Zum Hauptinhalt springen
Deutsch

BYOD WiFi Onboarding: Verwaltung unmanaged Geräte in Hotellerie und Einzelhandel

Dieser technische Leitfaden bietet praxisnahe Strategien für das Onboarding von mitarbeitereigenen (BYOD) Geräten in Unternehmens-WiFi-Netzwerken in der Hotellerie und im Einzelhandel, ohne dass eine vollständige MDM-Registrierung erforderlich ist. Er behandelt Self-Service-Zertifikatsregistrierungs-Flows, 802.1X-Authentifizierung und Richtliniendurchsetzung, um einen sicheren Zugriff für unmanaged Geräte zu gewährleisten.

📖 6 Min. Lesezeit📝 1,492 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

header_image.png

Executive Summary

Für IT-Manager und Netzwerkarchitekten in der Hotellerie und im Einzelhandel stellt die Verwaltung des Netzwerkzugriffs für mitarbeitereigene Geräte (BYOD) eine erhebliche sicherheitstechnische und operative Herausforderung dar. Unternehmenseigene Geräte werden in der Regel über ein Mobile Device Management (MDM) verwaltet und authentifizieren sich geräuschlos über 802.1X. Die Mitarbeiter jedoch dazu zu zwingen, ihre persönlichen Smartphones oder Tablets in einem unternehmenseigenen MDM zu registrieren, wirft Datenschutzbedenken auf und stößt oft auf starken Widerstand. Sich auf Pre-Shared Keys (PSKs) oder MAC Authentication Bypass (MAB) zu verlassen, ist im Grunde unsicher und operativ mühsam. Dieser Leitfaden beschreibt einen praktischen, sicheren Ansatz für das BYOD-WiFi-Onboarding mittels Self-Service-Zertifikatsregistrierung. Durch die Nutzung eines Captive Portal-Flows, der in Ihren Identity Provider integriert ist, können Sie nicht verwaltete Geräte sicher in ein 802.1X-Netzwerk einbinden, entsprechende Zugriffsrichtlinien durchsetzen und die Compliance einhalten – ganz ohne die Hürden einer vollständigen MDM-Registrierung. Dieser Ansatz stellt sicher, dass Mitarbeiter sicher und effizient auf wichtige interne Tools wie Kassensysteme und Schichtplanungs-Apps zugreifen können. Für Standorte, die bereits Guest WiFi und WiFi Analytics nutzen, bietet die Erweiterung des sicheren Onboardings auf BYOD-Geräte der Mitarbeiter eine einheitliche, robuste Netzwerkverwaltungsstrategie.

Technical Deep-Dive

Die Grundlage für ein sicheres BYOD-Onboarding ist der Übergang von veralteten Authentifizierungsmethoden zu EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) [1]. EAP-TLS ist der Branchenstandard für die sichere WiFi-Authentifizierung und basiert auf digitalen Zertifikaten anstelle von Passwörtern. Die Herausforderung bei BYOD besteht darin, diese Zertifikate an nicht verwaltete Geräte zu verteilen.

Der Self-Service-Onboarding-Flow

Um dies zu erreichen, implementieren Standorte ein Self-Service-Onboarding-Portal. Der Prozess läuft in der Regel wie folgt ab:

  1. Erste Verbindung: Der Benutzer verbindet sein persönliches Gerät mit einer dedizierten, offenen Provisionierungs-SSID. Dieses Netzwerk fungiert als Walled Garden und beschränkt den Zugriff auf alles außer dem Onboarding-Portal und dem Identity Provider (IdP).
  2. Authentifizierung: Der Benutzer wird zu einem Captive Portal weitergeleitet, wo er sich mit seinen Unternehmensanmeldedaten authentifiziert. Dies beinhaltet oft eine SAML- oder OAuth-Integration mit einem IdP wie Azure AD oder Okta. Weitere Informationen zu dieser Integration finden Sie in unserem Leitfaden zu Okta und RADIUS: Erweiterung Ihres Identity Providers auf die WiFi-Authentifizierung .
  3. Zertifikatserstellung: Nach erfolgreicher Authentifizierung generiert das System ein eindeutiges, gerätespezifisches Client-Zertifikat.
  4. Profil-Installation: Ein Konfigurationsprofil (z. B. eine .mobileconfig-Datei für Apple oder ein Passpoint-Profil für Android) wird auf das Gerät übertragen. Dieses Profil enthält das Client-Zertifikat, das Root-CA-Zertifikat und die Netzwerkkonfigurationseinstellungen für die sichere 802.1X-SSID.
  5. Sichere Verbindung: Das Gerät trennt automatisch die Verbindung zur Bereitstellungs-SSID und verbindet sich mit der sicheren Unternehmens-SSID unter Verwendung des neu installierten Zertifikats für die EAP-TLS-Authentifizierung.

