Captive Portal vs Splash Page
Dieser maßgebliche Leitfaden erläutert den entscheidenden Unterschied zwischen einem Captive Portal und einer Splash Page in Gäste-WiFi-Netzwerken. Er verdeutlicht, wie der zugrunde liegende Mechanismus zum Abfangen des Netzwerkverkehrs mit der visuellen Schnittstelle für Gäste zusammenarbeitet, und hilft IT-Leitern und Standortbetreibern, fundierte Architektur- und Beschaffungsentscheidungen zu treffen.
Diesen Leitfaden anhören
Podcast-Transkript ansehen
📚 Teil unserer Kernserie: Der ultimative Leitfaden für Captive Portals →
- Management-Zusammenfassung
- Technischer Deep-Dive
- Das Captive Portal: Abfangen des Datenverkehrs auf der Netzwerkschicht
- Die Splash Page: Benutzererfahrung auf der Anwendungsschicht
- Implementierungsleitfaden
- Schritt-für-Schritt-Bereitstellungsarchitektur
- Best Practices
- 1. Erzwingen Sie HTTPS- und SSL/TLS-Zertifikate
- 2. Implementieren Sie Netzwerkorganisation (Isolation)
- 3. Stellen Sie die Einhaltung von GDPR und CCPA sicher
- 4. Optimieren Sie für Mobilgeräte und den CNA
- Fehlerbehebung und Risikominderung
- Häufige Fehlermodi und Minderungsstrategien
- ROI und geschäftliche Auswirkungen
- Der geschäftliche Wert einer dual optimierten Lösung
- Referenzen

Management-Zusammenfassung
Für IT-Manager, Netzwerkarchitekten und Betriebsleiter von Veranstaltungsorten ist Gast-WiFi längst keine reine Annehmlichkeit mehr - es ist ein entscheidender Touchpoint für die Erfassung von First-Party-Daten, Marketing-Engagement und Netzwerksicherheit. Ein hartnäckiger Punkt der Verwirrung in Ausschreibungen und Implementierungsgesprächen ist jedoch die Gleichsetzung des Captive Portal mit Splash Pages.
Dieser Leitfaden soll diese grundlegende Unterscheidung klären. Das Captive Portal ist ein Kontrollmechanismus auf der Netzwerkschicht, der den Datenverkehr abfängt, den Internetzugang blockiert und die sichere Authentifizierung verwaltet. Die Splash Page hingegen ist die visuelle Benutzeroberfläche auf der Anwendungsschicht - die Webseite, die Gäste sehen, mit der sie interagieren und die sie zur Authentifizierung nutzen.
Die Gleichsetzung dieser beiden Komponenten führt zu erheblichen Beschaffungs- und Implementierungsrisiken, wie z. B. dem Kauf einer schön gestalteten Splash Page mit unsicheren Backend-Kontrollen oder der Bereitstellung eines hochsicheren Captive Portal mit einer klobigen, markenuntypischen Benutzeroberfläche, die Gäste abschreckt. Wenn Unternehmen verstehen, wie diese Technologien zusammenarbeiten, können sie Plattformen wie Purple nutzen, um ein sicheres, konformes und hochgradig ansprechendes Gast-WiFi-Erlebnis zu bieten, das messbaren geschäftlichen Mehrwert schafft.

Technischer Deep-Dive
Das Captive Portal: Abfangen des Datenverkehrs auf der Netzwerkschicht
Das Captive Portal arbeitet auf den unteren Schichten des OSI-Modells (normalerweise Layer 2 und 3), um die Zugriffskontrolle durchzusetzen. Wenn sich ein Gastgerät mit einer offenen SSID verbindet, weist der lokale DHCP-Server ihm eine IP-Adresse, eine Subnetzmaske und ein Standard-Gateway zu. Der Wireless Access Point (AP) oder Gateway-Controller versetzt die MAC-Adresse dieses Geräts jedoch in einen nicht authentifizierten Zustand innerhalb der Sitzungstabelle der Firewall.
