Zum Hauptinhalt springen
Deutsch

Cisco SUDI verstehen: Hardware-basierte Geräteidentität in der Netzwerk-Zugriffskontrolle

Dieser Leitfaden beschreibt die technische Architektur von Cisco SUDI und erklärt, wie eine hardwareverankerte Identität die Netzwerk-Zugriffskontrolle sichert. Er bietet IT-Verantwortlichen konkrete Implementierungsschritte zur Bereitstellung der 802.1X EAP-TLS-Authentifizierung und zur Automatisierung des Zero Touch Provisioning an Unternehmensstandorten.

📖 6 Min. Lesezeit📝 1,346 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Cisco SUDI verstehen: Hardware-basierte Geräteidentität in der Netzwerk-Zugriffskontrolle Ein technisches Briefing von Purple - Vollständiges Podcast-Skript (ca. 10 Minuten) --- SEGMENT 1: EINFÜHRUNG UND KONTEXT (ca. 1 Minute) Hallo und herzlich willkommen zu einem technischen Briefing von Purple. Ich werde in den nächsten zehn Minuten mit Ihnen über Cisco SUDI – Secure Unique Device Identifier – sprechen: was es eigentlich ist, wie es sich in Ihre Netzwerk-Zugriffskontroll-Architektur einfügt und was Sie tun müssen, wenn Sie eine Cisco-Infrastruktur in großem Maßstab betreiben. Dies richtet sich an Netzwerkarchitekten, IT-Manager und CTOs an Veranstaltungsorten – Hotels, Einzelhandelsflächen, Stadien, Konferenzzentren –, überall dort, wo Sie Enterprise-WiFi betreiben und sicher sein müssen, dass die Hardware in Ihrem Netzwerk genau das ist, was sie zu sein vorgibt. Beginnen wir mit dem Problem, das SUDI löst. In jedem großen Standort-Netzwerk haben Sie Dutzende oder Hunderte von Access Points, Switches und Controllern. Die Frage, von der Ihre Sicherheitslage abhängt, lautet: Woher wissen Sie, dass jedes dieser Geräte ein echtes, unmodifiziertes Cisco-Produkt ist – und keine Fälschung, kein kompromittiertes Gerät oder ein Gerät, das während des Transports manipuliert wurde? Das ist die Lücke, die SUDI schließt. --- SEGMENT 2: TECHNISCHER DEEP-DIVE (ca. 5 Minuten) SUDI steht für Secure Unique Device Identifier. Es handelt sich um ein X.509-Version-3-Zertifikat – dasselbe Zertifikatsformat, das auch bei HTTPS und TLS verwendet wird –, aber anstatt für eine Person oder einen Server ausgestellt zu werden, wird es während der Herstellung für ein bestimmtes Hardware-Teil ausgestellt. Es enthält die Produktkennung und die Seriennummer des Geräts und ist in Ciscos eigener Public-Key-Infrastruktur verankert. Hier ist der Unterschied zwischen SUDI und einem Software-Zertifikat, das Sie selbst installieren würden. Das SUDI-Zertifikat befindet sich zusammen mit dem zugehörigen Schlüsselpaar in einem manipulationssicheren Chip namens Trust Anchor module oder TAm. Der private Schlüssel wird in diesem Chip generiert und verlässt ihn nie. Sie können ihn nicht exportieren. Sie können ihn nicht klonen. Wenn jemand den Chip physisch manipuliert, wird der Schlüssel zerstört. Das ist der Hardware-Root-of-Trust. SUDI is Ciscos Implementierung des Standards IEEE 802.1AR – dem Branchenstandard für sichere Geräteidentifikatoren (Secure Device Identifiers oder DevIDs). Unter 802.1AR wird der vom Hersteller installierte Berechtigungsnachweis als Initial Device Identifier oder IDevID bezeichnet. Cisco SUDI ist genau das – eine IDevID, die Cisco im Werk installiert. Sie können sie durch einen Locally Significant Device Identifier oder LDevID ergänzen, den Ihre eigene PKI für lokale Autorisierungsrichtlinien ausstellt. Wie lässt sich das nun in die Netzwerk-Zugriffskontrolle integrieren? Der häufigste Integrationspunkt ist IEEE 802.1X – der Standard für die portbasierte Netzwerk-Zugriffskontrolle. Wenn ein Cisco Access Point oder Switch online geht, kann er sein SUDI-Zertifikat einem RADIUS-Server – typischerweise Cisco ISE (Identity Services Engine) – über EAP-TLS (Extensible Authentication Protocol mit Transport Layer Security) präsentieren. Der RADIUS-Server validiert das Zertifikat anhand der öffentlichen Zertifizierungsstelle von Cisco, bestätigt die Echtheit des Geräts und wendet dann die entsprechende Netzwerkrichtlinie an. Dies ist erheblich sicherer als der MAC Address Bypass, den die