Zum Hauptinhalt springen
Deutsch

eduroam und 802.1X: Sichere WiFi-Authentifizierung für den Hochschulbereich

Dieser maßgebliche technische Leitfaden erklärt die Architektur, Bereitstellung und Sicherheit von eduroam und der 802.1X-Authentifizierung. Er wurde für IT-Manager und Netzwerkarchitekten entwickelt und behandelt praktische Implementierungsschritte, die Auswahl von EAP-Methoden sowie die Frage, wie Standortbetreiber das akademische Roaming sicher unterstützen können.

📖 6 Min. Lesezeit📝 1,343 Wörter🔧 3 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
PODCAST-SKRIPT: eduroam und 802.1X — Sichere WiFi-Authentifizierung für den Hochschulsektor Laufzeit: ca. 10 Minuten Stimme: Britisches Englisch, männlich, Tonfall eines Senior Consultants — selbstbewusst, partnerschaftlich, autoritativ --- [INTRO — 1 Minute] Willkommen zurück. Ich werde Sie in den nächsten zehn Minuten durch eduroam und 802.1X führen — was sie sind, wie sie unter der Haube tatsächlich funktionieren und was Ihr Team wissen muss, bevor Sie eines von beiden bereitstellen oder integrieren. Wenn Sie IT-Manager, Netzwerkarchitekt oder CTO an einer Universität, einer Hochschule oder einer Forschungseinrichtung sind — oder wenn Sie ein Betreiber von Veranstaltungsorten sind, der verstehen muss, was Ihre akademischen Besucher von Ihrer Wireless-Infrastruktur erwarten —, dann ist dies das richtige Briefing für Sie. Fangen wir mit dem großen Ganzen an. eduroam steht für „education roaming“. Es ist ein globaler WiFi-Roaming-Dienst, der es Studierenden, Forschenden und Mitarbeitenden von Mitgliedsinstitutionen ermöglicht, sich an jedem teilnehmenden Standort automatisch und sicher mit dem Internet zu verbinden — unter Verwendung der Zugangsdaten ihrer Heimateinrichtung. Keine Captive Portals. Keine Gutscheincodes. Kein Fragen an der Rezeption nach einem Passwort. Der Dienst läuft seit 2003, deckt mittlerweile über 10.000 Institutionen in mehr als 100 Ländern ab und ist der De-facto-Standard für drahtlose Campus-Netzwerke in der weltweiten Hochschulbildung. Wenn Ihr Unternehmen Berührungspunkte mit Universitäten hat — sei es als Hotel in der Nähe eines Campus, als Konferenzzentrum, das akademische Veranstaltungen ausrichtet, oder als öffentliche Bibliothek in einer Universitätsstadt —, ist das Verständnis von eduroam direkt relevant für Ihre Netzwerkstrategie. --- [TECHNISCHER DEEP-DIVE — 5 Minuten] Gut. Gehen wir ins Detail. eduroam basiert auf IEEE 802.1X — dem Standard für die portbasierte Netzwerkzugriffskontrolle. 802.1X definiert ein Framework für die Authentifizierung von Geräten, bevor ihnen Zugriff auf ein Netzwerk gewährt wird. Es wurde ursprünglich für kabelgebundenes Ethernet entwickelt, lässt sich aber nahtlos auf drahtlose Netzwerke übertragen und ist das Fundament dessen, was wir als WPA2-Enterprise- oder WPA3-Enterprise-Sicherheit bezeichnen. Das 802.1X-Modell besteht aus drei Komponenten. Erstens: der Supplicant (Bittsteller) — das ist das Gerät, das versucht, eine Verbindung herzustellen. Das Laptop eines Studenten, das Telefon eines Forschers. Zweitens: der Authenticator (Authentifizierer) — das ist Ihr Netzwerk-Access-Point oder Managed Switch. Er befindet sich zwischen dem Supplicant und dem Rest des Netzwerks und fungiert als Gatekeeper. Drittens: der Authentication Server (Authentifizierungsserver) — fast immer ein RADIUS-Server. RADIUS steht für Remote Authentication Dial-In User Service. Das ist die Komponente, die die Zugangsdaten tatsächlich validiert. So funktioniert der Handshake: Das Gerät des Studierenden verbindet sich mit dem Wireless Access Point. Der Access Point gewährt noch keinen vollständigen Netzwerkzugriff – er öffnet einen sogenannten kontrollierten Port, jedoch nur für EAP-Traffic. EAP steht für Extensible Authentication Protocol. Der Access Point leitet die EAP-Kommunikation zwischen dem Gerät und dem RADIUS-Server weiter. Der RADIUS-Server fordert das Gerät zur Authentifizierung auf, das Gerät antwortet mit den Anmeldedaten – in der Regel Benutzername und Passwort oder ein Zertifikat – und wenn der RADIUS-Server diese akzeptiert, sendet er eine Access-Accept-Nachricht zurück. Der Access Point öffnet daraufhin den vollständigen Netzwerkport. Der gesamte Austausch dauert in einer gut konfigurierten Bereitstellung weniger als zwei Sekunden. Wie baut eduroam nun darauf auf? eduroam nutzt eine hierarchische RADIUS-Proxy-Infrastruktur. Jede teilnehmende Institution betreibt ihren eigenen RADIUS-Server – den sogenannten Identity Provider oder IdP. Wenn ein Student beispielsweise von der