Obligatorische Server-Zertifikatsvalidierung
Clients müssen das Zertifikat des RADIUS-Servers verifizieren, bevor sie Anmeldedaten senden. Schließt den Evil-Twin-Angriff, der falsch konfigurierte WPA2-Enterprise-Bereitstellungen plagte.
WPA2 & WPA3-Enterprise. Sicheres WiFi, ohne das gemeinsame Passwort.
Stellen Sie WPA2-Enterprise oder WPA3-Enterprise mit 802.1X auf Ihren vorhandenen Access Points bereit. Jeder Benutzer authentifiziert sich gegenüber Ihrem Identity-Provider, jedes Gerät erhält einen eindeutigen Sitzungsschlüssel und der Zugriff kann pro Gerät mit einem Klick widerrufen werden. Purple betreibt die RADIUS- und Zertifikatsinfrastruktur als Cloud-Service — Sie behalten die Hardware, die Sie bereits besitzen.
Personal vs. Enterprise — wählen Sie den richtigen Modus
Der WPA-Standard hat zwei Modi. WPA-Personal (WPA2-PSK, WPA3-SAE) verwendet ein einziges Passwort, das von allen geteilt wird, die dem SSID beitreten. Ausreichend für ein Zuhause. WPA-Enterprise authentifiziert jeden Benutzer oder jedes Gerät einzeln über 802.1X gegenüber einem RADIUS-Server. Erforderlich für jeden Standort, der Wert auf Widerruf, Audit oder Compliance legt.
| WPA-Personal (PSK / SAE) | WPA-Enterprise (802.1X) | |
|---|---|---|
| Anmeldedaten | Gemeinsames Passwort | Zertifikat pro Benutzer, Passwort oder iPSK |
| Infrastruktur | Nur die Access Points | APs + RADIUS-Server (oder RADIUS-as-a-Service) |
| Widerruf | Netzwerkweites Passwort ändern | Einen Benutzer im IdP deaktivieren |
| Audit-Trail | Keiner — alle Geräte sehen identisch aus | Sitzungsprotokolle pro Benutzer |
| Geeignet für | Privathaushalte, winzige Standorte mit einer Vertrauensebene | Büros, Hotels, Campusse, Stadien, alles Regulierte |
WPA3-Enterprise vs. WPA2-Enterprise
WPA3 ist nicht nur ein größeres WPA2. Vier Änderungen sind für Enterprise-Bereitstellungen von Bedeutung.
Protected Management Frames (PMF)
Deauthentifizierungs- und Disassoziierungs-Frames sind kryptografisch signiert, sodass Angreifer Clients nicht mehr mit gefälschten Frames aus dem Netzwerk werfen können.
192-Bit Suite B Modus
Optionaler Hochsicherheitsmodus für Behörden, Verteidigung und kritische Infrastrukturen. Durchgängige Suite-B-Kryptografie — Schlüsselaustausch, Verschlüsselung und MAC.
Abwärtskompatibilität
WPA3-Enterprise kann im Übergangsmodus auf demselben SSID wie WPA2 ausgeführt werden, sodass Sie keine harte Umstellung benötigen. Neuere Clients handeln WPA3 aus; ältere fallen auf WPA2-Enterprise zurück.
Der 802.1X-Authentifizierungsablauf
Drei Akteure, ein Handshake. Die Sequenz ist dieselbe, egal ob Sie EAP-TLS, PEAP oder EAP-TTLS verwenden.
- Der Supplicant (Client-Laptop, Telefon, IoT) versucht, sich zu assoziieren.
- Der Authenticator (Access Point) hält den Client in einem unkontrollierten 802.1X-Port und leitet nur EAP-Frames weiter.
- Der Supplicant präsentiert seine Anmeldedaten — ein Zertifikat (EAP-TLS), einen Benutzernamen + Passwort (PEAP) oder einen iPSK.
