Zum Hauptinhalt springen

Captive Portal vs Splash Page

Dieser maßgebliche Leitfaden erläutert den entscheidenden Unterschied zwischen einem Captive Portal und einer Splash Page in Gäste-WiFi-Netzwerken. Er verdeutlicht, wie der zugrunde liegende Mechanismus zum Abfangen des Netzwerkverkehrs mit der visuellen Schnittstelle für Gäste zusammenarbeitet, und hilft IT-Leitern und Standortbetreibern, fundierte Architektur- und Beschaffungsentscheidungen zu treffen.

📖 8 Min. Lesezeit📝 1,767 Wörter🔧 3 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
CAPTIVE PORTAL VS SPLASH PAGE - EIN TECHNISCHES BRIEFING VON PURPLE Podcast-Skript - ca. 10 Minuten Britische Stimme --- TEIL 1: EINFÜHRUNG UND KONTEXT (ca. 1 Minute) Willkommen zur technischen Briefing-Reihe von Purple. Ich bin Ihr Moderator, und heute klären wir eine der hartnäckigsten Unklarheiten bei der Beschaffung und Bereitstellung von Gäste-WiFi auf: den Unterschied zwischen einem Captive Portal und einer Splash Page. Wenn Sie jemals in einer Anbieter-Präsentation saßen und gehört haben, wie diese beiden Begriffe synonym verwendet wurden, sind Sie nicht allein. Das passiert ständig - in Ausschreibungsunterlagen, in IT-Strategie-Präsentationen und sogar in Gesprächen zwischen Netzwerktechnikern, die es eigentlich besser wissen müssten. Diese Verwirrung ist nicht unerheblich, denn wenn man beides verwechselt, spezifiziert man am Ende entweder die falsche Komponente übermäßig, investiert zu wenig in die richtige oder - noch schlimmer - man stellt eine Gäste-WiFi-Lösung bereit, die zwar fantastisch aussieht, aber über keinerlei echte Netzwerkkontrolle verfügt, oder eine, die technisch solide ist, aber die Gäste mit einem klobigen, unstrukturierten Anmeldebildschirm abschreckt. Lassen Sie uns das also heute korrigieren. Am Ende dieses Briefings werden Sie ein klares Bild davon haben, was jede Komponente tut, wie sie interagieren und worauf Sie bei der Bewertung von Lösungen für Ihren Standort achten müssen - egal, ob es sich um ein Hotel, ein Einzelhandelsgeschäft, ein Stadion oder ein öffentliches Gebäude handelt. --- TEIL 2: TECHNISCHER DEEP-DIVE (ca. 5 Minuten) Beginnen wir mit dem Captive Portal, denn es ist das Fundament, auf dem alles andere aufbaut. Ein Captive Portal ist ein Mechanismus auf der Netzwerkschicht. Seine Aufgabe ist es, den gesamten ausgehenden Datenverkehr eines neu verbundenen Geräts abzufangen und in einer Art digitalem Wartezimmer zu halten, bis dieses Gerät authentifiziert wurde. Wenn sich ein Gast mit Ihrer WiFi SSID verbindet, erhält sein Gerät eine IP-Adresse über DHCP - dieser Teil funktioniert ganz normal. Aber bevor tatsächlich Internet-Datenverkehr zugelassen wird, fängt das Captive Portal diesen ab. Hier ist der technische Ablauf. Das Gerät des Gastes sendet eine HTTP- oder HTTPS-Anfrage - es versucht beispielsweise, eine Website zu laden, oder es handelt sich um die eigene Konnektivitätsprüfung des Betriebssystems, die moderne Geräte wie iPhones und Android-Telefone automatisch ausführen. Der Captive Portal Controller - der sich entweder auf Ihrem Wireless Controller, Ihrem Router oder auf einer cloudbasierten Plattform befindet - fängt diese DNS-Abfrage oder HTTP-Anfrage ab und leitet sie um. Anstatt das Internet zu erreichen, erhält das Gerät eine Umleitungsantwort, die auf eine bestimmte URL verweist. Unter dieser URL ist die Splash Page hinterlegte Splash Page zu finden. Der Weiterleitungsmechanismus selbst nutzt eine von zwei primären Techniken. Die erste ist DNS-Hijacking - das Captive Portal fängt DNS-Abfragen ab und gibt anstelle des tatsächlichen Ziels die IP-Adresse des Portal-Servers zurück. Die zweite ist ein HTTP-Redirect - das Portal fängt die HTTP-Anfrage am Gateway ab und sendet eine 302-Weiterleitungsantwort. Bei HTTPS-Traffic ist dies komplexer, da man eine verschlüsselte Sitzung nicht abfangen kann, ohne eine Zertifikatswarnung auszulösen. Aus diesem Grund verlassen sich die meisten Captive Portal-Implementierungen auf den im Betriebssystem integrierten Captive Network Assistant - das Pop-up, das auf Ihrem Telefon erscheint, wenn Sie sich mit einem neuen Netzwerk verbinden. Dieser nutzt einen bekannten HTTP-Endpunkt, um Captive Portale zu erkennen, bevor HTTPS-Verbindungen versucht werden. Auf der Netzwerkschicht erzwingt das Captive Portal die Zugriffskontrolle mithilfe von Firewall-Regeln. Nicht authentifizierte Geräte werden in ein eingeschränktes VLAN oder Subnetz verschoben, in dem der gesamte Datenverkehr mit Ausnahme von DNS und HTTP zum Portal-Server blockiert ist. Sobald die Authentifizierung bestätigt ist - sei es durch ein einfaches Click-Through, einen Social-Login, eine E-Mail-Erfassung oder einen vollständigen 802.1X-Anmeldedatenaustausch - aktualisiert der Portal-Controller die Firewall-Regeln für die MAC-Adresse dieses Geräts und verschiebt es aus der eingeschränkten Zone in die autorisierte Zone mit vollem Internetzugang. Das ist wichtig: Das Captive Portal ist für den Gast unsichtbar. Er sieht es nie direkt. Was er sieht, ist die Splash Page. Die Splash Page ist die Anwendungsschicht - es ist das HTML, CSS und JavaScript, das im Browser des Gasts oder im Pop-up des Captive Network Assistant gerendert wird. Es ist die visuelle Schnittstelle: Ihre Marke, Ihr Logo, Ihre