Cos'è l'autenticazione RADIUS e come funziona?

Questa guida fornisce un riferimento tecnico definitivo sull'autenticazione RADIUS per i leader IT che gestiscono implementazioni di WiFi aziendali e per gli ospiti. Demistifica il protocollo AAA, spiega come i metodi 802.1X ed EAP lavorano insieme e descrive in dettaglio come la piattaforma cloud-based di Purple semplifica l'implementazione per hotel, catene di vendita al dettaglio, stadi e organizzazioni del settore pubblico. I lettori otterranno una chiara roadmap di implementazione, casi di studio reali e i framework decisionali necessari per migrare da chiavi pre-condivise non sicure a un'architettura di controllo degli accessi di rete robusta e basata sull'identità.

📖 6 minuti di lettura📝 1,416 parole🔧 2 esempi pratici❓ 3 domande di esercitazione📚 10 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

### Cos'è l'autenticazione RADIUS e come funziona? — Purple Technical Briefing

**[INTRO — 1 minuto]**

Benvenuti al Purple Technical Briefing. Sono il vostro ospite e nei prossimi dieci minuti faremo chiarezza su una delle tecnologie più critiche per la sicurezza delle reti aziendali: l'autenticazione RADIUS. Se siete un IT manager, un network architect o un CTO responsabile del WiFi presso una grande struttura — un hotel, una catena di negozi, uno stadio o un centro congressi — questo briefing è pensato appositamente per voi. Andremo oltre il gergo tecnico, spiegheremo chiaramente l'architettura e vi forniremo le informazioni pratiche necessarie per prendere decisioni informate in questo trimestre.

Iniziamo con una visione d'insieme. Perché tutto questo è importante?

Se gestite ancora il vostro WiFi per ospiti o personale con una singola password condivisa — una Pre-Shared Key, o PSK — state operando con un rischio di sicurezza significativo e crescente. Quella password viene condivisa, scritta sugli scontrini, fotografata sulle lavagne e inoltrata tramite app di messaggistica. Una volta trapelata, non avrete alcuna visibilità su chi è presente nella vostra rete, nessuna possibilità di revocare l'accesso a un singolo utente senza interrompere il servizio per tutti e nessun registro di controllo in caso di problemi. Per le organizzazioni soggette a PCI DSS, GDPR o HIPAA, questo non è solo un problema tecnico. È una responsabilità in termini di conformità.

RADIUS è la soluzione su cui il settore è confluito per affrontare questo problema. Vediamo quindi di capire esattamente cos'è e come funziona.

**[APPROFONDIMENTO TECNICO — 5 minuti]**

RADIUS è l'acronimo di Remote Authentication Dial-In User Service. Il nome è un retaggio storico dei primi tempi delle connessioni dial-up, ma il protocollo si è evoluto in modo significativo e oggi rimane la spina dorsale del controllo degli accessi alla rete aziendale. Nel profondo, RADIUS è un sistema centralizzato basato su server che gestisce l'accesso alla rete utilizzando un framework chiamato AAA — Autenticazione, Autorizzazione e Accounting. Questi tre pilastri sono le fondamenta di tutto ciò di cui parleremo oggi.

L'autenticazione è il primo pilastro: verificare l'identità di qualcuno. L'autorizzazione è il secondo: determinare cosa è autorizzato a fare. E l'accounting è il terzo: registrare ciò che ha effettivamente fatto. Esploriamoli uno per uno.

Autenticazione. Quando un utente tenta di connettersi a una rete WiFi protetta con WPA2-Enterprise o WPA3-Enterprise, il suo dispositivo — che chiamiamo Supplicant — invia una richiesta di connessione all'access point wireless. L'access point, che chiamiamo Authenticator, non prende autonomamente la decisione di autenticazione. Agisce come un relay, inoltrando la richiesta al server RADIUS. Il server RADIUS convalida quindi l'identità dell'utente confrontandola con una sorgente di identità configurata. Questa potrebbe essere Microsoft Active Directory, Azure Active Directory, Google Workspace, Okta o un database utenti locale. La sorgente di identità rappresenta l'unica fonte di verità (\"single source of truth\") per stabilire chi è autorizzato ad accedere alla rete.

Il server RADIUS può convalidare l'identità in diversi modi. I più comuni negli ambienti aziendali sono i metodi basati su credenziali, in cui l'utente fornisce un nome utente e una password, e i metodi basati su certificati, in cui il dispositivo dell'utente presenta un certificato digitale. Parleremo a breve delle implicazioni di sicurezza di ciascuno.

Autorizzazione. Una volta autenticato l'utente, il server RADIUS non si limita a dare il via libera e a farsi da parte. Comunica anche all'access point esattamente cosa fare con questo utente. Invia un set di attributi — essenzialmente istruzioni — che definiscono l'esperienza di rete dell'utente. Il più importante di questi è in genere l'assegnazione della VLAN. Il server RADIUS potrebbe stabilire: questo utente è un membro del gruppo del personale aziendale, assegnalo alla VLAN 10, che ha accesso ai server di file interni e alle stampanti. Oppure: questo utente è un ospite, assegnalo alla VLAN 20, che ha solo accesso a Internet ed è completamente isolata dalla rete aziendale. Questa assegnazione dinamica della VLAN è una delle funzionalità più potenti di RADIUS ed è il meccanismo che consente una corretta segmentazione della rete.

