Verwaltung der IoT-Gerätesicherheit mit NAC und MPSK

Dieser technische Leitfaden beschreibt im Detail, wie Unternehmen kopflose IoT-Geräte mithilfe einer Multiple Pre-Shared Key (MPSK)-Architektur und Network Access Control (NAC) sichern können. Er bietet praxisnahe Implementierungsschritte zur Erreichung von Mikrosegmentierung, zur Eindämmung von Sicherheits-Schadensradien und zur Einhaltung von Compliance-Vorgaben ohne Einbußen bei der Skalierbarkeit.

📖 5 Min. Lesezeit📝 1,151 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen zum technischen Briefing von Purple. Ich bin Ihr Moderator, und heute widmen wir uns einer kritischen Herausforderung für Unternehmensnetzwerke: Der Verwaltung der IoT-Gerätesicherheit mit Network Access Control, kurz NAC, und Multiple Pre-Shared Keys, bekannt als MPSK.

Lassen Sie uns den Kontext herstellen. Wenn Sie IT-Manager oder Netzwerkarchitekt an einem großen Veranstaltungsort sind – beispielsweise in einem Hotel mit 500 Zimmern, einer Einzelhandelskette oder einem Stadion –, bedient Ihr Netzwerk nicht mehr nur Laptops und Smartphones. Sie haben intelligente Thermostate, IP-Kameras, Point-of-Sale-Terminals, digitale Werbedisplays und Umgebungssensoren. Das Problem? Die meisten dieser kopflosen IoT-Geräte unterstützen keine 802.1X-Authentifizierung. Sie können nicht mit Zertifikaten oder Enterprise-Anmeldedaten umgehen.

Was passiert also? In der Vergangenheit haben IT-Teams auf einen einzigen, globalen Pre-Shared Key – einen traditionellen PSK – für das gesamte IoT-Netzwerk gesetzt. Dies ist ein massives Sicherheitsrisiko. Wenn eine einzige intelligente Glühbirne kompromittiert wird oder ein Auftragnehmer das Passwort mitnimmt, ist Ihr gesamtes IoT-Subnetz gefährdet. Dieses globale Passwort zu ändern bedeutet, Hunderte oder Tausende von Geräten manuell zu aktualisieren, was schlichtweg nicht skalierbar ist.

Hier verändert die Kombination aus NAC und MPSK die Spielregeln.

Gehen wir ins technische Detail. MPSK ermöglicht es Ihnen, für jedes einzelne IoT-Gerät ein eindeutiges, gerätespezifisches Passwort zu vergeben, obwohl alle über dieselbe SSID senden. Wenn sich ein Gerät verbindet, kommuniziert der Wireless-Controller mit dem RADIUS-Server – der Teil Ihrer NAC-Lösung ist. Die NAC-Engine prüft das verwendete Passwort, identifiziert das genaue Gerät und weist es dynamisch dem richtigen VLAN mit den entsprechenden Sicherheitsrichtlinien zu.

Stellen Sie sich vor, wie mächtig das ist. Ihre IP-Kameras landen im VLAN 40 mit strengen Zugriffskontrolllisten, die ihnen nur die Kommunikation mit dem lokalen Videoserver erlauben. Ihre intelligenten Thermostate kommen in das VLAN 50 und können nur ihr spezifisches Cloud-Gateway erreichen. Wenn eine Kamera kompromittiert wird, bleibt der Schadensradius vollständig auf ihr Mikrosegment beschränkt. Wenn Sie den Zugriff entziehen müssen, löschen Sie einen einzigen MPSK und nicht das globale Passwort.

Die Implementierung erfordert eine solide Architektur. Sie benötigen eine robuste NAC-Policy-Engine. Die Analyseplattform von Purple lässt sich nahtlos in diese Unternehmensumgebungen integrieren und bietet Transparenz über das Geräteverhalten. Wenn Sie MPSK mit einer starken NAC kombinieren, sichern Sie nicht nur den Edge-Bereich, sondern erhalten auch granulare Kontrolle und Transparenz.

