Zum Hauptinhalt springen

So konfigurieren Sie die 802.1X WiFi-Authentifizierung: Eine Schritt-für-Schritt-Anleitung

Dieser technische Leitfaden bietet eine Schritt-für-Schritt-Anleitung zur Konfiguration der 802.1X Enterprise-WiFi-Authentifizierung. Er behandelt die Einrichtung des RADIUS-Servers, die Bereitstellung von Zertifikaten und praktische Bereitstellungsstrategien für IT-Verantwortliche an Standorten mit hoher Besucherfrequenz.

📖 5 Min. Lesezeit📝 1,126 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
So konfigurieren Sie die 802.1X WiFi-Authentifizierung: Eine Schritt-für-Schritt-Anleitung Ein Purple Enterprise WiFi Intelligence Podcast [EINFÜHRUNG — ca. 1 Minute] Willkommen zurück. Ich spreche heute als Senior Solutions Architect zu Ihnen. Wenn Sie sich das hier anhören, stehen Sie wahrscheinlich vor einem Netzwerksicherheitsprojekt, das eine 802.1X-Authentifizierung beinhaltet – entweder weil Ihr Compliance-Team darauf hingewiesen hat, Ihr Versicherer danach gefragt hat oder Sie gerade ein Netzwerk übernommen haben, das mit einem gemeinsam genutzten PSK läuft, und Sie wissen, dass das nicht mehr ausreicht. Kommen wir also direkt zur Sache. 802.1X ist the IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle. Es ist das Rückgrat der Enterprise-WiFi-Sicherheit – der Mechanismus, der sicherstellt, dass jedes Gerät, das sich mit Ihrem Netzwerk verbindet, eindeutig identifiziert und autorisiert wurde, bevor es auch nur ein einziges Byte an Datenverkehr durchlässt. Dies ist für Organisationen, die Zahlungskartendaten gemäß PCI-DSS verarbeiten, nicht optional. Es ist für das Gesundheitswesen unter GDPR- und NHS-Datensicherheitsstandards nicht optional. Und ehrlich gesagt ist es für jede Organisation, die mehr als eine Handvoll Access Points betreibt, die richtige Architektur. In den nächsten zehn Minuten werde ich Sie durch die technische Architektur, die RADIUS-Konfiguration, die Zertifikatsbereitstellung und die realen Szenarien führen, in denen es kompliziert wird. Los geht's. [TECHNISCHE TIEFENANALYSE — ca. 5 Minuten] Richtig, das 802.1X-Framework besteht also aus drei Komponenten. Sie haben den Supplicant – das ist das Client-Gerät, der Laptop, das Telefon, der IoT-Sensor. Sie haben den Authenticator – das ist Ihr Access Point oder Ihr Netzwerk-Switch, manchmal auch NAS (Network Access Server) genannt. Und Sie haben den Authentication Server – in Enterprise-Bereitstellungen fast ausnahmslos ein RADIUS-Server. Und so funktioniert der Handshake. Wenn ein Gerät versucht, sich mit einer durch 802.1X geschützten SSID zu verbinden, lässt der Access Point es nicht einfach gewähren. Stattdessen öffnet er einen sogenannten kontrollierten Port – einen eingeschränkten Kanal, der nur EAP-Verkehr (Extensible Authentication Protocol) zulässt. Der AP sendet eine EAP-Request Identity an das Gerät. Das Gerät antwortet mit seiner Identität. Der AP leitet diese dann, verpackt in ein RADIUS-Access-Request-Paket, an den RADIUS-Server weiter. Der RADIUS-Server führt die Authentifizierung durch – er gleicht die Anmeldedaten mit dem Active Directory, einem Zertifikatsspeicher oder dem von Ihnen konfigurierten Identitäts-Backend ab – und sendet entweder ein Access-Accept oder ein Access-Reject zurück. Erst bei einem Accept öffnet der AP den vollständigen Datenport und weist das Gerät dem entsprechenden VLAN zu. Die EAP-Methode, die Sie hier wählen, ist von enormer Bedeutung. Es gibt fünf Methoden, auf die Sie in Enterprise-Bereitstellungen stoßen werden. EAP-TLS ist der Goldstandard. Sowohl der Client als auch der Server weisen X.509-Zertifikate vor. Es sind keine Passwörter im Spiel. Es ist die sicherste Option und wird für die höchsten PCI-DSS-Compliance-Stufen verlangt. Der Haken an der Sache ist, dass Sie eine vollständige PKI – eine Public-Key-Infrastruktur – benötigen, um Client-Zertifikate auszustellen und zu verwalten. Das bedeutet eine Zertifizierungsstelle, Zertifikats-Lebenszyklusmanagement und einen Mechanismus, um Zertifikate auf jedes Gerät zu pushen. Für Organisationen mit Microsoft Active Directory und Active Directory Certificate Services ist dies sehr gut machbar. Für Organisationen ohne diese Infrastruktur ist es eine erhebliche Investition. PEAP-MSCHAPv2 ist in der Praxis die am weitesten verbreitete Methode. Sie erstellt einen TLS-Tunnel nur mit einem serverseitigen Zertifikat und überträgt dann Benutzernamen und Passwort innerhalb dieses Tunnels. Sie ist standardmäßig mit praktisch jedem Gerät kompatibel, lässt sich über NPS auf Windows Server direkt in Active Directory integrieren und erfordert keine Client-Zertifikate. Der Kompromiss besteht darin, dass sie anfällig für Angriffe zum