eduroam und 802.1X: Sichere WiFi Authentifizierung für die Hochschulbildung
Dieser maßgebliche technische Leitfaden erklärt die Architektur, Bereitstellung und Sicherheit von eduroam und der 802.1X Authentifizierung. Er wurde für IT-Manager und Netzwerkarchitekten entwickelt und deckt praktische Implementierungsschritte, die Auswahl von EAP-Methoden und die Frage ab, wie Betreiber von Veranstaltungsorten akademisches Roaming sicher unterstützen können.
Diesen Leitfaden anhören
Podcast-Transkript ansehen
- Executive Summary
- Technischer Deep Dive: 802.1X- und eduroam-Architektur
- Das 802.1X-Dreiecksmodell
- Die RADIUS-Proxy-Hierarchie von eduroam
- EAP-Methoden: Der Kompromiss zwischen Sicherheit und Bereitstellungsaufwand
- Implementierungshandbuch
- 1. Vorbereitung der Infrastruktur
- 2. Zertifikatsverwaltung
- 3. Client-Konfiguration (das CAT-Tool)
- 4. VLAN-Zuweisung und Segmentierung
- Best Practices und herstellerunabhängige Empfehlungen
- Fehlerbehebung und Risikominderung
- ROI und geschäftliche Auswirkungen

Executive Summary
Für Hochschuleinrichtungen und für die Standorte, die deren Mitarbeitern und Studierenden dienen, ist die Bereitstellung einer sicheren, nahtlosen drahtlosen Konnektivität kein Luxus mehr - es ist eine betriebliche Notwendigkeit. Der Standard für diese Konnektivität ist eduroam, ein globaler Roaming-Dienst, der auf dem IEEE 802.1X-Framework aufbaut.
Dieser Leitfaden bietet IT-Managern, Netzwerkarchitekten und Leitern des Standortbetriebs eine umfassende, herstellerneutrale Referenz zum Verständnis, zur Bereitstellung und zur Fehlerbehebung von 802.1X und eduroam. Wir gehen über die grundlegenden theoretischen Modelle hinaus und untersuchen, wie campusweites Enterprise-WiFi in der Praxis tatsächlich funktioniert, einschließlich Zertifikatsmanagement, RADIUS-Proxy-Architektur und der Integration in eine breitere Gastnetzwerk-Strategie.
Unabhängig davon, ob Sie ein veraltetes Universitätsnetzwerk aktualisieren oder ein Konferenzzentrum für die Unterstützung akademischer Besucher konfigurieren: Die korrekte Implementierung von 802.1X reduziert das Sicherheitsrisiko - insbesondere den Diebstahl von Anmeldedaten - erheblich und senkt gleichzeitig den Support-Aufwand drastisch. Für Standorte außerhalb der traditionellen Hochschulbildung ist das Verständnis dieser Standards unerlässlich, um kommerzielle Roaming-Federations wie OpenRoaming zu bewerten, die dieselbe zugrunde liegende Architektur nutzen.
Technischer Deep Dive: 802.1X- und eduroam-Architektur
Im Kern ist eduroam eine Implementierung von IEEE 802.1X, dem Standard für die portbasierte Netzwerkzugriffskontrolle. 802.1X wurde ursprünglich für kabelgebundene Netzwerke entwickelt, bildet jedoch das Fundament der Sicherheit von WPA2-Enterprise und WPA3-Enterprise.
Das 802.1X-Dreiecksmodell
Das 802.1X-Framework stützt sich auf die Interaktion von drei verschiedenen Komponenten, um den Zugriff zu autorisieren:
- Supplicant: Das Client-Gerät, das den Netzwerkzugriff anfordert (z. B. der Laptop oder das Smartphone eines Studenten).
- Authenticator: Das Netzwerkzugriffsgerät (z. B. ein Wireless Access Point oder ein Managed Switch). Er fungiert als Gatekeeper und blockiert den gesamten Datenverkehr mit Ausnahme von Authentifizierungsnachrichten, bis das Gerät autorisiert ist.