byod_certificate_enrolment_flow.png

Warum MAB und PSKs für BYOD fehlschlagen

In der Vergangenheit verließen sich Standorte bei der BYOD-Zulassung auf MAC Authentication Bypass (MAB) oder Pre-Shared Keys (PSKs). Beide Methoden sind in modernen Umgebungen grundlegend fehlerhaft. MAB basiert auf der MAC-Adresse des Geräts, die leicht gefälscht werden kann. Darüber hinaus verwenden moderne mobile Betriebssysteme (iOS 14+ und Android 10+) standardmäßig zufällige MAC-Adressen, um den Datenschutz der Benutzer zu verbessern, wodurch MAB völlig unbrauchbar wird [2]. PSKs sind kompromittiert, sobald sie einmal geteilt wurden. Sie bieten keine individuelle Rechenschaftspflicht und erfordern eine netzwerkweite Passwortänderung, wenn ein Gerät verloren geht oder ein Mitarbeiter das Unternehmen verlässt.

Implementierungsleitfaden

Die Bereitstellung einer sicheren BYOD-Onboarding-Lösung erfordert eine sorgfältige Planung und Ausführung. Befolgen Sie diese Schritte für eine erfolgreiche Einführung in einer Hotel- oder Einzelhandelsumgebung.

Schritt 1: Zugriffsrichtlinien definieren

Vor der Konfiguration der technischen Infrastruktur müssen Sie klar definieren, worauf BYOD-Geräte zugreifen dürfen. BYOD-Geräte sind unmanaged; Sie haben keine Kontrolle über deren OS-Updates, den Antiviren-Status oder installierte Anwendungen. Daher müssen sie als nicht vertrauenswürdige Geräte behandelt werden.

  • Netzwerksegmentierung: Platzieren Sie BYOD-Geräte in einem dedizierten VLAN. Dieses VLAN sollte Internetzugang und eingeschränkten Zugriff nur auf die spezifischen internen Anwendungen bieten, die für die Rolle des Mitarbeiters erforderlich sind (z. B. die Web-Schnittstelle des Point-of-Sale im Retail -Bereich oder die Housekeeping-App im Hospitality -Bereich). Platzieren Sie BYOD-Geräte niemals im selben VLAN wie Unternehmensserver oder verwaltete Geräte.
  • Bandbreitenmanagement: Wenden Sie Ratenbegrenzungen (Rate Limiting) auf das BYOD-VLAN an, um sicherzustellen, dass die Nutzung privater Geräte (z. B. Video-Streaming in Pausen) keine geschäftskritischen Anwendungen beeinträchtigt.

Schritt 2: Konfiguration des RADIUS-Servers und der IdP-Integration

Ihr RADIUS-Server ist das Herzstück des 802.1X-Authentifizierungsprozesses. Er muss so konfiguriert sein, dass er EAP-TLS unterstützt und in Ihren Identity Provider (IdP) integriert ist.

  1. IdP-Integration: Verbinden Sie Ihren RADIUS-Server mit Ihrem IdP (z. B. Azure AD, Okta, Google Workspace) via SAML oder LDAP. Dies stellt sicher, dass sich nur aktive Mitarbeiter authentifizieren und ein Zertifikat erhalten können.
  2. Zertifizierungsstelle (CA): Richten Sie eine interne CA ein oder nutzen Sie eine Cloud-basierte, verwaltete PKI (Public Key Infrastructure), um die Client-Zertifikate auszustellen. Der RADIUS-Server muss dieser CA vertrauen.
  3. Richtlinienregeln: Konfigurieren Sie den RADIUS-Server so, dass er basierend auf der Gruppenmitgliedschaft des Benutzers im IdP das korrekte VLAN und die entsprechenden Zugriffsrichtlinien zuweist. Beispielsweise erhält ein Benutzer in der Gruppe „Retail Associates“ eine andere Richtlinie als ein Benutzer in der Gruppe „Store Managers“.

Schritt 3: Entwurf des Onboarding-Portals

Das Onboarding-Portal ist die erste Interaktion des Benutzers mit dem System. Es muss intuitiv sein und ein klares Branding aufweisen.

