Zum Hauptinhalt springen
Deutsch

So konfigurieren Sie WPA2-Enterprise auf gängigen Access-Point-Plattformen (Cisco, Aruba, Ubiquiti)

Dieser technische Leitfaden bietet erfahrenen IT-Spezialisten und Netzwerkarchitekten eine definitive, herstellerspezifische Anleitung für die Bereitstellung von WPA2-Enterprise auf Cisco-, Aruba- und Ubiquiti-Plattformen. Er beschreibt detailliert die Architektur, die RADIUS-Integration, Compliance-Anforderungen und reale Bereitstellungsszenarien in Unternehmens- und Veranstaltungsort-Umgebungen.

📖 6 Min. Lesezeit📝 1,309 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
So konfigurieren Sie WPA2-Enterprise auf gängigen Access-Point-Plattformen — Cisco, Aruba und Ubiquiti Ein Purple WiFi Intelligence Briefing [INTRO — ca. 1 Minute] Willkommen zur Purple WiFi Intelligence Series. Ich bin Ihr Moderator, und heute kommen wir direkt zum Punkt bei einem der am häufigsten nachgefragten Themen unserer Unternehmenskunden: Wie konfiguriert man WPA2-Enterprise auf den drei am weitesten verbreiteten Access-Point-Plattformen — Cisco, Aruba und Ubiquiti. Egal, ob Sie IT-Leiter einer Hotelgruppe mit 500 Zimmern, Netzwerkarchitekt einer nationalen Einzelhandelskette oder CTO eines Konferenzzentrum-Betreibers sind: Dieses Briefing ist für Sie. Wir werden uns nicht mit grauer Theorie aufhalten. Wir gehen genau das durch, was Sie wissen müssen, um eine fundierte Entscheidung für die Bereitstellung zu treffen, diese korrekt umzusetzen und die Fallstricke zu vermeiden, über die selbst erfahrene Teams stolpern. Legen wir los. [TECHNICAL DEEP-DIVE — ca. 5 Minuten] Zuerst eine kurze Einordnung, was WPA2-Enterprise eigentlich ist. Es gibt im Markt immer noch überraschend viele Missverständnisse bezüglich des Unterschieds zwischen WPA2-Personal und WPA2-Enterprise — und dieser Unterschied ist für Ihre Compliance und Sicherheitslage von enormer Bedeutung. WPA2-Personal — die Version, die den meisten bekannt ist — verwendet einen einzigen Pre-Shared Key. Jeder im Netzwerk nutzt dasselbe Passwort. Für ein Heimnetzwerk ist das völlig in Ordnung. Für eine Geschäftsumgebung, in der Sie eine Authentifizierung pro Benutzer, Audit-Trails und die Möglichkeit zum sofortigen Entzug des Zugriffs benötigen, ist das absolut inakzeptabel. WPA2-Enterprise, definiert unter IEEE 802.1X, ersetzt diesen gemeinsam genutzten Schlüssel durch einen individuellen Authentifizierungsaustausch. Jeder Benutzer oder jedes Gerät präsentiert eigene Anmeldedaten — sei es ein Benutzername und ein Passwort, ein digitales Zertifikat oder ein Token — und diese Anmeldedaten werden von einem RADIUS-Server validiert, bevor der Netzwerkzugriff gewährt wird. Der Access Point selbst sieht die Anmeldedaten nie. Er fungiert rein als Authenticator, der den EAP-Austausch — Extensible Authentication Protocol — zwischen dem Client und dem RADIUS-Server weiterleitet. Dies ist eine grundlegend sicherere Architektur und die Mindestanforderung für die PCI-DSS-Compliance in jeder Umgebung, die Zahlungskartendaten verarbeitet. Zudem wird sie unter der GDPR für Organisationen, die personenbezogene Daten über drahtlose Netzwerke verarbeiten, dringend empfohlen. Sprechen wir nun über die drei Plattformen. Beginnen wir mit Cisco. Das Enterprise-WiFi-Portfolio von Cisco — primär die Produktlinien Catalyst und Meraki — ist der Standard für Großprojekte. Cisco DNA Center bietet ein zentralisiertes Richtlinienmanagement, und das Meraki-Dashboard bietet cloudverwaltete Einfachheit für verteilte Standorte. Um WPA2-Enterprise auf einem Cisco Catalyst Access Point zu konfigurieren, arbeiten Sie über den WLC — Wireless LAN Controller — oder das DNA Center. Die wichtigsten Schritte sind: Definieren Sie Ihren RADIUS-Server unter Security, dann AAA, dann RADIUS Authentication Servers; erstellen Sie ein neues WLAN-Profil; setzen Sie die Sicherheitsrichtlinie auf WPA2 mit 802.1X als Schlüsselverwaltungsmethode; und binden Sie den RADIUS-Server an dieses WLAN. Ein kritischer Punkt bei Cisco: Stellen Sie sicher, dass Sie sowohl das RADIUS-Accounting als auch die Authentifizierung konfigurieren. Das Accounting liefert den Audit-Trail pro Sitzung, den Compliance-Frameworks fordern. Bei Meraki ist der Prozess noch einfacher — navigieren Sie zu Wireless, dann SSIDs, wählen Sie Ihre Ziel-SSID aus, stellen Sie die Sicherheit auf WPA2-Enterprise mit meinem RADIUS-Server ein und geben Sie die IP-Adresse Ihres RADIUS-Servers, den Port — typischerweise 1812 für die Authentifizierung und 1813 für das Accounting — sowie das Shared Secret ein. Meraki unterstützt auch RADIUS-Tests direkt aus dem