Zum Hauptinhalt springen

EAP-TLS vs EAP-TTLS: Welches zertifikatsbasierte WiFi Protokoll sollten Sie wählen?

Dieser Leitfaden bietet einen definitiven, direkten Vergleich von EAP-TLS und EAP-TTLS für die WiFi Authentifizierung in Unternehmen unter 802.1X. Er erklärt den architektonischen Unterschied zwischen gegenseitiger Zertifikatsauthentifizierung und reiner Server-Zertifikatstunnelung und bietet IT-Managern, Netzwerkarchitekten und CISOs einen klaren Entscheidungsrahmen auf der Grundlage von Geräteverwaltungsfunktionen und Compliance-Anforderungen. Purple unterstützt sowohl EAP-TLS- als auch EAP-TTLS-Authentifizierungspfade für Mitarbeiter-WiFi, und dieser Leitfaden hilft Unternehmen, die infrastrukturellen Kompromisse zu verstehen, bevor sie sich für einen der beiden Ansätze entscheiden.

📖 9 Min. Lesezeit📝 2,090 Wörter🔧 2 ausgearbeitete Beispiele4 Übungsfragen📚 10 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
EINFÜHRUNG UND KONTEXT (0:00 - 2:00) Hallo und herzlich willkommen zu diesem technischen Briefing von Purple. Ich bin Ihr Gastgeber, und heute analysieren wir die entscheidenden Unterschiede zwischen EAP-TLS und EAP-TTLS für die WiFi Authentifizierung in Unternehmen. Wenn Sie Netzwerkarchitekt oder IT-Leiter sind oder die Infrastruktur für große Veranstaltungsorte wie Einzelhandelsketten, Krankenhäuser oder Stadien verwalten, ist dieses Briefing speziell für Sie konzipiert. Wir werden direkt auf den Punkt kommen und die Sicherheitsarchitektur, die Abwägungen bei der Implementierung sowie die Auswahl des richtigen Protokolls für Ihre Umgebung besprechen. Lassen Sie uns direkt einsteigen. Bevor wir uns mit den Protokollen selbst befassen, lassen Sie uns den Rahmen abstecken. Die Mehrheit der WiFi Bereitstellungen in Unternehmen setzt heute immer noch auf ein einziges gemeinsames Passwort - einen Pre-Shared Key oder PSK. Jedes Gerät im Netzwerk verwendet dieselbe Anmeldevorstellung. Wenn ein Mitarbeiter das Unternehmen verlässt oder ein Gerät verloren geht, haben Sie zwei Möglichkeiten: das Passwort für alle zu ändern oder das Risiko zu akzeptieren, dass ein ehemaliger Mitarbeiter oder ein Dieb immer noch über gültige Anmeldedaten verfügt. Beides ist für ein seriöses Unternehmen nicht akzeptabel. Die Antwort lautet 802.1X, der IEEE-Standard für portbasierte Netzwerksicherheitskontrolle. 802.1X gibt jedem Gerät seine eigenen, individuellen Anmeldedaten. Wenn sich ein Gerät verbindet, gewährt der Access Point den Zugriff nicht direkt. Er leitet die Authentifizierungsanfrage an einen zentralen RADIUS Server weiter, der die Anmeldedaten überprüft und dem Access Point mitteilt, ob der Port geöffnet werden soll. Das Ergebnis ist eine überprüfbare, widerrufbare Zugriffskontrolle pro Gerät. Das ist das Fundament, auf dem sowohl EAP-TLS als auch EAP-TTLS aufbauen. Beide Protokolle sind Methoden des Extensible Authentication Protocol, oder EAP-Methoden, die innerhalb dieses 802.1X Frameworks arbeiten. Die Frage ist nicht, ob Sie 802.1X verwenden sollten. Die Frage ist, welche EAP-Methode Sie darin verwenden. Und genau das werden wir heute beantworten. TECHNISCHER DEEP-DIVE ZU EAP-TLS (2:00 - 5:30) Beginnen wir mit EAP-TLS, was für Transport Layer Security steht. EAP-TLS ist in RFC 5216 definiert und gilt weithin als der Goldstandard für die drahtlose Authentifizierung. Das Kernprinzip ist die gegenseitige Authentifizierung. Sowohl das Client-Gerät als auch der RADIUS Server müssen gültige digitale X.509-Zertifikate vorlegen, um ihre Identität nachzuweisen, bevor der Netzwerkzugriff gewährt wird. In keinem Schritt des Prozesses sind Passwörter involviert. Null. Dies ist aus Sicherheitsaspekten von enormer Bedeutung. Passwörter können durch Phishing gestohlen werden. Sie können durch Brute-Force-Angriffe erraten werden. Sie können bei einer Datenpanne bei einem Drittanbieterdienst entwendet werden, bei dem Ihr Mitarbeiter dasselbe Passwort wiederverwendet hat. Zertifikate können nicht durch Phishing gestohlen oder erraten werden und sind an ein bestimmtes Gerät gebunden. Wenn ein böswilliger Akteur in Ihr Netzwerk gelangen möchte, benötigt er das physische Gerät und dessen eingebetteten kryptografischen privaten Schlüssel. Das ist ein grundlegend anderes Bedrohungsmodell. Lassen Sie mich den EAP-TLS-Handshake im Detail erklären, denn das Verständnis verdeutlicht, warum das Protokoll so sicher ist. Wenn ein Gerät versucht, sich mit dem WiFi-Netzwerk zu verbinden, sendet der Access Point einen EAP-Request nach der Identität des Geräts. Das Gerät antwortet. Der Access Point leitet dies an den RADIUS-Server weiter. Der RADIUS-Server initiiert den TLS-Handshake, indem er eine Server-Hello-Nachricht zusammen mit seinem X.509-Zertifikat sendet. Der Client validiert dieses Serverzertifikat anhand seines Speichers für vertrauenswürdige Root-Zertifizierungsstellen. Wenn die Validierung fehlschlägt, wird der Handshake sofort beendet. Das Gerät verweigert die Verbindung. Dies schützt vor Evil-Twin-Angriffen, bei denen ein Hacker einen gefälschten Access Point einrichtet, um Ihr Netzwerk zu imitieren. Wenn das Serverzertifikat gültig ist, präsentiert der Client dem RADIUS-Server sein eigenes X.509-Zertifikat. Der RADIUS-Server validiert das Client-Zertifikat: Er überprüft die Signaturkette zurück zur vertrauenswürdigen Root-CA, stellt sicher, dass das Zertifikat nicht abgelaufen ist, und prüft die Certificate Revocation List (Zertifikatssperrliste), um sicherzustellen, dass das Zertifikat nicht gesperrt wurde. Erst wenn beide Seiten zufrieden sind, wird der TLS-Tunnel aufgebaut und die EAP-Success-Nachricht gesendet, die den Netzwerkzugriff gewährt. Der gesamte Austausch nutzt TLS 1.2 oder 1.3 und bietet Perfect Forward Secrecy. Dieses Sicherheitsniveau bringt jedoch eine betriebliche Anforderung mit sich: Sie benötigen eine Public-Key-Infrastruktur oder PKI. Mindestens benötigen Sie eine Offline-Root-Zertifizierungsstelle und eine Online-Aussteller-Zertifizierungsstelle. Die Root-CA sollte physisch vom Netzwerk getrennt sein (Air-Gap), da ihr privater Schlüssel der Hauptvertrauensanker für Ihre gesamte Zertifikatshierarchie ist. Die ausstellende CA übernimmt die tägliche Zertifikatsausstellung und veröffentlicht die Certificate Revocation List. Und entscheidend ist, dass Sie einen Mechanismus benötigen, um Client-Zertifikate auf jedem Gerät im Netzwerk bereitzustellen. Für eine Flotte von Tausenden von Geräten bedeutet dies die Integration