Zum Hauptinhalt springen
Deutsch

Der ultimative Leitfaden zur OpenRoaming-Architektur und -Authentifizierung

Dieser Leitfaden bietet eine maßgebliche technische Referenz zur WBA OpenRoaming-Architektur und deckt die Passpoint-Basis, die RADIUS-Federation, die RadSec-mTLS-Sicherheit sowie eine schrittweise Bereitstellungsanleitung für Unternehmensstandorte ab. Er vermittelt IT-Managern, Netzwerkarchitekten und Standortbetreibern das Wissen, um Captive Portals durch eine nahtlose, sichere und konforme Wi-Fi-Konnektivität zu ersetzen, die einen messbaren ROI liefert.

📖 7 Min. Lesezeit📝 1,706 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 9 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
[00:00:00] Host: Willkommen beim Purple Technical Briefing. Ich bin Ihr Moderator, und heute tauchen wir tief in eine Technologie ein, die die Funktionsweise von Enterprise-Wi-Fi grundlegend neu strukturiert: WBA OpenRoaming. Wenn Sie IT-Manager, Netzwerkarchitekt oder Leiter des Veranstaltungsbetriebs sind, kennen Sie den Frust über das herkömmliche Captive Portal. Die manuellen Logins, die Support-Tickets, die frustrierten Gäste. Heute besprechen wir, wie OpenRoaming diese Reibungspunkte durch ein sicheres, mobilfunkähnliches Roaming-Erlebnis ersetzt. Lassen Sie uns einen Blick auf die Architektur werfen. [00:01:00] Host: Um OpenRoaming zu verstehen, müssen wir uns die zugrunde liegende Mechanik ansehen. Es basiert auf dem Fundament von Passpoint oder Hotspot 2.0, das auf dem Standard IEEE 802.11u aufbaut. Dies ermöglicht es einem Gerät – Ihrem Smartphone oder Laptop –, den Access Point mithilfe des Access Network Query Protocol (ANQP) geräuschlos abzufragen. Das Gerät fragt: „Unterstützt du meine Anmeldedaten?“, indem es nach bestimmten Roaming Consortium Organization Identifiers (RCOIs) sucht. Wenn es eine Übereinstimmung gibt, verbindet sich das Gerät automatisch. Keine Splash-Pages. Kein Eingreifen des Benutzers. Es ist, ganz einfach gesagt, das Mobilfunk-Roaming-Erlebnis, das endlich über Wi-Fi bereitgestellt wird. [00:02:30] Host: Die Wireless Broadband Alliance (WBA) verwaltet die globale Föderation, die dies ermöglicht. Stellen Sie sich das wie ein Vertrauensnetzwerk vor. Auf der einen Seite haben Sie Identity Provider – Organisationen, die Anmeldedaten an Benutzer ausgeben. Das kann ein Mobilfunkanbieter, eine Unternehmens-IT-Abteilung oder ein Treueprogramm sein. Auf der anderen Seite haben Sie Access Network Provider – die Veranstaltungsorte, die die physische Wi-Fi-Infrastruktur betreiben. Hotels, Stadien, Einzelhandelsketten, Flughäfen. Die WBA-Föderation ist das Bindeglied, das sie verbindet und es einem Benutzer, der von seinem Mobilfunkanbieter autorisiert wurde, ermöglicht, sich nahtlos in einem Hotel zu authentifizieren, das er noch nie zuvor besucht hat. [00:04:00] Host: Aber wie verifiziert das Netzwerk des Veranstaltungsorts diese Anmeldedaten tatsächlich sicher, und das über Tausende von verschiedenen Anbietern hinweg weltweit? Hier kommt die RADIUS-Föderation ins Spiel. OpenRoaming löst das Skalierbarkeitsproblem mithilfe der dynamischen DNS-Erkennung, die in RFC 7585 definiert ist. Wenn eine Authentifizierungsanfrage Ihren RADIUS-Proxy erreicht, führt dieser eine DNS-NAPTR-Abfrage für den Realm des Benutzers durch, um den RadSec-Server des Identity Providers dynamisch zu finden. Anschließend stellt er eine RadSec-Verbindung her – das ist RADIUS über TLS, definiert in RFC 6614 –, die durch gegenseitiges TLS unter Verwendung von Zertifikaten gesichert ist, die von der WBA-eigenen Public-Key-Infrastruktur ausgestellt wurden. Das bedeutet, dass zwei beliebige Parteien in der Föderation eine vertrauenswürdige, verschlüsselte Verbindung herstellen können, ohne sich jemals zuvor begegnet zu sein. [00:05:30] Host: Lassen Sie uns über Sicherheit und Compliance sprechen, denn hier bietet OpenRoaming ein wirklich bahnbrechendes Upgrade. Bei einem Captive Portal ist Ihr Datenverkehr über die Luft unverschlüsselt, bis Sie die Anmeldung abgeschlossen haben. OpenRoaming nutzt 802.1X-Authentifizierung und WPA3-Enterprise. Sie erhalten eine Verschlüsselung ab dem allerersten Paket. Darüber hinaus verhindert die gegenseitige Zertifikatsauthentifizierung Evil-Twin-Angriffe, bei denen ein betrügerischer Access Point Ihren Netzwerknamen imitiert. Da das Gerät das Zertifikat des Netzwerks vor dem Verbindungsaufbau überprüft, kann ein gefälschtes Netzwerk diese Überprüfung schlichtweg nicht bestehen. [00:07:00] Host: Aus Sicht der GDPR verwendet OpenRoaming pseudonyme Identifikatoren anstelle von rohen PII. Sie wissen, dass der Benutzer authentifiziert und legitimiert ist, minimieren aber Ihren Daten-Fußabdruck. Für die PCI-DSS-Compliance in Einzelhandelsumgebungen erzwingen Sie eine dynamische VLAN-Zuweisung über Ihren RADIUS-Server, um Gastbenutzer in ein isoliertes Netzwerksegment zu leiten und sie so vollständig von Ihren Point-of-Sale-Systemen zu trennen. [00:08:00] Host: Nun zu den Fallstricken bei der Implementierung. Erstens: Überprüfen Sie, ob Ihre Hardware Passpoint unterstützt. Zweitens: Das Zertifikats-Lifecycle-Management ist kritisch – wenn Ihre WBA-PKI-Zertifikate ablaufen, schlägt RadSec unbemerkt fehl. Richten Sie ein Monitoring mit mindestens 60 Tagen Vorwarnzeit ein. Drittens: Stellen Sie sicher, dass die DNS-Infrastruktur absolut stabil ist, da die dynamische Erkennung vollständig von einer zuverlässigen NAPTR- und SRV-Eintragsauflösung abhängt. [00:08:45] Host: Schnelle Fragerunde. Kann ich die Bandbreite pro Benutzer immer noch steuern? Ja – die Authentifizierung ist föderiert, aber die Autorisierung erfolgt lokal. Ihr RADIUS-Server wendet QoS-Profile über herstellerspezifische Attribute an. Funktioniert es für IoT-Geräte? Ja – bildschirmlose Geräte, die über ein MDM mit einem Passpoint-Profil bereitgestellt werden, verbinden sich automatisch. Wie hoch ist der ROI? Veranstaltungsorte berichten von einer Reduzierung der Wi-Fi-Support-Tickets um 70 bis 80 Prozent. Bei der Bereitstellung im RAI Amsterdam verbrauchten 18.000 Teilnehmer in vier Tagen 77 Terabyte an Daten. [00:09:45] Host: Zusammenfassend lässt sich sagen: OpenRoaming ist der moderne Standard für sichere Gastkonnektivität. Implementieren Sie die abrechnungsfreie RCOI, überprüfen Sie Ihre Access Points auf Passpoint-Unterstützung, evaluieren Sie Ihre RADIUS-Infrastruktur auf RadSec-Fähigkeit und arbeiten Sie mit einem WBA-Broker zusammen. Vielen Dank, dass Sie an diesem Purple Technical Briefing teilgenommen haben. Bis zum nächsten Mal, halten Sie Ihre Netzwerke sicher und Ihre Verbindungen nahtlos.

