Cos'è la PKI? Come l'Infrastruttura a chiave pubblica garantisce la sicurezza del WiFi

Questa guida di riferimento tecnico autorevole spiega cos'è l'Infrastruttura a chiave pubblica (PKI) e il suo ruolo cruciale nella sicurezza delle reti WiFi aziendali nei settori dell'ospitalità, del retail e del settore pubblico. Progettata per IT manager, architetti di rete e CTO, offre indicazioni pratiche sull'autenticazione basata su certificati, sulla distribuzione dello standard IEEE 802.1X con EAP-TLS e su come la piattaforma di Purple sfrutti questi standard per una connettività scalabile e conforme. I lettori otterranno una roadmap di implementazione concreta, casi di studio reali e una chiara comprensione di come la PKI elimini le vulnerabilità del WiFi basato su chiavi condivise.

📖 6 minuti di lettura📝 1,484 parole🔧 2 esempi pratici❓ 3 domande di esercitazione📚 9 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

Benvenuti al Purple Technical Briefing. Sono il vostro ospite e oggi affronteremo un componente fondamentale della sicurezza delle reti aziendali: la Public Key Infrastructure, o PKI, e in particolare come garantisce la sicurezza del WiFi attraverso l'autenticazione basata su certificati.

Se siete un IT manager, un architetto di rete o un direttore delle operazioni di una struttura che gestisce la connettività in hotel, catene retail o grandi spazi pubblici, sapete che la tradizionale chiave pre-condivisa (la password attaccata al muro o condivisa su una lavagna) è ormai superata. Rappresenta un enorme rischio per la sicurezza, non fornisce alcuna responsabilità individuale e la sua rotazione è un incubo operativo.

Quindi, qual è l'alternativa? La risposta è lo standard IEEE 802.1X abbinato alla PKI.

Iniziamo dalle basi. Cos'è la PKI?

La Public Key Infrastructure è il framework completo di hardware, software, policy e procedure necessari per creare, gestire, distribuire, utilizzare, memorizzare e revocare certificati digitali. In parole povere, è il sistema che consente di emettere passaporti digitali per ogni dispositivo e utente sulla rete.

Invece di richiedere all'utente di digitare una password, il suo dispositivo presenta un certificato digitale, un documento crittografico formattato secondo lo standard X.509. Questo certificato associa una chiave pubblica a un'identità, come l'indirizzo MAC di un dispositivo o l'indirizzo e-mail di un dipendente.

L'autorità centrale in questo sistema è la Certificate Authority, o CA. Pensate alla CA come al governo che emette quel passaporto. Se la vostra rete si fida della CA, si fida dei certificati emessi da quella CA.

Ora, come si applica tutto questo al WiFi? Questo ci porta a 802.1X e EAP-TLS.

802.1X è lo standard IEEE per il controllo dell'accesso alla rete basato su porta. In sostanza, funge da buttafuori alla porta della vostra rete: l'access point. Blocca tutto il traffico finché il dispositivo non dimostra chi è.

EAP-TLS, che sta per Extensible Authentication Protocol con Transport Layer Security, è il metodo gold standard per questa dimostrazione. Richiede l'autenticazione reciproca. Questo è assolutamente fondamentale.

In EAP-TLS, il dispositivo client presenta il proprio certificato al server RADIUS per dire: 'Sono un dispositivo aziendale valido'. Ma poi, il server RADIUS presenta a sua volta il proprio certificato al client per dire: 'E io sono la rete aziendale legittima, non un access point non autorizzato'.

Questa fiducia reciproca previene ciò che i professionisti della sicurezza chiamano attacchi Evil Twin, in cui un malintenzionato configura un access point non autorizzato con lo stesso nome di rete per rubare le credenziali. Poiché il malintenzionato non dispone di un certificato valido emesso dalla vostra Certificate Authority interna, il dispositivo client rifiuterà di connettersi. Punto.

Parliamo dei componenti in modo più dettagliato.

La gerarchia delle Certificate Authority ha tipicamente tre livelli. In cima c'è la Root CA. Questa è la fonte ultima di fiducia. In una distribuzione ben progettata, la Root CA viene mantenuta completamente offline: fisicamente protetta e isolata (air-gapped). Firma esclusivamente i certificati delle Intermediate CA.

Al di sotto, si trovano una o più Intermediate CA. Queste sono online e gestiscono la firma quotidiana dei certificati delle Issuing CA. La separazione della Root CA dalle Intermediate CA significa che anche se una Intermediate CA viene compromessa, è possibile revocarla senza distruggere l'intera PKI.

Alla base della gerarchia, la Issuing CA è ciò che firma effettivamente i certificati delle entità finali, ovvero quelli installati su laptop, tablet e smartphone.