In diesem Zustand blockiert die Firewall den gesamten ausgehenden IP-Datenverkehr, mit Ausnahme von wichtigen Netzdiensten wie DNS und DHCP. Wenn der Gast versucht, eine externe Website zu besuchen, fängt das Captive Portal den Datenverkehr mit einer von zwei Hauptmethoden ab:
- HTTP-Weiterleitung (302 Redirect): Das Gateway fängt die ursprüngliche HTTP-Anfrage ab und gibt eine HTTP 302 Found-Antwort zurück, die den Browser des Clients auf die URL der Splash Page umleitet.
- DNS-Hijacking: Das Gateway fängt DNS-Abfragen ab und löst alle Domainnamen in die IP-Adresse des lokalen Splash-Page-Servers auf. Obwohl diese Methode einfach ist, wurde sie aufgrund von DNSSEC und Sicherheitswarnungen auf Browserebene zunehmend verdrängt.
Moderne mobile Betriebssysteme nutzen einen integrierten Dienst namens Captive Network Assistant (CNA). Nach dem Herstellen einer Verbindung mit einem Netzwerk versucht der CNA, einen bekannten, unverschlüsselten HTTP-Endpunkt zu erreichen (z. B. Apples
captive.apple.comoder Googlesconnectivitycheck.gstatic.com). Wird diese Antwort abgefangen und umgeleitet, erkennt das Betriebssystem, dass es sich hinter einem Captive Portal befindet, und zeigt die Splash Page automatisch in einem eigenen System-Browserfenster an, sodass der Benutzer keinen Webbrowser manuell öffnen muss.
Sobald der Benutzer den Authentifizierungsfluss auf der Splash Page abgeschlossen hat, sendet der Authentifizierungsserver (in der Regel ein RADIUS-Server) ein Access-Accept-Paket an den Netzwerk-Controller. Der Controller aktualisiert daraufhin seine Firewall-Regeln, um der MAC-Adresse dieses Geräts vollen Internetzugriff zu gewähren. Dabei wird in der Regel MAC Address Bypass (MAB) genutzt, um das Gerät für eine festgelegte Sitzungsdauer zu speichern.
Die Splash Page: Benutzererfahrung auf der Anwendungsschicht
Im Gegensatz zum Captive Portal ist die Splash Page eine Standard-Webanwendung, die auf Layer 7 (der Anwendungsschicht) arbeitet. Sie wird mit Standard-Webtechnologien (HTML, CSS und JavaScript) erstellt und entweder lokal auf dem Gateway-Controller oder, was häufiger vorkommt, auf einer Cloud-Plattform wie Purple gehostet.
Die Splash Page dient dem Gast als visuelle Schnittstelle und Marken-Touchpoint. Zu ihren wichtigsten technischen Funktionen gehören:
- Identitätsföderation: Ermöglichung von Social Login (Google, Facebook, Apple) über das OAuth 2.0-Protokoll.
- Datenerfassung: Erfassung von Gästedaten wie E-Mail-Adressen, Namen und Mitgliedsnummern von Treueprogrammen.
- Einwilligungsmanagement: Einholen der ausdrücklichen Zustimmung (Opt-in) für Marketingzwecke sowie der Zustimmung zu Nutzungsbedingungen und Datenschutzrichtlinien, um die Einhaltung von Vorschriften wie der DSGVO (GDPR) [1] und dem California Consumer Privacy Act (CCPA) zu gewährleisten.
- Bereitstellung von Werbung und Branding: Einblenden von zielgerichteten Werbebannern, Videoanzeigen oder Weiterleitungsseiten nach der Verbindung, um den physischen Raum zu monetarisieren.
Da es sich bei der Splash Page um eine Webanwendung handelt, muss sie hochgradig reaktionsschnell und für mobile Geräte optimiert sein, die mehr als 80 % der WiFi-Verbindungen von Gästen ausmachen.

Implementierungsleitfaden
Die Bereitstellung einer professionellen WiFi-Lösung für Gäste erfordert eine enge Abstimmung zwischen der Netzwerkinfrastruktur und der Cloud-Software. Im Folgenden finden Sie einen herstellerneutralen Architekturleitfaden zur Implementierung eines Systems aus Captive Portal und Splash Page.