Abgreifen von Anmeldedaten ist, wenn Benutzer dazu verleitet werden, sich mit einem Rogue AP zu verbinden – da der Client das Serverzertifikat standardmäßig nicht validiert. Sie müssen die Validierung des Serverzertifikats in Ihren Supplicant-Profilen erzwingen. EAP-TTLS ähnelt PEAP, ist jedoch in der internen Authentifizierungsmethode flexibler. Es ist in Linux-Umgebungen üblich und dort, wo Sie ältere Authentifizierungs-Backends unterstützen müssen. EAP-FAST wurde von Cisco als Reaktion auf die Schwächen von LEAP entwickelt. Es verwendet Protected Access Credentials anstelle von Zertifikaten. Es ist in erster Linie relevant, wenn Sie sich in einer stark von Cisco geprägten Umgebung befinden oder mit älteren Geräten zu tun haben, die die anderen Methoden nicht unterstützen. EAP-SIM und EAP-AKA werden in Carrier-Grade-Bereitstellungen verwendet – denken Sie an OpenRoaming oder Passpoint –, bei denen die Authentifizierung an eine SIM-Karte oder USIM gebunden ist. Diese werden für das WiFi an öffentlichen Orten immer relevanter, wo Sie ein nahtloses, sicheres Onboarding ohne ein Captive Portal wünschen. Sprechen wir nun über die RADIUS-Konfiguration. Unabhängig davon, ob Sie Microsoft NPS, FreeRADIUS, Cisco ISE oder Aruba ClearPass bereitstellen, sind die grundlegenden Konfigurationsschritte dieselben. Erstens definieren Sie Ihre RADIUS-Clients – das sind Ihre Access Points oder Wireless LAN Controller. Jeder Client wird mit seiner IP-Adresse und einem Shared Secret registriert. Dieses Shared Secret wird verwendet, um die RADIUS-Nachrichten zwischen dem AP und dem Server zu authentifizieren. Verwenden Sie mindestens 22 Zeichen, zufällig generiert und eindeutig pro NAS-Gerät. Zweitens konfigurieren Sie Ihre Netzwerkrichtlinie. Hier definieren Sie, wer worauf Zugriff erhält. Im NPS-Kontext erstellen Sie eine Netzwerkrichtlinie, die Bedingungen abgleicht – Gruppenmitgliedschaft im Active Directory, Gerätetyp, Tageszeit – und Attribute zuweist – VLAN-ID, Sitzungs-Timeout, Bandbreitenbegrenzungen. Das am häufigsten verwendete RADIUS-Attribut ist die VLAN-Zuweisung, insbesondere Tunnel-Type auf VLAN, Tunnel-Medium-Type auf 802, und Tunnel-Private-Group-ID auf Ihre VLAN-Nummer gesetzt. Drittens konfigurieren Sie Ihre Verbindungsanforderungsrichtlinie. Diese teilt NPS mit, wie mit eingehenden RADIUS-Anforderungen verfahren werden soll – ob sie lokal authentifiziert oder an einen anderen RADIUS-Server weitergeleitet werden sollen. In einer verteilten Bereitstellung haben Sie möglicherweise einen zentralen RADIUS-Server mit NPS-Proxys an jedem Standort. Auf der Zertifikatsseite benötigt Ihr RADIUS-Server für PEAP und EAP-TLS ein Serverzertifikat, dem Ihre Clients vertrauen. Der einfachste Weg ist die Verwendung eines Zertifikats einer öffentlichen CA – DigiCert, Sectigo, Let's Encrypt –, da diese Root-Zertifikate bereits von allen gängigen Betriebssystemen als vertrauenswürdig eingestuft werden. Wenn Sie eine interne CA verwenden, müssen Sie das Root-Zertifikat über Gruppenrichtlinien oder Ihre MDM-Plattform auf alle Client-Geräte pushen. Speziell für EAP-TLS benötigen Sie auch Client-Zertifikate. In einer Active Directory-Umgebung würden Sie ADCS mit automatischer Registrierung über Gruppenrichtlinien verwenden, um Zertifikate auf domänenregistrierte Geräte zu pushen. Für BYOD-Geräte würden Sie Ihr MDM – Intune, Jamf, VMware Workspace ONE – verwenden, um sowohl das Zertifikat als auch das WiFi-Profil zu pushen. Auf der Access-Point-Seite ist die Konfiguration unkompliziert. Sie erstellen eine neue SSID, stellen die Sicherheit auf WPA2-Enterprise oder WPA3-Enterprise ein, verweisen den RADIUS-Authentifizierungsserver auf Ihre NPS-IP auf UDP-Port 1812, stellen den RADIUS-Accounting-Server auf UDP-Port 1813, geben das Shared Secret ein und aktivieren die dynamische VLAN-Zuweisung, falls Sie diese verwenden. Die meisten Enterprise-AP-Plattformen – Cisco Meraki, Aruba, Ruckus, Extreme Networks – verfügen über eine GUI dafür, was etwa zehn Minuten dauert, sobald Ihr RADIUS-Server bereit ist. [EMPFEHLUNGEN FÜR DIE IMPLEMENTIERUNG UND FALLSTRICKE — ca. 2 Minuten] Richtig, sprechen wir darüber, wo Bereitstellungen schiefgehen, denn damit verdiene ich meine Beratungsgebühren. Der häufigste Fehlerpunkt ist die Zertifikatsvalidierung. Ich habe erlebt, dass Organisationen PEAP-MSCHAPv2 auf der Serverseite korrekt bereitgestellt haben, die Client-Supplicant-Profile jedoch so konfiguriert ließen, dass sie jedes Zertifikat akzeptieren. Das untergräbt das Sicherheitsmodell vollständig. Jedes Supplicant-Profil – ob über Gruppenrichtlinien oder MDM gepusht – muss die vertrauenswürdige Root-CA und den erwarteten Servernamen angeben. Ohne