Zum Hauptinhalt springen
Deutsch

EAP-Methoden im Vergleich: PEAP, EAP-TLS, EAP-TTLS und EAP-FAST

Dieser maßgebliche technische Leitfaden bietet einen direkten Vergleich von PEAP, EAP-TLS, EAP-TTLS und EAP-FAST für die WiFi-Authentifizierung in Unternehmen. Er liefert praxisnahe Empfehlungen zu Sicherheitsniveau, Bereitstellungskomplexität und Gerätekompatibilität, um IT-Managern und Netzwerkarchitekten bei der Auswahl der optimalen 802.1X-Bereitstellungsstrategie zu helfen.

📖 6 Min. Lesezeit📝 1,483 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

header_image.png

Management-Summary

Für IT-Manager und Netzwerkarchitekten in Unternehmen ist die Wahl der richtigen EAP-Methode (Extensible Authentication Protocol) eine kritische Entscheidung, die ein Gleichgewicht zwischen Sicherheitsniveau, Bereitstellungskomplexität und Benutzererfahrung herstellen muss. Da Unternehmen von anfälligen Pre-Shared Keys (PSKs) auf eine 802.1X-Authentifizierung umsteigen, verengt sich die Auswahl in der Regel auf vier primäre Methoden: PEAP, EAP-TLS, EAP-TTLS und EAP-FAST. Dieser Leitfaden bietet einen direkten, technischen Vergleich dieser Methoden und rüstet Sie aus, um fundierte Architekturentscheidungen für Ihr Guest WiFi und Ihre internen Unternehmensnetzwerke zu treffen. Wir werden die Sicherheitsunterschiede zwischen passwortbasierten, getunnelten Methoden und der gegenseitigen Zertifikatsauthentifizierung untersuchen, evaluieren, wann bestimmte Methoden geeignet sind, und praxisnahe Implementierungsempfehlungen für moderne Unternehmensumgebungen geben.

Technischer Deep-Dive: EAP-Methoden im Vergleich

PEAP (Protected EAP)

PEAP gilt weithin als das Arbeitstier für die 802.1X-Authentifizierung in Unternehmen. Es wurde gemeinsam von Cisco, Microsoft und RSA Security entwickelt und erstellt einen verschlüsselten TLS-Tunnel unter Verwendung eines serverseitigen Zertifikats. Innerhalb dieses sicheren Tunnels authentifiziert sich der Client über eine ältere Methode, am häufigsten MSCHAPv2.

Der Hauptvorteil von PEAP ist seine nahezu universelle native Unterstützung auf modernen Betriebssystemen, einschließlich Windows, macOS, iOS und Android. Da es nur ein Zertifikat auf dem RADIUS-Server und nicht auf den Client-Geräten erfordert, ist die Bereitstellung erheblich weniger komplex als bei zertifikatsbasierten Alternativen. Dies macht PEAP äußerst attraktiv für BYOD-Umgebungen (Bring Your Own Device) oder große öffentliche Veranstaltungsorte wie Transport -Knotenpunkte, an denen die Verwaltung von Client-Zertifikaten unpraktisch ist.

Jedoch birgt die Abhängigkeit von PEAP von Passwörtern (über MSCHAPv2) Sicherheitsrisiken. Wenn ein Client-Gerät nicht strikt so konfiguriert ist, dass es das Zertifikat des Servers validiert, können Benutzer dazu verleitet werden, sich mit einem gefälschten Access Point (einem „Evil-Twin“-Angriff) zu verbinden. Der gefälschte AP kann dann das MSCHAPv2-Challenge-Response-Verfahren abfangen, das offline geknackt werden kann, um das Passwort des Benutzers wiederherzustellen. Daher ist die Durchsetzung einer strikten Serverzertifikatsvalidierung über Gruppenrichtlinien oder MDM eine zwingende Sicherheitsmaßnahme bei der Bereitstellung von PEAP.

EAP-TLS (EAP-Transport Layer Security)

EAP-TLS stellt den Goldstandard für die drahtlose Sicherheit in Unternehmen dar. Im Gegensatz zu PEAP erfordert EAP-TLS eine gegenseitige Zertifikatsauthentifizierung. Sowohl der RADIUS-Server und das Client-Gerät müssen ein gültiges digitales Zertifikat vorlegen, bevor ein Netzwerkzugriff gewährt wird.

