PEAP-MSCHAPv2: यह अभी भी आम क्यों है, यह जोखिम भरा क्यों है, और आगे कैसे बढ़ें

PEAP-MSCHAPv2 की महत्वपूर्ण सुरक्षा कमजोरियों का विवरण देने वाला एक व्यापक तकनीकी संदर्भ गाइड, जिसमें ईविल ट्विन हमले और क्रेडेंशियल कैप्चर शामिल हैं। यह IT टीमों के लिए एंटरप्राइज WiFi नेटवर्क को सुरक्षित, सर्टिफिकेट-आधारित EAP-TLS ऑथेंटिकेशन पर माइग्रेट करने के लिए एक व्यावहारिक, वेंडर-न्यूट्रल रोडमैप प्रदान करता है।

📖 5 मिनट का पठन📝 1,170 शब्द🔧 2 उदाहरण❓ 3 प्रश्न📚 8 मुख्य शब्द

🎧 इस गाइड को सुनें

ट्रांसक्रिप्ट देखें

Hello, and welcome to this Purple technical briefing. I'm your host, and today we're tackling a subject that sits at the intersection of network architecture, security compliance, and, frankly, legacy technical debt. We are talking about PEAP-MSCHAPv2.

Specifically, we're looking at why it is still the most common authentication method in enterprise WiFi, why it is fundamentally risky in today's threat landscape, and, most importantly, how you can practically move your organisation onto something better.

Let's start with the context. If you are an IT director or network architect at a hotel, a retail chain, or a large public venue, the chances are very high that your staff WiFi network—and perhaps your corporate devices—are authenticating using PEAP-MSCHAPv2. It has been the default standard for WPA2-Enterprise networks for nearly two decades. Why? Because it's incredibly easy to deploy. It hooks straight into Active Directory via a RADIUS server, and users just type in their standard Windows username and password. No certificates to manage, no complex public key infrastructure to build. It just works.

But "just working" is no longer enough. The security architecture underpinning PEAP-MSCHAPv2 is, to put it bluntly, broken.

Let's dive into the technical reality. MSCHAPv2 relies on the MD4 hashing algorithm and DES encryption. Both of these cryptographic standards were designed in the 1990s and have been considered weak for over a decade. Back in 2012, at the DEF CON security conference, researcher Moxie Marlinspike demonstrated that the MSCHAPv2 handshake could be cracked deterministically. He released a tool that reduced the cracking process to a single DES key crack, meaning an attacker with modest computing power—or access to a cloud cracking service—could recover a user's plaintext Active Directory password from a captured handshake in a matter of hours, if not minutes.

So, how does an attacker actually capture that handshake in the real world? This brings us to the "Evil Twin" attack.

Imagine a corporate office or a hotel back-of-house area. An attacker walks in with a rogue access point—often something as small as a Wi-Fi Pineapple in their backpack. They configure this rogue AP to broadcast the exact same SSID as your corporate network, say, "Staff-WiFi." They boost the signal strength so that nearby devices naturally prefer it over your legitimate access points.

When an employee's laptop or phone tries to connect, the rogue AP acts as the authenticator and points to a fake RADIUS server controlled by the attacker. The employee's device initiates the PEAP tunnel. Now, here is the critical failure point: PEAP relies on the client device verifying the server's digital certificate to ensure it's talking to the real corporate RADIUS server. However, in the vast majority of deployments, client devices are either misconfigured, or users are simply prompted with a pop-up saying "Do you trust this certificate?" and they click "Yes" just to get online.

Once that fake certificate is accepted, the device sends the MSCHAPv2 challenge-response through the tunnel. The attacker captures it, walks away, and cracks the hash offline. They now have valid Active Directory credentials, which they can use to log into your VPN, your email system, or any other corporate service.

This isn't a theoretical risk. It is a standard operational procedure for penetration testers and malicious actors alike. And if you are subject to compliance frameworks like PCI DSS or GDPR, relying on a compromised authentication protocol is a significant liability.

So, if the risks are so high, why haven't we all moved on?

