Konfigurieren von RADIUS-Authentifizierung für Gäste- und Mitarbeiter-WiFi-Netzwerke
Dieses technische Referenzhandbuch beschreibt die Architektur, Konfiguration und Bereitstellung der RADIUS-Authentifizierung für WiFi-Netzwerke von Unternehmen für Gäste und Mitarbeiter. Es bietet Netzwerkarchitekten und IT-Managern die genauen Protokolle, Sicherheitsstandards und Fehlerbehebungsmethoden, die für den Aufbau sicherer, skalierbarer drahtloser Zugriffskontrollsysteme erforderlich sind.
- Executive Summary
- Technische Vertiefung
- Das AAA-Framework
- RADIUS-Architekturkomponenten
- EAP-Methoden für Mitarbeiter-WiFi
- Authentifizierungs-Flow für Guest WiFi
- Sicherer Transport: RadSec
- Implementierungsleitfaden
- Schritt 1: RADIUS-Clients auf dem Server definieren
- Schritt 2: Wireless LAN Controller (WLC) / Access Points konfigurieren
- Schritt 3: Konfigurieren Sie die Mitarbeiter-SSID (802.1X)
- Schritt 4: Konfigurieren Sie die Gäste-SSID mit Captive Portal
- Best Practices
- Hohe Verfügbarkeit und Redundanz
- Zertifikatsmanagement
- VLAN-Segmentierung
- Session-Timeout und Accounting-Intervalle
- Fehlerbehebung & Risikominderung
- Typische Fehlerbilder und Lösungen
- ROI & geschäftlicher Nutzen
Executive Summary
In modernen Enterprise-Umgebungen ist die Sicherung drahtloser Netzwerke eine kritische betriebliche Anforderung. Veraltete Sicherheitsmethoden wie gemeinsam genutzte Pre-Shared Keys (PSKs) bergen erhebliche Sicherheitsrisiken. Wenn ein einzelner Mitarbeiter das Unternehmen verlässt oder ein Gast ein gemeinsam genutztes Passwort kompromittiert, ist die gesamte Sicherheitsstruktur des Netzwerks gefährdet. Dieses Handbuch beschreibt im Detail, wie Sie Remote Authentication Dial-In User Service (RADIUS) implementieren, um die Zugriffskontrolle zu zentralisieren, granulare Sicherheitsrichtlinien durchzusetzen und den Datenverkehr von Gästen und Mitarbeitern zu segmentieren.
Durch den Übergang zu einer zentralisierten RADIUS-Architektur können Unternehmen eine 802.1X-Authentifizierung für Mitarbeiter implementieren - um sicherzustellen, dass sich jedes Gerät mit eindeutigen, widerrufbaren Anmeldedaten authentifiziert - während für Gastbenutzer sichere Captive Portals und MAC Authentication Bypass (MAB) genutzt werden. Diese technische Referenz bietet die Architekturentwürfe, Konfigurationsschritte und Fehlerbehebungs-Frameworks, die für die Bereitstellung einer robusten, professionellen Wireless-Authentifizierungsinfrastruktur erforderlich sind.
Technische Vertiefung
Das AAA-Framework
RADIUS basiert auf dem AAA-Framework, das die Kernphasen der Zugriffskontrolle definiert:
- Authentifizierung (Authentication): Überprüfung der Identität des Benutzers oder Geräts, das versucht, eine Verbindung zum WiFi-Netzwerk herzustellen. Dies erfolgt über Anmeldedaten, digitale Zertifikate oder Token.
- Autorisierung (Authorization): Bestimmung der Ebene des Netzwerkzugriffs, die der authentifizierten Instanz gewährt wird. Dies umfasst die Zuweisung bestimmter VLANs, das Anwenden von Access Control Lists (ACLs) oder das Erzwingen von Bandbreitenbegrenzungen.
- Abrechnung (Accounting): Erfassung des Verbrauchs von Netzwerkressourcen, einschließlich Sitzungsdauer, übertragenen Daten sowie An- und Abmeldezeiten. Diese Daten sind entscheidend für Audits, Compliance und die Netzwerkplanung.
- Prüfung (Auditing): Überprüfung der erfassten Abrechnungsdaten, um Anomalien, Sicherheitsverletzungen oder Richtlinienverstöße zu identifizieren.
RADIUS-Architekturkomponenten
Eine standardmäßige RADIUS-Bereitstellung in Unternehmen besteht aus drei Hauptkomponenten:
- Der Supplicant: Die Client-Software, die auf dem Gerät des Benutzers (z. B. Laptop, Smartphone) ausgeführt wird, den Zugriff auf das Netzwerk anfordert und Anmeldedaten oder Zertifikate bereitstellt.