Diese gegenseitige Authentifizierung macht Passwörter völlig überflüssig, wodurch Diebstahl von Anmeldedaten, Wörterbuchangriffe und Angriffe durch gefälschte APs wirkungslos werden. Wenn ein Gerät nicht über das richtige Client-Zertifikat verfügt, kann es sich schlichtweg nicht mit dem Netzwerk verbinden. Für Unternehmen, die strengen regulatorischen Anforderungen unterliegen, wie z. B. PCI DSS im Sektor Retail oder HIPAA im Bereich Healthcare , ist EAP-TLS der dringend empfohlene Ansatz.

Der Kompromiss für diese erhöhte Sicherheit ist die Komplexität der Bereitstellung. Die Implementierung von EAP-TLS erfordert eine robuste Public-Key-Infrastruktur (PKI) zum Ausstellen, Erneuern und Widerrufen von Zertifikaten. Zudem ist eine MDM-Lösung (Mobile Device Management) wie Microsoft Intune oder Jamf erforderlich, um diese Zertifikate sicher an Endpunkte zu verteilen. Für Anleitungen zu Apple-Umgebungen lesen Sie unseren Leitfaden Jamf und RADIUS: Zertifikatsbasierte WiFi-Authentifizierung für Apple-Geräteflotten . EAP-TLS ist die optimale Wahl für unternehmenseigene, verwaltete Geräteflotten, bei denen Sicherheit an erster Stelle steht.

eap_security_comparison_chart.png

EAP-TTLS (EAP Tunneled TLS)

EAP-TTLS, gemeinsam entwickelt von Funk Software und Certicom, funktioniert ähnlich wie PEAP, indem es einen verschlüsselten TLS-Tunnel unter Verwendung eines serverseitigen Zertifikats aufbaut. Der Hauptunterschied liegt in der Flexibilität hinsichtlich der internen Authentifizierungsmethode. Während PEAP stark an MSCHAPv2 gebunden ist, kann EAP-TTLS fast jedes Authentifizierungsprotokoll, einschließlich PAP, CHAP oder MSCHAP, sicher innerhalb des Tunnels kapseln.

Diese Flexibilität macht EAP-TTLS äußerst wertvoll in Umgebungen, die eine Authentifizierung gegenüber älteren LDAP-Verzeichnissen, RADIUS-Proxys oder Nicht-Microsoft-Identitätsspeichern erfordern, die MSCHAPv2 nicht nativ unterstützen. Es ist bekanntermaßen das zugrunde liegende Protokoll für eduroam, den weltweiten Roaming-Zugangsdienst für die internationale Forschungs- und Bildungsgemeinschaft. In der Vergangenheit war die native Client-Unterstützung für EAP-TTLS weniger weit verbreitet als für PEAP und erforderte auf älteren Windows-Versionen oft Supplicants von Drittanbietern, aber moderne Betriebssysteme bieten heute eine robuste native Unterstützung.

EAP-FAST (Flexible Authentication via Secure Tunneling)

Von Cisco als schneller Ersatz für das hochgradig anfällige LEAP-Protokoll entwickelt, wurde EAP-FAST konzipiert, um eine sichere Authentifizierung ohne die strikte Anforderung zur Bereitstellung digitaler Zertifikate zu ermöglichen. Anstatt ein Serverzertifikat zu verwenden, um den sicheren Tunnel aufzubauen, stützt sich EAP-FAST auf Protected Access Credentials (PACs) – opake Datenblöcke, die den Clients vom Authentifizierungsserver dynamisch bereitgestellt werden.

EAP-FAST zeichnet sich durch seine Fähigkeiten zur schnellen Wiederaufnahme von Sitzungen aus. Obwohl es einen sicheren, verschlüsselten Tunnel bietet, macht es die Abhängigkeit von PACs anstelle von Standard-X.509-Zertifikaten gewissermaßen proprietär und weniger kompatibel mit modernen, herstellerneutralen Zero-Trust-Architekturen. Heutzutage ist EAP-FAST in erster Linie in älteren Cisco-zentrierten Umgebungen, spezifischen IoT-Bereitstellungen oder spezialisierten, robusten Geräten relevant. Für die meisten neuen Unternehmensbereitstellungen werden PEAP oder EAP-TLS bevorzugt.