Willkommensnachricht, Ihre Allgemeinen Geschäftsbedingungen, Ihre Social-Login-Buttons, Ihre Marketing-Opt-in-Checkboxen. Sie verwandelt ein rein technisches Netzwerk-Authentifizierungsereignis in ein gebrandetes Gästeerlebnis. Betrachten Sie es so: Das Captive Portal ist der Türsteher am Eingang - es entscheidet, wer reinkommt, und setzt die Regeln durch. Die Splash Page ist der Empfangstresen - sie ist das Gesicht Ihres Standorts, erfasst Informationen und sorgt dafür, dass sich der Gast willkommen fühlt. Sie benötigen beide Komponenten, und sie müssen nahtlos zusammenarbeiten. Warum ist diese Unterscheidung nun aus geschäftlicher Sicht so wichtig? Weil Sie bei der Bewertung einer Gast-WiFi-Lösung für jede Komponente unterschiedliche Fragen stellen müssen. In Bezug auf das Captive Portal fragen Sie: Welche Authentifizierungsmethoden werden unterstützt? Kann es 802.1X für Unternehmensgeräte neben dem Social-Login für Gäste verarbeiten? Unterstützt es einen MAC-Adressen-Bypass für Geräte, die keinen Browser anzeigen können? Wie verhält es sich bei Sitzungs-Timeouts und erneuter Authentifizierung? Ist es konform mit Ihren Datenschutzverpflichtungen gemäß der GDPR? Lässt es sich in Ihre RADIUS-Infrastruktur integrieren? Kann es den Datenverkehr nach Benutzertyp segmentieren - und so den Gast-Traffic auf der Netzwerkschicht vom Mitarbeiter-Traffic trennen? Für die Splash-Page stellt sich die Frage: Wie anpassbar ist sie? Kann Ihr Marketing-Team sie bearbeiten, ohne die Netzwerkkonfiguration zu berühren? Unterstützt sie A/B-Tests? Kann sie verschiedenen Benutzersegmenten unterschiedliche Inhalte bereitstellen - zum Beispiel treuen Mitgliedern im Vergleich zu Erstbesuchern? Unterstützt sie Videohintergründe, Werbebanner oder Weiterleitungsseiten nach der Verbindung? Wie ist die Leistung auf Mobilgeräten? Ist sie barrierefrei? Dies sind grundlegend unterschiedliche Beschaffungskriterien, und ihre Vermischung führt zu schlechten Entscheidungen. Wir haben erlebt, dass Organisationen viel in ein schönes Splash-Page-Design investiert haben, nur um dann festzustellen, dass das dahinterliegende Captive Portal die von ihrer IT-Sicherheitsrichtlinie geforderten Authentifizierungsmethoden nicht unterstützt. Wir haben auch das Gegenteil erlebt - technisch robuste Captive Portal-Bereitstellungen mit so schlecht gestalteten Splash-Pages, dass die Akzeptanzraten der Gäste im dreißiger Prozentbereich liegen. Lassen Sie uns über die Standards sprechen, die dem Ganzen zugrunde liegen. Der Captive Portal-Mechanismus hat keinen einheitlichen Standard, aber er arbeitet im Rahmen mehrerer wichtiger Standards. IEEE 802.1X ist der portbasierte Netzwerkzugriffskontrollstandard, der regelt, wie sich Geräte mithilfe von Anmeldedaten, Zertifikaten oder Token an einem Netzwerk authentifizieren. Er ist das Fundament der Enterprise WiFi-Sicherheit und wird auch im Kontext von Gäste-WiFi immer relevanter, wenn Sie wiederkehrenden Besuchern einen nahtlosen, anmeldedatenbasierten Zugang bieten möchten. WPA3, das neueste WiFi-Sicherheitsprotokoll, führt Opportunistic Wireless Encryption ein, das den Datenverkehr selbst in offenen Netzwerken verschlüsselt - relevant für Captive Portal-Bereitstellungen, da es die Art und Weise verändert, wie der anfängliche Verbindungs-Handshake funktioniert. Aus Compliance-Perspektive hat die GDPR erhebliche Auswirkungen auf das Design von Splash-Pages. Wenn Ihre Splash-Page personenbezogene Daten erfasst - eine E-Mail-Adresse, einen Namen, einen Social Login -, benötigen Sie eine ausdrückliche, informierte Einwilligung, einen klaren Datenschutzhinweis und eine Rechtsgrundlage für die Verarbeitung. Auf der Splash-Page wird diese Einwilligung erfasst, aber das Captive Portal erzwingt die Verbindung zwischen Einwilligung und Zugang. Wenn ein Gast Ihr Marketing-Opt-in ablehnt, muss das Captive Portal ihm dennoch Internetzugang gewähren - die Einwilligung in das Marketing darf unter der GDPR keine Bedingung für den Zugriff auf das Netzwerk sein. PCI-DSS ist relevant, wenn Ihr Gäste-WiFi-Netzwerk in den Bereich von Kartendatenumgebungen fällt - typischerweise im Einzelhandel oder im Gastgewerbe. Die durch das Captive Portal erzwungene Netzwerksegmentierung ist hier eine wichtige Kontrollmaßnahme, die sicherstellt, dass der Datenverkehr der Gäste von den Zahlungssystemen isoliert ist. --- SEGMENT 3: IMPLEMENTIERUNGSEMPFEHLUNGEN UND FALLSTRICKE (ca. 2 Minuten) Lassen Sie mich Ihnen zwei Szenarien aus der Praxis vorstellen, die veranschaulichen, wie sich dies in der Realität auswirkt. Erstens, eine Hotelgruppe mit 200 Zimmern. Sie implementierte eine Gäste-WiFi-Lösung, bei der die Splash Page wunderschön gebrandet war - ihr Logo, eine Willkommensnachricht, ein Werbeangebot für das Spa. Aber das zugrunde liegende Captive Portal war eine einfache Open-Source-Implementierung, die DNS-Hijacking ohne jegliche Sitzungsverwaltung nutzte. Das Ergebnis: Gäste, die in das Hotel zurückkehrten, wurden bei jedem Besuch aufgefordert, sich erneut anzumelden, selbst während desselben Aufenthalts. Die Splash Page sah toll aus, aber das Captive Portal bot keine Persistenz der MAC-Adresse, keine Konfiguration von Sitzungs-Timeouts und keine Integration mit dem Property Management System. Die Behebung erforderte den kompletten