Was ist ein 802.1X-Supplicant? Client-Typen und Gerätekonfiguration

Dieser Leitfaden erklärt die Rolle des 802.1X-Supplicants bei der Enterprise-WiFi-Authentifizierung. Er behandelt die technische Architektur, vergleicht native OS-Supplicants mit Client-Software von Drittanbietern und bietet praktische Konfigurationsanleitungen für IT-Teams, die EAP-TLS und PEAP bereitstellen.

📖 5 Min. Lesezeit📝 1,091 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Sprechen Sie britisches Englisch mit einem selbstbewussten, maßgeblichen, konversationsorientierten Ton – wie ein leitender Netzwerksicherheitsberater, der einen Kunden informiert. Gemäßigtes Tempo, klare Aussprache, professionell, aber nicht steif. Gelegentliche natürliche Pausen zur Betonung:

Willkommen bei der Purple technischen Briefing-Reihe. Heute befassen wir uns mit etwas, das im Mittelpunkt der WiFi-Sicherheit für Unternehmen steht – dem 802.1X-Supplicant. Wenn Sie sich jemals gefragt haben, warum sich einige Geräte ohne Kennwortaufforderung mit Ihrem Unternehmensnetzwerk verbinden, während andere Zertifikatsfehler und Helpdesk-Tickets verursachen, ist dies die richtige Episode für Sie.

[medium pause]

Beginnen wir mit den Grundlagen. Der 802.1X-Supplicant ist die Softwarekomponente auf einem Client-Gerät – einem Laptop, einem Smartphone, einem Tablet –, die den Authentifizierungs-Handshake abwickelt, wenn dieses Gerät versucht, einem durch IEEE 802.1X geschützten Netzwerk beizutreten. Stellen Sie es sich wie den Ausweisvorzeiger des Geräts vor. Das Netzwerk lässt nicht einfach jeden hinein. Es verlangt nach Anmeldedaten. Der Supplicant ist derjenige, der vortritt und sagt: Das bin ich, hier ist mein Zertifikat, lass mich rein.

Der Standard selbst – IEEE 802.1X – definiert die portbasierte Netzwerkzugriffskontrolle. Bevor die Authentifizierung erfolgreich ist, lässt der Access Point oder Switch nur eine sehr eingeschränkte Art von Datenverkehr zu: EAPOL-Frames, was für Extensible Authentication Protocol over LAN steht. Alles andere wird blockiert. Sobald der Supplicant seine Identität über den Authentifikator gegenüber dem RADIUS-Server nachweist, öffnet sich der Port und der normale Datenverkehr fließt.

[medium pause]

Nun gibt es drei Akteure in diesem Spiel. Erstens den Supplicant – das Client-Gerät. Zweitens den Authentifikator – Ihren Access Point oder Switch, Hardware wie Cisco Meraki, HPE Aruba, Ruckus oder Juniper Mist. Drittens den Authentifizierungsserver – fast immer ein RADIUS-Server, der die Anmeldedaten mit einem Verzeichnis wie Microsoft Entra ID oder Okta abgleicht.

Der Supplicant initiiert den Prozess durch Senden einer EAPOL-Start-Nachricht. Der Authentifikator antwortet mit einer EAP-Anforderung (EAP-Request) nach der Identität. Der Supplicant antwortet mit seiner Identität. Diese Identität wird an den RADIUS-Server weitergeleitet, der den Supplicant dann mit der vereinbarten EAP-Methode herausfordert. Wenn alles in Ordnung ist, sendet der RADIUS-Server ein Access-Accept, der Port öffnet sich und das Gerät wird dem richtigen VLAN zugewiesen.

[medium pause]

Lassen Sie uns über EAP-Methoden sprechen, da hier die meisten Bereitstellungsentscheidungen getroffen werden.

EAP-TLS – Extensible Authentication Protocol mit Transport Layer Security – ist der Goldstandard. Es erfordert, dass sowohl der Client als auch der Server Zertifikate vorweisen. Gegenseitige Authentifizierung. Keine Passwörter. Das Client-Zertifikat beweist die Identität des Geräts; das Server-Zertifikat beweist, dass das Netzwerk legitim ist, was vor Evil-Twin-Angriffen schützt, bei denen ein gefälschter Access Point versucht, Anmeldedaten abzugreifen. EAP-TLS läuft in zwölf Schritten ab und nutzt durchgehend Public-Private-Key-Kryptographie. Es ist die Methode, die für WPA3-Enterprise im höchsten Sicherheitsmodus erforderlich ist und den NIST SP 800-171-Anforderungen für die Identitätsprüfung von Geräten entspricht.

