Zum Hauptinhalt springen

Wie Sie eine 802.1X-Authentifizierung mit Cloud RADIUS implementieren

Dieser technische Leitfaden bietet einen umfassenden Rahmen für die Implementierung der 802.1X-Authentifizierung mit Cloud RADIUS in verteilten Unternehmensstandorten. Er beschreibt die Architektur, die Auswahl der EAP-Methode, die Bereitstellungssequenzierung und die Strategien zur Risikominderung, die erforderlich sind, um den Netzwerkzugriff zu sichern und gleichzeitig den operativen Aufwand für eine On-Premises-Infrastruktur zu eliminieren.

📖 5 Min. Lesezeit📝 1,189 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
So implementieren Sie 802.1X Authentifizierung mit Cloud RADIUS Ein Purple WiFi Intelligence Briefing --- EINFÜHRUNG UND KONTEXT (ca. 1 Minute) --- Willkommen beim Purple WiFi Intelligence Briefing. Ich bin Ihr Moderator, und heute befassen wir uns ausführlich mit der 802.1X Authentifizierung mit Cloud RADIUS - was sie ist, warum sie genau jetzt wichtig ist und wie man sie tatsächlich über ein standortübergreifendes Netzwerk bereitstellt. Wenn Sie die WiFi Infrastruktur für eine Hotelgruppe, eine Einzelhandelskette, ein Stadion oder eine Organisation des öffentlichen Sektors verwalten, ist dies eines der Themen, die immer wieder zur Sprache kommen - und das aus gutem Grund. Die Bedrohungslandschaft hat sich verändert. Gemeinsam genutzte PSK-Netzwerke werden zunehmend als Compliance-Risiko und nicht nur als Sicherheitsunbequemlichkeit angesehen. Regulierungsbehörden, Auditoren und Cyber-Versicherer stellen immer anspruchsvollere Fragen zur Netzwerkzugriffskontrolle. Und die gute Nachricht ist, dass Cloud-basiertes RADIUS die 802.1X Bereitstellung auf Unternehmensebene wirklich skalierbar gemacht hat, und zwar ohne den Aufwand für eine On-Premises-Infrastruktur, der dies früher für verteilte Standorte unpraktisch machte. Lassen Sie uns also direkt einsteigen. --- TECHNISCHE TIEFENANALYSE (ca. 5 Minuten) --- Zunächst sollten wir sicherstellen, dass wir alle von derselben Definition ausgehen. IEEE 802.1X ist ein portbasierter Standard zur Netzwerkzugriffskontrolle. Er definiert ein Authentifizierungs-Framework, das auf Layer 2 des OSI-Modells angesiedelt ist - er greift also noch bevor einem Gerät überhaupt eine IP-Konnektivität gewährt wird. Das ist der entscheidende Unterschied zur Authentifizierung auf Anwendungsebene. Mit 802.1X kann ein Gerät nicht auf das Netzwerk zugreifen, bevor es erfolgreich authentifiziert wurde. Das Protokoll besteht aus drei Komponenten. Der Supplicant - das ist das Endgerät, egal ob Laptop, Smartphone oder Kassenterminal. Der Authenticator - in der Regel Ihr WiFi Access Point oder Ihr Managed Switch. Und der Authentifizierungsserver - was bei modernen Bereitstellungen Ihr Cloud RADIUS Service ist. Der Ablauf sieht wie folgt aus. Ein Gerät versucht, sich mit einem Access Point zu verbinden. Der Access Point gewährt nicht sofort vollen Netzwerkzugriff. Stattdessen öffnet er einen kontrollierten Port und initiiert einen EAP-Austausch - das steht für Extensible Authentication Protocol - mit dem Gerät. Das Gerät präsentiert seine Anmeldedaten, was ein Benutzername und Passwort, ein digitales Zertifikat oder eine SIM-basierte Identität sein kann. Der Access Point leitet diesen Austausch über das RADIUS Protokoll via UDP an den RADIUS Server weiter, in der Regel auf Port 1812 für die Authentifizierung und 1813 für das Accounting. Der RADIUS Server gleicht die Anmeldedaten mit einem Identitätsspeicher ab - Active Directory, Azure AD oder einem LDAP-Verzeichnis - und gibt entweder eine Access-Accept- oder eine Access-Reject-Meldung zurück. Bei Akzeptanz öffnet der Access Point den Port und das Gerät erhält Netzwerkzugriff. Bei Ablehnung bleibt es blockiert. Vom Prinzip her einfach, aber die Details der Implementierung sind enorm wichtig. Die Wahl der EAP-Methode ist nun der Punkt, an dem viele Bereitstellungen scheitern. Es gibt verschiedene EAP-Methoden, die im Einsatz sind, und sie weisen sehr unterschiedliche Sicherheitsprofile und betriebliche Anforderungen auf. EAP-TLS ist der Goldstandard. Es erfordert eine gegenseitige Zertifikatsauthentifizierung - sowohl der Server als auch der Client weisen ein Zertifikat vor. Dies eliminiert das Risiko von Diebstahl von Anmeldedaten vollständig, da es keine Passwörter zu stehlen gibt. Es erfordert jedoch eine PKI-Infrastruktur und