802.1X-Authentifizierung für Unternehmensnetzwerke erklärt

802.1X-Authentifizierung für Unternehmensnetzwerke erklärt. Ein Purple WiFi Intelligence Briefing. Willkommen. Wenn Sie für die Netzwerksicherheit in einem Unternehmen mit mehreren Standorten verantwortlich sind – sei es eine Hotelgruppe, eine Einzelhandelskette, ein Stadion oder eine Einrichtung des öffentlichen Sektors –, ist dieses Briefing genau das Richtige für Sie. In den nächsten zehn Minuten werden wir alles behandeln, was Sie über die 802.1X-Authentifizierung wissen müssen: was sie ist, wie sie unter der Haube funktioniert, wie man sie richtig bereitstellt und welche Fallstricke die meisten Organisationen übersehen. Lassen Sie uns direkt einsteigen. Abschnitt eins: Kontext und warum dies genau jetzt wichtig ist. Die Bedrohungslandschaft für Corporate WiFi hat sich drastisch verändert. Netzwerke mit Pre-Shared Keys – also Netzwerke, bei denen jeder das WiFi-Passwort kennt – sind für Mitarbeiternetzwerke in regulierten Umgebungen nicht mehr akzeptabel. Unter PCI DSS Version 4.0, die 2024 vollständig in Kraft getreten ist, müssen Organisationen, die Zahlungskartendaten verarbeiten, strenge Zugriffskontrollen in jedem Netzwerk implementieren, das mit der Karteninhaber-Datenumgebung in Berührung kommt. Die GDPR erlegt jedem Netzwerk, das personenbezogene Daten überträgt, ähnliche Verpflichtungen auf. Und da hybrides Arbeiten bedeutet, dass sich Mitarbeiter von verwalteten und unverwalteten Geräten aus über Dutzende von Standorten hinweg verbinden, greift das alte Perimetermodell einfach nicht mehr. 802.1X ist der IEEE-Standard, der dieses Problem löst. Er bietet eine portbasierte Netzwerkzugriffskontrolle – das bedeutet, dass ein Gerät dem Netzwerk überhaupt nicht beitreten kann, bis es an einem zentralen Identitätsspeicher authentifiziert wurde. Kein einfaches, gemeinsam genutztes Passwort. Eine echte, verifizierte Identität. Das ist der grundlegende Wandel. Abschnitt zwei: Technischer Deep-Dive. Lassen Sie uns die Architektur durchgehen. 802.1X definiert drei Rollen. Den Supplicant – das ist das Endgerät, also der Laptop oder das Smartphone, das versucht, eine Verbindung herzustellen. Den Authenticator – das ist der Wireless Access Point oder der Netzwerk-Switch. Und den Authentifizierungsserver – was in praktisch jeder Unternehmensbereitstellung ein RADIUS-Server ist. Und so funktioniert der Handshake. Wenn ein Gerät versucht, eine Verbindung zu einer geschützten SSID herzustellen, versetzt der Access Point dieses Gerät in einen nicht authentifizierten Zustand. Es kann das Netzwerk nicht erreichen. Der AP sendet einen EAP-Request-Identity-Frame an das Gerät. EAP steht für Extensible Authentication Protocol – es ist das Framework, das die eigentlichen Anmeldedaten transportiert. Das Gerät antwortet mit seiner Identität. Der AP leitet diese, verpackt in ein RADIUS-Access-Request-Paket, an den RADIUS-Server weiter. Der RADIUS-Server fordert das Gerät dann heraus – die spezifische Aufforderung hängt davon ab, welche EAP-Methode Sie verwenden. Das Gerät antwortet mit seinen Anmeldedaten. Der RADIUS-Server validiert diese Anmeldedaten mit Ihrem Identitätsspeicher – Active Directory, LDAP oder einem Cloud-IdP – und sendet entweder ein Access-Accept oder ein Access-Reject zurück. Wenn es ein Accept ist, öffnet der AP den Port und das Gerät erhält Netzwerkzugriff. Wenn es ein Reject ist, bleibt das Gerät blockiert. Der gesamte Austausch dauert weniger als eine Sekunde. Die Auswahl der EAP-Methode ist der Punkt, an dem die meisten Architekten die meiste Zeit verbringen. Sie haben vier Hauptoptionen. EAP-TLS ist der Goldstandard. Es erfordert ein Client-Zertifikat auf jedem Gerät, was bedeutet, dass Sie eine PKI-Infrastruktur benötigen, bietet aber eine gegenseitige Authentifizierung – der Server beweist seine Identität gegenüber dem Client und der Client beweist seine Identität gegenüber dem Server. Es können keine Anmeldedaten durch Phishing gestohlen werden, da keine Passwörter im Spiel sind. Dies ist die richtige Wahl für vollständig verwaltete Geräteflotten. PEAP – Protected EAP – ist die in der Praxis am weitesten verbreitete Methode. Es erstellt einen TLS-Tunnel, der nur ein