Zum Hauptinhalt springen

Automatisierung von Enterprise WiFi Security: Der SCEP-Zertifikatsbereitstellungs-Leitfaden

Dieser technische Leitfaden erklärt, wie Sie die WiFi-Sicherheit für Unternehmen durch die Bereitstellung von SCEP-Zertifikaten automatisieren. Er bietet einen detaillierten Architekturentwurf und Implementierungsschritte für die Bereitstellung von 802.1X EAP-TLS-Authentifizierung in Unternehmens- und Gästenetzwerken.

📖 5 Min. Lesezeit📝 1,248 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Willkommen zu diesem technischen Briefing. Ich werde Sie heute durch unseren neuesten Leitfaden führen: Automating Enterprise WiFi Security, mit einem besonderen Fokus auf die SCEP-Zertifikatsbereitstellung. Wenn Sie Netzwerke für Hotels, Einzelhandelsketten oder öffentliche Veranstaltungsorte verwalten, wissen Sie bereits, dass die Verwendung von Pre-Shared Keys oder einfachen Captive Portals für den Mitarbeiterzugang ein massives Sicherheitsrisiko darstellt. Heute sprechen wir über den Goldstandard: 802.1X-Authentifizierung mittels EAP-TLS. Lassen Sie uns einen Blick auf die Architektur werfen. Die größte Herausforderung bei EAP-TLS ist nicht das Protokoll selbst, sondern die Logistik, um eindeutige Client-Zertifikate auf Tausende von Geräten zu übertragen - egal ob Windows-Laptops, iPads oder Point-of-Sale-Tablets. Hier kommen Mobile Device Management- (MDM) Plattformen wie Microsoft Intune oder Jamf ins Spiel. Aber wie übertragen Sie diese Zertifikate sicher? Im Wesentlichen haben Sie zwei Möglichkeiten: PKCS oder SCEP. Lassen Sie mich hierzu völlig unmissverständlich sein: Für die WiFi-Authentifizierung sollten Sie SCEP wählen. Das ist das Simple Certificate Enrolment Protocol. Und das ist der Grund dafür: Bei SCEP weist das MDM das Endgerät an, seinen eigenen privaten Schlüssel lokal zu generieren. Dieser Schlüssel bleibt in der sicheren Hardware des Geräts gesperrt. Er wird niemals über das Netzwerk übertragen. Das Gerät sendet lediglich eine Zertifikatsignierungsanforderung (Certificate Signing Request) über ein Gateway, in der Regel einen NDES-Server, an Ihre Zertifizierungsstelle (Certificate Authority). Vergleichen Sie das mit PKCS, wo die Zertifizierungsstelle den privaten Schlüssel zentral generiert und ihn über das Netzwerk auf das Gerät überträgt. Während PKCS seine Berechtigung hat - beispielsweise bei der E-Mail-Verschlüsselung, wo Sie ein Key-Escrow benötigen - ist die Übertragung privater Schlüssel über das Netzwerk ein Risiko, das Sie für die Netzwerkauthentifizierung schlichtweg nicht eingehen müssen. Belassen Sie die Schlüssel auf dem Gerät. Nutzen Sie SCEP. Lassen Sie uns nun über die Implementierung sprechen. Wenn Sie eine Sache aus diesem Briefing mitnehmen, dann diese goldene Regel: Vertrauen vor Authentifizierung. Sie können nicht einfach ein WiFi-Profil übertragen und erwarten, dass es funktioniert. Es gibt eine strikte, dreistufige Bereitstellungsreihenfolge, die Sie befolgen müssen. Schritt eins: Bereitstellung des Trusted Root Certificates (vertrauenswürdiges Stammzertifikat). Bevor ein Gerät ein Client-Zertifikat anfordern oder Ihrem RADIUS-Server vertrauen kann, muss es der ausstellenden Zertifizierungsstelle vertrauen. Übertragen Sie dieses Profil zuerst. Schritt zwei: Konfigurieren und Übertragen des SCEP-Zertifikatprofils. Dies teilt dem Gerät mit, wie es mit dem SCEP-Gateway kommunizieren soll, welches Format für den Subject Name zu verwenden ist und wofür