Il limite del modello Personal — perché serve qualcosa di più
Nella lezione precedente abbiamo visto come WPA2-Personal (e WPA3-Personal) autentichino gli utenti tramite una chiave pre-condivisa: una password nota a tutti i dispositivi della rete. Questo modello funziona bene in casa o in un piccolo ufficio, ma presenta problemi strutturali in un ambiente aziendale:
❌ Gestione credenziali
Se un dipendente lascia l’azienda, bisogna cambiare la password su tutti i dispositivi di tutti gli utenti. Impossibile da gestire a scala.
❌ Nessuna tracciabilità
Con PSK non è possibile sapere quale utente specifico si è connesso, quando e da dove. L’audit di sicurezza diventa impossibile.
❌ Politiche differenziate
Tutti gli utenti con la stessa password hanno lo stesso accesso. Non è possibile dare al reparto HR accesso diverso dal reparto IT.
La risposta a questi problemi è WPA2/WPA3 Enterprise, che introduce un modello di autenticazione centralizzato basato su tre standard distinti che lavorano insieme: IEEE 802.1X, EAP e RADIUS.
IEEE 802.1X — il framework di controllo accessi
Lo standard IEEE 802.1X definisce un meccanismo di controllo accessi a livello di porta per reti cablate e wireless. L’idea fondamentale è semplice ma potente: nessun frame di rete viene inoltrato finché l’utente non si è autenticato. La porta logica della rete rimane chiusa fino all’esito positivo dell’autenticazione.
802.1X non definisce come avviene l’autenticazione — definisce solo il framework per trasportarla. Il protocollo di autenticazione effettivo è EAP.
I tre attori di 802.1X
💻
Supplicant
Il dispositivo client che vuole accedere alla rete — il laptop, lo smartphone, il PC aziendale. Esegue il software client 802.1X (integrato in tutti i sistemi operativi moderni). Presenta le proprie credenziali all’authenticator.
📡
Authenticator
L’access point (o lo switch in reti cablate). Non decide autonomamente chi può accedere — si limita a fare da intermediario tra il client e il server RADIUS. Apre o chiude la porta logica in base alla risposta del server.
🖧
Authentication Server
Il server RADIUS che verifica le credenziali. Consulta il database degli utenti (Active Directory, LDAP, database locale) e comunica all’AP l’esito dell’autenticazione e le eventuali politiche di accesso da applicare.
📌 L’AP come passthrough — perché è importante
In WPA2-Enterprise l’access point è deliberatamente tenuto fuori dalla logica di autenticazione. Questo è un vantaggio architetturale: anche se un AP viene compromesso fisicamente, l’attaccante non può alterare le decisioni di accesso — queste sono centralizzate nel server RADIUS. In WPA2-Personal, compromettere l’AP equivale a ottenere la password di tutta la rete.
EAP — Extensible Authentication Protocol
EAP (RFC 3748) è il protocollo che trasporta effettivamente lo scambio di credenziali all’interno del framework 802.1X. Non è esso stesso un metodo di autenticazione — è un contenitore che può incapsulare decine di metodi diversi, da semplici password a certificati digitali X.509.
Nelle reti Wi-Fi Enterprise, EAP viaggia incapsulato in EAPOL (EAP over LAN) tra client e AP, e poi in RADIUS tra AP e server di autenticazione.
Le varianti EAP principali
EAP-TLS — EAP Transport Layer Security
Il metodo più sicuro — autenticazione mutua con certificati X.509
MASSIMA SICUREZZA
EAP-TLS richiede un certificato digitale sia sul client che sul server. Il client si autentica presentando il proprio certificato — non serve inserire username o password. L’autenticazione è reciproca: il client verifica il certificato del server e viceversa.
✅Massima sicurezza — certificati non rubabili come le password
✅Mutua autenticazione — client verifica il server, server verifica il client
✅Nessuna password — resistente a phishing e brute force
⚠️Richiede una PKI aziendale per emettere certificati client
Usato tipicamente in: banche, pubblica amministrazione, ambienti ad alta sicurezza
PEAP — Protected EAP
Tunnel TLS + autenticazione interna con username/password — il più diffuso
PIÙ DIFFUSO
PEAP crea prima un tunnel TLS cifrato usando il certificato del server (come HTTPS). All’interno di questo tunnel sicuro, le credenziali dell’utente (username/password) vengono trasmesse in modo protetto. Solo il server ha un certificato — il client usa le proprie credenziali di dominio.