Accounting. Il terzo pilastro viene spesso trascurato, ma è di fondamentale importanza per la conformità e le operazioni. Man mano che la sessione di un utente procede, il server RADIUS registra le informazioni chiave: l'ora in cui si è connesso, l'ora in cui si è disconnesso, la durata totale della sessione, la quantità di dati trasferiti e l'indirizzo MAC del dispositivo. Questo crea un registro di audit dettagliato per ogni connessione sulla rete. Secondo lo standard GDPR e i requisiti di conformità come il PCI DSS 4.0, questo tipo di logging non è opzionale — è un requisito rigido. E in caso di incidente di sicurezza, questi log sono preziosi per l'indagine forense.

Ora parliamo dello standard tecnico che rende possibile tutto questo: IEEE 802.1X.

L'802.1X è lo standard che definisce il controllo dell'accesso alla rete basato su porte. È il protocollo che consente a un access point di bloccare tutto il traffico di rete da un dispositivo finché il server RADIUS non ha confermato che il dispositivo è autorizzato. La comunicazione tra il dispositivo dell'utente e l'access point utilizza un protocollo chiamato EAP — l'Extensible Authentication Protocol. L'EAP è essenzialmente un framework che supporta molteplici metodi di autenticazione.

I tre metodi EAP più comuni nel WiFi aziendale sono: PEAP, che sta per Protected Extensible Authentication Protocol; EAP-TTLS; ed EAP-TLS.

PEAP ed EAP-TTLS sono metodi basati su credenziali. Creano un tunnel crittografato tra il dispositivo e il server RADIUS, quindi il nome utente e la password dell'utente vengono verificati all'interno di quel tunnel. Sono relativamente facili da distribuire e funzionano bene in ambienti in cui non si è ancora pronti per un'infrastruttura di certificazione completa.

EAP-TLS è il gold standard. È basato su certificati, il che significa che sia il server che il dispositivo client presentano certificati digitali per autenticarsi a vicenda. Non è coinvolta alcuna password. Questo elimina completamente il rischio di furto di credenziali, attacchi di phishing e attacchi man-in-the-middle. Per i dispositivi aziendali, EAP-TLS è il metodo di autenticazione verso cui dovreste orientarvi.

**[IMPLEMENTAZIONE E TRAPPOLE COMUNI — 2 minuti]**

Quindi, come si distribuisce effettivamente tutto questo? Vi guiderò attraverso i passaggi chiave.

In primo luogo, scegliete il vostro server RADIUS. È possibile distribuire un server on-premise — il Network Policy Server di Microsoft è una scelta comune in ambienti Windows — oppure utilizzare un servizio RADIUS basato su cloud. Le piattaforme Cloud RADIUS, come quella offerta da Purple, offrono un'infrastruttura completamente gestita e ad alta disponibilità senza i costi operativi di gestione. Per le organizzazioni multi-sito, l'approccio cloud è quasi sempre la scelta giusta.

In secondo luogo, integrate la vostra sorgente di identità. Collegate il server RADIUS alla directory delle identità della vostra organizzazione. La maggior parte delle moderne piattaforme cloud RADIUS supporta l'integrazione diretta con Azure AD, Google Workspace e Okta.

In terzo luogo, configurate l'hardware di rete. Create un nuovo SSID configurato per WPA2-Enterprise o WPA3-Enterprise e indirizzatelo verso il vostro server RADIUS. Configurerete anche un segreto condiviso — una password che crittografa la comunicazione tra l'access point e il server RADIUS. Questo segreto condiviso deve corrispondere esattamente su entrambi i lati. Una mancata corrispondenza in questo punto è una delle cause più comuni di fallimento dell'autenticazione durante la distribuzione iniziale.

In quarto luogo, definite le vostre policy di autorizzazione. Mappate i gruppi di utenti sulle policy di rete: il personale ottiene l'accesso completo sulla VLAN 10, gli ospiti ottengono l'accesso solo a Internet sulla VLAN 20.

Quinto, abilitate i vostri utenti. Per il personale aziendale, distribuite i profili WiFi tramite la vostra piattaforma MDM. Per gli ospiti, utilizzate un Captive Portal. La piattaforma di Purple automatizza il flusso di onboarding degli ospiti, supportando accessi tramite social media, moduli di registrazione e codici voucher.

**[Domande e Risposte Rapide — 1 minuto]**

Facciamo una sessione rapida di domande e risposte sui quesiti che sentiamo più spesso.

Primo: Qual è la differenza tra RADIUS e un Captive Portal? Un Captive Portal è la pagina di login che gli ospiti vedono quando si connettono. Funziona con RADIUS. Il portale è l'interfaccia utente; RADIUS è il motore di back-end.

Secondo: Posso usare RADIUS per reti cablate? Assolutamente sì. Lo standard 802.1X si applica ugualmente alla rete Ethernet cablata e alle reti Wi-Fi.

Terzo: RADIUS è difficile da configurare? Ha una reputazione di complessità, ma le moderne piattaforme cloud hanno cambiato radicalmente la situazione. Con un servizio gestito come Purple, è possibile configurare e avviare rapidamente una distribuzione RADIUS pronta per la produzione.