Lassen Sie uns einige Implementierungsempfehlungen und Fallstricke betrachten.

Erstens: Automatisieren Sie den Onboarding-Prozess. Generieren Sie MPSKs nicht manuell. Nutzen Sie ein Self-Service-Portal oder eine API-Integration mit Ihrem IT-Service-Management-Tool, um Schlüssel zu generieren und zu verteilen.
Zweitens: Erzwingen Sie eine strikte Profilierung. Ihre NAC sollte das Gerät basierend auf seiner MAC-Adresse und seinem DHCP-Fingerabdruck profilieren, um sicherzustellen, dass das den MPSK verwendende Gerät tatsächlich das ist, für das es sich ausgibt. Wenn ein einem Thermostat zugewiesener MPSK plötzlich von einem Laptop verwendet wird, sollte die NAC die Verbindung sofort unter Quarantäne stellen.
Ein häufiger Fehler ist es, die VLAN-Struktur vor der Bereitstellung von MPSK nicht zu planen. Werfen Sie nicht einfach alle IoT-Geräte in ein einziges „IoT-VLAN“, selbst wenn sie eindeutige Schlüssel haben. Segmentieren Sie nach Gerätetyp und Funktion.

Nun zu einer schnellen Fragerunde basierend auf häufigen Kundenfragen.
Frage 1: Erfordert MPSK neue Hardware?
Antwort: Normalerweise nein, vorausgesetzt, Ihre Wireless-LAN-Controller und Access Points laufen mit einer relativ modernen Firmware, die MPSK oder Identity PSK unterstützt, und Sie verfügen über einen fähigen RADIUS/NAC-Server.
Frage 2: Wie wirkt sich das auf die Compliance aus?
Antwort: Massiv. Für PCI DSS im Einzelhandel oder im Gastgewerbe bietet MPSK in Kombination mit dynamischer VLAN-Zuweisung die strikte Segmentierung, die erforderlich ist, um POS-Terminals vom allgemeinen IoT-Verkehr isoliert zu halten.

Zusammenfassend lässt sich sagen: Bei der Verwaltung der IoT-Sicherheit geht es nicht darum, Geräte zu finden, die eine Enterprise-Authentifizierung unterstützen. Es geht darum, eine Infrastruktur aufzubauen, die sie trotzdem absichert. MPSK und NAC bieten die Skalierbarkeit, Mikrosegmentierung und Schadensradius-Eindämmung, die moderne Veranstaltungsorte verlangen.

Nächste Schritte? Überprüfen Sie Ihre aktuellen IoT-SSIDs. Wenn Sie einen globalen PSK verwenden, ist es an der Zeit, eine Migrationsstrategie zu MPSK auszuarbeiten. Prüfen Sie Ihre NAC-Funktionen und beginnen Sie mit der Definition Ihrer Mikrosegmentierungsrichtlinien.

Vielen Dank, dass Sie an diesem technischen Briefing teilgenommen haben. Bleiben Sie sicher und bauen Sie weiterhin widerstandsfähige Netzwerke auf.

Wichtigste Erkenntnisse

✓Kopflosen IoT-Geräten fehlt die 802.1X-Unterstützung, was eine traditionelle Enterprise-Authentifizierung unmöglich macht.
✓Die Nutzung eines einzigen, globalen PSK für IoT-Netzwerke führt zu massiven Sicherheitslücken und hohem operativen Aufwand.
✓MPSK (Multiple Pre-Shared Key) ermöglicht eindeutige Passwörter pro Gerät auf einer einzigen SSID.
✓Die Integration von MPSK in eine NAC-Policy-Engine ermöglicht Dynamic VLAN Assignment und eine strikte Mikrosegmentierung.
✓Die MPSK-Architektur reduziert den „Schadensradius“ eines kompromittierten IoT-Geräts erheblich.
✓Erzwingen Sie stets MAC Binding und Geräteprofilierung (wie DHCP Fingerprinting), um MPSK-Bereitstellungen abzusichern.
✓Die Automatisierung des MPSK-Lifecycle-Managements über APIs ist entscheidend für die Skalierbarkeit in großen Veranstaltungsorten.

