Vai al contenuto principale
Italiano

Staff WiFi Captive Portal: Onboarding e autenticazione dei dipendenti

Un riferimento tecnico completo per i leader IT sulla progettazione e l'implementazione di Captive Portal WiFi per lo staff. Questa guida copre l'autenticazione EAP-TLS, l'onboarding BYOD, la segmentazione VLAN e la gestione della larghezza di banda per migliorare l'efficienza operativa e mitigare i rischi per la sicurezza.

📖 6 minuti di lettura📝 1,263 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Staff WiFi Captive Portal: Onboarding and Authenticating Employees Un briefing di Purple Enterprise WiFi Intelligence [INTRODUZIONE - circa 1 minuto] Benvenuti nella serie Purple Enterprise WiFi Intelligence. Oggi parleremo di un argomento che si colloca all'intersezione tra sicurezza, operazioni HR e architettura di rete: lo staff WiFi captive portal. Ora, so cosa potrebbero pensare alcuni di voi. Un captive portal per il personale? Non è quello che si usa per gli ospiti? Ed è proprio questo il malinteso che dobbiamo affrontare fin da subito. Uno staff WiFi captive portal non è una splash page per gli ospiti con un logo diverso. È un gateway di onboarding strutturato che autentica i singoli dipendenti, applica l'accettazione delle policy e registra i dispositivi prima di concedere l'accesso alla rete aziendale. Se configurato correttamente, elimina la singola vulnerabilità più grande nella maggior parte delle implementazioni WiFi aziendali: la chiave precondivisa (PSK). Se configurato in modo errato, vi ritroverete con ex dipendenti, appaltatori e dispositivi personali che stazionano sulla rete del personale a tempo indeterminato. Entriamo nei dettagli dell'architettura. [APPROFONDIMENTO TECNICO - circa 5 minuti] Il problema fondamentale con la maggior parte delle installazioni WiFi per il personale è la password condivisa. Una singola chiave precondivisa WPA2, scritta su un post-it nel retroufficio, condivisa in un gruppo WhatsApp e mai cambiata quando qualcuno se ne va. In un hotel da 200 camere con 80 dipendenti, quella password è stata condivisa con circa 80 persone, i loro partner che hanno preso in prestito il telefono e almeno tre ex dipendenti. Questa non è una rete. È una porta aperta. Lo staff WiFi captive portal risolve questo problema sostituendo le credenziali condivise con un flusso di onboarding verificato dall'identità. Ecco come funziona in pratica. Quando un nuovo dipendente connette il proprio dispositivo alla rete del personale per la prima volta, si imbatte in un SSID di provisioning. Si tratta di una rete aperta, ma è un "walled garden" (un giardino recintato): instrada solo verso il portale di onboarding e il vostro provider di identità. Nient'altro. Il dipendente viene reindirizzato al captive portal, dove si autentica utilizzando la propria identità aziendale. Nella maggior parte degli ambienti aziendali odierni, ciò significa Single Sign-On tramite Microsoft Entra ID, Okta o Google Workspace. Una volta che il provider di identità conferma che il dipendente è attivo e nel gruppo corretto, il portale esegue una delle due operazioni seguenti, a seconda dell'architettura di autenticazione. In un'implementazione basata su credenziali che utilizza PEAP e MSCHAPv2, il portale convalida le credenziali e rilascia un token di accesso alla rete. In un'implementazione basata su certificati che utilizza EAP-TLS, il portale avvia la generazione del certificato. Un certificato X.509 specifico per il dispositivo viene rilasciato dalla vostra Autorità di Certificazione, confezionato in un profilo di configurazione (un file .mobileconfig su iOS o un profilo Passpoint su Android) e inviato al dispositivo. Il dispositivo installa il profilo, si disconnette dal SSID di provisioning e si connette automaticamente al SSID protetto dello staff utilizzando il certificato per l'autenticazione EAP-TLS. Da quel momento in poi, ogni volta che il dispositivo si connette alla rete del personale, il server RADIUS convalida il certificato. Nessuna richiesta di password. Nessun login manuale. Il dispositivo si connette semplicemente, in modo silenzioso e sicuro. Parliamo ora del perché lo standard EAP-TLS rappresenti l'obiettivo ideale per la maggior parte delle implementazioni aziendali. Lo standard IEEE 802.1X definisce il framework, ma l'EAP-TLS è il metodo che elimina completamente il furto di credenziali dal percorso di autenticazione. Non esiste alcuna password da sottoporre a phishing. Non esiste alcun hash da forzare con attacchi brute-force. Il certificato è associato al dispositivo. Se il dispositivo viene smarrito o rubato, è sufficiente revocare il certificato nella Certificate Authority e il server RADIUS negherà l'accesso al tentativo di connessione