Zum Hauptinhalt springen

Was ist Cloud RADIUS? Ein umfassender Leitfaden zu RADIUS-as-a-Service

Dieser umfassende Leitfaden befasst sich mit Cloud RADIUS (RADIUS-as-a-Service) und erläutert dessen Architektur, EAP-Methoden und Implementierungsstrategien. Er bietet IT-Entscheidern praxisnahe Einblicke für die Migration von lokalen Servern zu einem skalierbaren, sicheren und konformen cloudbasierten Authentifizierungsmodell.

📖 5 Min. Lesezeit📝 1,077 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Was ist Cloud RADIUS? Ein umfassender Leitfaden zu RADIUS-as-a-Service. Willkommen beim Purple WiFi Intelligence Podcast. Ich bin Ihr Gastgeber, und heute führen wir ein ausführliches Briefing zu Cloud RADIUS durch - was es ist, wie es unter der Haube funktioniert und vor allem, wie Sie bewerten können, ob es in diesem Quartal der richtige Schritt für Ihr Unternehmen ist. Egal, ob Sie eine Hotelgruppe, ein Filialnetz im Einzelhandel, ein Stadion oder ein Netzwerk im öffentlichen Sektor betreiben, diese Folge ist für Sie. Legen wir los. Einführung und Kontext. Wenn Sie dem Vorstand jemals erklären mussten, warum Ihr Netzwerk-Authentifizierungsserver um 2 Uhr morgens ausgefallen ist - und warum es drei Stunden gedauert hat, ihn wieder in Betrieb zu nehmen -, verstehen Sie bereits das Kernproblem, das Cloud RADIUS löst. Eine traditionelle RADIUS-Infrastruktur vor Ort ist zwar leistungsstark, bringt aber einen erheblichen betrieblichen Aufwand mit sich. Hardware muss beschafft, Patch-Zyklen verwaltet, Redundanz manuell konzipiert werden und es gibt einen Single Point of Failure in Ihrem Serverraum. Cloud RADIUS, oder RADIUS-as-a-Service, verlagert diese Authentifizierungsschicht in eine verwaltete, hochverfügbare Cloud-Umgebung. Das Protokoll selbst - Remote Authentication Dial-In User Service - hat sich nicht geändert. Es ist immer noch das Rückgrat der IEEE 802.1X-Netzwerkzugriffskontrolle und immer noch der Mechanismus, den Ihre Access Points verwenden, um zu validieren, wer auf Ihr Netzwerk zugreift. Aber die Infrastruktur, auf der es läuft, ist nun das Problem eines anderen. Und in der Unternehmens-IT ist das ein bedeutender Wandel. Gehen wir also ins technische Detail. Technischer Deep-Dive. RADIUS wurde ursprünglich in RFC 2865 definiert, das im Jahr 2000 veröffentlicht wurde, und hat sich als bemerkenswert langlebig erwiesen. Das Protokoll arbeitet nach einem Client-Server-Modell. Ihr Netzwerkzugriffsgerät - sei es ein WiFi Access Point, ein VPN-Konzentrator oder ein kabelgebundener Switch - fungiert als RADIUS-Client, auch Network Access Server oder NAS genannt. Wenn ein Benutzer versucht, eine Verbindung herzustellen, leitet der NAS ein Access-Request-Paket an den RADIUS-Server weiter, der die Anmeldedaten mit einem Benutzerverzeichnis abgleicht - in der Regel Active Directory, LDAP oder ein Cloud-Identity-Provider - und entweder ein Access-Accept oder ein Access-Reject zurückgibt. Das ist der Kern des Austauschs. Die eigentliche Komplexität liegt jedoch in dem, was drumherum passiert: EAP-Methoden, VLAN-Zuweisung, Richtliniendurchsetzung, Accounting-Datensätze und Zertifikatsmanagement. In einer traditionellen Bereitstellung vor Ort führen Sie FreeRADIUS oder Microsoft NPS auf dedizierter Hardware aus, verwalten Ihre eigenen Zertifikate, konfigurieren Ihr eigenes Failover und verwalten Ihre eigene Synchronisierung der Benutzerdatenbank. Für einen einzelnen Standort mit einem kompetenten IT-Team ist das machbar. Für ein Einzelhandelsnetz mit 50 Standorten oder eine Hotelgruppe mit Immobilien in mehreren Ländern wird es zu einer erheblichen betrieblichen Belastung.Cloud RADIUS abstrahiert all das. Die Authentifizierungslogik, die Zertifikatsinfrastruktur, die Redundanz und die Richtlinien-Engine werden alle als verwalteter Service bereitgestellt. Ihre Access Points verweisen auf in der Cloud gehostete RADIUS-Endpunkte - in der Regel eine primäre und sekundäre IP-Adresse - und der Service kümmert sich um alles dahinter. Lassen Sie uns nun über die Authentifizierungsmethoden sprechen, denn hier kommt es auf die technischen Entscheidungen wirklich an. Die am häufigsten verwendete EAP-Methode in Enterprise-WiFi ist PEAP - Protected EAP -, bei der MSCHAPv2 in einer TLS-Sitzung getunnelt wird. Sie wird weithin unterstützt, funktioniert nativ mit Active Directory und ist der Standard für die meisten Windows- und Android-Geräte. PEAP weist jedoch bekannte Schwachstellen auf, insbesondere bei der Zertifikatsvalidierung. Wenn Ihre Client-Geräte nicht so konfiguriert sind, dass sie das Serverzertifikat überprüfen, sind Sie Angriffen zum Abgreifen von Anmeldedaten über gefälschte Access Points ausgesetzt. EAP-TLS ist der Goldstandard. Es verwendet eine gegenseitige Zertifikatsauthentifizierung - sowohl der Server als auch