PEAP – Protected EAP – ist der üblichere Ausgangspunkt für Organisationen, die noch keine vollständige PKI implementiert haben. PEAP verpackt eine passwortbasierte interne Methode, typischerweise MSCHAPv2, in einen TLS-Tunnel. Der Server präsentiert ein Zertifikat, der Client nicht. Das bedeutet, dass die Bereitstellung einfacher ist – Sie müssen keine Client-Zertifikate verteilen –, aber sie ist weniger sicher. MSCHAPv2 verwendet MD4-Hashing, das seit 1995 als kompromittiert gilt. Wenn sich ein Benutzer mit einem gefälschten Access Point verbindet, der ein vertrauenswürdig aussehendes Zertifikat präsentiert, können seine Anmeldedaten abgefangen werden. Die serverseitige Zertifikatsvalidierung auf der Client-Seite ist daher bei der Ausführung von PEAP nicht verhandelbar.

[medium pause]

Kommen wir nun zum Supplicant selbst – insbesondere zur Wahl zwischen nativen OS-Supplicants und Client-Software von Drittanbietern.

Jedes gängige Betriebssystem wird mit einem integrierten 802.1X-Supplicant ausgeliefert. Windows unterstützt dies seit XP nativ über die Dienste für automatische WLan-Konfiguration und automatische kabelgebundene Konfiguration. macOS und iOS verarbeiten 802.1X über ihre Netzwerkkonfigurationsprofile. Android unterstützt dies über das WiFi-Einstellungen-Panel. Diese nativen Supplicants decken EAP-TLS und PEAP-MSCHAPv2 auf allen aktuellen Plattformen ab.

Der Vorteil nativer Supplicants liegt auf der Hand: keine zusätzliche Software zu installieren, keine Lizenzkosten, automatische Sicherheitsupdates des Betriebssystems und eine enge Integration in den Zertifikatsspeicher des Betriebssystems. Für verwaltete Geräteflotten – in Microsoft Intune registrierte Windows-Geräte oder über Jamf verwaltete Macs – können Sie 802.1X-Konfigurationsprofile im Hintergrund über MDM bereitstellen, ohne dass die Benutzer jemals eine Aufforderung sehen. Das Gerät authentifiziert sich automatisch, sobald es in Reichweite ist.

Drittanbieter-Supplicants kommen in bestimmten Szenarien ins Spiel. Wenn Sie eine Cisco-Infrastruktur betreiben und EAP-FAST – die proprietäre EAP-Methode von Cisco – nutzen möchten, benötigen Sie die Client-Software von Cisco, in der Vergangenheit der Secure Services Client oder AnyConnect Network Access Manager. Wenn Sie ein konsistentes Konfigurationsmanagement über eine gemischte Betriebssystemumgebung hinweg benötigen und die Supplicant-Einstellungen sperren möchten, damit Benutzer sie nicht versehentlich falsch konfigurieren, bietet Ihnen ein Drittanbieter-Client diese Kontrolle. Tools wie die JoinNow-Suite von SecureW2 fungieren auch als Onboarding-Agenten – sie konfigurieren den nativen Supplicant, anstatt ihn zu ersetzen, und führen die Benutzer durch die Zertifikatsregistrierung und Profilinstallation.

[medium pause]

Lassen Sie mich Ihnen zwei praktische Szenarien vorstellen, um dies zu verdeutlichen.

Erstens: ein Hotel mit 400 Zimmern. Das Haus betreibt heute ein Personalnetzwerk auf Basis von WPA2-Enterprise mit PEAP-MSCHAPv2. Das IT-Team möchte auf EAP-TLS migrieren, um die passwortbasierte Authentifizierung abzuschaffen und das Risiko von Identitätsdiebstahl zu verringern. Die Herausforderung: Die Geräte der Mitarbeiter sind eine Mischung aus Windows-Laptops, die über Intune verwaltet werden, persönlichen Android-Telefonen, die für die Hotelmanagement-Software genutzt werden, und einer Handvoll veralteter Windows-7-Rechner im Back-Office.