einen Mechanismus zum Push von Client-Zertifikaten auf die Geräte, was in der Regel eine MDM-Lösung voraussetzt. Für BYOD-Umgebungen in Unternehmen und Bereitstellungen mit hohen Sicherheitsanforderungen ist dies die richtige Lösung. PEAP mit MSCHAPv2 ist die am weitesten verbreitete Methode in Unternehmensumgebungen. Sie erfordert nur ein serverseitiges Zertifikat und tunnelt den Austausch von Anmeldedaten innerhalb von TLS. Sie ist nativ mit Active Directory kompatibel, was sie betrieblich unkompliziert macht. Das Risiko besteht darin, dass sie anfällig für das Abfangen von Anmeldedaten ist, wenn sich Benutzer mit einem gefälschten Access Point mit einem selbstsignierten Zertifikat verbinden - daher ist die Zertifikatsvalidierung auf der Client-Seite unverzichtbar. EAP-TTLS ist ähnlich wie PEAP, aber flexibler bei der inneren Authentifizierungsmethode. Es ist besonders nützlich in Umgebungen mit gemischten Geräten, in denen Sie eine Kombination aus Windows, macOS, iOS und Android Geräten mit unterschiedlichen Supplicant-Funktionen haben. Für die Unterstützung von Altsystemen - wie ältere Point-of-Sale-Hardware oder IoT-Sensoren - kann EAP-FAST eine pragmatische Wahl sein, da es keine Zertifikate erfordert und stattdessen ein Protected Access Credential verwendet. Nun zum Thema Cloud RADIUS. Traditionell war RADIUS ein Service vor Ort - FreeRADIUS auf einem Linux-Server oder Microsoft NPS auf Windows Server. Dieses Modell funktioniert, hat aber reale Betriebskosten: Hardware-Wartung, Hochverfügbarkeitskonfiguration, Patching und die Notwendigkeit einer lokalen Infrastruktur an jedem Standort, der eine Authentifizierung mit geringer Latenz erfordert. Cloud RADIUS verändert diese Kalkulation erheblich. Ein Cloud RADIUS Service wird vom Anbieter gehostet und verwaltet. Ihre Access Points senden RADIUS Anfragen über das Internet an den Cloud-Dienst, der die Authentifizierung gegenüber Ihrem Identitätsanbieter übernimmt. Die Sorge bezüglich der Latenz ist real, aber handhabbar - moderne Cloud RADIUS Services sind global verteilt, und die Authentifizierungs-Roundtrips dauern in der Regel weniger als 100 Millisekunden, was für Endbenutzer nicht wahrnehmbar ist. Die Integration mit Identitätsanbietern ist die kritische Abhängigkeit. Die meisten Cloud RADIUS Plattformen unterstützen LDAP, LDAPS, SAML 2.0 sowie die direkte Integration von Azure AD oder Okta. Für Organisationen, die bereits Microsoft 365 nutzen, ist die Azure AD Integration der natürliche Weg - Sie erhalten Single Sign-On, Richtlinien für bedingten Zugriff und MFA-Erzwingung, die alle in Ihre Netzwerk-Zugriffskontrollschicht einfließen. Für Standorte, die Gast-WiFi parallel zu Mitarbeiter-Netzwerken bereitstellen, trennt die Architektur diese in der Regel in unterschiedliche SSIDs mit verschiedenen Authentifizierungsrichtlinien. Mitarbeiter-Netzwerke nutzen 802.1X mit Unternehmens-Anmeldedaten. Gast-Netzwerke verwenden ein Captive Portal oder einen Social-Login-Flow. Die Plattform von Purple unterstützt beide Modelle, und die WiFi-Analyseschicht erstreckt sich über beide, sodass Sie Einblick in das Geräteverhalten, die Verweildauer und die Netzwerkauslastung erhalten, ohne die Sicherheitssegmentierung zu gefährden. - EMPFEHLUNGEN FÜR DIE IMPLEMENTIERUNG UND FALLSTRICKE (ca. 2 Minuten) - Lassen Sie mich Ihnen die praktische Bereitstellungsreihenfolge erläutern und auf die am häufigsten auftretenden Fehler hinweisen. Beginnen Sie mit der Integration Ihres Identity Providers. Bevor Sie auch nur einen einzigen Access Point berühren, stellen Sie sicher, dass Ihr Cloud-RADIUS-Dienst die Authentifizierung gegenüber Ihrem Verzeichnis durchführen kann. Testen Sie dies mit einem Dienstkonto, validieren Sie den LDAP-Bind und bestätigen Sie, dass die Gruppenmitgliedschaftsattribute korrekt zurückgegeben werden - denn diese benötigen Sie für die VLAN-Zuweisungsrichtlinien. Zweitens: Planen Sie Ihre Zertifikatsstrategie. Wenn Sie sich für EAP-TLS entscheiden, benötigen Sie eine CA. Sie müssen entscheiden, ob Sie eine öffentliche oder eine interne CA verwenden, und Sie benötigen einen MDM-Rollout-Plan für Client-Zertifikate. Wenn Sie sich für PEAP entscheiden, benötigen Sie ein Serverzertifikat von einer vertrauenswürdigen CA - kein selbstsigniertes - und Sie müssen das CA-Zertifikat an alle Client-Geräte verteilen, damit die Zertifikatsprüfung korrekt