Zum Hauptinhalt springen
Deutsch

eduroam und 802.1X: Sichere WiFi-Authentifizierung für den Hochschulbereich

Dieser maßgebliche technische Leitfaden erklärt die Architektur, Bereitstellung und Sicherheit von eduroam und der 802.1X-Authentifizierung. Er wurde für IT-Manager und Netzwerkarchitekten entwickelt und behandelt praktische Implementierungsschritte, die Auswahl von EAP-Methoden sowie die Frage, wie Standortbetreiber das akademische Roaming sicher unterstützen können.

📖 6 Min. Lesezeit📝 1,343 Wörter🔧 3 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
PODCAST-SKRIPT: eduroam und 802.1X — Sichere WiFi-Authentifizierung für den Hochschulsektor Laufzeit: ca. 10 Minuten Stimme: Britisches Englisch, männlich, Tonfall eines Senior Consultants — selbstbewusst, partnerschaftlich, autoritativ --- [INTRO — 1 Minute] Willkommen zurück. Ich werde Sie in den nächsten zehn Minuten durch eduroam und 802.1X führen — was sie sind, wie sie unter der Haube tatsächlich funktionieren und was Ihr Team wissen muss, bevor Sie eines von beiden bereitstellen oder integrieren. Wenn Sie IT-Manager, Netzwerkarchitekt oder CTO an einer Universität, einer Hochschule oder einer Forschungseinrichtung sind — oder wenn Sie ein Betreiber von Veranstaltungsorten sind, der verstehen muss, was Ihre akademischen Besucher von Ihrer Wireless-Infrastruktur erwarten —, dann ist dies das richtige Briefing für Sie. Fangen wir mit dem großen Ganzen an. eduroam steht für „education roaming“. Es ist ein globaler WiFi-Roaming-Dienst, der es Studierenden, Forschenden und Mitarbeitenden von Mitgliedsinstitutionen ermöglicht, sich an jedem teilnehmenden Standort automatisch und sicher mit dem Internet zu verbinden — unter Verwendung der Zugangsdaten ihrer Heimateinrichtung. Keine Captive Portals. Keine Gutscheincodes. Kein Fragen an der Rezeption nach einem Passwort. Der Dienst läuft seit 2003, deckt mittlerweile über 10.000 Institutionen in mehr als 100 Ländern ab und ist der De-facto-Standard für drahtlose Campus-Netzwerke in der weltweiten Hochschulbildung. Wenn Ihr Unternehmen Berührungspunkte mit Universitäten hat — sei es als Hotel in der Nähe eines Campus, als Konferenzzentrum, das akademische Veranstaltungen ausrichtet, oder als öffentliche Bibliothek in einer Universitätsstadt —, ist das Verständnis von eduroam direkt relevant für Ihre Netzwerkstrategie. --- [TECHNISCHER DEEP-DIVE — 5 Minuten] Gut. Gehen wir ins Detail. eduroam basiert auf IEEE 802.1X — dem Standard für die portbasierte Netzwerkzugriffskontrolle. 802.1X definiert ein Framework für die Authentifizierung von Geräten, bevor ihnen Zugriff auf ein Netzwerk gewährt wird. Es wurde ursprünglich für kabelgebundenes Ethernet entwickelt, lässt sich aber nahtlos auf drahtlose Netzwerke übertragen und ist das Fundament dessen, was wir als WPA2-Enterprise- oder WPA3-Enterprise-Sicherheit bezeichnen. Das 802.1X-Modell besteht aus drei Komponenten. Erstens: der Supplicant (Bittsteller) — das ist das Gerät, das versucht, eine Verbindung herzustellen. Das Laptop eines Studenten, das Telefon eines Forschers. Zweitens: der Authenticator (Authentifizierer) — das ist Ihr Netzwerk-Access-Point oder Managed Switch. Er befindet sich zwischen dem Supplicant und dem Rest des Netzwerks und fungiert als Gatekeeper. Drittens: der Authentication Server (Authentifizierungsserver) — fast immer ein RADIUS-Server. RADIUS steht für Remote Authentication Dial-In User Service. Das ist die Komponente, die die Zugangsdaten tatsächlich validiert. So funktioniert der Handshake: Das Gerät des Studierenden verbindet sich mit dem Wireless Access Point. Der Access Point gewährt noch keinen vollständigen Netzwerkzugriff – er öffnet einen sogenannten kontrollierten Port, jedoch nur für EAP-Traffic. EAP steht für Extensible Authentication Protocol. Der Access Point leitet die EAP-Kommunikation zwischen dem Gerät und dem RADIUS-Server weiter. Der RADIUS-Server fordert das Gerät zur Authentifizierung auf, das Gerät antwortet mit den Anmeldedaten – in der Regel Benutzername und Passwort oder ein Zertifikat – und wenn der RADIUS-Server diese akzeptiert, sendet er eine Access-Accept-Nachricht zurück. Der Access Point öffnet daraufhin den vollständigen Netzwerkport. Der gesamte Austausch dauert in einer gut konfigurierten Bereitstellung weniger als zwei Sekunden. Wie baut eduroam nun darauf auf? eduroam nutzt eine hierarchische RADIUS-Proxy-Infrastruktur. Jede teilnehmende Institution betreibt ihren eigenen RADIUS-Server – den sogenannten Identity Provider oder IdP. Wenn ein Student beispielsweise von der