  • Klare Anweisungen: Stellen Sie auf dem Portal-Bildschirm Schritt-für-Schritt-Anleitungen bereit. Benutzer müssen genau wissen, worauf sie klicken müssen und was sie erwartet.
  • Branding: Stellen Sie sicher, dass das Portal Ihr Corporate Branding widerspiegelt. Ein professioneller Auftritt erhöht das Vertrauen der Benutzer.
  • Support-Informationen: Fügen Sie klare Kontaktinformationen für den IT-Helpdesk hinzu, falls ein Benutzer während des Onboarding-Prozesses auf Probleme stößt.

byod_vs_corporate_policy_comparison.png

Best Practices

Um eine sichere und verwaltbare BYOD-Bereitstellung zu gewährleisten, halten Sie sich an diese bewährten Branchenpraktiken.

Implementierung kurzlebiger Zertifikate

Da BYOD-Geräte nicht verwaltet werden, ist das Risiko höher, dass ein kompromittiertes Gerät im Netzwerk verbleibt. Minimieren Sie dieses Risiko, indem Sie kurzlebige Zertifikate ausstellen. Stellen Sie statt eines drei Jahre gültigen Zertifikats Zertifikate mit einer Gültigkeit von 90 Tagen aus. Wenn das Zertifikat abläuft, muss sich der Benutzer erneut über das Onboarding-Portal authentifizieren. Dies bereinigt das Netzwerk auf natürliche Weise von inaktiven Geräten und stellt sicher, dass nur aktive Mitarbeiter den Zugriff behalten.

Passpoint nutzen (Hotspot 2.0)

Nutzen Sie Passpoint (Hotspot 2.0) für ein nahtloses Onboarding-Erlebnis, insbesondere auf Android-Geräten. Passpoint ermöglicht es Geräten, das sichere Netzwerk automatisch zu erkennen und sich zu authentifizieren, ohne dass der Benutzer nach der Ersteinrichtung manuell die SSID auswählen oder mit einem Captive Portal interagieren muss. Dies reduziert Reibungspunkte erheblich und verbessert das Benutzererlebnis. Dies ist besonders vorteilhaft in Umgebungen, in denen Wayfinding oder Sensors eingesetzt werden, bei denen eine kontinuierliche Konnektivität entscheidend ist.

Gerätelimitierungen erzwingen

Begrenzen Sie die Anzahl der BYOD-Geräte, die ein einzelner Benutzer registrieren kann. Ein Mitarbeiter muss in der Regel nur sein primäres Smartphone und vielleicht ein privates Tablet verbinden. Das Festlegen eines Limits von zwei oder drei Geräten pro Benutzer verhindert Missbrauch und entlastet den RADIUS-Server und die DHCP-Pools.

Fehlerbehebung & Risikominderung

Selbst bei einem gut konzipierten System können Probleme auftreten. Das Verständnis häufiger Fehlerszenarien ist für eine schnelle Behebung entscheidend.

Android-Fragmentierung

Apple iOS-Geräte verarbeiten .mobileconfig-Profile konsistent. Android ist hingegen stark fragmentiert. Verschiedene Hersteller und OS-Versionen handhaben WiFi-Profile und die Zertifikatsinstallation unterschiedlich. Um dies zu mildern, sollten Sie sicherstellen, dass Ihre Onboarding-Lösung klare, OS-spezifische Anweisungen bereitstellt. Die Nutzung einer dedizierten Onboarding-App (sofern von Ihrem Anbieter bereitgestellt) oder die Nutzung von Passpoint kann die Android-Erfahrung erheblich verbessern.

Zertifikatswiderruf (Certificate Revocation)

Wenn ein Mitarbeiter das Unternehmen verlässt, muss sein Zugriff sofort widerrufen werden. Da das Zertifikat auf der Grundlage seiner Unternehmensidentität ausgestellt wurde, ist die Deaktivierung seines Kontos im IdP der erste Schritt. Der RADIUS-Server muss jedoch auch den Status des Zertifikats überprüfen. Stellen Sie sicher, dass Ihr RADIUS-Server so konfiguriert ist, dass er die Certificate Revocation List (CRL) prüft oder das Online Certificate Status Protocol (OCSP) verwendet, bevor er Zugriff gewährt. Wenn das IdP-Konto deaktiviert ist, sollte das Zertifikat als widerrufen markiert werden, und der RADIUS-Server verweigert den Zugriff.

