Vai al contenuto principale

Come implementare l'autenticazione 802.1X con Cloud RADIUS

Questa guida di riferimento tecnico fornisce un quadro completo per l'implementazione dell'autenticazione 802.1X con Cloud RADIUS in proprietà aziendali distribuite. Descrive dettagliatamente l'architettura, la selezione del metodo EAP, la sequenza di implementazione e le strategie di mitigazione del rischio necessarie per proteggere l'accesso alla rete eliminando al contempo i costi operativi dell'infrastruttura locale.

📖 5 minuti di lettura📝 1,189 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Come implementare l'autenticazione 802.1X con Cloud RADIUS Un briefing informativo di Purple WiFi --- INTRODUZIONE E CONTESTO (circa 1 minuto) --- Benvenuti al briefing informativo di Purple WiFi. Sono il vostro presentatore e oggi entreremo nei dettagli dell'autenticazione 802.1X con Cloud RADIUS - cos'è, perché è importante oggi e come distribuirla concretamente in un patrimonio multisede. Se gestite l'infrastruttura WiFi per un gruppo alberghiero, una catena di vendita al dettaglio, uno stadio o un'organizzazione del settore pubblico, questo è uno di quei temi che continuano a emergere - e per una buona ragione. Il panorama delle minacce è cambiato. Le reti con PSK condivisa sono sempre più considerate un rischio di conformità, non solo un inconveniente di sicurezza. Organi di regolamentazione, revisori e assicuratori informatici pongono domande sempre più stringenti sul controllo degli accessi alla rete. E la buona notizia è che il RADIUS erogato via cloud ha reso l'autenticazione 802.1X realmente distribuibile su scala, senza i costi di infrastruttura on-premises che un tempo la rendevano impraticabile per le proprietà distribuite. Quindi, entriamo nel vivo. --- APPROFONDIMENTO TECNICO (circa 5 minuti) --- Per prima cosa, assicuriamoci di partire tutti dalla stessa definizione. L'IEEE 802.1X è uno standard di controllo degli accessi alla rete basato su porta. Definisce un framework di autenticazione che opera al Livello 2 del modello OSI - quindi interviene prima ancora che a un dispositivo venga concessa qualsiasi connettività IP. Questa è la differenza chiave rispetto all'autenticazione a livello applicativo. Con l'802.1X, un dispositivo non può accedere alla rete finché non è stato autenticato positivamente. Il protocollo si compone di tre elementi. Il supplicant - ossia il dispositivo finale, che si tratti di un laptop, di uno smartphone o di un terminale point-of-sale. L'authenticator - tipicamente il vostro access point WiFi o lo switch gestito. E l'authentication server - che nelle distribuzioni moderne è il vostro servizio RADIUS in cloud. Il flusso funziona in questo modo. Un dispositivo tenta di associarsi a un access point. L'access point non concede immediatamente l'accesso completo alla rete. Al contrario, apre una porta controllata e avvia uno scambio EAP - l'Extensible Authentication Protocol - con il dispositivo. Il dispositivo presenta le proprie credenziali, che possono essere un nome utente e una password, un certificato digitale o un'identità basata su SIM. L'access point inoltra lo scambio al server RADIUS utilizzando il protocollo RADIUS su UDP, solitamente sulla porta 1812 per l'autenticazione e 1813 per l'accounting. Il server RADIUS convalida le credenziali confrontandole con un archivio di identità - Active Directory, Azure AD o una directory LDAP - e restituisce un messaggio di Access-Accept o di Access-Reject. Se accettato, l'access point apre la porta e il dispositivo ottiene l'accesso alla rete. Se rifiutato, rimane bloccato. Semplice in teoria, ma i dettagli di implementazione contano enormemente. La selezione del metodo EAP è il punto in cui molte distribuzioni falliscono. Esistono diversi metodi EAP comunemente utilizzati, con profili di sicurezza e requisiti operativi molto diversi.EAP-TLS è lo standard di riferimento. Richiede un'autenticazione reciproca dei certificati - sia il server che il client presentano un certificato. Questo elimina completamente il rischio di furto delle credenziali, perché non ci sono password da rubare. Richiede tuttavia un'infrastruttura PKI e un meccanismo per distribuire i certificati client ai