Seminar SecurEAP RADIUS & Policy Engineering: Regeln, NAC, Zuweisungen

Inhaltsverzeichnis

• Abstract
• Zielbild und Nutzen
• Zielgruppe und Voraussetzungen
• Lernziele
• Agenda
• Übungen
• Ergebnisse und Templates

Abstract

Dieses Seminar behandelt die serverseitige Steuerung von 802.1X-Authentisierung über RADIUS und Policy-Engines im SecurEAP-Kontext. Schwerpunkte sind Policy-Design, Attribut- und Rollenmodelle, dynamische Zuweisungen (z. B. VLAN/ACL), Directory-Anbindung, privacy-schonendes Logging und sichere Default-Regeln. In Übungen werden Policies als Entscheidungsbäume modelliert, typische Fehlkonfigurationen erkannt und ein operativ tragfähiges Regelwerk inklusive Testfällen aufgebaut. Ergebnis ist ein umsetzbarer Policy-Blueprint mit Testkatalog.

Zielbild und Nutzen

• Deterministische, testbare Policies statt historisch gewachsener Regelwerke
• Reduktion von Fehlzulassungen und Fehlablehnungen
• Saubere Trennung von Identität, Gerätetyp, Risikostatus und Netzwerkzugang

Zielgruppe und Voraussetzungen

• Zielgruppe: Netzwerksecurity, NAC-Teams, WLAN-Architektur, IAM-/Directory-nahe Rollen
• Voraussetzungen: Grundlagen EAP/802.1X (SecurEAP Essentials: Enterprise-WLAN, 802.1X und EAP-Grundlagen). Verständnis PKI/EAP-TLS hilfreich

Lernziele

• Policy-Entscheidungslogik als Baum oder Matrix modellieren
• Identity- und Device-Attribute sicher auswerten und minimieren
• Dynamische Zuweisungen konsistent umsetzen (VLAN, ACL, Rollen)
• Testfälle definieren und Policies mit Negativtests absichern

Agenda

• Tag 1
  • RADIUS-/AAA-Grundlagen für Policy-Design und Request-Flows
  • Policy-Modellierung: Inputs, Entscheidungen, Outputs
  • Directory-Anbindung, Gruppenmodelle, Device- vs. User-Identity
  • Lab: Policy-Blueprint als Entscheidungsbaum erstellen
• Tag 2
  • Zuweisungen: VLAN, ACL, Rollen, Zeitfenster, Standort, Gerätetyp
  • Logging und Privacy: Minimalprinzip, Zweckbindung, Aufbewahrung
  • Lab: Testkatalog, Negativtests, Rollback-Strategien
  • Betrieb: Change-Prozesse, Versionsmanagement, Abnahme

Übungen

• Policy-Blueprint erstellen
  • Input-Daten definieren: Identitätstyp, Gerätezustand, Zertifikatstyp, Gruppen
  • Mindest-Default festlegen: „deny by default“ und Ausnahmeprinzip
  • Entscheidungen modellieren: Zugangsklasse → Zuweisungen → Logging-Level
  • Konflikte bereinigen: Prioritäten, Overlaps, Schattenregeln
  • Finalen Policy-Baum und Tabellenform erstellen
• Testkatalog und Negativtests
  • Positivfälle definieren: Standard-User, Admin-Device, Guest, IoT
  • Negativfälle definieren: abgelaufenes Zertifikat, falsche OU, unbekannte CA
  • Erwartete Outcomes festlegen: Reject-Grund, Logging-Event, Alarmierung
  • Change-Rollout planen: Staging, Canary, Monitoring-Kriterien

Ergebnisse und Templates

• Policy-Blueprint (Baum und Matrix)
• Testkatalog (Positiv und Negativ) für Abnahme
• Logging-Minimalstandard für AAA