Implementierung von SCEP für sichere BYOD- und Netzwerkanmeldung im Hochschulbereich

Sprechen Sie britisches Englisch mit einem klaren, selbstbewussten und autoritären Ton. Sie sind ein leitender Berater für Netzwerksicherheit und briefen einen Raum voller IT-Leiter und CTOs an einer Universität. Ihr Vortrag ist bedacht, direkt und gelegentlich trocken. Sie machen natürliche Pausen zwischen den Abschnitten. Das Tempo ist beständig und professionell, nicht gehetzt: Willkommen zu diesem technischen Briefing von Purple. Ich werde Sie durch alles führen, was Sie über die Implementierung von SCEP - dem Simple Certificate Enrolment Protocol - für sicheres BYOD und die Netzwerkanmeldung im Hochschulbereich wissen müssen. Wenn Sie IT-Leiter oder Netzwerkarchitekt an einer Universität sind und sich immer noch auf gemeinsam genutzte Passwörter oder Captive Portals verlassen, um Studentengeräte in Ihrem Campus-WiFi zu authentifizieren, ist dieses Briefing für Sie gedacht. [medium pause] Beginnen wir mit dem Problem. Die meisten Universitäten betreiben heute das, was ich als ein "Trust-on-First-Use"-Modell bezeichnen würde. Ein Student kommt an, verbindet sich mit der Campus-SSID, gibt seine Universitäts-Anmeldedaten ein und ist im Netzwerk. Einfach. Vertraut. Und, ehrlich gesagt, ein erhebliches Sicherheitsrisiko. Passwörter werden weitergegeben. Anmeldedaten werden durch Phishing gestohlen. Ein einziges kompromittiertes Konto kann Tausende von Geräten in Ihr Netzwerk bringen, die dort nichts zu suchen haben. Und wenn Sie es mit GDPR-Verpflichtungen, Forschungsdaten und Zahlungssystemen auf derselben Infrastruktur zu tun haben, ist das ein Risiko, das Sie sich nicht leisten können. [medium pause] SCEP löst dies auf der Ebene der Geräteidentität. Anstatt über ein Passwort zu fragen "Wer bist du?", fragt es über ein kryptografisches Zertifikat "Was bist du?". SCEP - formal definiert in RFC 8894 durch die IETF - ist ein Protokoll, das die Ausstellung, Bereitstellung und Erneuerung von digitalen X.509-Zertifikaten für verwaltete und nicht verwaltete Geräte automatisiert. Es ist seit über zwei Jahrzehnten das Rückgrat der Enterprise-PKI und wird von jeder führenden MDM-Plattform nativ unterstützt: Microsoft Intune, JAMF Pro und VMware Workspace ONE. Und so funktioniert der Registrierungsablauf in der Praxis. Wenn sich das Gerät eines Studenten mit Ihrer Onboarding-SSID verbindet, generiert der MDM-Agent auf diesem Gerät ein Schlüsselpaar und erstellt eine Zertifikatsignierungsanforderung - einen CSR. Diese Anforderung geht an Ihr SCEP-Gateway, das ein Einmal-Challenge-Passwort validiert. Das Gateway leitet den CSR an Ihre Zertifizierungsstelle weiter, die ihn signiert und ein eindeutiges X.509-Zertifikat an das Gerät zurückgibt. Von diesem Zeitpunkt an verwendet das Gerät dieses Zertifikat zur Authentifizierung über 802.1X EAP-TLS - die sicherste drahtlose Authentifizierungsmethode, die im Standard IEEE 802.1X definiert ist. Keine Passwörter. Keine gemeinsam genutzten Geheimnisse. Nur der kryptografische Nachweis der Geräteidentität. [medium pause] EAP-TLS - Extensible Authentication Protocol mit Transport Layer Security - ist einen kurzen Moment Ihrer Aufmerksamkeit wert. Es erfordert eine gegenseitige Authentifizierung: Das Gerät beweist seine Identität gegenüber dem RADIUS-Server, und der RADIUS-Server beweist seine Identität gegenüber dem Gerät. Dies eliminiert Man-in-the-Middle-Angriffe auf der Authentifizierungsebene. Vergleichen Sie das mit PEAP-MSCHAPv2, das immer noch weit verbreitet ist und bekannte Sicherheitslücken für das Abgreifen von Anmeldedaten aufweist. Wenn Sie heute PEAP verwenden, ist die