Server RADIUS: Ein umfassender Leitfaden für Unternehmen

Dieser Leitfaden bietet IT-Managern, Netzwerkarchitekten und CTOs eine definitive technische Referenz zur Server RADIUS-Authentifizierung für Enterprise-WiFi. Er behandelt das AAA-Framework, die 802.1X-Architektur, die Auswahl von EAP-Methoden, die Abwägung zwischen Cloud- und On-Premises-Bereitstellung sowie die dynamische VLAN-Zuweisung. Betreiber von Standorten in den Bereichen Hotellerie, Einzelhandel, Events und im öffentlichen Sektor finden hier praktische Implementierungsanleitungen, Fallstudien aus der Praxis und die Entscheidungsrahmen, die für die Migration von unsicheren Pre-Shared Keys zu einer sicheren, identitätsbasierten Netzwerkzugriffskontrollarchitektur erforderlich sind.

📖 9 Min. Lesezeit📝 2,075 Wörter🔧 2 ausgearbeitete Beispiele❓ 4 Übungsfragen📚 10 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen zum Purple Technical Briefing. Ich bin Ihr Moderator, und in den nächsten zehn Minuten werden wir uns mit einer der wichtigsten Infrastrukturentscheidungen für jedes IT-Team in Unternehmen befassen: der Server-RADIUS-Authentifizierung. Wenn Sie IT-Manager, Netzwerkarchitekt oder CTO sind und die Verantwortung für das WiFi in einem Hotel, einer Einzelhandelskette, einem Stadion oder einem Konferenzzentrum tragen, ist dieses Briefing genau das Richtige für Sie. Wir werden auf Fachjargon verzichten, die Architektur klar erklären und Ihnen die praktischen Einblicke geben, die Sie benötigen, um in diesem Quartal fundierte Entscheidungen zu treffen.

Beginnen wir mit dem großen Ganzen. Warum ist das überhaupt wichtig?

Wenn Sie Ihr Gäste- oder Mitarbeiter-WiFi immer noch über ein einziges gemeinsames Passwort, einen Pre-Shared Key, betreiben, arbeiten Sie mit einem erheblichen und wachsenden Sicherheitsrisiko. Dieses Passwort wird weitergegeben, auf Quittungen geschrieben, auf Whiteboards fotografiert und über Messaging-Apps weitergeleitet. Sobald es im Umlauf ist, haben Sie keine Transparenz darüber, wer sich in Ihrem Netzwerk befindet, keine Möglichkeit, den Zugriff für einen einzelnen Benutzer zu widerrufen, ohne alle anderen zu stören, und keinen Audit-Trail, falls etwas schiefgeht. Für Organisationen, die PCI DSS, der GDPR oder HIPAA unterliegen, ist dies nicht nur ein technisches Problem. Es ist ein Compliance-Risiko.

Server-RADIUS ist die Lösung, auf die sich die Branche geeinigt hat, um dieses Problem zu lösen. Lassen Sie uns also genau verstehen, was das ist und wie es funktioniert.

RADIUS steht für Remote Authentication Dial-In User Service. Der Name ist ein historisches Relikt aus den Anfängen des Dial-Up-Internets, aber das Protokoll hat sich erheblich weiterentwickelt und ist auch heute noch das Rückgrat der Netzwerkzugriffskontrolle in Unternehmen. Im Kern ist ein Server-RADIUS ein zentralisiertes System, das den Netzwerkzugriff mithilfe eines Frameworks namens AAA verwaltet: Authentifizierung, Autorisierung und Accounting. Diese drei Säulen sind das Fundament für alles, was wir heute besprechen werden.

Authentifizierung ist die erste Säule: die Überprüfung der Identität einer Person. Autorisierung ist die zweite: die Bestimmung dessen, was diese Person tun darf. Und Accounting ist die dritte: die Protokollierung dessen, was sie tatsächlich getan hat.

Lassen Sie uns jede dieser Säulen genauer betrachten.

Authentifizierung. Wenn ein Benutzer versucht, eine Verbindung zu einem WiFi-Netzwerk herzustellen, das mit WPA2-Enterprise oder WPA3-Enterprise gesichert ist, sendet sein Gerät, das wir als Supplicant bezeichnen, eine Verbindungsanfrage an den Wireless Access Point. Der Access Point, den wir als Authenticator bezeichnen, trifft die Authentifizierungsentscheidung nicht selbst. Er fungiert als Relay und leitet die Anfrage an den Server-RADIUS weiter. Der Server validiert dann die Identität des Benutzers anhand einer konfigurierten Identitätsquelle. Dies könnte Microsoft Entra ID, Okta, Google Workspace oder eine lokale Benutzerdatenbank sein. Die Identitätsquelle ist die einzige Quelle der Wahrheit (Single Source of Truth) dafür, wer in Ihr Netzwerk gelassen werden darf.

Autorisierung. Sobald der Benutzer authentifiziert ist, sagt der RADIUS-Server nicht einfach nur Ja und zieht sich zurück. Er teilt dem Access Point auch genau mit, was mit diesem Benutzer zu tun ist. Er sendet eine Reihe von Attributen zurück – im Wesentlichen Anweisungen –, die das Netzwerkerlebnis des Benutzers definieren. Das wichtigste davon ist in der Regel die VLAN-Zuweisung. Der RADIUS-Server könnte beispielsweise melden: Dieser Benutzer ist Mitglied der internen Mitarbeitergruppe, weise ihn VLAN zehn zu, das Zugriff auf interne Dateiserver und Drucker hat. Oder: Dieser Benutzer ist ein Gast, weise ihn VLAN zwanzig zu, das nur über einen Internetzugang verfügt und vollständig vom Unternehmensnetzwerk isoliert ist. Diese dynamische VLAN-Zuweisung ist eine der leistungsstärksten Funktionen eines RADIUS-Servers und der Mechanismus, der eine ordnungsgemäße Netzwerksegmentierung ermöglicht.

Accounting (Abrechnung). Die dritte Säule wird oft übersehen, ist aber für Compliance und Betrieb von entscheidender Bedeutung. Während der Sitzung eines Benutzers protokolliert der RADIUS-Server wichtige Informationen: den Zeitpunkt der Verbindung, den Zeitpunkt der Trennung, die Gesamtdauer der Sitzung, die übertragene Datenmenge und die MAC-Adresse des Geräts. Dadurch entsteht ein detaillierter Audit-Trail für jede Verbindung in Ihrem Netzwerk. Unter PCI DSS Version vier ist diese Art der Protokollierung nicht optional, sondern eine strikte Anforderung. Und im Falle eines Sicherheitsvorfalls sind diese Protokolle für forensische Untersuchungen von unschätzbarem Wert.

Lassen Sie uns nun über den technischen Standard sprechen, der all dies ermöglicht: IEEE 802.1X.

