Zum Hauptinhalt springen
Deutsch

RadSec: Wie RADIUS over TLS die Sicherheit der WiFi-Authentifizierung verbessert

Diese maßgebliche technische Referenz erklärt, wie RadSec (RFC 6614) die Authentifizierung in Unternehmens-WiFi-Netzwerken sichert, indem herkömmlicher RADIUS-Traffic in eine TLS-Verschlüsselung gekapselt wird. Konzipiert für IT-Manager und Netzwerkarchitekten, behandelt sie Architektur, Bereitstellungsstrategien und praktische Schritte zur Minimierung der Risiken von unverschlüsseltem UDP-RADIUS-Traffic in Unternehmens- und Gästenetzwerken.

📖 4 Min. Lesezeit📝 871 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
RadSec: Wie RADIUS over TLS die Sicherheit der WiFi-Authentifizierung verbessert Ein Purple Enterprise WiFi Intelligence Briefing Ungefähre Laufzeit: 10 Minuten --- [EINFÜHRUNG & KONTEXT — ca. 1 Minute] Willkommen zur Purple Enterprise WiFi Intelligence-Reihe. Ich bin Ihr Moderator, und heute widmen wir sich einem Thema, das genau an der Schnittstelle zwischen Netzwerksicherheit und operativem Risiko liegt: RadSec – formal definiert in RFC 6614 – und warum es auf Ihrer Infrastruktur-Roadmap stehen sollte, falls es das nicht schon tut. Wenn Sie IT-Manager, Netzwerkarchitekt oder CTO sind und die Verantwortung für das Enterprise-WiFi einer Hotelgruppe, eines Einzelhandelsunternehmens, eines Stadions oder eines Campus im öffentlichen Sektor tragen, ist dieses Briefing genau das Richtige für Sie. Wir werden uns ansehen, was RadSec eigentlich ist, warum das herkömmliche RADIUS-Protokoll Sicherheitslücken hinterlässt, wie man RadSec in einer realen Umgebung implementiert und welche Fallstricke Teams immer wieder ausbremsen. Keine graue Theorie – sondern genau die Informationen, die Sie benötigen, um in diesem Quartal eine Entscheidung zu treffen. Legen wir los. --- [TECHNISCHER DEEP-DIVE — ca. 5 Minuten] Beginnen wir mit dem Problem. RADIUS – Remote Authentication Dial-In User Service – ist seit den 1990er Jahren das Rückgrat der WiFi-Authentifizierung in Unternehmen. Wenn sich ein Benutzer oder ein Gerät mit Ihrem Unternehmens- oder Gäste-WiFi verbindet, fungiert der Access Point als RADIUS-Client und leitet Authentifizierungsanfragen an einen RADIUS-Server weiter. Dieser gleicht die Anmeldedaten mit Ihrem Verzeichnis ab – Active Directory, LDAP oder einem Cloud-Identity-Provider – und gewährt oder verweigert den Zugriff. Dies ist das 802.1X-Authentifizierungsmodell, das WPA2-Enterprise- und WPA3-Enterprise-Netzwerken zugrunde liegt. Das Problem ist, dass das herkömmliche RADIUS für eine andere Ära entwickelt wurde. Es läuft über UDP – User Datagram Protocol – auf den Ports 1812 und 1813. UDP ist verbindungslos, was bedeutet, dass es keinen Handshake, keinen Sitzungsstatus und vor allem keine native Verschlüsselung gibt. Der einzige Schutz zwischen Ihrem Access Point und Ihrem RADIUS-Server ist ein Shared Secret – im Grunde ein Passwort –, mit dem das Passwort des Benutzers bei der Übertragung mittels MD5-Hashing verschleiert wird. MD5 ist, wie die meisten von Ihnen wissen werden, kryptografisch gebrochen. Und das schon seit Jahren. Was bedeutet das in der Praxis? Es bedeutet, dass ein Angreifer auf jedem Netzwerksegment, auf dem er RADIUS-Traffic abfangen kann – und dazu gehören kompromittierte Switches, unbefugte Geräte in Ihrem Management-VLAN oder jeder Punkt zwischen einem Remote-Access-Point und einem in der Cloud gehosteten RADIUS-Server –, Authentifizierungsvorgänge mitschreiben, Offline-Wörterbuchangriffe gegen das Shared Secret durchführen und in einigen Konfigurationen Benutzeranmeldedaten vollständig offenlegen kann. Für eine Hotelgruppe, die Gäste-WiFi in 200 Hotels betreibt, oder eine Einzelhandelskette mit Access Points in jeder Filiale, die Daten über das öffentliche Internet an einen zentralen RADIUS-Server zurücküberträgt, ist dies kein theoretisches Risiko. Es ist eine aktive Angriffsfläche. Genau dieses Problem löst RadSec. RadSec – definiert in RFC 6614 und aktualisiert durch RFC 7360 – kapselt den RADIUS-Traffic in einen TLS-Tunnel. Anstelle von UDP nutzt es TCP auf Port 2083. Anstelle eines Shared Secret und MD5 nutzt es Mutual-TLS-Authentifizierung mit X.509-Zertifikaten. Sowohl der RADIUS-Client als auch der RADIUS-Server legen Zertifikate vor, überprüfen die Identität des jeweils anderen und bauen eine verschlüsselte Sitzung auf, bevor Authentifizierungsdaten ausgetauscht werden. TLS 1.3 ist die derzeit empfohlene Version, die Perfect Forward Secrecy bietet und eine Reihe von Schwachstellen älterer Verschlüsselungsverfahren eliminiert. Der praktische Effekt ist enorm. Anmeldedaten, Benutzerattribute und Sitzungs-Token werden Ende-zu-Ende zwischen dem Access Point – oder einem RadSec-Proxy – und dem RADIUS-Server verschlüsselt. Ein Angreifer, der den Traffic auf der Leitung abfängt, sieht nur verschlüsselte TLS-Daten. Das Shared Secret ist aus Gründen der Abwärtskompatibilität zwar immer noch vorhanden, übernimmt aber keine Sicherheitsfunktion mehr – TLS trägt die gesamte Last. Es gibt noch eine weitere Dimension, die immer wichtiger wird: Roaming. Die Eduroam-Federation, die von Universitäten und Forschungseinrichtungen in Europa und darüber hinaus genutzt wird, setzt RadSec seit Jahren als Teil ihrer institutionenübergreifenden Roaming-Infrastruktur ein. Seit kurzem schreibt auch der OpenRoaming-Standard der Wi-Fi Alliance – der nahtloses WiFi-Roaming an teilnehmenden Standorten ermöglicht – RadSec für den gesamten Federation-Traffic vor. Wenn Sie eine OpenRoaming-fähige Infrastruktur aufbauen, ist RadSec nicht optional, sondern Voraussetzung. Purple unterstützt OpenRoaming im Rahmen seiner Connect-Lizenz und fungiert als Identity-Provider innerhalb der Federation. RadSec ist dabei das Herzstück dieses sicheren Roaming-Netzwerks. Aus Compliance-Sicht wird RadSec auch für PCI DSS 4.0 immer wichtiger, da dort die Anforderungen an den Schutz von Authentifizierungsdaten bei der Übertragung verschärft werden. Wenn Ihre WiFi-Infrastruktur mit Kreditkartendaten in Berührung kommt – was im Einzelhandel und im Gastgewerbe häufig der Fall ist –, ist die fehlende Verschlüsselung im herkömmlichen RADIUS ein Sicherheitsrisiko, das bei jedem Audit auffallen wird. Die GDPR verlangt ebenfalls angemessene technische Maßnahmen zum Schutz personenbezogener Daten; unverschlüsselt über Ihr Netzwerk fließende Benutzerdaten und Sitzungs-Metadaten lassen sich in einem Datenschutzaudit nur schwer rechtfertigen. Sprechen wir nun über die Architektur. Es gibt zwei primäre Bereitstellungsmodelle für RadSec. Das erste ist die native RadSec-Unterstützung auf Ihrem RADIUS-Server und Ihren Access Points. FreeRADIUS 3.0 und höher unterstützt RadSec nativ. Microsoft NPS unterstützt RadSec in den aktuellen Versionen nicht nativ, was für Unternehmen mit Windows-basierter Infrastruktur eine erhebliche Einschränkung darstellt. Cisco