Implementierungsleitfaden

Die Bereitstellung der 802.1X-Authentifizierung erfordert eine sorgfältige Planung über den gesamten Netzwerk-Stack hinweg, von den Wireless Access Points bis hin zur RADIUS-Infrastruktur und den Identity Providern. Bei der Integration in die Plattform von Purple unterstützen unsere RADIUS-Server alle gängigen EAP-Methoden und gewährleisten so eine nahtlose Authentifizierung, bevor Benutzer mit Funktionen wie Wayfinding oder WiFi Analytics interagieren.

eap_deployment_scenario.png

Schritt 1: Definition der Authentifizierungsstrategie

Analysieren Sie Ihre Endgeräte-Flotte. Wenn sich die Geräte im Unternehmensbesitz befinden und über ein MDM verwaltet werden, sollten Sie EAP-TLS anstreben. Wenn Sie BYOD unterstützen, ist PEAP die pragmatische Wahl. Stellen Sie sicher, dass Ihr Identity Provider (Active Directory, Google Workspace, Okta) die erforderlichen Protokolle unterstützt (z. B. MSCHAPv2 für PEAP).

Schritt 2: Zertifikatsverwaltung

Für alle Methoden außer EAP-FAST müssen Sie ein Serverzertifikat auf Ihrem RADIUS-Server bereitstellen. Dieses Zertifikat sollte im Idealfall von einer vertrauenswürdigen öffentlichen Zertifizierungsstelle (CA) ausgestellt werden, um clientseitige Vertrauenswarnungen zu minimieren. Eine interne Enterprise-CA kann jedoch verwendet werden, wenn Sie alle Endgeräte kontrollieren. Richten Sie für EAP-TLS Ihre PKI ein und konfigurieren Sie Ihr MDM so, dass Client-Zertifikate automatisch mit den korrekten Subject Alternative Name (SAN)-Zuweisungen bereitgestellt werden.

Schritt 3: RADIUS- und Access-Point-Konfiguration

Konfigurieren Sie Ihre Wireless Access Points für die Verwendung von WPA2-Enterprise oder WPA3-Enterprise und verweisen Sie mit den korrekten Shared Secrets auf die IP-Adressen Ihres RADIUS-Servers. Definieren Sie auf dem RADIUS-Server Ihre Netzwerkrichtlinien, indem Sie die zulässigen EAP-Methoden angeben und erfolgreiche Authentifizierungen basierend auf der Benutzer- oder Gerätegruppenmitgliedschaft den entsprechenden VLANs zuweisen.

Schritt 4: Konfiguration des Endpoint-Supplicants

Dies ist der kritischste Schritt für die Sicherheit. Verwenden Sie für PEAP ein MDM oder Gruppenrichtlinien, um ein vorkonfiguriertes WiFi-Profil auf die Geräte zu übertragen. Dieses Profil MUSS explizit die vertrauenswürdigen RADIUS-Servernamen und die vertrauenswürdige Root-CA angeben, die das Serverzertifikat ausgestellt hat. Deaktivieren Sie unbedingt die Option, die Benutzer auffordert, neuen Servern oder Zertifikaten zu vertrauen.