Ogni certificato contiene diversi campi chiave: il Subject, che identifica il titolare del certificato; l'Issuer, che identifica la CA che lo ha firmato; la Public Key; il Validity Period, che definisce le date di inizio e fine; e la firma digitale della CA emittente.

Ora, esaminiamo uno scenario di implementazione reale.

Immaginate una catena retail con cinquecento negozi. Attualmente utilizzano WPA2-PSK, ovvero una singola password condivisa in tutte le sedi. Il team IT sa che questo è un problema. Il turnover del personale comporta la condivisione della password all'esterno. Non c'è modo di verificare chi sia sulla rete. E se la password di un negozio viene compromessa, l'autore dell'attacco ha accesso all'intero patrimonio aziendale.

Il percorso di migrazione verso la PKI si presenta così.

In primo luogo, selezionare un provider PKI gestito in cloud e integrarlo con la soluzione di Mobile Device Management esistente. In secondo luogo, configurare SCEP (Simple Certificate Enrollment Protocol) per inviare automaticamente certificati univoci e vincolati al dispositivo a ogni dispositivo aziendale. In terzo luogo, distribuire un servizio RADIUS in cloud e configurarlo per convalidare i certificati rispetto alla PKI. In quarto luogo, riconfigurare i controller wireless in ciascun negozio per imporre l'autenticazione 802.1X sull'SSID aziendale. Infine, dismettere la rete PSK.

Il risultato? Ogni dispositivo ha un'identità crittografica univoca. Se un tablet viene rubato, il suo certificato viene revocato nella PKI e, nel giro di pochi minuti, quel dispositivo non può più accedere a nessuna rete in nessun negozio. Nessuna rotazione delle password. Nessun tempo di inattività. Nessun caos operativo.

Ora parliamo di alcune trappole comuni, perché è qui che molte distribuzioni incontrano difficoltà.

Il primo e più comune problema è una gestione carente della revoca. Emettere certificati è la parte facile. Revocarli in modo affidabile è il punto in cui i team spesso falliscono. Il server RADIUS deve essere configurato per controllare attivamente la Certificate Revocation List, o CRL, o utilizzare l'Online Certificate Status Protocol, noto come OCSP, a ogni singolo tentativo di autenticazione. Non solo una volta al giorno. Ogni volta. Se un dispositivo viene compromesso e il suo certificato viene revocato, ma il server RADIUS controlla la CRL solo una volta ogni ventiquattro ore, si ha una finestra di esposizione di ventiquattro ore.

La seconda trappola è la sincronizzazione dell'ora. Questo coglie i team di sorpresa più spesso di quanto si pensi. I certificati digitali sono estremamente sensibili al tempo. Se l'orologio di un dispositivo client è sfasato di più di qualche minuto (ad esempio a causa di un guasto NTP), la convalida del certificato fallirà. Il certificato risulterà non ancora valido o già scaduto. Assicuratevi di avere una configurazione NTP solida su tutta l'infrastruttura di rete.

La terza trappola è la distribuzione della catena di attendibilità. Affinché l'autenticazione reciproca EAP-TLS funzioni, il dispositivo client deve considerare attendibile la Root CA che ha emesso il certificato del server RADIUS. Sui dispositivi Windows aggiunti ad Active Directory, questo viene solitamente gestito in modo automatico tramite Group Policy. Ma per i dispositivi Android, i dispositivi iOS o le apparecchiature BYOD, è necessario inviare il certificato Root CA tramite MDM. Se saltate questo passaggio, tali dispositivi rifiuteranno il certificato del server RADIUS e non riusciranno a connettersi.

Passiamo alle domande a raffica che mi vengono poste più spesso.

Can I use EAP-TLS for guest WiFi? Tecnicamente sì, ma praticamente no. I dispositivi degli ospiti non sono gestiti, quindi non è possibile inviare loro certificati. Le reti ospiti dovrebbero utilizzare un Captive Portal con login social o autenticazione e-mail, mentre l'SSID aziendale utilizza EAP-TLS. Piattaforme come Purple gestiscono questa separazione in modo pulito.

Cos'è OpenRoaming e in che modo la PKI si collega ad esso? OpenRoaming è uno standard WiFi federato che consente agli utenti di connettersi in modo fluido e sicuro alle reti partecipanti utilizzando un profilo pre-configurato, essenzialmente una credenziale basata su certificato. Purple funge da provider di identità gratuito per OpenRoaming con la licenza Connect, il che significa che gli utenti abilitati tramite Purple possono connettersi a qualsiasi struttura abilitata per OpenRoaming senza Captive Portal o password.