Austausch des Captive Portal-Controllers - die Splash Page war in Ordnung. Zweitens, eine nationale Einzelhandelskette. Sie implementierte ein professionelles Captive Portal mit vollständiger 802.1X-Unterstützung, RADIUS-Integration und anspruchsvoller Traffic-Segmentierung. Aber ihre Splash Page war eine Standardvorlage - schlichtes Weiß, kein Branding, eine allgemeine Nachricht "Mit WiFi verbinden". Die Nutzungsrate durch die Gäste lag bei 34 %. Nachdem sie in eine professionell gestaltete, gebrandete Splash Page mit einer Social-Login-Option per Klick investiert hatten, stieg die Nutzungsrate innerhalb von drei Monaten auf 71 %. Das Captive Portal hatte sich überhaupt nicht verändert. Die Lehre aus beiden Szenarien: Diese separaten Komponenten erfordern separate Investitionen und separates Fachwissen. Lassen Sie Ihr Netzwerkteam nicht das Design der Splash Page bestimmen, und lassen Sie Ihr Marketingteam keine Entscheidungen über die Architektur des Captive Portals treffen. Häufige Fallstricke, die es zu vermeiden gilt: Erstens, die Annahme, dass eine Splash Page ein Captive Portal ist. Das ist sie nicht. Eine Splash Page ohne ein Captive Portal ist nur eine Webseite, zu deren Besuch niemand gezwungen wird. Zweitens, die Bereitstellung eines Captive Portals ohne HTTPS-Unterstützung für die Splash Page. Alle auf einer unverschlüsselten Splash Page erfassten Daten - E-Mail-Adressen, Anmeldedaten - werden im Klartext übertragen. Das ist ein Risiko für die GDPR und die Sicherheit. Drittens, das Ignorieren des mobilen Erlebnisses. Über 80 % der Gäste-WiFi-Verbindungen erfolgen über Mobilgeräte. Wenn Ihre Splash Page nicht für Mobilgeräte optimiert ist, erzeugen Sie genau in dem Moment Reibungsverluste, in dem Sie einen positiven Markenimpression hinterlassen sollten. --- SEGMENT 4: SCHNELLE FRAGEN UND ANTWORTEN (ca. 1 Minute) Lassen Sie mich ein paar Fragen durchgehen, die wir regelmäßig hören. Kann ich eine Splash Page ohne ein Captive Portal haben? Technisch gesehen ja - Sie können eine Webseite hosten und Personen dorthin leiten - aber ohne dass das Captive Portal die Weiterleitung erzwingt, haben die Gäste keinen Grund, sie zu besuchen. Sie hätten keine Datenerfassung, kein Einwilligungsmanagement und keine Netzwerkzugriffskontrolle. Kann ich ein Captive Portal ohne eine Splash Page haben? Ja, und das ist in Enterprise-Umgebungen üblich, in denen 802.1X die Authentifizierung geräuschlos abwickelt. Aber bei Implementierungen für Gäste möchten Sie fast immer eine Splash Page, um das Benutzererlebnis und die Datenerfassung zu steuern.Hebelt WPA3 Captive Portals aus? Nicht, wenn es richtig implementiert ist. WPA3 mit Opportunistic Wireless Encryption ist mit Captive Portal-Bereitstellungen kompatibel, erfordert jedoch, dass das Portal HTTPS verwendet und das Netzwerk die Portal-URL korrekt übermittelt. Einige ältere Client-Geräte haben Kompatibilitätsprobleme, weshalb viele Standorte Dual-SSID-Konfigurationen nutzen. Ist der Social Login über die Splash Page sicher? Das hängt von der Implementierung ab. Der auf OAuth 2.0 basierende Social Login - über Google, Facebook oder Apple - ist sicher, wenn er korrekt implementiert ist. Die Splash Page wickelt den OAuth-Flow ab, und das Captive Portal erhält ein Token, das die Authentifizierung bestätigt. Das Hauptrisiko liegt darin, wie dieses Token validiert und wie die Sitzung verwaltet wird. --- SEGMENT 5: ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE (ca. 1 Minute) Lassen Sie uns mit den wichtigsten Erkenntnissen abschließen. Erstens: Ein Captive Portal und eine Splash Page sind nicht dasselbe. Das Captive Portal ist der Netzwerk-Steuerungsmechanismus - es fängt den Datenverkehr ab und setzt Zugangsregeln durch. Die Splash Page ist die visuelle Benutzeroberfläche - das, was der Gast sieht und womit er interagiert. Zweitens: Sie arbeiten zusammen. Das Captive Portal leitet den Gast an die Splash Page weiter. Die Splash Page erfasst die Authentifizierung oder die Einwilligung. Das Captive Portal gewährt dann basierend auf diesem Ergebnis den Zugriff. Drittens: Bewerten Sie beide separat. Stellen Sie unterschiedliche Fragen, wenden Sie unterschiedliches Fachwissen an und planen Sie das Budget für beide unabhängig voneinander. Viertens: Compliance entsteht an der Schnittstelle. Die GDPR-Einwilligung wird auf der Splash Page erfasst, aber durch das Captive Portal durchgesetzt. Machen Sie bei beiden alles richtig. Fünftens: Purple bietet beides. Wenn Sie nach einer Plattform suchen, die Captive Portal-Steuerung auf Enterprise-Niveau mit anspruchsvollem, personalisierbarem Splash Page-Design verbindet - inklusive umfassender Analysen, Tools zur GDPR-Compliance und Integrationen in Ihre bestehende Infrastruktur - dann ist das genau das, wofür Purple entwickelt wurde. Als nächste Schritte empfehle ich Ihnen die Implementierungsleitfäden von Purple zur 802.1X-Authentifizierung und zu Gast-WiFi-Analysen. Die Links finden Sie in den Shownotes. Und wenn Sie sich mitten in einem Beschaffungsprozess befinden, wenden Sie sich für eine technische Bewertung an das Team von Purple - es lohnt sich, die Architektur richtig aufzusetzen, bevor Sie sich für eine Bereitstellung entscheiden. Vielen Dank fürs Zuhören. Bis zum nächsten Mal. --- ENDE DES SKRIPTS