der Client legen Zertifikate vor -, wodurch die Angriffsfläche für Passwörter vollständig eliminiert wird. Der Kompromiss liegt in der Bereitstellung von Client-Zertifikaten, was eine PKI-Infrastruktur und eine MDM-Integration erfordert. Für verwaltete Geräteflotten ist dies absolut die richtige Wahl. Für BYOD-Umgebungen ist es komplexer. EAP-TTLS und EAP-FAST sind ebenfalls erwähnenswert. TTLS ist besonders in Umgebungen üblich, in denen Sie eine breite Palette von Client-Geräten, einschließlich Linux-Systemen, unterstützen müssen. EAP-FAST wurde von Cisco als Alternative zu PEAP entwickelt, die die Abhängigkeit von der Zertifikatsvalidierung vermeidet und stattdessen Protected Access Credentials verwendet. Ein gut strukturierter Cloud RADIUS-Service unterstützt all diese Methoden und ermöglicht Ihnen die Konfiguration von Richtlinien pro SSID - so verwendet Ihre Unternehmens-SSID EAP-TLS mit Zertifikatsvalidierung, Ihre Mitarbeiter-SSID PEAP mit Active Directory und Ihr Gastnetzwerk ein Captive Portal oder einen Social-Login-Flow, der völlig unabhängig vom RADIUS-Stack läuft. Apropos: RADIUS und Gast-WiFi werden oft zusammengeworfen, dienen aber unterschiedlichen Zwecken. RADIUS ist Ihre Authentifizierungs- und Autorisierungsebene für bekannte Benutzer und Geräte. Gast-WiFi nutzt in der Regel einen Captive Portal-Flow, was ein völlig anderer Mechanismus ist. Die Plattform von Purple beispielsweise wickelt die Gast-Authentifizierung über eine separate Identitätsebene ab, erfasst First-Party-Daten und ermöglicht Marketing-Automatisierung, während RADIUS die Zugriffskontrolle für das Unternehmens- und Mitarbeiternetzwerk übernimmt. Es handelt sich hierbei um komplementäre, nicht um konkurrierende Systeme. Sprechen wir nun darüber, was "Cloud-hosted" in der Praxis eigentlich bedeutet. Ein ordnungsgemäß architektonisch gestalteter Cloud RADIUS Service läuft über mehrere Verfügbarkeitszonen hinweg mit automatischem Failover. Authentifizierungsanfragen werden per Load-Balancing über Knoten verteilt, und der Dienst behält selbst bei Spitzenlast Antwortzeiten von unter 100 Millisekunden bei. Für ein Stadion, das während einer Veranstaltung 40.000 gleichzeitige Verbindungen verarbeitet, ist dieses Latenz- und Durchsatzprofil von entscheidender Bedeutung. Ein einzelner On-Premises-Server kann diese Elastizität schlichtweg nicht erreichen. Aus Sicht der Compliance müssen Cloud RADIUS Anbieter, die im Vereinigten Königreich und in der EU tätig sind, bei der Verarbeitung von Authentifizierungsprotokollen und Benutzerdaten GDPR-konform sein. Für Einzelhandels- und Gastronomieumgebungen, die auch Zahlungskartendaten verarbeiten, sind die PCI-DSS-Anforderungen in Bezug auf Netzwersegmentierung und Zugriffskontrolle direkt relevant - RADIUS ist Teil Ihrer Kontrollumgebung, und Ihr QSA wird Nachweise über eine ordnungsgemäße Konfiguration und Audit-Protokollierung sehen wollen. Auch WPA3 sollte angesprochen werden. Der Übergang von WPA2 zu WPA3 führt Simultaneous Authentication of Equals - SAE - für private Netzwerke und WPA3-Enterprise für Unternehmensumgebungen ein. WPA3-Enterprise schreibt für die höchste Sicherheitsstufe einen 192-Bit-Sicherheitsmodus vor, der spezifische EAP-Methoden und Verschlüsselungssammlungen erfordert. Ein Cloud RADIUS Service muss diese Konfigurationen unterstützen, um zukunftssicher zu sein. Empfehlungen für die Implementierung und Fallstricke. Kommen wir zur Praxis. Wenn Sie Cloud RADIUS für eine Bereitstellung in diesem Quartal evaluieren, sollten Sie sich auf Folgendes konzentrieren. Erstens die Integration in Ihren Identity Provider. Ihr Cloud RADIUS Service muss sich mit dem Ort synchronisieren, an dem sich Ihre Benutzer tatsächlich befinden - sei es Microsoft Entra ID, ehemals Azure AD, Google Workspace, Okta oder ein lokales Active Directory über einen LDAP-Proxy. Die Qualität dieser Integration bestimmt Ihren betrieblichen Aufwand. Eine native SAML- oder SCIM-Bereitstellung ist manuellen CSV-Importen weitaus vorzuziehen. Zweitens das Zertifikatsmanagement. Wenn Sie EAP-TLS bereitstellen, benötigen Sie eine klare Antwort darauf, wie Client-Zertifikate ausgestellt, erneuert und widerrufen werden. Die besten Cloud RADIUS Dienste enthalten eine integrierte PKI oder lassen sich nahtlos in Ihre bestehende Zertifizierungsstelle integrieren. Das Ablaufen von Zertifikaten ist eine der häufigsten Ursachen für Authentifizierungsfehler in Enterprise WiFi - durch eine ordnungsgemäße Automatisierung ist dies völlig vermeidbar. Drittens die Kompatibilität der Netzwerkgeräte. Ihre Access Points müssen die RADIUS-Authentifizierung unterstützen - was praktisch alle Enterprise-APs tun -, aber Sie müssen die spezifischen EAP-Methoden und RADIUS-Attribute, die Ihr ausgewählter Dienst unterstützt, mit der