University of Manchester das Imperial College London besucht und sich mit der eduroam SSID verbindet, sendet sein Gerät die Anmeldedaten im Format benutzername@manchester.ac.uk. Der RADIUS-Server von Imperial erkennt den Realm – das ist der Teil nach dem @-Symbol – und leitet die Authentifizierungsanfrage an den nationalen RADIUS-Server weiter, der in Großbritannien von Jisc, dem nationalen Forschungs- und Bildungsnetzwerk, betrieben wird. Jisc leitet die Anfrage dann an den RADIUS-Server der University of Manchester weiter, der die Anmeldedaten validiert und ein Accept oder Reject zurücksendet. Die gesamte Kette wird in Millisekunden aufgelöst. Diese Proxy-Kette ermöglicht es, dass eduroam über institutionelle Grenzen hinweg funktioniert, ohne dass vorab gemeinsame Schlüssel (Pre-Shared Keys) zwischen den Institutionen ausgetauscht werden müssen. Jeder Hop in der Kette verwendet ein gemeinsames RADIUS-Geheimnis nur mit seinem direkten Nachbarn. Das tatsächliche Passwort des Studierenden verlässt niemals den RADIUS-Server der Heimateinrichtung – es ist durch den EAP-Tunnel durchgängig geschützt. Wo wir gerade von EAP-Methoden sprechen – hier laufen viele Bereitstellungen schief, also aufgepasst. Die am häufigsten verwendeten EAP-Methoden in eduroam sind PEAP – Protected EAP – und EAP-TLS. PEAP verpackt eine interne Authentifizierungsmethode, meist MSCHAPv2, in einen TLS-Tunnel. Es erfordert ein serverseitiges Zertifikat auf dem RADIUS-Server, aber der Client benötigt lediglich einen Benutzernamen und ein Passwort. EAP-TLS ist die sicherere Option – sie nutzt eine gegenseitige Zertifikatsauthentifizierung, was bedeutet, dass sowohl der Server als auch der Client Zertifikate vorlegen. Die Bereitstellung in großem Maßstab ist schwieriger, da eine PKI zur Ausstellung von Client-Zertifikaten erforderlich ist, aber sie ist im Grunde immun gegen Phishing von Anmeldedaten. Die kritische Sicherheitsanforderung, die viele Institutionen falsch umsetzen, ist die clientseitige Zertifikatsvalidierung. Wenn sich ein Gerät über PEAP mit eduroam verbindet, muss das Gerät das Zertifikat des RADIUS-Servers überprüfen, bevor es Anmeldedaten übermittelt. Wenn das Gerät so konfiguriert ist, dass es jedes Zertifikat akzeptiert, kann ein Angreifer einen gefälschten Access Point einrichten, der die eduroam SSID ausstrahlt, ein selbstsigniertes Zertifikat vorlegen und Anmeldedaten abgreifen. Dies ist ein bekannter Angriffsvektor. Die Lösung besteht darin, Ihre Supplicant-Profile – über MDM für verwaltete Geräte oder über das eduroam Configuration Assistant Tool, bekannt als CAT, für persönliche Geräte – so zu konfigurieren, dass die erwartete Zertifizierungsstelle und der Servername fest hinterlegt sind. Aus Sicht der Standards wird von eduroam-Bereitstellungen erwartet, dass sie der eduroam Policy Service Definition entsprechen. Diese schreibt TLS 1.2 oder höher für alle RADIUS-over-TLS-Verbindungen vor, verbietet die Verwendung schwacher EAP-Methoden wie EAP-MD5 oder LEAP und verlangt, dass alle RADIUS-Proxy-Verbindungen nach Möglichkeit RadSec – RADIUS over TLS – anstelle von einfachem UDP-RADIUS verwenden. Dies deckt sich mit den NCSC-Richtlinien in Großbritannien und NIST SP 800-120 in den USA. Ein weiterer technischer Punkt, der hervorgehoben werden sollte: die VLAN-Zuweisung. In einer gut architektonisch aufgebauten eduroam-Bereitstellung enthält die RADIUS-Access-Accept-Antwort VLAN-Attribute, die dem Access Point mitteilen, welchem VLAN das verbindende Gerät zugewiesen werden soll. Dies ermöglicht Ihnen die Segmentierung des Datenverkehrs – so können Sie Gaststudenten in ein eingeschränktes VLAN mit reinem Internetzugang leiten, während Ihre eigenen Mitarbeiter in das interne Netzwerk geroutet werden. Dies ist für die Compliance unerlässlich, insbesondere wenn Sie PCI DSS unterliegen oder eine Trennung zwischen Forschungsdatennetzwerken und dem allgemeinen Internetverkehr aufrechterhalten müssen. --- [EMPFEHLUNGEN ZUR IMPLEMENTIERUNG UND FALLSTRICKE — 2 Minuten] Lassen Sie mich Ihnen die praktischen Ratschläge geben. Wenn Sie eduroam zum ersten Mal bereitstellen, sollte Ihr erster Ansprechpartner Ihr nationales NREN sein – in Großbritannien ist das Jisc, in Irland HEAnet, in den USA Internet2. Diese verwalten die Mitgliedschaft in der Föderation und weisen Ihnen einen RADIUS-Realm zu. Sie können nicht an eduroam teilnehmen, ohne Mitglied Ihrer nationalen Föderation zu sein. Ihre Infrastruktur-Checkliste: Sie benötigen 802.1X-fähige Access Points – jedes Enterprise-Gerät von Cisco, Aruba, Juniper, Ruckus