ISE unterstützt RadSec. Aruba ClearPass unterstützt RadSec. Wenn sowohl Ihr RADIUS-Server als auch Ihr Access-Point-Hersteller RadSec nativ unterstützen, ist dies der einfachste Weg: Konfigurieren Sie TLS-Zertifikate auf beiden Seiten, öffnen Sie TCP 2083 auf Ihrer Firewall, und schon verschlüsseln Sie den RADIUS-Traffic Ende-zu-Ende. Das zweite Modell ist ein RadSec-Proxy. Dies ist in der Praxis die häufigere Bereitstellung, insbesondere für Unternehmen mit älterer RADIUS-Infrastruktur oder heterogenen Herstellerumgebungen. Ein RadSec-Proxy – radsecproxy ist die am weitesten verbreitete Open-Source-Implementierung – sitzt zwischen Ihren Access Points und Ihrem RADIUS-Server. Die Access Points senden standardmäßigen RADIUS über UDP an den Proxy im lokalen Netzwerk. Der Proxy terminiert diese Verbindung, kapselt den RADIUS-Traffic in einen TLS-Tunnel und leitet ihn über TCP 2083 an den vorgelagerten RADIUS-Server weiter. Mit diesem Ansatz können Sie eine bestehende Infrastruktur um RadSec erweitern, ohne Ihren RADIUS-Server austauschen zu müssen. Das ist besonders nützlich, wenn Ihr RADIUS-Server in der Cloud gehostet wird oder über das öffentliche Internet erreichbar ist. Das Zertifikatsmanagement ist die operative Herausforderung, die Sie einplanen müssen. Sie benötigen eine PKI – Public Key Infrastructure –, um die für Mutual TLS verwendeten X.509-Zertifikate auszustellen und zu verwalten. Das bedeutet eine Zertifizierungsstelle (CA), die Zertifikatsausstellung für jeden RADIUS-Client und -Server sowie einen Prozess zur Zertifikatsrotation vor dem Ablaufdatum. Zertifikate, die unbemerkt ablaufen, blockieren die Authentifizierung für jeden Benutzer in Ihrem Netzwerk gleichzeitig – und das ist ein Szenario, das Sie unbedingt vermeiden wollen. Automatisieren Sie die Zertifikatsverlängerung über ACME oder die API Ihrer CA und richten Sie Überwachungswarnungen lange vor dem Ablaufdatum ein. --- [EMPFEHLUNGEN FÜR DIE IMPLEMENTIERUNG & FALLSTRICKE — ca. 2 Minuten] Lassen Sie mich Ihnen einige praktische Empfehlungen geben. Erstens: Führen Sie vor der Bereitstellung ein Audit durch. Erfassen Sie jeden RADIUS-Client – Access Points, VPN-Konzentratoren, Switches mit 802.1X – und jeden RADIUS-Server in Ihrer Umgebung. Finden Sie heraus, welche Geräte RadSec nativ unterstützen und welche einen Proxy benötigen. Bei diesem Audit stoßen Sie meist auf ältere Geräte, die TLS überhaupt nicht unterstützen und die auf Ihre Austauschliste gesetzt werden müssen. Zweitens: Beginnen Sie mit dem Traffic, der dem höchsten Risiko ausgesetzt ist. Wenn Sie RADIUS-Traffic haben, der das öffentliche Internet durchquert – Außenstellen, in der Cloud gehostetes RADIUS, Hotelgruppen mit mehreren Standorten –, hat dieser oberste Priorität. Lokaler RADIUS-Traffic in einem gut segmentierten Management-VLAN ist risikoärmer, sollte aber dennoch auf der Roadmap stehen. Drittens: Testen Sie Mutual TLS gründlich vor dem Go-Live. Die häufigste Fehlerquelle bei RadSec-Bereitstellungen sind Fehler bei der Zertifikatsvalidierung – nicht übereinstimmende Common Names, abgelaufene Zwischenzertifikate oder Clients, die der CA, die das Serverzertifikat signiert hat, nicht vertrauen. Verwenden Sie openssl s_client, um TLS-Handshakes zu testen, bevor Sie den produktiven Traffic umschalten. Viertens: Vernachlässigen Sie das Monitoring nicht. RadSec fügt eine TCP-Verbindungsebene hinzu, die das herkömmliche RADIUS nicht