University of Manchester das Imperial College London besucht und sich mit der eduroam SSID verbindet, sendet sein Gerät die Anmeldedaten im Format benutzername@manchester.ac.uk. Der RADIUS-Server von Imperial erkennt den Realm – das ist der Teil nach dem @-Symbol – und leitet die Authentifizierungsanfrage an den nationalen RADIUS-Server weiter, der in Großbritannien von Jisc, dem nationalen Forschungs- und Bildungsnetzwerk, betrieben wird. Jisc leitet die Anfrage dann an den RADIUS-Server der University of Manchester weiter, der die Anmeldedaten validiert und ein Accept oder Reject zurücksendet. Die gesamte Kette wird in Millisekunden aufgelöst. Diese Proxy-Kette ermöglicht es, dass eduroam über institutionelle Grenzen hinweg funktioniert, ohne dass vorab gemeinsame Schlüssel (Pre-Shared Keys) zwischen den Institutionen ausgetauscht werden müssen. Jeder Hop in der Kette verwendet ein gemeinsames RADIUS-Geheimnis nur mit seinem direkten Nachbarn. Das tatsächliche Passwort des Studierenden verlässt niemals den RADIUS-Server der Heimateinrichtung – es ist durch den EAP-Tunnel durchgängig geschützt. Wo wir gerade von EAP-Methoden sprechen – hier laufen viele Bereitstellungen schief, also aufgepasst. Die am häufigsten verwendeten EAP-Methoden in eduroam sind PEAP – Protected EAP – und EAP-TLS. PEAP verpackt eine interne Authentifizierungsmethode, meist MSCHAPv2, in einen TLS-Tunnel. Es erfordert ein serverseitiges Zertifikat auf dem RADIUS-Server, aber der Client benötigt lediglich einen Benutzernamen und ein Passwort. EAP-TLS ist die sicherere Option – sie nutzt eine gegenseitige Zertifikatsauthentifizierung, was bedeutet, dass sowohl der Server als auch der Client Zertifikate vorlegen. Die Bereitstellung in großem Maßstab ist schwieriger, da eine PKI zur Ausstellung von Client-Zertifikaten erforderlich ist, aber sie ist im Grunde immun gegen Phishing von Anmeldedaten. Die kritische Sicherheitsanforderung, die viele Institutionen falsch umsetzen, ist die clientseitige Zertifikatsvalidierung. Wenn sich ein Gerät über PEAP mit eduroam verbindet, muss das Gerät das Zertifikat des RADIUS-Servers überprüfen, bevor es Anmeldedaten übermittelt. Wenn das Gerät so konfiguriert ist, dass es jedes Zertifikat akzeptiert, kann ein Angreifer einen gefälschten Access Point einrichten, der die eduroam SSID ausstrahlt, ein selbstsigniertes Zertifikat vorlegen und Anmeldedaten abgreifen. Dies ist ein bekannter Angriffsvektor. Die Lösung besteht darin, Ihre Supplicant-Profile – über MDM für verwaltete Geräte oder über das eduroam Configuration Assistant Tool, bekannt als CAT, für persönliche Geräte – so zu konfigurieren, dass die erwartete Zertifizierungsstelle und der Servername fest hinterlegt sind. Aus Sicht der Standards wird von eduroam-Bereitstellungen erwartet, dass sie der eduroam Policy Service Definition entsprechen. Diese schreibt TLS 1.2 oder höher für alle RADIUS-over-TLS-Verbindungen vor, verbietet die Verwendung schwacher EAP-Methoden wie EAP-MD5 oder LEAP und verlangt, dass alle RADIUS-Proxy-Verbindungen nach Möglichkeit RadSec – RADIUS over TLS – anstelle von einfachem UDP-RADIUS verwenden. Dies deckt sich mit den NCSC-Richtlinien in Großbritannien und NIST SP 800-120 in den USA. Ein weiterer technischer Punkt, der hervorgehoben werden sollte: die VLAN-Zuweisung. In einer gut architektonisch aufgebauten eduroam-Bereitstellung enthält die RADIUS-Access-Accept-Antwort VLAN-Attribute, die dem Access Point mitteilen, welchem VLAN das verbindende Gerät zugewiesen werden soll. Dies ermöglicht Ihnen die Segmentierung des Datenverkehrs – so können Sie Gaststudenten in ein eingeschränktes VLAN mit reinem Internetzugang leiten, während Ihre eigenen Mitarbeiter in das interne Netzwerk geroutet werden. Dies ist für die Compliance unerlässlich, insbesondere wenn Sie PCI DSS unterliegen oder eine Trennung zwischen Forschungsdatennetzwerken und dem allgemeinen Internetverkehr aufrechterhalten müssen. --- [EMPFEHLUNGEN ZUR IMPLEMENTIERUNG UND FALLSTRICKE — 2 Minuten] Lassen Sie mich Ihnen die praktischen Ratschläge geben. Wenn Sie eduroam zum ersten Mal bereitstellen, sollte Ihr erster Ansprechpartner Ihr nationales NREN sein – in Großbritannien ist das Jisc, in Irland HEAnet, in den USA Internet2. Diese verwalten die Mitgliedschaft in der Föderation und weisen Ihnen einen RADIUS-Realm zu. Sie können nicht an eduroam teilnehmen, ohne Mitglied Ihrer nationalen Föderation zu sein. Ihre Infrastruktur-Checkliste: Sie benötigen 802.1X-fähige Access Points – jedes Enterprise-Gerät von Cisco, Aruba, Juniper, Ruckus