Was ist Cloud RADIUS? Ein umfassender Leitfaden zu RADIUS as a Service

Was is Cloud RADIUS? Ein umfassender Leitfaden zu RADIUS as a Service. Willkommen beim Purple WiFi Intelligence Podcast. Ich bin Ihr Host, und heute machen wir ein tiefgehendes Briefing zu Cloud RADIUS — was es ist, wie es unter der Haube funktioniert und vor allem, wie Sie bewerten können, ob es in diesem Quartal der richtige Schritt für Ihr Unternehmen ist. Egal, ob Sie eine Hotelgruppe, ein Einzelhandelsnetzwerk, ein Stadion oder ein Netzwerk im öffentlichen Sektor betreiben – diese Folge ist für Sie. Legen wir los. Einführung und Kontext. Wenn Sie jemals einem Vorstand erklären mussten, warum Ihr Netzwerk-Authentifizierungsserver um 2 Uhr morgens ausgefallen ist – und warum es drei Stunden gedauert hat, ihn wieder online zu bringen –, dann verstehen Sie bereits das Kernproblem, das Cloud RADIUS löst. Eine herkömmliche On-Premises-RADIUS-Infrastruktur ist zwar leistungsstark, bringt aber einen erheblichen betrieblichen Aufwand mit sich. Hardware muss beschafft werden, Patch-Zyklen müssen verwaltet werden, Redundanz muss manuell konzipiert werden, und in Ihrem Serverraum befindet sich eine einzige Fehlerquelle (Single Point of Failure). Cloud RADIUS, oder RADIUS as a Service, verlagert diese Authentifizierungsebene in eine verwaltete, hochverfügbare Cloud-Umgebung. Das Protokoll selbst – Remote Authentication Dial-In User Service – hat sich nicht geändert. Es ist nach wie vor das Rückgrat der Netzwerkzugriffskontrolle nach IEEE 802.1X, immer noch der Mechanismus, den Ihre Access Points verwenden, um zu validieren, wer auf Ihr Netzwerk zugreift. Aber die Infrastruktur, auf der es läuft, ist nun das Problem eines anderen Anbieters. Und in der Unternehmens-IT ist das ein bedeutender Wandel. Gehen wir also ins technische Detail. Technischer Deep-Dive. RADIUS wurde ursprünglich in RFC 2865 definiert, das im Jahr 2000 veröffentlicht wurde, und hat sich als bemerkenswert langlebig erwiesen. Das Protokoll arbeitet nach einem Client-Server-Modell. Ihr Netzwerkzugriffsgerät – sei es ein WiFi-Access-Point, ein VPN-Konzentrator oder ein kabelgebundener Switch – fungiert als RADIUS-Client, auch Network Access Server oder NAS genannt. Wenn ein Benutzer versucht, eine Verbindung herzustellen, leitet der NAS ein Access-Request-Paket an den RADIUS-Server weiter. Dieser gleicht die Anmeldedaten mit einem Benutzerverzeichnis ab – in der Regel Active Directory, LDAP oder ein Cloud-Identity-Provider – und gibt entweder ein Access-Accept oder ein Access-Reject zurück. Das ist der eigentliche Austausch. Die eigentliche Komplexität liegt jedoch in den Prozessen drumherum: EAP-Methoden, VLAN-Zuweisung, Richtliniendurchsetzung, Abrechnungsdaten (Accounting) und Zertifikatsverwaltung. Bei einer herkömmlichen On-Premises-Bereitstellung betreiben Sie FreeRADIUS oder Microsoft NPS auf dedizierter Hardware, verwalten Ihre eigenen Zertifikate, konfigurieren Ihr eigenes Failover und pflegen die Synchronisierung Ihrer eigenen Benutzerdatenbank. Für einen einzelnen Standort mit einem kompetenten IT-Team ist das machbar. Für ein Einzelhandelsnetzwerk mit 50 Standorten oder eine Hotelgruppe mit Immobilien in mehreren Ländern wird dies jedoch zu einer erheblichen betrieblichen Belastung. Cloud RADIUS abstrahiert all das. Die Authentifizierungslogik, die Zertifikatsinfrastruktur, die Redundanz und die Richtlinien-Engine werden alle als Managed Service bereitgestellt. Ihre Access Points verweisen auf in der Cloud gehostete