dies sind Sie anfällig für Evil-Twin-Angriffe. Das zweite häufige Problem ist die Verwaltung des RADIUS Shared Secrets. Ich habe Produktionsnetzwerke gesehen, bei denen das Shared Secret auf „radius“ oder den Standardwert des Herstellers eingestellt war. Diese Secrets sind die Schlüssel zu Ihrer Authentifizierungsinfrastruktur. Generieren Sie sie zufällig, speichern Sie sie in einem Secrets Manager und rotieren Sie sie nach einem Zeitplan. Drittens: VLAN-Fehlkonfiguration. Die dynamische VLAN-Zuweisung ist leistungsstark – sie ermöglicht es Ihnen, Mitarbeitergeräte in das Unternehmens-VLAN, Auftragnehmer in ein eingeschränktes VLAN und IoT-Geräte in ein isoliertes VLAN zu legen, und das alles über dieselbe SSID. Wenn jedoch die RADIUS-Attribute nicht korrekt konfiguriert sind oder die Switch-Trunk-Ports nicht die richtigen VLANs übertragen, schlägt die Verbindung der Geräte entweder fehl oder sie landen im falschen Segment. Testen Sie dies gründlich in einer Laborumgebung, bevor Sie es in der Produktion einführen. Viertens: Redundanz. Ihr RADIUS-Server ist jetzt ein kritischer Teil der Infrastruktur. Wenn er ausfällt, kann sich niemand verbinden. Sie benötigen mindestens einen primären und einen sekundären RADIUS-Server, die auf jedem AP konfiguriert sind. Ziehen Sie bei großen Bereitstellungen RADIUS-Proxy-Cluster mit Zustandsüberwachung in Betracht. Fünftens, und das betrifft speziell die Hotellerie und den Einzelhandel: die Trennung von Gäste- und Unternehmensnetzwerk. Ihre 802.1X-Unternehmens-SSID und Ihre Gäste-WiFi-SSID sollten vollständig getrennt sein – unterschiedliche VLANs, unterschiedliche Firewall-Richtlinien, unterschiedliches DNS. Eine Plattform wie Purple übernimmt die Gästeseite mit ihrem eigenen Captive Portal und ihrer eigenen Analyse-Ebene, während Ihre 802.1X-Infrastruktur die Unternehmensseite verwaltet. Dies sind komplementäre, keine konkurrierenden Systeme. [SCHNELLE FRAGERUNDE — ca. 1 Minute] Lassen Sie mich die Fragen durchgehen, die mir am häufigsten gestellt werden. Kann ich 802.1X auf einer Cloud-verwalteten AP-Plattform ausführen? Ja – Meraki, Aruba Central und Ruckus Cloud unterstützen dies alle. Sie konfigurieren die RADIUS-Serverdetails im Cloud-Dashboard, und die APs übernehmen das EAP-Proxying. Benötige ich Active Directory? Nein. FreeRADIUS kann sich gegen LDAP, SQL-Datenbanken, Flatfiles oder sogar REST-APIs authentifizieren. Aber die AD-Integration über NPS ist bei weitem der häufigste Weg in Unternehmen. Was ist mit IoT-Geräten, die kein 802.1X unterstützen? Verwenden Sie MAC Authentication Bypass – MAB – als Fallback. Die MAC-Adresse des Geräts wird als Benutzername und Passwort an RADIUS gesendet. Das ist nicht so sicher wie EAP, ermöglicht Ihnen aber das Onboarding von IoT-Geräten, während sie in einem eingeschränkten VLAN gehalten werden. Funktioniert 802.1X mit WPA3? Ja. WPA3-Enterprise ist im Wesentlichen WPA3 mit 802.1X-Authentifizierung. Es bietet eine stärkere Verschlüsselung – 192-Bit im Hochsicherheitsmodus – und ist der empfohlene Standard für neue Bereitstellungen. [ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE — ca. 1 Minute] Um das Ganze zusammenzufassen: 802.1X ist kein „Nice-to-have“. Für jede Organisation, die sensible Daten verarbeitet, Zahlungen abwickelt oder in einer regulierten Umgebung tätig ist, ist es die Baseline für die Enterprise-WiFi-Sicherheit. Die Architektur ist etabliert, die Tools sind ausgereift und der Bereitstellungsweg ist klar. Beginnen Sie mit der Auswahl Ihrer EAP-Methode – PEAP-MSCHAPv2, wenn Sie schnelle Erfolge und eine breite Kompatibilität benötigen, EAP-TLS, wenn Sie über die PKI-Infrastruktur verfügen und das stärkste Sicherheitsniveau benötigen. Konfigurieren Sie Ihren RADIUS-Server und stellen Sie Redundanz her, bevor Sie auch nur einen einzigen AP anfassen. Pushen Sie Ihre Supplicant-Profile über Gruppenrichtlinien oder MDM, bevor Sie live gehen. Und halten Sie Ihr Gäste-WiFi völlig getrennt – verwenden Sie eine speziell für diese Ebene entwickelte Plattform. Wenn Sie eine Umgebung mit mehreren Standorten betreiben – Hotels, Einzelhandelsketten, Stadien –, skaliert die Komplexität mit der Anzahl der Standorte, aber die Architektur ändert sich nicht. Der Schlüssel ist ein zentralisiertes RADIUS mit standortlokaler Redundanz und ein konsistentes, per MDM gepushtes Supplicant-Profil auf Ihrer gesamten Geräteflotte. Vielen Dank fürs Zuhören. Der vollständige schriftliche Leitfaden, Architekturdiagramme und Konfigurations-Checklisten sind auf purple.ai verfügbar. Wenn Sie eine 802.1X-Bereitstellung planen und die Besonderheiten Ihrer Umgebung besprechen möchten, wenden Sie sich direkt an das Purple-Team.

