So optimieren Sie Captive Portals für maximale Netzwerksicherheit und Benutzer-Conversion
Dieser Leitfaden bietet eine vollständige technische Anleitung zur Optimierung von Captive Portals in Unternehmensstandorten und deckt Netzwerksegmentierungs-Architektur, die Auswahl der Authentifizierungsmethode, DSGVO-konformes Consent-Design sowie die Conversion-Optimierung ab. Er richtet sich an IT-Manager, Netzwerkarchitekten und CTOs in Hotels, Einzelhandelsketten, Stadien und Organisationen des öffentlichen Sektors, die eine Balance zwischen Netzwerksicherheit und der Erfassung von First-Party-Daten finden müssen. Purple betreibt Captive Portal-Infrastrukturen an über 80.000 Standorten mit 440 Millionen Logins im Jahr 2024 - die hier vorgestellten Frameworks spiegeln diese betriebliche Erfahrung wider.
Diesen Leitfaden anhören
Podcast-Transkript ansehen
- Management Summary
- Technischer Deep Dive
- Wie Captive Portals tatsächlich funktionieren
- Netzwerksegmentierung
- Sicherung des Wireless Edge
- Implementierungsleitfaden
- Schritt 1: Walled Garden definieren
- Schritt 2: RADIUS-Integration konfigurieren
- Schritt 3: Authentifizierungsmethoden wählen
- Schritt 4: Einwilligungsprozesse gestalten
- Schritt 5: Bandbreitenrichtlinien über RADIUS VSAs anwenden
- Best Practices
- Optimierung der Konversionsrate
- Integration von Verhaltensanalysen
- Security Hardening
- Troubleshooting und Risikominimierung
- Portal wird nicht angezeigt
- MAC-Adressen-Randomisierung
- DHCP- und DNS-Erschöpfung in großen Umgebungen
- API-Änderungen der OAuth-Anbieter
- Return on Investment (ROI) und geschäftliche Auswirkungen

Management Summary
Ein Captive Portal ist die Anmeldeseite in einem öffentlichen WiFi. Es ist gleichzeitig Ihre wichtigste Entscheidung zur Netzwerksicherheit - und wenn Sie Marketingprojekte durchführen, Ihr wertvollster Kanal zur Datenerfassung. Die beiden Ziele Sicherheit und Conversion stehen nicht im Widerspruch, erfordern jedoch unterschiedliche Konfigurationsentscheidungen, die in diesem Leitfaden behandelt werden.
Die Kernarchitektur besteht darin, jedes Besuchergerät vor Abschluss der Authentifizierung in ein isoliertes VLAN zu verschieben. Ein RADIUS-Server verwaltet die Sitzungen und gibt die Geräte über Change of Authorization (CoA)-Nachrichten für das Produktiv-VLAN frei. Die Netzwerksegmentierung stellt sicher, dass der Datenverkehr von Gästen niemals die Unternehmens-Infrastruktur oder Kassensysteme berührt. In jeder Umgebung, in der sich Zahlungsterminals und das Gäste-WiFi eine physische Infrastruktur teilen, ist dies eine strikte PCI-DSS-Anforderung.
Auf der Conversion-Seite sinkt die Registrierungsrate mit jedem zusätzlichen Formularfeld um 8% bis 12%. Die richtige Authentifizierungsmethode hängt von Ihrem Standorttyp und Ihren Datenzielen ab. Die Erfassung von E-Mail-Adressen liefert eine Conversion-Rate von 65% bis 80% und sichert Ihnen den Besitz von First-Party-Daten. Social Login über OAuth 2.0 reduziert Reibungsverluste, birgt jedoch das Risiko von Abhängigkeiten von Drittanbietern. SMS OTP bietet die höchste Datenqualität, aber die niedrigste Conversion-Rate. Für den öffentlichen Sektor ohne Marketingziele ist der One-Click-Login die richtige Wahl.
Purple betreibt Guest WiFi Infrastrukturen an mehr als 80.000 Standorten. Die Empfehlungen in diesem Dokument basieren auf den 440 Millionen Logins, die im Jahr 2024 verarbeitet wurden (interne Daten von Purple, 2024).
Technischer Deep Dive
Wie Captive Portals tatsächlich funktionieren
Sobald sich ein Gerät mit einer SSID verbindet, fängt das Captive Portal HTTP- und HTTPS-Anfragen ab. Der Access Point platziert das Gerät in einem isolierten VLAN, in dem die Firewall nur DNS-Abfragen und eine kleine Auswahl vorab genehmigter Ziele (den Walled Garden) zulässt. Das Betriebssystem des Geräts erkennt diesen eingeschränkten Zustand, indem es bekannte URLs abfragt (wie captive.apple.com unter iOS oder connectivitycheck.gstatic.com unter Android). Wenn die Abfrage eine ungewöhnliche Antwort liefert, öffnet das Betriebssystem automatisch das Portal.