✅Solo certificato server — nessuna PKI client
✅Integrazione naturale con Active Directory
✅Credenziali protette dal tunnel TLS
⚠️Il client deve validare il certificato del server per evitare MITM
Flusso semplificato (PEAP-MSCHAPv2):
1. Handshake TLS (solo cert. server)
2. Tunnel TLS stabilito
3. Dentro il tunnel:
Username + password hash
(MSCHAPv2)
4. RADIUS → AP: Access-Accept
Usato tipicamente in: università, scuole, aziende medie con AD
EAP-TTLS — EAP Tunneled TLS
Tunnel TLS + metodo di autenticazione interno flessibile (PAP, CHAP, MSCHAPv2…)
EAP-TTLS è simile a PEAP ma più flessibile: usa anch’esso un tunnel TLS con certificato server, ma consente di usare qualsiasi metodo di autenticazione interno — inclusi protocolli legacy come PAP o CHAP. Questo lo rende utile quando si integrano sistemi di autenticazione vecchi che non supportano MSCHAPv2.
✅Massima flessibilità metodo interno
✅Compatibile con sistemi legacy
⚠️Supporto client non universale
ℹ️Meno diffuso di PEAP in ambienti Windows
Confronto varianti EAP
Variante
Cert. server
Cert. client
Credenziali
Sicurezza
Complessità
EAP-TLS
✅
✅ Obbligatorio
Certificato X.509
⭐⭐⭐ Massima
Alta — PKI client
PEAP-MSCHAPv2
✅
❌ Non richiesto
Username + password
⭐⭐ Alta
Media — solo AD
EAP-TTLS
✅
❌ Non richiesto
PAP / CHAP / MSCHAPv2
⭐⭐ Alta
Media — flessibile
RADIUS — il server di autenticazione centralizzato
RADIUS (Remote Authentication Dial-In User Service, RFC 2865) è il protocollo usato per comunicare tra l’authenticator (AP) e l’authentication server. Nonostante il nome rimandi all’era del dial-up, RADIUS è ancora oggi il protocollo standard per l’autenticazione centralizzata nelle reti enterprise.
📌 Le tre funzioni di RADIUS — AAA
Authentication
Verifica l’identità dell’utente — “Chi sei?”
Authorization
Definisce cosa può fare — “A cosa hai accesso?”
Accounting
Registra le attività — “Quando e per quanto hai usato la rete?”
Il flusso completo di autenticazione 802.1X/EAP/RADIUS
Flusso autenticazione WPA2/WPA3 Enterprise
💻 Supplicant (laptop utente)
📡 Authenticator (Access Point)
🖧 Auth Server (RADIUS + AD)
1
Il client si associa all’AP (livello 2) ma la porta logica rimane chiusa — nessun traffico IP è consentito
2
L’AP invia un EAP-Request/Identity al client: “Chi sei?”
3
Il client risponde con EAP-Response/Identity (username) — ancora non cifrato
4
L’AP incapsula la risposta EAP in un messaggio RADIUS Access-Request e lo invia al server RADIUS (UDP porta 1812)
5
Inizia la negoziazione EAP tra client e RADIUS (tramite l’AP come relay): viene stabilito il tunnel TLS (in PEAP o EAP-TTLS) o scambiati i certificati (EAP-TLS)
6
Il server RADIUS verifica le credenziali consultando Active Directory / LDAP / database locale
7
Se l’autenticazione ha successo, RADIUS invia all’AP un RADIUS Access-Accept contenente la PMK (o MSK — Master Session Key) per derivare le chiavi WPA2
8
L’AP apre la porta logica — il client può accedere alla rete. Viene eseguito il 4-Way Handshake WPA2 per derivare le chiavi di sessione individuali
Attributi RADIUS — authorization e VLAN assignment
Uno dei punti di forza di RADIUS va oltre la semplice autenticazione: il server può restituire all’AP una serie di attributi che definiscono le politiche da applicare a quell’utente specifico. L’attributo più usato nelle reti Wi-Fi enterprise è il VLAN assignment:
Esempio: stesso SSID, VLAN diverse per ruolo
alice@azienda.it
Reparto IT
RADIUS → VLAN 10 (accesso completo)
bob@azienda.it
Reparto Vendite
RADIUS → VLAN 20 (accesso limitato)
ospite@partner.it
Partner esterno
RADIUS → VLAN 99 (solo Internet)
Tutti si connettono allo stesso SSID aziendale, ma RADIUS assegna VLAN diverse in base all’identità. L’AP applica dinamicamente la VLAN — senza che l’utente debba fare nulla di diverso.
