Zum Hauptinhalt springen
Deutsch

Konfiguration der Captive Portal Weiterleitung auf Enterprise-Netzwerk-Controllern

Dieser maßgebliche Leitfaden beschreibt die technische Architektur und die herstellerspezifischen Konfigurationsschritte, die für die Implementierung einer Captive Portal Weiterleitung auf Enterprise-Netzwerk-Controllern erforderlich sind. Er bietet IT-Teams praktische Anleitungen zur Konfiguration von Walled Gardens, zur Integration der RADIUS-Authentifizierung und zur Gewährleistung der Einhaltung von GDPR und PCI DSS.

📖 6 Min. Lesezeit📝 1,397 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Welcome to the Purple Technical Briefing. I'm your host, and over the next ten minutes we're going straight into one of the most searched-for, least well-documented topics in enterprise WiFi: configuring captive portal redirection on network controllers. If you've ever searched for "configurar controlador portal cautivo" and come back empty-handed, this is the briefing you needed. We're covering the full picture - the technical architecture, the controller-by-controller configuration steps, the compliance requirements, and the real-world pitfalls that trip up even experienced network teams. Let's get into it. A captive portal is the mechanism that intercepts a guest device's first HTTP or HTTPS request after connecting to your WiFi network, and redirects it to a branded splash page before granting internet access. That splash page might ask for a social login, a form submission, a simple click-through acceptance of terms, or a RADIUS-backed credential check. The redirection itself is handled at the controller level - not the access point, not the firewall. The controller intercepts the unauthenticated client's traffic, applies a pre-authentication access control list - what we call a walled garden - and pushes the client's browser to your portal URL. Why does this matter commercially? Three reasons. First, compliance. Under GDPR, you are required to obtain explicit, informed consent before collecting personal data from visitors. A properly configured captive portal is your consent mechanism. Without it, you are collecting data without a lawful basis - and that is a regulatory exposure. Second, security. An open SSID with no authentication is a liability. Captive portal redirection, combined with VLAN segmentation and a RADIUS server, gives you per-session accountability. You know who connected, when, and from which device. Third, business intelligence. Every authenticated session is a first-party data point. Purple processes 440 million logins annually across 80,000 venues. That data - dwell time, visit frequency, demographic signals - is only available if your captive portal is correctly configured to capture and transmit it. Now let me walk you through the redirect flow, step by step. Step one: a guest device associates with your guest SSID. The controller assigns it an IP address via DHCP but places it in a restricted pre-authentication state. All traffic is blocked except for DNS and the walled garden domains you have explicitly permitted. Step two: the guest opens a browser. Their HTTP request hits the controller. The controller intercepts it and issues a 302 redirect to your portal URL. This is the core redirect mechanism. Step three: the guest's browser loads your splash page, hosted either on the controller itself or, more commonly in enterprise deployments, on an external cloud platform like Purple. Schritt vier: Der Gast authentifiziert sich – über Social Login, ein Formular oder Anmeldedaten. Das Portal sendet ein Autorisierungssignal zurück an den Controller, in der Regel über eine RADIUS Access-Accept-Nachricht oder einen MAC-Autorisierungs-Bypass. Schritt fünf: Der Controller verschiebt den Client aus dem Pre-Authentication-VLAN in das Post-Authentication-VLAN, entfernt die Weiterleitungsregel und gewährt Internetzugang. Dieser fünfstufige Ablauf ist bei allen gängigen Controller-Plattformen identisch. Der Unterschied liegt darin, wie Sie die einzelnen Schritte auf Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi und anderen konfigurieren. Gehen wir die wichtigsten Plattformen durch. Cisco Meraki. Meraki verwendet eine benutzerdefinierte Splash-Page, die vollständig über das Meraki Dashboard konfiguriert wird – es gibt kein CLI. Navigieren Sie zu Wireless, dann Access Control, wählen Sie Ihre Gäste-SSID aus, stellen Sie die Splash-Page auf "Sign-on with my RADIUS server" oder "Click-through" und geben Sie dann Ihre externe Portal-URL in das Feld Custom Splash URL ein. Der Walled Garden wird im Bereich Advanced Splash Settings konfiguriert – hier fügen Sie die IP-Adressen Ihres Portalservers hinzu, damit der Gast die Splash-Page vor der Authentifizierung erreichen kann. Die Details zum RADIUS-Server werden im RADIUS-Bereich eingetragen: Authentifizierung auf Port 1812, Accounting