Dashboard, was bei der Inbetriebnahme unschätzbar wertvoll ist. Weiter zu Aruba. Aruba Networks, heute Teil von HPE, ist der dominierende Akteur im Gastgewerbe und im Hochschulbereich. Aruba Central bietet Cloud-Management, und ArubaOS ist die zugrunde liegende Plattform. Bei Aruba ist die WPA2-Enterprise-Konfiguration im SSID-Profil hinterlegt. Sie definieren ein AAA-Profil, das auf Ihren RADIUS-Server verweist, und verknüpfen dieses AAA-Profil dann mit Ihrem virtuellen AP-Profil. Der ClearPass Policy Manager von Aruba verdient hier besondere Erwähnung — es ist die Aruba-eigene RADIUS- und Richtlinien-Engine, die erhebliche Funktionen für das Geräte-Profiling, die rollenbasierte Zugriffskontrolle und das Onboarding von Gästen bietet. Wenn Sie eine gemischte Umgebung betreiben, in der sich Mitarbeiter, externe Dienstleister und Gäste mit derselben Infrastruktur verbinden, bietet Ihnen ClearPass die nötige Granularität, um diese Segmente sauber zu trennen. Für ein Hotel, das WPA2-Enterprise für Mitarbeiter- und Back-of-House-Netzwerke bereitstellt und gleichzeitig eine separate Gäste-WiFi-Lösung über eine Plattform wie Purple betreibt, ist die SSID-Segmentierung von Aruba in Kombination mit ClearPass für die Mitarbeiterauthentifizierung eine sehr saubere Architektur. Nun zu Ubiquiti. Die UniFi-Plattform von Ubiquiti hat im KMU- und Mid-Market-Bereich — und zunehmend auch im gehobenen Gastgewerbe und Einzelhandel — aufgrund ihres attraktiven Preispunkts und der wirklich leistungsfähigen Verwaltungsoberfläche stark an Bedeutung gewonnen. Der UniFi Network Controller ist das Werkzeug für die Konfiguration. Um WPA2-Enterprise auf UniFi zu konfigurieren, navigieren Sie zu Settings, dann WiFi, erstellen oder bearbeiten Sie Ihre SSID, stellen Sie die Sicherheit auf WPA2 Enterprise ein und konfigurieren Sie Ihr RADIUS-Profil — auch hier: IP-Adresse, Authentifizierungsport 1812, Accountingport 1813 und Shared Secret. Ein wichtiger Aspekt bei Ubiquiti: Es wird standardmäßig nicht mit einem integrierten RADIUS-Server ausgeliefert, wie es bei einigen anderen Enterprise-Plattformen der Fall ist. Sie benötigen einen externen RADIUS-Server — sei es Windows Server NPS, FreeRADIUS oder ein Cloud-RADIUS-Dienst. Das ist an sich keine Einschränkung, aber eine Abhängigkeit, die eingeplant werden muss. Für kleinere Bereitstellungen enthält die UniFi-Netzwerkanwendung zwar einen einfachen RADIUS-Server, für Produktionsumgebungen würde ich jedoch immer eine dedizierte RADIUS-Instanz empfehlen. Plattformübergreifend verdient die Auswahl der EAP-Methode Aufmerksamkeit. PEAP mit MSCHAPv2 ist die am weitesten verbreitete Methode, da sie mit Active Directory-Anmeldedaten funktioniert, ohne dass clientseitige Zertifikate erforderlich sind. EAP-TLS ist sicherer — es nutzt eine gegenseitige Zertifikatsauthentifizierung —, erfordert jedoch eine PKI-Infrastruktur und die Bereitstellung von Zertifikaten auf jedem Client-Gerät, was den Betriebsaufwand erhöht. Für die meisten Unternehmensbereitstellungen ist PEAP-MSCHAPv2 mit einem ordnungsgemäß konfigurierten RADIUS-Server und einer Zertifikatsvalidierung auf der Client-Seite das richtige Gleichgewicht zwischen Sicherheit und Verwaltbarkeit im Betrieb. [IMPLEMENTATION RECOMMENDATIONS AND PITFALLS — ca. 2 Minuten] Lassen Sie mich Ihnen nun die drei häufigsten Fehlerquellen nennen, die ich bei WPA2-Enterprise-Projekten sehe, und wie Sie diese vermeiden. Nummer eins: Die Verfügbarkeit des RADIUS-Servers. Ihr RADIUS-Server befindet sich nun im kritischen Pfad für jede drahtlose Authentifizierung. Wenn er ausfällt, kann sich niemand mehr verbinden. Das bedeutet, Sie benötigen RADIUS-Redundanz — mindestens einen primären und einen sekundären RADIUS-Server, die auf jedem Access Point konfiguriert sind. Die meisten Plattformen unterstützen dies nativ. Bei Cisco können Sie RADIUS-Servergruppen mit Failover konfigurieren. Bei Aruba unterstützt das AAA-Profil mehrere RADIUS-Server mit konfigurierbaren Wiederholungs- und Timeout-Werten. Bei Ubiquiti können Sie einen sekundären RADIUS-Server im RADIUS-Profil angeben. Überspringen Sie diesen Schritt nicht. Nummer zwei: Die Zertifikatsvalidierung. Ein erschreckend hoher Anteil der von mir überprüften Installationen ist so konfiguriert, dass Client-Geräte jedes beliebige RADIUS-Serverzertifikat akzeptieren. Dies hebelt das Sicherheitsmodell völlig aus — es öffnet Tür und Tor für Evil-Twin-Angriffe, bei denen ein gefälschter Access Point Ihr Netzwerk imitiert und Anmeldedaten abgreift. Konfigurieren Sie Ihr RADIUS-Serverzertifikat von einer vertrauenswürdigen CA und konfigurieren Sie