Come implementare l'autenticazione 802.1X con Cloud RADIUS

Questa guida di riferimento tecnico fornisce un framework completo per l'implementazione dell'autenticazione 802.1X con Cloud RADIUS in infrastrutture aziendali distribuite. Descrive in dettaglio l'architettura, la selezione del metodo EAP, la sequenza di implementazione e le strategie di mitigazione del rischio necessarie per proteggere l'accesso alla rete eliminando al contempo i costi operativi dell'infrastruttura on-premises.

📖 5 minuti di lettura📝 1,189 parole🔧 2 esempi pratici❓ 3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

Come implementare l'autenticazione 802.1X con Cloud RADIUS
Un briefing informativo di Purple WiFi

--- INTRODUZIONE E CONTESTO (circa 1 minuto) ---

Benvenuti al briefing informativo di Purple WiFi. Sono il vostro ospite e oggi entreremo nei dettagli dell'autenticazione 802.1X con Cloud RADIUS: cos'è, perché è importante in questo momento e come implementarla concretamente in un'infrastruttura multi-sito.

Se gestite l'infrastruttura WiFi per un gruppo alberghiero, una catena di negozi, uno stadio o un'organizzazione del settore pubblico, questo è uno di quegli argomenti che continuano a presentarsi, e per una buona ragione. Lo scenario delle minacce è cambiato. Le reti PSK condivise sono sempre più viste come una responsabilità di conformità, non solo come un inconveniente per la sicurezza. Autorità di regolamentazione, auditor e assicuratori informatici pongono domande sempre più difficili sul controllo degli accessi alla rete. E la buona notizia è che il RADIUS fornito via cloud ha reso l'802.1X realmente implementabile su scala, senza i costi dell'infrastruttura on-premises che in passato lo rendevano impraticabile per le sedi distribuite.

Quindi, entriamo nel vivo dell'argomento.

--- APPROFONDIMENTO TECNICO (circa 5 minuti) ---

Innanzitutto, assicuriamoci di partire tutti dalla stessa definizione. Lo standard IEEE 802.1X è uno standard di controllo degli accessi alla rete basato su porta. Definisce un framework di autenticazione che si colloca al livello 2 del modello OSI, quindi opera prima che a un dispositivo venga concessa qualsiasi connettività IP. Questa è la distinzione fondamentale rispetto all'autenticazione a livello applicativo. Con l'802.1X, un dispositivo non può accedere alla rete finché non è stato autenticato positivamente.

Il protocollo è composto da tre elementi. Il supplicant: il dispositivo finale, che si tratti di un laptop, di uno smartphone o di un terminale POS. L'authenticator: in genere l'access point WiFi o lo switch gestito. E il server di autenticazione: che nelle implementazioni moderne è il servizio Cloud RADIUS.

Il flusso funziona in questo modo. Un dispositivo tenta di associarsi a un access point. L'access point non concede immediatamente l'accesso completo alla rete. Al contrario, apre una porta controllata e avvia uno scambio EAP (Extensible Authentication Protocol) con il dispositivo. Il dispositivo presenta le proprie credenziali, che potrebbero essere un nome utente e una password, un certificato digitale o un'identità basata su SIM. L'access point trasmette lo scambio al server RADIUS utilizzando il protocollo RADIUS su UDP, in genere sulla porta 1812 per l'autenticazione e 1813 per l'accounting. Il server RADIUS convalida le credenziali rispetto a un archivio di identità (Active Directory, Azure AD o una directory LDAP) e restituisce un messaggio di Access-Accept o Access-Reject. Se accettato, l'access point apre la porta e il dispositivo ottiene l'accesso alla rete. Se rifiutato, rimane bloccato. Semplice in linea di principio, ma i dettagli di implementazione contano enormemente.

La selezione del metodo EAP è il punto in cui molte implementazioni falliscono. Esistono diversi metodi EAP comunemente utilizzati, con profili di sicurezza e requisiti operativi molto diversi.