Implementierung Ihres AP-Herstellers abgleichen. Cisco, Aruba, Juniper Mist und Ruckus haben alle ihre eigenen Nuancen bei der Handhabung von RADIUS-Attributen und CoA-Nachrichten - Change of Authorisation.Viertens: die Redundanzkonfiguration. Konfigurieren Sie immer sowohl eine primäre als auch eine sekundäre RADIUS-Server-IP. Das Failover-Timeout auf Ihren NAS-Geräten ist wichtig - wenn es zu hoch eingestellt ist, kommt es bei Benutzern zu einer Authentifizierungsverzögerung von 30 Sekunden, wenn der primäre Server nicht erreichbar ist. Ein Timeout von 3 bis 5 Sekunden mit sofortigem Failover ist für die meisten Umgebungen die richtige Konfiguration. Fünftens - und das ist der Punkt, den viele übersehen - das Accounting. RADIUS-Accounting-Datensätze sind Ihr Audit-Trail. Sie zeigen Ihnen, wer sich von welchem Gerät aus, zu welcher Zeit und wie lange verbunden hat. Aus Compliance-Gründen, insbesondere im Gesundheitswesen und im öffentlichen Sektor, müssen diese Datensätze aufbewahrt werden und zugänglich sein. Stellen Sie sicher, dass Ihr Cloud-RADIUS-Anbieter Ihnen Zugriff auf die Accounting-Daten und nicht nur auf die Authentifizierungs-Logs gewährt. Häufige Fallstricke: die Komplexität des Shared Secret. Ihr RADIUS Shared Secret - der Pre-Shared Key zwischen Ihrem NAS und dem RADIUS-Server - muss lang und zufällig generiert sein. Kurze oder leicht zu erratende Shared Secrets sind ein echtes Angriffsrisiko. Verwenden Sie mindestens 32 zufällig generierte Zeichen und rotieren Sie diese nach einem festen Zeitplan. Achten Sie auch auf das IP-Whitelisting. Viele Cloud-RADIUS-Dienste erfordern das Whitelisting der Quell-IPs Ihrer NAS-Geräte. In einer dynamischen Cloud-Umgebung, in der Ihre AP-Verwaltungsplattform möglicherweise NAT verwendet, kann dies zu unerwarteten Authentifizierungsfehlern führen. Überprüfen Sie vor der Implementierung das NAT-Verhalten Ihres Netzwerks. Schnelle Fragen und Antworten. Lassen Sie mich einige Fragen durchgehen, die mir regelmäßig gestellt werden. Kann Cloud-RADIUS Multi-Tenant-Umgebungen unterstützen? Ja - die meisten Enterprise-Cloud-RADIUS-Dienste unterstützen Mandantenisolierung, sodass ein Managed Service Provider separate RADIUS-Richtlinien für mehrere Kunden über eine einzige Plattform ausführen kann. Wie hoch ist die typische Latenzzeit bei einer Cloud-RADIUS-Authentifizierung? Unter 100 Millisekunden bei einem gut konzipierten Dienst. Der 802.1X-Handshake selbst verursacht etwas Overhead, aber bei den meisten EAP-Methoden sollte die gesamte Authentifizierungszeit durchgängig unter 500 Millisekunden liegen. Funktioniert Cloud-RADIUS mit OpenRoaming? Ja. OpenRoaming - das Roaming-Framework der Wireless Broadband Alliance - nutzt im Kern eine RADIUS-Föderation. Ein Cloud-RADIUS-Dienst, der Hotspot 2.0 und OpenRoaming unterstützt, ermöglicht es Ihren Benutzern, sich automatisch in allen teilnehmenden Netzwerken weltweit zu authentifizieren. Purple unterstützt OpenRoaming im Rahmen seiner Connect-Lizenz und fungiert als Identity Provider in der Föderation. Ist Cloud-RADIUS für Hochsicherheitsumgebungen geeignet? Für die meisten Enterprise-Umgebungen ja. Für Umgebungen mit als Verschlusssache eingestuften Daten oder speziellen staatlichen Sicherheitszertifizierungen müssen Sie eventuell prüfen, ob ein Managed-Cloud-Dienst Ihre spezifischen Akkreditierungsanforderungen erfüllt. Zusammenfassung und nächste Schritte. Zusammenfassend lässt sich sagen: Cloud RADIUS ist ein ausgereifter, produktionsbereiter Ansatz für die Netzwerkzugriffskontrolle, der den betrieblichen Aufwand einer On-Premises-RADIUS-Infrastruktur eliminiert, ohne Kompromisse bei Sicherheit oder Funktionalität einzugehen. Für Unternehmen mit mehreren Standorten ist der ROI-Case eindeutig - Sie eliminieren Hardware-Investitionen, reduzieren den IT-Overhead, erhalten integrierte Redundanz und nutzen einen Service, der mit Ihrem Unternehmen skaliert. Die wichtigsten Entscheidungen sind: Welche EAP-Methode ist die richtige für Ihre Geräteflotte, wie integrieren Sie diese in Ihren bestehenden Identity Provider und ob der von Ihnen gewählte Service die Compliance- und Audit-Funktionen bietet, die Ihr Unternehmen benötigt. Wenn Sie eine Hotelgruppe oder eine Einzelhandelskette leiten oder Netzwerke im öffentlichen Sektor verwalten, empfehle ich, mit einem Proof-of-Concept an einem einzigen Standort zu beginnen - richten Sie Ihre RADIUS-Konfiguration korrekt ein, validieren Sie die Integration mit Ihrem Identity Provider und messen Sie die Authentifizierungslatenz, bevor Sie den Rollout auf Ihren gesamten Bestand ausweiten. Weitere Informationen zu WiFi-Analytics, dem Management von Gästenetzwerken und der Integration der Purple-Plattform mit RADIUS-basierter Authentifizierung finden Sie auf purple.ai. Vielen Dank fürs Zuhören.

