Was ist PEAP-Authentifizierung? Wie PEAP Ihr WiFi sichert

Dieser maßgebliche Leitfaden erläutert die PEAP-Authentifizierung für Unternehmens-WiFi-Netzwerke, detailliert deren Architektur, Sicherheitsbeschränkungen im Vergleich zu EAP-TLS und praktische Bereitstellungsstrategien. Er wurde für IT-Manager und Netzwerkarchitekten entwickelt und bietet umsetzbare Einblicke, wann PEAP-MSCHAPv2 weiterhin angemessen ist und wie es gegen moderne Bedrohungen gesichert werden kann.

📖 5 Min. Lesezeit📝 1,239 Wörter🔧 2 Beispiele❓ 3 Fragen📚 8 Schlüsselbegriffe

🎧 Diesen Leitfaden anhören

Transkript anzeigen

What Is PEAP Authentication? How PEAP Secures Your WiFi. A Purple Enterprise WiFi Intelligence Briefing.

Welcome. If you're responsible for network security at a hotel group, a retail estate, a stadium, or a public-sector organisation, this briefing is for you. Over the next ten minutes, we're going to cover PEAP authentication — what it actually is, how it works under the hood, where it fits in your security architecture, and critically, when it's the right call versus when you should be looking at something stronger. Let's get into it.

Section one: Context and why this matters right now.

Most enterprise WiFi deployments today still rely on one of two authentication models. You've either got a pre-shared key — a single password shared across the organisation — or you've got 802.1X, which is the IEEE standard for port-based network access control. PEAP sits firmly in the 802.1X camp, and it's by far the most widely deployed EAP method in corporate and institutional environments globally.

The reason PEAP became so dominant is straightforward: it solved a real operational problem. Before PEAP, deploying certificate-based WiFi authentication meant issuing client certificates to every device — every laptop, every phone, every tablet. For an organisation with five hundred employees and a BYOD policy, that's a PKI deployment headache that most IT teams simply didn't have the budget or the time for. PEAP offered a middle path: strong server-side authentication via TLS, with username and password credentials on the client side. No client certificates required.

That compromise made PEAP the de facto standard for enterprise WiFi authentication through the 2000s and 2010s, and it remains extremely common today. Understanding its architecture — and its limitations — is essential for anyone making infrastructure decisions in 2024 and beyond.

Section two: Technical deep-dive.

Let's walk through exactly what happens when a device authenticates via PEAP. The process has two distinct phases, and understanding both is critical.

The three actors in this exchange are: the supplicant — that's the client device, whether it's a laptop, a smartphone, or an IoT terminal; the authenticator — typically the wireless access point or the wireless LAN controller; and the authentication server — almost always a RADIUS server, such as Microsoft NPS, FreeRADIUS, or a cloud-hosted RADIUS service.

Phase one is TLS tunnel establishment. When the supplicant attempts to connect, the authenticator doesn't grant access immediately. Instead, it initiates an EAP exchange over the local network — this is EAPOL, EAP over LAN. The authenticator forwards this to the RADIUS server, which presents its server-side TLS certificate to the client. The client validates that certificate against its trusted certificate store. If validation succeeds, a TLS tunnel is established between the client and the RADIUS server. This tunnel is encrypted — typically TLS 1.2 or 1.3 in modern deployments.

Phase two is inner authentication. Inside that encrypted tunnel, the actual credentials are exchanged. In the most common deployment — PEAP-MSCHAPv2 — the client sends a username and password using the Microsoft Challenge Handshake Authentication Protocol version 2. The RADIUS server validates those credentials against its identity store, which might be Active Directory, LDAP, or a cloud identity provider. If the credentials check out, the RADIUS server sends an Access-Accept message back through the authenticator, and the client is granted network access.

The key security property here is that the MSCHAPv2 exchange happens inside the TLS tunnel. An attacker passively monitoring the wireless channel cannot see the credentials in transit. That's the core value proposition of PEAP.

Now, where does PEAP-MSCHAPv2 fall short? There are two significant issues that any security-conscious architect needs to understand.

