Vai al contenuto principale
Italiano

Tre SSID per domarli tutti: guida alla configurazione di WiFi guest, Passpoint e IoT

Questa guida tecnica fornisce un progetto definitivo per l'implementazione del design a tre SSID WiFi nelle strutture aziendali. Dettaglia la configurazione di un Captive Portal Guest aperto, l'onboarding automatizzato di Passpoint e l'autenticazione xPSK per dispositivo per ottenere una segmentazione VLAN completa e un accesso di rete zero-trust.

📖 5 minuti di lettura📝 1,176 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuti alla serie di briefing tecnici Purple. Oggi parleremo del design WiFi a tre SSID: un'architettura di rete che consolida l'accesso degli ospiti, l'onboarding sicuro e automatizzato e la gestione dei dispositivi IoT sotto tre reti wireless dedicate. Se gestite il WiFi in un hotel, un'area commerciale, uno stadio o un centro congressi, questo è il design che dovreste implementare nel 2025 e negli anni a seguire. [medium pause] Lasciate che contestualizzi la situazione. La maggior parte delle strutture che incontriamo utilizza ancora al massimo due SSID: una rete per gli ospiti e una che viene genericamente definita rete del personale. Il problema è che queste due reti finiscono per ospitare qualsiasi cosa. I terminali di pagamento si trovano sullo stesso segmento degli smartphone degli ospiti. I fornitori esterni si connettono allo stesso SSID del vostro digital signage. I sensori IoT condividono la larghezza di banda con i visitatori che guardano video in streaming. Questa non è una postura di sicurezza. È un rischio. Il design a tre SSID risolve questo problema assegnando a ogni classe di dispositivi e utenti la propria rete dedicata, la propria VLAN e il proprio metodo di autenticazione. Tre SSID. Tre VLAN. Un'unica architettura di sicurezza coerente. [medium pause] Analizziamoli uno per uno. L'SSID numero uno è il vostro WiFi ospiti aperto. Questa è la classica rete con Captive Portal, quella che i visitatori vedono quando aprono il telefono e si connettono. È aperta, cioè senza chiave precondivisa, perché si desidera eliminare ogni attrito al momento della connessione. L'autenticazione avviene a livello di portale. Il visitatore si connette, viene reindirizzato a una splash page, accetta i termini di servizio e, facoltativamente, fornisce un indirizzo e-mail o un numero di telefono. Questo rappresenta il vostro opt-in consapevole per la conformità GDPR. La piattaforma di Purple gestisce tutto questo in modo nativo: il portale acquisisce i dati di prima parte, registra il timestamp del consenso e mappa la sessione sulla VLAN 10, che è il segmento ospiti. La VLAN 10 ha accesso solo a Internet. Non può raggiungere i vostri sistemi POS, i server di back-office o qualsiasi altra risorsa interna. Le regole del firewall lo impongono a livello perimetrale. Dal punto di vista della conformità, questo SSID svolge il lavoro più pesante. Il GDPR richiede la registrazione del consenso, della base giuridica del trattamento e del timestamp. Purple registra tutto questo automaticamente. Se vi trovate in una struttura soggetta a PCI DSS (ad esempio, un hotel con terminali di pagamento nelle camere), l'SSID degli ospiti deve essere completamente isolato da qualsiasi ambiente di dati dei titolari di carta. La segmentazione della VLAN con una policy firewall inter-VLAN consente di ottenere questo risultato. [medium pause] L'SSID numero due è la vostra rete Passpoint, nota anche come Hotspot 2.0. È qui che il design diventa davvero interessante. Passpoint è uno standard IEEE 802.11u che consente a un dispositivo di rilevare, autenticare e connettersi automaticamente a una rete WiFi senza alcuna interazione da parte dell'utente. Nessun portale. Nessuna richiesta di password. Il dispositivo negozia l'autenticazione in background utilizzando l'EAP (Extensible Authentication Protocol) e si connette in modo crittografato fin dal primo pacchetto. Come fa un dispositivo a sapere come connettersi? Ha un profilo Passpoint installato. Con Purple, quel profilo viene distribuito tramite l'app Purple o tramite un SDK che puoi integrare nella tua app personalizzata. Quando un visitatore di ritorno entra nella tua sede, il suo dispositivo rileva il tuo SSID Passpoint che trasmette una risposta ANQP, lo associa al