**[RIEPILOGO E PROSSIMI PASSI — 1 minuto]**

In sintesi: RADIUS è il protocollo centralizzato che gestisce la sicurezza WiFi aziendale. Implementa il framework AAA per offrirti un controllo granulare su chi può accedere alla tua rete, su cosa può fare e un audit trail completo delle loro attività. Per gestori di sedi, albergatori, rivenditori e organizzazioni del settore pubblico, l'implementazione di RADIUS è il passo fondamentale per creare un'infrastruttura WiFi sicura, conforme e gestita in modo professionale.

Il tuo prossimo passo è chiaro: se utilizzi ancora chiavi pre-condivise, inizia a pianificare la migrazione oggi stesso. Verifica il supporto a WPA3-Enterprise sul tuo hardware attuale, valuta le opzioni di integrazione con le directory di identità ed esplora una piattaforma cloud RADIUS in grado di scalare con la tua organizzazione.

Questo è tutto per questo Purple Technical Briefing. Grazie per l'ascolto. Per saperne di più su come Purple può aiutarti a distribuire un WiFi sicuro e intelligente nelle tue sedi, visitaci su purple dot ai. Alla prossima, resta al sicuro.

Punti chiave

✓RADIUS è il protocollo standard del settore per il controllo centralizzato degli accessi alla rete, che implementa il framework AAA (Authentication, Authorization, Accounting) per gestire chi può accedere al tuo WiFi, cosa può fare e per registrare tutte le attività.
✓Sostituisce le chiavi precondivise (PSK) insicure con un'autenticazione robusta basata sull'identità, garantendo che ogni utente e dispositivo abbia un'identità unica e verificabile sulla rete.
✓IEEE 802.1X è lo standard che consente a RADIUS di funzionare con gli access point WiFi, bloccando tutto il traffico di rete da un dispositivo fino a quando il server RADIUS non ha confermato l'autorizzazione.
✓EAP-TLS (autenticazione basata su certificati) è il gold standard per i dispositivi aziendali, eliminando completamente le password e offrendo la massima protezione contro il furto di credenziali e il phishing.
✓L'assegnazione dinamica della VLAN tramite policy di autorizzazione RADIUS è il meccanismo che impone la segmentazione della rete, un controllo obbligatorio per la conformità PCI DSS e un pilastro dell'architettura Zero Trust.
✓Per il WiFi ospiti, RADIUS funziona in combinazione con un Captive Portal: il portale gestisce l'esperienza di onboarding dell'utente, mentre RADIUS gestisce l'autenticazione back-end e l'applicazione delle policy di sessione.
✓Le piattaforme RADIUS basate su cloud come Purple semplificano l'implementazione, offrono un'elevata disponibilità integrata e si integrano direttamente con i moderni provider di identità (Azure AD, Google Workspace, Okta), rendendo il controllo degli accessi alla rete di livello enterprise accessibile a organizzazioni di tutte le dimensioni.

Executive Summary

Per i leader IT di sedi multi-sito — hotel, catene di vendita al dettaglio, stadi e centri congressi — offrire un accesso WiFi sicuro e affidabile a migliaia di utenti giornalieri è un servizio mission-critical che comporta significativi rischi operativi e normativi. L'approccio legacy basato sull'uso di un'unica chiave precondivisa (PSK) per le reti di ospiti e personale non rappresenta più una postura di sicurezza difendibile. Espone le organizzazioni a violazioni della conformità ai sensi dello standard PCI DSS e del GDPR, a interruzioni operative e a danni d'immagine derivanti da potenziali violazioni.

La soluzione moderna e standard del settore consiste nel centralizzare il controllo degli accessi alla rete tramite il protocollo RADIUS (Remote Authentication Dial-In User Service). RADIUS fornisce un framework robusto per i tre pilastri della sicurezza di rete — Authentication, Authorization, and Accounting (AAA) — imponendo un accesso basato sull'identità per ogni utente e dispositivo. Grazie all'integrazione con una directory di identità esistente come Azure AD, Google Workspace o Okta, RADIUS garantisce che solo le persone autorizzate possano connettersi e che il loro accesso sia precisamente limitato al loro ruolo.

Questa guida fornisce una panoramica pratica e operativa di RADIUS, dello standard IEEE 802.1X sottostante e di come la piattaforma di WiFi intelligence di Purple elimini la complessità della distribuzione. È pensata per architetti di rete e IT manager che devono prendere decisioni di implementazione in questo trimestre, non l'anno prossimo.

Technical Deep-Dive

The AAA Framework: Authentication, Authorization, and Accounting

RADIUS opera su un modello client-server ed è strutturato attorno al framework AAA, un concetto fondamentale nella sicurezza di rete. Comprendere ciascun componente è essenziale per una distribuzione di successo.