EAP-TLS rappresenta lo standard di riferimento. Richiede l'autenticazione reciproca dei certificati: sia il server che il client presentano un certificato. Ciò elimina completamente il rischio di furto di credenziali, perché non ci sono password da rubare. Richiede tuttavia un'infrastruttura PKI e un meccanismo per distribuire i certificati client ai dispositivi, il che in genere comporta una soluzione MDM. Per gli ambienti BYOD aziendali e le implementazioni ad alta sicurezza, questa è la risposta corretta.

PEAP con MSCHAPv2 è il metodo più diffuso negli ambienti aziendali. Richiede solo un certificato lato server e incapsula lo scambio di credenziali all'interno di un tunnel TLS. È compatibile nativamente con Active Directory, il che lo rende semplice dal punto di vista operativo. Il rischio è che sia vulnerabile alla raccolta di credenziali se gli utenti si connettono a un access point non autorizzato con un certificato autofirmato; pertanto, la convalida del certificato sul lato client non è negoziabile.

EAP-TTLS è simile a PEAP ma più flessibile nel metodo di autenticazione interno. È particolarmente utile in ambienti con dispositivi misti in cui si ha una combinazione di dispositivi Windows, macOS, iOS e Android con diverse funzionalità di supplicant.

Per il supporto dei dispositivi legacy, come i vecchi hardware POS o i sensori IoT, EAP-FAST può essere una scelta pragmatica, in quanto non richiede certificati e utilizza invece una Protected Access Credential.

Ora, passiamo alla parte relativa a Cloud RADIUS. Tradizionalmente, RADIUS era un servizio on-premises: FreeRADIUS su un server Linux o Microsoft NPS su Windows Server. Questo modello funziona, ma comporta costi operativi reali: manutenzione dell'hardware, configurazione dell'alta affidabilità, patch e necessità di un'infrastruttura locale in ogni sede che richieda un'autenticazione a bassa latenza. Cloud RADIUS cambia notevolmente questo calcolo.

Un servizio Cloud RADIUS è ospitato e gestito dal provider. I vostri access point inviano richieste RADIUS su Internet al servizio cloud, che gestisce l'autenticazione rispetto al vostro identity provider. Il problema della latenza è reale ma gestibile: i moderni servizi Cloud RADIUS sono distribuiti a livello globale e i cicli di autenticazione si completano in genere in meno di 100 millisecondi, un tempo impercettibile per gli utenti finali.

L'integrazione con gli identity provider è la dipendenza critica. La maggior parte delle piattaforme Cloud RADIUS supporta LDAP, LDAPS, SAML 2.0 e l'integrazione diretta con Azure AD o Okta. For organizations already running Microsoft 365, l'integrazione con Azure AD è il percorso naturale: si ottengono single sign-on, criteri di accesso condizionale e applicazione dell'MFA, tutti elementi che alimentano il livello di controllo degli accessi alla rete.

Per le strutture che implementano il WiFi per gli ospiti insieme alle reti del personale, l'architettura in genere separa queste ultime in SSID distinti con criteri di autenticazione diversi. Le reti del personale utilizzano 802.1X con credenziali aziendali. Le reti degli ospiti utilizzano un Captive Portal o un flusso di accesso social. La piattaforma di Purple supporta entrambi i modelli e il livello di analisi WiFi si colloca su entrambi, offrendo visibilità sul comportamento dei dispositivi, sul tempo di permanenza e sull'utilizzo della rete senza compromettere la segmentazione della sicurezza.

--- RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE (circa 2 minuti) ---

Permettetemi di fornirvi la sequenza pratica di implementazione e di segnalare gli errori che vedo più spesso.

Iniziate con l'integrazione del vostro identity provider. Prima di toccare un singolo access point, verificate che il servizio Cloud RADIUS sia in grado di autenticarsi rispetto alla vostra directory. Eseguite un test con un account di servizio, convalidate il bind LDAP e verificate che gli attributi di appartenenza al gruppo vengano restituiti correttamente, poiché ne avrete bisogno per i criteri di assegnazione delle VLAN.