First: server certificate validation. PEAP only requires the server to present a certificate — it does not require the client to present one. This creates a well-documented attack vector. If a client device is misconfigured to accept any certificate — or to accept certificates from any CA — an attacker can stand up a rogue access point, present a fraudulent certificate, and intercept the MSCHAPv2 handshake. Tools like hostapd-wpe have made this attack trivially accessible. The mitigation is rigorous supplicant configuration: enforce server certificate validation, pin the expected CA, and specify the server's common name. This is non-negotiable in any serious deployment.

Second: MSCHAPv2 is an older protocol with known weaknesses. The 2012 research by Moxie Marlinspike demonstrated that MSCHAPv2 challenge-response pairs can be cracked offline with sufficient compute. If an attacker does capture the inner authentication exchange — for example through the rogue AP attack described above — they can attempt to recover the plaintext password offline. The strength of your password policy therefore directly affects your exposure. Long, complex, randomly generated passwords significantly reduce this risk.

Compare this to EAP-TLS, where both the server and the client present certificates. There are no passwords to steal. The attack surface is dramatically reduced. The trade-off is operational complexity: you need a PKI, you need to issue and manage client certificates, and you need a mechanism to distribute them to every device. For organisations with a mature MDM deployment and a well-managed PKI, EAP-TLS is the gold standard. For everyone else, PEAP-MSCHAPv2 with rigorous configuration remains a defensible and practical choice.

Section three: Implementation recommendations and pitfalls.

Let me give you the practical deployment guidance. These are the things that separate a secure PEAP deployment from a vulnerable one.

Number one: enforce server certificate validation on every supplicant. This is the single most important configuration item. In Windows, this is the "Validate server certificate" checkbox in the wireless network profile. In iOS and Android, it's the CA certificate field in the EAP configuration. If this is not configured, your PEAP deployment is vulnerable to rogue AP attacks regardless of how well everything else is set up.

Number two: deploy via MDM or GPO, not manual configuration. Manual configuration by end users is unreliable. Users will click through certificate warnings. They will misconfigure the CA field. Push your wireless profiles via Microsoft Intune, Jamf, or Group Policy. This ensures consistent, policy-compliant supplicant configuration across your estate.

Number three: use TLS 1.2 as a minimum on your RADIUS server. Disable TLS 1.0 and 1.1. Most modern RADIUS implementations support this, but it's worth verifying — particularly on older on-premises deployments.

Number four: integrate with your identity provider. PEAP-MSCHAPv2 authenticates against a credential store. That store should be your authoritative identity provider — Active Directory, Azure AD via NPS extension, or a cloud RADIUS service with LDAP integration. This means that when an employee leaves, disabling their account immediately revokes their WiFi access. No shared secrets to rotate, no manual deprovisioning.

Number five: consider your guest network separately. PEAP is an enterprise authentication method. For guest WiFi — where you're onboarding visitors, customers, or event attendees — you need a different approach. Platforms like Purple provide a purpose-built guest WiFi layer that handles captive portal authentication, data capture, and analytics without requiring RADIUS infrastructure on the guest SSID. Keep your enterprise SSID on 802.1X with PEAP, and your guest SSID on a separate, isolated network with appropriate onboarding.

Number six: plan for certificate rotation. Your RADIUS server certificate will expire. When it does, every client that has pinned that certificate will fail to authenticate until the new certificate is distributed. Build certificate renewal into your operational calendar — at least 90 days before expiry — and test the rotation process in a staging environment before rolling it out to production.

The most common failure modes I see in the field are: certificate validation not enforced, leading to rogue AP vulnerability; RADIUS server certificates that expire without warning, causing widespread authentication failures; and MSCHAPv2 inner authentication exposed because the RADIUS server is accessible from the wrong network segment. All three are avoidable with proper planning.

Section four: Rapid-fire questions.

Can PEAP work with cloud identity providers like Azure AD? Yes. Microsoft's NPS extension for Azure AD MFA allows you to proxy PEAP authentication through Azure AD, enabling multi-factor authentication on your WiFi. Alternatively, cloud RADIUS services like Cisco ISE, Aruba ClearPass, or JumpCloud RADIUS can integrate directly with Azure AD or Okta.