Ihrer PKI in eine Mobile-Device-Management-Plattform über SCEP - das Simple Certificate Enrollment Protocol. Wenn ein firmeneigenes Gerät in Ihrem MDM registriert wird, fordert es automatisch sein Zertifikat an und erhält es ohne jegliche Benutzerinteraktion. IMPLEMENTIERUNGSSZENARIEN (5:30 - 8:00) Welches Protokoll sollten Sie also einsetzen? Die Entscheidung hängt fast ausschließlich von Ihren Funktionen zur Geräteverwaltung und Ihren Compliance-Anforderungen ab. Lassen Sie mich Ihnen einen praktischen Entscheidungsrahmen geben. Stellen Sie sich drei Fragen. Erstens: Werden alle Geräte, die sich mit diesem Netzwerk verbinden, über eine MDM-Plattform wie Microsoft Intune oder Jamf vom Unternehmen verwaltet? Wenn ja, verfügen Sie über die Infrastruktur zur Bereitstellung von Client-Zertifikaten, und EAP-TLS ist die richtige Wahl. Zweitens: Muss dieses Netzwerk die Anforderungen von PCI-DSS 4.0, HIPAA oder WPA3 Enterprise 192-Bit erfüllen? Wenn ja, ist EAP-TLS die erforderliche Wahl. Drittens: Haben Sie einen erheblichen Anteil an nicht verwalteten oder BYOD-Geräten? Wenn ja, ist EAP-TTLS die pragmatische Wahl für dieses Segment Ihres Netzwerks. Lassen Sie mich Ihnen zwei konkrete Praxisbeispiele nennen. Szenario eins: Eine nationale Einzelhandelskette mit vierhundert Filialen. Jedes Point-of-Sale-Terminal und jeder Handscanner des Personals ist in Microsoft Entra ID registriert. Das Netzwerk fällt in den Geltungsbereich von PCI-DSS 4.0. In dieser Umgebung implementieren Sie EAP-TLS. Sie richten eine private PKI ein, nutzen die Geräteverwaltung, um über SCEP eindeutige Client-Zertifikate auf jedes Gerät zu übertragen, und konfigurieren Ihren RADIUS-Server so, dass er die Zertifikatsperrliste überprüft. Wenn ein Gerät gestohlen wird, sperren Sie dessen Zertifikat und es ist innerhalb von Minuten aus dem Netzwerk entfernt. Kein Passwort muss zurückgesetzt werden. Kein gemeinsames Geheimnis muss über vierhundert Standorte hinweg geändert werden. Szenario zwei: Ein großer Universitäts-Campus mit zwanzigtausend Studenten, die persönliche Laptops, Smartphones und Tablets nutzen. Das IT-Team kann keine Zertifikate auf privaten Geräten installieren. In dieser Umgebung ist EAP-TTLS die pragmatische Wahl. Sie installieren ein vertrauenswürdiges Zertifikat auf Ihren RADIUS-Servern, integrieren dieses in Ihren Universitäts-Verzeichnisdienst und die Studenten authentifizieren sich mit ihren bestehenden Zugangsdaten innerhalb des sicheren Tunnels. Dies unterstützt Windows, macOS, Linux, Android und iOS ohne zusätzliche Software auf der Client-Seite. In vielen großen Unternehmen lautet die Antwort tatsächlich: beides. Sie implementieren EAP-TLS für Ihre verwalteten Unternehmensgeräte und EAP-TTLS oder ein separates sicheres Netzwerk für externe Mitarbeiter, Besucher und BYOD. Dies ist ein gängiges Muster in Hotelgruppen, wo die Geräte der Mitarbeiter verwaltet und mit Zertifikaten ausgestattet werden, während die für Gäste bestimmte Infrastruktur einen völlig anderen Authentifizierungspfad nutzt. SCHNELLE FRAGERUNDE (8:00 - 9:00) Lassen Sie mich Ihnen ein paar schnelle Antworten auf Fragen geben, die wir häufig von CTOs und Netzwerkarchitekten hören. Frage eins: Ist EAP-TLS für WPA3 Enterprise erforderlich? Wenn Sie die WPA3 Enterprise 192-Bit-Sicherheits-Suite implementieren, ja, dann ist EAP-TLS die einzige zulässige Methode. Es ist die einzige EAP-Methode, die die WPA3-Enterprise 192-Bit-Anforderungen der Wi-Fi Alliance erfüllt. Frage zwei: Können wir EAP-TTLS für IoT-Geräte verwenden? Im Allgemeinen nein. Displaylose IoT-Geräte wie Infusionspumpen oder Umgebungssensoren verfügen in der Regel nicht über die Schnittstelle, um komplexe interne Authentifizierungsmethoden zu verarbeiten. EAP-TLS ist für IoT tatsächlich besser geeignet, da Sie das Zertifikat bereits bei der Bereitstellung des Geräts einrichten können. Das Gerät authentifiziert sich automatisch, ohne dass eine Benutzerinteraktion erforderlich ist. Frage drei: Wie sieht es mit BYOD in einem EAP-TLS-Netzwerk aus? Für nicht verwaltete persönliche Geräte ist EAP-TLS im Betrieb schwierig. Sie können Onboarding-Portale nutzen, um ein temporäres Zertifikat bereitzustellen, aber das erhöht den Aufwand. Für BYOD ist EAP-TTLS oder ein dediziertes Gästenetzwerk mit entsprechender Segmentierung in der Regel die richtige Antwort. Frage vier: In welcher Beziehung steht dies zu Hardware-Anbietern? Sowohl EAP-TLS als auch EAP-TTLS werden auf allen wichtigen Enterprise WiFi Hardware-Plattformen unterstützt - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist und Ubiquiti UniFi. Die Konfigurationsdetails variieren je nach Plattform, aber die zugrundeliegenden Standards sind herstellerunabhängig. ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE (9:00 - 10:00) Zusammenfassend sind hier Ihre wichtigsten Erkenntnisse. EAP-TLS bietet die höchste Sicherheit durch gegenseitige Zertifikatsauthentifizierung. Es eliminiert das Passwortrisiko vollständig und ist die richtige Wahl für verwaltete Geräteflotten und regulierte Umgebungen. EAP-TTLS bietet starke Sicherheit durch serverseitige Zertifikate und verschlüsseltes Tunneln von Anmeldedaten. Es ist die richtige Wahl für gemischte oder BYOD-Umgebungen. Beide Protokolle erfordern, dass Sie die Validierung von Serverzertifikaten auf jedem Client erzwingen. Ohne diese schützt Sie keines der beiden Protokolle vor gefälschten Access Points. Und das Management des Zertifikatslebenszyklus ist die primäre betriebliche Herausforderung von EAP-TLS - automatisieren Sie es vom ersten Tag an über MDM und SCEP. Ihre nächsten Schritte? Überprüfen Sie Ihre aktuelle 802.1X-Bereitstellung. Wenn Sie sich immer noch auf gemeinsam genutzte Passwörter verlassen, planen Sie Ihre Migration. Prüfen Sie, ob Ihre Client-Supplicants das Serverzertifikat validieren. Und wenn Sie die Bereitstellung über mehrere Standorte oder ein verteiltes Unternehmen hinweg durchführen, sollten Sie einen in der Cloud gehosteten RADIUS-Service in Betracht ziehen, um den betrieblichen Aufwand zu verringern. Vielen Dank, dass Sie sich dieses technische Briefing von Purple angehört haben. Purple unterstützt sowohl EAP-TLS- als auch EAP-TTLS-Authentifizierungspfade für Staff WiFi an unseren über 80.000 Live-Standorten. Für detailliertere Bereitstellungshandbücher und um zu verstehen, wie unsere Analyse- und Identitätsplattformen in Ihre sicheren Netzwerke integriert werden, besuchen Sie purple dot ai.

