Zum Hauptinhalt springen

Die Rolle von SCEP und NAC in der modernen MDM-Infrastruktur

Dieser Leitfaden bietet eine umfassende technische Aufschlüsselung der Integration von SCEP und NAC in MDM-Plattformen, um einen sicheren, berührungslosen Netzwerkzugriff auf Unternehmensebene zu ermöglichen. Er deckt die gesamte Architektur von der Zertifikatsausstellung bis zur 802.1X-Durchsetzung ab, mit realen Implementierungsszenarien aus der Hotellerie und dem Einzelhandel. Entwickelt für IT-Verantwortliche an großen Standorten, die Kennwort-Sicherheitslücken schließen, die Gerätebereitstellung automatisieren und Compliance-Anforderungen in diesem Quartal erfüllen müssen.

📖 7 Min. Lesezeit📝 1,710 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 9 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Willkommen beim Purple Technical Briefing. Ich bin Ihr Moderator, und heute befassen wir uns mit einem entscheidenden Architekturthema für Unternehmensnetzwerke: Die Rolle von SCEP und NAC in einer modernen MDM-Infrastruktur. Wenn Sie IT-Leiter, Netzwerkarchitekt oder Betriebsleiter an einem großen Standort sind - sei es ein Stadion, ein Krankenhaus oder eine Einzelhandelskette -, dann kennen Sie das Problem, Geräte sicher einzubinden. Die Zeiten der Pre-Shared Keys sind vorbei. Heute sprechen wir über zertifikatsbasierte Authentifizierung. Wir untersuchen, wie das Simple Certificate Enrolment Protocol (SCEP) mit Network Access Control (NAC) zusammenarbeitet, um die Gerätebereitstellung zu automatisieren und Zero-Trust-Zugriff durchzusetzen. Lassen Sie uns direkt einsteigen. Lassen Sie uns die Architektur aufschlüsseln. Im Kern haben wir drei Schichten: die Geräteschicht, die Policy Engine und die Netzwerkzugriffsschicht. Wenn ein neues Unternehmensgerät oder ein BYOD-Endpunkt Zugriff benötigt, registriert es sich zuerst bei Ihrer Mobile Device Management-Plattform. MDM allein gewährt jedoch noch keinen Netzwerkzugriff. Hier kommt SCEP ins Spiel. SCEP fungiert als automatisierter Kurier zwischen Ihrem MDM und Ihrer Zertifizierungsstelle (CA). Anstatt dass ein IT-Administrator manuell ein X.509-Zertifikat auf jedem Gerät generiert und installiert, sendet das MDM eine Payload an das Gerät. Das Gerät generiert einen Certificate Signing Request (CSR) und sendet ihn an den SCEP-Server. Die CA stellt das Zertifikat aus, und das Gerät verfügt nun über eine kryptografisch sichere Identität. Keine Passwörter, die durch Phishing gestohlen werden können, keine gemeinsam genutzten Schlüssel, die durchsickern können. Aber ein Zertifikat ist nur ein Ausweis. Sie brauchen immer noch einen Türsteher an der Tür. Das ist Ihr NAC. Wenn das Gerät versucht, eine Verbindung zum WiFi herzustellen - in der Regel über 802.1X EAP-TLS -, leitet der Wireless Access Point die Anfrage an den RADIUS-Server weiter, der von der NAC Policy Engine gesteuert wird. Das NAC prüft das Zertifikat: Ist es gültig? Wurde es widerrufen? Modernes NAC geht jedoch noch weiter. Es prüft das MDM auf den Sicherheitszustand: Ist das Betriebssystem aktualisiert? Ist die Firewall aktiviert? Wenn ja, weist das NAC den Switch oder Access Point an, das Gerät in das richtige VLAN zu verschieben. Wenn nein, verschiebt es sie in ein Quarantänenetzwerk. Diese Integration ist von entscheidender Bedeutung für Umgebungen wie große Einzelhandelsketten oder Gesundheitseinrichtungen, in denen Sie eine Mischung aus Unternehmens-Laptops, IoT-Geräten und Gastnetzwerken haben. Apropos Gastnetzwerke: Hier lassen sich Plattformen wie das Guest WiFi und die WiFi Analytics von Purple nahtlos neben Ihren sicheren Unternehmens-SSIDs integrieren, um sicherzustellen, dass der öffentliche Zugang von Ihrer sicheren, zertifikatsbasierten Infrastruktur isoliert ist. Wie stellen Sie dies also bereit, ohne Ihr Netzwerk zu beeinträchtigen? Erste Empfehlung: Verwenden Sie immer EAP-TLS. Es erfordert Zertifikate sowohl auf dem Server als auch auf dem Client und bietet eine gegenseitige Authentifizierung. Zweitens: Achten Sie auf Ihre Certificate Revocation Lists (CRLs) und OCSP. Wenn ein Gerät kompromittiert wird oder ein Mitarbeiter das Unternehmen verlässt, ist der Widerruf des Zertifikats in der CA nutzlos, wenn das NAC den Widerrufsstatus nicht in Echtzeit überprüft. Ein häufiger Fehler, den wir im Gastgewerbe und bei großen Veranstaltungsorten sehen, ist die Vernachlässigung von IoT-Geräten. Nicht alle IoT-Sensoren oder Smart-TVs unterstützen 802.1X oder SCEP. Für diese benötigen Sie eine Fallback-Strategie wie MAC Authentication Bypass, oder MAB, die von Ihrer NAC streng auf bestimmte Switch-Ports oder isolierte VLANs beschränkt wird. Ein weiterer Fehler sind die Gültigkeitsdauer von Zertifikaten. Stellen Sie diese nicht auf 10 Jahre ein, aber auch nicht auf 30 Tage, es sei denn, Ihre automatische Verlängerung über SCEP ist absolut fehlerfrei. Eine einjährige Gültigkeit mit automatischer Verlängerung nach 30 Tagen ist ein solider Branchenstandard. Lassen Sie uns ein paar schnelle Fragen beantworten, die wir häufig von CTOs erhalten. Frage eins: Können wir unsere bestehenden Active Directory Certificate Services für SCEP nutzen? Ja, Microsoft AD CS umfasst eine Network Device Enrollment Service - oder NDES - Rolle, die als SCEP-Server fungiert. Stellen Sie einfach sicher, dass sie ordnungsgemäß gesichert und für Ihr MDM freigegeben ist. Frage zweite: Ersetzt dies unsere Firewall? Absolut nicht. SCEP und NAC übernehmen die Authentifizierung und Zugriffskontrolle am Edge - Layer 2. Ihre Firewall übernimmt die Paketprüfung und Bedrohungsprävention auf den Layern 3 bis 7. Sie arbeiten zusammen. Zusammenfassend lässt sich sagen, dass die Kombination von SCEP, NAC und MDM Ihnen einen berührungslosen, hochsicheren Netzwerk-Edge bietet. Sie eliminiert passwortbezogene Helpdesk-Tickets und stellt sicher, dass nur konforme Geräte auf Ihre kritische Infrastruktur zugreifen. Für Betreiber von Veranstaltungsorten bedeutet dies, dass Ihre Back-of-House-Aktivitäten sicher ablaufen, sodass Sie sich auf das Front-of-House-Erlebnis konzentrieren können - das Sie mit den Analyse- und Engagement-Tools von Purple optimieren können. Beginnen Sie mit einer Überprüfung Ihrer aktuellen MDM-Funktionen und stellen Sie sicher, dass Ihre RADIUS-Infrastruktur EAP-TLS unterstützt. Erfassen Sie Ihre Gerätetypen und führen Sie zunächst ein Pilotprojekt mit den Geräten Ihres IT-Teams durch. Vielen Dank, dass Sie sich dieses technische Briefing angehört haben. Bleiben Sie sicher und wir sehen uns beim nächsten Mal.