auf Port 1813. HPE Aruba. Unter ArubaOS konfigurieren Sie ein Captive Portal-Profil im AAA-Bereich, wobei Sie die Login-URL, die auf Ihren RADIUS-Server verweisende Servergruppe und die Weiterleitungs-URL angeben. Dieses Profil weisen Sie dann Ihrer SSID über das virtuelle AP-Profil zu. Die Pre-Authentication-Rolle – von Aruba als "Logon"-Rolle bezeichnet – enthält die ACL, die DNS, DHCP und den Zugriff auf den IP-Bereich Ihres Portalservers erlaubt. Nach der Authentifizierung weist der Controller die Rolle "authenticated" zu, die den vollen Internetzugang ermöglicht. Ruckus SmartZone verwendet für Captive Portal-Bereitstellungen einen Hotspot-WLAN-Typ. Stellen Sie unter der WLAN-Konfiguration den WLAN-Typ auf Hotspot ein, und konfigurieren Sie dann die Portal-URL, den RADIUS-Server für Authentifizierung und Accounting sowie die Walled-Garden-Einträge. Das Northbound Portal Interface verarbeitet den MAC-Autorisierungsfluss zwischen dem Portal und dem Controller. Juniper Mist nutzt einen Cloud-nativen Ansatz. Erstellen Sie unter Network und dann WLANs ein Gäste-WLAN und stellen Sie den Portal-Typ auf "External Captive Portal". Geben Sie Ihre Portal-URL ein und konfigurieren Sie die Details des RADIUS-Servers. Mist übergibt die Client-MAC, die AP-MAC und den SSID-Namen als URL-Parameter an das Portal. Ubiquiti UniFi. Navigieren Sie im UniFi Network Controller zu Settings, dann WiFi, wählen Sie Ihr Gästenetzwerk aus und aktivieren Sie unter Advanced Options die Guest Policy, um das Hotspot-Portal zu aktivieren. Stellen Sie den Portal-Typ auf "External" und geben Sie Ihre Portal-URL ein. Konfigurieren Sie den RADIUS-Server unter Profiles und dann RADIUS. Der Walled Garden ist das am häufigsten falsch konfigurierte Element bei Captive Portal-Bereitstellungen. Wenn Sie hier einen Fehler machen, sehen Ihre Gäste eine Fehlermeldung im Browser anstelle Ihrer Splash-Page. Der Walled Garden muss mindestens Folgendes zulassen: die IP-Adressen oder die Domain Ihres Portal-Servers, die IP-Adressen Ihres RADIUS-Servers, DNS-Auflösung auf Port 53 sowie DHCP auf Port 67 und 68. Wenn Ihr Portal Assets von einem CDN lädt – Schriftarten, Bilder, JavaScript –, müssen diese CDN-Domains ebenfalls im Walled Garden hinterlegt sein. Für Purple-Bereitstellungen stellen wir während des Onboardings die spezifischen IP-Bereiche und Domains für die Whitelist bereit. Die häufigste Fehlerursache ist ein Portal, das zwar den HTML-Frame lädt, aber Bilder nicht rendern oder JavaScript nicht ausführen kann, weil die CDN-Domains im Walled Garden fehlen. Hier dominieren zwei Compliance-Standards: GDPR und PCI DSS. Unter der GDPR muss Ihr Captive Portal einen klaren, spezifischen Einwilligungsmechanismus vorweisen, bevor personenbezogene Daten erfasst werden. Dies bedeutet separate, nicht vorab ausgewählte Kontrollkästchen für den WiFi-Zugang und die Marketing-Einwilligung. Sie dürfen diese nicht koppeln. Der Einwilligungsnachweis muss für Prüfungszwecke gespeichert und abrufbar sein. Die Plattform von Purple übernimmt dies automatisch und speichert die Einwilligungsnachweise für jede authentifizierte Sitzung. Unter PCI DSS muss Ihr Gäste-WiFi-Netzwerk von Ihrer Zahlungskartenumgebung isoliert sein, wenn an Ihrem Standort Kartenzahlungen verarbeitet werden. Dies erfordert ein dediziertes Gäste-VLAN mit Firewall-Regeln, die jegliches Routing zwischen dem Gästesegment und Ihrem POS-Netzwerk verhindern. PCI DSS Version 4.0, die im März 2024 verpflichtend wurde, erfordert mindestens alle sechs Monate Tests der Netzwerkersegmentierung. Lassen Sie mich Ihnen zwei konkrete Szenarien vorstellen. Szenario eins: Ein Hotel mit 350 Zimmern, das Cisco Meraki nutzt. Das Hotel möchte ein einfaches Click-Through-Portal durch ein gebrandetes Gästeerlebnis ersetzen, das E-Mail-Adressen für sein Treueprogramm erfasst. Die Konfiguration: Erstellen Sie eine dedizierte Gäste-SSID auf einem separaten VLAN mit reinem Internetzugang. Konfigurieren Sie die Meraki-Splash-Page so, dass sie auf die Portal-URL von Purple verweist. Richten Sie die RADIUS-Authentifizierung mit den RADIUS-Serverdaten von Purple ein. Konfigurieren Sie den Walled Garden mit den IP-Bereichen von Purple. Erstellen Sie im Purple-Dashboard eine gebrandete Splash-Page mit einem Formular zur Erfassung von Name, E-Mail und Zimmernummer sowie expliziten GDPR-Einwilligungskästchen. Verbinden Sie den Purple CRM-Connector mit der Marketing-Plattform des Hotels. Premier Inn hat dieses Modell in seinem gesamten Portfolio implementiert und konnte einen messbaren Anstieg der Direktbuchungsraten durch über WiFi gewonnene Gäste verzeichnen. Szenario zwei: eine regionale Einzelhandelskette mit 40 Filialen, die HPE Aruba nutzen. Der Einzelhändler benötigt ein einheitliches Gäste-WiFi-Erlebnis an allen Standorten sowie Footfall-Analysen zum Vergleich der Filialleistung. Stellen Sie Aruba Central bereit, um alle 40 Standorte