Zum Hauptinhalt springen

Captive Portals vs. offene Netzwerke: Die Balance zwischen Sicherheit und UX

Dieser technische Leitfaden bietet Netzwerkarchitekten und IT-Managern ein umfassendes Konzept für die Bereitstellung von Gast-WiFi-Netzwerken. Er analysiert die technischen Kompromisse zwischen offenen Netzwerken und Captive Portals und zeigt detailliert auf, wie sich Sicherheitsprotokolle mit der User Experience vereinbaren lassen. Leser erfahren, wie sie robuste Weiterleitungsmechanismen konfigurieren, MAC-Randomisierung verwalten und nahtlose Authentifizierungs-Workflows implementieren.

📖 6 Min. Lesezeit📝 1,484 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Executive Summary

In modernen Enterprise-Umgebungen ist Gäste-WiFi längst kein reines Betriebsmittel mehr - es ist ein kritischer Touchpoint für Kundenbindung, Markeninteraktion und Netzwerksicherheit. Für IT-Manager, Netzwerkarchitekten und Betriebsleiter von Veranstaltungsorten besteht die grundlegende Herausforderung darin, die Netzwerksicherheit mit der User Experience (UX) in Einklang zu bringen.

Dieser Leitfaden bietet eine fundierte technische Analyse der beiden wichtigsten Architekturen für Gäste-WiFi: Captive Portals und offene Netzwerke. Während offene Netzwerke einen reibungslosen Zugriff bieten, setzen sie Benutzer Sicherheitsrisiken aus und entziehen den Veranstaltungsorten wertvolle Möglichkeiten zur Datenerfassung. Umgekehrt führen schlecht konfigurierte Captive Portals zu Hürden, was zu Verbindungsabbrüchen und mehr Helpdesk-Tickets führt.

Durch das Verständnis der zugrunde liegenden Protokolle - einschließlich RADIUS AAA, Change of Authorization (CoA) und Opportunistic Wireless Encryption (OWE) - können Unternehmen Gäste-WiFi-Systeme bereitstellen, die den Edge-Bereich des Netzwerks sichern, die Einhaltung gesetzlicher Vorschriften gewährleisten und eine nahtlose User Experience bieten. Dieses Dokument beschreibt die technischen Konzepte, Konfigurationsschritte und Best Practices der Branche, die zum Erreichen dieses Gleichgewichts erforderlich sind.

Technical Deep-Dive

Funktionsweise der Captive Portal Weiterleitung

Um zu verstehen, wie ein Captive Portal funktioniert, müssen wir die Interaktionen auf Paketebene untersuchen, die auftreten, wenn sich ein Client-Gerät mit einer offenen SSID verbindet, die für eine Web-Weiterleitung konfiguriert ist.

Wenn sich ein Client mit dem Access Point (AP) oder dem Wireless LAN Controller (WLC) verbindet, wird ihm über DHCP eine IP-Adresse zugewiesen. Der WLC versetzt die MAC-Adresse des Clients in seiner Zuordnungstabelle jedoch in einen "nicht authentifizierten" Zustand. In diesem Zustand wendet der WLC eine Pre-Authentication Access Control List (ACL) an, die den gesamten IP-Datenverkehr blockiert, mit Ausnahme von DNS (UDP-Port 53), DHCP (UDP-Ports 67 und 68) und bestimmten IP-Bereichen, die im "Walled Garden" definiert sind.

+-------------+          +------------+          +---------------+          +---------------+          +---------------+
|   Client    |          |   AP/WLC   |          |  DNS Server   |          | Purple Portal |          | RADIUS Server |
+-------------+          +------------+          +---------------+          +---------------+          +---------------+
       |                       |                         |                          |                          |
       |--- 1. Associate ----->|                         |                          |                          |
       |<-- 2. IP Assigned ----|                         |                          |                          |
       |                       |                         |                          |                          |
       |--- 3. DNS Query ----->|------------------------>|                          |                          |
       |    (captive.apple.com)|                         |                          |                          |
       |<-- 4. DNS-Antwort ---|<------------------------|                          |                          |
       |                       |                         |                          |                          |
       |--- 5. HTTP GET ------>|                         |                          |                          |
       |    (Abgefangen)       |                         |                          |                          |
       |<-- 6. HTTP 302 -------|                         |                          |                          |
       |    (Weiterleitung zu Purple)                    |                          |                          |
       |                       |                         |                          |                          |
       |--- 7. HTTPS GET ----------------------------------------------------------->|                          |
       |    (Portal-Seite anfordern)                                                 |                          |
       |<-- 8. Seite bereitstellen -------------------------------------------------|                          |
       |                       |                         |                          |                          |
       |--- 9. Formular absenden --------------------------------------------------->|                          |
       |                       |                         |                          |--- 10. Auth-Anfrage ---->|
       |                       |<-- 11. RADIUS CoA (MAC autorisieren) --------------|                          |
       |                       |                                                    |<-- 12. Auth-Akzept ------|
       |<-- 13. Zugriff gewährt|                         |                          |                          |

Wenn der Benutzer versucht, eine HTTP-Website aufzurufen, oder wenn der Captive Network Assistant (CNA) des Betriebssystems ein automatisches Browserfenster öffnet, sendet der Client eine HTTP GET-Anfrage. Der WLC fängt diese Anfrage ab (normalerweise auf Port 80) und gibt einen HTTP 302-Weiterleitungscode zurück. Diese Weiterleitung leitet den Browser des Clients auf die externe Captive Portal-URL (z. B. die Hosting-Plattform von Purple) weiter und hängt wichtige Abfrageparameter an, wie:

  • client_mac: Die MAC-Adresse des Gastgeräts.
  • ap_mac: Die MAC-Adresse des APs, mit dem der Client verbunden ist.
  • ssid: Der Name des Gastnetzwerks.
  • redirect_url: Die ursprüngliche URL, auf die der Benutzer zugreifen wollte.