dispositivi, il che solitamente comporta l'uso di una soluzione MDM. Per gli ambienti aziendali BYOD e le implementazioni ad alta sicurezza, questa è la soluzione corretta. PEAP con MSCHAPv2 è il metodo più ampiamente implementato negli ambienti aziendali. Richiede solo un certificato sul lato server e incanala lo scambio di credenziali all'interno di un tunnel TLS. È compatibile nativamente con Active Directory, il che lo rende operativamente semplice. Il rischio è che sia vulnerabile alla raccolta di credenziali se gli utenti si connettono a un access point canaglia con un certificato autofirmato - pertanto, la convalida del certificato sul lato client è imprescindibile. EAP-TTLS è simile a PEAP ma è più flessibile nel metodo di autenticazione interno. È particolarmente utile in ambienti con dispositivi misti in cui è presente una combinazione di dispositivi Windows, macOS, iOS e Android con diverse funzionalità di supplicant. Per il supporto dei dispositivi legacy - come i vecchi hardware dei punti vendita o i sensori IoT - EAP-FAST può essere una scelta pragmatica, in quanto non richiede certificati e utilizza invece una Protected Access Credential. Ora, la parte relativa al RADIUS in cloud. Tradizionalmente, RADIUS era un servizio on-premises - FreeRADIUS su un server Linux o Microsoft NPS su Windows Server. Questo modello funziona, ma comporta costi operativi reali: manutenzione dell'hardware, configurazione dell'alta affidabilità, applicazione di patch e la necessità di un'infrastruttura locale in ogni sito che richieda un'autenticazione a bassa latenza. Il RADIUS in cloud cambia significativamente questo calcolo. Un servizio RADIUS in cloud è ospitato e gestito dal provider. I tuoi access point inviano le richieste RADIUS via Internet al servizio cloud, che gestisce l'autenticazione con il tuo identity provider. La preoccupazione relativa alla latenza è reale ma gestibile - i moderni servizi RADIUS in cloud sono distribuiti a livello globale e i cicli di autenticazione si completano solitamente in meno di 100 millisecondi, il che è impercettibile per gli utenti finali. L'integrazione con gli identity provider è la dipendenza critica. La maggior parte delle piattaforme RADIUS in cloud supporta LDAP, LDAPS, SAML 2.0 e l'integrazione diretta con Azure AD o Okta. Per le organizzazioni che utilizzano già Microsoft 365, l'integrazione con Azure AD è il percorso naturale - si ottengono single sign-on, criteri di accesso condizionale e l'applicazione dell'MFA, tutti integrati nel livello di controllo dell'accesso alla rete. Per le location che distribuiscono il guest WiFi insieme alle reti del personale, l'architettura in genere le separa in SSID distinti con diverse policy di autenticazione. Le reti del personale utilizzano l'autenticazione 802.1X con credenziali aziendali. Le reti ospiti utilizzano un captive portal o un flusso di login tramite social media. La piattaforma di Purple supporta entrambi i modelli e il livello di WiFi analytics si estende su entrambi, offrendo visibilità sul comportamento dei dispositivi, sul tempo di permanenza e sull'utilizzo della rete senza compromettere la segmentazione della sicurezza. --- RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE DA EVITARE (circa 2 minuti) --- Ecco la sequenza pratica di implementazione, con la segnalazione dei problemi che riscontro più spesso. Inizia con l'integrazione dell'identity provider. Prima di toccare un singolo access point, conferma che il servizio cloud RADIUS sia in grado di autenticarsi con la tua directory. Effettua un test con un account di servizio, convalida il bind LDAP e conferma che gli attributi di appartenenza al gruppo vengano restituiti correttamente - poiché ne avrai bisogno per le policy di assegnazione VLAN. In secondo luogo, pianifica la strategia dei certificati. Se opti per EAP-TLS, hai bisogno di una CA, devi decidere se utilizzare una CA pubblica o interna e hai bisogno di un piano di implementazione MDM per i certificati client. Se opti per PEAP, hai bisogno di un certificato server rilasciato da una CA fidata - non autofirmato - e devi distribuire il certificato della CA a tutti i dispositivi client in modo che la convalida del certificato funzioni