Authentication (Autenticazione) è il processo di verifica dell'identità di un utente. Quando un utente tenta di connettersi a una rete WiFi protetta con WPA2/WPA3-Enterprise, il suo dispositivo — il Supplicant — invia le credenziali all'Access Point Wireless — l'Authenticator. L'Authenticator non prende autonomamente la decisione di accesso; inoltra la richiesta al server RADIUS. Il server RADIUS convalida queste credenziali rispetto a una sorgente di identità configurata: Microsoft Active Directory, un IdP cloud come Okta o un database utenti locale. La convalida può utilizzare una combinazione di nome utente e password o, per una sicurezza significativamente maggiore, un certificato digitale tramite un metodo EAP come EAP-TLS.

L'autorizzazione determina cosa è consentito fare a un utente autenticato. In base alle policy definite dall'amministratore di rete, il server RADIUS restituisce attributi specifici all'Autenticatore. Questi attributi determinano l'assegnazione della VLAN (separando il traffico guest da quello aziendale), i limiti di larghezza di banda e le restrizioni di accesso in base all'ora del giorno. Questa applicazione granulare e dinamica delle policy è uno dei principali vantaggi di RADIUS rispetto ai sistemi statici basati su PSK.

L'accounting traccia l'attività dell'utente durante l'intera sessione. Il server RADIUS registra i timestamp di connessione, la durata della sessione, i dati trasferiti e gli indirizzi MAC dei dispositivi. Questo audit trail è prezioso per la risoluzione dei problemi, la pianificazione della capacità e la reportistica di conformità. Ai sensi del PCI DSS 4.0, la registrazione e il monitoraggio di tutti gli accessi alle risorse di rete è un controllo obbligatorio.

Come funzionano insieme RADIUS e 802.1X

Lo standard IEEE 802.1X definisce il controllo dell'accesso alla rete basato su porta. In un contesto WiFi, l'802.1X consente a un access point di bloccare tutto il traffico proveniente da un dispositivo — tranne i messaggi di autenticazione — finché il server RADIUS non ha confermato l'autorizzazione. La comunicazione tra il Supplicant e l'Autenticatore utilizza l'Extensible Authentication Protocol (EAP), trasportato sulla LAN come EAPOL (EAP over LAN). L'Autenticatore inoltra quindi queste informazioni al server RADIUS utilizzando il protocollo RADIUS.

La scelta del metodo EAP è una decisione di sicurezza fondamentale:

Metodo EAP	Tipo di autenticazione	Livello di sicurezza	Caso d'uso consigliato
EAP-TLS	Basato su certificato	Massimo	Dispositivi aziendali gestiti — gold standard
PEAP-MSCHAPv2	Basato su credenziali	Medio	Ambienti prevalentemente Windows in transizione ai certificati
EAP-TTLS/PAP	Basato su credenziali	Medio	Ambienti con sistemi operativi misti e supporto per dispositivi legacy

Per i dispositivi aziendali, EAP-TLS rappresenta lo stato obiettivo. Utilizza l'autenticazione reciproca basata su certificati — sia il client che il server presentano i certificati — eliminando completamente le password e i rischi associati di furto di credenziali e phishing.

Porte e trasporto RADIUS

Per impostazione predefinita, RADIUS utilizza la porta UDP 1812 per l'autenticazione e l'autorizzazione e la porta UDP 1813 per l'accounting. Alcune distribuzioni legacy utilizzano le porte 1645 and 1646. A partire dalla specifica RFC 6613, RADIUS può funzionare anche su TCP con TLS (RadSec), una soluzione sempre più utilizzata nelle distribuzioni cloud per una maggiore sicurezza del trasporto.

Guida all'implementazione

Transizione da PSK a RADIUS: una roadmap in cinque passaggi

Step 1: Seleziona la tua infrastruttura RADIUS. Scegli tra un server on-premise (Microsoft NPS per ambienti Windows, FreeRADIUS per distribuzioni open source) o un servizio RADIUS basato su cloud. Per le organizzazioni multi-sito, una piattaforma RADIUS cloud come quella di Purple è quasi sempre la scelta corretta. Offre alta disponibilità integrata, ridondanza geografica ed elimina l'onere operativo della gestione del server.

Step 2: Integra la tua sorgente di identità. Collega il server RADIUS alla directory di identità autorevole della tua organizzazione. Le moderne piattaforme RADIUS cloud supportano l'integrazione diretta con Azure AD, Google Workspace e Okta tramite SAML o LDAP. Per gli utenti guest, la sorgente di identità è tipicamente un CRM, un sistema di gestione immobiliare (PMS) o una piattaforma per guest WiFi dedicata.

Step 3: Configura l'hardware di rete. Sul controller LAN wireless o sugli access point, crea un nuovo SSID configurato per WPA2-Enterprise o WPA3-Enterprise. Punta l'SSID sull'indirizzo IP del tuo server RADIUS e configura il shared secret (segreto condiviso) — una password che crittografa la comunicazione tra l'access point e il server RADIUS. Questo valore deve corrispondere esattamente su entrambi i lati; una mancata corrispondenza è una delle cause più comuni di fallimento della distribuzione iniziale.

Step 4: Definisci le policy di autorizzazione. Crea regole sul server RADIUS che mappano i gruppi di utenti alle policy di rete. Un set di policy tipico per un hotel potrebbe includere: Personale su VLAN 10 con accesso interno completo; Fornitori su VLAN 30 con accesso limitato e un limite di larghezza di banda di 50 Mbps; Ospiti su VLAN 20 con accesso solo internet e un limite di sessione di 8 ore.

