutti e tre i pilastri per le reti che gestiscono dati di pagamento.

Supplicant

Il dispositivo client (laptop, smartphone, sensore IoT) che richiede l'accesso alla rete presentando credenziali o un certificato all'Authenticator.

L'endpoint che deve soddisfare la richiesta di autenticazione del server RADIUS. Capire quale componente sta fallendo è la base per una risoluzione dei problemi efficace.

Captive Portal

Una pagina web con cui gli utenti devono interagire prima di poter accedere a una rete WiFi pubblica. Gestisce l'esperienza di onboarding rivolta all'utente, mentre il server RADIUS gestisce l'autenticazione di back-end e l'applicazione delle policy di sessione.

Utilizzato per il self-onboarding degli ospiti nei settori hospitality, retail e grandi eventi. Funziona in combinazione con il server RADIUS: il portale è l'interfaccia utente, il server RADIUS è il motore di back-end.

MAC Authentication Bypass (MAB)

Un meccanismo che consente ai dispositivi privi di funzionalità 802.1X (stampanti, sensori IoT, segnaletica digitale) di essere autenticati in base al loro indirizzo MAC anziché a credenziali o certificati.

Richiesto per i dispositivi headless che non possono eseguire un supplicant 802.1X. Poiché gli indirizzi MAC sono facilmente falsificabili, i dispositivi autenticati tramite MAB devono sempre essere inseriti in una VLAN altamente limitata.

Segreto condiviso

Una password che crittografa la comunicazione tra un access point (client RADIUS) e il server RADIUS. Deve essere configurata in modo identico su entrambi i lati e ruotata periodicamente.

Una mancata corrispondenza del segreto condiviso è una delle cause più comuni di errore di autenticazione durante la distribuzione iniziale. Copiare e incollare sempre anziché digitare manualmente.

Esempi pratici

Un hotel da 200 camere deve proteggere i dispositivi del personale tramite 802.1X, offrendo al contempo un accesso WiFi isolato per gli ospiti. Il sistema di gestione della struttura (PMS) risiede sui dispositivi dello staff e non deve essere accessibile dalla rete ospiti. L'hotel fa parte di un gruppo di 45 strutture gestito da un team IT centrale composto da tre persone.

Implementare Cloud RADIUS di Purple integrato con Microsoft Entra ID. Configurare un SSID per lo staff utilizzando WPA3-Enterprise con EAP-TLS, distribuendo i certificati client a tutti i dispositivi del personale tramite Microsoft Intune. Configurare il server RADIUS per assegnare dinamicamente i dispositivi dello staff alla VLAN 10, che ha accesso al sistema di gestione della struttura e alle stampanti interne. Configurare un SSID ospiti separato utilizzando WPA2-Personal con un Captive Portal per l'onboarding, assegnato alla VLAN 20 con solo accesso a Internet e regole di firewall restrittive che bloccano tutto il traffico verso la VLAN 10. Cloud RADIUS gestisce tutte le 45 strutture da un'unica dashboard di gestione, con la rotazione automatizzata dei certificati che elimina il sovraccarico di manutenzione per singolo sito che in precedenza assorbiva il 40% del tempo del team.

Commento dell'esaminatore: Questo scenario illustra il valore fondamentale di Cloud RADIUS per il settore dell'ospitalità multi-sito. Il server RADIUS gestisce l'autenticazione dello staff tramite EAP-TLS, fornendo la massima sicurezza disponibile per i dispositivi che accedono a sistemi operativi sensibili. Il Captive Portal gestisce l'onboarding degli ospiti separatamente, con l'isolamento della VLAN che garantisce che la rete ospiti rimanga al di fuori dell'ambito PCI DSS. Il modello di distribuzione in cloud è il fattore decisivo per un team di tre persone che gestisce 45 strutture: una soluzione on-premises richiederebbe la manutenzione di 45 istanze separate.

Una catena retail con 50 punti vendita riscontra frequenti interruzioni dell'autenticazione causate da certificati scaduti sui propri server FreeRADIUS locali. I tablet POS si autenticano tramite 802.1X e ogni interruzione impedisce al personale di elaborare i pagamenti finché il certificato non viene rinnovato manualmente. Il direttore IT desidera eliminare questo tipo di guasto prima del prossimo periodo di picco delle vendite.