802.1X ist der Standard, der die portbasierte Netzwerkzugriffskontrolle definiert. Es ist das Protokoll, das es einem Access Point ermöglicht, den gesamten Netzwerkverkehr von einem Gerät zu blockieren, bis der RADIUS-Server bestätigt hat, dass das Gerät autorisiert ist. Die Kommunikation zwischen dem Gerät des Benutzers und dem Access Point nutzt ein Protokoll namens EAP (Extensible Authentication Protocol). EAP ist im Wesentlichen ein Framework, das mehrere Authentifizierungsmethoden unterstützt.

Die drei gängigsten EAP-Methoden in Enterprise WiFi sind: PEAP (Protected Extensible Authentication Protocol), EAP-TTLS und EAP-TLS.

PEAP und EAP-TTLS sind anmeldedatenbasierte Methoden. Sie erstellen einen verschlüsselten Tunnel zwischen dem Gerät und dem RADIUS-Server, woraufhin der Benutzername und das Passwort des Benutzers innerhalb dieses Tunnels überprüft werden. Sie sind relativ einfach bereitzustellen und funktionieren gut in Umgebungen, in denen Sie noch nicht für eine vollständige Zertifikatsinfrastruktur bereit sind.

EAP-TLS ist der Goldstandard. Es basiert auf Zertifikaten, was bedeutet, dass sowohl der Server als auch das Client-Gerät digitale Zertifikate vorlegen, um sich gegenseitig zu authentifizieren. Es ist überhaupt kein Passwort erforderlich. Dadurch wird das Risiko von Diebstahl der Anmeldedaten, Phishing-Angriffen und Man-in-the-Middle-Angriffen vollständig eliminiert. Für Unternehmensgeräte ist EAP-TLS die Authentifizierungsmethode, die Sie anstreben sollten.

Lassen Sie uns nun über Bereitstellungsmodelle sprechen. Wenn es um RADIUS-Server geht, haben Sie zwei Hauptoptionen: On-Premises und Cloud-Hosted.

On-premises-RADIUS, unter Verwendung von Plattformen wie FreeRADIUS oder Microsoft Network Policy Server, bietet Ihnen die vollständige Kontrolle über die Infrastruktur. Für einen einzelnen großen Standort, wie ein Stadion oder ein Krankenhaus, kann dies die richtige Entscheidung sein. Authentifizierungsanfragen werden über das lokale Netzwerk übertragen, was Ihnen Antwortzeiten im Sub-Millisekundenbereich sichert. Und wenn Ihr Identitätsverzeichnis ein On-premises Active Directory ist, das aus Compliance-Gründen nicht für das Internet freigegeben werden darf, ist ein On-premises-RADIUS-Server oft Ihre einzige praktikable Option.

Für Unternehmen mit mehreren Standorten bedeutet On-premises-RADIUS jedoch einen erheblichen betrieblichen Aufwand. Sie verwalten separate Serverinstanzen an jedem Standort, müssen Zertifikatsverlängerungen manuell durchführen und mit den Folgen umgehen, wenn um zwei Uhr morgens etwas schiefläuft.

Cloud-RADIUS ändert dies grundlegend. Die Infrastruktur wird global über mehrere Verfügbarkeitszonen hinweg gehostet. Wenn sich ein Benutzer an einer Außenstelle verbindet, wird die Anfrage an den nächstgelegenen Cloud-Edge-Knoten weitergeleitet. Hochverfügbarkeit ist standardmäßig integriert. Und die Zertifikatsrotation ist automatisiert, was die häufigste Ursache für Authentifizierungsausfälle bei On-premises-Bereitstellungen eliminiert.

Für Unternehmen mit mehreren Standorten und Cloud-nativen Identitätsanbietern wie Microsoft Entra ID, Okta oder Google Workspace ist Cloud-RADIUS fast immer die betrieblich überlegene Wahl. Der Cloud-RADIUS von Purple lässt sich direkt in Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet integrieren. Das bedeutet, dass Sie die Lösung über Ihren gesamten Hardwarebestand hinweg bereitstellen können, ohne einen einzigen Access Point austauschen zu müssen.

Lassen Sie mich zwei Praxisbeispiele nennen, um dies zu veranschaulichen.

Das erste ist eine europäische Hotelgruppe mit 45 Hotels in sechs Ländern. Das IT-Team betrieb FreeRADIUS auf virtuellen Maschinen in jedem Hotel – 45 separate Instanzen, die gepatcht, überwacht und gewartet werden mussten. Als ein Zertifikat in einem Hotel ablief, führte dies während einer großen Konferenz zu einem vollständigen Ausfall des Gäste-WiFi. Sie migrierten zu einem Cloud-RADIUS-Dienst, wodurch die Richtlinienverwaltung zentralisiert und die Wartung pro Standort eliminiert wurde. Das dreiköpfige Ingenieurteam gewann rund 40 Prozent der Zeit zurück, die zuvor für die RADIUS-Wartung aufgewendet wurde.

Das zweite Szenario ist ein nationales Sportstadion mit 68.000 Sitzplätzen. Das IT-Team hatte strenge Anforderungen an die Datensouveränität. Alle Authentifizierungsprotokolle mussten auf britischem Boden verbleiben. Sie installierten einen dualen On-premises-RADIUS-Cluster in einer Active-Active-Konfiguration mit einem sekundären Cluster in einer Co-Location-Einrichtung in 20 Meilen Entfernung. Dies bot ihnen lokale Kontrolle, Authentifizierung im Sub-Millisekundenbereich und die Möglichkeit, Traffic-Spitzen zu bewältigen, ohne auf eine Internetverbindung angewiesen zu sein.

Diese beiden Szenarien veranschaulichen den Entscheidungsrahmen deutlich. Wählen Sie Cloud RADIUS, wenn Sie über verteilte, standortübergreifende Strukturen, Cloud-native Identitätsanbieter und ein kleines, zentrales IT-Team verfügen. Wählen Sie eine On-Premises-Lösung, wenn Sie einen einzigen großen Standort mit strengen Anforderungen an die Datensouveränität oder eine physisch isolierte Sicherheitsumgebung (Air-Gapped) haben.

Kommen wir nun zu einigen der am häufigsten gestellten Fragen.

Erstens: Was ist der Unterschied zwischen einem RADIUS-Server und einem Captive Portal? Ein Captive Portal ist die Anmeldeseite, die Gäste sehen, wenn sie eine Verbindung herstellen. Es arbeitet mit RADIUS zusammen. Das Portal ist die Benutzeroberfläche; der RADIUS-Server ist die Engine im Hintergrund.

Zweitens: Kann ich RADIUS für kabelgebundene Netzwerke nutzen? Absolut. Der Standard 802.1X gilt gleichermaßen für kabelgebundenes Ethernet und für drahtlose Netzwerke.

Drittens: Was passiert, wenn mein Cloud-RADIUS-Anbieter einen Ausfall hat? Seriöse Anbieter garantieren Service-Level-Agreements mit einer Betriebszeit von 99,99 Prozent, gestützt auf Multi-Regionen-Redundanz. Konfigurieren Sie Ihre Access Points immer mit einer Fallback-Richtlinie – entweder mit offenem Zugriff auf ein eingeschränktes VLAN oder lokal zwischengespeicherten Anmeldedaten –, um dieses Szenario reibungslos zu bewältigen.

