Da immer mehr Geräte mit öffentlichen WiFi-Netzwerken verbunden werden, dominieren Bedenken hinsichtlich Sicherheit und Benutzerauthentifizierung weiterhin die Diskussion. Dies gilt insbesondere bei der Debatte über die geeigneten Sicherheitsprotokolle für großflächige Gäste-WiFi- Netzwerke, die täglich Hunderte, Tausende oder sogar Millionen von Benutzern aufnehmen. Ohne die erforderlichen Sicherheitsmaßnahmen sind die Benutzer im gemeinsam genutzten Netzwerk ungeschützt. Auch für die Betreiber kann das Netzwerk unüberschaubar werden.
Als grundlegender Sicherheitsstandard sollte stark frequentiertes öffentliches WiFi mit WPA-Enterprise-Protokollen eingerichtet werden, die einen 802.1X-Authentifizierungsmechanismus verwenden. 802.1X arbeitet in Verbindung mit zwei sicheren Netzwerkprotokollen: Extensible Authentication Protocol Over LANs (EAPoL) und Remote Authentication Dial-In User Service (RADIUS)-Server. Diese machen 802.1x von Natur aus sicherer als herkömmliches WPA-PSK oder WPA2-PSK, bei denen ein gemeinsames Passwort für alle Benutzer erforderlich ist, um auf das Netzwerk zuzugreifen.
Wann Sie die 802.1x-Authentifizierung in Betracht ziehen sollten
Wenn sich ein Internetnutzer an einem WPA-PSK- oder WPA2-PSK-Netzwerk anmeldet (PSK steht für 'Pre-Shared Key'), erfolgt die Authentifizierung durch Eingabe des korrekten Netzwerkpassworts bzw. Sicherheitsschlüssels. Dadurch kann das Gerät des Benutzers dem Netzwerk beitreten, darin agieren und es potenziell kontrollieren, ohne dass identifizierende Anmeldeinformationen vorliegen. Dies wird besonders problematisch, wenn Unternehmen (mit angeschlossenen Computern, Kassen und IoT-Geräten) ihr Hauptnetzwerk mit ihren Kunden teilen. Da sich immer mehr Benutzer in Ihrem Gäste-WiFi anmelden, wird es praktisch unmöglich, genau zu wissen, wer Ihr Netzwerk nutzt (oder wer das Passwort kennt). Das häufige Ändern des Passworts, um unerwünschte Benutzer aus dem Netzwerk zu entfernen, ist zudem mühsam und ineffizient und für große Netzwerke mit hohem Benutzeraufkommen nicht ideal.
Wenn Sie ein Unternehmen oder eine Einrichtung sind, die Port-Sicherheit bietet (legt anhand der MAC-Adresse des Geräts fest, welche Maschinen einem Netzwerk beitreten können), bestehen weiterhin Sicherheitsbedenken. Obwohl unbefugte Benutzer dem Netzwerk nicht mit ihren eigenen Geräten beitreten können, hindert sie laut Keith Bogart nichts daran, sich auf diesem Gerät als eine andere Person auszugeben, wenn sich die Gelegenheit bietet (d. h.: Wenn ein autorisiertes Gerät gestohlen wird, kann nicht festgestellt werden, ob der richtige Benutzer das Gerät bedient).
Die 802.1x-Authentifizierung löst die Probleme rund um passwort- oder portsicherheitsbasierte Netzwerkprotokolle, indem sie verlangt, dass der Benutzer unabhängig vom Gerät authentifiziert wird. Aus diesem Grund empfehlen wir gewerblichen und professionellen Umgebungen, diese AAA-Frameworks (Authentication, Authorization, and Accounting) als Standardmaßnahme zu verwenden.
Der 802.1x-Authentifizierungsprozess erklärt
Die 802.1x-Authentifizierung besteht aus drei Teilen, die zusammenarbeiten, um einem Benutzer die Anmeldung an einem bestimmten Netzwerk zu ermöglichen: dem Supplicant (Bittsteller), dem Authenticator und dem Authentifizierungsserver.
Dem Supplicant (oder Endbenutzer), der versucht, einem SSID-Netzwerk beizutreten, wird zunächst durch einen Authenticator der Zugriff verweigert. Die Kommunikation zwischen dem Supplicant und dem Authenticator ist Teil des EAPoL-Protokolls und enthält Ethernet-Frames, die die eindeutigen Anmeldeinformationen des Supplicants für ein bestimmtes Netzwerk übertragen. Je nach erforderlichem Sicherheitsniveau können Authenticatoren weitere Details oder Interaktionen vom Supplicant anfordern (z. B. die Eingabe einer PIN oder das Ausfüllen eines Captcha-Codes).
Nachdem die EAPoL-Daten vom Authenticator als Anmeldeversuch identifiziert wurden, bereitet der Authenticator die Daten für den Authentifizierungsserver vor, der dem Endbenutzer letztendlich den Netzwerkzugriff gewährt oder verweigert. Dies beinhaltet die Konvertierung von EAPoL-Daten in RADIUS-Pakete, die es dem Server ermöglichen, die Anmeldeinformationen als Zugriffsanfrage zu interpretieren.
Server, die mit dem RADIUS-Sicherheitsprotokoll arbeiten, verwenden ein Authentication, Authorization, and Accounting (AAA oder Triple A)-System, was eine weitaus intelligentere und sicherere Methode zur Steuerung des Zugriffs auf Netzwerke, Server, Computer usw. darstellt. Solche Server erfordern, dass die vom Authenticator bereitgestellten Daten mit Backend-Infrastrukturen wie Verzeichnissen oder Datenbanken abgeglichen (oder authentifiziert) werden, die Details des Benutzers und die entsprechenden für die Authentifizierung erforderlichen Anmeldeinformationen enthalten. Sobald die Informationen im RADIUS-Paket vom Server genehmigt wurden, wird eine Genehmigungsanfrage an den Authenticator zurückgesendet, die dem Supplicant die entsprechenden Zugriffsrechte und Berechtigungen erteilt.
Den Alltag erleichtern
Da die 802.1x-Authentifizierung auf RADIUS-protokollfähigen Servern ausgeführt wird, entfallen die Schwierigkeiten bei der Benutzerverwaltung und Skalierbarkeit von WPA-geschützten Netzwerken. Benutzer, die Netzwerken mit 802.1x-Authentifizierung beitreten, durchlaufen zwei Stufen der Datenverschlüsselung, und ihre sicheren Sitzungen innerhalb bestimmter Netzwerke werden vom RADIUS-Server überwacht. Im Gegensatz zu passwortgeschützten (WPA) Netzwerken können authentifizierte Benutzer individuell verfolgt und aus einem Netzwerk entfernt werden, sollten sie eine Bedrohung darstellen. Die Skalierung der Benutzeranzahl ist ohne Passwort ebenfalls viel einfacher, da Benutzer automatisch im Hintergrund authentifiziert werden können. Für Unternehmen, die ihre Verbindung mit anderen teilen, kann der Zugriff auf einem RADIUS-Server auch auf bestimmte Bereiche eines Netzwerks beschränkt werden, was wesentlich sicherer ist als ein offenes Netzwerk, das leicht infiltriert werden kann.
Letztendlich können großflächige WiFi-Betriebe durch die Implementierung eines authentifizierten Netzwerks viel gewinnen. Sie haben auch viel zu verlieren, wenn sie die Sicherheitsrisiken ignorieren, die mit dem Betrieb von WPA-PSK- oder WPA2-PSK-Netzwerken mit öffentlichem Zugang verbunden sind.