Die Rolle des Captive Network Assistant (CNA)

Moderne Betriebssysteme (iOS, Android, macOS und Windows) nutzen Hintergrunddienste, die die Netzwerkverbindung überwachen. Nach dem Verbinden mit einem WiFi-Netzwerk sendet das OS eine HTTP-Anfrage an eine dedizierte, fest codierte Validierungs-URL. Beispiele hierfür sind:

  • Apple: http://captive.apple.com/hotspot-detect.html
  • Google Android: http://connectivitycheck.gstatic.com/generate_204
  • Microsoft Windows: http://www.msftconnecttest.com/connecttest.txtWenn das Betriebssystem die erwartete Antwort HTTP 200 OK (oder HTTP 204 No Content) erhält, geht es davon aus, dass ein direkter Internetzugang verfügbar ist. Wenn es eine HTTP 302-Weiterleitung empfängt, erkennt es ein Captive Portal und startet den CNA - ein isoliertes, vereinfachtes Browserfenster.

Die Verwaltung des CNA ist ein kritischer Aspekt des Designs von WiFi für Gäste. Da der CNA-Browser isoliert (sandboxed) ist, weist er erhebliche Einschränkungen auf: Er unterstützt oft keine Cookies, keinen lokalen Speicher oder bestimmte JavaScript-APIs und schließt sich sofort, wenn der Benutzer die App wechselt. Wenn die Konfiguration des Captive Portal diese Einschränkungen nicht berücksichtigt, schlägt die Benutzererfahrung fehl.

RADIUS AAA und Change of Authorization (CoA)

Sobald der Benutzer die erforderliche Aktion im Captive Portal abgeschlossen hat (z. B. Eingabe einer E-Mail-Adresse, Akzeptieren von Bedingungen oder Authentifizierung über einen Social-Media-Anbieter), muss der Portal-Server den WLC benachrichtigen, um den Netzwerkzugriff zu gewähren. Dies wird über das RADIUS (Remote Authentication Dial-In User Service) Protokoll erreicht, insbesondere unter Verwendung von RFC 3576 Change of Authorization (CoA).

  1. Authentifizierungsanfrage: Der Portal-Server sendet einen API-Aufruf oder einen RADIUS Access-Request an den RADIUS-Server der Organisation (oder direkt an den WLC, wenn dieser als AAA-Client fungiert), um die Sitzung des Benutzers zu validieren.
  2. RADIUS CoA: Der RADIUS-Server sendet ein CoA-Request-Paket (UDP-Port 3799) an den WLC. Dieses Paket enthält die MAC-Adresse des Clients und Anweisungen zur Aktualisierung des Sitzungsstatus.
  3. Aktualisierung des Sitzungsstatus: Der WLC verarbeitet den CoA-Request, überführt den Status des Clients von "nicht authentifiziert" zu "authentifiziert" und wendet die Richtlinie nach der Authentifizierung an (z. B. Verschieben des Clients in ein anderes VLAN, Anwenden von Bandbreitenbeschränkungen oder Freigabe des uneingeschränkten Internetzugangs).
  4. CoA-ACK: Der WLC sendet ein CoA-ACK-Paket (Acknowledge) an den RADIUS-Server zurück und bestätigt damit die Richtlinienänderung.

Offene Netzwerke und Opportunistic Wireless Encryption (OWE)

Herkömmliche offene Netzwerke (kein Captive Portal, keine Verschlüsselung) übertragen alle Wireless-Frames im Klartext. Dies ermöglicht es böswilligen Akteuren in physischer Reichweite, passives Abhören zu betreiben und sensible Daten zu erfassen, die über unverschlüsselte Protokolle (HTTP, FTP, IMAP) übertragen werden.

Um diese Sicherheitslücke zu schließen, ohne die Hürde eines Pre-Shared Keys (PSK) einzuführen, hat die Wi-Fi Alliance Opportunistic Wireless Encryption (OWE) eingeführt, standardisiert in RFC 8110. OWE verwendet während des 802.11-Assoziierungsprozesses einen Diffie-Hellman-Schlüsselaustausch, um einen eindeutigen, verschlüsselten paarweisen Sitzungsschlüssel für jeden Client zu erstellen.