Der Ansatz ist hier phasenweise. Beginnen Sie mit der verwalteten Windows-Flotte. Rollen Sie ein Intune-Konfigurationsprofil aus, das das Root-CA-Zertifikat des RADIUS-Servers installiert, das WiFi-Profil für EAP-TLS konfiguriert und die SCEP-basierte Zertifikatsregistrierung aus der internen PKI anstößt. Diese Geräte authentifizieren sich vom ersten Tag an automatisch. Für Android-BYOD-Geräte stellen Sie ein Self-Service-Onboarding-Portal bereit – Benutzer rufen eine URL auf, laden ein Konfigurationsprofil herunter, und der Supplicant wird für sie konfiguriert. Die alten Windows-7-Rechner verbleiben bei PEAP mit strenger Serverzertifikatsvalidierung, isoliert in einem separaten VLAN mit eingeschränktem Zugriff, bis sie außer Betrieb genommen werden.

[medium pause]

Zweites Szenario: eine große Einzelhandelskette mit 200 Filialen. Jede Filiale verfügt über eine Mischung aus Point-of-Sale-Terminals, Mitarbeiter-Tablets und einem Gäste-WiFi-Netzwerk. PCI DSS erfordert, dass Karteninhaber-Datenumgebungen von anderen Netzwerksegmenten isoliert sind. Der Einzelhändler nutzt 802.1X in den Mitarbeiter- und POS-Netzwerken, wobei die VLAN-Zuweisung durch Zertifikatsattribute gesteuert wird. Ein POS-Terminal legt ein Gerätezertifikat mit der Organisationseinheit "POS" vor – die RADIUS-Richtlinie weist es dem PCI-VLAN zu. Ein Mitarbeiter-Tablet legt ein Zertifikat mit "Staff" vor – es landet im Mitarbeiter-VLAN. Gäste-Geräte verbinden sich mit einer völlig separaten SSID, die über eine Captive Portal-Lösung verwaltet wird.

Die Supplicant-Konfiguration auf POS-Terminals ist über MDM gesperrt. Keine Benutzerinteraktion erforderlich. Die Terminals authentifizieren sich beim Booten geräuschlos. Die Zertifikatsverlängerung ist über SCEP automatisiert, sodass bei Ablauf der Zertifikate kein manuelles Eingreifen erforderlich ist.

[medium pause]

Nun zu den Fallstricken bei der Implementierung. Lassen Sie mich Ihnen die vier häufigsten nennen.

Nummer eins: Fehlende Validierung des Serverzertifikats bei PEAP-Bereitstellungen. Wenn Sie den Supplicant nicht so konfigurieren, dass er das Zertifikat des RADIUS-Servers validiert und den Servernamen überprüft, sind Benutzer anfällig für Verbindungen mit einem Rogue Access Point. Geben Sie im Supplicant-Profil immer die vertrauenswürdige Root-CA und den Servernamen an.

Nummer zwei: Zertifikatsablauf, der massenhafte Authentifizierungsfehler verursacht. Client-Zertifikate haben eine Gültigkeitsdauer. Wenn Sie keine automatisierte Erneuerung über SCEP oder NDES eingerichtet haben, stehen Sie vor einem abrupten Ausfall, bei dem sich hunderte von Geräten gleichzeitig nicht mehr authentifizieren können. Richten Sie vor dem Live-Gang eine Erneuerungsautomatisierung ein.

Nummer drei: BYOD-Geräte mit inkonsistentem Supplicant-Verhalten. Insbesondere Android weist eine fragmentierte 802.1X-Unterstützung über verschiedene Hersteller hinweg auf. Einige Versionen erfordern, dass der Benutzer das CA-Zertifikat manuell installiert, bevor das WiFi-Profil es akzeptiert. Ein Onboarding-Portal, das diesen Schritt übernimmt, reduziert das Support-Aufkommen erheblich.

Nummer vier: Windows 11-Funktionsupdates, die die Supplicant-Konfiguration beeinträchtigen. Microsoft hat das 802.1X-Verhalten in mehreren Windows 11-Updates geändert. Speziell das 24H2-Update führte Änderungen bei der Handhabung des EAP-TLS-Fallbacks durch den nativen Supplicant ein. Testen Sie Ihre Supplicant-Profile mit neuen OS-Versionen, bevor Sie diese in der Produktion ausrollen.

[medium pause]

Nun zu den Schnellfeuerfragen.

