The Security Benefits of RADIUS as a Service for Hybrid Workforces

This technical reference guide explains how RADIUS as a Service secures network access for hybrid workforces across distributed venues. It covers the architecture, security benefits, and deployment steps for replacing on-premise RADIUS infrastructure with a cloud-managed authentication service. For IT managers and network architects at hotels, retail chains, stadiums, and public-sector organisations, this guide provides the evidence needed to evaluate and act on a cloud RADIUS migration this quarter.

📖 9 Min. Lesezeit📝 2,171 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 9 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen zu diesem technischen Briefing von Purple. Ich bin Ihr Moderator, und heute untersuchen wir einen entscheidenden Wandel in der Netzarchitektur von Unternehmen: den Wechsel von On-Premise-RADIUS-Servern zu RADIUS as a Service. Wenn Sie die IT für eine Hotelgruppe, eine Einzelhandelskette, ein Stadion oder einen anderen großen öffentlichen Veranstaltungsort verwalten, wissen Sie, dass die Sicherung des Netzwerkzugangs für eine hybride Belegschaft kein Randthema mehr ist. Sie ist von zentraler Bedeutung für Ihre Betriebssicherheit, Ihre Compliance-Richtlinien und ehrlich gesagt auch für Ihren ruhigen Schlaf.

Heute werden wir fünf Bereiche behandeln. Erstens den Kontext: Warum die traditionelle On-Premise-RADIUS-Infrastruktur Schwierigkeiten hat, mit der hybriden Arbeit Schritt zu halten. Zweitens die technische Architektur von RADIUS as a Service und wie sie tatsächlich funktioniert. Drittens die spezifischen Sicherheitsvorteile, die Sie dadurch gewinnen. Viertens praktische Leitlinien für die Implementierung und die zu vermeidenden Fallstricke. Und fünftens eine schnelle Fragerunde mit den Fragen, die wir am häufigsten von IT-Managern und Netzwerkarchitekten hören.

Beginnen wir mit dem Kontext. Seit zwei Jahrzehnten stützt sich die 802.1X-Authentifizierung auf physische Server, auf denen FreeRADIUS unter Linux, Microsoft Network Policy Server unter Windows oder Cisco Identity Services Engine auf dedizierter Hardware laufen. Diese Systeme haben funktioniert. Sie funktionieren immer noch. Aber sie erfordern ständige Aufmerksamkeit. Sie mussten Betriebssysteme patchen, Zertifikatsketten verwalten, Hochverfügbarkeit manuell konfigurieren und Redundanzen über mehrere Server hinweg aufbauen. In einer Welt, in der sich die Mitarbeiter ständig zwischen dem Büro, Remote-Standorten, Hotelzimmern und Kundenstandorten bewegen, wird diese statische On-Premise-Infrastruktur zu einem echten Sicherheitsrisiko.

Das Problem wird durch den Wechsel zu Cloud-Identity-Providern noch verschärft. Microsoft NPS beispielsweise ist eng mit dem Active Directory verknüpft. Es bietet keine native Unterstützung für Microsoft Entra ID, Google Workspace oder Okta. Wenn Ihr Unternehmen auf eines dieser Cloud-Verzeichnisse migriert ist, stehen Sie vor einer schwierigen Entscheidung: Entweder Sie betreiben ein paralleles Active Directory, nur um Ihren RADIUS-Server zu unterstützen, oder Sie investieren erheblichen Entwicklungsaufwand in kundenspezifische Integrationen. Beide Optionen sind nicht attraktiv.

RADIUS as a Service ändert diese Gleichung grundlegend. Es verlagert die Authentifizierungs-Engine in die Cloud. Sie verwalten nicht mehr die Infrastruktur, sondern die Richtlinien. Der Anbieter kümmert sich um die Server, das Patchen, die Hochverfügbarkeit und die Integrationen. Sie definieren, wer worauf Zugriff erhält, und der Dienst setzt dies durch.

Kommen wir nun zur technischen Architektur. RADIUS, was für Remote Authentication Dial-In User Service steht, ist das in RFC 2865 definierte Protokoll. Es bietet eine zentralisierte Authentifizierung, Autorisierung und Abrechnung (Accounting), was wir als AAA bezeichnen, für den Netzwerkzugriff. Wenn sich ein Gerät mit Ihrem WiFi-Netzwerk verbindet, fungiert der Access Point als RADIUS-Client. Er leitet die Authentifizierungsanfrage an den RADIUS-Server weiter. Der Server gleicht die Anmeldedaten mit Ihrem Identitätsspeicher ab und gibt entweder ein Access-Accept oder ein Access-Reject zurück.

In einem Cloud-RADIUS-Deployment wird der Server vom Anbieter in mehreren geografisch verteilten Rechenzentren gehostet. Ihre Access Points, ob Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist oder Ubiquiti UniFi, verweisen über sichere, verschlüsselte Tunnel auf die Cloud-RADIUS-Endpunkte. Der Authentifizierungsfluss ist aus Sicht des Access Points identisch mit dem eines On-Premise-RADIUS. Der Unterschied besteht darin, dass der Server selbst vom Anbieter verwaltet, gepatcht und skaliert wird.

Die wichtigste Sicherheitsverbesserung in modernen Cloud-RADIUS-Deployments ist der Übergang zu EAP-TLS (Extensible Authentication Protocol mit Transport Layer Security). EAP-TLS ist in RFC 5216 definiert und bietet eine gegenseitige Authentifizierung mittels digitaler Zertifikate. Sowohl das Client-Gerät als auch der RADIUS-Server weisen sich gegenseitig über Zertifikate aus. Dadurch werden Passwörter vollständig aus dem Authentifizierungsprozess eliminiert. Ein Zertifikat ist kryptografisch an das Gerät gebunden und kann nicht wie ein Passwort durch Phishing abgefangen, erraten oder gestohlen werden.

Die zweite wichtige Sicherheitsfunktion ist die dynamische VLAN-Zuweisung. Wenn der RADIUS-Server einen Benutzer authentifiziert, gewährt oder verweigert er nicht einfach nur den Zugriff. Er teilt dem Access Point auch mit, in welchem virtuellen LAN (VLAN) das Gerät basierend auf der Identität und Rolle des Benutzers platziert werden soll. Ein Hotelrezeptionist authentifiziert sich und wird dem Front-of-House-VLAN mit Zugriff auf das Property-Management-System zugewiesen. Ein Mitarbeiter des Housekeeping wird in ein eingeschränktes VLAN mit reinem Internetzugang platziert. Ein Gastgerät wird dem Gast-VLAN zugewiesen, vollständig isoliert von allen Unternehmensressourcen. Ein IoT-Gerät, wie eine Sicherheitskamera, wird in ein dediziertes IoT-VLAN eingeordnet.

