Sicherer Gastzugang: Implementierung von NAC für unmanaged Geräte

Sicherer Gastzugang: Implementierung von NAC für unmanaged Geräte. Ein Purple WiFi Intelligence Briefing. Einführung und Kontext. Herzlich willkommen. Wenn Sie für die Netzwerksicherheit in einem Hotel, einer Einzelhandelskette, einem Stadion oder einer öffentlichen Einrichtung verantwortlich sind, stehen Sie vor einer Herausforderung, die immer komplexer wird: Wie ermöglichen Sie Gästen, Besuchern und Dienstleistern einen schnellen, komfortablen WiFi-Zugang — ohne ein Sicherheitsrisiko für Ihre Unternehmens-Infrastruktur darzustellen? Genau das werden wir heute im Detail erarbeiten. Dies ist kein theoretischer Überblick. Wir behandeln die Architektur, die Bereitstellungsentscheidungen, die Compliance-Anforderungen und die realen Szenarien, in denen dies erfolgreich umgesetzt wird — und wo die Fallstricke liegen. Die Kernherausforderung lautet: unmanaged Geräte. Ihre Gäste verbinden sich mit persönlichen Smartphones, Laptops, Tablets und zunehmend auch IoT-Geräten — von denen Sie keines kontrollieren, auf denen kein MDM-Agent installiert ist und die alle ein potenzielles Sicherheitsrisiko darstellen, wenn sie nicht ordnungsgemäß segmentiert und authentifiziert werden. Network Access Control, kurz NAC, ist das Framework, das dieses Problem löst. Lassen Sie uns einsteigen. Technischer Deep-Dive. Zunächst sollten wir präzise definieren, was NAC eigentlich ist. Network Access Control ist ein Sicherheits-Framework, das den richtlinienbasierten Zugriff auf Netzwerkressourcen erzwingt. Es prüft, wer sich verbindet, welches Gerät verwendet wird und ob dieses Gerät Ihre Sicherheitsanforderungen erfüllt — bevor der Zugriff gewährt wird. Bei unmanaged Gastgeräten ist die Sicherheitsprüfung naturgemäß minimal, aber die Identitäts- und Segmentierungskomponenten sind von entscheidender Bedeutung. Die Architektur gliedert sich in drei funktionale Ebenen. Die erste ist die Authentifizierungsebene. Für managed Unternehmensgeräte würden Sie in der Regel IEEE 802.1X mit EAP-TLS verwenden, wobei Zertifikate über SCEP durch Ihr MDM bereitgestellt werden. Für unmanaged Gastgeräte ist 802.1X jedoch nicht praktikabel — Gäste besitzen keine Zertifikate und Sie können diese nicht auf deren Geräte aufspielen. Daher basiert die Authentifizierungsebene für Gäste auf einem Captive Portal: einer webbasierten Authentifizierungsseite, die die ursprüngliche HTTP- oder HTTPS-Anfrage abfängt und den Benutzer zu einem Anmelde- oder Registrierungsprozess weiterleitet. Hier kommen Plattformen wie die Guest WiFi-Lösung von Purple ins Spiel — sie erfassen die Identität über Social Login, E-Mail, SMS-Verifizierung oder formularbasierte Registrierung und leiten diese Identität an die NAC-Policy-Engine weiter. Die zweite Ebene ist die Policy-Engine. Hier werden die Zugriffsentscheidungen getroffen. Das NAC-System gleicht die authentifizierte Identität mit Ihren Zugriffsrichtlinien ab und weist das Gerät dem entsprechenden Netzwerksegment zu. Für einen Gast bedeutet dies in der Regel ein dediziertes Gast-VLAN mit reinem Internetzugang und ohne Routing zu Ihren Unternehmens-Subnetzen. Einem Dienstleister mit einem bekannten Gerät können Sie ein eingeschränktes VLAN mit Zugriff auf bestimmte interne Ressourcen zuweisen. Die Policy-Engine kann auch zeitbasierte Zugriffe erzwingen — ein Konferenzteilnehmer erhält Zugriff