successivo. Se il dipendente lascia l'azienda, si disabilita il suo account nell'identity provider e, poiché il certificato è stato rilasciato a fronte di tale identità, l'integrazione SCIM propaga automaticamente il deprovisioning. L'accesso termina nel momento stesso in cui cessa il rapporto di lavoro. Questa è l'architettura di cui organizzazioni come Premier Inn e Whitbread hanno bisogno per gestire centinaia di strutture con migliaia di dispositivi del personale in un patrimonio distribuito. Non è possibile gestire tutto questo su larga scala con password condivise e revoche manuali. Affrontiamo anche la dimensione BYOD, perché è qui che il Captive Portal diventa particolarmente prezioso. Nella maggior parte dei settori alberghiero, retail ed eventi, una percentuale significativa del personale utilizza dispositivi personali per svolgere attività operative. Gli addetti alle pulizie controllano le assegnazioni delle camere sui propri smartphone. Gli addetti alle vendite utilizzano tablet personali per la ricerca di inventario. I team che gestiscono le operazioni negli stadi utilizzano telefoni personali per le comunicazioni. Si tratta di dispositivi non gestiti. Non è possibile controllarne la versione del sistema operativo, lo stato dell'antivirus o quali altre applicazioni vi siano installate. Devono essere trattati, nel migliore dei casi, come parzialmente attendibili. Il Captive Portal per il WiFi del personale gestisce il BYOD inserendo questi dispositivi in una VLAN dedicata dopo l'autenticazione. La VLAN fornisce loro l'accesso alle specifiche applicazioni interne di cui hanno bisogno (il sistema di gestione della proprietà, l'interfaccia del punto vendita, l'app di pianificazione) e a nient'altro. Non possono raggiungere i server aziendali, i sistemi finanziari o la rete dei dispositivi gestiti. Si tratta di una segmentazione VLAN applicata a livello RADIUS, ed è l'implementazione pratica del principio zero-trust: verificare l'identità, quindi concedere l'accesso minimo richiesto. Un altro elemento architetturale che vale la pena trattare: la policy di utilizzo accettabile, o AUP. Il Captive Portal è il naturale punto di applicazione per l'accettazione dell'AUP. Prima che un dipendente possa accedere alla rete del personale, il portale presenta la policy – che copre l'uso accettabile, il monitoraggio, il trattamento dei dati e le conseguenze di un uso improprio – e richiede un'accettazione esplicita. Questo crea un record tracciabile e datato dell'accettazione della policy. Ai sensi del GDPR, questo è importante. Ai sensi dello standard PCI DSS, per qualsiasi rete che gestisce dati dei titolari di carta, questo è importante. E nel caso di un'indagine disciplinare per uso improprio della rete, questo è estremamente rilevante. Ora, la larghezza di banda. È qui che Purple Shield diventa direttamente rilevante. In ambienti ad alta densità di personale – un hotel durante un fine settimana di tutto esaurito, un punto vendita nel Black Friday, uno stadio nel giorno della partita – la congestione della larghezza di banda sulla rete del personale è un reale problema operativo. Purple Shield opera a livello di DNS, bloccando ad payload, script di tracciamento e domini di malware prima che raggiungano il dispositivo. L'effetto pratico è una riduzione fino al 40% del totale dei dati scaricati sulla rete, secondo i dati di Purple. Per i dispositivi del personale, questo si traduce in caricamenti delle pagine più rapidi, un minore consumo di batteria dei dispositivi e una maggiore larghezza di banda disponibile per il traffico operativo. Le pagine si caricano fino a 3,5 volte più velocemente quando le oltre 120 query DNS tipiche di una pagina ricca di annunci vengono rimosse prima di raggiungere la rete. Questo miglioramento si ottiene senza toccare l'hardware, senza riconfigurare gli access point e senza alcuna configurazione per singolo dispositivo. [RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE DA EVITARE - circa 2 minuti] Passiamo alla sequenza di implementazione e agli errori da evitare. Inizia con la tua architettura VLAN prima di configurare un singolo access point. Definisci almeno tre VLAN: personale, ospiti e IoT. Mappa le policy del tuo firewall. Ottieni l'approvazione dal tuo team di sicurezza. Gli errori più costosi nelle installazioni WiFi si verificano quando si costruisce prima la rete e si aggiunge l'architettura di sicurezza solo successivamente. In secondo luogo, distribuisci la tua infrastruttura RADIUS con ridondanza. Un singolo guasto al server RADIUS blocca contemporaneamente tutti i membri del personale fuori dalla rete. In un hotel, ciò significa che la reception non può gestire i check-in. In un negozio di vendita al dettaglio, significa che i