das Zertifikat eigentlich gedacht ist - in diesem Fall für die Client-Authentifizierung. Sie müssen dieses Profil mit dem in Schritt eins bereitgestellten Trusted Root verknüpfen. Schritt drei: Bereitstellung des 802.1X-WiFi-Profils. Hier führen Sie alles zusammen. Sie geben die SSID an, wählen WPA3-Enterprise, stellen den EAP-Typ auf EAP-TLS ein und verweisen für die Client-Authentifizierung auf das SCEP-Zertifikat. Hier ist eine große Falle, in die wir immer wieder stolpern sehen. Ein Kunde ruft uns an und sagt: "Die Zertifikate sind auf dem Gerät, aber das WiFi-Profil zeigt in Intune einen Fehler an." Fast jedes einzelne Mal liegt das an einer Diskrepanz bei der Gruppenzuweisung. Wenn Sie das SCEP-Profil einer „Benutzer“-Gruppe zuweisen, das WiFi-Profil aber einer „Geräte“-Gruppe, kann das MDM die Abhängigkeit nicht auflösen. Passen Sie Ihre Zielgruppen über alle drei Profile hinweg exakt an. Sehen wir uns ein Praxisbeispiel an. Stellen Sie sich ein Hotel mit 200 Zimmern vor. Sie haben 150 verwaltete iOS-Geräte für den Zimmerservice. Derzeit nutzen sie ein Standardnetzwerk mit Passwort, und die Mitarbeiter geben das Passwort ständig an Gäste weiter. Ein Albtraum. Durch die Migration zu WPA2-Enterprise mit EAP-TLS über SCEP eliminiert der IT-Leiter das Passwort vollständig. Die iOS-Geräte authentifizieren sich geräuschlos im Hintergrund mithilfe ihrer Zertifikate. Aber was passiert, wenn eine Reinigungskraft ein Gerät verliert oder das Unternehmen verlässt? Das Deaktivieren ihres Active Directory-Kontos reicht nicht aus, da das Zertifikat auf diesem Gerät kryptografisch immer noch gültig ist. Dies bringt uns zu einer entscheidenden Sicherheitsmaßnahme: der strengen CRL-Prüfung. Sie müssen Ihren RADIUS-Server so konfigurieren, dass er die Certificate Revocation List prüft. Wenn ein Gerät verloren geht, sperren Sie das Zertifikat bei der Zertifizierungsstelle. Der RADIUS-Server erkennt die Sperrung auf der CRL und blockiert sofort den Netzwerkzugriff. Ohne strenge CRL-Prüfung ist Ihre Sicherheitsstruktur unvollständig. Zusammenfassend lässt sich sagen, dass der Übergang zur automatisierten SCEP-Zertifikatsbereitstellung einen enormen ROI liefert. Sie werden eine Reduzierung der WiFi-bezogenen Helpdesk-Tickets um 70 bis 80 Prozent feststellen, da sich Benutzer nicht mehr aussperren oder Passwörter falsch eingeben. Noch wichtiger ist, dass Sie das Risiko des Diebstahls von Anmeldedaten eliminieren und so sicherstellen, dass Sie Compliance-Frameworks wie PCI-DSS und GDPR einhalten. Die Automatisierung der WiFi-Sicherheit im Unternehmen dient nicht nur dem Schutz von Daten, sondern macht den sicheren Weg auch zum einfachsten Weg für Ihre Benutzer. Vielen Dank fürs Zuhören, und lesen Sie unbedingt die vollständige schriftliche Anleitung für die detaillierten Konfigurationsschritte.

header_image.png

Executive Summary

Für Unternehmen in den Bereichen Hotellerie, Einzelhandel und im öffentlichen Sektor birgt die Nutzung von Pre-Shared Keys oder einem einfachen Captive Portal für den Netzwerkzugriff schwerwiegende Sicherheitsrisiken. Moderne Netzwerkarchitekturen erfordern eine 802.1X Authentifizierung mittels EAP-TLS, um sicherzustellen, dass jedes Gerät kryptografisch verifiziert wird, bevor es auf das Netzwerk zugreift. Für IT-Manager und Netzwerkarchitekten liegt die Herausforderung in der effizienten Bereitstellung einzigartiger Client-Zertifikate auf Tausenden von Windows, iOS und Android Geräten.