über ein einziges Dashboard zu verwalten. Konfigurieren Sie eine Gäste-WLAN-Vorlage mit einem externen Captive Portal, das auf Purple verweist. Wenden Sie die Vorlage über die Gruppenrichtlinienfunktion von Aruba Central auf alle Standorte an. Konfigurieren Sie in Purple eine einzige Portalvorlage, die für alle Standorte gilt, mit standortspezifischen Analyse-Dashboards. Die Walled-Garden- und RADIUS-Konfiguration wird einmal in der Vorlage definiert und automatisch übertragen. Ergebnis: Das IT-Team verwaltet 40 Standorte über eine einzige Konsole. Das Marketing-Team erhält standortspezifische Footfall-Daten, Verweilzeit-Analysen und Raten wiederkehrender Besuche – alles über ein einziges Purple-Dashboard. Vier Fallstricke, die ich immer wieder sehe. Erstens: Fehler bei der HTTPS-Interzeption. Moderne Browser und mobile Betriebssysteme nutzen HTTPS-Probes, um Captive Portals zu erkennen. Wenn Ihr Controller den HTTPS-Traffic nicht abfangen kann – was ein gültiges Zertifikat für die Redirect-Domain erfordert –, schlägt die Probe lautlos fehl und der Gast sieht keine Weiterleitung. Die Lösung: Konfigurieren Sie die virtuelle Schnittstelle Ihres Controllers mit einem vertrauenswürdigen Zertifikat oder verwenden Sie reine HTTP-Probes auf Ihrer Gäste-SSID. Zweitens: DNS-Leakage. Wenn Ihre Pre-Authentication-ACL uneingeschränktes DNS zulässt, können Gäste DNS-Tunneling nutzen, um das Captive Portal vollständig zu umgehen. Beschränken Sie DNS ausschließlich auf Ihren zugewiesenen Resolver. Drittens: Abweichende Sitzungs-Timeouts. Wenn das Sitzungs-Timeout Ihres Controllers kürzer ist als die Gültigkeit des Sitzungs-Tokens Ihres Portals, werden Gäste mitten in der Sitzung zurück zum Portal geleitet. Gleichen Sie diese Werte an – typischerweise 24 Stunden für das Gastgewerbe und acht Stunden für den Einzelhandel. Viertens: Fehlendes Accounting. RADIUS-Accounting – die Nachrichten "Accounting-Start" und "Accounting-Stop" – teilt Ihrem Portal mit, dass eine Sitzung beendet wurde. Ohne konfiguriertes Accounting sind die Sitzungsdaten Ihres Portals ungenau und Ihre Analysen unzuverlässig. Schnelle Fragen, schnelle Antworten. Kann ich ein externes Portal mit jedem Controller verwenden? Ja, vorausgesetzt, der Controller unterstützt die Weiterleitung an ein externes Captive Portal – was alle von uns besprochenen Plattformen tun. Benötige ich einen RADIUS-Server, um ein Captive Portal zu betreiben? Nicht immer. Einfache Click-Through-Portale können den MAC-Authorisation-Bypass ohne einen vollwertigen RADIUS-Server nutzen. Für anmeldedatenbasierte oder Social-Login-Portale ist RADIUS jedoch der Standardmechanismus. Funktioniert ein Captive Portal mit WPA3? Ja. WPA3 übernimmt die Verschlüsselungsebene der drahtlosen Verbindung. Das Captive Portal übernimmt die Authentifizierungsebene. Sie arbeiten unabhängig voneinander und sind vollständig kompatibel. Wie lässt sich Purple in meinen bestehenden Controller integrieren? Purple fungiert als externer Portalserver. Sie leiten die Splash-URL Ihres Controllers auf den Portal-Endpunkt von Purple um, konfigurieren den Walled Garden mit den IP-Bereichen von Purple und richten RADIUS mithilfe der Serverdaten von Purple ein. Die Integration erfolgt nach demselben Schema, unabhängig davon, ob Sie Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist oder Ubiquiti UniFi nutzen. Zusammenfassend lässt sich sagen: Die Captive Portal-Weiterleitung wird auf Controller-Ebene und nicht auf dem Access Point konfiguriert. Die Kernkomponenten sind: die Splash-URL, die auf Ihr Portal verweist, der Walled Garden, der den Zugriff auf Ihren Portalserver ermöglicht, RADIUS für Authentifizierung und Accounting sowie die VLAN-Segmentierung zur Netzwerktrennung. Die Konfigurationsschritte unterscheiden sich je nach Anbieter, aber die Architektur ist einheitlich. Zur Einhaltung von Compliance-Richtlinien muss Ihr Portal eine GDPR-konforme Einwilligungserfassung und eine PCI-DSS-konforme Netzwerksegmentierung implementieren. WPA3 ist der aktuelle Standard für drahtlose Verschlüsselung und sollte Ihre Mindestanforderung bei jeder Neuimplementierung sein. Purple lässt sich nativ in Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet integrieren. Mit über 80.000 Standorten und 440 Millionen Logins im Jahr 2024 ist die Plattform herstellerunabhängig konzipiert – Ihre Wahl des Controllers schränkt Ihre Fähigkeit zur Erfassung von First-Party-Gästedaten oder zur Durchführung von Analysen nicht ein. Ihr nächster Schritt: Vergleichen Sie Ihre aktuelle Controller-Konfiguration mit der Checkliste für Walled Garden und RADIUS-Accounting in diesem Leitfaden. Wenn Sie ein neues Gäste-WiFi-Netzwerk einrichten, beginnen Sie mit den anbieterspezifischen Konfigurationsschritten für Ihre Controller-Plattform und binden Sie Purple als externes Portal ein. Vielen Dank fürs Zuhören. Das war das Purple Technical Briefing.