Migration zu EAP-TLS über SCEP ein bedeutendes Sicherheits-Upgrade und kein bloß schrittweiser Fortschritt. [medium pause] Lassen Sie mich Ihnen eine konkrete Architektur beschreiben. Sie betreiben drei SSIDs. Die erste ist Ihre sichere Studenten-SSID - nennen wir sie UniSecure - auf VLAN 10. Diese wird zertifikatsbasiert über 802.1X EAP-TLS authentifiziert. Nur Geräte mit einem gültigen, von Ihrer Zertifizierungsstelle (CA) ausgestellten Zertifikat können beitreten. Die zweite ist Ihre Mitarbeiter-SSID auf VLAN 20, auf der verwaltete Geräte während der Geräteregistrierung automatisch Zertifikate über Intune oder JAMF erhalten. Die dritte ist Ihr Gäste-WiFi auf VLAN 30 - ein Captive Portal für Besucher, das vollständig von Ihrem akademischen Netzwerk isoliert ist. Ihr RADIUS-Server - ob das nun Microsoft NPS, Cisco ISE oder HPE Aruba ClearPass ist - befindet sich zwischen den Access Points und Ihrer Zertifizierungsstelle und setzt Richtlinien bei jedem Authentifizierungsversuch durch. [medium pause] Hardwareseitig läuft diese Architektur reibungslos auf Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist und Ubiquiti UniFi. Das SCEP-Gateway kann Ihr bestehender Microsoft NDES-Server, ein Cloud-SCEP-Dienst oder eine dedizierte PKI-Plattform sein. Wenn Sie bereits Microsoft Entra ID - ehemals Azure Active Directory - nutzen, ist die Integration mit dem Certificate Connector von Intune unkompliziert und gut dokumentiert. [medium pause] Lassen Sie mich nun zwei reale Szenarien durchgehen. Das erste ist eine große Universität mit 30.000 Studenten auf einem Hauptcampus und vier Außenstellen. Ihre Herausforderung: Die Studenten kommen im September mit einer Mischung aus Windows-Laptops, MacBooks, iPhones und Android-Geräten an. Zuvor nutzten sie PEAP mit Universitäts-Anmeldedaten. Das Teilen von Anmeldedaten war weit verbreitet. Sie migrierten zu SCEP mit Intune für verwaltete Mitarbeitergeräte und einem Self-Service-Onboarding-Portal für das BYOD der Studenten. Die Studenten besuchen eine Webseite, authentifizieren sich mit dem Single Sign-On der Universität, und das Portal überträgt ein SCEP-Profil auf ihr Gerät. Das Gerät registriert sich, erhält ein Zertifikat und verbindet sich automatisch mit der sicheren SSID. Die Support-Anfragen an die IT bezüglich der WiFi-Authentifizierung gingen im ersten Semester um 60 % zurück. Die zertifikatsbasierte Authentifizierung lieferte ihnen zudem einen lückenlosen Audit-Trail zur GDPR-Compliance - sie konnten jederzeit genau nachweisen, welches Gerät auf welches Netzwerksegment zugegriffen hat. [medium pause] Das zweite Szenario ist ein College für Weiterbildung, das eine Mischung aus studentischen Chromebooks und gemeinsam genutzten Windows-Geräten in Computerräumen betreibt. Sie nutzten JAMF für macOS-Geräte und die Zertifikatsverwaltung von Google Workspace für Chromebooks. SCEP-Profile wurden während der Geräteregistrierung über das jeweilige MDM bereitgestellt. Die gemeinsam genutzten Laborgeräte erhielten Maschinenzertifikate anstelle von Benutzerzertifikaten, sodass die Authentifizierung gerätebasiert und nicht an eine individuelle Anmeldung gebunden war. Dadurch konnten sich Studierende an jeden beliebigen Laborrechner setzen und sich ohne zusätzliche Authentifizierungsschritte verbinden. Das College segmentierte auch IoT-Geräte - Projektoren, Drucker, Smartboards - in ein separates VLAN ohne Internet-Routing, was deren Angriffsfläche erheblich reduzierte. [medium pause] Lassen Sie uns über Implementierungsfehler sprechen, da es einige gibt, die Teams immer wieder einholen. Der erste ist das Management von Challenge-Passwörtern. Bei nativem SCEP ist