The answer is usually a mix of perceived complexity and legacy hardware. Moving away from PEAP means moving towards certificate-based authentication, specifically EAP-TLS. EAP-TLS is the gold standard. It requires both the server and the client device to present a valid digital certificate. There are no passwords transmitted, hashed or otherwise. It is completely immune to offline dictionary attacks and highly resistant to Evil Twin attacks because the client will silently reject any fake RADIUS server that doesn't have a certificate signed by your trusted Certificate Authority.

But deploying EAP-TLS means you need a Public Key Infrastructure, or PKI. You need a way to generate certificates and securely distribute them to every laptop, phone, and tablet in your fleet. Five years ago, building a Microsoft Active Directory Certificate Services infrastructure was a daunting, expensive project.

Today, however, the landscape has changed. The implementation path is much clearer.

If you are planning a migration, here is the pragmatic approach we recommend to our clients at Purple.

First, you don't have to do a hard cutover. Modern RADIUS servers—whether that's Cisco ISE, Aruba ClearPass, or cloud-native solutions—allow you to run PEAP-MSCHAPv2 and EAP-TLS concurrently on the same SSID.

Step one is deploying your PKI. You don't necessarily need to build this on-premise anymore. Cloud PKI solutions integrate directly with your identity provider—like Entra ID or Google Workspace—and your Mobile Device Management platforms like Intune or Jamf.

Step two is using your MDM to silently push client certificates to your managed devices. You can configure the WiFi profile via MDM to prefer EAP-TLS. This means your corporate laptops will automatically switch to the secure, certificate-based method without any user interaction.

Step three is the transition phase. You monitor your RADIUS logs. You'll see your managed devices authenticating via EAP-TLS, while unmanaged or legacy devices continue to use PEAP.

This brings us to the common pitfall: legacy devices. What do you do with the ten-year-old barcode scanners in your warehouse, or the older point-of-sale terminals that simply don't support EAP-TLS?

The solution is segmentation. You should never degrade the security of your primary staff network to accommodate the lowest common denominator. Instead, isolate those legacy devices onto a dedicated VLAN. You can use MAC-based authentication combined with strict network access controls, ensuring those devices can only talk to the specific internal servers they need, and absolutely nothing else.

Once your managed fleet is fully migrated to EAP-TLS, you can finally disable PEAP-MSCHAPv2 on your main corporate SSID, closing the vulnerability window for good.

Let's do a quick rapid-fire Q&A based on the most common questions we get from IT directors.

Question one: "Does WPA3 fix the PEAP-MSCHAPv2 problem?"
Answer: No. WPA3 improves the encryption over the air, but the underlying EAP authentication method remains the same. If you use WPA3-Enterprise with PEAP-MSCHAPv2, you are still vulnerable to credential capture via an Evil Twin if the client doesn't strictly validate the server certificate.

Question two: "What about EAP-TTLS?"
Answer: EAP-TTLS is better than PEAP because it tunnels the authentication, often using PAP instead of MSCHAPv2, which avoids the specific cryptographic weaknesses of MSCHAPv2. However, it still relies on passwords and is still vulnerable if the server certificate isn't validated. It's a stepping stone, but EAP-TLS should be the end goal.

Question three: "How does this impact our Purple guest WiFi?"
Answer: It doesn't directly. Guest WiFi typically uses open networks with captive portals or WPA2/3-Personal, which are separate from your 802.1X enterprise authentication. However, securing your back-of-house network is critical to protecting the infrastructure that supports all your venue operations, including your guest services and analytics platforms.

To summarise: PEAP-MSCHAPv2 has served us well, but its time has passed. The cryptographic flaws are public, and the attack tools are automated. The migration to EAP-TLS is no longer a bleeding-edge project; it is a standard, achievable upgrade, made significantly easier by modern MDM and cloud PKI solutions.

The risk of doing nothing—a compromised Active Directory password leading to a wider network breach—far outweighs the operational effort of the migration. Start with an audit of your RADIUS logs today, identify your legacy devices, and begin mapping your transition to certificate-based authentication.

