Zum Hauptinhalt springen

Automatisierung der Enterprise WiFi-Sicherheit: Der SCEP-Zertifikatsbereitstellungs-Leitfaden

Dieser technische Leitfaden erklärt, wie Sie die Enterprise WiFi-Sicherheit mithilfe der SCEP-Zertifikatsbereitstellung automatisieren. Er bietet einen detaillierten Architektur-Entwurf und Implementierungsschritte für die Bereitstellung von 802.1X EAP-TLS-Authentifizierung in Unternehmens- und Gastnetzwerken.

📖 5 Min. Lesezeit📝 1,248 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Willkommen zu diesem technischen Briefing. Ich werde Sie heute durch unseren neuesten Leitfaden führen: Automatisierung der Enterprise WiFi-Sicherheit, mit besonderem Fokus auf die SCEP-Zertifikatsbereitstellung. Wenn Sie Netzwerke für Hotels, Einzelhandelsketten oder öffentliche Veranstaltungsorte verwalten, wissen Sie bereits, dass die Verwendung von Pre-Shared Keys oder einfachen Captive Portals für den Mitarbeiterzugriff ein massives Sicherheitsrisiko darstellt. Heute sprechen wir über den Goldstandard: 802.1X-Authentifizierung mittels EAP-TLS. Lassen Sie uns einen Blick auf die Architektur werfen. Die größte Herausforderung bei EAP-TLS ist nicht das Protokoll selbst, sondern die Logistik, einzigartige Client-Zertifikate auf Tausende von Geräten zu übertragen – seien es Windows-Laptops, iPads oder Point-of-Sale-Tablets. Hier kommen Mobile-Device-Management- bzw. MDM-Plattformen wie Microsoft Intune oder Jamf ins Spiel. Aber wie stellen Sie diese Zertifikate sicher bereit? Im Wesentlichen haben Sie zwei Möglichkeiten: PKCS oder SCEP. Lassen Sie mich das ganz unmissverständlich sagen: Für die WiFi-Authentifizierung sollten Sie SCEP wählen. Das ist das Simple Certificate Enrollment Protocol. Und das ist der Grund dafür: Bei SCEP weist das MDM-System das Endgerät an, seinen eigenen privaten Schlüssel lokal zu generieren. Dieser Schlüssel bleibt in der sicheren Hardware des Geräts gesperrt. Er wird niemals über das Netzwerk übertragen. Das Gerät sendet lediglich eine Zertifikatsignierungsanforderung (Certificate Signing Request) über ein Gateway, in der Regel einen NDES-Server, an Ihre Zertifizierungsstelle. Vergleichen Sie das mit PKCS, bei dem die Zertifizierungsstelle den privaten Schlüssel zentral generiert und über das Netzwerk an das Gerät überträgt. Während PKCS seine Daseinsberechtigung hat – etwa bei der E-Mail-Verschlüsselung, bei der Sie ein Key-Escrow benötigen –, ist die Übertragung privater Schlüssel über das Netzwerk ein Risiko, das Sie für die Netzwerkauthentifizierung schlichtweg nicht eingehen müssen. Belassen Sie die Schlüssel auf dem Gerät. Nutzen Sie SCEP. Kommen wir nun zur Implementierung. Wenn Sie eine einzige Sache aus diesem Briefing mitnehmen, dann diese Faustregel: Vertrauen vor Authentifizierung. Sie können nicht einfach ein WiFi-Profil bereitstellen und erwarten, dass es funktioniert. Es gibt eine strikte, dreistufige Bereitstellungsreihenfolge, die Sie einhalten müssen. Schritt eins: Bereitstellung des Trusted Root-Zertifikats. Bevor ein Gerät ein Client-Zertifikat anfordern oder Ihrem RADIUS-Server vertrauen kann, muss es der ausstellenden Zertifizierungsstelle vertrauen. Stellen Sie dieses Profil zuerst bereit. Schritt zwei: Konfigurieren und Bereitstellen des SCEP-Zertifikatsprofils. Dieses teilt dem Gerät mit, wie es mit dem SCEP-Gateway kommunizieren soll, welches Format für den Betreffnamen zu verwenden ist und wofür das Zertifikat eigentlich gedacht ist – in diesem Fall für die Client-Authentifizierung. Sie müssen dieses Profil mit dem in Schritt eins bereitgestellten Trusted Root verknüpfen. Schritt drei: Bereitstellung des 802.1X WiFi-Profils. Hier führen Sie alles zusammen. Sie geben die SSID an, wählen WPA3-Enterprise, stellen den EAP-Typ auf EAP-TLS ein und verweisen auf das SCEP-Zertifikat für die Client-Authentifizierung. Hier ist ein großer Fallstrick, den wir ständig sehen. Ein Kunde ruft uns an und sagt: "Die Zertifikate befinden sich auf dem Gerät, aber das WiFi-Profil zeigt in Intune einen Fehler an." Fast jedes Mal liegt dies an einer fehlerhaften Gruppenzuordnung (Targeting Mismatch). Wenn Sie das SCEP-Profil einer „Benutzer“-Gruppe zuweisen, das WiFi-Profil jedoch einer „Geräte“-Gruppe, kann das MDM die Abhängigkeit nicht auflösen. Gleichen Sie Ihre Zielgruppen über alle drei Profile hinweg exakt ab. Betrachten wir ein reales Szenario. Stellen Sie sich ein Hotel mit 200 Zimmern vor. Es verfügt über 150 verwaltete iOS-Geräte für das Housekeeping. Derzeit nutzen sie ein Standard-Passwortnetzwerk, und das Personal gibt das Passwort ständig an Gäste weiter. Ein Albtraum. Durch die Migration auf WPA2-Enterprise mit EAP-TLS via SCEP eliminiert der IT-Leiter das Passwort vollständig. Die iOS-Geräte authentifizieren sich geräuschlos im Hintergrund anhand ihrer Zertifikate. Doch was passiert, wenn eine Reinigungskraft ein Gerät verliert oder das Unternehmen verlässt? Das Deaktivieren des Active Directory-Kontos reicht nicht aus, da das Zertifikat auf diesem Gerät kryptografisch weiterhin gültig ist. Dies bringt uns zu einer kritischen Sicherheitsmaßnahme: der strengen CRL-Prüfung. Sie müssen Ihren RADIUS-Server so konfigurieren, dass er die Zertifikatssperrliste (Certificate Revocation List) prüft. Wenn ein Gerät verloren geht, sperren Sie das Zertifikat bei der CA. Der RADIUS-Server erkennt die Sperrung in der CRL und blockiert sofort den Netzwerkzugriff. Ohne strenge CRL-Prüfung ist Ihre Sicherheitsaufstellung unvollständig. Zusammenfassend lässt sich sagen, dass der Übergang zur automatisierten SCEP-Zertifikatsbereitstellung einen enormen ROI liefert. Sie werden eine Reduzierung der WiFi-bezogenen Helpdesk-Tickets um 70 bis 80 Prozent feststellen, da sich Benutzer nicht mehr aussperren oder Passwörter falsch eingeben. Vor allem eliminieren Sie das Risiko des Abgreifens von Anmeldedaten (Credential Harvesting) und stellen sicher, dass Sie Compliance-Frameworks wie PCI DSS und GDPR einhalten. Bei der Automatisierung der WiFi-Sicherheit in Unternehmen geht es nicht nur darum, Dinge abzuriegeln; es geht darum, den sicheren Weg zum einfachsten Weg für Ihre Benutzer zu machen. Vielen Dank fürs Zuhören, und schauen Sie sich unbedingt den vollständigen schriftlichen Leitfaden für die detaillierte Schritt-für-Schritt-Konfiguration an.