funktioniert. Dies ist der Schritt, der oft übersprungen wird und zu Sicherheitsvorfällen führt. Drittens: Konfigurieren Sie Ihre RADIUS-Clients - also Ihre Access Points und Controller - mit dem korrekten Shared Secret und der Server-IP oder dem Hostnamen. Verwenden Sie ein starkes, zufällig generiertes Shared Secret und kein Wort aus dem Wörterbuch. Und wenn Ihr Cloud-RADIUS-Anbieter RADIUS über TLS (RadSec) unterstützt, nutzen Sie es. Es verschlüsselt den RADIUS-Verkehr bei der Übertragung, was besonders wichtig ist, wenn dieser Verkehr über das öffentliche Internet läuft. Viertens: Testen Sie vor der vollständigen Einführung mit einer Pilotgruppe. Authentifizierungsfehler im großen Stil sind störend und unter Druck schwer zu diagnostizieren. Führen Sie einen Pilotversuch mit zehn bis zwanzig Geräten durch, validieren Sie die Authentifizierungsprotokolle, bestätigen Sie, dass die VLAN-Zuweisung funktioniert, und überprüfen Sie, ob die Accounting-Datensätze korrekt geschrieben werden. Die Fehler, die ich am häufigsten sehe: Deaktivierte Zertifikatsprüfung auf den Clients, was zu Man-in-the-Middle-Schachstellen führt. Zu kurze oder standortübergreifend wiederverwendete Shared Secrets. Nicht konfigurierte IP-Whitelists auf dem RADIUS-Server, sodass Authentifizierungsanfragen von neuen Standorten unbemerkt verworfen werden. Und MDM-Profile, die bei Ablauf von Zertifikaten nicht aktualisiert werden, was am Tag der Verlängerung zu massenhaften Authentifizierungsfehlern führt. - SCHNELLE FRAGEN & ANTWORTEN (ca. 1 Minute) - Einige Fragen, die mir regelmäßig gestellt werden. Kann ich 802.1X in einem Netzwerk betreiben, das auch IoT-Geräte enthält, die kein EAP unterstützen? Ja - nutzen Sie den MAC Authentication Bypass als Fallback für Geräte, die keinen Supplicant ausführen können, aber verschieben Sie diese Geräte in ein eingeschränktes VLAN mit strengen Firewall-Regeln. Ersetzt 802.1X die WPA2- oder WPA3-Verschlüsselung? Nein - 802.1X übernimmt die Authentifizierung. WPA2-Enterprise oder WPA3-Enterprise übernimmt die Verschlüsselung. Sie benötigen beides. WPA3-Enterprise mit 802.1X ist die aktuelle Best Practice für neue Implementierungen. Wie wirkt sich das auf die Latenzzeit bei der Authentifizierung aus? Bei einem gut konfigurierten Cloud-RADIUS-Dienst ist mit 50 bis 150 Millisekunden pro Authentifizierung zu rechnen. Bei Roaming-Szenarien kann der schnelle BSS-Übergang nach 802.11r den Re-Authentifizierungs-Overhead erheblich reduzieren. Ist dies PCI-DSS-konform? 802.1X mit EAP-TLS oder PEAP in einem ordnungsgemäß segmentierten Netzwerk erfüllt die PCI-DSS-Anforderung 1 und Anforderung 8 für die Netzwerkzugriffskontrolle. Beziehen Sie Ihren QSA frühzeitig ein. --- ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE (ca. 1 Minute) --- Zusammenfassend lässt sich sagen: 802.1X mit Cloud-RADIUS ist die richtige Lösung für jedes Unternehmen, das Auditoren gegenüber eine Netzwerkzugriffskontrolle nachweisen, den Schadensradius bei der Kompromittierung von Anmeldedaten verringern oder die Authentifizierung in einer verteilten Umgebung zentral verwalten muss. Die Bereitstellung ist nicht trivial, aber mit der richtigen Vorbereitung absolut machbar. Bringen Sie zuerst die Integration Ihres Identity Providers in Ordnung. Wählen Sie Ihre EAP-Methode basierend auf Ihrem Gerätebestand und Ihren betrieblichen Kapazitäten zur Verwaltung von Zertifikaten. Verwenden Sie RadSec, wenn Ihre Infrastruktur dies unterstützt. Und testen Sie, bevor Sie ein Rollout im großen Stil durchführen. Wenn Sie ein gemischtes Gäste- und Mitarbeiternetzwerk betreiben - was auf die meisten Betreiber in der Hotellerie und im Einzelhandel zutrifft -, bieten Ihnen Plattformen wie Purple die Möglichkeit, beide Authentifizierungsmodelle über eine einzige Oberfläche zu verwalten, wobei die Analyseebene über die gesamte Umgebung hinweg läuft. Für Ihre nächsten Schritte: Überprüfen Sie Ihre aktuelle Netzwerkzugriffskontrolle, identifizieren Sie, an welchen Standorten noch gemeinsam genutzte PSK ausgeführt werden, und erstellen Sie einen schrittweisen Migrationsplan. Beginnen Sie mit den Standorten mit dem höchsten Risiko - also denjenigen, die in den Anwendungsbereich von PCI-DSS fallen oder an denen sensible Daten verarbeitet werden - und arbeiten Sie sich nach außen vor. Vielen Dank fürs Zuhören. Weitere technische Briefings finden Sie unter purple.ai.