sistemi POS non possono autenticarsi. Distribuisci almeno due server RADIUS in una configurazione active-passive e testa il failover prima di andare online. In terzo luogo, integra il tuo server RADIUS con il tuo identity provider tramite LDAP o SAML. Questo è ciò che consente il deprovisioning automatico. Quando un dipendente viene disabilitato in Microsoft Entra ID o Okta, il server RADIUS smette di accettare le sue credenziali o il suo certificato al successivo tentativo di connessione. Nessun passaggio manuale, nessuna coda di ticket, nessun ritardo tra la partenza e la revoca dell'accesso. In quarto luogo, progetta il flusso di onboarding del tuo Captive Portal per l'utente meno tecnico del tuo team. Non per l'IT manager. Per l'addetto di magazzino stagionale che non ha mai installato un profilo di configurazione. Istruzioni chiare, interfaccia brandizzata e un numero di telefono dell'assistenza visibile su ogni schermata. Ora le insidie. L'errore più comune è un walled garden troppo permissivo. Se l'SSID di provisioning consente l'accesso generale a Internet, il personale rimarrà semplicemente su di esso invece di completare il flusso di onboarding. Limitalo al portale, agli endpoint dell'identity provider e al server di download dei certificati. Nient'altro. La seconda insidia è la frammentazione di Android. iOS gestisce i profili dot-mobileconfig in modo coerente. Android no. Produttori e versioni del sistema operativo diversi gestiscono l'installazione dei certificati in modo differente. Testa il tuo flusso di onboarding sui dispositivi Android specifici che il tuo personale utilizza effettivamente prima del roll-out. Passpoint, noto anche come Hotspot 2.0, migliora significativamente l'esperienza su Android abilitando il rilevamento automatico della rete e l'autenticazione dopo la configurazione iniziale. La terza insidia è la scadenza dei certificati. Rilascia certificati a breve termine: 90 giorni è un valore predefinito ragionevole per i dispositivi BYOD. Alla scadenza del certificato, il dispositivo deve eseguire nuovamente l'onboarding tramite il portale. Questo rimuove naturalmente i dispositivi obsoleti dalla rete e forza la riautenticazione rispetto allo stato corrente dell'identity provider. Un dispositivo appartenente a un ex dipendente il cui account è stato disattivato sei mesi fa fallirà automaticamente il nuovo onboarding. [DOMANDE E RISPOSTE RAPIDE - circa 1 minuto] Alcune domande che sentiamo di frequente. "Possiamo usare iPSK invece dell'802.1X completo?" Sì, per gli ambienti in cui la distribuzione dei certificati non è fattibile. iPSK, o Identity Pre-Shared Key, assegna una password WiFi unica a ogni utente o dispositivo. È più sicuro di una PSK condivisa perché ogni credenziale è individuale e revocabile. È meno sicuro di EAP-TLS perché è comunque basato su password. Usalo come trampolino di lancio, non come destinazione. "Abbiamo bisogno di WPA3 se utilizziamo già WPA2-Enterprise?" Se il tuo hardware lo supporta, sì. WPA3-Enterprise introduce la Simultaneous Authentication of Equals, che elimina gli attacchi a dizionario offline contro l'handshake. Il costo di migrazione sull'hardware supportato si riduce a una modifica della configurazione. Il miglioramento della sicurezza è concreto. "Come gestiamo i collaboratori esterni che non hanno un'identità aziendale?" Utilizza l'iPSK o una credenziale ospite a tempo limitato emessa tramite il portale. Imposta una data di scadenza corrispondente alla data di fine contratto. La piattaforma di Purple supporta nativamente credenziali di accesso limitate nel tempo. [RIASSUNTO E PROSSIMI PASSI - circa 1 minuto] Riassumendo, un Captive Portal WiFi per il personale non è una semplice funzionalità di comodità. È il punto di applicazione per la verifica dell'identità, l'accettazione delle policy, la registrazione dei dispositivi e il controllo degli accessi sulla rete operativa. La chiave pre-condivisa (PSK) comune rappresenta un rischio di conformità e una vulnerabilità di sicurezza. Sostituiscila con un flusso di onboarding con verifica dell'identità, segmentazione VLAN e autenticazione basata su RADIUS. I prossimi passi immediati: esegui un audit del metodo di autenticazione attuale della rete del personale. Se utilizzi una PSK condivisa, questa rappresenta la priorità assoluta di risoluzione. Se utilizzi lo standard 802.1X basato su credenziali, valuta il passaggio a EAP-TLS basato su certificati. E se non hai distribuito Purple Shield sulla rete del personale, la sola riduzione della larghezza di banda giustifica la scelta. Per guide all'implementazione, modelli di architettura e casi di studio tratti dalle installazioni di Purple in oltre 80.000 sedi attive, visita purple.ai. Grazie per l'attenzione.

