Was ist Cloud RADIUS? Ein umfassender Leitfaden zu RADIUS as a Service

Dieser umfassende Leitfaden untersucht Cloud RADIUS (RADIUS as a Service) und beschreibt dessen Architektur, EAP-Methoden und Implementierungsstrategien im Detail. Er bietet IT-Verantwortlichen praxistaugliche Erkenntnisse für die Migration von On-Premises-Servern zu einem skalierbaren, sicheren und datenschutzkonformen cloudbasierten Authentifizierungsmodell.

📖 5 Min. Lesezeit📝 1,077 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Was is Cloud RADIUS? Ein umfassender Leitfaden zu RADIUS as a Service.

Willkommen beim Purple WiFi Intelligence Podcast. Ich bin Ihr Host, und heute machen wir ein tiefgehendes Briefing zu Cloud RADIUS — was es ist, wie es unter der Haube funktioniert und vor allem, wie Sie bewerten können, ob es in diesem Quartal der richtige Schritt für Ihr Unternehmen ist. Egal, ob Sie eine Hotelgruppe, ein Einzelhandelsnetzwerk, ein Stadion oder ein Netzwerk im öffentlichen Sektor betreiben – diese Folge ist für Sie.

Legen wir los.

Einführung und Kontext.

Wenn Sie jemals einem Vorstand erklären mussten, warum Ihr Netzwerk-Authentifizierungsserver um 2 Uhr morgens ausgefallen ist – und warum es drei Stunden gedauert hat, ihn wieder online zu bringen –, dann verstehen Sie bereits das Kernproblem, das Cloud RADIUS löst. Eine herkömmliche On-Premises-RADIUS-Infrastruktur ist zwar leistungsstark, bringt aber einen erheblichen betrieblichen Aufwand mit sich. Hardware muss beschafft werden, Patch-Zyklen müssen verwaltet werden, Redundanz muss manuell konzipiert werden, und in Ihrem Serverraum befindet sich eine einzige Fehlerquelle (Single Point of Failure).

Cloud RADIUS, oder RADIUS as a Service, verlagert diese Authentifizierungsebene in eine verwaltete, hochverfügbare Cloud-Umgebung. Das Protokoll selbst – Remote Authentication Dial-In User Service – hat sich nicht geändert. Es ist nach wie vor das Rückgrat der Netzwerkzugriffskontrolle nach IEEE 802.1X, immer noch der Mechanismus, den Ihre Access Points verwenden, um zu validieren, wer auf Ihr Netzwerk zugreift. Aber die Infrastruktur, auf der es läuft, ist nun das Problem eines anderen Anbieters. Und in der Unternehmens-IT ist das ein bedeutender Wandel.

Gehen wir also ins technische Detail.

Technischer Deep-Dive.

RADIUS wurde ursprünglich in RFC 2865 definiert, das im Jahr 2000 veröffentlicht wurde, und hat sich als bemerkenswert langlebig erwiesen. Das Protokoll arbeitet nach einem Client-Server-Modell. Ihr Netzwerkzugriffsgerät – sei es ein WiFi-Access-Point, ein VPN-Konzentrator oder ein kabelgebundener Switch – fungiert als RADIUS-Client, auch Network Access Server oder NAS genannt. Wenn ein Benutzer versucht, eine Verbindung herzustellen, leitet der NAS ein Access-Request-Paket an den RADIUS-Server weiter. Dieser gleicht die Anmeldedaten mit einem Benutzerverzeichnis ab – in der Regel Active Directory, LDAP oder ein Cloud-Identity-Provider – und gibt entweder ein Access-Accept oder ein Access-Reject zurück.

Das ist der eigentliche Austausch. Die eigentliche Komplexität liegt jedoch in den Prozessen drumherum: EAP-Methoden, VLAN-Zuweisung, Richtliniendurchsetzung, Abrechnungsdaten (Accounting) und Zertifikatsverwaltung.

Bei einer herkömmlichen On-Premises-Bereitstellung betreiben Sie FreeRADIUS oder Microsoft NPS auf dedizierter Hardware, verwalten Ihre eigenen Zertifikate, konfigurieren Ihr eigenes Failover und pflegen die Synchronisierung Ihrer eigenen Benutzerdatenbank. Für einen einzelnen Standort mit einem kompetenten IT-Team ist das machbar. Für ein Einzelhandelsnetzwerk mit 50 Standorten oder eine Hotelgruppe mit Immobilien in mehreren Ländern wird dies jedoch zu einer erheblichen betrieblichen Belastung.
Cloud RADIUS abstrahiert all das. Die Authentifizierungslogik, die Zertifikatsinfrastruktur, die Redundanz und die Richtlinien-Engine werden alle als Managed Service bereitgestellt. Ihre Access Points verweisen auf in der Cloud gehostete RADIUS-Endpunkte – in der Regel eine primäre und eine sekundäre IP-Adresse – und der Service kümmert sich um alles dahinter.