Diese identitätsbasierte Netzwerksegmentierung ist grundlegend für ein Zero-Trust-Sicherheitsmodell. Sie vertrauen einem Gerät nicht mehr nur deshalb, weil es sich mit einer bestimmten SSID verbunden hat. Sie gewähren Zugriff auf der Grundlage einer verifizierten Identität und beschränken diesen Zugriff auf das, was diese Identität tatsächlich benötigt. Dies ist das Prinzip der geringsten Rechte, angewendet auf den Netzwerkzugriff.

Betrachten wir auch den Compliance-Aspekt. PCI DSS Version 4.0 erfordert strenge Zugriffskontrollen für jedes Netzwerk, das mit Karteninhaberdaten in Berührung kommt. Anforderung 8 schreibt eine eindeutige Authentifizierung für alle Benutzer vor. Anforderung 1 erfordert eine Netzwerksegmentierung. Cloud-RADIUS erfüllt mit EAP-TLS und dynamischer VLAN-Zuweisung beide Anforderungen direkt. Für die GDPR bietet die von Cloud-RADIUS bereitgestellte zentrale Audit-Protokollierung eine lückenlose Aufzeichnung darüber, wer wann und von welchem Gerät aus auf das Netzwerk zugegriffen hat. Dieser Audit-Trail ist unerlässlich, um die Compliance nachzuweisen und mögliche Datenverletzungen zu untersuchen.

Lassen Sie mich nun zwei konkrete Implementierungsszenarien durchgehen, die zeigen, wie dies in der Praxis funktioniert.

Das erste Szenario betrifft eine Hotelgruppe. Stellen Sie sich ein Hotel mit zweihundert Zimmern vor. Aktuell wird dort ein gemeinsamer Pre-shared Key (PSK) für das Mitarbeiter-WiFi genutzt. Jedes Teammitglied, vom General Manager bis zum saisonalen Housekeeping-Personal, verwendet dasselbe Passwort. Wenn eine Saisonkraft am Ende des Sommers das Unternehmen verlässt, wird das Passwort selten geändert, da eine Änderung die Aktualisierung jedes einzelnen Geräts im Gebäude bedeuten würde. Dies ist eine klassische Sicherheitslücke.

Die Lösung liegt im Einsatz von RADIUS as a Service, integriert mit Microsoft Entra ID. Das Hotel konfiguriert seine Cisco Meraki Access Points für die Nutzung von WPA3-Enterprise mit 802.1X. Jedes Teammitglied authentifiziert sich mit den eigenen Entra ID-Anmeldedaten. Der RADIUS-Server liest die jeweilige Rolle aus dem Verzeichnis aus und weist sie dynamisch dem entsprechenden VLAN zu. Das Housekeeping-Personal wird in das VLAN 10 mit exklusivem Zugriff auf das Housekeeping-Aufgabenmanagementsystem eingestuft. Das Rezeptionsteam kommt in das VLAN 20 mit Zugriff auf das Property Management System. Das Management wird dem VLAN 30 mit umfassenderem Zugriff zugewiesen. Endet der Vertrag einer Saisonkraft, wird deren Entra ID-Konto deaktiviert und der WiFi-Zugang an jedem Access Point im gesamten Gebäude sofort gesperrt. Es sind keine Passwortänderungen erforderlich.

Das zweite Szenario beschreibt eine nationale Einzelhandelskette. Stellen Sie sich eine Kette mit vierhundert Filialen vor. Derzeit werden dort vierhundert separate FreeRADIUS-Instanzen auf lokalen Servern in den Filialen betrieben. Jeder einzelne Server erfordert individuelles Patching, Monitoring und Wartung. Wird eine kritische Sicherheitslücke bekannt, muss das Sicherheitsteam vierhundert Server patchen – oft über Wochen hinweg, was die gesamte IT-Infrastruktur in dieser Zeit angreifbar macht.

Die Lösung ist die Migration auf eine einzige RADIUS as a Service-Instanz. Alle vierhundert Filialen richten ihre HPE Aruba Access Points auf dieselben Cloud-RADIUS-Endpunkte aus. Point-of-Sale-Terminals werden mittels EAP-TLS mit Maschinenzertifikaten authentifiziert, die über die MDM-Plattform bereitgestellt werden. Der RADIUS-Server weist diese einem PCI-konformen VLAN zu, das vollständig vom restlichen Netzwerkverkehr isoliert ist. Die Filialmitarbeiter nutzen eine separate SSID, die über Okta authentifiziert wird und sie in ein allgemeines Mitarbeiter-VLAN einstuft. Das Sicherheitsteam verwaltet nun ein einziges Regelwerk über ein zentrales Dashboard. Wird eine Sicherheitslücke gemeldet, patcht der Provider die Infrastruktur. Das Sicherheitsteam der Einzelhandelskette konzentriert sich auf Richtlinien statt auf die Infrastrukturwartung.

Betrachten wir nun die Empfehlungen zur Implementierung und die zu vermeidenden Fallstricke.

Der erste Schritt besteht darin, den Cloud-RADIUS-Dienst mit Ihrem Identity Provider zu verbinden. Bei Microsoft Entra ID oder Google Workspace erfordert dies in der Regel die Autorisierung einer Enterprise-Anwendung. Verknüpfen Sie Ihre Verzeichnisgruppen mit spezifischen Netzwerkrichtlinien. Machen Sie sich vorab gründlich Gedanken über Ihre Rollentaxonomie. Eine saubere Strukturierung zu Beginn erspart Ihnen später erheblichen Nachbereitungsaufwand.

Schritt zwei besteht darin, die Zertifikatsbereitstellung für Unternehmensgeräte einzurichten. Konfigurieren Sie Ihre MDM-Plattform so, dass Client-Zertifikate auf verwaltete Geräte gepusht werden. Dies ermöglicht die EAP-TLS-Authentifizierung und macht Passwörter völlig überflüssig. Für Geräte, die Sie nicht verwalten, können Sie PEAP mit Benutzer-Anmeldedaten als Fallback verwenden, aber EAP-TLS sollte das Ziel für alle unternehmenseigenen Geräte sein.

Schritt drei ist die Konfiguration Ihrer Netzwerk-Hardware. Fügen Sie die Cloud-RADIUS-IP-Adressen und Shared Secrets zu Ihren Wireless-Controllern oder Access Points hinzu. Konfigurieren Sie immer sowohl den primären als auch den sekundären Endpunkt, um die integrierte Redundanz des Anbieters zu nutzen.

Schritt vier ist die Definition Ihrer VLAN-Richtlinien. Wenn der RADIUS-Server einen Benutzer authentifiziert, gibt er die korrekte VLAN-ID an den Access Point zurück. Planen Sie dies vor der Bereitstellung. Wissen Sie, in welchem VLAN jede Benutzerrolle landen soll, und testen Sie dies gründlich, bevor Sie es in der Produktion einführen.

