Zum Hauptinhalt springen

Was ist ein 802.1X Supplicant? Client-Typen und Gerätekonfiguration

Dieser Leitfaden erklärt die Rolle des 802.1X Supplicants bei der WiFi-Authentifizierung in Unternehmen. Er behandelt die technische Architektur, vergleicht native OS-Supplicants mit Drittanbieter-Clients und bietet praktische Konfigurationsanleitungen für IT-Teams, die EAP-TLS und PEAP bereitstellen.

📖 5 Min. Lesezeit📝 1,091 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Sprechen Sie in britischem Englisch mit einem selbstbewussten, autoritären und konversationellen Ton - wie ein leitender Netzwerksicherheitsberater, der einen Kunden brieft. Gemäßigtes Tempo, klare Diktion, professionell, aber nicht steif. Gelegentliche natürliche Pausen zur Betonung: Willkommen zur technischen Briefing-Reihe von Purple. Heute behandeln wir ein Thema, das im Mittelpunkt der WiFi-Sicherheit von Unternehmen steht - den 802.1X-Supplicant. Wenn Sie sich jemals gefragt haben, warum sich einige Geräte ohne Passwortabfrage mit Ihrem Unternehmensnetzwerk verbinden, während andere Zertifikatsfehler und Helpdesk-Tickets verursachen, ist dies die richtige Episode für Sie. [medium pause] Beginnen wir mit den Grundlagen. Der 802.1X-Supplicant ist die Softwarekomponente auf einem Client-Gerät - einem Laptop, einem Smartphone, einem Tablet - die den Authentifizierungs-Handshake abwickelt, wenn dieses Gerät versucht, sich mit einem durch IEEE 802.1X geschützten Netzwerk zu verbinden. Stellen Sie sich ihn als den Ausweisprüfer des Geräts vor. Das Netzwerk lässt nicht einfach jeden hinein. Es verlangt nach Anmeldedaten. Der Supplicant ist derjenige, der vortritt und sagt: Hier ist, wer ich bin, hier ist mein Zertifikat, lass mich rein. Der Standard selbst - IEEE 802.1X - definiert die portbasierte Netzwerkzugriffskontrolle. Bevor die Authentifizierung erfolgreich ist, lässt der Access Point oder Switch nur eine sehr begrenzte Art von Datenverkehr zu: EAPOL-Frames, was für Extensible Authentication Protocol over LAN steht. Alles andere wird blockiert. Sobald der Supplicant seine Identität gegenüber dem RADIUS-Server über den Authenticator nachweist, öffnet sich der Port und der normale Datenverkehr fließt. [medium pause] Es gibt drei Akteure in diesem Spiel. Erstens, der Supplicant - das Client-Gerät. Zweitens, der Authenticator - Ihr Access Point oder Switch, also Hardware wie Cisco Meraki, HPE Aruba, Ruckus oder Juniper Mist. Drittens, der Authentifizierungsserver - fast immer ein RADIUS-Server, der die Anmeldedaten mit einem Verzeichnis wie Microsoft Entra ID oder Okta abgleicht. Der Supplicant initiiert den Prozess, indem er eine EAPOL-Start-Nachricht sendet. Der Authenticator antwortet mit einer EAP-Anforderung zur Identität. Der Supplicant antwortet mit seiner Identität. Diese Identität wird an den RADIUS-Server weitergeleitet, der den Supplicant dann mit der vereinbarten EAP-Methode herausfordert. Wenn alles stimmt, sendet der RADIUS-Server ein Access-Accept, der Port öffnet sich und das Gerät wird im richtigen VLAN platziert. [medium pause] Lassen Sie uns über EAP-Methoden sprechen, denn hier werden die meisten Bereitstellungsentscheidungen getroffen. EAP-TLS - also Extensible Authentication Protocol mit Transport Layer Security - ist der Goldstandard. Hierbei müssen sowohl der Client als auch der Server Zertifikate vorlegen. Gegenseitige Authentifizierung. Keine Passwörter. Das Client-Zertifikat belegt die Identität des Geräts; das Server-Zertifikat belegt, dass das Netzwerk legitim ist, was vor Evil-Twin-Angriffen schützt, bei denen ein betrügerischer Access Point versucht, Anmeldedaten abzugreifen. EAP-TLS wird in zwölf Schritten abgeschlossen und nutzt durchgängig die Kryptografie mit öffentlichen und privaten Schlüsseln. Es ist die für WPA3-Enterprise im höchsten Sicherheitsmodus erforderliche Methode und entspricht den NIST SP 800-171-Anforderungen zur Verifizierung der Geräteidentität. PEAP - Protected EAP - ist der gängigere Ausgangspunkt für Unternehmen, die noch keine vollständige PKI implementiert haben. PEAP verpackt eine passwortbasierte interne Methode, in der Regel MSCHAPv2, in einen TLS-Tunnel. Der Server legt ein Zertifikat vor; der Client nicht. Das bedeutet, dass die Bereitstellung einfacher ist - Sie müssen keine Client-Zertifikate verteilen -, aber sie ist weniger sicher. MSCHAPv2 verwendet MD4-Hashing, das seit 1995 als kompromittiert gilt. Wenn sich ein Benutzer mit einem betrügerischen