Lassen Sie uns nun über die Authentifizierungsmethoden sprechen, denn hier kommt es auf die technischen Entscheidungen wirklich an.

Die gängigste EAP-Methode im Enterprise WiFi ist PEAP – Protected EAP –, das MSCHAPv2 in einer TLS-Sitzung tunnelt. Es ist weit verbreitet, unterstützt Active Directory nativ und ist der Standard für die meisten Windows- und Android-Geräte. PEAP weist jedoch bekannte Schwachstellen auf, insbesondere bei der Zertifikatsvalidierung. Wenn Ihre Client-Geräte nicht so konfiguriert sind, dass sie das Serverzertifikat überprüfen, sind Sie Angriffen zum Abgreifen von Anmeldedaten über gefälschte Access Points ausgesetzt.

EAP-TLS ist der Goldstandard. Es nutzt eine gegenseitige Zertifikatsauthentifizierung – sowohl der Server als auch der Client weisen Zertifikate vor –, wodurch die Angriffsfläche für Passwörter vollständig eliminiert wird. Der Kompromiss liegt in der Bereitstellung von Client-Zertifikaten, was eine PKI-Infrastruktur und eine MDM-Integration erfordert. Für verwaltete Geräteflotten ist dies absolut die richtige Wahl. Für BYOD-Umgebungen ist es komplexer.

EAP-TTLS und EAP-FAST sind ebenfalls wichtig zu kennen. TTLS ist besonders in Umgebungen verbreitet, in denen Sie eine breite Palette von Client-Geräten, einschließlich Linux-Systemen, unterstützen müssen. EAP-FAST wurde von Cisco als Alternative zu PEAP entwickelt, um die Abhängigkeit von der Zertifikatsvalidierung zu umgehen, und verwendet stattdessen Protected Access Credentials.

Ein gut strukturierter Cloud RADIUS-Service unterstützt alle diese Methoden und ermöglicht Ihnen die Konfiguration von Richtlinien pro SSID – so verwendet Ihre Unternehmens-SSID EAP-TLS mit Zertifikatsvalidierung, Ihre Mitarbeiter-SSID PEAP mit Active Directory und Ihr Gastnetzwerk nutzt ein Captive Portal oder einen Social-Login-Flow, der völlig losgelöst vom RADIUS-Stack läuft.

Apropos: RADIUS und Gast-WiFi werden oft verwechselt, dienen aber unterschiedlichen Zwecken. RADIUS ist Ihre Authentifizierungs- und Autorisierungsebene für bekannte Benutzer und Geräte. Gast-WiFi nutzt in der Regel einen Captive Portal-Flow, was ein völlig anderer Mechanismus ist. Die Plattform von Purple beispielsweise wickelt die Gast-Authentifizierung über eine separate Identitätsebene ab, erfasst First-Party-Daten und ermöglicht Marketing-Automatisierung, während RADIUS die Zugriffskontrolle für das Unternehmens- und Mitarbeiternetzwerk übernimmt. Es handelt sich um komplementäre, nicht konkurrierende Systeme.

Sprechen wir nun darüber, was „Cloud-hosted“ in der Praxis tatsächlich bedeutet. Ein richtig konzipierter Cloud RADIUS-Dienst läuft über mehrere Verfügbarkeitszonen hinweg und verfügt über ein automatisches Failover. Authentifizierungsanfragen werden per Load Balancing über die einzelnen Knoten verteilt, und der Dienst hält selbst unter Spitzenlast Antwortzeiten von unter 100 Millisekunden ein. Für ein Stadion, das während einer Veranstaltung 40.000 gleichzeitige Verbindungen verarbeiten muss, ist dieses Latenz- und Durchsatzprofil von entscheidender Bedeutung. Ein einzelner lokaler Server kann diese Elastizität schlichtweg nicht bieten.

Aus Compliance-Sicht müssen Cloud RADIUS-Anbieter, die in Großbritannien und der EU tätig sind, bei der Verarbeitung von Authentifizierungsprotokollen und Benutzerdaten GDPR-konform sein. Für Einzelhandels- und Gastronomieumgebungen, die auch Zahlungskartendaten verarbeiten, sind die PCI-DSS-Anforderungen in Bezug auf Netzwerksegmentierung und Zugriffskontrolle von direkter Relevanz – RADIUS ist Teil Ihrer Kontrollumgebung, und Ihr QSA wird Nachweise über eine ordnungsgemäße Konfiguration und Audit-Protokollierung sehen wollen.

Auch das Thema WPA3 sollte angesprochen werden. Der Übergang von WPA2 zu WPA3 führt Simultaneous Authentication of Equals – SAE – für persönliche Netzwerke und WPA3-Enterprise für Unternehmensumgebungen ein. WPA3-Enterprise schreibt für die höchste Klassifizierung den 192-Bit-Sicherheitsmodus vor, was spezifische EAP-Methoden und Verschlüsselungssammlungen (Cipher Suites) erfordert. Ein Cloud RADIUS-Dienst muss diese Konfigurationen unterstützen, um zukunftssicher zu sein.

