Zum Hauptinhalt springen

So implementieren Sie die 802.1X-Authentifizierung mit Cloud RADIUS

Dieser technische Leitfaden bietet einen umfassenden Rahmen für die Implementierung der 802.1X-Authentifizierung mit Cloud RADIUS in verteilten Unternehmensstandorten. Er beschreibt detailliert die Architektur, die Auswahl der EAP-Methode, die Bereitstellungsreihenfolge und die Strategien zur Risikominderung, die zur Sicherung des Netzwerkzugriffs erforderlich sind, während gleichzeitig der betriebliche Aufwand für eine On-Premises-Infrastruktur entfällt.

📖 5 Min. Lesezeit📝 1,189 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
So implementieren Sie die 802.1X-Authentifizierung mit Cloud RADIUS Ein Purple WiFi Intelligence Briefing --- EINFÜHRUNG UND KONTEXT (ca. 1 Minute) --- Willkommen zum Purple WiFi Intelligence Briefing. Ich bin Ihr Gastgeber, und heute gehen wir ins Detail bei der 802.1X-Authentifizierung mit Cloud RADIUS – was es ist, warum es gerade jetzt wichtig ist und wie man es tatsächlich über ein standortübergreifendes Netzwerk hinweg bereitstellt. Wenn Sie die WiFi-Infrastruktur für eine Hotelgruppe, eine Einzelhandelskette, ein Stadion oder eine Organisation des öffentlichen Sektors verwalten, ist dies eines dieser Themen, die immer wieder auftauchen – und das aus gutem Grund. Die Bedrohungslandschaft hat sich verändert. Gemeinsam genutzte PSK-Netzwerke werden zunehmend als Compliance-Risiko und nicht nur als Sicherheitsunannehmlichkeit angesehen. Regulierungsbehörden, Auditoren und Cyber-Versicherer stellen immer anspruchsvollere Fragen zur Netzwerkzugriffskontrolle. Und die gute Nachricht ist, dass Cloud-basiertes RADIUS die 802.1X-Authentifizierung auf Unternehmensebene wirklich skalierbar macht, ohne den Aufwand für On-Premises-Infrastruktur, der sie früher für verteilte Standorte unpraktisch gemacht hat. Lassen Sie uns also direkt einsteigen. --- TECHNISCHER DEEP-DIVE (ca. 5 Minuten) --- Zunächst sollten wir sicherstellen, dass wir alle von derselben Definition ausgehen. IEEE 802.1X ist ein portbasierter Standard zur Netzwerkzugriffskontrolle. Er definiert ein Authentifizierungs-Framework, das auf Layer 2 des OSI-Modells angesiedelt ist – es arbeitet also, bevor einem Gerät überhaupt eine IP-Konnektivität gewährt wird. Das ist der entscheidende Unterschied zur Authentifizierung auf Anwendungsebene. Mit 802.1X kann ein Gerät erst dann auf das Netzwerk zugreifen, wenn es erfolgreich authentifiziert wurde. Das Protokoll besteht aus drei Komponenten. Dem Supplicant – das ist das Endgerät, sei es ein Laptop, ein Smartphone oder ein Point-of-Sale-Terminal. Dem Authenticator – in der Regel Ihr WiFi-Access-Point oder Ihr Managed Switch. Und dem Authentifizierungsserver – was in modernen Bereitstellungen Ihr Cloud-RADIUS-Dienst ist. Der Ablauf sieht wie folgt aus: Ein Gerät versucht, sich mit einem Access-Point zu verbinden. Der Access-Point gewährt nicht sofort vollen Netzwerkzugriff. Stattdessen öffnet er einen kontrollierten Port und initiiert einen EAP-Austausch – das steht für Extensible Authentication Protocol – mit dem Gerät. Das Gerät präsentiert seine Anmeldedaten, bei denen es sich um einen Benutzernamen und ein Passwort, ein digitales Zertifikat oder eine SIM-basierte Identität handeln kann. Der Access-Point leitet diesen Austausch über das RADIUS-Protokoll via UDP an den RADIUS-Server weiter, typischerweise auf Port 1812 für die Authentifizierung und Port 1813 für das Accounting. Der RADIUS-Server validiert die Anmeldedaten mit einem Identitätsspeicher – Active Directory, Azure AD oder einem LDAP-Verzeichnis – und gibt entweder eine Access-Accept- oder eine Access-Reject-Meldung zurück. Bei Annahme öffnet der Access-Point den Port und das Gerät erhält Netzwerkzugriff. Bei Ablehnung bleibt es blockiert. Im Prinzip einfach, aber die Details der Implementierung sind enorm wichtig. Die Auswahl der EAP-Methode ist nun der Punkt, an dem viele Bereitstellungen scheitern. Es gibt mehrere gängige EAP-Methoden, die sich in ihren Sicherheitsprofilen und betrieblichen Anforderungen stark unterscheiden.EAP-TLS ist der Goldstandard. Es erfordert eine gegenseitige Zertifikatsauthentifizierung — sowohl der Server als auch der Client weisen ein Zertifikat vor. Dies eliminiert das Risiko von Diebstahl von Zugangsdaten vollständig, da es keine Passwörter zu stehlen gibt. Es erfordert