header_image.png

Executive Summary

Die Konfiguration einer Captive Portal-Weiterleitung auf einem Enterprise-Netzwerk-Controller ist eine grundlegende Voraussetzung für die Bereitstellung von sicherem, richtlinienkonformem Gäste-WiFi. Bei korrekter Konfiguration fängt der Controller nicht authentifizierten Client-Datenverkehr ab und sendet eine HTTP-302-Weiterleitung an ein externes Portal, was die Authentifizierung, die Erfassung der Einwilligung und die Netzwerksegmentierung ermöglicht. Bei einer Fehlkonfiguration führt dies zu unbemerkt fehlschlagenden Verbindungen, Sicherheitswarnungen im Browser und Compliance-Risiken.

Dieser Leitfaden bietet die technische Architektur und die herstellerspezifischen Konfigurationsschritte, die für die Bereitstellung externer Captive Portals auf Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist und Ubiquiti UniFi erforderlich sind. Wir beschreiben die Mechanismen des Weiterleitungs-Flows, die präzisen Anforderungen für die Walled-Garden-Konfiguration und die Integration von RADIUS für Authentifizierung und Accounting. Indem Sie diese Schritte befolgen, stellen Sie sicher, dass Ihr Gästenetzwerk die PCI-DSS-Segmentierungsanforderungen erfüllt, die explizite GDPR-Einwilligung einholt und First-Party-Daten sicher an Plattformen wie Purple weiterleitet.

Technischer Deep-Dive

Der Captive Portal-Weiterleitungsmechanismus arbeitet auf Ebene des Netzwerk-Controllers. Er basiert auf einer bestimmten Abfolge von Netzwerkstatusänderungen, um ein Client-Gerät abzufangen, zu authentifizieren und zu autorisieren.

architecture_overview.png

Der Weiterleitungs-Flow

  1. Assoziierung und DHCP: Ein Gästegerät assoziiert sich mit der Gäste-SSID. Der Controller weist über DHCP eine IP-Adresse zu, versetzt den Client jedoch in einen eingeschränkten Pre-Authentication-Status (häufig einem bestimmten Pre-Auth-VLAN oder einer bestimmten Rolle zugewiesen).
  2. Erzwingung des Walled Gardens: In diesem Pre-Authentication-Status wird der gesamte ausgehende Datenverkehr blockiert, mit Ausnahme von DNS (Port 53), DHCP (Ports 67 und 68) und Datenverkehr, der für bestimmte IP-Adressen oder Domains bestimmt ist, die in der Access Control List (ACL) definiert sind. Diese ACL wird als Walled Garden bezeichnet.
  3. Abfangen und Weiterleitung: Wenn der Gast einen Browser öffnet und eine HTTP-Anfrage initiiert, fängt der Controller die Anfrage ab. Anstatt den Datenverkehr in das Internet zu leiten, antwortet der Controller mit einem Statuscode HTTP 302 Found und leitet den Browser auf die URL Ihres externen Captive Portals weiter. Moderne Betriebssysteme nutzen automatische HTTPS-Probes (wie den Captive Network Assistant von Apple), um diese Weiterleitung zu erkennen und einen Pseudo-Browser zu starten.
  4. Authentifizierung: Der Gast interagiert mit der Splash-Page, die auf dem externen Portal (z. B. Purple) gehostet wird. Dies kann eine Anmeldung über ein soziales Netzwerk, das Ausfüllen eines Formulars oder ein einfacher Klick sein. Nach Abschluss kommuniziert das Portal mit dem Controller, um die Sitzung zu autorisieren.
  5. Autorisierung und Accounting: Das Autorisierungssignal wird in der Regel über eine RADIUS Access-Accept-Nachricht oder über eine herstellerspezifische API gesendet. Der Controller empfängt dieses Signal, versetzt den Client in den Zustand nach der Authentifizierung (häufig ein anderes VLAN), entfernt die Umleitungsregel und gewährt Internetzugang. Der Controller sendet dann eine RADIUS Accounting-Start-Nachricht, um die Sitzungsdauer und den Datenverbrauch zu protokollieren.