header_image.png

Executive Summary

Für Unternehmensstandorte - von Stadien mit 80.000 Sitzplätzen bis hin zu Einzelhandelsketten mit mehreren Standorten - hat sich die Sicherung des Netzwerkrandes entscheidend über Pre-Shared Keys und manuelle Anmeldedatenverwaltung hinaus entwickelt. Die Zunahme von Unternehmens-Endgeräten, BYOD-Geräten und IoT-Infrastrukturen erfordert eine Zero-Trust-Architektur, die skaliert werden kann, ohne den IT-Service-Desk zu belasten.

Dieser Leitfaden beschreibt die technische Architektur für die Integration des Simple Certificate Enrolment Protocol (SCEP) und der Network Access Control (NAC) in die MDM-Infrastruktur. Durch die Nutzung von SCEP zur Automatisierung der Verteilung von X.509-Zertifikaten und NAC zur Durchsetzung der IEEE 802.1X EAP-TLS-Authentifizierung können Unternehmen ein Zero-Touch-Provisioning erreichen, Wege zum Diebstahl von Anmeldedaten eliminieren und einen dynamischen, auf dem Sicherheitsstatus basierenden Netzwerkzugriff durchsetzen. Während der öffentlich zugängliche Zugriff über eine dedizierte Guest WiFi -Lösung verwaltet wird, sichert diese Architektur die kritischen Back-of-House-Abläufe, die den Betrieb des Standorts aufrechterhalten. Das Ergebnis sind drastisch geringere IT-Gemeinkosten, eine stärkere Compliance unter PCI-DSS und GDPR sowie proaktiv am Netzwerkrand durchgesetzte Zero-Trust-Prinzipien.


Technische Vertiefung

Die Drei-Schichten-Architektur

Moderne Netzwerksicherheit basiert auf kryptografischer Identität und nicht auf Benutzerwissen. Der SCEP-NAC-MDM-Stack arbeitet auf drei Hauptebenen:

Ebene Komponenten Funktion
Geräteverwaltung MDM / UEM Zentrale Instanz für Gerätekonfiguration, Compliance und Lebenszyklus
Identität und Ausstellung PKI / SCEP / CA Generiert, stellt aus und verwaltet digitale Zertifikate
Zugriffsdurchsetzung NAC / RADIUS Bewertet Zertifikate und Gerätestatus vor der Gewährung des Netzwerkzugriffs

Diese Ebenen sind nicht sequentiell - sie arbeiten in einer kontinuierlichen Feedbackschleife. Das MDM informiert die NAC in Echtzeit über den Compliance-Status, während die NAC MDM-Fehlerbehebungsworkflows auslösen kann, wenn ein Gerät eine Statusprüfung nicht besteht.

architecture_overview.png

Wie SCEP die PKI im großen Stil automatisiert

Die manuelle Bereitstellung von Zertifikaten ist im großen Stil operativ unmöglich. Ein Bestand von 500 Geräten würde erfordern, dass ein IT-Administrator auf jedem einzelnen Gerät ein individuelles X.509-Zertifikat generiert, signiert und installiert - ein Prozess, der mehrere Minuten pro Gerät in Anspruch nimmt und ein erhebliches Risiko für menschliche Fehler birgt. SCEP eliminiert dies vollständig.

