Bereitstellung von SCEP für sichere BYOD- und WiFi-Authentifizierung an Hochschulen

Dieser technische Leitfaden bietet Netzwerkarchitekten und IT-Managern einen herstellerunabhängigen Entwurf für die Bereitstellung der SCEP-basierten Zertifikatsregistrierung zur Absicherung von Hochschul-WiFi. Er beschreibt den Übergang von der anfälligen passwortbasierten Authentifizierung zu EAP-TLS, mit Fokus auf skalierbares BYOD-Onboarding und MDM-Integration.

📖 5 Min. Lesezeit📝 1,242 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen zum Purple Technical Briefing. Ich bin Ihr Gastgeber, und heute befassen wir uns mit einem Thema, das in der IT von Hochschuleinrichtungen ständig aufkommt: der Bereitstellung von SCEP für eine sichere BYOD- und WiFi-Authentifizierung.

Wenn Sie PEAP-MSCHAPv2 in Ihrem Campus-Netzwerk einsetzen, ist dieses Briefing direkt für Sie relevant. Und wenn Sie bereits den Wechsel zu einer zertifikatsbasierten Authentifizierung planen, liefern wir Ihnen die Architektur, die Fallstricke und den Implementierungsablauf, um dieses Ziel zu erreichen.

Beginnen wir mit dem Problem. Universitäten sind von Natur aus offene Umgebungen. Studierende kommen im September mit zwei, drei, manchmal fünf persönlichen Geräten an. Sie erwarten, sich sofort, sicher und ohne den Helpdesk kontaktieren zu müssen, zu verbinden. Die Realität für die meisten Institutionen ist eine Helpdesk-Warteschlange, die innerhalb von achtundvierzig Stunden nach Semesterbeginn zweitausend Tickets erreicht. Das ist kein Personalproblem. Das ist ein Architekturproblem.

Die Ursache ist fast immer dieselbe: passwortbasierte WiFi-Authentifizierung. Wenn Sie WPA2-Enterprise mit PEAP und MSCHAPv2 betreiben, verlangen Sie von den Studierenden, die 802.1X-Einstellungen auf jedem Gerät manuell zu konfigurieren. Eine falsche Einstellung, und sie sind anfällig für einen Man-in-the-Middle-Angriff. Schlimmer noch: Wenn die Universität alle neunzig Tage eine Passwortänderung erzwingt, verliert jedes Gerät auf dem Campus gleichzeitig den WiFi-Zugang. Das ist eine vorhersehbare, vermeidbare Katastrophe.

Die Lösung ist die zertifikatsbasierte Authentifizierung mittels EAP-TLS, und der Mechanismus, der sie skalierbar macht, ist SCEP: das Simple Certificate Enrollment Protocol. SCEP wurde 2020 von der IETF in RFC 8894 formalisiert, obwohl es bereits seit Anfang der 2000er Jahre im Einsatz ist. Es automatisiert den Prozess der Anforderung und Installation digitalen X.509-Zertifikate auf Geräten, ohne dass ein manueller IT-Eingriff pro Gerät erforderlich ist.

Und so funktioniert es im Großen und Ganzen: Ihre MDM-Plattform, sei es Microsoft Intune oder Jamf, überträgt ein SCEP-Payload auf jedes registrierte Gerät. Dieses Payload enthält zwei Dinge: die SCEP-Gateway-URL und ein gemeinsames Challenge-Passwort. Das Gerät generiert eine Zertifikatssignierungsanforderung (Certificate Signing Request) und sendet sie an das SCEP-Gateway, welches das Challenge-Passwort validiert und die Anforderung an Ihre Zertifizierungsstelle (CA) weiterleitet. Die CA signiert das Zertifikat und sendet es an das Gerät zurück. Von diesem Zeitpunkt an authentifiziert sich das Gerät über EAP-TLS an Ihrem WiFi-Netzwerk: Das Zertifikat beweist dem RADIUS-Server die Identität des Geräts, und das Zertifikat des RADIUS-Servers beweist dem Gerät die Identität des Netzwerks. Gegenseitige Authentifizierung. Keine Passwörter, die über die Luft übertragen werden.

Diese gegenseitige Authentifizierung ist entscheidend. Bei PEAP übergibt ein Studierender, der sich mit einem betrügerischen Access Point verbindet, der Ihre SSID ausstrahlt, bereitwillig seine Anmeldedaten. Bei EAP-TLS prüft das Gerät das Zertifikat des RADIUS-Servers, bevor es fortfährt. Wenn es nicht mit der vertrauenswürdigen CA übereinstimmt, schlägt die Verbindung im Hintergrund fehl. Damit haben Sie die gesamte Klasse der Evil-Twin-Angriffe eliminiert.
Sprechen wir nun über die Architektur. Eine produktive SCEP-Bereitstellung für eine Universität besteht aus sechs Kernkomponenten. Erstens: Ihr Identitätsanbieter (Identity Provider): Microsoft Entra ID, Okta oder Google Workspace. Zweitens: Ihre MDM-Plattform: Intune für Windows und Android, Jamf für macOS und iOS. Drittens: Ihre Zertifizierungsstelle (Certificate Authority): entweder Microsoft Active Directory Certificate Services lokal (on-premises) oder eine Cloud-PKI. Viertens: Ihr SCEP-Gateway: der HTTP-Endpunkt, der Zertifikatsanfragen empfängt. Fünftens: Ihr RADIUS-Server für die Authentifizierung. Sechstens: Ihre Zugriffsebene (Access Layer): Cisco Meraki, HPE Aruba, Ruckus oder Juniper Mist Access Points, die für 802.1X konfiguriert sind.