Die „Walled Garden“-Konfiguration

Die Bereitstellungs-SSID muss streng kontrolliert werden. Wenn der Walled Garden zu offen ist, bleiben die Benutzer möglicherweise einfach mit dem Bereitstellungsnetzwerk verbunden, um auf das Internet zuzugreifen, und umgehen so den sicheren Onboarding-Prozess vollständig. Stellen Sie sicher, dass die Bereitstellungs-SSID nur den Zugriff auf das Onboarding-Portal, die IdP-Authentifizierungsendpunkte und die erforderlichen Zertifikats-Download-Server zulässt. Jeder andere Datenverkehr muss blockiert werden.

ROI & Business Impact

Die Implementierung einer sicheren BYOD-Onboarding-Lösung bietet einen erheblichen Return on Investment (ROI) durch verbesserte Sicherheit, geringeren IT-Overhead und gesteigerte Mitarbeiterproduktivität.

  • Reduzierte Helpdesk-Tickets: Indem Benutzer in die Lage versetzt werden, sich selbst anzumelden, verzeichnen IT-Helpdesks eine drastische Reduzierung der Tickets im Zusammenhang mit WiFi-Passwörtern und Verbindungsproblemen. Dies entlastet die IT-Mitarbeiter, damit sie sich auf strategische Initiativen konzentrieren können.
  • Erhöhte Sicherheit: Der Wechsel von PSKs zu EAP-TLS reduziert das Risiko von unbefugtem Netzwerkzugriff und Datenpannen erheblich. Dies ist entscheidend für die Einhaltung von Standards wie PCI DSS und GDPR.
  • Verbesserte Produktivität: Mitarbeiter können ihre persönlichen Geräte schnell und sicher verbinden, um auf die benötigten Tools zuzugreifen, was die Gesamteffizienz und -zufriedenheit steigert. Dies ist eine Kernkomponente von Modern Hospitality WiFi Solutions Your Guests Deserve , angewendet auf die Erfahrung der Mitarbeiter.

byod_wifi_onboarding_managing_unmanaged_devices_in_hotels_and_retail_podcast.wav

Referenzen

[1] IEEE Standard for Local and Metropolitan Area Networks--Port-Based Network Access Control, IEEE Std 802.1X-2020. [2] Wi-Fi Alliance, „MAC Randomization Behavior“, 2021.

Schlüsseldefinitionen

EAP-TLS

Extensible Authentication Protocol-Transport Layer Security. Die sicherste WiFi-Authentifizierungsmethode, die digitale Zertifikate sowohl auf dem Client als auch auf dem Server verwendet.

Der Zielzustand für ein sicheres BYOD-Onboarding, das unsichere Passwörter ersetzt.

Captive Portal

Eine Webseite, die ein Benutzer eines Netzwerks mit öffentlichem Zugang anzeigen und mit der er interagieren muss, bevor ihm der Zugriff gewährt wird.

Wird im BYOD-Ablauf verwendet, um Benutzeranmeldedaten zu erfassen und den Zertifikatsregistrierungsprozess zu initiieren.

MDM

Mobile Device Management. Software, die von IT-Abteilungen verwendet wird, um die Mobilgeräte von Mitarbeitern zu überwachen, zu verwalten und zu sichern.

Während es ideal für Unternehmensgeräte ist, wird ein vollständiges MDM von Mitarbeitern für persönliche BYOD-Geräte aus Datenschutzgründen oft abgelehnt.

VLAN Segmentation

Die Praxis der Aufteilung eines physischen Netzwerks in mehrere logische Netzwerke zur Verbesserung von Sicherheit und Leistung.

Unerlässlich für die Isolierung nicht verwalteter BYOD-Geräte von sensiblen Unternehmensservern.

Passpoint (Hotspot 2.0)

Ein Wi-Fi Alliance-Standard, der den Netzwerkzugriff optimiert und es Geräten ermöglicht, sich automatisch mit sicheren Netzwerken zu verbinden und diese zu erkennen.

Verbessert das BYOD-Benutzererlebnis, indem die manuelle Auswahl von SSIDs nach der Erstinstallation des Profils entfällt.

RADIUS

Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Abrechnung (AAA) bereitstellt.

Der Kernserver, der das Client-Zertifikat validiert und bestimmt, welchem VLAN das BYOD-Gerät zugewiesen werden soll.

IdP

Identity Provider. Eine Systeminstanz, die Identitätsinformationen für Prinzipale (Benutzer, Dienste oder Systeme) erstellt, pflegt und verwaltet.

Integriert in das Captive Portal, um sicherzustellen, dass nur aktive Mitarbeiter ihre BYOD-Geräte registrieren können.