meisten Netzwerke als Fallback für Infrastrukturgeräte nutzen. MAC-Adressen können in weniger als einer Minute gefälscht werden. Ein hardwaregebundenes Zertifikat in einem manipulationssicheren Chip kann nicht gefälscht werden, ohne das Gerät physisch zu zerstören. In einem Standort-Kontext ist dies aus drei Gründen wichtig. Erstens eliminiert es das Risiko, dass unbefugte Access Points Ihrem Netzwerk beitreten. Ein gefälschtes oder nicht autorisiertes Gerät kann schlichtweg kein gültiges SUDI vorweisen. Zweitens ermöglicht es ein automatisiertes Zero Touch Provisioning – ein neues Gerät wird an Ihren Standort geliefert, eingeschaltet, präsentiert sein SUDI, und Ihr Managementsystem gleicht es mit Ihrem Bestand ab, bevor es die Konfiguration überträgt. Kein manuelles Eingreifen erforderlich. Drittens erhalten Sie einen kryptografisch überprüfbaren Audit-Trail. Jedes Gerät, das sich an Ihrem Netzwerk authentifiziert hat, tat dies mit einem Zertifikat, das beweist, dass es sich um ein bestimmtes, namentlich genanntes Cisco-Produkt handelt. Lassen Sie mich noch etwas genauer auf das Trust Anchor module eingehen, da es das Fundament für alles andere bildet. Das TAm ist ein proprietärer Cisco-Chip, der drei Dinge bietet: einen nicht-flüchtigen, sicheren Speicher für das SUDI und die Schlüssel, kryptografische Dienste einschließlich Zufallszahlengenerierung sowie Hardware-Fingerprinting. Letzteres ist besonders bemerkenswert – Cisco erfasst bei der Herstellung einen kryptografischen Fingerabdruck der kritischen Hardwarekomponenten eines Geräts und speichert diesen im TAm. Beim Booten des Geräts wird der festgestellte Hardware-Fingerabdruck mit dem gespeicherten abgeglichen. Stimmen sie nicht überein, startet das Gerät nicht. Dadurch werden Hardware-Manipulationen während des Transports erkannt – ein echtes Problem bei großen Standort-Bereitstellungen, bei denen die Hardware vor der Installation durch mehrere Hände gehen kann. Ein betriebliches Thema, das Sie beachten müssen: Vor Mai 2019 ausgestellte SUDI-Zertifikate laufen entweder zehn Jahre nach dem Herstellungsdatum oder am 14. Mai 2029 ab, je nachdem, was zuerst eintritt. Cisco hat dieses Problem mit einer neuen Generation von Zertifikaten namens SUDI-2099 gelöst, die bis Dezember 2099 gültig sind. Wenn Sie Catalyst 9000-Hardware betreiben, die vor 2019 hergestellt wurde, müssen Sie Ihre SUDI-Ablaufdaten jetzt überprüfen. Der Befehl lautet „show crypto pki certificate“ auf IOS-XE. Suchen Sie nach dem Trustpoint CISCO_IDEVID_SUDI und prüfen Sie das Enddatum. Wenn Sie Catalyst 9200 nutzen, aktualisieren Sie auf IOS-XE 17.12.2 oder neuer, um sicherzustellen, dass Sie das korrekte 2099-Zertifikat verwenden. --- SEGMENT 3: IMPLEMENTIERUNGSEMPFEHLUNGEN UND FALLSTRICKE (ca. 2 Minuten) Lassen Sie mich Ihnen die praktische Umsetzung beschreiben. Wenn Sie eine SUDI-basierte Authentifizierung in einer Standort-Umgebung bereitstellen, hat sich folgende Reihenfolge bewährt. Beginnen Sie mit Ihrer RADIUS-Infrastruktur. Cisco ISE ist die naheliegende Wahl, wenn Sie sich bereits im Cisco-Ökosystem befinden, aber jeder RADIUS-Server, der EAP-TLS unterstützt und eine Validierung gegen eine externe CA durchführen kann, ist geeignet. Sie müssen die Cisco Root CA und die ACT2 SUDI CA-Zertifikate in den Vertrauensspeicher Ihres RADIUS-Servers importieren. Diese sind im PKI-Portal von Cisco öffentlich zugänglich. Konfigurieren Sie als Nächstes Ihre 802.1X-Richtlinie so, dass eine zertifikatsbasierte Authentifizierung für Infrastrukturgeräte erforderlich ist. Trennen Sie diese von Ihrer Richtlinie für die Endbenutzer-Authentifizierung – die Authentifizierungsabläufe für Mitarbeiter und Gäste sind unterschiedlich und sollten in ISE auf verschiedenen Richtliniensätzen liegen. Aktivieren Sie für neue Bereitstellungen das Zero Touch Provisioning. Ihr Netzwerkmanagementsystem – Cisco DNA Center oder Catalyst Center – kann SUDI verwenden, um die Geräteidentität zu überprüfen, bevor die Konfiguration übertragen wird. Dies eliminiert den manuellen Bereitstellungsprozess und verkürzt die Einrichtungszeit