RADIUS-Endpunkte – in der Regel eine primäre und eine sekundäre IP-Adresse – und der Service kümmert sich um alles dahinter. Lassen Sie uns nun über die Authentifizierungsmethoden sprechen, denn hier kommt es auf die technischen Entscheidungen wirklich an. Die gängigste EAP-Methode im Enterprise WiFi ist PEAP – Protected EAP –, das MSCHAPv2 in einer TLS-Sitzung tunnelt. Es ist weit verbreitet, unterstützt Active Directory nativ und ist der Standard für die meisten Windows- und Android-Geräte. PEAP weist jedoch bekannte Schwachstellen auf, insbesondere bei der Zertifikatsvalidierung. Wenn Ihre Client-Geräte nicht so konfiguriert sind, dass sie das Serverzertifikat überprüfen, sind Sie Angriffen zum Abgreifen von Anmeldedaten über gefälschte Access Points ausgesetzt. EAP-TLS ist der Goldstandard. Es nutzt eine gegenseitige Zertifikatsauthentifizierung – sowohl der Server als auch der Client weisen Zertifikate vor –, wodurch die Angriffsfläche für Passwörter vollständig eliminiert wird. Der Kompromiss liegt in der Bereitstellung von Client-Zertifikaten, was eine PKI-Infrastruktur und eine MDM-Integration erfordert. Für verwaltete Geräteflotten ist dies absolut die richtige Wahl. Für BYOD-Umgebungen ist es komplexer. EAP-TTLS und EAP-FAST sind ebenfalls wichtig zu kennen. TTLS ist besonders in Umgebungen verbreitet, in denen Sie eine breite Palette von Client-Geräten, einschließlich Linux-Systemen, unterstützen müssen. EAP-FAST wurde von Cisco als Alternative zu PEAP entwickelt, um die Abhängigkeit von der Zertifikatsvalidierung zu umgehen, und verwendet stattdessen Protected Access Credentials. Ein gut strukturierter Cloud RADIUS-Service unterstützt alle diese Methoden und ermöglicht Ihnen die Konfiguration von Richtlinien pro SSID – so verwendet Ihre Unternehmens-SSID EAP-TLS mit Zertifikatsvalidierung, Ihre Mitarbeiter-SSID PEAP mit Active Directory und Ihr Gastnetzwerk nutzt ein Captive Portal oder einen Social-Login-Flow, der völlig losgelöst vom RADIUS-Stack läuft. Apropos: RADIUS und Gast-WiFi werden oft verwechselt, dienen aber unterschiedlichen Zwecken. RADIUS ist Ihre Authentifizierungs- und Autorisierungsebene für bekannte Benutzer und Geräte. Gast-WiFi nutzt in der Regel einen Captive Portal-Flow, was ein völlig anderer Mechanismus ist. Die Plattform von Purple beispielsweise wickelt die Gast-Authentifizierung über eine separate Identitätsebene ab, erfasst First-Party-Daten und ermöglicht Marketing-Automatisierung, während RADIUS die Zugriffskontrolle für das Unternehmens- und Mitarbeiternetzwerk übernimmt. Es handelt sich um komplementäre, nicht konkurrierende Systeme. Sprechen wir nun darüber, was „Cloud-hosted“ in der Praxis tatsächlich bedeutet. Ein richtig konzipierter Cloud RADIUS-Dienst läuft über mehrere Verfügbarkeitszonen hinweg und verfügt über ein automatisches Failover. Authentifizierungsanfragen werden per Load Balancing über die einzelnen Knoten verteilt, und der Dienst hält selbst unter Spitzenlast Antwortzeiten von unter 100 Millisekunden ein. Für ein Stadion, das während einer Veranstaltung 40.000 gleichzeitige Verbindungen verarbeiten muss, ist dieses Latenz- und Durchsatzprofil von entscheidender Bedeutung. Ein einzelner lokaler Server kann diese Elastizität schlichtweg nicht bieten. Aus Compliance-Sicht müssen Cloud RADIUS-Anbieter, die in Großbritannien und der EU tätig sind, bei der Verarbeitung von Authentifizierungsprotokollen und Benutzerdaten GDPR-konform sein. Für Einzelhandels- und Gastronomieumgebungen, die auch Zahlungskartendaten