header_image.png

Management Summary

Für IT-Entscheidungsträger, die verteilte Netzwerkinfrastrukturen in den Bereichen Gastgewerbe, Einzelhandel und im öffentlichen Sektor verwalten, hat sich die Sicherung des Netzwerkzugriffs von einer betrieblichen Präferenz zu einer strengen Compliance-Vorgabe entwickelt. Die Verwendung von Pre-Shared Keys (PSKs) birgt unakzeptable Risiken, entspricht nicht modernen Audit-Standards wie PCI-DSS und setzt das Unternehmen bei einer Kompromittierung von Zugangsdaten der Gefahr einer lateralen Schadsoftware-Ausbreitung aus. Der Übergang zur portbasierten Netzwerkzugriffskontrolle nach IEEE 802.1X minimiert diese Risiken effektiv, indem Geräte authentifiziert werden, bevor eine IP-Verbindung hergestellt wird.

In der Vergangenheit scheiterte die Bereitstellung von 802.1X in standortübergreifenden Umgebungen oft an der Notwendigkeit einer lokalen RADIUS-Infrastruktur zur Steuerung von Latenzzeiten und Verfügbarkeit. Die Weiterentwicklung der Cloud RADIUS-Architektur hat dieses Bild grundlegend verändert. Durch die Zentralisierung von Authentifizierungsentscheidungen und die direkte Integration mit Cloud-Identitätsanbietern (wie Azure AD oder Okta) können Unternehmen robuste Zugriffsrichtlinien einheitlich an allen Standorten durchsetzen - ohne die Investitionskosten und den Wartungsaufwand von On-Premises-Servern. Dieser Leitfaden beschreibt die technische Architektur, die Bereitstellungsmethode und die bewährten Betriebspraktiken für die erfolgreiche Implementierung der 802.1X-Authentifizierung mit Cloud RADIUS, um sicherzustellen, dass sowohl das Enterprise Guest WiFi als auch die Unternehmensnetzwerke sicher und skalierbar bleiben.

Technische Vertiefung

Das Fundament moderner drahtloser Netzwerksicherheit in Unternehmen basiert auf dem Standard IEEE 802.1X. Im Gegensatz zur Authentifizierung auf Anwendungsebene arbeitet 802.1X auf Schicht 2 des OSI-Modells. Wenn ein Gerät (der Supplicant) versucht, sich mit einem Access Point (dem Authenticator) zu verbinden, bleibt der Port in einem nicht autorisierten Zustand und lässt nur Datenverkehr des Extensible Authentication Protocol (EAP) zu. Dieser Datenverkehr wird in RADIUS-Pakete gekapselt und an den Authentifizierungsserver - die Cloud RADIUS-Instanz - weitergeleitet. Erst nach Erhalt einer Access-Accept-Nachricht versetzt der Authenticator den Port in einen autorisierten Zustand und gewährt den Netzwerkzugriff.

Cloud RADIUS-Architektur

architecture_overview.png

Der architektonische Wechsel von On-Premises-Systemen zu Cloud RADIUS macht verteilte FreeRADIUS- oder Microsoft NPS-Server überflüssig. Im Cloud-Modell kommunizieren Access Points oder Wireless-LAN-Controller direkt über das Internet mit einem global verteilten RADIUS-Service. Um diese Übertragung zu sichern, ist die Implementierung von RadSec (RADIUS über TLS) unerlässlich, wodurch die Authentifizierungs-Nutzdaten verschlüsselt und vor dem Abfangen geschützt werden. Der Cloud RADIUS-Service fungiert als Vermittler, der die Anmeldedaten über LDAP, SAML oder native API-Integrationen mit einem zentralen Identity Provider (IdP) abgleicht. Dies ermöglicht eine dynamische Richtliniendurchsetzung, wie z. B. die Zuweisung von VLANs basierend auf der Azure AD-Gruppenmitgliedschaft, wodurch der Netzwerkzugriff nahtlos in die breitere Identity-Management-Strategie des Unternehmens integriert wird.

EAP-Methodenauswahl

Die Wahl der EAP-Methode bestimmt das Sicherheitsniveau und die betriebliche Komplexität der Bereitstellung.

eap_comparison_chart.png

  • EAP-TLS (Transport Layer Security): Die sicherste Methode, die sowohl Server- als auch Client-Zertifikate für eine gegenseitige Authentifizierung erfordert. Da keine Passwörter ausgetauscht werden, entfällt das Risiko des Diebstahls von Anmeldedaten. Sie erfordert jedoch eine Public Key Infrastructure (PKI) und ein Mobile Device Management (MDM), um Client-Zertifikate zu verteilen. Dringend empfohlen für Unternehmensgeräte.
  • PEAP-MSCHAPv2 (Protected EAP): Weit verbreitet dank nativer Unterstützung in Windows und der ausschließlichen Nutzung eines serverseitigen Zertifikats. Der Austausch von Anmeldedaten wird innerhalb einer TLS-Sitzung getunnelt. Obwohl einfacher bereitzustellen, ist diese Methode anfällig für Angriffe zum Abgreifen von Anmeldedaten, wenn die clientseitige Zertifikatsprüfung nicht strikt erzwungen wird.
  • EAP-TTLS: Ähnlich wie PEAP, bietet jedoch eine größere Flexibilität beim inneren Authentifizierungsprotokoll, wodurch sie sich für Umgebungen mit einer vielfältigen Mischung von Client-Betriebssystemen eignet.