jedoch eine PKI-Infrastruktur und einen Mechanismus, um Client-Zertifikate auf die Geräte zu übertragen, was in der Regel eine MDM-Lösung voraussetzt. Für BYOD-Umgebungen in Unternehmen und Hochsicherheits-Deployments ist dies die richtige Wahl. PEAP mit MSCHAPv2 ist die am weitesten verbreitete Methode in Enterprise-Umgebungen. Es erfordert nur ein serverseitiges Zertifikat und tunnelt den Austausch der Zugangsdaten innerhalb von TLS. Es ist nativ mit Active Directory kompatibel, was den Betrieb unkompliziert macht. Das Risiko besteht darin, dass es anfällig für das Abgreifen von Zugangsdaten ist, wenn sich Benutzer mit einem Rogue Access Point mit einem selbstsignierten Zertifikat verbinden — daher ist die Zertifikatsvalidierung auf der Client-Seite nicht verhandelbar. EAP-TTLS ähnelt PEAP, ist jedoch flexibler bei der inneren Authentifizierungsmethode. Es ist besonders nützlich in gemischten Geräteumgebungen, in denen Sie eine Kombination aus Windows-, macOS-, iOS- und Android-Geräten mit unterschiedlichen Supplicant-Funktionen haben. Für die Unterstützung von Legacy-Geräten — wie ältere Point-of-Sale-Hardware oder IoT-Sensoren — kann EAP-FAST eine pragmatische Wahl sein, da es keine Zertifikate erfordert und stattdessen ein Protected Access Credential verwendet. Nun zum Thema Cloud-RADIUS. Traditionell war RADIUS ein On-Premises-Dienst — FreeRADIUS auf einem Linux-Server oder Microsoft NPS auf Windows Server. Dieses Modell funktioniert, bringt jedoch erhebliche Betriebskosten mit sich: Hardware-Wartung, Hochverfügbarkeitskonfiguration, Patching und die Notwendigkeit einer lokalen Infrastruktur an jedem Standort, der eine Authentifizierung mit geringer Latenz benötigt. Cloud-RADIUS verändert diese Kalkulation grundlegend. Ein Cloud-RADIUS-Dienst wird vom Anbieter gehostet und verwaltet. Ihre Access Points senden RADIUS-Anfragen über das Internet an den Cloud-Dienst, der die Authentifizierung gegenüber Ihrem Identity Provider übernimmt. Die Latenzbedenken sind real, aber beherrschbar — moderne Cloud-RADIUS-Dienste sind global verteilt, und die Authentifizierungs-Roundtrips dauern in der Regel weniger als 100 Millisekunden, was für Endbenutzer nicht wahrnehmbar ist. Die Integration mit Identity Providern ist die entscheidende Abhängigkeit. Die meisten Cloud-RADIUS-Plattformen unterstützen LDAP, LDAPS, SAML 2.0 sowie die direkte Integration von Azure AD oder Okta. Für Organisationen, die bereits Microsoft 365 nutzen, ist die Azure AD-Integration der natürliche Weg — Sie erhalten Single Sign-On, Richtlinien für bedingten Zugriff und MFA-Erzwingung, die alle in Ihre Netzwerk-Zugriffskontrollschicht einfließen. Für Standorte, die Guest WiFi parallel zu Mitarbeiternetzwerken bereitstellen, trennt die Architektur diese in der Regel in verschiedene SSIDs mit unterschiedlichen Authentifizierungsrichtlinien. Mitarbeiternetzwerke nutzen 802.1X mit Unternehmens-Anmeldedaten. Gäste-Netzwerke nutzen ein Captive Portal oder einen Social-Login-Flow. Die Plattform von Purple unterstützt beide Modelle, und die WiFi-Analyse-Ebene liegt über beiden, was Ihnen Einblick in das Geräteverhalten, die Verweildauer und die Netzwerkauslastung gibt, ohne die Sicherheitssegmentierung zu gefährden. --- IMPLEMENTIERUNGSEMPFEHLUNGEN UND STOLPERSTEINE (ca. 2 Minuten) --- Lassen Sie mich Ihnen die praktische Bereitstellungsreihenfolge erläutern und auf die Fehlerquellen hinweisen, die ich am häufigsten sehe. Beginnen Sie mit der Integration Ihres Identity Providers. Bevor Sie auch nur einen einzigen Access Point anfassen, stellen Sie sicher, dass Ihr Cloud-RADIUS-Dienst sich gegenüber Ihrem Verzeichnis authentifizieren kann. Testen Sie dies mit einem Dienstkonto, validieren Sie den LDAP-Bind und bestätigen Sie, dass die Gruppenmitgliedschaftsattribute korrekt zurückgegeben werden – denn diese benötigen Sie für die VLAN-Zuweisungsrichtlinien. Zweitens: Planen Sie Ihre Zertifikatsstrategie. Wenn Sie sich für EAP-TLS entscheiden, benötigen Sie eine CA. Sie müssen entscheiden, ob Sie eine öffentliche oder eine interne CA verwenden, und Sie benötigen einen MDM-Rollout-Plan für Client-Zertifikate. Wenn Sie sich für PEAP entscheiden, benötigen Sie ein Serverzertifikat von einer vertrauenswürdigen CA – kein selbstsigniertes – und Sie müssen das CA-Zertifikat auf alle Client-Geräte übertragen, damit die Zertifikatsvalidierung