oder Ubiquiti UniFi ist dafür geeignet. Sie benötigen einen RADIUS-Server – FreeRADIUS ist der Open-Source-Standard, oder Sie können Microsoft NPS, Cisco ISE oder Aruba ClearPass verwenden. Sie benötigen ein gültiges TLS-Zertifikat für Ihren RADIUS-Server von einer CA, der die eduroam-Community vertraut – in der Regel ein Zertifikat aus der PKI Ihrer Institution oder von einer kommerziellen CA auf der von eduroam zugelassenen Liste. Die drei häufigsten Bereitstellungsfehler, die ich sehe, sind: Erstens, eine Fehlkonfiguration der Zertifikate – entweder ist das RADIUS-Zertifikat abgelaufen oder die Client-Supplicant-Profile sind nicht korrekt gepinnt. Zweitens, RADIUS-Proxy-Timeouts – wenn Ihre Upstream-NREN-Verbindung Latenzprobleme hat, kommt es zu einem Timeout bei der Authentifizierung, und Benutzer sehen Verbindungsfehler, die wie Anmeldefehler aussehen. Drittens, VLAN-Fehlkonfiguration – Gastbenutzer landen im falschen Netzwerksegment und erhalten entweder keinen Internetzugang oder, was noch schlimmer ist, Zugriff auf interne Ressourcen, die sie nicht sehen sollten. Auf der Client-Seite sollten Sie eduroam CAT-Profile über Ihre MDM-Plattform auf allen verwalteten Geräten bereitstellen. Veröffentlichen Sie für persönliche Geräte den Link zum CAT-Installer gut sichtbar. Dieser einzige Schritt eliminiert die Mehrheit der Support-Tickets. Für Veranstaltungsorte, die keine Hochschuleinrichtungen sind, aber eduroam-Zugang anbieten möchten – Konferenzzentren, Hotels und ähnliche –, nennt sich das Verfahren eduroam Visitor Access, oder eVA. Es ermöglicht Organisationen, die kein Mitglied sind, die eduroam SSID bereitzustellen und die Authentifizierung an die Föderation weiterzuleiten, ohne Vollmitglieder zu sein. Es lohnt sich, dies zu prüfen, wenn Sie regelmäßig akademische Konferenzen oder Universitätsveranstaltungen ausrichten. --- [SCHNELLE FRAGEN & ANTWORTEN — 1 Minute] Häufige Fragen, die mir regelmäßig gestellt werden. "Kann eduroam unser Gäste-WiFi vollständig ersetzen?" Nein. eduroam funktioniert nur für Benutzer, die Zugangsdaten einer Mitgliedsinstitution besitzen. Sie benötigen weiterhin eine separate Gäste-WiFi-Lösung für alle anderen – Besucher, Auftragnehmer, die breite Öffentlichkeit. "Ist eduroam konform mit der GDPR?" Ja, mit Einschränkungen. Die Föderationsarchitektur bedeutet, dass Ihre Institution Authentifizierungsdaten verarbeitet. Sie müssen jedoch sicherstellen, dass Ihre Datenschutzerklärungen dies abdecken und Ihre RADIUS-Protokolle angemessen behandelt werden. "Können wir WPA3 mit eduroam verwenden?" Ja. WPA3-Enterprise ist vollständig kompatibel mit 802.1X und ist der empfohlene Standard für neue Bereitstellungen. Es fügt eine 192-Bit-Verschlüsselung für Hochsicherheitsumgebungen hinzu. "Was ist der Unterschied zwischen eduroam und OpenRoaming?" OpenRoaming ist eine breitere Brancheninitiative der Wireless Broadband Alliance, die dieselbe 802.1X- und RADIUS-Proxy-Architektur nutzt, das Roaming jedoch über den Bildungsbereich hinaus auf kommerzielle Veranstaltungsorte ausdehnt. Einige Plattformen, darunter Purple, unterstützen OpenRoaming als Teil ihres Gäste-WiFi-Angebots. --- [ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE — 1 Minute] Zusammenfassend lässt sich sagen: eduroam ist ein ausgereifter, gut verwalteter und weltweit eingesetzter WiFi-Roaming-Dienst, der auf 802.1X und einer hierarchischen RADIUS-Proxy-Infrastruktur basiert. Er bietet eine Authentifizierung pro Benutzer, starke Verschlüsselung und nahtloses Roaming in über 10.000 Institutionen – ohne gemeinsame Passwörter oder Captive Portals. Für IT-Teams, die ein Campus-WLAN bereitstellen oder aktualisieren: Bevorzugen Sie EAP-TLS gegenüber PEAP, sofern Ihre PKI dies unterstützt, erzwingen Sie die Zertifikatsvalidierung auf allen Client-Profilen, verwenden Sie RadSec für alle RADIUS-Proxy-Verbindungen und segmentieren Sie Gastbenutzer in ein dediziertes VLAN. Für Betreiber von Veranstaltungsorten: Wenn Sie regelmäßig akademische Besucher empfangen, informieren Sie sich über den eduroam Visitor Access. Und unabhängig davon, ob Sie eduroam einsetzen, sollte Ihre Gäste-WiFi-Infrastruktur auf 802.1X-Prinzipien der Enterprise-Klasse basieren – nicht auf gemeinsam genutzten PSKs. Wenn Sie tiefer in diese Themen einsteigen möchten – RADIUS-Architektur, PKI-Design für EAP-TLS oder wie Plattformen wie Purple mit eduroam und OpenRoaming integriert werden –, finden Sie den Link zum vollständigen schriftlichen Leitfaden in den Shownotes. Vielen Dank fürs Zuhören. Bis zum nächsten Mal. --- ENDE DES SKRIPTS