oder Ubiquiti UniFi ist dafür geeignet. Sie benötigen einen RADIUS-Server – FreeRADIUS ist der Open-Source-Standard, oder Sie können Microsoft NPS, Cisco ISE oder Aruba ClearPass verwenden. Sie benötigen ein gültiges TLS-Zertifikat für Ihren RADIUS-Server von einer CA, der die eduroam-Community vertraut – in der Regel ein Zertifikat aus der PKI Ihrer Institution oder von einer kommerziellen CA auf der von eduroam zugelassenen Liste. Die drei häufigsten Bereitstellungsfehler, die ich sehe, sind: Erstens, eine Fehlkonfiguration der Zertifikate – entweder ist das RADIUS-Zertifikat abgelaufen oder die Client-Supplicant-Profile sind nicht korrekt gepinnt. Zweitens, RADIUS-Proxy-Timeouts – wenn Ihre Upstream-NREN-Verbindung Latenzprobleme hat, kommt es zu einem Timeout bei der Authentifizierung, und Benutzer sehen Verbindungsfehler, die wie Anmeldefehler aussehen. Drittens, VLAN-Fehlkonfiguration – Gastbenutzer landen im falschen Netzwerksegment und erhalten entweder keinen Internetzugang oder, was noch schlimmer ist, Zugriff auf interne Ressourcen, die sie nicht sehen sollten. Auf der Client-Seite sollten Sie eduroam CAT-Profile über Ihre MDM-Plattform auf allen verwalteten Geräten bereitstellen. Veröffentlichen Sie für persönliche Geräte den Link zum CAT-Installer gut sichtbar. Dieser einzige Schritt eliminiert die Mehrheit der Support-Tickets. Für Veranstaltungsorte, die keine Hochschuleinrichtungen sind, aber eduroam-Zugang anbieten möchten – Konferenzzentren, Hotels und ähnliche –, nennt sich das Verfahren eduroam Visitor Access, oder eVA. Es ermöglicht Organisationen, die kein Mitglied sind, die eduroam SSID bereitzustellen und die Authentifizierung an die Föderation weiterzuleiten, ohne Vollmitglieder zu sein. Es lohnt sich, dies zu prüfen, wenn Sie regelmäßig akademische Konferenzen oder Universitätsveranstaltungen ausrichten. --- [SCHNELLE FRAGEN & ANTWORTEN — 1 Minute] Häufige Fragen, die mir regelmäßig gestellt werden. "Kann eduroam unser Gäste-WiFi vollständig ersetzen?" Nein. eduroam funktioniert nur für Benutzer, die Zugangsdaten einer Mitgliedsinstitution besitzen. Sie benötigen weiterhin eine separate Gäste-WiFi-Lösung für alle anderen – Besucher, Auftragnehmer, die breite Öffentlichkeit. "Ist eduroam konform mit der GDPR?" Ja, mit Einschränkungen. Die Föderationsarchitektur bedeutet, dass Ihre Institution Authentifizierungsdaten verarbeitet. Sie müssen jedoch sicherstellen, dass Ihre Datenschutzerklärungen dies abdecken und Ihre RADIUS-Protokolle angemessen behandelt werden. "Können wir WPA3 mit eduroam verwenden?" Ja. WPA3-Enterprise ist vollständig kompatibel mit 802.1X und ist der empfohlene Standard für neue Bereitstellungen. Es fügt eine 192-Bit-Verschlüsselung für Hochsicherheitsumgebungen hinzu. "Was ist der Unterschied zwischen eduroam und OpenRoaming?" OpenRoaming ist eine breitere Brancheninitiative der Wireless Broadband Alliance, die dieselbe 802.1X- und RADIUS-Proxy-Architektur nutzt, das Roaming jedoch über den Bildungsbereich hinaus auf kommerzielle Veranstaltungsorte ausdehnt. Einige Plattformen, darunter Purple, unterstützen OpenRoaming als Teil ihres Gäste-WiFi-Angebots. --- [ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE — 1 Minute] Zusammenfassend lässt sich sagen: eduroam ist ein ausgereifter, gut verwalteter und weltweit eingesetzter WiFi-Roaming-Dienst, der auf 802.1X und einer hierarchischen RADIUS-Proxy-Infrastruktur basiert. Er bietet eine Authentifizierung pro Benutzer, starke Verschlüsselung und nahtloses Roaming in über 10.000 Institutionen – ohne gemeinsame Passwörter oder Captive Portals. Für IT-Teams, die ein Campus-WLAN bereitstellen oder aktualisieren: Bevorzugen Sie EAP-TLS gegenüber PEAP, sofern Ihre PKI dies unterstützt, erzwingen Sie die Zertifikatsvalidierung auf allen Client-Profilen, verwenden Sie RadSec für alle RADIUS-Proxy-Verbindungen und segmentieren Sie Gastbenutzer in ein dediziertes VLAN. Für Betreiber von Veranstaltungsorten: Wenn Sie regelmäßig akademische Besucher empfangen, informieren Sie sich über den eduroam Visitor Access. Und unabhängig davon, ob Sie eduroam einsetzen, sollte Ihre Gäste-WiFi-Infrastruktur auf 802.1X-Prinzipien der Enterprise-Klasse basieren – nicht auf gemeinsam genutzten PSKs. Wenn Sie tiefer in diese Themen einsteigen möchten – RADIUS-Architektur, PKI-Design für EAP-TLS oder wie Plattformen wie Purple mit eduroam und OpenRoaming integriert werden –, finden Sie den Link zum vollständigen schriftlichen Leitfaden in den Shownotes. Vielen Dank fürs Zuhören. Bis zum nächsten Mal. --- ENDE DES SKRIPTS