Die Vertrauenskette (Trust Chain) funktioniert wie folgt: Die CA stellt ein Root-Zertifikat aus. Dieses Root-Zertifikat wird über das MDM an jedes Gerät verteilt, wodurch Vertrauen hergestellt wird. Die CA stellt dann über SCEP Client-Zertifikate für die Geräte aus. Wenn sich ein Gerät verbindet, legt es dem RADIUS-Server sein Client-Zertifikat vor, und der RADIUS-Server legt dem Gerät sein Server-Zertifikat vor. Beide Seiten verifizieren dies anhand des vertrauenswürdigen Root-Zertifikats. Der Zugriff wird basierend auf der Gültigkeit des Zertifikats gewährt oder verweigert, nicht über ein Passwort.

Lassen Sie mich Sie durch die Implementierungsreihenfolge führen. Dies ist die Reihenfolge, die funktioniert.

Schritt eins: Bereinigen Sie Ihren Identitätsspeicher. Stellen Sie sicher, dass Ihr Active Directory oder Ihr Entra ID über klar definierte Gruppen für Studierende, Mitarbeitende und Gäste verfügt. Zertifikatsrichtlinien und VLAN-Zuweisungen werden mit diesen Gruppen verknüpft.

Schritt zwei: Stellen Sie Ihre Zertifizierungsstelle (CA) bereit. Wenn Sie Microsoft ADCS verwenden, richten Sie eine zweistufige Hierarchie ein: eine Offline-Root-CA und eine Online-Aussteller-CA (Issuing CA). Die Root-CA sollte nach der Ersteinrichtung physisch vom Netz getrennt (air-gapped) werden.

Schritt drei: Konfigurieren Sie Ihr SCEP-Gateway. Dies ist der HTTP-Endpunkt, auf den Ihr MDM die Geräte verweist. Stellen Sie sicher, dass er aus dem Netzwerksegment erreichbar ist, in dem die Geräte die Erstregistrierung durchführen, in der Regel Ihre Onboarding-SSID.

Schritt vier: Konfigurieren Sie Ihren RADIUS-Server. Importieren Sie das Zertifikat der ausstellenden CA als vertrauenswürdige CA. Konfigurieren Sie EAP-TLS als Ihre Authentifizierungsmethode. Richten Sie VLAN-Rückgabeattribute ein, damit RADIUS Studierende dynamisch dem richtigen Netzwerksegment zuweisen kann.

Schritt fünf: Konfigurieren Sie Ihre MDM-Profile. Erstellen Sie in Intune zuerst ein Profil für vertrauenswürdige Zertifikate (Trusted Certificate), dann ein SCEP-Zertifikatsprofil und anschließend ein WiFi-Profil, das auf das SCEP-Zertifikat verweist. Stellen Sie diese in genau dieser Reihenfolge bereit. Jedes Profil hängt davon ab, dass das vorherige bereits vorhanden ist.

Schritt sechs: Konfigurieren Sie Ihre Access Points. Konfigurieren Sie auf Cisco Meraki, HPE Aruba, Ruckus oder Juniper Mist Ihre sichere SSID für WPA2-Enterprise oder WPA3-Enterprise. Stellen Sie das RADIUS-Timeout auf mindestens fünf Sekunden ein, um die Latenz bei der Zertifikatsvalidierung in Zeiten mit hohem Onboarding-Aufkommen aufzufangen.

Nun zu den Fallstricken. Ich habe erlebt, wie diese Implementierungen immer wieder zum Scheitern brachten.

Der erste Fehler ist die Bereitstellung von MDM-Profilen in der falschen Reihenfolge. Wenn das WiFi-Profil vor dem SCEP-Zertifikatsprofil auf dem Gerät eintrifft, verfügt das Gerät über kein Zertifikat, mit dem es sich authentifizieren kann. Die Verbindung schlägt fehl und der Benutzer wendet sich an den Helpdesk.

Die zweite Falle ist das Vergessen von BYOD-Geräten. Intune und Jamf verwalten Ihre institutionseigene Flotte. Die privaten Geräte der Studierenden sind jedoch nicht in Ihrem MDM registriert. Für diese benötigen Sie ein Self-Service-Onboarding-Portal. Der Student authentifiziert sich per Single Sign-On mit seinen universitären Zugangsdaten, und das Portal nutzt SCEP zur Bereitstellung des Zertifikats. Die Plattform von Purple integriert diesen Onboarding-Flow direkt in das Captive Portal-Erlebnis, sodass Studierende die Registrierung in weniger als zwei Minuten und ganz ohne Beteiligung der IT abschließen können.