hat. TCP-Verbindungsfehler, TLS-Handshake-Timeouts und Zertifikatsfehler äußern sich für Ihre Benutzer als Authentifizierungsfehler. Stellen Sie sicher, dass Ihre RADIUS-Server- und Proxy-Protokolle in Ihr SIEM oder Ihre Monitoring-Plattform einfließen, damit Sie ein RadSec-Verbindungsproblem von einem Authentifizierungsrichtlinien-Problem unterscheiden können. Der Fallstrick, den ich am häufigsten sehe, ist, dass Unternehmen RadSec auf der Serverseite implementieren, aber vergessen, ihre Firewall-Regeln zu aktualisieren. TCP 2083 muss zwischen jedem RADIUS-Client und dem RADIUS-Server oder -Proxy geöffnet sein. Wenn man an die Verwaltung von UDP-1812-Regeln gewöhnt ist, kann TCP 2083 bei der Firewall-Änderung leicht vergessen werden. --- [SCHNELLES Q&A — ca. 1 Minute] Lassen Sie uns einige Fragen durchgehen, die mir regelmäßig gestellt werden. „Ersetzt RadSec 802.1X?“ Nein. RadSec sichert die Transportschicht zwischen dem Access Point und dem RADIUS-Server. 802.1X ist das Authentifizierungs-Framework zwischen dem Endgerät und dem Access Point. Sie arbeiten auf unterschiedlichen Ebenen und ergänzen sich. „Wird RadSec von allen Access-Point-Herstellern unterstützt?“ Nicht durchgängig. Cisco, Aruba, Ruckus und Meraki bieten unterschiedliche Stufen der RadSec-Unterstützung – prüfen Sie Ihre spezifische Firmware-Version. Wo keine native Unterstützung vorhanden ist, ist ein RadSec-Proxy die Lösung. „Was ist mit DTLS – RADIUS over DTLS?“ RFC 7360 definiert RADIUS over DTLS, das UDP anstelle von TCP verwendet und so einige der verbindungslosen Eigenschaften des herkömmlichen RADIUS beibehält, während es gleichzeitig Verschlüsselung hinzufügt. Es ist weniger weit verbreitet als RadSec over TLS, aber eine Überlegung wert, wenn die Latenz in Umgebungen mit sehr hohem Durchsatz eine Rolle spielt. „Wie wirkt sich das auf die Roaming-Performance aus?“ Die TCP-Verbindung von RadSec ist persistent, was die Roaming-Performance in Federation-Umgebungen tatsächlich verbessern kann, da der Aufwand für den Verbindungsaufbau bei nachfolgenden Authentifizierungsanfragen reduziert wird. --- [ZUSAMMENFASSUNG & NÄCHSTE SCHRITTE — ca. 1 Minute] Zusammenfassend lässt sich sagen: RadSec ist die ausgereifte, standardbasierte Antwort auf eine echte Sicherheitslücke im herkömmlichen RADIUS. Wenn Sie Enterprise-WiFi in größerem Umfang betreiben – über mehrere Standorte hinweg, über das Internet oder in Umgebungen, die PCI DSS oder der GDPR unterliegen –, stellt sich nicht die Frage, ob Sie RadSec implementieren, sondern wann und wie. Ihre nächsten Schritte: Analysieren Sie noch diese Woche Ihre RADIUS-Infrastruktur. Identifizieren Sie Ihre risikoreichsten Traffic-Ströme. Prüfen Sie die Dokumentation Ihres RADIUS-Servers und Ihres Access-Point-Herstellers auf native RadSec-Unterstützung. Wenn Sie FreeRADIUS nutzen, können Sie eine RadSec-Testumgebung an einem einzigen Tag einrichten. Wenn Sie Microsoft NPS nutzen, evaluieren Sie einen Proxy oder einen Migrationspfad zu einem RadSec-fähigen Server. Die Plattform von Purple ist so konzipiert, dass sie sich nahtlos in RADIUS-Infrastrukturen von Unternehmen integrieren lässt und sichere Authentifizierungsabläufe sowohl für Unternehmens- als auch für Gäste-WiFi-Umgebungen unterstützt. Wenn Sie wissen möchten, wie RadSec in Ihre spezifische Umgebung passt, unterstützt Sie das Purple-Team gerne dabei. Vielen Dank fürs Zuhören. Bis zum nächsten Mal. --- ENDE DES SKRIPTS