header_image.png

Executive Summary

Für Unternehmensnetzwerke reicht ein gemeinsam genutzter PSK (Pre-Shared Key) nicht mehr aus, um die Unternehmensinfrastruktur zu schützen. Da Unternehmen mit strengeren Compliance-Anforderungen (PCI-DSS, GDPR) und einer sich ständig vergrößernden Angriffsfläche konfrontiert sind, ist der Übergang zur 802.1X-Authentifizierung ein kritisches Sicherheitserfordernis.

Diese Anleitung bietet eine praktische, herstellerunabhängige Bereitstellungsanleitung für die Konfiguration von 802.1X auf Enterprise Access Points. Wir behandeln die Kernarchitektur – Supplicant, Authenticator und Authentication Server – sowie das Zertifikatsmanagement, die RADIUS-Konfiguration und häufige Fehler bei der Bereitstellung. Für IT-Manager und Netzwerkarchitekten in den Bereichen Einzelhandel, Hotellerie oder im öffentlichen Sektor bietet dieser Leitfaden direkt umsetzbare Schritte zur Implementierung einer robusten, identitätsbasierten Netzwerkzugriffskontrolle, während der Unternehmens- und Gästeverkehr strikt getrennt bleiben.

Hören Sie sich unten die begleitende Podcast-Zusammenfassung an, um einen 10-minütigen Überblick über die Architektur und die Implementierungsstrategien zu erhalten.

Technische Tiefenanalyse: Die 802.1X-Architektur

Der Standard IEEE 802.1X definiert die portbasierte Netzwerkzugriffskontrolle. In einer Wireless-Umgebung verhindert er, dass Client-Geräte Datenverkehr senden oder empfangen, bevor sie sich erfolgreich an einem zentralen Verzeichnis authentifiziert haben.

architecture_overview.png

Die drei Kernkomponenten

  1. Supplicant (Client-Gerät): Die Software auf dem Laptop, Smartphone oder IoT-Gerät, die den Zugriff anfordert. Sie muss die gewählte EAP-Methode (Extensible Authentication Protocol) unterstützen.
  2. Authenticator (Access Point/Wireless LAN Controller): Das Netzwerkgerät, das als Gatekeeper fungiert. Es öffnet einen „kontrollierten Port“, der bis zur erfolgreichen Authentifizierung nur EAP-Verkehr zulässt.
  3. Authentication Server (RADIUS): Der zentrale Server (z. B. Microsoft NPS, FreeRADIUS, Cisco ISE), der die Anmeldedaten mit einem Identitätsspeicher (wie Active Directory) abgleicht und eine „Access-Accept“- oder „Access-Reject“-Nachricht zurückgibt.