header_image.png

Executive Summary

Für Hochschuleinrichtungen und die Veranstaltungsorte, an denen ihre Studierenden und Mitarbeiter zu Gast sind, ist die Bereitstellung einer sicheren, nahtlosen drahtlosen Konnektivität kein Luxus mehr, sondern ein betrieblicher Auftrag. Der Standard für diese Konnektivität ist eduroam, ein globaler Roaming-Dienst, der auf dem IEEE 802.1X-Framework basiert.

Dieser Leitfaden bietet IT-Managern, Netzwerkarchitekten und Leitern des Veranstaltungsbetriebs eine umfassende, herstellerneutrale Referenz für das Verständnis, die Bereitstellung und die Fehlerbehebung von 802.1X und eduroam. Wir gehen über grundlegende theoretische Modelle hinaus, um die praktischen Realitäten von Enterprise-Campus-WiFi zu adressieren, einschließlich Zertifikatsmanagement, RADIUS-Proxy-Architektur und der Integration in umfassendere Gastnetzwerk-Strategien.

Unabhängig davon, ob Sie ein veraltetes Universitätsnetzwerk aktualisieren oder ein Konferenzzentrum für die Unterstützung akademischer Besucher konfigurieren: Die korrekte Implementierung von 802.1X mindert erhebliche Sicherheitsrisiken – insbesondere den Diebstahl von Anmeldedaten – und reduziert gleichzeitig den Support-Aufwand drastisch. Für Veranstaltungsorte außerhalb der traditionellen Hochschulbildung ist das Verständnis dieser Standards von entscheidender Bedeutung, um kommerzielle Roaming-Föderationen wie OpenRoaming zu bewerten, die dieselbe zugrunde liegende Architektur nutzen.

Technischer Deep-Dive: 802.1X und die eduroam-Architektur

Im Kern ist eduroam eine Implementierung von IEEE 802.1X, dem Standard für portbasierte Netzwerkzugriffskontrolle. Obwohl ursprünglich für kabelgebundene Netzwerke entwickelt, bildet 802.1X das Fundament der WPA2-Enterprise- und WPA3-Enterprise-Sicherheit.

Das 802.1X-Dreieck

Das 802.1X-Framework basiert auf drei verschiedenen Komponenten, die interagieren, um den Zugriff zu autorisieren:

  1. Supplicant: Das Client-Gerät (z. B. der Laptop oder das Smartphone eines Studenten), das den Netzwerkzugriff anfordert.
  2. Authenticator: Das Netzwerkzugriffsgerät (z. B. ein Wireless Access Point oder ein Managed Switch). Es fungiert als Gatekeeper und blockiert den gesamten Datenverkehr mit Ausnahme von Authentifizierungsnachrichten, bis das Gerät autorisiert ist.
  3. Authentication Server: Das Backend-System, das die Anmeldedaten validiert, fast ausnahmslos ein RADIUS-Server (Remote Authentication Dial-In User Service).

Wenn sich ein Gerät verbindet, richtet der Authenticator einen kontrollierten Port ein. Er leitet EAP-Nachrichten (Extensible Authentication Protocol) zwischen dem Supplicant und dem Authentication Server weiter. Wenn die Anmeldedaten gültig sind, gibt der Server eine RADIUS-Nachricht Access-Accept zurück, und der Authenticator öffnet den Port für den Standard-IP-Verkehr.

architecture_overview.png

Die eduroam RADIUS-Proxy-Hierarchie

Was eduroam so einzigartig macht, ist seine föderierte Architektur. Sie ermöglicht es Nutzern, sich an jeder teilnehmenden Institution mit ihren heimischen Zugangsdaten zu authentifizieren, ohne dass die gastgebende Institution eine Kopie dieser Zugangsdaten benötigt.

Dies wird durch eine hierarchische RADIUS-Proxy-Kette erreicht. Wenn sich ein Nutzer von username@university.ac.uk mit der eduroam SSID an einem Gaststandort verbindet:

  1. Das Gerät des Nutzers sendet eine Authentifizierungsanfrage im Format username@university.ac.uk.
  2. Der RADIUS-Server des Gaststandorts prüft den Realm (den Teil nach dem @). Da er diesen als externe Domain erkennt, leitet er die Anfrage per Proxy an den nationalen Top-Level-RADIUS-Server weiter (betrieben vom National Research and Education Network, kurz NREN).
  3. Der nationale Server leitet die Anfrage an den RADIUS-Server der Heiminstitution (university.ac.uk) weiter.
  4. Die Heiminstitution validiert die Zugangsdaten und sendet eine Access-Accept- oder Access-Reject-Nachricht über die Kette zurück.

Dieser gesamte Prozess dauert in der Regel weniger als zwei Sekunden. Entscheidend ist, dass das Passwort des Nutzers niemals der gastgebenden Institution oder den zwischengeschalteten Proxys offengelegt wird; es ist innerhalb eines verschlüsselten EAP-Tunnels geschützt, der direkt zwischen dem Supplicant und dem heimischen RADIUS-Server aufgebaut wird.

EAP-Methoden: Sicherheit vs. Bereitstellbarkeit

Die Wahl der EAP-Methode bestimmt, wie der verschlüsselte Tunnel aufgebaut wird und wie der Austausch der Zugangsdaten erfolgt. Die eduroam Policy Service Definition schränkt die zulässigen Methoden stark ein, um die Sicherheit zu gewährleisten.

