In diesem Handbuch werden die verschiedenen Netzwerktypen behandelt, die Sie in Kandji konfigurieren können. Anweisungen zum Konfigurieren des Netzwerkzugriffs Library Items finden Sie in unseren Supportartikeln Configure the WiFi Library Item und Configure the Ethernet Library Item.
Nicht-Unternehmensweite Wi-Fi-Authentifizierung
Wenn Sie ein WLAN-Netzwerk in Kandji einrichten, müssen Sie einen Authentifizierungstyp auswählen. Wenn in Ihrer Umgebung keine Authentifizierung auf Unternehmensebene erforderlich ist (z. B. 802.1X), stehen Ihnen einige solide Optionen zur Verfügung, von denen jede ihre eigenen Stärken und Überlegungen aufweist.
Nicht-Enterprise-WLAN-Authentifizierungstypen
Für offene Netzwerke ist kein Passwort erforderlich. Jeder, der sich in Reichweite befindet, kann eine Verbindung herstellen. Das macht es zwar einfach, ihnen beizutreten, bedeutet aber auch, dass es keine Verschlüsselung gibt, so dass Daten, die über das Netzwerk gesendet werden, nicht geschützt sind. Offene Netzwerke sind am besten für Situationen reserviert, in denen die Sicherheit keine Rolle spielt, z. B. öffentliches Gast-WLAN oder einfache Testumgebungen. Für die meisten Anwendungsfälle in Unternehmen benötigen Sie etwas Sichereres.
WEP (Wired Equivalent Privacy) ist ein älteres Sicherheitsprotokoll. Es wurde entwickelt, um grundlegenden Schutz zu bieten, gilt aber heute weithin als unsicher. WEP kann mit weit verbreiteten Tools schnell geknackt werden, daher wird es nicht empfohlen, es sei denn, Sie haben ältere Geräte, die nichts anderes verwenden können. Wenn Sie WEP verwenden müssen, halten Sie dieses Netzwerk von vertraulichen Informationen isoliert.
WPA Personal verwendet ein gemeinsam genutztes Kennwort (Pre-Shared Key) für den Netzwerkzugriff. Es wurde als Upgrade von WEP eingeführt, aber inzwischen weitgehend durch WPA2 und WPA3 ersetzt. WPA Personal wird nur für ältere Geräte empfohlen, die keine neueren Protokolle verwenden können. Wenn Sie es verwenden, wählen Sie ein starkes, einzigartiges Passwort und planen Sie ein Upgrade so schnell wie möglich.
WPA2 Personal ist der aktuelle Standard für die meisten Wi-Fi-Netzwerke, die keine Unternehmensauthentifizierung verwenden. Es verwendet eine stärkere Verschlüsselung (AES) und wird weithin unterstützt. Für die meisten kleinen und mittleren Unternehmen bietet WPA2 Personal eine gute Balance zwischen Sicherheit und Benutzerfreundlichkeit. Stellen Sie einfach sicher, dass Ihr Passwort sicher ist. lang, zufällig und nichts, was man in einem Wörterbuch finden würde.
WPA3 Personal ist die neueste Entwicklung im Bereich der WLAN-Sicherheit. Es ist so konzipiert, dass es noch schwieriger zu knacken ist, selbst wenn jemand versucht, Ihr Passwort offline zu erraten. Es bietet auch einen besseren Schutz für Daten, selbst wenn es später jemandem gelingt, an Ihr Passwort zu gelangen. WPA3 ist eine gute Wahl, wenn Ihre Geräte und Netzwerkgeräte es unterstützen. Wenn Sie neue Hardware auf den Markt bringen, lohnt es sich, sie zu aktivieren.
Mit Netzwerken im gemischten Modus können Sie sowohl WPA2 als auch WPA3 gleichzeitig aktivieren. Es ist hilfreich, wenn Sie eine Mischung aus älteren und neueren Geräten haben. Denken Sie nur daran: Geräte, die nur WPA2 unterstützen, werden weiterhin über dieses Protokoll verbunden, sodass die Gesamtsicherheit Ihres Netzwerks nur so stark ist wie sein schwächstes Glied.
