Zum Hauptinhalt springen

eduroam und 802.1X: Sichere WiFi Authentifizierung für die Hochschulbildung

Dieser maßgebliche technische Leitfaden erklärt die Architektur, Bereitstellung und Sicherheit von eduroam und der 802.1X Authentifizierung. Er wurde für IT-Manager und Netzwerkarchitekten entwickelt und deckt praktische Implementierungsschritte, die Auswahl von EAP-Methoden und die Frage ab, wie Betreiber von Veranstaltungsorten akademisches Roaming sicher unterstützen können.

📖 6 Min. Lesezeit📝 1,343 Wörter🔧 3 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
PODCAST-SKRIPT: eduroam und 802.1X - Sichere WiFi Authentifizierung für die Hochschulbildung Laufzeit: ca. 10 Minuten Stimme: Britisches Englisch, männlich, Tonfall eines Senior Consultants - selbstbewusst, locker, autoritativ --- [INTRO - 1 Minute] Willkommen zurück. Ich werde Sie in den nächsten zehn Minuten durch eduroam und 802.1X führen - was sie sind, wie sie unter der Haube tatsächlich funktionieren und was Ihr Team wissen muss, bevor Sie eine der beiden Lösungen bereitstellen oder integrieren. Wenn Sie IT-Manager, Netzwerkarchitekt oder CTO an einer Universität, einer Hochschule oder einer Forschungseinrichtung sind - oder wenn Sie als Betreiber eines Veranstaltungsorts verstehen müssen, was Ihre akademischen Besucher von Ihrer drahtlosen Infrastruktur erwarten - dann ist dies das richtige Briefing für Sie. Fangen wir mit dem großen Ganzen an. eduroam steht für "education roaming". Es ist ein globaler WiFi Roaming-Dienst, mit dem sich Studierende, Forschende und Mitarbeitende von Mitgliedseinrichtungen an jedem teilnehmenden Standort automatisch und sicher mit dem Internet verbinden können - und zwar mit den Zugangsdaten ihrer Heimateinrichtung. Keine Captive Portals. Keine Gutscheincodes. Kein Fragen an der Rezeption nach einem Passwort. Es läuft seit 2003, deckt mittlerweile über 10.000 Institutionen in mehr als 100 Ländern ab und ist der De-facto-Standard für drahtlose Campus-Netzwerke in der Hochschulbildung weltweit. Wenn sich Ihre Organisation mit Universitäten überschneidet - sei es als Hotel in der Nähe eines Campus, als Konferenzzentrum, das akademische Veranstaltungen ausrichtet, oder als öffentliche Bibliothek in einer Universitätsstadt - ist das Verständnis von eduroam für Ihre Netzwerkstrategie von direkter Bedeutung. --- [TECHNISCHER DEEP-DIVE - 5 Minuten] Gut. Gehen wir auf die Details ein. eduroam basiert auf IEEE 802.1X - dem Standard für die portbasierte Netzwerkzugriffskontrolle. 802.1X definiert ein Framework zur Authentifizierung von Geräten, bevor ihnen Zugriff auf ein Netzwerk gewährt wird. Er wurde ursprünglich für kabelgebundenes Ethernet entwickelt, lässt sich aber nahtlos auf drahtlose Netzwerke übertragen und ist die Grundlage für das, was wir als WPA2-Enterprise- oder WPA3-Enterprise-Sicherheit bezeichnen. Das 802.1X-Modell besteht aus drei Komponenten. Erstens der Supplicant - das ist das Gerät, das versucht, sich zu verbinden. Der Laptop eines Studenten, das Telefon einer Forscherin. Zweitens der Authenticator - das ist Ihr Netzwerk-Access-Point oder Managed Switch. Er befindet sich zwischen dem Supplicant und dem Rest des Netzwerks und fungiert als Gatekeeper. Drittens der Authentication Server - fast immer ein RADIUS-Server. RADIUS steht für Remote Authentication Dial-In User Service. Dies ist die Komponente, die die Zugangsdaten tatsächlich überprüft. So funktioniert der Handshake: Das Gerät des Studierenden verbindet sich mit dem Wireless Access Point. Der Access Point gewährt noch keinen vollen Netzwerkzugriff - er öffnet einen sogenannten kontrollierten Port, aber nur für den EAP-Verkehr. EAP steht für Extensible Authentication Protocol. Der Access Point leitet die EAP-Kommunikation zwischen dem Gerät und dem RADIUS-Server per Proxy weiter. Der RADIUS-Server fordert das Gerät zur Authentifizierung auf, das Gerät antwortet mit den Anmeldedaten - in der Regel ein Benutzername und ein Passwort oder ein Zertifikat - und wenn der RADIUS-Server diese akzeptiert, sendet er eine Access-Accept-Nachricht zurück. Der Access Point öffnet daraufhin den vollständigen Netzwerkport. Der gesamte Austausch dauert in einer gut konfigurierten Bereitstellung weniger als zwei Sekunden. Und wie setzt eduroam darauf auf? eduroam nutzt eine hierarchische RADIUS-Proxy-Infrastruktur. Jede teilnehmende Institution betreibt ihren eigenen RADIUS-Server - den sogenannten Identity Provider oder IdP. Wenn beispielsweise ein Student der University of Manchester das Imperial College