Der Benutzer authentifiziert sich. Das Portal übermittelt die Ergebnisse über eine CoA-Nachricht an den RADIUS-Server des Netzwerks. Der Access Controller hebt die Isolationsbeschränkung auf, verschiebt das Gerät in das Produktiv-VLAN und protokolliert eine Sitzung mit Zeitstempeln, MAC-Adressen, Identität und angewendeten Richtlinien. Je nach Authentifizierungsmethode dauert dieser End-to-End-Prozess zwischen einer und zehn Sekunden.

Netzwerksegmentierung
Ein isoliertes VLAN ist unverzichtbar. Ohne dieses können nicht-authentifizierte Geräte auf einer offenen SSID das interne Netzwerk ausspionieren, auf Verwaltungsschnittstellen zugreifen oder Point-of-Sale (POS) Systeme berühren. In Umgebungen, die dem PCI-DSS-Standard unterliegen (d. h. an jedem Standort, an dem Kartenterminals und das Gäste-WiFi dieselbe physische Infrastruktur nutzen), erfordert der Payment Card Industry Data Security Standard v4.0 eine vollständige Netzwerkisolation zwischen der Karteninhaber-Datenumgebung und dem Kundennetzwerk.
Die Netzwerksegmentierung wird auf Ebene des Access Controllers implementiert. Bei Cisco Meraki wird dies über Group Policies konfiguriert; bei HPE Aruba über User Roles; bei Ruckus über die Zone-Konfiguration; und bei Juniper Mist über WLAN-Richtlinien. Das Prinzip ist auf allen vier Plattformen identisch: Für nicht-authentifizierte Geräte gilt eine eingeschränkte Richtlinie; für authentifizierte Geräte gilt eine Produktivrichtlinie. Der RADIUS-Server ist für die Durchsetzung dieses Übergangs verantwortlich.
Für Standorte mit mehreren Benutzertypen (Kunden, Mitarbeiter, externe Dienstleister) sollten Sie separate SSIDs bereitstellen und jede SSID einem separaten VLAN mit dedizierten Firewall-Regeln und Bandbreitenrichtlinien zuweisen. Versuchen Sie nicht, alle Benutzertypen über eine einzige SSID und ein einziges Captive Portal zu bedienen. Die Komplexität der Richtlinienverwaltung wird jeden vermeintlichen Komfort bei weitem übersteigen.
Sicherung des Wireless Edge
Captive Portals arbeiten auf Layer 7 und verschlüsseln die Funkverbindung nicht. Auf einer offenen SSID ist der Datenverkehr zwischen dem Gerät und dem Access Point unverschlüsselt und für jedes Gerät in Funkreichweite sichtbar.
Es gibt drei Möglichkeiten, dieses Problem zu lösen:
WPA3 mit Captive Portal. WPA3-Personal bietet Simultaneous Authentication of Equals (SAE), wodurch Offline-Wörterbuchangriffe auf WPA2-PSK ausgeschlossen werden. Das Captive Portal wird nach wie vor zur Authentifizierung aufgerufen, aber die Funkverbindung ist verschlüsselt. Dies ist der Mindeststandard für Neuinstallationen im Jahr 2026.
Passpoint (Hotspot 2.0) mit 802.1X. Passpoint verwendet EAP-TLS oder PEAP, um eine zertifikats- oder anmeldedatenbasierte Authentifizierung bereitzustellen. Das Captive Portal übernimmt das erste Onboarding und die Unterzeichnung der Einverständniserklärung. Beim zweiten Besuch authentifiziert Passpoint das Gerät automatisch im Hintergrund anhand des konfigurierten Profils und umgeht das Portal vollständig. Dies ist die Architektur, die vom Carrier-Grade-Roaming-Standard OpenRoaming verwendet wird. Weitere Details zu den EAP-Methoden finden Sie in unserem Leitfaden: EAP Method WiFi: A Guide to Secure Network Access .
iPSK (Identity Pre-Shared Key). iPSK weist jedem Benutzer oder Gerät über ein Portal ein eindeutiges WPA2- oder WPA3-Passwort zu. Dieses Passwort wird im RADIUS-Server gespeichert und ist einem bestimmten VLAN und einer Richtlinie zugeordnet. Dies bietet personalisierte Verschlüsselung und Nachvollziehbarkeit auf einer gemeinsamen SSID ohne den Infrastruktur-Overhead einer vollständigen 802.1X-Bereitstellung. Dies ist die Standardarchitektur für Multi-Tenant-WiFi in Build-to-Rent- und Studentenwohnheim-Umgebungen.
Einzelheiten zur zertifikatsbasierten Authentifizierung finden Sie unter WiFi-Zertifikatsauthentifizierung: Sicherer Netzwerkzugriff .
Implementierungsleitfaden
Schritt 1: Walled Garden definieren
Kartenieren und überprüfen Sie vor der Einrichtung Ihres Portals alle externen Abhängigkeiten, die für die Authentifizierung erforderlich sind. Wenn Sie Google Social Login anbieten, setzen Sie accounts.google.com und zugehörige Google-Authentifizierungsdomains auf die Whitelist. Wenn Sie Stripe für kostenpflichtigen Zugang nutzen, setzen Sie die API-Endpunkte von Stripe auf die Whitelist. Wenn Sie den Apple-Login verwenden, setzen Sie appleid.apple.com auf die Whitelist.