Implementierungshandbuch

Die grundlegende Architektur ist bei allen Herstellern konsistent, aber die Konfigurationssyntax unterscheidet sich erheblich. Im Folgenden finden Sie die Schritte für die führenden Enterprise-Plattformen.

vendor_comparison_chart.png

Cisco Meraki

Cisco Meraki konfiguriert Captive Portals vollständig über das Meraki Dashboard.

  1. Navigieren Sie zu Wireless > Access Control und wählen Sie Ihre Gäste-SSID aus.
  2. Wählen Sie unter Splash page die Option Sign-on with my RADIUS server (für anmeldedatenbasierte Authentifizierung) oder Click-through.
  3. Geben Sie im Feld Custom Splash URL die von Purple bereitgestellte URL Ihres externen Portals ein.
  4. Geben Sie unter RADIUS die IP-Adressen der primären und sekundären RADIUS-Server sowohl für die Authentifizierung (Port 1812) als auch für das Accounting (Port 1813) zusammen mit dem Shared Secret ein.
  5. Scrollen Sie zu Advanced Splash Settings, um den Walled Garden zu konfigurieren. Fügen Sie die IP-Adressen oder Domains Ihres Portal-Servers und alle erforderlichen CDNs hinzu.

HPE Aruba

Die Aruba-Konfiguration umfasst das Definieren eines Captive Portal-Profils und das Zuweisen zu einer Rolle.

  1. Navigieren Sie in ArubaOS zu Configuration > Authentication > L3 Authentication.
  2. Erstellen Sie ein neues Captive Portal Authentication Profile. Geben Sie die Login URL ein, die auf Ihre Purple Splash-Page verweist.
  3. Erstellen Sie eine Server Group, die Ihre RADIUS-Server enthält, und weisen Sie diese dem Captive Portal-Profil zu.
  4. Navigieren Sie zu Configuration > Security > Roles. Bearbeiten Sie die Rolle vor der Authentifizierung (oft als logon bezeichnet). Stellen Sie sicher, dass die ACL DHCP-, DNS- und HTTP/HTTPS-Traffic zu Ihren Walled Garden-IP-Adressen zulässt und das Captive Portal-Profil auf allen anderen HTTP-Traffic anwendet.
  5. Weisen Sie die Rolle logon als anfängliche Rolle in Ihrem AAA-Profil für die Gäste-SSID zu.

Ruckus SmartZone

Ruckus verwendet einen speziellen WLAN-Typ für Hotspot-Bereitstellungen.

  1. Navigieren Sie zu WLANs und erstellen Sie ein neues WLAN. Stellen Sie den WLAN Type auf Hotspot (WISPr) ein.
  2. Wählen Sie unter Authentication Options die Option External RADIUS Server und geben Sie Ihre Serverdaten für Authentifizierung und Accounting ein.
  3. Wählen Sie unter Hotspot Portal die Option External und geben Sie Ihre Portal-URL ein.
  4. Konfigurieren Sie den Walled Garden, indem Sie die erforderlichen IP-Adressen oder Domains hinzufügen.
  5. Ruckus verlässt sich auf sein Northbound Portal Interface (NPI), um den Autorisierungs-Flow zu verarbeiten. Dies erfordert die Konfiguration der NPI-Einstellungen, um die Kommunikation von Ihrem Portal-Server zuzulassen.

Ubiquiti UniFi

UniFi bietet eine unkomplizierte Benutzeroberfläche für externe Portale.

  1. Gehen Sie im UniFi Network Controller zu Settings > WiFi und wählen Sie Ihr Gastnetzwerk aus.
  2. Aktivieren Sie unter Advanced Options die Guest Policy.
  3. Gehen Sie zu Settings > Guest Control. Wählen Sie unter Portal Type die Option External Portal Server und geben Sie Ihre Portal-URL ein.
  4. Fügen Sie unter Access Control die erforderlichen IP-Adressen zur Liste Pre-Authorization Access (dem Walled Garden) hinzu.
  5. Konfigurieren Sie die RADIUS-Server-Details unter Profiles > RADIUS und wenden Sie das Profil auf das Gastnetzwerk an.

Best Practices

1. Walled Garden Konfiguration

Der Walled Garden ist die kritischste Fehlerquelle bei Captive Portal-Bereitstellungen. Wenn der Walled Garden unvollständig ist, kann der Browser des Gastes die Landingpage nicht laden, was zu einem leeren Bildschirm oder einem Timeout-Fehler führt.

Sie müssen den Zugriff auf folgende Elemente explizit erlauben:

  • Die IP-Adressen oder Domains des primären Portal-Servers.
  • Die IP-Adressen des RADIUS-Servers.
  • Alle Content Delivery Networks (CDNs), die vom Portal zum Laden von Schriftarten, Bildern oder JavaScript verwendet werden.
  • Identity-Provider-Domains, wenn Social Login verwendet wird (z. B. facebook.com, google.com).