Executive Summary

Unternehmensnetzwerke in den Bereichen Einzelhandel , Hotellerie und Transportwesen erleben eine Explosion von Headless-IoT-Geräten – von Umgebungssensoren und intelligenten Thermostaten bis hin zu IP-Kameras und Point-of-Sale-Terminals. Die grundlegende Herausforderung für IT-Manager und Netzwerkarchitekten besteht darin, dass die überwiegende Mehrheit dieser Geräte keine IEEE 802.1X-Authentifizierung der Enterprise-Klasse unterstützt.

In der Vergangenheit sind Unternehmen auf einen einzigen, globalen Pre-Shared Key (PSK) für ihre gesamte IoT-SSID zurückgefallen. Dies führt zu einer inakzeptablen Sicherheitslage, bei der ein einziges kompromittiertes Gerät oder ein durchgesickertes Passwort das gesamte IoT-Netzwerksegment gefährdet.

Dieser technische Leitfaden beschreibt im Detail, wie der Einsatz einer Multiple Pre-Shared Key (MPSK)-Architektur in Verbindung mit einer robusten Network Access Control (NAC)-Policy-Engine diese Herausforderung löst. Durch die Vergabe eindeutiger Anmeldedaten pro Gerät und die Nutzung dynamischer VLAN-Zuweisung können Netzwerkteams eine Mikrosegmentierung erreichen, den Schadensradius begrenzen und strenge Compliance-Vorgaben (wie GDPR und PCI DSS) einhalten, ohne die für Tausende von Endpunkten erforderliche Skalierbarkeit zu opfern. In Kombination mit Plattformen wie Purple's Guest WiFi und WiFi Analytics gewährleistet dieser Ansatz einen nahtlosen, sicheren und hochgradig transparenten Netzwerkbetrieb.

Technical Deep-Dive

Die Grenzen von traditionellem PSK und 802.1X

In einer Standard-Unternehmensumgebung authentifizieren sich Geräte über IEEE 802.1X mithilfe von Zertifikaten (EAP-TLS) oder Anmeldedaten (PEAP). Headless-IoT-Geräten fehlt jedoch in der Regel die für 802.1X erforderliche Supplicant-Software. Die Alternative war bisher traditionell WPA2/WPA3-Personal mit einem einzigen PSK.

Die betriebliche Realität eines globalen PSK ist gravierend:

Keine Segmentierung: Alle Geräte auf dem PSK teilen sich dieselbe Broadcast-Domäne, es sei denn, sie werden manuell per MAC-Adresse zugewiesen, was betrieblich nicht tragbar ist.
Großer Schadensradius: Eine kompromittierte intelligente Glühbirne ermöglicht laterale Bewegungen im gesamten VLAN.
Albtraum bei der Schlüsselrotation: Um den Zugriff für ein einzelnes kompromittiertes Gerät zu sperren, muss der globale PSK geändert und jedes andere Gerät im Netzwerk manuell aktualisiert werden.

Die MPSK- und NAC-Architektur

MPSK (von Herstellern auch als Identity PSK oder iPSK bezeichnet) verändert dieses Paradigma grundlegend. Es ermöglicht einer einzigen SSID, Tausende von eindeutigen Passwörtern zu akzeptieren. Die Intelligenz liegt jedoch in der Integration mit einem NAC- oder RADIUS-Server.