London besucht und sich mit der eduroam SSID verbindet, sendet sein Gerät die Anmeldedaten im Format benutzername@manchester.ac.uk. Der RADIUS-Server des Imperial College erkennt den Realm - das ist der Teil nach dem @-Symbol - und leitet die Authentifizierungsanfrage an den nationalen RADIUS-Server weiter, der im Vereinigten Königreich von Jisc, dem nationalen Forschungs- und Bildungsnetzwerk, betrieben wird. Jisc leitet die Anfrage dann an den RADIUS-Server der University of Manchester weiter, der die Anmeldedaten validiert und ein Accept oder Reject zurücksendet. Die gesamte Kette wird in Millisekunden aufgelöst. Diese Proxy-Kette ermöglicht es eduroam, über Institutionsgrenzen hinweg ohne vorab ausgetauschte Geheimnisse zwischen den Institutionen zu funktionieren. Jeder Hop in der Kette verwendet ein gemeinsames RADIUS-Geheimnis nur mit seinem direkten Nachbarn. Das tatsächliche Passwort des Studierenden verlässt niemals den RADIUS-Server der Heimateinrichtung - es ist durch den EAP-Tunnel durchgehend geschützt. Wo wir gerade von EAP-Methoden sprechen - hier laufen viele Bereitstellungen schief, also passen Sie gut auf. Die am häufigsten verwendeten EAP-Methoden in eduroam sind PEAP - Protected EAP - und EAP-TLS. PEAP verpackt eine interne Authentifizierungsmethode, in der Regel MSCHAPv2, in einen TLS-Tunnel. Es erfordert ein serverseitiges Zertifikat auf dem RADIUS-Server, aber der Client benötigt lediglich einen Benutzernamen und ein Passwort. EAP-TLS ist die sicherere Option - es verwendet eine gegenseitige Zertifikatsauthentifizierung, was bedeutet, dass sowohl der Server als auch der Client Zertifikate vorlegen. Die Bereitstellung in großem Maßstab ist schwieriger, da eine PKI zur Ausstellung von Client-Zertifikaten erforderlich ist, aber es ist im Grunde immun gegen Anmeldedaten-Phishing. Die kritische Sicherheitsanforderung, die viele Institutionen falsch umsetzen, ist die Zertifikatsvalidierung auf der Client-Seite. Wenn sich ein Gerät über PEAP mit eduroam verbindet, muss es das Zertifikat des RADIUS-Servers überprüfen, bevor es Anmeldedaten übermittelt. Wenn das Gerät so konfiguriert ist, dass es jedes beliebige Zertifikat akzeptiert, kann ein Angreifer einen gefälschten Access Point einrichten, der die eduroam SSID ausstrahlt, ein selbstsigniertes Zertifikat präsentieren und Anmeldedaten abgreifen. Dies ist ein bekannter Angriffsvektor. Die Lösung besteht darin, Ihre Supplicant-Profile - über MDM für verwaltete Geräte oder über das eduroam Configuration Assistant Tool, bekannt als CAT, für persönliche Geräte - so zu konfigurieren, dass sie die erwartete Zertifizierungsstelle und den Servernamen pinnen. Aus Sicht der Standards wird von eduroam-Bereitstellungen erwartet, dass sie mit der eduroam Policy Service Definition übereinstimmen. Diese schreibt TLS 1.2 oder höher für alle RADIUS-over-TLS-Verbindungen vor, verbietet die Verwendung schwacher EAP-Methoden wie EAP-MD5 oder LEAP und verlangt, dass alle RADIUS-Proxy-Verbindungen nach Möglichkeit RadSec - RADIUS over TLS - anstelle von reinem UDP-RADIUS verwenden. Dies deckt sich mit den NCSC-Richtlinien in Großbritannien und NIST SP 800-120 in den USA. Ein weiterer technischer Aspekt, der Beachtung verdient: die VLAN-Zuweisung. In einer gut durchdachten eduroam-Bereitstellung enthält die RADIUS Access-Accept-Antwort VLAN-Attribute, die dem Access Point mitteilen, welchem VLAN das verbindende Gerät zugewiesen werden soll. Dadurch können Sie den Datenverkehr segmentieren - indem Sie Gaststudenten in ein eingeschränktes VLAN mit reinem Internetzugang leiten, während Ihre eigenen Mitarbeiter in das interne Netzwerk geroutet werden. Dies ist für die Compliance unerlässlich, insbesondere wenn Sie PCI-DSS unterliegen oder eine Trennung zwischen Forschungsdatennetzen und dem allgemeinen Internetverkehr aufrechterhalten müssen. - [EMPFEHLUNGEN FÜR DIE IMPLEMENTIERUNG UND FALLSTRICKE - 2 Minuten] Lassen Sie mich Ihnen einige praktische Ratschläge geben. Wenn Sie eduroam zum ersten Mal bereitstellen, sollten Sie sich als Erstes an Ihr nationales NREN wenden - in Großbritannien ist das Jisc, in Irland HEAnet, in den USA Internet2. Diese verwalten die Verbundmitgliedschaft und weisen Ihnen einen RADIUS-Realm zu. Sie können nicht an eduroam teilnehmen, ohne Mitglied Ihres nationalen Verbunds zu sein. Ihre Infrastruktur-Checkliste: Sie benötigen 802.1X-fähige Access Points - jedes Enterprise-Gerät von Cisco, Aruba, Juniper, Ruckus oder Ubiquiti UniFi ist dafür geeignet. Sie benötigen einen RADIUS-Server - FreeRADIUS ist der Open-Source-Standard, oder Sie können Microsoft NPS, Cisco ISE oder Aruba ClearPass verwenden. Sie benötigen ein gültiges TLS-Zertifikat für Ihren RADIUS-Server von einer Zertifizierungsstelle, der die eduroam-Community vertraut - in der Regel ein Zertifikat aus der PKI Ihrer Institution oder von einer kommerziellen Zertifizierungsstelle auf der genehmigten eduroam-Liste. Die drei häufigsten Fehler bei der Implementierung, die ich beobachte, sind: Erstens eine Fehlkonfiguration von Zertifikaten - entweder ist das RADIUS-Zertifikat abgelaufen oder die Supplicant-Profile des Clients sind nicht korrekt verknüpft. Zweitens RADIUS-Proxy-Timeouts - wenn Ihre Upstream-NREN-Verbindung Latenzprobleme aufweist, kommt es bei der Authentifizierung zu einem Timeout und die Benutzer sehen Verbindungsfehler, die wie Anmeldefehler aussehen. Drittens eine VLAN-Fehlkonfiguration - Gastbenutzer landen im falschen Netzwerksegment und erhalten entweder keinen Internetzugang oder, was noch schlimmer ist, Zugriff auf interne Ressourcen, die sie nicht sehen sollten. Verteilen Sie auf Client-Seite eduroam CAT-Profile über Ihre MDM-Plattform auf alle verwalteten Geräte. Stellen Sie für persönliche Geräte den Link zum CAT-Installer gut sichtbar bereit. Dieser einzige Schritt beseitigt die Mehrheit der Support-Tickets. Für Veranstaltungsorte, die keine Hochschuleinrichtungen sind, aber dennoch eduroam-Zugang anbieten möchten - wie Konferenzzentren, Hotels und ähnliche -, nennt sich der Prozess eduroam Visitor Access, kurz eVA. Er ermöglicht es Organisationen, die kein Mitglied sind, die eduroam SSID bereitzustellen und die Authentifizierung an die Föderation weiterzuleiten, ohne Vollmitglieder zu sein. Es lohnt sich, dies zu prüfen, wenn Sie regelmäßig akademische Konferenzen oder Universitätsveranstaltungen ausrichten. - [SCHNELLES F&A - 1 Minute] Häufige Fragen, die mir regelmäßig gestellt werden. "Kann eduroam unser Gäste-WiFi vollständig ersetzen?" Nein. eduroam funktioniert nur für Benutzer, die über Zugangsdaten einer Mitgliedsinstitution verfügen. Sie benötigen weiterhin eine separate Gäste-WiFi-Lösung für alle anderen - Besucher, Auftragnehmer, die breite Öffentlichkeit. "Ist eduroam konform mit der GDPR?" Ja, mit Einschränkungen. Die Architektur der Föderation bedeutet, dass Ihre Institution Authentifizierungsdaten verarbeitet. Sie müssen jedoch sicherstellen, dass Ihre Datenschutzerklärungen dies abdecken und Ihre RADIUS-Protokolle angemessen behandelt werden. "Können wir WPA3 mit eduroam verwenden?" Ja. WPA3-Enterprise ist vollständig kompatibel mit 802.1X und ist der empfohlene Standard für neue Bereitstellungen. Es fügt eine 192-Bit-Verschlüsselung für Hochsicherheitsumgebungen hinzu. "Was ist der Unterschied zwischen eduroam und OpenRoaming?" OpenRoaming ist eine breitere Brancheninitiative der Wireless Broadband Alliance, die dieselbe 802.1X- und RADIUS-Proxy-Architektur nutzt, das Roaming jedoch über den Bildungsbereich hinaus auf kommerzielle Veranstaltungsorte ausdehnt. Einige Plattformen, darunter Purple, unterstützen OpenRoaming als Teil ihres Gäste-WiFi-Angebots. - [ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE - 1 Minute] Zusammenfassend lässt sich sagen: eduroam ist ein ausgereifter, gut verwalteter und weltweit implementierter WiFi-Roaming-Dienst, der auf 802.1X und einer hierarchischen RADIUS-Proxy-Infrastruktur basiert. Er bietet eine Authentifizierung pro Benutzer, starke Verschlüsselung und nahtloses Roaming in über 10.000 Institutionen - ohne gemeinsame Passwörter oder Captive Portals. Für IT-Teams, die Campus-WLAN bereitstellen oder aktualisieren: Bevorzugen Sie EAP-TLS gegenüber PEAP, wo Ihre PKI dies unterstützen kann, erzwingen Sie die Zertifikatsvalidierung für alle Client-Profile, verwenden Sie RadSec für alle RADIUS-Proxy-Verbindungen und segmentieren Sie Gastbenutzer in ein dediziertes VLAN. Für Betreiber von Veranstaltungsorten: Wenn Sie regelmäßig akademische Besucher empfangen, informieren Sie sich über eduroam Visitor Access. Und unabhängig davon, ob Sie eduroam bereitstellen, sollte Ihre Gäste-WiFi-Infrastruktur auf 802.1X-Prinzipien der Enterprise-Klasse basieren - nicht auf gemeinsam genutzten PSKs. Wenn Sie tiefer in diese Themen einsteigen möchten - RADIUS-Architektur, PKI-Design für EAP-TLS oder wie Plattformen wie Purple mit eduroam und OpenRoaming integriert werden - der vollständige schriftliche Leitfaden ist in den Show Notes verlinkt. Vielen Dank fürs Zuhören. Bis zum nächsten Mal. --- ENDE DES SKRIPTS

