Zum Hauptinhalt springen
Deutsch

Implementierung der 802.1X-Authentifizierung auf Mobilgeräten

Dieser umfassende Leitfaden bietet IT-Verantwortlichen einen technischen Entwurf für die Implementierung der 802.1X-Authentifizierung auf iOS- und Android-Geräten. Er behandelt Architektur, die Auswahl der EAP-Methode, MDM-Bereitstellung und Fehlerbehebung, um einen sicheren, skalierbaren mobilen Netzwerkzugriff zu gewährleisten.

📖 4 Min. Lesezeit📝 795 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
PODCAST-SKRIPT: Implementierung der 802.1X-Authentifizierung auf Mobilgeräten Dauer: ~10 Minuten | Stimme: Britisches Englisch, männlich, Tonfall eines Senior Consultants Struktur: Einführung & Kontext (1 Min.) → Technischer Deep-Dive (5 Min.) → Implementierungsempfehlungen & Fallstricke (2 Min.) → Schnelle Fragerunde (1 Min.) → Zusammenfassung & Nächste Schritte (1 Min.) --- [EINFÜHRUNG & KONTEXT — ~1 Minute] Willkommen zurück. Heute beschäftigen wir uns mit einem Thema, das bei WiFi-Projekten in Unternehmen ständig auftaucht — der 802.1X-Authentifizierung auf Mobilgeräten. Wenn Sie ein Hotelnetzwerk, ein Einzelhandelsgeschäft, ein Stadion oder einen Veranstaltungsort im öffentlichen Sektor betreiben, an dem sich Mitarbeiter und Gäste mit iPhones und Android-Geräten verbinden, ist dies der Standard, den Sie genau verstehen müssen. 802.1X ist nicht neu. Es ist seit über zwei Jahrzehnten das Rückgrat der drahtlosen Sicherheit in Unternehmen. Aber Mobilgeräte haben das Implementierungsszenario erheblich verändert. Die Zertifikatsverwaltung, die Auswahl der EAP-Methode, die MDM-Bereitstellungs-Workflows — das sind alles Bereiche, in denen Projekte schiefgehen können und in denen eine korrekte Umsetzung einen spürbaren Sicherheits- und Betriebsgewinn bringt. Gehen wir also die Architektur, die Implementierungsschritte für Apple und Android sowie die häufigsten Fehlerursachen durch, die Teams Wochen bei der Fehlersuche kosten. --- [TECHNISCHER DEEP-DIVE — ~5 Minuten] Beginnen wir mit den Grundlagen. IEEE 802.1X ist ein Standard für die portbasierte Netzwerkzugriffskontrolle. Er definiert drei Rollen: den Supplicant — das ist Ihr Mobilgerät —, den Authenticator, bei dem es sich in der Regel um Ihren Wireless Access Point oder Wireless LAN Controller handelt, und den Authentifizierungsserver, fast immer ein RADIUS-Server. Wenn ein Gerät versucht, eine Verbindung zu einer mit 802.1X gesicherten SSID herzustellen, gewährt der Access Point nicht sofort vollen Netzwerkzugriff. Stattdessen öffnet er einen kontrollierten Port und initiiert einen EAP-Austausch — das ist das Extensible Authentication Protocol. Das Gerät legt Anmeldedaten vor, der Access Point leitet diese an den RADIUS-Server weiter, und der RADIUS-Server akzeptiert oder lehnt die Verbindung ab. Erst nach der Annahme öffnet der Access Point den unkontrollierten Port und lässt den gesamten Netzwerkverkehr zu. Die von Ihnen gewählte EAP-Methode ist von entscheidender Bedeutung, und hier unterscheiden sich mobile Implementierungen von traditionellen, laptop-zentrierten Unternehmensnetzwerken. EAP-TLS ist der Goldstandard. Es verwendet eine gegenseitige zertifikatsbasierte Authentifizierung — sowohl der Server als auch der Client legen Zertifikate vor. Es gibt keinen Benutzernamen und kein Passwort beim