header_image.png

执行摘要

对于高等教育机构以及为其师生提供服务的场所而言,提供安全、无缝的无线连接已不再是奢侈品,而是运营上的硬性要求。这一连接的标准便是 eduroam,一个基于 IEEE 802.1X 框架构建的全球漫游服务。

本指南为 IT 经理、网络架构师以及场馆运营总监提供一份全面的、技术中立的参考资料,用于理解、部署和排错 802.1X 与 eduroam。我们超越基础理论模型,深入探讨企业级校园 WiFi 的实际运作,包括证书管理、RADIUS 代理架构以及与更广泛的访客网络策略的集成。

无论您是在升级老旧的大学网络,还是在配置会议中心以支持学术访客,正确实施 802.1X 都能显著降低安全风险——尤其是凭证窃取——同时大幅减少支持工作量。对于传统高等教育之外的场所,理解这些标准对于评估诸如 OpenRoaming 等商业漫游联盟至关重要,它们共享相同的底层架构。

技术深入解读:802.1X 与 eduroam 架构

eduroam 的核心是 IEEE 802.1X 的实现,这是基于端口的网络访问控制标准。802.1X 最初为有线网络设计,但它构成了 WPA2-EnterpriseWPA3-Enterprise 安全的基础。

802.1X 三角模型

802.1X 框架依赖三个不同组件的交互来授权访问:

  1. Supplicant(请求方): 请求网络访问的客户端设备(例如学生的笔记本电脑或智能手机)。
  2. Authenticator(认证器): 网络接入设备(例如无线接入点或管理型交换机)。它充当守门人,在设备获得授权之前,阻止除认证消息外的所有流量。
  3. Authentication Server(认证服务器): 验证凭据的后端系统,几乎普遍采用 RADIUS(Remote Authentication Dial-In User Service)服务器。

当设备连接时,认证器建立一个受控端口。它在 Supplicant 和 Authentication Server 之间传递 Extensible Authentication Protocol (EAP) 消息。如果凭据有效,服务器返回一个 RADIUS Access-Accept 消息,认证器随之开放端口,允许标准 IP 流量通过。

architecture_overview.png

eduroam 的 RADIUS 代理层级

eduroam 的独特之处在于其联合架构。它允许用户在任何参与机构使用其归属凭据进行认证,而主办机构无需拥有这些凭据的副本。

这通过一个层级化的 RADIUS 代理链实现。当来自 username@university.ac.uk 的用户连接到主办场所的 eduroam SSID 时:

