Zum Hauptinhalt springen
Deutsch

Captive Portal Architektur: Sicherheit, Umleitung und Best Practices

Ein definitives technisches Referenzdokument zur Captive Portal-Architektur in Unternehmen. Dieser Leitfaden beleuchtet Netzwerkisolierung, DNS-Umleitung, RADIUS-Authentifizierung und Sicherheitskonformität für IT-Entscheider, die sichere, datenreiche Gäste-WiFi-Netzwerke bereitstellen.

📖 5 Min. Lesezeit📝 1,232 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Sprechen Sie in britischem Englisch mit einem selbstbewussten, autoritativen und konversationellen Ton – wie ein Senior-Netzwerkberater, der einen Kunden bei einem Kaffee einweist. Gemäßigtes Tempo, klare Aussprache, keine Hektik. Gelegentliche natürliche Pausen zur Betonung. Professionell, aber nicht steif: Willkommen beim Purple Technical Briefing. Ich bin Ihr Gastgeber, und heute befassen wir uns eingehend mit der Captive Portal-Architektur – insbesondere mit dem Sicherheitsmodell, der Redirection-Mechanik und den Designentscheidungen, die ein rechtskonformes, gut durchdachtes Deployment von einem unterscheiden, das Ihnen um drei Uhr morgens Probleme bereiten wird. [medium pause] Stellen wir uns Folgendes vor: Sie betreiben ein Gäste-WiFi in einer Hotelkette, im Einzelhandel oder in einem Stadion. Täglich verbinden sich Tausende von Geräten. Einige dieser Geräte sind mit Malware infiziert. Einige dieser Nutzer versuchen, auf Inhalte zuzugreifen, die sie nicht sehen sollten. Und Ihre Rechtsabteilung möchte schriftlich bestätigt wissen, dass Sie eine gültige Einwilligung eingeholt haben, bevor Sie auch nur ein einziges Byte an personenbezogenen Daten speichern. [medium pause] Das ist das Problem, für dessen Lösung die Captive Portal-Architektur entwickelt wurde. Lassen Sie uns aufschlüsseln, wie das Ganze tatsächlich funktioniert. [medium pause] Abschnitt eins. Die Redirection-Kette. Wenn sich ein Gästegerät mit Ihrer WiFi SSID verbindet, erhält es eine IP-Adresse aus einem DHCP-Pool in einem dedizierten Gäste-VLAN – nennen wir es VLAN 20. Ihre Unternehmensgeräte befinden sich im VLAN 10. Diese beiden VLANs dürfen unter keinen Umständen Datenverkehr untereinander zulassen. Das ist aus PCI-DSS-Sicht nicht verhandelbar und ehrlich gesagt auch aus grundlegenden Sicherheitsaspekten nicht. Das Gerät ist nun verbunden, hat sich aber noch nicht authentifiziert. Der Controller versetzt es in einen sogenannten Pre-Authentication-Status. Das Gerät kann nur eine kleine Whitelist von Domains erreichen – den Walled Garden. Alles andere wird abgefangen. Hier ist der clevere Teil: Wenn das Gerät versucht, eine Webseite zu laden – oder wenn das Betriebssystem seine Captive Portal-Erkennungsprüfung durchführt, was iOS automatisch über den Aufruf von captive.apple.com erledigt –, gibt der DNS-Resolver auf dem Gateway die IP-Adresse des Captive Portal-Servers anstelle des tatsächlichen Ziels zurück. Der Browser folgt diesem Redirect und landet auf Ihrer Splash-Page. [medium pause] Hier arbeiten Layer 3 und Layer 7 zusammen. Das VLAN übernimmt die Netzwerkisolierung. Das DNS-Intercept kümmert sich um den Redirect. Und das Captive Portal übernimmt die Identitäts- und Einwilligungsebene. Drei unterschiedliche Mechanismen, die alle nacheinander ablaufen. [medium pause] Abschnitt zwei. Authentifizierung und RADIUS. Sobald der Gast mit der Splash-Page interagiert – sei es durch Akzeptieren der Nutzungsbedingungen, Eingabe einer E-Mail-Adresse, Authentifizierung über Social-Login oder Verifizierung eines SMS-Codes –, muss die Plattform dem Netzwerk-Controller mitteilen, dass er die Firewall für dieses spezifische Gerät öffnen soll. Hier kommt RADIUS ins Spiel. RADIUS steht für Remote Authentication Dial-In User Service. Es handelt sich um ein in RFC 2865 definiertes Protokoll und ist der Branchenstandard für die Übertragung von Authentifizierungsentscheidungen zwischen einem Policy-Server und einem Netzwerkzugriffsgerät. Purple agiert als in der Cloud gehosteter RADIUS-Server. Wenn ein Gast den Captive Portal-Flow durchläuft, sendet Purple eine RADIUS-Access-Accept-Nachricht an den lokalen WiFi-Controller – sei es ein Cisco Meraki, ein HPE Aruba Controller, eine Ruckus SmartZone oder ein Juniper Mist Access Point. Der Controller empfängt diese Nachricht und versetzt das Gastgerät aus dem Zustand vor der Authentifizierung in den autorisierten Zustand, wodurch die Firewall-Regeln geöffnet und der Internetzugang gewährt werden. [medium pause] Es gibt eine wichtige Erweiterung für RADIUS, die Sie kennen sollten: Change of Authorisation oder CoA. CoA ermöglicht es dem RADIUS-Server, eine