Implementierungsleitfaden

Die Bereitstellung von 802.1X mit Cloud RADIUS erfordert einen schrittweisen, systematischen Ansatz, um Unterbrechungen des laufenden Geschäftsbetriebs zu minimieren.

  1. Integration des Identity Providers: Richten Sie die Verbindung zwischen dem Cloud RADIUS-Service und dem Unternehmens-IdP ein und überprüfen Sie diese. Stellen Sie sicher, dass die Verzeichnissynchronisierung korrekt ist und die erforderlichen Benutzerattribute (wie die Gruppenmitgliedschaft) für Richtlinienentscheidungen verfügbar sind.
  2. Zertifikatsmanagement: Beziehen Sie für PEAP-Bereitstellungen ein Serverzertifikat von einer vertrauenswürdigen öffentlichen Zertifizierungsstelle (CA). Konfigurieren Sie die Clients per MDM oder Gruppenrichtlinie so, dass sie dieser CA explizit vertrauen und den Namen des Serverzertifikats validieren. Stellen Sie für EAP-TLS eine interne CA-Infrastruktur bereit und beginnen Sie mit der Ausstellung von Client-Zertifikaten für verwaltete Geräte.
  3. Netzwerkinfrastruktur-Konfiguration: Konfigurieren Sie Wireless-Controller und Access Points so, dass sie auf die Cloud RADIUS-Endpunkte verweisen. Implementieren Sie RadSec, sofern der Hardware-Hersteller dies unterstützt. Definieren Sie RADIUS Shared Secrets mit starken, kryptografisch sicheren Zeichenfolgen und stellen Sie sicher, dass das Secret pro Standort oder Controller-Cluster eindeutig ist.
  4. Richtliniendefinition: Erstellen Sie die Authentifizierungsrichtlinien innerhalb der Cloud RADIUS-Plattform. Definieren Sie Bedingungen basierend auf Benutzergruppe, Gerätetyp oder Standort, um nach erfolgreicher Authentifizierung dynamisch VLANs zuzuweisen oder Access Control Lists (ACLs) anzuwenden.
  5. Pilotprojekt und schrittweise Einführung: Wählen Sie eine repräsentative Gruppe von Benutzern und Geräten für das erste Pilotprojekt aus. Überwachen Sie die Authentifizierungsprotokolle genau, um Latenzprobleme, Fehler bei der Zertifikatsüberprüfung oder fehlerhafte VLAN-Zuweisungen zu identifizieren. Führen Sie nach einem erfolgreichen Pilotprojekt eine schrittweise Einführung durch, wobei Sie Hochrisikostandorte wie Chefbüros oder Standorte, die sensible Daten verarbeiten, priorisieren.

Best Practices

  • Clientseitige Zertifikatsvalidierung erzwingen: Die häufigste Schwachstelle bei PEAP-Bereitstellungen ist das Versäumnis, die Serverzertifikatsvalidierung auf dem Client zu erzwingen. Wenn Clients blind jedem präsentierten Zertifikat vertrauen dürfen, sind sie ungeschützt gegenüber Angriffen durch betrügerische Access Points.
  • Implementieren Sie MAC-Authentifizierungs-Bypass (MAB) mit Vorsicht: Für gerätelose Systeme, die keinen 802.1X-Supplicant ausführen können (wie Drucker und IoT-Sensoren), kann MAB verwendet werden. MAC-Adressen können jedoch leicht gefälscht werden. MAB-Geräte müssen in stark eingeschränkten VLANs isoliert werden, mit strengen Firewall-Regeln, die ihren Netzwerkzugriff beschränken.
  • Nutzen Sie 802.11r für Roaming: In Umgebungen, in denen sich Geräte häufig zwischen Access Points bewegen, kann der vollständige 802.1X-Authentifizierungsprozess zu inakzeptablen Latenzen führen, die Echtzeitanwendungen wie Sprache stören. Die Implementierung von 802.11r (Fast BSS Transition) optimiert das Roaming durch das Zwischenspeichern von Authentifizierungsschlüsseln.
  • Integration mit Analytics: Für Standorte, die sowohl ein internes 802.1X-Netzwerk als auch ein öffentliches Zugangsnetzwerk betreiben, bietet die Integration der Authentifizierungsinfrastruktur mit WiFi Analytics eine umfassende Übersicht über die Netzwerkauslastung und das Geräteverhalten im gesamten Bestand.

Fehlerbehebung und Risikominderung

Authentifizierungsfehler in einer 802.1X-Umgebung können weitreichende Verbindungsausfälle verursachen. Ein robuster Prozess zur Fehlerbehebung ist unerlässlich.