Best Practices

  1. Verlassen Sie sich bei Zertifikaten niemals auf das Urteil der Benutzer: Konfigurieren Sie bei der Bereitstellung von PEAP oder EAP-TTLS die Endpoint-Supplicants immer so vor, dass sie bestimmten Serverzertifikaten vertrauen. Wenn Sie sich darauf verlassen, dass Benutzer bei einer Zertifikatswarnung auf „Akzeptieren“ klicken, wird das gesamte Sicherheitsmodell untergraben und das Netzwerk Angriffen durch gefälschte Access Points (Rogue APs) ausgesetzt.
  2. Automatisieren Sie das Zertifikats-Lebenszyklus-Management: Das Ablaufen von Zertifikaten ist eine der Hauptursachen für 802.1X-Ausfälle. Implementieren Sie automatisierte Überwachungs- und Erneuerungsprozesse sowohl für RADIUS-Serverzertifikate als auch für Client-Zertifikate in EAP-TLS-Bereitstellungen.
  3. WPA3-Enterprise implementieren: Sofern die Client-Unterstützung dies zulässt, sollten Sie auf WPA3-Enterprise umsteigen. Es schreibt die Verwendung von Protected Management Frames (PMF) vor und bietet eine optionale 192-Bit-Sicherheits-Suite, die einen stärkeren kryptografischen Schutz als WPA2 bietet.
  4. Segmentieren Sie das Netzwerk: Verwenden Sie RADIUS-Attribute (wie Filter-Id oder Tunnel-Private-Group-Id), um authentifizierte Benutzer basierend auf ihrer Rolle dynamisch bestimmten VLANs zuzuweisen und so den Gast-Traffic von Unternehmensressourcen zu isolieren. Weitere Informationen zum modernen Netzwerkdesign finden Sie unter Die wichtigsten SD-WAN-Vorteile für moderne Unternehmen .

Fehlerbehebung & Risikominderung

Häufige Fehlerquellen bei EAP-Bereitstellungen hängen in der Regel mit der Zertifikatsvalidierung und der Integration von Identity Providern zusammen.

  • Symptom: Clients können nach einem RADIUS-Server-Update keine Verbindung herstellen.
    • Risiko: Das neue Serverzertifikat wurde nicht von der Root-CA ausgestellt, der die Clients vertrauen, oder der Servername hat sich geändert.
    • Behebung: Testen Sie Zertifikats-Rollover immer in einer Staging-Umgebung. Stellen Sie sicher, dass die neue Zertifikatskette von allen Endgeräteprofilen vollständig als vertrauenswürdig eingestuft wird, bevor Sie sie in der Produktionsumgebung anwenden.
  • Symptom: iOS-Geräte verbinden sich problemlos, aber Windows-Geräte schlagen fehl.
    • Risiko: Windows-Supplicants sind oft strenger bei der Validierung der Server Name Indication (SNI) oder der spezifischen EKU-Attribute (Extended Key Usage) auf dem Serverzertifikat.
    • Behebung: Überprüfen Sie, ob das Serverzertifikat die EKU „Serverauthentifizierung“ enthält und ob der SAN mit dem im Windows-WiFi-Profil konfigurierten Namen übereinstimmt.

ROI & geschäftliche Auswirkungen

Der Übergang zu einer robusten EAP-Methode bietet einen erheblichen geschäftlichen Mehrwert, der über die reine Sicherheit hinausgeht. Durch den Verzicht auf gemeinsam genutzte Passwörter reduzieren IT-Teams den betrieblichen Aufwand für Helpdesk-Tickets im Zusammenhang mit Passwort-Resets oder kompromittierten PSKs. In Umgebungen wie dem Gastgewerbe , in denen die Mitarbeiterfluktuation hoch sein kann, stellt die zertifikatsbasierte Authentifizierung (EAP-TLS) sicher, dass der Zugriff automatisch entzogen wird, wenn ein Gerät gelöscht wird oder ein Zertifikat abläuft, ohne dass ein globales Passwort geändert werden muss.

Darüber hinaus ist eine starke Authentifizierung eine Voraussetzung für Compliance-Frameworks wie PCI DSS und GDPR. Durch den Nachweis robuster Zugriffskontrollen minimieren Unternehmen das Risiko von behördlichen Bußgeldern und Reputationsschäden im Zusammenhang mit Datenpannen. Einen umfassenderen Blick auf die Modernisierung der Infrastruktur von Veranstaltungsorten finden Sie unter Moderne Hospitality-WiFi-Lösungen, die Ihre Gäste verdienen .

Podcast-Briefing

Hören Sie sich unser 10-minütiges technisches Briefing zu EAP-Methoden an, das Implementierungsstrategien und häufige Fallstricke behandelt: eap_methods_compared_peap_eap_tls_eap_ttls_and_eap_fast_podcast.wav

Schlüsseldefinitionen

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.