Is PEAP compliant with PCI DSS? PEAP-MSCHAPv2 can be used in PCI DSS environments, but you need to ensure server certificate validation is enforced, TLS 1.2 or higher is in use, and the RADIUS server is properly segmented. PCI DSS 4.0 tightens requirements around network access controls — review the relevant requirements with your QSA.

Should I migrate from PEAP to EAP-TLS? If you have a mature MDM deployment and the operational capacity to manage a PKI, yes — EAP-TLS is the stronger choice. If you're managing a mixed estate with personal devices, legacy hardware, or limited MDM coverage, PEAP-MSCHAPv2 with rigorous configuration remains appropriate. This is a risk-based decision, not a binary one.

What about WPA3-Enterprise? WPA3-Enterprise mandates 192-bit security mode for high-security environments, but it still supports EAP methods including PEAP. WPA3 improves the over-the-air encryption but does not change the EAP authentication exchange itself.

Section five: Summary and next steps.

To bring this together: PEAP is a two-phase authentication protocol that wraps inner credentials — typically MSCHAPv2 — inside a TLS tunnel. It's the most widely deployed 802.1X EAP method because it eliminates the need for client certificates while still providing strong server authentication. Its primary vulnerability is rogue AP attacks enabled by misconfigured supplicants that don't validate the server certificate. Mitigate this through MDM-enforced wireless profiles, CA pinning, and server name validation.

For most enterprise WiFi deployments — corporate offices, hotel back-of-house networks, retail staff networks — PEAP-MSCHAPv2 with proper configuration is a sound, defensible choice. For high-security environments, regulated industries, or organisations with mature PKI infrastructure, EAP-TLS provides meaningfully stronger security and should be the target architecture.

If you're also running guest WiFi alongside your enterprise network — and most of you are — remember that PEAP is not the right tool for guest onboarding. Look at platforms like Purple, which provide purpose-built guest WiFi authentication with analytics, data capture, and marketing integration, keeping your guest and enterprise traffic properly separated and your compliance posture intact.

For further reading, check out Purple's guides on RADIUS server architecture and enterprise WiFi authentication. Links are in the show notes.

Thanks for listening. This has been a Purple Enterprise WiFi Intelligence Briefing.

Zusammenfassung

Das Protected Extensible Authentication Protocol (PEAP) ist auch heute noch die am weitesten verbreitete 802.1X-Authentifizierungsmethode in Unternehmensumgebungen. Gemeinsam von Cisco, Microsoft und RSA Security entwickelt, wurde PEAP entworfen, um eine spezifische betriebliche Herausforderung zu lösen: wie eine starke, zertifikatbasierte Serverauthentifizierung erreicht werden kann, ohne den lähmenden administrativen Aufwand der Bereitstellung von Client-Zertifikaten auf jedem Gerät im Netzwerk.

Für IT-Direktoren und Netzwerkarchitekten, die komplexe Umgebungen verwalten – sei es im Einzelhandel , im Gesundheitswesen oder in großen Unternehmensbüros – bietet PEAP-MSCHAPv2 einen pragmatischen Mittelweg zwischen der Unsicherheit von Pre-Shared Keys (PSK) und der Bereitstellungskomplexität von EAP-TLS. Diese Bequemlichkeit geht jedoch mit inhärenten Sicherheitseinbußen einher. Da Angriffe über Rogue Access Points immer ausgefeilter werden, stellen falsch konfigurierte PEAP-Bereitstellungen eine kritische Schwachstelle dar.

Dieser Leitfaden bietet einen umfassenden technischen Einblick in die PEAP-Architektur, ihre Betriebsmechanismen und die obligatorischen Konfigurationsstandards, die zu ihrer Sicherung in modernen Unternehmensnetzwerken erforderlich sind.

Technischer Einblick: Die Architektur von PEAP

Um PEAP zu verstehen, müssen wir seinen zweistufigen Authentifizierungsprozess untersuchen. PEAP funktioniert, indem es einen sicheren äußeren Tunnel aufbaut, bevor sensible Anmeldeinformationen im inneren Tunnel ausgetauscht werden.