profilo installato e si connette automaticamente. L'intero processo richiede meno di due secondi. L'utente non tocca mai il proprio telefono. Il flusso di autenticazione utilizza EAP-TLS o EAP-TTLS con PEAP, a seconda della configurazione. Il dispositivo presenta una credenziale al tuo server RADIUS - Purple funge da server RADIUS nel cloud - e il server restituisce un RADIUS Access-Accept con un attributo di assegnazione VLAN. Tale attributo indica all'access point su quale VLAN inserire quella sessione. Ad esempio, l'utente di un'app fedeltà potrebbe atterrare sulla VLAN 20, che ha accesso alla tua piattaforma fedeltà e a contenuti più ricchi. Un membro dello staff che utilizza lo stesso SSID Passpoint con una credenziale diversa atterra sulla VLAN 30, che ha accesso ai sistemi interni. Un unico SSID. Assegnazione dinamica della VLAN. Policy applicata per identità. [medium pause] L'SSID numero tre è la tua rete xPSK. xPSK è un termine ombrello che copre iPSK, PPSK, DPSK e MPSK - tutte varianti dello stesso concetto di chiavi precondivise per dispositivo o per gruppo. L'idea è semplice: invece di un'unica password condivisa per i tuoi dispositivi IoT e appaltatori, ogni dispositivo o gruppo riceve la propria chiave univoca. Quella chiave si mappa su una VLAN specifica. Quando un terminale per carte si connette con la sua chiave, atterra sulla VLAN 40, che è la tua rete di pagamento conforme a PCI. Quando un lettore di digital signage si connette con la sua chiave, atterra sulla VLAN 50, che ha accesso al tuo server di gestione dei contenuti ma a nient'altro. Quando un appaltatore si connette con una chiave temporanea, atterra sulla VLAN 60, che ha accesso a internet e a nessun sistema interno. Quando revochi la chiave di quell'appaltatore, questo viene disconnesso immediatamente dalla rete. Non è necessaria alcuna modifica della password su tutti i dispositivi. Il meccanismo alla base di xPSK varia a seconda del fornitore. Su Cisco Meraki si chiama iPSK - Identity PSK - e funziona tramite RADIUS. Su HPE Aruba, l'equivalente è MPSK, anch'esso basato su RADIUS. Ruckus lo chiama DPSK - Dynamic PSK. Juniper Mist utilizza PPSK con assegnazione dinamica della VLAN tramite la dashboard cloud di Mist. Ubiquiti UniFi supporta il controllo dell'accesso alla rete con assegnazione della VLAN per client nelle versioni firmware recenti. Purple si integra con tutte e cinque queste piattaforme come provider RADIUS in cloud. [medium pause] Ora parliamo della sequenza di implementazione. L'ordine è importante. Inizia con la progettazione della tua VLAN prima di toccare la configurazione wireless. Definisci prima le tue VLAN a livello di switch. Configura la tua policy di routing inter-VLAN e bloccala sul firewall prima che qualsiasi dispositivo si connetta. Questo è l'errore più comune che riscontriamo: i team configurano prima il wireless, poi cercano di adattare la segmentazione VLAN. Fai il contrario. In secondo luogo, configura il tuo server RADIUS. Nella piattaforma Purple, accedi alla sezione di configurazione RADIUS, genera le credenziali del tuo server e annota gli indirizzi IP primario e secondario, la porta di autenticazione (solitamente 1812) e il segreto condiviso. In terzo luogo, crea i tuoi SSID. Per l'SSID guest, imposta la sicurezza su aperta, abilita il reindirizzamento al captive portal e indirizza l'URL di reindirizzamento al tuo portale Purple. Per l'SSID Passpoint, abilita 802.11u e configura i tuoi elementi ANQP: il tuo NAI Realm, il tuo Roaming Consortium OI se partecipi a OpenRoaming e le informazioni sulla sede. Imposta WPA2-Enterprise o WPA3-Enterprise come tipo di sicurezza. Per l'SSID xPSK, configura le impostazioni MPSK o DPSK specifiche del fornitore e indirizza l'autenticazione al tuo endpoint RADIUS Purple. In quarto luogo, configura il tuo walled garden per l'SSID guest. Includi i domini del portale Purple, il tuo risolutore DNS e gli endpoint di rilevamento del captive portal utilizzati da iOS e Android: captivedetect.apple.com di Apple e connectivitycheck.gstatic.com di Google. [medium pause] Due esempi reali. Un hotel da 350 camere nel centro di Londra ha distribuito questa architettura su 28 access point con hardware HPE Aruba. Prima dell'implementazione, i terminali per i pagamenti con carta condividevano un