Das EK schreibt aber auch:

Eine höhere Sicherheit erreicht man nur durch den Einsatz zusätzlicher Zertifikate über EAP-TLS. Hierbei identifizieren sich RADIUS-Server und Client gegenseitig. Der dafür notwendige Einrichtungsaufwand sollte nicht unterschätzt werden. Selbst große Unternehmen betreiben diesen Aufwand nicht.

Nicht nur deshalb würde ich vorher überlegen, ob es nicht einfacher ist, sich durchweg verschlüsselter Protokolle + Authentifizierung zu bedienen, denn das bleibt sowieso notwendig.

Ich finde es für mich etwas verwirrend, wenn ein Client im LAN so wie im WLAN authentifiziert. 😉 Und irritierend, dass der Aufwand so groß ist.

Natürlich verwenden wir auch verschlüsselte Protokolle und sichere Authentifizierungen (Passwörter mind. 12 Zeichen, Zwangswechsel alle 90 Tage, z.T. 2FA) und alle Abteilungen und auch Drucker separat sind in eigenen VLANs.

Aber wir wollen bereits vorher alle unbekannten Geräte aussperren. Das haben wir bisher eben mit Mac-Based-Authentication gemacht. Jedes kommunizierende Netzwerkgerät hat eine eigene Mac-Adresse. Diese muss bei uns hinterlegt sein, sowohl auf dem Radius-Server, als auch auf dem DHCP-Server. Leider gibt es immer mehr Geräte, wo das so nicht mehr funktioniert. Angefangen bei den Surface-Docks, aber da waren die Anschlüsse noch ziemlich speziell. Aber mit den USB-C-Docks kann nun jeder Fremde einfach sein Gerät anschließen, erhält Zugriff ins Netz und kann von dort mitsniffen etc.

Wir sind da ein gebranntes Kind, es hat mal ein externer Dienstleister das Netzkabel eines Druckers in sein Notebook gesteckt und damit einen Virus in unser Netz übertragen, der alle Windows-Geräte und Server über eine damalige Sicherheitslücke infiziert hatte. Wenn jetzt wieder ein solcher Dienstleister sein Notebook an eine USB-C-Dock oder an einen Drucker-Port anschließt, ist so etwas wieder nicht mehr auszuschließen.