Access Point verbindet, der ein vertrauenswürdig aussehendes Zertifikat vorlegt, können seine Anmeldedaten abgefangen werden. Die clientseitige Validierung des Server-Zertifikats ist daher bei der Ausführung von PEAP unverzichtbar. [medium pause] Kommen wir nun zum Supplicant selbst - insbesondere zur Wahl zwischen nativen OS-Supplicants und Client-Software von Drittanbietern. Jedes gängige Betriebssystem wird mit einem integrierten 802.1X-Supplicant ausgeliefert. Windows unterstützt dies seit XP nativ über die Dienste für die automatische WLAN-Konfiguration und die automatische Verkabelungskonfiguration. macOS und iOS verarbeiten 802.1X über ihre Netzwerkkonfigurationsprofile. Android unterstützt dies über das WiFi-Einstellungsmenü. Diese nativen Supplicants decken EAP-TLS und PEAP-MSCHAPv2 auf allen aktuellen Plattformen ab. Der Vorteil nativer Supplicants liegt auf der Hand: keine zusätzliche Software zu installieren, keine Lizenzkosten, automatische OS-Sicherheitsupdates und eine enge Integration in den Zertifikatsspeicher des Betriebssystems. Für verwaltete Geräteflotten - z. B. Windows-Geräte, die in Microsoft Intune registriert sind, oder Macs, die über Jamf verwaltet werden - können Sie 802.1X-Konfigurationsprofile geräuschlos über MDM verteilen, und die Benutzer sehen nie eine Aufforderung. Das Gerät authentifiziert sich jedes Mal automatisch, wenn es in Reichweite kommt. Supplicants von Drittanbietern kommen in bestimmten Szenarien ins Spiel. Wenn Sie eine Cisco-Infrastruktur betreiben und EAP-FAST - das proprietäre EAP-Verfahren von Cisco - nutzen möchten, benötigen Sie die Client-Software von Cisco, in der Vergangenheit der Secure Services Client oder AnyConnect Network Access Manager. Wenn Sie ein einheitliches Konfigurationsmanagement über eine heterogene OS-Landschaft hinweg benötigen und die Supplicant-Einstellungen sperren möchten, damit Benutzer sie nicht versehentlich falsch konfigurieren, bietet Ihnen ein Drittanbieter-Client diese Kontrolle. Tools wie die JoinNow-Suite von SecureW2 fungieren auch als Onboarding-Agenten - sie konfigurieren den nativen Supplicant, anstatt ihn zu ersetzen, und führen die Benutzer durch die Zertifikatsregistrierung und Profilinstallation. [medium pause] Lassen Sie mich Sie durch zwei reale Szenarien führen, um dies zu verdeutlichen. Erstens, ein Hotel mit 400 Zimmern. Das Hotel betreibt heute ein Mitarbeiternetzwerk auf Basis von WPA2-Enterprise mit PEAP-MSCHAPv2. Das IT-Team möchte auf EAP-TLS migrieren, um die passwortbasierte Authentifizierung abzuschaffen und das Risiko von Anmeldedaten-Diebstahl zu verringern. Die Herausforderung: Die Geräte der Mitarbeiter sind eine Mischung aus Windows-Laptops, die über Intune verwaltet werden, persönlichen Android-Telefonen, die für die Hotelmanagement-Software genutzt werden, und einer Handvoll veralteter Windows 7-Geräte im Backoffice. Der Ansatz hier ist phasenweise. Beginnen Sie mit der verwalteten Windows-Flotte. Übertragen Sie ein Intune-Konfigurationsprofil, das das Root-CA-Zertifikat des RADIUS-Servers installiert, das WiFi-Profil für EAP-TLS konfiguriert und die SCEP-basierte Zertifikatsregistrierung von der internen PKI auslöst. Diese Geräte authentifizieren sich ab dem ersten Tag automatisch. Für Android-BYOD-Geräte stellen Sie ein Self-Service-Onboarding-Portal bereit - Benutzer rufen eine URL auf, laden ein Konfigurationsprofil herunter, und der Supplicant wird für sie konfiguriert. Die veralteten Windows 7-Geräte verbleiben auf PEAP mit strenger Serverzertifikatsvalidierung, isoliert in einem separaten VLAN mit eingeschränktem Zugriff, bis sie außer Betrieb genommen werden. [medium pause] Zweites Szenario: eine große Einzelhandelskette mit 200 Filialen. Jede Filiale verfügt über eine Mischung aus Point-of-Sale-Terminals, Mitarbeiter-Tablets und einem Gäste-WiFi-Netzwerk. PCI-DSS erfordert, dass Karteninhaber-Datenumgebungen von anderen Netzwerksegmenten isoliert sind. Der Einzelhändler nutzt 802.1X in den Mitarbeiter- und POS-Netzwerken, wobei die VLAN-Zuweisung durch Zertifikatsattribute gesteuert wird. Ein POS-Terminal legt ein Gerätezertifikat mit der Organisationseinheit "POS" vor - die RADIUS-Richtlinie weist es dem PCI-VLAN zu. Ein Mitarbeiter-Tablet legt ein Zertifikat mit "Staff" vor - es landet im Mitarbeiter-VLAN. Gäste-Geräte verbinden sich mit einer völlig separaten SSID, die über eine Captive Portal-Lösung verwaltet wird. Die Supplicant-Konfiguration auf den POS-Terminals