segmento di rete con i dispositivi degli ospiti, con una conseguente mancata conformità PCI. La riprogettazione a tre SSID ha spostato i terminali di pagamento su una VLAN dedicata con regole di firewall che consentono solo il traffico HTTPS in uscita verso il gestore dei pagamenti. L'audit PCI è stato superato nel ciclo successivo. L'acquisizione dei dati degli ospiti è aumentata del 34% nei primi tre mesi grazie a un'esperienza del portale più rapida e a un flusso di opt-in più lineare. Una catena di negozi con 80 punti vendita nel Regno Unito ha ridotto il numero di SSID per negozio da una media di 4,2 a tre. I terminali EPOS e la segnaletica sono stati spostati sull'SSID xPSK con chiavi specifiche per singolo dispositivo gestite centralmente tramite Purple. Il personale è passato a un SSID Passpoint utilizzando le proprie credenziali Microsoft Entra ID tramite EAP-TTLS. Il team IT ha registrato una riduzione del 60% dei ticket di supporto relativi al WiFi nel primo trimestre successivo al rollout. [medium pause] Alcuni errori comuni da evitare durante l'implementazione. Configurazione del timeout RADIUS: se i tuoi access point non riescono a raggiungere il server RADIUS di Purple entro il timeout configurato, rifiuteranno la connessione. Configura sempre sia l'indirizzo del server RADIUS primario sia quello secondario. Tagging VLAN sulle porte trunk: ogni porta uplink dell'access point deve essere configurata come trunk per trasportare tutte le VLAN utilizzate dai tuoi SSID. Un errore comune consiste nel configurare la VLAN sul controller ma dimenticare di aggiungerla al trunk sulla porta dello switch. Configurazione ANQP Passpoint: l'elenco dei NAI Realm deve corrispondere esattamente a quello presente nel profilo Passpoint installato sul dispositivo. Una mancata corrispondenza farà sì che i dispositivi saltino la tua rete durante il rilevamento. Effettua un test con un dispositivo sicuramente funzionante prima di procedere al rollout in produzione. Rotazione delle chiavi xPSK: le chiavi dei collaboratori esterni dovrebbero avere una data di scadenza impostata al momento del provisioning. La dashboard di Purple consente di revocare singole chiavi senza influire su nessun altro dispositivo nella rete. [medium pause] Domande a raffica. Posso eseguire tutti e tre gli SSID sullo stesso access point? Sì. Mantieni il numero totale di SSID per access point a sei o meno per ridurre al minimo il sovraccarico dei beacon. Passpoint richiede un'app specifica? Con Purple, richiede l'app Purple o un SDK integrato nella tua app personalizzata. L'SDK gestisce il provisioning dei profili silenziosamente in background. xPSK è conforme agli standard PCI per i terminali di pagamento? Sì, a condizione che la VLAN che trasporta il traffico dei dispositivi di pagamento sia adeguatamente segmentata e che le regole del firewall limitino il traffico solo a quanto richiesto dal gestore dei pagamenti. Cosa succede se il portale di un SSID per gli ospiti smette di funzionare? Configura un reindirizzamento di fallback o una splash page locale sul controller dell'access point. La piattaforma di Purple garantisce un uptime del 99,999%, ma una configurazione ridondante di sicurezza è sempre una buona pratica. [medium pause] In sintesi. Il design a tre SSID offre una rete ospiti con un Captive Portal conforme per l'acquisizione dei dati, una rete Passpoint per l'onboarding sicuro automatizzato tramite l'app Purple o l'SDK con assegnazione dinamica della VLAN, e una rete xPSK che consolida dispositivi IoT, terminali di pagamento, segnaletica digitale, collaboratori esterni e BYOD sotto chiavi per singolo dispositivo mappate su VLAN specifiche. Il risultato è un livello di sicurezza più pulito, una migliore esperienza per i visitatori e una rete realmente gestibile su scala. Inizia con la progettazione della tua VLAN, configura RADIUS, crea i tuoi SSID e imposta il tuo walled garden. Il team di onboarding di Purple può guidarti nella configurazione per la tua piattaforma hardware specifica. La guida scritta completa è disponibile su purple.ai. Cerca "three SSIDs to rule them all" per il riferimento di configurazione passo-passo con dettagli specifici per i produttori Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e Ubiquiti UniFi. Grazie per l'ascolto.