Migrare dalle 50 istanze FreeRADIUS on-premises a una piattaforma Cloud RADIUS centralizzata. Integrare Cloud RADIUS con la directory aziendale Okta. Aggiornare le configurazioni degli access point in tutti i 50 punti vendita per indirizzarle ai nuovi endpoint Cloud RADIUS. Configurare l'assegnazione dinamica della VLAN per posizionare i tablet POS sulla VLAN 10 (rete di pagamento) e i dispositivi dello staff sulla VLAN 20 (rete aziendale). Il provider cloud gestisce automaticamente l'intera rotazione dei certificati del server. Convalidare la segmentazione VLAN tra la rete di pagamento e la rete WiFi ospiti con un penetration test prima del prossimo ciclo di audit.

Commento dell'esaminatore: La causa principale delle interruzioni è la gestione manuale dei certificati su 50 istanze on-premises separate: un classico rischio operativo per le infrastrutture IT retail distribuite. Cloud RADIUS elimina questo problema automatizzando la gestione del ciclo di vita dei certificati. La migrazione centralizza anche la gestione delle policy, il che significa che una modifica delle policy viene distribuita a tutte e 50 le sedi contemporaneamente, invece di richiedere aggiornamenti manuali in ogni sito. La raccomandazione sul penetration test risponde al requisito PCI DSS di convalidare la segmentazione, non solo di configurarla.

Domande di esercitazione

Q1. Un punto vendita si sta preparando per un audit PCI DSS v4.0. Attualmente utilizza un unico SSID con una chiave pre-condivisa sia per i tablet POS del personale che per l'accesso degli ospiti. Il Qualified Security Assessor ha segnalato questo aspetto come un rilievo critico. Qual è la modifica architetturale immediata richiesta e quale funzionalità di server RADIUS è fondamentale per la risoluzione?

Suggerimento: Concentrati sulla segmentazione della rete e sulla specifica funzionalità RADIUS che la applica in modo dinamico.

Visualizza risposta modello

Il punto vendita deve distribuire un server RADIUS per implementare l'autenticazione 802.1X e sostituire la PSK condivisa. La funzionalità centrale è l'assegnazione dinamica della VLAN: il server RADIUS deve essere configurato per inserire i tablet POS su una VLAN di pagamento e gli ospiti su una VLAN isolata per il solo accesso a Internet, con regole di firewall rigide che impediscano il passaggio di traffico tra di esse. L'SSID per gli ospiti dovrebbe utilizzare un Captive Portal per l'onboarding. La segmentazione deve essere convalidata con un penetration test, non solo con una revisione della configurazione, per soddisfare il requisito 11 di PCI DSS.

Q2. Un'azienda con 30 filiali deve scegliere tra Cloud RADIUS e server RADIUS on-premises. Dispone di un piccolo team IT centrale composto da quattro ingegneri, utilizza Okta per la gestione delle identità e non ha requisiti di sovranità dei dati. Quale modello di distribuzione è raccomandato e qual è la principale giustificazione operativa?

Suggerimento: Valuta i costi di manutenzione legati alla gestione di 30 istanze separate rispetto a un servizio cloud centralizzato.

Visualizza risposta modello

Il Cloud RADIUS è fortemente raccomandato. Con 30 siti e quattro ingegneri, l'implementazione e la manutenzione di 30 istanze server RADIUS on-premises consumerebbero una quota sproporzionata della capacità del team. Il Cloud RADIUS si integra nativamente con Okta, automatizza la rotazione dei certificati e fornisce un'elevata disponibilità integrata senza richiedere al team di gestire l'infrastruttura sottostante. L'assenza di requisiti di sovranità dei dati rimuove la giustificazione principale per l'on-premises. Il team dovrebbe configurare gli access point con una policy di fallback per gestire al meglio la dipendenza dalla WAN.

Q3. Durante una distribuzione PEAP-MSCHAPv2, gli utenti segnalano avvisi relativi ai certificati di sicurezza sui loro dispositivi quando si connettono all'SSID WiFi aziendale. Alcuni utenti ignorano gli avvisi e si connettono comunque. Qual è il rischio per la sicurezza e quale passaggio di configurazione è stato tralasciato?