  • Ablauf von Zertifikaten: Ein abgelaufenes Server- oder Client-Zertifikat führt zu einem sofortigen Authentifizierungsfehler. Implementieren Sie eine automatisierte Überwachung und Alarmierung für Zertifikatsgültigkeitsdauern, um sicherzustellen, dass Verlängerungen lange vor dem Ablaufdatum durchgeführt werden.
  • Latenz und Timeouts: Wenn der Cloud RADIUS-Dienst oder IdP eine hohe Latenz aufweist, kann der Authentifikator das Zeitlimit überschreiten und die Verbindung trennen. Konfigurieren Sie geeignete Timeout-Werte auf den Wireless-Controllern (normalerweise 5 - 10 Sekunden) und stellen Sie Backup-RADIUS-Server bereit, um Redundanz zu gewährleisten.- RADIUS shared secret mismatch: Ein auf dem Authentifikator konfiguriertes Shared Secret, das nicht mit dem auf dem RADIUS-Server übereinstimmt, führt dazu, dass Pakete kommentarlos verworfen werden. Standardisieren Sie das Secret-Management und vermeiden Sie manuelle Eingaben, wo immer es möglich ist.

ROI und geschäftlicher Nutzen

Der Übergang zu 802.1X mit Cloud RADIUS bietet messbaren geschäftlichen Mehrwert. Durch den Verzicht auf gemeinsam genutzte Passwörter wird die Angriffsfläche drastisch reduziert, was die Einhaltung der PCI-DSS-Anforderungen (Anforderungen 1 und 8) sowie der GDPR-Datenschutzvorgaben direkt unterstützt. Aus betrieblicher Sicht ermöglicht es eine zentralisierte Zugriffskontrolle: IT-Teams können den Zugriff eines Benutzers an jedem Standort weltweit sofort sperren, indem sie einfach sein Konto im zentralen Verzeichnis deaktivieren. Darüber hinaus senken Unternehmen durch die Außerbetriebnahme veralteter On-Premises RADIUS-Server die Hardware-Wartungskosten, Software-Lizenzgebühren und den administrativen Aufwand für das Patchen und Verwalten verteilter Infrastrukturen. Für standortübergreifende Bereitstellungen in Branchen wie Retail und Hospitality ist diese zentralisierte Sicherheitsarchitektur ein entscheidender Wegbereiter für eine sichere digitale Transformation.

Hören Sie sich unser umfassendes Briefing zu diesem Thema an:

Schlüsseldefinitionen

Supplicant

Der Software-Client auf einem Endgerät (Laptop, Smartphone), der den Netzwerkzugriff über EAP aushandelt.

IT-Teams müssen sicherstellen, dass der Supplicant (häufig über MDM) korrekt konfiguriert ist, um Serverzertifikate zu validieren und so den Diebstahl von Anmeldedaten zu verhindern.

Authenticator

Das Netzwerkgerät (in der Regel ein WiFi Access Point oder Switch), das den physischen oder logischen Zugriff auf das Netzwerk basierend auf dem Authentifizierungsstatus steuert.

Der Authenticator fungiert als Vermittler und leitet EAP-Nachrichten zwischen dem Supplicant und dem RADIUS-Server weiter.

Cloud RADIUS

Ein zentralisierter, in der Cloud gehosteter Authentifizierungsdienst, der RADIUS-Anfragen von verteilten Netzwerkinfrastrukturen verarbeitet, ohne dass Server vor Ort erforderlich sind.

Unerlässlich für Organisationen mit mehreren Standorten, die eine Sicherheit der Enterprise-Klasse implementieren möchten, ohne den Aufwand für die Hardwarewartung tragen zu müssen.

EAP (Extensible Authentication Protocol)

Das Framework, das verwendet wird, um Authentifizierungsnachrichten zwischen dem Supplicant und dem Authentifizierungsserver zu kapseln.

Die Wahl der richtigen EAP-Methode (z. B. PEAP vs. EAP-TLS) bestimmt die Sicherheitsstärke und die Komplexität bei der Bereitstellung des drahtlosen Netzwerks.

RadSec

Ein Protokoll, das RADIUS-Daten über einen TLS-Tunnel überträgt und so die Verschlüsselung des Authentifizierungsverkehrs während der Übertragung gewährleistet.

Entscheidend bei der Verwendung von Cloud RADIUS, da es den Austausch sensibler Anmeldedaten vor dem Abfangen über das öffentliche Internet schützt.

Dynamische VLAN-Zuweisung

Der Prozess, bei dem der RADIUS-Server den Authenticator anweist, ein Gerät basierend auf der Identität oder Gruppenzugehörigkeit des Benutzers in ein bestimmtes virtuelles Netzwerksegment einzustufen.

Ermöglicht es der IT, eine einzige SSID auszustrahlen und gleichzeitig den Datenverkehr sicher zu segmentieren (z. B. HR-Mitarbeiter und IT-Mitarbeiter in verschiedenen Subnetzen zu platzieren).

Gegenseitige Authentifizierung

Ein Sicherheitsprozess, bei dem sowohl der Client die Identität des Servers als auch der Server die Identität des Clients überprüft (normalerweise mithilfe von Zertifikaten).

Das bestimmende Merkmal von EAP-TLS, das es äußerst widerstandsfähig gegen Man-in-the-Middle-Angriffe macht.

MAC Authentication Bypass (MAB)

Eine Fallback-Authentifizierungsmethode, die die MAC-Adresse eines Geräts als Anmeldedaten verwendet, wenn dieses keinen 802.1X-Supplicant unterstützen kann.