header_image.png

Sintesi Esecutiva

La maggior parte delle sedi aziendali opera ancora con architetture wireless legacy che fanno confluire tutto il traffico su uno o due SSID. Questo approccio crea un rischio inaccettabile posizionando dispositivi IoT non gestiti, hardware di appaltatori e visitatori pubblici su segmenti di rete condivisi. Il design WiFi a tre SSID elimina questa vulnerabilità assegnando a ogni classe di dispositivi e utenti la propria rete dedicata, la propria VLAN e il proprio metodo di autenticazione. Questa guida fornisce un modello passo-passo per implementare tre SSID distinti: una rete Guest WiFi aperta per la conformità e l'acquisizione dei dati, una rete Passpoint (Hotspot 2.0) per l'accesso sicuro automatizzato tramite l'app o l'SDK Purple, e una rete xPSK che consolida tutti i dispositivi headless sotto chiavi per singolo dispositivo. Standardizzando su questa architettura, i team IT possono ottenere una rigorosa segmentazione VLAN, ridurre il sovraccarico delle radiofrequenze e snellire le operazioni di rete tra implementazioni Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e Ubiquiti UniFi.

Ascolta il Briefing

Analisi Approfondita dell'Architettura Tecnica

Il design a tre SSID è un approccio zero-trust applicato al perimetro wireless. Si basa sul principio che l'SSID è semplicemente il punto di ingresso; il vero confine di sicurezza è l'assegnazione della VLAN dettata dal metodo di autenticazione.

three_ssid_architecture_overview.png

1. Guest WiFi (SSID Aperto)

Il primo SSID è una rete aperta con un Captive Portal. Serve visitatori, ospiti temporanei e utenti occasionali. Essendo aperta, non c'è alcun attrito al momento della connessione. Il punto di controllo della sicurezza si sposta al livello del portale. Quando un dispositivo si connette, gli viene assegnato un indirizzo IP da una sottorete fortemente limitata e viene inserito in un walled garden. L'utente viene reindirizzato a una splash page dove accetta i termini di servizio e facoltativamente fornisce i dati di identità.

Questo SSID è fondamentale per la conformità. Ai sensi del GDPR, è necessario registrare il consenso e la base giuridica per il trattamento dei dati. Purple gestisce questo aspetto in modo nativo, registrando il timestamp del consenso e acquisendo dati di prima parte. Una volta autenticata, la sessione viene mappata sulla VLAN 10. Le regole del firewall impongono che la VLAN 10 abbia solo accesso a Internet, completamente isolata dai sistemi interni. Per le sedi soggette a PCI DSS, questa segmentazione garantisce che il traffico degli ospiti non tocchi mai l'ambiente dei dati dei titolari di carta.