von Stunden auf wenige Minuten pro Gerät. Nun zu den Fallstricken. Der häufigste Fehler, den ich sehe, ist die Mischung aus SUDI-Authentifizierung und MAC Address Bypass auf demselben Port. Wenn Sie bei einem SUDI-Fehlschlag auf MAB zurückgreifen, untergraben Sie das gesamte Sicherheitsmodell. Definieren Sie eine klare Richtlinie: SUDI-fähige Geräte müssen sich ausnahmslos über SUDI authentifizieren. Nicht-SUDI-Geräte gehören bis zur manuellen Überprüfung in ein Quarantäne-VLAN. Der zweite Fallstrick ist der Ablauf von Zertifikaten. Richten Sie jetzt eine Überwachung der SUDI-Ablaufdaten für Ihre gesamte Infrastruktur ein. Warten Sie nicht auf einen Dienstausfall, um festzustellen, dass sich Ihre Access Points nicht mehr authentifizieren können. Die Plattform von Purple lässt sich in Cisco Meraki und andere Hardware-Hersteller integrieren, um den Gerätestatus – einschließlich des Authentifizierungsstatus – in einem einzigen Dashboard anzuzeigen, was diese Art der proaktiven Überwachung im großen Stil praktikabel macht. Der dritte Fallstrick ist die Ausweitung des Fokus (Scope Creep). SUDI authentifiziert das Hardware-Gerät. Es authentifiziert nicht den Benutzer, der sich über dieses Gerät verbindet. Sie benötigen weiterhin eine separate Identitätsebene für Gäste, Mitarbeiter und Bewohner. Genau dort setzt eine Plattform wie Purple an – wir kümmern uns um die menschliche Identitätsebene, die Einwilligungserfassung, die VLAN-Zuweisung für den Gast-Datenverkehr und die Analysen, während SUDI die darunter liegende Infrastrukturebene absichert. --- SEGMENT 4: SCHNELLE FRAGEN UND ANTWORTEN (ca. 1 Minute) Lassen Sie uns drei Fragen durchgehen, die mir regelmäßig gestellt werden. Ersetzt SUDI meine bestehende PKI? Nein. SUDI ist eine vom Hersteller installierte IDevID. Es beweist, dass das Gerät echte Cisco-Hardware ist. Ihre Unternehmens-PKI stellt LDevIDs und Benutzerzertifikate für alles andere aus. Beide Systeme arbeiten parallel. Kann ich SUDI auf Nicht-Cisco-Hardware verwenden? Nein. SUDI ist Cisco-spezifisch. HPE Aruba hat ein Äquivalent namens IAP-Bereitstellungszertifikate. Ruckus und Juniper Mist haben ihre eigenen Mechanismen zur Geräteidentifikation. Der zugrunde liegende Standard – IEEE 802.1AR – ist herstellerneutral, aber jeder Hersteller implementiert ihn anders. Was passiert, wenn ein SUDI-Zertifikat abläuft? Dienste, die sich bei der Authentifizierung auf SUDI verlassen – wie HTTPS, SSH mit Zertifikatsauthentifizierung oder Zero Touch Provisioning –, schlagen fehl. Das Gerät selbst läuft zwar weiter, kann seine Identität jedoch nicht mehr kryptografisch nachweisen. Deshalb ist die SUDI-2099-Migration so wichtig. --- SEGMENT 5: ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE (ca. 1 Minute) Zusammenfassend lässt sich sagen: Cisco SUDI bietet Ihnen eine hardwareverankerte Geräteidentität, die nicht gefälscht, geklont oder exportiert werden kann. Sie ist das Fundament einer vertrauenswürdigen Infrastrukturebene. In Kombination mit IEEE 802.1X und einer gut konfigurierten RADIUS-Richtlinie eliminiert sie das Risiko unbefugter Geräte und ermöglicht eine automatisierte Bereitstellung im großen Stil. Ihre drei sofortigen Maßnahmen: Erstens, prüfen Sie Ihre Cisco-Infrastruktur mit „show crypto pki certificate“ auf SUDI-Ablaufdaten. Zweitens, importieren Sie die Cisco Root CA in Ihren RADIUS-Vertrauensspeicher und konfigurieren Sie EAP-TLS-Richtlinien für Infrastrukturgeräte. Drittens, trennen Sie Ihre Richtlinie zur Infrastruktur-Authentifizierung von Ihrer Richtlinie zur Endbenutzer-Authentifizierung – sie dienen unterschiedlichen Zwecken und sollten unabhängig voneinander verwaltet werden. Wenn Sie mehr darüber erfahren möchten, wie sich Purple in Cisco Meraki und andere Hardware-Hersteller integrieren lässt, um eine identitätsbasierte Netzwerksegmentierung für Gäste, Mitarbeiter und Bewohner bereitzustellen, besuchen Sie purple.ai oder lesen Sie die entsprechenden Leitfäden, die unter dieser Episode verlinkt sind. Vielen Dank fürs Zuhören. Wir sehen uns beim nächsten Briefing. --- ENDE DES SKRIPTS