Können IoT-Geräte 802.1X unterstützen? Die meisten können es nicht. IoT-Geräten fehlt in der Regel ein Supplicant gänzlich. Der Fallback ist MAC Authentication Bypass – MAB – bei dem der RADIUS-Server das Gerät basierend auf seiner MAC-Adresse authentifiziert. MAC-Adressen können manipuliert werden, daher sollten MAB-Geräte immer in einem isolierten IoT-VLAN mit strengen Firewall-Regeln landen.

Benötige ich eine PKI, um 802.1X zu nutzen? Für PEAP nicht – Sie benötigen lediglich ein Serverzertifikat auf dem RADIUS-Server. Für EAP-TLS ja – Sie benötigen eine PKI, um Client-Zertifikate auszustellen. Cloud-basierte PKI-Dienste reduzieren den Infrastrukturaufwand erheblich.

Wie interagiert 802.1X mit der Netzwerkzugriffs-Plattform von Purple? Purple fungiert als Cloud-Overlay auf Ihrer bestehenden Hardware – Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist und anderen. Auf Staff-WiFi-Netzwerken integriert sich das SecurePass-Add-on von Purple in Ihren Identitätsanbieter – Microsoft Entra ID, Okta oder Google Workspace –, um die 802.1X-Authentifizierung zu erzwingen und VLAN-Richtlinien pro Benutzer anzuwenden, ohne dass eine lokale RADIUS-Infrastruktur erforderlich ist.

[medium pause]

Zusammenfassend lässt sich sagen: Der 802.1X-Supplicant ist der geräteseitige Agent, der die portbasierte Netzwerkzugriffskontrolle ermöglicht. Ihre Wahl der EAP-Methode – EAP-TLS für maximale Sicherheit, PEAP als Übergangsoption – bestimmt Ihre PKI-Anforderungen und Ihren Ansatz zur Supplicant-Konfiguration. Native OS-Supplicants decken die Mehrheit der Szenarien für verwaltete Geräte ab, wenn sie über ein MDM bereitgestellt werden. Drittanbieter-Clients bieten in bestimmten Fällen einen Mehrwert: proprietäre EAP-Methoden, gemischte OS-Umgebungen, die eine konsistente Konfiguration erfordern, oder das Self-Service-BYOD-Onboarding.

Die drei wichtigsten Erkenntnisse: Validieren Sie Ihr RADIUS-Serverzertifikat auf jedem Supplicant-Profil, automatisieren Sie die Zertifikatserneuerung, bevor Sie EAP-TLS flächendeckend bereitstellen, und isolieren Sie Geräte, die 802.1X nicht unterstützen – IoT, Legacy-Hardware – in dedizierten VLANs mit MAC Authentication Bypass als Fallback.

Weitere Informationen darüber, wie Purple sich in Ihre Netzwerkzugriffsarchitektur integriert, finden Sie auf purple.ai. Vielen Dank fürs Zuhören.

Wichtigste Erkenntnisse

✓Der 802.1X-Supplicant ist die Software auf einem Client-Gerät, die die Netzwerkauthentifizierung handhabt.
✓EAP-TLS bietet maximale Sicherheit, da sowohl Client- als auch Serverzertifikate erforderlich sind.
✓PEAP vereinfacht die Bereitstellung, da nur ein Serverzertifikat erforderlich ist, setzt jedoch eine strikte Supplicant-Konfiguration voraus, um den Diebstahl von Anmeldedaten zu verhindern.
✓Native Betriebssystem-Supplicants sind für die meisten verwalteten Umgebungen ausreichend, wenn sie über MDM bereitgestellt werden.
✓Client-Software von Drittanbietern ist nützlich für das BYOD-Onboarding oder zur Durchsetzung proprietärer Protokolle.
✓Konfigurieren Sie den Supplicant immer so, dass er das Zertifikat des RADIUS-Servers validiert, um Evil-Twin-Angriffe zu verhindern.
✓Automatisieren Sie die Erneuerung von Client-Zertifikaten, um massenhafte Authentifizierungsfehler zu vermeiden.