IT-Teams implementieren 802.1X, um unsichere gemeinsam genutzte Passwörter (PSKs) durch eine personalisierte Authentifizierung auf Enterprise-Niveau zu ersetzen.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Abrechnung (AAA) für Benutzer bietet, die sich mit einem Netzwerkdienst verbinden und diesen nutzen.

Der RADIUS-Server fungiert als zentrales Gehirn einer 802.1X-Bereitstellung. Er gleicht Anmeldedaten mit einem Identitätsanbieter ab und teilt dem Access Point mit, ob die Verbindung zugelassen werden soll.

Supplicant

Der Software-Client auf einem Endgerät (Laptop, Smartphone), der mit dem Authentifikator (Access Point) kommuniziert, um den Netzwerkzugriff über 802.1X auszuhandeln.

Fehlkonfigurierte Supplicants sind die Hauptursache für Sicherheitslücken in PEAP-Bereitstellungen, insbesondere wenn die Validierung des Serverzertifikats deaktiviert ist.

Mutual Authentication

Ein Sicherheitsprozess, bei dem sich beide Einheiten in einer Kommunikationsverbindung gegenseitig authentifizieren (z. B. verifiziert der Client den Server und der Server den Client).

Entscheidend zur Verhinderung von Angriffen durch gefälschte APs; EAP-TLS erzwingt dies von Natur aus, während PEAP eine strikte Supplicant-Konfiguration erfordert, um die Client-zu-Server-Verifizierung zu erreichen.

PKI (Public Key Infrastructure)

Eine Reihe von Rollen, Richtlinien, Hardware, Software und Verfahren, die erforderlich sind, um digitale Zertifikate zu erstellen, zu verwalten, zu verteilen, zu nutzen, zu speichern und zu widerrufen.

Eine robuste PKI ist die Voraussetzung für die Bereitstellung von EAP-TLS und stellt für kleinere IT-Teams oft die größte Einstiegshürde dar.

Evil Twin Attack

Ein gefälschter drahtloser Access Point, der sich als legitimes Unternehmensnetzwerk ausgibt, um die drahtlose Kommunikation abzuhören oder Anmeldedaten zu stehlen.

Dies ist der primäre Bedrohungsvektor für schlecht konfigurierte PEAP-Bereitstellungen, bei denen Clients das RADIUS-Serverzertifikat nicht validieren.

PAC (Protected Access Credential)

Ein starkes gemeinsames Geheimnis, das einem Client von einem Authentifizierungsserver dynamisch bereitgestellt wird und speziell in EAP-FAST verwendet wird, um einen sicheren Tunnel aufzubauen.

PACs ermöglichen EAP-FAST eine sichere Authentifizierung, ohne dass digitale Zertifikate bereitgestellt werden müssen.

MDM (Mobile Device Management)

Sicherheitssoftware, die von einer IT-Abteilung verwendet wird, um die Mobilgeräte von Mitarbeitern über mehrere Mobilfunkanbieter und verschiedene mobile Betriebssysteme hinweg zu überwachen, zu verwalten und zu sichern.

MDM ist für moderne EAP-TLS-Bereitstellungen unerlässlich. Es ermöglicht der IT, Client-Zertifikate und strikte WiFi-Profile geräuschlos auf Unternehmensgeräte zu übertragen.

Ausgearbeitete Beispiele

Eine nationale Einzelhandelskette muss sicheres WiFi für Point-of-Sale-Tablets (POS) in 500 Filialen bereitstellen. Die Tablets sind im Unternehmensbesitz und werden über Microsoft Intune verwaltet. Sie müssen die PCI-DSS-Anforderungen erfüllen. Welche EAP-Methode sollten sie wie implementieren?

Das Unternehmen sollte EAP-TLS implementieren. Mithilfe von Microsoft Intune konfigurieren sie ein SCEP-Profil (Simple Certificate Enrollment Protocol), um automatisch eindeutige Client-Zertifikate auf jedem POS-Tablet bereitzustellen. Anschließend pushen sie ein Wi-Fi-Profil über Intune, das die Tablets so konfiguriert, dass sie sich über WPA2/WPA3-Enterprise verbinden, wobei EAP-TLS als Authentifizierungsmethode festgelegt und das bereitgestellte Client-Zertifikat ausgewählt wird. Die RADIUS-Server werden so konfiguriert, dass sie die Geräte auf Basis dieser Zertifikate authentifizieren und sie einem eingeschränkten, PCI-konformen VLAN zuweisen.