Phase 1: Aufbau des TLS-Tunnels

Wenn ein Supplicant (Client-Gerät) versucht, sich mit dem Netzwerk zu verbinden, blockiert der Authenticator (typischerweise ein Wireless Access Point) den gesamten Datenverkehr außer Extensible Authentication Protocol over LAN (EAPOL)-Frames. Der Authenticator leitet diese Frames an den Authentifizierungsserver weiter, normalerweise einen RADIUS-Server. Für ein umfassenderes Verständnis dieser Infrastruktur verweisen wir auf unseren Leitfaden zu Was ist RADIUS? Wie RADIUS-Server WiFi-Netzwerke sichern .

Während Phase 1 präsentiert der RADIUS-Server dem Supplicant sein digitales Zertifikat. Der Supplicant validiert dieses Zertifikat anhand seiner vertrauenswürdigen Root-Zertifizierungsstellen (CAs). Ist die Validierung erfolgreich, wird ein TLS (Transport Layer Security)-Tunnel zwischen dem Supplicant und dem RADIUS-Server aufgebaut. Dieser verschlüsselte Tunnel schützt die gesamte nachfolgende Kommunikation vor dem Abhören über das Wireless-Medium.

Phase 2: Innere Authentifizierung

Sobald der TLS-Tunnel aufgebaut ist, findet die eigentliche Benutzerauthentifizierung innerhalb dieses sicheren Kanals statt. Das gebräuchlichste innere Authentifizierungsprotokoll ist MSCHAPv2 (Microsoft Challenge Handshake Authentication Protocol Version 2).

Innerhalb des Tunnels sendet der Supplicant die Anmeldeinformationen des Benutzers (Benutzername und Passwort) an den RADIUS-Server. Der Server überprüft diese Anmeldeinformationen anhand eines Identitätsspeichers, wie Active Directory oder eines LDAP-Verzeichnisses. Sind die Anmeldeinformationen gültig, sendet der RADIUS-Server eine Access-Accept-Nachricht an den Authenticator zurück, und dem Client wird der Netzwerkzugriff gewährt.

Die entscheidende Sicherheitsprämisse von PEAP ist, dass der anfällige MSCHAPv2-Austausch vollständig innerhalb des verschlüsselten TLS-Tunnels gekapselt ist, wodurch er vor passiver Abhörung geschützt wird.

Implementierungsleitfaden: PEAP-MSCHAPv2 sichern

Obwohl PEAP hochfunktional ist, macht seine Standardkonfiguration auf vielen Client-Betriebssystemen es anfällig für ausgeklügelte Angriffe. Die sichere Implementierung von PEAP erfordert die strikte Einhaltung der folgenden Bereitstellungsstandards.

1. Obligatorische Serverzertifikatsvalidierung

Die größte Schwachstelle bei einer PEAP-Bereitstellung ist das Versäumnis, die Serverzertifikatsvalidierung auf Client-Seite durchzusetzen. Da PEAP kein Client-Zertifikat erfordert, muss der Supplicant absolut sicher sein, dass er mit dem legitimen RADIUS-Server kommuniziert, bevor er Anmeldeinformationen übermittelt.

Wenn ein Client-Gerät so konfiguriert ist, dass es jedes Zertifikat vertraut, kann ein Angreifer einen Rogue Access Point bereitstellen, ein betrügerisches Zertifikat präsentieren und den MSCHAPv2-Handshake abfangen. Tools wie hostapd-wpe automatisieren diesen Angriff.

Implementierungsmaßnahme: IT-Teams müssen alle Unternehmensgeräte so konfigurieren, dass das Serverzertifikat streng validiert wird. Dies beinhaltet das Anheften der spezifischen Root-CA, die das Zertifikat des RADIUS-Servers ausgestellt hat, und die explizite Definition des erwarteten Common Name (CN) oder Subject Alternative Name (SAN) des Servers.