Suggerimento: Considera cosa accade quando un client non convalida il certificato del server e in che modo un utente malintenzionato potrebbe sfruttare questa situazione.

Visualizza risposta modello

Il rischio per la sicurezza è un attacco di tipo rogue access point. Senza la convalida forzata del certificato, un dispositivo client si connetterà a qualsiasi server RADIUS che risponda, compreso uno gestito da un utente malintenzionato. Quest'ultimo presenta un certificato fraudolento, l'utente ignora l'avviso e l'utente malintenzionato acquisisce il nome utente e la password all'interno del tunnel PEAP. Il passaggio di configurazione mancante consiste nell'implementazione di profili MDM (per macOS e mobile) e Group Policy Object (per Windows) che specifichino esplicitamente l'autorità di certificazione attendibile e il nome del server previsto. Gli utenti non devono mai essere lasciati a prendere decisioni relative alla attendibilità dei certificati in modo manuale.

Q4. Uno stadio da 68.000 posti deve autenticare i dispositivi del personale durante un evento importante in cui fino a 40.000 dispositivi potrebbero tentare di connettersi entro una finestra temporale di 30 minuti. Il team IT ha requisiti rigorosi di sovranità dei dati: tutti i log di autenticazione devono rimanere sul suolo del Regno Unito. Quale modello di distribuzione è raccomandato e quale architettura specifica risponde al requisito del picco di traffico?

Suggerimento: Considera i vantaggi in termini di latenza e throughput dell'autenticazione locale rispetto alle richieste instradate via cloud in condizioni di picco di traffico.

Visualizza risposta modello

Il server RADIUS on-premises è consigliato a causa dei requisiti di sovranità dei dati e dell'estremo carico di autenticazione a raffica. L'architettura raccomandata è un doppio cluster RADIUS on-premises in configurazione active-active, con un cluster secondario in una struttura di co-location nel Regno Unito. L'autenticazione locale offre tempi di risposta inferiori al millisecondo ed elimina la dipendenza dalla rete WAN che creerebbe un collo di bottiglia durante gli eventi di picco. Il cluster active-active garantisce la ridondanza senza dipendere dalla connettività Internet. I registri di autenticazione rimangono sul suolo del Regno Unito, soddisfacendo il requisito di sovranità dei dati.

Continua a leggere questa serie

Aruba ClearPass vs. Purple WiFi: Confronto delle Funzionalità e Co-implementazione

Una guida tecnica completa che dettaglia l'architettura di co-implementazione di Aruba ClearPass e Purple WiFi. Copre la configurazione del proxy RADIUS, l'assegnazione dinamica della VLAN e le best practice per fornire reti guest sicure e basate sull'analisi dei dati insieme al NAC aziendale.

Cisco ISE vs. Purple WiFi: Come si Confrontano e Come Lavorano Insieme

Questa guida spiega come Cisco ISE e Purple WiFi ricoprano ruoli distinti ma complementari nelle reti aziendali. Spiega dettagliatamente come utilizzare Cisco ISE per l'accesso aziendale sicuro 802.1X, sfruttando al contempo Purple per il guest WiFi conforme al GDPR, l'analisi di marketing e l'integrazione CRM.

EAP-TLS vs EAP-TTLS: Which Certificate-Based WiFi Protocol Should You Choose?

Questa guida fornisce un confronto definitivo tra EAP-TLS ed EAP-TTLS per l'autenticazione WiFi aziendale secondo lo standard IEEE 802.1X. Spiega la differenza architetturale tra l'autenticazione a certificato mutuo e il tunnelling di certificati solo server, e offre a IT manager, architetti di rete e CISO un quadro decisionale chiaro basato sulle capacità di gestione dei dispositivi e sui requisiti di conformità. Purple supporta entrambi i percorsi di autenticazione EAP-TLS ed EAP-TTLS per il WiFi del personale (Staff WiFi), e questa guida aiuta le organizzazioni a comprendere i compromessi infrastrutturali prima di impegnarsi in uno dei due approcci.