Identitätsbasiertes Networking: Was es ist und warum es wichtig ist

Dieser Leitfaden bietet eine umfassende technische Referenz zum Thema identitätsbasiertes Networking (IBN) – was es ist, wie es funktioniert und warum es eine entscheidende Investition für jedes Unternehmen ist, das große, vielfältige Benutzergruppen in Hotels, Einzelhandelsketten, Stadien und öffentlichen Einrichtungen verwaltet. Er behandelt die grundlegende IEEE 802.1X-Architektur, die Cloud-native Implementierung von Purple, reale Bereitstellungsszenarien und ein klares ROI-Framework zur Unterstützung von Beschaffungsentscheidungen.

📖 8 Min. Lesezeit📝 1,877 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 9 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen beim Purple Technical Briefing. Ich bin Ihr Gastgeber, und in den nächsten zehn Minuten werden wir eine der wichtigsten Veränderungen in der modernen Netzwerkarchitektur entmystifizieren: Identitätsbasiertes Networking. Wenn Sie IT-Manager, Architekt oder CTO sind, kennen Sie die Herausforderungen. Eine Flut von Geräten, mobilen Benutzern und unerbittlichen Sicherheitsbedrohungen. Das alte Modell, einem Gerät zu vertrauen, nur weil es an einen bestimmten Port in der Wand angeschlossen ist, funktioniert nicht mehr. Heute erklären wir, was identitätsbasiertes Networking – oder IBN – ist und warum es der Schlüssel zum Aufbau eines sichereren, intelligenteren und einfacher zu verwaltenden Netzwerks für Ihren Standort ist.

Was also ist IBN? Im Kern ist es ganz einfach: Ihre Identität, nicht Ihr Standort, bestimmt Ihren Netzwerkzugriff. Stellen Sie sich das so vor. In einem herkömmlichen Netzwerk erhalten Sie, wenn Sie Ihren Laptop an einen Port in der Finanzabteilung anschließen, Zugriff auf Finanzebene. Es ist der Port, dem vertraut wird. Wenn sich ein Gast an denselben Port anschließt, könnte er potenziell auf sensible Finanzdaten zugreifen. Es ist ein Modell, das auf implizitem Vertrauen basiert, und in der heutigen Bedrohungslandschaft ist dieses implizite Vertrauen ein Sicherheitsrisiko.

IBN kehrt das komplett um. Es nutzt einen Standard namens IEEE 802.1X. Wenn Sie sich mit dem Netzwerk verbinden, wird Ihr Gerät – der Supplicant – vom Switch oder Access Point, den wir als Authenticator bezeichnen, in einen digitalen Warteraum gestellt. Der Authenticator lässt zu diesem Zeitpunkt nur eine Art von Datenverkehr zu: ein Gespräch mit einem zentralen Gehirn, dem Authentifizierungsserver. In unserem Fall bei Purple ist das unsere Cloud-basierte RADIUS-Plattform. Ihr Gerät präsentiert seine Anmeldedaten – vielleicht Ihr Unternehmens-Login aus dem Azure Active Directory oder ein sicheres digitales Zertifikat. Die Purple-Cloud überprüft Ihre Identität und teilt dem Authenticator basierend auf den Richtlinien, die wir gemeinsam definiert haben, genau mit, was zu tun ist.

Es könnte heißen: 'Das ist Sarah aus dem Marketing. Platziere sie im Marketing-VLAN mit Zugriff auf den Kampagnenserver und einer Bandbreite von 50 Megabit.' Oder es könnte heißen: 'Dies ist ein nicht registriertes Gastgerät. Platziere es im Guest-VLAN mit reinem Internetzugang, aktivierter Client-Isolierung und einer Begrenzung auf 10 Megabit.' Der Schlüssel hierbei ist die dynamische VLAN-Zuweisung. Derselbe physische Port oder Wi-Fi-Access-Point kann Dutzende verschiedener Benutzertypen bedienen, die jeweils sicher in ihrem eigenen virtuellen Netzwerk isoliert sind – und das alles über eine einzige SSID. Dies ist das Fundament einer Zero-Trust-Architektur: Niemals vertrauen, immer überprüfen. Wir verifizieren den Benutzer und gewähren erst dann genau den Zugriff, den er benötigt, und nicht mehr.

Lassen Sie uns die Komponenten etwas genauer betrachten, denn das Verständnis der Architektur hilft Ihnen bei der korrekten Bereitstellung. Die drei Säulen sind der Supplicant, der Authenticator und der Authentifizierungsserver. Der Supplicant ist einfach die Software auf dem Gerät Ihres Benutzers. Die gute Nachricht ist, dass moderne Betriebssysteme – Windows, macOS, iOS und Android – alle über einen integrierten 802.1X-Supplicant verfügen. Ihre Benutzer müssen nichts Spezielles installieren.

Der Authenticator ist Ihre Netzwerk-Hardware: Ihre Switches und Ihre Wireless Access Points. Damit dies funktioniert, muss Ihre Hardware 802.1X unterstützen. Die überwiegende Mehrheit der Enterprise-Geräte aus dem letzten Jahrzehnt tut dies. Wir sprechen hier von Cisco, Meraki, Aruba, Ruckus und vielen anderen. Der Authenticator ist der Torwächter. Er hält die Tür geschlossen, bis er grünes Licht vom Authentifizierungsserver erhält.

Der Authentifizierungsserver ist der Ort, an dem die Intelligenz sitzt. Bei einer herkömmlichen Bereitstellung wäre dies ein RADIUS-Server vor Ort, der komplex zu verwalten ist und einen Single Point of Failure darstellt. Purple ersetzt diesen durch einen Cloud-nativen, global verteilten Dienst. Das bedeutet: keine Server, die im Rack montiert werden müssen, kein Einspielen von Patches und kein Single Point of Failure. Unsere Plattform verbindet sich direkt mit Ihrem bestehenden Identitätsanbieter, sei es Azure Active Directory, Okta, Google Workspace oder eine lokale Datenbank. Das ist entscheidend. Es bedeutet, dass Ihre Netzwerkzugriffsrichtlinien von derselben Single Source of Truth gesteuert werden wie Ihr E-Mail- und Anwendungszugriff. Wenn ein Mitarbeiter das Unternehmen verlässt und sein Konto in Azure AD deaktiviert wird, wird sein Netzwerkzugriff sofort widerrufen. Kein manuelles Eingreifen erforderlich.

Lassen Sie uns dies nun anhand von zwei realen Szenarien in der Praxis betrachten. Stellen Sie sich ein Luxushotel mit 500 Zimmern vor. Derzeit gibt es dort ein einziges WPA2-Passwort, das mit jedem Gast, jedem Mitarbeiter und jedem IoT-Gerät geteilt wird – von intelligenten Minibars bis hin zu Türschlössern. Dies ist ein erhebliches Sicherheits- und Compliance-Risiko. Jeder Gast könnte theoretisch den Datenverkehr eines Mitarbeitergeräts abfangen. Ein kompromittiertes IoT-Gerät könnte sich ausbreiten, um das Property Management System anzugreifen.