Die dritte Falle sind RADIUS-Timeout-Fehler während der Haupt-Onboarding-Zeiten. Führen Sie Lasttests Ihrer RADIUS-Infrastruktur vor dem September durch, nicht erst währenddessen. Implementieren Sie ein Load Balancing über mindestens zwei RADIUS-Knoten hinweg.

Die vierte Falle ist der Zertifikatswiderruf. Wenn ein Student die Universität verlässt oder ein Gerät verloren geht oder gestohlen wird, müssen Sie das Zertifikat sofort widerrufen. Stellen Sie sicher, dass Ihre CA eine Zertifikatssperrliste veröffentlicht und dass Ihr RADIUS-Server diese bei jeder Authentifizierung überprüft.

Nun zu einer schnellen Fragerunde mit den Fragen, die wir am häufigsten hören.

Kann SCEP ohne ein MDM funktionieren? Technisch gesehen ja, aber praktisch nein. Ohne ein MDM, das die SCEP-Payload und das WiFi-Profil pusht, sind Sie wieder bei der manuellen Gerätekonfiguration.

Wie lange sollte die Gültigkeit von Zertifikaten sein? Für Geräte von Studierenden sind ein bis zwei Jahre Standard. Lang genug, um das akademische Jahr ohne Erneuerungsaufwand zu überstehen, kurz genug, um das Risiko bei der Kompromittierung eines Zertifikats zu begrenzen.

Was ist mit IoT-Geräten, die 802.1X nicht unterstützen? Nutzen Sie MAC Authentication Bypass mit einem Self-Service-Geräteregistrierungsportal. Studierende registrieren die MAC-Adresse ihrer Spielkonsole oder ihres Smart-TVs, und Ihr NAC-System weist diese dem richtigen VLAN zu.

Funktioniert das auch mit eduroam? Ja. EAP-TLS wird von der eduroam-Federation voll unterstützt. Von Ihrer Campus-CA ausgestellte Zertifikate können Studierende bei eduroam an jeder teilnehmenden Institution weltweit authentifizieren.

Zum Abschluss sind hier die drei Entscheidungen, die eine erfolgreiche SCEP-Bereitstellung definieren.

Erstens: Wählen Sie Ihre CA-Architektur vor allem anderen. On-Premises ADCS bietet Ihnen die volle Kontrolle. Cloud-PKI bietet Ihnen operative Einfachheit. Die falsche Wahl kostet Sie hier Monate an Nacharbeit.

Zweitens: Automatisieren Sie das BYOD-Onboarding vom ersten Tag an. Gehen Sie nicht davon aus, dass Studierende ihre persönlichen Geräte manuell konfigurieren. Das werden sie nicht tun. Richten Sie das Self-Service-Portal vor Semesterbeginn ein.

Drittens: Testen Sie Ihre RADIUS-Kapazität unter Last vor dem September. Ein RADIUS-Ausfall am ersten Tag des Semesters ist absolut vermeidbar.

Die Plattform von Purple unterstützt alle drei Aspekte: Cloud-Overlay-PKI-Integration, Self-Service-BYOD-Onboarding über unser Captive Portal und eine RADIUS-Infrastruktur, die an achtzigtausend Live-Standorten mit einer Verfügbarkeit von neunundneunzig Komma neun neun neun Prozent getestet wurde.

Vielen Dank, dass Sie am Purple Technical Briefing teilgenommen haben. Weitere Informationen finden Sie auf purple.ai.

Wichtigste Erkenntnisse

✓Passwortbasiertes WiFi (PEAP-MSCHAPv2) führt zu massiven Warteschlangen am Helpdesk und setzt Universitäten dem Diebstahl von Anmeldedaten aus.
✓Zertifikatsbasierte Authentifizierung (EAP-TLS) bietet gegenseitige Authentifizierung und eliminiert Evil-Twin-Angriffe.
✓SCEP automatisiert die Zertifikatsbereitstellung, wodurch EAP-TLS für Zehntausende von Geräten skalierbar wird.
✓Institutionseigene Geräte erhalten Zertifikate geräuschlos über MDM-Plattformen wie Intune oder Jamf.
✓Studentische BYOD-Geräte erfordern ein Self-Service-Captive Portal für eine automatisierte, benutzergesteuerte Zertifikatsregistrierung.
✓Die Entkopplung des WiFi-Zugangs von Verzeichnis-Passwörtern reduziert die Helpdesk-Tickets in Stoßzeiten um bis zu 70 %.
✓Headless-IoT-Geräte in Wohnheimen erfordern einen MAC Authentication Bypass (MAB) über ein Registrierungsportal.