Walled Garden

Eine eingeschränkte Netzwerkumgebung, die den Zugriff des Benutzers auf Webinhalte und -dienste kontrolliert.

Der Zustand der Bereitstellungs-SSID, der nur den Zugriff auf das Onboarding-Portal und die erforderlichen Authentifizierungsdienste ermöglicht.

Ausgearbeitete Beispiele

Ein Resort mit 300 Zimmern muss dem Housekeeping-Personal, das eine Dienstplan-App auf seinen persönlichen Smartphones nutzt, WiFi-Zugang bereitstellen. Das Resort verwendet derzeit einen einzigen PSK für alle Mitarbeiter, der häufig weitergegeben wird. Wie sollte der IT-Manager diesen Zugang absichern?

Der IT-Manager sollte ein Self-Service-BYOD-Onboarding-Portal bereitstellen. Er wird eine neue, offene Bereitstellungs-SSID ("Resort-Staff-Setup") und eine sichere 802.1X-SSID ("Resort-Staff-Secure") erstellen. Das Housekeeping-Personal verbindet sich mit der Setup-SSID, authentifiziert sich über ein Captive Portal mit dem Azure AD des Resorts und lädt ein Konfigurationsprofil herunter, das ein eindeutiges Client-Zertifikat enthält. Der RADIUS-Server wird so konfiguriert, dass er Geräte, die sich mit diesen Zertifikaten authentifizieren, einem eingeschränkten VLAN zuweist, das nur Zugriff auf das Internet und den Server der Dienstplan-App hat.

Kommentar des Prüfers: Dieser Ansatz eliminiert den unsicheren PSK. Durch die Integration von Azure AD ist der Zugriff an den aktiven Status des Mitarbeiters gebunden. Das eingeschränkte VLAN stellt sicher, dass ein kompromittiertes BYOD-Gerät nicht auf sensible Unternehmensserver zugreifen kann.

Eine Einzelhandelskette mit 50 Standorten führt eine neue Bestandsverwaltungs-App ein, auf die Filialmitarbeiter über ihre persönlichen Geräte zugreifen. Der IT-Leiter ist besorgt über die Sicherheitsrisiken unmanaged Geräte im Filialnetzwerk.

Der IT-Leiter muss eine Netzwerksegmentierung und kurzlebige Zertifikate implementieren. BYOD-Geräte werden über ein Self-Service-Portal eingebunden und in ein dediziertes "BYOD-Retail"-VLAN verschoben. Dieses VLAN ist strikt vom Point-of-Sale-VLAN (POS) isoliert. Darüber hinaus haben die beim Onboarding ausgestellten Client-Zertifikate eine maximale Gültigkeit von 90 Tagen. Wenn ein Zertifikat abläuft, muss sich der Mitarbeiter erneut authentifizieren.

Kommentar des Prüfers: Netzwerksegmentierung ist die wichtigste Sicherheitsmaßnahme für unmanaged Geräte. Die 90-tägige Gültigkeit von Zertifikaten stellt sicher, dass Geräte von ehemaligen Mitarbeitern oder Geräte, die längere Zeit nicht im Netzwerk waren, automatisch entfernt werden, was die Angriffsfläche verringert.

Übungsfragen

Q1. Ihr Unternehmen führt eine BYOD-Onboarding-Lösung ein. Das Security-Team besteht darauf, dass auf allen BYOD-Geräten eine aktive Antivirensoftware installiert sein muss, bevor sie sich mit dem Netzwerk verbinden. Wie sollten Sie auf diese Anforderung reagieren?

Hinweis: Berücksichtigen Sie die Funktionen eines Self-Service-Onboarding-Portals im Vergleich zu einer vollständigen MDM-Lösung.

Musterlösung anzeigen

Sie müssen dem Security-Team erklären, dass eine vollständige Überprüfung des Sicherheitsstatus (Verifizierung des Antiviren-Status) in der Regel einen auf dem Gerät installierten MDM-Agenten erfordert. Da es sich hierbei um ein BYOD-Szenario handelt, bei dem die Benutzer MDM ablehnen, ist eine vollständige Überprüfung des Sicherheitsstatus nicht realisierbar. Die Alternative besteht darin, auf eine strikte Netzwerksegmentierung zu setzen. Sie erkennen an, dass das Gerät unmanaged und nicht vertrauenswürdig ist, und platzieren es daher in einem isolierten VLAN, das nur Zugriff auf das Internet und die spezifischen Webanwendungen hat, die für die Rolle des Benutzers erforderlich sind.