- Der Authenticator (Network Access Server / NAS): Das physische oder virtuelle Netzwerkgerät - in der Regel ein Wireless LAN Controller (WLC) oder ein Access Point (AP) -, das den physischen Zugriff auf das Netzwerk steuert. Der Authenticator entscheidet nicht, ob die Anmeldedaten gültig sind; er fungiert als Proxy, der die Authentifizierungsanfrage in RADIUS-Pakete verpackt und an den RADIUS-Server weiterleitet.
- Der Authentifizierungsserver (Authentication Server): Der zentrale Server (wie FreeRADIUS, Cisco ISE, Aruba ClearPass oder die cloudbasierte RADIUS-Engine von Purple), der die Anmeldedaten mit einem Identitätsspeicher (z. B. Active Directory, LDAP oder einem Cloud-Identitätsanbieter) abgleicht und eine Access-Accept- oder Access-Reject-Nachricht an den Authenticator zurückgibt.
EAP-Methoden für Mitarbeiter-WiFi
Für Mitarbeiternetzwerke wird das Extensible Authentication Protocol (EAP) innerhalb des 802.1X-Frameworks verwendet, um die Authentifizierung auszuhandeln. Die beiden am häufigsten verwendeten EAP-Methoden für Unternehmen sind:
- PEAP-MSCHAPv2 (Protected EAP): Diese Methode stellt mithilfe des digitalen Zertifikats des Servers einen sicheren, verschlüsselten TLS-Tunnel zwischen dem Supplicant und dem RADIUS-Server her. Innerhalb dieses sicheren Tunnels werden der Benutzername und das Passwort des Benutzers mit dem MSCHAPv2-Protokoll authentifiziert. Dies ist aufgrund der einfachen Bereitstellung sehr beliebt, da keine Zertifikate auf den Client-Geräten installiert werden müssen.
- EAP-TLS: Die sicherste verfügbare Authentifizierungsmethode. Sie erfordert eine gegenseitige Authentifizierung, was bedeutet, dass sowohl der RADIUS-Server als auch das Client-Gerät gültige digitale Zertifikate vorlegen müssen. Dies eliminiert passwortbasierte Angriffe, erfordert jedoch eine robuste Public Key Infrastructure (PKI) zur Verwaltung der Zertifikatsverteilung und des Zertifikatswiderrufs.
Authentifizierungs-Flow für Guest WiFi
Gastnetzwerke nutzen in der Regel einen anderen Ablauf, um Sicherheit mit Benutzerkomfort in Einklang zu bringen. Anstelle von 802.1X nutzen Gastnetzwerke oft eine Open SSID in Kombination mit einem Captive Portal.
Wenn sich ein Gast verbindet, verwendet der Authentifikator MAC Authentication Bypass (MAB) oder eine Umleitungsrichtlinie, um den Benutzer zu einem Captive Portal zu leiten, das von einer Plattform wie Purple gehostet wird. Sobald der Benutzer den Registrierungs- oder Anmeldevorgang auf dem Portal abgeschlossen hat, kommuniziert die Portal-Plattform mit dem RADIUS-Server, der dann eine Access-Accept-Nachricht an den WLC/AP sendet und die MAC-Adresse des Gasts für den Netzwerkzugriff für eine bestimmte Sitzungsdauer autorisiert.
Sicherer Transport: RadSec
Traditioneller RADIUS-Traffic wird über UDP (Ports 1812 für Authentifizierung und 1813 für Accounting) im Klartext gesendet, wobei nur das Passwortfeld des Benutzers mithilfe eines Shared Secret verschleiert wird. Dies birgt Sicherheitsrisiken, wenn der Authentifizierungsverkehr über öffentliche WAN-Verbindungen oder das Internet geleitet wird.
Um dies zu verhindern, sollte RadSec (RADIUS über TLS) implementiert werden. RadSec verpackt Standard-RADIUS-Pakete in einen sicheren TLS-Tunnel (normalerweise über den TCP-Port 2083). Dadurch wird sichergestellt, dass alle Authentifizierungs- und Accounting-Daten, einschließlich Benutzernamen, MAC-Adressen und Sitzungsattributen, während der Übertragung zwischen dem lokalen Netzwerk und Cloud-basierten RADIUS-Servern vollständig verschlüsselt sind.
Implementierungsleitfaden
Schritt 1: RADIUS-Clients auf dem Server definieren
Bevor ein Netzwerkgerät mit dem RADIUS-Server kommunizieren kann, muss es als Client registriert werden.