  1. 用户的设备以 username@university.ac.uk 的格式发送认证请求。
  2. 主办场所的 RADIUS 服务器检查 realm(@ 符号之后的部分)。识别出其为外部域后,它将请求代理到国家级顶级 RADIUS 服务器(由国家科研和教育网络 NREN 运营)。
  3. 国家级服务器将请求路由到归属机构的 RADIUS 服务器(university.ac.uk)。
  4. 归属机构验证凭据,并沿链路返回 Access-AcceptAccess-Reject 消息。

整个过程通常在不到两秒内完成。关键的是,用户的密码永远不会暴露给主办机构或中间的代理服务器;它被保护在直接由 supplicant 与归属 RADIUS 服务器建立的加密 EAP 隧道内。

EAP 方法:安全性与可部署性的权衡

EAP 方法的选择决定了加密隧道的形成方式以及凭据的交换方式。eduroam 策略服务定义严格限制可允许的方法,以确保安全。

  • PEAP (Protected EAP): 最常见的部署方式。它利用 RADIUS 服务器上的服务器端证书建立 TLS 隧道。然后客户端在此隧道内进行认证,通常使用 MSCHAPv2(用户名和密码)。它相对容易部署,但如果客户端未配置严格验证服务器证书,则容易受到恶意接入点攻击。
  • EAP-TLS 安全性的黄金标准。它要求双向认证,即 RADIUS 服务器和客户端设备都必须出示有效证书。虽然免疫凭据钓鱼,但需要强大的公钥基础设施 (PKI) 来颁发和管理客户端证书,因此大规模部署更为复杂。

实施指南

部署 802.1X 和 eduroam 需要网络基础设施、身份管理和客户端配置之间的精心协调。

1. 基础设施准备

确保您的无线接入点和控制器支持 WPA2-Enterprise/WPA3-Enterprise 和 802.1X。任何现代企业级硬件(Cisco、Aruba、Juniper 等)都能满足此要求。您还必须部署一个健壮的 RADIUS 基础设施(例如 FreeRADIUS、Cisco ISE、Aruba ClearPass),能够处理预期的认证负载并代理请求。

2. 证书管理

对于 PEAP 部署,您的 RADIUS 服务器需要一个由客户端信任的证书颁发机构 (CA) 签发的 TLS 证书。请勿在生产环境的 eduroam 部署中使用自签名证书。证书必须定期更新,以防止认证中断。

3. 客户端配置(CAT 工具)

eduroam 部署中最常见的故障点是客户端配置错误。用户手动连接时,往往未能配置证书验证,从而容易遭受凭据收集攻击。

为缓解此风险,机构必须使用 eduroam 配置助手工具 (CAT) 或 MDM 解决方案来分发预配置的配置文件。这些配置文件会自动配置正确的 EAP 方法、固定预期的 RADIUS 服务器证书,并设置适当的内在认证协议。

4. VLAN 分配与分段

一个成熟的部署利用 RADIUS 属性根据用户身份动态分配 VLAN。

  • 内部用户: 分配到具有适当校园资源访问权限的内部 VLAN。
  • 访客用户: 分配到受限的访客 VLAN,仅提供互联网访问。

这种分段对于安全性和合规性至关重要,确保访客设备无法访问敏感的内部网络。

comparison_chart.png

最佳实践与技术中立建议

  • 优先采用 WPA3: 对于新部署,启用 WPA3-Enterprise 以获得强制性的 192 位加密和更好的离线字典攻击防护。
  • 强制证书验证: 要求使用配置配置文件(通过 CAT 或 MDM),以确保 supplicant 在传输凭据前严格验证 RADIUS 服务器证书。
  • 使用 RadSec: 在配置与国家级联盟的 RADIUS 代理连接时,使用 RadSec(RADIUS over TLS)而非普通的 UDP。这将加密代理流量,并提高广域网链路的可靠性。
  • 与访客解决方案集成: eduroam 仅服务于拥有学术凭据的用户。您必须为承包商、公众访客和活动参与者维持一个独立的、安全的 访客 WiFi 解决方案。
  • 审查相关基础设施: 确保您的底层网络安全。阅读我们的指南 通过强大的 DNS 和安全措施保护您的网络 以获取更多细节。如果为大学活动部署临时基础设施,请参阅 活动 WiFi:规划和部署临时无线网络 或葡萄牙语版本 Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias

故障排除与风险缓解

当认证失败时,系统化的故障排除至关重要。

  1. 隔离故障域: 确定故障是本地的(影响您自己网络上的用户)、远程的(影响您用户在别处)还是入站的(影响您网络上的访客)。
  2. 检查 RADIUS 日志: RADIUS 服务器日志是权威的事实来源。查找 Access-Reject 消息(表示凭据错误或策略违规)或超时(表示代理连接问题)。
  3. 验证证书有效性: 确保 RADIUS 服务器证书未过期,且完整的证书链被呈现给客户端。
  4. 监控上游延迟: 与国家级 RADIUS 代理之间的高延迟可能导致客户端超时,即使凭据正确也会连接失败。