header_image.png

Management-Zusammenfassung

Die Hardware-Authentifizierung sichert das physische Fundament von Unternehmensnetzwerken. Der Cisco Secure Unique Device Identifier (SUDI) bietet eine unveränderliche, kryptografisch überprüfbare Identität für Infrastrukturgeräte, die bereits bei der Herstellung direkt in einen manipulationssicheren Chip integriert wird. Für IT-Verantwortliche, die große Bereitstellungen im Gastgewerbe, im Einzelhandel und im öffentlichen Sektor verwalten, eliminiert SUDI das Risiko unbefugter Hardware und ermöglicht ein automatisiertes Zero Touch Provisioning.

Dieser Leitfaden beschreibt die technische Architektur von Cisco SUDI, seine Integration in die IEEE 802.1X Netzwerk-Zugriffskontrolle (NAC) und die betrieblichen Schritte, die für die Bereitstellung und Wartung hardwarebasierter Identitäten im großen Stil erforderlich sind. Sie erfahren, wie Sie vom unsicheren MAC Address Bypass zu einer robusten EAP-TLS-Authentifizierung wechseln, den SUDI-2099-Zertifikatslebenszyklus verwalten und die Infrastruktursicherheit mit Plattformen zur Verwaltung von Benutzeridentitäten wie Purple abstimmen.

Technischer Deep-Dive

Die Architektur der Hardware-Identität

Der Cisco Secure Unique Device Identifier (SUDI) ist ein X.509v3-Zertifikat, das eine dauerhafte Identität für Netzwerkgeräte bereitstellt. Im Gegensatz zu Software-Zertifikaten, die von IT-Teams generiert und bereitgestellt werden, integriert Cisco das SUDI-Zertifikat und das zugehörige Schlüsselpaar bereits während des Herstellungsprozesses in das Gerät.

Das Zertifikat ist sicher im Trust Anchor module (TAm) gespeichert, einem proprietären, manipulationssicheren Chip. Das TAm generiert den privaten Schlüssel intern, sodass dieser niemals exportiert oder geklont werden kann. Dieser Hardware-Root-of-Trust garantiert, dass es sich bei einem Gerät, das sich erfolgreich über sein SUDI authentifiziert, um ein echtes Cisco-Produkt handelt.

SUDI implementiert den Standard IEEE 802.1AR für sichere Geräteidentifikatoren. Unter diesem Standard wird das vom Hersteller bereitgestellte Zertifikat als Initial Device Identifier (IDevID) bezeichnet. Unternehmen können die IDevID durch einen Locally Significant Device Identifier (LDevID) ergänzen, der von ihrer eigenen Public-Key-Infrastruktur (PKI) ausgestellt wird.

sudi_architecture_overview.png

Integration in die Netzwerk-Zugriffskontrolle

In einer Unternehmensumgebung lässt sich SUDI in Netzwerk-Zugriffskontrollsysteme (NAC) primär über die portbasierte Authentifizierung nach IEEE 802.1X integrieren. Wenn ein Cisco Access Point oder Switch eine Verbindung zum Netzwerk herstellt, agiert er als Supplicant und präsentiert sein SUDI-Zertifikat einem RADIUS-Server wie der Cisco Identity Services Engine (ISE).

Der Authentifizierungsprozess nutzt Extensible Authentication Protocol mit Transport Layer Security (EAP-TLS). Der RADIUS-Server validiert das SUDI-Zertifikat anhand der Public-Key-Infrastruktur von Cisco. Nach erfolgreicher Validierung autorisiert der RADIUS-Server das Gerät und weist es basierend auf der Netzwerkzugriffsrichtlinie dem korrekten VLAN zu.

Dieser Ansatz ersetzt den MAC Address Bypass (MAB), eine veraltete Methode, die auf leicht zu fälschenden MAC-Adressen basiert. MAB bietet keinerlei kryptografische Sicherheit für die Geräteidentität, wodurch Netzwerke anfällig für unbefugte Access Points werden.

Hardware-Fingerprinting und Manipulationserkennung

Das Trust Anchor module bietet mehr als nur sicheren Speicher. Es schützt das Gerät aktiv vor physischen Manipulationen während des Transports oder der Bereitstellung.

Während der Herstellung erfasst Cisco einen kryptografischen Fingerabdruck der kritischen Hardwarekomponenten wie CPUs und ASICs. Dieser Fingerabdruck wird dauerhaft im TAm gespeichert. Beim Booten des Geräts berechnet die UEFI-Firmware einen neuen Fingerabdruck der erkannten Hardware und vergleicht ihn mit dem Master-Fingerabdruck im TAm. Stimmen die Fingerabdrücke nicht überein, bricht das Gerät den Bootvorgang ab. Dieser Mechanismus stellt sicher, dass die in einem Hotel oder einer Filiale bereitgestellte Hardware zwischen dem Werk und dem Installationsort nicht kompromittiert wurde.