korrekt funktioniert. Dies ist der Schritt, der oft übersprungen wird und zu Sicherheitsvorfällen führt. Drittens: Konfigurieren Sie Ihre RADIUS-Clients – also Ihre Access Points und Controller – mit dem korrekten Shared Secret und der Server-IP oder dem Hostnamen. Verwenden Sie ein starkes, zufällig generiertes Shared Secret, kein Wörterbuchwort. Und wenn Ihr Cloud-RADIUS-Anbieter RADIUS over TLS – RadSec – unterstützt, nutzen Sie es. Es verschlüsselt den RADIUS-Datenverkehr während der Übertragung, was besonders wichtig ist, wenn dieser Datenverkehr über das öffentliche Internet läuft. Viertens: Testen Sie mit einer Pilotgruppe vor dem vollständigen Rollout. Authentifizierungsfehler im großen Stil sind störend und unter Druck schwer zu diagnostizieren. Führen Sie ein Pilotprojekt mit zehn bis zwanzig Geräten durch, validieren Sie die Authentifizierungsprotokolle, bestätigen Sie, dass die VLAN-Zuweisung funktioniert, und überprüfen Sie, ob die Accounting-Einträge korrekt geschrieben werden. Die Fehlerquellen, die ich am häufigsten sehe: Deaktivierte Zertifikatsvalidierung auf Clients, was zu Man-in-the-Middle-Schwachstellen führt. Shared Secrets, die zu kurz sind oder standortübergreifend wiederverwendet werden. Nicht konfigurierte RADIUS-Server-IP-Allowlists, sodass Authentifizierungsanfragen von neuen Standorten stillschweigend verworfen werden. Und MDM-Profile, die bei Ablauf von Zertifikaten nicht aktualisiert werden, was am Tag der Erneuerung zu massiven Authentifizierungsfehlern führt. --- SCHNELLE FRAGEN & ANTWORTEN (ca. 1 Minute) --- Einige Fragen, die mir regelmäßig gestellt werden. Kann ich 802.1X in einem Netzwerk betreiben, das auch IoT-Geräte enthält, die kein EAP unterstützen? Ja – nutzen Sie MAC Authentication Bypass als Fallback für Geräte, die keinen Supplicant ausführen können, aber verschieben Sie diese Geräte in ein eingeschränktes VLAN mit strengen Firewall-Regeln. Ersetzt 802.1X die WPA2- oder WPA3-Verschlüsselung? Nein — 802.1X übernimmt die Authentifizierung. WPA2-Enterprise oder WPA3-Enterprise übernimmt die Verschlüsselung. Sie benötigen beides. WPA3-Enterprise mit 802.1X ist derzeit die Best Practice für neue Bereitstellungen. Wie wirkt sich das auf die Latenz bei der Authentifizierung aus? Bei einem gut konfigurierten Cloud-RADIUS-Dienst ist mit 50 bis 150 Millisekunden pro Authentifizierung zu rechnen. Bei Roaming-Szenarien kann der schnelle BSS-Übergang nach 802.11r den Aufwand für die erneute Authentifizierung erheblich reduzieren. Ist dies PCI DSS-konform? 802.1X mit EAP-TLS oder PEAP in einem ordnungsgemäß segmentierten Netzwerk erfüllt die PCI DSS-Anforderungen 1 und 8 für die Netzwerkzugriffskontrolle. Beziehen Sie Ihren QSA frühzeitig ein. --- ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE (ca. 1 Minute) --- Zusammenfassend lässt sich sagen: 802.1X mit Cloud-RADIUS ist die richtige Antwort für jedes Unternehmen, das Auditoren gegenüber eine Netzwerkzugriffskontrolle nachweisen, den Schadensradius bei kompromittierten Anmeldedaten minimieren oder die Authentifizierung über ein verteiltes System hinweg zentral verwalten muss. Die Bereitstellung ist nicht trivial, aber mit der richtigen Vorbereitung absolut machbar. Bringen Sie zuerst die Integration Ihres Identity Providers in Ordnung. Wählen Sie Ihre EAP-Methode basierend auf Ihrem Gerätebestand und Ihrer betrieblichen Kapazität zur Verwaltung von Zertifikaten. Nutzen Sie RadSec, wenn Ihre Infrastruktur dies unterstützt. Und testen Sie, bevor Sie ein Rollout im großen Stil durchführen. Wenn Sie ein gemischtes Gäste- und Mitarbeiternetzwerk betreiben — was auf die meisten Betreiber in der Hotellerie und im Einzelhandel zutrifft —, bieten Ihnen Plattformen wie Purple die Möglichkeit, beide Authentifizierungsmodelle über eine einzige Benutzeroberfläche zu verwalten, wobei die Analyseebene über das gesamte System hinweg greift. Für Ihre nächsten Schritte: Überprüfen Sie Ihre aktuelle Netzwerkzugriffskontrolle, identifizieren Sie, welche Standorte noch mit gemeinsam genutzten PSK arbeiten, und erstellen Sie einen phasenweisen Migrationsplan. Beginnen Sie mit Ihren Standorten mit dem höchsten Risiko — denjenigen, die in den Bereich von PCI DSS fallen oder sensible Daten verarbeiten — und arbeiten Sie sich nach außen vor. Vielen Dank fürs Zuhören. Weitere technische Briefings finden Sie unter purple.ai.