In secondo luogo, pianificate la strategia dei certificati. Se scegliete EAP-TLS, avete bisogno di una CA, dovete decidere se utilizzare una CA pubblica o interna e avete bisogno di un piano di implementazione MDM per i certificati client. Se scegliete PEAP, avete bisogno di un certificato server emesso da una CA attendibile (non autofirmato) e dovete distribuire il certificato della CA a tutti i dispositivi client in modo che la convalida del certificato funzioni correttamente. Questo è il passaggio che spesso viene saltato e che causa incidenti di sicurezza.

In terzo luogo, configurate i client RADIUS (ovvero gli access point e i controller) con il segreto condiviso corretto e l'IP o l'hostname del server. Utilizzate un segreto condiviso forte, generato in modo casuale, non una parola del dizionario. E se il vostro provider Cloud RADIUS supporta RADIUS su TLS (RadSec), utilizzatelo. Crittografa il traffico RADIUS in transito, il che è particolarmente importante quando tale traffico attraversa la rete internet pubblica.

In quarto luogo, eseguite un test con un gruppo pilota prima dell'implementazione completa. I fallimenti di autenticazione su larga scala sono dirompenti e difficili da diagnosticare sotto pressione. Eseguite un progetto pilota con un numero compreso tra dieci e venti dispositivi, convalidate i log di autenticazione, verificate che l'assegnazione delle VLAN funzioni e controllate che i record di accounting vengano scritti correttamente.

Gli errori che vedo più spesso: convalida del certificato disabilitata sui client, con conseguente vulnerabilità man-in-the-middle. Segreti condivisi troppo brevi o riutilizzati in più sedi. Consent-list degli IP del server RADIUS non configurata, per cui le richieste di autenticazione provenienti da nuove sedi vengono scartate silenziosamente. E profili MDM non aggiornati alla scadenza dei certificati, con conseguenti errori di autenticazione di massa il giorno del rinnovo.

--- DOMANDE E RISPOSTE RAPIDE (circa 1 minuto) ---

Alcune domande che mi vengono poste regolarmente.

Posso eseguire l'802.1X su una rete che presenta anche dispositivi IoT che non supportano l'EAP? Sì, utilizzate il MAC Authentication Bypass come fallback per i dispositivi che non possono eseguire un supplicant, ma inserite tali dispositivi su una VLAN limitata con regole di firewall rigide.

L'802.1X sostituisce la crittografia WPA2 o WPA3? No, l'802.1X gestisce l'autenticazione. WPA2-Enterprise o WPA3-Enterprise gestisce la crittografia. Sono necessari entrambi. WPA3-Enterprise con 802.1X rappresenta l'attuale best practice per le nuove implementazioni.

Qual è l'impatto della latenza sull'autenticazione? Con un servizio Cloud RADIUS ben configurato, prevedete da 50 a 150 millisecondi per autenticazione. Per gli scenari di roaming, la transizione BSS rapida 802.11r può ridurre significativamente i tempi di riautenticazione.

Questo sistema è conforme allo standard PCI DSS? L'802.1X con EAP-TLS o PEAP su una rete correttamente segmentata soddisfa i requisiti 1 e 8 del PCI DSS per il controllo degli accessi alla rete. Coinvolgete presto il vostro QSA.

--- SINTESI E PROSSIMI PASSI (circa 1 minuto) ---

Per riassumere: l'802.1X con Cloud RADIUS è la risposta corretta per qualsiasi organizzazione che debba dimostrare il controllo degli accessi alla rete agli auditor, ridurre l'area di impatto di una compromissione delle credenziali o gestire l'autenticazione in modo centralizzato in un'infrastruttura distribuita.

L'implementazione non è banale, ma è assolutamente gestibile con la giusta preparazione. Ottenete prima di tutto l'integrazione corretta del vostro identity provider. Scegliete il metodo EAP in base al parco dispositivi e alla vostra capacità operativa di gestire i certificati. Utilizzate RadSec se la vostra infrastruttura lo supporta. E fate dei test prima di procedere all'implementazione su larga scala.