投资回报与业务影响

对于高等教育机构,适当部署 eduroam 的投资回报体现在大幅减少的支持工单上。通过消除 Captive Portal 和手动输入密码,IT 帮助台会看到连接相关呼叫的显著下降。(Purple 对该领域的承诺显而易见;请参阅 Purple 任命教育副总裁 Tim Peers 彰显高等教育雄心 )。

对于商业场所——如 酒店业零售业医疗业交通业 ——支持 eduroam 访客接入 (eVA) 或类似的联盟(如 OpenRoaming),能为高价值人群提供无摩擦的体验。它确保学术访客能够自动、安全地连接,提高满意度,同时允许场所维持严格的网络分段。如果您的场所需要专用带宽来支持此需求,请考虑阅读 什么是专线?专为企业提供的互联网

在规划网络升级时,集成 802.1X 功能可确保基础设施为现代身份驱动的网络做好准备,为高级 WiFi 分析 和基于位置的服务奠定基础。

Schlüsseldefinitionen

802.1X

Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle (PNAC). Er bietet einen Authentifizierungsmechanismus für Geräte, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.

Das grundlegende Protokoll für WiFi-Sicherheit auf Enterprise-Niveau, das gemeinsam genutzte Passwörter (PSKs) durch eine individualisierte Authentifizierung ersetzt.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) für Benutzer bietet, die sich mit einem Netzwerkdienst verbinden und diesen nutzen.

Der Backend-Server in einer 802.1X-Bereitstellung, der die Anmeldedaten des Benutzers tatsächlich mit einem Verzeichnis (wie Active Directory) abgleicht.

EAP (Extensible Authentication Protocol)

Ein Authentifizierungs-Framework, das häufig in drahtlosen Netzwerken und Punkt-zu-Punkt-Verbindungen verwendet wird. Es ermöglicht den Transport und die Nutzung verschiedener Authentifizierungsmechanismen.

Die Sprache, die während des 802.1X-Handshakes zwischen dem Client-Gerät und dem RADIUS-Server gesprochen wird.

Supplicant

Das Client-Gerät (z. B. Laptop, Smartphone) oder die Software auf diesem Gerät, die versucht, sich über 802.1X an einem Netzwerk zu authentifizieren.

Die Instanz, die den Zugriff anfordert. Ihre Konfiguration (insbesondere im Hinblick auf die Zertifikatsvalidierung) ist für die Sicherheit von entscheidender Bedeutung.

Authenticator

Das Netzwerkgerät (z. B. ein Wireless Access Point oder ein Ethernet-Switch), das den 802.1X-Authentifizierungsprozess erleichtert, indem es Nachrichten zwischen dem Supplicant und dem Authentifizierungsserver weiterleitet.

Der Gatekeeper, der den Netzwerkverkehr blockiert, bis der RADIUS-Server grünes Licht gibt.

PEAP (Protected Extensible Authentication Protocol)

Eine EAP-Methode, die die EAP-Transaktion in einem TLS-Tunnel kapselt, der mithilfe eines serverseitigen Zertifikats erstellt wird, wodurch die interne Authentifizierung (normalerweise ein Passwort) geschützt wird.

Die gängigste Authentifizierungsmethode für eduroam, die ein ausgewogenes Verhältnis zwischen Sicherheit und einfacher Bereitstellung bietet.

RadSec

Ein Protokoll zur Übertragung von RADIUS-Daten über TCP und TLS anstelle des herkömmlichen UDP.

Empfohlen zur Absicherung der Proxy-Verbindungen zwischen Institutionen und der nationalen eduroam-Föderation, um das Abfangen des Authentifizierungsverkehrs zu verhindern.

Realm

Der Teil der Identität eines Benutzers, der auf das „@“-Symbol folgt (z. B. „university.ac.uk“ in „user@university.ac.uk“).

Wird von RADIUS-Proxy-Servern verwendet, um zu bestimmen, wohin die Authentifizierungsanfrage in einer föderierten Umgebung wie eduroam weitergeleitet werden soll.

Ausgearbeitete Beispiele

Ein Tagungshotel mit 400 Zimmern direkt neben einer großen Universität veranstaltet häufig akademische Symposien. Der IT-Leiter möchte es Gastwissenschaftlern ermöglichen, sich automatisch zu verbinden, ohne das standardmäßige Captive Portal des Hotels zu nutzen. Er muss jedoch sicherstellen, dass diese Besucher weder auf das Unternehmensnetzwerk des Hotels noch auf das VLAN des Standard-Gästenetzwerks zugreifen können.

Das Hotel sollte eduroam Visitor Access (eVA) implementieren oder einer kommerziellen Föderation wie OpenRoaming beitreten.