header_image.png

执行摘要

对于酒店、零售和公共部门的企事业单位而言,依靠预共享密钥或基础 Captive Portal 进行网络访问会引入严重的安全漏洞。现代网络架构要求使用 EAP-TLS 进行 802.1X 认证,以确保每个设备在访问网络之前都经过密码学验证。对于 IT 经理和网络架构师来说,挑战在于如何高效地向数千台 Windows、iOS 和 Android 设备部署唯一的客户端证书。

本指南为使用简单证书注册协议 (SCEP) 进行自动化 WiFi 证书部署提供了权威的架构蓝图和分步实施策略。通过将您的移动设备管理 (MDM) 平台与 SCEP 网关和证书颁发机构 (CA) 集成,您可以将受信任的根证书和客户端证书静默推送到受管终端。我们将探讨 SCEP 与 PKCS 之间的关键区别,详细介绍成功部署所需的精确步骤顺序,并概述实际的风险缓解策略,以确保您的 WiFi 网络保持安全和高效。

收听配套播客简报:

技术深度解析:SCEP 架构与 EAP-TLS

在设计企业 WiFi 证书部署策略时,核心架构决策是如何安全地交付证书。该过程的行业标准是 SCEP。SCEP 自动执行证书注册过程,允许设备使用标准化协议安全地向证书颁发机构请求证书。

