WPA2-Enterprise vs. WPA2-Personal

WPA2 gibt es in zwei Geschmacksrichtungen – und der Unterschied ist fundamental. WPA2-Personal (auch PSK – Pre-Shared Key) nutzt ein gemeinsames Passwort, das alle Benutzer kennen. WPA2-Enterprise nutzt individuelle Zugangsdaten pro Benutzer über einen RADIUS-Server. Für ein Heimnetz reicht Personal. Für ein Unternehmen mit 200 Mitarbeitern und Sicherheitsanforderungen ist Personal eine schlechte Idee.

1) Live-Vergleich – wähle den Modus

WPA2-Personal vs. WPA2-Enterprise – live umschalten

WPA2-Personal WPA2-Enterprise

2) Der Enterprise-Authentifizierungsablauf

WPA2-Enterprise: 802.1X-Ablauf – Client → AP → RADIUS

Client
Supplicant

↔

Access Point
Authenticator

↔

RADIUS-Server
Auth-Server

1. Client verbindet sich mit AP. AP blockiert zunächst allen Traffic außer Authentifizierungsverkehr (Port-basierter Zugriff, 802.1X).

2. AP sendet EAP-Request an den Client. Client antwortet mit Identität (Benutzername).

3. AP leitet EAP-Nachricht über RADIUS an den Auth-Server weiter. RADIUS = Remote Authentication Dial-In User Service (UDP Port 1812/1813).

4. RADIUS prüft Zugangsdaten gegen Active Directory oder lokale Datenbank. Bei Erfolg: RADIUS-Accept → AP öffnet den Port.

5. EAP-Methode (z.B. EAP-TLS mit Zertifikat, PEAP mit Passwort) bestimmt, wie sich Client und Server gegenseitig authentifizieren.

6. Nach Erfolg: WPA2-Schlüsselaustausch (4-Way-Handshake) wie bei Personal – jetzt mit individuellem Sitzungsschlüssel.

Die drei Rollen in 802.1X: Supplicant = der Client (z.B. Windows-PC mit Netzwerk-Adapter), Authenticator = der AP (prüft nicht selbst, leitet weiter), Authentication Server = der RADIUS-Server (trifft die echte Entscheidung). Windows NPS (Network Policy Server) ist Microsofts eingebauter RADIUS-Server.

Zusammenfassung

WPA2-Personal = ein PSK für alle (einfach, unsicher bei vielen Nutzern). WPA2-Enterprise = individueller Login per 802.1X/RADIUS (aufwändiger, aber skalierbar und revisionssicher). Abmeldung/Sperrung: Enterprise sofort möglich, Personal erfordert Passwortänderung für alle. EAP-TLS (Zertifikat) = sicherste Enterprise-Methode. PEAP (Passwort) = häufigste Enterprise-Methode.

Verwandte Lektionen: Nächste Lektion: WLAN-Infrastruktur planen · RADIUS im Detail: RADIUS-Authentifizierung (802.1X) · WPA2/WPA3 Grundlagen: WEP, WPA, WPA2, WPA3 · Active Directory als RADIUS-Backend: OUs, Benutzer und Gruppen verwalten · Kerberos und NTLM für Netzwerk-Auth: Kerberos und NTLM · Zugriffsrechte und RBAC: RBAC – Rollenbasierte Zugriffskontrolle · Windows Server NPS einrichten: Windows Server Rollen und Features

WPA2-Enterprise vs. WPA2-Personal

1) Live-Vergleich – wähle den Modus

2) Der Enterprise-Authentifizierungsablauf

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title