Se gestite una rete mista per ospiti e personale, come fa la maggior parte degli operatori del settore alberghiero e retail, piattaforme come Purple vi offrono la possibilità di gestire entrambi i modelli di autenticazione da un'unica interfaccia, con il livello di analisi esteso a tutta l'infrastruttura.

Per i prossimi passi: verificate lo stato attuale del controllo degli accessi alla rete, identificate quali sedi utilizzano ancora PSK condivise e create un piano di migrazione graduale. Iniziate con i siti a più alto rischio, quelli che rientrano nell'ambito del PCI DSS o che gestiscono dati sensibili, e procedete verso l'esterno.

Grazie per l'ascolto. Ulteriori briefing tecnici sono disponibili su purple.ai.

Punti chiave

✓802.1X fornisce il controllo degli accessi basato su porta, autenticando i dispositivi prima che venga concesso l'accesso alla rete, eliminando i rischi delle PSK condivise.
✓Cloud RADIUS centralizza l'autenticazione, eliminando la necessità di server on-premises distribuiti e riducendo i costi di manutenzione.
✓PEAP-MSCHAPv2 è il più semplice da implementare, ma richiede una rigorosa convalida del certificato lato client per impedire la raccolta delle credenziali.
✓EAP-TLS offre la massima sicurezza tramite l'autenticazione reciproca dei certificati, ideale per i dispositivi aziendali gestiti.
✓RadSec deve essere utilizzato per crittografare il traffico RADIUS che attraversa la rete internet pubblica tra gli access point e il servizio cloud.
✓I dispositivi legacy privi di supporto 802.1X possono utilizzare il MAC Authentication Bypass (MAB), a condizione che siano isolati su VLAN limitate.
✓L'integrazione di 802.1X con Identity Provider centrali (come Azure AD) consente l'applicazione di criteri dinamici, come l'assegnazione di VLAN basata sui ruoli.

执行摘要

对于管理酒店、零售和公共部门等分布式网络环境的 IT 决策者而言，保护网络访问已从一种运营偏好转变为严格的合规性强制要求。依赖预共享密钥 (PSK) 会带来不可接受的风险，无法满足 PCI DSS 等现代审计标准，并在凭据泄露时使组织面临横向移动的风险。过渡到基于 IEEE 802.1X 端口的网络访问控制，通过在授予 IP 连接之前对设备进行身份验证，可以有效降低这些风险。

从历史上看，由于需要本地化的 RADIUS 基础设施来管理延迟和可用性，在多站点资产中部署 802.1X 受到阻碍。Cloud RADIUS 架构的成熟从根本上改变了这一现状。通过集中身份验证决策并直接与云身份提供商（如 Azure AD 或 Okta）集成，组织可以在所有位置统一实施强大的访问策略，而无需承担本地服务器的资本支出和维护负担。本指南概述了成功实施基于 Cloud RADIUS 的 802.1X 身份验证的技术架构、部署方法和运营最佳实践，确保企业 Guest WiFi 和企业网络的安全性与可扩展性。

技术深度解析

现代企业无线安全的基础建立在 IEEE 802.1X 标准之上。与应用层身份验证不同，802.1X 运行在 OSI 模型的第 2 层。当设备（客户端）尝试与接入点（认证系统）关联时，端口保持在未授权状态，仅允许通过可扩展身份验证协议 (EAP) 流量。该流量被封装在 RADIUS 数据包中并转发到身份验证服务器（Cloud RADIUS 实例）。只有在收到 Access-Accept 消息后，认证系统才会将端口转换为授权状态，从而授予网络访问权限。

Cloud RADIUS 架构

从本地到 Cloud RADIUS 的架构转变消除了对分布式 FreeRADIUS 或 Microsoft NPS 服务器的需求。在云模式中，接入点或无线局域网控制器通过互联网直接与全球分布的 RADIUS 服务进行通信。为了确保此传输的安全，实施 RadSec (RADIUS over TLS) 至关重要，它对身份验证负载进行加密，防止其被拦截。Cloud RADIUS 服务充当中介，通过 LDAP、SAML 或原生 API 集成，对照中央身份提供商 (IdP) 验证凭据。这实现了动态策略实施，例如基于 Azure AD 组群成员身份分配 VLAN，将网络访问与更广泛的企业身份管理策略无缝集成。

