Staff WiFi vs. Guest WiFi: Best Practices for Corporate Network Segmentation

Benvenuto al Technical Briefing di Purple. Sono il tuo presentatore e, nei prossimi dieci minuti, affronteremo una delle decisioni più importanti che prenderai nella gestione della rete della tua struttura: come separare correttamente il tuo WiFi aziendale (Staff WiFi) dal tuo WiFi per gli ospiti (Guest WiFi). Se gestisci un hotel, una catena di negozi, uno stadio o un centro congressi, ti rivolgi a due tipi di pubblico fondamentalmente diversi che condividono lo stesso spazio aereo. Un gruppo ha bisogno di accedere ai tuoi sistemi per i punti vendita, al tuo software di gestione della struttura, alle condivisioni di file del back-office. L'altro gruppo ha solo bisogno di internet. Mescolare questi due gruppi sulla stessa rete non è solo una cattiva pratica. È una vulnerabilità. Entriamo nel dettaglio tecnico. Il problema principale di una rete piatta e non segmentata è il movimento laterale. Quando il dispositivo di un ospite si connette alla stessa rete dei terminali del personale, quel dispositivo può, in linea di principio, comunicare direttamente con tali terminali. Se quel dispositivo è infettato da malware, o se un malintenzionato sta deliberatamente sondando la rete, l'intera infrastruttura aziendale è esposta. Abbiamo visto questo scenario in violazioni reali. L'attacco non inizia dal firewall. Inizia dal WiFi per gli ospiti. Lo strumento principale per risolvere questo problema è la VLAN, o Virtual Local Area Network. Pensala come la creazione di corsie separate e logicamente isolate sulla stessa strada fisica. I tuoi punti di accesso trasmettono più nomi di rete WiFi, che chiamiamo SSID. Un SSID per gli ospiti, uno per il personale. Ma l'SSID è solo l'etichetta sulla porta. La vera separazione avviene quando ogni SSID viene mappato su una VLAN diversa. Quindi, il WiFi per gli ospiti viene mappato sulla VLAN 10. Il WiFi per il personale viene mappato sulla VLAN 20. Ogni pacchetto di dati da un dispositivo ospite viene taggato con la VLAN 10. Ogni pacchetto da un dispositivo del personale viene taggato con la VLAN 20. I tuoi switch trasportano questi tag attraverso la rete e il tuo firewall li legge e applica le regole. E le regole sono semplici. Il traffico della VLAN 10 va a internet e da nessun'altra parte. Punto. Il traffico della VLAN 20 ottiene l'accesso controllato a specifici sistemi interni, come definito dalla tua politica di sicurezza. Questa è l'architettura. Semplice in linea di principio, ma i dettagli di implementazione contano enormemente. Ora, l'autenticazione. L'architettura di rete è forte tanto quanto le credenziali che la proteggono. Per il tuo WiFi per il personale, devi utilizzare WPA3-Enterprise con autenticazione 802.1X. Questo standard significa che ogni membro del personale si autentica con un'identità unica. Nessuna password condivisa. Questo è fondamentale per due motivi. Primo, la sicurezza: se un dispositivo è compromesso o un dipendente se ne va, revochi le sue credenziali nel tuo provider di identità, che si tratti di Microsoft Entra ID, Okta o Google Workspace, e viene immediatamente bloccato. Secondo, i registri di controllo: puoi vedere esattamente chi si è connesso, quando e da quale dispositivo. Con una password condivisa, non hai nulla di tutto questo. Il framework 802.1X utilizza un server RADIUS come intermediario per l'autenticazione. L'access point inoltra le credenziali dell'utente al server RADIUS, che le convalida tramite il tuo identity provider. Se le credenziali sono corrette, il server RADIUS invia un messaggio di access-accept e l'utente viene ammesso alla rete. In caso contrario, l'accesso viene negato. L'access point stesso non vede mai la password. Questa è una proprietà di sicurezza fondamentale. Per l'autenticazione basata su certificati, puoi spingerti oltre con EAP-TLS, che utilizza esclusivamente certificati client anziché password. Questo elimina il rischio di phishing delle credenziali sulla rete aziendale. È più