Nun zu den Fallstricken. Der häufigste Fehler ist eine falsch konfigurierte Firewall, die die UDP-Ports 1812 und 1813 blockiert, welche für RADIUS-Authentifizierung und -Accounting zuständig sind. Überprüfen Sie vor dem Go-Live immer die Konnektivität zwischen Ihren Access Points und den Cloud-RADIUS-Endpunkten. Der zweite Fallstrick ist eine fehlerhafte Zertifikats-Vertrauenskette. Wenn Ihre Client-Geräte der Root Certificate Authority, die das Zertifikat des RADIUS-Servers ausgestellt hat, nicht vertrauen, lehnen sie die Verbindung geräuschlos ab. Das kann wie ein Netzwerkausfall aussehen, obwohl es sich tatsächlich um ein PKI-Konfigurationsproblem handelt.

Kommen wir zu den schnellen Fragen.

Frage eins: Was passiert, wenn unsere Internetverbindung ausfällt? Wenn der Standort die Internetverbindung verliert, kann er den Cloud-RADIUS nicht erreichen. Wenn der Standort jedoch kein Internet hat, können Benutzer ohnehin nicht auf Cloud-Anwendungen zugreifen. Für geschäftskritische lokale Ressourcen bieten einige Access Points lokale Ausfallsicherheitsmodi. Die primäre Abhängigkeit ist jedoch Ihre WAN-Verbindung, und das gilt für fast jeden Cloud-Service, den Ihr Unternehmen nutzt.

Frage zwei: Ist Cloud-RADIUS konform mit GDPR und PCI DSS? Ja. Die zentralisierte Authentifizierung mit verschlüsseltem Transport unterstützt strenge Compliance-Anforderungen. Die Audit-Logs erfüllen die PCI-DSS-Anforderungen, und die strengen Zugriffskontrollen unterstützen die GDPR-Prinzipien der Datenminimierung und Zugriffsbeschränkung.

Frage drei: Funktioniert das mit unserer vorhandenen Hardware? Ja. RADIUS ist ein Standardprotokoll, das in RFC 2865 definiert ist. Wenn Ihre Hardware 802.1X unterstützt – was alle Enterprise-Geräte von Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet tun –, funktioniert sie mit jedem standardkonformen RADIUS as a Service.

Zusammenfassend lassen sich die wichtigsten Erkenntnisse wie folgt auf den Punkt bringen. Erstens ersetzt RADIUS as a Service On-Premise-Server durch eine verwaltete Cloud-Plattform, was die Investitionsausgaben und den Wartungsaufwand reduziert. Zweitens lässt sich Cloud-RADIUS nativ in Microsoft Entra ID, Okta und Google Workspace integrieren, wodurch komplexe Middleware überflüssig wird. Drittens ermöglicht es eine dynamische VLAN-Zuweisung, die sicherstellt, dass Benutzer und Geräte basierend auf ihrer verifizierten Identität im richtigen Netzwerksegment landen. Viertens eliminiert der Übergang zu EAP-TLS das Risiko von Passwortdiebstahl und Phishing-Angriffen auf Ihr Netzwerk. Fünftens sorgt ein zentralisiertes Cloud-Management für konsistente Sicherheitsrichtlinien an Hunderten von verteilten Standorten. Sechstens übernehmen die Anbieter das Sicherheits-Patching und die Hochverfügbarkeit. Und siebtens unterstützt Cloud-RADIUS die Einhaltung von PCI DSS und GDPR durch die Durchsetzung strenger, identitätsbasierter Zugriffskontrollen mit vollständiger Protokollierung.

Ihr nächster Schritt besteht darin, Ihre aktuelle RADIUS-Infrastruktur zu bewerten. Berechnen Sie die tatsächlichen Betriebskosten, einschließlich Lizenzierung, Hardware-Aktualisierungszyklen und der für die Wartung aufgewendeten Entwicklungszeit. Führen Sie dann ein Proof of Concept mit einem Cloud-RADIUS-Anbieter durch. Sie werden wahrscheinlich feststellen, dass die Bereitstellung Stunden statt Wochen dauert. Vielen Dank für Ihre Aufmerksamkeit. Sichern Sie Ihre Netzwerke, segmentieren Sie Ihren Datenverkehr und hören Sie auf, Server zu verwalten, die Sie nicht selbst besitzen müssen.

Wichtigste Erkenntnisse

✓RADIUS as a Service ersetzt On-Premise-Server durch eine verwaltete Cloud-Plattform, wodurch Hardware-CapEx und Wartungsaufwand entfallen.
✓Cloud RADIUS lässt sich nativ in Microsoft Entra ID, Okta und Google Workspace integrieren, sodass keine komplexe Middleware oder parallele Active Directory-Bereitstellungen erforderlich sind.
✓Die dynamische VLAN-Zuweisung stellt sicher, dass Benutzer und Geräte automatisch dem richtigen Netzwerksegment zugewiesen werden – basierend auf ihrer verifizierten Identität, nicht auf der SSID, mit der sie verbunden sind.
✓Der Übergang zu EAP-TLS (zertifikatsbasierte Authentifizierung) eliminiert das Risiko von Passwortdiebstahl und Phishing-Angriffen auf Ihr Netzwerk.
✓Zentralisiertes Cloud-Management setzt konsistente Sicherheitsrichtlinien über Hunderte von verteilten Standorten hinweg von einem einzigen Dashboard aus durch.
✓Provider übernehmen das Sicherheits-Patching und die mandantenfähige Hochverfügbarkeit in mehreren Regionen, sodass Authentifizierungsdienste auch während Infrastruktur-Updates verfügbar bleiben.
✓Cloud RADIUS unterstützt die Compliance mit PCI DSS v4.0 und GDPR durch die Durchsetzung strenger, identitätsbasierter Zugriffskontrollen mit lückenloser zentraler Audit-Protokollierung.

Management-Zusammenfassung

Die Umstellung auf hybride Arbeitsmodelle hat eine grundlegende Schwachstelle in der traditionellen Netzwerksicherheit offengelegt: On-Premise-RADIUS-Server wurden für eine Welt konzipiert, in der Mitarbeiter in einem einzigen Gebäude saßen und sich mit einem einzigen Netzwerk verbanden. Diese Welt existiert nicht mehr. Heute authentifizieren sich Ihre Mitarbeiter in Hotelzimmern, Verkaufsflächen, Außenstellen und Veranstaltungsorten. Ihre Identitätsanbieter (Identity Provider) befinden sich in der Cloud. Ihre Access Points erstrecken sich über Hunderte von Standorten. Dennoch verlassen sich viele Unternehmen immer noch auf physische RADIUS-Server, die manuelles Patching erfordern, sich nicht nativ in Microsoft Entra ID oder Google Workspace integrieren lassen und bei Hardwarefehlern geräuschlos ausfallen.