Viertens: Wie interagiert RADIUS mit dem Gäste-WiFi? Für Standorte, die Besuchern WiFi anbieten, schafft die Integration Ihrer RADIUS-Server-Infrastruktur mit einer Captive Portal-Lösung ein gestaffeltes Zugriffsmodell. Mitarbeiter und Unternehmensgeräte authentifizieren sich geräuschlos über 802.1X, während Gäste auf ein gebrandetes Portal zur Registrierung weitergeleitet werden. Die Plattform von Purple erfasst dann First-Party-Daten und liefert Analysen zum Besucherverhalten, wodurch Ihr Netzwerk von einem Kostenfaktor in ein Business-Intelligence-Asset verwandelt wird.

Zusammenfassend lässt sich sagen: Ein RADIUS-Server ist das zentralisierte Protokoll, das die WiFi-Sicherheit in Unternehmen steuert. Er implementiert das AAA-Framework, um Ihnen eine detaillierte Kontrolle darüber zu geben, wer auf Ihr Netzwerk zugreifen darf, was diese Personen tun können, und bietet ein vollständiges Audit-Protokoll ihrer Aktivitäten. Für Standortbetreiber, Hoteliers, Einzelhändler und Organisationen des öffentlichen Sektors ist die Bereitstellung eines RADIUS-Servers der grundlegende Schritt zum Aufbau einer sicheren, konformen und professionell verwalteten WiFi-Infrastruktur.

Ihr nächster Schritt ist klar. Wenn Sie immer noch mit Pre-Shared Keys arbeiten, planen Sie noch heute Ihre Migration. Überprüfen Sie Ihre aktuelle Hardware auf WPA3-Enterprise-Unterstützung, bewerten Sie die Integrationsoptionen für Ihr Identitätsverzeichnis und erkunden Sie eine Cloud-RADIUS-Plattform, die mit Ihrem Unternehmen skalieren kann.

Weitere technische Leitfäden und Ressourcen zur Implementierung finden Sie unter purple dot ai. Bis zum nächsten Mal, bleiben Sie sicher.

Wichtigste Erkenntnisse

✓Server RADIUS ist der Branchenstandard für die Netzwerkzugriffskontrolle in Unternehmen und ersetzt unsichere Pre-Shared Keys durch eine identitätsbasierte Authentifizierung über das AAA-Framework.
✓Die dynamische VLAN-Zuweisung ist der Mechanismus, der die Netzwerksegmentierung durchsetzt – eine zwingend erforderliche Maßnahme zur Einhaltung von GDPR und PCI DSS in Einzelhandels- und Hospitality-Umgebungen.
✓EAP-TLS ist die Goldstandard-Authentifizierungsmethode, bei der Passwörter durch eine gegenseitige Zertifikatsvalidierung zwischen Client und Server vollständig überflüssig werden.
✓Cloud RADIUS ist operativ überlegen für Standorte mit mehreren Filialen und kleinen zentralen IT-Teams, da es eine automatisierte Zertifikatsrotation, integrierte Hochverfügbarkeit und eine zentrale Richtlinienverwaltung bietet.
✓Ein lokaler Server RADIUS bleibt die richtige Wahl für einzelne große Standorte mit Anforderungen an die Datensouveränität, Air-Gapped-Umgebungen oder ältere lokale Verzeichnisdienste.
✓Der Ablauf von Zertifikaten ist die Hauptursache für Ausfälle bei On-Premises RADIUS – konfigurieren Sie Überwachungswarnungen 60 Tage, 30 Tage und 7 Tage vor dem Ablaufdatum.
✓Der Cloud RADIUS von Purple lässt sich mit Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet an über 80.000 Live-Standorten mit einer Betriebszeit von 99,999 % integrieren.

Management-Zusammenfassung

Für IT-Manager, Netzwerkarchitekten und CTOs in den Bereichen Gastgewerbe , Einzelhandel , Transport und bei großen öffentlichen Veranstaltungsorten ist die Sicherung des drahtlosen Zugangs eine zentrale betriebliche Anforderung – kein optionales Upgrade. Die Verwendung eines Pre-Shared Key (PSK) für den WiFi-Zugang stellt ein erhebliches Sicherheitsrisiko dar. Ein einziger kompromittierter Berechtigungsnachweis gefährdet das gesamte Netzwerk, und der Entzug des Zugriffs erfordert die Änderung des Passworts für jedes Gerät im gesamten Bestand. Die Implementierung der 802.1X-Authentifizierung über eine Server-RADIUS-Architektur (Remote Authentication Dial-In User Service) beseitigt dieses Problem. Jeder Benutzer authentifiziert sich individuell, der Zugriff kann sofort entzogen werden und die Netzwerksegmentierung wird dynamisch erzwungen.

Der Server RADIUS implementiert das AAA-Framework: Authentifizierung, Autorisierung und Accounting. Er validiert Identitäten mit Verzeichnissen wie Microsoft Entra ID, Okta oder Google Workspace, weist Benutzer über eine dynamische VLAN-Zuweisung dem richtigen Netzwerksegment zu und führt ein detailliertes Audit-Protokoll für jede Sitzung. Für Unternehmen, die PCI DSS, GDPR oder Cyber Essentials unterliegen, ist dieses Audit-Protokoll nicht optional. Es ist eine strikte Compliance-Anforderung. Der Cloud-RADIUS-Server von Purple sichert Mitarbeiter- und Unternehmensgeräte über zertifikatsbasierte 802.1X-Authentifizierung und lässt sich an über 80.000 Standorten nahtlos in Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet integrieren.

Technischer Deep-Dive: Server-RADIUS-Architektur

Der Standard IEEE 802.1X definiert die portbasierte Netzwerkzugriffskontrolle (PNAC). Im drahtlosen Kontext umfasst dies drei primäre Rollen, die zusammenwirken, um den Netzwerkrand zu sichern.

Rolle	Komponente	Aufgabe
Supplicant	Client-Gerät (Laptop, Smartphone)	Übermittelt Anmeldedaten, um Netzwerkzugriff anzufordern
Authenticator	WiFi-Access-Point oder Controller	Erzwingt die Zugriffskontrolle; leitet EAP-Nachrichten weiter
Authentifizierungsserver	Server RADIUS	Validiert Anmeldedaten; sendet Accept/Reject-Antworten und Richtlinienattribute zurück

Wenn sich ein Supplicant mit einem Access Point verbindet, blockiert der AP den gesamten Datenverkehr mit Ausnahme von EAP-Nachrichten (Extensible Authentication Protocol). Der AP kapselt diese EAP-Nachrichten in RADIUS-Pakete und leitet sie über den UDP-Port 1812 an den Server RADIUS weiter. Der Server überprüft die Anmeldedaten mit einem Backend-Verzeichnis und gibt eine Access-Accept- oder Access-Reject-Nachricht zurück. Bei Annahme gibt der AP den Port frei, und der Datenverkehr des Clients kann ungehindert fließen.