Wenn sich ein Gerät im MDM registriert, überträgt das MDM ein Konfigurationsprofil, das eine SCEP-Payload enthält. Die Payload weist das Gerät an, lokal ein Schlüsselpaar zu generieren - entscheidend ist, dass der private Schlüssel das Gerät niemals verlässt - und eine Zertifikatsignierungsanforderung (CSR) an den SCEP-Server zu senden. Der SCEP-Server (normalerweise der Network Device Enrolment Service (NDES) von Microsoft oder ein cloudbasiertes Äquivalent) validiert die Anforderung mit dem MDM, um zu bestätigen, dass das Gerät autorisiert ist. Anschließend leitet er die CSR an die Certificate Authority (CA) weiter, die das signierte X.509-Zertifikat ausstellt. Das Zertifikat wird an das Gerät zurückgegeben und in dessen Secure Enclave oder Systemspeicherschutz installiert.

Der gesamte Prozess läuft lautlos und over-the-air ohne Benutzerinteraktion ab. Bei einer Bereitstellung von 1.000 Geräten kann der gesamte Zertifikatsbestand innerhalb weniger Stunden nach Abschluss der MDM-Registrierung bereitgestellt werden.

NAC und 802.1X EAP-TLS: Die Enforcement-Ebene

Sobald ein Gerät über ein gültiges Zertifikat verfügt, versucht es, sich über IEEE 802.1X mit der Unternehmens-SSID oder dem kabelgebundenen Port zu verbinden. Der Access Point oder Switch fungiert als Authentifikator und leitet die Anfrage an einen RADIUS-Server weiter, der von der NAC-Richtlinien-Engine gesteuert wird. Die sicherste EAP-Methode ist EAP-TLS, die eine gegenseitige Authentifizierung erfordert - sowohl der Client als auch der RADIUS-Server müssen gültige Zertifikate vorlegen, was Man-in-the-Middle-Angriffe über betrügerische Access Points verhindert. Die NAC führt nacheinander mehrere kritische Prüfungen durch:

  1. Kryptografische Validierung: Ist das Zertifikat mathematisch gültig und von einer vertrauenswürdigen Root-CA signiert?
  2. Sperrprüfung: Ist das Zertifikat in einer Zertifikatssperrliste (CRL) aufgeführt oder über das Online Certificate Status Protocol (OCSP) gekennzeichnet?
  3. Posture Assessment (Statusbewertung): Über eine API-Abfrage an das MDM fragt die NAC: Ist das Gerät konform? Befindet sich das Betriebssystem auf dem erforderlichen Patch-Level? Ist die Festplattenverschlüsselung aktiviert?

Wenn alle Prüfungen erfolgreich sind, sendet die NAC eine RADIUS Access-Accept-Nachricht, die in der Regel herstellerspezifische Attribute (VSAs) enthält, die das Gerät dynamisch einem bestimmten VLAN zuweisen oder Zugriffskontrolllisten (ACLs) anwenden. Nicht konforme Geräte werden in ein Remediation-VLAN mit eingeschränkten Berechtigungen verschoben - in der Regel gerade so viel, dass MDM-gesteuerte Behebungsworkflows ausgelöst werden können.

scep_nac_workflow.png

Gastnetzwerk-Segmentierung

In jeder Veranstaltungsort-Umgebung muss die Unternehmens-Infrastruktur streng von öffentlich zugänglichen Netzwerken getrennt sein. Die Guest WiFi -Plattform läuft vollständig auf separaten SSIDs und VLANs, ohne gerouteten Pfad zu Unternehmensressourcen. Die SCEP-NAC-Architektur regelt die Unternehmensebene; die Gästeebene wird durch Captive Portal-Authentifizierung und Datenerfassungs-Workflows gesteuert. Für Veranstaltungsorte, die WiFi Analytics einsetzen, ist diese Trennung eine Grundvoraussetzung - Analytics-Daten fließen über das Gästenetzwerk, während Betriebsdaten über das zertifikatsauthentifizierte Unternehmensnetzwerk fließen. Weitere Hintergrundinformationen zur zugrunde liegenden RF-Architektur, die beide Netzwerke unterstützt, finden Sie unter Wi-Fi Frequencies: A 2026 Guide to Wi-Fi Frequencies .


Implementierungshandbuch

Die Bereitstellung dieser Architektur erfordert eine sorgfältige Sequenzierung, um zu verhindern, dass legitime Benutzer während des Übergangs ausgesperrt werden.

Schritt 1: PKI- und SCEP-Vorbereitung

Richten Sie eine robuste interne PKI ein oder nutzen Sie einen cloudbasierten Managed-PKI-Dienst (mPKI). Stellen Sie den SCEP-Server bereit und härten Sie ihn - wenn Sie Microsoft NDES verwenden, stellen Sie sicher, dass dieser auf einem dedizierten Server läuft und nicht zusammen mit der CA betrieben wird. Konfigurieren Sie den SCEP-Server so, dass er dynamische Challenge-Passwörter verwendet, die pro Gerät vom MDM generiert werden, anstatt eines statischen Shared Secret. Dies verhindert unbefugte Zertifikatsanfragen, falls die SCEP-URL offengelegt wird.