- Der Authentifizierungsserver (RADIUS) validiert die Anmeldedaten gegenüber dem Identity-Provider.
- RADIUS antwortet mit
Access-Acceptinklusive VLAN und Richtlinie; der AP öffnet den kontrollierten Port zum richtigen Segment. - Der Sitzungsschlüssel wird aus dem 802.1X-Handshake abgeleitet — eindeutig für dieses Gerät und diese Sitzung.
Wie Purple WPA-Enterprise bereitstellt
Purple betreibt den RADIUS und (optional) die Zertifizierungsstelle als Cloud-Services. Sie behalten Ihre vorhandenen Access Points.
- Tag 0: Verbinden Sie Ihren IdP (Entra ID, Okta, Google Workspace). Wählen Sie die EAP-Methode — EAP-TLS für verwaltete Flotten, PEAP für Übergangsbereitstellungen, iPSK für BYOD.
- Tag 1: Richten Sie die RADIUS-Einstellung der Access Points auf Purple aus. Konfigurieren Sie den SSID für WPA2 oder WPA3-Enterprise. Übertragen Sie das Onboarding-Profil per MDM.
- Laufend: Benutzer werden über SCIM bereitgestellt und deaktiviert — keine manuellen WiFi-Passwortänderungen. Zertifikate werden automatisch erneuert. Das SIEM erhält das vollständige Authentifizierungsprotokoll per Webhook.
Abdeckung über Purple-Produkte hinweg
- Mitarbeiter-WiFi: WPA2/3-Enterprise mit EAP-TLS für verwaltete Laptops und PEAP für ältere Geräte.
- Multi-Tenant WiFi: iPSK auf einem einzigen SSID, wobei jeder Mandant in einem Private Area Network isoliert ist.
- Gäste-WiFi: OpenRoaming/Passpoint auf dem öffentlichen SSID, mit WPA3-Enhanced Open als Fallback, wo angemessen.
- Passwortloses WiFi: der umfassendere Hub, der EAP-TLS, iPSK, Passpoint und SAML abdeckt.
- RADIUS-as-a-Service: die Cloud-RADIUS-Engine, die jede Beitrittsanfrage authentifiziert.
Häufig gestellte Fragen
Was ist WPA-Enterprise?
WPA-Enterprise ist der IEEE 802.11-Sicherheitsmodus, der für Organisationen entwickelt wurde. Anstelle eines einzigen gemeinsamen Passworts (WPA-Personal) authentifiziert sich jeder Benutzer oder jedes Gerät einzeln über 802.1X gegenüber einem RADIUS-Server, in der Regel mit einem Zertifikat (EAP-TLS) oder Benutzernamen und Passwort (PEAP). Jede Sitzung erhält einen eindeutigen Verschlüsselungsschlüssel, und der Zugriff kann pro Gerät widerrufen werden, ohne den Rest des Netzwerks zu stören.
Was ist der Unterschied zwischen WPA2-Enterprise und WPA3-Enterprise?
WPA3-Enterprise behebt bekannte Schwachstellen in WPA2-Enterprise. Die wichtigsten Änderungen: Die Server-Zertifikatsvalidierung ist jetzt obligatorisch (schließt den Evil-Twin-Angriffsvektor, der WPA2 plagte), Management-Frames sind geschützt und der optionale 192-Bit Suite B Modus bietet Kryptografie auf Verteidigungsniveau. WPA3-Enterprise ist in einem Übergangsmodus abwärtskompatibel mit WPA2-Enterprise, sodass Sie schrittweise upgraden können.
Wie funktioniert die 802.1X-Authentifizierung?