Thank you for listening to this Purple technical briefing. For more detailed deployment guides and architecture diagrams, be sure to read the full technical reference guide accompanying this podcast.

कार्यकारी सारांश

अच्छी तरह से प्रलेखित क्रिप्टोग्राफिक कमजोरियों के बावजूद, PEAP-MSCHAPv2 हॉस्पिटैलिटी, रिटेल और सार्वजनिक क्षेत्रों में एंटरप्राइज WiFi ऑथेंटिकेशन के लिए सबसे व्यापक रूप से तैनात EAP तरीका बना हुआ है। इसका निरंतर प्रचलन सुरक्षा प्रभावकारिता के बजाय तैनाती में आसानी—विशेष रूप से Active Directory के साथ इसके नेटिव एकीकरण—द्वारा संचालित है। हालाँकि, जोखिम प्रोफ़ाइल नाटकीय रूप से बदल गई है। स्वचालित शोषण उपकरणों ने "ईविल ट्विन" हमले को सुलभ बना दिया है, जिससे खतरे पैदा करने वाले तत्व मामूली प्रयास के साथ MSCHAPv2 चैलेंज-रिस्पॉन्स हैश को कैप्चर और क्रैक कर सकते हैं, जिससे सीधे तौर पर समझौता किए गए Active Directory क्रेडेंशियल प्राप्त होते हैं।

IT निदेशकों और नेटवर्क आर्किटेक्ट्स के लिए, जनादेश स्पष्ट है: PEAP-MSCHAPv2 अब PCI DSS या GDPR जैसे अनुपालन ढांचे के अधीन किसी भी वातावरण के लिए उपयुक्त नहीं है। यह गाइड PEAP-MSCHAPv2 को लक्षित करने वाले विशिष्ट अटैक वेक्टर्स का एक महत्वपूर्ण विश्लेषण प्रदान करती है और EAP-TLS के लिए एक व्यावहारिक, चरणबद्ध माइग्रेशन पथ की रूपरेखा तैयार करती है। आधुनिक Mobile Device Management (MDM) और क्लाउड Public Key Infrastructure (PKI) समाधानों का लाभ उठाकर, संगठन व्यावसायिक संचालन को बाधित किए बिना या पुराने उपकरणों को अलग किए बिना मजबूत, सर्टिफिकेट-आधारित ऑथेंटिकेशन में बदलाव कर सकते हैं।

तकनीकी डीप-डाइव: भेद्यता का विश्लेषण

यह समझने के लिए कि PEAP-MSCHAPv2 को क्यों हटा दिया जाना चाहिए, किसी को इसकी अंतर्निहित क्रिप्टोग्राफिक आर्किटेक्चर की जांच करनी चाहिए। MSCHAPv2 (Microsoft Challenge Handshake Authentication Protocol version 2) को 1990 के दशक के अंत में डिजाइन किया गया था और यह MD4 हैशिंग एल्गोरिदम और Data Encryption Standard (DES) [1] पर निर्भर करता है। दोनों को आधुनिक क्रिप्टोग्राफिक मानकों द्वारा अप्रचलित माना जाता है।

क्रिप्टोग्राफिक दोष

मौलिक कमजोरी इस बात में निहित है कि MSCHAPv2 उपयोगकर्ता के पासवर्ड के NT हैश को कैसे संभालता है। प्रोटोकॉल NT हैश से प्राप्त 21-बाइट की (key) को तीन 7-बाइट DES की (keys) में विभाजित करता है। महत्वपूर्ण रूप से, तीसरी की केवल हैश के दो महत्वपूर्ण बाइट्स का उपयोग करती है, बाकी को नल बाइट्स के साथ पैड करती है। यह संरचनात्मक दोष क्रिप्टोग्राफिक जटिलता को तेजी से कम करता है।