correttamente. Questo è il passaggio che spesso viene saltato, causando incidenti di sicurezza. In terzo luogo, configura i client RADIUS - ossia access point e controller - con la chiave segreta condivisa corretta e l'IP o il nome host del server. Utilizza una chiave segreta condivisa complessa e generata in modo casuale, non una parola da dizionario. E se il tuo provider cloud RADIUS supporta RADIUS su TLS - RadSec - utilizzalo. Crittografa il traffico RADIUS in transito, il che è particolarmente importante quando tale traffico attraversa l'internet pubblico. In quarto luogo, effettua un test con un gruppo pilota prima del roll-out completo. I fallimenti di autenticazione su larga scala sono dirompenti e difficili da diagnosticare sotto pressione. Esegui un progetto pilota con un numero di dispositivi da dieci a venti, convalida i log di autenticazione, conferma che l'assegnazione delle VLAN funzioni e verifica che i record di accounting vengano scritti correttamente. I problemi che riscontro più frequentemente: la convalida del certificato disabilitata sui client, che porta a vulnerabilità man-in-the-middle. Chiavi segrete condivise troppo corte o riutilizzate in più siti. L'allowlisting dell'IP del server RADIUS non configurato, con la conseguenza che le richieste di autenticazione provenienti da nuovi siti vengono scartate in modo silenzioso. E i profili MDM che non vengono aggiornati alla scadenza dei certificati, causando fallimenti di autenticazione di massa il giorno del rinnovo. --- DOMANDE E RISPOSTE RAPIDE (circa 1 minuto) --- Alcune domande che mi vengono poste regolarmente. Posso eseguire l'autenticazione 802.1X su una rete che ospita anche dispositivi IoT che non supportano l'EAP? Sì - utilizza il MAC Authentication Bypass come soluzione di ripiego per i dispositivi che non possono eseguire un supplicant, ma inserisci tali dispositivi in una VLAN limitata con regole firewall rigide. L'802.1X sostituisce la crittografia WPA2 o WPA3? No - l'802.1X gestisce l'autenticazione. Il WPA2-Enterprise o il WPA3-Enterprise gestiscono la crittografia. Sono necessari entrambi. Il WPA3-Enterprise con 802.1X rappresenta l'attuale best practice per le nuove implementazioni. Qual è l'impatto della latenza sull'autenticazione? Con un servizio RADIUS in cloud ben configurato, è prevedibile un tempo compreso tra 50 e 150 millisecondi per autenticazione. Per gli scenari di roaming, la transizione rapida BSS 802.11r può ridurre significativamente i tempi di riautenticazione. È conforme allo standard PCI-DSS? L'802.1X con EAP-TLS o PEAP su una rete adeguatamente segmentata soddisfa i requisiti Requirement 1 e Requirement 8 dello standard PCI-DSS per il controllo dell'accesso alla rete. Coinvolgete tempestivamente il vostro QSA. --- SINTESI E PROSSIMI PASSI (circa 1 minuto) --- In sintesi: l'802.1X con RADIUS in cloud è la risposta giusta per qualsiasi organizzazione che debba dimostrare il controllo dell'accesso alla rete ai revisori, ridurre il raggio d'azione di una violazione delle credenziali o gestire l'autenticazione a livello centrale in una rete distribuita. L'implementazione non è banale, ma è assolutamente gestibile con la giusta preparazione. Per prima cosa, configurate correttamente l'integrazione con l'identity provider. Scegliete il metodo EAP in base al parco dispositivi e alla capacità operativa di gestione dei certificati. Utilizzate RadSec se la vostra infrastruttura lo supporta. E testate il tutto prima di procedere alla distribuzione su larga scala. Se gestite una rete mista per ospiti e dipendenti - come la maggior parte degli operatori del settore hospitality e retail - piattaforme come Purple offrono la possibilità di gestire entrambi i modelli di autenticazione da un unico pannello di controllo, con il livello di analisi integrato in tutta la rete. Come prossimi passi: analizzate lo stato attuale del controllo degli accessi alla rete, identificate quali sedi utilizzano ancora PSK condivise e create un piano di migrazione graduale. Iniziate dai siti a più alto rischio - quelli soggetti a conformità PCI-DSS o che gestiscono dati sensibili - e procedete verso l'esterno. Grazie per l'attenzione. Altri briefing tecnici sono disponibili su purple.ai.