header_image.png

执行摘要

对于管理酒店、零售和公共部门等分布式网络环境的 IT 决策者而言,保护网络访问已从一种运营偏好转变为严格的合规性强制要求。依赖预共享密钥 (PSK) 会带来不可接受的风险,无法满足 PCI DSS 等现代审计标准,并在凭据泄露时使组织面临横向移动的风险。过渡到基于 IEEE 802.1X 端口的网络访问控制,通过在授予 IP 连接之前对设备进行身份验证,可以有效降低这些风险。

从历史上看,由于需要本地化的 RADIUS 基础设施来管理延迟和可用性,在多站点资产中部署 802.1X 受到阻碍。Cloud RADIUS 架构的成熟从根本上改变了这一现状。通过集中身份验证决策并直接与云身份提供商(如 Azure AD 或 Okta)集成,组织可以在所有位置统一实施强大的访问策略,而无需承担本地服务器的资本支出和维护负担。本指南概述了成功实施基于 Cloud RADIUS 的 802.1X 身份验证的技术架构、部署方法和运营最佳实践,确保企业 Guest WiFi 和企业网络的安全性与可扩展性。

技术深度解析

现代企业无线安全的基础建立在 IEEE 802.1X 标准之上。与应用层身份验证不同,802.1X 运行在 OSI 模型的第 2 层。当设备(客户端)尝试与接入点(认证系统)关联时,端口保持在未授权状态,仅允许通过可扩展身份验证协议 (EAP) 流量。该流量被封装在 RADIUS 数据包中并转发到身份验证服务器(Cloud RADIUS 实例)。只有在收到 Access-Accept 消息后,认证系统才会将端口转换为授权状态,从而授予网络访问权限。

Cloud RADIUS 架构

architecture_overview.png

从本地到 Cloud RADIUS 的架构转变消除了对分布式 FreeRADIUS 或 Microsoft NPS 服务器的需求。在云模式中,接入点或无线局域网控制器通过互联网直接与全球分布的 RADIUS 服务进行通信。为了确保此传输的安全,实施 RadSec (RADIUS over TLS) 至关重要,它对身份验证负载进行加密,防止其被拦截。Cloud RADIUS 服务充当中介,通过 LDAP、SAML 或原生 API 集成,对照中央身份提供商 (IdP) 验证凭据。这实现了动态策略实施,例如基于 Azure AD 组群成员身份分配 VLAN,将网络访问与更广泛的企业身份管理策略无缝集成。