  • PEAP (Protected EAP): Die am häufigsten genutzte Variante. Sie baut einen TLS-Tunnel unter Verwendung eines serverseitigen Zertifikats auf dem RADIUS-Server auf. Der Client authentifiziert sich dann innerhalb dieses Tunnels, in der Regel mittels MSCHAPv2 (Benutzername und Passwort). Diese Methode ist relativ einfach bereitzustellen, jedoch anfällig für Angriffe über gefälschte Access Points (Rogue Access Points), wenn die Clients nicht so konfiguriert sind, dass sie das Serverzertifikat streng validieren.
  • EAP-TLS: Der Goldstandard für Sicherheit. Diese Methode erfordert eine gegenseitige Authentifizierung, was bedeutet, dass sowohl der RADIUS-Server als auch das Client-Gerät gültige Zertifikate vorweisen müssen. Sie ist zwar immun gegen Phishing von Zugangsdaten, erfordert jedoch eine robuste Public-Key-Infrastruktur (PKI) zur Ausstellung und Verwaltung von Client-Zertifikaten, was die Bereitstellung in großem Maßstab komplexer macht.

Implementierungsleitfaden

Die Bereitstellung von 802.1X und eduroam erfordert eine sorgfältige Abstimmung zwischen Netzwerkinfrastruktur, Identitätsmanagement und Client-Konfiguration.

1. Vorbereitung der Infrastruktur

Stellen Sie sicher, dass Ihre Wireless Access Points und Controller WPA2-Enterprise/WPA3-Enterprise und 802.1X unterstützen. Jede moderne Enterprise-Hardware (Cisco, Aruba, Juniper usw.) erfüllt diese Anforderung. Sie müssen außerdem eine robuste RADIUS-Infrastruktur (z. B. FreeRADIUS, Cisco ISE, Aruba ClearPass) bereitstellen, die in der Lage ist, die erwartete Authentifizierungslast zu bewältigen und Anfragen weiterzuleiten.

2. Zertifikatsmanagement

Bei PEAP-Bereitstellungen benötigt Ihr RADIUS-Server ein TLS-Zertifikat, das von einer Zertifizierungsstelle (CA) ausgestellt wurde, der Ihre Clients vertrauen. Verwenden Sie für produktive eduroam-Bereitstellungen keine selbstsignierten Zertifikate. Das Zertifikat muss regelmäßig erneuert werden, um Authentifizierungsausfälle zu vermeiden.

3. Client-Konfiguration (Das CAT-Tool)

Die häufigste Fehlerquelle bei eduroam-Bereitstellungen ist eine Fehlkonfiguration der Clients. Benutzer, die sich manuell verbinden, konfigurieren oft die Zertifikatsvalidierung nicht, was sie anfällig für das Abgreifen von Anmeldedaten macht.

Um dies zu verhindern, müssen Institutionen das eduroam Configuration Assistant Tool (CAT) oder eine MDM-Lösung verwenden, um vorkonfigurierte Profile zu verteilen. Diese Profile konfigurieren automatisch die richtige EAP-Methode, pinnen das erwartete RADIUS-Serverzertifikat und legen die entsprechenden inneren Authentifizierungsprotokolle fest.

4. VLAN-Zuweisung und Segmentierung

Eine ausgereifte Bereitstellung nutzt RADIUS-Attribute, um VLANs basierend auf der Identität des Benutzers dynamisch zuzuweisen.

  • Heimatbenutzer: Werden internen VLANs mit entsprechendem Zugriff auf Campus-Ressourcen zugewiesen.
  • Gastbenutzer: Werden einem eingeschränkten Gast-VLAN mit reinem Internetzugang zugewiesen.

Diese Segmentierung ist für die Sicherheit und Compliance von entscheidender Bedeutung, da sie sicherstellt, dass Gastgeräte nicht auf sensible interne Netzwerke zugreifen können.

comparison_chart.png

Best Practices und herstellerneutrale Empfehlungen

  • WPA3 priorisieren: Aktivieren Sie bei neuen Bereitstellungen WPA3-Enterprise, um von der obligatorischen 192-Bit-Verschlüsselung und dem verbesserten Schutz vor Offline-Wörterbuchangriffen zu profitieren.
  • Zertifikatsvalidierung erzwingen: Schreiben Sie die Verwendung von Konfigurationsprofilen (über CAT oder MDM) vor, um sicherzustellen, dass Supplicants das RADIUS-Serverzertifikat strikt validieren, bevor sie Anmeldedaten übertragen.
  • RadSec verwenden: Verwenden Sie bei der Konfiguration von RADIUS-Proxy-Verbindungen zur nationalen Föderation RadSec (RADIUS über TLS) anstelle von einfachem UDP. Dies verschlüsselt den Proxy-Verkehr und verbessert die Zuverlässigkeit über WAN-Verbindungen.
  • Integration mit Gastlösungen: eduroam bedient nur Benutzer mit akademischen Anmeldedaten. Sie müssen eine separate, sichere Guest WiFi -Lösung für Auftragnehmer, öffentliche Besucher und Event-Teilnehmer bereithalten.
  • Zugehörige Infrastruktur überprüfen: Stellen Sie sicher, dass Ihr zugrunde liegendes Netzwerk sicher ist. Lesen Sie unseren Leitfaden Protect Your Network with Strong DNS and Security für weitere Details. Wenn Sie temporäre Infrastrukturen für Universitätsveranstaltungen bereitstellen, konsultieren Sie Event WiFi: Planning and Deploying Temporary Wireless Networks oder die portugiesische Version Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias .

Fehlerbehebung & Risikominderung

Wenn die Authentifizierung fehlschlägt, ist eine systematische Fehlerbehebung unerlässlich.