- Authentication Server: Das Back-End-System, das die Anmeldedaten überprüft, fast ausnahmslos ein RADIUS-Server (Remote Authentication Dial-In User Service).
Wenn sich ein Gerät verbindet, richtet der Authenticator einen kontrollierten Port ein. Er leitet EAP-Nachrichten (Extensible Authentication Protocol) zwischen dem Supplicant und dem Authentication Server weiter. Wenn die Anmeldedaten gültig sind, sendet der Server eine RADIUS-Nachricht vom Typ Access-Accept zurück, und der Authenticator öffnet den Port, um den Standard-IP-Verkehr zuzulassen.

Die RADIUS-Proxy-Hierarchie von eduroam
Was eduroam so einzigartig macht, ist seine föderierte Architektur. Sie ermöglicht es Benutzern, sich an jeder teilnehmenden Institution mit ihren Anmeldedaten der Heimateinrichtung zu authentifizieren, ohne dass die gastgebende Institution jemals eine Kopie dieser Anmeldedaten besitzt.
Dies wird durch eine hierarchische Kette von RADIUS-Proxys erreicht. Wenn sich ein Benutzer von username@university.ac.uk mit der eduroam SSID an einem Gaststandort verbindet:
- Das Gerät des Benutzers sendet eine Authentifizierungsanfrage im Format
username@university.ac.uk. - Der RADIUS-Server des Gaststandorts prüft den Realm (den Teil nach dem
@-Symbol). Da er diesen als externe Domain erkennt, leitet er die Anfrage per Proxy an den nationalen RADIUS-Server auf oberster Ebene weiter (betrieben vom National Research and Education Network, kurz NREN). - Der nationale Server leitet die Anfrage an den RADIUS-Server der Heimateinrichtung weiter (
university.ac.uk). - Die Heimateinrichtung validiert die Anmeldedaten und sendet eine
Access-Accept- oderAccess-Reject-Nachricht über die Kette zurück.
Der gesamte Prozess ist in der Regel in weniger als zwei Sekunden abgeschlossen. Entscheidend ist, dass das Passwort des Benutzers niemals der gastgebenden Institution oder den zwischengeschalteten Proxy-Servern offengelegt wird; es ist innerhalb eines verschlüsselten EAP-Tunnels geschützt, der direkt zwischen dem Supplicant und dem RADIUS-Server der Heimateinrichtung aufgebaut wird.
EAP-Methoden: Der Kompromiss zwischen Sicherheit und Bereitstellungsaufwand
Die Wahl der EAP-Methode bestimmt, wie der verschlüsselte Tunnel aufgebaut wird und wie der Austausch der Anmeldedaten erfolgt. Die Richtliniendefinition von eduroam schränkt die zulässigen Methoden streng ein, um die Sicherheit zu gewährleisten.
- PEAP (Protected EAP): Die am weitesten verbreitete Bereitstellungsmethode. Sie verwendet ein serverseitiges Zertifikat auf dem RADIUS-Server, um einen TLS-Tunnel aufzubauen. Der Client authentifiziert sich dann innerhalb dieses Tunnels, in der Regel mittels MSCHAPv2 (Benutzername und Passwort). Diese Methode ist relativ einfach bereitzustellen, ist jedoch anfällig für Angriffe über gefälschte Access Points, wenn die Clients nicht so konfiguriert sind, dass sie das Serverzertifikat streng validieren.
- EAP-TLS: Der Goldstandard für Sicherheit. Diese Methode erfordert eine gegenseitige Authentifizierung, was bedeutet, dass sowohl der RADIUS-Server als auch das Client-Gerät gültige Zertifikate vorlegen müssen. Sie ist zwar immun gegen Phishing von Anmeldedaten, erfordert jedoch eine robuste Public-Key-Infrastruktur (PKI) zur Ausstellung und Verwaltung von Client-Zertifikaten, was die Bereitstellung in großem Maßstab komplexer macht.