Mit IBN definieren wir vier verschiedene Rollen. Gäste authentifizieren sich über ein Captive Portal, indem sie ihre Zimmernummer und ihren Nachnamen eingeben. Sie landen im Guest-VLAN mit einer Bandbreitenbegrenzung und Client-Isolierung. Konferenzteilnehmer erhalten separate, zeitlich begrenzte Anmeldedaten, die vom Veranstalter bereitgestellt werden. Mitarbeiter authentifizieren sich mit ihren Active-Directory-Anmeldedaten und landen im Staff-VLAN mit Zugriff auf das Property Management System. Und IoT-Geräte werden über eine technik namens MAC Authentication Bypass verwaltet, bei der wir ihre Hardwareadressen vorregistrieren und sie in ein vollständig isoliertes IoT-VLAN verschieben, das nur mit ihrer spezifischen Managementplattform kommunizieren kann. Das Ergebnis ist ein einziges, sauberes Wi-Fi-Netzwerk, das alle sicher bedient, mit einer vollständigen Trennung zwischen den einzelnen Gruppen.

Das zweite Szenario ist eine Einzelhandelskette mit 150 Filialen. Sie müssen die PCI-DSS-Compliance erreichen, was erfordert, dass Zahlungskartendaten vollständig von jedem anderen Netzwerkverkehr isoliert sind. Ihre mobilen Point-of-Sale-Scanner befinden sich derzeit im selben Netzwerk wie das Gäste-Wi-Fi. Das ist ein Compliance-Albtraum. Mit IBN implementieren wir eine zertifikatsbasierte Authentifizierung für die Scanner. Jedes Gerät verfügt über ein eindeutiges digitales Zertifikat, das von der Zertifizierungsstelle des Unternehmens ausgestellt wurde. Wenn sich ein Scanner verbindet, überprüft Purple das Zertifikat und platziert das Gerät im POS-VLAN, das über eine strenge Firewall-Richtlinie verfügt, die nur die Kommunikation mit dem Zahlungs-Gateway erlaubt. Gäste befinden sich in einem völlig separaten VLAN ohne Verbindung zum POS-Netzwerk. Die PCI-DSS-Compliance ist erreicht, und das Gäste-Wi-Fi wird über die Analyseplattform von Purple zudem zu einer Quelle wertvoller Marketingdaten.

Lassen Sie uns nun über die Implementierung sprechen. Wie kommen Sie dorthin? Es ist ein phasenweiser Ansatz, und ich würde immer von einer Big-Bang-Einführung abraten. Erstens: Auditieren Sie Ihre Infrastruktur. Bestätigen Sie, dass Ihre Switches und Access Points 802.1X unterstützen. Aktualisieren Sie die Firmware. Zweitens – und das ist der wichtigste Schritt – definieren Sie Ihre Benutzerrollen und Zugriffsrichtlinien. Arbeiten Sie mit Ihren Stakeholdern aus HR, Betrieb und Management zusammen. Wer befindet sich in Ihrem Netzwerk? Was benötigen sie? Was ist ausdrücklich verboten? Dokumentieren Sie dies klar, bevor Sie eine einzige Konfigurationsdatei anfassen.

Drittens: Konfigurieren Sie Ihre Netzwerk-Hardware so, dass sie auf den Cloud-RADIUS-Dienst von Purple verweist. Dies ist in der Regel eine einfache Änderung in Ihrem Netzwerk-Controller, sei es im Meraki-Dashboard, in Aruba Central oder in einer Cisco-ISE-Konfiguration. Sie fügen ein RADIUS-Profil mit unseren Endpunktadressen und einem Shared Secret hinzu. Viertens: Testen Sie gründlich in einer Pilotumgebung. Erstellen Sie eine neue SSID und binden Sie eine kleine Gruppe von Benutzern an. Validieren Sie jede Rolle. Stellen Sie sicher, dass ein Marketing-Benutzer Marketing-Zugriff und ein Finanz-Benutzer Finanz-Zugriff erhält. Und ganz wichtig: Testen Sie Ihre Ausfallszenarien. Was passiert, wenn der RADIUS-Server nicht erreichbar ist? Sie möchten, dass Ihre Hardware im Modus Fail-Closed und nicht Fail-Open reagiert.

Schließlich rollen Sie die Lösung für das gesamte Unternehmen aus und nehmen Ihre alten, unsicheren Netzwerke außer Betrieb. Kommunizieren Sie klar mit Ihren Benutzern. Stellen Sie Schritt-für-Schritt-Anleitungen für die erste Verbindung bereit. Bieten Sie während des Übergangsfensters Helpdesk-Support an.

Lassen Sie uns nun zu einer schnellen Fragerunde mit den Fragen kommen, die mir am häufigsten gestellt werden.

Frage eins: Muss ich meine gesamte Hardware ersetzen? Höchstwahrscheinlich nicht. Wenn Ihre Infrastruktur weniger als zehn Jahre alt ist und von einem namhaften Hersteller stammt, unterstützt sie mit an Sicherheit grenzender Wahrscheinlichkeit 802.1X. Überprüfen Sie die Datenblätter.

Frage zwei: Was ist mit Geräten, die 802.1X nicht unterstützen, wie ältere Drucker oder ältere IoT-Geräte? Wir nutzen MAC Authentication Bypass, wie ich es bereits beim Hotel-Szenario erwähnt habe. Es ist nicht so sicher wie ein vollwertiges 802.1X, aber es ist weitaus besser, als diese Geräte in einem offenen Netzwerk zu belassen. Sie registrieren die MAC-Adresse des Geräts, weisen es einem eingeschränkten VLAN zu und wenden strenge Firewall-Regeln an.

Frage drei: Gilt dies nur für Wi-Fi? Absolut nicht. 802.1X und IBN gelten gleichermaßen für Ihr kabelgebundenes Netzwerk. Jeder Ethernet-Port in Ihrem Gebäude sollte mit einer identitätsbasierten Zugriffskontrolle gesichert sein. Wenn Sie nur das WLAN sichern und das kabelgebundene Netzwerk offen lassen, haben Sie eine erhebliche Sicherheitslücke.

Frage vier: Wie interagiert dies mit unserem bestehenden VPN? IBN und VPN ergänzen sich. IBN sichert die lokale Netzwerkzugriffsebene. Das VPN sichert den Tunnel für den Remote-Zugriff. In einer modernen Zero-Trust-Architektur würden Sie beides nutzen.