  1. Isolieren Sie die Fehlerdomäne: Stellen Sie fest, ob der Fehler lokal ist (betrifft Ihre eigenen Benutzer in Ihrem eigenen Netzwerk), remote (betrifft Ihre Benutzer an anderen Standorten) oder eingehend (betrifft Besucher in Ihrem Netzwerk).
  2. Prüfen Sie die RADIUS-Protokolle: Die RADIUS-Serverprotokolle sind die definitive Quelle der Wahrheit. Suchen Sie nach Access-Reject-Meldungen (die auf ungültige Anmeldedaten oder Richtlinienverstöße hinweisen) oder Timeouts (die auf Proxy-Konnektivitätsprobleme hinweisen).
  3. Zertifikatsgültigkeit überprüfen: Stellen Sie sicher, dass das RADIUS-Serverzertifikat nicht abgelaufen ist und dass die vollständige Zertifikatskette dem Client präsentiert wird.
  4. Überwachen Sie die Upstream-Latenz: Eine hohe Latenz auf der Verbindung zum nationalen RADIUS-Proxy kann zu Client-Timeouts führen, was selbst bei korrekten Anmeldedaten zu fehlgeschlagenen Verbindungen führt.

ROI & geschäftliche Auswirkungen

Für Hochschuleinrichtungen misst sich der ROI einer ordnungsgemäßen eduroam-Bereitstellung in drastisch reduzierten Support-Tickets. Durch den Wegfall von Captive Portals und manueller Passworteingabe verzeichnen IT-Helpdesks einen deutlichen Rückgang von Anrufen im Zusammenhang mit Verbindungsproblemen. (Das Engagement von Purple in diesem Sektor ist offensichtlich; siehe Purple Signals Higher Education Ambitions with Appointment of VP Education Tim Peers ).

Für kommerzielle Veranstaltungsorte – wie in den Bereichen Gastgewerbe , Einzelhandel , Gesundheitswesen oder Transportwesen – bietet die Unterstützung von eduroam Visitor Access (eVA) oder ähnlichen Föderationen wie OpenRoaming ein reibungsloses Erlebnis für wertvolle Zielgruppen. Es stellt sicher, dass sich akademische Besucher automatisch und sicher verbinden können, was die Zufriedenheit steigert, während der Veranstaltungsort eine strikte Netzwerksegmentierung beibehalten kann. Wenn Ihr Veranstaltungsort dedizierte Bandbreite benötigt, um dies zu unterstützen, lesen Sie Was ist eine Standleitung? Dediziertes Business-Internet .

Bei der Planung von Netzwerk-Upgrades stellt die Integration von 802.1X-Funktionen sicher, dass die Infrastruktur für modernes, identitätsgesteuertes Networking bereit ist, und legt den Grundstein für fortschrittliche WiFi Analytics und standortbasierte Dienste.

Schlüsseldefinitionen

802.1X

Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle (PNAC). Er bietet einen Authentifizierungsmechanismus für Geräte, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.

Das grundlegende Protokoll für WiFi-Sicherheit auf Enterprise-Niveau, das gemeinsam genutzte Passwörter (PSKs) durch eine individualisierte Authentifizierung ersetzt.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) für Benutzer bietet, die sich mit einem Netzwerkdienst verbinden und diesen nutzen.

Der Backend-Server in einer 802.1X-Bereitstellung, der die Anmeldedaten des Benutzers tatsächlich mit einem Verzeichnis (wie Active Directory) abgleicht.

EAP (Extensible Authentication Protocol)

Ein Authentifizierungs-Framework, das häufig in drahtlosen Netzwerken und Punkt-zu-Punkt-Verbindungen verwendet wird. Es ermöglicht den Transport und die Nutzung verschiedener Authentifizierungsmechanismen.

Die Sprache, die während des 802.1X-Handshakes zwischen dem Client-Gerät und dem RADIUS-Server gesprochen wird.

Supplicant

Das Client-Gerät (z. B. Laptop, Smartphone) oder die Software auf diesem Gerät, die versucht, sich über 802.1X an einem Netzwerk zu authentifizieren.

Die Instanz, die den Zugriff anfordert. Ihre Konfiguration (insbesondere im Hinblick auf die Zertifikatsvalidierung) ist für die Sicherheit von entscheidender Bedeutung.

Authenticator

Das Netzwerkgerät (z. B. ein Wireless Access Point oder ein Ethernet-Switch), das den 802.1X-Authentifizierungsprozess erleichtert, indem es Nachrichten zwischen dem Supplicant und dem Authentifizierungsserver weiterleitet.

Der Gatekeeper, der den Netzwerkverkehr blockiert, bis der RADIUS-Server grünes Licht gibt.

PEAP (Protected Extensible Authentication Protocol)

Eine EAP-Methode, die die EAP-Transaktion in einem TLS-Tunnel kapselt, der mithilfe eines serverseitigen Zertifikats erstellt wird, wodurch die interne Authentifizierung (normalerweise ein Passwort) geschützt wird.

Die gängigste Authentifizierungsmethode für eduroam, die ein ausgewogenes Verhältnis zwischen Sicherheit und einfacher Bereitstellung bietet.

RadSec

Ein Protokoll zur Übertragung von RADIUS-Daten über TCP und TLS anstelle des herkömmlichen UDP.

Empfohlen zur Absicherung der Proxy-Verbindungen zwischen Institutionen und der nationalen eduroam-Föderation, um das Abfangen des Authentifizierungsverkehrs zu verhindern.

