La guida enterprise a SCEP: implementare il Simple Certificate Enrollment Protocol per la sicurezza automatizzata del WiFi nei campus

Buongiorno. Se gestite un'infrastruttura WiFi in un gruppo alberghiero, una rete di vendita al dettaglio, uno stadio o un campus universitario, questo briefing fa al caso vostro. Parleremo di SCEP - Simple Certificate Enrollment Protocol - e in particolare di come risolve uno dei grattacapi più persistenti nel WiFi aziendale: installare automaticamente i certificati su migliaia di dispositivi, senza che il vostro helpdesk venga sommerso di ticket. [short pause] Lasciate che vi descriva lo scenario. Avete deciso - giustamente - che le chiavi precondivise non sono più accettabili per il WiFi del personale. Una singola password compromessa espone l'intero segmento di rete. Siete passati, o state passando, all'autenticazione 802.1X. Si tratta dello standard IEEE che richiede a ogni dispositivo di dimostrare la propria identità prima di ottenere l'accesso alla rete. La versione più sicura di 802.1X è EAP-TLS - Extensible Authentication Protocol con Transport Layer Security - che utilizza certificati digitali anziché password. I certificati sono crittograficamente univoci per dispositivo, non possono essere condivisi e possono essere revocati istantaneamente se un dispositivo viene smarrito o un dipendente lascia l'azienda. [short pause] Fin qui tutto bene. Il problema è la distribuzione. Come si fa a installare un certificato univoco su ogni laptop, telefono o tablet della vostra azienda - su Windows, iOS, Android, macOS - senza che un tecnico debba toccare ogni singolo dispositivo? Questo è esattamente ciò che risolve SCEP. [medium pause] SCEP è stato formalizzato dall'Internet Engineering Task Force nella RFC 8894 nel 2020, sebbene sia in uso negli ambienti aziendali fin dai primi anni 2000. È un protocollo che consente a un dispositivo gestito di richiedere il proprio certificato direttamente alla vostra Certificate Authority, utilizzando un URL preconfigurato e una password di verifica. Il punto critico per la sicurezza: la chiave privata viene generata sul dispositivo stesso, memorizzata nell'enclave sicuro del dispositivo - ovvero il chip TPM sui dispositivi Windows o il Secure Enclave sull'hardware Apple - e non viaggia mai attraverso la rete. Il dispositivo genera una Certificate Signing Request, la invia al gateway SCEP, il gateway convalida la richiesta, la inoltra alla vostra Certificate Authority, la CA la firma e il certificato firmato torna al dispositivo. L'intero processo è invisibile all'utente finale. [short pause] Ora, in un ambiente Microsoft, il gateway SCEP è tipicamente NDES - Network Device Enrollment Service - un ruolo di Windows Server che funge da intermediario tra la vostra piattaforma MDM e la vostra CA. Microsoft Intune invia il profilo SCEP ai dispositivi gestiti, comunicando loro l'URL NDES e la password di verifica. I dispositivi fanno il resto automaticamente. [medium pause] Lasciate che vi illustri come si presenta una distribuzione reale. Prendiamo un gruppo alberghiero con 150 strutture - pensate alla scala di Premier Inn. Hanno un mix di laptop Windows per il personale della reception, dispositivi iOS per i supervisori delle pulizie e tablet Android nei punti vendita del ristorante. Prima di SCEP, utilizzavano WPA2-Personal con una password condivisa ruotata trimestralmente. Ogni rotazione generava un'ondata di chiamate all'helpdesk. Con SCEP e Intune, distribuiscono tre profili in sequenza. Primo, il profilo Trusted Root Certificate - questo dice a ogni dispositivo di considerare attendibile la Certificate Authority dell'azienda. Secondo, il profilo SCEP Certificate - questo indica ai dispositivi di andare a ritirare il loro certificato client univoco. Terzo, il profilo WiFi - questo configura l'SSID, imposta il tipo di sicurezza su WPA2-Enterprise o WPA3-Enterprise e punta al certificato SCEP per l'autenticazione. Distribuite questi tre profili allo stesso gruppo di dispositivi in Intune e ogni dispositivo gestito si connetterà automaticamente all'SSID aziendale, con un certificato univoco, senza richiedere alcuna interazione da parte dell'utente. [short pause] Il server RADIUS - tipicamente Microsoft NPS o un servizio RADIUS cloud - riceve la richiesta di autenticazione EAP-TLS, convalida il certificato rispetto alla CA, controlla la Certificate Revocation List e concede o nega l'accesso. Se un dipendente viene licenziato, revocate il suo certificato nella CA. Il suo dispositivo perderà l'accesso al WiFi al ciclo di autenticazione successivo. Nessun ripristino della password richiesto. Nessuna attesa per una rotazione trimestrale. [medium pause] Ora, spesso ci si chiede quale sia la differenza tra SCEP e PKCS - Public Key Cryptography Standards. Entrambi funzionano con Intune. La differenza fondamentale risiede nel punto in cui viene generata la chiave privata. Con SCEP, viene generata sul dispositivo. Con PKCS, la CA genera entrambe le chiavi centralmente e invia la chiave privata al dispositivo. Ciò significa che la chiave privata viaggia attraverso la rete, il che introduce un rischio teorico di intercettazione. PKCS ha una sua utilità: è più adatto per la crittografia delle e-mail S/MIME in cui il deposito delle chiavi è importante. Per l'autenticazione WiFi, SCEP è la scelta giusta. Sempre. [short pause] Lasciate