Wenn sich ein Gerät mit der MPSK-SSID verbindet, leitet der Wireless LAN Controller (WLC) die Authentifizierungsanfrage an die NAC weiter. Die NAC-Engine wertet das verwendete Passwort aus, korreliert es mit der Identität des Geräts (MAC-Adresse, Profilierungsdaten) und gibt eine RADIUS-Access-Accept-Nachricht zurück, die spezifische Attribute enthält – insbesondere die VLAN-ID und Access Control List (ACL)-Richtlinien.

Diese Architektur ermöglicht eine dynamische VLAN-Zuweisung. Ein intelligentes Thermostat und eine IP-Kamera können sich mit genau derselben SSID über unterschiedliche Passwörter verbinden, und die Netzwerkinfrastruktur verschiebt das Thermostat in VLAN 50 (beschränkt auf den Zugriff auf das Cloud-Gateway) und die Kamera in VLAN 40 (beschränkt auf den lokalen NVR-Server).

Audio-Briefing

Hören Sie sich das technische Briefing unseres Senior Consultants zu dieser Architektur an:

Implementierungsleitfaden

Die Bereitstellung von MPSK mit NAC erfordert eine sorgfältige Planung, um Skalierbarkeit und Sicherheit zu gewährleisten. Befolgen Sie diese Schritte für eine erfolgreiche Einführung.

Schritt 1: Bewertung der Infrastrukturbereitschaft

Stellen Sie sicher, dass Ihre Wireless-Controller und Access Points MPSK/iPSK unterstützen. Die meisten modernen Netzwerkanbieter für Unternehmen (Cisco, Aruba, Meraki, Ruckus) unterstützen dies nativ, sofern die Firmware auf dem neuesten Stand ist. Überprüfen Sie, ob Ihre NAC-Lösung die erwartete Last an RADIUS-Anfragen bewältigen kann und eine dynamische VLAN-Zuweisung basierend auf dem Passwort-Abgleich unterstützt.

Schritt 2: Definition von Mikrosegmentierungsrichtlinien

Definieren Sie Ihre VLAN-Architektur, bevor Sie einen einzigen Schlüssel generieren. Gruppieren Sie IoT-Geräte nach Funktion und erforderlichem Zugriff.

VLAN 40 (Sicherheitskameras): Erlauben Sie Datenverkehr nur zur lokalen NVR-IP und zu bestimmten NTP-Servern. Blockieren Sie den Internetzugang.
VLAN 50 (Umgebungssensoren): Erlauben Sie ausgehenden HTTPS-Datenverkehr zu bestimmten Cloud-Endpunkten des Herstellers. Blockieren Sie das Inter-VLAN-Routing.
VLAN 60 (Point of Sale): Strikte PCI DSS-Compliance. Blockieren Sie jeglichen eingehenden Datenverkehr; erlauben Sie ausgehenden Datenverkehr nur zu Zahlungs-Gateways.

Schritt 3: Geräteprofilierung und Schlüsselgenerierung

Generieren Sie Schlüssel nicht manuell. Nutzen Sie die API der NAC oder ein Self-Service-Portal, um eindeutige Schlüssel pro Gerät zu erstellen. Verknüpfen Sie jeden Schlüssel mit der MAC-Adresse des Geräts. Dies stellt sicher, dass selbst wenn ein MPSK aus einem Thermostat ausgelesen wird, dieser nicht von einem unbefugten Laptop verwendet werden kann, der die MAC-Adresse im Netzwerk fälscht.

Schritt 4: Integration mit Analytics und Gastnetzwerken

Obwohl IoT-Netzwerke isoliert sind, sollte die übergeordnete Verwaltung vereinheitlicht werden. Stellen Sie sicher, dass Ihre NAC-Bereitstellung mit Ihrer allgemeinen Netzwerkstrategie übereinstimmt, einschließlich der Bereitstellung von Guest WiFi . Plattformen, die WiFi Analytics bereitstellen, können wertvolle Einblicke in die Gerätedichte und den Netzwerkzustand über alle Segmente hinweg liefern. Für mehr zu den Netzwerkgrundlagen finden Sie unter Wi Fi Frequencies: A Guide to Wi-Fi Frequencies in 2026 .