Während OWE vor passivem Sniffing schützt, bietet es keine Authentifizierung. Es ist ein "offenes" Netzwerk in Bezug auf die Zugriffskontrolle, aber verschlüsselt in Bezug auf die Übertragung. Für Veranstaltungsorte stellt OWE einen bedeutenden Fortschritt in der Sicherheit dar, auch wenn es die Datenerfassung oder die Annahme von Nutzungsbedingungen nicht erleichtert, es sei denn, es wird mit einem webbasierten Umleitungsmechanismus kombiniert.

Implementierungsleitfaden

Diese Schritt-für-Schritt-Anleitung beschreibt, wie Sie ein professionelles Guest WiFi Netzwerk für Unternehmen konfigurieren. Dabei wird ein Cisco Catalyst Wireless LAN Controller (WLC) verwendet, der in das externe Captive Portal und die RADIUS-Dienste von Purple integriert ist.

Schritt 1: Konfigurieren des Guest VLAN und des DHCP-Bereichs

Bevor Sie die Wireless-Parameter konfigurieren, richten Sie ein dediziertes, isoliertes VLAN auf Ihrem Core-Switch ein. Konfigurieren Sie zudem einen DHCP-Bereich mit einer kurzen Lease-Zeit (z. B. 2 bis 4 Stunden), um eine Erschöpfung der IP-Adressen in Umgebungen mit hoher Dichte zu verhindern.

! Core-Switch-Konfiguration
vlan 900
 name Guest_WiFi
!
interface Vlan900
 description Guest WiFi Gateway
 ip address 172.16.0.1 255.255.240.0
 ip helper-address 172.16.0.10
!
! DHCP-Server-Konfiguration (Beispiel für ISC DHCPD)
subnet 172.16.0.0 netmask 255.255.240.0 {
  range 172.16.0.50 172.16.15.254;
  option routers 172.16.0.1;
  option domain-name-servers 8.8.8.8, 1.1.1.1;
  default-lease-time 7200;
  max-lease-time 14400;
}

Schritt 2: Definieren des Walled Garden (Pre-Authentication ACL)

Um nicht authentifizierten Clients die DNS-Auflösung und den Zugriff auf das Captive Portal zu ermöglichen, müssen Sie eine Pre-Authentication ACL auf dem WLC konfigurieren. Diese ACL muss den Datenverkehr von und zu der Hosting-Infrastruktur von Purple sowie zu allen erforderlichen CDNs oder Social-Login-Endpunkten zulassen.

! Cisco WLC CLI-Konfiguration
ip access-list extended PRE_AUTH_ACL
 ! DNS-Auflösung zulassen
 permit udp any any eq domain
 permit udp any eq domain any
 ! DHCP zulassen
 permit udp any any eq bootpc
 permit udp any eq bootps any
 ! Zugriff auf Purple Portal-Server zulassen
 permit tcp any host 54.246.117.243 eq www
 permit tcp any host 54.246.117.243 eq 443
 permit tcp any host 52.19.194.225 eq www
 permit tcp any host 52.19.194.225 eq 443
 ! Apple CNA-Validierungs-Bypass zulassen (Optional - falls Sie das CNA umgehen möchten)
 permit tcp any host 17.253.109.201 eq www
 deny ip any any

Schritt 3: RADIUS-Authentifizierungs- und Accounting-Server konfigurieren

Konfigurieren Sie den WLC für die Kommunikation mit den RADIUS-Servern von Purple für Authentifizierung, Accounting und CoA.

! RADIUS-Authentifizierungsserver konfigurieren
radius-server host 54.246.117.243 auth-port 1812 acct-port 1813 key 7 
! RADIUS-Accounting-Server konfigurieren
radius-server host 52.19.194.225 auth-port 1812 acct-port 1813 key 7 
!
! RFC 3576 Change of Authorization (CoA) aktivieren
aaa server radius dynamic-author
 client 54.246.117.243 server-key 7 
 client 52.19.194.225 server-key 7 
 port 3799

Schritt 4: Die Guest SSID (WLAN) konfigurieren

Erstellen Sie die Guest SSID, weisen Sie diese dem Guest VLAN zu und wenden Sie die Sicherheits- sowie Umleitungsrichtlinien an.

! WLAN erstellen
wlan Guest_WiFi 1 Guest_WiFi
 client vlan Guest_WiFi
 ip flow monitor wireless-input unicast
 ip flow monitor wireless-output unicast
 ! Layer-2-Sicherheit auf "Open" konfigurieren
 security wpa secondary none
 security wpa akm owe
 ! Layer-3-Sicherheit für Web-Redirect konfigurieren
 security web-auth
 security web-auth parameter-map PURPLE_MAP
 security web-auth authentication-list PURPLE_RADIUS_LIST
 ! Apply Pre-Authentication ACL
 security web-auth acl PRE_AUTH_ACL
 no shutdown

Schritt 5: Konfigurieren der Web-Auth-Parameter-Map

Definieren Sie die Umleitungsparameter, einschließlich der externen Portal-URL und wie der WLC mit der MAC-Adresse des Clients verfahren soll.