header_image.png

Executive Summary

Das traditionelle Captive Portal-Modell für Gäste-Wi-Fi ist veraltet. Seit Jahrzehnten verlassen sich Veranstaltungsorte auf manuelle Anmeldebildschirme, die Benutzer frustrieren, schlechte Sicherheit bieten und einen erheblichen Support-Overhead verursachen. WBA OpenRoaming stellt einen grundlegenden architektonischen Wandel dar, der die manuelle Authentifizierung durch eine globale Föderation sicherer, automatischer Verbindungen ersetzt, die auf Passpoint (Hotspot 2.0)-Technologie und 802.1X Authentication: Securing Network Access on Modern Devices basieren.

Für IT-Manager und Netzwerkarchitekten ist die Bereitstellung von OpenRoaming nicht mehr nur eine Frage der Verbesserung der Benutzererfahrung — es ist eine strategische Notwendigkeit, um die Netzwerksicherheit zu erhöhen, Support-Tickets zu reduzieren und durch eine höhere Netzwerkauslastung einen messbaren ROI zu erzielen. Dieser Leitfaden bietet eine umfassende technische Referenz für die Implementierung der OpenRoaming-Architektur, die Navigation in der RADIUS-Föderation und die Gewährleistung der Einhaltung moderner Sicherheitsstandards in Unternehmens-, Retail - und Hospitality -Umgebungen.