- Melden Sie sich an der Administrationskonsole Ihres RADIUS-Servers an.
- Navigieren Sie zum Bereich Clients oder Netzwerkgeräte.
- Fügen Sie für jeden WLC oder AP einen neuen Client-Eintrag hinzu.
- Geben Sie die IP-Adresse oder das Subnetz des Authentifikators ein.
- Generieren Sie ein Shared Secret mit hoher Entropie. Dieses Passwort muss mindestens 22 Zeichen lang sein und eine Mischung aus Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Vermeiden Sie die Verwendung einfacher Wörterbuchbegriffe.
Schritt 2: Wireless LAN Controller (WLC) / Access Points konfigurieren
Konfigurieren Sie Ihre Wireless-Hardware so, dass sie für die Authentifizierung und das Accounting auf den RADIUS-Server verweist.
- Melden Sie sich an der Verwaltungsoberfläche Ihres WLC oder APs an.
- Navigieren Sie zu Sicherheit > AAA > RADIUS > Authentifizierung.
- Fügen Sie einen neuen RADIUS-Authentifizierungsserver hinzu:
- Server-IP-Adresse: Geben Sie die IP-Adresse Ihres primären RADIUS-Servers ein.
- Shared Secret: Geben Sie genau das in Schritt 1 konfigurierte Shared Secret ein.
- Port: 1812 (oder 2083 bei Verwendung von RadSec).
- Timeout: Auf 5 Sekunden einstellen, um Netzwerklatenzen auszugleichen.
- Wiederholungsversuche: Auf 3 einstellen.
- Navigieren Sie zu RADIUS-Accounting und fügen Sie einen neuen Server-Eintrag unter Verwendung von Port 1813 (oder 2083 für RadSec) hinzu.
- Wiederholen Sie diese Schritte, um einen sekundären (Backup-) RADIUS-Server für hohe Verfügbarkeit hinzuzufügen.
Schritt 3: Konfigurieren Sie die Mitarbeiter-SSID (802.1X)
- Erstellen Sie eine neue SSID mit dem Namen
Staff_Enterprise. - Stellen Sie den Sicherheitstyp auf WPA3-Enterprise ein (oder WPA2/WPA3-Enterprise-Übergangsmodus, wenn Unterstützung für ältere Geräte erforderlich ist).
- Wählen Sie 802.1X als Schlüsselverwaltungsprotokoll.
- Verknüpfen Sie die SSID mit den in Schritt 2 konfigurierten RADIUS-Authentifizierungs- und Accounting-Servern.
- Weisen Sie die SSID dem sicheren Mitarbeiter-VLAN zu (z. B. VLAN 10).
Schritt 4: Konfigurieren Sie die Gäste-SSID mit Captive Portal
- Erstellen Sie eine neue SSID mit dem Namen
Guest_WiFi. - Stellen Sie den Sicherheitstyp auf Open ein (oder Enhanced Open / OWE für opportunistische drahtlose Verschlüsselung).
- Aktivieren Sie MAC-Filterung oder MAC-Authentifizierung und verweisen Sie auf den RADIUS-Server.
- Aktivieren Sie die Weiterleitung an das Captive Portal / Web-Portal.
- Konfigurieren Sie die Weiterleitungs-URL so, dass sie auf die Login-Seite des Purple Captive Portals verweist.
- Konfigurieren Sie den Walled Garden (Pre-Authentication-ACLs), um Datenverkehr zur Captive Portal-Domain, zu DNS-Servern und zu erforderlichen CDN-Ressourcen zuzulassen, bevor die Authentifizierung abgeschlossen ist.
- Weisen Sie die SSID einem isolierten Gäste-VLAN zu (z. B. VLAN 20).
Best Practices
Hohe Verfügbarkeit und Redundanz
Stellen Sie RADIUS-Server immer in redundanten Paaren (primär und sekundär) bereit. Stellen Sie sicher, dass sich diese Server auf unterschiedlicher physischer Hardware oder in unterschiedlichen Cloud-Verfügbarkeitszonen befinden. Konfigurieren Sie Ihre WLCs so, dass sie reibungslos auf den sekundären Server ausweichen, falls der primäre Server nicht mehr reagiert. Implementieren Sie gegebenenfalls ein Load Balancing, um den Authentifizierungsverkehr gleichmäßig zu verteilen.
Zertifikatsmanagement
Bei PEAP- und EAP-TLS-Bereitstellungen sind die Gültigkeit und das Vertrauen des Zertifikats des RADIUS-Servers von entscheidender Bedeutung.