SCEP 相比 PKCS 的优势

虽然 Microsoft Intune 等平台同时支持 SCEP 和公钥加密标准 (PKCS),但它们的运行机制根本不同。在 SCEP 工作流中,MDM 服务指示终端生成自己的私钥和公钥对。然后,设备创建证书签名请求 (CSR),并通过网络设备注册服务 (NDES) 服务器将其发送到您的 CA。CA 对请求进行签名并将公钥证书返回给设备。

SCEP 的关键安全优势在于私钥永远不会离开设备。它在本地生成并存储在设备的安全隔离区中。这使得 SCEP 成为 802.1X 认证的强烈推荐方法。相反,使用 PKCS 时,CA 会集中生成两个密钥并通过网络传输。PKCS 更适合需要密钥托管的用例(例如 S/MIME 邮件加密),而不是网络认证。

scep_vs_pkcs_comparison.png

802.1X 与 EAP-TLS 认证

IEEE 802.1X 标准为集中式网络访问管理提供了框架。它定义了如何在局域网 (EAPoL) 上传输可扩展身份验证协议 (EAP) 数据包,以便在客户端、接入点和认证服务器(通常是 RADIUS 服务器)之间进行认证。

EAP-TLS 是 802.1X 网络中最安全的认证协议。它需要双向认证:客户端验证 RADIUS 服务器的证书,RADIUS 服务器验证客户端的证书。这种严格的验证过程确保只有已注册设备上经过身份验证和授权的用户才能获得访问权限,从而保护网络免受双面恶魔 (Evil Twin) 攻击等威胁。

实施指南:部署顺序

成功配置 802.1X 的自动化证书部署需要严格遵守特定顺序。配置文件依赖关系决定了在配置认证之前必须先建立信任。无论您使用 Microsoft Intune、Jamf 还是其他 MDM 平台,这都适用。

步骤 1:部署受信任的根证书

在任何设备可以请求客户端证书或信任您的 RADIUS 服务器之前,它必须信任颁发证书的证书颁发机构。

  1. 导出您的根 CA 证书和任何中间 CA 证书。
  2. 在您的 MDM 平台中,创建一个受信任的证书配置文件。
  3. 上传证书文件并将此配置文件部署到您的目标设备组。

步骤 2:配置 SCEP 证书配置文件

建立信任后,配置 SCEP 配置文件以指示设备如何获取其客户端证书。

  1. 创建一个新的 SCEP 证书配置配置文件。
  2. 配置使用者名称格式。对于用户驱动的认证,使用用户主体名称 (UPN)。对于设备认证,使用设备 ID。
  3. 将密钥用法设置为数字签名和密钥加密。
  4. 为增强型密钥用法指定客户端认证。
  5. 将此配置文件链接到步骤 1 中创建的受信任根证书配置文件。
  6. 提供您的 SCEP 网关或 NDES 服务器的外部 URL。

步骤 3:部署 802.1X WiFi 配置文件

最后一步是推送将证书与网络 SSID 绑定的 WiFi 配置。

  1. 创建一个 WiFi 配置配置文件。
  2. 输入与您的接入点广播完全一致的 SSID。
  3. 选择 WPA2-EnterpriseWPA3-Enterprise 作为安全类型。
  4. 将 EAP 类型设置为 EAP-TLS。
  5. 选择步骤 2 中创建的 SCEP 证书配置文件进行客户端认证。
  6. 指定用于服务器验证的受信任根证书,以确保设备仅连接到您合法的 RADIUS 服务器。

scep_architecture_overview.png

企业环境最佳实践

在实施 SCEP 证书部署时,请遵循以下与厂商无关的最佳实践,以确保合规性和可靠性。

保护 SCEP 网关安全

SCEP 网关或 NDES 服务器必须能够从互联网访问,以便远程设备在到达现场之前能够配置证书。然而,将内部服务器直接暴露给互联网会带来重大的安全风险。请使用应用代理发布该 URL。这可以在不打开入站防火墙端口的情况下提供安全的远程访问,并允许您对注册流程应用条件访问策略。

强制执行严格的 CRL 检查

证书部署只是安全方程式的一半,吊销同样至关重要。如果员工离职,禁用其目录帐户可能无法立即撤销其 WiFi 访问权限(如果其客户端证书仍然有效)。请配置您的 RADIUS 服务器以强制执行严格的证书吊销列表 (CRL) 检查。确保您的 CRL 分发点高度可用;如果 RADIUS 服务器无法访问 CRL,身份验证将失败,从而导致大范围的服务中断。