für die Dauer der Veranstaltung, ein Hotelgast für die Dauer seines Aufenthalts. Die dritte Ebene ist die Durchsetzung. Diese wird am Netzwerkrand abgewickelt – an Ihren Wireless Access Points, Switches und Firewalls. Das NAC-System kommuniziert mit diesen Geräten über RADIUS, dem Remote Authentication Dial-In User Service-Protokoll. Wenn sich ein Gast authentifiziert, gibt der RADIUS-Server eine Access-Accept-Nachricht mit VLAN-Zuweisungsattributen zurück, und der Access Point platziert das Gerät im richtigen VLAN. Schlägt die Authentifizierung fehl, gibt der RADIUS-Server ein Access-Reject zurück, und das Gerät verbleibt in einem Pre-Authentication-Quarantäne-VLAN mit Zugriff ausschließlich auf das Captive Portal. Sprechen wir nun über WPA3. Wenn Sie Ihre Wireless-Infrastruktur bereitstellen oder aktualisieren, sollte WPA3 auf Ihrer Roadmap stehen. WPA3-SAE (Simultaneous Authentication of Equals) ersetzt WPA2-PSK und eliminiert die Anfälligkeit für Offline-Wörterbuchangriffe. Speziell für Gastnetzwerke ist WPA3-OWE – Opportunistic Wireless Encryption – besonders relevant. OWE bietet Verschlüsselung, ohne dass ein Passwort erforderlich ist. Das bedeutet, dass Gäste eine verschlüsselte Verbindung ohne zusätzliche Reibungspunkte erhalten. Dies ist eine erhebliche Verbesserung gegenüber der herkömmlichen offenen Gast-SSID, die Daten im Klartext überträgt. Compliance ist in den meisten der von uns besprochenen Branchen nicht verhandelbar. Wenn Sie ein Hotel mit einem Point-of-Sale-System betreiben, erfordert PCI DSS eine strikte Netzwerksegmentierung zwischen Karteninhaber-Datenumgebungen und Gastnetzwerken. Die Anforderung ist eindeutig: Das Gast-WiFi muss sich auf einem separaten Netzwerksegment befinden, ohne Route zum PCI-Bereich. NAC setzt dies auf der Netzwerkeschicht durch, und Ihre Firewall-Richtlinie erzwingt es am Perimeter. Die GDPR fügt eine weitere Dimension hinzu – wenn Sie Identitätsdaten von Gästen über Ihr Captive Portal erfassen, benötigen Sie eine ausdrückliche Zustimmung, eine Rechtsgrundlage für die Verarbeitung und eine Richtlinie zur Datenaufbewahrung. Die Plattform von Purple übernimmt die GDPR-konforme Einwilligungserfassung nativ, mit konfigurierbaren Aufbewahrungsfristen und Audit-Trails. Lassen Sie uns auch das Thema MAC-Adressen-Randomisierung ansprechen, da dies im Betrieb echtes Kopfzerbrechen bereitet. Seit iOS 14, Android 10 und Windows 10 randomisieren Geräte standardmäßig ihre MAC-Adresse pro SSID. Dies hebelt jede NAC-Richtlinie aus, die sich auf die MAC-Adresse als dauerhaften Identifikator verlässt. Die richtige Reaktion besteht darin, Ihr Identitätsmodell auf den authentifizierten Benutzer und nicht auf die Geräte-MAC zu verlagern. Wenn sich ein Gast über Ihr Captive Portal authentifiziert, binden Sie seine Sitzung an seine authentifizierte Identität – E-Mail, Telefonnummer oder Social-Media-Profil – und nicht an seine MAC-Adresse. Die Analytics-Plattform von Purple verarbeitet dies korrekt und behält die Identität auf Benutzerebene über Sitzungen hinweg bei, selbst wenn sich die MAC-Adresse ändert. Für Organisationen, die eine stärkere Bewertung des Gerätestatus für nicht verwaltete Geräte benötigen, gibt es agentenbasierte und agentenlose Ansätze. Die agentenlose Statusbewertung nutzt Techniken wie OS-Fingerprinting, das Scannen offener Ports und die Analyse von HTTP-User-Agents, um Geräte zu klassifizieren