执行摘要

当设备连接到企业网络时，802.1X 客户端 (Supplicant) 是负责证明其身份的软件组件。对于大型场馆的 IT 经理和网络架构师而言，了解客户端的工作原理对于在不产生服务台工单的情况下确保网络访问安全至关重要。本指南将揭秘 IEEE 802.1X 认证中的设备端代理，对比原生操作系统功能与第三方客户端软件。我们将研究如何为 EAP-TLS 和 PEAP-MSCHAPv2 配置客户端，探讨酒店和零售行业的实际部署场景，并详细介绍正确的客户端配置如何与基于身份的网络（Identity-Based Networks）集成以优化访问。无论您是管理 200 间客房的酒店，还是管理拥有 80,000 多个座位的活动场馆，正确配置客户端都是构建安全、可靠 WiFi 的基石。

技术深挖

IEEE 802.1X 标准定义了基于端口的网络访问控制。它基于一个简单的原则：在设备证明其身份之前，阻断网络边缘的所有流量。客户端是此过程中的客户端参与者。

802.1X 的三个组成部分

认证需要三个不同的实体：

客户端 (Supplicant)：请求网络访问的客户端设备（笔记本电脑、智能手机或平板电脑）。
认证器 (Authenticator)：网络访问设备，例如 Cisco Meraki、HPE Aruba、Ruckus 或 Juniper Mist 接入点。
认证服务器 (Authentication Server)：根据 Microsoft Entra ID 或 Okta 等身份提供商验证凭据的 RADIUS 服务器。

在认证之前，认证器的端口处于未授权状态，仅允许局域网上的可扩展身份验证协议 (EAPOL) 流量。客户端通过 EAPOL-Start 帧发起该过程。认证器请求身份，客户端进行响应。该身份将被转发到 RADIUS 服务器，由其决定要使用的 EAP 方法。验证成功后，RADIUS 服务器会发送 Access-Accept 消息，端口转换为授权状态，设备通常会被分配到特定的 VLAN。

EAP 方法：客户端的语言

客户端和 RADIUS 服务器必须就可扩展身份验证协议 (EAP) 方法达成一致。EAP 方法的选择决定了安全状况以及客户端的配置负担。

EAP-TLS（传输层安全协议） EAP-TLS 需要使用数字证书进行双向身份验证。客户端（Supplicant）提供客户端证书以证明其身份，RADIUS 服务器提供服务器证书以证明网络的合法性。这种无密码方法消除了凭据窃取，并且是 NIST SP 800-171 等严格安全框架所要求的。客户端必须配置为信任颁发证书颁发机构 (CA) 并拥有有效的客户端证书。

PEAP (Protected EAP) 在无法使用完整公钥基础设施 (PKI) 的情况下，PEAP 被广泛使用。它在 TLS 隧道内封装了一个内部身份验证方法（通常是 MSCHAPv2）。RADIUS 服务器提供证书，但客户端只需提供用户名和密码。虽然 PEAP 更易于部署，但如果未严格配置客户端来验证服务器证书，它很容易受到凭据收集攻击。

实施指南

在部署 802.1X 时，IT 团队必须在选择使用操作系统内置的原生客户端，还是部署第三方客户端软件之间做出决定。

原生系统客户端

每个现代操作系统都包含一个原生的 802.1X 客户端。Windows 使用有线自动配置 (Wired AutoConfig) 和无线自动配置 (WLAN AutoConfig) 服务。Apple 设备使用网络配置文件。Android 将其集成在 WiFi 设置中。

原生客户端是托管设备群的理想选择。使用 Microsoft Intune 或 Jamf 等移动设备管理 (MDM) 平台，IT 管理员可以静默推送配置文件，这些文件通过 SCEP 定义了 SSID、EAP 方法、受信任的根 CA 以及证书注册过程。用户体验是无缝的；设备在后台进行身份验证。

第三方客户端软件

在特定场景下，需要使用第三方客户端，例如 Cisco AnyConnect 网络访问管理器或 SecureW2 JoinNow：

专有协议：使用 Cisco EAP-FAST 需要 Cisco 客户端。
BYOD 准入：第三方工具通常充当准入助手，引导用户在原生配置较为复杂的非托管设备上安装证书（特别是在碎片化的 Android 环境中）。
严格的配置控制：第三方客户端可以锁定设置，防止用户禁用服务器证书验证。

配置服务器证书验证

无论选择哪种客户端，配置服务器证书验证都至关重要，特别是对于 PEAP。如果客户端不验证 RADIUS 服务器的证书，它会毫无防备地将凭据发送给模仿您 SSID 的恶意接入点。

在 Windows 中，这意味着勾选 PEAP 属性中的“验证服务器证书”、选择受信任的根证书颁发机构（Root CA），并指定客户端应期望的确切服务器名称。在 Apple 设备上，配置文件必须明确列出受信任的证书。