header_image.png

Management-Zusammenfassung

Für IT-Manager, Netzwerkarchitekten und Betriebsleiter von Veranstaltungsorten ist Gast-WiFi längst keine reine Annehmlichkeit mehr - es ist ein entscheidender Touchpoint für die Erfassung von First-Party-Daten, Marketing-Engagement und Netzwerksicherheit. Ein hartnäckiger Punkt der Verwirrung in Ausschreibungen und Implementierungsgesprächen ist jedoch die Gleichsetzung des Captive Portal mit Splash Pages.

Dieser Leitfaden soll diese grundlegende Unterscheidung klären. Das Captive Portal ist ein Kontrollmechanismus auf der Netzwerkschicht, der den Datenverkehr abfängt, den Internetzugang blockiert und die sichere Authentifizierung verwaltet. Die Splash Page hingegen ist die visuelle Benutzeroberfläche auf der Anwendungsschicht - die Webseite, die Gäste sehen, mit der sie interagieren und die sie zur Authentifizierung nutzen.

Die Gleichsetzung dieser beiden Komponenten führt zu erheblichen Beschaffungs- und Implementierungsrisiken, wie z. B. dem Kauf einer schön gestalteten Splash Page mit unsicheren Backend-Kontrollen oder der Bereitstellung eines hochsicheren Captive Portal mit einer klobigen, markenuntypischen Benutzeroberfläche, die Gäste abschreckt. Wenn Unternehmen verstehen, wie diese Technologien zusammenarbeiten, können sie Plattformen wie Purple nutzen, um ein sicheres, konformes und hochgradig ansprechendes Gast-WiFi-Erlebnis zu bieten, das messbaren geschäftlichen Mehrwert schafft.

comparison_chart.png

Technischer Deep-Dive

Das Captive Portal: Abfangen des Datenverkehrs auf der Netzwerkschicht

Das Captive Portal arbeitet auf den unteren Schichten des OSI-Modells (normalerweise Layer 2 und 3), um die Zugriffskontrolle durchzusetzen. Wenn sich ein Gastgerät mit einer offenen SSID verbindet, weist der lokale DHCP-Server ihm eine IP-Adresse, eine Subnetzmaske und ein Standard-Gateway zu. Der Wireless Access Point (AP) oder Gateway-Controller versetzt die MAC-Adresse dieses Geräts jedoch in einen nicht authentifizierten Zustand innerhalb der Sitzungstabelle der Firewall.

In diesem Zustand blockiert die Firewall den gesamten ausgehenden IP-Datenverkehr, mit Ausnahme von wichtigen Netzdiensten wie DNS und DHCP. Wenn der Gast versucht, eine externe Website zu besuchen, fängt das Captive Portal den Datenverkehr mit einer von zwei Hauptmethoden ab:

  1. HTTP-Weiterleitung (302 Redirect): Das Gateway fängt die ursprüngliche HTTP-Anfrage ab und gibt eine HTTP 302 Found-Antwort zurück, die den Browser des Clients auf die URL der Splash Page umleitet.
  2. DNS-Hijacking: Das Gateway fängt DNS-Abfragen ab und löst alle Domainnamen in die IP-Adresse des lokalen Splash-Page-Servers auf. Obwohl diese Methode einfach ist, wurde sie aufgrund von DNSSEC und Sicherheitswarnungen auf Browserebene zunehmend verdrängt. Moderne mobile Betriebssysteme nutzen einen integrierten Dienst namens Captive Network Assistant (CNA). Nach dem Herstellen einer Verbindung mit einem Netzwerk versucht der CNA, einen bekannten, unverschlüsselten HTTP-Endpunkt zu erreichen (z. B. Apples captive.apple.com oder Googles connectivitycheck.gstatic.com). Wird diese Antwort abgefangen und umgeleitet, erkennt das Betriebssystem, dass es sich hinter einem Captive Portal befindet, und zeigt die Splash Page automatisch in einem eigenen System-Browserfenster an, sodass der Benutzer keinen Webbrowser manuell öffnen muss.

Sobald der Benutzer den Authentifizierungsfluss auf der Splash Page abgeschlossen hat, sendet der Authentifizierungsserver (in der Regel ein RADIUS-Server) ein Access-Accept-Paket an den Netzwerk-Controller. Der Controller aktualisiert daraufhin seine Firewall-Regeln, um der MAC-Adresse dieses Geräts vollen Internetzugriff zu gewähren. Dabei wird in der Regel MAC Address Bypass (MAB) genutzt, um das Gerät für eine festgelegte Sitzungsdauer zu speichern.

Die Splash Page: Benutzererfahrung auf der Anwendungsschicht

Im Gegensatz zum Captive Portal ist die Splash Page eine Standard-Webanwendung, die auf Layer 7 (der Anwendungsschicht) arbeitet. Sie wird mit Standard-Webtechnologien (HTML, CSS und JavaScript) erstellt und entweder lokal auf dem Gateway-Controller oder, was häufiger vorkommt, auf einer Cloud-Plattform wie Purple gehostet.

Die Splash Page dient dem Gast als visuelle Schnittstelle und Marken-Touchpoint. Zu ihren wichtigsten technischen Funktionen gehören:

  • Identitätsföderation: Ermöglichung von Social Login (Google, Facebook, Apple) über das OAuth 2.0-Protokoll.
  • Datenerfassung: Erfassung von Gästedaten wie E-Mail-Adressen, Namen und Mitgliedsnummern von Treueprogrammen.
  • Einwilligungsmanagement: Einholen der ausdrücklichen Zustimmung (Opt-in) für Marketingzwecke sowie der Zustimmung zu Nutzungsbedingungen und Datenschutzrichtlinien, um die Einhaltung von Vorschriften wie der DSGVO (GDPR) [1] und dem California Consumer Privacy Act (CCPA) zu gewährleisten.
  • Bereitstellung von Werbung und Branding: Einblenden von zielgerichteten Werbebannern, Videoanzeigen oder Weiterleitungsseiten nach der Verbindung, um den physischen Raum zu monetarisieren.