Nachricht mitten in der Sitzung an den Controller zu senden, um eine bereits aktive Sitzung zu widerrufen oder zu ändern. Purple nutzt CoA, um Sitzungs-Timeouts durchzusetzen, Geräte zu trennen, die wegen Richtlinienverstößen markiert wurden, und um Workflows für das Recht auf Löschung gemäß der GDPR zu unterstützen – wenn ein Nutzer die Löschung seiner Daten beantragt, kann Purple seine aktive Sitzung sofort widerrufen. [medium pause] Abschnitt drei. Der Walled Garden. Der Walled Garden ist eine Whitelist von IP-Adressen und Domainnamen, die nicht authentifizierte Geräte erreichen können, bevor sie den Captive Portal-Flow abgeschlossen haben. Wenn Sie hier einen Fehler machen, wird Ihre Splash-Page nicht geladen. Wenn Sie es völlig falsch machen, haben Sie eine Sicherheitslücke geschaffen. Ihr Walled Garden muss mindestens die URL des Captive Portals selbst, alle CDN-Endpunkte, die die Assets des Portals bereitstellen, und die Authentifizierungs-Endpunkte für alle von Ihnen genutzten Social-Login-Anbieter – Google, Facebook, Microsoft – enthalten. Wenn Sie eine SMS-Verifizierung nutzen, müssen Sie den API-Endpunkt des SMS-Gateways auf die Whitelist setzen. Die Falle, in die die meisten Implementierungen tappen, sind dynamische IP-Adressen. Cloud-Dienste haben nicht immer statische IPs. Wenn Sie eine IP anstelle einer Domain auf die Whitelist setzen und sich diese IP ändert, funktioniert Ihr Portal nicht mehr. Nutzen Sie domänenbasiertes Whitelisting, sofern Ihr Controller dies unterstützt, und testen Sie nach jeder Änderung. [medium pause] Abschnitt vier. Sicherheitsdesign. Lassen Sie uns im Detail über die Sicherheitsarchitektur sprechen, da die meisten Implementierungen hier Lücken aufweisen. Erstens: Client-Isolation. Aktivieren Sie diese. Dies ist eine Einstellung am Access Point, die verhindert, dass Gastgeräte direkt über das drahtlose Medium miteinander kommunizieren. Ohne diese Funktion kann ein kompromittiertes Gerät in Ihrem Gastnetzwerk andere Gastgeräte ausspähen und angreifen. Es ist eine Lösung mit nur einem Kontrollkästchen, die eine ganze Klasse von Peer-to-Peer-Angriffen eliminiert. Zweitens: DHCP-Lease-Zeiten. An Orten mit hoher Fluktuation – einem Verkehrsknotenpunkt, einem Stadion, einem belebten Ladengeschäft – benötigen Sie kurze Lease-Zeiten. Dreißig bis sechzig Minuten. Wenn Sie den Standardwert von vierundzwanzig Stunden belassen und an einem Spieltag zehntausend Geräte eine Verbindung herstellen, wird Ihr IP-Adresspool noch vor der Halbzeit erschöpft sein. Neue Geräte können sich nicht verbinden. Ihr Betriebsteam wird Beschwerden erhalten. Halten Sie die Leases kurz. Drittens: Verschlüsselung. Ihr Captive Portal muss über HTTPS mit einem gültigen TLS-Zertifikat bereitgestellt werden. Wenn es über HTTP bereitgestellt wird, stufen moderne Browser es als unsicher ein, Benutzer verlieren das Vertrauen und Sie übertragen Anmeldedaten im Klartext. Verwenden Sie mindestens TLS 1.2; TLS 1.3 wird bevorzugt. Die WiFi-Transportschicht sollte WPA2-AES oder WPA3 verwenden – niemals WEP, niemals TKIP. Viertens: VLAN-Segmentierung. Ihr Gäste-VLAN muss vollständig von jedem Netzwerksegment isoliert sein, das mit Zahlungskartendaten in Berührung kommt. PCI DSS Version 4.0 ist hier eindeutig. Wenn Ihr Gästenetzwerk zu einem Subnetz routen kann, das ein Point-of-Sale-System enthält, fällt Ihr gesamtes POS-Netzwerk in den Bereich eines PCI-Audits. Das ist ein erheblicher Compliance-Aufwand. Segmentieren Sie von Tag eins an richtig. [medium pause] Abschnitt fünf. GDPR und Daten-Compliance. Jedes Captive Portal, das personenbezogene Daten erfasst – und E-Mail-Adresse, Telefonnummer und Social Login zählen unter der GDPR alle als personenbezogene Daten –, muss bestimmte Anforderungen erfüllen. Sie benötigen eine Rechtsgrundlage für die Verarbeitung. Für Gäste-WiFi ist dies in der Regel die Einwilligung. Die Einwilligung muss freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich erteilt werden. Bereits angekreuzte Kästchen zählen nicht. Die Verknüpfung der WiFi-Einwilligung mit einer Marketing-Einwilligung zählt nicht. Das Conscious-Choice-Opt-in-Modell von Purple trennt die Einwilligung für den Netzwerkzugang von der Marketing-Einwilligung, sodass Gäste online gehen können, ohne gezwungen zu sein, Marketing-E-Mails zu akzeptieren. Sie müssen dokumentieren, welche Daten Sie erfassen, warum Sie sie erfassen, wo sie gespeichert werden und wie lange Sie sie aufbewahren. Purple ist ISO 27001-zertifiziert, GDPR-konform, CCPA-konform und Cyber Essentials-zertifiziert. Die Plattform speichert Daten in