header_image.png

Executive Summary

Für Hochschuleinrichtungen und für die Standorte, die deren Mitarbeitern und Studierenden dienen, ist die Bereitstellung einer sicheren, nahtlosen drahtlosen Konnektivität kein Luxus mehr - es ist eine betriebliche Notwendigkeit. Der Standard für diese Konnektivität ist eduroam, ein globaler Roaming-Dienst, der auf dem IEEE 802.1X-Framework aufbaut.

Dieser Leitfaden bietet IT-Managern, Netzwerkarchitekten und Leitern des Standortbetriebs eine umfassende, herstellerneutrale Referenz zum Verständnis, zur Bereitstellung und zur Fehlerbehebung von 802.1X und eduroam. Wir gehen über die grundlegenden theoretischen Modelle hinaus und untersuchen, wie campusweites Enterprise-WiFi in der Praxis tatsächlich funktioniert, einschließlich Zertifikatsmanagement, RADIUS-Proxy-Architektur und der Integration in eine breitere Gastnetzwerk-Strategie.

Unabhängig davon, ob Sie ein veraltetes Universitätsnetzwerk aktualisieren oder ein Konferenzzentrum für die Unterstützung akademischer Besucher konfigurieren: Die korrekte Implementierung von 802.1X reduziert das Sicherheitsrisiko - insbesondere den Diebstahl von Anmeldedaten - erheblich und senkt gleichzeitig den Support-Aufwand drastisch. Für Standorte außerhalb der traditionellen Hochschulbildung ist das Verständnis dieser Standards unerlässlich, um kommerzielle Roaming-Federations wie OpenRoaming zu bewerten, die dieselbe zugrunde liegende Architektur nutzen.

Technischer Deep Dive: 802.1X- und eduroam-Architektur

Im Kern ist eduroam eine Implementierung von IEEE 802.1X, dem Standard für die portbasierte Netzwerkzugriffskontrolle. 802.1X wurde ursprünglich für kabelgebundene Netzwerke entwickelt, bildet jedoch das Fundament der Sicherheit von WPA2-Enterprise und WPA3-Enterprise.

Das 802.1X-Dreiecksmodell

Das 802.1X-Framework stützt sich auf die Interaktion von drei verschiedenen Komponenten, um den Zugriff zu autorisieren:

  1. Supplicant: Das Client-Gerät, das den Netzwerkzugriff anfordert (z. B. der Laptop oder das Smartphone eines Studenten).
  2. Authenticator: Das Netzwerkzugriffsgerät (z. B. ein Wireless Access Point oder ein Managed Switch). Er fungiert als Gatekeeper und blockiert den gesamten Datenverkehr mit Ausnahme von Authentifizierungsnachrichten, bis das Gerät autorisiert ist.
  3. Authentication Server: Das Back-End-System, das die Anmeldedaten überprüft, fast ausnahmslos ein RADIUS-Server (Remote Authentication Dial-In User Service).

Wenn sich ein Gerät verbindet, richtet der Authenticator einen kontrollierten Port ein. Er leitet EAP-Nachrichten (Extensible Authentication Protocol) zwischen dem Supplicant und dem Authentication Server weiter. Wenn die Anmeldedaten gültig sind, sendet der Server eine RADIUS-Nachricht vom Typ Access-Accept zurück, und der Authenticator öffnet den Port, um den Standard-IP-Verkehr zuzulassen.

architecture_overview.png

Die RADIUS-Proxy-Hierarchie von eduroam

Was eduroam so einzigartig macht, ist seine föderierte Architektur. Sie ermöglicht es Benutzern, sich an jeder teilnehmenden Institution mit ihren Anmeldedaten der Heimateinrichtung zu authentifizieren, ohne dass die gastgebende Institution jemals eine Kopie dieser Anmeldedaten besitzt.

Dies wird durch eine hierarchische Kette von RADIUS-Proxys erreicht. Wenn sich ein Benutzer von username@university.ac.uk mit der eduroam SSID an einem Gaststandort verbindet:

  1. Das Gerät des Benutzers sendet eine Authentifizierungsanfrage im Format username@university.ac.uk.
  2. Der RADIUS-Server des Gaststandorts prüft den Realm (den Teil nach dem @-Symbol). Da er diesen als externe Domain erkennt, leitet er die Anfrage per Proxy an den nationalen RADIUS-Server auf oberster Ebene weiter (betrieben vom National Research and Education Network, kurz NREN).
  3. Der nationale Server leitet die Anfrage an den RADIUS-Server der Heimateinrichtung weiter (university.ac.uk).
  4. Die Heimateinrichtung validiert die Anmeldedaten und sendet eine Access-Accept- oder Access-Reject-Nachricht über die Kette zurück.

Der gesamte Prozess ist in der Regel in weniger als zwei Sekunden abgeschlossen. Entscheidend ist, dass das Passwort des Benutzers niemals der gastgebenden Institution oder den zwischengeschalteten Proxy-Servern offengelegt wird; es ist innerhalb eines verschlüsselten EAP-Tunnels geschützt, der direkt zwischen dem Supplicant und dem RADIUS-Server der Heimateinrichtung aufgebaut wird.

EAP-Methoden: Der Kompromiss zwischen Sicherheit und Bereitstellungsaufwand

Die Wahl der EAP-Methode bestimmt, wie der verschlüsselte Tunnel aufgebaut wird und wie der Austausch der Anmeldedaten erfolgt. Die Richtliniendefinition von eduroam schränkt die zulässigen Methoden streng ein, um die Sicherheit zu gewährleisten.