header_image.png

Executive Summary

Für moderne Unternehmensnetzwerke stellt die traditionelle RADIUS-Architektur (Remote Authentication Dial-In User Service) vor Ort einen erheblichen betrieblichen Engpass dar. Die Verwaltung physischer Server, das Patchen von Betriebssystemen, die Handhabung von Zertifizierungsstellen und die Konzeption von Redundanz über mehrere Standorte hinweg verbrauchen wertvolle IT-Ressourcen. Cloud RADIUS (oder RADIUS-as-a-Service) löst dieses Problem, indem es die IEEE 802.1X-Authentifizierungsschicht in eine verwaltete, hochverfügbare Cloud-Infrastruktur verlagert. Dieser Leitfaden bietet einen umfassenden technischen Überblick über Cloud RADIUS für IT-Manager, Netzwerkarchitekten und CTOs, die Bereitstellungsstrategien bewerten. Durch den Wechsel von investitionsintensiven, manuell gewarteten Systemen zu einem elastischen, global verteilten Modell können Unternehmen in den Bereichen Einzelhandel , Hotellerie und Transportwesen robuste Zugriffsrichtlinien durchsetzen, Compliance-Standards (wie PCI-DSS und GDPR) erfüllen und sich nahtlos in moderne Identitätsanbieter wie Microsoft Entra ID und Google Workspace integrieren.

Technischer Deep-Dive

Die Entwicklung der RADIUS-Architektur

RADIUS, ursprünglich in RFC 2865 definiert, arbeitet nach einem Client-Server-Modell, bei dem ein Network Access Server (NAS) - wie ein WiFi-Zugangspunkt oder ein VPN-Konzentrator - Authentifizierungsanfragen an einen zentralen Server weiterleitet. In der Vergangenheit bedeutete dies die Bereitstellung von FreeRADIUS oder Microsoft Network Policy Server (NPS) auf dedizierter Hardware. Während dies für Einzelstandort-Bereitstellungen praktikabel ist, führt die Skalierung dieser Architektur über verteilte Umgebungen hinweg zu erheblichen Latenz- und Redundanzproblemen.

Cloud RADIUS abstrahiert die zugrunde liegende Infrastruktur. Authentifizierungsanfragen werden an global verteilte Cloud-Endpunkte geroutet, was Antwortzeiten von unter 100 Millisekunden selbst bei Spitzenlast gewährleistet. Diese Elastizität ist für Umgebungen mit hoher Dichte wie Stadien oder Konferenzzentren von entscheidender Bedeutung.

architecture_overview.png

EAP-Methoden und Sicherheitsniveau

Die Wahl der EAP-Methode (Extensible Authentication Protocol) bestimmt maßgeblich Ihr Sicherheitsniveau:

  • PEAP (Protected EAP): Baut einen MSCHAPv2-Tunnel innerhalb einer TLS-Sitzung auf. Obwohl PEAP weit verbreitet und einfach in Active Directory zu integrieren ist, ist es anfällig für den Diebstahl von Anmeldedaten über gefälschte Zugriffspunkte, wenn Client-Geräte nicht strikt so konfiguriert sind, dass sie das Serverzertifikat validieren.
  • EAP-TLS: Der Goldstandard für Unternehmen. Es erfordert eine gegenseitige Zertifikatsauthentifizierung - sowohl der Server als auch der Client müssen gültige Zertifikate vorweisen. Dies eliminiert passwortbasierte Angriffe vollständig, erfordert jedoch eine robuste Public Key Infrastructure (PKI) und eine Mobile Device Management (MDM) Integration für die Zertifikatsverteilung.
  • EAP-TTLS und EAP-FAST: Bieten Alternativen für Szenarien, die eine breite Client-Kompatibilität erfordern (einschließlich Legacy- oder Linux-Systemen) oder bei denen Protected Access Credentials (PACs) benötigt werden, um Zertifikatsvalidierungsabhängigkeiten zu umgehen.