Implementierungsleitfaden

Die Bereitstellung einer SUDI-basierten Authentifizierung erfordert die Abstimmung zwischen Ihrer Switching-Infrastruktur, Ihrem RADIUS-Server und Ihrer Netzwerkmanagement-Plattform. Befolgen Sie diese Schritte, um die Hardware-Identität zu implementieren.

Schritt 1: RADIUS-Vertrauen konfigurieren

Ihr RADIUS-Server muss der Cisco-Zertifizierungsstelle vertrauen, die das SUDI ausgestellt hat.

  1. Laden Sie die Zertifikate der Cisco Root CA und der ACT2 SUDI CA vom Cisco PKI-Portal herunter.
  2. Importieren Sie diese Zertifikate in den Vertrauensspeicher Ihres RADIUS-Servers (z. B. Cisco ISE).
  3. Konfigurieren Sie den RADIUS-Server so, dass er diese Zertifikate für die EAP-TLS-Authentifizierung verwendet.

Schritt 2: 802.1X-Richtlinien definieren

Erstellen Sie spezifische Authentifizierungsrichtlinien für Infrastrukturgeräte, getrennt von den Richtlinien für die Benutzerauthentifizierung.

  1. Erstellen Sie einen Richtliniensatz in Cisco ISE, der mit den SUDI-Zertifikatsattributen übereinstimmt (z. B. Abgleich des Subject Alternative Name mit den erwarteten Geräte-PIDs).
  2. Weisen Sie erfolgreiche Authentifizierungen dem Infrastruktur-Management-VLAN zu.
  3. Konfigurieren Sie ein Quarantäne-VLAN für Geräte, bei denen die SUDI-Authentifizierung fehlschlägt. Konfigurieren Sie keinen Fallback auf MAB für Infrastruktur-Ports.

Schritt 3: Zero Touch Provisioning aktivieren

Nutzen Sie SUDI, um das Onboarding von Geräten zu automatisieren.

  1. Konfigurieren Sie Ihr Netzwerkmanagementsystem (wie das Cisco Catalyst Center) so, dass es als ZTP-Server fungiert.
  2. Wenn sich ein neues Gerät verbindet, präsentiert es sein SUDI-Zertifikat.
  3. Das Managementsystem verifiziert das Zertifikat, gleicht die Seriennummer des Geräts mit der Bestandsdatenbank ab und überträgt die Erstkonfiguration.

sudi_lifecycle_diagram.png

Schritt 4: Die SUDI-2099-Migration verwalten

SUDI-Zertifikate, die vor Mai 2019 ausgestellt wurden, laufen entweder 10 Jahre nach demdas Herstellungsdatum oder der 14. Mai 2029, je nachdem, was früher eintritt. Wenn ein SUDI abläuft, schlagen Funktionen fehl, die darauf angewiesen sind, einschließlich HTTPS, SSH und Zero Touch Provisioning.

Cisco hat SUDI-2099-Zertifikate eingeführt, die bis Dezember 2099 gültig bleiben. Um die Kontinuität zu gewährleisten:

  1. Überprüfen Sie Ihr Inventar mit dem Befehl show crypto pki certificate auf IOS-XE-Geräten. Überprüfen Sie das end date des CISCO_IDEVID_SUDI-Trustpoints.
  2. Aktualisieren Sie die betroffene Hardware auf die empfohlenen Software-Releases. Beispielsweise benötigen Catalyst 9200-Switches IOS-XE 17.12.2 oder neuer, um das Ablaufdatum 2099 korrekt zu verarbeiten.

Best Practices

Um die Sicherheitsvorteile der Hardware-Identität zu maximieren, halten Sie sich an diese herstellerneutralen Prinzipien.

  1. Strikte EAP-TLS-Erzwingung: Fordern Sie EAP-TLS für alle Infrastrukturgeräte. Lassen Sie keine schwächeren EAP-Methoden wie PEAP für die Geräteauthentifizierung zu.
  2. Infrastruktur-Identität von Benutzer-Identität isolieren: SUDI authentifiziert die Hardware, nicht den Benutzer. Nutzen Sie eine dedizierte Plattform zur Verwaltung menschlicher Identitäten. Verwenden Sie beispielsweise Purple, um die Gastauthentifizierung, die Einwilligungserfassung und die Erfassung von First-Party-Daten zu verwalten, während Sie sich auf SUDI verlassen, um die zugrunde liegende Hardware von Cisco Meraki oder HPE Aruba zu sichern.
  3. Zertifikatsüberwachung automatisieren: Implementieren Sie Monitoring-Tools, um die Ablaufdaten von Zertifikaten in Ihrer gesamten Infrastruktur zu verfolgen. Eine proaktive Überwachung verhindert plötzliche Authentifizierungsfehler.
  4. Mikrosegmentierung implementieren: Nutzen Sie die durch SUDI verifizierte Identität, um Geräte streng kontrollierten VLANs zuzuweisen. Ein Access Point sollte nur Netzwerkzugriff auf seinen Controller und seine Managementsysteme haben, sonst nichts.