2. MDM-erzwungene Wireless-Profile

Sich darauf zu verlassen, dass Endbenutzer 802.1X-Einstellungen manuell konfigurieren, ist ein garantierter Weg zum Scheitern. Benutzer klicken häufig durch Zertifikatswarnungen und gefährden so die Integrität des TLS-Tunnels.

Implementierungsmaßnahme: Wireless-Netzwerkprofile müssen über Mobile Device Management (MDM)-Plattformen (z. B. Microsoft Intune, Jamf) oder Gruppenrichtlinienobjekte (GPO) an alle Unternehmensgeräte verteilt werden. Diese Profile müssen die EAP-Einstellungen sperren und Benutzer daran hindern, die Anforderungen an die Zertifikatsvalidierung zu ändern.

3. Veraltete Protokolle ausmustern

Ältere TLS-Versionen enthalten bekannte kryptografische Schwachstellen. PEAP-Bereitstellungen müssen moderne Verschlüsselungsstandards durchsetzen.

Implementierungsmaßnahme: Konfigurieren Sie den RADIUS-Server so, dass er TLS 1.0- und TLS 1.1-Verbindungen ablehnt. Erzwingen Sie TLS 1.2 als absolutes Minimum, wobei TLS 1.3 bevorzugt wird, wo es von der Client-Basis unterstützt wird.

Best Practices: Strategische Netzwerksegmentierung

Ein häufiger Architekturfehler ist der Versuch, PEAP für den gesamten Wireless-Zugriff zu verwenden, einschließlich Gast- und BYOD-Netzwerken. PEAP ist für verwaltete Unternehmensgeräte konzipiert, die sich gegen ein zentrales Verzeichnis authentifizieren.

Gastzugriff isolieren

Für nicht-unternehmenseigene Geräte ist PEAP das falsche Werkzeug. Der Versuch, Gast-Anmeldeinformationen in einem RADIUS Verzeichnis schafft unnötigen Verwaltungsaufwand und birgt Sicherheitsrisiken.

Einrichtungen im Bereich Gastgewerbe und Transport sollten eine dedizierte Guest WiFi -Lösung implementieren. Plattformen wie Purple bieten ein sicheres, Captive Portal-basiertes Onboarding, das völlig unabhängig von der 802.1X-Unternehmensinfrastruktur arbeitet. Dies stellt sicher, dass der Gastdatenverkehr isoliert ist, während gleichzeitig eine umfassende Datenerfassung durch WiFi Analytics ermöglicht wird.

Die Rolle von EAP-TLS

Bei der Bewertung von PEAP müssen Netzwerkarchitekten auch EAP-TLS berücksichtigen. EAP-TLS bietet eine gegenseitige Authentifizierung – sowohl der Server als auch der Client müssen gültige Zertifikate vorlegen. Dies eliminiert die Abhängigkeit von Passwörtern vollständig und macht Angriffe durch Anmeldedatendiebstahl obsolet.

Obwohl EAP-TLS überlegene Sicherheit bietet, erfordert es eine robuste Public Key Infrastructure (PKI) zur Ausstellung und Verwaltung von Client-Zertifikaten. Für stark regulierte Umgebungen ist EAP-TLS die Zielarchitektur. Für Organisationen, denen es an PKI-Reife mangelt, bleibt eine streng konfigurierte PEAP-MSCHAPv2-Bereitstellung eine vertretbare Wahl.

Fehlerbehebung & Risikominderung

Selbst gut konzipierte PEAP-Bereitstellungen können betriebliche Ausfälle aufweisen. Das Verständnis der gängigen Fehlerursachen ist für eine schnelle Lösung unerlässlich.

Die Zertifikatsablaufkrise

Das störendste Ereignis in einer PEAP-Umgebung ist das unkontrollierte Ablaufen des RADIUS-Serverzertifikats. Wenn das Zertifikat abläuft, trennen alle Clients, die die Validierung erzwingen, sofort die Verbindung, was zu einem netzwerkweiten Ausfall führt.