Implementierungshandbuch
Die Bereitstellung von 802.1X und eduroam erfordert eine sorgfältige Abstimmung zwischen Netzwerkinfrastruktur, Identitätsmanagement und Client-Konfiguration.
1. Vorbereitung der Infrastruktur
Stellen Sie sicher, dass Ihre Wireless Access Points und Controller WPA2-Enterprise/WPA3-Enterprise und 802.1X unterstützen. Jede moderne Enterprise-Hardware (Cisco, Aruba, Juniper und andere) erfüllt diese Anforderung. Sie müssen außerdem eine robuste RADIUS-Infrastruktur (wie FreeRADIUS, Cisco ISE oder Aruba ClearPass) implementieren, die in der Lage ist, die erwartete Authentifizierungslast zu bewältigen und Anfragen weiterzuleiten.
2. Zertifikatsverwaltung
Für PEAP-Bereitstellungen benötigt Ihr RADIUS-Server ein TLS-Zertifikat, das von einer Zertifizierungsstelle (CA) ausgestellt wurde, der Ihre Clients vertrauen. Verwenden Sie in einer produktiven eduroam-Bereitstellung niemals selbstsignierte Zertifikate. Zertifikate müssen regelmäßig erneuert werden, um Authentifizierungsausfälle zu vermeiden.
3. Client-Konfiguration (das CAT-Tool)
Die häufigste Fehlerquelle bei eduroam-Bereitstellungen ist eine Fehlkonfiguration der Clients. Wenn sich Benutzer manuell verbinden, konfigurieren sie oft die Zertifikatsvalidierung nicht, was sie anfällig für Angriffe zum Diebstahl von Anmeldedaten macht.
Um dieses Risiko zu minimieren, müssen Institutionen das eduroam Configuration Assistant Tool (CAT) oder eine MDM-Lösung verwenden, um vorkonfigurierte Profile zu verteilen. Diese Profile konfigurieren automatisch die richtige EAP-Methode, hinterlegen das erwartete RADIUS-Serverzertifikat und legen das entsprechende innere Authentifizierungsprotokoll fest.
4. VLAN-Zuweisung und Segmentierung
Eine ausgereifte Bereitstellung nutzt RADIUS-Attribute, um VLANs basierend auf der Benutzeridentität dynamisch zuzuweisen.
- Interne Benutzer: Werden internen VLANs mit entsprechendem Zugriff auf Campus-Ressourcen zugewiesen.
- Gastbenutzer: Werden einem eingeschränkten Gast-VLAN zugewiesen, das nur Internetzugang bietet.
Diese Segmentierung ist entscheidend für Sicherheit und Compliance, da sie sicherstellt, dass Gastgeräte keine sensiblen internen Netzwerke erreichen können.

Best Practices und herstellerunabhängige Empfehlungen
- WPA3 priorisieren: Aktivieren Sie bei neuen Bereitstellungen WPA3-Enterprise, um die obligatorische 192-Bit-Verschlüsselung und einen besseren Schutz vor Offline-Wörterbuchangriffen zu erhalten.
- Zertifikatsvalidierung erzwingen: Setzen Sie die Verwendung von Konfigurationsprofilen (über CAT oder MDM) voraus, um sicherzustellen, dass der Supplicant das RADIUS-Serverzertifikat strikt validiert, bevor er Anmeldedaten überträgt.
- RadSec verwenden: Verwenden Sie bei der Konfiguration von RADIUS-Proxy-Verbindungen zur nationalen Föderation RadSec (RADIUS über TLS) anstelle von einfachem UDP. Dies verschlüsselt den Proxy-Verkehr und verbessert die Zuverlässigkeit über Weitverkehrsverbindungen.