Realm

Der Teil der Identität eines Benutzers, der auf das „@“-Symbol folgt (z. B. „university.ac.uk“ in „user@university.ac.uk“).

Wird von RADIUS-Proxy-Servern verwendet, um zu bestimmen, wohin die Authentifizierungsanfrage in einer föderierten Umgebung wie eduroam weitergeleitet werden soll.

Ausgearbeitete Beispiele

Ein Tagungshotel mit 400 Zimmern direkt neben einer großen Universität veranstaltet häufig akademische Symposien. Der IT-Leiter möchte es Gastwissenschaftlern ermöglichen, sich automatisch zu verbinden, ohne das standardmäßige Captive Portal des Hotels zu nutzen. Er muss jedoch sicherstellen, dass diese Besucher weder auf das Unternehmensnetzwerk des Hotels noch auf das VLAN des Standard-Gästenetzwerks zugreifen können.

Das Hotel sollte eduroam Visitor Access (eVA) implementieren oder einer kommerziellen Föderation wie OpenRoaming beitreten.

  1. Das Hotel konfiguriert eine neue SSID („eduroam“ oder „OpenRoaming“) auf seinen Enterprise-Access-Points.
  2. Die APs werden für die Verwendung von WPA2-Enterprise/802.1X konfiguriert.
  3. Das Hotel stellt einen lokalen RADIUS-Server bereit, der so konfiguriert ist, dass er Authentifizierungsanfragen für externe Realms an die nationale Föderation (für eduroam) oder den OpenRoaming-Hub weiterleitet.
  4. Entscheidend ist, dass der lokale RADIUS-Server so konfiguriert ist, dass er in der Access-Accept-Nachricht für alle weitergeleiteten Authentifizierungen ein bestimmtes VLAN-ID-Attribut zurückgibt.
  5. Die Access Points leiten diese authentifizierten Benutzer in ein isoliertes, reines Internet-VLAN um, das vollständig vom Unternehmens- und Standard-Gästeverkehr des Hotels segmentiert ist.
Kommentar des Prüfers: Dieser Ansatz nutzt die RADIUS-Proxy-Architektur korrekt aus, um die Authentifizierung an die Heimateinrichtungen der Besucher auszulagern. Durch die Verwendung der dynamischen VLAN-Zuweisung über RADIUS-Attribute behält das Hotel eine strikte Netzwerksegmentierung bei, was die Sicherheitsanforderungen erfüllt und gleichzeitig eine reibungslose Benutzererfahrung bietet.

Das IT-Team einer Universität stellt einen sprunghaften Anstieg kompromittierter Studenten-Accounts fest. Untersuchungen zeigen, dass sich Studenten mit einem betrügerischen Access Point verbinden, der die SSID „eduroam“ in einem örtlichen Café ausstrahlt. Der betrügerische AP verwendet ein selbstsigniertes Zertifikat, um Anmeldedaten über PEAP abzufangen.

Das IT-Team muss unverzüglich eine strikte Zertifikatsvalidierung auf allen Client-Geräten erzwingen.

  1. Sie dürfen den Studenten nicht länger raten, sich manuell mit der SSID zu verbinden und die „Zertifikatswarnung zu akzeptieren“.
  2. Sie stellen das eduroam Configuration Assistant Tool (CAT) für BYOD-Geräte bereit und aktualisieren die MDM-Profile für verwaltete Geräte.
  3. Diese Profile konfigurieren den Supplicant so, dass er nur der spezifischen Zertifizierungsstelle (CA) vertraut, die das Zertifikat des RADIUS-Servers der Universität ausgestellt hat, und den Common Name (CN) des Servers überprüft.
  4. Wenn das Gerät eines Studenten nach der Konfiguration auf den betrügerischen AP stößt, schlägt der Aufbau des EAP-Tunnels fehl, da das betrügerische Zertifikat nicht mit der hinterlegten CA/CN übereinstimmt, wodurch die Übertragung von Anmeldedaten verhindert wird.
Kommentar des Prüfers: Dieses Szenario verdeutlicht die kritischste Schwachstelle bei PEAP-Bereitstellungen. Die Lösung erkennt richtig, dass die Behebung auf der Client-Seite konfiguriert werden muss. Sich darauf zu verlassen, dass Benutzer gefälschte Zertifikate durch Schulungen erkennen, ist ineffektiv; technische Kontrollen (Profile Pinning) sind zwingend erforderlich.

Eine Einzelhandelskette möchte OpenRoaming an 50 Standorten über ihre bestehende Gäste-WiFi-Infrastruktur anbieten, die derzeit auf einer offenen SSID mit einem Captive Portal basiert.

Die Einzelhandelskette muss ihr Netzwerk aufrüsten, um 802.1X und RADIUS-Proxying zu unterstützen.

  1. Das Netzwerkteam aktiviert eine neue SSID, die die OpenRoaming Consortium OI (Organization Identifier) ausstrahlt.
  2. Sie konfigurieren die Access Points für die Authentifizierung über 802.1X.
  3. Sie konfigurieren ihren zentralen RADIUS-Server so, dass er Anfragen an den OpenRoaming-Föderations-Hub weiterleitet.
  4. Sie stellen sicher, dass ihr Internet-Backhaul den erwarteten Anstieg an automatischen Verbindungen bewältigen kann, und rüsten bei Bedarf auf dedizierte Standleitungen auf.
Kommentar des Prüfers: Dies verdeutlicht, dass der Wechsel von einem Captive Portal zu einem föderierten 802.1X-Modell grundlegende architektonische Änderungen erfordert, insbesondere die Implementierung von RADIUS-Proxying und die Fähigkeit, eine erhöhte Anzahl automatischer Verbindungen zu verarbeiten.