Zusammenfassend lässt sich sagen: Identitätsbasiertes Networking macht Ihre Identität zum Schlüssel für Ihren Netzwerkzugriff. Es ersetzt das anfällige, implizite Vertrauen des portbasierten Networkings durch ein dynamisches, richtliniengesteuertes Modell, bei dem jeder Benutzer verifiziert wird, bevor er genau den Zugriff erhält, den er benötigt. Die Vorteile sind beträchtlich. Drastisch reduzierter administrativer Aufwand durch Automatisierung. Eine erhebliche Verbesserung des Sicherheitsniveaus durch Mikrosegmentierung und Zero-Trust-Prinzipien. Vereinfachte Compliance mit PCI DSS, GDPR und anderen regulatorischen Frameworks. Und ein Netzwerk, das wertvolle Business Intelligence darüber generiert, wie Ihr Standort genutzt wird.

Die Technologie ist ausgereift, die Standards sind etabliert und die Tools waren noch nie so zugänglich. Die Cloud-native Plattform von Purple beseitigt die traditionelle Komplexität der Bereitstellung von RADIUS und 802.1X und macht IBN der Enterprise-Klasse für Unternehmen aller Größen zugänglich.

Wenn Sie bereit für den nächsten Schritt sind, besuchen Sie uns auf purple dot ai, um mit einem unserer Solutions Architects zu sprechen. Wir können Ihre aktuelle Infrastruktur bewerten, Ihre Zugriffsrichtlinien definieren und innerhalb von Tagen – nicht Monaten – ein Proof of Concept für Sie bereitstellen.

Vielen Dank, dass Sie das Purple Technical Briefing gehört haben. Bis zum nächsten Mal.

Wichtigste Erkenntnisse

✓Identitätsbasiertes Networking (IBN) verknüpft den Netzwerkzugriff mit der verifizierten Benutzeridentität, nicht mit physischen Ports oder MAC-Adressen.
✓Es ist eine Kernkomponente einer modernen Zero-Trust-Sicherheitsstrategie und arbeitet nach dem Prinzip 'Niemals vertrauen, immer überprüfen'.
✓Wichtige Basistechnologien sind IEEE 802.1X, RADIUS, EAP und die dynamische VLAN-Zuweisung.
✓IBN vereinfacht die Netzwerkadministration drastisch, indem es die Verwaltung von VLANs und Zugriffsregeln automatisiert.
✓Es liefert einen messbaren ROI durch reduzierte Betriebskosten, ein minimiertes Risiko von Sicherheitsverletzungen und eine verbesserte Einhaltung gesetzlicher Vorschriften (PCI DSS, GDPR).
✓Purple bietet eine Cloud-native RADIUS-Plattform, die sich in bestehende IdPs (Azure AD, Okta) integrieren lässt, um IBN ohne On-Premises-Infrastruktur skalierbar zu implementieren.
✓Die Bereitstellung sollte in Phasen erfolgen: Infrastruktur auditieren, Rollen definieren, Purple konfigurieren, Pilotprojekt testen, dann vollständig ausrollen.

Executive Summary

Identitätsbasiertes Networking (IBN) stellt einen grundlegenden Wandel in der Verwaltung des Netzwerkzugriffs dar – weg von einem statischen, portbasierten Modell hin zu einem dynamischen, benutzerzentrierten Ansatz. In einem herkömmlichen Netzwerk sind die Zugriffsrechte an physische Ports oder MAC-Adressen gebunden, was eine starre und unsichere Umgebung schafft. IBN verknüpft die Netzwerkzugriffsrechte mit der verifizierten Identität eines Benutzers. Das bedeutet, dass unabhängig davon, wie oder wo sich ein Benutzer verbindet – ob über Wi-Fi, Ethernet oder VPN –, sein Zugriff auf Netzwerkressourcen davon bestimmt wird, wer er ist, und nicht, welches Gerät er verwendet oder wo er sich anschließt.

Für Unternehmen, die große, vielfältige Benutzergruppen in Umgebungen wie Hotels, Einzelhandelsketten und Stadien verwalten, ist dies ein Meilenstein. Es ermöglicht standardmäßig einen Zero-Trust-Sicherheitsansatz, bei dem jeder Benutzer und jedes Gerät authentifiziert und autorisiert werden muss, bevor Zugriff gewährt wird. Dies vereinfacht die Netzwerksegmentierung drastisch, erhöht die Sicherheit durch die Eindämmung von Bedrohungen und optimiert die Einhaltung von Vorschriften wie PCI DSS und GDPR.

Für einen CTO liefert IBN einen erheblichen ROI, indem es den administrativen Aufwand für die Verwaltung komplexer VLANs und Zugriffskontrolllisten (ACLs) reduziert, das Risiko von Sicherheitsverletzungen minimiert und tiefe Einblicke in Netzwerknutzungsmuster bietet, die als Grundlage für die Geschäftsstrategie dienen können. Die Implementierung von IBN durch Purple nutzt die vorhandene Infrastruktur und lässt sich nahtlos in Cloud-Identitätsanbieter integrieren, um eine skalierbare, widerstandsfähige und intelligente Zugriffsebene bereitzustellen, die für moderne Unternehmen geeignet ist.

Technische Detailanalyse

Von Ports zu Personen: Der grundlegende architektonische Wandel

Herkömmliche Netzwerke – ein Relikt aus einer Zeit, in der Geräte statisch und Benutzer an ihren Schreibtisch gebunden waren – arbeiten nach dem Prinzip des impliziten Vertrauens innerhalb eines Netzwerkperimeters. Ein authentifiziertes Gerät gilt als vertrauenswürdig, und sein physischer Anschlusspunkt (ein Switch-Port) bestimmt seinen Netzwerkzugriff. Dieses Modell ist im heutigen Zeitalter von BYOD (Bring Your Own Device), IoT und mobilen Arbeitskräften mit zahlreichen Herausforderungen verbunden.

Identitätsbasiertes Networking (IBN), das häufig unter Verwendung des IEEE 802.1X-Standards implementiert wird, kehrt dieses Modell grundlegend um. Es entkoppelt den Benutzer vom physischen Port und macht die Identität zum neuen Perimeter. Die Kernkomponenten einer IBN-Architektur sind:

Supplicant: Das Client-Gerät (z. B. Laptop, Smartphone), das Netzwerkzugriff anfordert. Darauf läuft eine Software, die mit dem Authenticator kommuniziert. Moderne Betriebssysteme – Windows, macOS, iOS und Android – enthalten einen nativen 802.1X-Supplicant, sodass für Endbenutzer keine zusätzliche Softwareinstallation erforderlich ist.

Authenticator: Das Netzwerkzugriffsgerät, wie z. B. ein Wireless Access Point (WAP) oder ein Ethernet-Switch. Er fungiert als Torwächter, der den Datenverkehr des Supplicants blockiert oder zulässt. Der Authenticator hält den Port in einem nicht autorisierten Zustand, bis er eine ausdrückliche Anweisung vom Authentifizierungsserver erhält.