ist über ein MDM gesperrt. Es ist keine Benutzerinteraktion erforderlich. Die Terminals authentifizieren sich geräuschlos beim Booten. Die Zertifikatsverlängerung ist über SCEP automatisiert, sodass kein manueller Eingriff erforderlich ist, wenn Zertifikate ablaufen. [medium pause] Nun zu den Fallstricken bei der Implementierung. Lassen Sie mich Ihnen die vier häufigsten nennen. Nummer eins: Fehlende Validierung des Serverzertifikats bei PEAP - Implementierungen. Wenn Sie den Supplicant nicht so konfigurieren, dass er das Zertifikat des RADIUS - Servers validiert und den Servernamen überprüft, sind Benutzer anfällig für Verbindungen mit einem Rogue Access Point. Geben Sie im Supplicant-Profil immer die vertrauenswürdige Stamm-CA und den Servernamen an. Nummer zwei: Zertifikatsablauf, der zu Massenauthentifizierungsfehlern führt. Client-Zertifikate haben eine Gültigkeitsdauer. Wenn Sie keine automatische Verlängerung über SCEP oder NDES eingerichtet haben, stehen Sie vor einem kritischen Punkt, an dem Hunderte von Geräten gleichzeitig die Authentifizierung einstellen. Richten Sie eine Verlängerungsautomatisierung ein, bevor Sie live gehen. Nummer drei: BYOD-Geräte mit inkonsistentem Supplicant-Verhalten. Insbesondere Android weist bei verschiedenen Herstellern eine fragmentierte 802.1X - Unterstützung auf. Einige Versionen erfordern, dass der Benutzer das CA-Zertifikat manuell installiert, bevor das WiFi - Profil es akzeptiert. Ein Onboarding-Portal, das diesen Schritt übernimmt, reduziert das Aufkommen beim Helpdesk erheblich. Nummer vier: Funktionsupdates von Windows 11, die die Supplicant-Konfiguration beeinträchtigen. Microsoft hat das Verhalten von 802.1X in mehreren Windows 11 - Updates geändert. Insbesondere das 24H2-Update führte Änderungen bei der Handhabung des EAP-TLS - Fallbacks durch den nativen Supplicant ein. Testen Sie Ihre Supplicant-Profile mit neuen Betriebssystemversionen, bevor Sie sie in der Produktionsumgebung bereitstellen. [medium pause] Jetzt zu den Schnellfeuerfragen. Können IoT-Geräte 802.1X unterstützen? Die meisten können es nicht. IoT-Geräten fehlt in der Regel ein Supplicant vollständig. Die Alternative ist MAC Authentication Bypass (MAB), bei dem der RADIUS - Server das Gerät anhand seiner MAC-Adresse authentifiziert. MAC-Adressen können gefälscht werden, daher sollten MAB-Geräte immer in einem isolierten IoT-VLAN mit strengen Firewall-Regeln platziert werden. Benötige ich eine PKI, um 802.1X zu betreiben? Für PEAP nicht - Sie benötigen lediglich ein Serverzertifikat auf dem RADIUS - Server. Für EAP-TLS ja - Sie benötigen eine PKI, um Client-Zertifikate auszustellen. Cloudbasierte PKI-Dienste reduzieren den Aufwand für die Infrastruktur erheblich. Wie interagiert 802.1X mit der Netzwerkzugriffsplattform von Purple? Purple fungiert als Cloud-Overlay auf Ihrer bestehenden Hardware - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist und andere. In WiFi - Netzwerken für Mitarbeiter lässt sich das SecurePass - Add-on von Purple in Ihren Identitätsanbieter - Microsoft Entra ID, Okta oder Google Workspace - integrieren, um eine 802.1X - Authentifizierung zu erzwingen und VLAN - Richtlinien pro Benutzer anzuwenden, ohne dass eine lokale RADIUS - Infrastruktur erforderlich ist. [medium pause] Zusammenfassend lässt sich sagen: Der 802.1X - Supplicant ist der geräteseitige Client, der die portbasierte Netzwerkzugriffskontrolle ermöglicht. Ihre Wahl der EAP-Methode - EAP-TLS für maximale Sicherheit, PEAP als Übergangsoption - bestimmt Ihre PKI-Anforderungen und Ihren Ansatz für die Supplicant-Konfiguration. Native Supplicants des Betriebssystems decken die Mehrheit der Szenarien für verwaltete Geräte ab, wenn sie über MDM bereitgestellt werden. Drittanbieter-Clients bieten in bestimmten Fällen einen Mehrwert: proprietäre EAP-Methoden, gemischte Betriebssystemumgebungen, die eine konsistente Konfiguration erfordern, oder das Self-Service-Onboarding für BYOD. Die drei wichtigsten Erkenntnisse: Validieren Sie Ihr RADIUS-Serverzertifikat auf jedem Supplicant-Profil, automatisieren Sie die Zertifikatsverlängerung, bevor Sie EAP-TLS im großen Stil bereitstellen, und isolieren Sie Geräte, die 802.1X nicht unterstützen können - IoT, ältere Hardware - auf dedizierten VLANs mit MAC Authentication Bypass als Fallback. Weitere Informationen darüber, wie Purple sich in Ihre Netzwerkzugriffsarchitektur integriert, finden Sie unter purple.ai. Vielen Dank fürs Zuhören.