RADIUS as a Service ersetzt diese Infrastruktur durch eine cloudnative Authentifizierungs-Engine. Sie verweisen Ihre Access Points einfach auf Cloud-Endpunkte. Der Anbieter kümmert sich um die Server, das Patching und die Hochverfügbarkeit. Sie verwalten die Richtlinien. Für IT-Teams in Hospitality -Gruppen, Retail -Ketten und öffentlichen Veranstaltungsorten eliminiert dieser Wechsel den Hardware-Overhead, setzt eine identitätsbasierte Netzwerksegmentierung durch und liefert den Audit-Trail, den PCI DSS und GDPR vorschreiben.

Technische Vertiefung

Warum On-Premise-RADIUS an seine Grenzen stößt

RADIUS, definiert in RFC 2865, bietet zentrale Authentifizierung, Autorisierung und Accounting (AAA) für den Netzwerkzugriff. Jedes Unternehmen, das WPA2-Enterprise- oder WPA3-Enterprise-WiFi nutzt, ist darauf angewiesen. Das Protokoll selbst ist solide. Das Problem ist das Infrastrukturmodell, das sich darum herum entwickelt hat.

FreeRADIUS auf Linux erfordert erhebliches Fachwissen für die Bereitstellung, Härtung und Wartung. Der Microsoft-Netzwerkrichtlinienserver (NPS) ist eng an Active Directory gekoppelt und bietet keine native Unterstützung für Microsoft Entra ID, Okta oder Google Workspace. Cisco Identity Services Engine (ISE) bietet zwar Richtlinienfunktionen der Enterprise-Klasse, erfordert jedoch dedizierte Hardware, komplexe Lizenzierungen und ein Spezialistenteam für den Betrieb. Bei allen drei Systemen müssen Sie die Hochverfügbarkeit manuell aufbauen und warten – in der Regel durch den Betrieb von zwei Servern mit Datenbankreplikation und einem vorgeschalteten Load Balancer.

Für ein Unternehmen mit nur einem Standort und einem stabilen Active Directory ist dieses Modell handhabbar. Für eine Hotelgruppe mit 50 Hotels, eine Einzelhandelskette mit 400 Filialen oder eine Universität mit einem verteilten Campus wird es jedoch unpraktikabel. Entweder Sie zentralisieren die RADIUS-Server und akzeptieren Authentifizierungslatenzen an entfernten Standorten, oder Sie stellen an jedem Standort Server bereit und verwalten diese einzeln. Beide Optionen sind nicht skalierbar.

Die Architektur von RADIUS as a Service

RADIUS as a Service ist ein cloudbasiertes Bereitstellungsmodell für das RADIUS-Protokoll. Das Protokoll selbst bleibt unverändert und folgt RFC 2865 und seinen Erweiterungen. Was sich ändert, ist die Verantwortung für die Wartung der Infrastruktur.

Wenn sich ein Gerät mit Ihrem WiFi-Netzwerk verbindet, leitet der Access Point (der RADIUS-Client) die Authentifizierungsanfrage über einen sicheren, verschlüsselten Tunnel an die Cloud-RADIUS-Endpunkte weiter. Der Cloud-Dienst validiert die Anmeldedaten mit Ihrem Identity Provider und gibt eine Access-Accept- oder Access-Reject-Nachricht zurück, zusammen mit Richtlinienattributen wie dynamischen VLAN-Zuweisungen. Aus Sicht des Access Points ist der Authentifizierungsfluss identisch mit einem On-Premise-RADIUS.

Der Cloud-Provider betreibt die RADIUS-Server in mehreren geografisch verteilten Rechenzentren. Das Failover erfolgt automatisch. Wenn ein Endpunkt nicht mehr verfügbar ist, wird der Datenverkehr ohne Eingreifen Ihres Teams zum nächsten fehlerfreien Endpunkt geleitet. Bei Organisationen mit Standorten in mehreren Regionen erfolgt die Authentifizierung am nächstgelegenen Cloud-Endpunkt, wodurch die Latenz unabhängig vom geografischen Standort niedrig bleibt.

IEEE 802.1X und EAP-Methoden

IEEE 802.1X ist der Standard für portbasierte Netzwerkzugriffskontrolle (NAC). Er zwingt ein Gerät zur Authentifizierung, bevor ihm eine IP-Adresse zugewiesen und Datenverkehr zugelassen wird. RADIUS ist der Authentifizierungsserver in einer 802.1X-Bereitstellung.

Das Extensible Authentication Protocol (EAP) definiert, wie Anmeldedaten ausgetauscht werden. Cloud-RADIUS unterstützt die gesamte Palette der EAP-Methoden:

EAP-Methode	Authentifizierungstyp	Sicherheitsstufe	Empfohlene Nutzung
EAP-TLS	Gegenseitige zertifikatsbasierte	Höchste	Unternehmensgeräte mit MDM-verwalteten Zertifikaten
PEAP-MSCHAPv2	Benutzername und Passwort	Mittel	Legacy-Geräte oder BYOD ohne MDM
EAP-TTLS	Tunnelisierte Anmeldedaten	Mittel	Gemischte Umgebungen
MAC Authentication Bypass	MAC-Adresse des Geräts	Niedrig	IoT-Geräte, die kein 802.1X unterstützen

EAP-TLS, definiert in RFC 5216, ist der Goldstandard. Sowohl das Client-Gerät als auch der RADIUS-Server weisen sich gegenseitig digitale Zertifikate vor. Diese gegenseitige Authentifizierung eliminiert Passwörter vollständig aus dem Netzwerkzugriffsprozess. Ein Zertifikat ist kryptografisch an das Gerät gebunden und kann nicht per Phishing abgefangen, erraten oder gestohlen werden, wie es bei einem Passwort der Fall ist. Für Organisationen, die von passwortbasierten Sicherheitsverletzungen betroffen waren, ist dies die direkteste technische Abhilfemaßnahme.

Dynamische VLAN-Zuweisung

Über die Authentifizierung hinaus erzwingt der RADIUS-Server die Autorisierung. Wenn er eine Verbindung akzeptiert, gibt er Richtlinienattribute an den Access Point zurück, einschließlich der dem Gerät zuzuweisenden VLAN-ID. Diese dynamische VLAN-Zuweisung ist der Mechanismus, der identitätsbasierte Netzwerke ermöglicht.

Ein Hotelrezeptionist authentifiziert sich und wird dem Front-of-House-VLAN mit Zugriff auf das Property-Management-System zugewiesen. Ein Mitarbeiter des Housekeepings wird in ein eingeschränktes VLAN mit reinem Internetzugang verschoben. Ein Gästegerät wird im Guest WiFi-VLAN platziert, vollständig isoliert von allen Unternehmensressourcen. Ein IoT-Gerät, wie beispielsweise eine Sicherheitskamera, wird einem dedizierten IoT-VLAN zugewiesen. All dies geschieht automatisch auf Basis der vom RADIUS-Server verifizierten Identität, ohne dass eine manuelle VLAN-Konfiguration pro Gerät erforderlich ist.