! Parameter Map Configuration
parameter-map PURPLE_MAP
 type webauth
 redirect-server-url https://portal.purplewifi.net/auth
 redirect portal
 banner-page-disable
 logout-window-disable

Best Practices

Sicherheitsoptimierung

  1. Client-Isolierung: Aktivieren Sie immer die Client-Isolierung (Peer-to-Peer-Blockierung) im Gäste-VLAN. Dies verhindert, dass assoziierte Gäste-Geräte untereinander kommunizieren, und mindert das Risiko von internem Scanning, ARP-Spoofing und lateraler Malware-Ausbreitung.
  2. DNS-Filterung: Implementieren Sie DNS-Sicherheit (z. B. Cisco Umbrella oder Cloudflare Gateway) im Gäste-Netzwerk. Dadurch wird sichergestellt, dass Benutzer noch vor der Authentifizierung vor dem Zugriff auf bekannte Phishing-, Malware- oder jugendgefährdende Domains geschützt sind.
  3. Sichere Umleitung (HTTPS): Stellen Sie sicher, dass der auf Ihrem WLC konfigurierte Umleitungs-Hostname ein gültiges, öffentlich vertrauenswürdiges SSL/TLS-Zertifikat verwendet. Wenn der WLC eine HTTPS-Anfrage mit einem selbstsignierten Zertifikat umleitet, zeigt der Browser des Benutzers eine schwerwiegende Sicherheitswarnung an, was das Vertrauen zerstört und die Absprungrate erhöht.

Optimierung der User Experience (UX)

  1. Umleitungsgeschwindigkeit optimieren: Halten Sie die Pre-Authentication ACL (Walled Garden) so schlank wie möglich. Übermäßige DNS-Abfragen oder IP-Prüfungen innerhalb einer überfrachteten ACL können den Umleitungsprozess verzögern, was zu einem Timeout des Client-Geräts führt und den Eindruck erweckt, das Netzwerk sei gestört.
  2. Formularfelder minimieren: Jedes zusätzliche Feld in einem Captive Portal Formular reduziert die Conversion-Rate um etwa 10 %. Beschränken Sie die Datenerfassung auf wesentliche Felder (z. B. E-Mail-Adresse oder Social Login) und nutzen Sie progressives Profiling, um bei nachfolgenden Besuchen weitere Informationen zu sammeln.
  3. MAC-Caching implementieren: Um zu verhindern, dass sich wiederkehrende Gäste bei jedem Betreten des Standorts erneut authentifizieren müssen, konfigurieren Sie MAC-Caching (auch bekannt als MAC-Bypass). Wenn sich ein Client erfolgreich authentifiziert, speichert der RADIUS-Server seine MAC-Adresse für einen definierten Zeitraum (z. B. 30 Tage) im Cache. Bei nachfolgenden Besuchen führt der WLC eine stille MAC-Authentifizierung gegenüber dem RADIUS-Server durch und gewährt sofortigen Zugriff, ohne das Portal anzuzeigen.

Fehlerbehebung & Risikominderung

1. Das Fehlerbild der „CNA-Schleife“

  • Symptom: Der Client verbindet sich mit der SSID, das CNA-Fenster öffnet sich, der Benutzer schließt den Anmeldevorgang ab, aber das CNA-Fenster schließt sich nicht oder öffnet sich sofort wieder und fordert den Benutzer auf, sich erneut anzumelden.
  • Ursache: Der CNA-Browser ermittelt die Internetkonnektivität durch kontinuierliches Abfragen seiner Validierungs-URL (z. B. captive.apple.com). Wenn der WLC den Internetzugang freigibt, aber der Walled Garden oder die Routing-Konfiguration den Datenverkehr zur Validierungs-URL immer noch blockiert oder umleitet, geht das Betriebssystem davon aus, dass es sich immer noch in einem Captive Portal befindet.
  • Behebung: Stellen Sie sicher, dass der RADIUS CoA den Client erfolgreich in eine uneingeschränkte Rolle überführt, in der jeglicher Datenverkehr zu den Validierungs-Domains erlaubt ist. Alternativ können Sie den WLC so konfigurieren, dass er die CNA-Erkennung vollständig umgeht, indem er den Zugriff auf die Validierungs-Domains in der Pre-Authentication-ACL zulässt - dies verhindert jedoch, dass das Portal auf einigen Geräten automatisch geöffnet wird.

2. MAC-Randomisierungs-Probleme

  • Symptom: Wiederkehrende Gäste müssen sich erneut über das Captive Portal authentifizieren, obwohl MAC-Caching aktiviert ist.
  • Ursache: Moderne Betriebssysteme (iOS 14+, Android 10+, Windows 10/11) nutzen standardmäßig MAC-Randomisierung. Das Gerät generiert eine eindeutige, lokal verwaltete MAC-Adresse für jede SSID. Wenn der Benutzer die Option "Private Adresse" aktiviert hat, kann sich die MAC-Adresse regelmäßig ändern, was das MAC-basierte Caching und die Analysen beeinträchtigt.
  • Behebung: Akzeptieren Sie, dass das MAC-basierte Tracking für langfristige Analysen veraltet ist. Nutzen Sie alternative Identifikatoren wie Benutzerkonten oder über das Portal erfasste E-Mail-Adressen, um Sitzungen miteinander zu verknüpfen. Für einen nahtlosen Zugriff sollten Sie die Bereitstellung von Passpoint (Hotspot 2.0) in Betracht ziehen, das sichere Profile anstelle von MAC-Adressen für die Authentifizierung verwendet.