最佳实践

强制服务器验证：部署 PEAP 时，切勿在未配置客户端验证 RADIUS 服务器证书的情况下进行。这是防御“邪恶双胞胎”（evil twin）攻击的首要防线。
自动化证书生命周期：使用 EAP-TLS 时，应通过 MDM 使用 SCEP 或 NDES 自动执行客户端证书的注册和更新。手动证书管理难以扩展，且会导致突发性的身份验证失败。
按身份进行隔离：使用 RADIUS 属性根据验证的身份分配 VLAN。员工设备和 POS 终端应验证到同一个 SSID，但最终落在不同的 VLAN 上。
为物联网（IoT）做好规划：大多数 IoT 设备缺乏 802.1X 客户端。对于这些设备，请使用 MAC 地址绕过认证（MAB），但必须将其严格隔离在专用的 IoT VLAN 上。

故障排查与风险缓解

当设备无法连接时，问题几乎总是出在客户端配置或证书链上。

“已连接，无互联网”：这通常表明 VLAN 分配失败或身份验证后出现 DHCP 问题。请检查 RADIUS 日志以确认 Access-Accept 消息中是否包含了正确的 Tunnel-Private-Group-Id。
Windows 11 上的静默失败：最近的 Windows 11 功能更新（如 24H2）改变了原生客户端处理 EAP-TLS 回退的方式。在广泛部署之前，请务必针对新的操作系统版本测试配置文件。
证书过期：如果一批设备突然掉网，请检查客户端证书的有效期。确保您的 MDM 在证书过期之前成功对其进行了更新。

投资回报率（ROI）与业务影响

迁移到配置了正确客户端的 802.1X 可以带来可衡量的业务价值。通过消除共享密码（预共享密钥/PSK），您可以彻底免除在员工离职时轮换密码的操作开销。转向 EAP-TLS 可以完全消除密码重置工单，从而为服务台释放大量的生产力时间。

此外，802.1X 允许在单个 SSID 上实现基于身份的网络隔离。无需为 Guest WiFi 、员工和运营广播独立的网络，单个 SSID 即可根据客户端的凭据安全地路由流量。这减少了信道干扰并提高了整体网络性能，直接支持了 Purple 的云端覆盖方法来进行与硬件无关的网络管理。如需更深入地了解分析，请探索我们的 WiFi Analytics 功能。

Schlüsseldefinitionen

802.1X-Supplicant

Die Softwarekomponente auf einem Client-Gerät, die den Authentifizierungsprozess für den Beitritt zu einem durch IEEE 802.1X geschützten Netzwerk abwickelt.

IT-Teams konfigurieren den Supplicant, um zu definieren, wie ein Gerät seine Identität gegenüber dem Netzwerk nachweist.

Authenticator

Das Netzwerkgerät (Switch oder Access Point), das den Datenverkehr blockiert, bis sich der Supplicant erfolgreich authentifiziert hat.

Hardware von Herstellern wie Cisco Meraki oder HPE Aruba fungiert als Authenticator und leitet Nachrichten zwischen dem Gerät und dem Server weiter.

RADIUS

Remote Authentication Dial-In User Service. Der Server, der die vom Supplicant bereitgestellten Zugangsdaten überprüft.

Der RADIUS-Server gleicht die Identität mit Verzeichnissen wie Okta oder Microsoft Entra ID ab, bevor er Zugriff gewährt.

EAP-TLS

Extensible Authentication Protocol mit Transport Layer Security. Eine Authentifizierungsmethode, die digitale Zertifikate sowohl auf Client- als auch auf Server-Seite erfordert.

Gilt als die sicherste Methode für Unternehmensnetzwerke, da sie Passwörter überflüssig macht.

PEAP

Protected Extensible Authentication Protocol. Eine Authentifizierungsmethode, die einen sicheren TLS-Tunnel aufbaut, um die passwortbasierte Authentifizierung zu schützen.

Häufig in BYOD-Umgebungen eingesetzt, in denen die Bereitstellung von Client-Zertifikaten auf unverwalteten Geräten zu komplex ist.

EAPOL

Extensible Authentication Protocol over LAN. Das Protokoll, das zur Kapselung von EAP-Nachrichten zwischen dem Supplicant und dem Authenticator verwendet wird.

Vor der Authentifizierung ist EAPOL der einzige Datenverkehrstyp, den der Authenticator über den Port zulässt.

MAC Authentication Bypass (MAB)

Eine Fallback-Authentifizierungsmethode, bei der das Netzwerk die MAC-Adresse des Geräts als dessen Identität verwendet.