Empfehlungen für die Implementierung und Fallstricke.

Kommen wir nun zur Praxis. Wenn Sie Cloud RADIUS für die Bereitstellung in diesem Quartal evaluieren, sollten Sie sich auf folgende Aspekte konzentrieren:

Erstens: Die Integration mit Ihrem Identitätsanbieter (Identity Provider). Ihr Cloud RADIUS-Dienst muss mit dem System synchronisiert werden, in dem Ihre Benutzer tatsächlich angelegt sind – sei es Microsoft Entra ID (ehemals Azure AD), Google Workspace, Okta oder ein lokales Active Directory über einen LDAP-Proxy. Die Qualität dieser Integration bestimmt Ihren betrieblichen Aufwand. Eine native SAML- oder SCIM-Bereitstellung ist manuellen CSV-Importen bei Weitem vorzuziehen.

Zweitens: Das Zertifikatsmanagement. Wenn Sie EAP-TLS bereitstellen, benötigen Sie eine klare Antwort darauf, wie Client-Zertifikate ausgestellt, erneuert und widerrufen werden. Die besten Cloud RADIUS-Dienste enthalten eine integrierte PKI oder lassen sich nahtlos in Ihre bestehende Zertifizierungsstelle integrieren. Der Ablauf von Zertifikaten ist eine der häufigsten Ursachen für Authentifizierungsfehler im enterprise WiFi – durch eine entsprechende Automatisierung ist dies völlig vermeidbar.

Drittens: Die Kompatibilität der Netzwerkgeräte. Ihre Access Points müssen die RADIUS-Authentifizierung unterstützen – praktisch alle Enterprise-APs tun dies –, aber Sie müssen die spezifischen EAP-Methoden und RADIUS-Attribute, die Ihr ausgewählter Dienst unterstützt, mit der Implementierung Ihres AP-Herstellers abgleichen. Cisco, Aruba, Juniper Mist und Ruckus weisen jeweils eigene Nuancen bei der Handhabung von RADIUS-Attributen und CoA-Nachrichten (Change of Authorisation) auf.

Viertens: die Redundanzkonfiguration. Konfigurieren Sie immer sowohl eine primäre als auch eine sekundäre RADIUS-Server-IP. Das Failover-Timeout auf Ihren NAS-Geräten ist entscheidend – wenn es zu hoch eingestellt ist, kommt es bei den Benutzern zu einer Authentifizierungsverzögerung von 30 Sekunden, wenn der primäre Server nicht erreichbar ist. Ein Timeout von 3 bis 5 Sekunden mit sofortigem Failover ist für die meisten Umgebungen die richtige Konfiguration.

Fünftens – und das wird am häufigsten übersehen – das Accounting. RADIUS-Accounting-Datensätze sind Ihr Audit-Trail. Sie zeigen Ihnen, wer sich von welchem Gerät, zu welcher Zeit und wie lange verbunden hat. Aus Compliance-Gründen, insbesondere im Gesundheitswesen und im öffentlichen Sektor, müssen diese Datensätze aufbewahrt werden und zugänglich sein. Stellen Sie sicher, dass Ihr Cloud-RADIUS-Anbieter Ihnen Zugriff auf die Accounting-Daten und nicht nur auf die Authentifizierungsprotokolle gewährt.

Häufige Fallstricke: Die Komplexität des Shared Secrets. Ihr RADIUS Shared Secret – der Pre-Shared Key zwischen Ihrem NAS und dem RADIUS-Server – muss lang und zufällig sein. Kurze oder leicht zu erratende Shared Secrets sind ein reales Angriffsrisiko. Verwenden Sie mindestens 32 zufällig generierte Zeichen und rotieren Sie diese nach einem festen Zeitplan.

Achten Sie auch auf das IP-Whitelisting. Viele Cloud-RADIUS-Dienste erfordern, dass Sie die Quell-IPs Ihrer NAS-Geräte auf eine Whitelist setzen. In einer dynamischen Cloud-Umgebung, in der Ihre AP-Verwaltungsplattform möglicherweise NAT verwendet, kann dies zu unerwarteten Authentifizierungsfehlern führen. Überprüfen Sie vor der Bereitstellung das NAT-Verhalten Ihres Netzwerks.

Schnelle Fragen und Antworten.

Lassen Sie uns einige Fragen durchgehen, die mir regelmäßig gestellt werden.

Kann Cloud-RADIUS Multi-Tenant-Umgebungen unterstützen? Ja – die meisten Enterprise-Cloud-RADIUS-Dienste unterstützen die Mandantenisolierung, sodass ein Managed Service Provider separate RADIUS-Richtlinien für mehrere Kunden über eine einzige Plattform ausführen kann.