硬件集成

确保您的网络基础设施支持所需的协议。Purple 与 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 硬件无缝集成。配置这些系统以将身份验证请求转发到您的集中式 RADIUS 基础设施。

故障排除与风险缓解

即使经过精心规划,证书部署也可能会遇到问题。以下是常见的失败模式和缓解策略。

依赖关系失败

一个常见问题是设备接收到了受信任的根证书和 SCEP 证书,但 WiFi 配置文件应用失败。这几乎总是由于 MDM 内的组目标不匹配引起的。如果 SCEP 配置文件分配给用户组,而 WiFi 配置文件分配给设备组,则 MDM 无法解析该依赖关系。请审核您的分配,并确保所有相关配置文件都部署到完全相同的目录组。

注册错误

如果设备无法检索 SCEP 证书且网关日志显示 HTTP 403 错误,则服务帐户可能在证书模板上缺乏必要的权限,或者防火墙上的 URL 过滤阻止了 SCEP 使用的特定查询字符串参数。请验证连接器帐户在 CA 模板上是否具有读取和注册权限,并检查防火墙日志以确保 SCEP URL 未被阻止。

投资回报率与业务影响

过渡到自动化的 802.1X 证书部署可在安全和运营方面带来可衡量的回报。

基于密码的 WiFi 由于密码过期、锁定和拼写错误,会产生大量的支持工单。基于证书的身份验证对用户是无感的,通常可减少 70% 至 80% 与 WiFi 相关的服务台工单量。

此外,EAP-TLS 消除了凭据窃取和中间人攻击的风险。这对于符合 PCI DSS 和 GDPR 等框架至关重要。对于多分支机构的零售业务或大型连锁酒店,自动化此流程可确保从第一天起就获得统一、零接触的配置体验,在保障网络边界安全的同时,显著降低运营开销。

Schlüsseldefinitionen

SCEP

Simple Certificate Enrollment Protocol. Ein Protokoll, das den Prozess der Anforderung und Installation digitaler Zertifikate auf Geräten automatisiert, wobei der private Schlüssel lokal generiert wird.

Die empfohlene Methode zur skalierbaren Bereitstellung von WiFi-Authentifizierungszertifikaten über MDM-Plattformen.

PKCS

Public Key Cryptography Standards. Eine Bereitstellungsmethode, bei der die Zertifizierungsstelle sowohl den öffentlichen als auch den privaten Schlüssel generiert und an den Endpunkt übermittelt.

Wird häufig für die S/MIME-E-Mail-Verschlüsselung verwendet, ist jedoch aufgrund der Netzwerkübertragung des privaten Schlüssels für WiFi weniger ideal.

802.1X

Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.

Die obligatorische Baseline für WiFi-Sicherheit in Unternehmen, die anfällige Pre-Shared Keys ersetzt.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Ein Authentifizierungsprotokoll, bei dem sowohl der Client als auch der Server gültige digitale Zertifikate vorlegen müssen.

Gilt als die sicherste Authentifizierungsmethode für 802.1X-Netzwerke und eliminiert passwortbasierte Schwachstellen.

NDES

Network Device Enrollment Service. Eine Serverrolle, die als Gateway fungiert und es Geräten ohne Domänen-Anmeldedaten ermöglicht, Zertifikate über SCEP zu beziehen.

Eine erforderliche Infrastrukturkomponente bei der Implementierung der SCEP-Zertifikatsbereitstellung mit Microsoft Intune.

RADIUS

Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Authentifizierung, Autorisierung und Accounting-Verwaltung bereitstellt.

Der Server, der die Client-Zertifikate mit dem Verzeichnis abgleicht und den Netzwerkzugriff gewährt.

CRL

Certificate Revocation List. Eine von der Zertifizierungsstelle veröffentlichte Liste, die die Seriennummern von Zertifikaten enthält, die widerrufen wurden.

RADIUS-Server müssen die CRL prüfen, um sicherzustellen, dass ein vorgelegtes Zertifikat noch gültig ist und nicht kompromittiert wurde.

CSR

Certificate Signing Request. Ein Block codierten Textes, der an eine Zertifizierungsstelle übermittelt wird, wenn ein SSL/TLS-Zertifikat beantragt wird.