Best Practices

MAC-Bindung erzwingen: Binden Sie den MPSK immer an die spezifische MAC-Adresse des Geräts. Wenn eine andere MAC versucht, den Schlüssel zu verwenden, muss die NAC die Authentifizierung ablehnen.
DHCP-Fingerprinting implementieren: Nutzen Sie DHCP-Profiling innerhalb der NAC, um Gerätetypen zu verifizieren. Wenn ein MPSK, der einem „Smart TV“ zugewiesen ist, plötzlich von einem Gerät verwendet wird, dessen Fingerabdruck auf „Windows 11“ hinweist, lösen Sie eine automatische Quarantäne aus.
Lifecycle-Management automatisieren: Integrieren Sie die MPSK-Generierung in Ihre IT-Service-Management-Plattform (ITSM). Wenn ein Gerät im Asset-Register ausgemustert wird, sollte der entsprechende MPSK automatisch über die API widerrufen werden.
Regelmäßige Audits: Führen Sie vierteljährliche Audits der aktiven MPSKs im Vergleich zu Ihrem Asset-Inventar durch, um verwaiste Schlüssel zu identifizieren und zu bereinigen.

Fehlerbehebung & Risikominderung

Häufige Fehlerszenarien

RADIUS-Timeout-Probleme: Wenn die NAC-Engine überlastet ist oder die Latenz hoch ist, können Headless-Geräte ein Timeout erleiden und die Verbindung fehlschlagen.
- Minderung: Stellen Sie Hochverfügbarkeit und lokalisierte RADIUS-Proxys sicher, wenn Sie mit stark verteilten Umgebungen wie großen Einzelhandelsketten arbeiten.
MAC-Spoofing: Ein Angreifer klont die MAC-Adresse eines autorisierten IoT-Geräts und extrahiert dessen MPSK.
- Minderung: Setzen Sie auf Deep Packet Inspection und Verhaltensprofilierung. Wenn das „Thermostat“ plötzlich beginnt, das Netzwerk auf Port 22 (SSH) zu scannen, sollte die NAC oder das IDS den Port sofort isolieren.
Verbindungsabbrüche beim Roaming: Einige schlecht konzipierte IoT-Geräte verlieren die Verbindung, wenn sie zwischen APs wechseln, die MPSK verwenden.
- Minderung: Passen Sie die minimalen Basisraten an und sorgen Sie für eine ordnungsgemäße Überlappung der Funkzellen. Für tiefergehende Überlegungen zum Wireless-Design siehe BLE Low Energy Explained for Enterprise .

ROI & geschäftliche Auswirkungen

Der Übergang zu einer MPSK/NAC-Architektur liefert messbaren geschäftlichen Mehrwert:

Reduzierte Betriebskosten (OpEx): Eliminiert die Hunderte von Stunden, die IT-Teams mit der manuellen Aktualisierung globaler PSKs verbringen, wenn ein einzelnes Gerät kompromittiert oder ausgetauscht wird.
Compliance-Sicherung: Für Einzelhandels- und Gastronomiebetriebe ist eine strikte Mikrosegmentierung eine Kernanforderung von PCI DSS. MPSK bietet einen nachweisbaren, prüfbaren Mechanismus zur Isolierung von Zahlungsterminals, wodurch kostspielige Compliance-Strafen vermieden werden.
Risikominderung: Indem der Schadensradius eines kompromittierten Geräts auf sein spezifisches Mikrosegment begrenzt wird, wird der potenzielle finanzielle und Reputationsschaden eines Ransomware-Angriffs mit lateraler Bewegung drastisch reduziert.
Zukunftssicherheit: Da sich Unternehmensnetzwerke weiterentwickeln, wird die Integration der IoT-Sicherheit in umfassendere WAN-Strategien geschäftskritisch. Für den Kontext zur breiteren Netzwerkarchitektur verweisen wir auf SD WAN vs MPLS: The 2026 Enterprise Network Guide und The Role of SCEP and NAC in Modern MDM Infrastructure .