EAP-Methoden: Die Wahl des richtigen Sicherheitsniveaus

Die Wahl der EAP-Methode bestimmt Ihr Sicherheitsniveau und die Komplexität der Bereitstellung.

eap_comparison_chart.png

  • EAP-TLS (Transport Layer Security): Der Goldstandard. Erfordert Zertifikate sowohl auf dem Server als auch auf dem Client. Es werden keine Passwörter übertragen. Unverzichtbar für Hochsicherheitsumgebungen, erfordert jedoch eine vollständige Public-Key-Infrastruktur (PKI).
  • PEAP-MSCHAPv2 (Protected EAP): Die am häufigsten genutzte Enterprise-Bereitstellung. Verwendet ein serverseitiges Zertifikat, um einen sicheren TLS-Tunnel aufzubauen, in dem der Client Benutzernamen und Passwort sendet. Einfacher bereitzustellen, aber anfällig für den Diebstahl von Anmeldedaten, wenn Client-Geräte nicht so konfiguriert sind, dass sie das Serverzertifikat streng validieren.
  • EAP-SIM/AKA: Nutzt SIM-Karten-Anmeldedaten für die Authentifizierung. Dies wird für das nahtlose Onboarding in Transport-Hubs und großen öffentlichen Bereichen immer relevanter.

Implementierungsleitfaden: Schritt-für-Schritt-Konfiguration

Die Bereitstellung von 802.1X erfordert eine koordinierte Konfiguration auf dem RADIUS-Server, den Access Points und den Client-Geräten.

Schritt 1: Vorbereitung des RADIUS-Servers

Unabhängig davon, ob Sie den Microsoft-Netzwerkrichtlinienserver (NPS) oder eine Alternative verwenden, bleiben die Grundprinzipien dieselben.

  1. RADIUS-Clients definieren: Registrieren Sie jeden Access Point (oder Wireless LAN Controller) im RADIUS-Server. Weisen Sie ein starkes, zufällig generiertes Shared Secret (mindestens 22 Zeichen) zu, um die Kommunikation zwischen AP und RADIUS-Server zu sichern.
  2. Serverzertifikat installieren: Installieren Sie für PEAP oder EAP-TLS ein X.509-Zertifikat auf dem RADIUS-Server. Die Verwendung eines Zertifikats einer vertrauenswürdigen öffentlichen Zertifizierungsstelle (CA) vereinfacht die Bereitstellung in BYOD-Umgebungen, da das Stammzertifikat bereits vom Betriebssystem des Clients als vertrauenswürdig eingestuft wird.

Schritt 2: Richtlinienkonfiguration

Konfigurieren Sie Netzwerkrichtlinien, um Zugriffsrechte basierend auf der Identität festzulegen.

  1. Verbindungsanforderungsrichtlinien: Definieren Sie, wie der RADIUS-Server eingehende Anforderungen verarbeitet. In der Regel beinhaltet dies den Abgleich des NAS-Port-Typs (Wireless - IEEE 802.11) und die lokale Authentifizierung der Anforderung.
  2. Netzwerkrichtlinien: Ordnen Sie Active Directory-Gruppen den Netzwerkzugriffsrechten zu. Ordnen Sie beispielsweise die Gruppe „Domänencomputer“ dem Unternehmens-VLAN zu. Verwenden Sie RADIUS-Attribute (Tunnel-Type=VLAN, Tunnel-Medium-Type=802, Tunnel-Private-Group-ID=[VLAN_ID]), um nach erfolgreicher Authentifizierung dynamisch VLANs zuzuweisen.

Schritt 3: Konfiguration der Access Points

Konfigurieren Sie die SSID auf Ihrer Wireless-Infrastruktur (z. B. Meraki, Aruba, Cisco).

  1. Erstellen Sie eine neue SSID und wählen Sie WPA2-Enterprise oder WPA3-Enterprise.
  2. Geben Sie die IP-Adressen Ihres primären und sekundären RADIUS-Servers ein.
  3. Geben Sie das in Schritt 1 definierte Shared Secret ein.
  4. Aktivieren Sie die dynamische VLAN-Zuweisung, wenn Ihr RADIUS-Server VLAN-Attribute pusht.

Schritt 4: Konfiguration des Client-Supplicants

Dies ist der kritischste und am häufigsten übersehene Schritt. Verlassen Sie sich nicht darauf, dass Benutzer ihre Geräte manuell konfigurieren.

  • Unternehmensgeräte: Verwenden Sie Gruppenrichtlinienobjekte (GPOs) oder Ihre Mobile-Device-Management-Plattform (MDM), um WiFi-Profile zu pushen. Das Profil muss die vertrauenswürdige Root-CA und den genauen Servernamen des RADIUS-Servers angeben, um Evil-Twin-Angriffe zu verhindern.
  • BYOD: Implementieren Sie ein Onboarding-Portal oder eine MDM-Lösung, um Sicherheitsprofile auf die privaten Geräte der Mitarbeiter zu übertragen.

Best Practices und Branchenstandards

Befolgen Sie diese architektonischen Best Practices, um eine robuste Bereitstellung zu gewährleisten:

  1. Strikte Zertifikatsvalidierung: Erlauben Sie Clients niemals, blind jedes Serverzertifikat zu akzeptieren. Dies ist der Hauptweg für den Diebstahl von PEAP-Anmeldedaten.
  2. Gästeverkehr isolieren: Ihre 802.1X-Infrastruktur ist für den Unternehmenszugriff gedacht. Der Gästeverkehr muss vollständig isoliert bleiben. Stellen Sie eine dedizierte Gäste-WiFi -Plattform mit eigenem Captive Portal und eigener Analyse-Ebene bereit. Wie in unserem Leitfaden Netzwerkschutz: Robustes DNS und Sicherheit beschrieben, ist die logische Segmentierung die Grundlage der Netzwerkabrechnung.
  3. Redundanz implementieren: RADIUS ist ein geschäftskritischer Dienst. Stellen Sie primäre und sekundäre RADIUS-Server bereit. In verteilten Umgebungen, wie großen Einzelhandels -Ketten, sollten Sie lokale RADIUS-Proxys in Betracht ziehen, um die Betriebsfähigkeit bei einem Ausfall der WAN-Verbindung aufrechterzuerhalten.