Das Versäumnis, einen präzisen Walled Garden zu pflegen, ist die Hauptursache für Fehler bei der Darstellung des Captive Portals in Produktionsumgebungen. Verwenden Sie ein Tool zur Validierung des Walled Garden, um Copy-and-Paste-Regeln für Ihren spezifischen Controller zu erstellen. Purple bietet einen kostenlosen Walled Garden Domain Validator, der einsatzbereite Regeln für Cisco Meraki, Ubiquiti UniFi, HPE Aruba und Catalyst-Controller ausgibt.
Schritt 2: RADIUS-Integration konfigurieren
Integrieren Sie Ihren Access Controller mit Ihrem Cloud-RADIUS-Anbieter. Konfigurieren Sie den Controller so, dass unauthentifizierter Datenverkehr an die Portal-URL weitergeleitet wird, und geben Sie die RADIUS-Server für Authentifizierung und Accounting an. Stellen Sie sicher, dass das gemeinsame RADIUS-Geheimnis mindestens 22 Zeichen lang ist, Groß- und Kleinschreibung sowie Sonderzeichen enthält und alle 90 Tage gewechselt wird.
Konfigurieren Sie bei Cisco Meraki-Bereitstellungen die RADIUS-Server unter "Wireless > Access Control". Konfigurieren Sie bei HPE Aruba unter "Security > Authentication Servers". Konfigurieren Sie bei Ruckus unter "Services > Authentication". Konfigurieren Sie bei Juniper Mist unter "Network > WLAN".
Schritt 3: Authentifizierungsmethoden wählen

Die folgende Tabelle ordnet Standorttypen den empfohlenen Authentifizierungsmethoden und den erwarteten Conversion-Rate-Bereichen zu.
| Standorttyp | Empfohlene Methode | Erwartete Conversion | Erfasste Daten |
|---|---|---|---|
| Hotels & Gastgewerbe | E-Mail-Erfassung + Social Login | 65-80% | E-Mail, Name, optionale Demografie |
| Einzelhandel | E-Mail-Erfassung | 68-75% | E-Mail, Name |
| Stadien & Events | SMS-Einmalpasswort (SMS OTP) | 45-55% | Verifizierte Mobiltelefonnummer |
| Kongresszentren | Social Login + E-Mail | 60-70% | E-Mail, berufliches Profil |
| Öffentlicher Sektor | Click-through | 90-95% | Nur MAC-Adresse, Zeitstempel |
| Gesundheitswesen | Click-through | 90-95% | Nur MAC-Adresse, Zeitstempel |
Quelle: Purple-Netzwerkdaten, 440 Millionen Logins, 2024.
Schritt 4: Einwilligungsprozesse gestalten
Trennen Sie die für den Netzwerkzugriff erforderliche Einwilligung von der Einwilligung für Marketingkommunikation. Gemäß UK GDPR (der im britischen Recht beibehaltenen Fassung der Verordnung (EU) 2016/679) handelt es sich hierbei um zwei unterschiedliche Rechtsgrundlagen.
Der Netzwerkzugriff kann auf der Grundlage berechtigter Interessen gemäß Artikel 6 Absatz 1 Buchstabe f gewährt werden, was die Netzwerkverwaltung und -sicherheit abdeckt. Marketing-Kommunikation erfordert eine ausdrückliche Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a. Diese Einwilligung muss freiwillig, für den bestimmten Fall, in Kenntnis der Sachlage und unmissverständlich erteilt werden. Bereits angekreuzte Kontrollkästchen erfüllen diesen Standard nicht.
Implementieren Sie zwei unabhängige Kontrollkästchen auf dem Portal. Das erste, obligatorische Feld deckt die Nutzungsbedingungen und den Netzwerkzugriff ab. Das zweite, optionale und standardmäßig nicht angekreuzte Feld betrifft Marketing-Abonnements. Protokollieren Sie den Zeitstempel, die IP-Adresse, die MAC-Adresse und den Status der Einwilligung für jede Sitzung. Dieser Audit-Trail ist Ihr Nachweis der Compliance im Falle von behördlichen Anfragen.
Schritt 5: Bandbreitenrichtlinien über RADIUS VSAs anwenden
Konfigurieren Sie den RADIUS-Server so, dass er nach erfolgreicher Authentifizierung herstellerspezifische Attribute (VSAs) zurückgibt. VSAs weisen den Access Point an, basierend auf dem Benutzerprofil spezifische Bandbreitenbegrenzungen, Inhaltsfilter und Sitzungs-Timeouts anzuwenden.
Bei HPE Aruba weist das VSA Aruba-User-Role Benutzern eine benannte Rolle mit vordefinierten Richtlinien zu. Bei Cisco Meraki wird die Gruppenrichtlinien-ID über das Attribut Filter-Id zurückgegeben. Bei Ruckus ordnet das Attribut Ruckus-User-Groups Benutzer konfigurierten Gruppen zu. Dieser Mechanismus ermöglicht eine dynamische Durchsetzung von Richtlinien, ohne dass separate SSIDs für verschiedene Benutzerstufen konfiguriert werden müssen.