Wireless LAN Controller — gestione centralizzata
Nelle reti Wi-Fi domestiche o di piccoli uffici, ogni access point è configurato individualmente e funziona in modo autonomo. In ambienti enterprise con decine o centinaia di AP, questo approccio diventa impossibile da gestire. La soluzione è il Wireless LAN Controller (WLC).
AP Autonomi vs AP Leggeri (LAP)
AP Autonomo (Fat AP)
Ogni AP contiene tutta la logica: gestisce da solo l’autenticazione dei client, mantiene la propria configurazione, decide il canale e la potenza. Adatto per ambienti piccoli.
✅Funziona senza controller
✅Nessun single point of failure
❌Configurazione manuale su ogni AP
❌Roaming tra AP non coordinato
❌Gestione SSID/VLAN replicata manualmente
AP Leggero — LAP (Lightweight AP) ✅ Enterprise
Il LAP gestisce solo le funzioni radio (trasmissione/ricezione). Tutta la logica di controllo — autenticazione, gestione SSID, roaming, QoS, sicurezza — è centralizzata nel WLC. Il LAP comunica col WLC tramite il protocollo CAPWAP.
✅Configurazione centralizzata — un cambiamento si propaga su tutti gli AP
✅Roaming seamless tra AP (fast roaming 802.11r)
✅Visibilità centralizzata su tutti i client connessi
⚠️Il WLC è un single point of failure — serve ridondanza
CAPWAP — il protocollo tra LAP e WLC
CAPWAP (Control And Provisioning of Wireless Access Points, RFC 5415) è il protocollo standard che definisce la comunicazione tra LAP e WLC. Usa UDP e crea due tunnel distinti:
Control Tunnel (UDP 5246)
Trasporta i messaggi di configurazione, gestione e controllo tra WLC e LAP. Cifrato con DTLS (Datagram TLS).
Data Tunnel (UDP 5247)
Trasporta il traffico dati dei client Wi-Fi — incapsulato dal LAP e inviato al WLC per l’instradamento verso la LAN.
I LAP si connettono al WLC via CAPWAP. Il WLC gestisce configurazione, roaming, VLAN assignment e interfaccia con RADIUS. Il traffico dei client può essere instradato dal WLC (centralized mode) oppure direttamente dallo switch (FlexConnect/local mode).
Funzioni chiave del WLC
📋 Gestione SSID centralizzata
Un SSID configurato sul WLC viene propagato automaticamente a tutti i LAP — nessuna configurazione manuale per AP.
🚶 Fast Roaming (802.11r)
Il WLC precache le credenziali di autenticazione nei LAP vicini al client in movimento — il roaming avviene in millisecondi senza ri-autenticazione completa.
📊 RF Management (RRM)
Radio Resource Management — il WLC ottimizza automaticamente canali e potenza dei LAP per minimizzare le interferenze e massimizzare la copertura.
🔍 Rogue AP Detection
Il WLC raccoglie dai LAP il monitoraggio dell’ambiente radio e identifica access point non autorizzati (rogue AP) che potrebbero essere evil twin o AP non gestiti.
📡 Client Monitoring
Vista centralizzata di tutti i client connessi: posizione, segnale, throughput, VLAN assegnata, storico connessioni.
🔒 Security Policy Enforcement
Applica politiche di sicurezza uniformi su tutti i LAP: deauthentication di client sospetti, limitazione di banda, isolamento client.