2. Passpoint (Hotspot 2.0)

Il secondo SSID sfrutta lo standard IEEE 802.11u Passpoint per fornire un accesso automatizzato e crittografato. È progettato per gli ospiti che ritornano, i membri del programma fedeltà e il personale. Invece di un Captive Portal, Passpoint utilizza un profilo installato per negoziare l'autenticazione in background tramite EAP-TLS o EAP-TTLS con PEAP.

Quando un utente con l'app Purple (o con la tua app che integra l'SDK di Purple) entra nella sede, il suo dispositivo rileva l'SSID Passpoint che trasmette specifici elementi ANQP (Access Network Query Protocol). Li confronta con il proprio profilo e si connette automaticamente. Purple funge da server RADIUS cloud, elaborando le credenziali e restituendo un messaggio RADIUS Access-Accept. Questo messaggio include attributi di assegnazione VLAN (come Tunnel-Private-Group-ID). Un membro del programma fedeltà potrebbe essere assegnato alla VLAN 20, mentre un membro del personale che utilizza lo stesso SSID viene assegnato alla VLAN 30. Questa assegnazione dinamica della VLAN consente l'applicazione delle policy per identità anziché per SSID.

3. xPSK (IoT e BYOD)

Il terzo SSID consolida tutti gli altri casi d'uso - terminali di pagamento, segnaletica digitale, stampanti, appaltatori e BYOD - utilizzando xPSK (iPSK, PPSK, DPSK o MPSK). Invece di una singola password condivisa, ogni dispositivo o gruppo riceve una chiave pre-condivisa univoca.

Quando un dispositivo si connette, l'access point invia l'indirizzo MAC del dispositivo e lo specifico PSK utilizzato al server RADIUS di Purple. Purple convalida la chiave e restituisce l'assegnazione della VLAN corrispondente. Un terminale di pagamento finisce sulla VLAN 40 (in ambito PCI), mentre un lettore di segnaletica digitale finisce sulla VLAN 50. Se la chiave di un appaltatore viene revocata, il suo accesso viene interrotto immediatamente senza influire su nessun altro dispositivo. Ciò elimina la necessità di elenchi di bypass dell'autenticazione MAC (MAB) e di password condivise.

vlan_segmentation_diagram.png

Guida all'implementazione

La distribuzione di questa architettura richiede una sequenza rigorosa. Non configurare i controller wireless finché la rete cablata sottostante non è pronta.

Passaggio 1: Configurazione dello switch e del firewall

Definisci prima le tue VLAN a livello di switch. Crea VLAN distinte per ciascuna classe di dispositivi (es. VLAN 10 Guest, VLAN 20 Secure, VLAN 30 IoT, VLAN 40 PCI). Configura le policy di routing inter-VLAN sul tuo firewall per imporre un isolamento rigoroso. Le VLAN Guest e IoT dovrebbero in genere avere solo accesso a internet in uscita. Assicurati che tutte le porte di uplink degli access point siano configurate come trunk che trasportano tutte le VLAN richieste.

Passaggio 2: Integrazione del server RADIUS

Naviga nel portale Purple e genera le tue credenziali RADIUS. Prendi nota degli indirizzi IP primario e secondario, della porta di autenticazione (in genere 1812), della porta di accounting (1813) e del segreto condiviso. Inserisci questi dettagli nella configurazione AAA del tuo controller wireless. Imposta il timeout RADIUS su almeno due secondi per gestire la latenza del cloud.

Passaggio 3: Configurazione dell'SSID

Configura i tre SSID in base all'implementazione specifica del tuo fornitore:

Guest SSID: Imposta la sicurezza su Aperta. Abilita il reindirizzamento al Captive Portal e indirizzalo all'URL del tuo portale Purple. Configura il walled garden per consentire l'accesso ai domini di Purple, al tuo risolutore DNS e agli endpoint di rilevamento del captive portal del sistema operativo (ad es. captivedetect.apple.com).

