Wi-Fi Protected Access 3 kann Authentifizierung mit erweiterter Sicherheit bereitstellen.
Wi-Fi Protected Access 3 (WPA3) hat erhebliche Sicherheitsverbesserungen für Wi-Fi-Netzwerke hervorgebracht, insbesondere WPA-3Enterprise, das Optimierungen enthält, um die Authentifizierung am Netzwerk sicherer zu machen. Eine davon ist die 802.1x-Authentifizierung, die verwendet wird, um zu bestimmen, ob Wi-Fi-Clients der Zugang zum Unternehmensnetzwerk gewährt wird.
Wi-Fi-Ressourcen
Im Unternehmensmodus von WPA war es schon immer möglich, jedem Benutzer einen eindeutigen Benutzernamen/Passwort für die Anmeldung am Wi-Fi zu geben oder eindeutige digitale Zertifikate für jeden Benutzer zu verwenden, die auf den Geräten installiert werden, um noch mehr Sicherheit zu gewährleisten. Mit WPA3-Enterprise wird die Sicherheit erhöht, da die Clients nun sicherstellen müssen, dass sie mit dem echten Authentifizierungsserver kommunizieren, bevor sie Anmeldedaten senden. Diese Überprüfung war bei den beiden früheren Versionen von WPA optional.
Es gibt auch Verbesserungen bei der Verschlüsselungsstärke mit WPA3-Enterprise. In den meisten Fällen sind die Verbesserungen jedoch nicht groß genug, um Ressourcen für die Aufrüstung der gesamten Hardware auf WPA3-Unterstützung auszugeben. Daher ist WPA2-Enterprise heutzutage sicherlich immer noch eine gute und sichere Wahl.
Hier erfahren Sie, wie Sie 802.1x in WPA3-Enterprise einführen können.
RADIUS bereitstellen
Enterprise WPA 802.1x erfordert einen RADIUS-Server, um Wi-Fi-Clients zu authentifizieren, die versuchen, Zugang zum Netzwerk zu erhalten:
- Integriert in den Wireless Controller oder Access Points (AP): Einige Controller-Plattformen, auch Cloud-basierte, und APs haben einen integrierten RADIUS-Server und Benutzerverzeichnisse, so dass sie die Authentifizierung durchführen können. Die Funktionalität ist jedoch eingeschränkt, und Sie können möglicherweise kein Benutzerverzeichnis eines Drittanbieters, wie z. B. Active Directory, für die Anmeldedaten verwenden. Aber es kann eine einfache und kostengünstige Möglichkeit sein, die Authentifizierung zu aktivieren.
- Router, Firewall, eine Unified Threat Management-Appliance oder ein Netzwerkzugangsserver: Einige Netzwerkgeräte bieten einen integrierten RADIUS-Server. Ähnlich wie bei Wireless-Controllern oder APs bieten sie möglicherweise nicht die volle RADIUS-Funktionalität, aber einige unterstützen Benutzerverzeichnisse von Drittanbietern. Werfen Sie also einen Blick auf die vorhandenen Haupt-Netzwerkgeräte, um zu sehen, ob und welche RADIUS-Funktionen sie bieten.
- Vorhandene Server: Sehen Sie nach, ob vorhandene Server RADIUS-Server als Funktion enthalten. Auf Windows-Servern können Sie beispielsweise über die Netzwerkrichtlinien-Server-Rolle einen RADIUS-Server erhalten und Active Directory für die Wi-Fi-Anmeldedaten nutzen.
- Cloud-gehostete RADIUS-Dienste: Diese Option bietet eine einfache Möglichkeit, RADIUS zu nutzen, ohne eigene Hardware bereitstellen zu müssen. Dies ist auch nützlich, wenn Sie mehrere Standorte haben, an denen Sie es verwenden möchten, da Sie es nur in der Cloud und nicht an jedem Standort verwalten müssen. Außerdem können Sie bei einigen Cloud-Diensten Benutzerverzeichnisse von Drittanbietern einbinden.
- Einen separaten RADIUS-Server einrichten: Eine letzte Option ist die Einrichtung eines separaten vollständigen RADIUS-Servers entweder auf dedizierter Hardware oder auf einer virtuellen Plattform. Es gibt kommerzielle Optionen für die RADIUS-Server-Software, aber FreeRADIUS ist Open Source und sehr beliebt.