Technical Deep-Dive: Die OpenRoaming-Architektur

Die OpenRoaming-Architektur arbeitet über eine Vertrauensföderation, die von der Wireless Broadband Alliance (WBA) verwaltet wird. Sie schließt die Lücke zwischen Identity Providers (IDPs), die Anmeldedaten ausstellen, und Access Network Providers (ANPs), die die Wi-Fi-Infrastruktur betreiben.

Die Passpoint-Basis

Das Herzstück von OpenRoaming ist der Passpoint-Standard der Wi-Fi Alliance (basierend auf IEEE 802.11u). Passpoint ermöglicht es Geräten, sich automatisch bei Wi-Fi-Netzwerken anzumelden und zu authentifizieren. Wenn ein Gerät einen OpenRoaming-fähigen Veranstaltungsort betritt, verwendet es das Access Network Query Protocol (ANQP), um den Access Point vor der Zuordnung nach unterstützten Roaming Consortium Organization Identifiers (RCOIs) abzufragen. Diese Erkennung vor der Zuordnung ist für den Benutzer völlig unsichtbar — das Gerät stellt im Hintergrund fest, ob es über gültige Anmeldedaten für das Netzwerk verfügt, bevor es einen Verbindungsversuch initiiert.

Die RADIUS-Föderation und RadSec

Klassisches Carrier-Wi-Fi-Roaming basiert auf statischen RADIUS-Routing-Tabellen, die durch bilaterale Vereinbarungen gefüllt und über IPSec-Tunnel gesichert werden. Dieses Modell lässt sich nicht auf eine globale, offene Föderation skalieren. OpenRoaming löst dies durch die Nutzung von dynamischer DNS-basierter Peer-Erkennung (RFC 7585) und RadSec (RADIUS über TLS, RFC 6614).

Wenn ein Access Point eine Authentifizierungsanfrage empfängt, führt der lokale RADIUS-Proxy eine DNS-NAPTR-Abfrage für den Realm des Benutzers durch, um den RadSec-Server des IDPs dynamisch zu ermitteln. Die Signalisierung wird mittels Mutual TLS (mTLS) mit Zertifikaten gesichert, die von der vierstufigen Public-Key-Infrastruktur (PKI) der WBA ausgestellt wurden. Dies gewährleistet eine End-to-End-Sicherheit zwischen dem Access Network und dem Identity Provider, ohne dass vorab bilaterale Vereinbarungen getroffen werden müssen.

Roaming Consortium Organization Identifiers (RCOIs)

OpenRoaming verwendet spezifische RCOIs, um Richtlinienkontrollen und Abrechnungsmodelle zu übertragen. Diese werden im 802.11-Beacon und über ANQP angekündigt:

RCOI-Wert Modell Beschreibung
5A-03-BA Gebührenfrei (Settlement-Free) Der ANP stellt die Verbindung für den IDP kostenlos zur Verfügung. Das dominierende Modell für Unternehmen, Einzelhandel und Hotellerie.
BA-A2-D0 Gebührenpflichtig (Settled) Der ANP erwartet eine finanzielle Vergütung. Wird für Premium-Verbindungsszenarien verwendet.

Die 12 signifikantesten Bits des RCOI können auch zur Definition von Richtlinien für Closed Access Groups (CAG) verwendet werden, sodass ANPs und IDPs Quality-of-Service-Stufen, Identitätsprüfungsstufen und Datenschutzanforderungen auf granularer Ebene verhandeln können.

architecture_overview.png

Implementierungsleitfaden

Die Bereitstellung von OpenRoaming erfordert die Abstimmung zwischen Netzwerk-Hardware, RADIUS-Infrastruktur und Identitätsmanagement. Eine umfassende Übersicht über die Hardware-Anforderungen finden Sie in unserem Leitfaden Wireless Access Points Definition Your Ultimate 2026 Guide .

Schritt 1: Bewertung der Infrastrukturbereitschaft

Überprüfen Sie, ob Ihre Access Points und Wireless-LAN-Controller Passpoint/Hotspot 2.0 (IEEE 802.11u) unterstützen. Die meisten für Unternehmen konzipierten Geräte, die nach 2018 hergestellt wurden, bieten native Unterstützung. Konfigurieren Sie eine dedizierte SSID, die mit WPA3-Enterprise (oder WPA2-Enterprise für die Kompatibilität mit älteren Geräten) gesichert ist. Diese SSID wird den OpenRoaming-Datenverkehr übertragen und muss mit den entsprechenden ANQP-Einstellungen konfiguriert werden, um Ihre RCOI auszusenden.