Con quale frequenza devono essere rinnovati i certificati? La best practice consiste nell'impostare la durata dei certificati delle entità finali a un anno e automatizzare il rinnovo al raggiungimento del sessanta percento del periodo di validità. Questo offre un margine sostanziale nel caso in cui il processo di rinnovo fallisca.

Per riassumere il briefing di oggi.

La PKI sostituisce i segreti condivisi vulnerabili con l'identità crittografica. Ogni dispositivo riceve un certificato digitale univoco e non falsificabile. EAP-TLS fornisce l'autenticazione reciproca, garantendo che il dispositivo si fidi della rete e la rete si fidi del dispositivo. Il provisioning automatizzato tramite MDM è imprescindibile per distribuzioni scalabili. Un controllo affidabile della revoca è la differenza tra una distribuzione sicura e un falso senso di sicurezza. E per i locali aperti al pubblico, l'adozione di standard basati su PKI come OpenRoaming offre un'esperienza ospite fluida e sicura su larga scala.

Se state pianificando una migrazione al WiFi basato su certificati, la guida di riferimento tecnico completa è disponibile sul sito web di Purple, completa di diagrammi di architettura, checklist di implementazione ed esempi pratici per gli ambienti dell'ospitalità, del retail e della sanità.

Grazie per aver partecipato a questo briefing. Alla prossima.

Punti chiave

✓La PKI sostituisce le vulnerabili password condivise con certificati digitali crittografici, fornendo identità univoche e non falsificabili per ogni dispositivo sulla rete.
✓EAP-TLS offre l'autenticazione reciproca (il dispositivo si autentica sulla rete e la rete si autentica sul dispositivo), prevenendo gli attacchi evil twin.
✓Il provisioning automatizzato dei certificati tramite MDM utilizzando SCEP o EST è imprescindibile per distribuzioni aziendali scalabili; l'installazione manuale non è sostenibile dal punto di vista operativo.
✓Un controllo affidabile della revoca (CRL o OCSP a ogni tentativo di autenticazione) fa la differenza tra una distribuzione realmente sicura e un falso senso di sicurezza.
✓La Root CA deve essere mantenuta offline e isolata (air-gapped); tutta l'emissione quotidiana di certificati passa attraverso le Intermediate CA online per proteggere la radice di attendibilità.
✓Il WiFi basato su certificati soddisfa direttamente i requisiti PCI DSS, GDPR e ISO 27001, fornendo controlli di accesso verificabili e dimostrabili che gli ambienti con chiave condivisa non possono eguagliare.
✓OpenRoaming estende la sicurezza basata su PKI al WiFi per ospiti e visitatori su larga scala, con Purple che funge da provider di identità gratuito con la licenza Connect.

Executive Summary

Per i leader IT aziendali che gestiscono distribuzioni su larga scala in strutture ricettive, retail o del settore pubblico, la protezione dell'accesso wireless è un requisito fondamentale, non un aggiornamento opzionale. Le tradizionali chiavi pre-condivise (PSK) sono inadeguate per gli ambienti aziendali: non forniscono alcuna responsabilità individuale, non possono essere verificate e creano un notevole sovraccarico operativo quando vengono ruotate. La Public Key Infrastructure (PKI) fornisce la base crittografica necessaria per una sicurezza di rete solida e scalabile. Questa guida descrive in dettaglio cos'è la PKI, come garantisce la sicurezza del WiFi aziendale attraverso l'autenticazione basata su certificati e i passaggi concreti necessari per distribuire lo standard IEEE 802.1X con EAP-TLS. Passando a un'architettura basata su PKI, le organizzazioni possono eliminare il furto di credenziali, automatizzare l'onboarding dei dispositivi e garantire un accesso fluido e sicuro sia per i dispositivi aziendali che per gli ospiti, soddisfacendo al contempo i requisiti di PCI DSS, GDPR e ISO 27001.

Technical Deep-Dive: Understanding PKI in Enterprise WiFi

La Public Key Infrastructure (PKI) è il framework di hardware, software, policy e procedure necessari per creare, gestire, distribuire, utilizzare, memorizzare e revocare certificati digitali e gestire la crittografia a chiave pubblica. Nel contesto del WiFi aziendale, la PKI è il motore che gestisce la verifica dell'identità e la crittografia, sostituendo la password condivisa, intrinsecamente insicura, con un'identità crittografica univoca per ciascun dispositivo o utente.

The Core Components of PKI

Nel profondo, la PKI si basa sulla crittografia asimmetrica, in cui vengono utilizzate due chiavi matematicamente correlate: una chiave pubblica (condivisa apertamente) e una chiave privata (tenuta segreta). I dati crittografati con la chiave pubblica possono essere decrittografati solo dalla chiave privata corrispondente, e viceversa. I componenti principali di una distribuzione PKI sono i seguenti.