Da es sich bei der Splash Page um eine Webanwendung handelt, muss sie hochgradig reaktionsschnell und für mobile Geräte optimiert sein, die mehr als 80 % der WiFi-Verbindungen von Gästen ausmachen.

architecture_overview.png

Implementierungsleitfaden

Die Bereitstellung einer professionellen WiFi-Lösung für Gäste erfordert eine enge Abstimmung zwischen der Netzwerkinfrastruktur und der Cloud-Software. Im Folgenden finden Sie einen herstellerneutralen Architekturleitfaden zur Implementierung eines Systems aus Captive Portal und Splash Page.

Schritt-für-Schritt-Bereitstellungsarchitektur

  1. Netzwerksegmentierung: Konfigurieren Sie ein dediziertes Gäste-VLAN auf Ihren Switches und Access Points, um den Datenverkehr der Gäste vom internen Unternehmensnetzwerk, den Kassensystemen (POS) und den IoT-Geräten zu isolieren. Dies ist eine Grundvoraussetzung für die Einhaltung von PCI-DSS [2].
  2. SSID-Konfiguration: Konfigurieren Sie eine offene SSID mit aktivierter Opportunistic Wireless Encryption (OWE), sofern Ihre Hardware dies unterstützt, oder eine standardmäßige offene SSID. Aktivieren Sie die Captive Portal-Weiterleitung innerhalb des SSID-Profils auf Ihrem Wireless-Controller (beispielsweise Cisco Catalyst, Aruba Instant On oder Ruckus SmartZone).
  3. Walled Garden (ACL) Konfiguration: Vor der Authentifizierung muss es Gastgeräten gestattet sein, bestimmte externe Domänen zu erreichen, damit die Splash page korrekt dargestellt wird. Dies wird als "Walled Garden" oder Zugriffskontrollliste (ACL) bezeichnet. Sie müssen Folgendes einbeziehen:
    • Die Domäne Ihrer in der Cloud gehosteten Splash page (beispielsweise *.purple.ai).
    • Die OAuth-Endpunkte der Social-Login-Anbieter (beispielsweise *.facebook.com, *.google.com, *.apple.com).
    • Die Content Delivery Networks (CDNs), die die erforderlichen Ressourcen (Schriftarten, Stylesheets, Bilder) hosten.
  4. RADIUS-Server-Integration: Konfigurieren Sie den Wireless-Controller so, dass er einen externen RADIUS-Server (wie den Cloud-RADIUS von Purple) für die Authentifizierung und das Accounting (802.1X / AAA) verwendet [3].
  5. Splash page-Anpassung: Gestalten Sie die Splash page innerhalb des Purple-Portals und achten Sie dabei auf Markenkonformität, mobile Optimierung und eindeutige Kontrollkästchen für die rechtliche Einwilligung.
  6. Sitzungs- und Bandbreitenrichtlinien: Definieren Sie auf dem Netzwerk-Controller Sitzungs-Timeouts (beispielsweise 8 Stunden), Leerlauf-Timeouts (beispielsweise 30 Minuten) und Bandbreitenbegrenzungen pro Benutzer (beispielsweise 5 Mbps Downstream, 2 Mbps Upstream), um Netzwerkmissbrauch zu verhindern und einen fairen Zugriff für alle Gäste zu gewährleisten.
Technischer Parameter Captive Portal (Netzwerk-Gateway) Splash Page (Cloud-Anwendung)
OSI-Schicht Schicht 2 / Schicht 3 (Netzwerk/Sicherungsschicht) Schicht 7 (Anwendungsschicht)
Primäre Protokolle RADIUS, DHCP, HTTP (302-Weiterleitung) HTTP, HTTPS, HTML5, CSS3, OAuth 2.0
Kernfunktionen Datenverkehr-Abfangung, Zugriffskontrolle, Bandbreitenbegrenzung Benutzeroberfläche, Datenerfassung, Einwilligung, Branding
Benutzersichtbarkeit Völlig unsichtbar (Backend-Mechanismus) 100 % sichtbar (visuelle Begrüßungsseite)
Sicherheitsstandards IEEE 802.1X, WPA3, OWE, PCI-DSS HTTPS, SSL/TLS, GDPR, CCPA
Typische Hardware Wireless Access Points, Gateway-Router, Controller Cloud-Server, CDNs

Best Practices

Um ein hochverfügbares, sicheres und rechtskonformes Gast-WiFi-Netzwerk zu gewährleisten, sollten IT-Teams diese branchenüblichen Best Practices befolgen:

1. Erzwingen Sie HTTPS- und SSL/TLS-Zertifikate

Sämtlicher Datenverkehr zwischen dem Gastgerät und der Splash-Page muss mittels HTTPS verschlüsselt sein. Der Betrieb einer Splash-Page über unverschlüsseltes HTTP setzt Gastdaten - einschließlich Anmeldedaten und E-Mail-Adressen - dem Packet Sniffing und Man-in-the-Middle-Angriffen aus. Stellen Sie sicher, dass Ihre Splash-Page-Domain über ein gültiges, öffentlich vertrauenswürdiges SSL/TLS-Zertifikat verfügt. Selbstsignierte Zertifikate lösen schwerwiegende Browser-Warnungen aus, die dazu führen, dass Gäste die Verbindung abbrechen.

2. Implementieren Sie Netzwerkorganisation (Isolation)

Leiten Sie Gast-WiFi-Datenverkehr niemals in dasselbe VLAN oder Subnetz wie Unternehmensdaten um. Der Gast-Datenverkehr sollte in ein "nur für Gäste" bestimmtes VLAN mit strengen Firewall-Regeln isoliert werden, die jegliches Cross-VLAN-Routing zu internen Subnetzen verhindern. Dies verringert das Risiko der Verbreitung von Schadsoftware und des unbefugten Zugriffs auf sensible Unternehmensdaten.