Dies ist das Prinzip der minimalen Rechtevergabe (Least Privilege), angewandt auf den Netzwerkzugriff. Sie vertrauen einem Gerät nicht einfach deshalb, weil es sich mit einer bestimmten SSID verbunden hat. Sie gewähren Zugriff auf der Grundlage einer verifizierten Identität und beschränken diesen Zugriff auf das, was diese Identität tatsächlich benötigt. Für einen tieferen Einblick, wie sich dies in eine umfassendere Strategie zur Netzwerkzugriffskontrolle einfügt, lesen Sie unseren Leitfaden über network access control systems .

Native Cloud-Identitätsintegration

Der operativ bedeutendste Vorteil von Cloud-RADIUS ist seine native Integration mit modernen Identitätsanbietern. Cloud-RADIUS verbindet sich über Standardprotokolle wie OIDC, SAML und LDAP direkt mit Microsoft Entra ID, Okta und Google Workspace. Wenn Sie einen neuen Mitarbeiter in Ihrem Identitätsanbieter anlegen, kann sich dieser sofort am WiFi-Netzwerk authentifizieren. Wenn Sie einen Mitarbeiter verabschieden (Offboarding), deaktivieren Sie dessen Konto im Verzeichnis, und sein WiFi-Zugriff wird sofort gesperrt – an jedem Access Point an jedem Standort.

Diese Echtzeitsynchronisierung beseitigt eine der hartnäckigsten Sicherheitslücken beim WiFi in Unternehmen: den ehemaligen Mitarbeiter, der immer noch über den gemeinsam genutzten PSK verfügt oder dessen RADIUS-Konto beim Verlassen des Unternehmens nicht manuell gelöscht wurde. Mit Cloud-RADIUS und einem Cloud-Identitätsanbieter ist das Offboarding eine einzige Aktion mit sofortiger netzwerkweiter Wirkung.

Implementierungsleitfaden

Schritt 1: Verbinden Sie Ihren Identitätsanbieter

Verbinden Sie den Cloud-RADIUS-Dienst mit Ihrem Identitätsanbieter. Bei Microsoft Entra ID oder Google Workspace umfasst dies in der Regel die Autorisierung einer Unternehmensanwendung via OAuth oder die Konfiguration eines LDAP-Connectors. Ordnen Sie Ihre Verzeichnisgruppen bestimmten Netzwerkrichtlinien zu. Definieren Sie Ihre Rollentaxonomie, bevor Sie beginnen: Welche Gruppen werden welchen VLANs zugeordnet und welche Zugriffsrechte sind mit den einzelnen VLANs verbunden. Wenn Sie dies von Anfang an richtig aufsetzen, erspart Ihnen das später erheblichen Nacharbeitsaufwand.

Schritt 2: Zertifikate für Unternehmensgeräte bereitstellen

Konfigurieren Sie für firmeneigene Geräte Ihre Mobile-Device-Management-Plattform (MDM) wie Microsoft Intune oder Jamf so, dass Client-Zertifikate auf die Geräte übertragen werden. Dies ermöglicht die EAP-TLS-Authentifizierung. Stellen Sie sicher, dass die Root-Zertifizierungsstelle (CA), die das Zertifikat des RADIUS-Servers ausgestellt hat, von allen Client-Geräten als vertrauenswürdig eingestuft wird. Eine fehlerhafte Vertrauenskette ist die häufigste Ursache für unbemerkte Authentifizierungsfehler.

Schritt 3: Konfigurieren Sie Ihre Netzwerkhardware

Fügen Sie die Cloud-RADIUS-IP-Adressen und Shared Secrets zu Ihren Wireless Controllern oder Access Points hinzu. Konfigurieren Sie immer sowohl den primären als auch den sekundären Endpunkt, um die integrierte Redundanz des Anbieters zu nutzen. Stellen Sie sicher, dass die UDP-Ports 1812 (Authentifizierung) und 1813 (Accounting) ausgehend von Ihren Access Points zu den Cloud-RADIUS-Endpunkten geöffnet sind. Überprüfen Sie dies vor der Liveschaltung. Falsch konfigurierte Firewall-Regeln sind die zweithäufigste Ursache für Fehler bei der Bereitstellung.

Cloud-RADIUS funktioniert mit Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet. Die Konfigurationsschritte variieren je nach Hersteller, aber das RADIUS-Protokoll ist standardisiert, sodass die Kernparameter (Server-IP, Shared Secret, Authentifizierungsport) einheitlich sind.

Schritt 4: VLAN-Richtlinien definieren

Konfigurieren Sie die dynamische VLAN-Zuweisung in Ihrer RADIUS-Policy-Engine. Ordnen Sie jeder Benutzerrolle oder jedem Gerätetyp eine bestimmte VLAN-ID zu. Testen Sie jede Richtlinie, bevor Sie sie in der Produktionsumgebung bereitstellen. Eine einfache Testmatrix – ein Gerät pro Rolle, ein VLAN pro Rolle, Platzierung überprüfen – fängt die meisten Konfigurationsfehler ab, bevor sie sich auf die Benutzer auswirken.

Best Practices

EAP-TLS für alle Unternehmensgeräte erzwingen. Verabschieden Sie sich so schnell von PEAP-MSCHAPv2, wie es Ihr MDM-Rollout erlaubt. PEAP basiert auf Passwörtern, die kompromittiert werden können. EAP-TLS basiert auf Zertifikaten, bei denen dies nicht der Fall ist.

Alles segmentieren. Platzieren Sie Mitarbeiter, Gäste und IoT-Geräte niemals im selben Subnetz. Nutzen Sie RADIUS, um strenge VLAN-Grenzen durchzusetzen. Dies ist besonders wichtig für Retail -Umgebungen, die Zahlungskartendaten unter PCI DSS verarbeiten, sowie für Healthcare -Umgebungen, die Patientendaten schützen.

An WPA3-Enterprise ausrichten. WPA3-Enterprise, der aktuelle WiFi-Sicherheitsstandard, erfordert eine 802.1X-Authentifizierung. Stellen Sie sicher, dass Ihre Access Points WPA3-Enterprise unterstützen, und konfigurieren Sie es als Mindestsicherheitsstandard für Mitarbeiternetzwerke.

Prüfen Sie Ihre RADIUS-Protokolle regelmäßig. Cloud-RADIUS bietet zentralisierte Audit-Protokolle. Überprüfen Sie wöchentlich fehlgeschlagene Authentifizierungen. Ein sprunghaftes Ansteigen von Fehlern bei einem bestimmten Gerät oder an einem bestimmten Standort ist ein früher Indikator für eine Fehlkonfiguration oder einen potenziellen Angriff.

Ausfallsicherung testen. Simulieren Sie mindestens einmal pro Quartal den Ausfall eines primären RADIUS-Endpunkts und überprüfen Sie, ob die Authentifizierung über den sekundären Endpunkt fortgesetzt wird. Dokumentieren Sie das Ergebnis. Dies ist ein einfacher Test, den die meisten Teams erst dann durchführen, wenn sie ihn wirklich benötigen.