2012 में, सुरक्षा शोधकर्ता मोक्सी मार्लिनस्पाइक ने प्रदर्शित किया कि समस्या को एकल DES की क्रैक तक कम करके MSCHAPv2 हैंडशेक को नियतात्मक रूप से क्रैक किया जा सकता है [2]। क्लाउड-आधारित क्रैकिंग सेवाओं या hashcat जैसे टूल चलाने वाले आधुनिक GPU रिग्स का उपयोग करके, एक हमलावर पासवर्ड की जटिलता की परवाह किए बिना, कुछ ही घंटों में कैप्चर किए गए हैंडशेक से प्लेनटेक्स्ट Active Directory पासवर्ड रिकवर कर सकता है।

ईविल ट्विन अटैक वेक्टर

क्रिप्टोग्राफिक कमजोरी का फायदा "ईविल ट्विन" हमले के माध्यम से उठाया जाता है। कॉर्पोरेट कार्यालय या हॉस्पिटैलिटी स्थल पर एक विशिष्ट परिदृश्य में:

रॉग AP परिनियोजन: हमलावर लक्ष्य कॉर्पोरेट SSID (जैसे, "Staff-WiFi") को प्रसारित करने वाला एक रॉग एक्सेस पॉइंट तैनात करता है।
सिग्नल प्रभुत्व: रॉग AP उच्च ट्रांसमिट पावर पर काम करता है, जिससे आस-पास के क्लाइंट डिवाइस वैध बुनियादी ढांचे के बजाय इसके साथ जुड़ने के लिए मजबूर होते हैं।
नकली RADIUS ऑथेंटिकेशन: जब क्लाइंट PEAP टनल शुरू करता है, तो रॉग AP अनुरोध को हमलावर-नियंत्रित RADIUS सर्वर (जैसे hostapd-wpe) पर प्रॉक्सी करता है।
सर्टिफिकेट सत्यापन विफलता: रॉग RADIUS सर्वर एक स्व-हस्ताक्षरित या असत्यापित डिजिटल सर्टिफिकेट प्रस्तुत करता है। यदि क्लाइंट डिवाइस को सख्त सर्वर सर्टिफिकेट सत्यापन को बायपास करने के लिए गलत तरीके से कॉन्ग्रिगर किया गया है—या यदि उपयोगकर्ता ट्रस्ट प्रॉम्प्ट पर केवल "स्वीकार करें" पर क्लिक करता है—तो टनल स्थापित हो जाती है।
क्रेडेंशियल कैप्चर: क्लाइंट समझौता किए गए टनल के माध्यम से MSCHAPv2 चैलेंज-रिस्पॉन्स प्रसारित करता है। हमलावर हैश को कैप्चर करता है और कनेक्शन समाप्त कर देता है।

एंडपॉइंट स्तर पर लागू सख्त सर्वर सर्टिफिकेट सत्यापन के बिना, PEAP-MSCHAPv2 का उपयोग करने वाला प्रत्येक डिवाइस इस क्रेडेंशियल कैप्चर तकनीक के प्रति संवेदनशील है। यह विशेष रूप से रिटेल वातावरण के लिए चिंताजनक है जहां बैक-ऑफ-हाउस नेटवर्क अक्सर सार्वजनिक स्थानों के साथ भौतिक निकटता साझा करते हैं।

कार्यान्वयन गाइड: EAP-TLS पर माइग्रेट करना

MSCHAPv2 कमजोरियों के लिए निश्चित समाधान EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) पर माइग्रेट करना है। EAP-TLS आपसी ऑथेंटिकेशन को अनिवार्य बनाता है: RADIUS सर्वर और क्लाइंट डिवाइस दोनों को वैध डिजिटल सर्टिफिकेट प्रस्तुत करने होंगे। चूंकि हैंडशेक के दौरान कोई पासवर्ड प्रसारित या हैश नहीं किया जाता है, इसलिए EAP-TLS पूरी तरह से ऑफलाइन डिक्शनरी हमलों से सुरक्षित है और ईविल ट्विन स्पूफिंग के प्रति अत्यधिक प्रतिरोधी है।