3. Stellen Sie die Einhaltung von GDPR und CCPA sicher

Wenn Ihr Standort in Großbritannien, der EU oder Kalifornien betrieben wird oder Bürger dieser Regionen bedient, muss Ihre Splash-Page den strengen Datenschutzgesetzen entsprechen:

  • Freiwillige Einwilligung: Kontrollkästchen für das Marketing-Opt-in dürfen standardmäßig nicht angekreuzt sein. Die Zustimmung zu Marketing-Mitteilungen darf nicht zur Bedingung für den Internetzugang gemacht werden.
  • Klare Datenschutzrichtlinie: Stellen Sie auf der Splash-Page einen direkten, leicht zugänglichen Link zu Ihrer Datenschutzrichtlinie bereit.
  • Recht auf Vergessenwerden (Recht auf Löschung): Stellen Sie sicher, dass Ihre Gast-WiFi-Plattform (wie z. B. Purple) automatisierte Workflows für Gäste unterstützt, die die Löschung ihrer personenbezogenen Daten beantragen.

4. Optimieren Sie für Mobilgeräte und den CNA

Stellen Sie sicher, dass die Splash-Page schlank und hochgradig reaktionsschnell ist. Vermeiden Sie schwere Videohintergründe oder große, unkomprimierte Bilder, die das Laden der Seite verlangsamen - insbesondere in Umgebungen mit extrem hoher Dichte wie Stadien oder Konferenzzentren. Testen Sie die Splash-Page auf einer Reihe von mobilen Betriebssystemen, um eine nahtlose Darstellung im nativen Captive Network Assistant (CNA)-Browser zu gewährleisten.

Fehlerbehebung und Risikominderung

Häufige Fehlermodi und Minderungsstrategien

  • CNA-Popup wird nicht angezeigt: Wenn die Weiterleitung zum Captive Portal das CNA des Geräts nicht auslöst, bleiben Gäste möglicherweise mit der SSID verbunden, haben jedoch keinen Internetzugang und keine offensichtliche Möglichkeit, sich anzumelden.
    • Abhilfe: Stellen Sie sicher, dass die den Gästen über DHCP zugewiesenen DNS-Server voll funktionsfähig sind und externe Domains auflösen können. Wenn die DNS-Auflösung fehlschlägt, kann der CNA seine Konnektivitätsprüfung nicht durchführen und die Weiterleitung wird nie ausgelöst.
  • Fehlkonfiguration des Walled Garden: Gäste können die Anmeldung über Social Media nicht abschließen, da die OAuth-Anmeldeseite nicht geladen wird oder ein Verbindungsfehler angezeigt wird.
    • Abhilfe: Überprüfen Sie die Walled Garden ACL des Gateways nochmals. Social-Login-Anbieter ändern häufig ihre IP-Bereiche und Domains. Die Nutzung einer Cloud-gesteuerten Gast-WiFi-Plattform wie Purple stellt sicher, dass Walled Garden Domains automatisch aktualisiert und mit Ihrer Hardware synchronisiert werden.* CNA-Browser-Einschränkungen: Der native CNA-Browser auf Mobilgeräten hat im Vergleich zu Standard-Browsern wie Safari oder Chrome einen eingeschränkten Funktionsumfang. Er blockiert möglicherweise Cookies, Pop-ups oder externe Weiterleitungen.
    • Abhilfe: Vermeiden Sie komplexes JavaScript oder Drittanbieter-Integrationen auf der Splash Page, die eine Cookie-Persistenz oder Browser-Pop-ups erfordern. Halten Sie den Authentifizierungsfluss so einfach und direkt wie möglich.

ROI und geschäftliche Auswirkungen

Das Verständnis des Unterschieds zwischen dem Captive Portal und der Splash Page ermöglicht es Unternehmen, den Return on Investment (ROI) zu maximieren, indem sie sowohl die Netzwerkleistung als auch den kommerziellen Nutzen ihrer Gast-WiFi-Netzwerke optimieren.

Der geschäftliche Wert einer dual optimierten Lösung

  • Höheres Gäste-Engagement: Im Vergleich zu einer generischen, markenlosen Willkommensseite kann eine professionell gestaltete Splash Page - in Kombination mit den Kernprodukten von Purple wie Guest WiFi und WiFi Analytics [4] [5] - die Anmelderaten der Gäste um bis zu 40 % steigern.
  • Erfassung wertvoller First-Party-Daten: Durch das Angebot von nahtlosem Social-Media-Login und strukturierten Formularfeldern können Standorte in Branchen wie Einzelhandel , Gastgewerbe , Gesundheitswesen und Transport saubere, verifizierte E-Mail-Adressen, demografische Daten und Daten zur Besuchshäufigkeit erfassen.
  • Monetarisierungsmöglichkeiten: Die Nutzung der Splash Page für Retail-Media-Monetarisierung ermöglicht es Standorten, Gästen im Moment der Verbindung gezielte Werbung anzuzeigen und so den schnell wachsenden Markt für digitale Werbung zu nutzen.
  • Betriebliche Effizienz: Ein robustes Captive Portal reduziert IT-Support-Tickets durch die Automatisierung des Device Onboarding, die Verwaltung von Sitzungs-Timeouts und die Durchsetzung von Bandbreitenbegrenzungen zur Vermeidung von Netzwerküberlastungen.

Durch den Einsatz der Enterprise-Lösung von Purple können Standorte sicherstellen, dass ihre Netzwerkarchitektur sicher und konform ist, während sie ihren Marketingteams die volle kreative Freiheit geben, ansprechende, hochkonvertierende Splash Pages zu gestalten, die die Kundenbindung stärken und den Umsatz steigern.

Referenzen

Schlüsseldefinitionen

Captive Portal

Ein Mechanismus auf Netzwerkebene, der den Client-Datenverkehr abfängt und den Internetzugang einschränkt, bis die Authentifizierungskriterien erfüllt sind.

Tritt bei IT-Teams auf, wenn sie Wireless-Controller, Gateways oder Firewalls konfigurieren, um nicht authentifizierte MAC-Adressen umzuleiten.

Splash Page

Die visuelle, webbasierte Landingpage, die im Browser eines Gastes angezeigt wird und die Authentifizierung, Datenerfassung und Markenbindung erleichtert.

Wird von Marketing- und Standort-Betriebsteams verwaltet, um das Onboarding-Erlebnis für Benutzer zu gestalten und Kundendaten zu erfassen.

Captive Network Assistant (CNA)

Eine in das Betriebssystem von Mobilgeräten integrierte Funktion, die ein Captive Portal automatisch erkennt und die Splash Page in einem Systembrowserfenster öffnet.

Entscheidend für die Benutzererfahrung, da Gäste keinen Browser mehr manuell öffnen müssen, um sich anzumelden.