Best Practices
Optimierung der Konversionsrate
Progressive Profiling funktioniert besser als die Datenerfassung in einer einzigen Sitzung. Fragen Sie beim ersten Besuch nach einer E-Mail-Adresse. Bitten Sie beim zweiten Besuch um ein Geburtsdatum oder eine Postleitzahl. Fragen Sie beim dritten Besuch nach den Marketing-Präferenzen. Dieser Ansatz hält die Konversionsraten hoch, während im Laufe der Zeit reichhaltigere Profile aufgebaut werden.
Über 85 % der Interaktionen mit dem Captive Portal finden auf Mobilgeräten statt (interne Daten von Purple, 2024). Gestalten Sie das Design für kleine Bildschirme. Schaltflächen müssen groß genug sein, um ohne Zoomen angetippt werden zu können. Text muss bei Standard-Schriftgrößen lesbar sein. Der Login-Prozess muss mit maximal drei Taps abgeschlossen sein.
Integrieren Sie das Portal bei Einzelhandels- Bereitstellungen in Ihr CRM- oder Treueprogramm. Pizza Express nutzte ein gebrandetes Captive Portal, um innerhalb von zwei Jahren 3,7 Millionen Kunden zu seinem CRM hinzuzufügen. Jede WiFi Verbindung wurde so in ein verifiziertes Marketing-Abonnement umgewandelt (Purple Kundendaten, Pizza Express). Das Portal wurde zum primären Kanal für Anmeldungen zum Treueprogramm und für erneute Werbeansprachen.
Integration von Verhaltensanalysen
Sitzungen im Captive Portal sind der Korrelationsschlüssel zwischen physischen Standortanalysen und digitalen Marketing-Systemen. Jede authentifizierte Sitzung erzeugt ein Besucherfrequenz-Ereignis mit einem Zeitstempel, der Verweildauer und dem Status als wiederkehrender Besucher. Integriert in WiFi Analytics liefert diese Datenbasis Erkenntnisse zur Besucherfrequenz-Attribution, demografischen Segmentierung und Kampagnen-ROI-Messung.
Um mehr darüber zu erfahren, wie Verhaltensdaten aus WiFi Netzwerken den Standortbetrieb unterstützen, lesen Sie Verhaltensanalyse: Erkenntnisse für WiFi Netzwerke .
Security Hardening
Stellen Sie Portale ausschließlich über HTTPS bereit und verwenden Sie ein gültiges TLS-Zertifikat einer vertrauenswürdigen Zertifizierungsstelle (CA). HTTP-Portale machen Benutzeranmeldedaten anfällig für Abfangversuche und lösen Browser-Sicherheitswarnungen aus, die die Konversionsraten drastisch senken. Implementieren Sie HTTP Strict Transport Security (HSTS) mit einem Mindestwert für max-age von 31536000 Sekunden. Implementieren Sie Rate Limiting an Authentifizierungsendpunkten. Ohne Rate Limiting ist das Portal anfällig für Credential Stuffing und Brute-Force-Angriffe auf Anmeldecodes. Begrenzen Sie die Authentifizierungsversuche auf fünf pro IP-Adresse und Minute.
Führen Sie mindestens einmal im Jahr Penetrationstests für die Portal-Anwendung durch. Purple besitzt die ISO 27001-Zertifizierung sowie die Cyber Essentials-Zertifizierung und wird regelmäßig externen Penetrationstests unterzogen. Für Implementierungen im Gesundheitswesen und im Transportwesen sind vierteljährliche Tests der angemessene Standard.
Troubleshooting und Risikominimierung
Portal wird nicht angezeigt
Dies ist der häufigste Fehlertyp. Das Betriebssystem des Geräts sendet eine Captive-Probe an eine bekannte URL. Wenn die Firewall diese Domain blockiert, kann das Betriebssystem den Captive-Status nicht erkennen, und das Portal wird niemals automatisch gestartet. Benutzer müssen dann manuell zu einer Nicht-HTTPS-URL navigieren, um die Weiterleitung auszulösen.
Überprüfen Sie zuerst die Walled-Garden-Einstellungen. Stellen Sie sicher, dass die folgenden Domains vor der Authentifizierung zugänglich sind: captive.apple.com, www.apple.com, connectivitycheck.gstatic.com, clients3.google.com und msftconnecttest.com. Dies sind die Probe-URLs, die von iOS, Android beziehungsweise Windows verwendet werden.
MAC-Adressen-Randomisierung
iOS 14 und Android 10 haben standardmäßig eine netzwerkspezifische MAC-Adressen-Randomisierung eingeführt. Wiederkehrende Geräte weisen bei jeder Verbindung eine neue MAC-Adresse auf, was die Sitzungspersistenz unterbricht. Das Portal fordert den Benutzer erneut zur Authentifizierung auf, sodass er sich noch einmal anmelden muss.
Minimieren Sie dieses Problem, indem Sie bei der ersten Anmeldung ein Passpoint-Profil bereitstellen. Dieses Profil enthält Anmeldedaten, die das Gerät für nachfolgende Verbindungen verwendet, wodurch die MAC-basierte Identifizierung vollständig umgangen wird. Verwenden Sie alternativ einen app-basierten Authentifizierungsfluss, der auf in der App gespeicherten Identitäts-Tokens anstelle der MAC-Adresse des Geräts basiert.