Austausch. Es ist resistent gegen Phishing von Anmeldedaten, Man-in-the-Middle-Angriffe und Brute-Force. Sowohl iOS als auch Android unterstützen dies nativ. Die Herausforderung liegt im Lebenszyklusmanagement der Zertifikate — Sie benötigen eine funktionierende PKI und müssen Client-Zertifikate auf die Geräte bringen, was bedeutet, dass ein MDM praktisch zwingend erforderlich ist. PEAP mit MSCHAPv2 ist in der Praxis die am weitesten verbreitete Methode. Sie verpackt MSCHAPv2 in einen TLS-Tunnel, sodass die Anmeldedaten bei der Übertragung geschützt sind. iOS und Android unterstützen dies nativ. Der Nachteil ist, dass es auf Benutzernamen und Passwörtern basiert, was einen Aufwand für die Verwaltung von Anmeldedaten und ein Sicherheitsrisiko mit sich bringt, wenn das Serverzertifikat auf der Client-Seite nicht ordnungsgemäß validiert wird. EAP-TTLS mit PAP ist in Umgebungen mit älteren LDAP-Verzeichnissen üblich. Android unterstützt dies nativ; iOS erfordert ein Konfigurationsprofil. Es ist zu beachten, dass PAP das Passwort im Klartext innerhalb des TLS-Tunnels überträgt, sodass die Integrität des Tunnels hier alles entscheidend ist. EAP-FAST ist in erster Linie eine Cisco-Lösung. iOS unterstützt dies nativ; die Android-Unterstützung ist je nach Hersteller und OS-Version uneinheitlich. Für die meisten mobilen Implementierungen in Unternehmen wird heute EAP-TLS empfohlen, wenn eine MDM-Abdeckung vorhanden ist, und PEAP-MSCHAPv2, wenn dies nicht der Fall ist — wobei eine strenge Validierung des Serverzertifikats erzwungen werden muss. Sprechen wir nun über die Infrastrukturseite. Ihr RADIUS-Server ist das Herzstück der Bereitstellung. Microsoft NPS, FreeRADIUS, Cisco ISE und Aruba ClearPass sind die wichtigsten Optionen. Für Cloud-native Bereitstellungen bieten JumpCloud, Foxpass und Portnox RADIUS-as-a-Service an, was den Aufwand für die lokale Infrastruktur eliminiert. Ihr RADIUS-Server muss mit der richtigen EAP-Methode, dem Shared Secret für jeden Access Point oder WLC und dem Benutzerspeicher konfiguriert sein — sei es Active Directory, LDAP oder eine lokale Datenbank. Für EAP-TLS benötigt er außerdem die CA-Zertifikatskette, um Client-Zertifikate zu validieren. Auf der Seite der Zertifizierungsstelle haben Sie drei Optionen. Eine interne PKI mit Microsoft ADCS oder einer eigenständigen CA bietet Ihnen die volle Kontrolle und verursacht keine Zertifikatskosten, erfordert jedoch betriebliche Reife für die Verwaltung. Ein Cloud-PKI-Dienst — SCEPman, Smallstep oder ähnliche — lässt sich gut in moderne MDM-Plattformen integrieren und reduziert den Betriebsaufwand erheblich. Öffentliche Zertifikate einer kommerziellen CA werden aufgrund von Kosten und Komplexität selten für die Client-Authentifizierung verwendet. Nun zur Gerätekonfiguration. Unter iOS ist der sauberste Bereitstellungsweg Apple Configurator oder eine MDM-Plattform wie Jamf, Microsoft Intune oder Mosyle. Sie übertragen ein WiFi-Konfigurationsprofil, das die SSID, die EAP-Methode, das zu vertrauende Serverzertifikat und — bei EAP-TLS — das Client-Zertifikat angibt. Das Profil erledigt alles geräuschlos. Benutzer verbinden sich ohne manuelle Schritte. Eine manuelle Konfiguration unter iOS ist möglich, aber fehleranfällig. Benutzer navigieren zu Einstellungen, WiFi, tippen auf die SSID, geben ihre