Seminar SecurEAP Linux Client Hardening: NetworkManager, wpa_supplicant, iwd

Inhaltsverzeichnis

• Abstract
• Zielbild und Nutzen
• Zielgruppe und Voraussetzungen
• Lernziele
• Agenda
• Übungen
• Ergebnisse und Templates

Abstract

Dieses Umsetzungsseminar fokussiert die sichere Enterprise-WLAN-Konfiguration auf Linux-Endpunkten und Golden-Config-Standards im SecurEAP-Themenrahmen. Im Mittelpunkt stehen NetworkManager-Profile, wpa_supplicant-Parameter und iwd-Konfigurationen inklusive Schutzmechanismen zur Vermeidung von Rogue-AP-Risiken. Teilnehmende erstellen belastbare Profile für EAP-TLS sowie passwortbasierte Tunnelverfahren, bauen Validierungsmechanismen (CA-Trust, Name/Domain-Checks) ein und entwickeln eine clientseitige Troubleshooting-Routine. Das Ergebnis sind wiederverwendbare Profile, ein Hardening-Leitfaden und ein technischer Mindeststandard für Linux-Clients.

Zielbild und Nutzen

• Standardisierte, auditierbare Linux-Client-Profile für Enterprise-WLAN
• Reduzierte Supportlast durch reproduzierbare Konfiguration und Fehlerdiagnose
• Klarer Hardening-Standard als Vorgabe für Managed Devices

Zielgruppe und Voraussetzungen

• Zielgruppe: Linux-Admins, Endpoint-Engineering, WLAN-Betrieb, Security Operations (clientnah)
• Voraussetzungen: Grundlagen 802.1X/EAP (z. B. SecurEAP Essentials: Enterprise-WLAN, 802.1X und EAP-Grundlagen) und Linux-Shell-Basics

Lernziele

• Sichere Profile für EAP-TLS und tunnelbasierte EAP-Verfahren erstellen
• Zertifikatsvalidierung und Identitätsparameter korrekt setzen (Privacy und Sicherheit)
• NetworkManager vs. iwd vs. wpa_supplicant: Unterschiede, Grenzen, Betriebsmodelle
• Fehlerdiagnose: systematische Eingrenzung (Client, Authenticator, AAA, PKI)

Agenda

• Tag 1
  • Linux WLAN-Stack, Profile, Secret-Handling, Logging-Quellen
  • NetworkManager Enterprise-Profile: Struktur, Parameter, Storage
  • wpa_supplicant: Schlüsselparameter für Enterprise-WLAN, Härtung
  • Golden Profile EAP-TLS (clientseitig erstellen und prüfen)
• Tag 2
  • iwd: Profile, Besonderheiten, Integrationsmodelle
  • Privacy-Parameter (Outer/Anonymous Identity), Logging-Minimierung
  • Fehlerbilder reproduzierbar analysieren (vorgegebene Cases)
  • Betriebskonzepte: Rollout, Updates, Profile-Verteilung, Baselines

Übungen

• Golden Profile für EAP-TLS (Konzept → Profil → Validierung)
  • Anforderungen aufnehmen: SSID, EAP-Methode, CA-Trust, Device-Zertifikat-Quelle
  • Profilstruktur definieren: Identität, Zertifikate, TLS-Parameter, Rekey/Timeouts
  • Profil in NetworkManager abbilden (profilbasiert, nicht ad-hoc)
  • Validierung durchführen: Logstellen für Zertifikatskette und Servername prüfen
  • Baseline dokumentieren: Muss-Parameter, Soll-Parameter, verbotene Abweichungen
• Troubleshooting-Runbook (Client-Fokus)
  • Symptomklassifikation: Assoziation ok, EAP fail vs. TLS fail vs. RADIUS reject
  • Logquellen identifizieren: NM-Journal, Supplicant-Logs, iwd-Logs
  • Zeitkorrelation herstellen: Zeitstempel-Check, NTP-Status prüfen (Zertifikate)
  • Zertifikatskette prüfen: CA vorhanden, Zwischenzertifikate, Ablaufdatum
  • Runbook-Schritte und Eskalationspunkte definieren

Ergebnisse und Templates

• Golden-Profile-Template (strukturierte Parameterliste)
• Hardening-Checkliste Linux Enterprise-WLAN
• Troubleshooting-Runbook (1st/2nd/3rd Level)