Wird während des SCEP-Registrierungsprozesses vom Gerät generiert, um ein signiertes Zertifikat anzufordern.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern muss ein sicheres Mitarbeiter-WiFi für 150 verwaltete iOS-Geräte bereitstellen, die vom Reinigungs- und Wartungspersonal verwendet werden. Derzeit nutzen sie ein WPA2-PSK-Netzwerk, aber die Mitarbeiter teilen das Passwort ständig mit Gästen. Wie sollte der IT-Leiter eine sichere, automatisierte Lösung implementieren?

Der IT-Leiter sollte das Mitarbeiter-WiFi auf WPA2-Enterprise mit 802.1X EAP-TLS-Authentifizierung umstellen. Er muss sein MDM (z. B. Jamf) so konfigurieren, dass eine SCEP-Payload an die iOS-Geräte übertragen wird. Die Bereitstellungssequenz lautet: 1) Übertragen des Root-CA-Zertifikats, damit die Geräte dem Netzwerk vertrauen. 2) Übertragen des SCEP-Profils, das die Geräte anweist, ein Client-Zertifikat von der CA über das SCEP-Gateway anzufordern. 3) Übertragen des für WPA2-Enterprise und EAP-TLS konfigurierten WiFi-Profils, das mit dem SCEP-Zertifikat verknüpft ist. Die Netzwerk-Access-Points (z. B. HPE Aruba) sind so konfiguriert, dass sie Clients mit einem zentralen RADIUS-Server authentifizieren. Wenn Mitarbeiter eintreffen, authentifizieren sich ihre Geräte automatisch über das Zertifikat, ohne dass ein Passwort erforderlich ist.

Kommentar des Prüfers: Dieser Ansatz eliminiert das Sicherheitsrisiko gemeinsam genutzter Passwörter vollständig. Durch den Einsatz von SCEP und EAP-TLS stellt das Hotel sicher, dass nur verwaltete, autorisierte Geräte auf das Mitarbeiter-WiFi zugreifen können. Die privaten Schlüssel verbleiben sicher auf den iOS-Geräten, und falls ein Gerät verloren geht oder ein Mitarbeiter das Unternehmen verlässt, kann das Zertifikat zentral über die CRL widerrufen werden, was den Netzwerkzugriff sofort beendet.

Eine Einzelhandelskette führt neue Point-of-Sale (POS)-Tablets in 50 Filialen ein. Um die PCI DSS-Anforderungen zu erfüllen, müssen die Tablets eine Verbindung zu einem sicheren Drahtlosnetzwerk herstellen. Der Netzwerkarchitekt plant, Microsoft Intune für die Bereitstellung zu nutzen. Welche Architekturentscheidungen gewährleisten Compliance und Sicherheit?

Um die PCI DSS-Anforderungen an starke Kryptografie und Authentifizierung zu erfüllen, muss der Architekt 802.1X EAP-TLS bereitstellen. Bei Verwendung von Microsoft Intune sollte er SCEP gegenüber PKCS für die Zertifikatsbereitstellung bevorzugen. Dies stellt sicher, dass der private Schlüssel auf dem TPM des POS-Tablets generiert und niemals über das Netzwerk übertragen wird. Sie müssen einen NDES-Server einrichten, der sicher über den Azure AD-Anwendungsproxy bereitgestellt wird. Schließlich müssen sie den RADIUS-Server so konfigurieren, dass er eine strikte CRL-Prüfung erzwingt, um sicherzustellen, dass das Zertifikat eines kompromittierten POS-Tablets sofort widerrufen und der Netzwerkzugriff blockiert werden kann.

Kommentar des Prüfers: Die Wahl von SCEP gegenüber PKCS ist hier die entscheidende Entscheidung für die PCI DSS-Compliance, da sie die Übertragung des privaten Schlüssels verhindert. Die Bereitstellung des NDES-Servers über einen Anwendungsproxy sichert die Registrierungsinfrastruktur. Eine strikte CRL-Prüfung ist zwingend erforderlich; ohne sie könnte ein widerrufenes Zertifikat einem kompromittierten Gerät immer noch den Zugriff auf das Zahlungsnetzwerk ermöglichen.

Übungsfragen

Q1. Sie stellen ein neues 802.1X WiFi-Netzwerk für einen Unternehmenscampus mit Microsoft Intune bereit. Sie haben das Trusted Root-Profil, das SCEP-Profil und das WiFi-Profil konfiguriert. Während des Tests erhalten die Geräte zwar die Zertifikate, aber das WiFi-Profil wird in der Intune-Konsole als "Fehler" angezeigt. Was ist die wahrscheinlichste Ursache?