Schritt 2: WBA-Mitgliedschaft und Broker-Einbindung

Um an der OpenRoaming-Federation teilzunehmen, muss Ihre Organisation entweder direkt der WBA beitreten oder einen autorisierten WBA-Broker beauftragen. Der Broker weist Ihrer Organisation eine WBA-Identität (WBAID) zu, stellt Ihre RadSec-Zertifikate unter der WBA-PKI aus und konfiguriert Ihre DNS-NAPTR/SRV-Einträge, um die dynamische Erkennung zu ermöglichen. Dies ist der grundlegende Schritt, der Ihre Infrastruktur mit der globalen Federation verbindet.

Schritt 3: Konfiguration der RADIUS-Infrastruktur

Ihr RADIUS-Server muss so konfiguriert sein, dass er Authentifizierungsanfragen an die OpenRoaming-Federation weiterleitet. Dies umfasst die Konfiguration von RadSec, um mTLS-Verbindungen unter Verwendung Ihrer von der WBA ausgestellten Zertifikate herzustellen. Der RADIUS-Proxy muss in der Lage sein, DNS-NAPTR-Abfragen durchzuführen, um IDP-Endpunkte dynamisch aufzulösen. Cloud-basierte RADIUS-Lösungen können diesen Schritt erheblich vereinfachen, indem sie die komplexe DNS-Erkennung und das Zertifikatsmanagement abstrahieren.

Schritt 4: Strategie zur Gerätebereitstellung

Die Bereitstellung von Passpoint-Profilen auf den Benutzergeräten ist der wichtigste betriebliche Aspekt. Es stehen vier Ansätze zur Verfügung:

Methode Bestens geeignet für Mechanismus
MDM-Push Verwaltete Unternehmensgeräte Intune, Jamf oder Workspace ONE pushen Profile automatisch
Online-Registrierung (OSU) Kundenorientierte Bereitstellungen Standardisierte Selbstregistrierung über das Passpoint-OSU-Protokoll
App-basierte Bereitstellung Mitglieder von Treueprogrammen Mobile App installiert das Passpoint-Profil nach der Authentifizierung
QR-Code-Registrierung Check-in im Gastgewerbe Physischer QR-Code löst die Profilinstallation aus

Schritt 5: Richtlinienkonfiguration und VLAN-Segmentierung

Konfigurieren Sie Ihren WLAN-Controller so, dass er die entsprechenden OpenRoaming-RCOIs über ANQP ausstrahlt. Implementieren Sie eine dynamische VLAN-Zuweisung über RADIUS-Attribute, um sicherzustellen, dass der Gastdatenverkehr von den Unternehmensnetzwerken isoliert ist. Dies ist für die PCI-DSS-Compliance in Einzelhandels- Umgebungen unverzichtbar und Best Practice in allen Branchen.

deployment_checklist.png

Best Practices für Sicherheit und Compliance

OpenRoaming verbessert die Sicherheitslage von Veranstaltungsort-Wi-Fi grundlegend und führt von offenen, unverschlüsselten Netzwerken hin zu robuster Sicherheit auf Enterprise-Niveau. Für einen tieferen Einblick in die zugrunde liegenden Authentifizierungsmechanismen lesen Sie bitte 802.1X-Authentifizierung: Sicherung des Netzwerkzugriffs auf modernen Geräten .

WPA3-Enterprise und 802.1X-Authentifizierung

Im Gegensatz zu Captive Portals, bei denen der Datenverkehr bis zur Anmeldung unverschlüsselt ist, nutzt OpenRoaming WPA3-Enterprise-Verschlüsselung vom allerersten Paket an. Der gegenseitige 802.1X-Authentifizierungsprozess stellt sicher, dass das Gerät des Benutzers die Identität des Netzwerks kryptografisch überprüft, bevor Anmeldedaten übertragen werden. Dadurch wird das Risiko von „Evil Twin“-Rogue-Access-Points eliminiert – eine Schwachstelle, die herkömmliche Captive Portals nicht beheben können.

Datenschutz und GDPR-Compliance

Herkömmliche Captive Portals erfassen häufig umfangreiche personenbezogene Daten (PII), was zu erheblichen Belastungen bei der GDPR-Compliance führt. OpenRoaming authentifiziert Benutzer über pseudonyme Identifikatoren wie das Attribut „Chargeable-User-Identity“ (CUI). Der Veranstaltungsort überprüft, ob der Benutzer legitim ist, ohne zwingend dessen rohe PII zu erfassen. Dies steht im Einklang mit den Grundsätzen der GDPR-Datenminimierung und reduziert den Umfang Ihrer Datenverarbeitungspflichten.