Componente	Ruolo	Contesto WiFi aziendale
Certificate Authority (CA)	Emette e firma certificati digitali	La radice di attendibilità per la tua rete; tutti i dispositivi devono fidarsi della CA
Digital Certificate (X.509)	Associa una chiave pubblica a un'identità	Installato su ciascun dispositivo aziendale; presentato durante l'autenticazione 802.1X
RADIUS Server	Convalida i certificati e concede l'accesso alla rete	Il motore decisionale che accetta o rifiuta le richieste di connessione
Registration Authority (RA)	Verifica l'identità prima dell'emissione del certificato	Spesso gestita da MDM/UEM nelle distribuzioni automatizzate
CRL / OCSP	Controlla se un certificato è stato revocato	Fondamentale per bloccare i dispositivi compromessi o rubati in tempo reale

How PKI Powers 802.1X and EAP-TLS

La sicurezza del WiFi aziendale si basa sullo standard IEEE 802.1X per il controllo dell'accesso alla rete basato su porta. Se combinata con l'Extensible Authentication Protocol (EAP), in particolare EAP-TLS (Transport Layer Security), la PKI offre il massimo livello di sicurezza wireless: l'autenticazione reciproca.

In una distribuzione EAP-TLS, il dispositivo client presenta il proprio certificato digitale alla rete per dimostrare la propria identità, e il server RADIUS presenta il proprio certificato al client, dimostrando che la rete è legittima e non un access point non autorizzato 'evil twin'. Questa fiducia reciproca si stabilisce perché entrambe le parti si fidano della Root CA che ha emesso i certificati. Una volta autenticata, la sessione viene crittografata utilizzando la suite di cifratura TLS negoziata, impedendo intercettazioni e attacchi man-in-the-middle.

Il flusso EAP-TLS opera su quattro entità logiche: il Dispositivo Client (supplicant), l'Access Point (authenticator), il Server RADIUS (authentication server) e la Certificate Authority. L'access point funge da relè trasparente: non prende direttamente la decisione di autenticazione. Tale decisione spetta interamente al server RADIUS, che convalida la catena di certificati fino alla Root CA attendibile.

Implementation Guide: Deploying Certificate-Based WiFi

Il passaggio a un'architettura WiFi basata su PKI richiede un'attenta pianificazione in quattro fasi.

Phase 1: Architecture and CA Selection

Decidere se creare una PKI interna (ad esempio, Microsoft Active Directory Certificate Services) o utilizzare un provider PKI in cloud gestito. Per le distribuzioni moderne su larga scala, la PKI in cloud riduce significativamente il sovraccarico amministrativo e fornisce un'elevata disponibilità integrata. Assicurarsi che la CA scelta si integri perfettamente con la soluzione di Mobile Device Management (MDM) o Unified Endpoint Management (UEM). Per gli ambienti che utilizzano il Guest WiFi , assicurarsi che l'infrastruttura RADIUS sia progettata per gestire sia il traffico aziendale 802.1X sia l'autenticazione tramite Captive Portal degli ospiti su SSID separati.

Phase 2: RADIUS Server Configuration

Distribuire un server RADIUS robusto; le opzioni includono FreeRADIUS, Cisco ISE, Aruba ClearPass o un servizio RADIUS-as-a-Service nativo del cloud. Configurare il server RADIUS con il proprio certificato server emesso dalla CA. Questo passaggio è fondamentale: senza un certificato server valido, il client non può eseguire l'autenticazione reciproca e sarà vulnerabile ad attacchi evil twin. Per le distribuzioni in grandi strutture, considerare le configurazioni proxy RADIUS per supportare il roaming tra le sedi. Le strutture che distribuiscono piattaforme di WiFi Analytics dovrebbero garantire che i dati di accounting RADIUS vengano inseriti nella pipeline di analisi per un'accurata attribuzione delle sessioni.

Phase 3: Automated Certificate Provisioning

L'installazione manuale dei certificati non è scalabile ed è soggetta a errori. Sfruttare protocstrumenti come SCEP (Simple Certificate Enrollment Protocol) o EST (Enrollment over Secure Transport) tramite il tuo MDM per inviare silenziosamente i certificati ai dispositivi aziendali. Per gli scenari BYOD, implementa un portale di onboarding che distribuisca in modo sicuro un certificato al dispositivo dell'utente dopo la verifica iniziale dell'identità. Per i dispositivi IoT headless — come apparecchiature mediche, terminali point-of-sale o digital signage — i certificati devono essere configurati durante la fase di staging del dispositivo prima della distribuzione.