- Mit einer Gastlösung integrieren: eduroam bedient nur Benutzer mit akademischen Anmeldedaten. Sie müssen eine separate, sichere Guest WiFi Lösung für externe Dienstleister, die Öffentlichkeit und Veranstaltungsbesucher bereithalten.* Zugehörige Infrastruktur überprüfen: Stellen Sie sicher, dass Ihr zugrundeliegendes Netzwerk sicher ist. Lesen Sie unseren Leitfaden Netzwerksicherung mit robustem DNS und Sicherheit für weitere Details. Wenn Sie temporäre Infrastrukturen für Universitätsveranstaltungen bereitstellen, finden Sie weitere Informationen unter Event WiFi: Planung und Bereitstellung temporärer drahtloser Netzwerke oder in der portugiesischsprachigen Version Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias .
Fehlerbehebung und Risikominderung
Wenn die Authentifizierung fehlschlägt, ist eine systematische Fehlerbehebung unerlässlich.
- Fehlerdomäne isolieren: Stellen Sie fest, ob der Fehler lokal ist (Betroffenheit von Benutzern in Ihrem eigenen Netzwerk), remote (Betroffenheit Ihrer Benutzer an anderen Orten) oder eingehend (Betroffenheit von Besuchern in Ihrem Netzwerk).
- RADIUS-Protokolle prüfen: Die RADIUS-Serverprotokolle sind die maßgebliche Quelle der Wahrheit. Suchen Sie nach
Access-Reject-Meldungen (die auf falsche Anmeldedaten oder Richtlinienverstöße hinweisen) oder Timeouts (die auf Verbindungsprobleme mit dem Proxy hinweisen). - Zertifikatsgültigkeit überprüfen: Stellen Sie sicher, dass das RADIUS-Serverzertifikat nicht abgelaufen ist und dass die vollständige Zertifikatskette den Clients präsentiert wird.
- Upstream-Latenz überwachen: Eine hohe Latenz zum nationalen RADIUS-Proxy kann zu Client-Timeouts führen, was wiederum zu fehlgeschlagenen Verbindungen führt, selbst wenn die Anmeldedaten korrekt sind.
ROI und geschäftliche Auswirkungen
Für Hochschuleinrichtungen zeigt sich die Rendite einer ordnungsgemäß implementierten eduroam-Bereitstellung in einer drastisch reduzierten Anzahl von Support-Tickets. Durch den Wegfall von Captive Portalen und manueller Passworteingabe verzeichnen IT-Helpdesks einen signifikanten Rückgang der Anrufe im Zusammenhang mit Verbindungsproblemen. (Das Engagement von Purple in diesem Sektor ist eindeutig - siehe Purple ernennt Tim Peers zum VP of Education und unterstreicht damit seine Ambitionen im Hochschulbereich ).
Für kommerzielle Veranstaltungsorte - wie Hotellerie , Einzelhandel , Gesundheitswesen oder Transportwesen - bietet die Unterstützung von eduroam Visitor Access (eVA) oder ähnlichen Föderationen wie OpenRoaming ein reibungsloses Erlebnis für eine anspruchsvolle Zielgruppe. Sie stellt sicher, dass akademische Besucher sich automatisch und sicher verbinden, was die Zufriedenheit erhöht, während der Veranstaltungsort eine strikte Netzwerksegmentierung beibehalten kann. Wenn Ihr Veranstaltungsort dedizierte Bandbreite benötigt, um diese Nachfrage zu unterstützen, lesen Sie Was ist eine Standleitung? Internet für Unternehmen .
Bei der Planung von Netzwerk-Upgrades stellt die Integration von 802.1X-Funktionen sicher, dass Ihre Infrastruktur für modernes identitätsgesteuertes Networking bereit ist, und legt den Grundstein für fortschrittliche WiFi Analytics und standortbasierte Dienste.
Schlüsseldefinitionen
802.1X
Ein IEEE-Standard für portbasierte Network Access Control (PNAC). Er bietet einen Authentifizierungsmechanismus für Geräte, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.
Das grundlegende Protokoll für WiFi Sicherheit auf Enterprise-Niveau, das gemeinsam genutzte Passwörter (PSKs) durch eine individualisierte Authentifizierung ersetzt.