Authentication Server (AS): In der Regel ein RADIUS-Server (Remote Authentication Dial-In User Service). Dieser Server ist die Intelligenzebene des Systems. Er empfängt die Anmeldedaten des Supplicants vom Authenticator, gleicht sie mit einem Identitätsspeicher ab (z. B. Azure Active Directory, Google Workspace, eine lokale Datenbank) und sendet eine Autorisierungsentscheidung zurück, die eine spezifische Netzwerkrichtlinie enthält.

Wenn sich ein Benutzer verbindet, versetzt der Authenticator den Port in einen nicht autorisierten Zustand und blockiert jeglichen Datenverkehr mit Ausnahme von 802.1X-Authentifizierungspaketen. Der Supplicant stellt seine Anmeldedaten bereit, die der Authenticator an den Authentifizierungsserver weiterleitet. Der AS überprüft die Identität und weist den Authenticator basierend auf vordefinierten Richtlinien an, was zu tun ist. Diese Anweisung ist nicht nur ein einfaches Erlauben oder Verweigern; sie kann eine dynamische VLAN-Zuweisung, Quality of Service (QoS)-Profile, Sitzungs-Timeouts und spezifische Firewall-Regeln umfassen. Ein Unternehmensbenutzer wird möglicherweise dem CORP_VLAN mit Zugriff auf interne Server zugewiesen, während ein Gast dem GUEST_VLAN mit reinem Internetzugang zugewiesen wird – und das über dieselbe SSID oder denselben physischen Port.

Wie Purple IBN implementiert

Die Plattform von Purple fungiert als Cloud-nativer Authentifizierungsserver und Richtlinien-Engine, die für die komplexen Anforderungen großer öffentlicher Veranstaltungsorte entwickelt wurde. Unser Ansatz konzentriert sich darauf, die Komplexität der RADIUS- und 802.1X-Konfiguration zu abstrahieren.

Cloud-natives RADIUS: Wir machen Authentifizierungsserver vor Ort überflüssig und bieten einen global verteilten, hochverfügbaren Dienst, der sich bei Bedarf skalieren lässt. Es müssen keine Server im Rack montiert, keine Firmware gepatcht werden, und es gibt keinen Single Point of Failure.

Integration von Identitätsanbietern (IdP): Wir binden führende IdPs wie Azure AD, Okta und Google Workspace nahtlos an. Dies ermöglicht es Unternehmen, ihre bestehende Single Source of Truth für Identitäten zu nutzen. So wird sichergestellt, dass bei Deaktivierung des Kontos eines Mitarbeiters dessen Netzwerkzugriff sofort entzogen wird.

Dynamische Richtlinien-Engine: Unsere intuitive Management-Konsole ermöglicht es IT-Managern, granulare Zugriffsrichtlinien basierend auf Benutzerattributen wie Gruppenmitgliedschaft, Rolle und Abteilung zu erstellen. Eine Richtlinie könnte lauten: „Alle Benutzer in der Gruppe 'Einzelhandel-Mitarbeiter', die sich zwischen 9:00 und 17:00 Uhr mit der SSID 'Mitarbeiter-WiFi' verbinden, werden dem 'POS_VLAN' mit einer Bandbreitenbegrenzung von 10 Mbit/s zugewiesen.“

Dynamische VLAN-Zuweisung: Dies ist ein Eckpfeiler unserer IBN-Implementierung. Anstatt VLANs auf jedem Switch-Port manuell zu konfigurieren, weist das Netzwerk einem Benutzer basierend auf seiner Identität dynamisch das richtige VLAN zu. Dies bedeutet einen enormen Gewinn an betrieblicher Effizienz und eine erhebliche Verbesserung der Sicherheit.

Implementierungsleitfaden

Die Bereitstellung von IBN mit Purple ist ein strukturierter Prozess, der darauf ausgelegt ist, Störungen zu minimieren und die Sicherheit vom ersten Tag an zu maximieren.

Schritt 1: Audit der Netzwerkinfrastruktur

Überprüfen Sie vor der Bereitstellung, ob Ihre Netzwerkhardware – Switches und Access Points – IEEE 802.1X unterstützt. Die meisten in den letzten zehn Jahren hergestellten Enterprise-Geräte tun dies. Dazu gehören Anbieter wie Cisco, Meraki, Aruba und Ruckus. Stellen Sie sicher, dass die gesamte Firmware auf dem neuesten Stand ist, da ältere Firmware-Versionen bekannte 802.1X-Sicherheitslücken aufweisen können.

Schritt 2: Benutzerrollen und Zugriffsrichtlinien definieren

Dies ist die kritischste Phase. Arbeiten Sie mit Stakeholdern aus HR, Betrieb und Management zusammen, um alle Netzwerknutzer in verschiedene Rollen einzuteilen. Typische Beispiele sind Unternehmensmitarbeiter (voller Zugriff auf interne Ressourcen), Gastbenutzer (reiner Internetzugang über ein Captive Portal), Auftragnehmer (zeitlich begrenzter Zugriff auf bestimmte Anwendungen) und IoT-Geräte (stark eingeschränkter Zugriff auf ein dediziertes VLAN, die nur mit ihrem spezifischen Verwaltungsserver kommunizieren). Definieren Sie für jede Rolle explizit die erforderliche Berechtigungsstufe.

Schritt 3: Purple als Authentifizierungsserver konfigurieren

Konfigurieren Sie in Ihrem Netzwerk-Controller – wie dem Meraki Dashboard oder Aruba Central – ein neues RADIUS-Profil, das mit einem Shared Secret auf die Purple-Authentifizierungsendpunkte verweist. Dadurch wird die Vertrauensbeziehung zwischen Ihrer Netzwerkhardware und der Purple-Cloud hergestellt. Die Onboarding-Dokumentation von Purple bietet Schritt-für-Schritt-Konfigurationsanleitungen für alle gängigen Hardwarehersteller.

Schritt 4: Phasenweise Einführung und Tests

Versuchen Sie keine plötzliche Migration (Flash-Cut). Beginnen Sie mit einer Pilotgruppe von Benutzern oder einem bestimmten Bereich Ihres Standorts, z. B. einer einzelnen Etage oder einer unkritischen Filiale. Erstellen Sie eine neue, dedizierte SSID für den IBN-Testlauf. Nehmen Sie die Pilotbenutzer auf und testen Sie alle definierten Rollen. Überprüfen Sie, ob die Benutzer den richtigen VLANs zugewiesen werden und ob die Zugriffsrechte korrekt durchgesetzt werden. Testen Sie unbedingt auch Ausfallszenarien: Was passiert, wenn der RADIUS-Server nicht erreichbar ist? Konfigurieren Sie die Hardware für ein Fail-Closed-Verhalten.