Fase 4: Applicazione delle policy di rete

Configura i tuoi controller wireless e access point per applicare lo standard 802.1X sull'SSID aziendale. Mappa gli attributi del certificato (come il Subject Alternative Name o il campo OU) a VLAN specifiche o policy del firewall utilizzando gli attributi RADIUS, garantendo un accesso alla rete con privilegi minimi. Per le sedi che utilizzano hardware di vendor specifici, consulta le guide specifiche del produttore come La tua guida a un Wireless Access Point Ruckus per i passaggi di configurazione specifici della piattaforma.

Best Practice per la PKI aziendale

Proteggi la Root CA. Se utilizzi una PKI interna, la Root CA deve essere mantenuta offline e protetta fisicamente. Solo le CA intermedie dovrebbero essere online ed emettere attivamente certificati. Una Root CA compromessa invalida l'intera PKI.

Implementa una verifica robusta della revoca. Assicurati che i tuoi server RADIUS controllino attivamente le CRL o utilizzino OCSP per verificare lo stato del certificato a ogni tentativo di autenticazione. Un dispositivo compromesso deve vedere il proprio certificato revocato immediatamente per bloccare l'accesso. Configurare il server RADIUS per memorizzare nella cache le risposte CRL troppo a lungo crea una finestra di vulnerabilità.

Automatizza i rinnovi prima della scadenza. I certificati scadono. Implementa processi di rinnovo automatico attivati al 60–70% del periodo di validità del certificato per prevenire interruzioni di rete causate da certificati scaduti. La scadenza dei certificati è una delle cause più comuni di interruzioni WiFi non pianificate negli ambienti aziendali.

Adotta OpenRoaming per i luoghi pubblici. Per le strutture nei settori Hospitality , Retail , Transport e Healthcare , la partecipazione a OpenRoaming offre una connettività guest fluida e sicura su larga scala. Purple funge da identity provider gratuito per OpenRoaming con la licenza Connect, consentendo agli utenti con profili esistenti di connettersi in modo sicuro senza un Captive Portal o password — supportato dallo stesso modello di attendibilità PKI descritto in questa guida.

Risoluzione dei problemi e mitigazione dei rischi

Anche con una pianificazione attenta, le distribuzioni PKI incontrano modalità di guasto prevedibili. La tabella seguente riassume i problemi più comuni e le relative soluzioni.

Modalità di guasto	Sintomo	Causa principale	Risoluzione
Errore di sincronizzazione dell'ora	Errori di convalida del certificato su tutti i dispositivi	Errata configurazione NTP sul client o sul RADIUS	Applica la policy NTP tramite MDM e infrastruttura di rete
Errore della catena di attendibilità	Tipi di dispositivi specifici (es. Android) non riescono a connettersi	Root CA non presente nell'archivio radice attendibile del dispositivo	Invia la Root CA tramite profilo MDM
CRL non raggiungibile	Errori di autenticazione intermittenti	Il firewall blocca gli endpoint CRL/OCSP	Apri le regole del firewall per i punti di distribuzione della CA
Scadenza del certificato	Disconnessione di massa improvvisa	Automazione del rinnovo non configurata	Implementa il rinnovo attivato da MDM al 60% della validità
Mancata corrispondenza del certificato RADIUS	Tutti i client falliscono l'autenticazione reciproca	Certificato del server RADIUS scaduto o CA errata	Rinnova il certificato del server RADIUS e distribuisci nuovamente

Specificamente per gli ambienti sanitari, dove i tempi di inattività della rete hanno implicazioni dirette sulla sicurezza dei pazienti, consulta WiFi negli ospedali: una guida per reti cliniche sicure per raccomandazioni sulla resilienza di livello clinico.

ROI e impatto sul business

L'implementazione della PKI per la sicurezza WiFi offre un valore aziendale misurabile su tre dimensioni.

Riduzione del rischio e conformità. L'eliminazione delle password condivise rimuove il vettore più comune per il movimento laterale nella rete. L'autenticazione basata su certificati soddisfa direttamente i requisiti previsti da PCI DSS (Requisito 8.6), GDPR (Misure tecniche dell'Articolo 32) e ISO 27001 (Allegato A.9). La capacità di revocare istantaneamente un certificato quando un dipendente lascia l'azienda o un dispositivo viene rubato fornisce un controllo verificabile e dimostrabile che gli ambienti a chiave condivisa semplicemente non possono eguagliare.

Efficienza operativa. La distribuzione automatizzata dei certificati tramite MDM riduce in modo significativo i ticket dell'helpdesk IT relativi a problemi di connettività WiFi — ripristino delle password, rotazione delle chiavi e ritardi di onboarding. Nei settori retail con un elevato turnover del personale, ciò si traduce direttamente in minori costi di supporto IT e tempi di implementazione dei dispositivi più rapidi.