Schlüsseldefinitionen

MPSK (Multiple Pre-Shared Key)

Eine drahtlose Sicherheitsfunktion, die die Verwendung mehrerer eindeutiger Passwörter auf einer einzigen SSID ermöglicht, wobei jedes Passwort unterschiedliche Netzwerkrichtlinien auslösen kann.

Entscheidend für die Absicherung kopfloser IoT-Geräte, die keine Enterprise-802.1X-Authentifizierung unterstützen.

NAC (Network Access Control)

Eine Sicherheitslösung, die Richtlinien auf Geräten durchsetzt, die versuchen, auf das Netzwerk zuzugreifen, und sicherstellt, dass sie die Sicherheitsanforderungen erfüllen, bevor der Zugriff gewährt wird.

Fungiert als die Intelligenz-Engine hinter MPSK und bestimmt die VLAN-Zuweisung basierend auf dem verwendeten Passwort.

Dynamic VLAN Assignment

Der Prozess, bei dem ein Netzwerk-Switch oder Wireless-Controller ein Gerät basierend auf Authentifizierungsdaten anstelle des physischen Ports oder der SSID einem bestimmten VLAN zuweist.

Ermöglicht die Mikrosegmentierung von IoT-Geräten, die im selben drahtlosen Netzwerk senden.

Blast Radius

Das Ausmaß des Schadens oder der lateralen Bewegung, die ein Angreifer nach der Kompromittierung eines einzelnen Geräts oder Systems erreichen kann.

MPSK und NAC reduzieren den Schadensradius drastisch, indem sie kompromittierte IoT-Geräte in strengen Mikrosegmenten isolieren.

Headless Device

Ein Computergerät, wie es in IoT-Bereitstellungen üblich ist, das ohne Monitor, Tastatur oder Benutzeroberfläche betrieben wird.

Diese Geräte können den Benutzer nicht zur Eingabe von Anmeldedaten auffordern, was eine traditionelle 802.1X-Authentifizierung unmöglich macht.

MAC Binding

Eine Sicherheitskontrolle, die die Verwendung eines bestimmten Berechtigungsnachweises (wie eines MPSK) auf eine einzige, autorisierte MAC-Adresse beschränkt.

Verhindert, dass ein Angreifer einen MPSK von einer intelligenten Glühbirne stiehlt und ihn auf einem bösartigen Laptop verwendet.

DHCP Fingerprinting

Eine Profilierungstechnik, die von NAC-Systemen verwendet wird, um das Betriebssystem und den Typ eines Geräts basierend auf der spezifischen Sequenz der von ihm angeforderten DHCP-Optionen zu identifizieren.

Wird verwendet, um zu überprüfen, ob ein Gerät, das sich mit einem IoT-MPSK verbindet, tatsächlich ein IoT-Gerät und kein gefälschter Endpunkt ist.

Micro-segmentation

Eine Sicherheitstechnik, die das Netzwerk in granulare, isolierte Zonen unterteilt, um eine strikte Zugriffskontrolle aufrechtzuerhalten und laterale Bewegungen einzuschränken.

Das primäre architektonische Ziel bei der Bereitstellung von MPSK und NAC für die IoT-Sicherheit.

Ausgearbeitete Beispiele

Ein Hotel mit 300 Zimmern führt neue Smart-TVs, IP-basierte Türschlösser und Umgebungssensoren ein. Die aktuelle Infrastruktur nutzt einen einzigen globalen PSK für alle Nicht-Unternehmensgeräte. Wie sollte der Netzwerkarchitekt dies für optimale Sicherheit und Verwaltbarkeit neu konzipieren?