konformen Rechenzentren mit dokumentierten Aufbewahrungsrichtlinien. Und Sie benötigen einen Workflow für das Recht auf Löschung. Wenn ein Gast die Löschung seiner Daten verlangt, müssen Sie dies innerhalb von dreißig Tagen umsetzen können. Die Plattform von Purple unterstützt dies nativ, und der zuvor erwähnte RADIUS-CoA-Mechanismus bedeutet, dass Sie gleichzeitig aktive Sitzungen widerrufen können. [medium pause] Kommen wir nun zu den Empfehlungen für die Implementierung und den Fallstricken, die wir am häufigsten sehen. [medium pause] Fallstrick eins: Fehlkonfigurierte Walled Gardens. Die Splash-Page wird geladen, aber der Social-Login-Button funktioniert nicht. Oder die Seite wird geladen, aber das Logo erscheint nicht, weil die CDN-Domain nicht auf der Whitelist steht. Testen Sie Ihren Walled Garden auf einem neuen Gerät ohne DNS-Cache, bevor Sie live gehen. Fallstrick zwei: Gemeinsam genutzte PSKs. Einige Veranstaltungsorte verwenden immer noch ein einziges WiFi-Passwort, das auf eine Tafel geschrieben ist. Das ist kein Captive Portal – das ist ein gemeinsames Geheimnis, das jeder fotografieren und teilen kann. Es liefert Ihnen keine Identitätsdaten, keinen Einwilligungsnachweis und keine Möglichkeit, den Zugriff für einzelne Personen zu sperren. Ersetzen Sie es durch ein verwaltetes Captive Portal. Fallstrick drei: Unzureichende DHCP-Pool-Größe. Ich habe dies bereits erwähnt, aber es ist wichtig genug, um es zu wiederholen. Dimensionieren Sie Ihren DHCP-Pool für die maximale Anzahl gleichzeitiger Verbindungen, nicht für die durchschnittlichen Verbindungen. In einem Stadion mit vierzigtausend Fans versuchen möglicherweise zwanzigtausend Geräte gleichzeitig, sich zu verbinden. Planen Sie entsprechend. Fallstrick Nummer vier: Kein Sitzungs-Timeout. Ohne ein Sitzungs-Timeout behält ein Gerät, das sich vor sechs Monaten verbunden hat und nie zurückgekehrt ist, immer noch einen autorisierten Sitzungsstatus in Ihrem Controller. Das ist ein veralteter Datensatz, der Ressourcen verschwendet und Audit-Rauschen erzeugt. Legen Sie Sitzungs-Timeouts fest. Dreißig Minuten Inaktivität sind ein angemessener Standardwert. [medium pause] Schnellfeuer-F&A. Frage: Funktioniert ein Captive Portal auf allen Geräten? Antwort: Moderne Betriebssysteme – iOS, Android, Windows, macOS – verfügen alle über eine integrierte Captive Portal-Erkennung. Sie erkennen die Weiterleitung und stellen das Portal automatisch dar. Bei älteren Geräten muss der Benutzer möglicherweise manuell einen Browser öffnen. Die Plattform von Purple unterstützt beide Abläufe. Frage: Können wir ein Captive Portal zusammen mit 802.1X nutzen? Antwort: Ja. Viele Unternehmensbereitstellungen nutzen 802.1X für Mitarbeitergeräte – bei denen Zertifikate oder Anmeldedaten automatisch authentifiziert werden – und ein Captive Portal für Gastgeräte auf einer separaten SSID. Purple lässt sich in RADIUS-Infrastrukturen integrieren, die beide Abläufe gleichzeitig unterstützen. Frage: Was ist mit OpenRoaming? Antwort: OpenRoaming ist ein Standard, der es Geräten ermöglicht, sich mithilfe von zertifikatsbasierter Authentifizierung automatisch mit dem WiFi zu verbinden, wodurch das Captive Portal vollständig umgangen wird. Purple fungiert im Rahmen der Connect-Lizenz als kostenloser Identitätsanbieter für OpenRoaming. Es ist die zukünftige Richtung für nahtlose Gastkonnektivität, aber Captive Portals bleiben heute der Standard für Datenerfassung und Einwilligungsmanagement. [medium pause] Zusammenfassung. Eine gut strukturierte Captive Portal-Bereitstellung ruht auf fünf Säulen. VLAN-Isolierung zum Schutz Ihres Unternehmensnetzwerks. DNS-Interzeption und HTTPS-Weiterleitung zur Darstellung der Splash-Page. RADIUS-Authentifizierung zur Öffnung der Firewall nach der Einwilligung. Ein korrekt konfiguriertes Walled Garden, um sicherzustellen, dass das Portal zuverlässig geladen wird. Und eine GDPR-konforme Datenverarbeitung zum Schutz Ihrer Gäste und Ihrer Organisation. Die Plattform von Purple verwaltet alle fünf Ebenen an über 80.000 Live-Standorten, mit 440 Millionen verarbeiteten Logins im Jahr 2024 und einer Verfügbarkeit von 99,999 %. Sie lässt sich nativ in Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet integrieren – ganz gleich, welche Hardware Sie also nutzen, Sie können die Bereitstellung ohne aufwendigen Austausch durchführen. Wenn Sie tiefer in eines dieser Themen einsteigen möchten – SSID-Design, RADIUS-Konfiguration oder Workflows zur GDPR-Compliance – besuchen Sie purple.ai für die vollständige Bibliothek der technischen Handbücher. Vielen Dank fürs Zuhören.