header_image.png

Executive Summary

Per gli IT manager e gli architetti di rete nei settori hospitality, retail e grandi spazi pubblici, la gestione dell'accesso alla rete per i dispositivi dei dipendenti rappresenta una sfida di sicurezza e operativa significativa. L'affidamento a chiavi pre-condivise (PSK) comuni è fondamentalmente insicuro e gravoso dal punto di vista operativo, creando uno scenario in cui ex dipendenti e dispositivi non gestiti mantengono l'accesso alla rete a tempo indeterminato. Questa guida delinea un approccio pratico e sicuro per l'onboarding del WiFi del personale utilizzando un flusso Captive Portal integrato con il tuo identity provider. Sfruttando questa architettura, è possibile effettuare l'onboarding in sicurezza di dispositivi BYOD non gestiti su una rete 802.1X, applicare le policy di utilizzo accettabile e mantenere la conformità senza l'attrito di una registrazione completa al mobile device management (MDM). Per le sedi che già utilizzano Guest WiFi e WiFi Analytics , estendere l'onboarding sicuro ai dispositivi del personale offre una strategia di gestione di rete unificata e robusta.

Listen to this guide

Technical Deep-Dive

La base di un onboarding sicuro del personale è la transizione dai metodi di autenticazione legacy a EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). EAP-TLS è lo standard di settore per l'autenticazione WiFi sicura, che si basa su certificati digitali anziché su password. La sfida con le reti del personale, in particolare negli ambienti BYOD, consiste nel distribuire questi certificati ai dispositivi non gestiti.

The Self-Service Onboarding Flow

Per raggiungere questo obiettivo, le sedi implementano un portale di onboarding self-service. Il processo segue un percorso strutturato per garantire la consegna sicura del certificato:

  1. Connessione iniziale: L'utente connette il proprio dispositivo personale a un SSID di provisioning aperto e dedicato. Questa rete funge da walled garden, limitando l'accesso a tutto tranne che al portale di onboarding e all'identity provider (IdP).
  2. Autenticazione: L'utente viene reindirizzato a un Captive Portal dove si autentica utilizzando le proprie credenziali aziendali. Ciò comporta l'integrazione SAML o SCIM con un IdP come Microsoft Entra ID, Okta o Google Workspace.
  3. Generazione del certificato: A seguito di un'autenticazione riuscita, il sistema genera un certificato client unico e specifico per il dispositivo.
  4. Installazione del profilo: Un profilo di configurazione viene inviato al dispositivo. Questo profilo contiene il certificato client, il certificato della CA radice e le impostazioni di configurazione di rete per l'SSID 802.1X sicuro.
  5. Connessione sicura: Il dispositivo si disconnette automaticamente dall'SSID di provisioning e si connette all'SSID aziendale sicuro utilizzando il certificato appena installato per l'autenticazione EAP-TLS.