  • PEAP (Protected EAP): Die am weitesten verbreitete Bereitstellungsmethode. Sie verwendet ein serverseitiges Zertifikat auf dem RADIUS-Server, um einen TLS-Tunnel aufzubauen. Der Client authentifiziert sich dann innerhalb dieses Tunnels, in der Regel mittels MSCHAPv2 (Benutzername und Passwort). Diese Methode ist relativ einfach bereitzustellen, ist jedoch anfällig für Angriffe über gefälschte Access Points, wenn die Clients nicht so konfiguriert sind, dass sie das Serverzertifikat streng validieren.
  • EAP-TLS: Der Goldstandard für Sicherheit. Diese Methode erfordert eine gegenseitige Authentifizierung, was bedeutet, dass sowohl der RADIUS-Server als auch das Client-Gerät gültige Zertifikate vorlegen müssen. Sie ist zwar immun gegen Phishing von Anmeldedaten, erfordert jedoch eine robuste Public-Key-Infrastruktur (PKI) zur Ausstellung und Verwaltung von Client-Zertifikaten, was die Bereitstellung in großem Maßstab komplexer macht.

Implementierungshandbuch

Die Bereitstellung von 802.1X und eduroam erfordert eine sorgfältige Abstimmung zwischen Netzwerkinfrastruktur, Identitätsmanagement und Client-Konfiguration.

1. Vorbereitung der Infrastruktur

Stellen Sie sicher, dass Ihre Wireless Access Points und Controller WPA2-Enterprise/WPA3-Enterprise und 802.1X unterstützen. Jede moderne Enterprise-Hardware (Cisco, Aruba, Juniper und andere) erfüllt diese Anforderung. Sie müssen außerdem eine robuste RADIUS-Infrastruktur (wie FreeRADIUS, Cisco ISE oder Aruba ClearPass) implementieren, die in der Lage ist, die erwartete Authentifizierungslast zu bewältigen und Anfragen weiterzuleiten.

2. Zertifikatsverwaltung

Für PEAP-Bereitstellungen benötigt Ihr RADIUS-Server ein TLS-Zertifikat, das von einer Zertifizierungsstelle (CA) ausgestellt wurde, der Ihre Clients vertrauen. Verwenden Sie in einer produktiven eduroam-Bereitstellung niemals selbstsignierte Zertifikate. Zertifikate müssen regelmäßig erneuert werden, um Authentifizierungsausfälle zu vermeiden.

3. Client-Konfiguration (das CAT-Tool)

Die häufigste Fehlerquelle bei eduroam-Bereitstellungen ist eine Fehlkonfiguration der Clients. Wenn sich Benutzer manuell verbinden, konfigurieren sie oft die Zertifikatsvalidierung nicht, was sie anfällig für Angriffe zum Diebstahl von Anmeldedaten macht.

Um dieses Risiko zu minimieren, müssen Institutionen das eduroam Configuration Assistant Tool (CAT) oder eine MDM-Lösung verwenden, um vorkonfigurierte Profile zu verteilen. Diese Profile konfigurieren automatisch die richtige EAP-Methode, hinterlegen das erwartete RADIUS-Serverzertifikat und legen das entsprechende innere Authentifizierungsprotokoll fest.

4. VLAN-Zuweisung und Segmentierung

Eine ausgereifte Bereitstellung nutzt RADIUS-Attribute, um VLANs basierend auf der Benutzeridentität dynamisch zuzuweisen.

  • Interne Benutzer: Werden internen VLANs mit entsprechendem Zugriff auf Campus-Ressourcen zugewiesen.
  • Gastbenutzer: Werden einem eingeschränkten Gast-VLAN zugewiesen, das nur Internetzugang bietet.

Diese Segmentierung ist entscheidend für Sicherheit und Compliance, da sie sicherstellt, dass Gastgeräte keine sensiblen internen Netzwerke erreichen können.

comparison_chart.png

Best Practices und herstellerunabhängige Empfehlungen

  • WPA3 priorisieren: Aktivieren Sie bei neuen Bereitstellungen WPA3-Enterprise, um die obligatorische 192-Bit-Verschlüsselung und einen besseren Schutz vor Offline-Wörterbuchangriffen zu erhalten.
  • Zertifikatsvalidierung erzwingen: Setzen Sie die Verwendung von Konfigurationsprofilen (über CAT oder MDM) voraus, um sicherzustellen, dass der Supplicant das RADIUS-Serverzertifikat strikt validiert, bevor er Anmeldedaten überträgt.
  • RadSec verwenden: Verwenden Sie bei der Konfiguration von RADIUS-Proxy-Verbindungen zur nationalen Föderation RadSec (RADIUS über TLS) anstelle von einfachem UDP. Dies verschlüsselt den Proxy-Verkehr und verbessert die Zuverlässigkeit über Weitverkehrsverbindungen.
  • Mit einer Gastlösung integrieren: eduroam bedient nur Benutzer mit akademischen Anmeldedaten. Sie müssen eine separate, sichere Guest WiFi Lösung für externe Dienstleister, die Öffentlichkeit und Veranstaltungsbesucher bereithalten.* Zugehörige Infrastruktur überprüfen: Stellen Sie sicher, dass Ihr zugrundeliegendes Netzwerk sicher ist. Lesen Sie unseren Leitfaden Netzwerksicherung mit robustem DNS und Sicherheit für weitere Details. Wenn Sie temporäre Infrastrukturen für Universitätsveranstaltungen bereitstellen, finden Sie weitere Informationen unter Event WiFi: Planung und Bereitstellung temporärer drahtloser Netzwerke oder in der portugiesischsprachigen Version Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias .

Fehlerbehebung und Risikominderung

Wenn die Authentifizierung fehlschlägt, ist eine systematische Fehlerbehebung unerlässlich.

  1. Fehlerdomäne isolieren: Stellen Sie fest, ob der Fehler lokal ist (Betroffenheit von Benutzern in Ihrem eigenen Netzwerk), remote (Betroffenheit Ihrer Benutzer an anderen Orten) oder eingehend (Betroffenheit von Besuchern in Ihrem Netzwerk).
  2. RADIUS-Protokolle prüfen: Die RADIUS-Serverprotokolle sind die maßgebliche Quelle der Wahrheit. Suchen Sie nach Access-Reject-Meldungen (die auf falsche Anmeldedaten oder Richtlinienverstöße hinweisen) oder Timeouts (die auf Verbindungsprobleme mit dem Proxy hinweisen).
  3. Zertifikatsgültigkeit überprüfen: Stellen Sie sicher, dass das RADIUS-Serverzertifikat nicht abgelaufen ist und dass die vollständige Zertifikatskette den Clients präsentiert wird.
  4. Upstream-Latenz überwachen: Eine hohe Latenz zum nationalen RADIUS-Proxy kann zu Client-Timeouts führen, was wiederum zu fehlgeschlagenen Verbindungen führt, selbst wenn die Anmeldedaten korrekt sind.

ROI und geschäftliche Auswirkungen

Für Hochschuleinrichtungen zeigt sich die Rendite einer ordnungsgemäß implementierten eduroam-Bereitstellung in einer drastisch reduzierten Anzahl von Support-Tickets. Durch den Wegfall von Captive Portalen und manueller Passworteingabe verzeichnen IT-Helpdesks einen signifikanten Rückgang der Anrufe im Zusammenhang mit Verbindungsproblemen. (Das Engagement von Purple in diesem Sektor ist eindeutig - siehe Purple ernennt Tim Peers zum VP of Education und unterstreicht damit seine Ambitionen im Hochschulbereich ).

Für kommerzielle Veranstaltungsorte - wie Hotellerie , Einzelhandel , Gesundheitswesen oder Transportwesen - bietet die Unterstützung von eduroam Visitor Access (eVA) oder ähnlichen Föderationen wie OpenRoaming ein reibungsloses Erlebnis für eine anspruchsvolle Zielgruppe. Sie stellt sicher, dass akademische Besucher sich automatisch und sicher verbinden, was die Zufriedenheit erhöht, während der Veranstaltungsort eine strikte Netzwerksegmentierung beibehalten kann. Wenn Ihr Veranstaltungsort dedizierte Bandbreite benötigt, um diese Nachfrage zu unterstützen, lesen Sie Was ist eine Standleitung? Internet für Unternehmen .

Bei der Planung von Netzwerk-Upgrades stellt die Integration von 802.1X-Funktionen sicher, dass Ihre Infrastruktur für modernes identitätsgesteuertes Networking bereit ist, und legt den Grundstein für fortschrittliche WiFi Analytics und standortbasierte Dienste.

Schlüsseldefinitionen

802.1X

Ein IEEE-Standard für portbasierte Network Access Control (PNAC). Er bietet einen Authentifizierungsmechanismus für Geräte, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.

Das grundlegende Protokoll für WiFi Sicherheit auf Enterprise-Niveau, das gemeinsam genutzte Passwörter (PSKs) durch eine individualisierte Authentifizierung ersetzt.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentralisierte Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) für Benutzer bietet, die eine Verbindung zu einem Netzwerkdienst herstellen und diesen nutzen.

Der Backend-Server in einer 802.1X Bereitstellung, der die Anmeldedaten des Benutzers tatsächlich mit einem Verzeichnis (wie Active Directory) abgleicht.

EAP (Extensible Authentication Protocol)

Ein Authentifizierungs-Framework, das häufig in drahtlosen Netzwerken und Punkt-zu-Punkt-Verbindungen verwendet wird. Es ermöglicht den Transport und die Nutzung verschiedener Authentifizierungsmechanismen.

Die Sprache, die während des 802.1X Handshakes zwischen dem Client-Gerät und dem RADIUS-Server gesprochen wird.

Supplicant

Das Client-Gerät (z. B. Laptop, Smartphone) oder die Software auf diesem Gerät, die versucht, sich über 802.1X an einem Netzwerk zu authentifizieren.

Die Entität, die Zugriff anfordert. Ihre Konfiguration (insbesondere im Hinblick auf die Zertifikatsvalidierung) ist für die Sicherheit von entscheidender Bedeutung.

Authenticator

Das Netzwerkgerät (z. B. ein Wireless Access Point oder Ethernet-Switch), das den 802.1X Authentifizierungsprozess erleichtert, indem es Nachrichten zwischen dem Supplicant und dem Authentifizierungsserver weiterleitet.

Der Torwächter, der den Netzwerkverkehr blockiert, bis der RADIUS-Server grünes Licht gibt.

PEAP (Protected Extensible Authentication Protocol)

Eine EAP-Methode, die die EAP-Transaktion in einem TLS-Tunnel kapselt, der mithilfe eines serverseitigen Zertifikats eingerichtet wird, und so die interne Authentifizierung (normalerweise ein Passwort) schützt.

Die am häufigsten verwendete Authentifizierungsmethode für eduroam, die ein ausgewogenes Verhältnis zwischen Sicherheit und einfacher Bereitstellung bietet.

RadSec

Ein Protokoll zur Übertragung von RADIUS-Daten über TCP und TLS statt über das herkömmliche UDP.