Das AAA-Framework in der Praxis

Authentifizierung (Authentication) ist die erste Säule: die Überprüfung, wer jemand ist. Wenn sich ein Gerät mit einer WPA3-Enterprise-SSID verbindet, gleicht der RADIUS-Server die vorgelegten Anmeldedaten oder Zertifikate mit der konfigurierten Identitätsquelle ab. Microsoft Entra ID, Okta und Google Workspace sind die etablierten Cloud-Identitätsanbieter, die sich direkt in moderne Cloud-RADIUS-Plattformen integrieren lassen.

Autorisierung (Authorization) ist die zweite Säule: die Bestimmung, was der authentifizierte Benutzer tun darf. Der RADIUS-Server gibt RADIUS-Attribute an den Access Point zurück, am wichtigsten ist dabei die VLAN-ID. Ein Mitarbeiter im Finanzteam landet in VLAN 10 mit Zugriff auf interne Systeme. Ein externer Dienstleister landet in VLAN 20 mit reinem Internetzugang. Ein Gast landet in VLAN 30, isoliert von allen Unternehmensressourcen. Diese dynamische VLAN-Zuweisung ist der Mechanismus, der eine ordnungsgemäße Netzwerksegmentierung ermöglicht – eine obligatorische Kontrolle für die PCI-DSS-Compliance in Einzelhandelsumgebungen .

Accounting (Abrechnung/Protokollierung) ist die dritte Säule: die Aufzeichnung dessen, was tatsächlich passiert ist. Der RADIUS-Server protokolliert Start- und Endzeiten der Sitzung, Sitzungsdauer, übertragene Daten und die MAC-Adresse jedes Geräts. Unter PCI DSS v4.0 ist diese Protokollierung eine zwingende Anforderung. Im Falle eines Sicherheitsvorfalls sind diese Protokolle das Fundament jeder forensischen Untersuchung.

Auswahl der EAP-Methode

Die Sicherheit Ihrer RADIUS-Server-Bereitstellung hängt stark von der gewählten EAP-Methode ab. Die drei am häufigsten verwendeten Methoden in Unternehmens-WiFi sind PEAP, EAP-TTLS und EAP-TLS.

PEAP-MSCHAPv2 ist die am weitesten verbreitete Methode. Sie erstellt einen verschlüsselten TLS-Tunnel unter Verwendung eines serverseitigen Zertifikats, in dem sich der Benutzer mit einem Benutzernamen und einem Passwort authentifiziert. Sie ist relativ einfach bereitzustellen, da Sie nur ein einziges Zertifikat verwalten müssen – das des Servers. Wenn Client-Geräte jedoch nicht explizit so konfiguriert sind, dass sie das Serverzertifikat validieren, sind sie anfällig für Angriffe über manipulierte Access Points (Rogue Access Points). Ein Angreifer kann ein gefälschtes Zertifikat vorlegen und Anmeldedaten abfangen. Dies ist eine dokumentierte Bedrohung aus der Praxis, keine theoretische. Erzwingen Sie ausnahmslos eine strikte Zertifikatsvalidierung über Group Policy Objects (GPOs) oder MDM-Profile.

EAP-TLS ist der Goldstandard. Sie erfordert digitale Zertifikate sowohl auf dem RADIUS-Server als auch auf jedem Client-Gerät, wodurch Passwörter vollständig überflüssig werden. Selbst wenn ein Angreifer den gesamten Authentifizierungsaustausch abfängt, gibt es keine Anmeldedaten, die er extrahieren könnte. Der Kompromiss ist der administrative Aufwand: Die Bereitstellung und Verwaltung von Client-Zertifikaten erfordert eine Public-Key-Infrastruktur (PKI) und eine MDM-Plattform wie Microsoft Intune oder Jamf. Für Unternehmensgeräte ist EAP-TLS die Authentifizierungsmethode, die Sie anstreben sollten. Das Cloud RADIUS von Purple unterstützt EAP-TLS nativ mit automatisiertem Zertifikatslebenszyklus-Management.

Implementierungsleitfaden: Cloud vs. On-Premises

Bei der Bereitstellung einer Server-RADIUS-Architektur müssen IT-Teams zwischen einer Cloud-basierten und einer On-Premises-Bereitstellung wählen. Dies ist die folgenschwerste architektonische Entscheidung des gesamten Projekts.

On-Premises RADIUS, unter Verwendung von Plattformen wie FreeRADIUS oder Microsoft Network Policy Server (NPS), bietet Ihnen die vollständige Kontrolle über die Infrastruktur. Für einen einzelnen großen Standort – ein Stadion, ein Krankenhaus oder eine Regierungseinrichtung – kann dies die richtige Wahl sein. Authentifizierungsanfragen werden über das lokale LAN übertragen, was Antwortzeiten im Sub-Millisekundenbereich ermöglicht. Wenn Ihr Identitätsverzeichnis ein lokales Active Directory ist, das aus Gründen der Datensouveränität nicht für das Internet freigegeben werden darf, ist ein On-Premises-Server-RADIUS oft Ihre einzige praktikable Option.

Für Organisationen mit mehreren Standorten bedeutet ein On-Premises RADIUS jedoch einen erheblichen betrieblichen Aufwand. Sie verwalten separate Serverinstanzen an jedem Standort, führen Zertifikatsverlängerungen manuell durch und müssen bei Ausfällen um zwei Uhr morgens reagieren, wenn ein Zertifikat abläuft. Für eine Einzelhandelskette mit 50 Standorten bedeutet dies 50 separate RADIUS-Instanzen, die gepatcht, überwacht und gewartet werden müssen.

Cloud RADIUS ändert dies grundlegend. Die Infrastruktur wird global über mehrere Verfügbarkeitszonen hinweg gehostet. Wenn sich ein Benutzer an einem Filialstandort verbindet, wird die Anfrage an den nächstgelegenen Cloud-Edge-Knoten weitergeleitet. Hochverfügbarkeit ist standardmäßig integriert. Die Zertifikatsrotation ist automatisiert, wodurch die häufigste Ursache für Authentifizierungsausfälle bei On-Premises-Bereitstellungen eliminiert wird. Für Organisationen mit mehreren Standorten und Cloud-nativen Identitätsanbietern wie Microsoft Entra ID, Okta oder Google Workspace ist Cloud RADIUS fast immer die betrieblich überlegene Wahl.

Der Cloud RADIUS von Purple lässt sich direkt in Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet integrieren. Sie können die Bereitstellung auf Ihrer gesamten Hardware-Flotte durchführen, ohne einen einzigen Access Point austauschen zu müssen.

Schritt-für-Schritt-Bereitstellung

Schritt 1: Wählen Sie Ihr Bereitstellungsmodell. Prüfen Sie drei Faktoren: Ihren aktuellen Identitätsanbieter und ob dieser Cloud-native ist, Ihre WAN-Resilienz an jedem Standort sowie die Kapazität Ihres Teams zur Bewältigung der laufenden Wartung. Diese drei Faktoren bestimmen, ob Cloud oder On-Premises der richtige Weg ist.