3. Fehler bei der DNS-Auflösung

  • Symptom: Die Seite des Captive Portals wird nicht geladen, und im Browser des Clients wird die Fehlermeldung "DNS_PROBE_FINISHED_NO_INTERNET" oder ein ähnlicher Fehler angezeigt.
  • Ursache: Nicht authentifizierte Clients können den Hostnamen des externen Captive Portals nicht auflösen, weil der WLC den DNS-Datenverkehr blockiert oder der zugewiesene DNS-Server vom Gast-VLAN aus nicht erreichbar ist.
  • Behebung: Überprüfen Sie die Pre-Authentication-ACL, um sicherzustellen, dass UDP-Port 53 von und zu den DNS-Servern explizit erlaubt ist. Vergewissern Sie sich, dass der DHCP-Bereich gültige, erreichbare DNS-Server (z. B. öffentliche Resolver wie 8.8.8.8 oder 1.1.1.1) verteilt, die in der ACL zugelassen sind.

ROI & geschäftliche Auswirkungen

Die Bereitstellung einer hochentwickelten Gast-WiFi-Lösung stellt eine strategische Investition dar, die über mehrere Kanäle hinweg einen messbaren geschäftlichen Nutzen bringt.

Metrik Offenes Netzwerk Einfaches Captive Portal Optimiertes Captive Portal (Purple)
Datenerfassungsrate 0% 15% - 25% 45% - 65%
Hürden für Benutzer Keine Hoch (Bei jedem Besuch) Gering (MAC-Caching aktiviert)
Sicherheitsniveau Anfällig (Keine Verschlüsselung) Mittel (Klartext-Payload) Hoch (OWE + Client Isolation)
Compliance (GDPR/DPA) Nicht konform Einfach (Statische Bedingungen) Vollständig konform (Dynamische Einwilligung)
Marketing-ROI Keiner Gering Hoch (Zielgerichtete Kampagnen)

Datenerfassung vs. Hürden für Benutzer

Ein offenes Netzwerk bietet keinerlei Datenerfassung, sodass der Betreiber keine Einsicht darüber hat, wer seine Dienste nutzt. Ein einfaches Captive Portal erfasst zwar Daten, führt jedoch zu hoher Reibung, wenn bei jedem Besuch eine Authentifizierung erforderlich ist.

Ein optimiertes Captive Portal, das die Intelligence-Plattform von Purple nutzt, gleicht diesen Kompromiss aus. Durch die Implementierung von MAC-Caching erfasst der Betreiber beim ersten Besuch umfassende demografische und verhaltensbezogene Daten, während nachfolgende Besuche völlig reibungslos ablaufen. Dieser Ansatz sorgt für eine hohe Nutzerzufriedenheit und baut gleichzeitig eine saubere, konforme Marketingdatenbank auf.

Einhaltung gesetzlicher Vorschriften

Der Betrieb eines offenen, unüberwachten Gastnetzwerks setzt Organisationen erheblichen rechtlichen Risiken aus. In vielen Rechtsordnungen (einschließlich des Vereinigten Königreichs unter dem Data Protection Act 2018 und der EU unter der GDPR) müssen Betreiber in der Lage sein, Benutzer zu identifizieren oder zumindest nachzuweisen, dass sie angemessene Schritte unternommen haben, um illegale Aktivitäten (wie Urheberrechtsverletzungen oder den Zugriff auf illegale Inhalte) in ihren Netzwerken zu verhindern.

Ein Enterprise Captive Portal minimiert dieses Risiko durch:

  • Die Anzeige von rechtlich bindenden Nutzungsbedingungen und Datenschutzrichtlinien.
  • Die Erfassung einer ausdrücklichen, detaillierten Einwilligung für Marketingkommunikation.
  • Die Protokollierung von Sitzungsdaten (IP-Zuweisung, MAC-Adresse und Zeitstempel) zur Erfüllung von Strafverfolgungsanfragen (z. B. RIPA im Vereinigten Königreich).

Schlüsseldefinitionen

Captive Network Assistant (CNA)

Ein isolierter Webbrowser auf Systemebene, der automatisch auf Mobilgeräten und Laptops gestartet wird, wenn eine Captive Portal-Weiterleitung in einem drahtlosen Netzwerk erkannt wird.

Das Verständnis der CNA-Einschränkungen ist von entscheidender Bedeutung, da diese Browser weder Cookies noch persistenten Speicher unterstützen, was sich auf die Gestaltung von Anmeldeformularen auswirkt.

Walled Garden

Eine Pre-Authentication Access Control List (ACL), die die spezifischen IP-Adressen, Subnetze oder Domain-Namen definiert, auf die ein Gastgerät zugreifen kann, bevor es sich am Captive Portal anmeldet.

Unerlässlich, um den Zugriff auf DNS, DHCP, Portal-Assets und Payment Gateways zu ermöglichen, ohne vollen Internetzugang zu gewähren.

RADIUS CoA (Change of Authorization)

Eine Erweiterung des RADIUS-Protokolls (RFC 3576), die es ermöglicht, die Attribute einer aktiven Sitzung dynamisch zu ändern, ohne dass der Client die Verbindung trennen und sich neu verbinden muss.

