Cos'è l'autenticazione 802.1X? Come funziona e perché è importante

Che cos'è l'autenticazione 802.1X? Come funziona e perché è importante Un briefing tecnico di Purple — circa 10 minuti --- INTRODUZIONE E CONTESTO — circa 1 minuto Benvenuti alla serie di briefing tecnici di Purple. Sono il vostro ospite e oggi tratteremo uno degli standard più importanti — e più frequentemente fraintesi — del networking aziendale: l'autenticazione IEEE 802.1X. Se sei un IT manager, un network architect o un CTO responsabile di un deployment multi-sito — che si tratti di un gruppo alberghiero, una catena retail, uno stadio o un patrimonio del settore pubblico — questo è uno standard che devi comprendere a fondo. Non perché sia interessante dal punto di vista accademico, ma perché una corretta implementazione fa la differenza tra una rete che protegge realmente la tua organizzazione e una che offre un falso senso di sicurezza. Nei prossimi dieci minuti vedremo cos'è in realtà l'802.1X, come funziona il flusso di autenticazione dietro le quinte, come si inserisce nella tua architettura di sicurezza più ampia, come implementarlo evitando i comuni errori e come si presenta il business case in termini reali. Entriamo nel dettaglio. --- APPROFONDIMENTO TECNICO — circa 5 minuti Quindi, cos'è l'802.1X? Fondamentalmente, è uno standard IEEE per il controllo dell'accesso alla rete basato su porte. La parola chiave è "basato su porte". Prima che a un dispositivo sia consentito qualsiasi accesso alla rete — prima che possa inviare un singolo pacchetto alle tue risorse interne — deve autenticarsi. La porta di rete, sia essa fisica o wireless, rimane logicamente bloccata fino al completamento dell'autenticazione. Questo è fondamentalmente diverso dal funzionamento della maggior parte dei sistemi Wi-Fi consumer. Con una configurazione standard WPA2-Personal, si ha una chiave precondivisa — una password — e chiunque conosca tale password accede alla rete. Il problema è ovvio: quella password viene scritta sulle lavagne, condivisa nei canali Slack e consegnata a collaboratori esterni che se ne sono andati sei mesi fa. Non c'è alcuna responsabilità individuale, nessun audit trail e la revoca dell'accesso richiede il cambio della password per tutti. L'802.1X risolve tutto questo. Lo standard definisce un modello a tre soggetti. Abbiamo il Supplicant — ovvero il dispositivo dell'utente finale, che si tratti di un laptop aziendale, uno smartphone o un sensore IoT. Abbiamo l'Authenticator — tipicamente l'access point wireless o lo switch gestito. E infine l'Authentication Server — quasi sempre un server RADIUS, che sta per Remote Authentication Dial-In User Service. Ecco come funziona il flusso. Quando un richiedente (supplicant) si connette a una porta di rete o a un SSID wireless, l'autenticatore imposta quella porta in uno stato controllato, consentendo il passaggio del solo traffico EAP. EAP sta per Extensible Authentication Protocol ed è il framework che trasporta lo scambio effettivo di credenziali. L'autenticatore invia una richiesta di identità EAP al richiedente. Il richiedente risponde con la propria identità. L'autenticatore la inoltra quindi al server RADIUS, che richiede al richiedente di dimostrare la propria identità; questo può avvenire tramite nome utente e password, un certificato digitale, una smart card o una combinazione di fattori. Una volta che il server RADIUS è soddisfatto, invia un messaggio di Access-Accept all'autenticatore, che apre la porta e consente il pieno accesso alla rete. Se l'autenticazione non va a buon fine, la porta rimane bloccata o il dispositivo viene inserito in una VLAN guest limitata. Ora, il framework EAP è estensibile per progettazione (ecco cosa significa la E). Esistono diversi metodi EAP di uso comune. EAP-TLS utilizza l'autenticazione reciproca basata su certificati (sia il client che il server presentano certificati) ed è considerato lo standard di riferimento per la sicurezza. EAP-PEAP, che sta per