Anmeldedaten ein und erhalten dann eine Aufforderung zur Bestätigung des Zertifikatsvertrauens. Wenn das Serverzertifikat nicht von einer vertrauenswürdigen CA stammt, zeigt iOS eine Warnung an. Benutzer tippen routinemäßig auf „Vertrauen“, ohne sie zu lesen, was den Zweck der Zertifikatsvalidierung völlig zunichte macht. Aus diesem Grund ist die MDM-Bereitstellung für professionelle Implementierungen unverzichtbar. Unter Android ist das Bild fragmentierter. Android 11 und neuer erfordern die Angabe eines CA-Zertifikats, wenn eine Verbindung zu einem 802.1X-Netzwerk hergestellt wird — Sie können auf modernen Android-Geräten nicht mehr ohne Warnung „Nicht validieren“ auswählen. Dies ist eine positive Sicherheitsänderung, bedeutet aber, dass Sie Ihr CA-Zertifikat an Android-Geräte verteilen müssen, entweder über MDM — Android Enterprise mit Intune oder VMware Workspace ONE — oder durch manuelle Installation aus dem Gerätespeicher. Android weist auch herstellerspezifische Eigenheiten auf. Samsung-Geräte mit One UI handhaben Zertifikate etwas anders als Standard-Android. Einige ältere Huawei-Geräte weisen EAP-TLS-Kompatibilitätsprobleme mit bestimmten Cipher Suites auf. Tests mit Ihrer Zielgerätepopulation vor dem Rollout sind absolut unerlässlich. Für die drahtlose Infrastruktur müssen Ihre Access Points oder WLCs so konfiguriert sein, dass die SSID auf WPA2-Enterprise oder WPA3-Enterprise eingestellt ist, die IP-Adresse des RADIUS-Servers und das Shared Secret hinterlegt sind und — ganz wichtig — RADIUS-Accounting aktiviert ist, wenn Sie Sitzungstransparenz pro Benutzer wünschen. WPA3-Enterprise mit dem 192-Bit-Modus ist die aktuelle Best Practice für Hochsicherheitsumgebungen und lässt sich hervorragend mit EAP-TLS kombinieren. Wenn Sie Ihre WPA3-Migration noch nicht planen, lohnt es sich, den Leitfaden zur Implementierung von WPA3-Enterprise für verbesserte drahtlose Sicherheit parallel zu diesem zu lesen. --- [IMPLEMENTIERUNGSEMPFEHLUNGEN & FALLSTRICKE — ~2 Minuten] Lassen Sie mich Ihnen die drei Dinge nennen, die mobile 802.1X-Implementierungen am häufigsten behindern. Erstens: Fehler beim Zertifikatsvertrauen. Dies ist die Fehlerquelle Nummer eins bei Support-Tickets. Wenn unter iOS das Zertifikat des RADIUS-Servers nicht in der Liste der vertrauenswürdigen Zertifikate des WiFi-Profils enthalten ist, erhalten Benutzer bei der ersten Verbindung eine Vertrauensabfrage. Wenn unter Android das CA-Zertifikat nicht installiert ist, verweigern moderne Versionen die Verbindung oder zeigen eine dauerhafte Warnung an. Die Lösung besteht darin, immer die vollständige Zertifikatskette — Root-CA und alle Intermediate-CAs — in Ihre MDM-Profile aufzunehmen. Verlassen Sie sich bei Ihrer internen CA nicht auf den System-Vertrauensspeicher des Geräts. Zweitens: RADIUS-Timeout und Latenz. Mobilgeräte sind ungeduldig. Wenn Ihr RADIUS-Server länger als zwei bis drei Sekunden für eine Antwort benötigt, versuchen es iOS und Android erneut und brechen die Verbindung schließlich ab. Dies ist besonders in Umgebungen mit hoher Dichte — Stadien, Konferenzzentren — akut, in denen sich Hunderte von Geräten gleichzeitig authentifizieren. Stellen Sie sicher, dass Ihre RADIUS-Infrastruktur angemessen dimensioniert ist, ziehen Sie die regionale Bereitstellung von RADIUS-Proxy-Servern