header_image.png

Sintesi Esecutiva

Per i responsabili delle decisioni IT che gestiscono infrastrutture di rete distribuite nei settori dell'ospitalità, del retail e pubblico, la sicurezza dell'accesso alla rete è passata da preferenza operativa a un rigido vincolo di conformità. L'affidamento a chiavi precondivise (PSK) introduce rischi inaccettabili, non supera i moderni standard di audit come PCI-DSS ed espone l'organizzazione a movimenti laterali in caso di compromissione delle credenziali. Il passaggio al controllo dell'accesso alla rete basato su porte IEEE 802.1X mitiga efficacemente questi rischi autenticando i dispositivi prima che venga concessa la connettività IP.

In passato, l'implementazione di 802.1X su reti multi-sito era ostacolata dalla necessità di un'infrastruttura RADIUS locale per gestire la latenza e la disponibilità. L'evoluzione dell'architettura Cloud RADIUS ha radicalmente cambiato questo scenario. Centralizzando le decisioni di autenticazione e integrandole direttamente con gli identity provider cloud (come Azure AD o Okta), le organizzazioni possono applicare policy di accesso robuste in modo uniforme in tutte le sedi, eliminando le spese di capitale e l'onere di manutenzione dei server on-premises. Questa guida descrive l'architettura tecnica, la metodologia di implementazione e le best practice operative per implementare con successo l'autenticazione 802.1X con Cloud RADIUS, garantendo che sia il WiFi Guest WiFi aziendale sia le reti aziendali rimangano sicuri e scalabili.

Approfondimento Tecnico

Le fondamenta della moderna sicurezza wireless aziendale si basano sullo standard IEEE 802.1X. A differenza dell'autenticazione a livello applicativo, 802.1X opera al livello 2 del modello OSI. Quando un dispositivo (il supplicant) tenta di associarsi a un access point (l'authenticator), la porta rimane in uno stato non autorizzato, consentendo solo il traffico Extensible Authentication Protocol (EAP). Questo traffico viene incapsulato in pacchetti RADIUS e inoltrato al server di autenticazione - l'istanza Cloud RADIUS. Solo dopo la ricezione di un messaggio di Access-Accept l'authenticator porta la porta in uno stato autorizzato, concedendo l'accesso alla rete.

Architettura Cloud RADIUS

architecture_overview.png

La transizione architetturale da soluzioni on-premises a Cloud RADIUS elimina la necessità di server distribuiti FreeRADIUS o Microsoft NPS. Nel modello cloud, gli access point o i controller LAN wireless comunicano direttamente su internet con un servizio RADIUS distribuito a livello globale. Per proteggere questo transito, è essenziale implementare RadSec (RADIUS su TLS), crittografando il payload di autenticazione e proteggendolo dalle intercettazioni. Il servizio Cloud RADIUS funge da intermediario, convalidando le credenziali a fronte di un Identity Provider (IdP) centrale tramite integrazioni LDAP, SAML o API native. Ciò consente l'applicazione dinamica delle policy, come l'assegnazione di VLAN in base all'appartenenza ai gruppi di Azure AD, integrando perfettamente l'accesso alla rete con la più ampia strategia aziendale di gestione delle identità.

Selezione del metodo EAP

La scelta del metodo EAP determina il livello di sicurezza e la complessità operativa dell'implementazione.

eap_comparison_chart.png

  • EAP-TLS (Transport Layer Security): Il metodo più sicuro, che richiede certificati sia lato server sia lato client per la mutua autenticazione. Poiché non vengono scambiate password, elimina il rischio di furto delle credenziali. Richiede tuttavia una Public Key Infrastructure (PKI) e un Mobile Device Management (MDM) per distribuire i certificati client. Fortemente raccomandato per i dispositivi aziendali.
  • PEAP-MSCHAPv2 (Protected EAP): Ampiamente utilizzato grazie al supporto nativo in Windows e al fatto che si basa solo su un certificato lato server. Incanala lo scambio di credenziali all'interno di una sessione TLS. Sebbene sia più facile da implementare, è vulnerabile ad attacchi di raccolta delle credenziali se la convalida del certificato lato client non viene applicata rigorosamente.
  • EAP-TTLS: Simile a PEAP ma offre una maggiore flessibilità nel protocollo di autenticazione interno, rendendolo adatto ad ambienti con un mix eterogeneo di sistemi operativi client.