Vergleich von WLAN-Typen, die nicht für Unternehmen bestimmt sind
Protokoll | Authentifizierung | Sicherheitsstufe | Kompatibilität | Anwendungsfälle | Notizen |
|---|---|---|---|---|---|
Offene Netzwerke | Nichts | Sehr niedrig | Universal | Öffentliches WLAN, Tests | Keine Verschlüsselung, einfach beizutreten, aber unsicher. |
WEP | Gemeinsam genutzter Schlüssel | Niedrig | Legacy-Geräte | Altsysteme | Leicht zu knacken, nicht empfohlen für sensible Daten. |
WPA Persönlich (WPA-PSK) | Vorinstallierter Schlüssel (PSK) | Mäßig | Ältere Geräte | Kleine Netzwerke, temporäre Setups | Ersetzt durch WPA2, nur bei Bedarf verwenden. |
WPA2 Persönlich | Vorinstallierter Schlüssel (PSK) | Hoch | Modernste Geräte | Privathaushalte, kleine und mittlere Unternehmen | Aktueller Standard, starke Verschlüsselung. |
WPA3 Persönlich | Gleichzeitige Authentifizierung von Equals (SAE) | Sehr hoch | Neuere Geräte | Neue Bereitstellungen, Hochsicherheitsumgebungen | Neuester Standard, verbesserte Sicherheitsfunktionen. |
Gemischter Modus (WPA2/WPA3) | PSK, SAE | Variabel (abhängig vom Gerät) | Umgebungen mit gemischten Geräten | Umwandeln von Netzwerken | Ermöglicht sowohl die Verbindung von WPA2- als auch von WPA3-Geräten, die Sicherheit hängt vom schwächsten Glied ab. |
Wi-Fi-Authentifizierung für Unternehmen
Enterprise-WLAN verwendet die 802.1X-Authentifizierung, um zu steuern, wer Ihrem Netzwerk beitreten kann. Anstelle eines gemeinsam genutzten Kennworts wird jeder Benutzer oder jedes Gerät einzeln authentifiziert, in der Regel durch eine Kombination aus Anmeldeinformationen und digitalen Zertifikaten. Dieser Ansatz bietet eine bessere Sicherheit und erleichtert die Verwaltung des Zugriffs in großem Maßstab.
Die 802.1X-Authentifizierung umfasst drei Hauptkomponenten:
Supplicant - Dies ist das Gerät (z. B. ein Mac oder iPhone), das eine Verbindung herstellen möchte.
Authentifikator - In der Regel ein Netzwerkgerät, z. B. ein drahtloser Zugangspunkt, der als Gatekeeper fungiert.
Authentifizierungsserver : In der Regel ein RADIUS-Server, der die Anmeldeinformationen überprüft und entscheidet, ob der Zugriff zugelassen werden soll.
Wenn ein Gerät versucht, sich mit dem Netzwerk zu verbinden, stellt es dem Authentifikator Anmeldeinformationen zur Verfügung, der sie an den Authentifizierungsserver weiterleitet. Wenn die Anmeldeinformationen ausgecheckt werden, erhält das Gerät Zugriff.
Authentifizierungstypen für Unternehmen
WPA2 Unternehmen
WPA2 Enterprise koppelt 802.1X mit starker Verschlüsselung (AES). Jeder Benutzer erhält eine eindeutige Anmeldung, und Sie können Passwörter, digitale Zertifikate oder sogar eine Multi-Faktor-Authentifizierung verwenden. Dieses Setup wird weithin unterstützt und ist nach wie vor die häufigste Wahl für Unternehmen, die eine robuste WLAN-Sicherheit benötigen.
WPA3 Unternehmen
WPA3 Enterprise baut auf WPA2 Enterprise auf, indem es eine stärkere Verschlüsselung und zusätzlichen Schutz bietet. Es erfordert eine Überprüfung des Serverzertifikats, um sicherzustellen, dass Benutzer eine Verbindung mit dem richtigen Netzwerk herstellen. WPA3 führt auch Management Frame Protection (MFP) ein, mit dessen Hilfe bestimmte Arten von Angriffen verhindert werden können, die Verbindungen unterbrechen oder Benutzer dazu verleiten können, sich nicht autorisierten Netzwerken anzuschließen. Es gibt auch einen optionalen 192-Bit-Modus für Umgebungen mit besonders sensiblen Daten.
EAP-Typen
Die eigentliche Methode, die zur Authentifizierung von Benutzern verwendet wird, wird als Extensible Authentication Protocol (EAP) bezeichnet. Zu den gängigen EAP-Typen gehören:
EAP-TLS - Verwendet Client- und Serverzertifikate für die gegenseitige Authentifizierung. Diese Methode ist sehr sicher, erfordert aber eine Zertifikatsverwaltung.
PEAP und EAP-TTLS - Verwendet Serverzertifikate und Benutzeranmeldeinformationen (wie Benutzernamen und Kennwörter). Einfacher zu verwalten als EAP-TLS, aber dennoch sicher.
Andere Typen, z. B. EAP-FAST oder LEAP, sind vorhanden, aber weniger verbreitet und werden für neue Bereitstellungen nicht empfohlen.
Warum sollten Sie sich für die Unternehmensauthentifizierung entscheiden?
Jeder Benutzer oder jedes Gerät hat seine eigenen Anmeldeinformationen, sodass Sie sich keine Sorgen machen müssen, dass ein gemeinsames Passwort durchsickert.
Der Zugriff kann zentral verwaltet werden: Deaktivieren Sie das Konto eines Benutzers, und er verliert sofort den WLAN-Zugang.
Unterstützt erweiterte Sicherheitsfunktionen wie zertifikatsbasierte Authentifizierung und Multi-Faktor-Authentifizierung.
Bietet detaillierte Protokollierung und Überwachung für Compliance und Fehlerbehebung.
Weitere Überlegungen zur Unternehmensauthentifizierung
Für die Unternehmensauthentifizierung ist eine zusätzliche Infrastruktur erforderlich, nämlich ein RADIUS-Server und für zertifikatsbasierte Setups eine Zertifizierungsstelle. Die meisten Unternehmen verfügen bereits über diese oder können Cloud-basierte Lösungen verwenden. Nach der Einrichtung sind die Vorteile in Bezug auf Sicherheit und Verwaltbarkeit erheblich.