header_image.png

Management-Zusammenfassung

Die Wahl der richtigen EAP-Methode für Ihre 802.1X Implementierung entscheidet darüber, ob Ihr Enterprise WiFi wirklich sicher oder nur auf dem Papier konform ist. EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), definiert in RFC 5216, erfordert eine gegenseitige Zertifikatsauthentifizierung: Sowohl das Client-Gerät als auch der RADIUS-Server legen gültige X.509-Zertifikate vor, bevor der Netzwerkzugriff gewährt wird. Zu keinem Zeitpunkt werden Passwörter ausgetauscht. EAP-TTLS (Tunneled Transport Layer Security), definiert in RFC 5281, erfordert nur ein serverseitiges Zertifikat, um einen verschlüsselten TLS-Tunnel aufzubauen, in dem sich der Client mit vorhandenen Verzeichnis-Anmeldedaten authentifiziert.

Für CTOs und Netzwerkarchitekten, die die Infrastruktur in Einzelhandelsketten, Hotel- und Gastronomiebetrieben sowie Organisationen des öffentlichen Sektors verwalten, läuft diese Entscheidung auf eine Frage hinaus: Verwalten Sie die Geräte? Wenn Sie die Geräteflotte über MDM kontrollieren, ist EAP-TLS die definitive Wahl. Wenn Sie eine vielfältige BYOD-Umgebung unterstützen oder keine robuste Public Key Infrastructure (PKI) besitzen, bietet EAP-TTLS eine pragmatische, hochsichere Alternative. Purple unterstützt beide Authentifizierungswege für Mitarbeiter-WiFi an über 80.000 Live-Standorten.

comparison_chart.png


Technischer Deep-Dive

Architektur von EAP-TLS

EAP-TLS basiert auf einem gegenseitigen Authentifizierungsmodell innerhalb des IEEE 802.1X portbasierten Zugriffskontroll-Frameworks. Jeder Authentifizierungsaustausch umfasst drei Kernkomponenten: den Supplicant (Client-Gerät), den Authenticator (Wireless Access Point) und den Authentifizierungsserver (RADIUS-Server). Der Access Point trifft die Authentifizierungsentscheidung nicht selbst. Er fungiert als transparentes Relay, kapselt EAP-Nachrichten in RADIUS-Pakete und leitet diese an den Authentifizierungsserver weiter. Der EAP-TLS Handshake läuft wie folgt ab. Der Access Point sendet einen EAP-Request/Identity an das verbindende Gerät. Das Gerät antwortet mit seiner Identität. Der RADIUS-Server initiiert den TLS Handshake mit einer EAP-TLS/Start-Nachricht. Der Client sendet ein ClientHello und kündigt seine unterstützten TLS-Verschlüsselungssammlungen an. Der RADIUS-Server antwortet mit einem ServerHello, seinem X.509-Serverzertifikat und einer Zertifikatsanforderung. Der Client validiert das Serverzertifikat anhand seines Speichers für vertrauenswürdige Root-CAs. Schlägt die Validierung fehl, wird der Handshake abgebrochen - was Schutz vor betrügerischen Access Points bietet. Der Client legt dann sein eigenes X.509-Zertifikat vor. Der RADIUS-Server validiert das Client-Zertifikat, prüft die Signaturkette bis zur vertrauenswürdigen Root-CA, verifiziert, dass das Zertifikat nicht abgelaufen ist, und prüft die Zertifikatssperrliste (CRL) oder fragt OCSP ab. Erst wenn beide Parteien zufrieden sind, wird der TLS-Tunnel etabliert und der Netzwerkzugriff gewährt.

Da keine Passwörter ausgetauscht werden, ist EAP-TLS sicher vor Offline-Wörterbuchangriffen, Credential Stuffing und Phishing. Es ist die einzige EAP-Methode, die die WPA3-Enterprise 192-Bit (Suite B) Anforderungen erfüllt, und sie wird von PCI-DSS 4.0 für Karteninhaber-Datenumgebungen sowie von NIST SP 800-120 für hochsichere Wireless-Bereitstellungen zwingend vorgeschrieben oder dringend empfohlen.

EAP-TLS erfordert eine PKI. Sie benötigen mindestens eine Offline-Root-CA und eine Online-Ausstellungs-CA. Die Root-CA muss physisch vom Netzwerk getrennt sein (Air-Gap), da ihr privater Schlüssel der Hauptvertrauensanker für Ihre gesamte Zertifikatshierarchie ist. Die ausstellende CA übernimmt die tägliche Zertifikatsausstellung und veröffentlicht CRLs. Client-Zertifikate werden für einzelne Geräte und nicht für Benutzer ausgestellt - dies ist ein Geräte-Identitätsmodell. Diese Unterscheidung ist entscheidend für IoT-Geräte, gemeinsam genutzte Terminals und bildschirmlose (headless) Systeme.

Struktur von EAP-TTLS

EAP-TTLS wurde entwickelt, um eine robuste 802.1X Sicherheit ohne den operativen Aufwand einer Zertifikatsbereitstellung auf jedem Client-Gerät zu bieten. Es arbeitet in zwei Phasen. In der ersten Phase präsentiert der RADIUS-Server sein Zertifikat und baut einen sicheren TLS-Tunnel auf. Nur der Server benötigt ein Zertifikat. In der zweiten Phase wird der Client innerhalb dieses verschlüsselten Tunnels mit einer internen Authentifizierungsmethode autorisiert. Zu den gängigen internen Methoden gehören PAP (Password Authentication Protocol), CHAP und MS-CHAPv2. Der Client sendet seinen Benutzernamen und sein Passwort, aber da dieser Austausch innerhalb des TLS-Tunnels stattfindet, sind die Anmeldedaten bei der Übertragung verschlüsselt und werden niemals über die Luft übertragen.