Für Standorte, die WiFi in komplexen Umgebungen wie der Schifffahrt oder an abgelegenen Orten bereitstellen, finden Sie in unserem Leitfaden zur Einrichtung eines Captive Portals auf Starlink wichtige Hinweise zur WAN-Abhängigkeit.

Fehlerbehebung und Risikominderung

Authentifizierungs-Timeouts

Wenn sich Geräte nicht authentifizieren können, prüfen Sie zuerst die Verbindung zwischen Ihren Access Points und den Cloud RADIUS-Endpunkten. Stellen Sie sicher, dass die UDP-Ports 1812 und 1813 für ausgehenden Datenverkehr geöffnet sind. Eine Deep Packet Inspection auf modernen Firewalls kann RADIUS-Pakete verzögern oder verwerfen. Wenn Timeouts auftreten, überprüfen Sie Ihre Firewall-Richtlinien auf Regeln, die UDP-Traffic zu den RADIUS-Endpunkten prüfen oder drosseln könnten.

Fehler in der Zertifikats-Vertrauenskette

Bei der Verwendung von EAP-TLS müssen Sie sicherstellen, dass die Client-Geräte der Root-CA vertrauen, die das RADIUS-Serverzertifikat ausgestellt hat. Wenn die Vertrauenskette unterbrochen ist, lehnt das Gerät die Verbindung stillschweigend ab, um einen Man-in-the-Middle-Angriff zu verhindern. Dies äußert sich als Verbindungsfehler ohne offensichtliche Fehlermeldung. Überprüfen Sie die RADIUS-Serverprotokolle auf EAP-TLS-Handshake-Fehler. Verteilen Sie das Root-CA-Zertifikat über ein MDM auf alle verwalteten Geräte.

WAN-Abhängigkeit

Cloud RADIUS erfordert eine aktive Internetverbindung. Wenn die WAN-Verbindung ausfällt, können Authentifizierungsanfragen den Server nicht erreichen. Evaluieren Sie für geschäftskritische lokale Ressourcen Access Points, die lokale Ausfallsicherheit (Local Survivability) oder Authentifizierungscaching unterstützen. Für die meisten Implementierungen ist die WAN-Abhängigkeit akzeptabel, da ein Standort ohne Internet ohnehin nicht auf Cloud-Anwendungen zugreifen kann.

Abweichende Shared Secrets

Jeder Access Point oder Wireless Controller muss als RADIUS-Client mit dem korrekten Shared Secret konfiguriert sein. Eine Abweichung führt dazu, dass alle Authentifizierungsanfragen von diesem Gerät stillschweigend verworfen werden. Wenn ein bestimmter Access Point ausfällt, während andere erfolgreich sind, überprüfen Sie die Konfiguration des Shared Secrets auf diesem Gerät.

ROI und geschäftlicher Nutzen

Der Business Case für RADIUS as a Service stützt sich auf drei Säulen: reduzierte Investitionsausgaben (CapEx), geringere Betriebskosten (OpEx) und ein verbessertes Sicherheitsniveau.

Bei den Investitionsausgaben entfallen die Kosten für die Anschaffung, Lizenzierung und Erneuerung physischer Server. Eine minimale, funktionsfähige On-Premise-RADIUS-Bereitstellung erfordert zwei Server für Hochverfügbarkeit, Betriebssystemlizenzen und eine Hardware-Erneuerung alle drei bis fünf Jahre. Für eine Hotelgruppe mit 50 Immobilien stellt dies erhebliche Hardware-Investitionen im gesamten Bestand dar.

Beim Betriebsaufwand verbringt Ihr Engineering-Team keine Zeit mehr mit dem Patchen von Windows Servern, der Fehlerbehebung bei FreeRADIUS-Konfigurationen oder der Verwaltung von Zertifikatsverlängerungen auf physischen Infrastrukturen. Diese Zeit wird für Sicherheitsrichtlinien genutzt, die Ihre Sicherheitslage direkt verbessern.

In Bezug auf das Sicherheitsniveau verringert der Wechsel zu EAP-TLS und dynamischer VLAN-Zuweisung die Angriffsfläche erheblich. Diebstahl von Zugangsdaten ist die Hauptursache für Netzwerkverletzungen. Das Eliminieren von Passwörtern aus dem Netzwerk-Authentifizierungsprozess wirkt diesem Risiko direkt entgegen. Die zentralisierte Audit-Protokollierung unterstützt die Einhaltung von PCI DSS v4.0 und GDPR, was die Kosten und die Komplexität von Compliance-Audits reduziert. Für Organisationen, die Transport -Knotenpunkte oder hochfrequentierte Veranstaltungsorte verwalten, ist die Möglichkeit, konsistente Sicherheitsrichtlinien über ein einziges Dashboard für alle Standorte hinweg durchzusetzen, eine messbare betriebliche Verbesserung. Purple ist an über 80.000 Live-Standorten im Einsatz und hat im Jahr 2024 440 Millionen Logins verarbeitet (interne Daten von Purple, 2024). Die Infrastruktur, die diese Skalierung unterstützt, ist von Grund auf cloud-native konzipiert.

Für einen umfassenderen Überblick darüber, wie WiFi-Analysen und Netzwerkerkennnisse mit Geschäftsergebnissen zusammenhängen, besuchen Sie unsere WiFi Analytics platform .

References

[1] IEEE Standard for Local and metropolitan area networks - Port-Based Network Access Control. IEEE Std 802.1X-2020. [2] IETF. Remote Authentication Dial In User Service (RADIUS). RFC 2865. 1997. [3] IETF. The EAP-TLS Authentication Protocol. RFC 5216. 2008. [4] IronWiFi. Benefits of a Cloud RADIUS Server: Why Enterprises Are Moving Authentication Online. February 2026. [5] SecureW2. Cloud vs. On-Site RADIUS: Which is Better? May 2026. [6] Portnox. RADIUS as a Service. 2026. [7] PCI Security Standards Council. PCI DSS v4.0. March 2022. [8] Purple. Internal platform data: 440 million logins, 80,000+ venues. 2024.

Schlüsseldefinitionen

RADIUS

Remote Authentication Dial-In User Service. Ein in RFC 2865 definiertes Netzwerkprotokoll, das eine zentrale Authentifizierungs-, Autorisierungs- und Abrechnungsverwaltung (AAA) für Benutzer bietet, die sich mit einem Netzwerkdienst verbinden.

IT-Teams nutzen RADIUS als zentrale Entscheidungsinstanz, um zu prüfen, ob ein Gerät oder Benutzer auf das Wi-Fi-Netzwerk des Unternehmens zugreifen darf. Es befindet sich zwischen dem Access Point und dem Identitätsanbieter.