Walled Garden (ACL)

Eine Liste von IP-Adressen oder Domains, auf die ein nicht authentifizierter Benutzer zugreifen darf, bevor er sich im Netzwerk anmeldet.

Muss auf dem Wireless Gateway korrekt konfiguriert sein, damit die Splash Page und die OAuth-Flows für Social Login geladen werden können.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentrale Authentifizierungs-, Autorisierungs- und Accounting-Verwaltung (AAA) für Benutzer bereitstellt, die sich mit einem Netzwerk verbinden.

Wird vom Captive Portal verwendet, um die Anmeldedaten von Gästen mit einer Datenbank abzugleichen und Netzwerkzugriff zu gewähren.

MAC Address Bypass (MAB)

Ein Mechanismus, bei dem ein Gerät bei nachfolgenden Verbindungen den Anmeldebildschirm des Captive Portals umgehen kann, indem sich das System an seine Hardware-MAC-Adresse erinnert.

Wird verwendet, um wiederkehrenden Gästen ein nahtloses Erlebnis zu bieten, indem eine erneute Anmeldung überflüssig wird.

Opportunistic Wireless Encryption (OWE)

Ein WiFi-Standard (Teil von WPA3), der Verschlüsselung in offenen Netzwerken bietet, ohne dass ein gemeinsames Passwort erforderlich ist.

Ermöglicht eine sichere Datenübertragung in öffentlichen Gastnetzwerken, während die Umleitung zum Captive Portal weiterhin möglich ist.

VLAN-Segmentierung

Die Praxis der Aufteilung eines physischen Netzwerks in mehrere logische Netzwerke auf Layer 2, um den Datenverkehr zu isolieren.

Unerlässlich bei Gast-WiFi-Bereitstellungen, um sicherzustellen, dass der Gast-Datenverkehr vollständig von sicheren Unternehmensnetzwerken isoliert ist.

Ausgearbeitete Beispiele

Eine landesweite Einzelhandelskette mit 150 Filialen möchte ein Gäste-WiFi-Netzwerk einrichten, das E-Mail-Adressen von Kunden für Marketingzwecke erfasst. Das IT-Sicherheitsteam ist jedoch besorgt, dass der Datenverkehr der Gäste auf die Point-of-Sale (POS)-Systeme des Unternehmens zugreift. Wie sollte die Architektur gestaltet sein?

  1. Konfigurieren Sie ein dediziertes Gäste-VLAN (z. B. VLAN 50) auf allen Switches und Access Points in allen 150 Filialen, das mithilfe von Firewall-ACLs vollständig vom POS-VLAN des Unternehmens (VLAN 10) isoliert ist. 2. Aktivieren Sie die Captive Portal-Weiterleitung auf der Gäste-SSID und leiten Sie die Redirect-URL an die sichere, in der Cloud gehostete Splash Page von Purple weiter. 3. Konfigurieren Sie das Netzwerk-Gateway so, dass der gesamte vorauthentifizierte Datenverkehr auf VLAN 50 eingeschränkt wird und der Zugriff nur auf DNS, DHCP und die Walled-Garden-Domains von Purple erlaubt ist. 4. Nutzen Sie die Integration von Purple mit dem Wireless-Controller, um Gäste über RADIUS zu authentifizieren, sodass der Internetzugang erst gewährt wird, nachdem der Gast eine verifizierte E-Mail-Adresse angegeben und die Nutzungsbedingungen auf der Splash Page akzeptiert hat.
Kommentar des Prüfers: Diese Architektur erfüllt sowohl die Marketing- als auch die Sicherheitsziele. Durch die Trennung der Netzwerkschichten (VLAN-Segmentierung auf Layer 2/3) von der Anwendungsschicht (E-Mail-Erfassung auf der Splash Page auf Layer 7) stellt die Einzelhandelskette die PCI-DSS-Compliance für ihre POS-Systeme sicher und maximiert gleichzeitig die Erfassung von Marketingdaten.

Ein Sportstadion mit 50.000 Sitzplätzen möchte bei Veranstaltungen kostenloses WiFi anbieten. Das Betriebsteam wünscht sich einen nahtlosen Login-Prozess, um Netzwerküberlastungen zu Beginn von Spielen zu vermeiden, während das Marketingteam Videoanzeigen von Sponsoren auf der Splash Page schalten möchte. Wie lässt sich das vereinbaren?

  1. Implementieren Sie High-Density-Access-Points und konfigurieren Sie ein Captive Portal mit einem MAC Address Bypass (MAB) von 30 Tagen, damit wiederkehrende Fans die Splash Page nicht bei jedem Besuch sehen müssen. 2. Entwerfen Sie für neue Verbindungen eine extrem schlanke Splash Page, die für schnelles Laden auf Mobilgeräten optimiert ist. 3. Betten Sie ein kurzes, 5-sekündiges Sponsor-Video direkt auf der Splash Page ein, mit einer Schaltfläche "Überspringen und verbinden", die sofort die Authentifizierung über das Captive Portal auslöst. 4. Konfigurieren Sie das Captive Portal so, dass jedem Nutzer ein großzügiges Bandbreitenprofil (z. B. 10 Mbps) zugewiesen wird, um flüssiges Videostreaming und Surfen im Web zu gewährleisten.
Kommentar des Prüfers: In High-Density-Umgebungen ist die Leistung von entscheidender Bedeutung. Die Verwendung von MAB für wiederkehrende Fans reduziert die Last auf dem Captive Portal und den RADIUS-Servern in Spitzenzeiten drastisch. Das schlanke Design der Splash Page und die kurze Videoanzeige stellen sicher, dass das Marketingteam seine Sponsoringziele erreicht, ohne Frustration im Netzwerk oder Verzögerungen beim Onboarding zu verursachen.

Ein großes öffentliches Krankenhaus möchte Patienten und Besuchern ein Gäste-WiFi zur Verfügung stellen. Das Compliance-Team fordert, dass das Netzwerk den Datenschutzstandards im Gesundheitswesen entspricht und dass Patienten nicht auf schädliche oder unangemessene Webinhalte zugreifen können. Was ist die empfohlene Bereitstellungsstrategie?