Esperienza utente e guest migliorata. L'autenticazione basata su certificati è invisibile all'utente finale. I dipendenti aziendali si connettono automaticamente e in modo sicuro senza alcun passaggio manuale. Per gli ospiti, piattaforme come la soluzione WiFi Guest di Purple gestiscono la separazione tra l'accesso aziendale gestito e l'onboarding dei guest, garantendo a ciascun pubblico l'esperienza di autenticazione appropriata senza compromettere la sicurezza su nessuna delle due reti.

Definizioni chiave

Infrastruttura a chiave pubblica (PKI)

Il framework completo di ruoli, policy, hardware e software utilizzato per gestire i certificati digitali e la crittografia a chiave pubblica. Stabilisce le relazioni di fiducia che consentono a dispositivi e server di verificare reciprocamente le proprie identità in modo crittografico.

L'architettura fondamentale necessaria per abbandonare le password condivise e passare a una sicurezza di rete basata sull'identità. Ogni distribuzione WiFi aziendale che utilizza 802.1X dipende da una PKI.

Certificate Authority (CA)

Un'entità fidata che emette, firma e gestisce i certificati digitali. Funge da radice di attendibilità (root of trust) in una PKI: qualsiasi certificato firmato dalla CA è considerato attendibile da tutte le parti che si fidano della CA.

Il pilastro centrale della sicurezza della tua rete. Se la CA viene compromessa, tutti i certificati da essa emessi sono potenzialmente compromessi. Proteggere la Root CA è il singolo controllo di sicurezza più importante in una distribuzione PKI.

X.509

Lo standard ITU-T che definisce il formato dei certificati a chiave pubblica. I certificati X.509 contengono campi tra cui Subject, Issuer, Public Key, Validity Period e la firma digitale della CA.

Durante la configurazione delle policy del server RADIUS, i team IT mappano campi X.509 specifici, come il Subject Alternative Name (SAN) o l'Organisational Unit (OU), alle assegnazioni VLAN e alle policy di accesso.

IEEE 802.1X

Lo standard IEEE per il controllo dell'accesso alla rete basato su porta (PNAC). Fornisce un meccanismo di autenticazione che blocca tutto il traffico di rete sull'access point finché l'identità del dispositivo di connessione non viene verificata da un server di autenticazione.

Il protocollo che impone l'autenticazione basata su certificati presso l'access point wireless. Senza 802.1X, un dispositivo può connettersi all'SSID senza dimostrare la propria identità.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Un metodo EAP che utilizza certificati client e server per stabilire una sessione TLS crittografata e reciprocamente autenticata. È il metodo EAP più sicuro disponibile per il WiFi aziendale.

Il gold standard per l'autenticazione WiFi aziendale. A differenza di PEAP o EAP-TTLS, che utilizzano password all'interno di un tunnel TLS, EAP-TLS elimina completamente le password, sostituendole con certificati crittografici.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e contabilità (AAA). Nelle distribuzioni 802.1X, il server RADIUS riceve il certificato del client dall'access point, lo convalida rispetto alla CA e restituisce una decisione di accesso.

Il motore decisionale dello stack di autenticazione WiFi aziendale. RADIUS gestisce anche l'assegnazione dinamica della VLAN, consentendo la segmentazione della rete in base all'identità del dispositivo o al ruolo dell'utente.

Certificate Revocation List (CRL)

Un elenco pubblicato periodicamente di certificati che sono stati revocati dalla CA emittente prima della data di scadenza prevista. I server RADIUS controllano la CRL per garantire che non venga concesso l'accesso a dispositivi compromessi o dismessi.

Fondamentale per mantenere la sicurezza in caso di smarrimento, furto o dismissione dei dispositivi. Il controllo della CRL deve essere configurato sul server RADIUS; non avviene automaticamente.

Autenticazione reciproca

Un processo di sicurezza in cui entrambe le parti in un collegamento di comunicazione si autenticano a vicenda simultaneamente. In EAP-TLS, il client si autentica sulla rete e la rete si autentica sul client.

Previene gli attacchi 'Evil Twin' in cui un hacker configura un access point non autorizzato con lo stesso SSID della rete aziendale per intercettare le credenziali. Senza autenticazione reciproca, il client non ha modo di verificare se si sta connettendo alla rete legittima.

SCEP (Simple Certificate Enrollment Protocol)

Un protocollo che consente la distribuzione automatizzata e scalabile di certificati digitali ai dispositivi tramite un MDM o un sistema di gestione dei dispositivi di rete.

Il meccanismo che rende le distribuzioni PKI aziendali operativamente sostenibili su larga scala. Senza SCEP o un protocollo di registrazione automatizzato simile, il provisioning dei certificati su migliaia di dispositivi richiederebbe un intervento manuale.