Empfohlen zur Sicherung der Proxy-Verbindungen zwischen Institutionen und der nationalen eduroam-Föderation, um das Abfangen des Authentifizierungsverkehrs zu verhindern.

Realm

Der Teil der Identität eines Benutzers, der auf das "@"-Symbol folgt (z. B. "university.ac.uk" in "user@university.ac.uk").

Wird von RADIUS-Proxy-Servern verwendet, um zu bestimmen, wohin die Authentifizierungsanfrage in einer Verbundumgebung wie eduroam weitergeleitet werden soll.

Ausgearbeitete Beispiele

Ein Konferenzhotel mit 400 Zimmern direkt neben einer großen Universität veranstaltet häufig akademische Symposien. Der IT-Leiter möchte den besuchenden Akademikern die automatische Verbindung ermöglichen, ohne das Standard-Captive Portal des Hotels zu nutzen. Er muss jedoch sicherstellen, dass diese Besucher keinen Zugriff auf das Unternehmensnetzwerk des Hotels oder das Standard-Gästenetzwerk-VLAN haben.

Das Hotel sollte eduroam Visitor Access (eVA) implementieren oder einer kommerziellen Föderation wie OpenRoaming beitreten.

  1. Das Hotel konfiguriert eine neue SSID („eduroam“ oder „OpenRoaming“) auf seinen Enterprise Access Points.
  2. Die APs werden für die Verwendung von WPA2-Enterprise/802.1X konfiguriert.
  3. Das Hotel stellt einen lokalen RADIUS-Server bereit, der so konfiguriert ist, dass er Authentifizierungsanfragen für externe Realms an die nationale Föderation (für eduroam) oder den OpenRoaming-Hub weiterleitet.
  4. Entscheidend ist, dass der lokale RADIUS-Server so konfiguriert ist, dass er ein bestimmtes VLAN-ID-Attribut in der „Access-Accept“-Nachricht für alle weitergeleiteten Authentifizierungen zurückgibt.
  5. Die Access Points leiten diese authentifizierten Benutzer in ein isoliertes, reines Internet-VLAN, das vollständig vom Unternehmens- und Standard-Gästeverkehr des Hotels segmentiert ist.
Kommentar des Prüfers: Dieser Ansatz nutzt die RADIUS-Proxy-Architektur korrekt, um die Authentifizierung an die Heimateinrichtungen der Besucher auszulagern. Durch die Verwendung einer dynamischen VLAN-Zuweisung über RADIUS-Attribute behält das Hotel eine strikte Netzwerksegmentierung bei, was die Sicherheitsanforderungen erfüllt und gleichzeitig eine reibungslose Benutzererfahrung bietet.

Das IT-Team einer Universität bemerkt einen Anstieg kompromittierter Studenten-Accounts. Untersuchungen zeigen, dass sich Studenten mit einem Rogue Access Point verbinden, der die SSID „eduroam“ in einem örtlichen Café ausstrahlt. Der Rogue AP verwendet ein selbstsigniertes Zertifikat, um Zugangsdaten über PEAP abzugreifen.

Das IT-Team muss unverzüglich eine strikte Zertifikatsprüfung auf allen Client-Geräten erzwingen.

  1. Sie dürfen den Studenten nicht mehr empfehlen, sich manuell mit der SSID zu verbinden und die „Zertifikatswarnung zu akzeptieren“.
  2. Sie stellen das eduroam Configuration Assistant Tool (CAT) für BYOD-Geräte bereit und aktualisieren die MDM-Profile für verwaltete Geräte.
  3. Diese Profile konfigurieren den Supplicant so, dass er nur der spezifischen Certificate Authority (CA) vertraut, die das Zertifikat des RADIUS-Servers der Universität ausgestellt hat, und den Common Name (CN) des Servers überprüft.
  4. Sobald dies konfiguriert ist und das Gerät eines Studenten auf den Rogue AP stößt, schlägt der Aufbau des EAP-Tunnels fehl, da das gefälschte Zertifikat nicht mit der gepinnten CA/CN übereinstimmt, was die Übertragung von Zugangsdaten verhindert.
Kommentar des Prüfers: Dieses Szenario verdeutlicht die kritischste Schwachstelle bei PEAP-Bereitstellungen. Die Lösung erkennt richtig, dass die Behebung auf der Client-Seite konfiguriert werden muss. Sich auf die Aufklärung der Benutzer zu verlassen, um gefälschte Zertifikate zu erkennen, ist ineffektiv; technische Kontrollen (Profil-Pinning) sind zwingend erforderlich.

Eine Einzelhandelskette möchte OpenRoaming an 50 Standorten unter Verwendung ihrer bestehenden Gäste-WiFi-Infrastruktur anbieten, die derzeit auf einer offenen SSID mit einem Captive Portal basiert.

Die Einzelhandelskette muss ihr Netzwerk aufrüsten, um 802.1X und RADIUS-Proxying zu unterstützen.

  1. Das Netzwerkteam aktiviert eine neue SSID, welche die OpenRoaming Consortium OI (Organisation Identifier) ausstrahlt.
  2. Sie konfigurieren die Access Points für die Authentifizierung über 802.1X.
  3. Sie konfigurieren ihren zentralen RADIUS-Server so, dass er Anfragen an den OpenRoaming-Föderations-Hub weiterleitet.
  4. Sie stellen sicher, dass ihre Internet-Anbindung den erwarteten Anstieg an automatischen Verbindungen bewältigen kann, und rüsten gegebenenfalls auf dedizierte Standleitungen auf.
Kommentar des Prüfers: Dies verdeutlicht, dass der Wechsel von einem Captive Portal zu einem föderierten 802.1X-Modell grundlegende architektonische Änderungen erfordert, insbesondere die Implementierung von RADIUS-Proxying und die Fähigkeit, ein erhöhtes Aufkommen an automatischen Verbindungen zu bewältigen.