Schritt 2: Integrieren Sie Ihre Identitätsquelle. Verbinden Sie Ihren Server-RADIUS mit dem Identitätsverzeichnis Ihrer Organisation. Die meisten Cloud-RADIUS-Plattformen unterstützen die direkte Integration mit Microsoft Entra ID, Okta und Google Workspace über LDAP oder SAML. Verwenden Sie für ein lokales Active Directory LDAP über einen sicheren Connector. Schritt 3: Konfigurieren Sie Ihre Netzwerk-Hardware. Erstellen Sie eine neue SSID, die für WPA2-Enterprise oder WPA3-Enterprise konfiguriert ist, und verweisen Sie auf Ihren RADIUS-Server. Konfigurieren Sie das Shared Secret – das Passwort, das die Kommunikation zwischen dem Access Point und dem RADIUS-Server verschlüsselt. Dieses Shared Secret muss auf beiden Seiten exakt übereinstimmen. Eine Abweichung ist eine der häufigsten Ursachen für Authentifizierungsfehler bei der Ersteinrichtung.

Schritt 4: Autorisierungsrichtlinien definieren. Ordnen Sie Benutzergruppen aus Ihrem Identitätsverzeichnis den Netzwerkrichtlinien zu. Mitarbeiter erhalten vollen Zugriff auf VLAN 10. Gäste erhalten reinen Internetzugang auf VLAN 20. IoT-Geräte erhalten ein eingeschränktes VLAN mit Firewall-Regeln, die laterale Bewegungen blockieren.

Schritt 5: Onboarding Ihrer Benutzer. Für interne Mitarbeiter stellen Sie WiFi-Profile über Ihre MDM-Plattform bereit. Für Gäste nutzen Sie ein Captive Portal. Die Guest WiFi -Plattform von Purple automatisiert den Onboarding-Prozess für Gäste und unterstützt Social Login, Registrierungsformulare und Voucher-Codes. Mitarbeiter und Unternehmensgeräte authentifizieren sich geräuschlos über 802.1X, während Gäste auf ein gebrandetes Portal geleitet werden – ein gestuftes Zugangsmodell, das sowohl Sicherheit als auch WiFi Analytics bietet.

Für einen tieferen Einblick in die SSID-Architektur in Gast-, Mitarbeiter- und IoT-Netzwerken lesen Sie Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi .

Best Practices

Erzwingen Sie eine strikte Zertifikatsvalidierung auf jedem Client-Gerät. Nutzen Sie Group Policy Objects für Windows-Geräte und MDM-Profile für macOS- und Mobilgeräte. Das Profil muss genau festlegen, welcher Zertifizierungsstelle (CA) vertraut werden soll und wie der erwartete Servername lautet. Überlassen Sie dies nicht der manuellen Konfiguration durch den Benutzer. Die Nichteinhaltung dieses Best-Practice-Ansatzes ist der primäre Angriffsvektor für den Diebstahl von Anmeldedaten bei PEAP-Bereitstellungen.

Stellen Sie mindestens zwei RADIUS-Serverinstanzen bereit. Konfigurieren Sie alle Access Points so, dass sie auf den sekundären Server ausweichen, falls der primäre nicht erreichbar ist. Bei Cloud RADIUS ist diese Redundanz integriert und wird vom Anbieter verwaltet. Für On-Premises-Lösungen stellen Sie ein Active-Active-Cluster an zwei geografisch getrennten Standorten bereit.

Nutzen Sie MAC Authentication Bypass (MAB) für headless IoT-Geräte. Drucker, Sensoren und digitale Beschilderungen können keine 802.1X-Anmeldedaten bereitstellen. MAB ermöglicht die Authentifizierung basierend auf der MAC-Adresse. Da MAC-Adressen leicht gefälscht werden können, sollten Sie MAB-authentifizierte Geräte immer mit einem restriktiven VLAN und Firewall-Regeln verknüpfen, die den Zugriff auf Unternehmensressourcen blockieren.

Rotieren Sie Shared Secrets regelmäßig. Das Shared Secret zwischen Ihren Access Points und Ihrem RADIUS-Server muss lang und zufällig sein sowie regelmäßig gewechselt werden. Ein schwaches oder standardmäßiges Shared Secret untergräbt die gesamte Authentifizierungskette. Überprüfen Sie die Segmentierung durch Penetrationstests. Die Konfiguration allein ist kein Beweis. Beauftragen Sie einen Penetrationstest, der explizit die drahtlose Umgebung und die Validierung der VLAN-Segmentierung einschließt. Ein Tester sollte aktiv versuchen, vom Gäste-VLAN auf Unternehmensressourcen zuzugreifen, und dokumentieren, dass jeder Versuch blockiert wird. Das ist der Nachweis, den Ihr PCI DSS Qualified Security Assessor benötigt.

Fehlerbehebung und Risikominderung

Die häufigsten Fehlermuster bei Server-RADIUS-Bereitstellungen lassen sich in vier Kategorien einteilen.

Nicht übereinstimmendes Shared Secret. Wenn das auf dem Access Point konfigurierte Shared Secret nicht mit dem Geheimnis auf dem Server-RADIUS übereinstimmt, schlägt jeder Authentifizierungsversuch geräuschlos fehl. Kopieren Sie Shared Secrets immer per Copy-Paste, anstatt sie manuell einzutippen. Überprüfen Sie die Konfiguration auf beiden Seiten vor dem Testen.

Ablauf von Zertifikaten. Bei On-Premises-Bereitstellungen lehnt jedes Client-Gerät die Verbindung ab, wenn das Serverzertifikat abläuft. Dies führt zu einem vollständigen Authentifizierungsausfall ohne sanfte Beeinträchtigung. Cloud-RADIUS-Anbieter automatisieren die Zertifikatsrotation und eliminieren dieses Risiko. Konfigurieren Sie bei On-Premises-Bereitstellungen Überwachungswarnungen 60 Tage, 30 Tage und sieben Tage vor dem Ablauf.

Client-Zertifikatsvalidierung nicht erzwungen. Wenn PEAP-Clients nicht so konfiguriert sind, dass sie das Serverzertifikat validieren, verbinden sie sich mit jedem RADIUS-Server, der antwortet – einschließlich böswilliger Access Points. Erzwingen Sie die Zertifikatsvalidierung über GPO- oder MDM-Profile auf jedem verwalteten Gerät.

WAN-Abhängigkeit bei Cloud-RADIUS. Cloud-RADIUS hängt vollständig von der WAN-Verbindung am jeweiligen Standort ab. Wenn die Internetverbindung ausfällt, schlägt die Authentifizierung fehl. Implementieren Sie eine lokale Überlebensstrategie: Konfigurieren Sie Access Points so, dass sie Anmeldedaten für wichtiges Personal zwischenspeichern, oder nutzen Sie SD-WAN, um eine hohe Verfügbarkeit der Internetverbindung sicherzustellen. Konfigurieren Sie immer eine Fallback-Richtlinie – entweder offenen Zugriff auf ein eingeschränktes VLAN oder lokal zwischengespeicherte Anmeldedaten.