Server-Zertifikat verwendet, und überträgt dann Benutzername und Passwort innerhalb dieses Tunnels. Die Bereitstellung ist erheblich einfacher als bei EAP-TLS, da Sie keine Client-Zertifikate benötigen, und es wird von jedem gängigen Betriebssystem nativ unterstützt. Der Nachteil ist, dass es darauf beruht, dass Benutzer das Server-Zertifikat validieren, was sie in der Praxis oft nicht tun. Eine ordnungsgemäße PEAP-Bereitstellung erfordert die Einschränkung der Supplicant-Konfiguration, sodass diese nur Ihrem spezifischen RADIUS-Server-Zertifikat vertraut. EAP-TTLS ähnelt PEAP, ist jedoch in der inneren Authentifizierungsmethode flexibler. Es ist besonders nützlich in Umgebungen mit älteren Geräten oder Nicht-Windows-Endpunkten. EAP-FAST wurde von Cisco als schnellere Alternative entwickelt, die Protected Access Credentials anstelle von Zertifikaten verwendet, wird jedoch in neuen Installationen seltener eingesetzt. Der RADIUS-Server selbst verdient Aufmerksamkeit. Die beiden dominierenden Open-Source-Optionen sind FreeRADIUS, das einen erheblichen Teil der Enterprise-Bereitstellungen weltweit antreibt, und Microsoft NPS – Network Policy Server –, das in Windows Server enthalten ist und sich nativ in Active Directory integriert. Zu den kommerziellen Optionen gehören Cisco ISE, Aruba ClearPass und Portnox Cloud, das ein Cloud-natives RADIUS-as-a-Service-Modell bietet, welches die Notwendigkeit einer On-Premises-Serverinfrastruktur vollständig überflüssig macht. Die VLAN-Zuweisung ist eine der leistungsstärksten Funktionen einer ordnungsgemäß konfigurierten 802.1X-Bereitstellung. Der RADIUS-Server kann VLAN-Attribute in der Access-Accept-Antwort zurückgeben und das authentifizierte Gerät dynamisch dem entsprechenden Netzwerksegment zuweisen. Ein Mitarbeiter authentifiziert sich und landet im Mitarbeiter-VLAN. Ein externer Dienstleister authentifiziert sich mit anderen Anmeldedaten und landet in einem eingeschränkten VLAN mit limitiertem Zugriff. Ein Gerät, bei dem die Zertifikatsvalidierung fehlschlägt, wird in ein Quarantäne-VLAN verschoben. Dies ist eine dynamische Segmentierung und stellt eine wesentliche Sicherheitsmaßnahme dar. Abschnitt drei: Implementierungsempfehlungen und zu vermeidende Fallstricke. Lassen Sie mich Ihnen die Bereitstellungsreihenfolge vorstellen, die sich bewährt hat. Beginnen Sie mit einem Netzwerk-Audit. Bevor Sie auch nur eine einzige Konfiguration ändern, dokumentieren Sie jedes Gerät, das sich authentifizieren muss. Dazu gehören Drucker, IP-Telefone, Gebäudemanagementsysteme, Überwachungskameras – jedes Gerät, das eine Verbindung zum Netzwerk herstellt. Diese bildschirmlosen Geräte haben keinen Supplicant und können kein 802.1X ausführen. Sie benötigen eine Strategie für sie, in der Regel MAC Authentication Bypass mit strengem MAC-Adressen-Whitelisting und Platzierung in einem isolierten VLAN. Schritt zwei: Richten Sie Ihre RADIUS-Infrastruktur ein. Für die Ausfallsicherheit benötigen Sie mindestens einen primären und einen sekundären RADIUS-Server. Konfigurieren Sie Ihre Access Points so, dass sie automatisch ein Failover durchführen. Ein RADIUS-Ausfall, der alle Mitarbeiter vom Netzwerk trennt, ist ein P1-Vorfall. Lassen Sie das nicht passieren, nur weil Sie einen einzelnen Server bereitgestellt haben. Schritt drei: Stellen Sie Ihre PKI bereit, wenn Sie EAP-TLS nutzen. Verwenden Sie Ihre vorhandenen Active Directory-Zertifikatdienste oder einen Cloud-PKI-Anbieter. Die automatische Registrierung über Gruppenrichtlinien macht die Bereitstellung von Client-Zertifikaten in großem Maßstab handhabbar. Schritt vier: Konfigurieren Sie Ihre Netzwerkrichtlinien. Definieren Sie Ihre Authentifizierungsrichtlinien in RADIUS – welche Benutzer- oder Gerätegruppen welche VLAN-Zuweisungen erhalten, was bei fehlgeschlagenen Authentifizierungen passiert und wie Sie den Datenverkehr von Gästen im Vergleich zu Mitarbeitern handhaben. Hier setzen Sie das Prinzip der minimalen Rechtevergabe auf der Netzwerkschicht durch. Schritt fünf: Führen Sie ein Pilotprojekt durch, bevor Sie das System flächendeckend einführen. Nehmen Sie sich einen Standort, eine Etage, eine SSID vor. Testen Sie jeden Gerätetyp. Testen Sie Ausfallszenarien. Testen