Netzsegmentierung und PCI DSS

Für Retail -Umgebungen ist die PCI DSS-Compliance von entscheidender Bedeutung. Der OpenRoaming-Datenverkehr muss strikt von Point-of-Sale-Systemen (POS) und Unternehmensnetzwerken segmentiert werden. Nutzen Sie die dynamische VLAN-Zuweisung über RADIUS-Attribute, um den Gastdatenverkehr sofort nach der Authentifizierung zu isolieren. Platzieren Sie ihn in einer VRF-Instanz mit nur einer Standard-Internetroute und expliziten Deny-Regeln für den gesamten internen RFC 1918-Adressraum.

comparison_chart.png

Fallstudien: OpenRoaming in der Praxis

Fallstudie 1: RAI Amsterdam Convention Centre (Events & Konferenzen)

Das RAI Amsterdam Convention Centre, eines der größten Veranstaltungszentren Europas mit jährlich 1,5 Millionen Gästen, hat 2023 Wi-Fi 6 mit WBA OpenRoaming eingeführt. Auf der Cisco Live Europe hatten über 18.000 Teilnehmer Zugang zu nahtloser OpenRoaming-Konnektivität und verbrauchten in vier Tagen mehr als 77 Terabyte an Daten. Die Teilnehmer verbrachten durchschnittlich sechs Stunden im Netzwerk. Die Bereitstellung zeigte, wie OpenRoaming den Verbindungsansturm eliminiert, der normalerweise beim Öffnen der Veranstaltungstore auftritt, indem die Authentifizierungslast gleichmäßig über die Föderation verteilt wird. Für Transport -Knotenpunkte und Konferenzzentren ist diese Fallstudie der definitive Proof of Concept.

Fallstudie 2: Einzelhandelskette Delhaize (Retail)

Die belgische Einzelhandelsgruppe Delhaize hat OpenRoaming in ihrem gesamten Filialnetz eingeführt, um die Konnektivität für Kunden zu verbessern und die Abläufe zu optimieren. Die Einführung löste anhaltende Probleme mit den Konversionsraten von Captive Portals – eine Herausforderung, vor der alle Retail -Betreiber stehen, da Kunden zunehmend standardmäßig mobile Daten nutzen, anstatt sich mit manuellen Anmeldeseiten zu befassen. Durch die Ermöglichung einer automatischen, sicheren Konnektivität für Nutzer von Kundenbindungs-Apps konnte Delhaize die Wi-Fi-Nutzung steigern und die Qualität der Analysedaten in den Filialen verbessern, was Entscheidungen zur Sortimentsgestaltung und Flächennutzung direkt unterstützt. Dies deckt sich mit dem breiteren Trend, WiFi Analytics in Retail-Intelligence-Plattformen zu integrieren.

Fehlerbehebung & Risikominderung

Obwohl OpenRoaming das Endnutzererlebnis vereinfacht, ist die zugrunde liegende Infrastruktur komplex. Netzwerkarchitekten müssen proaktiv gängige Fehlerszenarien entschärfen:

RadSec Certificate Expiry is the most critical operational risk. The mTLS connections rely on WBA PKI certificates. A lapsed certificate will immediately break federation routing, causing silent authentication failures. Implement monitoring with at least 60 days' advance warning and a defined renewal process.

DNS Resolution Failures are the second most common cause of OpenRoaming outages. Dynamic peer discovery depends on reliable DNS resolution of NAPTR and SRV records. Ensure your RADIUS proxies have redundant, high-performance DNS forwarders configured and test DNS resolution as part of your regular network health checks.

Legacy Device Compatibility must be planned for during transition. While modern iOS, Android, Windows, and macOS devices natively support Passpoint, older devices do not. Maintain a parallel traditional Guest WiFi network during the transition period to ensure universal coverage.

RADIUS Proxy Misconfiguration can cause realm-based routing failures. Ensure your proxy correctly handles the EAP-Identity realm and that your DNS NAPTR records are correctly formatted for RFC 7585 discovery. Test with multiple IDP realms before go-live.