- Verwenden Sie ein Zertifikat, das von einer vertrauenswürdigen öffentlichen Zertifizierungsstelle (CA) ausgestellt wurde, für Gäste-Portale und PEAP-Bereitstellungen, um Warnhinweise zu Zertifikaten auf Benutzergeräten zu vermeiden.
- Richten Sie für EAP-TLS eine dedizierte interne private CA ein, um Client- und Serverzertifikate auszustellen und zu verwalten.
- Überwachen Sie die Ablaufdaten von Zertifikaten genau und implementieren Sie automatisierte Verlängerungsprozesse (wie SCEP oder ACME), um plötzliche netzwerkweite Authentifizierungsfehler zu verhindern.
VLAN-Segmentierung
Segmentieren Sie Ihren Netzwerk-Traffic strikt mithilfe von VLANs. Der Gast-Traffic muss vollständig von Unternehmensressourcen isoliert sein. Implementieren Sie Firewall-Regeln am Core-Switch oder Gateway, um ein Inter-VLAN-Routing zwischen dem Gast-VLAN und den Mitarbeiter- bzw. Management-VLANs zu verhindern. Erlauben Sie nur, dass Gast-Traffic direkt ins Internet geroutet wird.
Session-Timeout und Accounting-Intervalle
Konfigurieren Sie angemessene Session-Timeouts, um zu verhindern, dass inaktive Sitzungen IP-Adressen und Netzwerkressourcen blockieren.
- Setzen Sie für Mitarbeiter-Netzwerke ein Session-Timeout von 8 bis 12 Stunden, was einer Standard-Arbeitsschicht entspricht.
- Setzen Sie für Gast-Netzwerke ein kürzeres Session-Timeout von 2 bis 4 Stunden.
- Konfigurieren Sie das RADIUS-Accounting-Interim-Update-Intervall auf 10 oder 15 Minuten. Dies stellt sicher, dass der RADIUS-Server regelmäßige Updates über Gerätekonnektivität und Datennutzung erhält, ohne den Server mit Accounting-Paketen zu überlasten.
Fehlerbehebung & Risikominderung
Typische Fehlerbilder und Lösungen
1. Abweichender Shared Secret
- Symptom: Die WLC-Logs zeigen "RADIUS server not responding" und die RADIUS-Server-Logs zeigen "Packet dropped - invalid authenticator" oder "Bad authenticator in request."
- Fehlerursache: Der auf dem WLC konfigurierte Shared Secret stimmt nicht mit dem auf dem RADIUS-Server konfigurierten Shared Secret überein.
- Lösung: Geben Sie den Shared Secret auf beiden Geräten erneut ein und stellen Sie sicher, dass keine Leerzeichen am Ende oder versteckte Zeichen kopiert wurden.
2. Probleme mit dem Zertifikats-Trust
- Symptom: Client-Geräte können keine Verbindung zur Mitarbeiter-SSID herstellen und zeigen Fehler wie "Nicht vertrauenswürdiges Server-Zertifikat" oder "Verbindung abgelehnt" an.
- Fehlerursache: Das Client-Gerät vertraut der CA nicht, die das Zertifikat des RADIUS-Servers signiert hat, oder das Zertifikat ist abgelaufen.
- Lösung: Stellen Sie sicher, dass die Root- und Intermediate-CA-Zertifikate im vertrauenswürdigen Root-Speicher des Client-Geräts installiert sind. Verteilen Sie diese Zertifikate für unternehmenseigene Geräte über MDM oder Gruppenrichtlinien.
3. Firewall-Blockaden
- Symptom: Der RADIUS-Server empfängt keinen Traffic vom WLC, obwohl das Routing überprüft wurde.
- Fehlerursache: Firewalls blockieren die UDP-Ports 1812 und 1813.
- Lösung: Erstellen Sie explizite Firewall-Regeln, um UDP 1812 und 1813 (oder TCP 2083 für RadSec) zwischen der WLC-Management-IP und der RADIUS-Server-IP zuzulassen.
4. Latenzbedingte Timeouts
- Symptom: Sporadische Authentifizierungsfehler, insbesondere zu Stoßzeiten oder bei der Nutzung cloudbasierter RADIUS-Server.
- Fehlerursache: Die Netzwerklatenz überschreitet den RADIUS-Timeout-Schwellenwert des WLC, was dazu führt, dass der WLC davon ausgeht, der Server sei offline.
- Lösung: Erhöhen Sie die RADIUS-Timeout-Einstellung des WLC vom Standardwert (normalerweise 2 Sekunden) auf 5 oder 7 Sekunden. Optimieren Sie das WAN-Routing oder implementieren Sie lokale RADIUS-Proxies, um Authentifizierungsanfragen zu cachen.