header_image.png

Executive Summary

Für Enterprise-Standorte ist das Gäste-WiFi eine kritische Infrastruktur, die eine strenge architektonische Disziplin erfordert. Die Überbrückung der Lücke zwischen offenem, öffentlichem Zugang und sicherer Unternehmensvernetzung erfordert eine präzise Konfiguration von VLAN-Isolierung, DNS-Interzeption und Identitätsmanagement. Dieser Leitfaden analysiert die Mechanismen der Enterprise Captive Portal-Architektur und verzichtet auf Marketing-Jargon, um genau zu erklären, wie sie auf Paketebene funktioniert. Wir behandeln die technischen Kernkomponenten: VLAN-Segmentierung, DHCP-Pool-Management, HTTP-Redirection, RADIUS-Authentifizierung und Bandbreiten-Shaping.

Unabhängig davon, ob Sie ein neues Netzwerk für eine Hospitality -Kette bereitstellen oder eine veraltete Infrastruktur im Healthcare -Bereich aktualisieren, ist das Verständnis dieser Mechanismen unerlässlich, um Risiken zu minimieren, die PCI DSS- und GDPR-Konformität zu gewährleisten und wertvolle First-Party-Daten über unsere WiFi Analytics -Plattform zu erfassen.

Hören Sie sich den Podcast zum technischen Briefing an:

Technischer Deep-Dive: Wie Captive Portals funktionieren

Auf grundlegender Ebene funktioniert ein Enterprise-Gäste-WiFi-Netzwerk so, dass das Client-Gerät gerade so weit getäuscht wird, dass sein Datenverkehr abgefangen, eine Authentifizierung erzwungen und dieser dann sicher ins Internet geroutet wird, ohne jemals das Unternehmens-LAN zu berühren.

1. Logische Isolierung über VLANs

Das Fundament jedes sicheren Guest WiFi -Netzwerks ist die logische Trennung. Wenn sich ein Nutzer am Standort mit der Gäste-SSID verbindet, versieht der Access Point seinen Datenverkehr mit einer bestimmten Virtual Local Area Network (VLAN)-ID (z. B. VLAN 20), während der Unternehmensdatenverkehr auf einem separaten VLAN (z. B. VLAN 10) läuft.