Schritt-für-Schritt-Bereitstellungsarchitektur
- Netzwerksegmentierung: Konfigurieren Sie ein dediziertes Gäste-VLAN auf Ihren Switches und Access Points, um den Datenverkehr der Gäste vom internen Unternehmensnetzwerk, den Kassensystemen (POS) und den IoT-Geräten zu isolieren. Dies ist eine Grundvoraussetzung für die Einhaltung von PCI-DSS [2].
- SSID-Konfiguration: Konfigurieren Sie eine offene SSID mit aktivierter Opportunistic Wireless Encryption (OWE), sofern Ihre Hardware dies unterstützt, oder eine standardmäßige offene SSID. Aktivieren Sie die Captive Portal-Weiterleitung innerhalb des SSID-Profils auf Ihrem Wireless-Controller (beispielsweise Cisco Catalyst, Aruba Instant On oder Ruckus SmartZone).
- Walled Garden (ACL) Konfiguration: Vor der Authentifizierung muss es Gastgeräten gestattet sein, bestimmte externe Domänen zu erreichen, damit die Splash page korrekt dargestellt wird. Dies wird als "Walled Garden" oder Zugriffskontrollliste (ACL) bezeichnet. Sie müssen Folgendes einbeziehen:
- Die Domäne Ihrer in der Cloud gehosteten Splash page (beispielsweise
*.purple.ai). - Die OAuth-Endpunkte der Social-Login-Anbieter (beispielsweise
*.facebook.com,*.google.com,*.apple.com). - Die Content Delivery Networks (CDNs), die die erforderlichen Ressourcen (Schriftarten, Stylesheets, Bilder) hosten.
- Die Domäne Ihrer in der Cloud gehosteten Splash page (beispielsweise
- RADIUS-Server-Integration: Konfigurieren Sie den Wireless-Controller so, dass er einen externen RADIUS-Server (wie den Cloud-RADIUS von Purple) für die Authentifizierung und das Accounting (802.1X / AAA) verwendet [3].
- Splash page-Anpassung: Gestalten Sie die Splash page innerhalb des Purple-Portals und achten Sie dabei auf Markenkonformität, mobile Optimierung und eindeutige Kontrollkästchen für die rechtliche Einwilligung.
- Sitzungs- und Bandbreitenrichtlinien: Definieren Sie auf dem Netzwerk-Controller Sitzungs-Timeouts (beispielsweise 8 Stunden), Leerlauf-Timeouts (beispielsweise 30 Minuten) und Bandbreitenbegrenzungen pro Benutzer (beispielsweise 5 Mbps Downstream, 2 Mbps Upstream), um Netzwerkmissbrauch zu verhindern und einen fairen Zugriff für alle Gäste zu gewährleisten.
| Technischer Parameter | Captive Portal (Netzwerk-Gateway) | Splash Page (Cloud-Anwendung) |
|---|---|---|
| OSI-Schicht | Schicht 2 / Schicht 3 (Netzwerk/Sicherungsschicht) | Schicht 7 (Anwendungsschicht) |
| Primäre Protokolle | RADIUS, DHCP, HTTP (302-Weiterleitung) | HTTP, HTTPS, HTML5, CSS3, OAuth 2.0 |
| Kernfunktionen | Datenverkehr-Abfangung, Zugriffskontrolle, Bandbreitenbegrenzung | Benutzeroberfläche, Datenerfassung, Einwilligung, Branding |
| Benutzersichtbarkeit | Völlig unsichtbar (Backend-Mechanismus) | 100 % sichtbar (visuelle Begrüßungsseite) |
| Sicherheitsstandards | IEEE 802.1X, WPA3, OWE, PCI-DSS | HTTPS, SSL/TLS, GDPR, CCPA |
| Typische Hardware | Wireless Access Points, Gateway-Router, Controller | Cloud-Server, CDNs |
Best Practices
Um ein hochverfügbares, sicheres und rechtskonformes Gast-WiFi-Netzwerk zu gewährleisten, sollten IT-Teams diese branchenüblichen Best Practices befolgen:
1. Erzwingen Sie HTTPS- und SSL/TLS-Zertifikate
Sämtlicher Datenverkehr zwischen dem Gastgerät und der Splash-Page muss mittels HTTPS verschlüsselt sein. Der Betrieb einer Splash-Page über unverschlüsseltes HTTP setzt Gastdaten - einschließlich Anmeldedaten und E-Mail-Adressen - dem Packet Sniffing und Man-in-the-Middle-Angriffen aus. Stellen Sie sicher, dass Ihre Splash-Page-Domain über ein gültiges, öffentlich vertrauenswürdiges SSL/TLS-Zertifikat verfügt. Selbstsignierte Zertifikate lösen schwerwiegende Browser-Warnungen aus, die dazu führen, dass Gäste die Verbindung abbrechen.