Abhilfe: Implementieren Sie eine automatisierte Überwachung für das RADIUS-Serverzertifikat. Legen Sie eine Standardarbeitsanweisung fest, um das neue Zertifikat mindestens 30 Tage vor Ablauf zu erneuern und bereitzustellen. Wenn eine interne CA verwendet wird, stellen Sie sicher, dass die CA-Hierarchie selbst überwacht wird.

Passwortrichtlinie und Offline-Cracking

Während der TLS-Tunnel den MSCHAPv2-Austausch während der Übertragung schützt, werden Angreifer, die aufgrund falsch konfigurierter Clients erfolgreich einen Rogue AP-Angriff ausführen, die Challenge-Response-Paare erfassen. Forschungsergebnisse haben gezeigt, dass MSCHAPv2-Hashes offline geknackt werden können.

Abhilfe: Die Komplexität des zugrunde liegenden Benutzerpassworts ist die letzte Verteidigungslinie. Setzen Sie strenge Passwortrichtlinien durch – Mindestlängenanforderungen, Komplexitätsregeln und regelmäßige Rotation –, um den Rechenaufwand für das Offline-Cracken zu erhöhen.

ROI & Geschäftlicher Nutzen

Der Übergang von PSK zu einer ordnungsgemäß verwalteten PEAP 802.1X-Bereitstellung liefert messbaren Geschäftswert in mehreren Dimensionen.

Reduzierter Verwaltungsaufwand: Die direkte Integration der WiFi-Authentifizierung mit dem Unternehmensidentitätsanbieter (z. B. Active Directory) automatisiert das Onboarding und Offboarding. Wenn ein Mitarbeiter ausscheidet, entzieht die Deaktivierung seines Verzeichniskontos sofort den Netzwerkzugriff, wodurch die Notwendigkeit entfällt, ein gemeinsames Passwort zu ändern.
Verbesserte Auditierbarkeit: 802.1X bietet eine granulare, benutzerbezogene Transparenz des Netzwerkzugriffs. IT-Teams können Netzwerkaktivitäten eindeutig bestimmten Personen zuordnen, eine kritische Anforderung für Compliance-Frameworks wie PCI DSS und GDPR.
Risikominderung: Durch die Abkehr von gemeinsamen Schlüsseln reduzieren Unternehmen das Risiko eines unbefugten Zugriffs durch ehemalige Mitarbeiter oder böswillige Akteure erheblich und schützen so geistiges Eigentum und sensible Unternehmensdaten.

Für Organisationen, die ihre umfassendere Netzwerkarchitektur zusammen mit ihrer drahtlosen Sicherheit optimieren möchten, wird die Erkundung moderner WAN-Lösungen dringend empfohlen. Erfahren Sie mehr über Die wichtigsten SD WAN-Vorteile für moderne Unternehmen .

Schlüsselbegriffe & Definitionen

PEAP (Protected Extensible Authentication Protocol)

An 802.1X authentication protocol that encapsulates an inner authentication method (usually MSCHAPv2) within a secure TLS tunnel.

The dominant standard for enterprise WiFi authentication due to its balance of security and deployment ease.

802.1X

The IEEE standard for port-based Network Access Control, providing an authentication mechanism to devices wishing to attach to a LAN or WLAN.

The foundational framework that protocols like PEAP and EAP-TLS operate within.

EAPOL (EAP over LAN)

The protocol used to encapsulate EAP messages over a local area network, used during the initial stages of 802.1X authentication.

The mechanism by which the client and access point communicate before the network port is fully opened.

Supplicant

The client device (laptop, smartphone) requesting access to the network.

The endpoint that must be correctly configured to validate the server certificate in a PEAP deployment.

Authenticator

The network device (access point or switch) that facilitates the authentication process between the supplicant and the RADIUS server.

The enforcement point that blocks traffic until authentication is successful.

RADIUS (Remote Authentication Dial-In User Service)

A networking protocol that provides centralized Authentication, Authorization, and Accounting (AAA) management.

The server that validates the user's credentials and issues the final accept/reject decision.

MSCHAPv2

A challenge-response authentication protocol developed by Microsoft, commonly used as the inner authentication method within PEAP.