Dieses Tagging stellt sicher, dass der Gästedatenverkehr auf Switch- und Firewall-Ebene physisch nicht in interne Subnetze geroutet werden kann, die Point-of-Sale-Systeme oder Patientenakten enthalten. Die Firewall ist mit expliziten Deny-Regeln für das Inter-VLAN-Routing konfiguriert, was den Gästedatenverkehr direkt über die WAN-Schnittstelle leitet.

architecture_overview.png

2. DHCP und der IP-Adresspool

Upon connection, the client device broadcasts a DHCP Discover packet. The network responds by assigning an IP address from a dedicated guest subnet. A critical technical distinction here is the lease time. While corporate devices might retain an IP for eight days, guest networks must use aggressive lease times (30 to 60 minutes) to prevent IP pool exhaustion in high-turnover environments like Transport hubs.

3. DNS interception and the captive portal

This is where the user experience begins. When the newly connected device attempts to reach a website (or when the OS performs its captive portal detection check, like Apple's captive.apple.com), the network intercepts the DNS request.

Instead of resolving the actual IP address of the requested site, the gateway returns the IP address of the captive portal. The client's browser is then HTTP-redirected to the splash page hosted by Purple.

4. Authentication and RADIUS

Once the user interacts with the captive portal - whether by accepting terms and conditions, entering an email, or using a social login - the platform must inform the local network controller to allow the traffic.

This is handled via the RADIUS (Remote Authentication Dial-In User Service) protocol. Purple acts as the cloud RADIUS server, sending an Access-Accept message back to the local WiFi controller or gateway. The controller then changes the user's state from 'unauthorised' (walled garden access only) to 'authorised', opening the firewall ports for standard internet access.

Implementation guide: building for scale

Deploying guest WiFi requires balancing user friction with security and data capture requirements. Our cloud overlay integrates natively with Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, and Fortinet hardware.

Step 1: Architect the network topology

Ensure your core switches and firewalls support 802.1Q VLAN tagging. Configure your guest VLAN to terminate at a DMZ interface on the firewall, completely bypassing internal routing tables.

Step 2: Configure the walled garden

A walled garden is a list of IP addresses and domains that unauthenticated users are allowed to access. This must include the URLs required to load the captive portal, CDN assets for logos, and the authentication endpoints for social logins (e.g., Microsoft Entra ID, Okta, Google Workspace). If the walled garden is misconfigured, the splash page will fail to load, resulting in a dead end for the user.

Step 3: Implement client isolation

Enable client isolation on your access points. This prevents connected guest devices from communicating directly with one another over the wireless medium, effectively mitigating peer-to-peer attacks and malware propagation within the guest subnet.

Step 4: Integrate identity management

Verabschieden Sie sich von gemeinsam genutzten PSKs. Implementieren Sie ein verwaltetes Captive Portal, das First-Party-Daten über bewusste Opt-ins erfasst. Für ein nahtloses, sicheres Onboarding sollten Sie die Implementierung von OpenRoaming in Betracht ziehen. Purple fungiert im Rahmen des Connect-Tarifs als kostenloser Identity Provider für OpenRoaming, sodass sich Geräte über Zertifikate sicher ohne klassische Splash Page authentifizieren können. Weitere Informationen zur Gestaltung von Multi-Netzwerk-Umgebungen finden Sie in unserem Leitfaden: Three SSIDs to rule them all: the WiFi design for guest, staff, and IoT .

Best Practices und Compliance

Compliance ist keine Option. Ein professionell konzipiertes Captive Portal schützt Ihr Unternehmen vor Haftungsansprüchen und behördlichen Geldbußen.

security_compliance_checklist.png

GDPR und Datenschutz

Ein Captive Portal erfasst ab dem Moment, in dem sich ein Nutzer verbindet, personenbezogene Daten. Um die GDPR-Anforderungen zu erfüllen, müssen Sie vor der Verarbeitung dieser Daten eine ausdrückliche Einwilligung einholen. Die Plattform von Purple deckt die für die GDPR-Compliance erforderlichen Layer-7-Identitäts- und Einwilligungsanforderungen ab und stellt sicher, dass Daten legal erfasst, sicher gespeichert und auf Anfrage über automatisierte Workflows gelöscht werden können.

PCI DSS v4.0 Compliance

Wenn Ihr Unternehmen Kreditkarten verarbeitet, unterliegt Ihr Netzwerk dem Standard PCI DSS. Gast-WiFi-Netzwerke, die im selben Netzwerk wie POS-Systeme betrieben werden, können das Gastnetzwerk in den Geltungsbereich von PCI DSS ziehen, was einen erheblichen Audit-Aufwand bedeutet. Eine strikte VLAN-Segmentierung ist zwingend erforderlich, um sicherzustellen, dass der Datenverkehr der Gäste niemals mit der Karteninhaber-Datenumgebung in Berührung kommt.

Netzwerksicherheitsstandards

Erzwingen Sie eine WPA3- oder WPA2-AES-Verschlüsselung auf der drahtlosen Übertragungsschicht. Stellen Sie sicher, dass Ihr Captive Portal über HTTPS unter Verwendung von TLS 1.2 oder TLS 1.3 bereitgestellt wird, um die Anmeldedaten der Nutzer während der Authentifizierungsphase zu schützen.