WPA3 und OpenRoaming Integration

Moderne Bereitstellungen müssen WPA3-Enterprise berücksichtigen, das einen 192-Bit-Sicherheitsmodus für das höchste Sicherheitsniveau vorschreibt und spezifische Cipher-Suites erfordert. Darüber hinaus erleichtert Cloud RADIUS die Teilnahme an Föderations-Frameworks wie OpenRoaming. Beispielsweise agiert Purple als kostenloser Identitätsanbieter für OpenRoaming unter seiner Connect Lizenz, was eine nahtlose, sichere Authentifizierung in teilnehmenden Netzwerken weltweit ermöglicht.

Implementierungsleitfaden

Die Bereitstellung von Cloud RADIUS erfordert einen systematischen Ansatz, um Ausfallzeiten während des Übergangs zu vermeiden.

Schritt 1: Integration des Identitätsanbieters (IdP)

Ihre Cloud RADIUS Instanz muss mit Ihrem maßgeblichen Benutzerverzeichnis synchronisiert werden. Eine native SAML- oder SCIM-Bereitstellung mit Microsoft Entra ID, Google Workspace oder Okta ist manuellen LDAP-Proxys oder CSV-Importen vorzuziehen. Dies stellt sicher, dass beim Offboarding eines Mitarbeiters im HR-System dessen Netzwerkzugriff sofort widerrufen wird.

Schritt 2: Strategie für das Zertifikatsmanagement

Wenn Sie EAP-TLS bereitstellen, definieren Sie den Lebenszyklus Ihrer Zertifikate. Wählen Sie einen Cloud RADIUS Anbieter mit einer integrierten PKI oder einer nahtlosen Integration in Ihre bestehende Zertifizierungsstelle (CA). Automatisieren Sie die Ausstellung und den Widerruf von Zertifikaten über Ihre MDM-Plattform (wie Intune oder Jamf), um Authentifizierungsfehler durch abgelaufene Zertifikate zu verhindern.

Schritt 3: Konfiguration der Netzwerkgeräte

Konfigurieren Sie Ihre NAS-Geräte (Access Points, Switches) so, dass sie auf die primären und sekundären Cloud RADIUS IP-Adressen verweisen. Stellen Sie sicher, dass Shared Secrets kryptografisch komplex sind (mindestens 32 Zufallszeichen). Passen Sie die Failover-Timeout-Einstellungen an; ein Timeout von 3 bis 5 Sekunden ist optimal, um längere Authentifizierungsverzögerungen zu vermeiden, falls der primäre Knoten unerreichbar wird.

Schritt 4: Richtliniendefinition

Erstellen Sie Richtlinien auf SSID-Basis. Setzen Sie beispielsweise EAP-TLS für das Unternehmensnetzwerk durch, PEAP für ältere IoT-Geräte und isolieren Sie den Gastzugang. Beachten Sie, dass RADIUS bekannte Benutzer verarbeitet. Für Besucher sollten Sie eine dedizierte Guest WiFi Lösung mit einem Captive Portal bereitstellen, um First-Party-Daten zu erfassen, integriert in eine WiFi Analytics Plattform. Weitere Informationen zur Einbindung von Besuchern finden Sie unter How to Improve Guest Satisfaction: The Ultimate Guide . comparison_chart.png

Best Practices

  • Strikte Server-Zertifikatsvalidierung erzwingen: Schieben Sie bei PEAP-Bereitstellungen Gruppenrichtlinien- oder MDM-Profile auf die Endgeräte, die Clients dazu zwingen, das RADIUS-Serverzertifikat zu validieren, und beschränken Sie das Vertrauen auf eine bestimmte Stamm-CA.
  • Accounting- und Authentifizierungs-Traffic segmentieren: Stellen Sie sicher, dass RADIUS-Accounting-Daten aktiv überwacht und aufbewahrt werden. Dieser Audit-Trail ist für Compliance-Berichte (wie PCI-DSS und HIPAA) unerlässlich.
  • Authentifizierungslatenz überwachen: Eine hohe Latenz weist oft auf suboptimales Routing oder Probleme bei der IdP-Synchronisierung hin. Verwenden Sie Monitoring-Tools, um die Zeit vom Access-Request- bis zum Access-Accept-Paket zu verfolgen.
  • Signal- und Kanalplanung optimieren: Eine zuverlässige Authentifizierung hängt von einem stabilen Physical Layer ab. Lesen Sie Leitfäden wie Understanding RSSI and Signal Strength for Optimal Channel Planning , um sicherzustellen, dass Ihre RF-Umgebung nahtloses 802.1X-Roaming unterstützt.