Dieser Leitfaden bietet den maßgeblichen Architektur-Blueprint und die schrittweise Implementierungsstrategie für die automatisierte WiFi Zertifikatsbereitstellung über das Simple Certificate Enrolment Protocol (SCEP). Durch die Integration Ihrer Mobile-Device-Management-Plattform (MDM) mit einem SCEP-Gateway und einer Certificate Authority (CA) können Sie vertrauenswürdige Root- und Client-Zertifikate im Hintergrund auf verwaltete Endpunkte aufspielen. Wir untersuchen die entscheidenden Unterschiede zwischen SCEP und PKCS, beschreiben die genaue Abfolge der für eine erfolgreiche Bereitstellung erforderlichen Schritte und skizzieren praktische Strategien zur Risikominderung, um Ihr WiFi Netzwerk sicher und leistungsstark zu halten.

Hören Sie sich das begleitende Podcast-Briefing an:

Technischer Deep Dive: SCEP-Architektur und EAP-TLS

Bei der Entwicklung einer WiFi Zertifikatsbereitstellungsstrategie für Unternehmen besteht die zentrale architektonische Entscheidung darin, wie Zertifikate sicher bereitgestellt werden. Der Branchenstandard für diesen Prozess ist SCEP. SCEP automatisiert den Prozess der Zertifikatsregistrierung und ermöglicht es Geräten, Zertifikate über ein standardisiertes Protokoll sicher von einer Certificate Authority anzufordern.

Die Vorteile von SCEP gegenüber PKCS

Obwohl Plattformen wie Microsoft Intune sowohl SCEP als auch Public Key Cryptography Standards (PKCS) unterstützen, unterscheiden sich ihre Funktionsweisen grundlegend. Im SCEP-Workflow weist der MDM-Dienst den Endpunkt an, sein eigenes privates und öffentliches Schlüsselpaar zu generieren. Das Gerät erstellt dann eine Zertifikatsregistrierungsanfrage (CSR) und sendet diese über einen Network Device Enrolment Service (NDES)-Server an Ihre CA. Die CA signiert die Anfrage und sendet das öffentliche Schlüsselzertifikat an das Gerät zurück.

Der entscheidende Sicherheitsvorteil von SCEP liegt darin, dass der private Schlüssel das Gerät niemals verlässt. Er wird lokal generiert und im Secure Enclave des Geräts gespeichert. Dies macht SCEP zur dringend empfohlenen Methode für die 802.1X Authentifizierung. Im Gegensatz dazu generiert die Zertifizierungsstelle bei PKCS beide Schlüssel zentral und überträgt sie über das Netzwerk. PKCS eignet sich besser für Anwendungsfälle, die eine Schlüsselhinterlegung erfordern (wie die S/MIME-E-Mail-Verschlüsselung), und weniger für die Netzwerkauthentifizierung.

scep_vs_pkcs_comparison.png

802.1X und EAP-TLS Authentifizierung

Der Standard IEEE 802.1X bietet das Framework für die zentralisierte Netzwerkzugriffsverwaltung. Er definiert, wie Pakete des Extensible Authentication Protocol (EAP) über das LAN (EAPoL) transportiert werden, um die Authentifizierung zwischen dem Client, dem Access Point und dem Authentifizierungsserver - in der Regel ein RADIUS Server - zu ermöglichen.