Fehlerbehebung & Risikominderung

Bereiten Sie sich bei der Bereitstellung der SUDI-basierten Authentifizierung auf diese häufigen Fehlerszenarien vor.

Fehlerszenario Ursache Minderungsstrategie
EAP-TLS-Authentifizierung schlägt fehl Dem RADIUS-Server fehlen die korrekten Cisco Root- oder Intermediate-CA-Zertifikate. Überprüfen Sie, ob die vollständige Cisco-Vertrauenskette im vertrauenswürdigen Speicher des RADIUS-Servers installiert ist.
Gerät verweigert den Start Der beim Booten berechnete Hardware-Fingerabdruck stimmt nicht mit dem Master-Fingerabdruck im TAm überein. Behandeln Sie das Gerät als kompromittiert. Senden Sie die Hardware über den RMA-Prozess an den Hersteller zurück.
Management-Zugriff schlägt fehl Das SUDI-Zertifikat ist abgelaufen, wodurch die HTTPS- und SSH-Zertifikatsauthentifizierung unterbrochen wird. Aktualisieren Sie die Geräte-Firmware auf eine Version, die SUDI-2099 unterstützt, oder stellen Sie eine LDevID über Ihre Enterprise-PKI bereit.
Unbefugtes Gerät erhält Zugriff Der Switch-Port ist so konfiguriert, dass er bei einem Fehlschlagen von 802.1X auf MAC Address Bypass (MAB) zurückfällt. Entfernen Sie MAB-Fallback-Konfigurationen von Infrastruktur-Ports. Erzwingen Sie eine strikte 802.1X-Richtlinie.

ROI & geschäftliche Auswirkungen

Die Implementierung einer hardwarebasierten Geräteidentität liefert messbaren geschäftlichen Nutzen in drei Bereichen.

1. Reduzierte Bereitstellungskosten Die durch SUDI gesicherte Zero Touch Provisioning macht eine manuelle Bereitstellung überflüssig. Anstatt dass ein Techniker 45 Minuten mit der Vorkonfiguration eines Access Points verbringt, bevor er an eine Filiale versendet wird, wird das Gerät direkt vom Distributor geliefert. Es authentifiziert sich beim Verbinden sicher und lädt seine Konfiguration automatisch herunter. Bei einer Bereitstellung an 500 Einzelhandelsstandorten spart dies etwa 375 Technikerstunden.

2. Eliminierung des Risikos unbefugter Geräte Durch die Ablösung des MAC Address Bypass zugunsten einer kryptografischen Hardware-Identität eliminieren Sie das Risiko, dass ein Angreifer ein unbefugtes Gerät an einen Infrastruktur-Port anschließt. Dies unterstützt direkt die Einhaltung der PCI-DSS- und ISO-27001-Anforderungen für die Netzwerkzugriffskontrolle.

3. Klare Identitätsgrenzen Die Bereitstellung von SUDI schafft eine klare architektonische Grenze. Die Hardwareschicht authentifiziert sich kryptografisch, sodass Sie Ihre Ressourcen auf die Benutzeridentitätsschicht konzentrieren können. Wenn Sie eine Plattform wie Purple integrieren, um Guest WiFi und WiFi Analytics zu verwalten, tun Sie dies auf der Grundlage einer überprüfbaren, sicheren Infrastruktur.

Schlüsseldefinitionen

SUDI (Secure Unique Device Identifier)

Ein X.509v3-Zertifikat und der zugehörige private Schlüssel, die während der Herstellung in ein Cisco-Gerät integriert werden, um eine unveränderliche Hardware-Identität bereitzustellen.

Wird von IT-Teams verwendet, um kryptografisch zu überprüfen, ob es sich bei einem Gerät, das eine Verbindung zum Netzwerk herstellt, um ein echtes Cisco-Produkt handelt.

TAm (Trust Anchor module)

Ein proprietärer, manipulationssicherer Hardware-Chip, der das SUDI-Zertifikat sicher speichert, kryptografische Schlüssel generiert und das Hardware-Fingerprinting verwaltet.

Stellt den Hardware-Root-of-Trust bereit. Wenn das TAm kompromittiert ist, schlägt der Start oder die Authentifizierung des Geräts fehl.

IDevID (Initial Device Identifier)

Der vom Hersteller installierte sichere Geräteidentifikator, der durch den Standard IEEE 802.1AR definiert ist. Cisco SUDI ist eine Implementierung einer IDevID.

Bietet die grundlegende Identität für ein Gerät, bevor es in die eigene PKI-Umgebung eines Unternehmens integriert wird.

LDevID (Locally Significant Device Identifier)

Ein Gerätezertifikat, das von der eigenen Public-Key-Infrastruktur eines Unternehmens ausgestellt wird und die IDevID des Herstellers ergänzt.