Kommentar des Prüfers: EAP-TLS ist hier die einzig richtige Wahl. PCI DSS reguliert Umgebungen, die Karteninhaberdaten verarbeiten, sehr streng. PEAP würde auf Passwörtern basieren, die anfällig für Kompromittierungen sind und komplexe Rotationsrichtlinien erfordern. EAP-TLS bietet eine gegenseitige Authentifizierung und macht Passwörter völlig überflüssig, was die strengen Compliance-Anforderungen erfüllt. Die Verwaltung der Bereitstellung über Intune beseitigt die traditionelle Komplexität, die mit EAP-TLS verbunden ist.

Eine große Universität muss sicheres WiFi für 20.000 Studierende bereitstellen, die eine Mischung aus privaten Laptops, Smartphones und Tablets nutzen (BYOD). Die Universität nutzt Active Directory für das Identitätsmanagement. Wie sollten sie das Thema 802.1X angehen?

Die Universität sollte PEAP mit MSCHAPv2 implementieren. Sie installieren ein Serverzertifikat einer bekannten öffentlichen Zertifizierungsstelle (z. B. DigiCert, Let's Encrypt) auf ihren RADIUS-Servern. Um die Sicherheit zu gewährleisten, müssen sie ein Onboarding-Tool (wie SecureW2 oder eine benutzerdefinierte App) bereitstellen, das die Geräte der Studierenden automatisch konfiguriert. Dieses Tool erstellt das WiFi-Profil, definiert explizit die vertrauenswürdigen RADIUS-Servernamen und erzwingt die Validierung des Serverzertifikats, um zu verhindern, dass sich Studierende mit gefälschten Access Points (APs) verbinden.

Kommentar des Prüfers: PEAP ist die pragmatische Wahl für umfangreiche BYOD-Bereitstellungen, da das Ausstellen und Verwalten von 20.000 Client-Zertifikaten für nicht verwaltete Geräte (EAP-TLS) ein operativer Albtraum ist. Der kritische Erfolgsfaktor ist hier das Onboarding-Tool. Wenn Studierende ihre Geräte manuell konfigurieren, versäumen sie es wahrscheinlich, die Servervalidierung korrekt einzurichten, wodurch ihre Active Directory-Anmeldedaten anfällig für Abfangversuche werden.

Übungsfragen

Q1. Ihr Unternehmen migriert von Google Workspace zu einem neuen cloudbasierten Identitätsanbieter, der nur LDAP und kein MSCHAPv2 unterstützt. Sie müssen Ihr bestehendes passwortbasiertes 802.1X-WiFi für ältere Geräte beibehalten. Welche EAP-Methode müssen Sie auf Ihrem RADIUS-Server konfigurieren?

Hinweis: Überlegen Sie, welche getunnelte Methode andere interne Authentifizierungsprotokolle als MSCHAPv2 zulässt.

Musterlösung anzeigen

Sie müssen EAP-TTLS konfigurieren. Im Gegensatz zu PEAP, das für die interne Authentifizierung stark auf MSCHAPv2 angewiesen ist, kann EAP-TTLS ältere Protokolle wie PAP oder CHAP in seinem sicheren TLS-Tunnel kapseln. Dadurch kann es mit LDAP-Verzeichnissen kommunizieren, die MSCHAPv2 nicht unterstützen.

Q2. Ein Sicherheitsaudit zeigt, dass die Active Directory-Passwörter von Benutzern kompromittiert werden, wenn sie ihre Smartphones in Cafés mit öffentlichen WiFi-Netzwerken verbinden. Die Angreifer strahlen die SSID des Unternehmens aus. Ihre aktuelle Bereitstellung nutzt PEAP. Wie können Sie dieses Risiko minimieren, ohne die EAP-Methode zu ändern?