EAP-TLS ist das sicherste Authentierungsprotokoll für 802.1X Netzwerke. Es erfordert eine gegenseitige Authentifizierung: Der Client validiert das Zertifikat des RADIUS Servers und der RADIUS Server validiert das Zertifikat des Clients. Dieser strenge Validierungsprozess stellt sicher, dass nur authentifizierte und autorisierte Benutzer auf registrierten Geräten Zugriff erhalten, wodurch das Netzwerk vor Bedrohungen wie Evil-Twin-Angriffen geschützt wird.

Implementierungshandbuch: Die Bereitstellungsreihenfolge

Die erfolgreiche Konfiguration der automatisierten Zertifikatsbereitstellung für 802.1X erfordert die strikte Einhaltung einer bestimmten Reihenfolge. Profilabhängigkeiten schreiben vor, dass Vertrauen aufgebaut werden muss, bevor die Authentifizierung konfiguriert wird. Dies gilt unabhängig davon, ob Sie Microsoft Intune, Jamf oder eine andere MDM-Plattform verwenden.

Schritt 1: Bereitstellen des vertrauenswürdigen Root-Zertifikats

Bevor ein Gerät ein Client-Zertifikat anfordern oder Ihrem RADIUS Server vertrauen kann, muss es der Zertifizierungsstelle vertrauen, die die Zertifikate ausstellt.

  1. Exportieren Sie Ihr Root-CA-Zertifikat und alle Intermediate-CA-Zertifikate.
  2. Erstellen Sie in Ihrer MDM-Plattform ein Profil für vertrauenswürdige Zertifikate.
  3. Laden Sie die Zertifikatsdateien hoch und stellen Sie dieses Profil für Ihre Zielgerätegruppen bereit.

Schritt 2: Konfigurieren des SCEP-Zertifikatsprofils

Sobald das Vertrauen hergestellt ist, konfigurieren Sie das SCEP-Profil, um Geräten mitzuteilen, wie sie ihre Client-Zertifikate erhalten.

  1. Erstellen Sie ein neues SCEP-Zertifikatskonfigurationsprofil.
  2. Konfigurieren Sie das Format des Subjektnamens. Verwenden Sie für die benutzergesteuerte Authentifizierung den User Principal Name (UPN). Verwenden Sie für die Geräteauthentifizierung die Geräte-ID.
  3. Legen Sie die Schlüsselverwendung auf digitale Signatur und Schlüsselverschlüsselung fest.
  4. Spezifizieren Sie die Client-Authentifizierung für die erweiterte Schlüsselverwendung.
  5. Verknüpfen Sie dieses Profil mit dem in Schritt 1 erstellten Profil für das vertrauenswürdige Root-Zertifikat.
  6. Geben Sie die externe URL Ihres SCEP-Gateways oder NDES-Servers an.

Schritt 3: Bereitstellen des 802.1X WiFi Profils

Der letzte Schritt ist das Übertragen der WiFi Konfiguration, die das Zertifikat an die SSID des Netzwerks bindet.

  1. Erstellen Sie ein WiFi-Konfigurationsprofil.
  2. Geben Sie die SSID genau so ein, wie sie von Ihren Access Points ausgestrahlt wird.
  3. Wählen Sie WPA2-Enterprise oder WPA3-Enterprise als Sicherheitstyp.
  4. Stellen Sie den EAP-Typ auf EAP-TLS ein.
  5. Wählen Sie das in Schritt 2 erstellte SCEP-Zertifikatsprofil für die Client-Authentifizierung aus.
  6. Geben Sie das vertrauenswürdige Stammzertifikat für die Servervalidierung an, um sicherzustellen, dass sich Geräte nur mit Ihrem legitimen RADIUS-Server verbinden.

scep_architecture_overview.png

Best Practices für Enterprise-Umgebungen

Befolgen Sie bei der Implementierung der SCEP-Zertifikatsbereitstellung diese herstellerunabhängigen Best Practices, um Compliance und Zuverlässigkeit zu gewährleisten.