Wird verwendet, wenn IT-Teams verlangen, dass sich Geräte mit Zertifikaten authentifizieren, die von ihrer internen Unternehmens-CA anstelle der CA des Herstellers ausgestellt wurden.

IEEE 802.1X

Der IEEE-Standard für die portbasierte Netzwerk-Zugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.

Das primäre Protokoll zur Durchsetzung der Netzwerksicherheit, das sicherstellt, dass nur autorisierte Geräte und Benutzer Datenverkehr über einen Switch-Port senden können.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Ein hochsicheres Authentifizierungsprotokoll, bei dem sowohl der Client als auch der Authentifizierungsserver ihre Identität mithilfe digitaler Zertifikate nachweisen müssen.

Die spezifische Methode, die innerhalb von 802.1X verwendet wird, um das SUDI-Zertifikat zwischen dem Netzwerkgerät und dem RADIUS-Server zu validieren.

Zero Touch Provisioning (ZTP)

Ein automatisierter Prozess, der es ermöglicht, Netzwerkgeräte ohne manuelles Eingreifen automatisch bereitzustellen und zu konfigurieren.

SUDI sichert ZTP, indem sichergestellt wird, dass das Managementsystem Konfigurationen nur an verifizierte, echte Hardware überträgt.

MAC Address Bypass (MAB)

Eine veraltete Authentifizierungsmethode, bei der ein Switch die MAC-Adresse des verbindenden Geräts als Identitätsnachweis verwendet.

Eine unsichere Fallback-Methode, die eliminiert und durch eine SUDI-basierte 802.1X-Authentifizierung ersetzt werden sollte.

Ausgearbeitete Beispiele

Ein Hotel mit 400 Zimmern aktualisiert seine Netzwerkinfrastruktur und muss 250 neue Cisco Catalyst Access Points bereitstellen. Das IT-Team möchte die manuelle Konfiguration jedes einzelnen Geräts vor der Installation vermeiden und gleichzeitig sicherstellen, dass keine unbefugten Geräte dem Management-VLAN beitreten können.

  1. Das IT-Team konfiguriert Cisco ISE mit der Cisco Root CA, um SUDI-Zertifikaten zu vertrauen.
  2. Es erstellt eine 802.1X-Richtlinie in ISE, die Geräte, die eine gültige SUDI vorweisen, einem eingeschränkten Bereitstellungs-VLAN zuweist.
  3. Die Access Points werden direkt an das Hotel geliefert und an die PoE-Switches angeschlossen.
  4. Jeder AP startet, präsentiert seine SUDI über EAP-TLS und wird von ISE authentifiziert.
  5. Das Managementsystem (Catalyst Center) überprüft die Seriennummer, stellt den AP bereit und ISE verschiebt den Port in das produktive Management-VLAN.
Kommentar des Prüfers: Dieser Ansatz nutzt Zero Touch Provisioning, das durch eine Hardware-Identität abgesichert ist. Er eliminiert manuelle Bereitstellungskosten und verhindert, dass unbefugte Geräte offene Bereitstellungs-Ports ausnutzen. Die Verwendung von Change of Authorization (CoA), um das Gerät von einem Bereitstellungs-VLAN in ein Produktions-VLAN zu verschieben, demonstriert eine starke Netzwerksegmentierung.

Eine nationale Einzelhandelskette mit 1.200 Filialen stellt fest, dass ihre Altsystem-Switches MAC Address Bypass (MAB) zur Authentifizierung von Access Points verwenden. Sie müssen auf einen sicheren Standard migrieren, ohne dass es zu Ausfällen in den Filialen kommt.

  1. Das Netzwerkteam prüft den Switch-Bestand, um zu bestätigen, dass alle Geräte 802.1X und SUDI unterstützen.
  2. Es stellt die Cisco CA-Zertifikate in seiner RADIUS-Infrastruktur bereit.
  3. Es konfiguriert die Switch-Ports im „Monitor-Modus“ (offene Authentifizierung). Dies ermöglicht es Geräten, 802.1X EAP-TLS unter Verwendung von SUDI zu versuchen, während bei einem Fehlschlag auf MAB zurückgegriffen wird, wobei die Ergebnisse protokolliert werden.
  4. Nach der Überprüfung in den RADIUS-Protokollen, dass sich alle legitimen APs erfolgreich über SUDI authentifizieren, schaltet das Team die Ports in den „geschlossenen Modus“, wodurch striktes 802.1X erzwungen und MAB deaktiviert wird.
Kommentar des Prüfers: Die schrittweise Migration im Monitor-Modus ist der richtige betriebliche Ansatz für ein großes Einzelhandelsnetzwerk. Sie ermöglicht es dem Team, die PKI-Vertrauenskette und die Gültigkeit der Zertifikate zu überprüfen, ohne eine Netzwerkisolierung der Access Points zu riskieren. Die vollständige Entfernung von MAB ist der notwendige letzte Schritt zur Absicherung der Umgebung.