in Betracht und passen Sie Ihre Retry- und Timeout-Parameter auf dem WLC an. Drittens: EAP-Methodenkonflikt. Das klingt offensichtlich, kommt aber überraschend häufig vor. Die auf dem WLC konfigurierte EAP-Methode muss mit der vom RADIUS-Server angebotenen Methode übereinstimmen, die wiederum mit den Angaben im Client-Profil übereinstimmen muss. Ein Konflikt führt zu einem stillschweigenden Authentifizierungsfehler mit minimaler Diagnoseausgabe. Validieren Sie die vollständige EAP-Aushandlung während der ersten Tests immer mithilfe einer Paketaufzeichnung auf dem RADIUS-Server. Auf der MDM-Seite lautet die praktische Empfehlung, zertifikatsbasierte Authentifizierung für firmeneigene Geräte und PEAP für BYOD-Szenarien zu verwenden, bei denen Sie keine Client-Zertifikate bereitstellen können. Dies bietet Ihnen die Sicherheitsvorteile von EAP-TLS dort, wo es am wichtigsten ist, ohne den Aufwand für die Zertifikatsverwaltung bei einer Vielzahl von privaten Geräten. --- [SCHNELLE FRAGERUNDE — ~1 Minute] Kann ich 802.1X und eine Gäste-SSID auf derselben Infrastruktur betreiben? Absolut. Betreiben Sie separate SSIDs — eine mit WPA2/3-Enterprise für 802.1X, eine für den Gastzugang mit einem Captive Portal. Die VLAN-Segmentierung hält den Datenverkehr isoliert. Benötige ich einen lokalen RADIUS-Server? Nicht mehr. Cloud-RADIUS-Dienste sind ausgereift und zuverlässig. Für Standorte mit unzuverlässiger Internetverbindung ist eine lokale RADIUS-Instanz als Fallback dennoch eine Überlegung wert. Was ist mit IoT-Geräten, die kein 802.1X unterstützen? Verwenden Sie für diese Geräte MAC Authentication Bypass — MAB — und weisen Sie ihnen ein eingeschränktes VLAN mit Firewall-Regeln zu. Lassen Sie sie nicht in dasselbe Segment wie Ihre über 802.1X authentifizierten Geräte. Reicht 802.1X für die PCI-DSS-Compliance aus? Es ist eine starke Kontrollmaßnahme, aber PCI DSS erfordert einen mehrschichtigen Ansatz. 802.1X deckt die Netzwerkzugriffskontrolle ab; Sie benötigen weiterhin Verschlüsselung, Überwachung und Segmentierung, um die vollständigen Anforderungen zu erfüllen. --- [ZUSAMMENFASSUNG & NÄCHSTE SCHRITTE — ~1 Minute] Zusammenfassend lässt sich sagen: Die 802.1X-Authentifizierung auf Mobilgeräten ist ein ausgereifter, gut unterstützter Standard, der im Vergleich zu Netzwerken mit Pre-Shared Keys einen erheblichen Sicherheitsgewinn bietet. Die Komplexität der Implementierung ist real, aber mit den richtigen Tools beherrschbar — insbesondere mit MDM für die Profilverteilung und einem Cloud- oder lokalen RADIUS-Server in der passenden Dimensionierung. Ihre nächsten Schritte: Überprüfen Sie Ihre aktuelle drahtlose Infrastruktur auf WPA2-Enterprise-Bereitschaft, bewerten Sie Ihre MDM-Abdeckung im gesamten Gerätebestand und entscheiden Sie sich für Ihre EAP-Methode, je nachdem, ob Sie über PKI-Funktionen verfügen. Wenn Sie ganz von vorn beginnen, ist PEAP-MSCHAPv2 mit Active Directory-Integration der schnellste Weg zu einer funktionierenden Bereitstellung. Wenn Sie über MDM und PKI verfügen, wählen Sie direkt EAP-TLS. Für eine tiefergehende Lektüre sind der WPA3-Enterprise-Implementierungsleitfaden und die Ressourcen von Purple zur WiFi-Architektur in Unternehmen hervorragende nächste Schritte. Vielen Dank fürs Zuhören — wir sehen uns beim nächsten Mal. --- ENDE DES SKRIPTS