byod_onboarding_flow.png

Perché le PSK condivise falliscono per le reti del personale

In passato, le strutture si affidavano a chiavi pre-condivise (PSK) per l'accesso del personale. Questo metodo è fondamentalmente imperfetto nei moderni ambienti aziendali. Le PSK, una volta condivise, sono compromesse. Non forniscono alcuna responsabilità individuale e richiedono una modifica della password a livello di rete se un dispositivo viene smarrito o un dipendente si dimette. In un hotel di 200 camere con 80 membri dello staff, una password condivisa è stata probabilmente condivisa con circa 80 persone, i loro partner e almeno tre ex dipendenti. Questa non è una rete sicura; è una porta aperta.

authentication_methods_comparison.png

Guida all'implementazione

La distribuzione di un Captive Portal sicuro per il WiFi dello staff richiede una pianificazione ed esecuzione attente. Segui questi passaggi per un rollout di successo in un hotel, in un negozio al dettaglio o in uno stadio.

Passaggio 1: Definire le policy di accesso e la segmentazione

Prima di configurare l'infrastruttura tecnica, definisci chiaramente a cosa devono essere autorizzati ad accedere i dispositivi del personale. I dispositivi BYOD non sono gestiti; non controlli i loro aggiornamenti del sistema operativo, lo stato dell'antivirus o le applicazioni installate. Pertanto, devono essere trattati come dispositivi non attendibili.

Colloca i dispositivi dello staff su una VLAN dedicata. Questa VLAN deve fornire l'accesso a Internet e un accesso limitato solo alle applicazioni interne specifiche richieste per il ruolo del dipendente, come l'interfaccia web del punto vendita retail o l'app per il servizio di pulizia dell'hotel. Non collocare mai i dispositivi BYOD sulla stessa VLAN dei server aziendali o dei dispositivi gestiti. Per ulteriori letture sulla protezione delle reti di back-of-house, consulta la nostra guida su Staff WiFi Policies for Retail: Securing Back-of-House Networks o la versione portoghese Políticas de WiFi para Colaboradores no Retalho: Proteger as Redes Back-of-House .

Passaggio 2: Configurare il server RADIUS e l'integrazione con l'IdP

Il tuo server RADIUS è il fulcro del processo di autenticazione 802.1X. Deve essere configurato per supportare EAP-TLS e integrato con il tuo Identity Provider.

Connetti il tuo server RADIUS al tuo IdP tramite SAML o LDAP. Questo garantisce che solo i dipendenti attivi possano autenticarsi e ricevere un certificato. Quando un dipendente viene disabilitato in Microsoft Entra ID o Okta, il server RADIUS smette di accettare le sue credenziali o il suo certificato al tentativo di connessione successivo. Stabilisci una CA interna o utilizza una PKI gestita basata su cloud per emettere i certificati client. Il server RADIUS deve considerare attendibile questa CA.

Passaggio 3: Progetta il Portale di Onboarding e applica l'AUP

Il portale di onboarding è la prima interazione dell'utente con il sistema. Deve essere intuitivo e chiaramente personalizzato con il tuo brand. Fornisci istruzioni passo-passo sulla schermata del portale. Gli utenti devono sapere esattamente cosa cliccare e cosa aspettarsi.

Il Captive Portal è il punto di applicazione naturale per l'accettazione della Acceptable Use Policy (AUP). Prima che un dipendente acceda alla rete del personale, il portale presenta la policy e richiede un riconoscimento esplicito. Questo crea un record verificabile e con timestamp dell'accettazione della policy, fondamentale per la conformità GDPR e PCI DSS.

Best Practice

Per garantire un'implementazione sicura e gestibile, attieniti a queste best practice del settore.

Implementa certificati a breve durata

Poiché i dispositivi BYOD non sono gestiti, il rischio che un dispositivo compromesso rimanga sulla rete è più elevato. Mitiga questo rischio emettendo certificati a breve durata. Invece di un certificato valido per tre anni, emetti certificati validi per 90 giorni. Alla scadenza del certificato, l'utente deve autenticarsi nuovamente tramite il portale di onboarding. Questo elimina naturalmente i dispositivi obsoleti dalla rete e garantisce che solo i dipendenti attivi mantengano l'accesso.