2. Implementieren Sie Netzwerkorganisation (Isolation)
Leiten Sie Gast-WiFi-Datenverkehr niemals in dasselbe VLAN oder Subnetz wie Unternehmensdaten um. Der Gast-Datenverkehr sollte in ein "nur für Gäste" bestimmtes VLAN mit strengen Firewall-Regeln isoliert werden, die jegliches Cross-VLAN-Routing zu internen Subnetzen verhindern. Dies verringert das Risiko der Verbreitung von Schadsoftware und des unbefugten Zugriffs auf sensible Unternehmensdaten.
3. Stellen Sie die Einhaltung von GDPR und CCPA sicher
Wenn Ihr Standort in Großbritannien, der EU oder Kalifornien betrieben wird oder Bürger dieser Regionen bedient, muss Ihre Splash-Page den strengen Datenschutzgesetzen entsprechen:
- Freiwillige Einwilligung: Kontrollkästchen für das Marketing-Opt-in dürfen standardmäßig nicht angekreuzt sein. Die Zustimmung zu Marketing-Mitteilungen darf nicht zur Bedingung für den Internetzugang gemacht werden.
- Klare Datenschutzrichtlinie: Stellen Sie auf der Splash-Page einen direkten, leicht zugänglichen Link zu Ihrer Datenschutzrichtlinie bereit.
- Recht auf Vergessenwerden (Recht auf Löschung): Stellen Sie sicher, dass Ihre Gast-WiFi-Plattform (wie z. B. Purple) automatisierte Workflows für Gäste unterstützt, die die Löschung ihrer personenbezogenen Daten beantragen.
4. Optimieren Sie für Mobilgeräte und den CNA
Stellen Sie sicher, dass die Splash-Page schlank und hochgradig reaktionsschnell ist. Vermeiden Sie schwere Videohintergründe oder große, unkomprimierte Bilder, die das Laden der Seite verlangsamen - insbesondere in Umgebungen mit extrem hoher Dichte wie Stadien oder Konferenzzentren. Testen Sie die Splash-Page auf einer Reihe von mobilen Betriebssystemen, um eine nahtlose Darstellung im nativen Captive Network Assistant (CNA)-Browser zu gewährleisten.
Fehlerbehebung und Risikominderung
Häufige Fehlermodi und Minderungsstrategien
- CNA-Popup wird nicht angezeigt: Wenn die Weiterleitung zum Captive Portal das CNA des Geräts nicht auslöst, bleiben Gäste möglicherweise mit der SSID verbunden, haben jedoch keinen Internetzugang und keine offensichtliche Möglichkeit, sich anzumelden.
- Abhilfe: Stellen Sie sicher, dass die den Gästen über DHCP zugewiesenen DNS-Server voll funktionsfähig sind und externe Domains auflösen können. Wenn die DNS-Auflösung fehlschlägt, kann der CNA seine Konnektivitätsprüfung nicht durchführen und die Weiterleitung wird nie ausgelöst.
- Fehlkonfiguration des Walled Garden: Gäste können die Anmeldung über Social Media nicht abschließen, da die OAuth-Anmeldeseite nicht geladen wird oder ein Verbindungsfehler angezeigt wird.
- Abhilfe: Überprüfen Sie die Walled Garden ACL des Gateways nochmals. Social-Login-Anbieter ändern häufig ihre IP-Bereiche und Domains. Die Nutzung einer Cloud-gesteuerten Gast-WiFi-Plattform wie Purple stellt sicher, dass Walled Garden Domains automatisch aktualisiert und mit Ihrer Hardware synchronisiert werden.* CNA-Browser-Einschränkungen: Der native CNA-Browser auf Mobilgeräten hat im Vergleich zu Standard-Browsern wie Safari oder Chrome einen eingeschränkten Funktionsumfang. Er blockiert möglicherweise Cookies, Pop-ups oder externe Weiterleitungen.