Ihre Client-Supplicants so, dass sie dieses Zertifikat validieren. Unter Windows erfolgt dies über Gruppenrichtlinien. Unter iOS und Android wird dies über MDM-Profile gelöst. Dies ist für jede Umgebung, die mit sensiblen Daten arbeitet, nicht verhandelbar. Nummer drei: Die VLAN-Zuweisung. WPA2-Enterprise ermöglicht eine dynamische VLAN-Zuweisung — der RADIUS-Server kann ein VLAN-Attribut in der Access-Accept-Nachricht zurückgeben und so jeden authentifizierten Benutzer basierend auf seiner Identität oder Rolle in das entsprechende Netzwerksegment einordnen. Dies ist eine der leistungsstärksten Funktionen der 802.1X-Architektur und wird häufig nicht konfiguriert. Wenn Sie einen Veranstaltungsort betreiben, an dem Mitarbeiter, Management und IoT-Geräte dieselbe physische Infrastruktur nutzen, ist die dynamische VLAN-Zuweisung der Weg, wie Sie die Netzwerksegmentierung durchsetzen, ohne mehrere SSIDs verwalten zu müssen. Was die Integration von Purple betrifft: Wenn Sie WPA2-Enterprise für Ihre Mitarbeiter- und Betriebsnetzwerke bereitstellen und die Guest-WiFi-Plattform von Purple für die Besucherdatenverbindung nutzen, koexistieren diese beiden Systeme absolut reibungslos. Purple übernimmt die Gäste-Authentifizierung, die Datenerfassung und die Analyse-Ebene — einschließlich der WiFi-Analysen und Besucherstrom-Messungen, die Betreiber für betriebliche Entscheidungen nutzen —, während Ihre WPA2-Enterprise-Infrastruktur das Unternehmensnetzwerk sichert. Der Schlüssel liegt in einer sauberen SSID- und VLAN-Trennung auf Access-Point-Ebene, die von allen drei Plattformen unterstützt wird. [RAPID-FIRE Q&A — ca. 1 Minute] Lassen Sie uns kurz einige Fragen durchgehen, die regelmäßig gestellt werden. Kann ich WPA2-Enterprise und ein Gästenetzwerk auf denselben Access Points betreiben? Ja, absolut. Alle drei Plattformen unterstützen mehrere SSIDs pro Funkmodul, jeweils mit unabhängigen Sicherheitsrichtlinien. Ihre Unternehmens-SSID nutzt WPA2-Enterprise; Ihre Gäste-SSID kann über das Captive Portal von Purple mit entsprechender Isolierung laufen. Muss ich meine vorhandenen Access Points ersetzen, um WPA2-Enterprise bereitzustellen? Fast sicher nicht. WPA2-Enterprise wird auf Enterprise-Grade Access Points seit weit über einem Jahrzehnt unterstützt. Wenn Ihre Hardware weniger als acht Jahre alt ist und eine aktuelle Firmware nutzt, wird sie 802.1X unterstützen. Was ist der Unterschied zwischen WPA2-Enterprise und WPA3-Enterprise? WPA3-Enterprise fügt einen 192-Bit-Sicherheitsmodus unter Verwendung von Suite-B-Kryptografie hinzu, was für Regierungs- und Verteidigungsumgebungen relevant ist. Für die meisten kommerziellen Bereitstellungen bleibt WPA2-Enterprise mit starken EAP-Methoden der Standard. Der Übergang zu WPA3 ist für neue Bereitstellungen planenswert, für die meisten Organisationen jedoch keine dringende Migration. Ist Cloud-RADIUS eine praktikable Option? Ja, und das immer mehr. Dienste wie Cisco ISE in der Cloud, Aruba ClearPass as a Service oder Drittanbieter-Optionen wie JumpCloud und Foxpass bieten RADIUS als Managed Service an, was den Infrastrukturaufwand eliminiert. Für verteilte Standorte — denken Sie an eine Einzelhandelskette mit 200 Filialen — kann Cloud-RADIUS die betriebliche Komplexität erheblich reduzieren. [SUMMARY AND NEXT STEPS — ca. 1 Minute] Zusammenfassend lässt sich sagen: WPA2-Enterprise ist die unverzichtbare Basis für jedes drahtlose Unternehmensnetzwerk. Der Konfigurationsprozess auf Cisco, Aruba und Ubiquiti folgt demselben grundlegenden Muster — definieren Sie Ihren RADIUS-Server, erstellen Sie Ihre SSID mit 802.1X-Schlüsselverwaltung, wählen Sie Ihre EAP-Methode und testen Sie alles, bevor Sie live gehen. Die Unterschiede liegen in den Verwaltungsoberflächen und den Ökosystem-Tools der jeweiligen Plattform. Die drei Dinge, die Sie richtig machen müssen: RADIUS-Redundanz, Zertifikatsvalidierung auf den Clients und dynamische VLAN-Zuweisung. Wenn Sie diese drei Punkte umsetzen, haben Sie eine solide, konforme und überprüfbare Sicherheitsstruktur für Ihr drahtloses Netzwerk. Für Ihre nächsten Schritte: Wenn Sie Plattformen evaluieren, nutzen Sie das Anbieter-Vergleichs-Framework im begleitenden Leitfaden. Wenn Sie bereit für die Bereitstellung sind, finden Sie die Schritt-für-Schritt-Konfigurationsanleitungen für jede Plattform im Implementierungsabschnitt. Und wenn Sie darüber nachdenken, wie sich das Gäste-WiFi in Ihr Unternehmensnetzwerk einfügt, beschreibt die Dokumentation der Purple-Plattform die Integrationsarchitektur im Detail. Vielen Dank fürs Zuhören. Wir sehen uns beim nächsten Briefing.