Schritt 5: Vollständige Bereitstellung und Stilllegung von Altsystemen

Sobald der Pilotversuch erfolgreich war, weiten Sie die Einführung auf das gesamte Unternehmen aus. Entwickeln Sie einen klaren Kommunikationsplan, um die Benutzer durch den einmaligen Prozess der Verbindung mit dem neuen sicheren Netzwerk zu führen. Sobald alle Benutzer migriert sind, legen Sie die alten, unsicheren SSIDs und Portkonfigurationen still.

Best Practices

Nutzen Sie WPA3-Enterprise: Verwenden Sie WPA3-Enterprise, wo immer es unterstützt wird, in Verbindung mit 802.1X. Es bietet erhebliche Sicherheitsverbesserungen gegenüber WPA2, einschließlich des Schutzes von Management-Frames (802.11w) und stärkerer Verschlüsselungsalgorithmen.

Zertifikatsbasierte Authentifizierung: Gehen Sie bei Unternehmensgeräten über Benutzername und Passwort (EAP-PEAP) hinaus und implementieren Sie eine zertifikatsbasierte Authentifizierung (EAP-TLS). Dies ist der Goldstandard für die 802.1X-Sicherheit, da er Phishing-Risiken minimiert und die Benutzererfahrung durch den Wegfall von Passwortabfragen vereinfacht.

Identitäten zentralisieren: Pflegen Sie eine einzige, maßgebliche Quelle der Wahrheit (Source of Truth) für Benutzeridentitäten. Dies verhindert eine Zersplitterung der Identitäten und stellt sicher, dass beim Verlassen eines Mitarbeiters dessen Netzwerkzugriff sofort an der Quelle entzogen wird.

Regelmäßige Überprüfung der Richtlinien: Benutzerrollen und Zugriffsanforderungen ändern sich. Führen Sie vierteljährliche Überprüfungen Ihrer IBN-Richtlinien durch, um sicherzustellen, dass sie weiterhin den geschäftlichen Anforderungen und Sicherheitsprinzipien entsprechen. Entfernen Sie ungenutzte Rollen und verschärfen Sie zu lockere Regeln.

Best Practice	Standard / Referenz	Priorität
WPA3-Enterprise	IEEE 802.11ax, Wi-Fi Alliance	Hoch
Zertifikatsauthentifizierung (EAP-TLS)	RFC 5216	Hoch
Dynamische VLAN-Segmentierung	IEEE 802.1Q	Kritisch
Zentralisierte Identität (IdP)	NIST SP 800-63	Kritisch
Fail-Closed RADIUS-Richtlinie	CIS-Benchmark	Hoch
Vierteljährliche Richtlinienüberprüfung	ISO 27001	Mittel

Fehlerbehebung & Risikominderung

Ausfallszenario: RADIUS-Server nicht erreichbar

Wenn der Authentifikator die Purple-Cloud nicht erreichen kann, verhält sich die Hardware standardmäßig entweder „fail-open“ (lässt jeglichen Zugriff zu) oder „fail-closed“ (verweigert jeglichen Zugriff). Konfigurieren Sie Ihre Hardware für maximale Sicherheit auf ein Fail-Closed-Verhalten. Die geografisch verteilte Infrastruktur von Purple macht längere Ausfälle sehr unwahrscheinlich, aber eine tiefgestaffelte Verteidigung (Defense-in-Depth) ist unerlässlich. Erwägen Sie die Konfiguration eines lokalen RADIUS-Fallbacks für kritische Infrastrukturen.

Ausfallszenario: Fehlkonfigurierte Richtlinien

Eine schlecht geschriebene Richtlinie kann übermäßige Privilegien gewähren oder legitimen Zugriff verweigern. Nutzen Sie eine Staging-Umgebung oder eine Pilotgruppe, um jede Richtlinienänderung zu testen, bevor Sie sie in der Produktionsumgebung bereitstellen. Mit dem Richtliniensimulator von Purple können Sie die erwartete Zugriffsebene eines Benutzers testen, bevor Sie eine Änderung übernehmen.

Risiko: Komplexität beim Onboarding

Der anfängliche Verbindungsprozess für Benutzer kann komplex sein, insbesondere bei der Bereitstellung von Zertifikaten. Stellen Sie klare Schritt-für-Schritt-Anleitungen mit Screenshots bereit und bieten Sie während der Übergangsphase Helpdesk-Support an. Erwägen Sie den Einsatz eines Onboarding-Tools wie dem Network Access Manager von Purple, um den Prozess der Gerätekonfiguration zu automatisieren.

Risiko: Altsysteme ohne 802.1X-Unterstützung

Nicht alle Geräte – insbesondere ältere IoT-Hardware, Drucker und medizinische Geräte – unterstützen 802.1X. Verwenden Sie für diese Geräte MAC Authentication Bypass (MAB), indem Sie deren MAC-Adressen vorab registrieren und sie stark eingeschränkten, isolierten VLANs mit strengen Firewall-Regeln zuweisen.

ROI & geschäftliche Auswirkungen

Der Business Case für IBN basiert auf drei Säulen: Kostensenkung, Risikominderung und Business Enablement.

Kostensenkung: Die primäre Einsparung ist operativer Natur. Die Automatisierung der VLAN- und ACL-Verwaltung reduziert die für die Netzwerkadministration erforderlichen Arbeitsstunden drastisch. Die dynamische VLAN-Zuweisung kann die Zeit für die Netzwerkbereitstellung laut unabhängigen Benchmarks für den Netzwerkbetrieb um über 85 % verkürzen. Dadurch wird die IT-Abteilung entlastet, sodass sie sich auf strategische Initiativen statt auf Routineaufgaben konzentrieren kann.

Risikominderung: Die Kosten einer Datenpanne sind erheblich – der „Cost of a Data Breach Report“ von IBM beziffert den weltweiten Durchschnitt kontinuierlich auf über 4 Millionen USD. Durch die Implementierung eines Zero-Trust-Modells und von Mikrosegmentierung reduziert IBN die Angriffsfläche erheblich. Wenn das Gerät eines Benutzers kompromittiert wird, bleibt die Sicherheitsverletzung auf dessen spezifisches, begrenztes Netzwerksegment beschränkt. Dies ist entscheidend für die PCI-DSS-Compliance im Einzelhandel und die GDPR-Compliance in Organisationen des öffentlichen Sektors.