Guida all'implementazione

L'implementazione di 802.1X con Cloud RADIUS richiede un approccio sistematico e graduale per ridurre al minimo le interruzioni delle attività aziendali esistenti.

  1. Integrazione dell'identity provider: Stabilire e convalidare la connessione tra il servizio Cloud RADIUS e l'IdP aziendale. Assicurarsi che la sincronizzazione della directory sia accurata e che gli attributi utente necessari (come l'appartenenza ai gruppi) siano disponibili per le decisioni relative alle policy.
  2. Gestione dei certificati: Per le distribuzioni PEAP, ottenere un certificato server da una Certificate Authority (CA) pubblica e attendibile. È fondamentale configurare i client tramite MDM o Criteri di gruppo per considerare esplicitamente attendibile questa CA e convalidare il nome del certificato del server. Per EAP-TLS, implementare l'infrastruttura CA interna e iniziare a rilasciare certificati client ai dispositivi gestiti.
  3. Configurazione dell'infrastruttura di rete: Configura i controller wireless e gli access point per puntare agli endpoint Cloud RADIUS. Implementa RadSec dove supportato dal fornitore dell'hardware. Definisci i segreti condivisi RADIUS utilizzando stringhe forti e crittograficamente sicure, garantendo che il segreto sia unico per sito o cluster di controller.
  4. Definizione delle policy: Costruisci le policy di autenticazione all'interno della piattaforma Cloud RADIUS. Definisci le condizioni basate sul gruppo di utenti, sul tipo di dispositivo o sulla posizione per assegnare dinamicamente le VLAN o applicare le liste di controllo degli accessi (ACL) in seguito a un'autenticazione riuscita.
  5. Fase pilota e roll-out graduale: Seleziona un sottoinsieme rappresentativo di utenti e dispositivi per il progetto pilota iniziale. Monitora attentamente i log di autenticazione per identificare problemi di latenza, errori di convalida dei certificati o assegnazioni errate delle VLAN. Dopo un progetto pilota di successo, esegui un roll-out graduale, dando priorità ai luoghi ad alto rischio come gli uffici direzionali o i siti che gestiscono dati sensibili.

Best Practice

  • Imponi la convalida dei certificati lato client: La vulnerabilità più comune nelle distribuzioni PEAP è la mancata imposizione della convalida del certificato del server sul client. Se ai client è consentito considerare attendibile ciecamente qualsiasi certificato presentato, sono completamente esposti ad attacchi di rogue access point.
  • Implementa il MAC Authentication Bypass (MAB) con cautela: Per i dispositivi headless che non possono eseguire un supplicant 802.1X (come stampanti e sensori IoT), è possibile utilizzare il MAB. Tuttavia, gli indirizzi MAC sono facilmente falsificabili. I dispositivi MAB devono essere isolati su VLAN fortemente limitate, con regole di firewall severe che ne limitino l'accesso alla rete.
  • Sfrutta lo standard 802.11r per il roaming: In ambienti in cui i dispositivi si spostano frequentemente tra gli access point, il processo di autenticazione 802.1X completo può introdurre una latenza inaccettabile che interrompe le applicazioni in tempo reale come la voce. L'implementazione di 802.11r (Fast BSS Transition) semplifica il roaming memorizzando nella cache le chiavi di autenticazione.
  • Integrazione con gli strumenti di analisi: Per le strutture che gestiscono sia una rete aziendale 802.1X sia una rete ad accesso pubblico, l'integrazione dell'infrastruttura di autenticazione con WiFi Analytics offre una visione completa dell'utilizzo della rete e del comportamento dei dispositivi in tutta l'infrastruttura.

Risoluzione dei problemi e mitigazione dei rischi

I problemi di autenticazione in un ambiente 802.1X possono causare interruzioni diffuse della connettività. Un processo di risoluzione dei problemi robusto è essenziale.