Wird für Drucker, Kameras und IoT-Geräte verwendet, die keinen 802.1X-Supplicant besitzen.

VLAN Assignment

Der Prozess der dynamischen Zuweisung eines authentifizierten Geräts zu einem bestimmten virtuellen Netzwerksegment.

Der RADIUS-Server teilt dem Authenticator mit, welches VLAN basierend auf der Identität des Supplicants zugewiesen werden soll.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern muss sein Mitarbeiternetzwerk absichern. Derzeit wird WPA2-Personal mit einem gemeinsamen Passwort verwendet; nun soll auf 802.1X umgestellt werden. Die Mitarbeiter nutzen eine Mischung aus firmeneigenen Windows-Laptops und privaten Android-Telefonen für die Schichtplanung. Wie sollten die Supplicants konfiguriert werden?

Das Hotel sollte einen hybriden Ansatz wählen. Für die firmeneigenen Windows-Laptops sollte der native Windows-Supplicant verwendet werden, der über Microsoft Intune konfiguriert wird. Das MDM-Profil sollte die EAP-TLS-Einstellungen übertragen, die Root-CA installieren und die Client-Zertifikatsregistrierung über SCEP automatisieren. Für die privaten Android-Telefone sollte ein Onboarding-Agent eines Drittanbieters (wie SecureW2) über ein Self-Service-Portal bereitgestellt werden. Der Mitarbeiter meldet sich mit seinen Microsoft Entra ID-Zugangsdaten im Portal an, und der Agent konfiguriert automatisch den nativen Android-Supplicant für PEAP-MSCHAPv2, wodurch sichergestellt wird, dass die Serverzertifikatsvalidierung fest verankert ist.

Kommentar des Prüfers: Dieser Ansatz verbindet Sicherheit mit betrieblicher Realität. EAP-TLS wird dort erzwungen, wo eine MDM-Steuerung vorhanden ist, was maximale Sicherheit bietet. PEAP wird für BYOD verwendet, wo die Verteilung von Client-Zertifikaten komplex ist, aber der Onboarding-Agent stellt sicher, dass der Supplicant sicher konfiguriert ist, was das Risiko von Rogue Access Points minimiert.

Eine große Einzelhandelskette mit 50 Filialen führt neue mobile POS-Tablets (Point-of-Sale) ein. PCI DSS erfordert eine strikte Netzwerktrennung. Wie sollte die Supplicant-Konfiguration die Compliance sicherstellen?

Die Tablets sollten über ein MDM verwaltet werden. Das MDM überträgt ein Konfigurationsprofil für den nativen Supplicant, das EAP-TLS erzwingt. Jedes Tablet erhält ein eindeutiges Client-Zertifikat mit einem Attribut, das es als POS-Gerät identifiziert. Wenn sich der Supplicant des Tablets authentifiziert, liest der RADIUS-Server dieses Attribut aus und weist ein VLAN speziell für das PCI-konforme Netzwerksegment zu. Die Supplicant-Konfiguration muss gesperrt werden, damit das Filialpersonal die Netzwerkeinstellungen nicht ändern kann.

Kommentar des Prüfers: Die Verwendung von EAP-TLS mit zertifikatsbasierter VLAN-Zuweisung ist die Standardmethode zur Erreichung der PCI-Compliance in drahtlosen Netzwerken. Sie schließt menschliche Fehler bei der Netzsegmentierung aus und stellt sicher, dass das Gerät nicht versehentlich mit dem weniger sicheren Mitarbeiter- oder [Retail](/industries/retail)-Gästenetzwerk verbunden werden kann.

Übungsfragen

Q1. Ihre Organisation stellt PEAP-MSCHAPv2 für ein neues Mitarbeiter-BYOD-Netzwerk bereit. Während der Tests stellen Sie fest, dass sich Geräte mit einem Test-Access-Point verbinden können, der dieselbe SSID ausstrahlt, obwohl er nicht mit Ihrem RADIUS-Server verbunden ist. Welcher Konfigurationsschritt für den Supplicant wurde vergessen?

Hinweis: Überlegen Sie, wie der Supplicant die Identität des Netzwerks überprüft, bevor er die MSCHAPv2-Anmeldedaten sendet.