ROI & Business Impact

The business case for OpenRoaming extends far beyond technical elegance. Venue operators can expect measurable returns across several vectors:

Metric Typical Outcome Source
Wi-Fi support ticket reduction 70–80% decrease WBA deployment reports
Wi-Fi adoption rate increase 40–50% increase WBA airport deployment data
Data consumption per user Significantly higher vs. captive portal RAI Amsterdam case study
PII compliance risk Substantially reduced GDPR pseudonymous ID model

By adopting OpenRoaming, venues provide the Modern Hospitality WiFi Solutions Your Guests Deserve , transitioning Wi-Fi from a frustrating utility into a seamless, invisible enabler of the digital experience. The integration with WiFi Analytics platforms becomes more valuable as higher attach rates produce richer, more representative data sets. For organisations exploring the broader network modernisation picture, the The Core SD WAN Benefits for Modern Businesses provides complementary context on how OpenRoaming fits within a modern, software-defined network architecture.

The Healthcare sector also stands to benefit significantly, with OpenRoaming enabling secure, automatic connectivity for visiting clinicians and medical IoT devices — without the compliance risks of open guest networks or the operational overhead of per-device captive portal management.

Schlüsseldefinitionen

Passpoint (Hotspot 2.0)

Ein Zertifizierungsprogramm der Wi-Fi Alliance auf Basis von IEEE 802.11u, das es Geräten ermöglicht, Wi-Fi-Netzwerke mithilfe vorkonfigurierter Anmeldedaten automatisch und ohne Benutzereingriff zu erkennen und sich zu authentifizieren.

Die grundlegende Technologie, die das nahtlose OpenRoaming-Erlebnis auf dem Endgerät ermöglicht. Ohne Passpoint-Unterstützung sowohl auf dem AP als auch auf dem Gerät kann OpenRoaming nicht funktionieren.

RadSec

Ein Protokoll (RFC 6614), das RADIUS-Pakete über eine TCP- und TLS-Verbindung transportiert und so eine verschlüsselte, zuverlässige und authentifizierte Übertragung von Authentifizierungssignalen gewährleistet.

Wird zur Absicherung des Authentifizierungsverkehrs über das öffentliche Internet zwischen dem RADIUS-Proxy des Standorts und der globalen OpenRoaming-Federation verwendet. Ersetzt das veraltete IPSec-Tunnelmodell.

RCOI (Roaming Consortium Organization Identifier)

Eine 3-Oktett- oder 5-Oktett-Kennung, die von Access Points in 802.11-Beacons und ANQP-Antworten übertragen wird, um anzuzeigen, welche Roaming-Federations und Abrechnungsrichtlinien das Netzwerk unterstützt.

Geräte lesen den RCOI aus, um festzustellen, ob sie über gültige Anmeldedaten für eine Verbindung verfügen, bevor sie eine Authentifizierung versuchen. Der abrechnungsfreie RCOI (5A-03-BA) ist der Standard für Unternehmensbereitstellungen.

ANQP (Access Network Query Protocol)

Ein IEEE 802.11-Protokoll, das von Geräten verwendet wird, um vor der Zuordnung Netzwerkinformationen von Access Points abzufragen – einschließlich unterstützter RCOIs, des Standortnamens und der NAI-Realm-Liste.

Ermöglicht es Geräten, im Hintergrund zu prüfen, ob ein Netzwerk ihre Anmeldedaten unterstützt, ohne den Benutzer zu stören oder einen Verbindungsversuch einzuleiten.

Identity Provider (IDP)

Eine Organisation, die Benutzeridentitäten verwaltet und die für die OpenRoaming-Authentifizierung verwendeten Passpoint-Anmeldedaten (Zertifikate oder Profile) ausstellt.

Mobilfunkanbieter, IT-Abteilungen von Unternehmen und Treueprogramme fungieren als IDPs. Der IDP authentifiziert den Benutzer und signalisiert das Ergebnis über die RADIUS-Federation an den ANP.

Access Network Provider (ANP)

Der Standort oder die Organisation, die die physische Wi-Fi-Infrastruktur betreibt, OpenRoaming-RCOIs ausstrahlt und lokale Zugriffsrichtlinien durchsetzt.

Hotels, Stadien, Einzelhandelsgeschäfte und Unternehmensbüros fungieren als ANPs. Der ANP steuert, worauf authentifizierte Benutzer zugreifen können, unabhängig davon, welcher IDP sie authentifiziert hat.

WBA PKI

Die von der Wireless Broadband Alliance verwaltete vierstufige Public-Key-Infrastruktur, die zur Ausstellung der für RadSec-Verbindungen zwischen Federation-Teilnehmern erforderlichen mTLS-Zertifikate verwendet wird.

Bietet das grundlegende kryptografische Vertrauen, das es Tausenden von unabhängigen Netzwerken ermöglicht, sich ohne vorherige bilaterale Vereinbarungen sicher zu verbinden.

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten, unter Verwendung von EAP-Methoden (Extensible Authentication Protocol).