Step 5: Onboarding di utenti e dispositivi. Per il personale aziendale, distribuisci i profili WiFi con impostazioni 802.1X tramite la tua piattaforma MDM. Per gli ospiti, distribuisci un Captive Portal. La piattaforma di Purple automatizza il flusso di onboarding degli ospiti — supportando login tramite social media, moduli di registrazione e codici coupon — e crea account utente RADIUS temporanei che scadono automaticamente.

Best Practice

Adotta WPA3-Enterprise. Laddove l'hardware lo supporti, WPA3-Enterprise offre notevoli miglioramenti della sicurezza rispetto a WPA2-Enterprise, inclusi i Protected Management Frames (PMF) e una crittografia più forte tramite la modalità di sicurezza a 192 bit. Conduci un audit hardware per identificare gli access point che richiedono aggiornamenti del firmware o la sostituzione.

Implementa EAP-TLS per i dispositivi aziendali. L'autenticazione basata su certificati elimina la password come vulnerabilità. Integra il tuo server RADIUS con la tua PKI o utilizza una soluzione di gestione dei certificati basata su cloud. Automatizza la distribuzione dei certificati tramite MDM per ridurre al minimo il sovraccarico IT.

Applica la segmentazione VLAN. L'assegnazione dinamica della VLAN tramite RADIUS non è negoziabile per la conformità PCI DSS e l'architettura Zero Trust. Assicurati che gli switch di rete e i firewall applichino criteri di routing inter-VLAN che impediscano al traffico guest di raggiungere le risorse aziendali.

Distribuisci un'infrastruttura RADIUS ridondante. Configura almeno un server RADIUS primario e uno secondario sui tuoi punti di accesso. Le piattaforme Cloud RADIUS in genere forniscono questo servizio automaticamente. Testa regolarmente il failover.

Risoluzione dei problemi e mitigazione dei rischi

Modalità di errore	Causa principale	Risoluzione
Tutti gli utenti rifiutati	Mancata corrispondenza del segreto condiviso tra AP e server RADIUS	Verifica il segreto condiviso sia sull'AP che nella configurazione del server RADIUS
Errori di certificato sui dispositivi client	Certificato del server RADIUS non attendibile per il client	Installa il certificato della CA radice su tutti i dispositivi client tramite MDM
Errori di autenticazione intermittenti	Server RADIUS sovraccarico o non raggiungibile	Implementa un server RADIUS secondario; verifica la capacità del server
Portale guest senza reindirizzamento	Errata configurazione del walled garden	Assicurati che l'URL del portale e i domini dei provider di social login siano nel walled garden
Gli utenti non riescono a riconnettersi dopo la scadenza della sessione	Sessione di accounting non terminata correttamente	Verifica la configurazione dell'accounting RADIUS; controlla la presenza di sessioni obsolete

ROI e impatto sul business

Il caso aziendale per l'implementazione di RADIUS è convincente sotto molteplici aspetti. La riduzione del rischio di sicurezza è il vantaggio più immediato: la sostituzione di una PSK condivisa con un accesso basato sull'identità elimina il vettore più comune per le intrusioni di rete basate su WiFi, evitando potenzialmente costi di violazione che superano in media i 3,4 milioni di sterline per le imprese del Regno Unito. La garanzia di conformità ai sensi di PCI DSS, GDPR e normative specifiche del settore si ottiene attraverso la combinazione di controllo degli accessi basato sull'identità e registri di accounting completi. I guadagni in termini di efficienza operativa sono significativi nelle grandi distribuzioni: la gestione centralizzata dei criteri significa che l'abilitazione di un nuovo utente o la revoca dell'accesso per un dipendente in uscita è un'azione singola nella directory di identità, non una riconfigurazione manuale su dozzine di punti di accesso. Infine, i dati di accounting generati da RADIUS forniscono informazioni utili per la pianificazione della capacità, consentendo di basare le decisioni di investimento infrastrutturale su dati di utilizzo effettivi anziché su stime.

Definizioni chiave

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete, standardizzato in RFC 2865, che fornisce una gestione centralizzata di Authentication, Authorization, and Accounting (AAA) per gli utenti che si connettono a un servizio di rete. Funziona su un modello client-server, in cui il Network Access Server (NAS) è il client e il server RADIUS è l'autorità decisionale.

Questo è il motore principale della sicurezza WiFi aziendale. Quando un responsabile IT parla di "passaggio a 802.1X", si riferisce quasi sempre all'implementazione di un server RADIUS.

802.1X

Uno standard IEEE per il Network Access Control basato su porte (PNAC). Definisce l'incapsulamento dell'Extensible Authentication Protocol (EAP) su reti IEEE 802, consentendo a un autenticatore (ad esempio, un punto di accesso WiFi) di imporre l'autenticazione prima di concedere l'accesso alla rete.

Questo è lo standard che fa funzionare RADIUS per il WiFi. Quando si configura un SSID per "WPA2-Enterprise", si sta abilitando il protocollo 802.1X su quell'SSID.

AAA (Authentication, Authorization, Accounting)

Un framework di sicurezza per controllare in modo intelligente l'accesso alle risorse informatiche, applicare policy e monitorare l'utilizzo. L'Autenticazione verifica l'identità, l'Autorizzazione determina le azioni consentite e l'Accounting registra l'attività.