header_image.png

Executive Summary

Herkömmliches RADIUS über UDP (Ports 1812/1813) wurde nicht für die moderne Bedrohungslandschaft von Unternehmen entwickelt. Da es sich ausschließlich auf ein Shared Secret und MD5-Hashing verlässt, bleiben Authentifizierungsdaten und Sitzungsattribute anfällig für Abfangversuche – insbesondere bei der Übertragung über öffentliche Netzwerke oder große, verteilte Standorte wie Hotel- und Einzelhandelsketten. RadSec (RADIUS über TLS, RFC 6614) schließt diese grundlegende Sicherheitslücke, indem es den RADIUS-Datenverkehr in einem TCP-basierten TLS 1.3-Tunnel über Port 2083 kapselt.

Für CTOs und Netzwerkarchitekten ist die Bereitstellung von RadSec nicht mehr nur eine Best Practice – sie ist eine kritische Voraussetzung für den Schutz von corporate wifi , die Einhaltung von PCI DSS 4.0 und die Teilnahme an modernen föderierten Roaming-Frameworks wie OpenRoaming. Dieser Leitfaden beschreibt die Architektur, Implementierungsmuster und betrieblichen Anforderungen zur Absicherung Ihrer Authentifizierungsinfrastruktur.

Technischer Deep-Dive: RADIUS vs. RadSec

Die Schwachstelle im herkömmlichen RADIUS

In einer standardmäßigen 802.1X-Bereitstellung leitet der Access Point (Authenticator) die Client-Anmeldedaten an den RADIUS-Server (Authentication Server) weiter. Bei herkömmlichem RADIUS wird diese Payload über UDP gesendet. Der einzige Schutz ist ein Pre-Shared Key (PSK), der zur Verschleierung des Passworts via MD5 verwendet wird.

Diese Architektur birgt drei kritische Risiken:

  1. Keine Transportverschlüsselung: Benutzerattribute, MAC-Adressen und Sitzungsdaten werden im Klartext übertragen.
  2. Kryptografische Schwachstelle: MD5 ist anfällig für Offline-Wörterbuchangriffe, wenn ein Angreifer den Datenverkehr abfängt.
  3. Keine gegenseitige Authentifizierung: Der Access Point kann nicht kryptografisch überprüfen, ob er mit dem legitimen RADIUS-Server kommuniziert, was Angriffe über gefälschte Server ermöglicht.

Die RadSec-Architektur (RFC 6614)

RadSec behebt diese Mängel, indem es die Transportschicht von UDP auf TCP umstellt und die gesamte Payload in TLS verpackt.

architecture_overview.png

  • Transport: TCP-Port 2083 sorgt für eine zuverlässige Zustellung und zustandsorientierte Verbindungen, was die Leistung in Umgebungen mit hoher Latenz verbessert.
  • Verschlüsselung: TLS 1.2 oder 1.3 bietet eine robuste End-to-End-Verschlüsselung aller RADIUS-Attribute.
  • Gegenseitige Authentifizierung: Sowohl der RADIUS-Client (oder Proxy) als auch der Server müssen gültige X.509-Zertifikate vorlegen, die von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt wurden. Das Shared Secret wird nur aus Gründen der Abwärtskompatibilität beibehalten; die tatsächliche Sicherheit wird durch TLS gewährleistet.

Diese Architektur ist unerlässlich für verteilte Umgebungen wie Retail -Ketten oder Hospitality -Standorte, bei denen Access Points Authentifizierungsanfragen über das öffentliche Internet an einen zentralen oder in der Cloud gehosteten RADIUS-Server weiterleiten.

Implementierungsleitfaden

Die Bereitstellung von RadSec folgt in der Regel einem von zwei Mustern: Nativer Support oder Proxy-basiert.

Muster 1: Natives RadSec

Wenn Ihre Infrastruktur dies nativ unterstützt (z. B. FreeRADIUS 3.0+, Cisco ISE, Aruba ClearPass), konfigurieren Sie TLS-Zertifikate direkt auf dem RADIUS-Server und den Access Points/Controllern. Dies bietet eine echte End-to-End-Verschlüsselung vom Edge bis zum Core.

Muster 2: Der RadSec-Proxy

Viele ältere RADIUS-Server (insbesondere Microsoft NPS) unterstützen RadSec nicht nativ. In diesen Umgebungen wird ein Proxy (wie radsecproxy) eingesetzt.

  1. Lokaler Abschnitt: Der AP sendet standardmäßiges UDP-RADIUS an den lokalen Proxy.
  2. WAN-Abschnitt: Der Proxy kapselt den Datenverkehr in TLS und sendet ihn über TCP 2083 an den Upstream-Server.

Dieses Muster ermöglicht es Ihnen, den Weitverkehrsdatenverkehr abzusichern, ohne die bestehende Infrastruktur ersetzen zu müssen.

deployment_checklist.png

Integration mit Purple

Die Plattformen für Guest WiFi und WiFi Analytics von Purple lassen sich nahtlos in die RADIUS-Infrastruktur von Unternehmen integrieren. Unter der Connect-Lizenz fungiert Purple als kostenloser Identity Provider für OpenRoaming, wo RadSec eine zwingende Voraussetzung für die Absicherung des Föderationsdatenverkehrs zwischen Standorten und dem zentralen Hub ist.