2. Netzwerksegmentierung für PCI DSS

Wenn Ihr Standort Kartenzahlungen verarbeitet, erfordert die PCI-DSS-Compliance eine strikte Isolierung des Gastnetzwerks von der Umgebung der Karteninhaberdaten. Verlassen Sie sich nicht ausschließlich auf die SSID-Trennung. Sie müssen ein dediziertes Gast-VLAN auf Controller- oder Switch-Ebene konfigurieren, mit Firewall-Regeln, die das Routing zwischen dem Gast-VLAN und internen Unternehmens- oder Point-of-Sale-Netzwerken (POS) explizit blockieren.

3. RADIUS Accounting

Konfigurieren Sie immer RADIUS Accounting. Während ein MAC-Autorisierungs-Bypass den Zugriff gewähren kann, ist RADIUS Accounting (Accounting-Start- und Accounting-Stop-Nachrichten) erforderlich, um die Sitzungsdauer und die Datennutzung genau zu verfolgen. Ohne Accounting meldet Ihre Analytics-Plattform ungenaue Verweilzeiten und fehlerhafte Zahlen gleichzeitiger Nutzer.

Fehlerbehebung & Risikominderung

HTTPS-Interzeptionsfehler

Moderne Betriebssysteme verwenden HTTPS-Probes, um Captive Portals zu erkennen. Wenn der Controller eine HTTPS-Anfrage abfängt, aber ein ungültiges oder nicht vertrauenswürdiges SSL-Zertifikat für die Weiterleitung vorweist, zeigt der Browser eine schwerwiegende Sicherheitswarnung an (z. B. "Ihre Verbindung ist nicht privat") und blockiert die Weiterleitung. Um dies zu verhindern, stellen Sie sicher, dass Ihr Controller mit einem gültigen, öffentlich vertrauenswürdigen SSL-Zertifikat für seine virtuelle Schnittstelle ausgestattet ist, oder konfigurieren Sie den Controller so, dass er nur HTTP-Verkehr für die erste Weiterleitung abfängt.

DNS-Leakage

Wenn die Pre-Authentication-ACL uneingeschränkten ausgehenden DNS-Verkehr zulässt, können versierte Nutzer DNS-Tunneling verwenden, um das Captive Portal zu umgehen und ohne Authentifizierung auf das Internet zuzugreifen. Reduzieren Sie dieses Risiko, indem Sie den ausgehenden DNS-Verkehr in der Pre-Authentication-Rolle auf Ihre festgelegten DNS-Resolver beschränken und allen anderen Datenverkehr über Port 53 blockieren.

Abweichungen bei Session-Timeouts

Wenn das auf dem Wireless-Controller konfigurierte Session-Timeout kürzer ist als die im externen Portal definierte Gültigkeitsdauer der Sitzung, werden Gäste abrupt getrennt und zur erneuten Authentifizierung gezwungen. Stellen Sie sicher, dass das Idle-Timeout und das absolute Session-Timeout des Controllers auf das gewünschte Gästeerlebnis abgestimmt sind (z. B. 24 Stunden für das Hotel- und Gastgewerbe, 8 Stunden für den Einzelhandel).

ROI & geschäftliche Auswirkungen

Die Bereitstellung eines ordnungsgemäß konfigurierten Captive Portals verwandelt das Gäste-WiFi von einem Betriebskostenfaktor in einen strategischen Vorteil. Durch die Integration von Enterprise-Controllern mit einer Intelligence-Ebene wie Purple können Standorte die ausdrückliche GDPR-Einwilligung einholen und wertvolle First-Party-Daten erfassen.

Purple verarbeitet jährlich 440 Millionen Logins an 80.000 Standorten. Diese Daten fließen direkt in CRM-Plattformen ein und ermöglichen zielgerichtete Marketingkampagnen auf der Grundlage tatsächlicher physischer Besuche. Beispielsweise können Betreiber im Bereich Retail die Besucherzahlen und die Rate wiederkehrender Besuche messen, während Hospitality -Standorte durch die Ansprache von Gästen nach dem Aufenthalt Direktbuchungen fördern können. Der ROI misst sich an einem höheren Customer Lifetime Value, einer verbesserten betrieblichen Effizienz durch präzise Besucheranalysen und der Reduzierung regulatorischer Risiken durch automatisiertes Compliance-Management.

Schlüsseldefinitionen

Captive Portal

Eine Webseite, die nicht authentifizierten Netzwerkverkehr abfängt und eine Benutzerinteraktion erfordert – z. B. das Akzeptieren von Bedingungen oder die Angabe von Anmeldedaten –, bevor der Internetzugang gewährt wird.

Wird in Enterprise-Netzwerken verwendet, um Sicherheitsrichtlinien durchzusetzen, First-Party-Daten zu erfassen und die Einhaltung gesetzlicher Vorschriften zu gewährleisten.