DHCP- und DNS-Erschöpfung in großen Umgebungen
In großen Veranstaltungsorten (Stadien, Kongresszentren, Verkehrsknotenpunkten) verbinden sich zu Beginn einer Veranstaltung oder Konferenz Tausende von Geräten gleichzeitig. Wenn der DHCP-Pool zu klein ist, können Geräte keine IP-Adresse erhalten. Wenn der DNS-Server das Abfragevolumen nicht bewältigen kann, schlagen die Captive-Probes fehl, und das Portal wird nicht angezeigt. Planen Sie die Größe Ihres DHCP-Pools basierend auf den maximalen gleichzeitigen Verbindungen und nicht auf Durchschnittswerten. Gehen Sie bei einem Stadion mit 60.000 Sitzplätzen von 40.000 gleichzeitigen Geräten aus. Weisen Sie einen DHCP-Pool von mindestens 50.000 Adressen zu und konfigurieren Sie eine kurze Lease-Zeit (15 bis 30 Minuten), um Adressen schnell wieder freizugeben. Stellen Sie dedizierte DNS-Resolver für das Gästenetzwerk bereit, getrennt von der internen DNS-Infrastruktur.
API-Änderungen der OAuth-Anbieter
Social-Login-Anbieter ändern ihre API-Bedingungen oft ohne Vorankündigung. Facebook hat die über seine Graph API verfügbaren Daten schrittweise eingeschränkt. Wenn Social Login Ihre einzige Authentifizierungsmethode ist und ein Anbieter seine Bedingungen ändert, wird Ihr Portal für alle Benutzer ausfallen.
Richten Sie neben dem Social Login immer mindestens eine Nicht-OAuth-Authentifizierungsmethode ein. Die Erfassung von E-Mail-Adressen ist hierbei der Standard-Backup-Weg. Richten Sie ein Monitoring für OAuth-Authentifizierungsendpunkte ein, um bei erhöhten Fehlerraten alarmiert zu werden - diese sind oft der Vorbote oder Begleiter einer API-Änderung.
Return on Investment (ROI) und geschäftliche Auswirkungen
Wenn man nur die Infrastrukturkosten betrachtet, ist ein Captive Portal eine Kostenstelle; misst man es jedoch am Wert der gesammelten Daten und den damit ermöglichten Marketingprogrammen, ist es ein Umsatzbringer.
Eine Einzelhandelsmarke mit 500 Filialen, die monatlich 10.000 Logins pro Filiale bei einer Opt-in-Quote von 65 % verzeichnet, generiert jährlich 39 Millionen verifizierte CRM-Kontakte. Bei einem konservativen E-Mail-Marketing-Umsatzmodell von 0,10 £ pro Kontakt und Jahr liefert dieser einzige Datenerfassungskanal einen zugeschriebenen Umsatz von 3,9 Millionen £.
Für Betreiber im Bereich Hospitality ist das Portal der erste Kontaktpunkt auf der Guest Journey. Premier Inn und Whitbread nutzen die Daten aus dem Gäste-WiFi, um Treueprogramme zu unterstützen und die Korrelation zwischen WiFi-Nutzung und wiederholten Buchungen zu messen (Purple Kundendaten, Whitbread).
Für Transportunternehmen liefert das Portal Daten zum Passagierfluss, die als Grundlage für Einzelhandelsvermietungen, Personalentscheidungen und die Leistung von Konzessionen dienen. Die Manchester Airport Group (MAG) nutzt WiFi-Analysen, um die Verweilzeiten von Passagieren in den verschiedenen Terminalbereichen zu messen, und korreliert die WiFi-Sitzungsdaten mit den Einzelhandelsausgaben pro Passagier (Purple Kundendaten, MAG).
Drei Kennzahlen sind für den Erfolg des Portals entscheidend: die Opt-in-Quote (Zielwert über 60 % bei der E-Mail-Erfassung), die Datenqualitätsrate (Prozentsatz der validierten E-Mail-Adressen, Zielwert über 80 %) und die Rückkehrquote (Prozentsatz der wiederkehrenden Benutzer, die sich ohne erneute Dateneingabe authentifizieren, Zielwert über 70 %).
Die WiFi Analytics -Plattform von Purple stellt diese Kennzahlen in Echtzeit für alle Standorte bereit und unterstützt die Segmentierung nach Standort, Zeitfenster und Benutzerkohorte.
Schlüsseldefinitionen
Captive Portal
Eine Webanwendung, die den Netzwerkverkehr abfängt, nachdem sich ein Gerät mit einer SSID verbunden hat, und die eine Benutzerinteraktion (Authentifizierung, Zahlung oder Akzeptanz der Bedingungen) erfordert, bevor der Internetzugang gewährt wird.
Der primäre Mechanismus für das Onboarding von Besuchern in öffentlichen oder Gäste-WiFi-Netzwerken. Jedes Gerät, das sich verbindet, durchläuft dieses Portal, was es zur konsistentesten Oberfläche für die Datenerfassung an einem physischen Standort macht.