Wird für ältere Hardware wie Drucker oder IoT-Geräte verwendet, erfordert jedoch aufgrund der einfachen Möglichkeit von MAC-Spoofing eine strikte Netzwerksegmentierung.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern, das ein veraltetes PSK-Netzwerk für interne Abläufe (Reinigungstablets, Kassenterminals, Laptops der Manager) betreibt, muss vor einem bevorstehenden Audit die PCI-DSS-Konformität erreichen. Es fehlt an IT-Personal vor Ort und lokale Server können nicht bereitgestellt werden.

Das Hotel sollte eine Cloud RADIUS-Lösung implementieren, die direkt in den zentralen Azure AD-Mandanten integriert ist. Für Manager-Laptops (Windows/macOS) sollte PEAP-MSCHAPv2 implementiert werden, wobei ein MDM-Profil verwendet wird, um das vertrauenswürdige Serverzertifikat zu verteilen und die Validierung zu erzwingen. Für Kassenterminals, die möglicherweise keine robusten Supplicants unterstützen, sollte MAC Authentication Bypass (MAB) genutzt werden, wobei diese Geräte jedoch strikt einem isolierten VLAN zugewiesen werden müssen, das nur die Kommunikation mit dem Payment Gateway erlaubt. Die Bereitstellung erfordert die Konfiguration der vorhandenen, in der Cloud verwalteten Access Points, um auf die IP-Adressen von Cloud RADIUS zu verweisen, wobei die Verbindung mit RadSec gesichert wird.

Kommentar des Prüfers: Dieser Ansatz erfüllt die PCI-Anforderungen an eine eindeutige Benutzeridentifikation (PEAP für Mitarbeiter) und Netzwerksegmentierung (MAB + isoliertes VLAN für Kassen). Durch die Nutzung von Cloud RADIUS vermeidet das Hotel die Komplexität der Bereitstellung und Wartung eines lokalen FreeRADIUS-Servers, der ohne IT-Personal vor Ort nicht zu verwalten wäre. Die Verwendung von RadSec ist hier entscheidend, um den über das öffentliche Internet übertragenen Authentifizierungsverkehr zu schützen.

Eine nationale Einzelhandelskette führt eine neue Flotte von firmeneigenen Tablets für die Bestandsverwaltung in 500 Filialen ein. Sie möchte sicherstellen, dass ein Tablet selbst bei Diebstahl nicht für den Zugriff auf das Netzwerk verwendet werden kann, und sie möchte passwortbezogene Helpdesk-Tickets eliminieren.

Der Einzelhändler muss EAP-TLS implementieren. Er wird eine interne Zertifizierungsstelle (CA) einrichten und diese in seine MDM-Plattform integrieren. Wenn ein Tablet bereitgestellt wird, überträgt das MDM ein eindeutiges Client-Zertifikat auf das Gerät. Der Cloud RADIUS-Dienst wird so konfiguriert, dass er Geräte ausschließlich auf der Grundlage des Vorhandenseins eines gültigen Client-Zertifikats authentifiziert. Wird ein Tablet als gestohlen gemeldet, widerruft das IT-Team einfach dieses spezifische Zertifikat in der CA. Der Cloud RADIUS-Dienst, der die Zertifikatwiderrufsliste (CRL) oder über OCSP prüft, verweigert sofort den Netzwerkzugriff.

Kommentar des Prüfers: EAP-TLS ist hier die optimale Wahl. Es bietet das höchste Sicherheitsniveau und entfernt Benutzerpasswörter vollständig aus dem Authentifizierungsfluss, wodurch das Ziel, Helpdesk-Tickets zu reduzieren, erreicht wird. Die zentrale Widerrufsmöglichkeit ist unerlässlich, um das Risiko gestohlener Hardware in einer verteilten Einzelhandelsumgebung zu beherrschen.

Übungsfragen

Q1. Ihre Organisation migriert von einem gemeinsamen PSK zu 802.1X unter Verwendung von PEAP-MSCHAPv2. Während der Pilotphase berichten Benutzer, dass sie eine Verbindung herstellen können, aber ein Sicherheitsaudit zeigt, dass Geräte stillschweigend jedes ihnen präsentierte Serverzertifikat akzeptieren. Was ist das unmittelbare Risiko und wie muss es behoben werden?

Hinweis: Überlegen Sie, was passiert, wenn ein Angreifer einen Access Point einrichtet, der Ihre Unternehmens-SSID ausstrahlt.

Musterlösung anzeigen

Das unmittelbare Risiko ist ein Man-in-the-Middle (MitM) -Angriff über einen gefälschten Access Point. Ein Angreifer kann die Unternehmens-SSID ausstrahlen, ein selbstsigniertes Zertifikat präsentieren und Benutzerdaten abgreifen, während die Geräte versuchen, sich zu authentifizieren. Um dies zu beheben, muss das IT-Team die Profile des Supplicants (über MDM oder Gruppenrichtlinien) so konfigurieren, dass sie das Serverzertifikat explizit validieren. Dies beinhaltet die Angabe der genauen vertrauenswürdigen Root-CA, die das Zertifikat des RADIUS-Servers ausgestellt hat, und die strikte Definition des erwarteten Server-Hostnamens.