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle. Er bietet einen Authentifizierungsmechanismus für Geräte, die eine Verbindung zu einem LAN oder WLAN herstellen möchten, und zwingt sie zur Authentifizierung, bevor sie eine IP-Adresse erhalten.

Dies ist der Standard, der die Wi-Fi-Sicherheit in Unternehmen unterstützt. Ohne 802.1X erhält jedes Gerät, das sich mit der SSID verbindet, Netzwerkzugriff. Mit 802.1X muss jedes Gerät zuerst seine Identität nachweisen.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Eine in RFC 5216 definierte Authentifizierungsmethode, bei der sowohl das Client-Gerät als auch der RADIUS-Server digitale Zertifikate vorlegen müssen, was eine gegenseitige Authentifizierung ohne Passwörter ermöglicht.

Gilt als Goldstandard für die Wi-Fi-Sicherheit in Unternehmen. Zertifikate werden über MDM auf den Unternehmensgeräten bereitgestellt. EAP-TLS eliminiert das Risiko von Passwortdiebstahl und Phishing-Angriffen im Netzwerk.

PEAP

Protected Extensible Authentication Protocol. Eine EAP-Methode, die den Austausch von Benutzernamen und Passwörtern innerhalb einer TLS-Sitzung tunnelt. Weniger sicher als EAP-TLS, da sie auf Passwörtern basiert.

PEAP-MSCHAPv2 ist in Altsystemen weit verbreitet. IT-Teams sollten eine Migration zu EAP-TLS für Unternehmensgeräte planen und PEAP nur als Fallback für unmanaged oder BYOD-Geräte nutzen.

Dynamische VLAN-Zuweisung

Ein Prozess, bei dem der RADIUS-Server dem Access Point mitteilt, in welches virtuelle LAN (VLAN) ein Gerät eingeordnet werden soll. Dies basiert auf der verifizierten Identität und Rolle des Benutzers und nicht auf der SSID, mit der er sich verbunden hat.

Unerlässlich für die Netzwerksegmentierung in Umgebungen mit mehreren Rollen. Eine einzige "Mitarbeiter"-SSID kann den Datenverkehr von Reinigung, Rezeption und Management sicher in verschiedene VLANs mit unterschiedlichen Zugriffsrechten trennen.

AAA

Authentication, Authorisation, and Accounting (Authentifizierung, Autorisierung und Abrechnung). Die drei Funktionen, die von einem RADIUS-Server ausgeführt werden: Identitätsprüfung (Authentifizierung), Festlegung der zulässigen Zugriffsrechte (Autorisierung) und Erfassung von Sitzungsdaten für Revisionszwecke (Abrechnung).

IT-Teams und Auditoren nutzen AAA als Framework zur Bewertung der Netzwerkzugriffskontrolle. Cloud RADIUS liefert alle drei Funktionen über einen Managed Service.

WPA3-Enterprise

Der aktuelle Wi-Fi-Sicherheitsstandard für Unternehmensnetzwerke, der eine 802.1X-Authentifizierung über einen RADIUS-Server erfordert. Er bietet im Vergleich zu WPA2-Enterprise eine verbesserte kryptografische Stärke, einschließlich eines 192-Bit-Sicherheitsmodus für Hochsicherheitsumgebungen.

IT-Manager sollten WPA3-Enterprise als Mindestsicherheitsstandard für Mitarbeiternetzwerke konfigurieren. Gastnetzwerke können WPA2 oder eine offene Authentifizierung mit einem Captive Portal nutzen.

Network Access Control (NAC)

Ein Sicherheitsansatz, der Richtlinien für Geräte durchsetzt, die auf Netzwerkressourcen zugreifen möchten. Er kombiniert die Bewertung der Endpunktsicherheit, die Identitätsauthentifizierung und die Netzwerkdurchsetzung.

RADIUS ist eine grundlegende Komponente von NAC. Cloud RADIUS erweitert NAC auf verteilte Umgebungen mit mehreren Standorten, ohne dass an jedem Standort eine On-Premise-Infrastruktur erforderlich ist.

Captive Portal

Eine Webseite, mit der ein Nutzer eines öffentlich zugänglichen Netzwerks interagieren muss, bevor ihm Internetzugang gewährt wird. Wird in der Regel für Gäste-WiFi verwendet, um Einwilligungen einzuholen oder Nutzungsbedingungen anzuzeigen.

Captive Portals regeln den unauthentifizierten Gastzugang, während 802.1X den authentifizierten Mitarbeiterzugang verwaltet. Die beiden Mechanismen laufen auf getrennten SSIDs und VLANs.

Ausgearbeitete Beispiele

A 200-room hotel needs to secure its staff network across housekeeping, reception, and management, while keeping Guest WiFi entirely separate. They currently use a shared PSK for the staff network, which has not been changed in two years.

Deploy RADIUS as a Service integrated with Microsoft Entra ID. Configure the Cisco Meraki access points to use WPA3-Enterprise with 802.1X. Housekeeping staff authenticate using their Entra ID credentials; the RADIUS server reads their directory group and dynamically assigns them to VLAN 10 (housekeeping task system access only). Reception staff are assigned to VLAN 20 (property management system access). Management are assigned to VLAN 30 (broader access). Guest WiFi remains on a separate SSID with a Captive Portal, isolated on VLAN 40. When a seasonal staff member leaves, their Entra ID account is disabled, instantly revoking WiFi access across all access points on the property.

Kommentar des Prüfers: This approach eliminates the shared PSK vulnerability and the risk of former employees retaining access. Dynamic VLAN assignment ensures a compromised housekeeping device cannot reach the property management system. Using cloud RADIUS removes the need for a physical server in the hotel's limited IT closet. The integration with Entra ID means offboarding is a single action with immediate network-wide effect.

A national retail chain with 400 stores needs to ensure PCI DSS compliance for its point-of-sale terminals. They currently manage 400 separate FreeRADIUS instances on local store servers, each requiring individual patching.

Migrate to a single RADIUS as a Service instance. Configure HPE Aruba access points at all 400 stores to authenticate POS devices using EAP-TLS with machine certificates pushed via Microsoft Intune. The cloud RADIUS server authenticates the certificates and places POS devices into a PCI-compliant VLAN (VLAN 30), isolated from all other network traffic. Store staff use a separate SSID authenticated via Okta, placing them in a general staff VLAN (VLAN 20). Shoppers on the guest network are isolated on VLAN 40. The security team manages all policies from a single dashboard.

Kommentar des Prüfers: Centralising the RADIUS infrastructure eliminates the maintenance burden of patching 400 local servers. Using EAP-TLS for POS devices removes passwords entirely, preventing credential theft. This architecture satisfies PCI DSS v4.0 Requirement 8 (unique authentication) and Requirement 1 (network segmentation). When a vulnerability is disclosed, the provider patches the cloud infrastructure rather than the retail chain's security team patching 400 servers over several weeks.