  • Scadenza dei certificati: Un certificato server o client scaduto causerà un errore di autenticazione immediato. Implementa il monitoraggio e l'avviso automatizzati sui periodi di validità dei certificati, assicurando che i rinnovi vengano gestiti molto prima della scadenza.
  • Latenza e timeout: Se il servizio Cloud RADIUS o l'IdP riscontrano un'elevata latenza, l'autenticatore potrebbe andare in timeout e interrompere la connessione. Configura valori di timeout appropriati sui controller wireless (solitamente 5 - 10 secondi) e distribuisci server RADIUS di backup per garantire la ridondanza.
  • Mancata corrispondenza del shared secret RADIUS: Un shared secret configurato sull'autenticatore che non corrisponde a quello sul server RADIUS causerà lo scarto silenzioso dei pacchetti. Standardizza la gestione dei secret ed evita l'inserimento manuale ovunque possibile.

ROI e impatto aziendale

La transizione a 802.1X con Cloud RADIUS offre un valore aziendale misurabile. Eliminando le password condivise, riduce drasticamente la superficie di attacco, supportando direttamente la conformità con i requisiti di protezione dei dati PCI-DSS (Requisiti 1 e 8) e GDPR. Dal punto di vista operativo, consente un controllo degli accessi centralizzato, permettendo ai team IT di revocare istantaneamente l'accesso di un utente in ogni sede a livello globale semplicemente disabilitando il suo account nella directory centrale. Inoltre, dismettendo i server RADIUS legacy on-premises, le organizzazioni riducono i costi di manutenzione dell'hardware, le tariffe di licenza software e l'onere amministrativo di applicare patch e gestire un'infrastruttura distribuita. Per le installazioni sull'intero patrimonio in settori come il Retail e l' Hospitality , questa postura di sicurezza centralizzata è un fattore abilitante chiave per una trasformazione digitale sicura.

Ascolta il nostro briefing completo sull'argomento:

Definizioni chiave

Supplicant

Il client software su un dispositivo utente finale (laptop, smartphone) che negozia l'accesso alla rete utilizzando EAP.

I team IT devono garantire che il supplicant sia configurato correttamente (spesso tramite MDM) per convalidare i certificati del server al fine di prevenire il furto di credenziali.

Autenticatore

Il dispositivo di rete (in genere un access point WiFi o uno switch) che controlla l'accesso fisico o logico alla rete in base allo stato di autenticazione.

L'autenticatore funge da intermediario, inoltrando i messaggi EAP tra il supplicant e il server RADIUS.

Cloud RADIUS

Un servizio di autenticazione centralizzato e ospitato nel cloud che elabora le richieste RADIUS provenienti da un'infrastruttura di rete distribuita senza richiedere server locali.

Essenziale per le organizzazioni multi-sede che desiderano implementare una sicurezza di livello enterprise senza i costi di manutenzione dell'hardware.

EAP (Extensible Authentication Protocol)

Il framework utilizzato per incapsulare i messaggi di autenticazione tra il supplicant e il server di autenticazione.

La scelta del metodo EAP corretto (ad esempio, PEAP rispetto a EAP-TLS) determina il livello di sicurezza e la complessità di implementazione della rete wireless.

RadSec

Un protocollo che trasmette dati RADIUS su un tunnel TLS, garantendo la crittografia del traffico di autenticazione in transito.

Cruciale quando si utilizza Cloud RADIUS, poiché protegge lo scambio di credenziali sensibili da intercettazioni sulla rete internet pubblica.

Dynamic VLAN Assignment

Il processo in cui il server RADIUS indica all'autenticatore di inserire un dispositivo in uno specifico segmento di rete virtuale in base all'identità o all'appartenenza al gruppo dell'utente.

Consente all'IT di trasmettere un singolo SSID segmentando il traffico in modo sicuro (ad esempio, posizionando il personale delle risorse umane e il personale IT su subnet diverse).

Mutual Authentication

Un processo di sicurezza in cui sia il client verifica l'identità del server, sia il server verifica l'identità del client (in genere tramite certificati).

La caratteristica distintiva di EAP-TLS, che lo rende altamente resistente agli attacchi man-in-the-middle.

MAC Authentication Bypass (MAB)

Un metodo di autenticazione di fallback che utilizza l'indirizzo MAC di un dispositivo come credenziale quando non è in grado di supportare un supplicant 802.1X.

Utilizzato per hardware legacy come stampanti o dispositivi IoT, ma richiede una rigorosa segmentazione della rete a causa della facilità di spoofing del MAC.