Passpoint SSID: Abilita 802.11u/Hotspot 2.0. Configura gli elementi ANQP, assicurandoti che il NAI Realm corrisponda esattamente al profilo distribuito dall'app Purple. Imposta la sicurezza su WPA2-Enterprise o WPA3-Enterprise e indirizza l'autenticazione ai server RADIUS di Purple.

xPSK SSID: Abilita la funzionalità xPSK specifica del fornitore (ad es. iPSK su Cisco Meraki, MPSK su HPE Aruba). Indirizza l'autenticazione MAC ai server RADIUS di Purple e abilita l'assegnazione dinamica della VLAN.

Best Practice

  • Limita il numero di SSID: Non trasmettere mai più di quattro SSID per punto di accesso. Un numero eccessivo di SSID aumenta l'overhead dei beacon, degradando le prestazioni complessive della rete. Il design a tre SSID ottimizza l'utilizzo del tempo di trasmissione (airtime).
  • Precisione del Walled Garden: Mantieni il tuo walled garden il più limitato possibile. Includi solo i domini essenziali per il flusso del portale e il rilevamento del sistema operativo. Ampi intervalli di IP creano falle di sicurezza.
  • Gestione del ciclo di vita delle chiavi: Stabilisci un ciclo di vita rigoroso per le chiavi xPSK. Imposta date di scadenza per le chiavi dei collaboratori esterni al momento del provisioning. Rivedi e ruota le chiavi IoT annualmente.

Risoluzione dei problemi e mitigazione dei rischi

  • Timeout RADIUS: Se i dispositivi non riescono a connettersi alle reti Passpoint o xPSK, verifica le impostazioni di timeout RADIUS sul controller. Cloud RADIUS richiede un timeout leggermente più lungo rispetto ai server locali. Assicurati che siano configurati sia l'IP RADIUS Purple primario che quello secondario.
  • Errori di tagging VLAN: Se un dispositivo si autentica correttamente ma non riesce a ottenere un indirizzo IP, il problema è quasi sempre la mancanza di un tag VLAN sulla porta dello switch del punto di accesso. Verifica la configurazione del trunk.
  • Problemi di rilevamento Passpoint: Se i dispositivi ignorano il Passpoint SSID, verifica la configurazione dell'ANQP NAI Realm. Anche un minimo errore di battitura farà sì che il dispositivo rifiuti silenziosamente la rete.

ROI e impatto aziendale

L'implementazione del design a tre SSID offre un valore aziendale misurabile. Consolidando gli SSID, le strutture riducono le interferenze RF e migliorano le prestazioni dei client. L'assegnazione dinamica della VLAN tramite Passpoint e xPSK riduce significativamente i ticket di supporto IT relativi alla reimpostazione delle password e alla whitelist degli indirizzi MAC. Inoltre, la robusta segmentazione garantisce la conformità con PCI DSS e GDPR, mitigando il rischio finanziario di violazioni dei dati e massimizzando al contempo la raccolta di dati di prima parte attraverso il portale Guest WiFi .

Definizioni chiave

Passpoint (Hotspot 2.0)

Uno standard IEEE 802.11u che consente ai dispositivi mobili di rilevare automaticamente e connettersi in modo sicuro alle reti WiFi senza l'interazione dell'utente.

Fondamentale per offrire esperienze di roaming simili a quelle cellulari e un accesso sicuro e crittografato per i visitatori di ritorno e il personale.

xPSK

Un termine generico per implementazioni specifiche dei vendor (iPSK, PPSK, DPSK, MPSK) che consentono più chiavi pre-condivise univoche su un singolo SSID, con ciascuna chiave mappata a una specifica VLAN.