Wie hoch ist die typische Latenzzeit bei einer Cloud-RADIUS-Authentifizierung? Unter 100 Millisekunden bei einem gut konzipierten Dienst. Der 802.1X-Handshake selbst verursacht zwar einen gewissen Overhead, aber bei den meisten EAP-Methoden sollte die gesamte Authentifizierungszeit durchgängig unter 500 Millisekunden liegen.

Funktioniert Cloud-RADIUS mit OpenRoaming? Ja. OpenRoaming – das Roaming-Framework der Wireless Broadband Alliance – nutzt im Kern die RADIUS-Federation. Ein Cloud-RADIUS-Dienst, der Hotspot 2.0 und OpenRoaming unterstützt, ermöglicht es Ihren Benutzern, sich automatisch in allen teilnehmenden Netzwerken weltweit zu authentifizieren. Purple unterstützt OpenRoaming im Rahmen seiner Connect-Lizenz und fungiert als Identity Provider in der Federation.

Ist Cloud-RADIUS für Hochsicherheitsumgebungen geeignet? Für die meisten Unternehmensumgebungen ja. Für Umgebungen mit geheim gehaltenen Daten oder spezifischen staatlichen Sicherheitsklassifizierungen müssen Sie eventuell prüfen, ob ein verwalteter Cloud-Dienst Ihre spezifischen Akkreditierungsanforderungen erfüllt.

Zusammenfassung und nächste Schritte.

Zusammenfassend lässt sich sagen: Cloud RADIUS ist ein ausgereifter, produktionsreifer Ansatz für die Netzwerkzugriffskontrolle, der den betrieblichen Aufwand einer On-Premises-RADIUS-Infrastruktur eliminiert, ohne Kompromisse bei Sicherheit oder Funktionalität einzugehen. Für Unternehmen mit mehreren Standorten liegt der ROI auf der Hand: Sie sparen Hardware-Investitionskosten (Capex), reduzieren den IT-Overhead, erhalten integrierte Redundanz und nutzen einen Dienst, der sich flexibel an Ihr Unternehmen anpasst.

Die wichtigsten Entscheidungen sind: Welche EAP-Methode eignet sich am besten für Ihre Geräteflotte, wie erfolgt die Integration in Ihren bestehenden Identitätsanbieter (IDP) und ob der gewählte Dienst die von Ihrem Unternehmen geforderten Compliance- und Audit-Funktionen bietet.

Wenn Sie eine Hotelgruppe, eine Einzelhandelskette oder Netzwerke im öffentlichen Sektor verwalten, empfehle ich, mit einem Proof-of-Concept an einem einzelnen Standort zu beginnen – optimieren Sie Ihre RADIUS-Konfiguration, validieren Sie die Integration mit Ihrem Identitätsanbieter und messen Sie die Authentifizierungslatenz, bevor Sie das System im gesamten Unternehmen implementieren.

Weitere Informationen zu WiFi-Analysen, der Verwaltung von Gästenetzwerken und der Integration der Purple-Plattform in die RADIUS-basierte Authentifizierung finden Sie unter purple.ai. Vielen Dank fürs Lesen.

Wichtigste Erkenntnisse

✓Cloud RADIUS eliminiert die Investitionskosten (Capex) und den Wartungsaufwand von On-Premises-Authentifizierungsserver.
✓Es bietet elastische Skalierbarkeit und globale Redundanz, was für verteilte Einzelhandels-, Hospitality- und Unternehmensumgebungen unerlässlich ist.
✓Die Migration zu EAP-TLS über Cloud RADIUS ist der Goldstandard für die Absicherung von Netzwerken gegen das Abgreifen von Anmeldedaten.
✓Die nahtlose Integration mit modernen IdPs (Entra ID, Google Workspace) über SCIM automatisiert das Onboarding und Offboarding von Benutzern.
✓Die ordnungsgemäße NAS-Konfiguration, einschließlich Failover-Timeouts von 3-5 Sekunden und komplexer Shared Secrets, ist entscheidend für die Zuverlässigkeit.
✓Von Cloud RADIUS erstellte Accounting-Protokolle sind zwingend erforderlich, um die Compliance mit PCI DSS und GDPR nachzuweisen.
✓RADIUS verwaltet den Zugriff bekannter Benutzer, während Guest-WiFi-Plattformen die Interaktion mit Besuchern und die Datenerfassung übernehmen.