ROI & geschäftlicher Nutzen
Der Übergang zu einem zentralisierten RADIUS-Authentifizierungsmodell liefert messbaren geschäftlichen Nutzen in mehreren Schlüsselbereichen:
- Geringerer betrieblicher Aufwand: Eliminiert den manuellen Aufwand, der für die Rotation gemeinsam genutzter WiFi Passwörter erforderlich ist, wenn Mitarbeiter das Unternehmen verlassen. Benutzerkonten können in Active Directory oder Ihrem Identitätsanbieter sofort deaktiviert werden, wodurch der Netzwerkzugriff umgehend entzogen wird.
- Verbesserte Sicherheitsstruktur: Minimiert das Risiko von Datenpannen, die durch den Diebstahl von Anmeldedaten oder unbefugten Netzwerkzugriff verursacht werden. Durch die Durchsetzung von 802.1X und zertifikatsbasierter Authentifizierung stellen Unternehmen sicher, dass nur autorisierte, richtlinienkonforme Geräte auf sensible Unternehmensressourcen zugreifen können.
- Optimierter Veranstaltungsbetrieb: Durch die Integration von Gäste-WiFi mit der Cloud-RADIUS-Plattform von Purple erfassen Betreiber wertvolle demografische Daten und Verhaltensdaten. Diese Daten können verwendet werden, um gezielte Marketingkampagnen zu erstellen, das Besuchererlebnis zu verbessern und die Raumnutzung auf der Grundlage von Besucherstromanalysen zu optimieren.
- Einhaltung gesetzlicher Vorschriften: Zentralisierte RADIUS-Accounting-Protokolle bieten einen Audit-Trail für den Netzwerkzugriff und helfen Unternehmen, Compliance-Anforderungen für Standards wie PCI-DSS, ISO 27001 und GDPR zu erfüllen.
Schlüsseldefinitionen
RADIUS
Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Authentifizierungs-, Autorisierungs- und Accounting-Verwaltung für Benutzer bietet, die sich mit einem Netzwerkdienst verbinden und diesen nutzen.
Es ist das Industriestandard-Protokoll, das verwendet wird, um drahtlose Netzwerk-Hardware mit zentralen Identitätsdatenbanken zu verbinden.
Supplicant
Die Client-Software oder das Gerät (z. B. ein Laptop, Telefon oder Tablet), das den Zugriff auf ein Netzwerk anfordert und Anmeldedaten oder Zertifikate zur Überprüfung bereitstellt.
Der Supplicant muss die auf dem RADIUS-Server konfigurierte spezifische EAP-Methode unterstützen, um sich erfolgreich zu authentifizieren.
Authenticator
Das Netzwerkgerät (typischerweise ein Wireless LAN Controller oder Access Point), das den physischen Zugriff auf das Netzwerk steuert und als Proxy zwischen dem Supplicant und dem RADIUS-Server fungiert.
Der Authenticator validiert die Anmeldedaten nicht selbst, sondern leitet sie lediglich an den RADIUS-Server weiter.
EAP-TLS
Extensible Authentication Protocol - Transport Layer Security. Eine äußerst sichere Authentifizierungsmethode, die gegenseitige digitale Zertifikate sowohl auf dem Client als auch auf dem Server zur Identitätsprüfung verwendet.
Es ist die bevorzugte Authentifizierungsmethode für vom Unternehmen verwaltete Geräte in Mitarbeiter-WiFi-Netzwerken.
PEAP-MSCHAPv2
Protected Extensible Authentication Protocol mit Microsoft Challenge Handshake Authentication Protocol Version 2. Eine anmeldedatenbasierte Authentifizierungsmethode, die die Kennwortübertragung innerhalb eines verschlüsselten TLS-Tunnels sichert.
Es wird häufig für Mitarbeiternetzwerke verwendet, da es keine clientseitigen Zertifikate erfordert, was die Bereitstellung im Vergleich zu EAP-TLS erleichtert.
RadSec
Ein Protokoll, das den RADIUS-Verkehr sichert, indem es Standard-RADIUS-Pakete in einen Transport Layer Security (TLS)-Tunnel verpackt, der typischerweise über den TCP-Port 2083 läuft.
Unerlässlich für Cloud-gesteuerte WiFi-Netzwerke, bei denen der Authentifizierungsverkehr über das öffentliche Internet laufen muss.
Captive Portal
Eine Webseite, die neu verbundenen drahtlosen Nutzern angezeigt wird, bevor ihnen ein umfassenderer Netzwerkzugriff gewährt wird. Sie wird üblicherweise für die Gast-Authentifizierung, die Zustimmung zu Nutzungsbedingungen und die Erfassung von Marketingdaten verwendet.