- Abhilfe: Vermeiden Sie komplexes JavaScript oder Drittanbieter-Integrationen auf der Splash Page, die eine Cookie-Persistenz oder Browser-Pop-ups erfordern. Halten Sie den Authentifizierungsfluss so einfach und direkt wie möglich.
ROI und geschäftliche Auswirkungen
Das Verständnis des Unterschieds zwischen dem Captive Portal und der Splash Page ermöglicht es Unternehmen, den Return on Investment (ROI) zu maximieren, indem sie sowohl die Netzwerkleistung als auch den kommerziellen Nutzen ihrer Gast-WiFi-Netzwerke optimieren.
Der geschäftliche Wert einer dual optimierten Lösung
- Höheres Gäste-Engagement: Im Vergleich zu einer generischen, markenlosen Willkommensseite kann eine professionell gestaltete Splash Page - in Kombination mit den Kernprodukten von Purple wie Guest WiFi und WiFi Analytics [4] [5] - die Anmelderaten der Gäste um bis zu 40 % steigern.
- Erfassung wertvoller First-Party-Daten: Durch das Angebot von nahtlosem Social-Media-Login und strukturierten Formularfeldern können Standorte in Branchen wie Einzelhandel , Gastgewerbe , Gesundheitswesen und Transport saubere, verifizierte E-Mail-Adressen, demografische Daten und Daten zur Besuchshäufigkeit erfassen.
- Monetarisierungsmöglichkeiten: Die Nutzung der Splash Page für Retail-Media-Monetarisierung ermöglicht es Standorten, Gästen im Moment der Verbindung gezielte Werbung anzuzeigen und so den schnell wachsenden Markt für digitale Werbung zu nutzen.
- Betriebliche Effizienz: Ein robustes Captive Portal reduziert IT-Support-Tickets durch die Automatisierung des Device Onboarding, die Verwaltung von Sitzungs-Timeouts und die Durchsetzung von Bandbreitenbegrenzungen zur Vermeidung von Netzwerküberlastungen.
Durch den Einsatz der Enterprise-Lösung von Purple können Standorte sicherstellen, dass ihre Netzwerkarchitektur sicher und konform ist, während sie ihren Marketingteams die volle kreative Freiheit geben, ansprechende, hochkonvertierende Splash Pages zu gestalten, die die Kundenbindung stärken und den Umsatz steigern.
Referenzen
- [1] Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)
- [2] PCI Security Standards Council - PCI DSS Quick Reference Guide
- [3] IEEE 802.1X Port-Based Network Access Control Standard
- [4] Cisco Wireless APs: 2026 Guide to Products & Deployment
- [5] 10 Best Network Access Control (NAC) Solutions for 2026
- [6] WiFi in Schools: The 2026 Administrator & IT Guide
- [7] So implementieren Sie eine 802.1X Authentifizierung mit Cloud RADIUS
Schlüsseldefinitionen
Captive Portal
Ein Mechanismus auf Netzwerkebene, der den Client-Datenverkehr abfängt und den Internetzugang einschränkt, bis die Authentifizierungskriterien erfüllt sind.
Tritt bei IT-Teams auf, wenn sie Wireless-Controller, Gateways oder Firewalls konfigurieren, um nicht authentifizierte MAC-Adressen umzuleiten.
Splash Page
Die visuelle, webbasierte Landingpage, die im Browser eines Gastes angezeigt wird und die Authentifizierung, Datenerfassung und Markenbindung erleichtert.
Wird von Marketing- und Standort-Betriebsteams verwaltet, um das Onboarding-Erlebnis für Benutzer zu gestalten und Kundendaten zu erfassen.
Captive Network Assistant (CNA)
Eine in das Betriebssystem von Mobilgeräten integrierte Funktion, die ein Captive Portal automatisch erkennt und die Splash Page in einem Systembrowserfenster öffnet.
Entscheidend für die Benutzererfahrung, da Gäste keinen Browser mehr manuell öffnen müssen, um sich anzumelden.