EAP 方法选择

EAP 方法的选择决定了部署的安全态势和运营复杂度。

eap_comparison_chart.png

  • EAP-TLS (传输层安全): 最安全的方法,需要服务器和客户端证书进行双向身份验证。由于不交换密码,它消除了凭据被盗的风险。但是,它需要公共密钥基础设施 (PKI) 和移动设备管理 (MDM) 来分发客户端证书。强烈推荐用于企业设备。
  • PEAP-MSCHAPv2 (受保护的 EAP): 由于在 Windows 中获得原生支持且仅依赖服务器端证书,因此部署广泛。它在 TLS 会话中对凭据交换进行隧道传输。虽然更易于部署,但如果未严格执行客户端证书验证,它很容易受到凭据收集攻击。
  • EAP-TTLS: 类似于 PEAP,但在内部身份验证协议中提供了更大的灵活性,使其适用于具有多种客户端操作系统的环境。

实施指南

使用 Cloud RADIUS 部署 802.1X 需要采用分阶段、系统化的方法,以尽量减少对现有业务的中断。

  1. 身份提供商集成: 建立并验证 Cloud RADIUS 服务与企业 IdP 之间的连接。确保目录同步准确,并且必要的用户属性(例如组群成员身份)可用于策略制定。
  2. 证书管理: 对于 PEAP 部署,从受信任的公共证书颁发机构 (CA) 获取服务器证书。至关重要的是,通过 MDM 或组策略配置客户端,以明确信任此 CA 并验证服务器证书名称。对于 EAP-TLS,部署内部 CA 基础设施并开始向托管设备颁发客户端证书。
  3. 网络基础设施配置: 配置无线控制器和接入点以指向 Cloud RADIUS 端点。如果硬件供应商支持,请实施 RadSec。使用强加密安全字符串定义 RADIUS 共享密钥,确保每个站点或控制器集群的密钥唯一。
  4. 策略定义: 在 Cloud RADIUS 平台内构建身份验证策略。根据用户组、设备类型或位置定义条件,以便在成功身份验证后动态分配 VLAN 或应用访问控制列表 (ACL)。
  5. 试点和分阶段推广: 选择具有代表性的用户和设备子集进行初始试点。密切监控身份验证日志,以识别延迟问题、证书验证n 次失败,或错误的 VLAN 分配。在试点成功后,执行分阶段部署,优先考虑高风险场所,例如行政办公室或处理敏感数据的场所。

最佳实践

  • 强制执行客户端证书验证: PEAP 部署中最常见的漏洞是未能强制客户端进行服务器证书验证。如果允许客户端盲目信任任何呈现的证书,它们就很容易受到流氓接入点攻击。
  • 谨慎实施 MAC 身份验证绕过 (MAB): 对于无法运行 802.1X 客户端的无头设备(例如打印机、IoT 传感器),可以使用 MAB。然而,MAC 地址极易被伪造。MAB 设备必须隔离在受到严格限制的 VLAN 上,并配合严格的防火墙规则来限制其网络访问。
  • 利用 802.11r 进行漫游: 在设备频繁在接入点之间移动的环境中,完整的 802.1X 身份验证过程可能会引入不可接受的延迟,从而干扰语音等实时应用。实施 802.11r(快速 BSS 过渡)通过缓存身份验证密钥来简化漫游。
  • 与分析系统集成: 对于同时运营企业 802.1X 网络和公共访问网络的场所,将身份验证基础设施与 WiFi Analytics 集成,可以全面了解整个区域的网络利用率和设备行为。

故障排除与风险缓解

802.1X 环境中的身份验证失败可能导致大范围的连接中断。强大的故障排除流程至关重要。

  • 证书过期: 服务器或客户端证书过期将导致立即的身份验证失败。对证书有效期实施自动化监控和告警,确保在过期前尽早处理更新。
  • 延迟和超时: 如果 Cloud RADIUS 服务或 IdP 出现高延迟,认证器可能会超时并断开连接。在无线控制器上配置适当的超时值(通常为 5-10 秒),并部署备份 RADIUS 服务器以提供冗余。
  • RADIUS 共享密钥不匹配: 认证器上配置的共享密钥与 RADIUS 服务器上的不匹配将导致数据包被静默丢弃。标准化密钥管理,并尽可能避免手动输入。

ROI 与业务影响

过渡到带有 Cloud RADIUS 的 802.1X 可带来可衡量的业务价值。它通过消除共享密码,极大地减少了攻击面,直接支持符合 PCI DSS(要求 1 和 8)以及 GDPR 数据保护指令。在运营方面,它实现了集中式访问控制,使 IT 团队只需在中央目录中禁用用户帐户,即可立即撤销其在全球所有地点的访问权限。此外,通过停用传统的本地 RADIUS 服务器,企业降低了硬件维护成本、软件许可费用,以及修补和管理分布式基础设施的行政负担。对于 RetailHospitality 等行业的全面部署,这种集中式的安全态势是实现安全数字化转型的关键推动力。

听听我们关于该主题的全面简报:

Schlüsseldefinitionen

Supplicant

Der Software-Client auf einem Endgerät (Laptop, Smartphone), der den Netzwerkzugriff mittels EAP aushandelt.