执行摘要

对于现代企业网络，传统本地部署的 RADIUS (Remote Authentication Dial-In User Service) 架构构成了一个重大的运维瓶颈。管理物理服务器、打操作系统补丁、处理证书颁发机构以及设计多站点冗余会消耗宝贵的 IT 资源。Cloud RADIUS（或称 RADIUS 即服务）通过将 IEEE 802.1X 认证层迁移到托管的、高可用的云基础设施来解决这一问题。本指南为评估部署策略的 IT 经理、网络架构师和 CTO 提供了 Cloud RADIUS 的全面技术概述。通过从资本支出高、手动维护的系统转变为弹性的、全球分布式的模型，零售、酒店和交通行业的组织可以执行强大的访问策略，实现合规性（如 PCI DSS 和 GDPR），并与 Microsoft Entra ID 和 Google Workspace 等现代身份提供商无缝集成。

技术深度解析

RADIUS 架构的演变

RADIUS 最初在 RFC 2865 中定义，它基于客户端-服务器模型运行，其中网络接入服务器 (NAS) —— 例如 WiFi 接入点或 VPN 集中器 —— 将认证请求转发到中央服务器。在过去，这意味着在专用硬件上部署 FreeRADIUS 或 Microsoft 网络策略服务器 (NPS)。虽然这对于单站点部署是可行的，但在分布式环境中扩展此架构会带来显着的延迟和冗余挑战。

Cloud RADIUS 抽象了底层基础设施。认证请求被路由到全球分布的云端点，即使在峰值负载下也能确保低于 100 毫秒的响应时间。这种弹性对于体育场馆或会议中心等高密度环境至关重要。

EAP 方法与安全态势

可扩展身份验证协议 (EAP) 方法的选择从根本上决定了您的安全态势：

PEAP (Protected EAP): 在 TLS 会话中建立 MSCHAPv2 隧道。虽然 PEAP 得到广泛支持且易于与 Active Directory 集成，但如果客户端设备未严格配置为验证服务器证书，则 PEAP 容易受到通过流氓接入点进行凭据窃取的影响。
EAP-TLS： 企业级黄金标准。它要求进行双向证书身份验证——服务器和客户端都必须出示有效的证书。这完全消除了基于密码的攻击，但需要强大的公钥基础设施（PKI）和移动设备管理（MDM）集成来进行证书部署。
EAP-TTLS 和 EAP-FAST： 提供替代方案，适用于需要广泛的客户端兼容性（包括遗留系统或 Linux 系统）或者需要使用受保护的访问凭据（PAC）来绕过证书验证依赖项的场景。

WPA3 和 OpenRoaming 集成

现代部署必须考虑 WPA3-Enterprise，它强制要求 192 位安全模式以达到最高安全级别，这需要特定的密码套件。此外，Cloud RADIUS 还有助于参与 OpenRoaming 等联盟框架。例如，Purple 在其 Connect 许可下作为 OpenRoaming 的免费身份提供商，允许在全球参与的各网络之间进行无缝、安全的身份验证。

实施指南

部署 Cloud RADIUS 需要采用系统化的方法，以确保过渡期间的零停机时间。

第 1 步：身份提供商（IdP）集成

您的 Cloud RADIUS 实例必须与您的权威用户目录同步。与 Microsoft Entra ID、Google Workspace 或 Okta 进行原生 SAML 或 SCIM 配置，比手动 LDAP 代理或 CSV 导入更值得推荐。这可以确保当员工在 HR 系统中办理离职时，其网络访问权限会立即被撤销。

第 2 步：证书管理策略

如果部署 EAP-TLS，请定义您的证书生命周期。选择一个包含集成 PKI 或与您现有的证书颁发机构（CA）无缝集成的 Cloud RADIUS 提供商。通过您的 MDM 平台（例如 Intune 或 Jamf）自动进行证书的颁发和撤销，以防止因证书过期而导致身份验证失败。

第 3 步：网络设备配置

配置您的 NAS 设备（接入点、交换机）以指向主和备 Cloud RADIUS IP 地址。确保共享密钥在密码学上足够复杂（最少 32 个随机字符）。调整故障转移超时设置；3 到 5 秒的超时是最理想的，可以防止在主节点无法访问时出现长时间的身份验证延迟。

第 4 步：策略定义

建立基于每个 SSID 的策略。例如，企业网络强制执行 EAP-TLS，遗留物联网设备执行 PEAP，并隔离访客访问。请注意，RADIUS 处理已知用户；对于访客，请部署专用的 Guest WiFi 解决方案和 Captive Portal 以收集一手数据，并与 WiFi Analytics 平台进行集成。有关访客互动的更多信息，请参考如何提高访客满意度：终极指南。

最佳实践

实施严格的服务器证书验证： 对于 PEAP 部署，推送组策略或 MDM 配置文件，强制客户端验证 RADIUS 服务器证书，并将信任限制在特定的根 CA。
细分计费与认证流量： 确保对 RADIUS 计费数据进行主动监控和保留。此审计跟踪对于合规性报告（例如 PCI DSS、HIPAA）至关重要。
监控认证延迟： 高延迟通常表明路由欠佳或 IdP 同步存在问题。使用监控工具追踪从 Access-Request 到 Access-Accept 数据包所需的时间。
优化信号与信道规划： 可靠的认证依赖于稳定的物理层。审阅诸如 Understanding RSSI and Signal Strength for Optimal Channel Planning 的指南，以确保您的射频环境支持无缝的 802.1X 漫游。