complesso da implementare, ma per gli ambienti ad alta sicurezza è la scelta giusta. Per il tuo Guest WiFi, il meccanismo di autenticazione è diverso. Utilizzi un Captive Portal. Quando un ospite si connette, viene reindirizzato a una pagina di destinazione prima di poter accedere a internet. È qui che presenti i tuoi termini e condizioni, raccogli il consenso al marketing e, con una piattaforma come Purple, inizi a creare un profilo dettagliato di quel visitatore. Il Captive Portal non è solo uno strumento di conformità. È la porta d'accesso alle tue funzionalità di marketing e analytics degli ospiti. Lascia che ti illustri due scenari reali che mostrano come funziona tutto questo in pratica. Primo scenario: un hotel di lusso da duecento camere. Deve servire gli ospiti dell'hotel, il personale aziendale - compresi i team della reception e delle pulizie - e una flotta di dispositivi IoT che include minibar intelligenti e serrature elettroniche. Elaborano inoltre i pagamenti con carta di credito tramite il loro sistema di gestione della proprietà, il che significa che la conformità PCI-DSS è obbligatoria. La soluzione è un'architettura a quattro VLAN. VLAN 10 per gli ospiti, VLAN 20 per il personale aziendale, VLAN 30 per l'ambiente dei dati di pagamento e VLAN 40 per i dispositivi IoT. La policy del firewall è rigorosa e segue il principio del privilegio minimo. Gli ospiti hanno accesso solo a internet. Il personale ha accesso al sistema di gestione della proprietà e all'email interna, e a nient'altro. I terminali di pagamento possono comunicare solo con il gateway di pagamento su porte specifiche. I dispositivi IoT possono raggiungere solo il server di inventario del minibar. Nient'altro. Questa architettura soddisfa il requisito PCI-DSS 1.2, che impone che gli ambienti con i dati dei titolari di carta siano isolati dalle reti non attendibili. Inoltre, riduce notevolmente l'ambito della conformità, poiché l'auditore deve esaminare solo i sistemi all'interno della VLAN 30, non l'intera rete. Premier Inn, parte del gruppo Whitbread, gestisce questo tipo di architettura segmentata in centinaia di strutture, utilizzando la piattaforma di Purple per gestire centralmente il Captive Portal rivolto agli ospiti e il livello di analytics. Secondo scenario: una catena di negozi con cinquecento punti vendita. La sfida qui risiede nella scalabilità e nella coerenza. Non puoi permetterti che un ingegnere di rete configuri manualmente ogni singolo negozio. La soluzione è un deployment basato su template che utilizza il provisioning Zero-Touch. Definisci la configurazione una sola volta: due VLAN, due SSID, regole di firewall, policy di QoS. Ogni nuovo access point spedito a un negozio scarica automaticamente la configurazione corretta dal controller cloud. L'hardware in questo scenario potrebbe essere Cisco Meraki, HPE Aruba o Ruckus, tutti in grado di supportare il provisioning Zero-Touch gestito in cloud. Il Captive Portal per gli ospiti è gestito centralmente da Purple, offrendo al team di marketing analisi delle presenze e strumenti per le campagne in tutti i cinquecento punti vendita da un'unica dashboard. Quando un cliente si connette al Guest WiFi in qualsiasi negozio, appare la stessa esperienza con il brand. Gli stessi dati fluiscono nella stessa piattaforma di analisi. Questo modello riduce drasticamente il costo totale di proprietà e garantisce una postura di sicurezza coerente in tutto l'edificio. Un errore di configurazione in un negozio non si propaga, perché ogni punto vendita è costruito a partire dallo stesso template validato. Ora, ecco i consigli di implementazione e gli errori da evitare. In primo luogo, abilita l'isolamento dei client su ogni SSID rivolto agli ospiti. In questo modo si evita che i dispositivi presenti sulla rete ospiti comunichino direttamente tra loro. Senza questa funzione, un malintenzionato seduto nella hall del tuo hotel potrebbe lanciare un attacco man-in-the-middle contro i dispositivi degli altri ospiti. Si tratta di un singolo comando