IT-Teams müssen sicherstellen, dass der Supplicant korrekt konfiguriert ist (häufig über MDM), um Serverzertifikate zu validieren und so den Diebstahl von Anmeldedaten zu verhindern.

Authenticator

Das Netzwerkgerät (in der Regel ein WiFi-Access-Point oder Switch), das den physischen oder logischen Zugriff auf das Netzwerk basierend auf dem Authentifizierungsstatus steuert.

Der Authenticator fungiert als Vermittler, der EAP-Nachrichten zwischen dem Supplicant und dem RADIUS-Server weiterleitet.

Cloud RADIUS

Ein zentralisierter, in der Cloud gehosteter Authentifizierungsdienst, der RADIUS-Anfragen von verteilten Netzwerkinfrastrukturen verarbeitet, ohne dass Server vor Ort erforderlich sind.

Unerlässlich für Unternehmen mit mehreren Standorten, die Sicherheit auf Enterprise-Niveau ohne den Aufwand für die Hardware-Wartung implementieren möchten.

EAP (Extensible Authentication Protocol)

Das Framework zur Kapselung von Authentifizierungsnachrichten zwischen dem Supplicant und dem Authentifizierungsserver.

Die Wahl der richtigen EAP-Methode (z. B. PEAP vs. EAP-TLS) bestimmt die Sicherheitsstärke und die Bereitstellungskomplexität des drahtlosen Netzwerks.

RadSec

Ein Protokoll, das RADIUS-Daten über einen TLS-Tunnel überträgt und so die Verschlüsselung des Authentifizierungsverkehrs während der Übertragung gewährleistet.

Entscheidend bei der Nutzung von Cloud RADIUS, da es den Austausch sensibler Anmeldedaten vor dem Abfangen über das öffentliche Internet schützt.

Dynamic VLAN Assignment

Der Prozess, bei dem der RADIUS-Server den Authenticator anweist, ein Gerät basierend auf der Identität oder Gruppenzugehörigkeit des Benutzers in ein bestimmtes virtuelles Netzwerksegment einzustufen.

Ermöglicht es der IT, eine einzige SSID auszustrahlen und gleichzeitig den Datenverkehr sicher zu segmentieren (z. B. indem HR- und IT-Mitarbeiter in verschiedene Subnetze eingeteilt werden).

Mutual Authentication

Ein Sicherheitsprozess, bei dem sowohl der Client die Identität des Servers als auch der Server die Identität des Clients überprüft (in der Regel mithilfe von Zertifikaten).

Das definierende Merkmal von EAP-TLS, das es äußerst resistent gegen Man-in-the-Middle-Angriffe macht.

MAC Authentication Bypass (MAB)

Eine Fallback-Authentifizierungsmethode, die die MAC-Adresse eines Geräts als Anmeldedaten verwendet, wenn dieses keinen 802.1X-Supplicant unterstützen kann.

Wird für ältere Hardware wie Drucker oder IoT-Geräte verwendet, erfordert jedoch aufgrund der einfachen Möglichkeit des MAC-Spoofings eine strenge Netzwerksegmentierung.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern, das ein veraltetes PSK-Netzwerk für den Back-of-House-Betrieb (Tablets für den Zimmerservice, Point-of-Sale-Terminals, Laptops der Manager) betreibt, muss vor einem anstehenden Audit die PCI-DSS-Compliance erreichen. Es gibt kein IT-Personal vor Ort und es können keine lokalen Server bereitgestellt werden.

Das Hotel sollte eine Cloud RADIUS-Lösung bereitstellen, die direkt in seinen zentralen Azure AD-Tenant integriert ist. Für die Laptops der Manager (Windows/macOS) sollte PEAP-MSCHAPv2 implementiert werden, wobei ein MDM-Profil verwendet wird, um das vertrauenswürdige Serverzertifikat bereitzustellen und die Validierung zu erzwingen. Für Point-of-Sale-Terminals, die möglicherweise nicht über robuste Supplikanten verfügen, sollte MAC Authentication Bypass (MAB) genutzt werden, wobei diese Geräte jedoch strikt einem isolierten VLAN zugewiesen werden, das nur die Kommunikation mit dem Payment-Gateway zulässt. Die Bereitstellung erfordert die Konfiguration der vorhandenen, in der Cloud verwalteten Access Points, sodass sie auf die Cloud RADIUS-IP-Adressen verweisen, wobei die Verbindung mit RadSec gesichert wird.