Hinweis: Das Problem ist, dass die Client-Geräte dem gefälschten AP blind vertrauen. Wie zwingen Sie den Client dazu, zu überprüfen, ob er mit dem echten Unternehmensnetzwerk kommuniziert?

Musterlösung anzeigen

Sie müssen die Endpunkt-Supplicants (über MDM oder Gruppenrichtlinien) so konfigurieren, dass sie eine strikte Validierung des Serverzertifikats erzwingen. Das WiFi-Profil muss explizit die Namen der vertrauenswürdigen RADIUS-Server des Unternehmens und die spezifische Root-CA angeben, die deren Zertifikate ausgestellt hat. Zudem müssen Sie die Einstellung deaktivieren, die Benutzer auffordert, unbekannten Zertifikaten zu vertrauen. So wird sichergestellt, dass die Verbindung geräuschlos fehlschlägt, wenn der Server nicht authentifiziert ist.

Q3. Sie stellen eine Flotte robuster Barcodescanner in einem Lager bereit. Die Geräte laufen mit einem älteren Embedded-Betriebssystem, das weder WPA2-Enterprise noch Standard-802.1X-Zertifikate unterstützt, aber Cisco Compatible Extensions (CCX) unterstützt. Sie benötigen eine sichere Authentifizierung. Welche EAP-Methode ist am wahrscheinlichsten zu verwenden?

Hinweis: Suchen Sie nach dem Protokoll, das speziell von Cisco für Umgebungen entwickelt wurde, in denen die Bereitstellung von Zertifikaten schwierig oder unmöglich ist.

Musterlösung anzeigen

EAP-FAST ist hier die richtige Wahl. Es wurde von Cisco speziell für Umgebungen entwickelt, in denen die Bereitstellung von Zertifikaten unpraktisch ist. Es verwendet dynamisch bereitgestellte Protected Access Credentials (PACs), um den sicheren Tunnel aufzubauen. Dadurch eignet es sich für ältere oder spezialisierte Hardware, die zwar CCX unterstützt, aber keine robusten PKI-Funktionen bietet.

Weiterlesen in dieser Reihe

Per-Device PSK nach Anbieter: iPSK, DPSK, MPSK und PPSK im Vergleich (und WPA3-Unterstützung)

Ein umfassender Vergleich von Per-Device-PSK-Implementierungen bei Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet und Ubiquiti UniFi. Erfahren Sie, wie sich WPA3-SAE auf Per-Device-Key-Strategien auswirkt und wann Übergangsmodi im Vergleich zum Wechsel zu 802.1X eingesetzt werden sollten.

Leitfaden lesen →

What Is MAC Address Authentication? When to Use It and When to Avoid It

Dieser maßgebliche technische Leitfaden behandelt die MAC-Adressauthentifizierung in Unternehmens-WiFi-Umgebungen – wie RADIUS-basierte MAC-Authentifizierung auf Layer 2 funktioniert, ihre inhärenten Sicherheitslücken (einschließlich MAC-Spoofing und die Auswirkungen der MAC-Randomisierung auf OS-Ebene) und die genauen operativen Kontexte, in denen sie ein gültiges Werkzeug zur Verwaltung von IoT- und kopflosen Geräten bleibt. Er bietet umsetzbare Bereitstellungsanleitungen für IT-Manager und Netzwerkarchitekten in den Bereichen Gastgewerbe, Einzelhandel, Gesundheitswesen und öffentlicher Sektor, mit realen Fallbeispielen, Entscheidungsrahmen und Integrationskontext für die Gast-WiFi- und Analyseplattform von Purple.

Leitfaden lesen →

How to Set Up Enterprise WiFi on iOS and macOS with 802.1X

Dieser maßgebliche Leitfaden bietet leitenden IT-Führungskräften umsetzbare Schritte für die Bereitstellung von 802.1X Enterprise WiFi auf iOS- und macOS-Geräten. Er behandelt die zertifikatbasierte Authentifizierung (EAP-TLS), MDM-Konfigurationsprofile und die Architekturintegration zur Sicherung von Unternehmensnetzwerken bei gleichzeitiger Unterstützung von BYOD-Initiativen.

Leitfaden lesen →