Utilizza Passpoint (Hotspot 2.0)

Per un'esperienza di onboarding fluida, in particolare sui dispositivi Android, sfrutta Passpoint. Passpoint consente ai dispositivi di rilevare e autenticarsi automaticamente sulla rete sicura senza richiedere all'utente di selezionare manualmente l'SSID o interagire con un Captive Portal dopo la configurazione iniziale. Questo riduce significativamente gli attriti e migliora l'esperienza utente.

Gestione della larghezza di banda con Purple Shield

In ambienti con un'elevata densità di personale, la contesa della larghezza di banda sulla rete aziendale è un reale problema operativo. Purple Shield opera a livello DNS, bloccando payload pubblicitari, script di tracciamento e domini malware prima che raggiungano il dispositivo. L'effetto pratico è una riduzione fino al 40% dei dati totali scaricati sulla rete. Per i dispositivi del personale, ciò si traduce in caricamenti di pagina più rapidi, minore consumo della batteria del dispositivo e maggiore larghezza di banda disponibile per il traffico operativo.

Risoluzione dei problemi e mitigazione dei rischi

Anche con un sistema ben progettato, possono sorgere problemi. Comprendere le modalità di guasto comuni è fondamentale per una rapida risoluzione.

La configurazione del Walled Garden

L'SSID di provisioning deve essere rigorosamente controllato. Se il walled garden è troppo aperto, gli utenti potrebbero semplicemente rimanere connessi alla rete di provisioning per accedere a Internet, aggirando completamente il processo di onboarding sicuro. Assicurati che l'SSID di provisioning consenta l'accesso solo al portale di onboarding, agli endpoint di autenticazione IdP e ai server di download dei certificati necessari. Tutto l'altro traffico deve essere bloccato.

Frammentazione Android

I dispositivi Apple iOS gestiscono i profili di configurazione in modo coerente. Android, tuttavia, è altamente frammentato. Produttori e versioni del sistema operativo diversi gestiscono i profili WiFi e l'installazione dei certificati in modo differente. Per mitigare questo problema, assicurati che la tua soluzione di onboarding fornisca istruzioni chiare e specifiche per il sistema operativo e sfrutta Passpoint ove possibile.

ROI e impatto aziendale

L'implementazione di un Captive Portal WiFi sicuro per il personale offre un ritorno sull'investimento significativo grazie a una maggiore sicurezza, alla riduzione dei costi di gestione IT e all'aumento della produttività dei dipendenti.

Consentendo agli utenti di effettuare l'onboarding autonomamente, gli helpdesk IT registrano una drastica riduzione dei ticket relativi alle password WiFi e ai problemi di connessione. Il passaggio da PSK a EAP-TLS riduce significativamente il rischio di accessi non autorizzati alla rete e di violazioni dei dati. Questo è fondamentale per mantenere la conformità con standard come PCI DSS e GDPR. I dipendenti possono connettere rapidamente e in sicurezza i propri dispositivi personali per accedere agli strumenti di cui hanno bisogno, migliorando l'efficienza complessiva e la soddisfazione nei settori Retail , Sanità , Ospitalità , e Trasporti .

Definizioni chiave

Captive Portal

Una pagina web che un utente di una rete ad accesso pubblico o aziendale è obbligato a visualizzare e con cui deve interagire prima che venga concesso l'accesso.

Utilizzato nelle reti del personale come gateway per la verifica dell'identità, l'accettazione dell'AUP e il provisioning dei certificati.

EAP-TLS

Extensible Authentication Protocol-Transport Layer Security. Un metodo di autenticazione 802.1X che utilizza certificati digitali sia sul client sia sul server.

Il metodo di autenticazione WiFi più sicuro, che elimina la necessità di password e previene il furto di credenziali.

RADIUS

Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e tracciamento (accounting).

Il server principale che convalida i certificati dei dispositivi rispetto all'identity provider prima di concedere l'accesso alla rete.

VLAN Segmentation

La pratica di suddividere una rete fisica in più reti logiche per isolare il traffico.

Essenziale per mantenere i dispositivi BYOD non affidabili del personale separati dai server aziendali sensibili e dai sistemi POS.

Passpoint (Hotspot 2.0)

Uno standard di settore che consente l'onboarding e il roaming WiFi protetti e senza interruzioni, senza richiedere la selezione manuale dell'SSID o l'interazione con il Captive Portal dopo la configurazione iniziale.

Migliora l'esperienza utente per l'onboarding del personale, in particolare sui dispositivi Android.