Musterlösung anzeigen

Der Supplicant wurde nicht so konfiguriert, dass er das Serverzertifikat validiert. Bei PEAP muss der Supplicant explizit so konfiguriert werden, dass er der spezifischen Root-CA vertraut, die das Zertifikat des RADIUS-Servers ausgestellt hat, und dass er den Domänennamen des Servers überprüft. Ohne dies baut der Supplicant einen TLS-Tunnel mit jedem Server auf, der ein Zertifikat vorlegt, was die Anmeldedaten des Benutzers einem Rogue Access Point aussetzt.

Q2. Eine Universität migriert ihre verwaltete Windows-Laptop-Flotte von PEAP zu EAP-TLS. Sie verteilt das neue Konfigurationsprofil über ein MDM, aber bei allen Geräten schlägt die Authentifizierung fehl. Die RADIUS-Protokolle zeigen "EAP-TLS failed SSL/TLS handshake". Was ist die wahrscheinlichste Ursache?

Hinweis: EAP-TLS erfordert eine gegenseitige Authentifizierung. Was benötigt der Client, das er für PEAP nicht brauchte?

Musterlösung anzeigen

Den Client-Geräten fehlt ein gültiges Client-Zertifikat. EAP-TLS erfordert, dass der Supplicant dem RADIUS-Server ein Zertifikat vorlegt. Das MDM-Profil muss nicht nur so konfiguriert sein, dass es die EAP-Methode auf TLS festlegt, sondern auch ein Protokoll wie SCEP auslöst, um ein Client-Zertifikat von der PKI der Organisation anzufordern und zu installieren, bevor eine Authentifizierung versucht wird.

Q3. Sie müssen 50 Smart-TVs in einer [Healthcare](/industries/healthcare)-Umgebung mit dem Netzwerk verbinden. Die TVs unterstützen nur WPA2-Personal (Pre-Shared Key) und haben keinen 802.1X-Supplicant. Wie sichern Sie deren Zugriff, während Sie gleichzeitig 802.1X für Mitarbeitergeräte beibehalten?

Hinweis: Wenn das Gerät kein EAP spricht, muss der Authenticator es auf andere Weise identifizieren.

Musterlösung anzeigen

Sie sollten MAC Authentication Bypass (MAB) verwenden. Der Authenticator verwendet die MAC-Adresse des Smart-TVs als Benutzernamen und Passwort, die an den RADIUS-Server gesendet werden. Da MAC-Adressen gefälscht werden können, muss der RADIUS-Server so konfiguriert sein, dass er diese Geräte einem stark eingeschränkten, isolierten IoT-VLAN zuweist, das nur den absolut notwendigen Datenverkehr zulässt.

Weiterlesen in dieser Reihe

Server RADIUS: Ein umfassender Leitfaden für Unternehmen

Dieser Leitfaden bietet IT-Managern, Netzwerkarchitekten und CTOs eine definitive technische Referenz zur Server RADIUS-Authentifizierung für Enterprise-WiFi. Er behandelt das AAA-Framework, die 802.1X-Architektur, die Auswahl von EAP-Methoden, die Abwägung zwischen Cloud- und On-Premises-Bereitstellung sowie die dynamische VLAN-Zuweisung. Betreiber von Standorten in den Bereichen Hotellerie, Einzelhandel, Events und im öffentlichen Sektor finden hier praktische Implementierungsanleitungen, Fallstudien aus der Praxis und die Entscheidungsrahmen, die für die Migration von unsicheren Pre-Shared Keys zu einer sicheren, identitätsbasierten Netzwerkzugriffskontrollarchitektur erforderlich sind.

Aruba ClearPass vs. Purple WiFi: Vergleich der Funktionen und Co-Deployment

Ein umfassender technischer Leitfaden, der die Co-Deployment-Architektur von Aruba ClearPass und Purple WiFi beschreibt. Er behandelt die RADIUS-Proxy-Konfiguration, die dynamische VLAN-Zuweisung und Best Practices für die Bereitstellung sicherer, analysegestützter Gastnetzwerke neben dem Enterprise-NAC.

Cisco ISE vs. Purple WiFi: Vergleich und Zusammenspiel

Dieser Leitfaden erklärt, wie Cisco ISE und Purple WiFi unterschiedliche, aber komplementäre Rollen in Unternehmensnetzwerken einnehmen. Er beschreibt detailliert, wie Cisco ISE für den sicheren 802.1X-Unternehmenszugang genutzt wird, während Purple für DSGVO-konformes Gäste-WiFi, Marketing-Analysen und CRM-Integration eingesetzt wird.