che vi presenti un secondo scenario: una rete di vendita al dettaglio. Immaginate un rivenditore di moda con 200 negozi in tutto il Regno Unito, ciascuno dei quali utilizza access points Cisco Meraki. I loro sistemi di punto vendita sono basati su Windows, gestiti tramite Intune. Hanno bisogno della conformità PCI DSS, il che significa segmentazione della rete e autenticazione forte per qualsiasi dispositivo che gestisca i dati dei titolari di carta. L'EAP-TLS basato su SCEP offre loro l'autenticazione a livello di dispositivo sull'SSID del personale, con l'assegnazione della VLAN guidata dalla policy RADIUS. I terminali POS finiscono automaticamente sulla VLAN inclusa nell'ambito PCI. Il Guest WiFi - gestito separatamente tramite una piattaforma come Purple - funziona su un SSID completamente isolato con il proprio flusso di autenticazione. Le due reti non si toccano mai. Gli auditor sono soddisfatti. Il team di sicurezza dorme sonni più tranquilli. [medium pause] Bene, parliamo delle insidie, perché ce ne sono alcune che colgono di sorpresa i team. [short pause] La modalità di errore più comune è il disallineamento del targeting dei gruppi in Intune. Il profilo Trusted Root, il profilo SCEP e il profilo WiFi devono avere tutti come target lo stesso gruppo Azure AD. Se il profilo SCEP ha come target un gruppo Utenti e il profilo WiFi ha come target un gruppo Dispositivi, Intune non può risolvere la dipendenza e il profilo WiFi viene visualizzato come errore. Controllate prima le vostre assegnazioni: quasi sempre il colpevole è lì. [short pause] Seconda insidia: disponibilità del server NDES. Il server NDES deve essere raggiungibile da Internet affinché i dispositivi remoti possano registrarsi prima di arrivare in sede. Il modo sicuro per farlo è tramite Azure AD Application Proxy, che offre l'accesso remoto senza aprire porte in entrata nel firewall. Non esponete NDES direttamente a Internet. [short pause] Terzo: disponibilità della CRL. Il server RADIUS controlla la Certificate Revocation List ogni volta che un dispositivo si autentica. Se il CRL Distribution Point non è raggiungibile - forse un server è offline o una regola del firewall è cambiata - l'autenticazione fallisce per tutti. Rendete i vostri endpoint CRL altamente disponibili e testateli regolarmente. [short pause] Quarto: autorizzazioni del modello di certificato. Se l'account di servizio del connettore NDES non dispone delle autorizzazioni di Lettura e Registrazione sul modello di certificato, i dispositivi riceveranno errori HTTP 403 quando tenteranno di ritirare il proprio certificato. Si tratta di una semplice correzione delle autorizzazioni, ma è facile dimenticarsene durante la configurazione iniziale. [medium pause] Ora passiamo a una serie di domande rapide. [short pause] SCEP può funzionare con MDM non Microsoft? Sì - Jamf per le flotte di dispositivi Apple, VMware Workspace ONE e la maggior parte delle piattaforme MDM aziendali supportano i profili SCEP. Il protocollo è indipendente dal fornitore. [short pause] SCEP funziona con la PKI cloud? Sì. La PKI cloud di Microsoft in Intune Suite elimina completamente la necessità di un server NDES on-premises. Anche i provider di PKI cloud di terze parti come SecureW2 e Keyfactor offrono endpoint SCEP cloud. [short pause] E per quanto riguarda WPA3-Enterprise? WPA3-Enterprise utilizza lo stesso stack di autenticazione 802.1X ed EAP-TLS. I certificati emessi tramite SCEP funzionano in modo identico. L'aggiornamento avviene a livello di protocollo wireless, non a livello di certificato. [short pause] Quanto durano i certificati? In genere un anno, anche se è possibile configurare periodi di validità più brevi. Intune gestisce il rinnovo automatico prima della scadenza, in modo che gli utenti non subiscano mai interruzioni. [medium pause] Per riassumere. SCEP automatizza la distribuzione dei certificati su scala, eliminando il sovraccarico manuale della distribuzione della PKI su grandi flotte di dispositivi. La chiave privata rimane sul dispositivo: questa è la base di sicurezza di EAP-TLS. Eseguite la distribuzione in sequenza: prima Trusted Root, poi il profilo SCEP, infine il profilo WiFi, tutti con lo stesso gruppo come target. Pubblicate il vostro endpoint NDES in modo sicuro tramite Application Proxy. Mantenete i vostri endpoint CRL altamente disponibili. E se state partendo da zero, valutate la PKI cloud per rimuovere completamente la dipendenza da NDES on-premises. [short pause] Per il Guest WiFi - la rete separata rivolta ai visitatori - l'autenticazione basata su certificati non è il modello corretto. Gli ospiti non hanno dispositivi gestiti. È qui che una piattaforma come Purple gestisce il flusso di autenticazione: Captive Portal, login social, acquisizione e-mail o verifica tramite SMS, il tutto confluendo in un livello di dati proprietari che il vostro team di marketing può effettivamente utilizzare. I due approcci si completano a vicenda: SCEP per il parco dispositivi gestito del personale, Purple per la rete ospiti. Entrambi in esecuzione sullo stesso hardware, nettamente segmentati tramite VLAN. [short pause] Questo è il vostro briefing sull'onboarding WiFi aziendale tramite SCEP. La guida scritta completa, con diagrammi architetturali, configurazione passo-passo di Intune ed esempi pratici, è disponibile sul sito web di Purple. Grazie per l'ascolto.