Übungsfragen

Q1. Ihre Universität stellt ein neues drahtloses Netzwerk bereit. Der CISO schreibt vor, dass Credential Phishing über gefälschte Access Points mathematisch unmöglich sein muss. Welche EAP-Methode müssen Sie auswählen?

Hinweis: Überlegen Sie, welche Methode auf Passwörtern basiert und welche vollständig auf kryptografischen Schlüsseln beruht.

Musterlösung anzeigen

Sie müssen EAP-TLS auswählen. Im Gegensatz zu PEAP, das auf einem Passwort in einem TLS-Tunnel basiert, erfordert EAP-TLS eine gegenseitige Zertifikatsauthentifizierung. Da sich das Client-Gerät mithilfe eines kryptografischen Zertifikats und nicht mit einem Passwort authentifiziert, gibt es keine Anmeldedaten, die ein gefälschter Access Point phishen könnte.

Q2. Ein Gastforscher einer anderen Universität beschwert sich, dass er keine Verbindung zu Ihrem eduroam-Netzwerk herstellen kann. Ihre lokalen Benutzer können sich problemlos verbinden. Sie überprüfen die Protokolle Ihres lokalen RADIUS-Servers und sehen, dass die Anfrage eingeht, aber ein Timeout auftritt, bevor ein Access-Accept empfangen wird. Was ist die wahrscheinlichste Ursache?

Hinweis: Denken Sie an den Weg, den die Authentifizierungsanfrage für einen Gastbenutzer im Vergleich zu einem lokalen Benutzer nimmt.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist ein Verbindungs- oder Latenzproblem zwischen Ihrem lokalen RADIUS-Server und dem nationalen NREN-RADIUS-Proxy. Da sich lokale Benutzer direkt an Ihrem Server authentifizieren, sind sie nicht betroffen. Die Anfrage des Gastbenutzers muss per Proxy weitergeleitet werden, und ein Timeout weist darauf hin, dass die Antwort der Heimateinrichtung nicht rechtzeitig zurückgegeben wird.

Q3. Sie sind Netzwerkarchitekt für eine Einzelhandelskette in der Nähe einer großen Universität. Sie möchten Studenten über den eduroam Visitor Access (eVA) nahtloses WiFi anbieten, müssen jedoch PCI-DSS für Ihre Kassenterminals einhalten. Wie integrieren Sie eVA sicher?

Hinweis: Wie ermöglicht 802.1X dem Netzwerk-Access-Point, den Datenverkehr nach der Authentifizierung zu differenzieren?

Musterlösung anzeigen

Sie integrieren eVA, indem Sie Ihren RADIUS-Server so konfigurieren, dass er alle erfolgreichen eVA-Authentifizierungen einem dedizierten, reinen Internet-Gast-VLAN zuweist. Die Access-Accept-Nachricht vom RADIUS-Server muss die spezifische VLAN-ID enthalten. Dies stellt sicher, dass die Geräte der Studierenden vollständig vom PCI-konformen VLAN trennt werden, das von den Point-of-Sale-Terminals verwendet wird, was die Compliance-Anforderungen erfüllt.

Weiterlesen in dieser Reihe

Implementierung von SCEP für sichere BYOD- und Netzwerkanmeldung im Hochschulbereich

Dieser technische Leitfaden bietet Netzwerkarchitekten und IT-Managern ein herstellerunabhängiges Konzept für die Bereitstellung von SCEP-basierten Zertifikatsanmeldungen zur Sicherung von Campusnetzwerken an Hochschulen. Er beschreibt im Detail die Migration von passwortbasiertem PEAP zu 802.1X EAP-TLS, die Automatisierung des BYOD-Onboardings und die Durchsetzung einer robusten VLAN-Segmentierung.

Leitfaden lesen →

Server RADIUS: Ein umfassender Leitfaden für Unternehmen

Dieser Leitfaden bietet IT-Managern, Netzwerkarchitekten und CTOs eine definitive technische Referenz zur Server RADIUS-Authentifizierung für Enterprise-WiFi. Er behandelt das AAA-Framework, die 802.1X-Architektur, die Auswahl von EAP-Methoden, die Abwägung zwischen Cloud- und On-Premises-Bereitstellung sowie die dynamische VLAN-Zuweisung. Betreiber von Standorten in den Bereichen Hotellerie, Einzelhandel, Events und im öffentlichen Sektor finden hier praktische Implementierungsanleitungen, Fallstudien aus der Praxis und die Entscheidungsrahmen, die für die Migration von unsicheren Pre-Shared Keys zu einer sicheren, identitätsbasierten Netzwerkzugriffskontrollarchitektur erforderlich sind.

Leitfaden lesen →

Aruba ClearPass vs. Purple WiFi: Funktionsvergleich und Co-Deployment

Ein umfassender technischer Leitfaden, der die Co-Deployment-Architektur von Aruba ClearPass und Purple WiFi beschreibt. Er behandelt die RADIUS-Proxy-Konfiguration, die dynamische VLAN-Zuweisung und Best Practices für die Bereitstellung sicherer, analysebasierter Gästenetzwerke neben Enterprise-NAC.

Leitfaden lesen →