Sie, was passiert, wenn der RADIUS-Server nicht erreichbar ist. Erst danach weiten Sie den Rollout aus. Nun zu den Fallstricken. Der häufigste Fehler, den ich sehe, ist eine fehlerhafte Konfiguration der Zertifikatsvalidierung bei PEAP-Bereitstellungen. Wenn Ihre Supplicant-Richtlinie die Validierung des Serverzertifikats nicht erzwingt, sind Sie anfällig für Angriffe durch gefälschte Access Points (Rogue APs), bei denen ein Angreifer einen gefälschten Access Point einrichtet und Anmeldedaten abgreift. Sichern Sie Ihre Supplicant-Profile über Gruppenrichtlinien oder MDM ab. Der zweite Fallstrick ist das Ignorieren von Nicht-802.1X-Geräten bis zum Tag der Liveschaltung. IoT-Geräte, Drucker und Altsysteme werden Ihren Rollout blockieren, wenn Sie sie nicht eingeplant haben. MAC Authentication Bypass ist hier Ihr Freund, muss aber konfiguriert werden, bevor Sie den Schalter umlegen. Der dritte Fallstrick sind Single Points of Failure bei RADIUS. Ich habe erlebt, dass Unternehmen einen einzelnen NPS-Server bereitstellen und feststellen müssen, dass ihr gesamtes Mitarbeiternetzwerk während eines Windows Update-Neustarts ausfällt. Stellen Sie immer eine redundante RADIUS-Infrastruktur bereit. Abschnitt vier: Schnelle Fragen und Antworten. Kann 802.1X parallel zu einem Gäste-WiFi betrieben werden? Absolut. Ihre Gäste-SSID läuft separat – in der Regel über einen Captive Portal-Ansatz –, während Ihre Mitarbeiter-SSID 802.1X erzwingt. Es handelt sich um völlig unabhängige SSIDs mit separaten VLANs. Die Plattform von Purple übernimmt die Gästeseite mit zusätzlichen Analyse- und Engagement-Tools, während Ihre 802.1X-Infrastruktur die Mitarbeiterseite absichert. Ersetzt 802.1X ein VPN? Nein. 802.1X steuert den Netzwerkzugang – also wer dem Netzwerk beitreten darf. Ein VPN verschlüsselt den Datenverkehr während der Übertragung und erweitert das Unternehmensnetzwerk über ungesicherte Verbindungen. Sie dienen unterschiedlichen Zwecken und werden oft zusammen eingesetzt. Wie wirkt sich das auf die Roaming-Leistung aus? Bei 802.1X muss sich ein Gerät jedes Mal neu authentifizieren, wenn es zwischen Access Points wechselt. Bei den meisten Unternehmensumgebungen ist dies nicht wahrnehmbar. PMK-Caching und OKC – Opportunistic Key Caching – reduzieren den Aufwand für die Neuauthentifizierung erheblich. Für Umgebungen mit hoher Dichte wie Stadien oder Konferenzzentren lohnt es sich, dies explizit zu konfigurieren. Ist WPA3-Enterprise ein Ersatz für 802.1X? Nein – WPA3-Enterprise nutzt 802.1X für die Authentifizierung. WPA3 verbessert die Verschlüsselungsebene und schreibt insbesondere den 192-Bit-Sicherheitsmodus für hochsensible Implementierungen vor. 802.1X ist das zugrunde liegende Authentifizierungs-Framework. Abschnitt fünf: Zusammenfassung und nächste Schritte. Das sollten Sie aus diesem Briefing mitnehmen: 802.1X ist der einzige für Unternehmen geeignete Authentifizierungsmechanismus für geschäftliches WiFi. Pre-Shared Keys sind für regulierte Umgebungen nicht akzeptabel. Wählen Sie Ihre EAP-Methode basierend auf Ihrer Geräteflotte – EAP-TLS, wenn Sie verwaltete Geräte und eine PKI haben, PEAP, wenn Sie eine breitere Kompatibilität benötigen. Planen Sie für Nicht-802.1X-Geräte vor der Bereitstellung, nicht erst danach. Implementieren Sie eine redundante RADIUS-Infrastruktur – ein einzelner Server ist ein Single Point of Failure. Nutzen Sie die dynamische VLAN-Zuweisung, um die Netzwerksegmentierung bereits bei der Authentifizierung zu erzwingen. Und führen Sie gründliche Pilotprojekte durch, bevor Sie die Lösung in Ihrem gesamten Unternehmen einführen. Wenn Sie eine standortübergreifende Bereitstellung aufbauen und die Architektur durchdenken müssen, arbeitet das technische Team von Purple täglich mit Netzwerkarchitekten in den Bereichen Hotellerie, Einzelhandel und im öffentlichen Sektor zusammen. Die Kombination aus sicherem Mitarbeiter-WiFi über 802.1X und intelligentem Gäste-WiFi über die Plattform von Purple bietet Ihnen eine vollständige, segmentierte Netzwerkstrategie, die sowohl Ihren Sicherheitsverpflichtungen als auch den Anforderungen an das Gästeerlebnis gerecht wird. Damit ist dieses Briefing abgeschlossen. Vielen Dank fürs Zuhören.