Best Practices

  1. Zertifikats-Lebenszyklusmanagement: Gegenseitiges TLS basiert auf gültigen Zertifikaten. Implementieren Sie eine automatisierte Verlängerung (z. B. über ACME) und eine strikte Überwachung. Ein abgelaufenes Zertifikat führt zu einem vollständigen Ausfall der Authentifizierung.
  2. Firewall-Konfiguration: Stellen Sie sicher, dass der TCP-Port 2083 explizit sowohl ausgehend vom Standort als auch eingehend zum RADIUS-Server freigegeben ist. Gehen Sie nicht davon aus, dass bestehende UDP-1812-Regeln automatisch gelten.
  3. Priorisierung von risikoreichem Datenverkehr: Beginnen Sie mit der Bereitstellung auf Verbindungen, die über das öffentliche Internet oder unsichere WANs verlaufen, bevor Sie zu lokalen Management-VLANs übergehen.

Weitere Informationen zur Absicherung des Edge-Bereichs finden Sie in unserem Leitfaden über Access Point Security: Your 2026 Enterprise Guide .

Fehlerbehebung & Risikominimierung

Wenn RadSec fehlschlägt, liegt das selten an einem Authentifizierungsproblem, sondern fast immer an einem TLS- oder TCP-Problem.

  • Symptom: Access Points werden als vom RADIUS-Server getrennt angezeigt.
    • Prüfung: Firewall-Regeln für TCP 2083. Herkömmliches RADIUS verwendet UDP; Netzwerkteams vergessen häufig, den TCP-Port zu öffnen.
  • Symptom: Die TCP-Verbindung wird hergestellt, aber die Authentifizierung schlägt sofort fehl.
    • Prüfung: Zertifikatsvalidierung. Überprüfen Sie, ob der Common Name (CN) oder Subject Alternative Name (SAN) übereinstimmt, das Zertifikat nicht abgelaufen ist und der Client der signierenden CA vertraut. Verwenden Sie openssl s_client -connect :2083, um den Handshake zu debuggen.

Stellen Sie sicher, dass Ihre Netzwerkgrundlagen solide sind. Lesen Sie dazu unsere Empfehlungen unter Protect Your Network with Strong DNS and Security .

ROI & Business Impact

Die Implementierung von RadSec ist eine Investition in die Risikominderung. Der ROI bemisst sich an der Vermeidung von Datenpannen, Compliance-Strafen (PCI DSS, GDPR) und Reputationsschäden. Darüber hinaus ermöglicht sie die Teilnahme an modernen Roaming-Verbänden wie OpenRoaming, was das Gästeerlebnis in Umgebungen wie dem Gesundheitswesen und dem Transportwesen erheblich verbessern kann.

Hören Sie sich das Briefing an

Für einen tieferen Einblick in die betriebliche Praxis bei der Bereitstellung von RadSec hören Sie sich unser 10-minütiges technisches Briefing an:

Für spezifische Konfigurationsschritte auf Client-Geräten lesen Sie bitte How to Set Up Enterprise WiFi on iOS and macOS with 802.1X oder die portugiesische Version Como Configurar WiFi Corporativo em iOS e macOS com 802.1X .

Schlüsseldefinitionen

RadSec

Eine Erweiterung des RADIUS-Protokolls, die RADIUS-Traffic in einem TLS-Tunnel über den TCP-Port 2083 kapselt.

Wird zur Absicherung des Authentifizierungs-Traffics beim Durchqueren unsicherer Netzwerke verwendet, um das Abfangen von Anmeldedaten zu verhindern.

Mutual TLS (mTLS)

Ein Sicherheitsprozess, bei dem sowohl der Client als auch der Server X.509-Zertifikate vorlegen, um die Identität des jeweils anderen zu überprüfen, bevor eine verschlüsselte Verbindung hergestellt wird.

Der zentrale Authentifizierungsmechanismus von RadSec, der die Abhängigkeit von statischen Shared Secrets ersetzt.

802.1X

Der IEEE-Standard für portbasierte Netzwerkzugriffskontrolle, der zur Authentifizierung von Geräten verwendet wird, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.

Das Framework, das auf RADIUS (und damit auch auf RadSec) basiert, um Benutzeranmeldedaten mit einem Verzeichnis abzugleichen.

radsecproxy

Ein Open-Source-Daemon, der als Proxy fungiert und standardmäßigen UDP-RADIUS-Traffic in RadSec (TLS über TCP) und umgekehrt umwandelt.

Wird eingesetzt, wenn die native RadSec-Unterstützung auf Access Points oder älteren RADIUS-Servern wie Microsoft NPS fehlt.