Executive Summary

Für IT-Teams im Hochschulbereich bringt der Beginn des akademischen Jahres einen sofortigen Stresstest mit sich. Tausende von Studierenden kommen mit mehreren nicht verwalteten Geräten auf den Campus und erwarten eine sofortige, sichere Verbindung. Wenn Universitäten auf passwortbasierte Authentifizierung wie PEAP-MSCHAPv2 setzen, führt dieser Ansturm absehbar zu massiven Warteschlangen am Helpdesk, Konfigurationsfehlern und schwerwiegenden Sicherheitslücken durch den Diebstahl von Anmeldedaten über Evil-Twin-Access-Points.

Die architektonische Lösung für diese Herausforderung in Bezug auf Skalierbarkeit und Sicherheit ist die zertifikatsbasierte Authentifizierung mittels EAP-TLS. Um die Bereitstellung von Zertifikaten auf Zehntausenden von Endpunkten realisierbar zu machen, müssen Universitäten das Simple Certificate Enrollment Protocol (SCEP) implementieren. SCEP automatisiert die Bereitstellung digitaler Zertifikate sowohl für verwaltete Geräte über MDM als auch für nicht verwaltete Geräte von Studierenden über Self-Service-Onboarding-Portale. Dieser Leitfaden beschreibt die technischen Anforderungen für die Bereitstellung von SCEP in einer Hochschulumgebung und bietet konkrete Schritte zur Eliminierung passwortbezogener Helpdesk-Tickets und zur Sicherung des Campus-Netzwerks.

Die Architektur der SCEP-Zertifikatsregistrierung

Der Übergang zu zertifikatsbasiertem WiFi erfordert einen grundlegenden Wechsel von der Überprüfung des Benutzerwissens (ein Passwort) zur Überprüfung der Geräteidentität (ein Zertifikat). Das SCEP-Protokoll fungiert als Brücke zwischen Ihrer Geräteverwaltungsebene und Ihrer Public-Key-Infrastruktur (PKI).

Kerninfrastruktur-Komponenten

Eine produktionsbereite SCEP-Bereitstellung erfordert sechs integrierte Komponenten, die nacheinander zusammenarbeiten:

Identity Provider (IdP): Das autoritative Verzeichnis (Microsoft Entra ID, Okta oder Google Workspace), das die Identität des Benutzers vor der Zertifikatsausstellung überprüft.
Mobile Device Management (MDM): Plattformen wie Microsoft Intune oder Jamf, die den SCEP-Payload auf institutionseigene Geräte übertragen.
Certificate Authority (CA): Die PKI-Engine, die die Zertifikate signiert und ausstellt. Dies kann eine lokale Microsoft ADCS-Bereitstellung oder ein cloud-nativer PKI-Overlay sein.
SCEP Gateway: Der HTTP-Endpunkt, der Certificate Signing Requests (CSRs) von Geräten empfängt, das Challenge-Passwort validiert und die Anfrage an die CA weiterleitet.
RADIUS-Server: Der Authentifizierungsserver, der das präsentierte Client-Zertifikat während des 802.1X EAP-TLS-Austauschs mit den Netzwerkzugriffsrichtlinien abgleicht.
Drahtloses Zugangsnetzwerk: Die physischen Access Points (Cisco Meraki, HPE Aruba, Ruckus oder Juniper Mist), die für die Erzwingung der 802.1X-Authentifizierung konfiguriert sind.

Der SCEP-Registrierungsablauf

Der Registrierungsprozess wird auf verwalteten Geräten ohne Eingreifen des Benutzers ausgeführt. Die MDM-Plattform überträgt ein Konfigurationsprofil, das die SCEP-Gateway-URL und ein dynamisch generiertes Challenge-Passwort enthält. Das Gerät generiert lokal einen privaten Schlüssel und erstellt eine CSR. Anschließend überträgt es diese CSR über HTTP an das SCEP-Gateway.

Das Gateway fängt die Anfrage ab und validiert das Challenge-Passwort über die MDM-API, um zu bestätigen, dass das Gerät autorisiert ist. Nach der Verifizierung leitet das Gateway die CSR an die CA weiter. Die CA signiert das Zertifikat und sendet es über das Gateway an das Gerät zurück. Der private Schlüssel verlässt den Endpunkt zu keinem Zeitpunkt, was die kryptografische Integrität gewährleistet.

Implementierungsleitfaden: Eine phasenweise Bereitstellungsstrategie

Die Bereitstellung von SCEP erfordert eine präzise Abfolge. Aufgrund von Profilabhängigkeiten führt eine Ausführung dieser Schritte in der falschen Reihenfolge zu Authentifizierungsfehlern.

Schritt 1: Verzeichnissynchronisierung und Gruppenrichtlinien

Bevor Sie Zertifikate bearbeiten, stellen Sie sicher, dass Ihr Identitätsspeicher bereinigt ist. Erstellen Sie in Entra ID oder Active Directory eindeutige Sicherheitsgruppen für Studierende, Mitarbeiter und Lehrkräfte. Ihr RADIUS-Server verwendet diese Gruppenmitgliedschaften, die als Subject Alternative Names (SAN) in die Zertifikate eingebettet sind, um Geräte dynamisch den richtigen VLANs zuzuweisen.