header_image.png

Management-Zusammenfassung

Wenn sich ein Gerät mit einem Unternehmensnetzwerk verbindet, ist der 802.1X-Supplicant die Softwarekomponente, die für den Identitätsnachweis verantwortlich ist. Für IT-Manager und Netzwerkarchitekten an großen Veranstaltungsorten ist das Verständnis der Funktionsweise des Supplicants von entscheidender Bedeutung, um den Netzwerkzugriff zu sichern, ohne Helpdesk-Tickets zu generieren. Dieser Leitfaden entmystifiziert den geräteseitigen Agenten bei der IEEE 802.1X-Authentifizierung und stellt native Betriebssystemfunktionen der Supplicant-Software von Drittanbietern gegenüber. Wir untersuchen, wie Supplicants für EAP-TLS und PEAP-MSCHAPv2 konfiguriert werden, betrachten reale Bereitstellungsszenarien in der Hotellerie und im Einzelhandel und beschreiben im Detail, wie sich eine korrekte Supplicant-Konfiguration in identitätsbasierte Netzwerke integrieren lässt, um den Zugriff zu optimieren. Unabhängig davon, ob Sie ein Hotel mit 200 Zimmern oder einen aktiven Veranstaltungsort mit über 80.000 Sitzplätzen verwalten - eine korrekte Supplicant-Konfiguration ist ein Eckpfeiler für den Aufbau eines sicheren und zuverlässigen WiFi.

Tiefer technischer Einblick

Der Standard IEEE 802.1X definiert die portbasierte Netzwerkzugriffskontrolle. Er arbeitet nach einer einfachen Prämisse: Blockieren Sie den gesamten Datenverkehr am Netzwerkrand, bis ein Gerät seine Identität nachweist. Der Supplicant ist der clientseitige Teilnehmer an diesem Prozess.

Die drei Komponenten von 802.1X

Die Authentifizierung erfordert drei verschiedene Einheiten:

  1. Supplicant: Das Client-Gerät (Laptop, Smartphone oder Tablet), das den Netzwerkzugriff anfordert.
  2. Authenticator: Das Netzwerkzugriffsgerät, z. B. ein Cisco Meraki, HPE Aruba, Ruckus oder Juniper Mist Access Point.
  3. Authentication Server: Der RADIUS-Server, der die Anmeldedaten mit einem Identitätsanbieter wie Microsoft Entra ID oder Okta abgleicht.

Vor der Authentifizierung befindet sich der Port des Authenticators in einem nicht autorisierten Zustand und lässt nur EAPOL-Verkehr (Extensible Authentication Protocol over LAN) zu. Der Supplicant initiiert den Prozess mit einem EAPOL-Start-Frame. Der Authenticator fordert die Identität an, und der Supplicant antwortet. Diese Identität wird an den RADIUS-Server weitergeleitet, der die zu verwendende EAP-Methode bestimmt. Nach erfolgreicher Validierung sendet der RADIUS-Server eine Access-Accept-Nachricht, der Port wechselt in einen autorisierten Zustand und das Gerät wird in der Regel einem bestimmten VLAN zugewiesen.

architecture_overview.png

EAP-Methoden: Die Sprache des Supplicants

Der Supplicant und der RADIUS-Server müssen sich auf eine EAP-Methode (Extensible Authentication Protocol) einigen. Die Wahl der EAP-Methode bestimmt das Sicherheitsniveau und den Konfigurationsaufwand für den Supplicant.