header_image.png

Executive Summary

Implementing 802.1X authentication on mobile devices is no longer optional for enterprise environments. Whether managing a corporate office, a 500-room hotel, or a stadium, the reliance on pre-shared keys (PSKs) presents an unacceptable security risk. This guide provides a comprehensive technical blueprint for deploying 802.1X across iOS and Android estates. We will cover the architectural requirements, Extensible Authentication Protocol (EAP) method selection, Mobile Device Management (MDM) provisioning, and common failure modes.

By transitioning to 802.1X, organisations achieve granular network access control, enhanced Guest WiFi security, and compliance with frameworks like PCI DSS and GDPR. This transition requires careful orchestration between the wireless infrastructure, the RADIUS server, and the mobile endpoints.

Technical Deep-Dive: Architecture and EAP Methods

The IEEE 802.1X standard defines port-based network access control, consisting of three primary components: the supplicant (mobile device), the authenticator (wireless access point or controller), and the authentication server (RADIUS).

architecture_overview.png

When a mobile device attempts to connect, the authenticator blocks all traffic except EAP over LAN (EAPoL) packets until the RADIUS server successfully validates the credentials. The choice of EAP method dictates the security posture and deployment complexity.

EAP Method Selection for Mobile

Mobile operating systems have varying levels of native support for EAP methods. The two dominant standards for enterprise deployments are EAP-TLS and PEAP-MSCHAPv2.

eap_comparison_chart.png

EAP-TLS is the most secure method, relying on mutual certificate-based authentication. It eliminates credential theft risks but requires a robust Public Key Infrastructure (PKI) and MDM for certificate distribution. Both iOS and Android support EAP-TLS natively.

PEAP-MSCHAPv2 encapsulates the authentication exchange within a TLS tunnel, allowing the use of Active Directory credentials. While easier to deploy without a PKI, it is vulnerable to credential harvesting if the client device is not strictly configured to validate the server certificate.

Implementation Guide

Deploying 802.1X requires coordinated configuration across the network infrastructure and the mobile fleet.

1. RADIUS Server Configuration

The RADIUS server (e.g., Microsoft NPS, Cisco ISE, or cloud alternatives like JumpCloud) must be configured to support the chosen EAP method. For PEAP, install a server certificate issued by a trusted Certificate Authority (CA). For EAP-TLS, configure the server to trust the CA issuing the client certificates. Ensure the RADIUS server is integrated with your directory service (AD, LDAP) or identity provider.

2. Wireless Infrastructure Configuration

Configure your access points (APs) or Wireless LAN Controller (WLC) to broadcast an SSID with WPA2-Enterprise or WPA3-Enterprise security. Specify the IP address and shared secret of the RADIUS server. Enable RADIUS accounting to track user sessions, which is crucial for WiFi Analytics and troubleshooting.

For advanced deployments, consider reviewing our guide on Implementing WPA3-Enterprise for Enhanced Wireless Security .

3. Mobile Device Provisioning (MDM)

Manual configuration of 802.1X on mobile devices is highly discouraged due to user error and security risks (e.g., users accepting rogue server certificates). Use an MDM solution (Jamf, Intune, Workspace ONE) to push a WiFi configuration profile.