I server RADIUS sono spesso chiamati "server AAA". La comprensione di questo framework è la base concettuale per la progettazione di qualsiasi controllo degli accessi di rete.

Supplicant

Nel framework 802.1X, il Supplicant è il dispositivo client (un laptop, uno smartphone o un dispositivo IoT) che richiede l'accesso alla rete. Il software supplicant sul dispositivo gestisce lo scambio di autenticazione EAP.

Durante la risoluzione dei problemi relativi ai problemi di autenticazione, la configurazione del supplicant (ad esempio, il profilo WiFi su un laptop) è spesso l'origine del problema.

Authenticator

Nel framework 802.1X, l'Authenticator è il dispositivo di rete (in genere un access point wireless o uno switch Ethernet) che impone il controllo degli accessi. Inoltra i messaggi EAP tra il Supplicant e l'Authentication Server, ma non prende direttamente la decisione di autenticazione.

L'access point è un ripetitore, non un decisore. Questa è una distinzione fondamentale: il compito dell'AP è inoltrare la richiesta a RADIUS e poi agire in base alla risposta.

EAP (Extensible Authentication Protocol)

Un framework di autenticazione definito in RFC 3748 che supporta molteplici metodi di autenticazione. L'EAP in sé non definisce un meccanismo di autenticazione specifico; fornisce invece un formato standard per negoziare e trasportare vari metodi EAP (ad es. EAP-TLS, PEAP, EAP-TTLS).

Quando si configura l'802.1X, è necessario scegliere un metodo EAP. La scelta tra EAP-TLS (certificati) e PEAP (password) è una delle decisioni di sicurezza più importanti in un'implementazione WiFi.

EAP-TLS (EAP Transport Layer Security)

Un metodo EAP basato su certificati che fornisce un'autenticazione reciproca tra il client e il server RADIUS utilizzando certificati digitali X.509. È ampiamente considerato come il metodo EAP più sicuro, in quanto elimina completamente le password.

EAP-TLS è lo standard di riferimento per l'autenticazione dei dispositivi aziendali. La sua implementazione richiede un'infrastruttura a chiave pubblica (PKI) per emettere e gestire i certificati client, motivo per cui le soluzioni di gestione dei certificati basate su cloud sono sempre più diffuse.

Captive Portal

Una pagina web che intercetta la connessione di un utente a una rete WiFi pubblica, richiedendo di completare un'azione (come l'accettazione dei termini di servizio, l'inserimento di credenziali o l'autenticazione tramite un account social) prima di concedere l'accesso a Internet.

I Captive Portal funzionano in combinazione con RADIUS per il WiFi ospiti. Il portale è l'interfaccia rivolta all'utente; RADIUS è il motore di autenticazione back-end che convalida la sessione dell'utente e applica le policy di accesso.

VLAN (Virtual Local Area Network)

Un segmento di rete logico creato all'interno di un'infrastruttura di rete fisica. Le VLAN consentono agli amministratori di rete di separare il traffico proveniente da diversi gruppi di utenti (come ospiti, personale e dispositivi IoT), anche quando condividono lo stesso hardware fisico.

L'assegnazione dinamica della VLAN tramite RADIUS è il meccanismo che consente la segmentazione della rete nel WiFi aziendale. È un requisito fondamentale per la conformità PCI DSS e l'architettura Zero Trust.

Shared Secret

Una password configurata sia sul client RADIUS (l'access point) sia sul server RADIUS per autenticare la loro comunicazione e crittografare i valori degli attributi RADIUS. Deve essere identica su entrambi i lati.

Una mancata corrispondenza del segreto condiviso è una delle cause più comuni di errore di autenticazione RADIUS durante l'implementazione iniziale. Copiare e incollare sempre questo valore anziché digitarlo manualmente.

Esempi pratici

Un hotel da 500 camere deve fornire una rete WiFi sicura per ospiti, partecipanti a conferenze e personale. Gli ospiti devono poter usufruire di un'esperienza di accesso fluida e senza attriti, mentre il personale richiede un accesso sicuro ai sistemi interni di gestione della proprietà e ai punti vendita. L'hotel utilizza Oracle OPERA come Property Management System (PMS).

Implementare la piattaforma cloud RADIUS di Purple integrata con il PMS Oracle OPERA dell'hotel. Configurare tre SSID separati: "Hotel-Guest", "Conference-WiFi" e "Staff-Internal". L'SSID "Staff-Internal" è configurato per WPA3-Enterprise con EAP-TLS. I certificati digitali vengono distribuiti a tutti i dispositivi di proprietà dell'hotel tramite una piattaforma MDM (ad es. Jamf o Microsoft Intune), consentendo un'autenticazione fluida e senza password per il personale. L'SSID "Hotel-Guest" utilizza un Captive Portal personalizzato e integrato con OPERA. Al momento del check-in, OPERA crea automaticamente un account utente RADIUS temporaneo con credenziali valide per la durata del soggiorno dell'ospite. L'ospite riceve un codice QR o un'e-mail di benvenuto con un link di connessione diretta. L'SSID "Conference-WiFi" utilizza un sistema basato su voucher all'interno della piattaforma Purple, consentendo ai coordinatori dell'evento di generare codici di accesso unici e limitati nel tempo per i partecipanti. Tutti e tre gli SSID utilizzano l'assegnazione dinamica delle VLAN per garantire una rigorosa segmentazione del traffico.