Business Enablement: IBN liefert umfassende Daten darüber, wer das Netzwerk nutzt, wo sich diese Personen befinden und was sie tun. Diese Erkenntnisse sind für den Standortbetrieb von unschätzbarem Wert. Ein Hotel kann die Bewegungsmuster von Gästen nachvollziehen, ein Einzelhändler kann die Besucherfrequenz in verschiedenen Abteilungen analysieren und ein Stadion kann die Personalplanung basierend auf der Personendichte in Echtzeit optimieren. Dadurch verwandelt sich das Netzwerk von einer Kostenstelle in ein strategisches Geschäftsgut.

ROI-Dimension	Metrik	Typisches Ergebnis
Operative Effizienz	Eingesparte IT-Admin-Stunden pro Woche	40–60 % Reduzierung
Sicherheitsniveau	Reduzierung der Angriffsfläche	Erheblich durch Mikrosegmentierung
Compliance	Vorbereitungszeit für Audits	Reduziert durch automatisierte Protokollierung
Business Intelligence	Erfassungsrate von Gästedaten	Erhöht durch Captive Portal-Integration
Produktivität der Mitarbeiter	Bereitstellungszeit des Netzwerks	Über 85 % Reduzierung

Schlüsseldefinitionen

Identitätsbasiertes Networking (IBN)

Ein Ansatz zur Netzwerkadministration, bei dem der Zugriff auf Netzwerkressourcen basierend auf der authentifizierten Identität eines Benutzers oder Geräts gewährt wird, anstatt auf dessen physischem Anschlusspunkt oder seiner IP-Adresse.

IT-Teams nutzen IBN, um sicherere und flexiblere Netzwerke zu erstellen, die BYOD, IoT und mobile Benutzer sicher verwalten können. Es ist die grundlegende Technologie für eine Zero-Trust-Netzwerkarchitektur.

IEEE 802.1X

Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle (PNAC). Er bietet einen Authentifizierungsmechanismus für Geräte, die eine Verbindung zu einem LAN oder WLAN herstellen möchten, und nutzt das EAP-Framework zur Übertragung von Authentifizierungsdaten.

Dies ist der primäre technische Standard, der den meisten IBN-Bereitstellungen zugrunde liegt. Netzwerk-Hardware muss 802.1X unterstützen, um mit einem identitätsgesteuerten Zugriffsmodell kompatibel zu sein.

RADIUS

Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Abrechnung (AAA) für Benutzer bietet, die sich mit einem Netzwerkdienst verbinden und diesen nutzen.

Der RADIUS-Server ist das Gehirn eines IBN-Systems. Er trifft die Entscheidungen darüber, wer Zugriff erhält und welche Zugriffsebene gewährt wird. Purple stellt dies als Cloud-nativen Dienst bereit, wodurch eine RADIUS-Infrastruktur vor Ort überflüssig wird.

Dynamische VLAN-Zuweisung

Die Fähigkeit eines Netzwerks, einen Benutzer basierend auf seiner authentifizierten Identität einem bestimmten virtuellen LAN (VLAN) zuzuweisen, unabhängig vom physischen Port oder der SSID, mit der er sich verbindet.

Dies ist ein wesentlicher betrieblicher Vorteil von IBN. Es automatisiert den Prozess der Netzwerksegmentierung, spart erhebliche administrative Zeit und verringert das Risiko von Fehlkonfigurationen, die zu Sicherheitsvorfällen führen.

Supplicant

Die Software auf einem Client-Gerät (wie einem Laptop oder Smartphone), die dem Netzwerk-Authenticator im Rahmen des 802.1X-Authentifizierungsprozesses Anmeldedaten bereitstellt.

Moderne Betriebssysteme (Windows, macOS, iOS, Android) verfügen über einen integrierten 802.1X-Supplicant, sodass Endbenutzer keine spezielle Software installieren müssen, um eine Verbindung zu einem durch IBN gesicherten Netzwerk herzustellen.

EAP (Extensible Authentication Protocol)

Ein Authentifizierungs-Framework, das eine gemeinsame Methode für Supplicants und Authentifizierungsserver bietet, um eine Authentifizierungsmethode auszuhandeln. Gängige EAP-Typen sind EAP-TLS (zertifikatsbasiert) und EAP-PEAP (passwortbasiert).

IT-Teams wählen einen EAP-Typ basierend auf dem gewünschten Verhältnis zwischen Sicherheit und Benutzerfreundlichkeit. EAP-TLS ist die sicherste Option und wird für Unternehmensgeräte empfohlen; EAP-PEAP ist einfacher bereitzustellen, verlässt sich jedoch auf Passwortsicherheit.

MAC Authentication Bypass (MAB)

Eine Technik, die es Geräten ohne 802.1X-Supplicant-Unterstützung ermöglicht, in einem IBN-Netzwerk authentifiziert zu werden, indem ihre Hardware-MAC-Adresse vorab beim Authentifizierungsserver registriert wird.

MAB ist eine pragmatische Lösung für IoT-Geräte, Drucker und ältere Hardware, die nicht an 802.1X teilnehmen können. Es ist weniger sicher als eine vollständige 802.1X-Authentifizierung und sollte mit strenger VLAN-Isolierung und Firewall-Regeln kombiniert werden.

Zero Trust

Ein Sicherheitsmodell, das auf dem Prinzip 'Niemals vertrauen, immer überprüfen' basiert. Es erfordert, dass alle Benutzer, ob innerhalb oder außerhalb des Netzwerks des Unternehmens, authentifiziert, autorisiert und kontinuierlich validiert werden, bevor ihnen Zugriff auf Anwendungen und Daten gewährt wird.

IBN ist eine grundlegende Technologie zur Implementierung einer Zero-Trust-Architektur. Sie stellt sicher, dass das Prinzip 'Immer überprüfen' direkt am Netzwerkrand angewendet wird, bevor jeglicher Datenverkehr zugelassen wird.

WPA3-Enterprise

Die neueste Generation des Wi-Fi Protected Access-Sicherheitsprotokolls für Unternehmensnetzwerke. Es schreibt die Verwendung der 802.1X-Authentifizierung vor und bietet eine stärkere Verschlüsselung (192-Bit-Sicherheitsmodus) sowie Schutz für Management-Frames.

IT-Teams sollten WPA3-Enterprise für alle neuen Bereitstellungen und Hardware-Aktualisierungen anstreben. Es bietet eine erhebliche Sicherheitsverbesserung gegenüber WPA2-Enterprise, insbesondere in stark frequentierten öffentlichen Umgebungen.

Ausgearbeitete Beispiele

Ein Luxushotel mit 500 Zimmern muss Gästen, Konferenzteilnehmern, Mitarbeitern und IoT-Geräten im Back-of-House-Bereich (Minibars, intelligente Schlösser) einen sicheren, differenzierten Wi-Fi-Zugang bieten. Derzeit wird ein einziges, gemeinsam genutztes WPA2-Personal-Passwort für alle verwendet, was ein erhebliches Sicherheits- und Compliance-Risiko darstellt.