Wird vom Captive Portal verwendet, um dem WLC zu signalisieren, einem Client unmittelbar nach erfolgreicher Authentifizierung vollen Internetzugang zu gewähren.

Opportunistic Wireless Encryption (OWE)

Ein Standard der Wi-Fi Alliance (RFC 8110), der eine individuelle Verschlüsselung für drahtlose Verbindungen in offenen Netzwerken bereitstellt, ohne dass ein gemeinsames Passwort oder eine Benutzeranmeldung erforderlich ist.

Schützt Gastbenutzer vor passivem Wireless Sniffing, während die Einfachheit des Zugangs, die mit offenen Netzwerken verbunden ist, beibehalten wird.

MAC-Randomisierung

Eine in modernen Betriebssystemen implementierte Datenschutzfunktion, die die physische MAC-Adresse des Geräts rotieren lässt und eine eindeutige virtuelle MAC für verschiedene SSIDs generiert.

Stellt eine Herausforderung für traditionelle Gäste-WiFi-Analysen und langfristiges MAC-Caching dar, weshalb moderne Plattformen alternative Identifikatoren wie E-Mail oder Benutzerkonten verwenden müssen.

Passpoint (Hotspot 2.0)

Ein Zertifizierungsprogramm der Wi-Fi Alliance, das es mobilen Geräten ermöglicht, sich mithilfe von vorab konfigurierten Profilen oder Anmeldedaten automatisch zu erkennen und sicher mit WiFi-Netzwerken zu verbinden.

Repräsentiert die Zukunft des reibungslosen Gäste-WiFi, da Captive Portale vollständig überflüssig werden, während gleichzeitig die WPA3-Sicherheit der Enterprise-Klasse beibehalten wird.

DNS-Weiterleitung

Eine Technik, bei der ein Netzwerkgerät DNS-Anfragen von nicht authentifizierten Clients abfängt und sie an die IP-Adresse des Captive Portal-Servers auflöst, wodurch der Browser zur Weiterleitung gezwungen wird.

Wird oft als Alternative oder Ergänzung zur HTTP-Weiterleitung verwendet, um CNA-Browser auf modernen Geräten zu triggern.

Client Isolation

Eine Sicherheitseinstellung auf Wireless Access Points, die verhindert, dass drahtlose Clients, die mit derselben SSID assoziiert sind, direkt miteinander kommunizieren.

Eine unverzichtbare Sicherheitsanforderung für Gastnetzwerke, um Peer-to-Peer-Angriffe und die Verbreitung von Malware zu verhindern.

Ausgearbeitete Beispiele

Ein hochmodernes Mehrzweckstadion mit einer Kapazität von 60.000 Zuschauern benötigt eine Gast-WiFi-Lösung. Der Betriebsleiter möchte sponsorengerechte Marketingdaten von den Besuchern erfassen, ist jedoch besorgt über Netzwerküberlastungen und Login-Reibungen während des 15-minütigen Halbzeitfensters, in dem bis zu 20.000 gleichzeitige Benutzer versuchen könnten, sich zu verbinden.

Um diesem Szenario mit hoher Dichte gerecht zu werden, implementieren wir eine hybride Architektur, die ein schlankes Captive Portal mit aggressivem MAC-Caching und strengem Rate-Limiting kombiniert.

  1. SSID-Konfiguration: Bereitstellung einer einzelnen SSID mit dem Namen "Stadium_Guest". Konfigurieren Sie das Netzwerk als Open mit aktiviertem OWE (Opportunistic Wireless Encryption), um drahtlose Übertragungen ohne einen Pre-Shared Key zu sichern.
  2. Walled Garden Optimierung: Minimieren Sie die Pre-Authentication-ACL, sodass sie nur die wesentlichen IP-Bereiche des Purple-Portals und der lokalen Ticketing-App des Stadions enthält. Dies reduziert den DNS-Auflösungsaufwand auf den lokalen Controllern.
  3. Captive Portal Design: Die Portalseite wird auf einem Hochleistungs-CDN (Cloudflare) gehostet, wobei alle Bilder auf unter 50 KB komprimiert sind. Das Login-Formular ist auf ein einziges Feld beschränkt: "E-Mail-Adresse" mit einem optionalen Kontrollkästchen für das Marketing-Opt-in. Social Login (Facebook, Google) ist für diese Veranstaltung deaktiviert, um zu verhindern, dass externe API-Latenzen den Onboarding-Prozess verlangsamen.
  4. Sitzungs- und MAC-Caching-Richtlinie: Setzen Sie das Sitzungs-Timeout auf 6 Stunden (für die Dauer der Veranstaltung). Konfigurieren Sie eine MAC-Caching-TTL von 7 Tagen. Sobald sich ein Fan einmal authentifiziert hat, wird seine MAC-Adresse im Cache gespeichert. Wenn er vorübergehend die Verbindung aufgrund von Roaming oder hoher Dichte verliert, wird er bei der erneuten Assoziierung geräuschlos über RADIUS-MAC-Bypass authentifiziert, wodurch das Portal vollständig umgangen wird.
  5. Bandbreitenzuweisung: Wenden Sie ein dynamisches Bandbreitenprofil über den WLC an: 3 Mbps Download und 1 Mbps Upload pro Benutzer. Dies reicht für Social-Media-Beiträge und Messaging aus, verhindert jedoch, dass Video-Streaming den 10-Gbps-Backhaul überlastet.
Kommentar des Prüfers: Diese Lösung schafft erfolgreich den Spagat zwischen UX und Betriebsstabilität. Durch die Deaktivierung von Social Logins bei Veranstaltungen mit hoher Dichte eliminieren wir die Abhängigkeit von Drittanbieter-APIs, die bei plötzlicher Last häufig die Rate limitieren oder ausfallen. Das 7-tägige MAC-Caching stellt sicher, dass Fans, die an aufeinanderfolgenden Wochenendveranstaltungen teilnehmen, keinerlei Reibungsverluste haben, während die kurze DHCP-Lease-Time von 2 Stunden sicherstellt, dass IP-Adressen effizient wiederverwendet werden.