ROI und geschäftliche Auswirkungen

Die Bereitstellung einer Server-RADIUS-Architektur verwandelt das drahtlose Netzwerk von einer Schwachstelle in ein verwaltetes, sicheres Asset mit messbarem betrieblichen Nutzen.

Für eine europäische Hotelgruppe mit 45 Standorten sparte die Migration von 45 On-Premises-FreeRADIUS-Instanzen zu Cloud-RADIUS rund 40 % der Wartungszeit des zentralen IT-Teams ein (interne Daten von Purple). Das ist Engineering-Kapazität, die von der reinen Systemerhaltung in strategische Initiativen umgelenkt wurde.

Für eine Einzelhandelskette, die sich auf ein PCI-DSS-Audit vorbereitet, schließt eine ordnungsgemäße Netzwerksegmentierung über dynamische VLAN-Zuweisung das Gäste-WiFi-Netzwerk vollständig aus dem Bereich der Karteninhaber-Datenumgebung (CDE) aus. Plattformen wie das Guest WiFi von Purple laufen auf dem gästeorientierten VLAN, das vollständig vom Zahlungsverkehr isoliert ist. Die Analyseplattform liegt außerhalb des PCI-Bereichs, und das Unternehmen behält die Freiheit, umsatzgenerierende Tools – Gästeanalysen, Treueprogramme, Kundenbindung – sicher und vertrauensvoll einzusetzen.

Für Organisationen mit mehr als 10 Standorten und weniger als fünf Netzwerktechnikern bieten die planbaren Betriebskosten von Cloud RADIUS in der Regel innerhalb von 18 Monaten einen positiven Return on Investment im Vergleich zur Wartung einer On-Premises-Infrastruktur (interne Daten von Purple). Hardwarebeschaffung, Strom, Kühlung und der Zeitaufwand für Techniker bei On-Premises-Bereitstellungen in großem Maßstab übersteigen durchweg die Abonnementkosten eines verwalteten Cloud RADIUS-Dienstes.

Purple ist an über 80.000 Live-Standorten mit einer Betriebszeit von 99,999 %, ISO 27001-Zertifizierung, GDPR- und CCPA-Konformität sowie Cyber Essentials-Zertifizierung im Einsatz. Für IT-Teams, die gegenüber ihrem Vorstand oder ihren Auditoren die Erfüllung ihrer Sorgfaltspflicht nachweisen müssen, bieten diese Zertifizierungen eine Validierung durch Dritte, die eine selbstverwaltete On-Premises-Bereitstellung nicht leisten kann.

Für einen detaillierten Vergleich von Cloud RADIUS von Purple mit alternativen Plattformen siehe den Aruba ClearPass vs. Purple WiFi-Vergleich der Funktionen und des Co-Deployments .

Schlüsseldefinitionen

Server RADIUS

Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll-Server, der eine zentrale Verwaltung für Authentifizierung, Autorisierung und Accounting (AAA) für den Netzwerkzugriff bereitstellt. Definiert in RFC 2865 und durch nachfolgende RFCs erweitert.

Die Kern-Engine, die Benutzeranmeldedaten mit einem Verzeichnis abgleicht und Netzwerkzugriffsrichtlinien vorschreibt. Jede Enterprise-WiFi-Bereitstellung, die 802.1X nutzt, erfordert einen Server RADIUS.

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten. Er definiert die Rollen von Supplicant, Authenticator und Authentication Server.

Der Standard, den Access Points zur Kommunikation mit dem RADIUS-Server nutzen. Ohne 802.1X gibt es keinen Mechanismus, um nicht authentifizierte Geräte am Netzwerkrand zu blockieren.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Eine Authentifizierungsmethode, die digitale Zertifikate sowohl auf dem Client-Gerät als auch auf dem RADIUS-Server erfordert. Bietet eine gegenseitige Authentifizierung ohne Passwörter.

Der Goldstandard für die Authentifizierung von Unternehmensgeräten. Eliminiert Diebstahl von Zugangsdaten und Phishing-Angriffe. Erfordert eine PKI- und MDM-Plattform zur skalierbaren Bereitstellung von Client-Zertifikaten.

PEAP-MSCHAPv2

Protected Extensible Authentication Protocol mit Microsoft Challenge Handshake Authentication Protocol Version 2. Verwendet ein serverseitiges TLS-Zertifikat, um einen verschlüsselten Tunnel zu erstellen, in dem sich der Benutzer mit Benutzername und Passwort authentifiziert.

Die gängigste Methode für Enterprise-WiFi-Authentifizierung. Nur sicher, wenn Clients explizit so konfiguriert sind, dass sie das Serverzertifikat über GPO- oder MDM-Profile validieren.

Dynamische VLAN-Zuweisung

Der Prozess, bei dem ein RADIUS-Server einen Access Point anweist, einen authentifizierten Benutzer basierend auf seiner Identität und Gruppenmitgliedschaft im Verzeichnis in ein bestimmtes Virtual Local Area Network (VLAN) einzustufen.

Der Mechanismus, der die Netzwerksegmentierung erzwingt. Unerlässlich für die PCI DSS-Konformität im Einzelhandel und im Gastgewerbe. Ermöglicht es einer einzigen SSID, Mitarbeiter, externe Dienstleister, Gäste und IoT-Geräte in separaten Netzwerksegmenten zu bedienen.

AAA-Framework

Authentication, Authorisation, und Accounting. Das vom RADIUS-Server implementierte Drei-Säulen-Framework zur Verwaltung des Netzwerkzugriffs. Authentication (Authentifizierung) überprüft die Identität, Authorisation (Autorisierung) bestimmt die Zugriffsebene, Accounting (Protokollierung) erfasst die Sitzungsaktivität.

Das konzeptionelle Fundament aller RADIUS-Server-Bereitstellungen. PCI DSS v4.0 erfordert die Implementierung aller drei Säulen für Netzwerke, die Zahlungsdaten verarbeiten.

Supplicant

Das Client-Gerät (Laptop, Smartphone, IoT-Sensor), das den Zugriff auf das Netzwerk anfordert, indem es dem Authenticator Zugangsdaten oder ein Zertifikat vorlegt.

Der Endpunkt, der die Authentifizierungsanforderung des RADIUS-Servers erfüllen muss. Zu verstehen, welche Komponente ausfällt, ist die Grundlage für eine effektive Fehlerbehebung.

Captive Portal

Eine Webseite, mit der Benutzer interagieren müssen, bevor ihnen Zugriff auf ein öffentliches WiFi-Netzwerk gewährt wird. Übernimmt das Onboarding für den Benutzer, während der RADIUS-Server die Back-End-Authentifizierung und die Durchsetzung von Sitzungsrichtlinien verwaltet.