EAP-TLS (Transport Layer Security) EAP-TLS erfordert eine zertifikatsbasierte gegenseitige Authentifizierung. Der Supplicant stellt ein Client-Zertifikat bereit, um seine Identität nachzuweisen, und der RADIUS-Server stellt ein Server-Zertifikat bereit, um die Legitimität des Netzwerks nachzuweisen. Diese passwortlose Methode eliminiert den Diebstahl von Anmeldedaten und wird von strengen Sicherheits-Frameworks wie NIST SP 800-171 gefordert. Der Supplicant muss so konfiguriert sein, dass er der ausstellenden Zertifizierungsstelle (CA) vertraut und ein gültiges Client-Zertifikat besitzt.

PEAP (Protected EAP) In Szenarien, in denen eine vollständige Public-Key-Infrastruktur (PKI) nicht machbar ist, wird PEAP weit verbreitet eingesetzt. Es kapselt eine interne Authentifizierungsmethode (normalerweise MSCHAPv2) in einem sicheren TLS-Tunnel. Der RADIUS-Server stellt ein Zertifikat bereit, aber der Supplicant muss lediglich einen Benutzernamen und ein Passwort angeben. Während PEAP einfacher bereitzustellen ist, ist es hochentfindlich gegenüber dem Abfangen von Anmeldedaten, wenn der Supplicant nicht streng dafür konfiguriert ist, das Server-Zertifikat zu validieren.

Implementierungsleitfaden

Bei der Bereitstellung von 802.1X müssen IT-Teams entscheiden, ob sie den im Betriebssystem integrierten nativen Supplicant verwenden oder Supplicant-Software von Drittanbietern bereitstellen.

Native OS-Supplicants

Jedes moderne Betriebssystem enthält einen nativen 802.1X-Supplicant. Windows nutzt die Dienste Automatische Verkabelte Konfiguration und Automatische WLAN-Konfiguration. Apple-Geräte nutzen Netzwerkprofile. Android integriert dies in seine WiFi-Einstellungen.

Native Supplicants sind ideal für verwaltete Geräteflotten. Mithilfe von Mobile-Device-Management-Plattformen (MDM) wie Microsoft Intune oder Jamf können IT-Administratoren Konfigurationsprofile im Hintergrund bereitstellen, welche die SSID, die EAP-Methode, vertrauenswürdige Root-CAs und Zertifikatsregistrierungsprozesse über SCEP definieren. Das Benutzererlebnis ist nahtlos; das Gerät authentifiziert sich im Hintergrund.

Supplicant-Software von Drittanbietern

Supplicants von Drittanbietern, wie Cisco AnyConnect Network Access Manager oder SecureW2 JoinNow, sind in bestimmten Szenarien erforderlich:

  • Proprietäre Protokolle: Die Verwendung von Cisco EAP-FAST erfordert einen Cisco-Supplicant.
  • BYOD-Onboarding: Drittanbieter-Tools fungieren oft als Onboarding-Assistenten und führen Benutzer durch die Installation von Zertifikaten auf unverwalteten Geräten, bei denen die native Konfiguration komplex ist (insbesondere in fragmentierten Android-Umgebungen).
  • Strenge Konfigurationskontrolle: Supplicants von Drittanbietern können Einstellungen sperren, um zu verhindern, dass Benutzer die Validierung von Server-Zertifikaten deaktivieren.

native_vs_thirdparty_comparison.png

Konfiguration der Server-Zertifikatsvalidierung

Unabhängig vom gewählten Supplicant ist die Konfiguration der Server-Zertifikatsvalidierung von entscheidender Bedeutung, insbesondere bei PEAP. Wenn der Supplicant das Zertifikat des RADIUS-Servers nicht validiert, sendet er Anmeldedaten blind an einen gefälschten Access Point, der Ihre SSID imitiert.

In Windows bedeutet dies, dass in den PEAP-Eigenschaften die Option "Identität des Servers durch Überprüfen des Zertifikats zertifizieren" aktiviert, die vertrauenswürdige Stammzertifizierungsstelle (Root CA) ausgewählt und die genauen Servernamen angegeben werden müssen, die der Client erwarten soll. Auf Apple-Geräten muss das Konfigurationsprofil die vertrauenswürdigen Zertifikate explizit auflisten.