Rollendefinition: Definieren Sie vier verschiedene Rollen: Guest, Conference, Staff und IoT.
Richtlinienerstellung in Purple:
- Guest: Authentifizierung über Captive Portal mit Zimmernummer und Nachname. Zuweisung zum Guest_VLAN mit einer Bandbreitenbegrenzung von 20 Mbit/s und aktivierter Client-Isolierung zur Vermeidung von Peer-to-Peer-Angriffen.
- Conference: Authentifizierung über ein gemeinsam genutztes, zeitlich begrenztes Anmeldedaten-Set, das vom Veranstalter bereitgestellt wird. Zuweisung zum Conference_VLAN mit einer Begrenzung von 50 Mbit/s, was die Kommunikation zwischen Geräten innerhalb derselben Konferenzgruppe ermöglicht.
- Staff: Authentifizierung über Azure AD-Anmeldedaten. Zuweisung zum Staff_VLAN mit Zugriff nur auf das Property Management System (PMS) und interne Server.
- IoT: Authentifizierung mittels MAC Authentication Bypass (MAB) mit einer vorregistrierten Liste von Geräte-MAC-Adressen. Zuweisung zum IoT_VLAN, das keinen Internetzugang hat und nur mit der IoT-Managementplattform kommunizieren kann.
Netzwerkkonfiguration: Konfigurieren Sie die Hotel-APs für die Nutzung des Cloud-RADIUS von Purple. Erstellen Sie eine einzige SSID, Hotel_WiFi, unter Verwendung von WPA2/WPA3-Enterprise.
Rollout: Führen Sie ein Pilotprojekt für die neue SSID in einem einzelnen Flügel des Hotels vor der vollständigen Bereitstellung durch. Validieren Sie jede Rolle vor der Erweiterung.

Kommentar des Prüfers: Diese Lösung nutzt effektiv eine einzige SSID, um mehrere Benutzergruppen zu bedienen, was eine Best Practice für die HF-Effizienz darstellt und das Gästeerlebnis vereinfacht. Die Verwendung von MAB für IoT-Geräte ist ein praktisches Zugeständnis für Hardware, die 802.1X nicht unterstützt – eine häufige Einschränkung in der Praxis. Der entscheidende Erfolgsfaktor ist die granulare Richtliniendurchsetzung in der Purple-Cloud, die komplexe Hardwarekonfigurationen vor Ort überflüssig macht und eine zentrale Benutzeroberfläche (Single Pane of Glass) zur Verwaltung aller Zugriffsrichtlinien im gesamten Objekt bietet.

Eine Einzelhandelskette mit 150 Filialen möchte ihr veraltetes Gäste-Wi-Fi ersetzen und sicheren Netzwerkzugriff für Unternehmensmitarbeiter, Filialmitarbeiter mit Handscannern und Drittanbieter (Merchandiser) bereitstellen. Sie müssen die PCI-DSS-Compliance erreichen und aufrechterhalten.

Rollendefinition: Definieren Sie vier Rollen: Corporate, Store_Associate, Vendor und Guest.
Richtlinienerstellung in Purple:
- Corporate: Authentifizierung über Okta-Anmeldedaten. Zuweisung zum CORP_VLAN mit vollem Netzwerkzugriff.
- Store_Associate: Authentifizierung von Handscannern über EAP-TLS (vom Unternehmens-CA ausgestellte Gerätezertifikate). Zuweisung zum POS_VLAN, das vollständig von jedem anderen Netzwerkverkehr segmentiert ist und nur Zugriff auf das Zahlungsabwicklungs-Gateway und den Inventarserver hat. Dies ist die entscheidende Kontrollmaßnahme für die PCI-DSS-Compliance.
- Vendor: Authentifizierung über ein Self-Service-Portal, auf dem sie sich für einen zeitlich begrenzten Zugriff (z. B. 8 Stunden) registrieren. Zuweisung zum Vendor_VLAN mit reinem Internetzugang.
- Guest: Authentifizierung über Social Login (Facebook, Google) oder E-Mail auf einem gebrandeten Captive Portal. Zuweisung zum Guest_VLAN mit Client-Isolierung.
Netzwerkkonfiguration: Stellen Sie Meraki-APs in allen Filialen bereit, die zentral über das Meraki-Dashboard verwaltet werden. Konfigurieren Sie die SSID Retail_Secure so, dass sie zur Authentifizierung auf Purple verweist. Zentralisieren Sie das gesamte Richtlinienmanagement in Purple.
Messung: Nutzen Sie die Analysen von Purple, um das Engagement der Gäste, die Verweildauer und wiederholte Besuche zu verfolgen. Dies liefert dem Marketingteam wertvolle Daten und belegt den kommerziellen Wert der Wi-Fi-Investition.

Kommentar des Prüfers: Die Segmentierung des POS_VLAN ist das kritischste Element zur Erreichung der PCI-DSS-Compliance. Durch den Einsatz zertifikatsbasierter Authentifizierung für die Scanner eliminiert die Kette passwortbezogene Risiken und stellt sicher, dass nur autorisierte, verwaltete Geräte auf Zahlungssysteme zugreifen können. Die Lösung erhöht nicht nur die Sicherheit, sondern verwandelt das Gäste-Wi-Fi auch von einer Kostenstelle in eine Quelle für Marketing-Intelligence, was das ROI-Szenario für die gesamte Bereitstellung stärkt.

Übungsfragen

Q1. Ein großes Konferenzzentrum veranstaltet ein hochkarätiges Tech-Event mit 5.000 Teilnehmern, 200 Event-Mitarbeitern und einem dedizierten Live-Streaming-Produktionsteam, das eine garantierte Bandbreite benötigt. Wie würden Sie die IBN-Richtlinie gestalten, um alle drei Gruppen über eine einzige Netzwerkinfrastruktur zu bedienen?

Hinweis: Berücksichtigen Sie die unterschiedlichen Anforderungen der einzelnen Gruppen: Teilnehmer benötigen einen einfachen Internetzugang, Mitarbeiter benötigen Zugriff auf Event-Management-Systeme und das Produktionsteam benötigt eine garantierte Bandbreite mit hoher Priorität ohne Engpässe.