Schritt 2: MDM-Konfiguration

Erstellen Sie die SCEP-Payload in Ihrer MDM-Plattform. Definieren Sie die Subject Alternative Name (SAN)-Felder sorgfältig - der SAN muss eindeutige Identifikatoren (wie die Geräteseriennummer oder den Benutzer-UPN) enthalten, die die NAC für Richtlinienentscheidungen verwendet. Verteilung Sie das Profil zunächst an eine Pilotgruppe von Geräten des IT-Teams und validieren Sie den gesamten Registrierungsfluss vor einer breiteren Einführung.

Schritt 3: NAC- und RADIUS-Einrichtung

Konfigurieren Sie Ihre NAC so, dass sie der Root-CA vertraut, die die Client-Zertifikate ausgestellt hat. Installieren Sie ein Serverzertifikat auf dem RADIUS-Server für die gegenseitige EAP-TLS-Authentifizierung. Definieren Sie Zugriffsrichtlinien basierend auf Zertifikatsattributen und dem MDM-Compliance-Status. Implementieren Sie dynamische VLAN-Zuweisungsregeln: konforme Unternehmensgeräte in das Unternehmens-VLAN, nicht konforme Geräte in das Remediation-VLAN und IoT-Geräte in ein dediziertes, internetbeschränktes VLAN.

Schritt 4: Integration der Netzwerkinfrastruktur

Konfigurieren Sie Switches und Wireless Access Points für 802.1X. Für Szenarien mit älterer Point-of-Sale-Hardware in retail -Umgebungen oder intelligenten Raumsteuerungen in hospitality -Veranstaltungsorten implementieren Sie MAC Authentication Bypass (MAB) als Fallback für Geräte, die nicht an EAP-TLS teilnehmen können. Beschränken Sie MAB auf bestimmte Switch-Ports und stellen Sie sicher, dass die MAC-Adressdatenbank streng kontrolliert wird. Konfigurieren Sie für Umgebungen im Bereich healthcare und transport Posture-Assessment-Regeln, um branchenspezifische Compliance-Anforderungen zu erfüllen.

Schritt 5: Parallele Einführung und Umstellung

Führen Sie niemals eine sofortige Migration durch. Senden Sie die neue 802.1X SSID parallel zum bestehenden Netzwerk aus. Verteilung des neuen WiFi-Profils über das MDM. Überwachen Sie die Akzeptanz und beheben Sie Registrierungsfehler. Sobald sich mehr als 95 % der Geräte erfolgreich an der neuen SSID authentifizieren, nehmen Sie das Altsystem außer Betrieb.


Best Practices

EAP-TLS vorschreiben. Akzeptieren Sie niemals EAP-PEAP oder EAP-TTLS als primäre Authentifizierungsmethode für Unternehmensgeräte. Diese Methoden basieren auf Benutzername/Passwort-Anmeldedaten innerhalb eines TLS-Tunnels und bleiben anfällig für den Diebstahl von Anmeldedaten. EAP-TLS eliminiert diese Angriffsfläche vollständig.

Echtzeit-Sperrung implementieren. Geplante CRL-Downloads führen zu Sicherheitslücken. Konfigurieren Sie die NAC so, dass OCSP-Prüfungen in Echtzeit durchgeführt werden. Wenn ein Gerät als verloren oder gestohlen gemeldet wird, sperren Sie das Zertifikat bei der CA, und das Gerät verliert bei seinem nächsten Authentifizierungsversuch den Netzwerkzugriff - oder sofort, wenn Change of Authorisation (CoA) implementiert ist.

Sinnvolle Gültigkeitsdauern für Zertifikate festlegen. Eine Gültigkeitsdauer von einem Jahr, bei der eine automatische SCEP-Verlängerung 30 Tage vor Ablauf ausgelöst wird, ist der Branchenstandard. Eine längere Gültigkeit vergrößert das Risiko bei einer Kompromittierung des Zertifikats; eine kürzere Gültigkeit erhöht das Risiko von Ausfällen durch fehlgeschlagene Verlängerungen.

IoT konsequent isolieren. IoT-Geräte sollten niemals ein VLAN mit Unternehmens-Endpoints teilen. Nutzen Sie die NAC, um strenge ACLs auf dem IoT-VLAN durchzusetzen, die nur die spezifischen Protokolle und Ziele zulassen, die die jeweilige Geräteklasse benötigt. Für Standorte, die Ortungsdienste nutzen, finden Sie unter Indoor WiFi Positioning Systems: How They Work and How to Deploy Them Informationen zur Integration der Ortungsinfrastruktur in die gesamte Netzwerkarchitektur.

Auf WPA3 ausrichten. Wenn die Hardware dies unterstützt, konfigurieren Sie Unternehmens-SSIDs für die Verwendung von WPA3-Enterprise, das Protected Management Frames (PMF) vorschreibt und einen stärkeren kryptografischen Schutz als WPA2 bietet. Weitere Einzelheiten dazu, wie sich dies in die breitere Konnektivitätslandschaft von Unternehmen einfügt, finden Sie unter SD-WAN vs MPLS: A 2026 Guide to Enterprise Networking .