ऐतिहासिक रूप से, EAP-TLS अपनाने में बाधा ऑन-प्रिमाइसेस Public Key Infrastructure (PKI) को तैनात करने की जटिलता थी। आज, क्लाउड PKI और आधुनिक MDM एकीकरण ने प्रक्रिया को सुव्यवस्थित कर दिया है।

चरण 1: ऑडिट और इन्वेंट्री

ऑथेंटिकेशन नीतियों को बदलने से पहले, अपने वर्तमान RADIUS लॉग (जैसे, Cisco ISE, Aruba ClearPass, या Windows NPS) का व्यापक ऑडिट करें। वर्तमान में PEAP के माध्यम से ऑथेंटिकेट करने वाले सभी उपकरणों की पहचान करें। इन उपकरणों को दो समूहों में वर्गीकृत करें:

प्रबंधित डिवाइस: MDM प्लेटफॉर्म (जैसे, Intune, Jamf) में नामांकित कॉर्पोरेट लैपटॉप, टैबलेट और स्मार्टफोन।
अप्रबंधित/पुराने डिवाइस: IoT सेंसर, पुराने पॉइंट-ऑफ-सेल टर्मिनल, बारकोड स्कैनर, या BYOD डिवाइस जो सर्टिफिकेट नामांकन का समर्थन नहीं कर सकते।

चरण 2: PKI परिनियोजन और RADIUS कॉन्फ़िगरेशन

क्लाइंट और सर्वर सर्टिफिकेट जारी करने के लिए एक PKI समाधान तैनात करें। क्लाउड-नेटिव PKI प्लेटफॉर्म सीधे Entra ID या Google Workspace के साथ एकीकृत हो सकते हैं, जिससे भारी ऑन-प्रिमाइसेस की आवश्यकता समाप्त हो जाती है।Microsoft AD CS फुटप्रिंट। EAP-TLS ऑथेंटिकेशन स्वीकार करने के लिए अपने RADIUS सर्वर को कॉन्फ़िगर करें। महत्वपूर्ण रूप से, ट्रांज़िशन अवधि के दौरान एक ही SSID पर PEAP और EAP-TLS दोनों को एक साथ सपोर्ट करने के लिए नेटवर्क पॉलिसी कॉन्फ़िगर करें।

चरण 3: MDM के माध्यम से सर्टिफिकेट वितरण

SCEP (सिंपल सर्टिफिकेट एनरोलमेंट प्रोटोकॉल) जैसे प्रोटोकॉल का उपयोग करके प्रबंधित डिवाइसों पर क्लाइंट सर्टिफिकेट को साइलेंट रूप से वितरित करने के लिए अपने MDM प्लेटफॉर्म का लाभ उठाएं। इसके साथ ही, MDM के माध्यम से एक अपडेटेड WiFi प्रोफाइल पेलोड पुश करें जो डिवाइसों को कॉर्पोरेट SSID के लिए EAP-TLS को प्राथमिकता देने का निर्देश देता है। यह एंड-यूज़र्स के लिए ज़ीरो-टच ट्रांज़िशन सुनिश्चित करता है।

चरण 4: पुराने (Legacy) डिवाइसों को संभालना

पुराने डिवाइस जो EAP-TLS को सपोर्ट नहीं कर सकते, उन्हें कभी भी प्राथमिक कॉर्पोरेट नेटवर्क की सुरक्षा स्थिति को निर्देशित नहीं करना चाहिए। इसके बजाय, इन डिवाइसों को एक समर्पित VLAN पर सेगमेंट करें। MAC-आधारित ऑथेंटिकेशन बाईपास (MAB) को सख्त एक्सेस कंट्रोल लिस्ट (ACLs) के साथ लागू करें ताकि यह सुनिश्चित हो सके कि ये डिवाइस केवल उनके कार्य के लिए आवश्यक विशिष्ट आंतरिक सर्वरों के साथ ही संचार कर सकें।

सर्वोत्तम अभ्यास और अनुपालन

एक सुरक्षित एंटरप्राइज़ वायरलेस वातावरण बनाए रखने के लिए उद्योग मानकों का निरंतर पालन आवश्यक है।