Fehlerbehebung und Risikominderung

Selbst bei einem Managed Service kann eine Fehlkonfiguration zu Zugriffsausfällen führen. Typische Fehlerquellen sind:

  • Ablauf von Zertifikaten: Die Hauptursache für EAP-TLS-Ausfälle. Abhilfe: Implementieren Sie automatisierte Warnmeldungen 30 Tage vor dem Ablauf von CA- oder Serverzertifikaten.
  • Abweichung beim Shared Secret: Tritt typischerweise beim Hinzufügen neuer Access Points auf. Abhilfe: Standardisieren Sie Konfigurationsvorlagen in Ihrem Netzwerkmanagementsystem.
  • NAT- und IP-Allowlisting-Probleme: Cloud RADIUS-Anbieter erfordern in der Regel ein NAS-IP-Allowlisting. Wenn Ihre Standorte dynamische IPs oder komplexe NAT-Konfigurationen verwenden, werden Authentifizierungsanfragen möglicherweise verworfen. Abhilfe: Verwenden Sie statische Egress-IPs oder weisen Sie bei Bedarf einen lokalen RADIUS-Proxy zu.
  • Fehler bei der IdP-Synchronisierung: Wenn die Synchronisierung des Cloud-Verzeichnisses mit dem On-Premises AD fehlschlägt, können sich neue Benutzer nicht authentifizieren. Abhilfe: Überwachen Sie den Status der SCIM/LDAP-Connectoren proaktiv.

ROI und geschäftliche Auswirkungen

Der Übergang zu Cloud RADIUS liefert messbaren geschäftlichen Nutzen:

  1. Reduzierte Infrastruktur-Investitionsausgaben (Capex): Es müssen keine physischen RADIUS-Server mehr an jedem größeren Standort angeschafft, im Rack montiert und mit Strom versorgt werden.
  2. Geringerer betrieblicher Aufwand: IT-Teams verbringen keine Stunden mehr damit, Sicherheitslücken im Betriebssystem zu patchen oder den Server-Failover manuell zu verwalten. Vom Anbieter verwaltete Updates sorgen für kontinuierliche Compliance.
  3. Verbessertes Sicherheitsniveau: Der Übergang zu EAP-TLS über eine Cloud-PKI reduziert das Risiko von Anmeldedatendiebstahl und senkt so direkt die potenziellen Kosten einer Datenpanne.
  4. Agilität und Skalierbarkeit: Bei der Eröffnung einer neuen Einzelhandelsfiliale oder eines Hotels kann die Netzwerkauthentifizierung innerhalb von Minuten statt Wochen bereitgestellt werden. Praktische Rollout-Strategien finden Sie unter Einrichten von WiFi für Unternehmen: Ein Leitfaden für 2026 .

Mit einer zentralisierten Zugriffskontrolle sichern Unternehmen nicht nur ihren Perimeter, sondern entlasten auch erfahrene Engineers, damit sich diese auf strategische, einflussreiche Projekte konzentrieren können, anstatt veraltete Legacy-Infrastrukturen zu warten.

Schlüsseldefinitionen

Cloud RADIUS

Ein verwalteter Dienst, der das Remote Authentication Dial-In User Service-Protokoll in einer hochverfügbaren Cloud-Umgebung bereitstellt, wodurch lokale Authentifizierungsserver überflüssig werden.

Wird von IT-Teams evaluiert, die Investitionskosten für Hardware und den betrieblichen Aufwand reduzieren und gleichzeitig einen sicheren 802.1X-Netzwerkzugriff aufrechterhalten möchten.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Eine hochsichere Authentifizierungsmethode, bei der sowohl der Client als auch der Server digitale Zertifikate vorlegen müssen, um ihre Identität nachzuweisen.

Der empfohlene Standard für Unternehmensnetzwerke zur Verhinderung von passwortbasierten Angriffen, der PKI und MDM für die Bereitstellung erfordert.

NAS (Network Access Server)

Das Gerät - wie ein WiFi-Access-Point, Switch oder VPN-Konzentrator - das als RADIUS-Client fungiert und Benutzeranmeldedaten an den RADIUS-Server weiterleitet.

Netzwerktechniker müssen den NAS mit den korrekten RADIUS-Server-IPs und Shared Secrets konfigurieren, um die 802.1X-Authentifizierung zu ermöglichen.

Shared Secret

Eine kryptografische Textzeichenfolge, die nur dem NAS und dem RADIUS-Server bekannt ist. Sie wird verwendet, um RADIUS-Pakete zu verschlüsseln und die Authentizität des Absenders zu überprüfen.

Ein schwaches Shared Secret stellt ein erhebliches Sicherheitsrisiko dar; in Unternehmensumgebungen sollten lange, zufällig generierte Zeichenfolgen verwendet werden.

SCIM (System for Cross-domain Identity Management)

Ein offener Standard, der den Austausch von Benutzeridentitätsinformationen zwischen IT-Systemen oder Cloud-Anwendungen automatisiert.

Wird verwendet, um Benutzer automatisch im Cloud RADIUS-Verzeichnis bereitzustellen und zu entfernen, wenn Änderungen im primären HR- oder IT-Identitätssystem vorgenommen werden.

OpenRoaming

Ein von der Wireless Broadband Alliance entwickeltes Föderations-Framework, das es Benutzern ermöglicht, sich automatisch und sicher mit teilnehmenden WiFi-Netzwerken weltweit zu verbinden.