  1. Konfigurieren Sie das Captive Portal so, dass Nutzer auf eine Splash Page weitergeleitet werden, die einen klaren, für das Gesundheitswesen spezifischen Datenschutzhinweis und Nutzungsbedingungen enthält. 2. Integrieren Sie das Captive Portal-Gateway mit einem cloudbasierten DNS-Filterdienst (wie Cisco Umbrella oder Webroot), um den Zugriff auf jugendgefährdende Inhalte, Malware und Phishing-Seiten automatisch zu blockieren. 3. Deaktivieren Sie Social-Login-Optionen, um die Erfassung unnötiger personenbezogener Daten zu verhindern, und nutzen Sie stattdessen eine einfache Schaltfläche "Akzeptieren und verbinden" oder ein einfaches Formular zur E-Mail-Verifizierung. 4. Richten Sie eine strenge Bandbreitenbegrenzung auf dem Captive Portal ein, um klinische Anwendungen und IoT-Geräte des Krankenhauses gegenüber dem Streaming-Datenverkehr der Gäste zu priorisieren.
Kommentar des Prüfers: Gesundheitsumgebungen erfordern einen konservativen Ansatz in Bezug auf Datenschutz und Inhaltsfilterung. Durch den Verzicht auf Social Login minimiert das Krankenhaus seinen Compliance-Aufwand im Rahmen der Datenschutzbestimmungen für das Gesundheitswesen. Die Integration der DNS-Filterung direkt am Captive Portal Gateway stellt sicher, dass die Inhaltsrichtlinien im gesamten Netzwerk durchgesetzt werden, unabhängig davon, was der Benutzer auf der Splash Page tut.

Übungsfragen

Q1. Ein IT-Manager stellt fest, dass sich Gäste mit der Gast-WiFi SSID verbinden, aber die gebrandete Splash Page nicht angezeigt wird und die Benutzer nicht auf das Internet zugreifen können. Was ist die wahrscheinlichste technische Ursache für dieses Problem und wie sollte es diagnostiziert werden?

Hinweis: Berücksichtigen Sie die Rolle von DNS beim Umleitungsprozess des Captive Portals.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist ein Fehler bei der DNS-Auflösung. Wenn sich ein Gerät verbindet, muss es den Domainnamen der Splash Page auflösen, um den Begrüßungsbildschirm zu laden. Wenn der dem Gast-VLAN zugewiesene DNS-Server offline, falsch konfiguriert oder durch die Firewall-Regeln des Gateways vor der Authentifizierung blockiert ist, kann das Gerät die Domain nicht auflösen und die Umleitung schlägt fehl. Zur Diagnose verbinden Sie ein Testgerät mit der SSID, überprüfen Sie, ob es über DHCP eine gültige IP- und DNS-Serveradresse erhält, und versuchen Sie, eine öffentliche Domain anzupingen oder aufzulösen. Wenn DNS fehlschlägt, überprüfen Sie den Status des DNS-Servers und stellen Sie sicher, dass DNS-Datenverkehr (UDP-Port 53) in der ACL des Gateways vor der Authentifizierung zugelassen ist.

Q2. Ein Einzelhandelsstandort möchte Gästen die Anmeldung mit ihren Facebook-Konten ermöglichen. Wenn Benutzer jedoch auf der Splash Page auf die Facebook-Anmeldeschaltfläche klicken, erhalten sie die Fehlermeldung "Verbindung verweigert". Der Rest der Splash Page lädt einwandfrei. Was ist das Problem und wie lösen Sie es?

Hinweis: Denken Sie darüber nach, auf welche externen Ressourcen ein Gerät vor der Authentifizierung zugreifen darf.

Musterlösung anzeigen

Das Problem besteht darin, dass die Facebook-Authentifizierungsdomänen nicht in der Pre-Authentication Walled Garden Access Control List (ACL) des Gateways enthalten sind. Da der Benutzer noch nicht authentifiziert ist, blockiert das Captive Portal allen externen Datenverkehr. Wenn der Benutzer auf den Facebook-Button klickt, versucht der Browser, die OAuth-Server von Facebook zu erreichen, was vom Gateway blockiert wird. Um dies zu beheben, muss das IT-Team die erforderlichen Facebook-OAuth-Domänen (z. B. *.facebook.com, *.facebook.net) zur Walled Garden ACL auf dem Wireless Controller oder Gateway hinzufügen.

Q3. Ein Hotelbetrieb hat ein Gäste-WiFi-Netzwerk eingerichtet. Das Marketing-Team möchte die E-Mail-Adressen der Gäste erfassen und sofort einen Willkommens-Newsletter versenden. Das Rechtsteam ist jedoch besorgt über die Einhaltung der GDPR in Bezug auf die Einwilligung. Wie sollten die Splash Page und das Captive Portal konfiguriert werden, um beide Teams zufrieden zustellen?

Hinweis: Die GDPR schreibt vor, dass die Einwilligung für Marketingzwecke freiwillig erteilt werden muss und keine Bedingung für die Bereitstellung des Dienstes sein darf.

Musterlösung anzeigen

Um sowohl das Marketing- als auch das Rechtsteam gemäß der GDPR zufriedenzustellen: 1. Die Splash Page muss ein klares, nicht vorab ausgewähltes Kontrollkästchen für das Marketing-Opt-in enthalten („Ich bin mit dem Erhalt von Marketing-E-Mails einverstanden“). 2. Die Zustimmung zu den Nutzungsbedingungen und der Datenschutzerklärung muss über ein separates Kontrollkästchen erfolgen oder klar als Bedingung für die Nutzung des kostenlosen Netzwerks angegeben werden. 3. Das zugrunde liegende Captive Portal- und Splash Page-System muss so konfiguriert sein, dass der Internetzugang unabhängig davon gewährt wird, ob das Marketing-Kontrollkästchen aktiviert oder deaktiviert ist. Wenn ein Benutzer das Marketing-Feld deaktiviert lässt, aber die Nutzungsbedingungen akzeptiert, muss das System dennoch ein Access-Accept-Paket an den Netzwerk-Controller senden. Dies stellt sicher, dass die Einwilligung freiwillig erteilt wird, was die GDPR erfüllt, während das Marketing weiterhin E-Mails von Benutzern erfassen kann, die sich aktiv dafür entscheiden.