das Challenge-Passwort ein Shared Secret. Wenn es statisch und langlebig ist, stellt es ein Sicherheitsrisiko dar. Nutzen Sie Ihr MDM, um einmalige Challenge-Passwörter pro Geräteregistrierung zu generieren. Intune erledigt dies automatisch über seinen Certificate Connector. Wenn Sie einen eigenständigen SCEP-Server betreiben, implementieren Sie kurze Ablaufzeiten - 15 Minuten sind ein angemessener Standard. Der zweite Fehler ist das Zertifikats-Lifecycle-Management. Zertifikate laufen ab. Wenn Sie keine automatische Verlängerung eingerichtet haben, werden Studierende am Morgen einer Prüfung keine Verbindung zum WiFi herstellen können. Stellen Sie die Verlängerung so ein, dass sie bei 80 % der Gültigkeitsdauer des Zertifikats ausgelöst wird. Die meisten MDMs erledigen dies automatisch, aber überprüfen Sie Ihre Konfiguration, bevor Sie live gehen. Der dritte Fehler ist die unkontrollierte Ausweitung von BYOD. Nicht jedes persönliche Gerät eines Studierenden sollte sich in Ihrem akademischen VLAN befinden. Definieren Sie Ihre Registrierungsrichtlinie klar: Welche Gerätetypen sind berechtigt, welche Compliance-Prüfungen sind erforderlich - OS-Version, Bildschirmsperre, Verschlüsselung - und was passiert, wenn ein Gerät die Compliance-Prüfung nicht besteht. Die Richtlinien für bedingten Zugriff Ihres MDMs setzen dies nach der Konfiguration automatisch durch. [medium pause] Eine kurze Schnellfragerunde für die Fragen, die mir am häufigsten gestellt werden. Kann SCEP mit unverwalteten persönlichen Geräten funktionieren? Ja, über ein Self-Service-Onboarding-Portal, das ein einfaches SCEP-Profil bereitstellt. Das Gerät muss nicht vollständig im MDM registriert sein. Ersetzt SCEP eduroam? Nein - eduroam nutzt 802.1X mit RADIUS-Föderation, und SCEP ist der Mechanismus, der die Zertifikate bereitstellt, die diese Geräte zur Authentifizierung bei eduroam verwenden. Sie ergänzen sich. Ist SCEP konform mit der GDPR? Die zertifikatsbasierte Authentifizierung erzeugt ein sauberes, zuordenbares Audit-Protokoll - Geräteidentität, Zeitstempel, VLAN-Zuweisung - was Ihre Verpflichtungen aus Artikel 32 der GDPR bezüglich geeigneter technischer Sicherheitsmaßnahmen unterstützt. Ändert WPA3 irgendetwas? WPA3-Enterprise im 192-Bit-Modus schreibt EAP-TLS vor, was Zertifikate erfordert. SCEP ist der natürliche Bereitstellungsmechanismus. Die gemeinsame Einführung von WPA3 und SCEP ist die richtige architektonische Richtung. [medium pause] Zusammenfassend lässt sich sagen: SCEP automatisiert die Zertifikatsverteilung an Geräte von Studierenden und Mitarbeitenden und ermöglicht so eine 802.1X EAP-TLS-Authentifizierung in Ihrem Campus-WiFi. Es macht gemeinsam genutzte Passwörter überflüssig, reduziert das Risiko von Credential-Phishing und bietet Ihnen einen kryptografisch nachweisbaren Audit-Trail. Die Architektur ist hardwareunabhängig - sie läuft auf Cisco Meraki, HPE Aruba, Ruckus und Juniper Mist. Sie lässt sich in Microsoft Entra ID, Okta und Google Workspace integrieren. Zudem skaliert sie von einer Berufsschule mit nur einem Campus bis hin zu einer Multi-Site-Universität der Russell-Gruppe. Wenn Sie in diesem Jahr die Sicherheitslage Ihres Campus-WiFi evaluieren, ist SCEP mit EAP-TLS der Standard, den Sie anstreben sollten. Die Plattform von Purple lässt sich auf der Ebene des Gäste-WiFi und der Analytik in diese Architektur integrieren. So erhalten Sie First-Party-Daten über das Besucherverhalten, ohne die Sicherheit Ihres akademischen Netzwerks zu gefährden. Vielen Dank für Ihre Aufmerksamkeit. Wenn Sie tiefer in diese Materie eintauchen möchten, finden Sie den vollständigen technischen Leitfaden unter purple.ai.