Executive Summary

Die Implementierung von WPA2-Enterprise ist kein optionales Sicherheits-Upgrade mehr, sondern die grundlegende Basis für jedes drahtlose Unternehmensnetzwerk. Für IT-Manager und Netzwerkarchitekten in den Bereichen Hospitality, Retail und im öffentlichen Sektor wird der Wechsel von Pre-Shared Keys zur 802.1X-Authentifizierung durch strenge Compliance-Vorgaben wie PCI DSS und GDPR vorangetrieben. Dieser technische Leitfaden bietet praktische, plattformspezifische Konfigurationsschritte für die drei führenden Access-Point-Anbieter: Cisco, Aruba und Ubiquiti.

Durch den Umstieg auf WPA2-Enterprise eliminieren Unternehmen die Risiken gemeinsam genutzter Anmeldedaten, erhalten detaillierte Audit-Trails pro Sitzung und ermöglichen eine dynamische Netzwerksegmentierung. Bei korrekter Implementierung sichert diese Architektur nicht nur den Unternehmensperimeter, sondern lässt sich auch nahtlos in Besuchernetzwerke integrieren, die über eine umfassende Guest WiFi -Plattform verwaltet werden. Die folgenden Abschnitte beschreiben die technische Architektur, die Bereitstellungsschritte und die Strategien zur Risikominderung, die für ein erfolgreiches Rollout erforderlich sind.

header_image.png

Technical Deep-Dive

WPA2-Enterprise basiert auf dem Standard IEEE 802.1X, um eine portbasierte Netzwerkzugriffskontrolle bereitzustellen. Im Gegensatz zu WPA2-Personal, das einen statischen Pre-Shared Key (PSK) verwendet, erfordert WPA2-Enterprise, dass sich jeder Supplicant (Client-Gerät) individuell an einem externen Authentifizierungsserver (in der Regel ein RADIUS-Server) authentifiziert, bevor der Netzwerkzugriff gewährt wird.

Die Architektur besteht aus drei Hauptkomponenten:

  1. Der Supplicant: Das Client-Gerät, das versucht, eine Verbindung zum Netzwerk herzustellen.
  2. Der Authenticator: Der Enterprise-Access-Point oder Wireless-LAN-Controller (z. B. Cisco WLC, Aruba Mobility Controller), der den Authentifizierungsprozess vermittelt.
  3. Der Authentication Server: Der Backend-RADIUS-Server (z. B. Cisco ISE, Aruba ClearPass, Windows NPS), der die Anmeldedaten mit einem Verzeichnisdienst wie Active Directory oder LDAP abgleicht.

Der EAP-Austauschprozess

Der Authentifizierungsprozess nutzt das Extensible Authentication Protocol (EAP) gekapselt über LAN (EAPOL). Der Authenticator fungiert in der Anfangsphase lediglich als Pass-Through-Proxy. Sobald der RADIUS-Server die Anmeldedaten validiert hat, sendet er eine Access-Accept-Nachricht an den Authenticator, der dann die erforderlichen Verschlüsselungsschlüssel zur Absicherung der Wireless-Sitzung ableitet.