Walled Garden

Un ambiente di rete limitato che controlla l'accesso degli utenti a specifici contenuti e servizi web.

Utilizzato sull'SSID di provisioning per garantire che il personale possa accedere solo al portale di onboarding e all'IdP, impedendo loro di aggirare la configurazione di sicurezza.

SCIM

System for Cross-domain Identity Management. Uno standard aperto per automatizzare lo scambio di informazioni sull'identità degli utenti tra domini di identità.

Consente il deprovisioning automatico dell'accesso alla rete quando un dipendente lascia l'azienda e viene disabilitato nell'IdP.

iPSK

Identity Pre-Shared Key. Una funzionalità di sicurezza che assegna una password WiFi univoca a ogni singolo utente o dispositivo.

Utilizzato come alternativa all'802.1X per dispositivi headless o collaboratori esterni che non possono installare un certificato.

Esempi pratici

Un hotel da 200 camere deve fornire l'accesso WiFi a 80 dipendenti delle pulizie e della manutenzione che utilizzano i propri smartphone personali per accedere al sistema di gestione della proprietà (PMS) basato su cloud. L'hotel utilizza attualmente una singola password WPA2 che non viene modificata da tre anni. In che modo il responsabile IT può mettere in sicurezza questa rete senza acquistare software MDM per i dispositivi personali?

  1. Creare un nuovo SSID di provisioning aperto (ad es. 'Hotel-Staff-Onboard') con un walled garden rigoroso che consenta l'accesso solo al Captive Portal e a Microsoft Entra ID.
  2. Configurare un Captive Portal per richiedere il login SSO tramite Entra ID e visualizzare la Politica di Utilizzo Accettabile (AUP) per lo staff.
  3. In seguito al login corretto e all'accettazione dell'AUP, generare un certificato EAP-TLS specifico per il dispositivo con validità di 90 giorni.
  4. Inviare il profilo di configurazione al telefono del dipendente per connettersi automaticamente all'SSID protetto 802.1X (ad es. 'Hotel-Staff-Secure').
  5. Configurare il server RADIUS per assegnare i dispositivi connessi a una VLAN BYOD dedicata che instrada il traffico solo verso internet e il PMS in cloud, bloccando l'accesso alla VLAN del server aziendale.
Commento dell'esaminatore: Questo approccio elimina la vulnerabilità della password condivisa, evitando al contempo i problemi di privacy legati a una registrazione MDM completa. Il certificato di 90 giorni garantisce che i dispositivi non più attivi vengano rimossi automaticamente, e la segmentazione VLAN protegge la rete aziendale da dispositivi personali potenzialmente compromessi.

Una grande catena di vendita al dettaglio riscontra gravi problemi di connettività per i punti vendita (POS) durante i saldi del Black Friday, poiché i membri del personale trasmettono video in streaming sui propri telefoni personali connessi alla rete del personale durante le pause. In che modo l'architetto di rete può risolvere questo problema senza vietare i dispositivi personali?

  1. Implementare Purple Shield sulla rete del personale per bloccare i payload pubblicitari e gli script di tracciamento a livello DNS, recuperando istantaneamente fino al 40% della larghezza di banda sprecata.
  2. Implementare criteri di Quality of Service (QoS) sul controller wireless per dare priorità al traffico del POS e delle applicazioni di inventario rispetto alla navigazione web generale e allo streaming video.
  3. Applicare la limitazione della larghezza di banda (rate limiting) alla VLAN BYOD per limitare la banda massima disponibile per ogni singolo dispositivo personale.
Commento dell'esaminatore: Questa soluzione affronta il conflitto di larghezza di banda dal punto di vista tecnico anziché attraverso politiche aziendali non applicabili. Purple Shield riduce il carico di dati di base, mentre il QoS e la limitazione della larghezza di banda garantiscono che il traffico operativo critico abbia sempre la priorità durante i periodi di picco.

Domande di esercitazione

Q1. Il direttore delle operazioni di uno stadio vuole rilasciare un'unica password WiFi a tutti i 500 membri dello staff dell'evento per rendere "più facile per loro andare online rapidamente". Qual è il principale rischio di sicurezza di questo approccio e qual è l'alternativa raccomandata?

Suggerimento: Considera cosa succede quando un membro dello staff della giornata di gara non si ripresenta all'evento successivo.