EAP 方法选择

EAP 方法的选择决定了部署的安全态势和运营复杂度。

EAP-TLS (传输层安全): 最安全的方法，需要服务器和客户端证书进行双向身份验证。由于不交换密码，它消除了凭据被盗的风险。但是，它需要公共密钥基础设施 (PKI) 和移动设备管理 (MDM) 来分发客户端证书。强烈推荐用于企业设备。
PEAP-MSCHAPv2 (受保护的 EAP): 由于在 Windows 中获得原生支持且仅依赖服务器端证书，因此部署广泛。它在 TLS 会话中对凭据交换进行隧道传输。虽然更易于部署，但如果未严格执行客户端证书验证，它很容易受到凭据收集攻击。
EAP-TTLS: 类似于 PEAP，但在内部身份验证协议中提供了更大的灵活性，使其适用于具有多种客户端操作系统的环境。

实施指南

使用 Cloud RADIUS 部署 802.1X 需要采用分阶段、系统化的方法，以尽量减少对现有业务的中断。

身份提供商集成: 建立并验证 Cloud RADIUS 服务与企业 IdP 之间的连接。确保目录同步准确，并且必要的用户属性（例如组群成员身份）可用于策略制定。
证书管理: 对于 PEAP 部署，从受信任的公共证书颁发机构 (CA) 获取服务器证书。至关重要的是，通过 MDM 或组策略配置客户端，以明确信任此 CA 并验证服务器证书名称。对于 EAP-TLS，部署内部 CA 基础设施并开始向托管设备颁发客户端证书。
网络基础设施配置: 配置无线控制器和接入点以指向 Cloud RADIUS 端点。如果硬件供应商支持，请实施 RadSec。使用强加密安全字符串定义 RADIUS 共享密钥，确保每个站点或控制器集群的密钥唯一。
策略定义: 在 Cloud RADIUS 平台内构建身份验证策略。根据用户组、设备类型或位置定义条件，以便在成功身份验证后动态分配 VLAN 或应用访问控制列表 (ACL)。
试点和分阶段推广: 选择具有代表性的用户和设备子集进行初始试点。密切监控身份验证日志，以识别延迟问题、证书验证n 次失败，或错误的 VLAN 分配。在试点成功后，执行分阶段部署，优先考虑高风险场所，例如行政办公室或处理敏感数据的场所。

最佳实践

强制执行客户端证书验证： PEAP 部署中最常见的漏洞是未能强制客户端进行服务器证书验证。如果允许客户端盲目信任任何呈现的证书，它们就很容易受到流氓接入点攻击。
谨慎实施 MAC 身份验证绕过 (MAB)： 对于无法运行 802.1X 客户端的无头设备（例如打印机、IoT 传感器），可以使用 MAB。然而，MAC 地址极易被伪造。MAB 设备必须隔离在受到严格限制的 VLAN 上，并配合严格的防火墙规则来限制其网络访问。
利用 802.11r 进行漫游： 在设备频繁在接入点之间移动的环境中，完整的 802.1X 身份验证过程可能会引入不可接受的延迟，从而干扰语音等实时应用。实施 802.11r（快速 BSS 过渡）通过缓存身份验证密钥来简化漫游。
与分析系统集成： 对于同时运营企业 802.1X 网络和公共访问网络的场所，将身份验证基础设施与 WiFi Analytics 集成，可以全面了解整个区域的网络利用率和设备行为。

故障排除与风险缓解

802.1X 环境中的身份验证失败可能导致大范围的连接中断。强大的故障排除流程至关重要。

证书过期： 服务器或客户端证书过期将导致立即的身份验证失败。对证书有效期实施自动化监控和告警，确保在过期前尽早处理更新。
延迟和超时： 如果 Cloud RADIUS 服务或 IdP 出现高延迟，认证器可能会超时并断开连接。在无线控制器上配置适当的超时值（通常为 5-10 秒），并部署备份 RADIUS 服务器以提供冗余。
RADIUS 共享密钥不匹配： 认证器上配置的共享密钥与 RADIUS 服务器上的不匹配将导致数据包被静默丢弃。标准化密钥管理，并尽可能避免手动输入。

