Seminar SecurEAP Essentials: Enterprise-WLAN, 802.1X und EAP-Grundlagen

Inhaltsverzeichnis

• Abstract
• Zielbild und Nutzen
• Zielgruppe und Voraussetzungen
• Lernziele
• Agenda
• Übungen
• Ergebnisse und Templates

Abstract

Dieses Seminar vermittelt die notwendigen Grundlagen für sichere Enterprise-WLAN-Umgebungen mit 802.1X und EAP, mit Fokus auf Linux-Clients und dem SecurEAP-Themenrahmen (Trust-on-First-Use-Ansätze, Identitäts- und Privacy-Aspekte, sichere Client-Konfiguration). Behandelt werden Rollenmodell (Supplicant, Authenticator, AAA/RADIUS), EAP-Methoden, Zertifikatsvalidierung, typische Fehlkonfigurationen und deren Sicherheitsfolgen. Ein kompakter Praxisblock führt durch das Lesen und Interpretieren relevanter Logs und Parameter, sodass eine belastbare Basis für weiterführende Umsetzungsseminare entsteht.

Zielbild und Nutzen

• Einheitliches Verständnis für Enterprise-WLAN-Sicherheitsmechanismen und Abhängigkeiten
• Fähigkeit, EAP-Methoden fachlich korrekt auszuwählen und Mindestanforderungen abzuleiten
• Fähigkeit, typische Linux-Client-Fallen (Zertifikatsprüfung, Identitätsparameter, Profile) zu erkennen

Zielgruppe und Voraussetzungen

• Zielgruppe: Netzwerkbetrieb, WLAN-Administrations-Teams, Security Engineering, IAM/PKI-nahe Rollen, 2nd-Level Support
• Voraussetzungen: Grundkenntnisse TCP/IP und WLAN-Basics. Keine tiefen PKI-Kenntnisse erforderlich

Lernziele

• Rollen und Datenflüsse in 802.1X/EAP erklären (EAPOL, RADIUS, TLS-Handshake im EAP)
• EAP-Methoden vergleichen: Eigenschaften, Risiken, Einsatzgrenzen
• Mindestanforderungen für sichere Zertifikatsvalidierung formulieren
• SecurEAP-relevante Schutzprinzipien einordnen: TOFU-Prinzip, anonyme Identität, Server-Authentizität

Agenda

• Enterprise-WLAN Architektur
  • Supplicant, Authenticator, AAA
  • Datenpfade: EAPOL, RADIUS, Access-Challenge, Access-Accept
• EAP-Methoden und Zertifikate
  • EAP-TLS, PEAP, EAP-TTLS
  • Innere und äußere Identität
  • Zertifikatskette, Vertrauenskette, Name/Domain-Matching
• Bedrohungen und Schutzprinzipien
  • Rogue AP
  • Fehlkonfigurationen
  • Credential Exposure
  • Schutzprinzipien im SecurEAP-Kontext (TOFU, anonyme Outer Identity, Härtung)
• Praxis und Einordnung
  • Logs lesen
  • Fehlerbilder klassifizieren
  • Quick-Wins ableiten
  • Übergang in weiterführende Seminare

Übungen

• EAP/TLS-Handshake verstehen (Log-Analyse)
  • Vorbereitete Log-Auszüge (Supplicant + AAA) öffnen
  • Stellen markieren: Serverzertifikat präsentiert, Validierung, Ergebnis
  • Entscheidungspunkte notieren: CA-Trust, Domain/Name, TLS-Version, Cipher
  • Ableiten, welche Konfigurationsparameter den Fehler verhindert hätten
• EAP-Methoden-Entscheidung als Policy
  • Use-Case-Karten (Managed Devices, BYOD, IoT) zuordnen
  • Pro Use Case eine zulässige EAP-Methoden-Liste erstellen
  • Mindestanforderungen definieren (Zertifikate, Identitäten, Logging)

Ergebnisse und Templates

• EAP-Methoden-Entscheidungsmatrix (Use Case → Methode → Anforderungen)
• Checkliste „Sichere Server-Validierung“ (technische Mindestkriterien)
• Glossar 802.1X/EAP/RADIUS für Betriebsteams