  • iOS: Use Apple Configurator or MDM to push a profile containing the SSID, EAP method, and the trusted server certificate chain. For EAP-TLS, the profile must also deploy the client certificate.
  • Android: Android 11+ strictly requires server certificate validation. The MDM must push the CA certificate to the device trust store alongside the WiFi profile.

Best Practices

  1. Mandate Server Certificate Validation: Never allow devices to connect without validating the RADIUS server certificate. This prevents man-in-the-middle attacks.
  2. Use MDM for Provisioning: Relying on users to manually configure 802.1X settings leads to support overhead and security vulnerabilities.
  3. Segment Traffic: Place 802.1X authenticated users on a separate VLAN from guest traffic or IoT devices.
  4. Implement Cloud RADIUS: For distributed environments like Retail chains or Hospitality venues, cloud RADIUS reduces on-premises infrastructure dependencies.

Troubleshooting & Risk Mitigation

The most common failure modes in mobile 802.1X deployments revolve around certificates and timeouts.

  • Certificate Trust Errors: If iOS devices prompt users to trust a certificate, or Android devices refuse to connect, the full certificate chain (Root and Intermediate CAs) is likely missing from the MDM profile.
  • RADIUS Latency: Mobile devices will drop the connection if the RADIUS server takes longer than 2-3 seconds to respond. Ensure your RADIUS infrastructure is scaled correctly, especially in high-density environments.
  • EAP Mismatch: Ensure the EAP method configured on the WLC matches the RADIUS server and the client profile.

ROI & Business Impact

Implementing 802.1X significantly reduces the risk of unauthorised network access and lateral movement. For a 10,000-employee enterprise, automating WiFi onboarding via MDM and 802.1X can save hundreds of IT support hours annually compared to managing PSK rotations. Furthermore, the granular visibility provided by RADIUS accounting supports compliance mandates and aids in capacity planning.

Listen to our full podcast briefing for more insights:

Schlüsseldefinitionen

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.

Der grundlegende Standard, der unsichere, gemeinsam genutzte Passwörter (PSKs) in Unternehmensumgebungen ersetzt.

Supplicant

Der Software-Client auf dem Mobilgerät, der den Netzwerkzugriff anfordert und den EAP-Austausch abwickelt.

Die nativen WiFi-Einstellungen unter iOS oder Android fungieren als Supplicant.

Authenticator

Das Netzwerkgerät (AP oder WLC), das den Authentifizierungsprozess zwischen dem Supplicant und dem RADIUS-Server ermöglicht.

Der AP blockiert den Datenverkehr, bis die Authentifizierung erfolgreich war.

RADIUS-Server

Remote Authentication Dial-In User Service; ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) bietet.

Die Entscheidungs-Engine, die Anmeldedaten mit einem Verzeichnis (z. B. Active Directory) abgleicht.

EAP (Extensible Authentication Protocol)

Ein Authentifizierungs-Framework, das häufig in drahtlosen Netzwerken und Punkt-zu-Punkt-Verbindungen verwendet wird.

Das Protokoll, das die Authentifizierungsdaten zwischen dem Mobilgerät und dem RADIUS-Server überträgt.

EAP-TLS

Eine EAP-Methode, die eine Public-Key-Infrastruktur (PKI) nutzt und erfordert, dass sowohl der Client als auch der Server Zertifikate zur gegenseitigen Authentifizierung vorlegen.

Die sicherste Methode, ideal für vollständig verwaltete Unternehmensgeräte.

PEAP-MSCHAPv2

Protected EAP; erstellt einen verschlüsselten TLS-Tunnel, in dem sich der Client mit einem Benutzernamen und einem Passwort authentifiziert.

Die gängigste Methode, die Sicherheit und einfache Bereitstellung für Umgebungen ohne PKI in Einklang bringt.

MDM (Mobile Device Management)

Software, die von IT-Abteilungen verwendet wird, um die Mobilgeräte von Mitarbeitern zu überwachen, zu verwalten und zu sichern.