Best Practices

  1. Server-Validierung erzwingen: Implementieren Sie PEAP niemals, ohne die Supplicants so zu konfigurieren, dass sie das Zertifikat des RADIUS-Servers validieren. Dies ist die wichtigste Verteidigungslinie gegen "Evil Twin"-Angriffe.
  2. Zertifikats-Lebenszyklus automatisieren: Wenn Sie EAP-TLS verwenden, automatisieren Sie die Registrierung und Erneuerung von Client-Zertifikaten über ein MDM mithilfe von SCEP oder NDES. Manuelle Zertifikatsverwaltung ist nicht skalierbar und führt zu plötzlichen Authentifizierungsfehlern.
  3. Nach Identität segmentieren: Verwenden Sie RADIUS-Attribute, um VLANs basierend auf der validierten Identität zuzuweisen. Mitarbeitergeräte und POS-Terminals sollten sich am selben SSID authentifizieren, aber in völlig unterschiedlichen VLANs landen.
  4. Planung für IoT: Die meisten IoT-Geräte verfügen über keine 802.1X-Supplicants. Verwenden Sie für diese Geräte MAC Address Bypass (MAB), aber stellen Sie sicher, dass sie in einem dedizierten IoT-VLAN streng isoliert sind.

Fehlerbehebung und Risikominderung

Wenn die Verbindung eines Geräts fehlschlägt, liegt das Problem fast immer in der Client-Konfiguration oder der Zertifikatskette.

  • "Verbunden, kein Internet": Dies deutet in der Regel auf einen Fehler bei der VLAN-Zuweisung oder auf DHCP-Probleme nach der Authentifizierung hin. Überprüfen Sie die RADIUS-Protokolle, um sicherzustellen, dass die Access-Accept-Nachricht die korrekte Tunnel-Private-Group-Id enthält.
  • Lautlose Fehler unter Windows 11: Jüngste Funktionsupdates für Windows 11 (wie 24H2) haben die Art und Weise geändert, wie der native Supplicant mit dem EAP-TLS-Fallback umgeht. Testen Sie Profile vor einer flächendeckenden Bereitstellung immer mit neuen OS-Builds.
  • Ablauf von Zertifikaten: Wenn eine Reihe von Geräten plötzlich offline geht, überprüfen Sie die Gültigkeitsdauer der Client-Zertifikate. Stellen Sie sicher, dass Ihr MDM diese erfolgreich erneuert, bevor sie ablaufen.

ROI und geschäftlicher Nutzen

Die Migration zu 802.1X mit korrekt konfigurierten Supplicants liefert messbaren geschäftlichen Mehrwert. Durch den Verzicht auf gemeinsam genutzte Passwörter (Pre-Shared Keys/PSK) entfällt der administrative Aufwand für den Austausch von Passwörtern beim Ausscheiden von Mitarbeitern vollständig. Der Wechsel zu EAP-TLS kann Ticketanfragen zur Passwortzurücksetzung komplett überflüssig machen, was erhebliche Produktivitätszeiten im Service Desk freisetzt.

Darüber hinaus ermöglicht 802.1X eine identitätsbasierte Netzwerkisolierung auf einer einzigen SSID. Anstatt separate Netzwerke für Guest WiFi , Personal und Betrieb auszustrahlen, kann eine einzige SSID den Datenverkehr basierend auf den Client-Anmeldedaten sicher weiterleiten. Dies reduziert Kanalinterferenzen und verbessert die allgemeine Netzwerkleistung, was den Cloud-Overlay-Ansatz von Purple für eine hardwareunabhängige Netzwerkverwaltung direkt unterstützt. Für tiefere analytische Einblicke entdecken Sie unsere Funktion WiFi Analytics .

Schlüsseldefinitionen

802.1X Supplicant

Die Softwarekomponente auf einem Client-Gerät, die den Authentifizierungsprozess abwickelt, der für den Beitritt zu einem durch IEEE 802.1X geschützten Netzwerk erforderlich ist.

IT-Teams konfigurieren den Supplicant, um festzulegen, wie sich ein Gerät gegenüber dem Netzwerk identifiziert.

Authenticator

Das Netzwerkgerät (Switch oder Access Point), das den Datenverkehr blockiert, bis sich der Supplicant erfolgreich authentifiziert hat.

Hardware von Herstellern wie Cisco Meraki oder HPE Aruba fungiert als Authenticator und leitet Nachrichten zwischen dem Gerät und dem Server weiter.

RADIUS

Remote Authentication Dial-In User Service. Der Server, der die vom Supplicant bereitgestellten Zugangsdaten überprüft.

Der RADIUS-Server gleicht die Identität mit Verzeichnissen wie Okta oder Microsoft Entra ID ab, bevor er Zugriff gewährt.

EAP-TLS

Extensible Authentication Protocol mit Transport Layer Security. Eine Authentifizierungsmethode, die digitale Zertifikate sowohl vom Client als auch vom Server erfordert.

Gilt als die sicherste Methode für Unternehmensnetzwerke, da sie Passwörter überflüssig macht.

PEAP

Protected Extensible Authentication Protocol. Eine Authentifizierungsmethode, die einen sicheren TLS-Tunnel aufbaut, um die passwortbasierte Authentifizierung zu schützen.