Drei Parteien sind beteiligt. Der Supplicant (Client-Gerät) bittet um Beitritt. Der Authenticator (Access Point) hält den Client in einem Quarantäne-Zustand und leitet seine EAP-Nachrichten an einen Authentifizierungsserver (RADIUS) weiter. Der RADIUS-Server validiert die Anmeldedaten — Zertifikat, Passwort oder Token — und weist den Access Point an, den Zugriff zu gewähren oder abzulehnen. Jede erfolgreiche Sitzung erhält einen eindeutigen Verschlüsselungsschlüssel, der aus der Authentifizierung abgeleitet wird, sodass ein kompromittiertes Gerät ein anderes nicht entschlüsseln kann.
Was ist EAP-TLS und warum ist es der Goldstandard?
EAP-TLS verwendet einen TLS-Handshake mit gegenseitiger Zertifikatsauthentifizierung. Der Client beweist seine Identität mit einem Gerätezertifikat, der Server beweist seine Identität mit einem Serverzertifikat, und der Sitzungsschlüssel wird innerhalb des verschlüsselten Tunnels ausgehandelt. Es gibt kein Passwort, das per Phishing gestohlen werden kann — man müsste den privaten Schlüssel aus dem Gerät selbst extrahieren. Für verwaltete Flotten mit einem MDM ist EAP-TLS der richtige Standard.
Kann ich WPA3-Enterprise auf meinen vorhandenen Access Points bereitstellen?
Die meisten Enterprise-Access-Points, die ab 2020 veröffentlicht wurden, unterstützen WPA3-Enterprise in der Firmware. In der Regel aktivieren Sie WPA3-Enterprise auf dem SSID und behalten WPA2 als Fallback während des Übergangs bei. Ältere APs unterstützen möglicherweise nur WPA2-Enterprise — diese sind in Kombination mit Cloud-RADIUS und EAP-TLS weiterhin sicher, sodass ein kompletter Austausch der Hardware selten erforderlich ist.
Muss ich einen RADIUS-Server betreiben, um WPA-Enterprise zu nutzen?
Ja — WPA-Enterprise ist um einen externen Authentifizierungsserver herum definiert, was in der Praxis RADIUS bedeutet. Sie können ihn lokal betreiben (FreeRADIUS, Microsoft NPS, Cisco ISE) oder als Service nutzen. Purple RADIUS-as-a-Service ist die Cloud-gehostete Option, die die meisten Kunden wählen, wenn sie keine Server betreiben möchten.
Ist die Bereitstellung von WPA2-Enterprise noch sicher?
Ja, bei korrekter Bereitstellung. Die bekannten Angriffe auf WPA2-Enterprise erfordern entweder einen falsch konfigurierten Client (keine Server-Zertifikatsvalidierung, was WPA3 obligatorisch macht) oder physischen Zugriff auf ein Gerät. Die Erzwingung der Server-Zertifikatsvalidierung über MDM und die Verwendung von EAP-TLS schließen die praktischen Risiken aus. WPA3-Enterprise wird künftig bevorzugt, aber es gibt keinen Grund für eine überstürzte Migration einer funktionierenden WPA2-Enterprise-Bereitstellung.
Wie gehe ich mit Geräten um, die 802.1X nicht unterstützen?
Zwei gute Optionen. Erstens bietet iPSK (Identity PSK) jedem Gerät einen eindeutigen Pre-Shared Key auf einem einzigen SSID — das Benutzererlebnis von WPA-Personal, der gerätespezische Widerruf von WPA-Enterprise. Zweitens lässt MAC Authentication Bypass (MAB) bekannte MAC-Adressen in ein eingeschränktes VLAN zu. Purple unterstützt beides neben WPA2/3-Enterprise im selben Netzwerk.
WPA-Enterprise for your industry
See how wpa-enterprise works in venues like yours, and how Purple compares to alternatives.
Sicheres WiFi auf den Access Points, die Sie bereits besitzen
Purple schichtet WPA2/3-Enterprise, Cloud-RADIUS und verwaltete Zertifikate über Cisco, Aruba, Ruckus, Juniper Mist, Meraki oder Ubiquiti. In wenigen Tagen einsatzbereit.