und die grundlegende Compliance zu bewerten. Dies eignet sich für Gastnetzwerke, in denen Sie den Gerätetyp für Analysezwecke identifizieren oder differenzierte Richtlinien anwenden möchten – beispielsweise das Blockieren bekannter IoT-Geräte für den Zugriff auf bestimmte Dienste. Die agentenbasierte Statusbewertung erfordert, dass der Benutzer einen temporären Agenten installiert. Dies eignet sich für Zugriffsszenarien von Auftragnehmern oder Partnern, erzeugt jedoch Reibungsverluste für Gelegenheitsgäste. Implementierungsempfehlungen und Fallstricke. Lassen Sie mich Sie durch die Bereitstellungssequenz führen, die sich in der Praxis bewährt hat. Beginnen Sie mit der Netzwerksegmentierung, bevor Sie die NAC-Konfiguration anpassen. Definieren Sie Ihre VLANs: ein Pre-Authentication-VLAN mit Zugriff nur auf das Captive Portal und DNS, ein Gast-VLAN mit Internetzugang und ohne interne Routen sowie optional ein Auftragnehmer-VLAN mit eingeschränktem internen Zugriff. Richten Sie Ihre Firewall-ACLs ein. Dies ist das Fundament – alles andere baut darauf auf. Zweitens: Stellen Sie Ihre RADIUS-Infrastruktur bereit. Für die meisten mittelständischen Implementierungen ist ein in Ihre Captive Portal-Plattform integrierter, in der Cloud gehosteter RADIUS-Dienst die richtige Wahl. Er eliminiert den betrieblichen Aufwand für die Verwaltung von On-Premises-RADIUS-Servern und bietet die Redundanz, die Sie für ein produktives Gastnetzwerk benötigen. Stellen Sie sicher, dass Ihre RADIUS Shared Secrets stark sind und regelmäßig rotiert werden. Drittens: Konfigurieren Sie Ihr Captive Portal. Das Portal muss vom Pre-Authentication-VLAN aus erreichbar sein – was bedeutet, dass die DNS-Auflösung für die Portal-Domain vor der Authentifizierung funktionieren muss. Konfigurieren Sie Ihren DHCP-Bereich im Pre-Authentication-VLAN so, dass er auf einen DNS-Server verweist, der die Portal-Domain auflöst. Testen Sie dies sorgfältig – eine DNS-Fehlkonfiguration ist die häufigste Ursache für Fehler beim Captive Portal. Viertens: Testen Sie Ihre VLAN-Zuweisung durchgängig. Verbinden Sie ein Testgerät, schließen Sie den Authentifizierungsfluss ab und überprüfen Sie, ob das Gerät im richtigen VLAN mit der richtigen Zugriffsrichtlinie landet. Verwenden Sie eine Paketerfassung, um zu bestätigen, dass die RADIUS-Attribute korrekt übergeben werden. Überprüfen Sie, ob das Gast-VLAN keine Route zu Ihren Unternehmens-Subnetzen hat – führen Sie ein Traceroute vom Gast-VLAN zu einer Unternehmens-IP durch und bestätigen Sie, dass dieser fehlschlägt. Nun zu den Fallstricken. Die häufigste Fehlerquelle ist eine Fehlkonfiguration des Split-Tunnelings – bei der das Gäste-VLAN aufgrund einer falsch konfigurierten Firewall-Regel oder einer fehlenden ACL eine unbeabsichtigte Route zu internen Ressourcen hat. Überprüfen Sie Ihre Firewall-Regeln vor dem Go-Live. Der zweite häufige Fehler ist die Handhabung von RADIUS-Timeouts – was passiert, wenn Ihr RADIUS-Server nicht erreichbar ist? Stellen Sie sicher, dass Ihre Access Points so konfiguriert sind, dass sie im Fehlerfall schließen (fail-closed) und nicht öffnen (fail-open). Fail-open bedeutet, dass Gäste selbst dann Netzwerkzugriff erhalten, wenn RADIUS offline ist, was ein Sicherheitsrisiko darstellt. Fail-closed bedeutet kein Zugriff, wenn RADIUS nicht erreichbar ist, was die richtige Haltung für eine sichere Bereitstellung ist. Der