故障排除与风险缓解

即使使用托管服务，配置错误也可能导致访问失败。常见的失败模式包括：

证书过期： EAP-TLS 失败的首要原因。缓解措施： 在 CA 或服务器证书过期前 30 天实施自动告警。
共享密钥不匹配： 通常发生在添加新接入点时。缓解措施： 在您的网络管理系统中标准化配置模板。
NAT 和 IP 白名单问题： Cloud RADIUS 提供商通常需要 NAS IP 白名单。如果您的分支机构使用动态 IP 或复杂的 NAT 配置，认证请求可能会被丢弃。缓解措施： 如有必要，使用静态出口 IP 或部署本地 RADIUS 代理。
IdP 同步失败： 如果云目录未能与本地 AD 同步，新用户将无法进行认证。缓解措施： 主动监控 SCIM/LDAP 连接器状态。

ROI 与业务影响

过渡到 Cloud RADIUS 可提供可衡量的业务价值：

减少基础设施资本支出 (Capex)： 无需在每个主要站点购买、上架和为物理 RADIUS 服务器供电。
降低运营开销： IT 团队无需再花费数小时来修补操作系统漏洞或手动管理服务器故障转移。供应商管理的更新可确保持续合规。
增强安全态势： 通过云 PKI 过渡到 EAP-TLS 可降低凭据被盗的风险，直接降低潜在的数据泄露成本。
敏捷性与可扩展性： 在开设新的零售分支机构或酒店时，网络认证可以在几分钟内完成配置，而不是几周。有关实用的推广策略，请参阅 Setting Up WiFi for Business: A 2026 Playbook 。

通过集中式访问控制，企业不仅能够保障其边界安全，还能释放资深工程人才的精力，使其专注于战略性主导项目，而无需维护过时的传统基础设施。

Schlüsseldefinitionen

Cloud RADIUS

Ein Managed Service, der das Remote Authentication Dial-In User Service-Protokoll in einer hochverfügbaren Cloud-Umgebung hostet, wodurch lokale Authentifizierungsserver überflüssig werden.

Wird von IT-Teams evaluiert, die Investitionsausgaben (CAPEX) für Hardware und den betrieblichen Aufwand reduzieren und gleichzeitig einen sicheren 802.1X-Netzwerkzugang aufrechterhalten möchten.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Eine hochsichere Authentifizierungsmethode, bei der sowohl der Client als auch der Server digitale Zertifikate vorlegen müssen, um ihre Identität nachzuweisen.

Der empfohlene Standard für Unternehmensnetzwerke zur Verhinderung passwortbasierter Angriffe, der eine PKI und ein MDM für die Bereitstellung erfordert.

NAS (Network Access Server)

Das Gerät – wie z. B. ein WiFi-Access-Point, ein Switch oder ein VPN-Konzentrator –, das als RADIUS-Client fungiert und die Benutzer-Anmeldeinformationen an den RADIUS-Server weiterleitet.

Netzwerktechniker müssen den NAS mit den korrekten RADIUS-Server-IPs und Shared Secrets konfigurieren, um die 802.1X-Authentifizierung zu aktivieren.

Shared Secret

Eine kryptografische Textzeichenfolge, die nur dem NAS und dem RADIUS-Server bekannt ist. Sie wird zur Verschlüsselung von RADIUS-Paketen und zur Überprüfung der Authentizität des Absenders verwendet.

Ein schwaches Shared Secret stellt eine erhebliche Sicherheitslücke dar; bei Bereitstellungen in Unternehmen sollten lange, zufällig generierte Zeichenfolgen verwendet werden.

SCIM (System for Cross-domain Identity Management)

Ein offener Standard, der den Austausch von Benutzeridentitätsinformationen zwischen IT-Systemen oder Cloud-Anwendungen automatisiert.

Wird verwendet, um Benutzer im Cloud RADIUS-Verzeichnis automatisch bereitzustellen und wieder zu entfernen, wenn Änderungen im primären HR- oder IT-Identitätssystem vorgenommen werden.

OpenRoaming

Ein von der Wireless Broadband Alliance entwickeltes Föderations-Framework, das es Benutzern ermöglicht, sich weltweit automatisch und sicher mit teilnehmenden WiFi-Netzwerken zu verbinden.

Cloud RADIUS-Anbieter, die OpenRoaming unterstützen (wie Purple), ermöglichen es Veranstaltungsorten, Besuchern eine nahtlose und sichere Verbindung ohne Captive Portals anzubieten.