  1. Das Hotel konfiguriert eine neue SSID („eduroam“ oder „OpenRoaming“) auf seinen Enterprise-Access-Points.
  2. Die APs werden für die Verwendung von WPA2-Enterprise/802.1X konfiguriert.
  3. Das Hotel stellt einen lokalen RADIUS-Server bereit, der so konfiguriert ist, dass er Authentifizierungsanfragen für externe Realms an die nationale Föderation (für eduroam) oder den OpenRoaming-Hub weiterleitet.
  4. Entscheidend ist, dass der lokale RADIUS-Server so konfiguriert ist, dass er in der Access-Accept-Nachricht für alle weitergeleiteten Authentifizierungen ein bestimmtes VLAN-ID-Attribut zurückgibt.
  5. Die Access Points leiten diese authentifizierten Benutzer in ein isoliertes, reines Internet-VLAN um, das vollständig vom Unternehmens- und Standard-Gästeverkehr des Hotels segmentiert ist.
Kommentar des Prüfers: Dieser Ansatz nutzt die RADIUS-Proxy-Architektur korrekt aus, um die Authentifizierung an die Heimateinrichtungen der Besucher auszulagern. Durch die Verwendung der dynamischen VLAN-Zuweisung über RADIUS-Attribute behält das Hotel eine strikte Netzwerksegmentierung bei, was die Sicherheitsanforderungen erfüllt und gleichzeitig eine reibungslose Benutzererfahrung bietet.

Das IT-Team einer Universität stellt einen sprunghaften Anstieg kompromittierter Studenten-Accounts fest. Untersuchungen zeigen, dass sich Studenten mit einem betrügerischen Access Point verbinden, der die SSID „eduroam“ in einem örtlichen Café ausstrahlt. Der betrügerische AP verwendet ein selbstsigniertes Zertifikat, um Anmeldedaten über PEAP abzufangen.

Das IT-Team muss unverzüglich eine strikte Zertifikatsvalidierung auf allen Client-Geräten erzwingen.

  1. Sie dürfen den Studenten nicht länger raten, sich manuell mit der SSID zu verbinden und die „Zertifikatswarnung zu akzeptieren“.
  2. Sie stellen das eduroam Configuration Assistant Tool (CAT) für BYOD-Geräte bereit und aktualisieren die MDM-Profile für verwaltete Geräte.
  3. Diese Profile konfigurieren den Supplicant so, dass er nur der spezifischen Zertifizierungsstelle (CA) vertraut, die das Zertifikat des RADIUS-Servers der Universität ausgestellt hat, und den Common Name (CN) des Servers überprüft.
  4. Wenn das Gerät eines Studenten nach der Konfiguration auf den betrügerischen AP stößt, schlägt der Aufbau des EAP-Tunnels fehl, da das betrügerische Zertifikat nicht mit der hinterlegten CA/CN übereinstimmt, wodurch die Übertragung von Anmeldedaten verhindert wird.
Kommentar des Prüfers: Dieses Szenario verdeutlicht die kritischste Schwachstelle bei PEAP-Bereitstellungen. Die Lösung erkennt richtig, dass die Behebung auf der Client-Seite konfiguriert werden muss. Sich darauf zu verlassen, dass Benutzer gefälschte Zertifikate durch Schulungen erkennen, ist ineffektiv; technische Kontrollen (Profile Pinning) sind zwingend erforderlich.

Eine Einzelhandelskette möchte OpenRoaming an 50 Standorten über ihre bestehende Gäste-WiFi-Infrastruktur anbieten, die derzeit auf einer offenen SSID mit einem Captive Portal basiert.

Die Einzelhandelskette muss ihr Netzwerk aufrüsten, um 802.1X und RADIUS-Proxying zu unterstützen.

  1. Das Netzwerkteam aktiviert eine neue SSID, die die OpenRoaming Consortium OI (Organization Identifier) ausstrahlt.
  2. Sie konfigurieren die Access Points für die Authentifizierung über 802.1X.
  3. Sie konfigurieren ihren zentralen RADIUS-Server so, dass er Anfragen an den OpenRoaming-Föderations-Hub weiterleitet.
  4. Sie stellen sicher, dass ihr Internet-Backhaul den erwarteten Anstieg an automatischen Verbindungen bewältigen kann, und rüsten bei Bedarf auf dedizierte Standleitungen auf.
Kommentar des Prüfers: Dies verdeutlicht, dass der Wechsel von einem Captive Portal zu einem föderierten 802.1X-Modell grundlegende architektonische Änderungen erfordert, insbesondere die Implementierung von RADIUS-Proxying und die Fähigkeit, eine erhöhte Anzahl automatischer Verbindungen zu verarbeiten.

Übungsfragen

Q1. Ihre Universität führt ein neues drahtloses Netzwerk ein. Der CISO schreibt vor, dass Credential-Phishing über gefälschte Access Points mathematisch unmöglich sein muss. Welche EAP-Methode müssen Sie wählen?

