Netzwerkguide

WLAN Sicherheit – WPA3 und 802.1X Enterprise 2025

Sicheres WLAN mit Zertifikatsauthentifizierung

S
SeeColors IT11. Juni 20264 Min. Lesezeit226 Aufrufe

WPA-Modi im Vergleich

WPA2-PSK:
- Ein Passwort für alle
- Gefährdet: Mitarbeiter wechsel oder Passwort-Leak
- Kein VLAN pro Benutzer
- Schnell einzurichten

WPA3-SAE (Personal):
- Stärkere Verschlüsselung (Dragonfly Handshake)
- Forward Secrecy (alte Sessions nicht entschlüsselbar)
- Schutz vor Brute-Force auch ohne Firewall

WPA2/WPA3-Enterprise (802.1X):
- Individuelle Credentials pro Benutzer
- VLAN-Zuweisung per RADIUS-Attribute
- Zertifikats- oder Passwortauthentifizierung
- Benutzerverwaltung zentral (Active Directory)

FreeRADIUS installieren

apt install -y freeradius freeradius-utils

# Status
systemctl status freeradius

# Konfigurationsverzeichnis
ls /etc/freeradius/3.0/

FreeRADIUS Basis-Konfiguration

# Benutzer hinzufügen
cat >> /etc/freeradius/3.0/users << 'EOF'
m.mustermann Cleartext-Password := "sicheres-passwort"
              Reply-Message = "Willkommen im WLAN",
              Tunnel-Type = VLAN,
              Tunnel-Medium-Type = IEEE-802,
              Tunnel-Private-Group-ID = "30"

a.admin Cleartext-Password := "admin-passwort"
         Tunnel-Private-Group-ID = "10"
EOF

# WLAN-Controller (Access Point) als Client hinzufügen
cat >> /etc/freeradius/3.0/clients.conf << 'EOF'
client unifi-controller {
    ipaddr = 192.168.10.50
    secret = radius-shared-secret
    shortname = UniFi
    nastype = other
}
EOF

systemctl restart freeradius

# Test
radtest m.mustermann sicheres-passwort localhost 0 testing123

UniFi SSID mit 802.1X

UniFi Controller → WiFi → Create WiFi:
Security: WPA2 Enterprise
RADIUS Profile:
  - Authentication Server: 192.168.10.100
  - Port: 1812
  - Password: radius-shared-secret

Dynamic VLAN:
  - Enabled (mit FreeRADIUS VLAN-Attributen)

Zertifikatsbasierte EAP-TLS (höchste Sicherheit)

# Eigene CA erstellen
cd /etc/freeradius/3.0/certs
make ca
make server
make client  # Für jeden Benutzer

# EAP-Konfiguration
# /etc/freeradius/3.0/mods-enabled/eap
# tls {
#     private_key_file = ${certdir}/server.key
#     certificate_file = ${certdir}/server.pem
#     ca_file = ${cadir}/ca.pem
# }

# Benutzer-Zertifikat auf Gerät installieren
# Windows: MMC → Zertifikate → Benutzer
# Android: Einstellungen → WLAN → Zertifikate

Gäste-WLAN isolieren

UniFi/Aruba/TP-Link EAP:
SSID: Gast-WLAN
VLAN: 40
AP Isolation: Ja (Geräte können nicht untereinander kommunizieren)
Bandwidth Limit: 10 Mbit/s Down, 5 Mbit/s Up
Captive Portal: Ja (Registrierung/Einverständnis)

FAQ

Muss ich WPA3 aktivieren oder reicht WPA2 Enterprise?
WPA2 Enterprise ist sicher. WPA3 Enterprise (192-Bit Security) für Hochsicherheitsanforderungen. WPA3 ohne Enterprise für Consumer: deutlich besser als WPA2-PSK.

Fazit

WPA2/WPA3 Enterprise mit FreeRADIUS ist der Standard für sichere Unternehmens-WLANs – individuelle Zugänge, zentrale Verwaltung und VLAN-Zuweisung.

WLAN-Sicherheit für KMU in Heidelberg, Mannheim und der Rhein-Neckar-Region. Anfragen.

Artikel teilen

LinkedIn X / Twitter Facebook WhatsApp

War dieser Artikel hilfreich?

Dein Feedback hilft uns, bessere Inhalte zu erstellen.

Kommentar hinterlassen

#WLAN#Sicherheit#WPA3#802.1X

Verwandte Artikel

Active Directory – Fine-Grained Password Policies 2025

4 Min.

Active Directory Tier-Modell – privilegierte Konten sichern 2025

4 Min.

Group Policy Best Practices – Sicherheits-GPOs 2025

4 Min.