Sichern Sie das SCEP-Gateway

Das SCEP-Gateway oder der NDES-Server muss über das Internet erreichbar sein, damit Remote-Geräte Zertifikate bereitstellen können, bevor sie vor Ort eintreffen. Die direkte Freigabe eines internen Servers im Internet stellt jedoch ein erhebliches Sicherheitsrisiko dar. Veröffentlichen Sie die URL über einen Anwendungsproxy. Dies bietet einen sicheren Remote-Zugriff, ohne eingehende Firewall-Ports zu öffnen, und ermöglicht es Ihnen, Richtlinien für bedingten Zugriff auf den Registrierungsdatenfluss anzuwenden.

Erzwingen Sie eine strenge CRL-Prüfung

Die Zertifikatsbereitstellung ist nur die halbe Miete der Sicherheit; der Widerruf ist ebenso wichtig. Wenn ein Mitarbeiter das Unternehmen verlässt, wird durch das Deaktivieren seines Verzeichniskontos der WiFi-Zugriff möglicherweise nicht sofort entzogen, wenn sein Client-Zertifikat gültig bleibt. Konfigurieren Sie Ihren RADIUS-Server so, dass er eine strenge Prüfung der Zertifikatssperrliste (CRL) erzwingt. Stellen Sie sicher, dass Ihre CRL-Verteilungspunkte hochverfügbar sind; wenn der RADIUS-Server die CRL nicht erreichen kann, schlägt die Authentifizierung fehl, was zu weitreichenden Serviceunterbrechungen führt.

Hardware-Integration

Stellen Sie sicher, dass Ihre Netzwerkinfrastruktur die erforderlichen Protokolle unterstützt. Purple lässt sich nahtlos in Hardware von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet integrieren. Konfigurieren Sie diese Systeme so, dass sie Authentifizierungsanfragen an Ihre zentralisierte RADIUS-Infrastruktur weiterleiten.

Fehlerbehebung und Risikominderung

Selbst bei sorgfältiger Planung kann es bei der Zertifikatsbereitstellung zu Problemen kommen. Im Folgenden finden Sie häufige Fehlermodi und Strategien zur Risikominderung.

Abhängigkeitsfehler

Ein häufiges Problem ist, dass ein Gerät das vertrauenswürdige Stamm- und SCEP-Zertifikat erhält, das WiFi-Profil jedoch nicht angewendet werden kann. Dies wird fast immer durch eine nicht übereinstimmende Gruppenzuweisung innerhalb des MDM verursacht. Wenn das SCEP-Profil einer Benutzergruppe zugewiesen ist, während das WiFi-Profil einer Gerätegruppe zugewiesen ist, kann das MDM die Abhängigkeit nicht auflösen. Überprüfen Sie Ihre Zuweisungen und stellen Sie sicher, dass alle zugehörigen Profile genau denselben Verzeichnisgruppen zugewiesen sind.

Registrierungsfehler

Wenn Geräte keine SCEP-Zertifikate abrufen können und die Gateway-Protokolle HTTP-403-Fehler anzeigen, fehlen dem Dienstkonto möglicherweise die erforderlichen Berechtigungen für die Zertifikatsvorlage, oder die URL-Filterung auf der Firewall blockiert die spezifischen von SCEP verwendeten Abfrageparameter. Stellen Sie sicher, dass das Connector-Konto über Lese- und Registrierungsberechtigungen für die CA-Vorlage verfügt, und überprüfen Sie die Firewall-Protokolle, um sicherzustellen, dass die SCEP-URL nicht blockiert wird.

ROI und geschäftlicher Nutzen

Der Übergang zur automatisierten Zertifikatsbereitstellung für 802.1X liefert messbare Renditen sowohl im Sicherheitsbereich als auch im Betrieb.

Kennwortbasiertes WiFi verursacht aufgrund von Kennwortabläufen, Sperren und Tippfehlern ein hohes Aufkommen an Support-Tickets. Die zertifikatsbasierte Authentifizierung ist für den Benutzer unsichtbar und reduziert das Aufkommen an WiFi-bezogenen Helpdesk-Tickets in der Regel um 70 % bis 80 %.