Kommentar des Prüfers: Dieser Ansatz erfüllt die PCI-Anforderung nach eindeutiger Benutzeridentifikation (PEAP für Mitarbeiter) und Netzwerksegmentierung (MAB + isoliertes VLAN für POS). Durch den Einsatz von Cloud RADIUS vermeidet das Hotel die Komplexität der Bereitstellung und Wartung eines lokalen FreeRADIUS-Servers, der ohne IT-Personal vor Ort nicht zu verwalten wäre. Die Verwendung von RadSec ist hier entscheidend, um den über das öffentliche Internet übertragenen Authentifizierungsverkehr zu schützen.

Eine nationale Einzelhandelskette führt eine neue Flotte von firmeneigenen Tablets für die Bestandsverwaltung in 500 Filialen ein. Sie möchte sicherstellen, dass ein gestohlenes Tablet nicht für den Zugriff auf das Netzwerk verwendet werden kann, und sie möchte passwortbezogene Helpdesk-Tickets eliminieren.

Der Einzelhändler muss EAP-TLS implementieren. Er wird eine interne Zertifizierungsstelle (CA) einrichten und diese in seine MDM-Plattform integrieren. Wenn ein Tablet bereitgestellt wird, überträgt das MDM ein eindeutiges Client-Zertifikat auf das Gerät. Der Cloud RADIUS-Dienst wird so konfiguriert, dass er Geräte ausschließlich auf der Grundlage des Vorhandenseins eines gültigen Client-Zertifikats authentifiziert. Wird ein Tablet als gestohlen gemeldet, widerruft das IT-Team einfach dieses spezifische Zertifikat in der CA. Der Cloud RADIUS-Dienst, der die Zertifikatssperrliste (CRL) oder über OCSP prüft, verweigert sofort den Netzwerkzugriff.

Kommentar des Prüfers: EAP-TLS ist hier die optimale Wahl. Es bietet das höchste Sicherheitsniveau und entfernt Benutzerpasswörter vollständig aus dem Authentifizierungsfluss, wodurch das Ziel, Helpdesk-Tickets zu reduzieren, erreicht wird. Die zentralisierte Widerrufsfunktion ist unerlässlich, um das Risiko gestohlener Hardware in einer verteilten Einzelhandelsumgebung zu verwalten.

Übungsfragen

Q1. Ihre Organisation migriert von einem gemeinsam genutzten PSK zu 802.1X mit PEAP-MSCHAPv2. Während der Pilotphase berichten Benutzer, dass sie eine Verbindung herstellen können, aber ein Sicherheitsaudit zeigt, dass Geräte stillschweigend jedes ihnen präsentierte Serverzertifikat akzeptieren. Was ist das unmittelbare Risiko und wie muss es behoben werden?

Hinweis: Überlegen Sie, was passiert, wenn ein Angreifer einen Access Point einrichtet, der Ihre Unternehmens-SSID ausstrahlt.

Musterlösung anzeigen

Das unmittelbare Risiko ist ein Man-in-the-Middle-Angriff (MitM) über einen Rogue Access Point. Ein Angreifer kann die Unternehmens-SSID ausstrahlen, ein selbstsigniertes Zertifikat präsentieren und Benutzeranmeldedaten abfangen, wenn die Geräte versuchen, sich zu authentifizieren. Um dies zu beheben, muss das IT-Team die Supplicant-Profile (über MDM oder Gruppenrichtlinien) so konfigurieren, dass sie das Serverzertifikat explizit validieren. Dies beinhaltet die Angabe der genauen vertrauenswürdigen Root-CA, die das Zertifikat des RADIUS-Servers ausgestellt hat, und die strikte Definition des erwarteten Server-Hostnamens.

Q2. Eine entfernte Einzelhandelsfiliale hat ihre Internetverbindung verloren. Die lokalen Access Points sind weiterhin eingeschaltet. Bleiben die derzeit mit dem 802.1X-Netzwerk verbundenen Geräte der Mitarbeiter verbunden und können sich neue Geräte authentifizieren? Gehen Sie von einer Standard-Cloud-RADIUS-Architektur ohne lokale Ausfallsicherheitsknoten aus.