Übungsfragen

Q1. Ihre Universität führt ein neues drahtloses Netzwerk ein. Der CISO schreibt vor, dass Credential-Phishing über gefälschte Access Points mathematisch unmöglich sein muss. Welche EAP-Methode müssen Sie wählen?

Hinweis: Überlegen Sie, welche Methode auf Passwörtern basiert und welche vollständig auf kryptografischen Schlüsseln beruht.

Musterlösung anzeigen

Sie müssen EAP-TLS wählen. Im Gegensatz zu PEAP, das auf einem Passwort innerhalb eines TLS-Tunnels basiert, erfordert EAP-TLS eine gegenseitige Zertifikatsauthentifizierung. Da sich das Client-Gerät mit einem kryptografischen Zertifikat anstelle eines Passworts authentifiziert, gibt es für einen gefälschten Access Point keine Anmeldedaten, die abgefangen werden könnten.

Q2. Ein Gastwissenschaftler einer anderen Universität beklagt sich, dass er sich nicht mit Ihrem eduroam-Netzwerk verbinden kann. Ihre lokalen Benutzer können sich problemlos verbinden. Sie überprüfen die Protokolle Ihres lokalen RADIUS-Servers und sehen, dass die Anfrage eingeht, aber ein Timeout auftritt, bevor ein Access-Accept empfangen wird. Was ist die wahrscheinlichste Ursache?

Hinweis: Denken Sie an den Weg, den die Authentifizierungsanfrage für einen Gastbenutzer im Vergleich zu einem lokalen Benutzer nimmt.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist ein Konnektivitäts- oder Latenzproblem zwischen Ihrem lokalen RADIUS-Server und dem nationalen NREN-RADIUS-Proxy. Da sich lokale Benutzer direkt an Ihrem Server authentifizieren, sind sie nicht betroffen. Die Anfrage des Gastbenutzers muss an den übergeordneten Proxy weitergeleitet werden, und ein Timeout weist darauf hin, dass die Antwort der Heimateinrichtung nicht rechtzeitig zurückkehrt.

Q3. Sie sind Netzwerkarchitekt für eine Einzelhandelskette in der Nähe einer großen Universität. Sie möchten Studenten über eduroam Visitor Access (eVA) nahtloses WiFi anbieten, müssen jedoch die PCI-DSS-Richtlinien für Ihre Point-of-Sale-Terminals einhalten. Wie integrieren Sie eVA sicher?

Hinweis: Wie ermöglicht es 802.1X dem Netzwerk-Access-Point, den Datenverkehr nach der Authentifizierung zu differenzieren?

Musterlösung anzeigen

Sie integrieren eVA, indem Sie Ihren RADIUS-Server so konfigurieren, dass er alle erfolgreichen eVA-Authentifizierungen einem dedizierten, reinen Internet-Gast-VLAN zuweist. Die Access-Accept-Nachricht vom RADIUS-Server muss die spezifische VLAN-ID enthalten. Dies stellt sicher, dass die Geräte der Studenten vollständig von dem PCI-konformen VLAN isoliert sind, das von den Point-of-Sale-Terminals verwendet wird, wodurch die Compliance-Anforderungen erfüllt werden.

Weiterlesen in dieser Reihe

Per-Device PSK nach Anbieter: iPSK, DPSK, MPSK und PPSK im Vergleich (und WPA3-Unterstützung)

Ein umfassender Vergleich von Per-Device-PSK-Implementierungen bei Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet und Ubiquiti UniFi. Erfahren Sie, wie sich WPA3-SAE auf Per-Device-Key-Strategien auswirkt und wann Übergangsmodi im Vergleich zum Wechsel zu 802.1X eingesetzt werden sollten.

Leitfaden lesen →

Captive Portal Authentifizierungsmethoden im Vergleich

Dieser maßgebliche technische Leitfaden bewertet die architektonischen, betrieblichen und Compliance-bezogenen Vor- und Nachteile von fünf zentralen Captive Portal Authentifizierungsmethoden. Er bietet Netzwerkarchitekten, IT-Leitern und Marketingmanagern die quantitativen Daten und Entscheidungsrahmen, die erforderlich sind, um die Reibung beim Onboarding von Gästen mit den Anforderungen an die Datenerfassung in Unternehmensstandorten abzuwägen.

Leitfaden lesen →

Was ist MAC-Adressen-Authentifizierung? Wann man sie einsetzt und wann man sie vermeidet

Dieser maßgebliche technische Leitfaden behandelt die MAC-Adressen-Authentifizierung in Enterprise-WiFi-Umgebungen – wie die RADIUS-basierte MAC-Authentifizierung auf Layer 2 funktioniert, ihre inhärenten Sicherheitsrisiken (einschließlich MAC-Spoofing und den Auswirkungen der MAC-Randomisierung auf Betriebssystemebene) und die genauen betrieblichen Kontexte, in denen sie ein legitimes Tool zur Verwaltung von IoT- und Headless-Geräten bleibt. Er bietet praxisnahe Bereitstellungsrichtlinien für IT-Manager und Netzwerkarchitekten in den Bereichen Hotellerie, Einzelhandel, Gesundheitswesen und im öffentlichen Sektor, ergänzt durch praxisnahe Fallbeispiele, Entscheidungsmatrizen und Integrationskontexte für die Guest-WiFi- und Analytics-Plattform von Purple.

Leitfaden lesen →