Validazione obbligatoria del certificato del server
I client devono verificare il certificato del server RADIUS prima di inviare le credenziali. Elimina l'attacco evil-twin che affliggeva le distribuzioni WPA2-Enterprise configurate in modo errato.
WPA2 & WPA3-Enterprise. WiFi sicuro, senza la password condivisa.
Distribuisci WPA2-Enterprise o WPA3-Enterprise con 802.1X sui tuoi access point esistenti. Ogni utente si autentica tramite il tuo identity provider, ogni dispositivo riceve una chiave di sessione univoca e l'accesso può essere revocato per singolo dispositivo con un clic. Purple gestisce l'infrastruttura RADIUS e dei certificati come servizio cloud — tu mantieni l'hardware che già possiedi.
TL;DR / Key Takeaways
- WPA2 and WPA3-Enterprise offer the highest level of WiFi security, utilizing 802.1X authentication to secure connections.
- Instead of a single pre-shared key (PSK), each user or device authenticates uniquely, preventing lateral movement and shared-password leaks.
- Provides centralized visibility and immediate revocation of access when employees leave or devices are compromised.
- Integrates natively with Identity Providers (IdP) like Microsoft Entra ID, Okta, and Google Workspace for seamless onboarding.
Personal vs. Enterprise — scegli la modalità giusta
Lo standard WPA ha due modalità. WPA-Personal (WPA2-PSK, WPA3-SAE) utilizza una singola password condivisa tra tutti coloro che si connettono al SSID. Sufficiente per una casa. WPA-Enterprise autentica ogni utente o dispositivo individualmente tramite 802.1X rispetto a un server RADIUS. Necessario per qualsiasi sede che si preoccupi di revoca, audit o conformità.
| WPA-Personal (PSK / SAE) | WPA-Enterprise (802.1X) | |
|---|---|---|
| Credenziale | Passphrase condivisa | Certificato per utente, password o iPSK |
| Infrastruttura | Solo gli access point | AP + server RADIUS (o RADIUS-as-a-Service) |
| Revoca | Ruota la passphrase a livello di rete | Disabilita un utente nell'IdP |
| Audit trail | Nessuno — tutti i dispositivi sembrano identici | Log di sessione per utente |
| Ideale per | Case, piccole sedi a fiducia singola | Uffici, hotel, campus, stadi, qualsiasi ambiente regolamentato |
WPA3-Enterprise vs WPA2-Enterprise
WPA3 non è solo un WPA2 potenziato. Quattro cambiamenti sono fondamentali per le distribuzioni enterprise.
Protected management frames (PMF)
I frame di deautenticazione e disassociazione sono firmati crittograficamente, quindi gli aggressori non possono più disconnettere i client dalla rete con frame contraffatti.
Modalità Suite B a 192 bit
Modalità opzionale ad alta sicurezza per governo, difesa e infrastrutture critiche. Crittografia Suite B in tutto — scambio di chiavi, crittografia e MAC.
Compatibilità retroattiva
WPA3-Enterprise può essere eseguito in modalità di transizione sullo stesso SSID di WPA2, quindi non è necessario un passaggio netto. I client più recenti negoziano WPA3; quelli più vecchi tornano a WPA2-Enterprise.
Il flusso di autenticazione 802.1X
Tre attori, un unico handshake. La sequenza è la stessa sia che si utilizzi EAP-TLS, PEAP o EAP-TTLS.
- Il supplicant (laptop client, telefono, IoT) tenta l'associazione.
- L<strong>authenticator</strong> (access point) mantiene il client in una porta non controllata 802.1X, inoltrando solo i frame EAP.
- Il supplicant presenta la sua credenziale — un certificato (EAP-TLS), un nome utente + password (PEAP) o un iPSK.
- L<strong>authentication server</strong> (RADIUS) convalida la credenziale rispetto allidentity provider.
- RADIUS risponde
Access-Acceptcon VLAN e policy; l'AP apre la porta controllata al segmento corretto. - La chiave di sessione deriva dall'handshake 802.1X — univoca per questo dispositivo e questa sessione.
Come Purple distribuisce WPA-Enterprise
Purple gestisce il RADIUS e (opzionalmente) l'autorità di certificazione come servizi cloud. Tu mantieni i tuoi access point esistenti.
- Giorno 0: Connetti il tuo IdP (Entra ID, Okta, Google Workspace). Scegli il metodo EAP — EAP-TLS per flotte gestite, PEAP per distribuzioni di transizione, iPSK per BYOD.
- Giorno 1: Indirizza l'impostazione RADIUS degli access point verso Purple. Configura il SSID per WPA2 o WPA3-Enterprise. Invia il profilo di onboarding tramite MDM.
- In corso: Gli utenti vengono attivati e disattivati tramite SCIM — nessuna rotazione manuale delle password WiFi. I certificati si rinnovano automaticamente. Il SIEM riceve il log di autenticazione completo tramite webhook.
Copertura tra i prodotti Purple
- WiFi per il personale: WPA2/3-Enterprise con EAP-TLS per laptop gestiti e PEAP per dispositivi legacy.