Cloud RADIUS-Anbieter, die OpenRoaming unterstützen (wie Purple), ermöglichen es Standorten, Besuchern eine nahtlose und sichere Verbindung ohne Captive Portals anzubieten.

Accounting Logs

Vom RADIUS-Server generierte Protokolle, die Details zu Benutzerverbindungsereignissen enthalten, einschließlich Startzeit, Endzeit, übertragenen Daten und zugewiesener IP-Adresse.

Kritisch für Sicherheitsaudits, Fehlerbehebung und den Nachweis der Konformität mit Frameworks wie PCI DSS und GDPR.

Change of Authorization (CoA)

Eine RADIUS-Funktion, die es dem Server ermöglicht, die aktive Sitzung eines Benutzers dynamisch zu ändern, z. B. durch Ändern des VLANs oder Trennen der Verbindung, ohne dass eine erneute Verbindung erforderlich ist.

Wird von Netzwerkadministratoren verwendet, um ein kompromittiertes Gerät sofort unter Quarantäne zu stellen oder neue Richtlinieneinschränkungen während der laufenden Sitzung anzuwenden.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern nutzt derzeit ein lokales Microsoft NPS für die WiFi-Authentifizierung der Mitarbeiter über PEAP. Während der Haupt-Check-in-Zeiten kommt es zu Authentifizierungs-Timeouts. Das Hotel möchte auf Cloud RADIUS mit EAP-TLS migrieren, um die Sicherheit und Zuverlässigkeit zu erhöhen. Wie sollte der IT-Leiter diese Migration konzipieren?

  1. Bereitstellen eines Cloud RADIUS-Mandanten und Integration in das Microsoft Entra ID des Hotels via SCIM für ein automatisiertes Benutzer-Lebenszyklusmanagement. 2. Konfigurieren der integrierten PKI von Cloud RADIUS für die Ausstellung von Client-Zertifikaten. 3. Nutzung des vorhandenen MDM (z. B. Intune), um die Root-CA, Client-Zertifikate und ein neues, für EAP-TLS konfiguriertes WiFi-Profil auf alle Mitarbeitergeräte zu übertragen. 4. Konfigurieren der Access Points des Hotels so, dass sie auf die primären und sekundären IPs von Cloud RADIUS verweisen, unter Verwendung eines neuen, komplexen, 32-stelligen Shared Secrets. 5. Paralleler Betrieb des alten NPS und des neuen Cloud RADIUS auf unterschiedlichen SSIDs für eine zweiwöchige Übergangszeit vor der Außerbetriebnahme der lokalen Server.
Kommentar des Prüfers: Dieser Ansatz minimiert das Risiko, indem während des Übergangs parallele SSIDs betrieben werden. Der Wechsel zu EAP-TLS eliminiert die mit PEAP verbundenen Risiken des Abgreifens von Anmeldedaten, und die Nutzung von MDM für die Bereitstellung von Zertifikaten sorgt für einen reibungslosen Ablauf für die Endbenutzer. Die SCIM-Integration garantiert, dass der Zugriff beim Ausscheiden von Mitarbeitern sofort entzogen wird.

Eine nationale Einzelhandelskette mit 500 Standorten muss die Compliance mit PCI-DSS für ihre Point-of-Sale (POS)-Terminals gewährleisten, die über WiFi verbunden sind. Sie migrieren zu Cloud RADIUS. Welche spezifischen Konfigurationen sind erforderlich, um die Compliance-Anforderungen zu erfüllen?

  1. Implementierung einer strikten Netzsegmentierung: POS-Terminals müssen sich an einer dedizierten, verborgenen SSID authentifizieren, die einem isolierten VLAN zugewiesen ist. 2. Erzwingen der EAP-TLS-Authentifizierung für alle POS-Geräte, um eine gegenseitige Authentifizierung sicherzustellen und zu verhindern, dass unbefugte Geräte dem POS-Netzwerk beitreten. 3. Konfigurieren des Cloud RADIUS-Dienstes so, dass alle Accounting-Protokolle (Access-Accept, Access-Reject, Verbindungsdauer) für mindestens ein Jahr aufbewahrt werden, wie von PCI-DSS vorgeschrieben. 4. Sicherstellen, dass die RADIUS Shared Secrets zwischen den Filial-APs und dem Cloud RADIUS-Dienst alle 90 Tage mithilfe eines automatisierten Skripts rotiert werden.
Kommentar des Prüfers: Diese Lösung adressiert direkt die PCI-DSS-Anforderungen für logische Segmentierung, starke Zugriffskontrolle und Auditierbarkeit. Sich auf MAC-Adressfilterung zu verlassen, reicht für die Compliance nicht aus; EAP-TLS bietet den erforderlichen kryptografischen Identitätsnachweis für Geräte. Die Aufbewahrung von Accounting-Protokollen in der Cloud vereinfacht den Audit-Prozess für den QSA.

Übungsfragen

Q1. Ihre Organisation migriert von einem lokalen Active Directory zu Google Workspace. Sie verwenden derzeit PEAP-MSCHAPv2 für die WiFi-Authentifizierung. Warum ist das ein Problem und was ist die empfohlene Lösung?