Utilizzato per proteggere dispositivi IoT headless, stampanti e terminali per carte di credito che non possono supportare l'autenticazione aziendale 802.1X.

Captive Portal

Una pagina web che gli utenti sono costretti a visualizzare e con cui devono interagire prima che venga concesso l'accesso a una rete WiFi pubblica.

Il meccanismo principale per l'acquisizione di dati di prima parte e la garanzia della conformità GDPR tramite consenso esplicito.

Segmentazione VLAN

La pratica di dividere una rete fisica in più reti logiche per isolare il traffico e applicare policy di sicurezza.

Essenziale per isolare il traffico guest non attendibile dai sistemi interni sensibili e dai dispositivi di pagamento nell'ambito PCI.

RADIUS

Remote Authentication Dial-In User Service; un protocollo di rete che fornisce una gestione centralizzata di Authentication, Authorization, and Accounting (AAA).

Il motore che alimenta Passpoint e xPSK, convalidando le credenziali e indicando all'access point quale VLAN assegnare.

ANQP

Access Network Query Protocol; un protocollo utilizzato dai dispositivi per scoprire le informazioni di rete (come i consorzi di roaming e i tipi di autenticazione) prima di associarsi a un access point.

Il meccanismo utilizzato da Passpoint per determinare se un dispositivo possiede il profilo corretto per connettersi automaticamente.

Walled Garden

Un ambiente limitato che controlla l'accesso dell'utente ai contenuti web prima che si sia completamente autenticato.

Deve essere configurato correttamente per consentire ai dispositivi di raggiungere il Captive Portal e gli endpoint di rilevamento del sistema operativo.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security; un framework di autenticazione che utilizza certificati per la convalida sia del client che del server.

Il metodo di autenticazione altamente sicuro tipicamente utilizzato dai profili Passpoint per garantire connessioni crittografate.

Esempi pratici

Un hotel da 350 camere deve mettere in sicurezza i propri terminali per carte di credito e contemporaneamente acquisire i dati degli ospiti per il proprio programma fedeltà. Attualmente, tutti i dispositivi condividono un unico SSID WPA2-Personal.

Implementare l'architettura a tre SSID. Creare la VLAN 10 per gli ospiti, la VLAN 20 per i membri del programma fedeltà e la VLAN 40 per i terminali di pagamento. Configurare l'SSID Guest come aperto con un Captive Portal Purple per l'acquisizione dei dati. Configurare l'SSID Passpoint per i membri del programma fedeltà utilizzando l'app Purple. Configurare l'SSID xPSK per i terminali delle carte di credito. Nella dashboard di Purple, generare PSK univoci per ciascun terminale e mapparli sulla VLAN 40. Sul firewall, limitare la VLAN 40 per consentire solo il traffico HTTPS in uscita verso gli indirizzi IP del processore di pagamento.

Commento dell'esaminatore: Questo approccio risolve immediatamente la mancata conformità PCI isolando l'ambiente dei dati dei titolari di carta. Inoltre, modernizza l'esperienza degli ospiti, offrendo ai visitatori frequenti un accesso Passpoint fluido e acquisendo al contempo preziosi dati di prima parte dai nuovi ospiti.

Una catena retail con 80 negozi riscontra gravi problemi di prestazioni WiFi a causa della trasmissione di cinque SSID per negozio (Guest, Staff, POS, Signage, Scanners).

Consolidare le reti utilizzando il design a tre SSID. Mantenere l'SSID Guest con un Captive Portal. Implementare un SSID Passpoint per il personale, con autenticazione tramite Microsoft Entra ID tramite l'integrazione RADIUS di Purple, mappandoli su una VLAN del personale. Combinare POS, Signage e Scanners su un unico SSID xPSK. Assegnare chiavi univoche a ciascuna categoria di dispositivi, mappando i POS sulla VLAN 40, il Signage sulla VLAN 50 e gli Scanner sulla VLAN 60.