verarbeiten, sind die PCI-DSS-Anforderungen in Bezug auf Netzwerksegmentierung und Zugriffskontrolle von direkter Relevanz – RADIUS ist Teil Ihrer Kontrollumgebung, und Ihr QSA wird Nachweise über eine ordnungsgemäße Konfiguration und Audit-Protokollierung sehen wollen. Auch das Thema WPA3 sollte angesprochen werden. Der Übergang von WPA2 zu WPA3 führt Simultaneous Authentication of Equals – SAE – für persönliche Netzwerke und WPA3-Enterprise für Unternehmensumgebungen ein. WPA3-Enterprise schreibt für die höchste Klassifizierung den 192-Bit-Sicherheitsmodus vor, was spezifische EAP-Methoden und Verschlüsselungssammlungen (Cipher Suites) erfordert. Ein Cloud RADIUS-Dienst muss diese Konfigurationen unterstützen, um zukunftssicher zu sein. Empfehlungen für die Implementierung und Fallstricke. Kommen wir nun zur Praxis. Wenn Sie Cloud RADIUS für die Bereitstellung in diesem Quartal evaluieren, sollten Sie sich auf folgende Aspekte konzentrieren: Erstens: Die Integration mit Ihrem Identitätsanbieter (Identity Provider). Ihr Cloud RADIUS-Dienst muss mit dem System synchronisiert werden, in dem Ihre Benutzer tatsächlich angelegt sind – sei es Microsoft Entra ID (ehemals Azure AD), Google Workspace, Okta oder ein lokales Active Directory über einen LDAP-Proxy. Die Qualität dieser Integration bestimmt Ihren betrieblichen Aufwand. Eine native SAML- oder SCIM-Bereitstellung ist manuellen CSV-Importen bei Weitem vorzuziehen. Zweitens: Das Zertifikatsmanagement. Wenn Sie EAP-TLS bereitstellen, benötigen Sie eine klare Antwort darauf, wie Client-Zertifikate ausgestellt, erneuert und widerrufen werden. Die besten Cloud RADIUS-Dienste enthalten eine integrierte PKI oder lassen sich nahtlos in Ihre bestehende Zertifizierungsstelle integrieren. Der Ablauf von Zertifikaten ist eine der häufigsten Ursachen für Authentifizierungsfehler im enterprise WiFi – durch eine entsprechende Automatisierung ist dies völlig vermeidbar. Drittens: Die Kompatibilität der Netzwerkgeräte. Ihre Access Points müssen die RADIUS-Authentifizierung unterstützen – praktisch alle Enterprise-APs tun dies –, aber Sie müssen die spezifischen EAP-Methoden und RADIUS-Attribute, die Ihr ausgewählter Dienst unterstützt, mit der Implementierung Ihres AP-Herstellers abgleichen. Cisco, Aruba, Juniper Mist und Ruckus weisen jeweils eigene Nuancen bei der Handhabung von RADIUS-Attributen und CoA-Nachrichten (Change of Authorisation) auf. Viertens: die Redundanzkonfiguration. Konfigurieren Sie immer sowohl eine primäre als auch eine sekundäre RADIUS-Server-IP. Das Failover-Timeout auf Ihren NAS-Geräten ist entscheidend – wenn es zu hoch eingestellt ist, kommt es bei den Benutzern zu einer Authentifizierungsverzögerung von 30 Sekunden, wenn der primäre Server nicht erreichbar ist. Ein Timeout von 3 bis 5 Sekunden mit sofortigem Failover ist für die meisten Umgebungen die richtige Konfiguration. Fünftens – und das wird am häufigsten übersehen – das Accounting. RADIUS-Accounting-Datensätze sind Ihr Audit-Trail. Sie zeigen Ihnen, wer sich von welchem Gerät, zu welcher Zeit und wie lange verbunden hat. Aus Compliance-Gründen, insbesondere im Gesundheitswesen und im öffentlichen Sektor, müssen diese Datensätze aufbewahrt werden und zugänglich sein. Stellen Sie sicher, dass Ihr Cloud-RADIUS-Anbieter Ihnen Zugriff auf die Accounting-Daten und nicht nur auf die Authentifizierungsprotokolle gewährt. Häufige Fallstricke: Die Komplexität des Shared Secrets. Ihr RADIUS Shared Secret – der Pre-Shared Key zwischen Ihrem NAS und dem