Übungsfragen

Q1. Ihr Universitäts-Campus nutzt derzeit Microsoft NPS auf Windows Server, um Studenten über PEAP-MSCHAPv2 zu authentifizieren. Die Institution migriert zu Google Workspace und möchte alle On-Premise-Server innerhalb von 12 Monaten stilllegen. Was ist die sicherste und betrieblich effizienteste architektonische Änderung für die WiFi-Authentifizierungsinfrastruktur?

Hinweis: Microsoft NPS unterstützt Google Workspace nicht nativ. Überlegen Sie, was sowohl den Server als auch die Authentifizierungsmethode ersetzt.

Musterlösung anzeigen

Migrieren Sie zu RADIUS as a Service mit nativer Google Workspace-Integration. Der Cloud-RADIUS-Dienst verbindet sich direkt über LDAP oder OIDC mit Google Workspace, wodurch Active Directory oder NPS überflüssig werden. Stellen Sie gleichzeitig verwaltete studentische und private Geräte von PEAP-MSCHAPv2 auf EAP-TLS um, indem Sie Client-Zertifikate über die MDM-Plattform der Institution verteilen. Dies entfernt Passwörter aus dem Authentifizierungsprozess und stellt sicher, dass nur verwaltete, vertrauenswürdige Geräte auf die Mitarbeiter- und Studenten-Netzwerke zugreifen können. Die Migration kann phasenweise erfolgen: Stellen Sie Cloud-RADIUS parallel zu NPS bereit, migrieren Sie eine SSID nach der anderen und legen Sie NPS still, sobald alle Geräte den neuen Dienst nutzen.

Q2. Ein Stadion mit einer Kapazität von 80.000 Personen benötigt sicheres WiFi für das Unternehmenspersonal, Ticket-Terminals, Medienvertreter und Vertragspartner am Veranstaltungstag. Wie sollte das Netzwerk mit Cloud-RADIUS konfiguriert werden, um den angemessenen Zugriff für jede Gruppe durchzusetzen?

Hinweis: Überlegen Sie, wie RADIUS die Autorisierung handhabt, nicht nur die Authentifizierung. Jede Gruppe benötigt unterschiedliche Zugriffsrechte.

Musterlösung anzeigen

Richten Sie eine einzige 802.1X SSID für alle authentifizierten Gruppen ein. Konfigurieren Sie den Cloud-RADIUS-Dienst so, dass er eine dynamische VLAN-Zuweisung basierend auf der Rolle des Benutzers im Identity Provider verwendet. Dem Unternehmenspersonal wird VLAN 10 mit Zugriff auf interne Systeme zugewiesen. Ticket-Terminals, die über Maschinenzertifikate (EAP-TLS) authentifiziert werden, kommen in ein eingeschränktes VLAN 20 mit Zugriff ausschließlich auf die Ticket-Plattform. Medienvertreter werden VLAN 30 mit hoher Internetbandbreite, aber ohne Zugriff auf interne Systeme, zugewiesen. Vertragspartner am Veranstaltungstag erhalten VLAN 40 mit reinem, eingeschränktem Internetzugang. Eine separate offene SSID mit einem Captive Portal regelt den Gastzugang für Fans und Besucher auf VLAN 50, isoliert vom gesamten restlichen Datenverkehr.

Q3. Bei einem Sicherheitsaudit wird festgestellt, dass der FreeRADIUS-Server Ihres Unternehmens seit acht Monaten kein Sicherheits-Patch mehr erhalten hat. Das Team zögerte mit dem Patchen, da das letzte Update zu einem zweistündigen Authentifizierungsausfall führte. Wie löst die Migration zu RADIUS as a Service sowohl das Sicherheitsrisiko als auch das betriebliche Risiko?

Hinweis: Berücksichtigen Sie die Aufgabenverteilung bei einem Managed-Service-Modell und wie Anbieter Patches ohne Ausfallzeiten einspielen.

Musterlösung anzeigen

RADIUS as a Service verlagert die Verantwortung für OS-Patching und Schwachstellenmanagement auf den Anbieter. Der Anbieter betreibt hochverfügbare, regionsübergreifende Cluster, sodass er einzelne Endpunkte patchen und Updates schrittweise einspielen kann, ohne Ausfallzeiten bei der Authentifizierung zu verursachen. Ihr Team muss keine Wartungsfenster mehr planen oder das Risiko eines durch Patches verursachten Ausfalls in Kauf nehmen. Das Sicherheitsrisiko wird eliminiert, da der Anbieter die Infrastruktur patcht, sobald Schwachstellen bekannt werden, oft noch bevor die CVE öffentlich bekannt gemacht wird. Das betriebliche Risiko wird eliminiert, da die SLA des Anbieters die Betriebszeit unabhängig von Patch-Aktivitäten garantiert. Die Rolle Ihres Teams verlagert sich von der Infrastrukturwartung hin zur Richtlinienverwaltung.

Weiterlesen in dieser Reihe

Integrating RADIUS as a Service mit Cloud-Verzeichnissen (Azure AD & Google Workspace)

Dieser technische Leitfaden beschreibt detailliert, wie Sie RADIUS as a Service in Cloud-Verzeichnisse – Microsoft Entra ID und Google Workspace – für die WiFi-Authentifizierung in Unternehmen integrieren. Er behandelt den architektonischen Wechsel von On-Premise-NPS zu Cloud-nativem RADIUS, die Bereitstellung von zertifikatsbasierter EAP-TLS-Authentifizierung sowie die bewährten Betriebsmethoden zur Absicherung des drahtlosen Netzzugangs in den Bereichen Gastgewerbe, Einzelhandel und im öffentlichen Sektor. Für IT-Manager und Netzwerkarchitekten, die bereits in Cloud-Identitäten investiert haben, schließt dieser Leitfaden die Lücke zwischen Verzeichnisverwaltung und physischer Netzwerksicherheit.

So implementieren Sie die 802.1X-Authentifizierung mit Cloud RADIUS

Dieser technische Leitfaden bietet einen umfassenden Rahmen für die Implementierung der 802.1X-Authentifizierung mit Cloud RADIUS in verteilten Unternehmensstandorten. Er beschreibt detailliert die Architektur, die Auswahl der EAP-Methode, die Bereitstellungsreihenfolge und die Strategien zur Risikominderung, die zur Sicherung des Netzwerkzugriffs erforderlich sind, während gleichzeitig der betriebliche Aufwand für eine On-Premises-Infrastruktur entfällt.

Was ist Cloud RADIUS? Ein umfassender Leitfaden zu RADIUS as a Service

Dieser umfassende Leitfaden untersucht Cloud RADIUS (RADIUS as a Service) und beschreibt dessen Architektur, EAP-Methoden und Implementierungsstrategien im Detail. Er bietet IT-Verantwortlichen praxistaugliche Erkenntnisse für die Migration von On-Premises-Servern zu einem skalierbaren, sicheren und datenschutzkonformen cloudbasierten Authentifizierungsmodell.