Wird für das Onboarding von Gästen im Gastgewerbe, im Einzelhandel und in Veranstaltungsbereichen verwendet. Funktioniert in Verbindung mit dem RADIUS-Server – das Portal ist die Benutzeroberfläche, der RADIUS-Server die Back-End-Engine.

MAC-Authentifizierungs-Bypass (MAB)

Ein Mechanismus, der es Geräten ohne 802.1X-Funktionen (Drucker, IoT-Sensoren, digitale Beschilderung) ermöglicht, basierend auf ihrer MAC-Adresse anstelle von Zugangsdaten oder Zertifikaten authentifiziert zu werden.

Erforderlich für Headless-Geräte, die keinen 802.1X-Supplicant ausführen können. Da MAC-Adressen leicht gefälscht werden können, müssen über MAB authentifizierte Geräte immer in ein stark eingeschränktes VLAN verschoben werden.

Shared Secret

Ein Kennwort, das die Kommunikation zwischen einem Access Point (RADIUS-Client) und dem RADIUS-Server verschlüsselt. Muss auf beiden Seiten identisch konfiguriert und regelmäßig geändert werden.

Ein nicht übereinstimmendes Shared Secret ist eine der häufigsten Ursachen für Authentifizierungsfehler bei der Erstbereitstellung. Kopieren und einfügen ist hierbei immer besser als manuelles Tippen.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern muss die Geräte der Mitarbeiter über 802.1X sichern und gleichzeitig einen isolierten WiFi-Zugang für Gäste bereitstellen. Das Hotelmanagementsystem läuft auf den Geräten der Mitarbeiter und darf nicht über das Gästenetzwerk zugänglich sein. Das Hotel ist Teil einer Gruppe von 45 Häusern, die von einem dreiköpfigen zentralen IT-Team verwaltet wird.

Implementieren Sie die Cloud RADIUS-Lösung von Purple, integriert in Microsoft Entra ID. Konfigurieren Sie eine Mitarbeiter-SSID mit WPA3-Enterprise und EAP-TLS und verteilen Sie Client-Zertifikate über Microsoft Intune an alle Mitarbeitergeräte. Konfigurieren Sie den Server RADIUS so, dass er Mitarbeitergeräte dynamisch dem VLAN 10 zuweist, das Zugriff auf das Hotelmanagementsystem und interne Drucker hat. Richten Sie eine separate Gäste-SSID mit WPA2-Personal und einem Captive Portal für das Onboarding ein, zugewiesen an VLAN 20 mit reinem Internetzugang und strengen Firewall-Regeln, die jeglichen Datenverkehr zu VLAN 10 blockieren. Die Cloud RADIUS-Lösung verwaltet alle 45 Standorte über ein einziges Management-Dashboard, wobei die automatische Zertifikatsrotation den Wartungsaufwand pro Standort eliminiert, der zuvor 40 % der Zeit des Teams in Anspruch nahm.

Kommentar des Prüfers: Dieses Szenario veranschaulicht den Kernvorteil von Cloud RADIUS für die standortübergreifende Hotellerie. Der Server RADIUS übernimmt die Mitarbeiterauthentifizierung via EAP-TLS und bietet so die stärkste verfügbare Sicherheit für Geräte, die auf sensible Betriebssysteme zugreifen. Das Captive Portal verwaltet das Onboarding der Gäste separat, wobei die VLAN-Isolierung sicherstellt, dass das Gästenetzwerk außerhalb des PCI-DSS-Bereichs bleibt. Das Cloud-Bereitstellungsmodell ist der entscheidende Faktor für ein dreiköpfiges Team, das 45 Standorte verwaltet – On-Premises würde die Wartung von 45 separaten Instanzen erfordern.

Eine Einzelhandelskette mit 50 Filialen leidet unter häufigen Authentifizierungsausfällen, die durch abgelaufene Zertifikate auf ihren lokalen FreeRADIUS-Servern verursacht werden. Kassentablets authentifizieren sich über 802.1X, und jeder Ausfall verhindert, dass Mitarbeiter Zahlungen verarbeiten können, bis das Zertifikat manuell erneuert wird. Der IT-Leiter möchte diese Fehlerquelle vor der nächsten Haupteinkaufszeit beseitigen.

Migrieren Sie von den 50 lokalen FreeRADIUS-Instanzen zu einer zentralisierten Cloud RADIUS-Plattform. Integrieren Sie die Cloud RADIUS-Lösung in das Okta-Verzeichnis des Unternehmens. Aktualisieren Sie die Konfigurationen der Access Points an allen 50 Standorten so, dass sie auf die neuen Cloud RADIUS-Endpunkte verweisen. Konfigurieren Sie die dynamische VLAN-Zuweisung, um Kassentablets im VLAN 10 (Zahlungsnetzwerk) und Mitarbeitergeräte im VLAN 20 (Unternehmensnetzwerk) zu platzieren. Der Cloud-Anbieter übernimmt die gesamte Server-Zertifikatsrotation automatisch. Validieren Sie die VLAN-Segmentierung zwischen dem Zahlungsnetzwerk und dem Gäste-WiFi-Netzwerk mit einem Penetrationstest vor dem nächsten Audit-Zyklus.

Kommentar des Prüfers: Die Hauptursache für die Ausfälle ist die manuelle Zertifikatsverwaltung auf 50 separaten lokalen Instanzen – ein klassisches Betriebsrisiko für verteilte IT-Infrastrukturen im Einzelhandel. Cloud RADIUS eliminiert dies durch die Automatisierung des Zertifikatslebenszyklus-Managements. Die Migration zentralisiert zudem das Richtlinienmanagement, sodass eine Richtlinienänderung gleichzeitig auf allen 50 Standorten bereitgestellt wird, anstatt manuelle Aktualisierungen an jedem Standort zu erfordern. Die Empfehlung des Penetrationstests befasst sich mit der PCI-DSS-Anforderung, die Segmentierung zu validieren und nicht nur zu konfigurieren.

Übungsfragen

Q1. Ein Einzelhandelsstandort bereitet sich auf ein PCI DSS v4.0-Audit vor. Derzeit wird eine einzige SSID mit einem Pre-shared Key sowohl für die POS-Tablets des Personals als auch für den Gastzugang betrieben. Der Qualified Security Assessor hat dies als kritischen Befund eingestuft. Was ist die sofortige architektonische Änderung, die erforderlich ist, und welches Server-RADIUS-Feature steht im Mittelpunkt der Behebung?

Hinweis: Konzentrieren Sie sich auf die Netzwerksegmentierung und die spezifische RADIUS-Funktion, die diese dynamisch erzwingt.