EAP-TTLS bietet eine hervorragende plattformübergreifende Unterstützung für macOS, Linux, Android und iOS. Der Haken liegt bei Windows: Der integrierte Windows-Supplicant unterstützt EAP-TTLS für kabelloses 802.1X standardmäßig nicht nativ. Umgebungen mit einer hohen Anzahl von Windows-Geräten erfordern möglicherweise einen Supplicant eines Drittanbieters, was die operative Komplexität erhöht. Für Windows-zentrierte Umgebungen ist PEAP mit MS-CHAPv2 oft die pragmatischere Wahl.

Die größte Einschränkung von EAP-TTLS besteht darin, dass es die inhärenten Risiken von Passwörtern nicht beseitigt. Wenn ein Benutzer ein schwaches Passwort wählt, bleibt es anfällig für Offline-Brute-Force-Angriffe. Wenn die interne Authentifizierung PAP verwendet, wird das Passwort im Klartext innerhalb des Tunnels gesendet - was akzeptabel ist, wenn Sie Ihrer RADIUS-Infrastruktur vertrauen, aber ein wesentliches Vertrauensmodell bleibt, das man verstehen muss.

Vergleich im direkten Vergleich

Funktion EAP-TLS EAP-TTLS
RFC Standard RFC 5216 RFC 5281
Client-Zertifikat erforderlich Ja Nein
Server-Zertifikat erforderlich Ja Ja
Authentifizierungsmodell Beidseitig (Mutual) Nur Server
Passwort-Risiko Keines - Passwortlos Passwort in verschlüsseltem Tunnel
PKI-Anforderung Vollständige PKI (Root CA + Ausstellende CA + MDM) Nur Server-Zertifikat
WPA3-Enterprise 192-bit Erforderliche Methode Nicht unterstützt
PCI-DSS 4.0 Konformität Dringend empfohlen Akzeptabel mit starker interner Authentifizierung
BYOD-Eignung Niedrig (erfordert Client-Zertifikat) Hoch (nur Anmeldedaten)
IoT-Geräte-Eignung Hoch (Zertifikat bei Bereitstellung installiert) Niedrig (keine Benutzeroberfläche zur Eingabe von Anmeldedaten)
Windows-native Unterstützung Ja Teilweise (erfordert oft Drittanbieter-Supplicant)
macOS/Linux/Android Unterstützung Ja Ja
Komplexität der Bereitstellung Hoch Mittel

Implementierungshandbuch

Bereitstellung von EAP-TLS für verwaltete Geräteflotten

Die Bereitstellung von EAP-TLS erfordert eine funktionierende PKI und eine MDM-Plattform. Eine manuelle Zertifikatsinstallation ist auf Unternehmensebene nicht praktikabel. Sie müssen Ihre PKI über SCEP (Simple Certificate Enrolment Protocol) oder EST (Enrolment over Secure Transport) in Ihr MDM integrieren. Wenn ein firmeneigenes Gerät registriert wird, fordert es sein Zertifikat automatisch an und erhält es ohne Benutzereingriff.

Für das Identitätsmanagement fungiert Purple als kostenloser Identitätsanbieter für Dienste wie OpenRoaming unter der Connect-Lizenz und erleichtert das sichere Roaming über verschiedene Standorte hinweg unter Verwendung der zugrunde liegenden Zertifikats- und Identitäts-Frameworks.

Konfigurieren Sie auf der RADIUS-Seite Ihren Server so, dass er Client-Zertifikate mit Ihrer internen CA abgleicht und CRLs überprüft oder OCSP für die Echtzeit-Sperrprüfung verwendet. Zu den unterstützten RADIUS-Plattformen gehören FreeRADIUS, Microsoft NPS und Cisco ISE. Das Cloud-Overlay von Purple lässt sich in Hardware von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet integrieren.

Bereitstellung von EAP-TTLS für gemischte Umgebungen

EAP-TTLS ist die optimale Wahl für Umgebungen mit unverwalteten Geräten. Sie müssen lediglich ein vertrauenswürdiges Zertifikat auf Ihrem RADIUS-Server bereitstellen. Stellen Sie sicher, dass Ihr RADIUS-Server direkt in Ihren Verzeichnisdienst - Microsoft Entra ID, Okta oder Google Workspace - integriert ist, um die internen Anmeldedaten zu validieren. Konfigurieren Sie Ihre über MDM bereitgestellten WiFi-Profile so, dass sie die Validierung des Server-Zertifikats anhand Ihrer spezifischen vertrauenswürdigen CA erzwingen. Ohne diesen Schritt bietet der TLS-Tunnel keinen Schutz vor gefälschten Access Points. decision_framework.png


Best Practices

Server-Zertifikatsvalidierung auf jedem Client erzwingen

Der wichtigste Konfigurationsschritt sowohl für EAP-TLS als auch für EAP-TTLS besteht darin, die Server-Zertifikatsvalidierung auf den Client-Geräten zu erzwingen. Wenn ein Gerät das Zertifikat des RADIUS-Servers nicht anhand einer bestimmten vertrauenswürdigen CA validiert, verbindet es sich mit jedem Server, der ein beliebiges Zertifikat vorlegt - einschließlich eines gefälschten Access Points. Geben Sie in Ihren über MDM bereitgestellten WiFi-Profilen immer die vertrauenswürdige CA und den erwarteten Servernamen an. Diese einzige Konfigurationsprüfung ist die effektivste Sicherheitsverbesserung, die Sie heute implementieren können.

Automatisiertes Zertifikats-Lifecycle-Management

Zertifikate laufen ab. Wenn Sie keinen automatisierten Erneuerungsprozess haben, müssen Sie mit massiven Authentifizierungsfehlern rechnen, sobald Zertifikate gleichzeitig ablaufen. Nutzen Sie SCEP oder EST zur Automatisierung von Erneuerungen und konfigurieren Sie Überwachungswarnungen rechtzeitig vor dem Ablaufdatum. Wenn ein Gerät verloren geht oder ein Mitarbeiter das Unternehmen verlässt, widerrufen Sie das Zertifikat sofort. Konfigurieren Sie Ihren RADIUS-Server so, dass er CRLs prüft, oder nutzen Sie OCSP für eine Echtzeit-Validierung.