Walled Garden (ACL)
Eine Liste von IP-Adressen oder Domains, auf die ein nicht authentifizierter Benutzer zugreifen darf, bevor er sich im Netzwerk anmeldet.
Muss auf dem Wireless Gateway korrekt konfiguriert sein, damit die Splash Page und die OAuth-Flows für Social Login geladen werden können.
RADIUS (Remote Authentication Dial-In User Service)
Ein Netzwerkprotokoll, das eine zentrale Authentifizierungs-, Autorisierungs- und Accounting-Verwaltung (AAA) für Benutzer bereitstellt, die sich mit einem Netzwerk verbinden.
Wird vom Captive Portal verwendet, um die Anmeldedaten von Gästen mit einer Datenbank abzugleichen und Netzwerkzugriff zu gewähren.
MAC Address Bypass (MAB)
Ein Mechanismus, bei dem ein Gerät bei nachfolgenden Verbindungen den Anmeldebildschirm des Captive Portals umgehen kann, indem sich das System an seine Hardware-MAC-Adresse erinnert.
Wird verwendet, um wiederkehrenden Gästen ein nahtloses Erlebnis zu bieten, indem eine erneute Anmeldung überflüssig wird.
Opportunistic Wireless Encryption (OWE)
Ein WiFi-Standard (Teil von WPA3), der Verschlüsselung in offenen Netzwerken bietet, ohne dass ein gemeinsames Passwort erforderlich ist.
Ermöglicht eine sichere Datenübertragung in öffentlichen Gastnetzwerken, während die Umleitung zum Captive Portal weiterhin möglich ist.
VLAN-Segmentierung
Die Praxis der Aufteilung eines physischen Netzwerks in mehrere logische Netzwerke auf Layer 2, um den Datenverkehr zu isolieren.
Unerlässlich bei Gast-WiFi-Bereitstellungen, um sicherzustellen, dass der Gast-Datenverkehr vollständig von sicheren Unternehmensnetzwerken isoliert ist.
Ausgearbeitete Beispiele
Eine landesweite Einzelhandelskette mit 150 Filialen möchte ein Gäste-WiFi-Netzwerk einrichten, das E-Mail-Adressen von Kunden für Marketingzwecke erfasst. Das IT-Sicherheitsteam ist jedoch besorgt, dass der Datenverkehr der Gäste auf die Point-of-Sale (POS)-Systeme des Unternehmens zugreift. Wie sollte die Architektur gestaltet sein?
- Konfigurieren Sie ein dediziertes Gäste-VLAN (z. B. VLAN 50) auf allen Switches und Access Points in allen 150 Filialen, das mithilfe von Firewall-ACLs vollständig vom POS-VLAN des Unternehmens (VLAN 10) isoliert ist. 2. Aktivieren Sie die Captive Portal-Weiterleitung auf der Gäste-SSID und leiten Sie die Redirect-URL an die sichere, in der Cloud gehostete Splash Page von Purple weiter. 3. Konfigurieren Sie das Netzwerk-Gateway so, dass der gesamte vorauthentifizierte Datenverkehr auf VLAN 50 eingeschränkt wird und der Zugriff nur auf DNS, DHCP und die Walled-Garden-Domains von Purple erlaubt ist. 4. Nutzen Sie die Integration von Purple mit dem Wireless-Controller, um Gäste über RADIUS zu authentifizieren, sodass der Internetzugang erst gewährt wird, nachdem der Gast eine verifizierte E-Mail-Adresse angegeben und die Nutzungsbedingungen auf der Splash Page akzeptiert hat.
Ein Sportstadion mit 50.000 Sitzplätzen möchte bei Veranstaltungen kostenloses WiFi anbieten. Das Betriebsteam wünscht sich einen nahtlosen Login-Prozess, um Netzwerküberlastungen zu Beginn von Spielen zu vermeiden, während das Marketingteam Videoanzeigen von Sponsoren auf der Splash Page schalten möchte. Wie lässt sich das vereinbaren?