Fehlerbehebung und Risikominderung

Wenn Bereitstellungen fehlschlagen, liegt dies meist an einigen typischen Konfigurationsfehlern:

  • RADIUS-Timeout-Fehler: Meist verursacht durch ein nicht übereinstimmendes Shared Secret zwischen AP und RADIUS-Server oder durch Firewall-Regeln, die die UDP-Ports 1812 (Authentifizierung) und 1813 (Accounting) blockieren.
  • Client-Ablehnung: Überprüfen Sie die RADIUS-Ereignisprotokolle (z. B. Windows-Ereignisanzeige -> Benutzerdefinierte Ansichten -> Serverrollen -> Netzwerkrichtlinien- und Zugriffsdienste). Suchen Sie nach der Ereignis-ID 6273. Häufige Ursachen sind abgelaufene Client-Zertifikate oder ein Client, der der Zertifikatskette des Servers nicht vertraut.
  • Fehlgeschlagene VLAN-Zuweisung: Wenn die Authentifizierung erfolgreich war, der Client jedoch keine IP-Adresse erhält, überprüfen Sie, ob der Switch-Port, an den der AP angeschlossen ist, als Trunk-Port konfiguriert ist, der die dynamisch zugewiesenen VLANs zulässt.

ROI und geschäftliche Auswirkungen

Die Implementierung von 802.1X bietet einen erheblichen betrieblichen und sicherheitsbezogenen ROI:

  • Risikominderung: Eliminiert das Risiko, dass ein einzelner kompromittierter PSK das gesamte Unternehmensnetzwerk gefährdet, und unterstützt direkt die Compliance-Bemühungen für PCI-DSS und GDPR.
  • Betriebliche Effizienz: Zentralisierte Zugriffskontrolle. Wenn ein Mitarbeiter das Unternehmen verlässt, entzieht das Deaktivieren seines Active Directory-Kontos sofort seinen WiFi-Zugang. Ein unternehmensweites Ändern von PSKs entfällt.
  • Netzwerksichtbarkeit: Bietet detaillierte Einblicke darüber, wer sich im Netzwerk befindet und welche Geräte verwendet werden, was eine bessere Kapazitätsplanung und Bedrohungssuche ermöglicht.

Für komplexe Umgebungen mit hoher Dichte wie Stadien oder die Hotellerie ist die Verwaltung der Unternehmenssicherheit bei gleichzeitigem Angebot von Gastzugängen eine Herausforderung. Durch den Schutz von Unternehmensressourcen mit 802.1X und die Abwicklung des Gästeverkehrs über eine leistungsstarke WiFi-Analyse -Plattform können IT-Verantwortliche eine sichere, skalierbare Konnektivität bereitstellen, die sowohl dem Unternehmen als auch seinen Kunden dient. Einblicke in die Verwaltung von Umgebungen mit hoher Dichte finden Sie in unserem Leitfaden Zoo- und Freizeitpark-WiFi: Konnektivitätsleitfaden für Standorte mit hoher Besucherfrequenz .

Schlüsseldefinitionen

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung mit einem LAN oder WLAN herstellen möchten.

Das grundlegende Protokoll für die Enterprise-WiFi-Sicherheit, das anfällige, gemeinsam genutzte Passwörter ersetzt.

Supplicant

Das Client-Gerät oder die Softwareanwendung, die Zugriff auf das Netzwerk anfordert.

IT-Teams müssen die Supplicant-Konfiguration über MDM verwalten, um sichere Verbindungen zu gewährleisten.

Authenticator

Das Netzwerkgerät (Access Point oder Switch), das den Authentifizierungsprozess erleichtert, indem es als Proxy zwischen dem Supplicant und dem Authentication Server fungiert.

Konfiguriert mit der IP des RADIUS-Servers und einem Shared Secret, um den EAP-Verkehr sicher weiterzuleiten.

RADIUS

Remote Authentication Dial-In User Service; ein Netzwerkprotokoll, das eine zentralisierte Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) bietet.

Der Backend-Server (wie Microsoft NPS), der die Anmeldedaten des Benutzers tatsächlich mit einem Verzeichnis abgleicht.

EAP (Extensible Authentication Protocol)

Ein Authentifizierungs-Framework, das häufig in drahtlosen Netzwerken und Punkt-zu-Punkt-Verbindungen verwendet wird und mehrere Authentifizierungsmethoden unterstützt.

Die „Sprache“, die zwischen dem Supplicant und dem RADIUS-Server gesprochen wird.