Commento dell'esaminatore: Ridurre il numero di SSID da cinque a tre riduce notevolmente l'overhead dei frame di gestione, migliorando immediatamente il tempo di trasmissione disponibile e il throughput dei client. Il team IT ottiene un controllo granulare sui dispositivi headless senza l'onere amministrativo di gestire elenchi MAB.

Domande di esercitazione

Q1. Un direttore IT di uno stadio vuole distribuire Passpoint per i tifosi che utilizzano l'app ufficiale della squadra, ma teme che le impostazioni di timeout RADIUS causino errori di connessione durante gli eventi ad alta densità. Qual è l'approccio consigliato?

Suggerimento: Considera la latenza dell'autenticazione basata su cloud rispetto ai controller locali.

Visualizza risposta modello

Configurare il timeout RADIUS sui controller wireless a un minimo di due o tre secondi. Negli ambienti ad alta densità, le risposte del RADIUS cloud potrebbero richiedere leggermente più tempo rispetto ai server locali. Inoltre, assicurarsi che siano configurati sia l'indirizzo IP primario che quello secondario di Purple RADIUS per fornire ridondanza di failover.

Q2. Stai configurando l'SSID xPSK per una flotta di nuovi scanner di codici a barre wireless. Gli scanner si connettono correttamente all'SSID, ma non riescono a raggiungere il server di inventario. Qual è la causa più probabile?

Suggerimento: Pensa al percorso tra l'access point e lo switch principale.

Visualizza risposta modello

La causa più probabile è la mancanza di un tag VLAN sulla porta dello switch dell'access point. Sebbene Purple RADIUS assegni correttamente lo scanner alla VLAN di inventario, se tale VLAN non è consentita sulla porta trunk che collega l'access point allo switch, il traffico verrà interrotto.

Q3. Un hotel deve consentire agli ospiti di accedere al proprio motore di prenotazione diretta prima che si autentichino tramite il Captive Portal. Come deve essere configurato?

Suggerimento: Ciò comporta il controllo del traffico di pre-autenticazione.

Visualizza risposta modello

Il team IT deve aggiungere i domini e gli indirizzi IP del motore di prenotazione alla configurazione del walled garden sul controller wireless. Ciò consente al traffico di pre-autenticazione di raggiungere quelle destinazioni specifiche, bloccando al contempo tutti gli altri accessi a internet fino al completamento del flusso del Captive Portal.

Continua a leggere questa serie

Tre SSID per domarli tutti: guida alla configurazione del WiFi per ospiti, personale e IoT

Questa guida tecnica autorevole fornisce un piano d'azione passo-passo per implementare un'architettura WiFi a tre SSID. Spiega come segmentare il traffico di ospiti, personale e IoT utilizzando Captive Portals, 802.1X RADIUS e PSK per singolo dispositivo (xPSK) per ottimizzare le prestazioni e garantire la conformità PCI DSS.

Leggi la guida →

Autenticazione WiFi Enterprise senza Active Directory o server on-premise

Questa guida spiega come implementare un'autenticazione WiFi WPA2/3-Enterprise sicura senza Active Directory on-premise, Windows NPS o server RADIUS. Copre la discrepanza di protocollo tra i provider di identità cloud e 802.1X, i vantaggi di EAP-TLS rispetto a PEAP-MSCHAPv2 e come implementare il RADIUS cloud con certificati emessi da MDM per Microsoft Entra ID, Okta o Google Workspace. Scritta per i responsabili IT di organizzazioni cloud-first e con un'alta presenza di Mac/Chromebook pronte a dismettere l'infrastruttura on-premise.

Leggi la guida →

Come revocare l'accesso WiFi quando un dipendente lascia l'azienda

Questa guida spiega in dettaglio come revocare l'accesso WiFi quando un dipendente lascia l'azienda, sostituendo le password condivise non sicure con certificati 802.1X per singolo utente o iPSK. Copre il deprovisioning automatizzato tramite SCIM per soddisfare i requisiti di audit ISO 27001 e SOC 2.

Leggi la guida →