Wird häufig in BYOD-Umgebungen eingesetzt, in denen die Bereitstellung von Client-Zertifikaten auf nicht verwalteten Geräten zu komplex ist.

EAPOL

Extensible Authentication Protocol over LAN. Das Protokoll, das zur Kapselung von EAP-Nachrichten zwischen dem Supplicant und dem Authenticator verwendet wird.

Vor der Authentifizierung ist EAPOL der einzige Datenverkehrstyp, den der Authenticator durch den Port zulässt.

MAC Authentication Bypass (MAB)

Eine Fallback-Authentifizierungsmethode, bei der das Netzwerk die MAC-Adresse des Geräts als dessen Identität verwendet.

Verwendet für Drucker, Kameras und IoT-Geräte, die keinen 802.1X-Supplicant besitzen.

VLAN-Zuweisung

Der Prozess der dynamischen Zuweisung eines authentifizierten Geräts zu einem bestimmten virtuellen Netzwerksegment.

Der RADIUS-Server teilt dem Authenticator basierend auf der Identität des Supplicants mit, welches VLAN zugewiesen werden soll.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern muss sein Mitarbeiternetzwerk absichern. Bisher wird WPA2-Personal mit einem gemeinsamen Passwort verwendet, nun soll auf 802.1X umgestellt werden. Die Mitarbeiter nutzen eine Mischung aus unternehmenseigenen Windows-Laptops und persönlichen Android-Telefonen für die Dienstplanung. Wie sollten die Supplicants konfiguriert werden?

Das Hotel sollte einen hybriden Ansatz wählen. Für die Windows-Laptops des Unternehmens sollte der native Windows-Supplicant verwendet werden, der über Microsoft Intune konfiguriert wird. Das MDM-Profil sollte die EAP-TLS-Einstellungen übertragen, die Root CA installieren und die Client-Zertifikatsregistrierung über SCEP automatisieren. Für die persönlichen Android-Telefone sollte ein Onboarding-Agent eines Drittanbieters (wie SecureW2) über ein Self-Service-Portal bereitgestellt werden. Der Mitarbeiter meldet sich mit seinen Microsoft Entra ID-Zugangsdaten im Portal an, und der Agent konfiguriert automatisch den nativen Android-Supplicant für PEAP-MSCHAPv2, wodurch sichergestellt wird, dass die Serverzertifikatsvalidierung fest verankert ist.

Kommentar des Prüfers: Dieser Ansatz verbindet Sicherheit mit betrieblicher Realität. EAP-TLS wird dort erzwungen, wo eine MDM-Steuerung vorhanden ist, was ein Maximum an Sicherheit bietet. PEAP wird für BYOD verwendet, wo die Verteilung von Client-Zertifikaten komplex ist, aber der Onboarding-Agent stellt sicher, dass der Supplicant sicher konfiguriert ist, was das Risiko von Rogue Access Points minimiert.

Eine große Einzelhandelskette mit 50 Filialen führt neue mobile Point-of-Sale (POS)-Tablets ein. PCI-DSS erfordert eine strikte Netzwerktrennung. Wie sollte die Supplicant-Konfiguration die Compliance gewährleisten?

Die Tablets sollten über ein MDM verwaltet werden. Das MDM pusht ein Konfigurationsprofil für den nativen Supplicant, das EAP-TLS erzwingt. Jedes Tablet erhält ein eindeutiges Client-Zertifikat mit einem Attribut, das es als POS-Gerät identifiziert. Wenn sich der Supplicant des Tablets authentifiziert, liest der RADIUS-Server dieses Attribut aus und weist ein VLAN speziell für das PCI-konforme Netzwerksegment zu. Die Supplicant-Konfiguration muss gesperrt sein, damit die Filialmitarbeiter die Netzwerkeinstellungen nicht ändern können.

Kommentar des Prüfers: Die Verwendung von EAP-TLS mit zertifikatsbasierter VLAN-Zuweisung ist die Standardmethode zur Erreichung der PCI-Compliance in drahtlosen Netzwerken. Sie eliminiert menschliche Fehler bei der Netzwerktrennung und stellt sicher, dass das Gerät nicht versehentlich mit dem weniger sicheren Mitarbeiter- oder [Retail](/industries/retail)-Gästenetzwerk verbunden werden kann.

Übungsfragen

Q1. Ihre Organisation stellt PEAP-MSCHAPv2 für ein neues BYOD-Netzwerk für Mitarbeiter bereit. Beim Testen stellen Sie fest, dass sich Geräte mit einem Test-Access-Point verbinden können, der dieselbe SSID ausstrahlt, obwohl er nicht mit Ihrem RADIUS-Server verbunden ist. Welcher Konfigurationsschritt für den Supplicant wurde vergessen?

Hinweis: Überlegen Sie, wie der Supplicant die Identität des Netzwerks überprüft, bevor er die MSCHAPv2-Anmeldedaten sendet.