- WiFi multi-tenant: iPSK su un singolo SSID, con ogni tenant isolato in una Private Area Network.
- Guest WiFi: OpenRoaming/Passpoint sul SSID pubblico, con WPA3-Enhanced Open come fallback dove appropriato.
- WiFi senza password: l'hub più ampio che copre EAP-TLS, iPSK, Passpoint e SAML.
- RADIUS-as-a-Service: il motore RADIUS cloud che autentica ogni richiesta di connessione.
Domande frequenti
Cos'è WPA-Enterprise?
WPA-Enterprise è la modalità di sicurezza IEEE 802.11 progettata per le organizzazioni. Invece di una singola password condivisa (WPA-Personal), ogni utente o dispositivo si autentica individualmente rispetto a un server RADIUS tramite 802.1X, tipicamente con un certificato (EAP-TLS) o nome utente e password (PEAP). Ogni sessione riceve una chiave di crittografia univoca e l'accesso può essere revocato per singolo dispositivo senza interrompere il resto della rete.
Qual è la differenza tra WPA2-Enterprise e WPA3-Enterprise?
WPA3-Enterprise risolve le vulnerabilità note di WPA2-Enterprise. I cambiamenti più importanti: la validazione del certificato del server è ora obbligatoria (elimina il vettore di attacco evil-twin che affliggeva WPA2), i frame di gestione sono protetti e la modalità opzionale Suite B a 192 bit offre una crittografia di livello militare. WPA3-Enterprise è retrocompatibile con WPA2-Enterprise in modalità di transizione, consentendo un aggiornamento graduale.
Come funziona l'autenticazione 802.1X?
Sono coinvolte tre parti. Il supplicant (dispositivo client) chiede di connettersi. L'authenticator (access point) mantiene il client in uno stato di quarantena e inoltra i suoi messaggi EAP a un server di autenticazione (RADIUS). Il server RADIUS convalida la credenziale — certificato, password o token — e comunica all'access point se ammettere o rifiutare. Ogni sessione riuscita riceve una chiave di crittografia univoca derivata dall'autenticazione, quindi un dispositivo compromesso non può decrittografarne un altro.
Cos'è EAP-TLS e perché è lo standard di riferimento?
EAP-TLS utilizza un handshake TLS con autenticazione reciproca tramite certificato. Il client prova la sua identità con un certificato del dispositivo, il server prova la sua identità con un certificato del server e la chiave di sessione viene negoziata all'interno del tunnel crittografato. Non c'è nessuna password da rubare o tramite phishing — bisognerebbe estrarre la chiave privata dal dispositivo stesso. Per le flotte gestite con un MDM, EAP-TLS è l'impostazione predefinita corretta.
Posso distribuire WPA3-Enterprise sui miei access point esistenti?
La maggior parte degli access point di livello enterprise rilasciati dal 2020 in poi supporta WPA3-Enterprise nel firmware. In genere si abilita WPA3-Enterprise sul SSID e si mantiene WPA2 come fallback durante la transizione. Gli AP più vecchi potrebbero supportare solo WPA2-Enterprise — questi sono ancora sicuri se abbinati a RADIUS cloud ed EAP-TLS, quindi un aggiornamento hardware completo è raramente necessario.
Devo gestire un server RADIUS per utilizzare WPA-Enterprise?
Sì — WPA-Enterprise è definito attorno a un server di autenticazione esterno, che in pratica significa RADIUS. Puoi gestirlo on-premise (FreeRADIUS, Microsoft NPS, Cisco ISE) o utilizzarlo come servizio. Purple RADIUS-as-a-Service è l'opzione ospitata in cloud che la maggior parte dei clienti sceglie quando non vuole gestire server.
WPA2-Enterprise è ancora sicuro da distribuire?
Sì, se distribuito correttamente. Gli attacchi noti a WPA2-Enterprise richiedono un client configurato in modo errato (nessuna validazione del certificato del server, che è ciò che WPA3 rende obbligatorio) o l'accesso fisico a un dispositivo. Imporre la validazione del certificato del server tramite MDM e utilizzare EAP-TLS elimina i rischi pratici. WPA3-Enterprise è comunque preferibile per il futuro, ma non c'è motivo di migrare d'urgenza una distribuzione WPA2-Enterprise funzionante.
Come gestisco i dispositivi che non supportano 802.1X?
Due ottime opzioni. Primo, iPSK (Identity PSK) assegna a ogni dispositivo una chiave pre-condivisa univoca su un singolo SSID — l'esperienza utente di WPA-Personal con la revoca per dispositivo di WPA-Enterprise. Secondo, il MAC Authentication Bypass (MAB) ammette indirizzi MAC noti a una VLAN limitata. Purple supporta entrambi insieme a WPA2/3-Enterprise sulla stessa rete.
WPA-Enterprise for your industry
See how wpa-enterprise works in venues like yours, and how Purple compares to alternatives.
WiFi sicuro, sugli access point che già possiedi
Purple aggiunge WPA2/3-Enterprise, RADIUS cloud e certificati gestiti a Cisco, Aruba, Ruckus, Juniper Mist, Meraki o Ubiquiti. Operativo in pochi giorni.