Fehlerbehebung und Risikominderung

Selbst bestens konzipierte Netzwerke stoßen auf Probleme. Hier sind die häufigsten Fehlerszenarien und wie Sie sie vermeiden.

Fehlerszenario: Erschöpfung von IP-Adressen In einer belebten Retail -Umgebung suchen und verbinden sich Geräte ständig mit offenen Netzwerken. Wenn Ihre DHCP-Lease-Time 24 Stunden beträgt, verbraucht ein Kunde, der für fünf Minuten an Ihrem Geschäft vorbeigeht, eine IP-Adresse für den gesamten Tag. Minderung: Verkürzen Sie die DHCP-Lease-Times im Gast-VLAN auf 30 Minuten.

Fehlerszenario: Blockaden im Walled Garden Cloud-Dienste ändern häufig ihre IP-Adressen. Wenn Ihr Walled Garden statische IP-Whitelists für Social-Login-Endpunkte verwendet, schlägt die Authentifizierung fehl, sobald sich diese IPs ändern. Minderung: Nutzen Sie domänenbasierte Whitelists für Walled-Garden-Einträge, sofern Ihr Hardware-Controller dies unterstützt.

Fehlerszenario: Veraltete Sitzungen Nutzer verlassen den Standort, ohne die Verbindung zu trennen, aber ihre Sitzung bleibt auf dem Controller aktiv und verbraucht Ressourcen. Minderung: Implementieren Sie aggressive Idle-Timeouts (z. B. 30 Minuten) und nutzen Sie RADIUS Change of Authorisation (CoA), um Sitzungen aktiv zu beenden, wenn Zeitlimits erreicht werden.

ROI und geschäftliche Auswirkungen

Ein sicheres Captive Portal verwandelt eine traditionelle IT-Kostenstelle in einen umsatzgenerierenden Vermögenswert. Durch die Erfassung verifizierter First-Party-Daten können Standorte detaillierte Besucherprofile erstellen. Purple verarbeitete im Jahr 2024 440 Millionen Logins an über 80.000 Live-Standorten, was die Skalierbarkeit und Zuverlässigkeit dieses Ansatzes beweist.

Beispielsweise nutzt McDonald's Daten aus dem Captive Portal, um die Verweildauer und Besuchshäufigkeit von Gästen zu verstehen, während die Manchester Airports Group den Passagierfluss auf der Grundlage von Verbindungsanalysen optimiert. Der ROI bemisst sich nicht nur am Wachstum der Marketingdatenbank, sondern auch an den betrieblichen Erkenntnissen, die aus den 29 Milliarden von der Plattform gesammelten Datenpunkten gewonnen werden.

Schlüsseldefinitionen

Captive Portal

Eine Webseite, die den Netzwerkverkehr abfängt und eine Benutzerinteraktion (wie das Akzeptieren von Bedingungen oder das Anmelden) erfordert, bevor der vollständige Internetzugang gewährt wird.

Der primäre Mechanismus zur Erfassung von First-Party-Daten und zur Durchsetzung von Nutzungsbedingungen in Gästenetzwerken.

RADIUS

Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Accounting bietet.

Das Protokoll, das Purple verwendet, um Ihrer lokalen WiFi-Hardware mitzuteilen, dass ein Gast auf das Internet zugreifen darf.

Walled Garden

Eine eingeschränkte Liste von IP-Adressen oder Domains, auf die ein Benutzer zugreifen kann, bevor er sich über das Captive Portal authentifiziert hat.

Unerlässlich, damit die Splash-Page und Social-Login-Anbieter geladen werden können, während sich das Gerät noch in einem Zustand vor der Authentifizierung befindet.

VLAN

Virtual Local Area Network. Ein logisches Subnetzwerk, das eine Gruppe von Geräten aus verschiedenen physischen LANs zusammenfasst.

Wird verwendet, um den Gästeverkehr sicher vom Unternehmensverkehr zu trennen und die Einhaltung von PCI DSS zu gewährleisten.

Client Isolation

Eine drahtlose Sicherheitseinstellung, die verhindert, dass Geräte, die mit demselben Access Point verbunden sind, direkt miteinander kommunizieren.

Entscheidend für den Schutz von Gästen vor Peer-to-Peer-Angriffen und der Verbreitung von Malware im öffentlichen Netzwerk.

DHCP Lease Time

Die Dauer, für die eine IP-Adresse einem Gerät zugewiesen wird, bevor sie abläuft und in den Pool der verfügbaren Adressen zurückkehrt.

Muss in Gästenetzwerken kurz gehalten werden (30–60 Min.), um zu verhindern, dass die IP-Adressen ausgehen, wenn Besucher kommen und gehen.