Walled Garden

Eine Zugriffskontrollliste (ACL), die auf nicht authentifizierte Clients angewendet wird und den Zugriff nur auf bestimmte IP-Adressen oder Domains erlaubt, die zum Laden des Captive Portal erforderlich sind.

Entscheidend für das korrekte Laden der Splash-Page; fehlende CDN-Domains im Walled Garden führen dazu, dass das Portal nicht ordnungsgemäß dargestellt wird.

RADIUS

Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) bietet.

Wird von Netzwerk-Controllern verwendet, um Gäste-Anmeldedaten mit einer externen Datenbank abzugleichen und Sitzungsmetriken zu protokollieren.

VLAN-Segmentierung

Die Praxis der Aufteilung eines physischen Netzwerks in mehrere logische Netzwerke zur Isolierung des Datenverkehrs.

Zwingend erforderlich für die Einhaltung von PCI DSS, um sicherzustellen, dass der WiFi-Datenverkehr von Gästen nicht in Zahlungskartenumgebungen geroutet werden kann.

HTTP 302 Redirect

Ein standardmäßiger HTTP-Antwortstatuscode, der angibt, dass die angeforderte Ressource vorübergehend an eine andere URL verschoben wurde.

Der Mechanismus, der von Netzwerk-Controllern verwendet wird, um die erste Webanfrage eines Gasts abzufangen und seinen Browser auf die Splash-Page umzuleiten.

IEEE 802.1X

Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle, der erfordert, dass sich Geräte authentifizieren, bevor sie Zugriff auf das Netzwerk erhalten.

Bietet Sicherheit auf Enterprise-Niveau, indem sichergestellt wird, dass jede Verbindung einzeln authentifiziert wird, häufig unterstützt durch einen RADIUS-Server.

WPA3-Enterprise

Das neueste Wi-Fi-Sicherheitsprotokoll, das eine robuste Verschlüsselung bietet und eine 802.1X-Authentifizierung erfordert.

Empfohlen für sichere Enterprise-Bereitstellungen, um vor Offline-Wörterbuchangriffen zu schützen und die Vertraulichkeit von Daten zu gewährleisten.

MAC Authorisation Bypass (MAB)

Eine Methode zur Gewährung des Netzwerkzugriffs basierend auf der MAC-Adresse des Client-Geräts, anstatt explizite Benutzeranmeldedaten anzufordern.

Wird häufig in Click-Through-Captive Portals verwendet, bei denen das Portal die MAC-Adresse registriert, nachdem der Benutzer den Nutzungsbedingungen zugestimmt hat.

Ausgearbeitete Beispiele

Ein Hotel mit 350 Zimmern muss ein gebrandetes Gäste-WiFi-Portal einrichten, das E-Mail-Adressen für sein Treueprogramm erfasst, die Einhaltung der GDPR gewährleistet und den Datenverkehr der Gäste vom Unternehmensnetzwerk isoliert.

Das IT-Team stellt Cisco Meraki APs bereit und konfiguriert eine dedizierte Gäste-SSID auf VLAN 100. Im Meraki-Dashboard stellen sie die Splash-Page auf „Sign-on mit meinem RADIUS-Server“ ein und geben die Portal-URL von Purple ein. Sie konfigurieren den Walled Garden so, dass er die IP-Bereiche und CDN-Domains von Purple enthält. Auf VLAN 100 werden Firewall-Regeln angewendet, die das Routing zum Unternehmens-VLAN blockieren, um die Einhaltung von PCI DSS zu gewährleisten. Auf der Purple-Plattform wird ein gebrandetes Portal mit einem Datenerfassungsformular und expliziten Kontrollkästchen für die GDPR-Einwilligung erstellt. Der Purple CRM-Connector wird so konfiguriert, dass die erfassten E-Mails direkt mit der Marketingplattform des Hotels synchronisiert werden.

Kommentar des Prüfers: Dieser Ansatz trägt sowohl den technischen als auch den kommerziellen Anforderungen korrekt Rechnung. Die VLAN-Segmentierung sorgt für Sicherheit und Compliance, während die Integration mit Purple die erforderliche Einwilligungserfassung und CRM-Synchronisation ermöglicht. Die Verwendung von RADIUS gewährleistet eine genaue Sitzungsverfolgung.

Eine regionale Einzelhandelskette mit 40 Filialen benötigt ein einheitliches Gäste-WiFi-Erlebnis an allen Standorten, mit zentraler Verwaltung und Besucheranalysen auf Filialebene.

Der Einzelhändler stellt HPE Aruba APs bereit, die über Aruba Central verwaltet werden. Es wird eine einzige Gäste-WLAN-Vorlage mit einem externen Captive Portal erstellt, das auf Purple verweist. Die Pre-Authentication-Rolle wird mit den erforderlichen Walled Garden ACLs konfiguriert. Diese Vorlage wird über die Gruppenrichtlinie von Aruba Central auf alle 40 Standorte angewendet. In Purple wird ein einheitliches Portaldesign bereitgestellt, wobei die Analyse-Dashboards so konfiguriert sind, dass sie die Daten nach den einzelnen Filialstandorten segmentieren.