Walled Garden
Eine eingeschränkte Netzwerkumgebung, die vor der Authentifizierung den Zugriff nur auf bestimmte, genehmigte IP-Adressen oder Domains erlaubt.
Erforderlich, damit Geräte die Captive Portal-Seite, DNS-Server und notwendige Authentifizierungsdienste von Drittanbietern erreichen können, bevor der vollständige Internetzugang gewährt wird. Eine Fehlkonfiguration ist die Hauptursache für Probleme bei der Portal-Darstellung.
RADIUS (Remote Authentication Dial-In User Service)
Ein Netzwerkprotokoll, das eine zentrale Authentifizierungs-, Autorisierungs- und Accounting-Verwaltung für Benutzer bietet, die sich mit einem Netzwerkdienst verbinden.
Das Standardprotokoll, das von Captive Portals verwendet wird, um mit Access Points und Controllern zu kommunizieren. Jeder Enterprise-Access-Point von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist und Ubiquiti UniFi unterstützt RADIUS.
Change of Authorisation (CoA)
Eine in RFC 5176 definierte RADIUS-Erweiterung, die es einem Server ermöglicht, die Autorisierungsattribute einer aktiven Sitzung dynamisch zu ändern.
Wird vom Captive Portal verwendet, um den Access Controller anzuweisen, ein Gerät unmittelbar nach erfolgreicher Anmeldung von der Quarantäne-VLAN in die Produktions-VLAN zu verschieben, ohne dass sich das Gerät neu verbinden muss.
Passpoint (Hotspot 2.0)
Ein auf IEEE 802.11u basierender Standard, der es mobilen Geräten ermöglicht, WiFi-Netzwerke automatisch zu erkennen und sich über eine 802.1X-Authentifizierung sicher mit ihnen zu verbinden, ohne dass eine manuelle Interaktion mit dem Portal erforderlich ist.
Der Standardansatz für die Authentifizierung wiederkehrender Benutzer in Enterprise-Standorten. Das Captive Portal übernimmt das Onboarding beim ersten Besuch und die Erfassung der Einwilligung; Passpoint wickelt alle nachfolgenden Besuche im Hintergrund und sicher ab.
VLAN (Virtual Local Area Network)
Ein logisches Subnetzwerk, das Geräte aus verschiedenen physischen Netzwerksegmenten gruppiert und eine Datenverkehrsisolierung auf der Sicherungsschicht erzwingt.
Wird verwendet, um den Gastdatenverkehr vom Unternehmensdatenverkehr zu segmentieren. Ohne eine VLAN-Segmentierung kann ein Gastgerät, das sich am selben physischen Switch wie ein Point-of-Sale-Terminal befindet, dieses scannen oder angreifen.
iPSK (Identity Pre-Shared Key)
Eine Sicherheitsmethode, bei der jedem Benutzer oder Gerät eine eindeutige WPA2- oder WPA3-Passphrase für dieselbe SSID zugewiesen wird, die vom RADIUS-Server gespeichert und erzwungen wird.
Bietet individualisierte Verschlüsselung und Richtliniendurchsetzung pro Benutzer auf einer gemeinsamen SSID ohne den Infrastruktur-Overhead einer vollständigen 802.1X-Bereitstellung. Standardarchitektur für Multi-Tenant-WiFi.
MAC-Adressen-Randomisierung
Eine Datenschutzfunktion in iOS 14+, Android 10+ und Windows 10+, die eine pro Netzwerk zufällig generierte MAC-Adresse erzeugt, um ein netzwerkübergreifendes Tracking von Geräten zu verhindern.
Unterbricht die MAC-basierte Sitzungspersistenz bei Captive Portals. Ein wiederkehrendes Gerät präsentiert eine neue MAC-Adresse, was eine erneute Authentifizierung auslöst. Dies wird durch Passpoint-Profile oder app-basierte Identitäts-Tokens gemildert.
Vendor-Specific Attribute (VSA)
Ein RADIUS-Attribut im herstellerspezifischen Namensraum (Attribut 26), das herstellerspezifische Richtlinienanweisungen vom RADIUS-Server an den Access Controller überträgt.
Wird verwendet, um Bandbreitenbegrenzungen, VLAN-IDs, Inhaltsfilterrichtlinien und Sitzungs-Timeouts dynamisch basierend auf dem Profil des authentifizierten Benutzers zuzuweisen. Jeder Hardware-Hersteller (Aruba, Meraki, Ruckus) definiert seinen eigenen VSA-Namensraum.
Ausgearbeitete Beispiele
Ein Hotel mit 200 Zimmern, das HPE Aruba Access Points nutzt, benötigt gestaffeltes WiFi: einfachen, kostenlosen Zugang für Standard-Gäste und High-Speed-Zugang für Loyalty-Mitglieder. Wie sollten das Captive Portal und das Netzwerk konfiguriert werden?