Der Architekt sollte eine MPSK SSID („Hotel-IoT“) einrichten. Die NAC-Policy-Engine muss mit drei verschiedenen Geräteprofilen konfiguriert werden. Smart-TVs erhalten eindeutige MPSKs und werden dynamisch dem VLAN 100 zugewiesen (nur Internet, Client-Isolierung aktiviert). Türschlösser erhalten eindeutige MPSKs, werden an ihre spezifischen MAC-Adressen gebunden und dem VLAN 110 zugewiesen (eingeschränkter Zugriff nur auf den lokalen Sicherheitsserver). Sensoren erhalten eindeutige MPSKs und werden dem VLAN 120 zugewiesen (Zugriff nur auf die HLK-Management-Cloud). Alle Schlüssel werden während des Geräte-Onboardings über eine API generiert.

Kommentar des Prüfers: Dieser Ansatz eliminiert die Sicherheitslücke des globalen PSK. Durch die Nutzung der dynamischen VLAN-Zuweisung über NAC erreicht der Architekt eine strikte Mikrosegmentierung. Die Bindung der Türschlösser an MAC-Adressen bietet eine wesentliche Sicherheitsebene für kritische Infrastrukturen.

Eine große Einzelhandelskette muss Hunderte von drahtlosen Point-of-Sale (POS)-Scannern und digitalen Werbedisplays an 50 Standorten anbinden. Wie können sie die PCI-DSS-Compliance sicherstellen und gleichzeitig den IT-Overhead minimieren?

Implementieren Sie eine zentralisierte NAC-Architektur mit MPSK. Den POS-Scannern werden eindeutige MPSKs zugewiesen und sie werden in ein stark eingeschränktes, PCI-konformes VLAN profiliert, das jeglichen lateralen Datenverkehr blockiert und nur ausgehende Verbindungen zum Payment-Processing-Gateway zulässt. Digitale Werbedisplays nutzen separate MPSKs und werden in ein anderes VLAN mit reinem Internetzugang für Inhaltsaktualisierungen verschoben. Das Schlüssel-Lifecycle-Management wird in das zentrale Asset-Management-System integriert.

Kommentar des Prüfers: Diese Lösung adressiert direkt die PCI-DSS-Anforderungen, indem sie eine strikte logische Segmentierung von Zahlungsgeräten vom allgemeinen IoT-Verkehr gewährleistet. Das zentralisierte Schlüsselmanagement reduziert den operativen Aufwand für das IT-Personal in den Filialen.

Übungsfragen

Q1. Ein Stadion-IT-Team muss 200 neue drahtlose Point-of-Sale-Terminals bereitstellen. Sie planen, MPSK zu nutzen. Welche zwei Profilierungsprüfungen muss die NAC durchführen, bevor sie das POS-Terminal dem sicheren VLAN zuweist, um maximale Sicherheit zu gewährleisten?

Hinweis: Überlegen Sie, wie Sie verhindern können, dass ein gestohlener MPSK auf einem Nicht-POS-Gerät verwendet wird.

Musterlösung anzeigen

Die NAC muss ein MAC Binding durchführen (Überprüfung, ob der spezifische MPSK von der autorisierten MAC-Adresse verwendet wird) und ein DHCP Fingerprinting (Überprüfung, ob das eine IP-Adresse anfordernde Gerät die Merkmale des erwarteten POS-Terminal-Betriebssystems aufweist und kein generischer Laptop oder Smartphone ist).

Q2. Bei einem Audit wird festgestellt, dass ein einem intelligenten Thermostat zugewiesener MPSK erfolgreich vom Laptop eines Auftragnehmers verwendet wurde, um Netzwerkzugriff zu erhalten. Die NAC wies den Laptop dem VLAN des Thermostats zu. Welcher Konfigurationsfehler hat dies ermöglicht?