Darüber hinaus eliminiert EAP-TLS das Risiko von Diebstahl von Anmeldedaten und Man-in-the-Middle-Angriffen. Dies ist für die Einhaltung von Frameworks wie PCI-DSS und GDPR unerlässlich. Für Einzelhandelsunternehmen mit mehreren Standorten oder große Hotelketten sorgt die Automatisierung dieses Prozesses ab dem ersten Tag für eine konsistente, berührungslose Bereitstellung, die den Netzwerkperimeter sichert und gleichzeitig den betrieblichen Aufwand erheblich reduziert.

Schlüsseldefinitionen

SCEP

Simple Certificate Enrolment Protocol. Ein Protokoll, das den Prozess der Anforderung und Installation digitaler Zertifikate auf Geräten automatisiert, wobei der private Schlüssel lokal generiert wird.

Die empfohlene Methode zur skalierbaren Bereitstellung von WiFi-Authentifizierungszertifikaten über MDM-Plattformen.

PKCS

Public Key Cryptography Standards. Eine Bereitstellungsmethode, bei der die Zertifizierungsstelle sowohl den öffentlichen als auch den privaten Schlüssel generiert und an den Endpunkt überträgt.

Wird häufig für die S/MIME-E-Mail-Verschlüsselung verwendet, ist jedoch aufgrund der Netzwerkübertragung des privaten Schlüssels für WiFi weniger ideal.

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.

Die obligatorische Basis für die WiFi-Sicherheit in Unternehmen, die unsichere Pre-Shared Keys ersetzt.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Ein Authentifizierungsprotokoll, bei dem sowohl der Client als auch der Server gültige digitale Zertifikate vorlegen müssen.

Gilt als die sicherste Authentifizierungsmethode für 802.1X-Netzwerke, da sie passwortbasierte Sicherheitsrisiken eliminiert.

NDES

Network Device Enrolment Service. Eine Serverrolle, die als Gateway fungiert und es Geräten ohne Domänen-Anmeldedaten ermöglicht, Zertifikate über SCEP zu erhalten.

Eine erforderliche Infrastrukturkomponente bei der Implementierung der SCEP-Zertifikatsbereitstellung mit Microsoft Intune.

RADIUS

Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentralisierte Authentifizierungs-, Autorisierungs- und Accounting-Verwaltung bereitstellt.

Der Server, der die Client-Zertifikate mit dem Verzeichnis abgleicht und den Netzwerkzugriff gewährt.

CRL

Certificate Revocation List. Eine von der Zertifizierungsstelle veröffentlichte Liste, die die Seriennummern der widerrufenen Zertifikate enthält.

RADIUS-Server müssen die CRL prüfen, um sicherzustellen, dass ein vorgelegtes Zertifikat noch gültig ist und nicht kompromittiert wurde.

CSR

Certificate Signing Request. Ein Block codierten Textes, der einer Zertifizierungsstelle bei der Beantragung eines SSL/TLS-Zertifikats übergeben wird.

Wird während des SCEP-Registrierungsprozesses vom Gerät generiert, um ein signiertes Zertifikat anzufordern.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern muss ein sicheres Mitarbeiter-WiFi auf 150 verwalteten iOS-Geräten bereitstellen, die vom Reinigungsdienst und der Wartung genutzt werden. Derzeit verwenden sie ein WPA2-PSK-Netzwerk, aber das Personal teilt das Passwort immer wieder mit Gästen. Wie sollte der IT-Leiter eine sichere, automatisierte Lösung implementieren?

Der IT-Leiter sollte das Mitarbeiter-WiFi auf WPA2-Enterprise mit 802.1X EAP-TLS-Authentifizierung umstellen. Er muss sein MDM (z. B. Jamf) so konfigurieren, dass es eine SCEP-Payload auf die iOS-Geräte überträgt. Der Ablauf der Bereitstellung ist: 1) Bereitstellung des Root-CA-Zertifikats, damit die Geräte dem Netzwerk vertrauen. 2) Bereitstellung des SCEP-Profils, das die Geräte anweist, ein Client-Zertifikat von der CA über das SCEP-Gateway anzufordern. 3) Bereitstellung des für WPA2-Enterprise und EAP-TLS konfigurierten WiFi-Profils, das mit dem SCEP-Zertifikat verknüpft ist. Die Access Points des Netzwerks (z. B. HPE Aruba) werden so konfiguriert, dass sie Clients mit einem zentralen RADIUS-Server authentifizieren. Wenn Mitarbeiter eintreffen, authentifizieren sich ihre Geräte automatisch über das Zertifikat, ohne dass ein Passwort erforderlich ist.