Commento dell'esaminatore: Questa architettura si rivolge a tre diversi gruppi di utenti con metodi di autenticazione opportunamente personalizzati. L'integrazione del PMS per l'accesso degli ospiti rappresenta un vantaggio fondamentale in termini di efficienza operativa, eliminando la gestione manuale delle credenziali alla reception. L'approccio basato su certificati per i dispositivi del personale è la scelta di sicurezza corretta per gli utenti che accedono a sistemi interni sensibili. Il sistema di voucher per i partecipanti alle conferenze fornisce un modello scalabile e self-service per la gestione degli eventi. La segmentazione VLAN su tutti e tre gli SSID garantisce che un eventuale dispositivo ospite compromesso non possa raggiungere la rete interna dell'hotel.

Una catena di vendita al dettaglio con 200 negozi nel Regno Unito desidera sostituire la propria rete WiFi per gli ospiti, attualmente non sicura e con password condivisa. Il team di marketing richiede dati demografici con consenso esplicito (opt-in) da parte dei visitatori del negozio per supportare campagne mirate. Il team IT utilizza Azure Active Directory per la gestione di tutte le identità aziendali.

Implementare la piattaforma cloud RADIUS e il WiFi per gli ospiti di Purple in tutti i 200 negozi utilizzando una configurazione centralizzata basata su modelli. Per l'accesso degli ospiti, configurare un Captive Portal personalizzato su un SSID dedicato agli ospiti. Il portale offre l'autenticazione tramite account social (Facebook, Google) o un semplice modulo di registrazione, raccogliendo il consenso al marketing in conformità con il GDPR. La piattaforma di Purple aggrega questi dati in una dashboard di analisi centralizzata, fornendo al team di marketing dati demografici sui visitatori, tempi di permanenza e tassi di visite ripetute. Per il personale aziendale, integrare il server RADIUS con il tenant Azure AD esistente. Il personale si connette a un SSID "Staff" separato utilizzando le proprie credenziali Azure AD tramite PEAP, con un piano di migrazione graduale a EAP-TLS con certificati per i ruoli a più alto rischio. Tutto il traffico degli ospiti è isolato su una VLAN dedicata senza accesso alla rete interna del negozio o ai sistemi EPOS, soddisfacendo i requisiti di segmentazione di rete PCI DSS.

Commento dell'esaminatore: Questa soluzione risolve simultaneamente gli obiettivi di sicurezza, conformità e marketing. Le opzioni di social login e del modulo di registrazione offrono un'esperienza utente a basso attrito per gli ospiti, generando al contempo preziosi dati di prima parte con consenso esplicito, una risorsa commerciale significativa in un panorama post-cookie di terze parti. L'integrazione di Azure AD per l'accesso del personale è altamente efficiente, poiché sfrutta gli investimenti esistenti nella gestione delle identità ed evita la creazione di un database utenti parallelo. L'approccio graduale a EAP-TLS è una strategia di implementazione pragmatica che offre miglioramenti immediati della sicurezza mentre si procede verso lo stato finale desiderato.

Domande di esercitazione

Q1. Sei l'architetto IT di un grande centro congressi. Un'importante azienda tecnologica sta noleggiando la tua struttura per una conferenza di tre giorni con 5.000 partecipanti. Il cliente ha il requisito tassativo che i partecipanti possano connettersi a una rete WiFi sicura e ad alte prestazioni senza inserire manualmente una password ogni giorno. Il cliente utilizza Okta come identity provider. Come progetteresti la soluzione di autenticazione?

Suggerimento: Considera come fornire un'esperienza fluida e passwordless per un gran numero di utenti da una singola organizzazione esterna. Pensa all'autenticazione basata su certificati e a come integrarsi con un identity provider di terze parti per un evento a tempo limitato.

Visualizza risposta modello

La soluzione ottimale consiste nel predisporre un SSID dedicato per la conferenza configurato per WPA3-Enterprise con EAP-TLS. Integra la tua piattaforma RADIUS cloud con il tenant Okta del cliente tramite federazione SAML per la durata dell'evento. Prima dell'inizio della conferenza, i partecipanti vengono indirizzati a un portale di onboarding una tantum dove si autenticano con le loro credenziali Okta. Al termine dell'autenticazione, viene generato e installato sul loro dispositivo un certificato digitale unico. Per il resto della conferenza, il loro dispositivo si connette automaticamente e in modo sicuro all'SSID senza alcuna ulteriore interazione da parte dell'utente. I certificati vengono emessi con un periodo di validità corrispondente alla durata della conferenza e vengono revocati automaticamente alla chiusura. Questo offre un'esperienza fluida e passwordless mantenendo al contempo una sicurezza elevata, e sfrutta l'infrastruttura di identità esistente del cliente anziché creare un sistema di credenziali separato.