Richten Sie eine einzelne Gäste-SSID im gesamten Gebäude ein. Konfigurieren Sie das Captive Portal so, dass es über eine API in das Property Management System (PMS) des Hotels integriert wird. Bieten Sie auf dem Portal zwei Authentifizierungsoptionen an: "Mit Zimmernummer und Name anmelden" und "Mit Loyalty-Daten anmelden". Wenn sich ein Loyalty-Mitglied authentifiziert, fragt das Portal das PMS ab, verifiziert den Status und sendet ein RADIUS CoA an den Aruba-Controller. Die RADIUS-Antwort enthält ein Aruba-User-Role VSA, das dem Benutzer eine Rolle mit hoher Bandbreite zuweist (z. B. 50 Mbit/s Downstream, 20 Mbit/s Upstream). Standard-Gäste erhalten eine standardmäßig ratenbegrenzte Rolle (5 Mbit/s Downstream, 2 Mbit/s Upstream). Beide Benutzertypen verbinden sich mit derselben SSID und demselben VLAN, erhalten jedoch unterschiedliche Bandbreitenrichtlinien, die vom Controller erzwungen werden.
Eine nationale Einzelhandelskette mit 500 Standorten möchte Gäste-WiFi einführen, um E-Mail-Adressen für Marketingzwecke zu erfassen. Die Rechtsabteilung hat Bedenken hinsichtlich der DSGVO-Konformität geäußert. Wie sollte der Consent-Flow im Portal gestaltet werden?
Gestalten Sie ein Portal mit einem einzigen E-Mail-Eingabefeld. Implementieren Sie unter dem Feld zwei separate Kontrollkästchen. Kontrollkästchen 1 (Pflichtfeld, standardmäßig nicht ausgewählt): "Ich akzeptiere die Nutzungsbedingungen und die Datenschutzrichtlinie. Ich verstehe, dass meine Gerätedaten verarbeitet werden, um den Netzwerkzugang bereitzustellen." Kontrollkästchen 2 (optional, standardmäßig nicht ausgewählt): "Ich stimme zu, Marketing-Kommunikation, Angebote und Werbeaktionen per E-Mail zu erhalten." Konfigurieren Sie das Backend so, dass Zeitstempel, IP-Adresse, MAC-Adresse und der Status beider Kontrollkästchen für jede Sitzung protokolliert werden. Speichern Sie diesen Consent-Audit-Trail in einem DSGVO-konformen Datenspeicher mit einer Aufbewahrungsfrist, die auf das Marketingprogramm abgestimmt ist (in der Regel 24 Monate ab der letzten Interaktion). Integrieren Sie die E-Mail-Adressen der Anmeldungen aus Kontrollkästchen 2 direkt über eine API in das CRM.
Übungsfragen
Q1. Der IT-Leiter eines Stadions berichtet, dass in der Halbzeitpause das Captive Portal für Tausende von Benutzern gleichzeitig nicht geladen werden kann, obwohl die WiFi-Signalstärke im gesamten Stadion stark ist. Was ist der wahrscheinlichste architektonische Engpass und wie sieht die Behebung aus?
Hinweis: Berücksichtigen Sie die Dienste, die ein Gerät benötigt, bevor es überhaupt die Portalseite anfordern kann. Die Signalstärke ist hierbei nicht der einschränkende Faktor.
Musterlösung anzeigen
Der wahrscheinlichste Engpass ist die Erschöpfung des DHCP-Pools oder eine Überlastung des DNS-Resolvers. Wenn sich Tausende von Geräten gleichzeitig verbinden, muss jedes eine IP-Adresse über DHCP beziehen und die URL des OS-Captivity-Probes über DNS auflösen, bevor das Portal geladen werden kann. Wenn der DHCP-Pool zu klein dimensioniert ist oder der DNS-Server das Abfragevolumen nicht bewältigen kann, gerät der Prozess ins Stocken, bevor der Benutzer überhaupt etwas sieht. Behebung: Dimensionieren Sie den DHCP-Pool für Spitzenwerte bei den gleichzeitigen Verbindungen (nicht für den Durchschnitt), legen Sie eine kurze Lease-Zeit von 15 bis 30 Minuten fest, um Adressen schnell wiederzuverwenden, und stellen Sie einen dedizierten DNS-Resolver für das Gästenetzwerk mit ausreichender Kapazität für Spitzenabfrageraten bereit.
Q2. Sie stellen ein Captive Portal in einem Krankenhaus-Warteraum bereit. Das Hauptziel ist die Bereitstellung von Internetzugang für Patienten und Besucher. Es gibt kein Marketingziel. Welche Authentifizierungsmethode sollten Sie wählen und was sind die Auswirkungen auf die Compliance?
Hinweis: Wägen Sie den Aufwand für den Benutzer gegen den Wert der erfassten Daten ab. Bedenken Sie, was passiert, wenn Sie personenbezogene Daten erfassen, die Sie eigentlich nicht benötigen.