WPA2/WPA3 Enterprise — confronto con Personal
Aspetto
WPA2/3 Personal
WPA2/3 Enterprise
Autenticazione
Password condivisa (PSK/SAE)
Credenziali individuali (802.1X + EAP)
Identità utente
❌ Non tracciabile
✅ Per utente, con log
Revoca accesso
❌ Cambia password su tutti i dispositivi
✅ Disabilita l’account in AD
Politiche differenziate
❌ Tutti uguale
✅ VLAN/ACL per utente/gruppo
Infrastruttura richiesta
Solo AP
AP + RADIUS server + directory
Uso tipico
Casa, piccoli uffici
Scuole, università, aziende, PA
📌 Riepilogo — Punti chiave
802.1X definisce il framework: supplicant (client), authenticator (AP), authentication server (RADIUS). L’AP non decide — fa da relay e apre/chiude la porta logica in base alla risposta RADIUS
EAP-TLS: massima sicurezza, certificati su entrambi i lati — richiede PKI client. PEAP: tunnel TLS con cert. solo server + username/password dentro — il più diffuso con Active Directory. EAP-TTLS: come PEAP ma con metodo interno flessibile
RADIUS gestisce AAA (Authentication, Authorization, Accounting) e può restituire attributi all’AP — inclusa la VLAN da assegnare dinamicamente in base all’identità dell’utente
I LAP delegano tutta la logica al WLC tramite CAPWAP — configurazione centralizzata, roaming seamless (802.11r), RRM automatico, rogue AP detection
Enterprise vs Personal: revoca accesso in un click su AD, tracciabilità completa per utente, politiche VLAN differenziate. Il costo è l’infrastruttura RADIUS + directory aziendale
Questo sito Web utilizza i cookie per migliorare la tua esperienza.Supponiamo che tu stia bene con questo, ma puoi rinunciare se lo desideri.
Read More
I cookie sono piccoli file di testo che possono essere utilizzati dai siti Web per rendere più efficiente l'esperienza dell'utente.La legge afferma che possiamo archiviare i cookie sul tuo dispositivo se sono rigorosamente necessari per il funzionamento di questo sito.Per tutti gli altri tipi di cookie, abbiamo bisogno del tuo permesso.Questo sito utilizza diversi tipi di cookie.Alcuni cookie sono collocati da servizi di terze parti che appaiono nelle nostre pagine.
I cookie necessari aiutano a rendere utilizzabile un sito Web consentendo funzioni di base come la navigazione di pagina e l\'accesso alle aree sicure del sito Web.Il sito Web non può funzionare correttamente senza questi cookie.
I cookie di marketing vengono utilizzati per tenere traccia dei visitatori sui siti Web.L\'intenzione è quella di visualizzare annunci pertinenti e coinvolgenti per il singolo utente e quindi più preziosi per gli editori e gli inserzionisti di terze parti.
I cookie di analisi aiutano i proprietari di siti Web a capire come i visitatori interagiscono con i siti Web raccogliendo e segnalando informazioni in modo anonimo.
I cookie di preferenza consentono a un sito Web di ricordare le informazioni che cambiano il modo in cui il sito Web si comporta o sembra, come la tua lingua preferita o la regione in cui ti trovi.
I cookie non classificati sono cookie che stiamo classificando, insieme ai fornitori di singoli cookie.
Cookie Settings
Gestisci Consenso
Per fornire le migliori esperienze, utilizziamo tecnologie come i cookie per memorizzare e/o accedere alle informazioni del dispositivo. Il consenso a queste tecnologie ci permetterà di elaborare dati come il comportamento di navigazione o ID unici su questo sito. Non acconsentire o ritirare il consenso può influire negativamente su alcune caratteristiche e funzioni.
Funzionale
Sempre attivo
L'archiviazione tecnica o l'accesso sono strettamente necessari al fine legittimo di consentire l'uso di un servizio specifico esplicitamente richiesto dall'abbonato o dall'utente, o al solo scopo di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica.
Preferenze
L'archiviazione tecnica o l'accesso sono necessari per lo scopo legittimo di memorizzare le preferenze che non sono richieste dall'abbonato o dall'utente.
Statistiche
L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici.L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici anonimi. Senza un mandato di comparizione, una conformità volontaria da parte del vostro Fornitore di Servizi Internet, o ulteriori registrazioni da parte di terzi, le informazioni memorizzate o recuperate per questo scopo da sole non possono di solito essere utilizzate per l'identificazione.
Marketing
L'archiviazione tecnica o l'accesso sono necessari per creare profili di utenti per inviare pubblicità, o per tracciare l'utente su un sito web o su diversi siti web per scopi di marketing simili.