Segmentieren Sie Ihr Netzwerk nach Authentifizierungsmethode

In großen oder verteilten Umgebungen sollten Sie in Betracht ziehen, beide Protokolle auf separaten SSIDs zu betreiben. Vom Unternehmen verwaltete Geräte authentifizieren sich über EAP-TLS auf einer dedizierten WiFi-SSID für Mitarbeiter. Externe Mitarbeiter und BYOD-Geräte authentifizieren sich über EAP-TTLS auf einer separaten SSID mit entsprechender VLAN-Segmentierung. Dieses Muster ist in Hotelgruppen wie Premier Inn und Whitbread weit verbreitet, wo Mitarbeitergeräte verwaltet und mit Zertifikaten versehen werden, während die Infrastruktur für Gäste einen separaten Authentifizierungspfad nutzt. Weitere Informationen zur SSID-Architektur finden Sie in unserem Leitfaden Three SSIDs to rule them all: the WiFi design for guest, staff and IoT .

Zeitsynchronisation in der gesamten Infrastruktur

Die Zertifikatsvalidierung beruht auf einer präzisen Systemzeit. Uhrzeitabweichungen auf Client-Geräten oder RADIUS-Servern führen zu Fehlern wie "noch nicht gültig" oder "abgelaufen", die schwer zu diagnostizieren sind. Stellen Sie sicher, dass alle Infrastrukturkomponenten mit zuverlässigen NTP-Servern synchronisiert sind.


Fehlerbehebung und Risikominimierung

Unknown CA (Unbekannte CA) Fehler

Wenn RADIUS-Protokolle "unknown CA" anzeigen, vertraut das Client-Gerät der CA nicht, die das Zertifikat des RADIUS-Servers ausgestellt hat. Überprüfen Sie, ob Ihr MDM-Profil das Root-CA-Zertifikat enthält und der Supplicant so konfiguriert ist, dass er diesem vertraut. Senden Sie nach einer CA-Rotation oder einer Zertifikatsverlängerung das aktualisierte CA-Bundle erneut an alle Geräte.

EAP-Methoden-Fehlanpassung

Wenn sich Geräte mit dem Access Point verbinden, aber die Authentifizierung fehlschlägt, prüfen Sie, ob die auf dem Client konfigurierte EAP-Methode mit der vom RADIUS-Server akzeptierten Methode übereinstimmt. Ein für EAP-TLS eingerichtetes Geräteprofil schlägt auf einem RADIUS-Server fehl, der nur für PEAP konfiguriert ist.

Massenausfälle aufgrund abgelaufener Zertifikate

Wenn eine große Anzahl von Geräten gleichzeitig die Authentifizierung verweigert, überprüfen Sie zuerst die Ablaufdaten der Zertifikate. Dies ist die häufigste Ursache für Massenausfälle von 802.1X in EAP-TLS-Bereitstellungen. Implementieren Sie ein Überwachungssystem, das 60 Tage, 30 Tage und sieben Tage vor dem Ablauf Warnmeldungen sendet.

Fehlkonfiguration des RADIUS-Clients

Jeder Access Point oder Wireless-Controller muss als RADIUS-Client mit der korrekten IP-Adresse und dem gemeinsamen Geheimnis (Shared Secret) definiert sein. Abweichungen führen zu Authentifizierungs-Timeouts, die oft fälschlicherweise der EAP-Methode zugeschrieben werden. Aktivieren Sie von Tag eins an eine detaillierte RADIUS-Protokollierung. Weitere Anleitungen zur Fehlerbehebung bei WiFi finden Sie in unserem Leitfaden Troubleshooting Public WiFi: Fixing 'Connected, No Internet' and Splash Page Redirection Failures .


Compliance und Einhaltung gesetzlicher Vorschriften

Für CISOs und Netzwerkarchitekten ist das Verständnis der regulatorischen Landschaft bei der Entscheidung zwischen EAP-TLS und EAP-TTLS von entscheidender Bedeutung. Die Wahl der EAP-Methode wirkt sich direkt auf Ihren Compliance-Status in verschiedenen wichtigen Frameworks aus.

PCI-DSS 4.0 (Payment Card Industry Data Security Standard) erfordert eine starke kryptografische Authentifizierung für drahtlose Netzwerke in Karteninhaber-Datenumgebungen. Anforderung 8.3 schreibt eine Multi-Faktor-Authentifizierung für jeden Zugriff auf die CDE vor, und im Geltungsbereich befindliche drahtlose Netzwerke müssen starke Authentifizierungsmechanismen nutzen. EAP-TLS mit zertifikatsbasierter gegenseitiger Authentifizierung erfüllt diese Anforderung definitiv. EAP-TTLS mit MS-CHAPv2 ist akzeptabel, wenn die innere Authentifizierung ordnungsgemäß gesichert ist und die Validierung des Serverzertifikats erzwungen wird, aber EAP-TLS ist die robustere und auditorenfreundlichere Wahl. HIPAA (Health Insurance Portability and Accountability Act) verlangt von betroffenen Organisationen die Implementierung technischer Sicherheitsvorkehrungen zum Schutz elektronischer, geschützter Gesundheitsdaten (ePHI), die über elektronische Kommunikationsnetze übertragen werden. Die HIPAA-Sicherheitsregel schreibt keine bestimmten Protokolle vor, aber die Erwartung von Verschlüsselung und Zugriffskontrolle für WiFi-Netzwerke, die ePHI übertragen, spricht stark für EAP-TLS bei verwalteten medizinischen Geräteflotten und für EAP-TTLS mit erzwungener Serverzertifikatsvalidierung bei Mitarbeitergeräten. WPA3-Enterprise 192-bit (auch bekannt als Suite B oder CNSA-Modus) ist die höchste Sicherheitsstufe der WPA3-Zertifizierung der Wi-Fi Alliance. Sie schreibt EAP-TLS als einzig zulässige Authentifizierungsmethode vor, erfordert TLS 1.2 oder höher mit spezifischen Verschlüsselungssammlungen (ECDHE mit P-384, AES-256-GCM) und setzt ECDSA- oder RSA-3072-Zertifikate voraus. Organisationen, die WPA3-Enterprise 192-bit für Regierungs-, Verteidigungs- oder kritische Infrastrukturanwendungen bereitstellen, müssen EAP-TLS verwenden. ISO 27001 schreibt keine bestimmten Protokolle vor, verlangt jedoch von Organisationen, angemessene Zugriffskontrollen für Netzwerkressourcen zu implementieren. Eine 802.1X-Bereitstellung mit entweder EAP-TLS oder EAP-TTLS (mit erzwungener Serverzertifikatsvalidierung) erfüllt die Anforderungen an die Netzwerkzugriffskontrolle der Anhänge A.9.1 und A.13.1.


ROI und geschäftliche Auswirkungen

Die Migration zu EAP-TLS erfordert eine Anfangsinvestition in die PKI- und MDM-Integration, beseitigt jedoch den betrieblichen Aufwand für Passwortzurücksetzungen und das finanzielle Risiko von Netzwerkverletzungen durch kompromittierte Anmeldedaten. Für eine Einzelhandelskette mit 400 Filialen kann ein einziges kompromittiertes Passwort in einem gemeinsam genutzten PSK-Netzwerk das gesamte Unternehmen gefährden. EAP-TLS eliminiert diesen Angriffsvektor vollständig.