Kommentar des Prüfers: Dieser Ansatz eliminiert das Sicherheitsrisiko gemeinsam genutzter Passwörter vollständig. Durch den Einsatz von SCEP und EAP-TLS stellt das Hotel sicher, dass nur verwaltete, autorisierte Geräte auf das Mitarbeiter-WiFi zugreifen können. Die privaten Schlüssel bleiben auf den iOS-Geräten geschützt. Wenn ein Gerät verloren geht oder ein Mitarbeiter das Unternehmen verlässt, kann das Zertifikat zentral über die CRL widerrufen werden, wodurch der Netzwerkzugriff sofort beendet wird.

Eine Einzelhandelskette führt an 50 Standorten neue Point-of-Sale (POS)-Tablets ein. Um die PCI-DSS-Anforderungen zu erfüllen, müssen die Tablets eine Verbindung zu einem sicheren drahtlosen Netzwerk herstellen. Der Netzwerkarchitekt plant, Microsoft Intune für die Bereitstellung zu nutzen. Welche Architekturentscheidungen gewährleisten Compliance und Sicherheit?

Um die PCI-DSS-Anforderungen für starke Kryptografie und Authentifizierung zu erfüllen, muss der Architekt 802.1X EAP-TLS bereitstellen. Bei der Verwendung von Microsoft Intune sollte er SCEP gegenüber PKCS für die Zertifikatsbereitstellung bevorzugen. Dies stellt sicher, dass der private Schlüssel auf dem TPM des POS-Tablets generiert und niemals über das Netzwerk übertragen wird. Sie müssen einen NDES-Server einrichten, der sicher über den Azure AD Application Proxy veröffentlicht wird. Schließlich müssen sie den RADIUS-Server so konfigurieren, dass er eine strenge CRL-Prüfung erzwingt. Dadurch wird sichergestellt, dass bei der Kompromittierung eines POS-Tablets dessen Zertifikat widerrufen und der Netzwerkzugriff sofort gesperrt werden kann.

Kommentar des Prüfers: Die Wahl von SCEP gegenüber PKCS ist hier die entscheidende Entscheidung für die PCI-DSS-Compliance, da sie die Übertragung des privaten Schlüssels verhindert. Die Veröffentlichung des NDES-Servers über einen Anwendungsproxy sichert die Registrierungsinfrastruktur. Eine strenge CRL-Prüfung ist zwingend erforderlich; ohne sie könnte ein widerrufenes Zertifikat einem kompromittierten Gerät immer noch den Zugriff auf das Zahlungsnetzwerk ermöglichen.

Übungsfragen

Q1. Sie stellen ein neues 802.1X WiFi-Netzwerk für einen Unternehmenscampus mithilfe von Microsoft Intune bereit. Sie haben das Trusted-Root-Profil, das SCEP-Profil und das WiFi-Profil konfiguriert. Bei Tests erhalten die Geräte zwar die Zertifikate, das WiFi-Profil wird in der Intune-Konsole jedoch als "Fehler" angezeigt. Was ist die wahrscheinlichste Ursache?

Hinweis: Überlegen Sie, wie das MDM Abhängigkeiten zwischen Profilen auflöst.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist eine Diskrepanz beim Gruppen-Targeting. Intune erfordert, dass abhängige Profile exakt derselben Azure AD-Gruppe zugewiesen werden. Wenn das SCEP-Profil einer Benutzergruppe und das WiFi-Profil einer Gerätegruppe zugewiesen ist, kann Intune die Abhängigkeit nicht auflösen, was zu einem Fehler führt.