Hinweis: Überlegen Sie, welche Methode auf Passwörtern basiert und welche vollständig auf kryptografischen Schlüsseln beruht.

Musterlösung anzeigen

Sie müssen EAP-TLS wählen. Im Gegensatz zu PEAP, das auf einem Passwort innerhalb eines TLS-Tunnels basiert, erfordert EAP-TLS eine gegenseitige Zertifikatsauthentifizierung. Da sich das Client-Gerät mit einem kryptografischen Zertifikat anstelle eines Passworts authentifiziert, gibt es für einen gefälschten Access Point keine Anmeldedaten, die abgefangen werden könnten.

Q2. Ein Gastwissenschaftler einer anderen Universität beklagt sich, dass er sich nicht mit Ihrem eduroam-Netzwerk verbinden kann. Ihre lokalen Benutzer können sich problemlos verbinden. Sie überprüfen die Protokolle Ihres lokalen RADIUS-Servers und sehen, dass die Anfrage eingeht, aber ein Timeout auftritt, bevor ein Access-Accept empfangen wird. Was ist die wahrscheinlichste Ursache?

Hinweis: Denken Sie an den Weg, den die Authentifizierungsanfrage für einen Gastbenutzer im Vergleich zu einem lokalen Benutzer nimmt.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist ein Konnektivitäts- oder Latenzproblem zwischen Ihrem lokalen RADIUS-Server und dem nationalen NREN-RADIUS-Proxy. Da sich lokale Benutzer direkt an Ihrem Server authentifizieren, sind sie nicht betroffen. Die Anfrage des Gastbenutzers muss an den übergeordneten Proxy weitergeleitet werden, und ein Timeout weist darauf hin, dass die Antwort der Heimateinrichtung nicht rechtzeitig zurückkehrt.

Q3. Sie sind Netzwerkarchitekt für eine Einzelhandelskette in der Nähe einer großen Universität. Sie möchten Studenten über eduroam Visitor Access (eVA) nahtloses WiFi anbieten, müssen jedoch die PCI-DSS-Richtlinien für Ihre Point-of-Sale-Terminals einhalten. Wie integrieren Sie eVA sicher?

Hinweis: Wie ermöglicht es 802.1X dem Netzwerk-Access-Point, den Datenverkehr nach der Authentifizierung zu differenzieren?

Musterlösung anzeigen

Sie integrieren eVA, indem Sie Ihren RADIUS-Server so konfigurieren, dass er alle erfolgreichen eVA-Authentifizierungen einem dedizierten, reinen Internet-Gast-VLAN zuweist. Die Access-Accept-Nachricht vom RADIUS-Server muss die spezifische VLAN-ID enthalten. Dies stellt sicher, dass die Geräte der Studenten vollständig von dem PCI-konformen VLAN isoliert sind, das von den Point-of-Sale-Terminals verwendet wird, wodurch die Compliance-Anforderungen erfüllt werden.

Weiterlesen in dieser Reihe

Server RADIUS: Ein umfassender Leitfaden für Unternehmen

Dieser Leitfaden bietet IT-Managern, Netzwerkarchitekten und CTOs eine definitive technische Referenz zur Server RADIUS-Authentifizierung für Enterprise-WiFi. Er behandelt das AAA-Framework, die 802.1X-Architektur, die Auswahl von EAP-Methoden, die Abwägung zwischen Cloud- und On-Premises-Bereitstellung sowie die dynamische VLAN-Zuweisung. Betreiber von Standorten in den Bereichen Hotellerie, Einzelhandel, Events und im öffentlichen Sektor finden hier praktische Implementierungsanleitungen, Fallstudien aus der Praxis und die Entscheidungsrahmen, die für die Migration von unsicheren Pre-Shared Keys zu einer sicheren, identitätsbasierten Netzwerkzugriffskontrollarchitektur erforderlich sind.

Leitfaden lesen →

Aruba ClearPass vs. Purple WiFi: Vergleich der Funktionen und Co-Deployment

Ein umfassender technischer Leitfaden, der die Co-Deployment-Architektur von Aruba ClearPass und Purple WiFi beschreibt. Er behandelt die RADIUS-Proxy-Konfiguration, die dynamische VLAN-Zuweisung und Best Practices für die Bereitstellung sicherer, analysegestützter Gastnetzwerke neben dem Enterprise-NAC.

Leitfaden lesen →

Cisco ISE vs. Purple WiFi: Vergleich und Zusammenspiel

Dieser Leitfaden erklärt, wie Cisco ISE und Purple WiFi unterschiedliche, aber komplementäre Rollen in Unternehmensnetzwerken einnehmen. Er beschreibt detailliert, wie Cisco ISE für den sicheren 802.1X-Unternehmenszugang genutzt wird, während Purple für DSGVO-konformes Gäste-WiFi, Marketing-Analysen und CRM-Integration eingesetzt wird.

Leitfaden lesen →