ROI 与业务影响

过渡到带有 Cloud RADIUS 的 802.1X 可带来可衡量的业务价值。它通过消除共享密码，极大地减少了攻击面，直接支持符合 PCI DSS（要求 1 和 8）以及 GDPR 数据保护指令。在运营方面，它实现了集中式访问控制，使 IT 团队只需在中央目录中禁用用户帐户，即可立即撤销其在全球所有地点的访问权限。此外，通过停用传统的本地 RADIUS 服务器，企业降低了硬件维护成本、软件许可费用，以及修补和管理分布式基础设施的行政负担。对于 Retail 和 Hospitality 等行业的全面部署，这种集中式的安全态势是实现安全数字化转型的关键推动力。

听听我们关于该主题的全面简报：

Definizioni chiave

Supplicant

Il client software su un dispositivo dell'utente finale (laptop, smartphone) che negozia l'accesso alla rete utilizzando EAP.

I team IT devono garantire che il supplicant sia configurato correttamente (spesso tramite MDM) per convalidare i certificati del server al fine di prevenire il furto di credenziali.

Authenticator

Il dispositivo di rete (in genere un access point WiFi o uno switch) che controlla l'accesso fisico o logico alla rete in base allo stato di autenticazione.

L'authenticator funge da intermediario, trasmettendo i messaggi EAP tra il supplicant e il server RADIUS.

Cloud RADIUS

Un servizio di autenticazione centralizzato e ospitato in cloud che elabora le richieste RADIUS provenienti da un'infrastruttura di rete distribuita senza richiedere server on-premises.

Essenziale per le organizzazioni multi-sito che desiderano implementare una sicurezza di livello enterprise senza i costi di manutenzione dell'hardware.

EAP (Extensible Authentication Protocol)

Il framework utilizzato per incapsulare i messaggi di autenticazione tra il supplicant e il server di autenticazione.

La scelta del metodo EAP corretto (ad es. PEAP rispetto a EAP-TLS) determina il livello di sicurezza e la complessità di implementazione della rete wireless.

RadSec

Un protocollo che trasmette dati RADIUS su un tunnel TLS, garantendo la crittografia del traffico di autenticazione in transito.

Cruciale quando si utilizza Cloud RADIUS, poiché protegge gli scambi di credenziali sensibili dall'intercettazione sulla rete internet pubblica.

Assegnazione dinamica della VLAN

Il processo in cui il server RADIUS indica all'authenticator di inserire un dispositivo in uno specifico segmento di rete virtuale in base all'identità dell'utente o all'appartenenza a un gruppo.

Consente al reparto IT di trasmettere un singolo SSID segmentando in modo sicuro il traffico (ad esempio, inserendo il personale delle risorse umane e il personale IT su sottoreti diverse).

Autenticazione reciproca

Un processo di sicurezza in cui sia il client verifica l'identità del server, sia il server verifica l'identità del client (in genere utilizzando certificati).

La caratteristica distintiva di EAP-TLS, che lo rende altamente resistente agli attacchi man-in-the-middle.

MAC Authentication Bypass (MAB)

Un metodo di autenticazione di fallback che utilizza l'indirizzo MAC di un dispositivo come credenziale quando questo non è in grado di supportare un supplicant 802.1X.

Utilizzato per hardware legacy come stampanti o dispositivi IoT, ma richiede una rigorosa segmentazione della rete a causa della facilità di spoofing del MAC.

Esempi pratici

Un hotel di 200 camere che gestisce una rete PSK legacy per le operazioni di back-of-house (tablet del personale delle pulizie, terminali POS, laptop dei manager) deve ottenere la conformità PCI DSS prima di un imminente audit. Non dispone di personale IT in loco e non può implementare server locali.