RADIUS (Remote Authentication Dial-In User Service)
Ein Netzwerkprotokoll, das eine zentralisierte Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) für Benutzer bietet, die eine Verbindung zu einem Netzwerkdienst herstellen und diesen nutzen.
Der Backend-Server in einer 802.1X Bereitstellung, der die Anmeldedaten des Benutzers tatsächlich mit einem Verzeichnis (wie Active Directory) abgleicht.
EAP (Extensible Authentication Protocol)
Ein Authentifizierungs-Framework, das häufig in drahtlosen Netzwerken und Punkt-zu-Punkt-Verbindungen verwendet wird. Es ermöglicht den Transport und die Nutzung verschiedener Authentifizierungsmechanismen.
Die Sprache, die während des 802.1X Handshakes zwischen dem Client-Gerät und dem RADIUS-Server gesprochen wird.
Supplicant
Das Client-Gerät (z. B. Laptop, Smartphone) oder die Software auf diesem Gerät, die versucht, sich über 802.1X an einem Netzwerk zu authentifizieren.
Die Entität, die Zugriff anfordert. Ihre Konfiguration (insbesondere im Hinblick auf die Zertifikatsvalidierung) ist für die Sicherheit von entscheidender Bedeutung.
Authenticator
Das Netzwerkgerät (z. B. ein Wireless Access Point oder Ethernet-Switch), das den 802.1X Authentifizierungsprozess erleichtert, indem es Nachrichten zwischen dem Supplicant und dem Authentifizierungsserver weiterleitet.
Der Torwächter, der den Netzwerkverkehr blockiert, bis der RADIUS-Server grünes Licht gibt.
PEAP (Protected Extensible Authentication Protocol)
Eine EAP-Methode, die die EAP-Transaktion in einem TLS-Tunnel kapselt, der mithilfe eines serverseitigen Zertifikats eingerichtet wird, und so die interne Authentifizierung (normalerweise ein Passwort) schützt.
Die am häufigsten verwendete Authentifizierungsmethode für eduroam, die ein ausgewogenes Verhältnis zwischen Sicherheit und einfacher Bereitstellung bietet.
RadSec
Ein Protokoll zur Übertragung von RADIUS-Daten über TCP und TLS statt über das herkömmliche UDP.
Empfohlen zur Sicherung der Proxy-Verbindungen zwischen Institutionen und der nationalen eduroam-Föderation, um das Abfangen des Authentifizierungsverkehrs zu verhindern.
Realm
Der Teil der Identität eines Benutzers, der auf das "@"-Symbol folgt (z. B. "university.ac.uk" in "user@university.ac.uk").
Wird von RADIUS-Proxy-Servern verwendet, um zu bestimmen, wohin die Authentifizierungsanfrage in einer Verbundumgebung wie eduroam weitergeleitet werden soll.
Ausgearbeitete Beispiele
Ein Konferenzhotel mit 400 Zimmern direkt neben einer großen Universität veranstaltet häufig akademische Symposien. Der IT-Leiter möchte den besuchenden Akademikern die automatische Verbindung ermöglichen, ohne das Standard-Captive Portal des Hotels zu nutzen. Er muss jedoch sicherstellen, dass diese Besucher keinen Zugriff auf das Unternehmensnetzwerk des Hotels oder das Standard-Gästenetzwerk-VLAN haben.
Das Hotel sollte eduroam Visitor Access (eVA) implementieren oder einer kommerziellen Föderation wie OpenRoaming beitreten.
- Das Hotel konfiguriert eine neue SSID („eduroam“ oder „OpenRoaming“) auf seinen Enterprise Access Points.
- Die APs werden für die Verwendung von WPA2-Enterprise/802.1X konfiguriert.
- Das Hotel stellt einen lokalen RADIUS-Server bereit, der so konfiguriert ist, dass er Authentifizierungsanfragen für externe Realms an die nationale Föderation (für eduroam) oder den OpenRoaming-Hub weiterleitet.