Protected EAP, avvolge l'autenticazione interna in un tunnel TLS, consentendo l'uso sicuro delle credenziali di nome utente e password. EAP-TTLS è simile a PEAP ma è più flessibile nei metodi di autenticazione interna supportati. Per la maggior parte delle implementazioni aziendali, la scelta sarà tra EAP-TLS per ambienti ad alta sicurezza e PEAP-MSCHAPv2 per ambienti in cui la distribuzione dei certificati non è pratica. Parliamo ora di come questo si integra con la tua infrastruttura esistente. Il server RADIUS non autentica gli utenti in modo isolato, ma interroga un archivio di identità back-end. Nella maggior parte degli ambienti aziendali, si tratta di Microsoft Active Directory o di una directory LDAP. Il server RADIUS riceve le credenziali dall'autenticatore, le convalida rispetto ad Active Directory e restituisce una decisione di criterio. Tale decisione può includere molto di più della semplice accettazione o del rifiuto: può includere l'assegnazione della VLAN, i criteri di larghezza di banda e i valori di timeout della sessione. È qui che l'assegnazione dinamica della VLAN diventa potente. Puoi definire un criterio che dice: se questo utente fa parte del gruppo Finance in Active Directory, assegnalo alla VLAN 20. Se si tratta di un collaboratore esterno, assegnalo alla VLAN 50 con solo accesso a Internet. Se si trova su un dispositivo non gestito, inseriscilo nella VLAN guest. Tutto questo avviene automaticamente, al momento della connessione, senza alcun intervento manuale. Per le distribuzioni wireless, lo standard 802.1X è il meccanismo di autenticazione alla base di WPA2-Enterprise e WPA3-Enterprise. Lo strato di crittografia — la protezione effettiva dei dati in transito — è gestito dall'handshake a 4 vie che segue l'avvenuta autenticazione 802.1X, generando chiavi PMK e PTK uniche per sessione. Questa è una differenza fondamentale rispetto al WPA2-Personal, in cui tutti i client condividono lo stesso materiale di derivazione delle chiavi di crittografia. In una rete WPA2-Personal, un malintenzionato che intercetta l'handshake a 4 vie e conosce la PSK può decrittografare tutto il traffico su quella rete. Con WPA2-Enterprise e 802.1X, questo vettore di attacco viene eliminato poiché ogni sessione utilizza materiale di chiavi univoco. Dal punto di vista della conformità, questo è di fondamentale importanza. Lo standard PCI DSS versione 4.0 richiede severi controlli di autenticazione per qualsiasi rete che trasporti dati dei titolari di carta. Il GDPR richiede misure tecniche adeguate per proteggere i dati personali. Se gestisci una rete retail in cui i terminali POS condividono un segmento con il WiFi per gli ospiti, hai un problema serio — e lo standard 802.1X con segmentazione VLAN dinamica è una parte essenziale della soluzione. --- RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE DA EVITARE — circa 2 minuti Bene, parliamo di implementazione. L'errore più comune che riscontro è che le organizzazioni considerano lo standard 802.1X come una scelta binaria: o lo si distribuisce completamente su tutto, o non ci si preoccupa affatto. La realtà è che un approccio graduale è quasi sempre più pratico e di successo. Inizia con il tuo SSID aziendale e i tuoi dispositivi gestiti. Distribuisci un server RADIUS — Microsoft NPS è gratuito e si integra nativamente con Active Directory; FreeRADIUS è l'alternativa open-source per ambienti non Windows. Configura la tua infrastruttura wireless per utilizzare WPA2-Enterprise o WPA3-Enterprise sull'SSID aziendale. Invia la configurazione del supplicant 802.1X ai dispositivi gestiti tramite Criteri di gruppo o la tua piattaforma MDM. Esegui test approfonditi prima del passaggio definitivo. Per il WiFi ospiti, l'approccio è diverso. Gli ospiti non dispongono di credenziali aziendali, quindi non si utilizza l'802.1X nel senso tradizionale. Al contrario, piattaforme come Purple forniscono un livello di Captive Portal che gestisce l'identità degli ospiti — login tramite