L'hotel dovrebbe implementare una soluzione Cloud RADIUS integrata direttamente con il proprio tenant Azure AD centrale. Per i laptop dei manager (Windows/macOS), dovrebbero implementare PEAP-MSCHAPv2, utilizzando un profilo MDM per distribuire il certificato del server attendibile e imporre la validazione. Per i terminali POS che potrebbero essere privi di supplicant robusti, dovrebbero utilizzare il MAC Authentication Bypass (MAB), ma assegnare rigorosamente questi dispositivi a una VLAN isolata che consenta solo la comunicazione con il gateway di pagamento. L'implementazione richiede la configurazione degli access point esistenti gestiti in cloud per puntare agli indirizzi IP di Cloud RADIUS, proteggendo la connessione con RadSec.

Commento dell'esaminatore: Questo approccio soddisfa il requisito PCI per l'identificazione univoca dell'utente (PEAP per il personale) e la segmentazione della rete (MAB + VLAN isolata per i POS). Utilizzando Cloud RADIUS, l'hotel evita la complessità di implementare e mantenere un server FreeRADIUS locale, che sarebbe ingestibile senza personale IT in loco. L'uso di RadSec è fondamentale in questo caso per proteggere il traffico di autenticazione che attraversa la rete internet pubblica.

Una catena di vendita al dettaglio nazionale sta introducendo una nuova flotta di tablet aziendali per la gestione dell'inventario in 500 negozi. Vogliono garantire che, anche in caso di furto di un tablet, questo non possa essere utilizzato per accedere alla rete, e vogliono eliminare i ticket di assistenza legati alle password.

Il rivenditore deve implementare EAP-TLS. Distribuirà un'Autorità di Certificazione (CA) interna e la integrerà con la propria piattaforma MDM. Quando un tablet viene configurato, l'MDM invia un certificato client univoco al dispositivo. Il servizio Cloud RADIUS è configurato per autenticare i dispositivi basandosi esclusivamente sulla presenza di un certificato client valido. Se un tablet viene segnalato come rubato, il team IT revoca semplicemente quel certificato specifico nella CA. Il servizio Cloud RADIUS, controllando la Certificate Revocation List (CRL) o tramite OCSP, negherà immediatamente l'accesso alla rete.

Commento dell'esaminatore: EAP-TLS è la scelta ottimale in questo caso. Offre il massimo livello di sicurezza e rimuove completamente le password degli utenti dal flusso di autenticazione, raggiungendo l'obiettivo di ridurre i ticket di assistenza. La funzionalità di revoca centralizzata è essenziale per gestire il rischio di furto di hardware in un ambiente retail distribuito.

Domande di esercitazione

Q1. La tua organizzazione sta migrando da una PSK condivisa a 802.1X utilizzando PEAP-MSCHAPv2. Durante la fase pilota, gli utenti riferiscono di potersi connettere, ma un audit di sicurezza rivela che i dispositivi accettano silenziosamente qualsiasi certificato server presentato. Qual è il rischio immediato e come deve essere risolto?

Suggerimento: Considera cosa succede se un utente malintenzionato configura un access point che trasmette l'SSID aziendale.

Visualizza risposta modello

Il rischio immediato è un attacco Man-in-the-Middle (MitM) tramite un access point non autorizzato. Un utente malintenzionato può trasmettere l'SSID aziendale, presentare un certificato autofirmato e raccogliere le credenziali degli utenti mentre i dispositivi tentano di autenticarsi. Per rimediare a questo problema, il team IT deve configurare i profili del supplicant (tramite MDM o Criteri di gruppo) per convalidare esplicitamente il certificato del server. Ciò comporta la specifica dell'esatta CA radice attendibile che ha emesso il certificato del server RADIUS e la definizione rigorosa dell'hostname del server previsto.

Q2. Una filiale retail remota ha perso la connessione a Internet. Gli access point locali sono ancora alimentati. I dispositivi del personale attualmente connessi alla rete 802.1X rimarranno connessi e i nuovi dispositivi saranno in grado di autenticarsi? Presumi un'architettura Cloud RADIUS standard senza nodi di sopravvivenza locali.