- Entscheidend ist, dass der lokale RADIUS-Server so konfiguriert ist, dass er ein bestimmtes VLAN-ID-Attribut in der „Access-Accept“-Nachricht für alle weitergeleiteten Authentifizierungen zurückgibt.
- Die Access Points leiten diese authentifizierten Benutzer in ein isoliertes, reines Internet-VLAN, das vollständig vom Unternehmens- und Standard-Gästeverkehr des Hotels segmentiert ist.
Das IT-Team einer Universität bemerkt einen Anstieg kompromittierter Studenten-Accounts. Untersuchungen zeigen, dass sich Studenten mit einem Rogue Access Point verbinden, der die SSID „eduroam“ in einem örtlichen Café ausstrahlt. Der Rogue AP verwendet ein selbstsigniertes Zertifikat, um Zugangsdaten über PEAP abzugreifen.
Das IT-Team muss unverzüglich eine strikte Zertifikatsprüfung auf allen Client-Geräten erzwingen.
- Sie dürfen den Studenten nicht mehr empfehlen, sich manuell mit der SSID zu verbinden und die „Zertifikatswarnung zu akzeptieren“.
- Sie stellen das eduroam Configuration Assistant Tool (CAT) für BYOD-Geräte bereit und aktualisieren die MDM-Profile für verwaltete Geräte.
- Diese Profile konfigurieren den Supplicant so, dass er nur der spezifischen Certificate Authority (CA) vertraut, die das Zertifikat des RADIUS-Servers der Universität ausgestellt hat, und den Common Name (CN) des Servers überprüft.
- Sobald dies konfiguriert ist und das Gerät eines Studenten auf den Rogue AP stößt, schlägt der Aufbau des EAP-Tunnels fehl, da das gefälschte Zertifikat nicht mit der gepinnten CA/CN übereinstimmt, was die Übertragung von Zugangsdaten verhindert.
Eine Einzelhandelskette möchte OpenRoaming an 50 Standorten unter Verwendung ihrer bestehenden Gäste-WiFi-Infrastruktur anbieten, die derzeit auf einer offenen SSID mit einem Captive Portal basiert.
Die Einzelhandelskette muss ihr Netzwerk aufrüsten, um 802.1X und RADIUS-Proxying zu unterstützen.
- Das Netzwerkteam aktiviert eine neue SSID, welche die OpenRoaming Consortium OI (Organisation Identifier) ausstrahlt.
- Sie konfigurieren die Access Points für die Authentifizierung über 802.1X.
- Sie konfigurieren ihren zentralen RADIUS-Server so, dass er Anfragen an den OpenRoaming-Föderations-Hub weiterleitet.
- Sie stellen sicher, dass ihre Internet-Anbindung den erwarteten Anstieg an automatischen Verbindungen bewältigen kann, und rüsten gegebenenfalls auf dedizierte Standleitungen auf.
Übungsfragen
Q1. Ihre Universität stellt ein neues drahtloses Netzwerk bereit. Der CISO schreibt vor, dass Credential Phishing über gefälschte Access Points mathematisch unmöglich sein muss. Welche EAP-Methode müssen Sie auswählen?
Hinweis: Überlegen Sie, welche Methode auf Passwörtern basiert und welche vollständig auf kryptografischen Schlüsseln beruht.
Musterlösung anzeigen
Sie müssen EAP-TLS auswählen. Im Gegensatz zu PEAP, das auf einem Passwort in einem TLS-Tunnel basiert, erfordert EAP-TLS eine gegenseitige Zertifikatsauthentifizierung. Da sich das Client-Gerät mithilfe eines kryptografischen Zertifikats und nicht mit einem Passwort authentifiziert, gibt es keine Anmeldedaten, die ein gefälschter Access Point phishen könnte.
Q2. Ein Gastforscher einer anderen Universität beschwert sich, dass er keine Verbindung zu Ihrem eduroam-Netzwerk herstellen kann. Ihre lokalen Benutzer können sich problemlos verbinden. Sie überprüfen die Protokolle Ihres lokalen RADIUS-Servers und sehen, dass die Anfrage eingeht, aber ein Timeout auftritt, bevor ein Access-Accept empfangen wird. Was ist die wahrscheinlichste Ursache?