सर्वर सर्टिफिकेट वैलिडेशन लागू करें: यदि आपको अस्थायी रूप से PEAP-MSCHAPv2 बनाए रखना है, तो सभी एंडपॉइंट्स पर सख्त सर्वर सर्टिफिकेट पिनिंग लागू करने के लिए MDM का उपयोग करें। उपयोगकर्ताओं को मैन्युअल रूप से अज्ञात सर्टिफिकेट पर भरोसा करने से रोकें।
WPA2-Personal को हटाएँ: सुनिश्चित करें कि सभी कॉर्पोरेट एक्सेस 802.1X (WPA2/WPA3-Enterprise) पर निर्भर हों। प्री-शेयर्ड कीज़ (PSK) को सख्ती से अलग किए गए IoT नेटवर्क तक सीमित रखा जाना चाहिए।
PCI DSS के साथ संरेखित करें: भुगतान प्रोसेस करने वाले स्थानों के लिए, PCI DSS आवश्यकता 4 वायरलेस नेटवर्क पर कार्डधारक डेटा संचारित करने के लिए मजबूत क्रिप्टोग्राफी अनिवार्य करती है। PCI सुरक्षा मानक परिषद स्पष्ट रूप से मजबूत ऑथेंटिकेशन के लिए EAP-TLS की सिफारिश करती है [3]।
एनालिटिक्स की निगरानी करें: नेटवर्क स्वास्थ्य की निगरानी करने, असामान्य कनेक्शन पैटर्न की पहचान करने और यह सुनिश्चित करने के लिए कि पुराने डिवाइस प्रतिबंधित सबनेट तक पहुँचने का प्रयास नहीं कर रहे हैं, Purple के WiFi Analytics जैसे प्लेटफॉर्म का उपयोग करें।

ROI और व्यावसायिक प्रभाव

EAP-TLS पर माइग्रेट करने के लिए निवेश पर रिटर्न (ROI) मुख्य रूप से जोखिम कम करने में मापा जाता है। PEAP-MSCHAPv2 के खिलाफ एक सफल ईविल ट्विन अटैक वैध एक्टिव डायरेक्ट्री क्रेडेंशियल्स प्राप्त कर लेता है, जिससे थ्रेट एक्टर्स को कॉर्पोरेट नेटवर्क तक प्रारंभिक पहुँच मिल जाती है। डेटा ब्रीच, रैंसमवेयर हमले, या नियामक जुर्माने (जैसे कि GDPR के तहत) का वित्तीय प्रभाव क्लाउड PKI तैनात करने और MDM प्रोफाइल अपडेट करने की परिचालन लागत से कहीं अधिक होता है।

इसके अलावा, सर्टिफिकेट-आधारित ऑथेंटिकेशन पासवर्ड की समय सीमा समाप्त होने और लॉकआउट से संबंधित हेल्पडेस्क टिकटों की संख्या को काफी कम कर देता है। EAP-TLS पर स्विच करके, IT टीमें पासवर्ड-आधारित WiFi एक्सेस की बाधाओं को खत्म करती हैं, जिससे एक सहज और सुरक्षित कनेक्टिविटी अनुभव मिलता है जो आधुनिक ज़ीरो-ट्रस्ट नेटवर्क आर्किटेक्चर का समर्थन करता है।

संदर्भ

[1] Microsoft सुरक्षा प्रतिक्रिया केंद्र। "MS-CHAPv2 ऑथेंटिकेशन में कमजोरियां।" अगस्त 2012। [2] मार्लिनस्पाइक, मोक्सी। "MS-CHAPv2 के साथ PPTP VPN और WPA2 Enterprise को हराना।" DEF CON 20, 2012। [3] PCI सुरक्षा मानक परिषद। "सूचना पूरक: PCI DSS वायरलेस दिशानिर्देश।"

मुख्य शब्द और परिभाषाएं

PEAP (Protected Extensible Authentication Protocol)

An EAP method that encapsulates the authentication process within a secure TLS tunnel to protect the inner authentication credentials from being intercepted over the air.