Q2. Ein Einzelhandelsunternehmen möchte die Zertifikatsbereitstellung für die Tablets seiner Filialleiter automatisieren. Es wird zwischen SCEP und PKCS abgewogen. Die Sicherheit steht dabei an erster Stelle, insbesondere der Schutz der privaten Schlüssel. Welches Protokoll sollten sie wählen und warum?

Hinweis: Überlegen Sie, wo bei den einzelnen Protokollen der private Schlüssel generiert wird.

Musterlösung anzeigen

Sie sollten SCEP wählen. Bei einem SCEP-Workflow wird der private Schlüssel lokal auf dem Tablet generiert und in dessen Secure Enclave gespeichert; er verlässt das Gerät nie. Bei PKCS generiert die Zertifizierungsstelle den privaten Schlüssel und überträgt ihn über das Netzwerk an das Gerät, was eine potenzielle Sicherheitslücke darstellt.

Q3. Ein Mitarbeiter verlässt das Unternehmen und sein Active Directory-Konto wird deaktiviert. Das IT-Team stellt jedoch fest, dass das Gerät des Mitarbeiters immer noch mit dem WiFi-Netzwerk des Unternehmens verbunden ist. Das Netzwerk verwendet die EAP-TLS-Authentifizierung. Welche Konfiguration fehlt auf dem RADIUS-Server?

Hinweis: Das Deaktivieren eines Kontos führt nicht automatisch zum Erlöschen eines zuvor ausgestellten Zertifikats.

Musterlösung anzeigen

Auf dem RADIUS-Server fehlt die strikte Prüfung der Certificate Revocation List (CRL). Selbst wenn das Verzeichnis-Konto deaktiviert ist, bleibt das Client-Zertifikat kryptografisch gültig, bis es abläuft oder explizit widerrufen wird. Der RADIUS-Server muss so konfiguriert sein, dass er die CRL prüft, um sicherzustellen, dass widerrufenen Zertifikaten der Netzwerkzugriff verweigert wird.

Weiterlesen in dieser Reihe

Wie Sie Mitarbeiter- und Gäste-WiFi-Netzwerke sicher trennen

Dieser maßgebliche technische Leitfaden bietet IT-Leitern umsetzbare Strategien zur sicheren Trennung von Mitarbeiter-, Gäste- und IoT-WiFi-Netzwerken mithilfe von VLANs und 802.1X. Er beschreibt im Detail, wie Sie die Infrastruktur Ihres Unternehmens sichern, die PCI-DSS-Compliance wahren und Captive Portale nutzen, um First-Party-Daten zu erfassen.

Leitfaden lesen →

Beste DNS-Filterung: Ein umfassender Leitfaden für Unternehmen

Dieser technische Leitfaden erklärt, wie DNS-Filterung der Enterprise-Klasse öffentliche Netzwerke sichert, indem bösartige Domains auf der Auflösungsebene blockiert werden - noch bevor eine Verbindung hergestellt wird. Er bietet IT-Leitern, Netzwerkarchitekten und Venue-Operations-Teams die Deployment-Architektur, Firewall-Konfiguration und den Compliance-Kontext, die sie benötigen, um Guest WiFi in der Hotellerie, im Einzelhandel und im öffentlichen Sektor zu schützen. Purple Shield blockiert Malware, Botnets und unangemessene Inhalte auf DNS-Ebene an über 80.000 Live-Standorten.

Leitfaden lesen →

Cisco SUDI verstehen: Hardware-verankerte Identität bei der sicheren Netzwerk-Zugangskontrolle

Dieser Leitfaden erklärt, wie Cisco SUDI eine hardware-verankerte, kryptografisch sichere Identität für die IT-Infrastruktur von Unternehmen bereitstellt. Erfahren Sie, wie Sie fälschbare MAC-Adressen durch unveränderliche 802.1AR-Zertifikate ersetzen, um die Netzwerk-Zugangskontrolle Ihres Standorts zu sichern.

Leitfaden lesen →