Purple bietet ein in der Cloud gehostetes Captive Portal, das sich über RADIUS in die lokale Netzwerk-Hardware integrieren lässt.
MAC Authentication Bypass (MAB)
Ein Mechanismus, der eine Netzwerkzugriffskontrolle basierend auf der MAC-Adresse eines Client-Geräts ermöglicht. Er wird in der Regel für Geräte verwendet, die keine 802.1X-Authentifizierung unterstützen.
Wird häufig in Gast-WiFi-Netzwerken verwendet, um Geräten eine nahtlose Wiederverbindung zu ermöglichen, ohne dass das Captive Portal wiederholt angezeigt wird.
Ausgearbeitete Beispiele
Eine Multi-Site-Einzelhandelsmarke mit 150 Filialen möchte ein sicheres WiFi-Netzwerk für Mitarbeiter bereitstellen. Derzeit wird in allen Filialen ein einziger Pre-Shared Key (PSK) verwendet, der häufig weitergegeben wird. Sie benötigen eine Lösung, die sich in ihr bestehendes Microsoft Azure Active Directory (jetzt Microsoft Entra ID) integrieren lässt und sicherstellt, dass sich Mitarbeiter nur über von der Organisation verwaltete Laptops authentifizieren können.
Um dies zu lösen, werden wir WPA3-Enterprise mit EAP-TLS-Authentifizierung implementieren, die über einen cloudbasierten RADIUS-Dienst in Microsoft Entra ID integriert wird.
- Private CA einrichten: Stellen Sie eine cloudbasierte Public Key Infrastructure (PKI) bereit oder nutzen Sie eine vorhandene Active Directory Certificate Services (AD CS)-Bereitstellung, um Gerätezertifikate an alle vom Unternehmen verwalteten Laptops auszustellen.
- Zertifikatsverteilung: Konfigurieren Sie das Mobile-Device-Management-System (MDM) der Organisation (z. B. Microsoft Intune) so, dass das Root-CA-Zertifikat und ein eindeutiges Client-Zertifikat automatisch an jeden verwalteten Laptop verteilt werden. Das Client-Zertifikat muss den Hostnamen oder die Seriennummer des Geräts im Subject Alternative Name (SAN) enthalten.
- Den Cloud-RADIUS-Server konfigurieren: Richten Sie einen Cloud-RADIUS-Dienst ein, der sich in Microsoft Entra ID integrieren lässt. Konfigurieren Sie den RADIUS-Server so, dass er eingehende Client-Zertifikate mit der vertrauenswürdigen privaten CA abgleicht.
- Die WLCs/APs konfigurieren: Konfigurieren Sie auf den Wireless-Controllern in jeder Filiale eine neue SSID namens
Retail_Staff. Stellen Sie die Sicherheit auf WPA3-Enterprise ein und verweisen Sie die Authentifizierung auf die IPs des Cloud-RADIUS-Servers unter Verwendung von RadSec (TCP-Port 2083), um den Authentifizierungsverkehr über das öffentliche Internet zu sichern. - Zugriffsrichtlinien definieren: Erstellen Sie auf dem RADIUS-Server eine Richtlinie, die den Zugriff nur zulässt, wenn das Client-Zertifikat gültig ist, das Zertifikat nicht gesperrt ist (überprüft via CRL oder OCSP) und die Geräteidentität in Microsoft Entra ID vorhanden und aktiv ist.
Ein großes Kongresszentrum mit bis zu 20.000 gleichzeitigen Nutzern muss ein Gäste-WiFi-Netzwerk bereitstellen. Das Netzwerk muss ein nahtloses Login-Erlebnis über ein Captive Portal bieten, ein Sitzungslimit von 3 Stunden zur Vermeidung von Bandbreiten-Hoarding erzwingen und die Einwilligung zum Marketing in Übereinstimmung mit der GDPR erfassen. Die Infrastruktur besteht aus Cisco Catalyst WLCs.
Wir werden eine Open SSID mit MAC Authentication Bypass (MAB) und eine in die Purple-Plattform integrierte Captive Portal-Weiterleitung implementieren.