Kommentar des Prüfers: Die Verwendung der vorlagenbasierten Konfiguration von Aruba Central verhindert Konfigurationsabweichungen an den 40 Standorten. Die Integration mit Purple ermöglicht es dem Marketingteam, Besucherzahlen und Verweildauer-Metriken über den gesamten Bestand hinweg über eine einzige Benutzeroberfläche zu vergleichen, was den Wert einer hardwareunabhängigen Intelligence-Ebene demonstriert.

Übungsfragen

Q1. Ein Veranstaltungsort berichtet, dass Gäste, die sich mit dem WiFi verbinden, einen leeren Bildschirm anstelle der gebrandeten Splash-Page sehen. Das Portal verwendet benutzerdefinierte Schriftarten, die auf Google Fonts gehostet werden. Was ist der wahrscheinlichste Konfigurationsfehler?

Hinweis: Überlegen Sie, welcher Datenverkehr zulässig ist, bevor sich ein Benutzer authentifiziert.

Musterlösung anzeigen

Der Walled Garden ist unvollständig. Die Google Fonts CDN-Domains wurden nicht zur Pre-Authentication-ACL hinzugefügt. Der Controller blockiert die Anfrage zum Laden der Schriftarten, wodurch das Rendern der Seite fehlschlägt.

Q2. Um PCI DSS zu erfüllen, erstellt ein IT-Manager eine neue SSID namens „Guest_WiFi“ im selben Subnetz wie das Unternehmensnetzwerk. Ist dies ausreichend?

Hinweis: PCI DSS erfordert die Isolierung der Karteninhaber-Datenumgebung.

Musterlösung anzeigen

Nein. Das Erstellen einer separaten SSID im selben Subnetz bietet keine Netzwerktrennung. Das Gastnetzwerk muss auf ein dediziertes VLAN mit Firewall-Regeln gelegt werden, die das Routing zum Unternehmens- oder POS-Netzwerk explizit verbieten.

Q3. Eine Einzelhandelskette stellt fest, dass ihr Analyse-Dashboard 1.000 Authentifizierungen pro Tag anzeigt, aber die Metrik für die durchschnittliche Verweildauer fehlt oder null ist. Welcher Konfigurationsschritt wurde vergessen?

Hinweis: Welches Protokoll ist für die Erfassung der Sitzungsdauer verantwortlich?

Musterlösung anzeigen

RADIUS Accounting wurde auf dem Controller nicht konfiguriert. Ohne die Accounting-Start- und Accounting-Stop-Nachrichten kann die Analyseplattform die Dauer der Sitzungen nicht berechnen.

Weiterlesen in dieser Reihe

Einrichtung eines Captive Portals auf Starlink: Ein Leitfaden für abgelegene und maritime Standorte

Dieser Leitfaden beschreibt detailliert, wie Sie die native Starlink-Hardware umgehen und ein Cloud-gesteuertes Captive Portal mithilfe von Enterprise-Routing-Geräten integrieren. Sie erfahren, wie Sie die CGNAT-Einschränkung überwinden, eine VLAN-Segmentierung erzwingen, Bandbreitenbeschränkungen von Satelliten verwalten und die Einhaltung gesetzlicher Vorschriften sicherstellen.

Leitfaden lesen →

Captive Portal Best Practices: Design für hohe Conversion und Compliance

Dieser technische Leitfaden bietet IT-Managern, Netzwerkarchitekten und Leitern des Standortbetriebs ein vollständiges Konzept für die Bereitstellung von Captive Portalen, die Netzwerksicherheit mit hoher User Conversion verbinden. Er deckt die gesamte Architektur ab, von der VLAN-Segmentierung und RADIUS-Authentifizierung bis hin zur GDPR-konformen Einwilligungserklärung und der Auswahl der Authentifizierungsmethode. Basierend auf den betrieblichen Erfahrungen von Purple in über 80.000 Standorten und 440 Millionen Logins im Jahr 2024 ist jede Empfehlung durch reale Bereitstellungsdaten untermauert.

Leitfaden lesen →

How to Optimize Captive Portals for Maximum Network Security and User Conversion

Dieser Leitfaden bietet eine vollständige technische Blaupause für die Optimierung von Captive Portals in Unternehmensstandorten und deckt Netzwerksegmentierungsarchitektur, die Auswahl von Authentifizierungsmethoden, GDPR-konformes Einwilligungsdesign und die Conversion-Optimierung ab. Er richtet sich an IT-Manager, Netzwerkarchitekten und CTOs in Hotels, Einzelhandelsketten, Stadien und Organisationen des öffentlichen Sektors, die Netzwerksicherheit mit der Erfassung von First-Party-Daten in Einklang bringen müssen. Purple betreibt eine Captive Portal-Infrastruktur an über 80.000 Standorten mit 440 Millionen Logins im Jahr 2024, und die hier vorgestellten Frameworks spiegeln diese betriebliche Erfahrung wider.

Leitfaden lesen →