Die Wahl der EAP-Methode ist entscheidend. PEAP-MSCHAPv2 ist die am weitesten verbreitete Methode, da sie die herkömmliche Active Directory-Kennwortauthentifizierung unterstützt und gleichzeitig den Austausch innerhalb eines durch das Serverzertifikat eingerichteten TLS-Tunnels sichert. Für maximale Sicherheit wird jedoch EAP-TLS empfohlen. EAP-TLS erfordert eine gegenseitige Zertifikatsauthentifizierung – sowohl der Server als auch der Client müssen gültige Zertifikate vorlegen –, was den Diebstahl von Anmeldedaten verhindert, jedoch eine robuste Public-Key-Infrastruktur (PKI) oder eine Mobile-Device-Management-Lösung (MDM) für die Zertifikatsverteilung erfordert.

architecture_overview.png

Implementation Guide

Die grundlegenden Prinzipien zur Konfiguration von WPA2-Enterprise sind herstellerübergreifend gleich, die Ausführung variiert jedoch je nach Verwaltungsoberfläche und Ökosystem.

vendor_comparison_chart.png

Cisco (Catalyst und Meraki)

Cisco-Umgebungen skalieren typischerweise von Campus-Bereitstellungen bis hin zu verteilten Unternehmensnetzwerken.

Cisco Catalyst (WLC/DNA Center):

  1. RADIUS-Server definieren: Navigieren Sie zur Registerkarte „Security“, wählen Sie „AAA“ und konfigurieren Sie die primären und sekundären RADIUS-Authentifizierungs- und Accounting-Server. Stellen Sie sicher, dass das Shared Secret mit der Konfiguration des RADIUS-Servers übereinstimmt.
  2. WLAN-Profil erstellen: Erstellen Sie unter der Registerkarte „WLANs“ ein neues Profil.
  3. Sicherheitsrichtlinien konfigurieren: Stellen Sie die Layer-2-Sicherheit auf WPA+WPA2 ein und aktivieren Sie 802.1X als Methode für das Authentication Key Management (AKM).
  4. AAA-Server binden: Ordnen Sie die zuvor definierten RADIUS-Server dem WLAN-Profil zu. Aktivieren Sie „AAA Override“, wenn eine dynamische VLAN-Zuweisung erforderlich ist.

Cisco Meraki:

  1. SSID-Konfiguration: Navigieren Sie im Meraki Dashboard zu Wireless > SSIDs und wählen Sie das Zielnetzwerk aus.
  2. Zugriffskontrolle: Stellen Sie die Zuordnungsanforderung auf „WPA2-Enterprise mit meinem RADIUS-Server“ ein.
  3. RADIUS-Einstellungen: Geben Sie die IP-Adressen, den Authentifizierungsport (normalerweise 1812), den Accounting-Port (1813) und die Shared Secrets für Ihre RADIUS-Infrastruktur ein. Das Dashboard von Meraki enthält ein integriertes Testtool zur Überprüfung der RADIUS-Konnektivität vor der Bereitstellung.

Aruba Networks

Aruba ist die dominierende Plattform in den Bereichen Hospitality und Hochschulbildung und nutzt intensiv den ClearPass Policy Manager für erweiterte Zugriffskontrolle.

  1. AAA-Profil definieren: Erstellen Sie in Aruba Central oder der Mobility Controller-Benutzeroberfläche ein neues AAA-Profil. Dieses Profil bestimmt, wie die Authentifizierung gehandhabt wird.
  2. RADIUS-Servergruppe konfigurieren: Fügen Sie Ihre RADIUS-Server einer Servergruppe hinzu und legen Sie Failover-Regeln sowie Timeout-Werte fest. Verknüpfen Sie diese Gruppe mit dem AAA-Profil.
  3. Virtuelle AP-Konfiguration: Erstellen oder ändern Sie ein virtuelles AP-Profil (SSID). Stellen Sie den Sicherheitstyp auf WPA2-Enterprise ein.
  4. Profile verknüpfen: Binden Sie das AAA-Profil an das virtuelle AP-Profil. Stellen Sie bei der Verwendung von ClearPass sicher, dass der RADIUS-CoA-Port (Change of Authorization) (3799) durch alle dazwischen liegenden Firewalls zugelassen ist, um eine dynamische Richtliniendurchsetzung zu ermöglichen.

Ubiquiti (UniFi)

Ubiquiti bietet eine kostengünstige Lösung für Retail und KMU-Umgebungen über den UniFi Network Controller.

  1. RADIUS-Profil Erstellung: Navigieren Sie zu Settings > Profiles > RADIUS. Erstellen Sie ein neues Profil mit der IP-Adresse, den Ports (1812/1813) und dem Shared Secret Ihres externen RADIUS-Servers.
  2. SSID-Konfiguration: Gehen Sie zu Settings > WiFi und erstellen Sie ein neues drahtloses Netzwerk.
  3. Sicherheitseinstellungen: Wählen Sie „WPA2 Enterprise“ als Sicherheitsprotokoll und weisen Sie das neu erstellte RADIUS-Profil zu.
  4. Hinweis zur RADIUS-Infrastruktur: Im Gegensatz zu Enterprise-Controllern, die möglicherweise ein lokal ausfallsicheres RADIUS bieten, verlässt sich UniFi stark auf externe Server (z. B. FreeRADIUS, Windows NPS). Stellen Sie eine zuverlässige Verbindung zwischen den UniFi APs und dem RADIUS-Backend sicher.