In mandantenfähigen Umgebungen und Verkehrsknotenpunkten stellt eine sichere Authentifizierung sicher, dass nur autorisierte Benutzer auf die Netzwerkbandbreite zugreifen, wodurch die Auslastung der Infrastruktur optimiert wird. Die dynamische VLAN-Zuweisung über RADIUS-Zertifikatsattribute ermöglicht eine kryptografisch erzwungene Netzwerksegmentierung. Dies stellt sicher, dass Geräte basierend auf den Zertifikatseigenschaften im richtigen Netzwerksegment platziert werden, anstatt sich auf die SSID-Auswahl oder MAC-Adressfilterung zu verlassen.

Die WiFi Analytics -Plattform von Purple lässt sich in beide Authentifizierungspfade integrieren und bietet Transparenz über Geräteanzahl, Sitzungsdauer und Netzwerkauslastung in Ihrer gesamten Infrastruktur. Für branchenspezifische Bereitstellungsrichtlinien finden Sie weitere Informationen in unseren Ressourcen für Hospitality , Retail , Healthcare und Transport .

Schlüsseldefinitionen

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Eine in RFC 5216 definierte 802.1X-Authentifizierungsmethode, bei der sowohl das Client-Gerät als auch der RADIUS-Server gültige X.509-Zertifikate vorweisen müssen. Es werden keine Passwörter ausgetauscht. Die Authentifizierung erfolgt gegenseitig und ist kryptografisch gebunden.

Der Goldstandard für die Sicherheit von Unternehmens-WiFi. Erforderlich für WPA3-Enterprise 192-Bit und dringend empfohlen für PCI-DSS 4.0-Karteninhaberdaten-Umgebungen.

EAP-TTLS (Extensible Authentication Protocol - Tunneled Transport Layer Security)

Eine in RFC 5281 definierte 802.1X-Authentifizierungsmethode, die nur ein serverseitiges Zertifikat erfordert, um einen verschlüsselten TLS-Tunnel aufzubauen. Der Client authentifiziert sich innerhalb des Tunnels über eine sekundäre innere Authentifizierungsmethode, in der Regel mit Benutzername und Passwort.

Die bevorzugte Wahl für BYOD-Umgebungen und Netzwerke mit gemischten Betriebssystemen, in denen die Bereitstellung von Client-Zertifikaten operativ unpraktisch ist.

802.1X

Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen. Er definiert die Rollen von Supplicant, Authenticator und Authentifizierungsserver.

Das grundlegende Framework, das es Unternehmensnetzwerken ermöglicht, einzelne Geräte zu authentifizieren, anstatt sich auf ein einziges gemeinsames Passwort zu verlassen. Sowohl EAP-TLS als auch EAP-TTLS arbeiten innerhalb dieses Frameworks.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentralisierte Authentifizierungs-, Autorisierungs- und Accounting-Verwaltung für Benutzer bereitstellt, die eine Verbindung zu einem Netzwerkdienst herstellen. In 802.1X-Bereitstellungen ist der RADIUS-Server der Authentifizierungsserver, der Zertifikate oder Anmeldedaten überprüft.

Die Serverkomponente, die die Zertifikate oder Passwörter überprüft und dem Access Point mitteilt, ob der Netzwerkzugriff gewährt oder verweigert werden soll. Zu den unterstützten Plattformen gehören FreeRADIUS, Microsoft NPS und Cisco ISE.

PKI (Public Key Infrastructure)

Eine Reihe von Rollen, Richtlinien, Hardware, Software und Verfahren, die erforderlich sind, um digitale Zertifikate zu erstellen, zu verwalten, zu verteilen, zu verwenden, zu speichern und zu widerrufen. Eine typische Unternehmens-PKI besteht aus einer Offline-Root-CA und einer Online-Ausstellungs-CA.

Die Backend-Infrastruktur, die erforderlich ist, um die bei der EAP-TLS-Authentifizierung verwendeten Client- und Serverzertifikate auszustellen. Ohne eine PKI kann EAP-TLS nicht bereitgestellt werden.

MDM (Mobile Device Management)

Software, die von IT-Abteilungen verwendet wird, um die Mobilgeräte und Laptops von Mitarbeitern zu überwachen, zu verwalten und zu sichern. MDM-Plattformen wie Microsoft Intune und Jamf können die Bereitstellung von Zertifikaten und WiFi-Profilen auf registrierten Geräten automatisieren.

Unerlässlich für die Automatisierung der Bereitstellung von Client-Zertifikaten für EAP-TLS in großem Maßstab. Ohne MDM-Integration ist die manuelle Installation von Zertifikaten auf Tausenden von Geräten operativ unmöglich.

SCEP (Simple Certificate Enrollment Protocol)

Ein Protokoll, das zur Automatisierung der Ausstellung digitaler Zertifikate an Netzwerkgeräte verwendet wird. MDM-Plattformen nutzen SCEP, um Zertifikate im Hintergrund und ohne Benutzerinteraktion auf registrierten Unternehmensgeräten anzufordern und zu installieren.

Der Standardmechanismus für die Zero-Touch-Zertifikatsbereitstellung in EAP-TLS-Szenarien. Unterstützt von Microsoft Intune, Jamf und den meisten MDM-Plattformen für Unternehmen.

CRL (Certificate Revocation List)

Eine Liste digitaler Zertifikate, die von der ausstellenden Zertifizierungsstelle vor ihrem geplanten Ablaufdatum widerrufen wurden. RADIUS-Server überprüfen die CRL, um sicherzustellen, dass das Zertifikat eines verbindenden Geräts noch gültig ist.

Der Mechanismus, mit dem Sie ein gestohlenes oder kompromittiertes Gerät sofort vom Netzwerk ausschließen können, indem Sie dessen Zertifikat widerrufen. RADIUS-Server sollten so konfiguriert sein, die CRL häufig zu überprüfen, oder OCSP für eine Echtzeit-Validierung nutzen.

X.509

Ein ITU-T-Standard, der das Format von Public-Key-Zertifikaten definiert. Sowohl EAP-TLS als auch EAP-TTLS verwenden X.509-Zertifikate für die Serverauthentifizierung. EAP-TLS erfordert zudem X.509-Zertifikate auf dem Client-Gerät.

Das Zertifikatsformat, das in allen Enterprise-PKI-Bereitstellungen verwendet wird. Wenn IT-Teams im Kontext von 802.1X von "digitalen Zertifikaten" sprechen, meinen sie X.509-Zertifikate.

Innere Authentifizierungsmethode

Das sekundäre Authentifizierungsprotokoll, das innerhalb des durch EAP-TTLS aufgebauten verschlüsselten TLS-Tunnels verwendet wird. Häufige innere Methoden sind PAP (Password Authentication Protocol), CHAP und MS-CHAPv2.