EAP-TLS

Eine EAP-Methode, die Transport Layer Security verwendet und sowohl server- als auch clientseitige Zertifikate für die gegenseitige Authentifizierung erfordert.

Die sicherste verfügbare Methode, die häufig für Hochsicherheits- oder klassifizierte Umgebungen vorgeschrieben ist.

PEAP

Protected Extensible Authentication Protocol; kapselt EAP in einem verschlüsselten und authentifizierten TLS-Tunnel.

Die am weitesten verbreitete Enterprise-Methode, die Sicherheit und einfache Bereitstellung in Einklang bringt, da nur ein serverseitiges Zertifikat erforderlich ist.

Dynamic VLAN Assignment

Der Prozess, bei dem ein RADIUS-Server den Access Point anweist, einen authentifizierten Benutzer basierend auf seiner Verzeichnisgruppenmitgliedschaft in ein bestimmtes VLAN einzuteilen.

Entscheidend für die Segmentierung des Netzwerkverkehrs (z. B. Trennung von HR-, Entwicklungs- und IoT-Geräten), während nur eine einzige Unternehmens-SSID ausgestrahlt wird.

Ausgearbeitete Beispiele

Ein Luxushotel mit 300 Zimmern muss sein internes Betriebsnetzwerk (Mitarbeiter-Tablets, VoIP-Telefone, Management-Laptops) sichern und gleichzeitig vollständig vom Gästenetzwerk trennen. Derzeit verwenden sie einen einzigen PSK für die Mitarbeiter.

  1. Stellen Sie einen Microsoft NPS bereit, der mit dem vorhandenen Active Directory des Hotels verknüpft ist.
  2. Konfigurieren Sie PEAP-MSCHAPv2 unter Verwendung eines öffentlichen Zertifikats (z. B. DigiCert) auf dem NPS-Server, um das Onboarding der Tablets zu vereinfachen.
  3. Erstellen Sie eine 802.1X-SSID („Hotel_Ops“) auf den APs.
  4. Verwenden Sie die MDM-Plattform des Hotels, um das WiFi-Profil „Hotel_Ops“ auf alle Mitarbeiter-Tablets und -Laptops zu pushen. Konfigurieren Sie das Profil explizit so, dass es der DigiCert-Root-CA vertraut und den Namen des NPS-Servers validiert.
  5. Behalten Sie die vorhandene offene Gäste-SSID bei und leiten Sie sie über das Captive Portal von Purple für die Annahme der Nutzungsbedingungen und Analysen, um sicherzustellen, dass Gäste-VLANs nicht zu den betrieblichen VLANs geroutet werden können.
Kommentar des Prüfers: Dieser Ansatz hält die Waage zwischen Sicherheit und Bereitstellungskomplexität. Durch die Verwendung eines öffentlichen Zertifikats auf dem RADIUS-Server vermeidet das Hotel den Aufwand für die Bereitstellung einer vollständigen PKI, während das Risiko eines gemeinsam genutzten PSK eliminiert wird. Die strikte Trennung von Gäste- und Unternehmensverkehr über VLANs und unterschiedliche Authentifizierungsmechanismen entspricht den PCI-DSS-Anforderungen für die Point-of-Sale-Systeme des Hotels.

Ein Universitätscampus migriert zu 802.1X und muss eine massive BYOD-Umgebung für 15.000 Studenten auf verschiedenen Betriebssystemen unterstützen.

  1. Stellen Sie einen robusten RADIUS-Cluster (z. B. FreeRADIUS oder Cisco ISE) mit Lastverteilung bereit.
  2. Implementieren Sie PEAP-MSCHAPv2 für eine breite Gerätekompatibilität.
  3. Stellen Sie ein Onboarding-Portal (z. B. SecureW2) bereit, das den Supplicant des Schülergeräts automatisch so konfiguriert, dass er die richtigen EAP-Einstellungen verwendet und dem RADIUS-Serverzertifikat der Universität vertraut.
  4. Verwenden Sie die dynamische VLAN-Zuweisung über RADIUS-Attribute, um Studenten basierend auf ihrem Standort auf dem Campus in entsprechende Subnetze einzuteilen, um Broadcast-Domänen zu verwalten.
Kommentar des Prüfers: Im Hochschulbereich ist BYOD die größte Herausforderung. Sich auf die manuelle Konfiguration durch Studenten zu verlassen, garantiert ein hohes Aufkommen an Helpdesk-Tickets und unsichere Konfigurationen (Benutzer akzeptieren ungültige Zertifikate). Das Onboarding-Portal ist hier der entscheidende Erfolgsfaktor, da es sicherstellt, dass der Supplicant gesperrt ist, um das Abgreifen von Anmeldedaten zu verhindern.

Übungsfragen

Q1. Ihre Organisation stellt 802.1X unter Verwendung von PEAP-MSCHAPv2 bereit. Während des Tests berichten Benutzer, dass sie beim ersten Verbindungsaufbau aufgefordert werden, ein „Zertifikat zu akzeptieren“. Wie sollten Sie dies beheben?