Eine nationale Einzelhandelskette mit 450 Filialen möchte von einem unverschlüsselten offenen Netzwerk auf ein sicheres Gast-WiFi-System umstellen. Sie benötigen eine Lösung, die die Verweildauer der Kunden und wiederholte Besuche an allen Standorten erfasst, der GDPR entspricht und wiederkehrenden Nutzern der Loyalty-App eine nahtlose Customer Journey bietet.

Wir implementieren eine zentralisierte, Cloud-gesteuerte Gäste-WiFi-Architektur, die in die Loyalty-App-API des Einzelhändlers integriert ist.

  1. Netzwerkarchitektur: Bereitstellung von Cisco Meraki APs an allen 450 Standorten, die über ein einziges Dashboard verwaltet werden. Konfigurieren Sie eine einheitliche SSID: 'Retail_Guest'.
  2. RADIUS-Integration: Konfigurieren Sie die Meraki APs so, dass sie die Cloud-RADIUS-Server von Purple für die Authentifizierung und das Accounting verwenden. Aktivieren Sie alle 10 Minuten vorläufige RADIUS-Accounting-Updates, um die Verweilzeit präzise zu erfassen.
  3. GDPR-konformes Captive Portal: Konfigurieren Sie ein mehrsprachiges Captive Portal, das die Browsersprache des Benutzers dynamisch erkennt. Das Portal zeigt klare, nicht vorab ausgewählte Checkboxen für die Einwilligung zum Marketing an, getrennt von der Zustimmung zu den Nutzungsbedingungen. Der Einwilligungsstatus wird über Webhooks in Echtzeit mit dem CRM des Einzelhändlers synchronisiert.
  4. API-basierte App-Registrierung: Für Nutzer der Loyalty-App implementieren wir ein 'WiFi SDK' in der App. Wenn ein Kunde mit installierter App ein Geschäft betritt, erkennt die App die SSID 'Retail_Guest' und authentifiziert das Gerät automatisch über ein zuvor bereitgestelltes digitales Zertifikat oder ein sicheres Token via API, wodurch das Captive Portal vollständig umgangen wird.
  5. MAC-Caching für Nicht-App-Nutzer: Für Gäste ohne App wird eine 30-tägige MAC-Caching-Richtlinie konfiguriert. Bei ihrer ersten Registrierung über das Portal wird ihre MAC-Adresse auf die Whitelist gesetzt. Wenn sie innerhalb von 30 Tagen eine der 450 Filialen besuchen, werden sie automatisch verbunden.
Kommentar des Prüfers: Diese Bereitstellung über mehrere Standorte hinweg nutzt die API-Integration, um die Lücke zwischen physischen Standorten und digitalen Anwendungen zu schließen. Durch die Verwendung eines WiFi SDK in der Loyalty-App umgeht der Einzelhändler das Captive Portal für seine wertvollsten Kunden und sorgt so für ein optimales, reibungsloses Erlebnis. Das 30-tägige MAC-Caching an allen 450 Standorten gewährleistet eine einheitliche Markenpräsenz und eine kontinuierliche Datenerfassung.

Übungsfragen

Q1. Ein Einzelhandelsstandort meldet, dass Gast-WiFi-Nutzer auf iOS-Geräten sofort nach dem Abschluss des Logins am Captive Portal getrennt werden. Die WLC-Logs zeigen eine erfolgreiche Authentifizierung und ein RADIUS CoA-ACK. Was ist die wahrscheinliche Ursache und wie lösen Sie das Problem?

Hinweis: Überlegen Sie, wie der iOS Captive Network Assistant (CNA) entscheidet, ob die Verbindung aktiv bleibt oder das Fenster geschlossen wird.

Musterlösung anzeigen

Die wahrscheinliche Ursache ist, dass der iOS-CNA-Browser unmittelbar nach der Authentifizierung keine erfolgreiche HTTP 200 OK-Antwort vom Apple-Validierungsserver (captive.apple.com) erhält. Wenn der Benutzer den Login abschließt, sendet der CNA-Browser eine Hintergrundanfrage an diese URL. Wenn die Post-Auth-Richtlinie des WLC diese Anfrage immer noch blockiert oder weiterleitet (vielleicht aufgrund einer Routing-Verzögerung oder einer falsch konfigurierten Post-Auth-ACL), nimmt das OS an, dass das Netzwerk immer noch gefangen, aber fehlerhaft ist, und trennt die Verbindung zur SSID. Um dies zu beheben, überprüfen Sie, ob der RADIUS CoA sofort eine Richtlinie anwendet, die den uneingeschränkten Zugriff auf die Validierungsdomänen von Apple erlaubt, und stellen Sie sicher, dass keine Upstream-Firewall-Regeln den Datenverkehr zu diesen Zielen verzögern.