Das robuste Sicherheits-Framework, das OpenRoaming zugrunde liegt. Es verhindert unbefugten Zugriff und ermöglicht die WPA3-Enterprise-Verschlüsselung ab dem ersten Datenpaket.

Chargeable-User-Identity (CUI)

Ein RADIUS-Attribut (RFC 4372), das eine pseudonyme, stabile Kennung für einen Benutzer über mehrere Sitzungen hinweg bereitstellt, ohne dessen tatsächliche Identität gegenüber dem Zugangsnetzwerk offenzulegen.

Ermöglicht es Standorten, eindeutige Besucher für Analysezwecke zu erfassen und gleichzeitig die Erfassung personenbezogener Daten zu minimieren, was direkt zur Einhaltung der GDPR-Datenminimierung beiträgt.

Ausgearbeitete Beispiele

Ein Luxushotel mit 500 Zimmern nutzt derzeit ein Captive Portal, bei dem sich die Gäste mit ihrer Zimmernummer und ihrem Nachnamen anmelden müssen. Das Hotel verzeichnet ein hohes Supportaufkommen und schlechte Bewertungen der Gästezufriedenheit in Bezug auf das Wi-Fi. Sie möchten OpenRoaming implementieren, befürchten jedoch, die Möglichkeit zu verlieren, die Bandbreite für VIP-Gäste und Mitglieder von Treueprogrammen zu staffeln.

Das Hotel sollte OpenRoaming unter Verwendung der gebührenfreien RCOI (5A-03-BA) bereitstellen, wobei die Treue-App des Hotels als Identity Provider fungiert. Wenn sich ein VIP-Mitglied authentifiziert, enthält die RADIUS-Access-Accept-Antwort des IDPs herstellerspezifische Attribute (VSAs), die den WLAN-Controller des Hotels anweisen, den Benutzer einem Premium-QoS-Profil und einem dedizierten VLAN mit hoher Bandbreite zuzuweisen. Standardgäste, die über einen Drittanbieter-IDP (z. B. ihren Mobilfunkanbieter) authentifiziert werden, erhalten das Standard-QoS-Profil. Der RADIUS-Server des Hotels fungiert als Richtliniendurchsetzungspunkt und übersetzt die vom IDP bereitgestellten Identitätsattribute in lokale Netzwerkrichtlinien.

Kommentar des Prüfers: Dieser Ansatz trennt die Authentifizierung elegant von der Autorisierung. OpenRoaming übernimmt das nahtlose, sichere Onboarding (das „Wer“), während lokale RADIUS-Richtlinien sicherstellen, dass der Standort die granulare Kontrolle über die Netzwerkressourcen behält (das „Was“). Dies erfüllt sowohl das betriebliche Ziel, Reibungsverluste zu reduzieren, als auch die geschäftliche Anforderung, die Dienststaffelung beizubehalten. Es demonstriert zudem ein zentrales Architekturprinzip: Der IDP beweist die Identität, aber der ANP setzt die Richtlinie durch.

Eine große Einzelhandelskette mit 200 Filialen möchte OpenRoaming einführen, um die Konnektivität der Kunden zu verbessern und ihre WiFi-Analytics-Plattform mit umfassenderen Besucherdaten zu speisen. Ihr Sicherheitsteam ist besorgt über die PCI-DSS-Konformität und das Risiko, dass Gastgeräte auf das Unternehmensnetzwerk oder Kassensysteme zugreifen.

Die Einzelhandelskette muss als Voraussetzung für die Bereitstellung eine strikte Netzwerksegmentierung implementieren. Die OpenRoaming-SSID muss auf der Zugriffsebene (dem AP oder dem Distribution-Switch) einem isolierten Gast-VLAN zugewiesen werden. Der RADIUS-Server sollte eine dynamische VLAN-Zuweisung erzwingen, um sicherzustellen, dass alle über OpenRoaming authentifizierten Benutzer in eine VRF-Instanz mit nur einer Standardroute zum Internet und expliziten ACL-Deny-Regeln für den gesamten internen RFC-1918-Adressraum platziert werden. Der OpenRoaming-RADIUS-Proxy sollte in einer DMZ bereitgestellt werden, ohne direkten Routing-Pfad zum Unternehmensnetzwerk. Ein vierteljährlicher Penetrationstest sollte überprüfen, ob die Segmentierungsgrenze standhält.