Schritt 2: Konfiguration von PKI und SCEP-Gateway

Richten Sie Ihre CA-Hierarchie ein. Wenn Sie eine On-Premises-Lösung aufbauen, stellen Sie eine Offline-Root-CA und eine Online-Issuing-CA bereit. Für Hochschuleinrichtungen, die ihren Infrastruktur-Footprint reduzieren möchten, bieten Cloud-PKI-Lösungen betriebliche Einfachheit. Konfigurieren Sie das SCEP-Gateway für die Kommunikation mit Ihrer CA und machen Sie den Registrierungsendpunkt für das Netzwerksegment zugänglich, mit dem sich die Geräte anfänglich verbinden.

Schritt 3: Integration des RADIUS-Servers

Importieren Sie das Zertifikat der Issuing-CA in den Speicher für vertrauenswürdige Zertifikate Ihres RADIUS-Servers. Konfigurieren Sie das Authentifizierungsprotokoll strikt auf EAP-TLS. Definieren Sie Netzwerkrichtlinien, die Zertifikatsattribute (wie den User Principal Name) bestimmten VLAN-Rückgabeattributen zuordnen, um eine Mikrosegmentierung auf dem gesamten Campus zu ermöglichen.

Schritt 4: Sequenzierung von MDM-Profilen

Für geräteeigene Institutionen, die von Intune oder Jamf verwaltet werden, ist die Reihenfolge der Profilbereitstellung entscheidend. Sie müssen Profile in genau dieser Reihenfolge bereitstellen:

Profil für vertrauenswürdige Zertifikate: Verteilt das Root-CA-Zertifikat, um Vertrauen aufzubauen.
SCEP-Zertifikatsprofil: Leitet das Gerät an das Gateway weiter, um sein Client-Zertifikat abzurufen.
WiFi-Profil: Konfiguriert die SSID für die Verwendung von WPA3-Enterprise mit EAP-TLS, wobei explizit auf das im vorherigen Schritt erworbene Zertifikat verwiesen wird.

Schritt 5: BYOD-Self-Service-Onboarding

Studierende werden Zertifikate nicht manuell auf ihren privaten Geräten installieren. Sie müssen einen automatisierten Onboarding-Pfad bereitstellen. Implementieren Sie eine offene SSID, die den Datenverkehr ausschließlich auf das Captive Portal und das SCEP-Gateway beschränkt. Wenn sich ein Student verbindet, fordert das Portal ihn auf, sich per Single Sign-On mit seinen Universitäts-Zugangsdaten zu authentifizieren. Nach erfolgreicher Authentifizierung stellt das Portal die SCEP-Payload für das Gerät bereit. Purple integriert diesen Onboarding-Flow direkt in das Captive Portal-Erlebnis, sodass Studierende die Registrierung in weniger als zwei Minuten ohne IT-Intervention abschließen können.

Best Practices und Risikominderung

Der Übergang zu EAP-TLS eliminiert den Diebstahl von Zugangsdaten, bringt jedoch neue betriebliche Aspekte mit sich. Netzwerkarchitekten müssen Skalierungs- und Lebenszyklusereignisse antizipieren.

RADIUS-Kapazitätsplanung

Der Rechenaufwand für die EAP-TLS-Zertifikatsvalidierung ist erheblich höher als bei der PEAP-Kennwortprüfung. In der ersten Semesterwoche werden tausende Geräte gleichzeitig versuchen, sich zu authentifizieren. Ein einzelner RADIUS-Knoten wird wahrscheinlich seine Ressourcen erschöpfen und Anfragen verwerfen, was zu weitreichenden Verbindungsfehlern führt. Sie müssen ein Load Balancing über mehrere RADIUS-Knoten hinweg implementieren und das Authentifizierungs-Timeout auf Ihren Access Points auf mindestens fünf Sekunden erhöhen, um Spitzenlatenzen abzufangen.

Zertifikats-Lebenszyklus-Management

Zertifikate für studentische Geräte sollten in der Regel eine Gültigkeitsdauer von ein bis zwei Jahren haben. Diese Dauer deckt das akademische Jahr ab und begrenzt gleichzeitig das Risiko, falls ein Gerät kompromittiert wird. Entscheidend ist, dass Sie einen robusten Sperrmechanismus implementieren. Wenn ein Student sein Studium abschließt oder ein verlorenes Gerät meldet, muss das Zertifikat unverzüglich gesperrt werden. Stellen Sie sicher, dass Ihre CA eine Zertifikatssperrliste (CRL) veröffentlicht oder einen Online Certificate Status Protocol (OCSP) Responder betreibt, und konfigurieren Sie Ihren RADIUS-Server so, dass er bei jedem Authentifizierungsversuch den Sperrstatus überprüft.