- Konfigurieren Sie die Guest-SSID: Erstellen Sie auf dem Cisco WLC eine SSID mit dem Namen
Convention_Guest. Setzen Sie die Sicherheit auf Open. Aktivieren Sie das MAC-Filtering und wählen Sie die mit Purple verknüpfte RADIUS-Servergruppe aus. - Konfigurieren Sie die Weiterleitung: Richten Sie auf dem WLC eine Web-Auth-Richtlinie ein, um nicht authentifizierte Benutzer an die Captive Portal-URL von Purple weiterzuleiten:
https://portal.purplewifi.net/.... - Konfigurieren Sie den Walled Garden: Erstellen Sie auf dem WLC eine Access Control List (ACL) mit dem Namen
GUEST_RED_ACL. Diese ACL muss DNS-Traffic (UDP-Port 53), DHCP-Traffic (UDP-Ports 67 und 68) sowie Traffic von und zu den IP-Bereichen und CDNs von Purple zulassen. Jeder andere HTTP/HTTPS-Traffic muss weitergeleitet werden. - Konfigurieren Sie das RADIUS-Accounting: Aktivieren Sie das RADIUS-Accounting auf dem WLC und verweisen Sie auf die Accounting-Server von Purple mit einem Intervall für Zwischen-Updates (interim-update) von 10 Minuten.
- Konfigurieren Sie die Sitzungslimits: Konfigurieren Sie im Dashboard des Purple-Portals die Access Journey so, dass ein Sitzungstimeout von 3 Stunden erzwungen wird. Sobald ein Benutzer die Anmeldung abschließt und den DSGVO-konformen Marketingbedingungen zustimmt, sendet der RADIUS-Server von Purple ein Access-Accept-Paket an den Cisco WLC, das das Attribut
Session-Timeoutauf 10800 Sekunden (3 Stunden) festgelegt enthält. - Re-Authentifizierungs-Ablauf: Nach 3 Stunden beendet der WLC die Sitzung. Versucht der Benutzer, sich erneut zu verbinden, wird er wieder zum Captive Portal weitergeleitet, um sich erneut zu authentifizieren.
Übungsfragen
Q1. Ein Unternehmen hat kürzlich das SSL-Zertifikat auf seinem RADIUS-Server erneuert. Unmittelbar danach konnten sich mehrere vom Unternehmen verwaltete Windows-Laptops nicht mehr mit dem Mitarbeiter-WiFi-Netzwerk verbinden, während sich macOS- und iOS-Geräte problemlos verbinden konnten. Was ist die wahrscheinlichste Ursache für dieses Problem und wie sollte es gelöst werden?
Hinweis: Überlegen Sie, wie verschiedene Betriebssysteme Serverzertifikate validieren und welche Rolle die Zertifizierungsstellen-Kette (CA) dabei spielt.
Musterlösung anzeigen
Die wahrscheinlichste Ursache ist, dass das neue RADIUS-Serverzertifikat von einer anderen Zertifizierungsstelle (CA) oder einer Zwischen-CA ausgestellt wurde, der die betroffenen Windows-Laptops nicht vertrauen, oder dass die Windows-Gruppenrichtlinie so konfiguriert ist, dass sie die Verbindung zu einem bestimmten Servernamen oder einer Stamm-CA validiert, die nicht mit dem neuen Zertifikat übereinstimmt. macOS- und iOS-Geräte sind oft toleranter oder fordern den Benutzer auf, dem neuen Zertifikat manuell zu vertrauen, während Windows-Unternehmenskonfigurationen Verbindungen zu nicht vertrauenswürdigen Zertifikaten ohne Aufforderung strikt blockieren. Um dies zu beheben, stellen Sie sicher, dass die Stamm- und Zwischenzertifikate der neuen CA über die Gruppenrichtlinie oder ein MDM auf allen Windows-Geräten verteilt werden, und aktualisieren Sie die WiFi-Profilkonfiguration so, dass sie der neuen CA vertraut.
Q2. Während der Stoßzeiten in einem großen Sportstadion berichten Gast-WiFi-Nutzer, dass sie die Registrierung im Captive Portal erfolgreich abschließen, aber nicht zum Internet weitergeleitet werden. Stattdessen wird ihnen wiederholt die Login-Seite des Captive Portals angezeigt. Die WLC-Protokolle zeigen "RADIUS authentication timeout" an. Wie würden Sie dieses Problem diagnostizieren und beheben?
Hinweis: Analysieren Sie den Pfad des RADIUS-Pakets und die Timeout-Einstellungen auf dem Wireless Controller.