Widely used because it only requires a server-side certificate, making it easier to deploy than mutually authenticated methods.

MSCHAPv2

The inner authentication protocol commonly used inside a PEAP tunnel, which relies on a challenge-response mechanism using the NT hash of the user's password.

The primary source of vulnerability in PEAP deployments due to its reliance on outdated MD4 hashing and DES encryption.

EAP-TLS

An EAP method requiring mutual authentication, where both the RADIUS server and the client device present digital certificates to prove their identity.

The industry gold standard for enterprise WiFi security, immune to offline dictionary and evil twin attacks.

Evil Twin Attack

A wireless attack where a rogue access point mimics a legitimate corporate SSID to trick client devices into connecting, allowing the attacker to intercept traffic or capture authentication credentials.

The primary vector used by attackers to capture MSCHAPv2 handshakes from vulnerable PEAP deployments.

RADIUS (Remote Authentication Dial-In User Service)

A networking protocol that provides centralized Authentication, Authorization, and Accounting (AAA) management for users who connect and use a network service.

The core server infrastructure (like Cisco ISE or NPS) that processes 802.1X authentication requests from access points.

PKI (Public Key Infrastructure)

A set of roles, policies, hardware, software, and procedures needed to create, manage, distribute, use, store, and revoke digital certificates.

The foundational infrastructure required to deploy EAP-TLS, increasingly delivered via cloud-native SaaS platforms.

MDM (Mobile Device Management)

Software that allows IT administrators to control, secure, and enforce policies on smartphones, tablets, and endpoints.

Essential for EAP-TLS migrations, as it is used to silently push client certificates and strict WiFi profiles to corporate devices.

MAB (MAC Authentication Bypass)

A port-based access control method that authenticates devices based on their MAC address rather than requiring a username/password or certificate.

Used as a fallback mechanism to authenticate legacy 'headless' devices (like printers) that cannot support 802.1X protocols.

केस स्टडीज

A 400-room hotel chain is currently using PEAP-MSCHAPv2 for its back-of-house staff network. The IT director wants to migrate to EAP-TLS but is concerned about 50 legacy handheld inventory scanners that run an outdated OS and do not support certificate enrollment. How should the network architect handle this migration without breaking inventory operations?

The network architect should implement a segmented approach. First, deploy a cloud PKI and configure the central RADIUS server to accept both EAP-TLS and PEAP-MSCHAPv2. Use the hotel's MDM platform to push client certificates and an updated EAP-TLS WiFi profile to all modern staff laptops and tablets. For the 50 legacy scanners, create a dedicated, hidden SSID mapped to an isolated VLAN. Configure MAC-based Authentication Bypass (MAB) for these specific scanner MAC addresses on the RADIUS server. Apply strict network ACLs to this VLAN so the scanners can only reach the inventory database server and nothing else. Once all modern devices are using EAP-TLS, disable PEAP-MSCHAPv2 on the primary staff network.

कार्यान्वयन नोट्स: This approach perfectly balances robust security for the majority of the fleet with operational continuity for legacy hardware. By isolating the legacy devices onto a restricted VLAN, the architect mitigates the risk of those devices being used as a pivot point if compromised, while successfully eliminating the PEAP-MSCHAPv2 vulnerability from the primary corporate network.

A retail organisation has rolled out Windows 11 22H2 to its corporate fleet. The IT helpdesk is suddenly receiving tickets that users cannot connect to the corporate WPA2-Enterprise WiFi network, which uses PEAP-MSCHAPv2. What is the likely cause, and what is the immediate remediation?

The likely cause is the introduction of Windows Defender Credential Guard, which is enabled by default in Windows 11 22H2 and newer. Credential Guard isolates and protects NTLM password hashes and Kerberos Ticket Granting Tickets. Because PEAP-MSCHAPv2 requires access to the NT hash to generate the challenge-response, Credential Guard intentionally breaks this authentication method to prevent credential theft. The immediate remediation is to accelerate the migration to EAP-TLS, which uses certificate-based authentication and is fully compatible with Credential Guard. A temporary, less secure workaround would be disabling Credential Guard via Group Policy, but this is strongly discouraged as it weakens the overall OS security posture.