Q2. Ein Netzwerkarchitekt möchte OWE für Gast-WiFi implementieren, sorgt sich jedoch um die Kompatibilität mit älteren Geräten. Welche Bereitstellungsstrategie sollte er verwenden, um sicherzustellen, dass sich alle Gäste verbinden können?

Hinweis: Sehen Sie sich die OWE-Transitionsmodus-Spezifikation an, die von der Wi-Fi Alliance definiert wurde.

Musterlösung anzeigen

Der Architekt sollte den OWE-Transitionsmodus implementieren. Diese Konfiguration erfordert die Erstellung von zwei SSIDs: eine offene SSID für ältere Geräte und eine versteckte OWE-SSID. Die offene SSID sendet ein spezielles Information Element (IE), das das Vorhandensein der sicheren OWE-SSID ankündigt. Moderne Geräte, die OWE unterstützen, erkennen dieses IE automatisch und wechseln nahtlos zur verschlüsselten OWE-SSID, während ältere Geräte mit der unverschlüsselten offenen SSID verbunden bleiben. Dies gewährleistet 100 % Kompatibilität und sichert gleichzeitig die Verbindungen für fähige Geräte.

Q3. Ein IT-Manager in einem Konferenzzentrum stellt fest, dass die WLC-CPU bei Großveranstaltungen auf 95 % ansteigt, wenn Tausende von Benutzern gleichzeitig versuchen, sich mit dem Gast-WiFi zu verbinden. Wie kann die Captive Portal-Konfiguration optimiert werden, um dies zu mildern?

Hinweis: Konzentrieren Sie sich auf den Weiterleitungsmechanismus und darauf, wo die kryptografische Last verarbeitet wird.

Musterlösung anzeigen

Der CPU-Anstieg wird wahrscheinlich dadurch verursacht, dass der WLC ein hohes Volumen an lokalen HTTPS-Weiterleitungen verarbeitet, was erfordert, dass der Controller ressourcenintensive SSL/TLS-Handshakes für jeden nicht authentifizierten Client durchführt. Um dies zu mildern: 1) Implementieren Sie die RFC 8910 Captive Portal API, die es modernen Geräten ermöglicht, den Captive Portal-Status über DHCP oder Router Advertisements abzufragen, wodurch das aktive Abfangen von HTTP/HTTPS entfällt. 2) Optimieren Sie die Pre-Auth-ACL, um den direkten Zugriff auf gängige CDN- und Validierungsdomänen zu ermöglichen, wodurch die Anzahl der abgefangenen Anfragen reduziert wird. 3) Lagern Sie die Weiterleitungsverarbeitung aus, indem Sie eine AP-basierte Weiterleitung (lokales Switching) nutzen, anstatt die gesamte Web-Auth-Verarbeitung auf dem WLC zu zentralisieren.

Weiterlesen in dieser Reihe

Der Leitfaden für Unternehmen zur Einrichtung von Gäste-WiFi: Sicherheit, Segmentierung und Geschwindigkeit

Dieser technische Leitfaden für Unternehmen bietet IT-Managern und Netzwerkarchitekten praktische Anleitungen zur Bereitstellung von sicherem, segmentiertem Gäste-WiFi. Er behandelt VLAN-Architektur, WPA3-Verschlüsselung, 802.1X-Authentifizierung, PCI-DSS- und GDPR-Konformität sowie die Integration der hardwareunabhängigen Captive Portal-Ebene von Purple.

Leitfaden lesen →

How to Set Up Guest WiFi: The Enterprise Network Segmentation Guide

Dieser Leitfaden beschreibt die technische Architektur, die Authentifizierungsstandards und die Bereitstellungsmethodik, die für den Aufbau eines sicheren, segmentierten Enterprise-WiFi-Netzwerks erforderlich sind. Sie erfahren, wie Sie das Drei-SSID-Modell implementieren, 802.1X für die Mitarbeiterauthentifizierung bereitstellen, Captive Portale für den GDPR-konformen Gastzugang konfigurieren und Ihren PCI-DSS-Scope reduzieren.

Leitfaden lesen →

So implementieren Sie Zeit- und Bandbreitenbeschränkungen im Gäste-WiFi

Ein maßgeblicher technischer Leitfaden zur Implementierung von Zeit- und Bandbreitenbeschränkungen in Enterprise-Gäste-WiFi-Netzwerken. Dieser Leitfaden bietet praxisnahe Architekturkonzepte, herstellerunabhängige Konfigurationen und Fallstudien aus der Praxis, um IT-Leiter dabei zu unterstützen, Netzwerkleistung, Compliance und Benutzererfahrung in Einklang zu bringen.

Leitfaden lesen →