Umgang mit Headless-IoT-Geräten

Smart-TVs, Spielekonsolen und WLAN-Drucker in Wohnheimen verfügen nicht über die nativen 802.1X-Supplicants, die für die SCEP-Registrierung erforderlich sind. Implementieren Sie für diese Geräte einen MAC-Authentifizierungs-Bypass (MAB). Stellen Sie ein Self-Service-Geräteregistrierungsportal bereit, auf dem Studierende die MAC-Adressen ihrer IoT-Hardware registrieren können. Das Network Access Control (NAC)-System authentifiziert dann diese registrierten Adressen und weist sie dem entsprechenden Studenten-VLAN zu.

Hören Sie sich das technische Briefing an

Für einen tieferen Einblick in die Architektur und reale Bereitstellungsszenarien hören Sie sich unseren 10-minütigen technischen Briefing-Podcast an.

ROI und geschäftliche Auswirkungen

Das Business Case für die SCEP-Implementierung im Hochschulbereich basiert auf zwei Säulen: Sicherheitsniveau und betriebliche Effizienz.

Aus Sicherheitsperspektive bietet EAP-TLS eine gegenseitige Authentifizierung. Das Gerät überprüft das Zertifikat des RADIUS-Servers, bevor Daten übertragen werden, was das Risiko, dass Evil-Twin-Access-Points Anmeldedaten abgreifen, vollständig eliminiert. Diese Architektur entspricht den Zero-Trust-Prinzipien und stellt sicher, dass nur kryptografisch verifizierte Geräte auf das Campus-Netzwerk zugreifen.

In operativer Hinsicht führt die Entkopplung der WiFi-Authentifizierung von den Verzeichnispasswörtern zu unmittelbaren finanziellen Vorteilen. Wenn eine Universität ein Passwort-Reset alle 90 Tage erzwingt, müssen Studierende, die PEAP nutzen, ihre Anmeldedaten auf jedem Gerät aktualisieren. Zwangsläufig scheitern viele dabei, was zu einem sprunghaften Anstieg von Helpdesk-Tickets führt. Mit SCEP und EAP-TLS bleibt das Zertifikat unabhängig von Passwortänderungen gültig. Universitäten, die ein automatisiertes Zertifikats-Onboarding implementieren, berichten durchgängig von einer Reduzierung der WiFi-bezogenen Support-Tickets um bis zu 70 % in Spitzenzeiten, sodass sich das IT-Personal auf strategische Initiativen anstatt auf die Behebung grundlegender Verbindungsprobleme konzentrieren kann.

Schlüsseldefinitionen

SCEP (Simple Certificate Enrollment Protocol)

Ein Protokoll, das die Anforderung und Ausstellung digitaler Zertifikate für Netzwerkgeräte ohne manuelles Eingreifen automatisiert.

Unerlässlich für die Skalierung von EAP-TLS-Bereitstellungen, da MDMs und Onboarding-Portale damit Zertifikate nahtlos für Zehntausende von Geräten von Studierenden bereitstellen können.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Die sicherste 802.1X-Authentifizierungsmethode, die sowohl ein serverseitiges als auch ein clientseitiges Zertifikat für eine gegenseitige Authentifizierung erfordert.

Ersetzt anfällige passwortbasierte Protokolle wie PEAP und eliminiert das Risiko des Diebstahls von Zugangsdaten durch "Evil Twin"-Access-Points.

MDM (Mobile Device Management)

Softwareplattformen wie Microsoft Intune oder Jamf zur Verwaltung und Absicherung institutionseigener Geräte.

Wird verwendet, um SCEP-Daten und WiFi-Profile unbemerkt auf verwaltete Geräte zu übertragen, um sicherzustellen, dass diese vor der Bereitstellung für den Netzwerkzugriff konfiguriert sind.

CSR (Certificate Signing Request)

Ein vom Client-Gerät generierter Block aus codiertem Text, der den öffentlichen Schlüssel und Identitätsinformationen enthält und an die Zertifizierungsstelle (CA) gesendet wird, um ein Zertifikat zu beantragen.

In einem SCEP-Workflow generiert das Gerät den privaten Schlüssel lokal und sendet nur den CSR an das Gateway. Dies stellt sicher, dass der private Schlüssel auf dem Endpunkt geschützt bleibt.

RADIUS (Remote Authentication Dial-In User Service)

Das Netzwerkprotokoll, das eine zentrale Authentifizierung, Autorisierung und Accounting-Verwaltung bereitstellt.

Der Server, der das vom Gerät während des 802.1X-Austauschs vorgelegte Client-Zertifikat auswertet und die VLAN-Zuweisung bestimmt.

Evil Twin Attack

Ein Sicherheitsangriff, bei dem ein Angreifer einen gefälschten Access Point mit derselben SSID wie das legitime Netzwerk einrichtet, um Benutzeranmeldedaten abzufangen.

EAP-TLS verhindert dies, da das Client-Gerät das Zertifikat des RADIUS-Servers überprüft, bevor Daten übertragen werden; fehlt dem Angreifer das vertrauenswürdige Serverzertifikat, wird die Verbindung getrennt.