Musterlösung anzeigen

Der Supplicant wurde nicht so konfiguriert, dass er das Serverzertifikat validiert. Bei PEAP muss der Supplicant explizit so konfiguriert werden, dass er der spezifischen Root-CA vertraut, die das Zertifikat des RADIUS-Servers ausgestellt hat, und dass er den Domänennamen des Servers überprüft. Ohne dies baut der Supplicant einen TLS-Tunnel zu jedem Server auf, der ein Zertifikat vorlegt, was die Anmeldedaten des Benutzers für einen Rogue-Access-Point offenlegt.

Q2. Eine Universität migriert ihre verwaltete Windows-Laptop-Flotte von PEAP zu EAP-TLS. Sie verteilen das neue Konfigurationsprofil über MDM, aber bei allen Geräten schlägt die Authentifizierung fehl. Die RADIUS-Protokolle zeigen "EAP-TLS failed SSL/TLS handshake". Was ist die wahrscheinlichste Ursache?

Hinweis: EAP-TLS erfordert eine gegenseitige Authentifizierung. Was benötigt der Client, das er für PEAP nicht brauchte?

Musterlösung anzeigen

Den Client-Geräten fehlt ein gültiges Client-Zertifikat. EAP-TLS erfordert, dass der Supplicant dem RADIUS-Server ein Zertifikat vorlegt. Das MDM-Profil muss nicht nur so konfiguriert sein, dass es die EAP-Methode auf TLS festlegt, sondern auch ein Protokoll wie SCEP auslöst, um ein Client-Zertifikat von der PKI der Organisation anzufordern und zu installieren, bevor ein Authentifizierungsversuch unternommen wird.

Q3. Sie müssen 50 Smart-TVs in einer [Healthcare](/industries/healthcare)-Umgebung mit dem Netzwerk verbinden. Die TVs unterstützen nur WPA2-Personal (Pre-Shared Key) und haben keinen 802.1X-Supplicant. Wie sichern Sie deren Zugriff, während Sie gleichzeitig 802.1X für Mitarbeitergeräte beibehalten?

Hinweis: Wenn das Gerät kein EAP spricht, muss der Authenticator es auf andere Weise identifizieren.

Musterlösung anzeigen

Sie sollten MAC Authentication Bypass (MAB) verwenden. Der Authenticator verwendet die MAC-Adresse des Smart-TVs als Benutzernamen und Passwort, die an den RADIUS-Server gesendet werden. Da MAC-Adressen gefälscht werden können, muss der RADIUS-Server so konfiguriert werden, dass er diese Geräte einem stark eingeschränkten, isolierten IoT-VLAN zuweist, das nur den notwendigen Datenverkehr zulässt.

Weiterlesen in dieser Reihe

Konfigurieren von RADIUS-Authentifizierung für Gäste- und Mitarbeiter-WiFi-Netzwerke

Dieses technische Referenzhandbuch beschreibt die Architektur, Konfiguration und Bereitstellung der RADIUS-Authentifizierung für WiFi-Netzwerke von Unternehmen für Gäste und Mitarbeiter. Es bietet Netzwerkarchitekten und IT-Managern die genauen Protokolle, Sicherheitsstandards und Fehlerbehebungsmethoden, die für den Aufbau sicherer, skalierbarer drahtloser Zugriffskontrollsysteme erforderlich sind.

Leitfaden lesen →

Passpoint und OpenRoaming: Das vollständige Handbuch

Dieses technische Referenzhandbuch bietet eine umfassende Analyse der Passpoint (Hotspot 2.0) und WBA OpenRoaming Frameworks in Enterprise WiFi Netzwerken. Es beschreibt detailliert die zugrundeliegenden Authentifizierungsprotokolle, Architekturkomponenten und Bereitstellungsstrategien, die für den Aufbau einer sicheren, reibungslosen Gastkonnektivität erforderlich sind. Netzwerkarchitekten und IT-Leiter erfahren, wie sie diese Standards entwerfen, implementieren und Fehler beheben, um manuelle Anmeldebarrieren zu beseitigen und gleichzeitig die Sicherheit auf Enterprise-Niveau aufrechtzuerhalten.

Leitfaden lesen →

Implementierung von SCEP für sichere BYOD- und Netzwerkanmeldung im Hochschulbereich

Dieser technische Leitfaden bietet Netzwerkarchitekten und IT-Managern ein herstellerunabhängiges Konzept für die Bereitstellung von SCEP-basierten Zertifikatsanmeldungen zur Sicherung von Campusnetzwerken an Hochschulen. Er beschreibt im Detail die Migration von passwortbasiertem PEAP zu 802.1X EAP-TLS, die Automatisierung des BYOD-Onboardings und die Durchsetzung einer robusten VLAN-Segmentierung.

Leitfaden lesen →