Best Practices

Um eine belastbare und sichere Bereitstellung zu gewährleisten, müssen Netzwerkarchitekten mehrere kritische Best Practices einhalten:

  1. Zertifikatsvalidierung erzwingen: Client-Geräte müssen explizit so konfiguriert werden, dass sie das Zertifikat des RADIUS-Servers anhand einer vertrauenswürdigen Zertifizierungsstelle (CA) validieren. Andernfalls ist das Netzwerk „Evil Twin“-Angriffen ausgesetzt, bei denen gefälschte Access Points Benutzeranmeldedaten abgreifen.
  2. RADIUS-Redundanz implementieren: Der RADIUS-Server befindet sich im kritischen Pfad für den Netzwerkzugriff. Konfigurieren Sie immer primäre und sekundäre RADIUS-Server. In verteilten Umgebungen sollten Sie Cloud-gehostete RADIUS-Lösungen für eine hohe Verfügbarkeit in Betracht ziehen.
  3. Dynamische VLAN-Zuweisung nutzen: Verwenden Sie RADIUS-Attribute (z. B. Tunnel-Pvt-Group-ID), um Benutzer basierend auf ihrer Active Directory-Gruppenmitgliedschaft dynamisch bestimmten VLANs zuzuweisen. Dies erzwingt eine Netzwerksegmentierung, ohne mehrere SSIDs auszustrahlen.
  4. RADIUS-Accounting aktivieren: Konfigurieren Sie nicht nur die Authentifizierung. RADIUS-Accounting (Port 1813) ist zwingend erforderlich, um die für Compliance-Frameworks erforderlichen Audit-Trails zu erstellen.
  5. Den Netzwerkrand schützen: Erfahren Sie mehr über die Absicherung Ihrer Infrastruktur in unserem Leitfaden zum Thema Protect Your Network with Strong DNS and Security .

Fehlerbehebung & Risikominimierung

Selbst bei sorgfältiger Planung kann es bei Bereitstellungen zu Problemen kommen. Zu den häufigsten Fehlerquellen gehören:

  • Abweichende Shared Secrets: Ein einfacher Tippfehler im RADIUS Shared Secret führt zu unbemerkt fehlschlagenden Authentifizierungen. Überprüfen Sie die Secrets sowohl auf dem Authentifikator als auch auf dem RADIUS-Server.
  • Fehler bei der Zeitsynchronisation: Die Zertifikatsvalidierung erfordert eine genaue Uhrzeit. Stellen Sie sicher, dass alle APs, Controller und RADIUS-Server über eine zuverlässige NTP-Quelle synchronisiert sind.
  • Firewall blockiert RADIUS-Verkehr: Stellen Sie sicher, dass die UDP-Ports 1812 (Authentifizierung) und 1813 (Accounting) zwischen den APs/Controllern und dem RADIUS-Server geöffnet sind. Wenn Sie CoA verwenden, stellen Sie sicher, dass UDP 3799 geöffnet ist.
  • Fehlkonfiguration des Client-Supplicants: Das häufigste Problem ist, dass das Client-Gerät nicht so konfiguriert ist, dass es der CA vertraut, die das Zertifikat des RADIUS-Servers ausgestellt hat. Verwenden Sie MDM oder Gruppenrichtlinien, um die korrekten WLAN-Profile auf Unternehmensgeräte zu übertragen.

Für ein breiteres Verständnis von Authentifizierungsprotokollen lesen Sie How to Configure 802.1X WiFi Authentication: A Step-by-Step Guide .

ROI & geschäftliche Auswirkungen

Der Übergang zu WPA2-Enterprise bietet einen erheblichen geschäftlichen Mehrwert, der über reine Sicherheitsverbesserungen hinausgeht.

  • Risikominimierung: Durch den Verzicht auf gemeinsam genutzte Passwörter werden die Angriffsfläche und das Risiko einer Datenpanne, die schwere finanzielle Schäden und Reputationsverluste nach sich ziehen kann, drastisch reduziert.
  • Operative Effizienz: Die Integration der WiFi-Authentifizierung in bestehende Identitätsanbieter (wie Active Directory) automatisiert das Onboarding und Offboarding von Mitarbeitern. Wenn ein Mitarbeiter das Unternehmen verlässt, entzieht das Deaktivieren seines AD-Kontos sofort seinen WiFi-Zugang.
  • Ermöglichung von Compliance: Detaillierte Audit-Trails und eine benutzerbezogene Authentifizierung sind Voraussetzungen für die Einhaltung von PCI DSS und ISO 27001.
  • Vereinheitlichte Infrastruktur: Durch die dynamische VLAN-Zuweisung können Standorte Unternehmens-, Back-of-House- und IoT-Verkehr sicher über dieselbe physische Hardware abwickeln, die auch für den Gastzugang verwendet wird. Das Gastnetzwerk kann dann mithilfe einer dedizierten WiFi Analytics -Lösung monetarisiert und analysiert werden, was die Rendite der Hardware-Investition maximiert. Stellen Sie sicher, dass Sie über die erforderliche Bandbreite verfügen, indem Sie sich informieren unter What Is a Leased Line? Dedicated Business Internet .

Schlüsseldefinitionen

WPA2-Enterprise

Ein Sicherheitsprotokoll für drahtlose Netzwerke, das IEEE 802.1X verwendet, um eine Authentifizierung pro Benutzer über einen externen Server anstelle eines einzelnen gemeinsam genutzten Passworts bereitzustellen.