Q2. Un ospedale privato deve fornire il WiFi a pazienti e visitatori, ma deve garantire che questo traffico sia completamente isolato dalla rete utilizzata per i sistemi clinici, le cartelle cliniche elettroniche e i dispositivi medici, per conformarsi ai requisiti HIPAA e NHS DSP Toolkit. Quale funzionalità RADIUS è più critica per ottenere questo isolamento e come la configureresti?

Suggerimento: Concentrati sul pilastro dell'Autorizzazione del framework AAA. La chiave non è solo autenticare gli utenti, ma controllare cosa possono raggiungere dopo l'autenticazione. Considera come il RADIUS comunica la policy di rete all'access point.

Visualizza risposta modello

La funzionalità più critica è l'assegnazione dinamica della VLAN tramite policy di autorizzazione RADIUS. Creeresti una VLAN 'Patient-Guest' dedicata (ad es. VLAN 50) sull'infrastruttura di rete, configurata con regole di firewall che consentono solo l'accesso a Internet e negano esplicitamente tutto il traffico verso le VLAN della rete clinica. Sul server RADIUS, crea una policy di autorizzazione che assegni alla VLAN 50 qualsiasi utente che si autentichi all'SSID del WiFi pazienti, indipendentemente dalle sue credenziali. Il server RADIUS comunica questa assegnazione all'access point tramite gli attributi Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID nel messaggio Access-Accept. L'access point inserisce quindi il traffico dell'utente nella VLAN 50 al momento della connessione. Ciò garantisce che, anche se il dispositivo di un paziente è compromesso, non ha alcun percorso di rete verso i sistemi clinici, un requisito fondamentale per la conformità HIPAA e la sicurezza della rete clinica.

Q3. La tua organizzazione ha implementato l'802.1X con RADIUS in tutta la sua infrastruttura aziendale. Un dipendente segnala che non riesce a connettersi al WiFi aziendale dal suo nuovo laptop, ma riesce a connettersi correttamente dal suo smartphone e dal suo laptop precedente. L'helpdesk IT ha confermato che l'account del dipendente è attivo in Azure AD. Qual è il tuo approccio diagnostico e quali sono le tre cause principali più probabili?

Suggerimento: Il problema è specifico del dispositivo, non dell'utente: l'utente può autenticarsi da altri dispositivi. Questo restringe il problema alla configurazione del dispositivo, al certificato del dispositivo o alle impostazioni del supplicant del dispositivo. Inizia con i log del server RADIUS.

Visualizza risposta modello

L'approccio diagnostico consiste innanzitutto nell'esaminare i log di autenticazione del server RADIUS alla ricerca di messaggi Access-Reject corrispondenti al MAC address del nuovo laptop. Il codice del motivo del rifiuto identificherà la causa principale. Le tre cause più probabili sono: (1) Certificato client mancante o non valido: se l'implementazione utilizza EAP-TLS, sul nuovo laptop potrebbe non essere ancora stato fornito un certificato tramite MDM. Verifica se il dispositivo è registrato nella piattaforma MDM e se è stata applicata la policy di distribuzione dei certificati. (2) Profilo WiFi errato: il nuovo laptop potrebbe avere impostazioni del supplicant 802.1X errate, come un metodo EAP errato, una configurazione di attendibilità del certificato del server RADIUS errata o un formato del nome utente errato. Verifica che il profilo WiFi corrisponda al modello aziendale standard. (3) Dispositivo non ancora registrato nella directory di identità: alcune policy RADIUS eseguono un controllo di conformità del dispositivo rispetto ad Azure AD. Se il nuovo laptop non ha ancora completato il join ad Azure AD e la registrazione del dispositivo, potrebbe non superare questo controllo anche se l'account dell'utente è attivo.

Continua a leggere questa serie

Server RADIUS: una guida completa per le aziende

Questa guida fornisce a IT manager, architetti di rete e CTO un riferimento tecnico definitivo sull'autenticazione tramite server RADIUS per il WiFi aziendale. Copre il framework AAA, l'architettura 802.1X, la selezione del metodo EAP, i compromessi tra implementazioni cloud e on-premises e l'assegnazione dinamica della VLAN. I gestori di location nei settori dell'ospitalità, del retail, degli eventi e del settore pubblico troveranno indicazioni pratiche per l'implementazione, casi di studio reali e i framework decisionali necessari per migrare da chiavi pre-condivise non sicure a un'architettura di controllo degli accessi alla rete sicura e basata sull'identità.

Aruba ClearPass vs. Purple WiFi: Confronto delle Funzionalità e Co-implementazione

Una guida tecnica completa che dettaglia l'architettura di co-implementazione di Aruba ClearPass e Purple WiFi. Copre la configurazione del proxy RADIUS, l'assegnazione dinamica della VLAN e le best practice per fornire reti guest sicure e basate sull'analisi dei dati insieme al NAC aziendale.

Cisco ISE vs. Purple WiFi: Come si Confrontano e Come Lavorano Insieme

Questa guida spiega come Cisco ISE e Purple WiFi ricoprano ruoli distinti ma complementari nelle reti aziendali. Spiega dettagliatamente come utilizzare Cisco ISE per l'accesso aziendale sicuro 802.1X, sfruttando al contempo Purple per il guest WiFi conforme al GDPR, l'analisi di marketing e l'integrazione CRM.