OpenRoaming

Ein von der Wi-Fi Alliance entwickelter Federations-Standard, der es Nutzern ermöglicht, sich weltweit nahtlos und sicher mit teilnehmenden WiFi-Netzwerken zu verbinden.

OpenRoaming schreibt die Nutzung von RadSec vor, um den Authentifizierungs-Traffic zwischen Standorten und Identity-Providern zu sichern.

Shared Secret

Eine statische Zeichenfolge, die im traditionellen RADIUS verwendet wird, um Passwörter zu verschleiern und die Quelle von Anfragen zu verifizieren.

Obwohl aus Gründen der Abwärtskompatibilität in RadSec-Konfigurationen technisch noch vorhanden, wird es durch die TLS-Verschlüsselung überflüssig.

FreeRADIUS

Ein weit verbreiteter Open-Source-RADIUS-Server, der native Unterstützung für RadSec bietet.

Wird aufgrund seiner Flexibilität und nativen TLS-Funktionen häufig in Unternehmensumgebungen und Roaming-Federations eingesetzt.

PKI (Public Key Infrastructure)

Das System aus Rollen, Richtlinien und Software, das zum Erstellen, Verwalten, Verteilen und Widerrufen digitaler Zertifikate benötigt wird.

Eine Voraussetzung für die Bereitstellung von RadSec, da Sie Zertifikate für alle RADIUS-Clients und -Server ausstellen und verwalten müssen.

Ausgearbeitete Beispiele

Eine Hotelgruppe mit 200 Standorten nutzt Microsoft NPS zentral für die Mitarbeiterauthentifizierung. Die Access Points in den einzelnen Hotels senden RADIUS-Anfragen derzeit unverschlüsselt über das öffentliche Internet via UDP 1812. Der CTO fordert eine Verschlüsselung des gesamten Authentifizierungs-Traffics, ein Austausch von NPS ist in diesem Jahr jedoch keine Option.

Implementieren Sie einen RadSec-Proxy (z. B. radsecproxy) an jedem Hotelstandort und einen entsprechenden Proxy im zentralen Rechenzentrum vor den NPS-Servern. Die lokalen APs senden UDP-RADIUS an den lokalen Proxy. Der lokale Proxy baut einen Mutual-TLS-Tunnel über TCP 2083 über das Internet zum zentralen Proxy auf. Der zentrale Proxy terminiert den TLS-Tunnel und leitet standardmäßigen UDP-RADIUS an den NPS-Server weiter.

Kommentar des Prüfers: Dieser Ansatz erreicht das primäre Sicherheitsziel – die Verschlüsselung von Authentifizierungsdaten über das unsichere WAN –, ohne dass eine kostspielige und disruptive Komplettablösung der bestehenden Microsoft NPS-Infrastruktur erforderlich ist. Er bringt jedoch einen Aufwand für das Zertifikatsmanagement der Proxys mit sich, der automatisiert werden sollte.

Eine große Universität führt auf ihrem Campus OpenRoaming ein, um Gastwissenschaftlern einen nahtlosen Zugang zu ermöglichen. Sie nutzt FreeRADIUS 3.0.

Aktivieren Sie natives RadSec in FreeRADIUS. Generieren Sie X.509-Zertifikate von einer Zertifizierungsstelle (CA), der die OpenRoaming-Federation vertraut. Konfigurieren Sie die Campus-Firewall so, dass eingehender und ausgehender TCP-2083-Traffic zu den Federation-Hubs zugelassen wird. Konfigurieren Sie die Wireless-LAN-Controller so, dass sie RadSec für alle an die Federation gerichteten Authentifizierungsanfragen nutzen.

Kommentar des Prüfers: Da FreeRADIUS RadSec nativ unterstützt, ist kein Proxy erforderlich. Dies ist die sauberste Architektur. Die kritische Abhängigkeit besteht hierbei darin, sicherzustellen, dass die Zertifikate mit den spezifischen PKI-Anforderungen der OpenRoaming-Federation übereinstimmen.

Übungsfragen

Q1. Ihr Team hat natives RadSec zwischen den Access Points Ihrer Außenstellen und Ihrem zentralen FreeRADIUS-Server eingerichtet. Die APs können den Server anpingen, aber die Authentifizierungsanfragen laufen vollständig ins Leere, und im RADIUS-Protokoll geht kein Traffic ein.

Hinweis: RadSec verwendet ein anderes Transportprotokoll und einen anderen Port als herkömmliches RADIUS.