Der obligatorische Standard zur Absicherung von Unternehmens- und Betriebs-WiFi-Netzwerken in Unternehmensumgebungen.

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.

Das zugrunde liegende Framework, das WPA2-Enterprise funktionsfähig macht.

RADIUS

Remote Authentication Dial-In User Service; ein Netzwerkprotokoll, das eine zentralisierte Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) bietet.

Die Serverkomponente, die Benutzeranmeldedaten mit einer Datenbank wie Active Directory abgleicht.

Supplicant

Der Software-Client auf einem Gerät (Laptop, Smartphone), der mit dem Authentifikator kommuniziert, um Netzwerkzugriff anzufordern.

Der Endpunkt, der mit den korrekten EAP-Einstellungen und dem entsprechenden Zertifikatsvertrauen konfiguriert werden muss.

Authenticator

Das Netzwerkgerät (Access Point oder Switch), das den Authentifizierungsprozess erleichtert, indem es Nachrichten zwischen dem Supplicant und dem Authentifizierungsserver weiterleitet.

Die vom IT-Team verwaltete Cisco-, Aruba- oder Ubiquiti-Hardware.

EAP (Extensible Authentication Protocol)

Ein Authentifizierungs-Framework, das häufig in drahtlosen Netzwerken und Point-to-Point-Verbindungen verwendet wird und mehrere Authentifizierungsmethoden unterstützt.

Das Protokoll, das zur Kapselung des Anmeldedatenaustauschs verwendet wird.

PEAP-MSCHAPv2

Eine EAP-Methode, die den MSCHAPv2-Passwortaustausch in einem sicheren TLS-Tunnel kapselt, der durch das Zertifikat des Servers eingerichtet wird.

Die am häufigsten verwendete Bereitstellungsmethode, da sie Sicherheit mit dem Komfort der Verwendung von Standard-AD-Passwörtern verbindet.

Dynamic VLAN Assignment

Der Prozess, bei dem ein RADIUS-Server den Access Point anweist, einen authentifizierten Benutzer basierend auf seiner Identität oder Gruppenmitgliedschaft in ein bestimmtes VLAN einzustufen.

Entscheidend für die Netzwerksegmentierung, da verschiedene Benutzertypen dieselben physischen APs sicher gemeinsam nutzen können.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern muss sicheres WiFi für seine Back-of-House-Mitarbeiter (Reinigung, Management) über vorhandene Aruba-Access-Points bereitstellen, wobei der Datenverkehr der Mitarbeiter strikt vom Gästenetzwerk getrennt bleiben muss.

Das IT-Team konfiguriert eine einzelne SSID „Hotel_Staff“ mit WPA2-Enterprise. Sie integrieren Aruba ClearPass in das Active Directory des Hotels. In ClearPass konfigurieren sie Richtlinien zur Durchsetzung: Wenn sich ein Benutzer in der AD-Gruppe „Management“ befindet, gibt ClearPass ein RADIUS-Attribut zurück, das ihn dem VLAN 10 (Management-Netzwerk) zuweist. Befindet sich der Benutzer in der Gruppe „Housekeeping“, wird er dem VLAN 20 (Betriebsnetzwerk) zugewiesen. Die APs sind so konfiguriert, dass sie diese dynamischen VLAN-Zuweisungen durchsetzen.

Kommentar des Prüfers: Dieser Ansatz demonstriert die Leistungsfähigkeit der dynamischen VLAN-Zuweisung. Er vermeidet die HF-Interferenzen und den Verwaltungsaufwand, die durch das Ausstrahlen mehrerer SSIDs („Hotel_Management“, „Hotel_Housekeeping“) entstehen würden, während gleichzeitig eine strikte Netzwerksegmentierung gewährleistet und bestehende Verzeichnisidentitäten genutzt werden.

Eine nationale Einzelhandelskette mit 50 Standorten nutzt Cisco Meraki. Sie müssen ihre Point-of-Sale-Terminals (POS) über WiFi absichern, um die PCI-DSS-Compliance zu erfüllen, und ihr altes WPA2-Personal-Setup ersetzen.

Der Netzwerkarchitekt stellt einen in der Cloud gehosteten RADIUS-Dienst bereit, um die Bereitstellung lokaler Server in den einzelnen Filialen zu vermeiden. Im Meraki-Dashboard konfigurieren sie die SSID „Retail_POS“ für WPA2-Enterprise und verweisen auf die Cloud-RADIUS-IPs. Sie generieren über ihre MDM-Plattform eindeutige Client-Zertifikate für jedes POS-Terminal und konfigurieren den RADIUS-Server so, dass er EAP-TLS erfordert. Die Meraki-APs sind so konfiguriert, dass sie sowohl RADIUS-Authentifizierungs- als auch Accounting-Daten an den Cloud-Dienst senden.

Kommentar des Prüfers: Dieses Szenario verdeutlicht den Übergang zu EAP-TLS für hochsichere Umgebungen. Durch die Verwendung von Zertifikaten anstelle von Passwörtern authentifizieren sich die POS-Terminals geräuschlos und sicher. Die Einbindung von RADIUS Accounting stellt sicher, dass die Kette die PCI-DSS-Anforderungen für die Zugriffsüberwachung erfüllt.