social, registrazione via email, verifica SMS — e poi inserisce gli ospiti autenticati in una VLAN isolata con policy di larghezza di banda e contenuti appropriate. Questo ti offre i vantaggi dell'acquisizione dei dati e della segmentazione senza richiedere agli ospiti di avere credenziali di directory. Le trappole da evitare: la gestione dei certificati è il problema più comune nelle distribuzioni EAP-TLS. È necessaria una PKI — un'Infrastruttura a Chiave Pubblica — per emettere e gestire i certificati client. Se non ne possiedi una, il sovraccarico operativo di EAP-TLS può essere significativo. PEAP-MSCHAPv2 è più semplice da distribuire ma richiede un'attenzione particolare alla convalida del certificato del server sul lato client — se i client non sono configurati per convalidare il certificato del server RADIUS, si è vulnerabili ad attacchi tramite access point non autorizzati. La disponibilità del server RADIUS è un'altra considerazione fondamentale. Se il server RADIUS si arresta, gli utenti autenticati non possono connettersi. Distribuisci il server RADIUS in una configurazione ad alta disponibilità — come minimo, un server primario e uno secondario — e assicurati che i punti di accesso siano configurati per gestire correttamente il failover. Infine, i dispositivi IoT. Molti dispositivi IoT non supportano i supplicant 802.1X. Per questi, il MAC Authentication Bypass — MAB — rappresenta la soluzione comune, in cui l'indirizzo MAC del dispositivo viene utilizzato come credenziale. Questo metodo è meno sicuro del vero 802.1X, pertanto isola i dispositivi autenticati tramite MAB in una VLAN limitata e monitorali attentamente. --- Q&A RAPIDO — circa 1 minuto Rispondo rapidamente ad alcune domande che ricevo regolarmente. "802.1X funziona con i server RADIUS basati su cloud?" Sì — servizi come Cisco ISE, Aruba ClearPass e le offerte native del cloud RADIUS-as-a-service supportano tutti 802.1X. La piattaforma di Purple si integra con questi sistemi per un'autenticazione unificata di ospiti e dipendenti. "Posso usare 802.1X su una rete cablata oltre che wireless?" Assolutamente sì. Lo standard è stato originariamente progettato per le porte Ethernet cablate e funziona in modo identico sugli switch gestiti. "Qual è l'impatto sulle prestazioni?" Trascurabile all'atto pratico. L'handshake di autenticazione aggiunge poche centinaia di millisecondi al momento della connessione, ma ha un impatto pari a zero sulla larghezza di banda una volta stabilita la sessione. "WPA3 sostituisce 802.1X?" No. WPA3-Enterprise utilizza ancora 802.1X per l'autenticazione — migliora i meccanismi di crittografia e di scambio delle chiavi, ma il framework di autenticazione rimane lo stesso. --- RIASSUNTO E PROSSIMI PASSI — circa 1 minuto Per riassumere: 802.1X è lo standard IEEE per il controllo dell'accesso alla rete basato su porta. Fornisce autenticazione per utente, assegnazione dinamica dei criteri, un audit trail completo e le chiavi di crittografia per sessione che rendono WPA2-Enterprise e WPA3-Enterprise realmente sicuri. È la scelta giusta per qualsiasi rete aziendale, del settore hospitality, retail o pubblico in cui siano necessarie responsabilità individuale e sicurezza di livello compliance. I tuoi prossimi passi immediati: analizza il tuo attuale modello di autenticazione di rete. Se utilizzi una chiave PSK condivisa sul tuo SSID aziendale, questa è la tua prima priorità di risoluzione. Valuta la tua infrastruttura RADIUS — se non ne hai una, Microsoft NPS o FreeRADIUS sono entrambi solidi punti di partenza. E se gestisci il WiFi per gli ospiti insieme all'infrastruttura aziendale, scopri come le piattaforme come Purple possono fornire il livello di identità degli ospiti che integra la tua distribuzione aziendale 802.1X. Per ulteriori dettagli su WPA2 rispetto a WPA3 e su come interagiscono con 802.1X, consulta la guida comparativa di Purple collegata nelle note dell'episodio. Grazie per l'ascolto. Ci vediamo al prossimo briefing.