MAB (MAC Authentication Bypass)

Eine Fallback-Authentifizierungsmethode, die die MAC-Adresse eines Geräts als Anmeldedaten verwendet.

Erforderlich für das Onboarding von bildschirmlosen IoT-Geräten (wie Spielekonsolen) in Wohnheimen, die 802.1X oder SCEP nicht unterstützen.

CRL (Certificate Revocation List)

Eine von der Zertifizierungsstelle veröffentlichte Liste mit den Seriennummern von Zertifikaten, die vor ihrem Ablaufdatum ungültig gemacht wurden.

Entscheidend für die Netzwerksicherheit; der RADIUS-Server muss die CRL überprüfen, um sicherzustellen, dass gestohlenen Geräten oder ehemaligen Studierenden der Zugriff sofort verweigert wird.

Ausgearbeitete Beispiele

Eine Universität mit 20.000 Studierenden migriert von PEAP-MSCHAPv2 zu EAP-TLS. Sie nutzt Microsoft Intune für 3.000 universitätseigene Windows-Laptops, aber die verbleibenden 45.000 Geräte sind BYOD-Geräte von Studierenden (Smartphones, Tablets, private Laptops). Wie sollte die Zertifikatsbereitstellung konzipiert werden, damit sich alle Geräte am ersten Semestertag authentifizieren können?

Die Universität muss eine zweigleisige Registrierungsstrategie implementieren. Für die 3.000 von Intune verwalteten Laptops konfiguriert das IT-Team ein SCEP-Zertifikatsprofil in Intune, das die Gateway-URL und das Challenge-Passwort unbemerkt an die Geräte verteilt. Für die 45.000 BYOD-Geräte stellen sie eine offene "Onboarding"-SSID bereit, die den Datenverkehr auf ein Self-Service Captive Portal und das SCEP-Gateway beschränkt. Studierende verbinden sich mit der Onboarding-SSID, authentifizieren sich via SAML SSO gegen Entra ID und laden ein Konfigurationsprofil herunter, das die SCEP-Registrierung auslöst. Sobald das Zertifikat installiert ist, verbindet sich das Gerät automatisch über EAP-TLS mit der sicheren SSID "eduroam".

Kommentar des Prüfers: Dieser Ansatz erkennt richtig, dass MDM allein das BYOD-Problem nicht lösen kann. Durch die Nutzung eines Captive Portal für unverwaltete Geräte erreicht die Universität eine 100%ige Zertifikatsabdeckung, ohne dass Studierende 802.1X-Einstellungen manuell konfigurieren müssen. Dies verhindert eine massive Flut von Helpdesk-Tickets.

In der ersten Semesterwoche erhält der Helpdesk einer Universität Meldungen, dass Studierende sich zwar mit ihren Laptops mit dem WiFi verbinden können, ihre Smart Speaker und Spielekonsolen in den Wohnheimen jedoch keine Verbindung zum 802.1X-Netzwerk herstellen können. Wie sollte der Netzwerkarchitekt dies lösen?

Der Architekt muss ein MAC Authentication Bypass (MAB) für bildschirmlos betriebene Geräte (Headless Devices) implementieren. Da Smart Speaker und Konsolen keine 802.1X-Supplicants besitzen, können sie keine SCEP-Daten verarbeiten oder Client-Zertifikate vorweisen. Die Universität sollte ein Self-Service-Geräteregistrierungsportal bereitstellen, auf dem sich Studierende mit ihren Universitäts-Anmeldedaten einloggen und die MAC-Adressen ihrer IoT-Geräte eingeben. Der RADIUS-Server wird so konfiguriert, dass er diese registrierten MAC-Adressen via MAB akzeptiert und sie dem spezifischen zimmerbezogenen VLAN (Per-Room VLAN) des Studierenden zuweist.

Kommentar des Prüfers: Diese Lösung behebt die technische Einschränkung von bildschirmlosen IoT-Geräten und behält gleichzeitig die Netzwerksegmentierung bei. Durch die Nutzung eines Self-Service-Portals vermeidet das IT-Team die manuelle Eingabe von MAC-Adressen und skaliert die Lösung für Tausende von Consumer-Geräten in Wohnheimen.

Übungsfragen

Q1. Ihre Universität führt EAP-TLS ein. Sie haben das SCEP-Gateway und die MDM-Profile konfiguriert. Wenn jedoch Testgeräte versuchen, eine Verbindung zum sicheren SSID herzustellen, schlägt die Verbindung ohne Fehlermeldung fehl. Die RADIUS-Protokolle zeigen, dass das Client-Zertifikat gültig ist, aber das Gerät lehnt den Server ab. Was ist der wahrscheinlichste Konfigurationsfehler?

Hinweis: Berücksichtigen Sie die Anforderungen für die gegenseitige Authentifizierung und was das Gerät benötigt, um dem Server zu vertrauen.