dritte Fallstrick ist der Ablauf von Zertifikaten auf Ihrem Captive Portal. Wenn das TLS-Zertifikat Ihres Portals abläuft, sehen Gäste eine Sicherheitswarnung im Browser und Ihre Authentifizierungsrate sinkt auf fast Null. Automatisieren Sie die Zertifikatsverlängerung mit Let's Encrypt oder Ihrer Zertifikatsmanagement-Plattform. Fragen und Antworten im Schnelldurchlauf. Benötige ich 802.1X für Gästenetzwerke? Nein. 802.1X ist für verwaltete Unternehmensgeräte geeignet. Für nicht verwaltete Gäste ist ein Captive Portal mit RADIUS-basierter VLAN-Zuweisung die richtige Architektur. Kann ich eine einzige SSID sowohl für Gäste als auch für Unternehmensgeräte nutzen? Technisch gesehen ja, unter Verwendung einer dynamischen VLAN-Zuweisung basierend auf dem Authentifizierungsergebnis. Operativ sind separate SSIDs jedoch einfacher zu verwalten und leichter zu überprüfen. Halten Sie sie getrennt. Wie gehe ich mit IoT-Geräten um, die keinen Captive Portal-Flow durchlaufen können? Verwenden Sie die MAC-basierte Authentifizierungsumgehung (MAB) für bekannte IoT-Geräte mit vorregistrierten MAC-Adressen. Unbekannte IoT-Geräte verschieben Sie in ein Quarantäne-VLAN und prüfen sie manuell. Was ist das richtige Sitzungs-Timeout für den Gästezugang? Im Gastgewerbe passen Sie es an die Aufenthaltsdauer des Gastes an. Für den Einzelhandel sind zwei bis vier Stunden typisch. Bei Veranstaltungen richten Sie sich nach dem Zeitplan der Veranstaltung. Legen Sie immer ein Idle-Timeout fest – 30 Minuten Inaktivität sind ein sinnvoller Standard. Sollte ich den Gästedatenverkehr protokollieren? Ja, aus rechtlichen und Compliance-Gründen. Bewahren Sie Verbindungsprotokolle – Quell-IP, Zeitstempel, authentifizierte Identität – für mindestens 90 Tage auf, oder länger, wenn Ihre Gesetzgebung dies erfordert. Die Plattform von Purple bietet diesen Audit-Trail nativ. Zusammenfassung und nächste Schritte. Zusammenfassend lässt sich sagen: Der sichere Gästezugang für nicht verwaltete Geräte ist ein gelöstes Problem, erfordert jedoch eine durchdachte Architektur. Die drei Säulen sind Identität – wer verbindet sich; Segmentierung – wohin sie gehen können; und Durchsetzung – wie Sie sicherstellen, dass die Richtlinie eingehalten wird. NAC verbindet diese Elemente, wobei RADIUS als Kommunikationsprotokoll zwischen Ihrer Authentifizierungsplattform und Ihrer Netzwerkinfrastruktur dient. Für Ihre nächsten Schritte: Falls noch nicht geschehen, überprüfen Sie Ihre aktuelle Gästenetzwerk-Segmentierung. Bestätigen Sie, dass keine Routen von Ihrem Gäste-VLAN zu Ihren Unternehmens-Subnetzen existieren. Überprüfen Sie den GDPR-Einwilligungsflow und die Datenspeicherungskonfiguration Ihres Captive Portals. Und wenn Sie WPA2 mit einer offenen Gäste-SSID nutzen, setzen Sie WPA3-OWE auf Ihre Roadmap für die nächste Infrastruktur-Modernisierung. Die Plattform von Purple lässt sich direkt in diese Architektur integrieren – sie stellt das Captive Portal, die Identitätserfassung, die GDPR-Compliance-Ebene und die Analysen bereit, die auf Ihrer NAC-Infrastruktur aufsetzen. Wenn Sie sehen möchten, wie sich dies auf Ihre spezifische Standortumgebung übertragen lässt, führt Sie das Purple-Team gerne durch eine Referenzarchitektur für Ihren Anwendungsfall. Vielen Dank fürs Zuhören. Dies war ein Purple WiFi Intelligence Briefing zum Thema Sicherer Gastzugang: Implementierung von NAC für unverwaltete Geräte.