Unerlässlich für die geräuschlose Konfiguration von 802.1X-Einstellungen und die Verteilung von Zertifikaten ohne Benutzereingriff.

Ausgearbeitete Beispiele

Ein Hotel mit 500 Zimmern muss sicheres WiFi für die Mobilgeräte der Mitarbeiter bereitstellen (eine Mischung aus firmeneigenen iOS-Geräten und BYOD-Android-Geräten). Derzeit wird ein gemeinsam genutzter WPA2-PSK verwendet.

Stellen Sie eine 802.1X-SSID mit PEAP-MSCHAPv2 bereit. Integrieren Sie einen Cloud-RADIUS-Server mit dem Azure AD des Hotels. Verwenden Sie für firmeneigene iOS-Geräte ein MDM, um das WiFi-Profil und das vertrauenswürdige CA-Zertifikat bereitzustellen. Bieten Sie für BYOD-Android-Geräte ein Onboarding-Portal (wie SecureW2) an, um den Supplicant des Geräts automatisch zu konfigurieren und das CA-Zertifikat zu installieren, wodurch manuelle Konfigurationsfehler vermieden werden.

Kommentar des Prüfers: Dieser Ansatz verbindet Sicherheit mit betrieblicher Machbarkeit. EAP-TLS wäre für das BYOD-Segment zu komplex, während PEAP-MSCHAPv2 mit automatisiertem Onboarding sicherstellt, dass die Anmeldedaten geschützt sind und das Serverzertifikat validiert wird.

Eine große Organisation des öffentlichen Sektors führt 5.000 firmeneigene Android-Tablets für Außendienstmitarbeiter ein und benötigt das höchste Maß an Netzwerksicherheit.

Implementieren Sie EAP-TLS. Stellen Sie eine interne PKI oder eine Cloud-CA bereit. Verwenden Sie das MDM der Organisation (z. B. VMware Workspace ONE), um eindeutige Client-Zertifikate zu generieren und an jedes Android-Tablet zu übertragen, zusammen mit dem WiFi-Konfigurationsprofil und dem Root-CA-Zertifikat. Konfigurieren Sie den RADIUS-Server so, dass er nur EAP-TLS-Verbindungen akzeptiert.

Kommentar des Prüfers: Da die Geräte vollständig verwaltet werden, ist EAP-TLS die richtige Wahl. Es eliminiert das Risiko des Diebstahls von Anmeldedaten und bietet eine starke gegenseitige Authentifizierung, wodurch die strengen Sicherheitsvorgaben des öffentlichen Sektors erfüllt werden.

Übungsfragen

Q1. Ihre Organisation führt 802.1X für eine Flotte von BYOD-Android-Geräten ein. Sie verfügen über keine MDM-Lösung. Benutzer beschweren sich, dass sie keine Verbindung zur neuen SSID herstellen können und die Fehlermeldung 'Domäne muss angegeben werden' oder 'CA-Zertifikat erforderlich' erhalten.

Hinweis: Überlegen Sie, wie moderne Android-Versionen die Validierung von Serverzertifikaten im Vergleich zu älteren Versionen handhaben.

Musterlösung anzeigen

Moderne Android-Versionen (11+) erlauben es Benutzern nicht mehr, die Validierung des Serverzertifikats zu umgehen ('Nicht validieren'). Ohne ein MDM zur Bereitstellung des CA-Zertifikats müssen Benutzer das CA-Zertifikat manuell herunterladen und im Vertrauensspeicher ihres Geräts installieren und anschließend das WiFi-Profil manuell so konfigurieren, dass dieses spezifische Zertifikat verwendet wird. Eine bessere langfristige Lösung ist die Implementierung eines Onboarding-Portals, um diesen Prozess zu automatisieren.

Q2. Sie haben EAP-TLS unter Verwendung einer internen Microsoft ADCS PKI bereitgestellt. Windows-Laptops verbinden sich einwandfrei, aber über Jamf MDM bereitgestellte iOS-Geräte scheitern stillschweigend bei der Authentifizierung.