Musterlösung anzeigen
Click-Through (nur Allgemeine Geschäftsbedingungen) ist die richtige Wahl. Es liefert eine Conversion-Rate von 90 bis 95 % bei minimalem Aufwand. Da kein Marketingziel verfolgt wird, führt die Erfassung personenbezogener Daten wie E-Mail-Adressen zu DSGVO-Compliance-Verpflichtungen (Rechtsgrundlage, Datenminimierung, Aufbewahrungsrichtlinien, Auskunftsrechte der betroffenen Personen), ohne einen geschäftlichen Mehrwert zu bieten. Im Gesundheitswesen ist das Reputationsrisiko einer Datenschutzverletzung, die personenbezogene Daten von Patienten oder Besuchern betrifft, besonders hoch. Click-Through beschränkt die Datenerfassung auf MAC-Adresse und Zeitstempel, was für das Netzwerkmanagement im Rahmen des berechtigten Interesses ausreicht.
Q3. Ein Einzelhändler möchte Google und Apple Social Logins auf seinem Captive Portal anbieten. Sein Netzwerk nutzt Cisco Meraki Access Points. Welche Netzwerkkonfiguration ist für die Funktion des Social Logins zwingend erforderlich und welches Fallback-Risiko besteht?
Hinweis: Wie erreicht das Gerät den Identitätsanbieter, bevor es Internetzugang hat? Was passiert, wenn der Anbieter seine Bedingungen ändert?
Musterlösung anzeigen
Sie müssen den Walled Garden auf dem Meraki Access Controller so konfigurieren, dass die Authentifizierungsdomänen für beide Anbieter auf der Whitelist stehen: accounts.google.com und zugehörige Google OAuth-Endpunkte sowie appleid.apple.com und zugehörige Apple-Authentifizierungsendpunkte. Ohne diese Einträge blockiert das Quarantäne-VLAN die OAuth-Anfrage und der Social Login schlägt im Hintergrund fehl. Das Fallback-Risiko besteht in einer Änderung der API des Anbieters: Wenn Google oder Apple ihre OAuth-Bedingungen oder API-Endpunkte ändern, bricht der Authentifizierungsfluss für alle Benutzer ab, die diese Methode nutzen. Richten Sie immer die Erfassung von E-Mail-Adressen als parallele Authentifizierungsoption ein, damit die Benutzer über ein Fallback ohne OAuth verfügen.
Q4. Ein Konferenzzentrum-Betreiber möchte SMS OTP als primäre Authentifizierungsmethode für eine dreitägige Veranstaltung mit erwarteten 8.000 eindeutigen Anmeldungen pro Tag nutzen. Welche Kostenauswirkungen sollten vor der Entscheidung für diese Methode kalkuliert werden?
Hinweis: SMS OTP verursacht Kosten pro Nachricht. Berechnen Sie die Gesamtsumme bei hoher Skalierung und berücksichtigen Sie die Auswirkungen auf die Conversion-Rate.
Musterlösung anzeigen
Bei 8.000 Anmeldungen pro Tag über drei Tage verarbeiten Sie 24.000 SMS-Nachrichten. Bei einem typischen britischen Mobilfunktarif von 2 bis 5 Pence pro Nachricht liegen die Kosten für die Veranstaltung zwischen £480 und £1.200. Wenn die Teilnehmer aus dem Ausland kommen, steigen die Kosten erheblich (in einigen Märkten auf bis zu 10 bis 15 Pence pro Nachricht). Darüber hinaus liegen die Conversion-Rates bei SMS OTP bei 45 bis 55 %, was bedeutet, dass etwa 4.400 bis 4.800 der 8.000 erwarteten Anmeldungen erfolgreich abgeschlossen werden. Die verbleibenden Teilnehmer benötigen eine alternative Methode. Kalkulieren Sie die Kosten pro Nachricht, berücksichtigen Sie die Conversion-Rate und stellen Sie sicher, dass eine Fallback-Methode (Erfassung von E-Mail-Adressen oder Click-Through) für Benutzer verfügbar ist, die die SMS-Verifizierung nicht abschließen.
Weiterlesen in dieser Reihe
Captive Portal für Ruijie: Einrichtung mit Purple Gäste-WiFi
Wie das Cloud-Gäste-WiFi von Purple über Web-Authentifizierung und RADIUS auf Ruijie RG Series Access Points aufsetzt, konfiguriert über die Befehlszeile, und wo Sie die genauen Einrichtungsschritte finden.
B2B Captive Portals gestalten: Erfassung von registrierten Namen und Unternehmensdaten
Dieser Leitfaden bietet IT-Managern und Betreibern von Veranstaltungsorten ein herstellerneutrales technisches Framework für das Design von B2B Captive Portals. Er beschreibt im Detail, wie Registrierungsfelder strukturiert werden sollten, um registrierte Namen und Unternehmensdaten zu erfassen, um hohe Ausfüllraten zu gewährleisten, während gleichzeitig die GDPR-Konformität gewahrt und Account-Level-Intelligence aufgebaut wird.
Captive Portal Architektur: Sicherheit, Umleitung und Best Practices
Ein definitives technisches Referenzdokument zur Captive Portal-Architektur in Unternehmen. Dieser Leitfaden beleuchtet Netzwerkisolierung, DNS-Umleitung, RADIUS-Authentifizierung und Sicherheitskonformität für IT-Entscheider, die sichere, datenreiche Gäste-WiFi-Netzwerke bereitstellen.