Hinweis: Denken Sie an den Pfad, den eine Authentifizierungsanfrage nehmen muss, und an den Zustand bereits autorisierter Ports.

Musterlösung anzeigen

Geräte, die bereits authentifiziert und verbunden sind, bleiben in der Regel verbunden, bis ihr Sitzungs-Timeout abläuft oder sie die Verbindung trennen, da sich der Authenticator-Port bereits im autorisierten Zustand befindet. Neue Geräte, die versuchen, eine Verbindung herzustellen, oder Geräte, die versuchen, sich erneut zu authentifizieren, schlagen jedoch fehl. Da die Internetverbindung unterbrochen ist, können die Access Points den Cloud-RADIUS-Server nicht erreichen, um den EAP-Austausch zu verarbeiten. Dies unterstreicht die Bedeutung redundanter WAN-Verbindungen, wenn man sich auf cloudbasierte Authentifizierung verlässt.

Q3. Sie müssen den Netzwerkzugriff für eine Flotte von älteren Barcodescannern in einem Lager sichern. Diese Scanner unterstützen keine 802.1X-Supplicants und unterstützen nur WPA2-Personal (PSK). Sie können die Hardware nicht aktualisieren. Wie integrieren Sie diese Geräte in eine sichere Netzwerkarchitektur neben Ihren 802.1X-Unternehmensgeräten?

Hinweis: Sie benötigen eine Alternative zu 802.1X, die dennoch eine Zugriffskontrolle bietet, kombiniert mit einer Isolierung auf Netzwerkebene.

Musterlösung anzeigen

Der empfohlene Ansatz besteht darin, MAC Authentication Bypass (MAB) für die Barcodescanner zu nutzen. Der Access Point verwendet die MAC-Adresse des Scanners als Identität und sendet sie an den RADIUS-Server. Da MAC-Adressen leicht gefälscht werden können, bietet dies eine schwache Authentifizierung. Daher muss der RADIUS-Server so konfiguriert werden, dass er nach erfolgreicher MAB-Authentifizierung ein bestimmtes VLAN-Attribut zurückgibt. Dieses VLAN muss über Firewalls oder ACLs stark eingeschränkt werden, sodass die Scanner nur mit den spezifischen Inventarservern kommunizieren können, die sie benötigen, und jeder andere laterale Netzwerkzugriff blockiert wird.

Weiterlesen in dieser Reihe

Die Sicherheitsvorteile von RADIUS as a Service für hybride Belegschaften

Dieser technische Leitfaden erklärt, wie RADIUS as a Service den Netzwerkzugriff für hybride Belegschaften an verteilten Standorten sichert. Er behandelt die Architektur, die Sicherheitsvorteile und die Bereitstellungsschritte für den Ersatz von On-Premises-RADIUS-Infrastrukturen durch einen cloudverwalteten Authentifizierungsdienst. Für IT-Manager und Netzwerkarchitekten in Hotels, Einzelhandelsketten, Stadien und Organisationen des öffentlichen Sektors liefert dieser Leitfaden die notwendigen Argumente, um eine Migration zu Cloud-RADIUS in diesem Quartal zu bewerten und umzusetzen.

Leitfaden lesen →

Integration von RADIUS as a Service mit Cloud-Verzeichnissen (Azure AD & Google Workspace)

Dieser technische Referenzleitfaden beschreibt detailliert, wie Sie RADIUS as a Service mit Cloud-Verzeichnissen – Microsoft Entra ID und Google Workspace – für die WiFi-Authentifizierung in Unternehmen integrieren. Er behandelt den architektonischen Wechsel von On-Premises-NPS zu Cloud-nativem RADIUS, die Bereitstellung der zertifikatsbasierten EAP-TLS-Authentifizierung sowie die bewährten Betriebsmethoden zur Absicherung des drahtlosen Zugangs in den Bereichen Gastgewerbe, Einzelhandel und im öffentlichen Sektor. Für IT-Manager und Netzwerkarchitekten, die bereits in Cloud-Identitäten investieren, schließt dieser Leitfaden die Lücke zwischen Verzeichnisverwaltung und physischer Netzwerksicherheit.

Leitfaden lesen →

Was ist Cloud RADIUS? Ein umfassender Leitfaden zu RADIUS-as-a-Service

Dieser umfassende Leitfaden befasst sich mit Cloud RADIUS (RADIUS-as-a-Service) und erläutert dessen Architektur, EAP-Methoden und Implementierungsstrategien. Er bietet IT-Entscheidern praxisnahe Einblicke für die Migration von lokalen Servern zu einem skalierbaren, sicheren und konformen cloudbasierten Authentifizierungsmodell.

Leitfaden lesen →