Suggerimento: Pensa al percorso che deve compiere una richiesta di autenticazione e allo stato delle porte già autorizzate.

Visualizza risposta modello

I dispositivi che sono già autenticati e connessi in genere rimarranno connessi fino alla scadenza del timeout della sessione o fino alla disconnessione, poiché la porta dell'authenticator è già nello stato autorizzato. Tuttavia, i nuovi dispositivi che tentano di connettersi, o i dispositivi che tentano di riautenticarsi, non riusciranno a farlo. Poiché la connessione a Internet è interrotta, gli access point non possono raggiungere il server Cloud RADIUS per elaborare lo scambio EAP. Ciò evidenzia l'importanza di collegamenti WAN resilienti quando si fa affidamento sull'autenticazione basata su cloud.

Q3. È necessario proteggere l'accesso alla rete per una flotta di scanner di codici a barre legacy in un magazzino. Questi scanner non supportano i supplicant 802.1X e supportano solo WPA2-Personal (PSK). Non è possibile aggiornare l'hardware. Come si integrano questi dispositivi in un'architettura di rete sicura insieme ai dispositivi aziendali 802.1X?

Suggerimento: È necessaria un'alternativa a 802.1X che fornisca comunque il controllo degli accessi, combinata con l'isolamento a livello di rete.

Visualizza risposta modello

L'approccio consigliato consiste nell'utilizzare il MAC Authentication Bypass (MAB) per gli scanner di codici a barre. L'access point utilizzerà l'indirizzo MAC dello scanner come identità e lo invierà al server RADIUS. Poiché gli indirizzi MAC sono facilmente falsificabili, questo fornisce un'autenticazione debole. Pertanto, il server RADIUS deve essere configurato per restituire uno specifico attributo VLAN in caso di autenticazione MAB riuscita. Questa VLAN deve essere fortemente limitata tramite firewall o ACL, consentendo agli scanner di comunicare solo con gli specifici server di inventario di cui hanno bisogno e bloccando qualsiasi altro accesso alla rete laterale.

Continua a leggere questa serie

I vantaggi in termini di sicurezza di RADIUS as a Service per la forza lavoro ibrida

Questa guida di riferimento tecnico spiega come RADIUS as a Service protegga l'accesso alla rete per la forza lavoro ibrida all'interno di sedi distribuite. Copre l'architettura, i vantaggi in termini di sicurezza e i passaggi di implementazione per sostituire l'infrastruttura RADIUS on-premise con un servizio di autenticazione gestito in cloud. Per i responsabili IT e gli architetti di rete di hotel, catene di vendita al dettaglio, stadi e organizzazioni del settore pubblico, questa guida fornisce gli elementi necessari per valutare e avviare la migrazione a un servizio RADIUS cloud in questo trimestre.

Integrazione di RADIUS as a Service con directory cloud (Azure AD e Google Workspace)

Questa guida tecnica di riferimento descrive in dettaglio come integrare RADIUS as a Service con le directory cloud - Microsoft Entra ID e Google Workspace - per l'autenticazione WiFi aziendale. Copre il passaggio architetturale da NPS on-premise a RADIUS cloud-native, l'implementazione dell'autenticazione EAP-TLS basata su certificati e le migliori pratiche operative per proteggere l'accesso wireless negli ambienti dell'ospitalità, della vendita al dettaglio e del settore pubblico. Per i responsabili IT e gli architetti di rete che hanno già investito nell'identità cloud, questa guida colma il divario tra la gestione delle directory e la sicurezza della rete fisica.

Cos'è Cloud RADIUS? Una guida completa a RADIUS as a Service

Questa guida completa esplora Cloud RADIUS (RADIUS as a Service), descrivendone in dettaglio l'architettura, i metodi EAP e le strategie di implementazione. Fornisce ai responsabili IT informazioni utili per migrare dai server on-premise a un modello di autenticazione basato su cloud scalabile, sicuro e conforme.