Fehlerbehebung und Risikominderung

Fehlermodus Ursache Risikominderung
Geräte schlagen nach Zertifikatsverlängerung bei EAP-TLS fehl SCEP-Verlängerung schlägt unbemerkt fehl SCEP-Serverprotokolle überwachen; Alarme für fehlgeschlagene CSR-Übermittlungen einrichten
Zertifikatsvalidierung schlägt wegen Zeitabweichung fehl NTP-Fehlkonfiguration NTP-Synchronisierung auf allen Endpoints und der gesamten Infrastruktur erzwingen
IoT-Geräte können sich nicht authentifizieren Kein 802.1X-Supplicant MAB mit strenger MAC-Adresskontrolle und einem isolierten VLAN implementieren
Massenaussperrung von Geräten nach CA-Migration Alte Root-CA wird von NAC nicht als vertrauenswürdig eingestuft CA-Migrationen schrittweise durchführen; neue Root-CA vor dem Widerruf der alten im NAC-Trust-Store hinterlegen
Gesperrte Geräte behalten den Netzwerkzugriff Nur CRL-basierter Widerruf mit langen Download-Intervallen OCSP und CoA für Echtzeit-Sperrung implementieren
Für spezifische BLE-basierte IoT-Geräte unterscheidet sich die Authentifizierungsarchitektur von über WiFi verbundenen Endpunkten. Siehe BLE Low Energy für Unternehmen erklärt für die spezifischen Sicherheitsaspekte, die für die Bluetooth Low Energy-Infrastruktur gelten.

ROI und geschäftliche Auswirkungen

Der Business Case für die SCEP-NAC-MDM-Integration ist im Vergleich zu den Kosten der Alternativen offensichtlich.

Metrik Vor der Implementierung Nach der Implementierung
IT-Service-Desk-Tickets (Netzwerkzugriff) Hoch - Passwort-Resets, Schlüssel-Rotations Nahezu null - automatisierter Zertifikatslebenszyklus
Mittlere Zeit zur Sperrung eines kompromittierten Geräts Stunden (manueller Prozess) Sekunden (OCSP + CoA)
PCI-DSS-Zugriffskontroll-Compliance Manuell, audit-intensiv Automatisiert, kontinuierlich durchgesetzt
BYOD-Onboarding-Zeit 15 - 30 Minuten pro Gerät Unter 5 Minuten ohne IT-Beteiligung

Bei einem Bestand von 500 Geräten reduziert der Verzicht auf die manuelle Zertifikatsverwaltung und passwortbezogene Service-Desk-Tickets den netzwerkbezogenen IT-Support-Aufwand in der Regel um 25 - 35%. Der Wert der Risikominderung - die Vermeidung einer einzigen auf Anmeldedaten basierenden Sicherheitsverletzung - übersteigt routinemäßig die gesamten Implementierungskosten. Für Organisationen im öffentlichen Sektor und im Gesundheitswesen, die an die GDPR gebunden sind, ist die Fähigkeit, eine automatisierte, überprüfbare Zugriffskontrolle nachzuweisen, ein erheblicher Compliance-Vorteil.

Schlüsseldefinitionen

SCEP (Simple Certificate Enrollment Protocol)

Ein Protokoll, das die Ausstellung und den Widerruf digitaler Zertifikate auf Geräten ohne Benutzereingriff automatisiert und als Kommunikationsschicht zwischen der MDM-Plattform und der Zertifizierungsstelle fungiert.

Wird von MDM-Plattformen genutzt, um X.509-Zertifikate nahtlos auf Tausenden von Endgeräten in großem Umfang bereitzustellen. IT-Teams stoßen auf SCEP bei der Konfiguration von MDM-Profilen für die 802.1X WiFi-Authentifizierung.

NAC (Network Access Control)

Eine Sicherheitslösung, die Richtlinien auf Geräten durchsetzt, die auf die Netzwerkinfrastruktur zugreifen wollen. Sie bewertet Authentifizierungsdaten, Zertifikatsgültigkeit und den Compliance-Status des Geräts vor der Zugriffsgewährung.

Fungiert als Gatekeeper am Netzwerkrand. IT-Teams konfigurieren NAC-Richtlinien, um zu definieren, welche Geräte basierend auf ihren Zertifikatsattributen und dem MDM-Compliance-Status Zugriff auf welche VLANs erhalten.

MDM (Mobile Device Management)

Software, die von IT-Abteilungen verwendet wird, um die Endgeräte der Mitarbeiter über mehrere Betriebssysteme hinweg zu überwachen, zu verwalten und zu sichern, und die als zentrale Quelle für Geräteidentität und Compliance dient.

Der Initiator des SCEP-Registrierungsprozesses und die Quelle der vom NAC abgefragten Compliance-Daten. Ohne MDM-Integration kann das NAC keine statusbasierte Zugriffskontrolle durchführen.

IEEE 802.1X

Ein IEEE-Standard für portbasierte Netzwerk-Zugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten, und der eine erfolgreiche Authentifizierung erfordert, bevor der Port geöffnet wird.

Das zugrunde liegende Protokoll, das Geräte zur Authentifizierung zwingt, bevor der Switch oder Access Point Datenverkehr zulässt. Es wird sowohl auf der Netzwerkinfrastruktur als auch auf dem 802.1X-Supplicant des Geräts konfiguriert.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Der sicherste EAP-Standard, der eine gegenseitige Authentifizierung erfordert, bei der sowohl das Client-Gerät als auch der RADIUS-Server gültige digitale Zertifikate vorlegen müssen, wodurch passwortbasierte Angriffe auf Anmeldedaten ausgeschlossen werden.