Hinweis: Denken Sie an die vollständige Zertifikatskette und daran, was das iOS-Gerät benötigt, um dem Server zu vertrauen.

Musterlösung anzeigen

Den iOS-Geräten fehlt wahrscheinlich das Root-CA-Zertifikat (und alle Intermediate-CAs) der internen PKI. Windows-Laptops vertrauen der ADCS Root-CA automatisch über Gruppenrichtlinien. Das Jamf MDM WiFi-Profil muss aktualisiert werden, um das Root-CA-Zertifikat explizit einzuschließen, damit das iOS-Gerät das Zertifikat des RADIUS-Servers während des TLS-Handshakes validieren kann.

Q3. Während einer Veranstaltung mit hohem Datenverkehr in einem Stadion können sich viele Mobilgeräte nicht mit dem 802.1X-Netzwerk verbinden, während andere problemlos eine Verbindung herstellen. Paketaufzeichnungen zeigen, dass die APs RADIUS Access-Requests senden, der RADIUS-Server jedoch nach einigen Sekunden mit Access-Rejects antwortet oder überhaupt nicht reagiert.

Hinweis: Berücksichtigen Sie die '3-Sekunden-Regel' für Mobilgeräte und die RADIUS-Leistung.

Musterlösung anzeigen

Der RADIUS-Server ist wahrscheinlich durch das Volumen der gleichzeitigen Authentifizierungsanfragen überlastet, was zu hohen Latenzzeiten führt. Mobilgeräte haben kurze Timeout-Schwellenwerte (oft 3 Sekunden) und brechen die Verbindung ab oder versuchen es erneut, was die Last weiter erhöht. Die Lösung besteht darin, die RADIUS-Infrastruktur zu skalieren (z. B. durch Hinzufügen weiterer Knoten oder Bereitstellung regionaler Proxys) und die Timeout-/Retry-Einstellungen des WLC anzupassen.

Weiterlesen in dieser Reihe

Server RADIUS: Ein umfassender Leitfaden für Unternehmen

Dieser Leitfaden bietet IT-Managern, Netzwerkarchitekten und CTOs eine definitive technische Referenz zur Server RADIUS-Authentifizierung für Enterprise-WiFi. Er behandelt das AAA-Framework, die 802.1X-Architektur, die Auswahl von EAP-Methoden, die Abwägung zwischen Cloud- und On-Premises-Bereitstellung sowie die dynamische VLAN-Zuweisung. Betreiber von Standorten in den Bereichen Hotellerie, Einzelhandel, Events und im öffentlichen Sektor finden hier praktische Implementierungsanleitungen, Fallstudien aus der Praxis und die Entscheidungsrahmen, die für die Migration von unsicheren Pre-Shared Keys zu einer sicheren, identitätsbasierten Netzwerkzugriffskontrollarchitektur erforderlich sind.

Leitfaden lesen →

Aruba ClearPass vs. Purple WiFi: Vergleich der Funktionen und Co-Deployment

Ein umfassender technischer Leitfaden, der die Co-Deployment-Architektur von Aruba ClearPass und Purple WiFi beschreibt. Er behandelt die RADIUS-Proxy-Konfiguration, die dynamische VLAN-Zuweisung und Best Practices für die Bereitstellung sicherer, analysegestützter Gastnetzwerke neben dem Enterprise-NAC.

Leitfaden lesen →

Cisco ISE vs. Purple WiFi: Vergleich und Zusammenspiel

Dieser Leitfaden erklärt, wie Cisco ISE und Purple WiFi unterschiedliche, aber komplementäre Rollen in Unternehmensnetzwerken einnehmen. Er beschreibt detailliert, wie Cisco ISE für den sicheren 802.1X-Unternehmenszugang genutzt wird, während Purple für DSGVO-konformes Gäste-WiFi, Marketing-Analysen und CRM-Integration eingesetzt wird.

Leitfaden lesen →