Visualizza risposta modello

Il rischio principale è l'impossibilità di revocare l'accesso ai singoli individui. Quando un membro dello staff se ne va, conserva la password, garantendogli un accesso indefinito alla rete operativa. L'alternativa consigliata è un flusso di onboarding tramite Captive Portal che rilascia certificati EAP-TLS specifici per dispositivo e legati alla loro identità, consentendo all'IT di revocare l'accesso per singolo dispositivo o automaticamente al momento della cessazione del rapporto.

Q2. I log del tuo server RADIUS mostrano che diversi dispositivi Android non riescono a completare il processo di installazione del certificato dopo l'autenticazione sul Captive Portal. Qual è la causa più probabile e come può essere mitigata?

Suggerimento: Considera le differenze nel modo in cui i sistemi operativi mobili gestiscono i profili di configurazione.

Visualizza risposta modello

La causa più probabile è la frammentazione del sistema operativo Android, in quanto produttori diversi gestiscono l'installazione dei certificati in modo differente. Questo problema può essere mitigato fornendo istruzioni chiare e specifiche per il sistema operativo sul Captive Portal, utilizzando un'app di onboarding dedicata o sfruttando Passpoint (Hotspot 2.0) per un'esperienza di onboarding più fluida e standardizzata.

Q3. Il team IT di un ospedale sta progettando una rete BYOD per il personale. Prevedono di inserire i dispositivi BYOD nella stessa VLAN dei server della cartella clinica elettronica (EHR) dell'ospedale per garantire che il personale possa accedere rapidamente ai dati dei pazienti. Si tratta di un design sicuro? Perché sì o perché no?

Suggerimento: Considera il livello di fiducia dei dispositivi BYOD non gestiti.

Visualizza risposta modello

No, questo non è un design sicuro. I dispositivi BYOD non sono gestiti, il che significa che il team IT non controlla il loro livello di sicurezza, gli aggiornamenti del sistema operativo o le applicazioni installate. Devono essere trattati come non attendibili. Posizionarli nella stessa VLAN di server EHR sensibili crea un rischio significativo di movimento laterale. I dispositivi BYOD dovrebbero essere collocati su una VLAN dedicata e segmentata, con regole di firewall rigide che limitino l'accesso solo alle interfacce web necessarie, mai un accesso diretto al server.

Continua a leggere questa serie

Come configurare un Captive Portal su Starlink: una guida per sedi remote e marittime

Questa guida spiega in dettaglio come escludere l'hardware nativo di Starlink e integrare un Captive Portal gestito in cloud utilizzando apparecchiature di routing aziendali. Imparerai come superare il limite del CGNAT, applicare la segmentazione VLAN, gestire i vincoli di larghezza di banda satellitare e garantire la conformità normativa.

Leggi la guida →

Captive Portal Best Practices: Progettazione per Conversioni Elevate e Compliance

Questa guida tecnica offre a IT manager, architetti di rete e direttori operativi delle location un modello completo per l'implementazione di Captive Portal in grado di bilanciare la sicurezza di rete con un tasso elevato di conversione degli utenti. Copre l'intera architettura, dalla segmentazione VLAN e autenticazione RADIUS fino alla progettazione del consenso conforme al GDPR e alla selezione del metodo di autenticazione. Basata sull'esperienza operativa di Purple in oltre 80.000 location e 440 milioni di login nel 2024, ogni raccomandazione è fondata su dati reali di implementazione.

Leggi la guida →

Come ottimizzare i Captive Portal per la massima sicurezza di rete e conversione degli utenti

Questa guida fornisce un progetto tecnico completo per l'ottimizzazione dei captive portal all'interno di strutture aziendali, coprendo l'architettura di segmentazione della rete, la selezione dei metodi di autenticazione, la progettazione del consenso conforme al GDPR e l'ottimizzazione delle conversioni. È scritta per IT manager, architetti di rete e CTO di hotel, catene di vendita al dettaglio, stadi e organizzazioni del settore pubblico che devono bilanciare la sicurezza della rete con l'acquisizione di dati di prima parte. Purple gestisce l'infrastruttura dei captive portal in oltre 80.000 sedi con 440 milioni di accessi nel 2024, e i framework qui presentati riflettono tale esperienza operativa.

Leggi la guida →