Der Goldstandard für drahtlose Sicherheit im Unternehmen. IT-Architekten sollten EAP-TLS gegenüber PEAP oder TTLS vorschreiben, wann immer eine Gerätezertifikatsinfrastruktur vorhanden ist.

CSR (Certificate Signing Request)

Ein Block codierten Textes, der von einem Gerät generiert wird und dessen öffentlichen Schlüssel und Identitätsdaten enthält, die an die Zertifizierungsstelle übermittelt werden, um ein signiertes X.509-Zertifikat anzufordern.

Wird während des SCEP-Registrierungsprozesses automatisch vom Gerät generiert. Der dem CSR entsprechende private Schlüssel verlässt das Gerät nie, wodurch sichergestellt wird, dass das Zertifikat nicht dupliziert werden kann.

MAB (MAC Authentication Bypass)

Eine Fallback-Authentifizierungsmethode, bei der das Netzwerk die Hardware-MAC-Adresse des Geräts als Anmeldedaten verwendet. Sie wird für Geräte genutzt, die keine 802.1X-Supplicant-Funktionalität besitzen.

Wird für ältere IoT-Geräte wie Drucker, Sensoren und intelligente Raumsteuerungen verwendet, die nicht an EAP-TLS teilnehmen können. Sollte immer zur Zuweisung zu einem stark eingeschränkten VLAN führen.

OCSP (Online Certificate Status Protocol)

Ein Internetprotokoll zur Abfrage des Sperrstatus eines digitalen X.509-Zertifikats in Echtzeit, das eine Alternative zum Herunterladen und Analysieren von Zertifikatssperrlisten bietet.

Entscheidend für NAC-Systeme, die den Netzwerkzugriff sofort blockieren müssen, wenn ein Gerät kompromittiert oder als gestohlen gemeldet wird. OCSP bietet Echtzeit-Status; CRL-Downloads erzeugen ein Zeitfenster bis zum Widerruf.

CoA (Change of Authorization)

Eine RADIUS-Erweiterung (RFC 5176), die es dem NAC ermöglicht, eine aktive Netzwerksitzung dynamisch zu ändern oder zu beenden, ohne darauf zu warten, dass die Sitzung abläuft oder sich das Gerät erneut authentifiziert.

Wird verwendet, um ein Gerät sofort zu trennen, wenn sein Zertifikat widerrufen wird oder sich sein MDM-Compliance-Status ändert. Unverzichtbar für die Durchsetzung von Zero-Trust in Echtzeit.

Ausgearbeitete Beispiele

Ein Luxusresort mit 500 Zimmern muss sein operatives Back-of-House-Netzwerk sichern. Das Personal nutzt gemeinsam genutzte Tablets für das Housekeeping-Management, und das Management nutzt geschäftliche Laptops. Das aktuelle WPA2-PSK-Netzwerk war von mehrfachen Lecks des vorab freigegebenen Schlüssels betroffen, was im vergangenen Jahr zu zwei Sicherheitsvorfällen führte. Wie sollte das IT-Team auf eine zertifikatsbasierte Authentifizierung umstellen, ohne den Betrieb zu stören?

Phase 1 - Vorbereitung (Woche 1 - 2): Stellen Sie eine cloudbasierte RADIUS/NAC-Lösung bereit und integrieren Sie diese in das bestehende MDM. Konfigurieren Sie ein SCEP-Profil im MDM, um gerätebasierte Zertifikate an alle Tablets und Laptops zu verteilen. Verwenden Sie gerätebasierte Zertifikate (die an die Seriennummer des Geräts gebunden sind) anstelle von benutzerbasierten Zertifikaten, damit sich gemeinsam genutzte Tablets automatisch authentifizieren, unabhängig davon, welches Teammitglied sie gerade verwendet. Phase 2 - Parallele Bereitstellung (Woche 3 - 4): Strahlen Sie eine neue, verborgene SSID aus, die für 802.1X EAP-TLS konfiguriert ist. Verteilten Sie das neue WiFi-Profil über das MDM an alle registrierten Geräte. Überwachen Sie das NAC-Dashboard auf erfolgreiche Authentifizierungen. Phase 3 - Umstellung (Woche 5): Sobald mehr als 95 % der Geräte mit der neuen SSID verbunden sind, nehmen Sie das alte WPA2-PSK-Netzwerk außer Betrieb. Widerrufen Sie den alten PSK aus der gesamten Dokumentation und von allen Access Points.

Kommentar des Prüfers: Der gerätebasierte Zertifikatsansatz ist die richtige Wahl für Umgebungen mit gemeinsam genutzten Geräten. Benutzerbasierte Zertifikate würden erfordern, dass jedes Teammitglied ein eigenes Zertifikat besitzt, was einen Verwaltungsaufwand bedeuten würde, der den Automatisierungsvorteil zunichte macht. Die parallele Bereitstellungsstrategie ist von entscheidender Bedeutung - eine sofortige Umstellung würde jedes Gerät ausschließen, bei dem die SCEP-Registrierung fehlgeschlagen ist, was zu Betriebsunterbrechungen führen würde. Die verborgene SSID für das neue Netzwerk verhindert, dass Gäste während der Übergangszeit versuchen, sich mit dem Unternehmensnetzwerk zu verbinden.