Esempi pratici

Un hotel di 200 camere che gestisce una rete PSK legacy per le attività di back-of-house (tablet per il servizio di pulizia, terminali POS, laptop dei manager) deve ottenere la conformità PCI-DSS prima di un imminente audit. L'hotel non dispone di personale IT in loco e non può implementare server locali.

L'hotel dovrebbe implementare una soluzione Cloud RADIUS integrata direttamente con il proprio tenant Azure AD centrale. Per i laptop dei manager (Windows/macOS), dovrebbero implementare PEAP-MSCHAPv2, utilizzando un profilo MDM per distribuire il certificato del server attendibile e imporre la validazione. Per i terminali POS che potrebbero non disporre di supplicant robusti, dovrebbero utilizzare il MAC Authentication Bypass (MAB) ma assegnare rigorosamente questi dispositivi a una VLAN isolata che consenta solo la comunicazione con il gateway di pagamento. L'implementazione richiede la configurazione degli access point esistenti gestiti in cloud per puntare agli indirizzi IP di Cloud RADIUS, proteggendo la connessione con RadSec.

Commento dell'esaminatore: Questo approccio soddisfa il requisito PCI di identificazione univoca dell'utente (PEAP per il personale) e la segmentazione della rete (MAB + VLAN isolata per i POS). Utilizzando Cloud RADIUS, l'hotel evita la complessità di implementare e mantenere un server FreeRADIUS locale, che sarebbe ingestibile senza personale IT in loco. L'uso di RadSec è fondamentale in questo caso per proteggere il traffico di autenticazione che attraversa la rete internet pubblica.

Una catena di vendita al dettaglio nazionale sta introducendo una nuova flotta di tablet aziendali per la gestione dell'inventario in 500 negozi. Desiderano garantire che, anche in caso di furto di un tablet, questo non possa essere utilizzato per accedere alla rete, e vogliono eliminare i ticket di assistenza relativi alle password.

Il rivenditore deve implementare EAP-TLS. Implementerà un'Autorità di Certificazione (CA) interna e la integrerà con la propria piattaforma MDM. Quando un tablet viene configurato, l'MDM invia un certificato client univoco al dispositivo. Il servizio Cloud RADIUS è configurato per autenticare i dispositivi basandosi esclusivamente sulla presenza di un certificato client valido. Se viene segnalato il furto di un tablet, il team IT revoca semplicemente quel certificato specifico nella CA. Il servizio Cloud RADIUS, verificando la Certificate Revocation List (CRL) o tramite OCSP, negherà immediatamente l'accesso alla rete.

Commento dell'esaminatore: EAP-TLS è la scelta ottimale in questo scenario. Fornisce il massimo livello di sicurezza e rimuove completamente le password utente dal flusso di autenticazione, raggiungendo l'obiettivo di ridurre i ticket di assistenza. La capacità di revoca centralizzata è essenziale per gestire il rischio di furto dell'hardware in un ambiente retail distribuito.

Domande di esercitazione

Q1. La tua organizzazione sta migrando da una PSK condivisa a 802.1X utilizzando PEAP-MSCHAPv2. Durante la fase pilota, gli utenti riferiscono di potersi connettere, ma un audit di sicurezza rivela che i dispositivi accettano implicitamente qualsiasi certificato server presentato loro. Qual è il rischio immediato e come deve essere risolto?

Suggerimento: Considera cosa accade se un utente malintenzionato configura un access point che trasmette l'SSID aziendale.

Visualizza risposta modello

Il rischio immediato è un attacco Man-in-the-Middle (MitM) tramite un access point non autorizzato. Un utente malintenzionato può trasmettere l'SSID aziendale, presentare un certificato autofirmato e raccogliere le credenziali dell'utente mentre i dispositivi tentano di autenticarsi. Per rimediare a questo, il team IT deve configurare i profili del supplicant (tramite MDM o Criteri di gruppo) per convalidare esplicitamente il certificato del server. Ciò comporta la specifica della CA radice attendibile esatta che ha emesso il certificato del server RADIUS e la definizione rigorosa dell'hostname del server previsto.