Hinweis: Denken Sie an die Beziehung zwischen dem Schlüssel und der Geräteidentität.

Musterlösung anzeigen

Der Hauptfehler war das Fehlen von MAC Binding. Der MPSK war nicht auf die spezifische MAC-Adresse des Thermostats beschränkt. Zudem versäumte es die NAC, eine Geräteprofilierung (z. B. DHCP Fingerprinting) zu erzwingen, die den Laptop des Auftragnehmers als anomalen Gerätetyp für diesen spezifischen Schlüssel und dieses VLAN identifiziert hätte.

Q3. Eine Einzelhandelskette migriert von einem globalen PSK zu MPSK. Sie verfügt über 5.000 ältere Barcodescanner, die WPA2-Personal unterstützen, aber nicht für neuere Protokolle aktualisiert werden können. Kann MPSK zur Absicherung dieser Geräte verwendet werden, und wenn ja, wie?

Hinweis: Berücksichtigen Sie die clientseitigen Anforderungen für MPSK.

Musterlösung anzeigen

Ja, MPSK kann verwendet werden. Aus Sicht des Client-Geräts (des Barcodescanners) ist MPSK identisch mit dem Standard-WPA2-Personal-PSK. Die Intelligenz und Differenzierung finden vollständig auf der Infrastrukturseite (WLC und NAC) statt. Die Scanner müssen lediglich mit ihren neu zugewiesenen, eindeutigen Passwörtern konfiguriert werden.

Weiterlesen in dieser Reihe

So konfigurieren Sie SCEP für die automatisierte Zertifikatsregistrierung für Enterprise WiFi

Dieser Leitfaden erklärt, wie Sie SCEP (Simple Certificate Enrollment Protocol) für die automatisierte Zertifikatsregistrierung für Enterprise WiFi konfigurieren. Er deckt die gesamte Architektur von PKI und NDES bis hin zur MDM-Profilbereitstellung und RADIUS-Validierung ab. Er richtet sich an IT-Manager, Netzwerkarchitekten und CTOs in Hotels, Einzelhandelsketten, Stadien, Konferenzzentren und Organisationen des öffentlichen Sektors, die über Pre-Shared Keys hinausgehen und eine skalierbare, identitätsbasierte 802.1X EAP-TLS-Authentifizierung implementieren müssen. Die hardwareunabhängige Cloud-Overlay-Plattform von Purple lässt sich direkt in diese Architektur integrieren und bietet die Guest- und BYOD-WiFi-Ebene, die parallel zu Ihrem zertifikatsauthentifizierten Mitarbeiternetzwerk läuft.

The Enterprise Guide to SCEP: Deploying Simple Certificate Enrollment Protocol for Automated Campus WiFi Security

Dieser technische Leitfaden bietet einen definitiven Architektur-Entwurf und eine schrittweise Implementierungsstrategie für die Bereitstellung von WiFi-Zertifikaten in Unternehmen mittels SCEP. Er behandelt die entscheidenden Unterschiede zwischen SCEP und PKCS, die für den Erfolg erforderliche genaue Bereitstellungsreihenfolge sowie praxiserprobte Strategien zur Risikominderung für IT-Verantwortliche.

So implementieren Sie SCEP für die automatisierte WiFi-Zertifikatsregistrierung

Dieser Leitfaden erklärt, wie Sie SCEP (Simple Certificate Enrollment Protocol) für die automatisierte WiFi-Zertifikatsregistrierung in Unternehmensstandorten implementieren. Er deckt den gesamten architektonischen Entwurf ab – vom PKI-Design und der MDM-Integration bis hin zur obligatorischen dreistufigen Bereitstellungssequenz – und zeigt IT-Managern und Netzwerkarchitekten, wie sie gemeinsame Anmeldeinformationen eliminieren, das Lebenszyklusmanagement von Zertifikaten automatisieren und PCI DSS- und GDPR-Anforderungen in großem Maßstab erfüllen.