Q2. Ein Filialleiter meldet, dass mehrere Mitarbeiter ihre Android-Geräte nach dem Durchlaufen der Schritte im Captive Portal nicht mit dem neuen sicheren BYOD-Netzwerk verbinden können. iOS-Benutzer haben dieses Problem nicht. Was ist die wahrscheinlichste Ursache und die empfohlene Lösung?

Hinweis: Denken Sie darüber nach, wie verschiedene Betriebssysteme Konfigurationsprofile verarbeiten.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist die Android-Fragmentierung. Verschiedene Android-Hersteller handhaben die Installation von WiFi-Profilen unterschiedlich. Die empfohlene Lösung besteht darin, sicherzustellen, dass die Onboarding-Plattform Passpoint (Hotspot 2.0) nutzt, sofern dies von den Geräten unterstützt wird, oder klare, herstellerspezifische Anweisungen auf dem Portal bereitzustellen. Alternativ kann die Nutzung einer speziellen, vom WiFi-Anbieter bereitgestellten Onboarding-App das Erlebnis auf verschiedenen Android-Geräten standardisieren.

Q3. Ein Mitarbeiter verlässt das Unternehmen. Sein Konto wird im Azure AD des Unternehmens deaktiviert. Sie stellen jedoch fest, dass sein persönliches Smartphone immer noch mit dem sicheren BYOD-WiFi-Netzwerk verbunden ist. Warum ist das so, und wie beheben Sie das Problem?

Hinweis: Berücksichtigen Sie die Beziehung zwischen dem IdP und dem RADIUS-Server während des Authentifizierungsprozesses.

Musterlösung anzeigen

Dies geschieht, weil sich das Gerät mit einem gültigen Client-Zertifikat authentifiziert und der RADIUS-Server den Sperrstatus des Zertifikats nicht mit dem IdP abgleicht. Um dies zu beheben, müssen Sie den RADIUS-Server so konfigurieren, dass er eine Überprüfung der Zertifikatssperrliste (CRL) durchführt oder das Online Certificate Status Protocol (OCSP) verwendet. Wenn das Konto in Azure AD deaktiviert wird, sollte das zugehörige Zertifikat als gesperrt markiert werden. Der RADIUS-Server erkennt dann den gesperrten Status und verweigert den Zugriff.

Weiterlesen in dieser Reihe

Per-Device PSK nach Anbieter: iPSK, DPSK, MPSK und PPSK im Vergleich (und WPA3-Unterstützung)

Ein umfassender Vergleich von Per-Device-PSK-Implementierungen bei Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet und Ubiquiti UniFi. Erfahren Sie, wie sich WPA3-SAE auf Per-Device-Key-Strategien auswirkt und wann Übergangsmodi im Vergleich zum Wechsel zu 802.1X eingesetzt werden sollten.

Leitfaden lesen →

Captive Portal Authentifizierungsmethoden im Vergleich

Dieser maßgebliche technische Leitfaden bewertet die architektonischen, betrieblichen und Compliance-bezogenen Vor- und Nachteile von fünf zentralen Captive Portal Authentifizierungsmethoden. Er bietet Netzwerkarchitekten, IT-Leitern und Marketingmanagern die quantitativen Daten und Entscheidungsrahmen, die erforderlich sind, um die Reibung beim Onboarding von Gästen mit den Anforderungen an die Datenerfassung in Unternehmensstandorten abzuwägen.

Leitfaden lesen →

Was ist MAC-Adressen-Authentifizierung? Wann man sie einsetzt und wann man sie vermeidet

Dieser maßgebliche technische Leitfaden behandelt die MAC-Adressen-Authentifizierung in Enterprise-WiFi-Umgebungen – wie die RADIUS-basierte MAC-Authentifizierung auf Layer 2 funktioniert, ihre inhärenten Sicherheitsrisiken (einschließlich MAC-Spoofing und den Auswirkungen der MAC-Randomisierung auf Betriebssystemebene) und die genauen betrieblichen Kontexte, in denen sie ein legitimes Tool zur Verwaltung von IoT- und Headless-Geräten bleibt. Er bietet praxisnahe Bereitstellungsrichtlinien für IT-Manager und Netzwerkarchitekten in den Bereichen Hotellerie, Einzelhandel, Gesundheitswesen und im öffentlichen Sektor, ergänzt durch praxisnahe Fallbeispiele, Entscheidungsmatrizen und Integrationskontexte für die Guest-WiFi- und Analytics-Plattform von Purple.

Leitfaden lesen →