RADIUS-Server – muss lang und zufällig sein. Kurze oder leicht zu erratende Shared Secrets sind ein reales Angriffsrisiko. Verwenden Sie mindestens 32 zufällig generierte Zeichen und rotieren Sie diese nach einem festen Zeitplan. Achten Sie auch auf das IP-Whitelisting. Viele Cloud-RADIUS-Dienste erfordern, dass Sie die Quell-IPs Ihrer NAS-Geräte auf eine Whitelist setzen. In einer dynamischen Cloud-Umgebung, in der Ihre AP-Verwaltungsplattform möglicherweise NAT verwendet, kann dies zu unerwarteten Authentifizierungsfehlern führen. Überprüfen Sie vor der Bereitstellung das NAT-Verhalten Ihres Netzwerks. Schnelle Fragen und Antworten. Lassen Sie uns einige Fragen durchgehen, die mir regelmäßig gestellt werden. Kann Cloud-RADIUS Multi-Tenant-Umgebungen unterstützen? Ja – die meisten Enterprise-Cloud-RADIUS-Dienste unterstützen die Mandantenisolierung, sodass ein Managed Service Provider separate RADIUS-Richtlinien für mehrere Kunden über eine einzige Plattform ausführen kann. Wie hoch ist die typische Latenzzeit bei einer Cloud-RADIUS-Authentifizierung? Unter 100 Millisekunden bei einem gut konzipierten Dienst. Der 802.1X-Handshake selbst verursacht zwar einen gewissen Overhead, aber bei den meisten EAP-Methoden sollte die gesamte Authentifizierungszeit durchgängig unter 500 Millisekunden liegen. Funktioniert Cloud-RADIUS mit OpenRoaming? Ja. OpenRoaming – das Roaming-Framework der Wireless Broadband Alliance – nutzt im Kern die RADIUS-Federation. Ein Cloud-RADIUS-Dienst, der Hotspot 2.0 und OpenRoaming unterstützt, ermöglicht es Ihren Benutzern, sich automatisch in allen teilnehmenden Netzwerken weltweit zu authentifizieren. Purple unterstützt OpenRoaming im Rahmen seiner Connect-Lizenz und fungiert als Identity Provider in der Federation. Ist Cloud-RADIUS für Hochsicherheitsumgebungen geeignet? Für die meisten Unternehmensumgebungen ja. Für Umgebungen mit geheim gehaltenen Daten oder spezifischen staatlichen Sicherheitsklassifizierungen müssen Sie eventuell prüfen, ob ein verwalteter Cloud-Dienst Ihre spezifischen Akkreditierungsanforderungen erfüllt. Zusammenfassung und nächste Schritte. Zusammenfassend lässt sich sagen: Cloud RADIUS ist ein ausgereifter, produktionsreifer Ansatz für die Netzwerkzugriffskontrolle, der den betrieblichen Aufwand einer On-Premises-RADIUS-Infrastruktur eliminiert, ohne Kompromisse bei Sicherheit oder Funktionalität einzugehen. Für Unternehmen mit mehreren Standorten liegt der ROI auf der Hand: Sie sparen Hardware-Investitionskosten (Capex), reduzieren den IT-Overhead, erhalten integrierte Redundanz und nutzen einen Dienst, der sich flexibel an Ihr Unternehmen anpasst. Die wichtigsten Entscheidungen sind: Welche EAP-Methode eignet sich am besten für Ihre Geräteflotte, wie erfolgt die Integration in Ihren bestehenden Identitätsanbieter (IDP) und ob der gewählte Dienst die von Ihrem Unternehmen geforderten Compliance- und Audit-Funktionen bietet. Wenn Sie eine Hotelgruppe, eine Einzelhandelskette oder Netzwerke im öffentlichen Sektor verwalten, empfehle ich, mit einem Proof-of-Concept an einem einzelnen Standort zu beginnen – optimieren Sie Ihre RADIUS-Konfiguration, validieren Sie die Integration mit Ihrem Identitätsanbieter und messen Sie die Authentifizierungslatenz, bevor Sie das System im gesamten Unternehmen implementieren. Weitere Informationen zu WiFi-Analysen, der Verwaltung von Gästenetzwerken und der Integration der Purple-Plattform in die RADIUS-basierte Authentifizierung finden Sie unter purple.ai. Vielen Dank fürs Lesen.