Musterlösung anzeigen

Das MDM-Profil für vertrauenswürdige Zertifikate fehlt wahrscheinlich oder ist falsch konfiguriert. Bei EAP-TLS erfordert die gegenseitige Authentifizierung, dass das Gerät das Zertifikat des RADIUS-Servers überprüft. Wenn auf dem Gerät das Stammzertifikat der CA nicht im vertrauenswürdigen Speicher installiert ist, kann es das Serverzertifikat nicht validieren und bricht die Verbindung ab, um einen potenziellen Evil Twin Attack zu verhindern.

Q2. Ein Student meldet, dass sein Laptop, der erfolgreich über das BYOD-Portal registriert wurde und über ein gültiges Client-Zertifikat verfügt, nach einer Änderung seines Passworts im Universitätsverzeichnis nicht mehr auf das Netzwerk zugreifen kann. Auf welchen Architekturfehler weist dies hin?

Hinweis: Die EAP-TLS-Authentifizierung basiert vollständig auf dem Zertifikat, nicht auf dem Passwort.

Musterlösung anzeigen

Dies weist darauf hin, dass das Netzwerk nicht tatsächlich EAP-TLS verwendet, sondern wahrscheinlich auf PEAP-MSCHAPv2 oder ein anderes passwortbasiertes Protokoll zurückgreift. Wenn echtes EAP-TLS konfiguriert ist, validiert der RADIUS-Server die kryptografische Signatur des Zertifikats, wodurch der Netzwerkzugriff vollständig vom Passwort im Verzeichnis entkoppelt wird. Der Netzwerkarchitekt muss strikte EAP-TLS-Richtlinien auf dem RADIUS-Server erzwingen und Fallback-Protokolle deaktivieren.

Q3. In der ersten Woche des Semesters verzeichnen die RADIUS-Server eine hohe CPU-Auslastung und zeitweise Timeout-Fehler, was zu weitreichenden Authentifizierungsfehlern führt. Die Server sind für die Gesamtzahl der gleichzeitigen Sitzungen ausreichend dimensioniert. Was verursacht die Timeouts?

Hinweis: Berücksichtigen Sie den Unterschied im Rechenaufwand zwischen der Überprüfung eines Passworts und der Validierung einer Zertifikatskette während der ersten Verbindungsphase.

Musterlösung anzeigen

Die Timeouts werden durch den hohen Rechenaufwand für die kryptografischen EAP-TLS-Handshakes während des anfänglichen Authentifizierungsansturms der zurückkehrenden Studierenden verursacht. Der Architekt muss den RADIUS-Timeout-Wert auf den Wireless Access Points (z. B. Cisco Meraki oder HPE Aruba) auf mindestens 5 Sekunden erhöhen, um die Latenz auszugleichen, und sicherstellen, dass das Load Balancing die anfänglichen Voll-Authentifizierungsanfragen gleichmäßig über alle RADIUS-Knoten verteilt.

Weiterlesen in dieser Reihe

Per-Device PSK nach Anbieter: iPSK, DPSK, MPSK und PPSK im Vergleich (und WPA3-Unterstützung)

Ein umfassender Vergleich von Per-Device-PSK-Implementierungen bei Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet und Ubiquiti UniFi. Erfahren Sie, wie sich WPA3-SAE auf Per-Device-Key-Strategien auswirkt und wann Übergangsmodi im Vergleich zum Wechsel zu 802.1X eingesetzt werden sollten.

Captive Portal Authentifizierungsmethoden im Vergleich

Dieser maßgebliche technische Leitfaden bewertet die architektonischen, betrieblichen und Compliance-bezogenen Vor- und Nachteile von fünf zentralen Captive Portal Authentifizierungsmethoden. Er bietet Netzwerkarchitekten, IT-Leitern und Marketingmanagern die quantitativen Daten und Entscheidungsrahmen, die erforderlich sind, um die Reibung beim Onboarding von Gästen mit den Anforderungen an die Datenerfassung in Unternehmensstandorten abzuwägen.

Was ist MAC-Adressen-Authentifizierung? Wann man sie einsetzt und wann man sie vermeidet

Dieser maßgebliche technische Leitfaden behandelt die MAC-Adressen-Authentifizierung in Enterprise-WiFi-Umgebungen – wie die RADIUS-basierte MAC-Authentifizierung auf Layer 2 funktioniert, ihre inhärenten Sicherheitsrisiken (einschließlich MAC-Spoofing und den Auswirkungen der MAC-Randomisierung auf Betriebssystemebene) und die genauen betrieblichen Kontexte, in denen sie ein legitimes Tool zur Verwaltung von IoT- und Headless-Geräten bleibt. Er bietet praxisnahe Bereitstellungsrichtlinien für IT-Manager und Netzwerkarchitekten in den Bereichen Hotellerie, Einzelhandel, Gesundheitswesen und im öffentlichen Sektor, ergänzt durch praxisnahe Fallbeispiele, Entscheidungsmatrizen und Integrationskontexte für die Guest-WiFi- und Analytics-Plattform von Purple.