Übungsfragen

Q1. Sie stellen 50 neue Cisco Catalyst Switches in einer Stadionumgebung bereit. Die Sicherheitsrichtlinie schreibt eine strikte 802.1X-Authentifizierung für alle Infrastrukturgeräte vor. Während des Tests schlägt die Authentifizierung der Switches an Ihrem Cisco ISE-Server fehl. Was ist die wahrscheinlichste Ursache?

Hinweis: Berücksichtigen Sie die Vertrauenskette, die für die EAP-TLS-Authentifizierung erforderlich ist.

Musterlösung anzeigen

Dem Cisco ISE-Server fehlen die Zertifikate der Cisco Root CA oder der ACT2 SUDI CA in seinem Speicher für vertrauenswürdige Zertifikate. Ohne diese kann ISE das von den Switches präsentierte SUDI-Zertifikat nicht validieren. Sie müssen die Zertifikate vom Cisco PKI-Portal herunterladen und in ISE importieren.

Q2. Ein Netzwerkingenieur schlägt vor, Switch-Ports so zu konfigurieren, dass sie zuerst eine 802.1X-Authentifizierung versuchen, aber auf MAC Address Bypass (MAB) zurückgreifen, wenn das Gerät kein gültiges Zertifikat besitzt. Warum sollten Sie diesen Vorschlag für Infrastruktur-Ports ablehnen?

Hinweis: Bewerten Sie die Sicherheitsstärke des Fallback-Mechanismus.

Musterlösung anzeigen

Der Rückfall auf MAB untergräbt das gesamte Sicherheitsmodell. Ein Angreifer kann einfach ein unbefugtes Gerät anschließen, das 802.1X-Timeout abwarten und die MAC-Adresse eines legitimen Access Points fälschen, um Zugriff auf das Infrastruktur-VLAN zu erhalten. Infrastruktur-Ports sollten striktes 802.1X mit SUDI erzwingen, und nicht konforme Geräte sollten in ein eingeschränktes Quarantäne-VLAN verschoben werden.

Q3. Sie prüfen ein Netzwerk von Catalyst 9200 Switches, die 2018 bereitgestellt wurden. Sie führen den Befehl „show crypto pki certificate“ aus und stellen fest, dass der Trustpoint CISCO_IDEVID_SUDI im Mai 2029 abläuft. Welche Maßnahmen müssen Sie ergreifen, um zukünftige Ausfälle zu verhindern?

Hinweis: Überprüfen Sie die Anforderungen für die SUDI-2099-Migration für Altsystem-Hardware.

Musterlösung anzeigen

Sie müssen die IOS-XE-Software auf den Catalyst 9200 Switches auf Version 17.12.2 oder neuer aktualisieren. Dieses Upgrade stellt sicher, dass die Hardware die SUDI-2099-Zertifikatserweiterung ordnungsgemäß unterstützt, wodurch die gültige Identität des Geräts bis Dezember 2099 verlängert wird und Authentifizierungsfehler bei Diensten wie HTTPS und ZTP verhindert werden.

Weiterlesen in dieser Reihe

Einrichtung eines Captive Portals auf Starlink: Ein Leitfaden für abgelegene und maritime Standorte

Dieser Leitfaden beschreibt detailliert, wie Sie die native Starlink-Hardware umgehen und ein Cloud-gesteuertes Captive Portal mithilfe von Enterprise-Routing-Geräten integrieren. Sie erfahren, wie Sie die CGNAT-Einschränkung überwinden, eine VLAN-Segmentierung erzwingen, Bandbreitenbeschränkungen von Satelliten verwalten und die Einhaltung gesetzlicher Vorschriften sicherstellen.

Leitfaden lesen →

Hotel Guest WiFi Management: Integrating PMS, Portals, and Brand Standards

Dieser technische Leitfaden beschreibt detailliert die Architektur von Hotel-WiFi-Netzwerken der Enterprise-Klasse, mit Schwerpunkt auf VLAN-Segmentierung, PMS-Integration für automatisiertes Sitzungsmanagement und Captive Portal-Optimierung für eine GDPR-konforme Datenerfassung.

Leitfaden lesen →

Captive Portal Best Practices: Designing for High Conversion and Compliance

Dieser technische Leitfaden bietet IT-Managern, Netzwerkarchitekten und Betriebsleitern von Veranstaltungsorten eine vollständige Blaupause für die Bereitstellung von Captive Portals, die Netzwerksicherheit mit hoher User-Conversion in Einklang bringen. Er deckt die gesamte Architektur ab – von der VLAN-Segmentierung und RADIUS-Authentifizierung bis hin zu GDPR-konformem Consent-Design und der Auswahl von Authentifizierungsmethoden. Basierend auf der operativen Erfahrung von Purple in über 80.000 Standorten und 440 Millionen Logins im Jahr 2024 basiert jede Empfehlung auf realen Bereitstellungsdaten.

Leitfaden lesen →