di attivazione nella configurazione dell'access point ed è non negoziabile. In secondo luogo, applica le policy di QoS, Quality of Service. Tagga il traffico del personale con una classe di priorità più alta. Questo assicura che un centinaio di ospiti che riproducono video in streaming non riduca le prestazioni dei terminali del punto vendita o del sistema di gestione della struttura. Applica una limitazione della larghezza di banda per utente sulla rete ospiti. Un limite ragionevole è di cinque megabit al secondo per utente. In questo modo si evita che un singolo utente saturi l'uplink. In terzo luogo, gestisci il numero di SSID. Ogni SSID trasmesso aggiunge un sovraccarico allo spettro radio. Ogni SSID richiede frame di gestione, che consumano tempo di trasmissione. In un ambiente denso, la trasmissione di sei o otto SSID può peggiorare sensibilmente le prestazioni WiFi di tutti. Il limite pratico è di tre o quattro SSID per access point. Se sono necessari più segmenti logici, utilizza l'assegnazione dinamica delle VLAN tramite RADIUS anziché SSID aggiuntivi. Ora, parliamo della modalità di guasto più comune. Non si tratta di un attacco sofisticato. Si tratta di un errore di configurazione. Una singola porta dello switch configurata come porta di accesso invece che come porta trunk può collegare silenziosamente le tue VLAN. Il tuo monitoraggio non lo segnalerà. I tuoi utenti non se ne accorgeranno. Ma un dispositivo ospite potrebbe improvvisamente raggiungere la tua rete aziendale. Questo fenomeno è chiamato VLAN hopping ed è sorprendentemente facile da introdurre attraverso una routine di modifica della configurazione. La mitigazione consiste nella disciplina operativa. Utilizza modelli di configurazione standardizzati. Documenta ogni modifica. Esegui audit trimestrali per verificare l'isolamento della VLAN tentando di instradare il traffico tra i segmenti da un dispositivo di test. Se il test ha successo, c'è un problema. Automatizza questo controllo dove possibile. Domande rapide. Ho bisogno di access point fisici separati per ogni rete? No. I moderni access point aziendali di Cisco Meraki, HPE Aruba, Ruckus e Juniper Mist supportano tutti più SSID e VLAN su un'unica radio. La separazione è logica, non fisica. Nascondere il mio SSID per il personale è una sicurezza sufficiente? No. Un SSID nascosto è un deterrente minore. Uno scanner WiFi passivo può rilevarlo in pochi secondi. La vera sicurezza deriva dall'autenticazione 802.1X, che richiede credenziali valide anche dopo che la rete è stata scoperta. La mia sede è piccola. È un'esagerazione? No. Il rischio è identico indipendentemente dalla scala. Un piccolo bar con un solo terminale di pagamento è esposto tanto quanto un grande hotel se il traffico degli ospiti e quello del personale condividono la stessa rete. La maggior parte dei router di livello aziendale include una funzionalità di rete ospiti integrata che fornisce una segmentazione di base senza costi aggiuntivi. Usala. È la protezione minima praticabile. Per riassumere. Segmenta le tue reti utilizzando le VLAN. È non negoziabile per qualsiasi sede che serve sia ospiti che personale. Usa WPA3-Enterprise con 802.1X per il personale e un Captive Portal per gli ospiti. Applica il principio del privilegio minimo sul tuo firewall: nega tutto per impostazione predefinita e consenti solo ciò che è esplicitamente richiesto. Abilita l'isolamento dei client su tutti gli SSID ospiti. Gestisci la larghezza di banda con criteri QoS e limitazione per utente. Gestisci la configurazione come un controllo di sicurezza, non come un ripensamento. Fare le cose per bene non riduce solo il rischio di violazione. Soddisfa i requisiti PCI-DSS e GDPR, fornisce una piattaforma stabile per le operazioni aziendali e, quando aggiungi la piattaforma di analisi di Purple, trasforma il tuo Guest WiFi da un centro di costo in una risorsa di ricavo misurabile. Per maggiori dettagli su come Purple si distribuisce in 80.000 sedi in tutto il mondo, visita purple.ai. Grazie per l'ascolto.