Musterlösung anzeigen

Der Standort muss einen Server-RADIUS bereitstellen, um eine 802.1X-Authentifizierung zu implementieren und den gemeinsam genutzten PSK zu ersetzen. Das zentrale Feature ist die dynamische VLAN-Zuweisung: Der Server-RADIUS muss so konfiguriert werden, dass er POS-Tablets in ein Zahlungs-VLAN und Gäste in ein isoliertes reines Internet-VLAN einordnet, mit strengen Firewall-Regeln, die jeglichen Datenverkehr dazwischen verhindern. Die Gäste-SSID sollte ein Captive Portal für das Onboarding nutzen. Die Segmentierung muss mit einem Penetrationstest validiert werden, nicht nur durch eine Überprüfung der Konfiguration, um die PCI DSS-Anforderung 11 zu erfüllen.

Q2. Ein Unternehmen mit 30 Niederlassungen entscheidet sich zwischen Cloud RADIUS und einem On-Premises-Server-RADIUS. Sie haben ein kleines zentrales IT-Team von vier Technikern, nutzen Okta für das Identitätsmanagement und haben keine Anforderungen an die Datensouveränität. Welches Bereitstellungsmodell wird empfohlen und was ist die primäre betriebliche Begründung?

Hinweis: Bewerten Sie den Wartungsaufwand für die Verwaltung von 30 separaten Instanzen im Vergleich zu einem zentralisierten Cloud-Service.

Musterlösung anzeigen

Cloud RADIUS wird dringend empfohlen. Bei 30 Standorten und vier Technikern würde die Bereitstellung und Wartung von 30 On-Premises-Server-RADIUS-Instanzen einen unverhältnismäßig großen Teil der Kapazität des Teams beanspruchen. Cloud RADIUS lässt sich nativ in Okta integrieren, automatisiert die Zertifikatsrotation und bietet integrierte Hochverfügbarkeit, ohne dass das Team die zugrunde liegende Infrastruktur verwalten muss. Das Fehlen von Anforderungen an die Datensouveränität beseitigt die primäre Rechtfertigung für On-Premises. Das Team sollte Access Points mit einer Fallback-Richtlinie konfigurieren, um die WAN-Abhängigkeit elegant zu handhaben.

Q3. Während einer PEAP-MSCHAPv2-Bereitstellung melden Benutzer Sicherheitszertifikatswarnungen auf ihren Geräten, wenn sie sich mit der Unternehmens-WiFi-SSID verbinden. Einige Benutzer verwerfen die Warnungen und verbinden sich trotzdem. Was ist das Sicherheitsrisiko und welcher Konfigurationsschritt wurde übersehen?

Hinweis: Überlegen Sie, was passiert, wenn ein Client das Serverzertifikat nicht validiert und wie ein Angreifer dies ausnutzen könnte.

Musterlösung anzeigen

Das Sicherheitsrisiko ist ein Rogue-Access-Point-Angriff. Ohne erzwungene Zertifikatsvalidierung verbindet sich ein Client-Gerät mit jedem Server-RADIUS, der antwortet – einschließlich eines von einem Angreifer betriebenen. Der Angreifer präsentiert ein betrügerisches Zertifikat, der Benutzer verwirft die Warnung und der Angreifer erfasst den Benutzernamen und das Passwort innerhalb des PEAP-Tunnels. Der fehlende Konfigurationsschritt ist die Bereitstellung von MDM-Profilen (für macOS und Mobilgeräte) und Gruppenrichtlinienobjekten (für Windows), die explizit die vertrauenswürdige Zertifizierungsstelle und den erwarteten Servernamen angeben. Benutzer dürfen niemals die Entscheidung über das Vertrauen in ein Zertifikat manuell treffen müssen.

Q4. Ein Stadion mit 68.000 Sitzplätzen muss Mitarbeitergeräte während einer Großveranstaltung authentifizieren, bei der in einem 30-Minuten-Fenster bis zu 40.000 Geräte versuchen könnten, sich zu verbinden. Das IT-Team hat strenge Anforderungen an die Datensouveränität: Alle Authentifizierungsprotokolle müssen auf britischem Boden verbleiben. Welches Bereitstellungsmodell wird empfohlen und welche spezifische Architektur adressiert die Anforderungen an den Spitzenverkehr?

Hinweis: Berücksichtigen Sie die Latenz- und Durchsatzvorteile einer lokalen Authentifizierung im Vergleich zu über die Cloud gerouteten Anfragen unter Spitzenlastbedingungen.

Musterlösung anzeigen

Ein lokaler Server RADIUS wird aufgrund der Anforderungen an die Datensouveränität und der extremen Spitzenbelastung bei der Authentifizierung empfohlen. Die empfohlene Architektur ist ein dualer On-Premises RADIUS-Cluster in einer Active-Active-Konfiguration mit einem sekundären Cluster in einer Co-Location-Einrichtung innerhalb des Vereinigten Königreichs. Die lokale Authentifizierung liefert Antwortzeiten im Sub-Millisekundenbereich und eliminiert die WAN-Abhängigkeit, die bei Spitzenereignissen zu einem Engpass führen würde. Der Active-Active-Cluster bietet Redundanz, ohne auf eine Internetverbindung angewiesen zu sein. Die Authentifizierungsprotokolle verbleiben im Vereinigten Königreich, wodurch die Anforderungen an die Datensouveränität erfüllt werden.

Weiterlesen in dieser Reihe

Aruba ClearPass vs. Purple WiFi: Vergleich der Funktionen und Co-Deployment

Ein umfassender technischer Leitfaden, der die Co-Deployment-Architektur von Aruba ClearPass und Purple WiFi beschreibt. Er behandelt die RADIUS-Proxy-Konfiguration, die dynamische VLAN-Zuweisung und Best Practices für die Bereitstellung sicherer, analysegestützter Gastnetzwerke neben dem Enterprise-NAC.

Cisco ISE vs. Purple WiFi: Vergleich und Zusammenspiel

Dieser Leitfaden erklärt, wie Cisco ISE und Purple WiFi unterschiedliche, aber komplementäre Rollen in Unternehmensnetzwerken einnehmen. Er beschreibt detailliert, wie Cisco ISE für den sicheren 802.1X-Unternehmenszugang genutzt wird, während Purple für DSGVO-konformes Gäste-WiFi, Marketing-Analysen und CRM-Integration eingesetzt wird.

EAP-TLS vs EAP-TTLS: Welches zertifikatsbasierte WiFi-Protokoll sollten Sie wählen?

Dieser Leitfaden bietet einen definitiven direkten Vergleich von EAP-TLS und EAP-TTLS für die WiFi-Authentifizierung in Unternehmen unter IEEE 802.1X. Er erklärt den architektonischen Unterschied zwischen gegenseitiger Zertifikatsauthentifizierung und serverseitiger Zertifikatstunnelung und bietet IT-Managern, Netzwerkarchitekten und CISOs einen klaren Entscheidungsrahmen auf der Grundlage von Geräteverwaltungsfunktionen und Compliance-Anforderungen. Purple unterstützt sowohl EAP-TLS- als auch EAP-TTLS-Authentifizierungspfade für das Staff-WiFi, und dieser Leitfaden hilft Unternehmen, die infrastrukturellen Kompromisse zu verstehen, bevor sie sich für einen Ansatz entscheiden.