Q2. Eine entfernte Einzelhandelsfiliale hat ihre Internetverbindung verloren. Die lokalen Access Points sind weiterhin eingeschaltet. Bleiben die derzeit mit dem 802.1X-Netzwerk verbundenen Geräte der Mitarbeiter verbunden und können sich neue Geräte authentifizieren? Gehen Sie von einer Standard-Cloud-RADIUS-Architektur ohne lokale Ausfallsicherheitsknoten aus.

Hinweis: Denken Sie an den Weg, den eine Authentifizierungsanfrage nehmen muss, und an den Zustand bereits autorisierter Ports.

Musterlösung anzeigen

Geräte, die bereits authentifiziert und verbunden sind, bleiben in der Regel so lange verbunden, bis ihr Sitzungstimeout abläuft oder sie die Verbindung trennen, da sich der Port des Authenticators bereits im autorisierten Zustand befindet. Neue Geräte, die versuchen, eine Verbindung herzustellen, oder Geräte, die eine erneute Authentifizierung versuchen, schlagen jedoch fehl. Da die Internetverbindung unterbrochen ist, können die Access Points den Cloud-RADIUS-Server nicht erreichen, um den EAP-Austausch zu verarbeiten. Dies unterstreicht die Bedeutung robuster WAN-Verbindungen, wenn man sich auf eine Cloud-basierte Authentifizierung verlässt.

Q3. Sie müssen den Netzwerkzugriff für eine Flotte älterer Barcodescanner in einem Lager sichern. Diese Scanner unterstützen keine 802.1X-Supplicants und unterstützen nur WPA2-Personal (PSK). Sie können die Hardware nicht aktualisieren. Wie integrieren Sie diese Geräte neben Ihren 802.1X-Unternehmensgeräten in eine sichere Netzwerkarchitektur?

Hinweis: Sie benötigen eine Alternative zu 802.1X, die dennoch eine Zugriffskontrolle in Kombination mit einer Isolierung auf Netzwerkebene bietet.

Musterlösung anzeigen

Der empfohlene Ansatz besteht darin, MAC Authentication Bypass (MAB) für die Barcodescanner zu nutzen. Der Access Point verwendet die MAC-Adresse des Scanners als Identität und sendet diese an den RADIUS-Server. Da MAC-Adressen leicht gefälscht werden können, bietet dies nur eine schwache Authentifizierung. Daher muss der RADIUS-Server so konfiguriert werden, dass er nach erfolgreicher MAB-Authentifizierung ein bestimmtes VLAN-Attribut zurückgibt. Dieses VLAN muss über Firewalls oder ACLs stark eingeschränkt werden, sodass die Scanner nur mit den spezifischen Inventarservern kommunizieren können, die sie benötigen, und jeglicher andere laterale Netzwerkzugriff blockiert wird.

Weiterlesen in dieser Reihe

Die Sicherheitsvorteile von RADIUS as a Service für hybride Belegschaften

Dieser technische Leitfaden erklärt, wie RADIUS as a Service den Netzwerkzugriff für hybride Belegschaften an verteilten Standorten sichert. Er behandelt die Architektur, die Sicherheitsvorteile und die Bereitstellungsschritte für den Ersatz von On-Premises-RADIUS-Infrastrukturen durch einen cloudverwalteten Authentifizierungsdienst. Für IT-Manager und Netzwerkarchitekten in Hotels, Einzelhandelsketten, Stadien und Organisationen des öffentlichen Sektors liefert dieser Leitfaden die notwendigen Argumente, um eine Migration zu Cloud-RADIUS in diesem Quartal zu bewerten und umzusetzen.

Leitfaden lesen →

Integration von RADIUS as a Service mit Cloud-Verzeichnissen (Azure AD & Google Workspace)

Dieser technische Referenzleitfaden beschreibt detailliert, wie Sie RADIUS as a Service mit Cloud-Verzeichnissen – Microsoft Entra ID und Google Workspace – für die WiFi-Authentifizierung in Unternehmen integrieren. Er behandelt den architektonischen Wechsel von On-Premises-NPS zu Cloud-nativem RADIUS, die Bereitstellung der zertifikatsbasierten EAP-TLS-Authentifizierung sowie die bewährten Betriebsmethoden zur Absicherung des drahtlosen Zugangs in den Bereichen Gastgewerbe, Einzelhandel und im öffentlichen Sektor. Für IT-Manager und Netzwerkarchitekten, die bereits in Cloud-Identitäten investieren, schließt dieser Leitfaden die Lücke zwischen Verzeichnisverwaltung und physischer Netzwerksicherheit.

Leitfaden lesen →

Was ist Cloud RADIUS? Ein umfassender Leitfaden zu RADIUS-as-a-Service

Dieser umfassende Leitfaden befasst sich mit Cloud RADIUS (RADIUS-as-a-Service) und erläutert dessen Architektur, EAP-Methoden und Implementierungsstrategien. Er bietet IT-Entscheidern praxisnahe Einblicke für die Migration von lokalen Servern zu einem skalierbaren, sicheren und konformen cloudbasierten Authentifizierungsmodell.

Leitfaden lesen →
Wie Sie eine 802.1X-Authentifizierung mit Cloud RADIUS implementieren | Technische Leitfäden | Purple