Accounting Logs

Vom RADIUS-Server generierte Protokolle, die Details zu den Verbindungsereignissen der Benutzer enthalten, einschließlich Startzeit, Endzeit, übertragener Datenmenge und zugewiesener IP-Adresse.

Entscheidend für Sicherheitsaudits, Fehlerbehebung und den Nachweis der Konformität mit Frameworks wie PCI DSS und GDPR.

Change of Authorization (CoA)

Eine RADIUS-Funktion, die es dem Server ermöglicht, die aktive Sitzung eines Benutzers dynamisch zu ändern, beispielsweise durch Wechsel des VLANs oder Trennen der Verbindung, ohne dass eine erneute Verbindung erforderlich ist.

Wird von Netzwerkadministratoren verwendet, um ein kompromittiertes Gerät sofort unter Quarantäne zu stellen oder neue Richtlinieneinschränkungen mitten in der Sitzung anzuwenden.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern nutzt derzeit ein On-Premises Microsoft NPS für die WiFi-Authentifizierung der Mitarbeiter via PEAP. Während der Haupt-Check-in-Zeiten kommt es zu Authentifizierungs-Timeouts. Das Hotel möchte auf Cloud RADIUS mit EAP-TLS umsteigen, um die Sicherheit und Zuverlässigkeit zu verbessern. Wie sollte der IT-Director diese Migration aufbauen?

Bereitstellen eines Cloud RADIUS-Tenants und Integration in das Microsoft Entra ID des Hotels via SCIM für ein automatisiertes Benutzer-Lifecycle-Management. 2. Konfigurieren der integrierten PKI von Cloud RADIUS zur Ausstellung von Client-Zertifikaten. 3. Nutzung des bestehenden MDM (z. B. Intune), um die Root-CA, Client-Zertifikate und ein neues, für EAP-TLS konfiguriertes WiFi-Profil auf alle Mitarbeitergeräte zu verteilen. 4. Konfiguration der Access Points des Hotels, sodass sie auf die primären und sekundären IPs von Cloud RADIUS verweisen, unter Verwendung eines neuen, komplexen, 32-stelligen Shared Secret. 5. Paralleler Betrieb des alten NPS und des neuen Cloud RADIUS auf unterschiedlichen SSIDs während einer zweiwöchigen Übergangsphase, bevor die On-Premises-Server außer Betrieb genommen werden.

Kommentar des Prüfers: Dieser Ansatz minimiert das Risiko, indem während des Übergangs parallele SSIDs betrieben werden. Der Wechsel zu EAP-TLS eliminiert die mit PEAP verbundenen Risiken des Credential Harvesting, und die Nutzung von MDM für die Zertifikatsverteilung sorgt für einen reibungslosen Ablauf für die Endnutzer. Die SCIM-Integration garantiert, dass der Zugriff sofort entzogen wird, wenn Mitarbeiter das Unternehmen verlassen.

Eine nationale Einzelhandelskette mit 500 Standorten muss die PCI-DSS-Compliance für ihre Point-of-Sale-Terminals (POS) gewährleisten, die über WiFi verbunden sind. Sie stellt auf Cloud RADIUS um. Welche spezifischen Konfigurationen sind erforderlich, um die Compliance-Anforderungen zu erfüllen?

Implementierung einer strikten Netzwerkerkennungs-Segmentierung: POS-Terminals müssen sich an einer dedizierten, versteckten SSID authentifizieren, die einem isolierten VLAN zugewiesen ist. 2. Erzwingen der EAP-TLS-Authentifizierung für alle POS-Geräte, um eine gegenseitige Authentifizierung sicherzustellen und zu verhindern, dass sich unbefugte Geräte im POS-Netzwerk anmelden. 3. Konfiguration des Cloud RADIUS-Dienstes so, dass alle Accounting-Protokolle (Access-Accept, Access-Reject, Verbindungsdauer) gemäß PCI DSS mindestens ein Jahr lang aufbewahrt werden. 4. Sicherstellen, dass die RADIUS Shared Secrets zwischen den APs der Filialen und dem Cloud RADIUS-Dienst alle 90 Tage mithilfe eines automatisierten Skripts rotiert werden.

Kommentar des Prüfers: Diese Lösung adressiert direkt die PCI-DSS-Anforderungen an logische Segmentierung, starke Zugriffskontrolle und Auditierbarkeit. Sich nur auf MAC-Adressfilterung zu verlassen, reicht für die Compliance nicht aus; EAP-TLS liefert den erforderlichen kryptografischen Nachweis der Geräteidentität. Die Aufbewahrung der Accounting-Protokolle in der Cloud vereinfacht den Audit-Prozess für den QSA.

Übungsfragen

Q1. Ihr Unternehmen migriert von einem On-Premises Active Directory zu Google Workspace. Sie nutzen derzeit PEAP-MSCHAPv2 für die WiFi-Authentifizierung. Warum ist das ein Problem und was ist die empfohlene Lösung?