Musterlösung anzeigen

Die Firewall blockiert wahrscheinlich den TCP-Port 2083. Netzwerkteams, die an herkömmliches RADIUS gewöhnt sind, geben oft nur die UDP-Ports 1812/1813 frei. Sie müssen TCP 2083 explizit für den ausgehenden Traffic aus der Außenstelle und den eingehenden Traffic auf dem RADIUS-Server freigeben.

Q2. Sie prüfen die WiFi-Architektur eines Einzelhandelskunden. Dieser nutzt Microsoft NPS zentral. Die APs in den Filialen senden Authentifizierungsanfragen über ein IPsec-VPN über das Internet. Ist RadSec hier erforderlich?

Hinweis: Berücksichtigen Sie die bereits vorhandenen Verschlüsselungsebenen.

Musterlösung anzeigen

Obwohl RadSec Best Practice ist, bietet das IPsec-VPN bereits eine Verschlüsselung auf Transportebene für den UDP-RADIUS-Traffic über das unsichere Internet. Die Implementierung von RadSec würde hier eine zusätzliche Schutzebene (Defense-in-Depth) bieten, ist jedoch weniger dringend, als wenn der Traffic unverschlüsselt über das Internet laufen würde.

Q3. Eine Woche nach einer erfolgreichen RadSec-Proxy-Implementierung schlägt die gesamte WiFi-Authentifizierung im Unternehmen am Montag um 09:00 Uhr morgens gleichzeitig fehl. Das Netzwerkteam bestätigt, dass die Firewall-Regeln unverändert sind.

Hinweis: Was ist der primäre Authentifizierungsmechanismus für den TLS-Tunnel selbst?

Musterlösung anzeigen

Die für die Mutual-TLS-Authentifizierung verwendeten X.509-Zertifikate sind wahrscheinlich abgelaufen. Wenn Zertifikate ablaufen, schlägt der TLS-Handshake fehl, die TCP-Verbindung bricht ab und es kann kein RADIUS-Traffic mehr fließen. Implementieren Sie eine automatisierte Zertifikatsüberwachung und -erneuerung, um dies zu verhindern.

Weiterlesen in dieser Reihe

So konfigurieren Sie SCEP für die automatisierte Zertifikatsregistrierung für Enterprise WiFi

Dieser Leitfaden erklärt, wie Sie SCEP (Simple Certificate Enrollment Protocol) für die automatisierte Zertifikatsregistrierung für Enterprise WiFi konfigurieren. Er deckt die gesamte Architektur von PKI und NDES bis hin zur MDM-Profilbereitstellung und RADIUS-Validierung ab. Er richtet sich an IT-Manager, Netzwerkarchitekten und CTOs in Hotels, Einzelhandelsketten, Stadien, Konferenzzentren und Organisationen des öffentlichen Sektors, die über Pre-Shared Keys hinausgehen und eine skalierbare, identitätsbasierte 802.1X EAP-TLS-Authentifizierung implementieren müssen. Die hardwareunabhängige Cloud-Overlay-Plattform von Purple lässt sich direkt in diese Architektur integrieren und bietet die Guest- und BYOD-WiFi-Ebene, die parallel zu Ihrem zertifikatsauthentifizierten Mitarbeiternetzwerk läuft.

Leitfaden lesen →

The Enterprise Guide to SCEP: Deploying Simple Certificate Enrollment Protocol for Automated Campus WiFi Security

Dieser technische Leitfaden bietet einen definitiven Architektur-Entwurf und eine schrittweise Implementierungsstrategie für die Bereitstellung von WiFi-Zertifikaten in Unternehmen mittels SCEP. Er behandelt die entscheidenden Unterschiede zwischen SCEP und PKCS, die für den Erfolg erforderliche genaue Bereitstellungsreihenfolge sowie praxiserprobte Strategien zur Risikominderung für IT-Verantwortliche.

Leitfaden lesen →

So implementieren Sie SCEP für die automatisierte WiFi-Zertifikatsregistrierung

Dieser Leitfaden erklärt, wie Sie SCEP (Simple Certificate Enrollment Protocol) für die automatisierte WiFi-Zertifikatsregistrierung in Unternehmensstandorten implementieren. Er deckt den gesamten architektonischen Entwurf ab – vom PKI-Design und der MDM-Integration bis hin zur obligatorischen dreistufigen Bereitstellungssequenz – und zeigt IT-Managern und Netzwerkarchitekten, wie sie gemeinsame Anmeldeinformationen eliminieren, das Lebenszyklusmanagement von Zertifikaten automatisieren und PCI DSS- und GDPR-Anforderungen in großem Maßstab erfüllen.

Leitfaden lesen →