Hinweis: Denken Sie an den Weg, den die Authentifizierungsanfrage für einen Gastbenutzer im Vergleich zu einem lokalen Benutzer nimmt.
Musterlösung anzeigen
Die wahrscheinlichste Ursache ist ein Verbindungs- oder Latenzproblem zwischen Ihrem lokalen RADIUS-Server und dem nationalen NREN-RADIUS-Proxy. Da sich lokale Benutzer direkt an Ihrem Server authentifizieren, sind sie nicht betroffen. Die Anfrage des Gastbenutzers muss per Proxy weitergeleitet werden, und ein Timeout weist darauf hin, dass die Antwort der Heimateinrichtung nicht rechtzeitig zurückgegeben wird.
Q3. Sie sind Netzwerkarchitekt für eine Einzelhandelskette in der Nähe einer großen Universität. Sie möchten Studenten über den eduroam Visitor Access (eVA) nahtloses WiFi anbieten, müssen jedoch PCI-DSS für Ihre Kassenterminals einhalten. Wie integrieren Sie eVA sicher?
Hinweis: Wie ermöglicht 802.1X dem Netzwerk-Access-Point, den Datenverkehr nach der Authentifizierung zu differenzieren?
Musterlösung anzeigen
Sie integrieren eVA, indem Sie Ihren RADIUS-Server so konfigurieren, dass er alle erfolgreichen eVA-Authentifizierungen einem dedizierten, reinen Internet-Gast-VLAN zuweist. Die Access-Accept-Nachricht vom RADIUS-Server muss die spezifische VLAN-ID enthalten. Dies stellt sicher, dass die Geräte der Studierenden vollständig vom PCI-konformen VLAN trennt werden, das von den Point-of-Sale-Terminals verwendet wird, was die Compliance-Anforderungen erfüllt.
Weiterlesen in dieser Reihe
Implementierung von SCEP für sichere BYOD- und Netzwerkanmeldung im Hochschulbereich
Dieser technische Leitfaden bietet Netzwerkarchitekten und IT-Managern ein herstellerunabhängiges Konzept für die Bereitstellung von SCEP-basierten Zertifikatsanmeldungen zur Sicherung von Campusnetzwerken an Hochschulen. Er beschreibt im Detail die Migration von passwortbasiertem PEAP zu 802.1X EAP-TLS, die Automatisierung des BYOD-Onboardings und die Durchsetzung einer robusten VLAN-Segmentierung.
Server RADIUS: Ein umfassender Leitfaden für Unternehmen
Dieser Leitfaden bietet IT-Managern, Netzwerkarchitekten und CTOs eine definitive technische Referenz zur Server RADIUS-Authentifizierung für Enterprise-WiFi. Er behandelt das AAA-Framework, die 802.1X-Architektur, die Auswahl von EAP-Methoden, die Abwägung zwischen Cloud- und On-Premises-Bereitstellung sowie die dynamische VLAN-Zuweisung. Betreiber von Standorten in den Bereichen Hotellerie, Einzelhandel, Events und im öffentlichen Sektor finden hier praktische Implementierungsanleitungen, Fallstudien aus der Praxis und die Entscheidungsrahmen, die für die Migration von unsicheren Pre-Shared Keys zu einer sicheren, identitätsbasierten Netzwerkzugriffskontrollarchitektur erforderlich sind.
Aruba ClearPass vs. Purple WiFi: Funktionsvergleich und Co-Deployment
Ein umfassender technischer Leitfaden, der die Co-Deployment-Architektur von Aruba ClearPass und Purple WiFi beschreibt. Er behandelt die RADIUS-Proxy-Konfiguration, die dynamische VLAN-Zuweisung und Best Practices für die Bereitstellung sicherer, analysebasierter Gästenetzwerke neben Enterprise-NAC.