The protocol that actually verifies the username and password, but requires the protection of the PEAP TLS tunnel due to cryptographic weaknesses.

EAP-TLS

An EAP method that requires mutual authentication using digital certificates on both the client and the server.

The highly secure alternative to PEAP, requiring a PKI deployment but eliminating password-based vulnerabilities.

Fallstudien

A 300-bed luxury hotel needs to secure its back-of-house staff WiFi network. Currently, they use a single WPA2-Personal password that hasn't been changed in three years due to the operational disruption it would cause to update all point-of-sale terminals and staff tablets. How should they implement PEAP to resolve this?

The hotel should deploy an 802.1X architecture using PEAP-MSCHAPv2, integrating their wireless LAN controller with their central Active Directory via a RADIUS server (e.g., Microsoft NPS). They must use their MDM platform to push a standardized wireless profile to all staff tablets and POS terminals. This profile must explicitly enforce server certificate validation, pinning the CA that issued the NPS server's certificate. Staff will authenticate using their individual AD credentials.

Implementierungshinweise: This approach eliminates the vulnerability of a static shared key. By tying authentication to AD, offboarding staff immediately revokes their WiFi access. Using MDM to enforce certificate validation prevents rogue AP attacks, which are a high risk in public-facing hospitality environments.

A large retail chain is rolling out corporate laptops to store managers across 500 locations. They want to use PEAP-MSCHAPv2 but are concerned about the administrative burden of managing RADIUS certificates across so many sites.

Instead of deploying local RADIUS servers at each store, the retailer should utilize a cloud-hosted RADIUS solution integrated with their cloud identity provider (e.g., Azure AD or Okta). The access points at all 500 locations point to the cloud RADIUS endpoints. A single, globally trusted public certificate is used on the cloud RADIUS server, and the MDM payload deployed to the laptops pins this specific public certificate.

Implementierungshinweise: Centralizing the RADIUS infrastructure drastically reduces the management overhead. Using a public certificate simplifies the trust chain on the client devices, provided the MDM profile strictly pins the expected certificate to prevent interception.

Szenarioanalyse

Q1. You are auditing a hospital's WiFi network. They use PEAP-MSCHAPv2 for staff devices. During your review, you notice that the MDM profile pushed to iPads does not have 'Validate Server Certificate' checked. What is the immediate risk?

💡 Hinweis:Consider what happens if an attacker sets up a device broadcasting the hospital's SSID.

Empfohlenen Ansatz anzeigen

The immediate risk is a Rogue Access Point (Evil Twin) attack. Because the iPads are not validating the server certificate, they will attempt to authenticate with any AP broadcasting the correct SSID. An attacker can intercept the MSCHAPv2 handshake and attempt to crack the staff passwords offline, leading to credential compromise.

Q2. A university IT department is planning to migrate their student network from a Pre-Shared Key (PSK) to 802.1X. They want to use EAP-TLS for maximum security but are facing resistance from the helpdesk team. Why might PEAP-MSCHAPv2 be a more practical choice in this scenario?

💡 Hinweis:Consider the device ownership model in a university environment.

Empfohlenen Ansatz anzeigen

In a university, the devices are unmanaged (BYOD). Deploying EAP-TLS requires issuing and installing a unique client certificate on every student's personal laptop, phone, and tablet. This presents a massive support burden for the helpdesk. PEAP-MSCHAPv2 only requires the students to enter their existing university username and password, making onboarding significantly easier while still providing a major security upgrade over PSK.

Q3. Your organization's RADIUS server certificate is expiring in 14 days. It is issued by a public CA. What steps must you take to ensure no disruption to the PEAP-MSCHAPv2 wireless network?

💡 Hinweis:Think about what the supplicants are currently configured to trust.

Empfohlenen Ansatz anzeigen

You must acquire the new certificate from the public CA and install it on the RADIUS server. Crucially, you must review the MDM wireless profiles. If the profiles are pinned to the specific old certificate, they must be updated to trust the new certificate before the old one expires. If the profiles only pin the Root CA, and the new certificate is issued by the same Root CA, the transition should be seamless, but it must be tested.