Die Wahl der inneren Authentifizierungsmethode beeinflusst die Sicherheitseigenschaften einer EAP-TTLS-Bereitstellung. PAP sendet das Passwort im Klartext innerhalb des Tunnels; MS-CHAPv2 verwendet ein Challenge-Response-Verfahren. Der Tunnel verschlüsselt den gesamten Datenverkehr der inneren Authentifizierung.

Ausgearbeitete Beispiele

Eine nationale Einzelhandelskette mit 400 Filialen muss ihre Point-of-Sale (POS)-Terminals und die Handscanner der Mitarbeiter sichern. Die Umgebung fällt in den Anwendungsbereich von PCI-DSS 4.0. Alle Geräte sind in Microsoft Intune registriert. Welches Protokoll sollten sie bereitstellen und was sind die wichtigsten Konfigurationsschritte?

Stellen Sie EAP-TLS bereit. Schritt 1: Richten Sie eine zweistufige PKI mit einer physisch vom Netz getrennten Offline-Root-CA und einer Online-Ausstellungs-CA ein. Schritt 2: Konfigurieren Sie Microsoft Intune mit einem SCEP-Zertifikatsprofil, das auf alle POS- und Scannergeräte abzielt. Schritt 3: Stellen Sie einen RADIUS Server (Microsoft NPS oder Cloud-RADIUS) bereit und konfigurieren Sie ihn so, dass er Client-Zertifikate mit der internen CA abgleicht. Schritt 4: Aktivieren Sie die CRL-Prüfung oder OCSP auf dem RADIUS Server. Schritt 5: Übertragen Sie ein WiFi Profil via Intune, das die SSID, EAP-TLS als Authentifizierungsmethode, die vertrauenswürdige Root-CA und den erwarteten RADIUS Servernamen angibt. Schritt 6: Testen Sie das Verfahren mit einer Pilotgruppe von 10 Geräten, bevor Sie es für alle 400 Standorte bereitstellen. Schritt 7: Richten Sie einen Prozess zur Überwachung des Zertifikatsablaufs mit Warnmeldungen 60, 30 und sieben Tage vor dem Ablauf ein.

Kommentar des Prüfers: EAP-TLS ist die richtige Wahl, da PCI-DSS 4.0 eine gegenseitige Zertifikatsauthentifizierung für drahtlose Netzwerke in der Karteninhaberdaten-Umgebung dringend empfiehlt. Die Verwendung von Passwörtern (EAP-TTLS) für POS-Geräte birgt ein unannehmbares Risiko des Diebstahls von Zugangsdaten. Die MDM-Integration via SCEP ist unerlässlich - eine manuelle Zertifikatsinstallation an 400 Standorten ist betrieblich unmöglich. Die häufigste Fehlerquelle in diesem Szenario ist das Vergessen, die Server-Zertifikatsvalidierung im Intune-WiFi-Profil zu erzwingen, was die Geräte trotz der EAP-TLS-Bereitstellung anfällig für Evil-Twin-Angriffe machen würde.

Ein großer Universitätscampus muss sicheres WiFi für 20.000 Studenten bereitstellen, die eine Mischung aus privaten Laptops, Smartphones und Tablets nutzen (BYOD). Das IT-Team kann keine Zertifikate auf privaten Geräten installieren. Die Universität nutzt Microsoft Entra ID für das Identitätsmanagement. Welches Protokoll sollten sie bereitstellen?

Stellen Sie EAP-TTLS mit MS-CHAPv2 als innere Authentifizierungsmethode bereit, integriert mit Microsoft Entra ID via RADIUS. Schritt 1: Beziehen Sie ein Server-Zertifikat von einer öffentlichen CA, der alle gängigen Betriebssysteme vertrauen, oder stellen Sie eine interne CA bereit und verteilen Sie das Root-Zertifikat über die Geräteverwaltungstools der Universität für verwaltete Geräte. Schritt 2: Konfigurieren Sie den RADIUS Server für die Authentifizierung gegen Microsoft Entra ID mittels LDAP oder RADIUS Proxy. Schritt 3: Erstellen Sie einen Leitfaden zur WiFi Einrichtung für Studenten, in dem die SSID, EAP-TTLS, MS-CHAPv2 und die vertrauenswürdige CA angegeben sind. Schritt 4: Setzen Sie strenge Passwortrichtlinien auf Microsoft Entra ID Ebene durch und erwägen Sie die Aktivierung der Multi-Faktor-Authentifizierung für die Erstanmeldung. Schritt 5: Konfigurieren Sie das WiFi Profil so, dass die Server-Zertifikatsvalidierung erzwungen wird, und geben Sie die vertrauenswürdige CA sowie den Namen des RADIUS Servers an.

Kommentar des Prüfers: EAP-TTLS ist hier die pragmatische Wahl. Die Verwaltung einer PKI für 20.000 unverwaltete private Geräte ist operativ unmöglich. EAP-TTLS bietet einen sicheren Tunnel für die Anmeldedaten und schützt sie vor dem Abfangen über die Luft, während gleichzeitig verschiedene Betriebssysteme wie Windows, macOS, Linux, Android und iOS unterstützt werden. Das kritische Risiko in diesem Szenario besteht darin, dass Schüler ihre Geräte falsch konfigurieren und die Serverzertifikatsvalidierung überspringen. Die Veröffentlichung einer klaren Onboarding-Anleitung mit genauen Konfigurationsschritten und die Verwendung eines öffentlich vertrauenswürdigen Serverzertifikats verringert dieses Risiko erheblich.

Übungsfragen

Q1. Sie stellen EAP-TLS für eine Flotte von 5.000 Unternehmens-Laptops an 50 Bürostandorten bereit. Nach dem Push des WiFi-Profils über Microsoft Intune schlagen die Verbindungsversuche der Geräte fehl. Die RADIUS-Server-Protokolle zeigen bei jedem fehlgeschlagenen Authentifizierungsversuch "Unknown CA" an. Was ist die wahrscheinlichste Ursache und wie lösen Sie das Problem?

Hinweis: Berücksichtigen Sie die Zertifikatsvalidierungskette auf der Client-Seite und was das MDM-Profil über die reine EAP-Methodeinstellung hinaus enthalten muss.

Musterlösung anzeigen

Die Client-Geräte sind nicht so konfiguriert, dass sie der internen Zertifizierungsstelle vertrauen, die das Zertifikat des RADIUS-Servers ausgestellt hat. Das MDM-WiFi-Profil muss das Root-CA-Zertifikat (und alle Zwischenzertifikate) enthalten und den Supplicant so konfigurieren, dass er diesen für die Servervalidierung vertraut. Ohne diese Konfiguration lehnt der Client das Zertifikat des RADIUS-Servers ab und bricht den Handshake ab. Lösung: Aktualisieren Sie das Intune-WiFi-Profil, um das vertrauenswürdige Root-CA-Zertifikat unter der Einstellung "Stammzertifikat für die Servervalidierung" einzufügen, und pushen Sie das Profil erneut auf alle Geräte.