Hinweis: Überlegen Sie, wie das MDM Abhängigkeiten zwischen Profilen auflöst.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist eine Diskrepanz bei der Gruppenzuweisung. Intune erfordert, dass abhängige Profile genau derselben Azure AD-Gruppe zugewiesen werden. Wenn das SCEP-Profil einer Benutzergruppe und das WiFi-Profil einer Gerätegruppe zugewiesen ist, kann Intune die Abhängigkeit nicht auflösen, was zu einem Fehler führt.

Q2. Ein Einzelhandelsunternehmen möchte die Zertifikatsbereitstellung für die Tablets seiner Filialleiter automatisieren. Sie schwanken zwischen der Verwendung von SCEP oder PKCS. Sicherheit ist ihr Hauptanliegen, insbesondere der Schutz der privaten Schlüssel. Welches Protokoll sollten sie wählen und warum?

Hinweis: Denken Sie daran, wo der private Schlüssel bei den einzelnen Protokollen generiert wird.

Musterlösung anzeigen

Sie sollten SCEP wählen. Bei einem SCEP-Workflow wird der private Schlüssel lokal auf dem Tablet generiert und in dessen Secure Enclave gespeichert; er verlässt das Gerät nie. Bei PKCS generiert die Zertifizierungsstelle den privaten Schlüssel und überträgt ihn über das Netzwerk an das Gerät, was ein potenzielles Sicherheitsrisiko darstellt.

Q3. Ein Mitarbeiter verlässt das Unternehmen und sein Active Directory-Konto wird deaktiviert. Das IT-Team stellt jedoch fest, dass das Gerät des Mitarbeiters immer noch mit dem WiFi-Netzwerk des Unternehmens verbunden ist. Das Netzwerk verwendet EAP-TLS-Authentifizierung. Welche Konfiguration fehlt auf dem RADIUS-Server?

Hinweis: Das Deaktivieren eines Kontos führt nicht automatisch zum Erlöschen eines zuvor ausgestellten Zertifikats.

Musterlösung anzeigen

Auf dem RADIUS-Server fehlt die strikte Überprüfung der Certificate Revocation List (CRL). Selbst wenn das Verzeichniskonto deaktiviert ist, bleibt das Client-Zertifikat kryptografisch gültig, bis es abläuft oder explizit widerrufen wird. Der RADIUS-Server muss so konfiguriert sein, dass er die CRL prüft, um sicherzustellen, dass widerrufenen Zertifikaten der Netzwerkzugriff verweigert wird.

Weiterlesen in dieser Reihe

Wie Sie Mitarbeiter- und Gäste-WiFi-Netzwerke sicher trennen

Dieser maßgebliche technische Leitfaden bietet IT-Leitern umsetzbare Strategien zur sicheren Trennung von Mitarbeiter-, Gäste- und IoT-WiFi-Netzwerken mithilfe von VLANs und 802.1X. Er beschreibt im Detail, wie Sie die Infrastruktur Ihres Unternehmens sichern, die PCI-DSS-Compliance wahren und Captive Portale nutzen, um First-Party-Daten zu erfassen.

Leitfaden lesen →

Beste DNS-Filterung: Ein umfassender Leitfaden für Unternehmen

Dieser technische Leitfaden erklärt, wie DNS-Filterung der Enterprise-Klasse öffentliche Netzwerke sichert, indem bösartige Domains auf der Auflösungsebene blockiert werden - noch bevor eine Verbindung hergestellt wird. Er bietet IT-Leitern, Netzwerkarchitekten und Venue-Operations-Teams die Deployment-Architektur, Firewall-Konfiguration und den Compliance-Kontext, die sie benötigen, um Guest WiFi in der Hotellerie, im Einzelhandel und im öffentlichen Sektor zu schützen. Purple Shield blockiert Malware, Botnets und unangemessene Inhalte auf DNS-Ebene an über 80.000 Live-Standorten.

Leitfaden lesen →

Cisco SUDI verstehen: Hardware-verankerte Identität bei der sicheren Netzwerk-Zugangskontrolle

Dieser Leitfaden erklärt, wie Cisco SUDI eine hardware-verankerte, kryptografisch sichere Identität für die IT-Infrastruktur von Unternehmen bereitstellt. Erfahren Sie, wie Sie fälschbare MAC-Adressen durch unveränderliche 802.1AR-Zertifikate ersetzen, um die Netzwerk-Zugangskontrolle Ihres Standorts zu sichern.

Leitfaden lesen →