Hinweis: Berücksichtigen Sie die Sicherheitsimplikationen, wenn Benutzer Vertrauensentscheidungen bezüglich der Netzwerkinfrastruktur treffen dürfen.

Musterlösung anzeigen

Sie müssen die Client-Supplicant-Profile (über MDM oder Gruppenrichtlinien) so konfigurieren, dass sie der Root-CA, die das Zertifikat des RADIUS-Servers ausgestellt hat, explizit vertrauen und den spezifischen Servernamen validieren. Wenn man sich darauf verlässt, dass Benutzer Zertifikate manuell akzeptieren, werden sie darauf trainiert, Sicherheitswarnungen zu ignorieren, was das Netzwerk anfällig für Evil-Twin-Angriffe (Abgreifen von Anmeldedaten) macht.

Q2. Sie müssen eine Flotte von Barcodescannern im Lager sichern. Diese unterstützen WPA2-Enterprise, verfügen jedoch über keinen Mechanismus zur Installation von Client-Zertifikaten oder zum Beitritt zu Active Directory. Was ist der sicherste Bereitstellungsansatz?

Hinweis: Evaluieren Sie die EAP-Methoden, die keine clientseitigen Zertifikate erfordern, aber dennoch eine verschlüsselte Authentifizierung bieten.

Musterlösung anzeigen

Stellen Sie PEAP-MSCHAPv2 bereit. Erstellen Sie in Ihrem Verzeichnis ein dediziertes Dienstkonto für die Scanner. Konfigurieren Sie den RADIUS-Server mit einem Serverzertifikat, um den TLS-Tunnel aufzubauen, und konfigurieren Sie die Scanner so, dass sie sich mit den Anmeldedaten des Dienstkontos innerhalb des Tunnels authentifizieren. Stellen Sie sicher, dass die RADIUS-Richtlinie dieses Dienstkonto auf ein bestimmtes, isoliertes Lager-VLAN beschränkt.

Q3. Nach der Konfiguration der APs und des RADIUS-Servers authentifizieren sich die Client-Geräte erfolgreich (in den RADIUS-Protokollen mit einem Access-Accept verifiziert), erhalten jedoch keine IP-Adresse und können nicht auf das Netzwerk zugreifen. Was ist das wahrscheinlichste Infrastrukturproblem?

Hinweis: Die Authentifizierung war erfolgreich, was bedeutet, dass die 802.1X-Phase abgeschlossen ist. Das Problem liegt in der anschließenden Netzwerkbereitstellungsphase.

Musterlösung anzeigen

Das wahrscheinlichste Problem ist eine VLAN-Fehlkonfiguration im kabelgebundenen Netzwerk. Wenn der RADIUS-Server die dynamische VLAN-Zuweisung verwendet, um den Client in ein bestimmtes VLAN (z. B. VLAN 20) einzuteilen, muss der Switch-Port, der den Access Point verbindet, als 802.1Q-Trunk-Port konfiguriert sein, der VLAN 20 zulässt. Wenn das VLAN nicht zum AP getrunkt ist, werden die DHCP-Anfragen des Clients verworfen.

Weiterlesen in dieser Reihe

Konfigurieren von RADIUS-Authentifizierung für Gäste- und Mitarbeiter-WiFi-Netzwerke

Dieses technische Referenzhandbuch beschreibt die Architektur, Konfiguration und Bereitstellung der RADIUS-Authentifizierung für WiFi-Netzwerke von Unternehmen für Gäste und Mitarbeiter. Es bietet Netzwerkarchitekten und IT-Managern die genauen Protokolle, Sicherheitsstandards und Fehlerbehebungsmethoden, die für den Aufbau sicherer, skalierbarer drahtloser Zugriffskontrollsysteme erforderlich sind.

Leitfaden lesen →

Passpoint und OpenRoaming: Das vollständige Handbuch

Dieses technische Referenzhandbuch bietet eine umfassende Analyse der Passpoint (Hotspot 2.0) und WBA OpenRoaming Frameworks in Enterprise WiFi Netzwerken. Es beschreibt detailliert die zugrundeliegenden Authentifizierungsprotokolle, Architekturkomponenten und Bereitstellungsstrategien, die für den Aufbau einer sicheren, reibungslosen Gastkonnektivität erforderlich sind. Netzwerkarchitekten und IT-Leiter erfahren, wie sie diese Standards entwerfen, implementieren und Fehler beheben, um manuelle Anmeldebarrieren zu beseitigen und gleichzeitig die Sicherheit auf Enterprise-Niveau aufrechtzuerhalten.

Leitfaden lesen →

Implementierung von SCEP für sichere BYOD- und Netzwerkanmeldung im Hochschulbereich

Dieser technische Leitfaden bietet Netzwerkarchitekten und IT-Managern ein herstellerunabhängiges Konzept für die Bereitstellung von SCEP-basierten Zertifikatsanmeldungen zur Sicherung von Campusnetzwerken an Hochschulen. Er beschreibt im Detail die Migration von passwortbasiertem PEAP zu 802.1X EAP-TLS, die Automatisierung des BYOD-Onboardings und die Durchsetzung einer robusten VLAN-Segmentierung.

Leitfaden lesen →