Hinweis: Überlegen Sie, wie PEAP Anmeldedaten mit dem Verzeichnisprotokoll abgleicht.

Musterlösung anzeigen

PEAP-MSCHAPv2 basiert auf dem NT-Hash des Passworts eines Benutzers, den Google Workspace nativ weder speichert noch offenlegt. Die empfohlene Lösung ist die Migration zu EAP-TLS über einen Cloud RADIUS-Anbieter mit integrierter PKI. Der Cloud RADIUS-Dienst kann Benutzeridentitäten aus Google Workspace über SAML/SCIM synchronisieren und Geräte mithilfe von Client-Zertifikaten anstelle von Passwörtern authentifizieren.

Q2. Eine Zweigstelle berichtet, dass bei Benutzern beim Verbinden mit dem WiFi-Netzwerk Verzögerungen von 30 Sekunden auftreten, gefolgt von einer erfolgreichen Verbindung. Die primäre Cloud RADIUS-IP in dieser Region wird derzeit gewartet. Welcher Konfigurationsfehler verursacht diese Verzögerung?

Hinweis: Achten Sie auf die Kommunikation zwischen dem NAS und den RADIUS-Servern.

Musterlösung anzeigen

Im NAS (Access Point oder Switch) ist der Timeout-Wert für den RADIUS-Server zu hoch konfiguriert (z. B. 30 Sekunden). Das Gerät wartet auf die Antwort des primären Servers, bevor es ein Failover auf den sekundären Server durchführt. Der Timeout-Wert sollte auf 3 - 5 Sekunden reduziert werden, um ein schnelles Failover zu gewährleisten, ohne das Benutzererlebnis zu beeinträchtigen.

Q3. Sie stellen Cloud RADIUS für ein Krankenhaus bereit. Das Sicherheitsteam schreibt vor, dass sich nur firmeneigene Geräte mit dem internen Netzwerk verbinden dürfen, selbst wenn ein Mitarbeiter einen gültigen Benutzernamen und ein Passwort kennt. Wie setzen Sie dies durch?

Hinweis: Welche EAP-Methode überprüft die Identität des Geräts und nicht nur das Wissen des Benutzers?

Musterlösung anzeigen

Implementieren Sie EAP-TLS. Konfigurieren Sie die MDM-Lösung des Krankenhauses so, dass ein eindeutiges Client-Zertifikat nur auf registrierte, firmeneigene Geräte übertragen wird. Konfigurieren Sie die Cloud RADIUS-Richtlinie so, dass jede Authentifizierungsanfrage abgelehnt wird, die kein gültiges, von der vertrauenswürdigen internen PKI signiertes Zertifikat vorweist. Dadurch werden BYOD- oder nicht autorisierte Geräte unabhängig vom Passwortwissen effektiv blockiert.

Weiterlesen in dieser Reihe

Die Sicherheitsvorteile von RADIUS as a Service für hybride Belegschaften

Dieser technische Leitfaden erklärt, wie RADIUS as a Service den Netzwerkzugriff für hybride Belegschaften an verteilten Standorten sichert. Er behandelt die Architektur, die Sicherheitsvorteile und die Bereitstellungsschritte für den Ersatz von On-Premises-RADIUS-Infrastrukturen durch einen cloudverwalteten Authentifizierungsdienst. Für IT-Manager und Netzwerkarchitekten in Hotels, Einzelhandelsketten, Stadien und Organisationen des öffentlichen Sektors liefert dieser Leitfaden die notwendigen Argumente, um eine Migration zu Cloud-RADIUS in diesem Quartal zu bewerten und umzusetzen.

Leitfaden lesen →

Integration von RADIUS as a Service mit Cloud-Verzeichnissen (Azure AD & Google Workspace)

Dieser technische Referenzleitfaden beschreibt detailliert, wie Sie RADIUS as a Service mit Cloud-Verzeichnissen – Microsoft Entra ID und Google Workspace – für die WiFi-Authentifizierung in Unternehmen integrieren. Er behandelt den architektonischen Wechsel von On-Premises-NPS zu Cloud-nativem RADIUS, die Bereitstellung der zertifikatsbasierten EAP-TLS-Authentifizierung sowie die bewährten Betriebsmethoden zur Absicherung des drahtlosen Zugangs in den Bereichen Gastgewerbe, Einzelhandel und im öffentlichen Sektor. Für IT-Manager und Netzwerkarchitekten, die bereits in Cloud-Identitäten investieren, schließt dieser Leitfaden die Lücke zwischen Verzeichnisverwaltung und physischer Netzwerksicherheit.

Leitfaden lesen →

So implementieren Sie die 802.1X-Authentifizierung mit Cloud RADIUS

Dieser technische Leitfaden bietet einen umfassenden Rahmen für die Implementierung der 802.1X-Authentifizierung mit Cloud RADIUS in verteilten Unternehmensstandorten. Er beschreibt detailliert die Architektur, die Auswahl der EAP-Methode, die Bereitstellungsreihenfolge und die Strategien zur Risikominderung, die zur Sicherung des Netzwerkzugriffs erforderlich sind, während gleichzeitig der betriebliche Aufwand für eine On-Premises-Infrastruktur entfällt.

Leitfaden lesen →