Einrichten von RADIUS
Der Schwierigkeitsgrad der Einrichtung eines RADIUS-Servers hängt von der gewählten Lösung ab und ist in der Regel einfacher, wenn Sie einen Wireless Controller oder APs verwenden. Bei Verwendung eines externen Servers müssen Sie in der Regel die IP-Adresse des Wireless Controllers oder jedes APs eingeben und ein gemeinsames Geheimnis festlegen, das Sie später in den Einstellungen des Controllers oder jedes APs eingeben. Bei herkömmlichen RADIUS-Servern werden diese in der Regel in der Liste Network Access Server (NAS) eingetragen.
Auf dem RADIUS-Server müssen Sie auch die Benutzer-Anmeldeinformationen konfigurieren, entweder mit Benutzernamen und Passwörtern in einer lokalen Datenbank oder einer externen Datenbank/einem externen Verzeichnis, oder durch die Generierung digitaler Zertifikate, die Sie später auf den Geräten installieren.
Einige RADIUS-Server unterstützen optionale Attribute, die Sie auf einzelne Benutzer oder Benutzergruppen anwenden können und die Teil der Richtlinie werden, die auf einzelne Clients angewendet wird. Gängige Attribute, die RADIUS-Server unterstützen, sind: Login-Zeit, mit der Sie die genauen Tage und Uhrzeiten festlegen können, an denen sich die Benutzer anmelden können; Calling-Station-ID, um festzulegen, über welche APs sie sich verbinden können; und Calling-Station-ID, um festzulegen, von welchen Client-Geräten aus sie sich verbinden können.
Einige RADIUS-Server unterstützen optional auch dynamische VLAN-Zuweisungen. Anstatt eine SSID einem einzelnen VLAN zuzuweisen, können Sie die VLAN-Zuweisungen im RADIUS-Server auf Basis des Benutzers definieren lassen, und seine spezielle VLAN-ID wird bei der Verbindung zum Wi-Fi während der 802.1x-Authentifizierung angewendet.
APs für die Unternehmenssicherheit konfigurieren
Bei der Konfiguration von WLAN-APs geben Sie die IP-Adresse und den Port des RADIUS-Servers sowie das zuvor festgelegte gemeinsame Geheimnis ein, wenn Sie einen externen RADIUS-Server verwenden. Wenn die APs mehrere Enterprise-Authentifizierungsprotokolle (EAP) unterstützen, müssen Sie auch auswählen, welches Sie verwenden, wie z. B. geschütztes EAP (PEAP) für Benutzernamen/Passwörter oder EAP-TLS für digitale Zertifikate. EAP ermöglicht die Konversation zwischen dem Client und dem RADIUS-Server als Proxy durch den AP.
Wenn Ihre APs WPA3 unterstützen, werden Sie wahrscheinlich auch die Möglichkeit haben, eine von drei WPA-Optionen zu wählen: Nur WPA2-Enterprise, Nur WPA3-Enterprise, oder WPA2/WPA3-Enterprise. Die dritte Option ist die wahrscheinlichste Wahl, bis alle Ihre Client-Geräte auf die Unterstützung von WPA3 aufgerüstet sind.
Die meisten Wireless-Controller und APs unterstützen auch RADIUS-Accounting, wobei sie Nutzungsdetails an den RADIUS-Server zurücksenden, damit Sie Verbindungsprotokolle führen können. Bei externen RADIUS-Servern müssen Sie die IP-Adresse und den Accounting-Port des RADIUS-Servers sowie das zuvor festgelegte gemeinsame Geheimnis eingeben.
Verbinden mit der Unternehmenssicherheit
Wenn Sie sich für die Verwendung von Benutzernamen und Kennwörtern entschieden haben, wie bei PEAP, wählen die Benutzer einfach die SSID auf ihren Geräten aus und werden zur Anmeldung aufgefordert. Oder Sie können vordefinierte Einstellungen auf die Geräte übertragen und eine Single-Sign-On-Funktion verwenden, bei der der Benutzer keine Anmeldedaten eingeben muss.
Wenn Sie digitale Zertifikate verwenden (wie bei EAP-TLS), muss das Zertifikat eines jeden Benutzers auf jedem Endgerät installiert werden. Neben der manuellen Durchführung dieses Vorgangs gibt es viele Lösungen zur Bereitstellung dieser Zertifikate, um den Prozess zu automatisieren. Erkundigen Sie sich bei Ihrem RADIUS-Server oder Cloud-Dienst, was sie anbieten.