Eine nationale Einzelhandelskette führt 3.000 neue Point-of-Sale-Terminals in 150 Filialen ein. Das Sicherheitsteam schreibt eine strikte PCI-DSS-Netzwerksegmentierung und Zero-Trust-Zugriff vor. Der Zeitrahmen für die Bereitstellung beträgt 8 Wochen. Wie erleichtern SCEP und NAC dies in großem Maßstab, ohne dass IT-Personal in jeder Filiale erforderlich ist?

Vor der Bereitstellung: Der POS-Anbieter registriert alle 3.000 Geräte vorab im MDM des Einzelhändlers, indem er das Zero-Touch-Registrierungsprogramm des Anbieters nutzt. Das MDM ist mit einem SCEP-Profil konfiguriert, das beim ersten Start automatisch ausgeführt wird. Bereitstellung: Wenn ein POS-Terminal in der Filiale eingeschaltet wird, verbindet es sich mit einer temporären Onboarding-SSID (nur Internet, kein Unternehmenszugriff). Das MDM-Profil wird übertragen, die SCEP-Nutzlast wird ausgeführt, und das Gerät fordert sein X.509-Zertifikat von der Zertifizierungsstelle an und erhält dieses. Das MDM überträgt anschließend das Unternehmens-WiFi-Profil. Netzwerkzugriff: Wenn sich der POS mit dem Switch-Port der Filiale verbindet, initiiert der Switch 802.1X. Das NAC validiert das Zertifikat, fragt das MDM ab, um zu bestätigen, dass der POS konform ist (Verschlüsselung aktiviert, MDM-Agent aktiv, kein Jailbreak erkannt), und weist den Switch-Port dynamisch dem PCI-DSS VLAN zu. Der POS ist nun betriebsbereit. In der Filiale war keinerlei IT-Personal erforderlich.

Kommentar des Prüfers: Dieses Szenario demonstriert die Vorteile einer Kombination aus Zero-Touch-MDM-Registrierung und SCEP-Automatisierung. Die temporäre Onboarding-SSID ist ein entscheidendes Designelement - sie bietet Internetzugang für den MDM-Registrierungsprozess, ohne das Unternehmensnetzwerk offenzulegen. Die dynamische VLAN-Zuweisung stellt sicher, dass selbst wenn ein unbefugtes Gerät irgendwie eine gültige MAC-Adresse erhielte, es dennoch die EAP-TLS-Zertifikatsprüfung nicht bestehen und der Zugriff auf das PCI-VLAN verweigert würde. Diese Architektur erfüllt gleichzeitig die PCI DSS-Anforderung 1 (Netzwerksegmentierung) und Anforderung 8 (eindeutige Geräteidentifikation).

Übungsfragen

Q1. Ihre Organisation migriert von WPA2-Enterprise mit PEAP-MSCHAPv2 zu EAP-TLS. Während der Pilotphase verbinden sich Windows-Laptops und iPhones erfolgreich, aber 200 Barcodescanner im Lager können sich nicht authentifizieren. Die Scanner unterstützen 802.1X, können aber die SCEP-Nutzlast vom MDM nicht verarbeiten - sie laufen mit einem proprietären eingebetteten Betriebssystem ohne MDM-Agenten-Support. Was ist die sicherste architektonische Lösung, die die Netzwerkersegmentierung beibehält, ohne dass die Scanner ausgetauscht werden müssen?

Hinweis: Berücksichtigen Sie alternative Mechanismen zur Zertifikatsbereitstellung, die keinen MDM-Agenten erfordern, sowie die Kontrollen zur Netzwerkersegmentierung, die für Geräte gelten sollten, die nicht an einer vollständigen Zustandsbewertung teilnehmen können.

Musterlösung anzeigen

Da die Scanner 802.1X unterstützen, aber keine SCEP- oder MDM-Registrierung, ist der sicherste Ansatz die manuelle Bereitstellung von Gerätezertifikaten mithilfe einer dedizierten Zertifikatsvorlage mit einem eingeschränkten Schlüsselverwendungsprofil. Die Zertifikate werden einmalig während eines Wartungsfensters installiert. Der NAC wird so konfiguriert, dass er diese Zertifikate akzeptiert, die Scanner jedoch einem dedizierten Lagerbetriebs-VLAN mit strengen ACLs zuweist - nicht dem vollständigen Unternehmens-VLAN -, da eine Zustandsbewertung nicht möglich ist. Wenn die manuelle Zertifikatsbereitstellung betrieblich nicht skalierbar ist, konfigurieren Sie alternativ MAB als Fallback speziell für die MAC-OUIs der Scanner-Hardware, wobei der NAC sie demselben eingeschränkten VLAN zuweist. Dokumentieren Sie dies als bekannte Ausnahme in Ihrem Risikoregister und planen Sie den Austausch der Scanner im nächsten Hardware-Aktualisierungszyklus ein.

Q2. Ein Netzwerksicherheitsmanager stellt fest, dass das MDM einen Remote-Wipe-Befehl sendet, wenn ein Mitarbeiter einen Laptop als gestohlen meldet, das Gerät jedoch noch bis zu 12 Stunden lang mit dem Unternehmens-WiFi verbunden bleibt - dem aktuellen RADIUS-Sitzungstimeout. Während dieses Zeitfensters könnte das Gerät zur Datenexfiltration verwendet werden. Wie sollte die Architektur geändert werden, um den Netzwerkzugriff sofort zu beenden, sobald ein Gerät als gestohlen gemeldet wird?