Esempi pratici

Una grande catena retail con 500 negozi deve proteggere il proprio WiFi aziendale per i tablet POS (point-of-sale) dei dipendenti e gli scanner di inventario. Attualmente utilizza una singola chiave WPA2-PSK in tutti i negozi, che viene spesso condivisa con non dipendenti e non può essere verificata. Come dovrebbe riprogettare la propria architettura di autenticazione?

La catena retail deve migrare a WPA3-Enterprise utilizzando 802.1X e EAP-TLS. Passaggio 1: Selezionare un provider PKI gestito in cloud e integrarlo con la soluzione MDM esistente che gestisce i tablet POS e gli scanner. Passaggio 2: Configurare SCEP per inviare automaticamente certificati digitali univoci e vincolati al dispositivo a ogni dispositivo aziendale tramite MDM. Passaggio 3: Distribuire un servizio Cloud RADIUS e configurarlo per convalidare i certificati rispetto alla PKI, con il controllo OCSP abilitato. Passaggio 4: Riconfigurare i controller wireless in ciascun negozio per imporre l'autenticazione 802.1X sull'SSID aziendale. Passaggio 5: Dismettere la rete PSK. Passaggio 6: Configurare l'assegnazione della VLAN tramite gli attributi RADIUS per segmentare i dispositivi POS dai dispositivi del personale generico a livello di rete.

Commento dell'esaminatore: Questo approccio elimina completamente la vulnerabilità della chiave condivisa. Poiché i certificati vengono distribuiti tramite MDM e vincolati all'hardware del dispositivo, non possono essere estratti e condivisi all'esterno. In caso di smarrimento o furto di un tablet, il suo certificato specifico viene revocato tramite l'integrazione MDM/PKI, bloccando istantaneamente l'accesso alla rete di quel dispositivo senza influire su altri negozi o dispositivi. La segmentazione VLAN tramite attributi RADIUS soddisfa inoltre i requisiti di segmentazione della rete PCI DSS per gli ambienti di dati dei titolari di carta.

Una grande rete ospedaliera sta distribuendo nuove pompe di infusione medica wireless in tre sedi. Questi dispositivi sono privi di un'interfaccia utente per inserire le credenziali o accettare le richieste del Captive Portal. Come possono essere collegati in modo sicuro alla rete WiFi clinica senza creare una vulnerabilità legata alla chiave condivisa?

Implementare un'architettura basata su PKI specificamente per dispositivi medici IoT headless. Passaggio 1: Generare certificati X.509 specifici per ciascuna pompa di infusione, utilizzando il numero di serie del dispositivo come Subject Common Name. Passaggio 2: Installare i certificati sulle pompe durante la fase di staging e provisioning, prima della distribuzione clinica. Passaggio 3: Configurare l'SSID del WiFi clinico per 802.1X EAP-TLS. Passaggio 4: Configurare il server RADIUS per mappare il Subject CN del certificato del dispositivo su una VLAN specifica dedicata ai dispositivi medici. Passaggio 5: Implementare il controllo CRL per consentire la revoca istantanea in caso di dismissione o richiamo del dispositivo.

Commento dell'esaminatore: Questo è l'approccio standard per le distribuzioni IoT sicure in ambienti clinici, come dettagliato in [WiFi negli ospedali: una guida per reti cliniche sicure](/blog/wifi-in-hospitals). Fornisce una solida sicurezza basata sull'identità senza richiedere l'interazione dell'utente, il che è fondamentale per i dispositivi medici headless. L'assegnazione della VLAN tramite RADIUS garantisce che, anche se il certificato di una pompa venisse in qualche modo compromesso, il dispositivo avrebbe accesso solo alla VLAN dei dispositivi clinici, e non alla rete ospedaliera più ampia.

Domande di esercitazione

Q1. La tua organizzazione sta migrando da PEAP (nome utente/password) a EAP-TLS (certificati) per l'SSID aziendale. Durante i test, i laptop Windows si connettono correttamente, ma i dispositivi Android falliscono costantemente. I log RADIUS mostrano che i dispositivi Android rifiutano il certificato del server durante l'handshake TLS. Qual è la causa più probabile e come si risolve?

Suggerimento: Considera il concetto di autenticazione reciproca e la catena di attendibilità. Di cosa ha bisogno il dispositivo Android per considerare attendibile il certificato del server RADIUS?

Visualizza risposta modello

I dispositivi Android non hanno il certificato Root CA installato nel loro archivio root attendibile. I laptop Windows ricevono automaticamente la Root CA tramite Group Policy, ma i dispositivi Android richiedono che la Root CA venga inviata tramite un profilo MDM. Senza la Root CA nell'archivio attendibile, il dispositivo Android non può verificare la catena di certificati del server RADIUS, il che lo porta a rifiutare il certificato del server e a interrompere l'handshake TLS. Risoluzione: creare un profilo di configurazione MDM che installi il certificato Root CA nell'archivio root attendibile su tutti i dispositivi Android gestiti, quindi ripetere il test.