Musterlösung anzeigen
Dies ist ein klassisches, durch Latenz verursachtes Timeout-Problem. Während der Stoßzeiten führt ein hohes Datenverkehrsvolumen zu Engpässen auf der WAN-Verbindung oder zu einer hohen CPU-Auslastung auf dem RADIUS-Server, was die Antwort "RADIUS Access-Accept" verzögert. Da das Standard-Timeout des WLC zu niedrig eingestellt ist (normalerweise 2 Sekunden), nimmt der WLC an, dass der RADIUS-Server offline ist, und bricht die Sitzung ab, wodurch der Benutzer zurück zum Captive Portal geleitet wird. Zur Diagnose überprüfen Sie die Round-Trip-Time (RTT) von RADIUS-Paketen während der Stoßzeiten. Zur Behebung: 1) Erhöhen Sie das RADIUS-Timeout auf dem WLC auf 5 oder 7 Sekunden. 2) Erhöhen Sie die Anzahl der Wiederholungsversuche auf 3. 3) Implementieren Sie Quality of Service (QoS) auf dem WAN-Gateway, um den RADIUS-Verkehr (UDP 1812/1813) gegenüber dem allgemeinen Gast-Internetverkehr zu priorisieren.
Q3. Eine Sicherheitsüberprüfung zeigt, dass Gast-WiFi-Nutzer auf die internen Verwaltungsoberflächen der Netzwerkswitches und WLCs zugreifen können. Das Gastnetzwerk ist als Open SSID mit einem Captive Portal konfiguriert. Welche architektonischen Änderungen müssen vorgenommen werden, um diese Schwachstelle zu beheben?
Hinweis: Denken Sie an die Netzwerksegmentierung und daran, wo Richtlinien zur Zugriffskontrolle durchgesetzt werden sollten.
Musterlösung anzeigen
Um diese Schwachstelle zu beheben, muss eine strikte Netzwerksegmentierung erzwungen werden. Stellen Sie zunächst sicher, dass die Gast-SSID einem dedizierten Gast-VLAN (z. B. VLAN 20) zugewiesen ist, das vollständig vom Mitarbeiter-VLAN und dem Management-VLAN (in dem sich Switches und WLCs befinden) getrennt ist. Konfigurieren Sie zweitens Access Control Lists (ACLs) oder Firewall-Regeln auf dem Core-Router oder Gateway, um den gesamten Datenverkehr aus dem Gast-VLAN zu blockieren, der für interne private IP-Subnetze (RFC 1918-Bereiche) bestimmt ist, und richten Sie sich dabei speziell gegen die Management-IPs der Netzwerkinfrastruktur. Das Gast-VLAN sollte nur über Routing-Pfade zum Internet sowie zu den spezifischen DNS-Servern und Captive Portal-IPs verfügen, die für die Vorauthentifizierung erforderlich sind.
Weiterlesen in dieser Reihe
Passpoint und OpenRoaming: Das vollständige Handbuch
Dieses technische Referenzhandbuch bietet eine umfassende Analyse der Passpoint (Hotspot 2.0) und WBA OpenRoaming Frameworks in Enterprise WiFi Netzwerken. Es beschreibt detailliert die zugrundeliegenden Authentifizierungsprotokolle, Architekturkomponenten und Bereitstellungsstrategien, die für den Aufbau einer sicheren, reibungslosen Gastkonnektivität erforderlich sind. Netzwerkarchitekten und IT-Leiter erfahren, wie sie diese Standards entwerfen, implementieren und Fehler beheben, um manuelle Anmeldebarrieren zu beseitigen und gleichzeitig die Sicherheit auf Enterprise-Niveau aufrechtzuerhalten.
Implementierung von SCEP für sichere BYOD- und Netzwerkanmeldung im Hochschulbereich
Dieser technische Leitfaden bietet Netzwerkarchitekten und IT-Managern ein herstellerunabhängiges Konzept für die Bereitstellung von SCEP-basierten Zertifikatsanmeldungen zur Sicherung von Campusnetzwerken an Hochschulen. Er beschreibt im Detail die Migration von passwortbasiertem PEAP zu 802.1X EAP-TLS, die Automatisierung des BYOD-Onboardings und die Durchsetzung einer robusten VLAN-Segmentierung.
Server RADIUS: Ein umfassender Leitfaden für Unternehmen
Dieser Leitfaden bietet IT-Managern, Netzwerkarchitekten und CTOs eine definitive technische Referenz zur Server RADIUS-Authentifizierung für Enterprise-WiFi. Er behandelt das AAA-Framework, die 802.1X-Architektur, die Auswahl von EAP-Methoden, die Abwägung zwischen Cloud- und On-Premises-Bereitstellung sowie die dynamische VLAN-Zuweisung. Betreiber von Standorten in den Bereichen Hotellerie, Einzelhandel, Events und im öffentlichen Sektor finden hier praktische Implementierungsanleitungen, Fallstudien aus der Praxis und die Entscheidungsrahmen, die für die Migration von unsicheren Pre-Shared Keys zu einer sicheren, identitätsbasierten Netzwerkzugriffskontrollarchitektur erforderlich sind.