Q2. Ihre Organisation hat EAP-TTLS für eine gemischte BYOD-Umgebung bereitgestellt. Während einer Sicherheitsüberprüfung demonstriert Ihr Penetrationstest-Team, dass es Benutzeranmeldedaten abfangen kann, indem es einen Rogue Access Point mit einem selbstsignierten Zertifikat einrichtet. Wie beheben Sie diese Schwachstelle, ohne auf EAP-TLS zu migrieren?

Hinweis: Überlegen Sie, was vor der inneren Authentifizierung geschieht und welche Konfiguration auf der Client-Seite verhindert, dass der TLS-Tunnel mit einem nicht vertrauenswürdigen Server aufgebaut wird.

Musterlösung anzeigen

Die Schwachstelle besteht darin, dass die Client-Geräte nicht für die Validierung des RADIUS-Serverzertifikats konfiguriert sind. Behebung: Aktualisieren Sie alle WiFi-Profile (über MDM für verwaltete Geräte und über eine neue Onboarding-Anleitung für BYOD), um die Serverzertifikatsvalidierung zu erzwingen. Geben Sie die vertrauenswürdige CA und den erwarteten RADIUS-Servernamen im Profil an. So konfigurierte Clients verweigern den Aufbau des TLS-Tunnels mit jedem Server, der kein von der angegebenen vertrauenswürdigen CA signiertes Zertifikat vorweisen kann, wodurch der Angriffsvektor über den Rogue Access Point eliminiert wird.

Q3. Der IT-Leiter eines Krankenhauses möchte 802.1X für seine medizinischen IoT-Geräte (Infusionspumpen, Patientenmonitore, Umgebungssensoren) bereitstellen. Er zieht EAP-TTLS in Erwägung, da er das Zertifikatsmanagement für zu komplex hält. Warum ist diese Argumentation fehlerhaft und was ist der richtige Ansatz?

Hinweis: Überlegen Sie, wie bildschirmlose IoT-Geräte mit Authentifizierungsaufforderungen umgehen und was passiert, wenn ein Gerät keine Anmeldedaten eingeben kann.

Musterlösung anzeigen

Die Argumentation ist aus zwei Gründen fehlerhaft. Erstens verfügen die meisten Headless-Medizin-IoT-Geräte über keine Benutzeroberfläche zur Eingabe von Zugangsdaten, was den Betrieb von EAP-TTLS mit einer inneren Authentifizierung über Benutzername/Passwort unmöglich macht. Zweitens ist EAP-TLS in der Praxis für IoT tatsächlich einfacher: Zertifikate können während der Bereitstellung der Geräte vor dem Rollout aufgespielt werden, und das Gerät authentifiziert sich automatisch ohne Benutzerinteraktion. Der richtige Ansatz ist EAP-TLS mit Zertifikaten, die über das bei der Bereitstellung verwendete Geräteverwaltungssystem bereitgestellt werden. Dies erfüllt auch die HIPAA-Anforderungen für eine starke drahtlose Authentifizierung im Gesundheitswesen.

Q4. Sie sind der Netzwerkarchitekt für eine Hotelgruppe mit 200 Standorten. Sie müssen das Mitarbeiter-WiFi für 3.000 verwaltete Mitarbeitergeräte (in Intune registriert) sichern und außerdem sicheres WiFi für Auftragnehmer und Drittanbieter bereitstellen, die ihre eigenen Laptops mitbringen. Entwerfen Sie die Authentifizierungsarchitektur.

Hinweis: Überlegen Sie, ob eine einzelne SSID mit einer einzigen EAP-Methode beide Zielgruppen bedienen kann und welche Auswirkungen auf die Netzwerksegmentierung sich aus den beiden Benutzertypen ergeben.

Musterlösung anzeigen

Richten Sie zwei separate SSIDs mit unterschiedlichen Authentifizierungsmethoden und VLAN-Zuweisungen ein. SSID 1 (Mitarbeiter-WiFi): EAP-TLS, Zertifikate werden via Intune SCEP bereitgestellt, VLAN ist dem Segment des Mitarbeiternetzwerks mit vollem Zugriff auf die Hotelverwaltungssysteme zugewiesen. SSID 2 (Auftragnehmer-WiFi): EAP-TTLS mit MS-CHAPv2, die Zugangsdaten werden mit einem separaten Verzeichnis oder einem zeitlich begrenzten Auftragnehmerkonto in Microsoft Entra ID abgeglichen, VLAN ist einem isolierten reinen Internetsegment ohne Zugriff auf interne Systeme zugewiesen. Beide SSIDs müssen die Serverzertifikatsvalidierung erzwingen. Diese Architektur bietet Mitarbeitern ein Höchstmaß an Sicherheit, während sie Auftragnehmern eine praktikable Authentifizierungsmethode zur Verfügung stellt. Zudem stellt die Netzwerksegmentierung sicher, dass kompromittierte Zugangsdaten eines Auftragnehmers nicht die internen Hotelverwaltungssysteme erreichen können.

Weiterlesen in dieser Reihe

Konfigurieren von RADIUS-Authentifizierung für Gäste- und Mitarbeiter-WiFi-Netzwerke

Dieses technische Referenzhandbuch beschreibt die Architektur, Konfiguration und Bereitstellung der RADIUS-Authentifizierung für WiFi-Netzwerke von Unternehmen für Gäste und Mitarbeiter. Es bietet Netzwerkarchitekten und IT-Managern die genauen Protokolle, Sicherheitsstandards und Fehlerbehebungsmethoden, die für den Aufbau sicherer, skalierbarer drahtloser Zugriffskontrollsysteme erforderlich sind.

Leitfaden lesen →

Passpoint und OpenRoaming: Das vollständige Handbuch

Dieses technische Referenzhandbuch bietet eine umfassende Analyse der Passpoint (Hotspot 2.0) und WBA OpenRoaming Frameworks in Enterprise WiFi Netzwerken. Es beschreibt detailliert die zugrundeliegenden Authentifizierungsprotokolle, Architekturkomponenten und Bereitstellungsstrategien, die für den Aufbau einer sicheren, reibungslosen Gastkonnektivität erforderlich sind. Netzwerkarchitekten und IT-Leiter erfahren, wie sie diese Standards entwerfen, implementieren und Fehler beheben, um manuelle Anmeldebarrieren zu beseitigen und gleichzeitig die Sicherheit auf Enterprise-Niveau aufrechtzuerhalten.

Leitfaden lesen →

Implementierung von SCEP für sichere BYOD- und Netzwerkanmeldung im Hochschulbereich

Dieser technische Leitfaden bietet Netzwerkarchitekten und IT-Managern ein herstellerunabhängiges Konzept für die Bereitstellung von SCEP-basierten Zertifikatsanmeldungen zur Sicherung von Campusnetzwerken an Hochschulen. Er beschreibt im Detail die Migration von passwortbasiertem PEAP zu 802.1X EAP-TLS, die Automatisierung des BYOD-Onboardings und die Durchsetzung einer robusten VLAN-Segmentierung.

Leitfaden lesen →