Q2. Una filiale retail remota ha perso la connessione a internet. Gli access point locali sono ancora accesi. I dispositivi del personale attualmente connessi alla rete 802.1X rimarranno connessi e i nuovi dispositivi saranno in grado di autenticarsi? Si assuma un'architettura Cloud RADIUS standard senza nodi di sopravvivenza locali.

Suggerimento: Pensa al percorso che deve compiere una richiesta di autenticazione e allo stato delle porte già autorizzate.

Visualizza risposta modello

I dispositivi che sono già autenticati e connessi rimarranno in genere connessi fino alla scadenza del timeout della sessione o fino alla disconnessione, poiché la porta dell'autenticatore è già nello stato autorizzato. Tuttavia, i nuovi dispositivi che tentano di connettersi o i dispositivi che tentano di autenticarsi nuovamente non riusciranno. Poiché la connessione internet è interrotta, gli access point non possono raggiungere il server Cloud RADIUS per elaborare lo scambio EAP. Ciò evidenzia l'importanza di collegamenti WAN resilienti quando si fa affidamento sull'autenticazione basata su cloud.

Q3. È necessario proteggere l'accesso alla rete per una flotta di scanner di codici a barre legacy in un magazzino. Questi scanner non supportano i supplicant 802.1X e supportano solo WPA2-Personal (PSK). Non è possibile aggiornare l'hardware. Come si integrano questi dispositivi in un'architettura di rete sicura insieme ai dispositivi aziendali 802.1X?

Suggerimento: È necessaria un'alternativa a 802.1X che fornisca comunque il controllo degli accessi, combinata con l'isolamento a livello di rete.

Visualizza risposta modello

L'approccio consigliato consiste nell'utilizzare il MAC Authentication Bypass (MAB) per gli scanner di codici a barre. L'access point utilizzerà l'indirizzo MAC dello scanner come identità e lo invierà al server RADIUS. Poiché gli indirizzi MAC sono facilmente falsificabili, questo metodo fornisce un'autenticazione debole. Pertanto, il server RADIUS deve essere configurato per restituire uno specifico attributo VLAN in caso di autenticazione MAB riuscita. Questa VLAN deve essere fortemente limitata tramite firewall o ACL, consentendo agli scanner di comunicare solo con i server di inventario specifici di cui hanno bisogno e bloccando qualsiasi altro accesso alla rete laterale.

Continua a leggere questa serie

I vantaggi in termini di sicurezza di RADIUS as a Service per la forza lavoro ibrida

Questa guida di riferimento tecnico spiega come RADIUS as a Service protegga l'accesso alla rete per la forza lavoro ibrida all'interno di sedi distribuite. Copre l'architettura, i vantaggi in termini di sicurezza e i passaggi di implementazione per sostituire l'infrastruttura RADIUS on-premise con un servizio di autenticazione gestito in cloud. Per i responsabili IT e gli architetti di rete di hotel, catene di vendita al dettaglio, stadi e organizzazioni del settore pubblico, questa guida fornisce gli elementi necessari per valutare e avviare la migrazione a un servizio RADIUS cloud in questo trimestre.

Leggi la guida →

Integrazione di RADIUS as a Service con directory cloud (Azure AD e Google Workspace)

Questa guida tecnica di riferimento descrive in dettaglio come integrare RADIUS as a Service con le directory cloud - Microsoft Entra ID e Google Workspace - per l'autenticazione WiFi aziendale. Copre il passaggio architetturale da NPS on-premise a RADIUS cloud-native, l'implementazione dell'autenticazione EAP-TLS basata su certificati e le migliori pratiche operative per proteggere l'accesso wireless negli ambienti dell'ospitalità, della vendita al dettaglio e del settore pubblico. Per i responsabili IT e gli architetti di rete che hanno già investito nell'identità cloud, questa guida colma il divario tra la gestione delle directory e la sicurezza della rete fisica.

Leggi la guida →

Cos'è Cloud RADIUS? Una Guida Completa a RADIUS-as-a-Service

Questa guida completa esplora Cloud RADIUS (RADIUS-as-a-Service), descrivendone in dettaglio l'architettura, i metodi EAP e le strategie di implementazione. Offre ai leader IT approfondimenti pratici sulla migrazione dai server on-premises a un modello di autenticazione basato su cloud scalabile, sicuro e conforme.

Leggi la guida →