Hinweis: Der NAC muss sofort über die Statusänderung informiert werden, anstatt auf den nächsten Authentifizierungszyklus zu warten. Berücksichtigen Sie sowohl den Mechanismus zur Sitzungsbeendigung als auch den Mechanismus zur Verhinderung einer erneuten Authentifizierung.

Musterlösung anzeigen

Implementieren Sie zwei komplementäre Kontrollen. Konfigurieren Sie erstens das MDM so, dass es sofort eine Webhook-Benachrichtigung an den NAC sendet, wenn ein Gerät als verloren oder gestohlen markiert wird. Der NAC sendet dann eine RADIUS Change of Authorization (CoA) Disconnect-Request-Nachricht an den spezifischen Access Point oder Switch-Port, wodurch die aktive Sitzung sofort beendet wird. Zweitens widerrufen Sie das Zertifikat des Geräts in der CA und stellen Sie sicher, dass der NAC für die OCSP-Prüfung in Echtzeit anstelle des CRL-basierten Widerrufs konfiguriert ist. Dies bedeutet, dass selbst wenn sich das Gerät wieder verbindet, bevor der CoA verarbeitet wurde, die EAP-TLS-Authentifizierung bei der OCSP-Prüfung fehlschlägt. Beide Kontrollen zusammen verkürzen das Expositionsfenster von 12 Stunden auf unter 60 Sekunden.

Q3. Bei einer Sicherheitsüberprüfung des Netzwerks eines großen Konferenzzentrums wird festgestellt, dass der SCEP-Server über ein statisches Challenge-Passwort für das öffentliche Internet freigegeben ist, um die Remote-Registrierung von Geräten zu ermöglichen. Der Auditor stuft dies als kritische Schwachstelle ein. Wie sollte der SCEP-Registrierungsprozess neu gestaltet werden, um die Remote-Registrierungsfähigkeit aufrechtzuerhalten und gleichzeitig das Risiko statischer Passwörter zu eliminieren?

Hinweis: Der SCEP-Server benötigt eine Möglichkeit zu überprüfen, ob das Gerät, das ein Zertifikat anfordert, tatsächlich vom MDM autorisiert ist, ohne sich auf ein gemeinsam genutztes Geheimnis zu verlassen, das von einem Gerät extrahiert oder abgefangen werden könnte.

Musterlösung anzeigen

Ersetzen Sie das statische Challenge-Passwort durch dynamische, gerätespezifische Einmal-Challenge-Passwörter, die vom MDM generiert werden. Der Workflow gestaltet sich wie folgt: (1) Das MDM generiert während der Registrierung ein eindeutiges, zeitlich begrenztes Challenge-Passwort für jedes Gerät. (2) Das MDM integriert diese Challenge in die SCEP-Payload, die an das Gerät übertragen wird. (3) Das Gerät fügt die Challenge in seinen CSR ein. (4) Der SCEP-Server validiert die Challenge über eine API mit dem MDM, bevor er den CSR an die CA weiterleitet. (5) Die Challenge wird sofort nach der Verwendung ungültig gemacht. Dies stellt sicher, dass nur vom MDM verwaltete Geräte erfolgreich ein Zertifikat erhalten können und dass ein Angreifer selbst bei Erkennung der SCEP-URL ohne eine gültige Einmal-Challenge keine gültigen Zertifikate generieren kann. Beschränken Sie außerdem den SCEP-Server auf HTTPS und implementieren Sie nach Möglichkeit ein IP-Allowlisting für die Egress-IPs des MDM.

Weiterlesen in dieser Reihe

Mitarbeiter-WiFi vs. Gäste-WiFi: Best Practices für die Segmentierung von Unternehmensnetzwerken

Ein umfassender technischer Leitfaden für IT-Führungskräfte zur Segmentierung von Mitarbeiter- und Gäste-WiFi-Netzwerken. Er behandelt VLAN-Architektur, 802.1X-Authentifizierung, Firewall-Richtlinien und die geschäftlichen Auswirkungen eines sicheren Netzwerkdesigns.

Leitfaden lesen →

WiFi-Lösungen für Apartments: Ein umfassender Leitfaden für Unternehmen

Dieser Leitfaden behandelt die Architektur, die Bereitstellung und den Business Case für WiFi-Lösungen in Apartments in Build to Rent- und Multi-Dwelling Unit-Immobilien. Er erklärt, wie die iPSK-Technologie (Identity Pre-Shared Key) sichere, isolierte Netzwerkblasen für jeden Bewohner erstellt und gleichzeitig Smart-Geräte und IoT unterstützt. Immobilienentwickler, Vermieter und BTR-Betreiber finden hier praxisnahe Bereitstellungsanleitungen, ROI-Daten und ausgearbeitete Implementierungsszenarien.

Leitfaden lesen →

Cox Business Managed WiFi: Ein umfassender Leitfaden für Unternehmen

Dieser Leitfaden beschreibt detailliert, wie Immobilienentwickler und BTR-Betreiber skalierbare, sichere Netzwerke mit Cox Business Managed WiFi bereitstellen können. Er behandelt die Netzwerkarchitektur, die herstellerunabhängige Hardware-Bereitstellung und die geschäftlichen Auswirkungen des Übergangs von Konnektivität von einem betrieblichen Problem zu einer zuverlässigen Infrastruktur.

Leitfaden lesen →