RADIUS CoA

Change of Authorisation. Eine Erweiterung von RADIUS, die es dem Server ermöglicht, den Sitzungsstatus eines aktiven Clients zu ändern.

Wird von Purple verwendet, um Benutzer sofort zu trennen, wenn ihr Zeitlimit abläuft oder wenn sie eine Datenlöschung gemäß GDPR beantragen.

OpenRoaming

Ein Roaming-Verbunddienst, mit dem sich Geräte mithilfe von Zertifikaten automatisch und sicher mit teilnehmenden WiFi-Netzwerken verbinden können.

Die nächste Generation nahtloser Konnektivität, bei der Purple im Connect-Tarif als kostenloser Identitätsanbieter fungiert.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern möchte auf dem gesamten Gelände ein Gäste-WiFi bereitstellen. Derzeit wird ein einziges flaches Netzwerk (192.168.1.0/24) für die Rezeption, das Backoffice und den Gästezugang über ein gemeinsames Passwort genutzt. Das Hotel möchte E-Mail-Adressen von Gästen für Marketingzwecke erfassen und gleichzeitig sicherstellen, dass die Systeme der Rezeption geschützt sind.

  1. Netzwerkesegmentierung implementieren: VLAN 10 für die Rezeption/das Büro und VLAN 20 für Gäste erstellen.
  2. Firewall konfigurieren: Jegliches Routing von VLAN 20 zu VLAN 10 blockieren. VLAN 20 direkt zum WAN leiten.
  3. Gemeinsames Passwort entfernen: Eine offene SSID mit dem Namen „Hotel_Guest“ bereitstellen.
  4. Captive Portal einrichten: Den WiFi-Controller so konfigurieren, dass nicht authentifizierter HTTP-Traffic zur Captive Portal-URL von Purple umgeleitet wird.
  5. Walled Garden konfigurieren: Die Domains des Purple-Portals und die CDN-Ressourcen auf die Whitelist setzen, damit die Splash-Page geladen werden kann.
  6. RADIUS konfigurieren: Die RADIUS-Server-IP-Adressen und Shared Secrets von Purple im WiFi-Controller hinzufügen.
  7. DHCP anpassen: Den DHCP-Pool für VLAN 20 auf ein /22-Subnetz mit einer Lease-Time von 60 Minuten festlegen, um eine hohe Gerätefluktuation zu bewältigen.
Kommentar des Prüfers: Dieser Ansatz behebt das unmittelbare PCI-DSS-Compliance-Risiko durch Isolierung der Rezeptionssysteme. Der Wechsel von einem gemeinsamen Passwort zu einem RADIUS-gestützten Captive Portal ermöglicht die erforderliche Datenerfassung bei gleichzeitiger individueller Sitzungskontrolle und Nachvollziehbarkeit.

Ein großes Stadion erwartet 40.000 Zuschauer für ein Spiel. Es wurde ein Captive Portal bereitgestellt, jedoch gibt es Bedenken hinsichtlich der Netzwerkleistung und der Erschöpfung von IP-Adressen während der dreistündigen Veranstaltung.

  1. DHCP-Dimensionierung: Ein /16-Subnetz für das Gäste-VLAN bereitstellen, um über 65.000 verfügbare IP-Adressen bereitzustellen.
  2. Lease-Times: Die DHCP-Lease-Time auf 30 Minuten festlegen, um IP-Adressen von frühzeitig abreisenden Fans schnell wieder freizugeben.
  3. Bandbreitenbegrenzung: Ein Bandbreitenlimit pro Benutzer von 5 Mbps Downstream / 2 Mbps Upstream auf Controller-Ebene einrichten, um zu verhindern, dass wenige Nutzer die 10-Gbps-Internetleitung blockieren.
  4. Client Isolation: Aktivieren der Client Isolation auf AP-Ebene, um Broadcast-Stürme und Peer-to-Peer-Traffic zu verhindern, welche die WLAN-Leistung in der dichten Stadionumgebung beeinträchtigen könnten.
Kommentar des Prüfers: Umgebungen mit hoher Dichte erfordern ein aggressives Ressourcenmanagement. Die Kombination aus einem großen Subnetz, kurzen Leases und einer strikten Bandbreitenbegrenzung gewährleistet einen fairen Zugang für alle Fans und schützt gleichzeitig die Stabilität des Kernnetzwerks.

Übungsfragen

Q1. Sie stellen ein Captive Portal in einem Krankenhaus-Warteraum bereit. Die Splash Page lädt auf Android-Geräten erfolgreich, aber iOS-Geräte zeigen einen leeren weißen Bildschirm an. Was ist die wahrscheinlichste architektonische Ursache?

Hinweis: Berücksichtigen Sie, wie verschiedene Betriebssysteme Captive Portals erkennen und welche Ressourcen sie erreichen müssen.