कार्यान्वयन नोट्स: This scenario highlights a critical modern operational driver for migrating away from PEAP. Microsoft's own OS security enhancements are actively deprecating access to the legacy hashes required by MSCHAPv2. The solution correctly identifies EAP-TLS as the permanent fix rather than relying on insecure OS downgrades.

परिदृश्य विश्लेषण

Q1. You are auditing a newly acquired subsidiary's wireless network. They use PEAP-MSCHAPv2. The IT manager claims they are secure from evil twin attacks because they have hidden the SSID and disabled SSID broadcasting. Is their network secure from credential capture?

💡 संकेत:Consider how client devices behave when configured to connect to hidden networks, and whether hiding an SSID prevents a rogue AP from spoofing it.

अनुशंसित दृष्टिकोण दिखाएं

No, the network is not secure. Hiding the SSID (disabling beacon frames) provides zero cryptographic security. In fact, devices configured to connect to hidden networks actively broadcast probe requests containing the SSID name, effectively announcing the hidden network to any attacker listening. An attacker can easily capture the SSID name, spin up an evil twin AP broadcasting that exact SSID, and execute the standard MSCHAPv2 credential capture attack. The only defense is strict server certificate validation or migrating to EAP-TLS.

Q2. During an EAP-TLS migration pilot, you push client certificates to 20 Windows laptops via Intune. However, authentication fails for all 20 devices. The RADIUS server logs show 'Client Certificate Not Trusted'. The client certificates were issued by your new Cloud PKI. What critical configuration step was missed?

💡 संकेत:For mutual authentication to work, both sides must trust the entity that issued the other side's certificate.

अनुशंसित दृष्टिकोण दिखाएं

The RADIUS server has not been configured to trust the Root CA of the new Cloud PKI. While the laptops have the correct client certificates, when they present them to the RADIUS server, the server rejects them because it does not have the Cloud PKI's Root/Intermediate certificates in its local trust store. You must import the public Root CA certificate of the Cloud PKI into the RADIUS server's trusted certificate authorities store.

Q3. Your organisation mandates EAP-TLS for the corporate WiFi. A senior executive insists on connecting their personal, unmanaged iPad to the corporate network to access internal financial dashboards. How do you accommodate this request while maintaining the EAP-TLS security posture?

💡 संकेत:Consider the prerequisites for EAP-TLS and the definition of a 'managed' device.

अनुशंसित दृष्टिकोण दिखाएं

You cannot securely accommodate this request on the primary corporate network without compromising the EAP-TLS architecture. EAP-TLS requires a client certificate. Because the iPad is unmanaged (BYOD), the IT department cannot securely push a certificate via MDM. Allowing the executive to manually install a certificate introduces significant risk and administrative overhead. The correct approach is to deny access to the corporate SSID. Instead, the executive should connect to the Guest WiFi and use a secure corporate VPN (which supports modern MFA/SAML authentication) to access internal resources, or the device must be enrolled in the corporate MDM to receive a certificate.

मुख्य निष्कर्ष

✓PEAP-MSCHAPv2 relies on obsolete cryptography (MD4 and DES) that can be trivially cracked offline.
✓The protocol is highly vulnerable to 'Evil Twin' attacks if endpoint devices do not strictly validate the RADIUS server certificate.
✓Modern Windows updates (Credential Guard) are actively breaking MSCHAPv2 authentication to prevent hash theft.
✓EAP-TLS is the definitive replacement, offering mutual authentication via digital certificates and immunity to offline cracking.
✓Cloud PKI and modern MDM platforms have drastically reduced the complexity and cost of deploying EAP-TLS.
✓Legacy devices incompatible with EAP-TLS must be segmented onto dedicated, restricted VLANs rather than degrading primary network security.