Musterlösung anzeigen

Definieren Sie drei verschiedene Rollen. Teilnehmer authentifizieren sich über ein einfaches Captive Portal (E-Mail-Adresse oder Event-Registrierungscode). Platzieren Sie sie in einem Public_VLAN mit einer strengen Bandbreitenbegrenzung pro Client (z. B. 5 Mbit/s) und aktivierter Client-Isolierung, um Peer-to-Peer-Angriffe zu verhindern und eine faire Bandbreitenverteilung zu gewährleisten. Event-Mitarbeiter authentifizieren sich mit vom Veranstalter verwalteten, vorab freigegebenen Anmeldedaten. Platzieren Sie sie in einem Staff_VLAN mit einer höheren Bandbreitenbegrenzung (z. B. 25 Mbit/s) und Zugriff auf Event-Management-Systeme. Das Produktionsteam ist die kritischste Gruppe. Authentifizieren Sie deren Geräte mithilfe von EAP-TLS-Zertifikaten für maximale Sicherheit. Platzieren Sie sie in einem dedizierten Production_VLAN mit der höchsten QoS-Priorität (DSCP-EF-Markierung) und ohne Bandbreitenbeschränkungen. Dieses VLAN muss vollständig von jedem anderen Datenverkehr isoliert sein, um die Leistung für den Live-Stream zu garantieren. Nutzen Sie die Richtlinien-Engine von Purple, um Sitzungs-Timeouts für die Anmeldedaten der Teilnehmer festzulegen, die auf den Zeitplan der Veranstaltung abgestimmt sind.

Q2. Ihr CFO stellt die Investition in eine IBN-Lösung infrage und argumentiert, dass die vorhandenen WPA2-Personal-Passwörter 'gut funktionieren'. Wie bauen Sie einen überzeugenden Business Case auf, der sich auf den ROI konzentriert?

Hinweis: Übersetzen Sie die technischen Vorteile – Sicherheit, Automatisierung, Compliance – in finanzielle Begriffe: Kostenersparnis, Risikominderung und Umsatzförderung.

Musterlösung anzeigen

Der Business Case besteht aus drei Teilen. Erstens: Betriebliche Einsparungen. Berechnen Sie die wöchentlichen Stunden, die Ihr IT-Team für manuelle Netzwerkänderungen aufwendet (MAC-Whitelisting, VLAN-Updates, ACL-Änderungen, Passwort-Resets). Zeigen Sie, wie die Automatisierung mit IBN diese Zeit für strategische Projekte freisetzt. Selbst die Rückgewinnung von fünf Stunden pro Woche bei Vollkosten von 50 £/Stunde entspricht einer wiedergewonnenen Produktivität von 13.000 £ pro Jahr. Zweitens: Risikominderung. Verweisen Sie auf Branchendaten zu den durchschnittlichen Kosten einer Datenpanne. Stellen Sie IBN als eine Art Versicherungspolice dar, die die Wahrscheinlichkeit eines solchen Ereignisses durch die Implementierung von Mikrosegmentierung und Zero-Trust-Prinzipien erheblich senkt. Drittens: Compliance-Kosten. Wenn Sie PCI DSS oder der GDPR unterliegen, heben Sie die Kosten eines nicht bestandenen Audits oder die Höhe potenzieller behördlicher Bußgelder hervor (bis zu 4 % des weltweiten Jahresumsatzes unter der GDPR). Positionieren Sie IBN als einen wichtigen Wegbereiter für Compliance, der dieses finanzielle Risiko direkt reduziert.

Q3. Sie stellen IBN in einem Krankenhaus bereit. Ein kritisches medizinisches Gerät – ein MRT-Scanner – unterstützt kein 802.1X. Wie verbinden Sie es sicher mit dem Netzwerk und behalten gleichzeitig Ihren Zero-Trust-Ansatz bei?

Hinweis: Das Gerät kann sich nicht über Standard-802.1X authentifizieren. Wie kann das Netzwerk die Authentifizierung in seinem Namen übernehmen und welche kompensierenden Kontrollen sind erforderlich?

Musterlösung anzeigen

Dies ist ein klassischer Anwendungsfall für MAC Authentication Bypass (MAB). Registrieren Sie die MAC-Adresse des MRT-Scanners in der Purple-Plattform und verknüpfen Sie sie mit einem Medical_Device-Zugriffsprofil. Wenn der Switch diese MAC-Adresse erkennt, fragt er bei Purple an, woraufhin Purple den Switch anweist, das Gerät in ein stark eingeschränktes Medical_VLAN zu verschieben. Dieses VLAN muss eine strenge Firewall-Richtlinie (auf Netzwerkebene implementiert) aufweisen, die es dem MRT-Gerät nur erlaubt, über bestimmte Ports mit seinem dedizierten Bildgebungsserver zu kommunizieren, und allen anderen Datenverkehr blockiert. Dies bietet eine sichere, wenn auch weniger ideale Alternative zu 802.1X für ältere Geräte oder Geräte ohne Supplicant. Dokumentieren Sie dies als bekannte Ausnahme in Ihrem Sicherheitsrisikoregister und planen Sie bei der nächsten Gelegenheit eine Hardware-Aktualisierung auf ein 802.1X-fähiges Modell. Die kompensierende Kontrolle durch strenge VLAN-Isolierung und Firewall-Regeln ist der Schlüssel zur Aufrechterhaltung Ihres Zero-Trust-Ansatzes.

Weiterlesen in dieser Reihe

Managing Bandwidth for Staff WiFi: Shaping, QoS and Reducing Traffic

Dieser Leitfaden beschreibt praxisnahe Methoden zur Bandbreitenverwaltung für Staff WiFi in Enterprise-Standorten. Er behandelt Traffic Shaping, die Implementierung von QoS und wie der Einsatz von Purple Shield die Netzwerklast reduziert, ohne dass Infrastruktur-Upgrades erforderlich sind.

How to Reduce the Number of WiFi SSIDs Using Per-Device PSK (iPSK, DPSK, MPSK)

Dieser maßgebliche technische Leitfaden erklärt, wie IT-Teams die durch SSID-Beacon-Overhead verursachte WiFi-Leistungsminderung eliminieren können, indem sie mehrere zweckgebundene Netzwerke mithilfe von Per-Device PSK (xPSK) in einer einzigen SSID zusammenfassen. Er deckt die Anbieterlandschaft von Cisco iPSK, HPE Aruba MPSK, Ruckus DPSK, Juniper Mist PPSK und Ubiquiti UniFi PPSK ab und bietet praktische Implementierungsanleitungen für dynamische VLAN-Zuweisung, IoT-Onboarding und PCI-DSS-Compliance. Betreiber von Veranstaltungsorten in den Bereichen Hotellerie, Einzelhandel, Stadien und Organisationen des öffentlichen Sektors finden hier praxisnahe Architekturrichtlinien und konkrete Praxisbeispiele.

What is a Probe Request? Understanding How Devices Discover Networks

Dieser technische Leitfaden bietet einen tiefen Einblick in IEEE 802.11 Probe Requests, aktives versus passives Scannen und die Auswirkungen der MAC randomisation auf Standortanalysen. Er liefert umsetzbare Implementierungsstrategien für Netzwerkarchitekten zur Optimierung von High-Density-Bereitstellungen, zur Minderung von Probe Storms und zur Sicherstellung einer genauen, GDPR-konformen Datenerfassung mithilfe authentifizierter Identitätsschichten.