Musterlösung anzeigen

Das Walled Garden ist wahrscheinlich falsch konfiguriert. iOS-Geräte versuchen, bestimmte Apple-Domains (wie captive.apple.com) zu erreichen, um den Mini-Browser des Portals auszulösen. Wenn diese Domains oder die von der Splash Page benötigten spezifischen CDN-Assets nicht im Walled Garden freigegeben sind, schlägt das Rendern der Seite im Apple CNA (Captive Network Assistant) fehl.

Q2. Eine Einzelhandelskette möchte kostenloses WiFi anbieten, verlangt jedoch, dass sich die Benutzer mit ihren Microsoft Entra ID-Anmeldedaten anmelden. Während des Tests werden die Benutzer zur Splash Page weitergeleitet, klicken auf die Schaltfläche "Mit Microsoft anmelden", aber die Seite läuft in ein Timeout. Warum?

Hinweis: Denken Sie an den Zustand der Firewall, bevor die RADIUS-Authentifizierung abgeschlossen ist.

Musterlösung anzeigen

Die Authentifizierungsendpunkte von Microsoft Entra ID wurden nicht zum Walled Garden hinzugefügt. Da sich der Benutzer in einem Zustand vor der Authentifizierung befindet, blockiert die Firewall den gesamten Datenverkehr zum Internet. Um dies zu beheben, müssen die spezifischen Microsoft-Login-Domains und IP-Bereiche freigegeben werden, damit das Gerät mit dem Identitätsanbieter kommunizieren kann, um den OAuth-Flow abzuschließen.

Q3. In einer Veranstaltungsstätte gehen jeden Nachmittag die IP-Adressen im Gästenetzwerk aus, obwohl weniger gleichzeitige Benutzer aktiv sind, als die DHCP-Poolgröße zulässt. Welche Konfigurationsänderung ist erforderlich?

Hinweis: Denken Sie darüber nach, wie lange ein Gerät eine IP-Adresse behält, nachdem es das Gebäude verlassen hat.

Musterlösung anzeigen

Die DHCP-Lease-Time ist zu hoch eingestellt (wahrscheinlich der Standardwert von 12 oder 24 Stunden). Geräte, die sich kurz verbinden und dann wieder gehen, blockieren ihre IP-Adressen, sodass sich neue Geräte nicht verbinden können. Die Lease-Time sollte auf 30 bis 60 Minuten verkürzt werden, um IPs von abgereisten Gästen schnell wieder freizugeben.

Weiterlesen in dieser Reihe

Optimierung von B2B Captive Portals: Erfassung von Firmennamen und professionellen Daten

Dieser Leitfaden erklärt, wie IT-Manager, Netzwerkarchitekten und Leiter des Standortbetriebs B2B Captive Portals konfigurieren können, um professionelle Daten – Firmennamen, Berufsbezeichnungen und geschäftliche E-Mail-Adressen – direkt beim WiFi-Login zu erfassen. Er deckt die gesamte technische Architektur ab, von der VLAN-Isolierung und RADIUS-Authentifizierung bis hin zur CRM-Integration mit Salesforce und HubSpot, inklusive integrierter GDPR- und CCPA-Konformität. Standorte, die dies richtig implementieren, verwandeln ihr Gäste-WiFi-Netzwerk in eine First-Party-Datenquelle und ein automatisiertes System zur Lead-Generierung.

Leitfaden lesen →

Einrichtung eines Captive Portals auf Starlink: Ein Leitfaden für abgelegene und maritime Standorte

Dieser Leitfaden beschreibt detailliert, wie Sie die native Starlink-Hardware umgehen und ein Cloud-gesteuertes Captive Portal mithilfe von Enterprise-Routing-Geräten integrieren. Sie erfahren, wie Sie die CGNAT-Einschränkung überwinden, eine VLAN-Segmentierung erzwingen, Bandbreitenbeschränkungen von Satelliten verwalten und die Einhaltung gesetzlicher Vorschriften sicherstellen.

Leitfaden lesen →

Captive Portal Best Practices: Design für hohe Conversion und Compliance

Dieser technische Leitfaden bietet IT-Managern, Netzwerkarchitekten und Leitern des Standortbetriebs ein vollständiges Konzept für die Bereitstellung von Captive Portalen, die Netzwerksicherheit mit hoher User Conversion verbinden. Er deckt die gesamte Architektur ab, von der VLAN-Segmentierung und RADIUS-Authentifizierung bis hin zur GDPR-konformen Einwilligungserklärung und der Auswahl der Authentifizierungsmethode. Basierend auf den betrieblichen Erfahrungen von Purple in über 80.000 Standorten und 440 Millionen Logins im Jahr 2024 ist jede Empfehlung durch reale Bereitstellungsdaten untermauert.

Leitfaden lesen →