Q2. Il laptop aziendale di un dipendente recentemente licenziato continua a connettersi correttamente alla rete WiFi aziendale due giorni dopo la disattivazione del suo account Active Directory. La rete utilizza EAP-TLS. Perché succede questo e cosa si deve fare per evitarlo?

Suggerimento: La disattivazione di un account Active Directory non invalida automaticamente un certificato crittografico. Considera cosa sta effettivamente convalidando il server RADIUS.

Visualizza risposta modello

Il server RADIUS convalida il certificato, non lo stato dell'account Active Directory. Poiché il certificato è ancora matematicamente valido e non è stato revocato, the RADIUS server concede l'accesso. Per risolvere immediatamente, il certificato specifico emesso per quel laptop deve essere revocato nella Certificate Authority. Per prevenire questo problema in modo sistematico, integra il processo di offboarding delle risorse umane con l'MDM e la PKI: quando un dipendente viene licenziato, l'MDM dovrebbe revocare automaticamente il certificato del dispositivo e annullarne la registrazione. Inoltre, assicurati che il server RADIUS sia configurato per controllare l'OCSP o la CRL a ogni tentativo di autenticazione (non solo periodicamente), in modo che la revoca abbia effetto immediato.

Q3. Stai progettando l'architettura di rete per un grande stadio che desidera offrire un WiFi fluido e sicuro a 60.000 spettatori senza richiedere a ciascuno di passare attraverso un Captive Portal. La struttura desidera inoltre supportare gli espositori aziendali che necessitano di un accesso protetto da 802.1X per le loro apparecchiature POS. In che modo la PKI influisce su entrambi i requisiti?

Suggerimento: Considera che ci sono due tipi di pubblico distinti con esigenze di autenticazione diverse. OpenRoaming si rivolge a uno; un SSID aziendale dedicato con 802.1X si rivolge all'altro.

Visualizza risposta modello

Sono necessari due SSID separati. Per i 60.000 spettatori, implementa OpenRoaming. La rete dello stadio deve essere configurata per considerare attendibili le Root CA di OpenRoaming. Quando il dispositivo di un visitatore (fornito da un provider di identità come Purple o da un operatore mobile) si connette, presenta un certificato. Il server RADIUS lo convalida rispetto alla catena di attendibilità di OpenRoaming e concede un accesso sicuro e crittografato senza un Captive Portal. Per gli espositori aziendali con apparecchiature POS, distribuisci un SSID 802.1X separato utilizzando EAP-TLS. Agli espositori vengono emessi certificati temporanei per i dispositivi durante il processo di accreditamento, che vengono revocati automaticamente dopo l'evento. Gli attributi RADIUS assegnano i dispositivi POS a una VLAN dedicata, soddisfacendo i requisiti di segmentazione della rete PCI DSS.

Continua a leggere questa serie

PSK per dispositivo per fornitore: confronto tra iPSK, DPSK, MPSK e PPSK (e supporto WPA3)

Un confronto completo delle implementazioni PSK per dispositivo tra Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet e Ubiquiti UniFi. Scopri come WPA3-SAE influisce sulle strategie delle chiavi per dispositivo e quando distribuire le modalità di transizione rispetto al passaggio a 802.1X.

What Is MAC Address Authentication? When to Use It and When to Avoid It

Questa guida tecnica di riferimento autorevole copre l'autenticazione tramite indirizzo MAC negli ambienti WiFi aziendali — come funziona l'autenticazione MAC basata su RADIUS al Livello 2, le sue vulnerabilità di sicurezza intrinseche (inclusi lo spoofing MAC e l'impatto della randomizzazione MAC a livello di OS), e i precisi contesti operativi in cui rimane uno strumento valido per la gestione di dispositivi IoT e headless. Fornisce indicazioni pratiche per l'implementazione a responsabili IT e architetti di rete in strutture ricettive, retail, sanitarie e del settore pubblico, con esempi pratici, framework decisionali e contesto di integrazione per la piattaforma di guest WiFi e analisi di Purple.

How to Set Up Enterprise WiFi on iOS and macOS with 802.1X

Questa guida autorevole fornisce ai leader IT senior passaggi pratici per l'implementazione del WiFi aziendale 802.1X su dispositivi iOS e macOS. Copre l'autenticazione basata su certificati (EAP-TLS), i profili di configurazione MDM e l'integrazione dell'architettura per proteggere le reti aziendali supportando al contempo le iniziative BYOD.