- Implementieren Sie High-Density-Access-Points und konfigurieren Sie ein Captive Portal mit einem MAC Address Bypass (MAB) von 30 Tagen, damit wiederkehrende Fans die Splash Page nicht bei jedem Besuch sehen müssen. 2. Entwerfen Sie für neue Verbindungen eine extrem schlanke Splash Page, die für schnelles Laden auf Mobilgeräten optimiert ist. 3. Betten Sie ein kurzes, 5-sekündiges Sponsor-Video direkt auf der Splash Page ein, mit einer Schaltfläche "Überspringen und verbinden", die sofort die Authentifizierung über das Captive Portal auslöst. 4. Konfigurieren Sie das Captive Portal so, dass jedem Nutzer ein großzügiges Bandbreitenprofil (z. B. 10 Mbps) zugewiesen wird, um flüssiges Videostreaming und Surfen im Web zu gewährleisten.
Ein großes öffentliches Krankenhaus möchte Patienten und Besuchern ein Gäste-WiFi zur Verfügung stellen. Das Compliance-Team fordert, dass das Netzwerk den Datenschutzstandards im Gesundheitswesen entspricht und dass Patienten nicht auf schädliche oder unangemessene Webinhalte zugreifen können. Was ist die empfohlene Bereitstellungsstrategie?
- Konfigurieren Sie das Captive Portal so, dass Nutzer auf eine Splash Page weitergeleitet werden, die einen klaren, für das Gesundheitswesen spezifischen Datenschutzhinweis und Nutzungsbedingungen enthält. 2. Integrieren Sie das Captive Portal-Gateway mit einem cloudbasierten DNS-Filterdienst (wie Cisco Umbrella oder Webroot), um den Zugriff auf jugendgefährdende Inhalte, Malware und Phishing-Seiten automatisch zu blockieren. 3. Deaktivieren Sie Social-Login-Optionen, um die Erfassung unnötiger personenbezogener Daten zu verhindern, und nutzen Sie stattdessen eine einfache Schaltfläche "Akzeptieren und verbinden" oder ein einfaches Formular zur E-Mail-Verifizierung. 4. Richten Sie eine strenge Bandbreitenbegrenzung auf dem Captive Portal ein, um klinische Anwendungen und IoT-Geräte des Krankenhauses gegenüber dem Streaming-Datenverkehr der Gäste zu priorisieren.
Übungsfragen
Q1. Ein IT-Manager stellt fest, dass sich Gäste mit der Gast-WiFi SSID verbinden, aber die gebrandete Splash Page nicht angezeigt wird und die Benutzer nicht auf das Internet zugreifen können. Was ist die wahrscheinlichste technische Ursache für dieses Problem und wie sollte es diagnostiziert werden?
Hinweis: Berücksichtigen Sie die Rolle von DNS beim Umleitungsprozess des Captive Portals.
Musterlösung anzeigen
Die wahrscheinlichste Ursache ist ein Fehler bei der DNS-Auflösung. Wenn sich ein Gerät verbindet, muss es den Domainnamen der Splash Page auflösen, um den Begrüßungsbildschirm zu laden. Wenn der dem Gast-VLAN zugewiesene DNS-Server offline, falsch konfiguriert oder durch die Firewall-Regeln des Gateways vor der Authentifizierung blockiert ist, kann das Gerät die Domain nicht auflösen und die Umleitung schlägt fehl. Zur Diagnose verbinden Sie ein Testgerät mit der SSID, überprüfen Sie, ob es über DHCP eine gültige IP- und DNS-Serveradresse erhält, und versuchen Sie, eine öffentliche Domain anzupingen oder aufzulösen. Wenn DNS fehlschlägt, überprüfen Sie den Status des DNS-Servers und stellen Sie sicher, dass DNS-Datenverkehr (UDP-Port 53) in der ACL des Gateways vor der Authentifizierung zugelassen ist.
Q2. Ein Einzelhandelsstandort möchte Gästen die Anmeldung mit ihren Facebook-Konten ermöglichen. Wenn Benutzer jedoch auf der Splash Page auf die Facebook-Anmeldeschaltfläche klicken, erhalten sie die Fehlermeldung "Verbindung verweigert". Der Rest der Splash Page lädt einwandfrei. Was ist das Problem und wie lösen Sie es?