Hinweis: Überlegen Sie, wie PEAP Anmeldedaten mit dem Verzeichnisprotokoll abgleicht.

Musterlösung anzeigen

PEAP-MSCHAPv2 basiert auf dem NT-Hash des Benutzerpassworts, den Google Workspace weder nativ speichert noch offenlegt. Die empfohlene Lösung ist die Migration zu EAP-TLS unter Verwendung eines Cloud-RADIUS-Anbieters mit integrierter PKI. Der Cloud-RADIUS-Dienst kann Benutzeridentitäten aus Google Workspace über SAML/SCIM synchronisieren und Geräte mithilfe von Client-Zertifikaten anstelle von Passwörtern authentifizieren.

Q2. Eine Zweigstelle meldet, dass Benutzer beim Verbinden mit dem WiFi-Netzwerk Verzögerungen von 30 Sekunden feststellen, gefolgt von einer erfolgreichen Verbindung. Die primäre Cloud-RADIUS-IP in dieser Region wird derzeit gewartet. Welcher Konfigurationsfehler verursacht diese Verzögerung?

Hinweis: Achten Sie auf die Kommunikation zwischen dem NAS und den RADIUS-Servern.

Musterlösung anzeigen

Das NAS (Access Point oder Switch) hat das RADIUS-Server-Timeout zu hoch konfiguriert (z. B. 30 Sekunden). Es wartet auf die Antwort des primären Servers, bevor es ein Failover auf den sekundären Server durchführt. Das Timeout sollte auf 3-5 Sekunden verkürzt werden, um ein schnelles Failover ohne Beeinträchtigung der Benutzererfahrung zu gewährleisten.

Q3. Sie stellen Cloud-RADIUS für ein Krankenhaus bereit. Das Sicherheitsteam schreibt vor, dass sich nur firmeneigene Geräte mit dem internen Netzwerk verbinden dürfen, selbst wenn ein Mitarbeiter einen gültigen Benutzernamen und ein Passwort kennt. Wie setzen Sie dies durch?

Hinweis: Welche EAP-Methode überprüft die Identität des Geräts und nicht nur das Wissen des Benutzers?

Musterlösung anzeigen

Stellen Sie EAP-TLS bereit. Konfigurieren Sie die MDM-Lösung des Krankenhauses so, dass ein eindeutiges Client-Zertifikat nur auf registrierte, firmeneigene Geräte übertragen wird. Konfigurieren Sie die Cloud-RADIUS-Richtlinie so, dass jede Authentifizierungsanfrage abgewiesen wird, die kein gültiges, von der vertrauenswürdigen internen PKI signiertes Zertifikat vorweist. Dadurch werden BYOD- oder nicht autorisierte Geräte unabhängig von der Passwortkenntnis effektiv blockiert.

Weiterlesen in dieser Reihe

The Security Benefits of RADIUS as a Service for Hybrid Workforces

This technical reference guide explains how RADIUS as a Service secures network access for hybrid workforces across distributed venues. It covers the architecture, security benefits, and deployment steps for replacing on-premise RADIUS infrastructure with a cloud-managed authentication service. For IT managers and network architects at hotels, retail chains, stadiums, and public-sector organisations, this guide provides the evidence needed to evaluate and act on a cloud RADIUS migration this quarter.

Integrating RADIUS as a Service mit Cloud-Verzeichnissen (Azure AD & Google Workspace)

Dieser technische Leitfaden beschreibt detailliert, wie Sie RADIUS as a Service in Cloud-Verzeichnisse – Microsoft Entra ID und Google Workspace – für die WiFi-Authentifizierung in Unternehmen integrieren. Er behandelt den architektonischen Wechsel von On-Premise-NPS zu Cloud-nativem RADIUS, die Bereitstellung von zertifikatsbasierter EAP-TLS-Authentifizierung sowie die bewährten Betriebsmethoden zur Absicherung des drahtlosen Netzzugangs in den Bereichen Gastgewerbe, Einzelhandel und im öffentlichen Sektor. Für IT-Manager und Netzwerkarchitekten, die bereits in Cloud-Identitäten investiert haben, schließt dieser Leitfaden die Lücke zwischen Verzeichnisverwaltung und physischer Netzwerksicherheit.

So implementieren Sie die 802.1X-Authentifizierung mit Cloud RADIUS

Dieser technische Leitfaden bietet einen umfassenden Rahmen für die Implementierung der 802.1X-Authentifizierung mit Cloud RADIUS in verteilten Unternehmensstandorten. Er beschreibt detailliert die Architektur, die Auswahl der EAP-Methode, die Bereitstellungsreihenfolge und die Strategien zur Risikominderung, die zur Sicherung des Netzwerkzugriffs erforderlich sind, während gleichzeitig der betriebliche Aufwand für eine On-Premises-Infrastruktur entfällt.