Übungsfragen

Q1. Ihre Organisation stellt WPA2-Enterprise unter Verwendung von Ubiquiti UniFi Access Points bereit. Während des Tests können sich Clients erfolgreich verbinden, aber das Compliance-Team stellt fest, dass im zentralen Protokollierungssystem keine Protokolle über die Dauer der Benutzersitzungen oder die Datennutzung vorhanden sind. Was ist das wahrscheinlichste Konfigurationsversäumnis?

Hinweis: Die Authentifizierung gewährt Zugriff, aber ein anderer Prozess verfolgt die Nutzung.

Musterlösung anzeigen

Der RADIUS-Accounting-Port (1813) wurde nicht konfiguriert oder wird von einer Firewall blockiert. Während die Authentifizierung (Port 1812) funktioniert, muss das Accounting explizit aktiviert werden, um Sitzungsüberwachungspfade zu generieren.

Q2. Ein Benutzer meldet, dass er keine Verbindung zum WPA2-Enterprise-Netzwerk des Unternehmens herstellen kann. Sie überprüfen die Cisco WLC-Protokolle und sehen, dass der AP den EAP-Request weiterleitet, aber die RADIUS-Serverprotokolle zeigen ein „Access-Reject“ aufgrund einer „Unknown CA“. Was muss behoben werden?

Hinweis: Denken Sie an die Vertrauensbeziehung, die während des TLS-Tunnelaufbaus hergestellt wird.

Musterlösung anzeigen

Der Supplicant des Client-Geräts ist nicht so konfiguriert, dass er der Zertifizierungsstelle (CA) vertraut, die das Zertifikat des RADIUS-Servers ausgestellt hat. Der Client bricht die Verbindung ab, um einen potenziellen Evil-Twin-Angriff zu verhindern. Das CA-Zertifikat muss auf das Client-Gerät übertragen werden.

Q3. Sie entwerfen ein Netzwerk für ein Stadion. Sie müssen Unternehmensmitarbeiter, Ticket-Terminals und Gäste-WiFi unterstützen. Wie sollten Sie die SSIDs strukturieren, um HF-Interferenzen zu minimieren und gleichzeitig die Sicherheit zu gewährleisten?

Hinweis: Vermeiden Sie es, für jeden einzelnen Anwendungsfall eine eigene SSID auszustrahlen.

Musterlösung anzeigen

Stellen Sie maximal zwei SSIDs bereit. Eine SSID für Gäste, die ein Captive Portal (wie Purple) nutzt. Eine zweite SSID für den gesamten Geschäftsbetrieb unter Verwendung von WPA2-Enterprise. Nutzen Sie die dynamische VLAN-Zuweisung über den RADIUS-Server, um die Unternehmensmitarbeiter auf ein VLAN und die Ticket-Terminals auf ein anderes VLAN zu segmentieren, basierend auf ihren Authentifizierungsdaten.

Weiterlesen in dieser Reihe

Per-Device PSK nach Anbieter: iPSK, DPSK, MPSK und PPSK im Vergleich (und WPA3-Unterstützung)

Ein umfassender Vergleich von Per-Device-PSK-Implementierungen bei Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet und Ubiquiti UniFi. Erfahren Sie, wie sich WPA3-SAE auf Per-Device-Key-Strategien auswirkt und wann Übergangsmodi im Vergleich zum Wechsel zu 802.1X eingesetzt werden sollten.

Leitfaden lesen →

Captive Portal Authentifizierungsmethoden im Vergleich

Dieser maßgebliche technische Leitfaden bewertet die architektonischen, betrieblichen und Compliance-bezogenen Vor- und Nachteile von fünf zentralen Captive Portal Authentifizierungsmethoden. Er bietet Netzwerkarchitekten, IT-Leitern und Marketingmanagern die quantitativen Daten und Entscheidungsrahmen, die erforderlich sind, um die Reibung beim Onboarding von Gästen mit den Anforderungen an die Datenerfassung in Unternehmensstandorten abzuwägen.

Leitfaden lesen →

Was ist MAC-Adressen-Authentifizierung? Wann man sie einsetzt und wann man sie vermeidet

Dieser maßgebliche technische Leitfaden behandelt die MAC-Adressen-Authentifizierung in Enterprise-WiFi-Umgebungen – wie die RADIUS-basierte MAC-Authentifizierung auf Layer 2 funktioniert, ihre inhärenten Sicherheitsrisiken (einschließlich MAC-Spoofing und den Auswirkungen der MAC-Randomisierung auf Betriebssystemebene) und die genauen betrieblichen Kontexte, in denen sie ein legitimes Tool zur Verwaltung von IoT- und Headless-Geräten bleibt. Er bietet praxisnahe Bereitstellungsrichtlinien für IT-Manager und Netzwerkarchitekten in den Bereichen Hotellerie, Einzelhandel, Gesundheitswesen und im öffentlichen Sektor, ergänzt durch praxisnahe Fallbeispiele, Entscheidungsmatrizen und Integrationskontexte für die Guest-WiFi- und Analytics-Plattform von Purple.

Leitfaden lesen →