Hinweis: Denken Sie darüber nach, auf welche externen Ressourcen ein Gerät vor der Authentifizierung zugreifen darf.
Musterlösung anzeigen
Das Problem besteht darin, dass die Facebook-Authentifizierungsdomänen nicht in der Pre-Authentication Walled Garden Access Control List (ACL) des Gateways enthalten sind. Da der Benutzer noch nicht authentifiziert ist, blockiert das Captive Portal allen externen Datenverkehr. Wenn der Benutzer auf den Facebook-Button klickt, versucht der Browser, die OAuth-Server von Facebook zu erreichen, was vom Gateway blockiert wird. Um dies zu beheben, muss das IT-Team die erforderlichen Facebook-OAuth-Domänen (z. B. *.facebook.com, *.facebook.net) zur Walled Garden ACL auf dem Wireless Controller oder Gateway hinzufügen.
Q3. Ein Hotelbetrieb hat ein Gäste-WiFi-Netzwerk eingerichtet. Das Marketing-Team möchte die E-Mail-Adressen der Gäste erfassen und sofort einen Willkommens-Newsletter versenden. Das Rechtsteam ist jedoch besorgt über die Einhaltung der GDPR in Bezug auf die Einwilligung. Wie sollten die Splash Page und das Captive Portal konfiguriert werden, um beide Teams zufrieden zustellen?
Hinweis: Die GDPR schreibt vor, dass die Einwilligung für Marketingzwecke freiwillig erteilt werden muss und keine Bedingung für die Bereitstellung des Dienstes sein darf.
Musterlösung anzeigen
Um sowohl das Marketing- als auch das Rechtsteam gemäß der GDPR zufriedenzustellen: 1. Die Splash Page muss ein klares, nicht vorab ausgewähltes Kontrollkästchen für das Marketing-Opt-in enthalten („Ich bin mit dem Erhalt von Marketing-E-Mails einverstanden“). 2. Die Zustimmung zu den Nutzungsbedingungen und der Datenschutzerklärung muss über ein separates Kontrollkästchen erfolgen oder klar als Bedingung für die Nutzung des kostenlosen Netzwerks angegeben werden. 3. Das zugrunde liegende Captive Portal- und Splash Page-System muss so konfiguriert sein, dass der Internetzugang unabhängig davon gewährt wird, ob das Marketing-Kontrollkästchen aktiviert oder deaktiviert ist. Wenn ein Benutzer das Marketing-Feld deaktiviert lässt, aber die Nutzungsbedingungen akzeptiert, muss das System dennoch ein Access-Accept-Paket an den Netzwerk-Controller senden. Dies stellt sicher, dass die Einwilligung freiwillig erteilt wird, was die GDPR erfüllt, während das Marketing weiterhin E-Mails von Benutzern erfassen kann, die sich aktiv dafür entscheiden.
Weiterlesen in dieser Reihe
Captive Portal für Ruijie: Einrichtung mit Purple Gäste-WiFi
Wie das Cloud-Gäste-WiFi von Purple über Web-Authentifizierung und RADIUS auf Ruijie RG Series Access Points aufsetzt, konfiguriert über die Befehlszeile, und wo Sie die genauen Einrichtungsschritte finden.
B2B Captive Portals gestalten: Erfassung von registrierten Namen und Unternehmensdaten
Dieser Leitfaden bietet IT-Managern und Betreibern von Veranstaltungsorten ein herstellerneutrales technisches Framework für das Design von B2B Captive Portals. Er beschreibt im Detail, wie Registrierungsfelder strukturiert werden sollten, um registrierte Namen und Unternehmensdaten zu erfassen, um hohe Ausfüllraten zu gewährleisten, während gleichzeitig die GDPR-Konformität gewahrt und Account-Level-Intelligence aufgebaut wird.
Captive Portal Architektur: Sicherheit, Umleitung und Best Practices
Ein definitives technisches Referenzdokument zur Captive Portal-Architektur in Unternehmen. Dieser Leitfaden beleuchtet Netzwerkisolierung, DNS-Umleitung, RADIUS-Authentifizierung und Sicherheitskonformität für IT-Entscheider, die sichere, datenreiche Gäste-WiFi-Netzwerke bereitstellen.