Kommentar des Prüfers: Dies ist der Branchenstandard für Einzelhandelsumgebungen. Durch die Durchsetzung der Segmentierung am Edge und die Nutzung von VRFs wird der OpenRoaming-Datenverkehr vollständig von der Karteninhaber-Datenumgebung (CDE) entkoppelt. Dies stellt sicher, dass die Bereitstellung den Umfang ihres PCI-DSS-Audits nicht erhöht. Die Platzierung des RADIUS-Proxys in der DMZ ist ein kritisches Detail, das bei vielen Bereitstellungen übersehen wird – sie stellt sicher, dass Angreifer selbst bei einer Kompromittierung der RADIUS-Infrastruktur nicht auf das Unternehmensnetzwerk zugreifen können.

Übungsfragen

Q1. An Ihrem Standort kommt es bei einer Untergruppe von OpenRoaming-Benutzern zu häufigen stillen Authentifizierungsfehlern. Paket-Captures bestätigen, dass die EAP-Identity-Antwort vom AP empfangen wird, aber kein RADIUS Access-Request jemals den Identity Provider erreicht. Was ist die wahrscheinlichste architektonische Fehlerquelle und wie würden Sie diese diagnostizieren?

Hinweis: Berücksichtigen Sie die Schritte, die der RADIUS-Proxy ausführen muss, um das richtige Ziel für den Realm des jeweiligen Benutzers zu finden, bevor er die Authentifizierungsanfrage weiterleiten kann.

Musterlösung anzeigen

Die wahrscheinlichste Fehlerquelle ist die DNS-Auflösung am RADIUS-Proxy. OpenRoaming basiert auf dynamischer Erkennung (RFC 7585), was erfordert, dass der Proxy einen DNS NAPTR/SRV-Lookup für den in der EAP-Identity angegebenen Realm durchführt. Wenn DNS fehlschlägt, kann der Proxy die IP-Adresse des RadSec-Servers des IDP nicht ermitteln, was zu einem stillen Fehler führt. Diagnostizieren Sie dies, indem Sie einen manuellen NAPTR-Lookup vom RADIUS-Proxy für den betroffenen Realm ausführen und überprüfen, ob die korrekten SRV-Einträge zurückgegeben werden und die IP des RadSec-Servers auf Port 2083 erreichbar ist.

Q2. Ein IT-Leiter eines Krankenhauses möchte OpenRoaming einführen, um die Konnektivität für Gastärzte und medizinische IoT-Geräte zu verbessern, fordert jedoch, dass der gesamte Gast-Datenverkehr ab dem Zeitpunkt der Verbindung über die Luft verschlüsselt sein muss, um den internen Sicherheitsrichtlinien zu entsprechen. Derzeit wird ein Captive Portal mit WPA2-Personal (PSK) verwendet. Erfüllt OpenRoaming diese Anforderung und wie unterscheidet sich das Verschlüsselungsmodell?

Hinweis: Vergleichen Sie den Zeitpunkt der Verschlüsselung bei Captive Portals mit der 802.1X-basierten Authentifizierung und berücksichtigen Sie, was mit dem Datenverkehr geschieht, bevor die Anmeldung am Captive Portal abgeschlossen ist.

Musterlösung anzeigen

Ja, OpenRoaming erfüllt diese Anforderung vollständig. Bei einem Captive Portal ist der Datenverkehr über die Luft unverschlüsselt, bis der Benutzer den Anmeldevorgang abschließt – was ein Sicherheitsfenster öffnet. OpenRoaming verwendet die 802.1X-Authentifizierung und WPA3-Enterprise (oder WPA2-Enterprise), wodurch unmittelbar nach erfolgreicher Authentifizierung und vor der Übertragung von Benutzerdaten über einen 4-Wege-Handshake eine eindeutige, kryptografisch sichere verschlüsselte Sitzung aufgebaut wird. Jede Sitzung verwendet einen eindeutigen PMK, der aus dem EAP-Austausch abgeleitet wird, was eine Verschlüsselung pro Sitzung gewährleistet, die weitaus stärker ist als das gemeinsam genutzte PSK-Modell.

Q3. Sie konfigurieren den WLAN-Controller für eine neue Stadion-Bereitstellung, die an der abrechnungsfreien (settlement-free) OpenRoaming-Federation teilnehmen wird. Ein Kollege schlägt vor, auch die abgerechnete (settled) RCOI auszustrahlen, um die Kompatibilität zu maximieren. Welche Auswirkungen hat die gleichzeitige Ausstrahlung beider RCOIs und was ist Ihre Empfehlung?

Hinweis: Berücksichtigen Sie die kommerziellen und operativen Auswirkungen der abgerechneten (settled) RCOI und wie Geräte die RCOI-Abstimmung priorisieren.

Musterlösung anzeigen

Die Ausstrahlung der abgerechneten RCOI (BA-A2-D0) neben der abrechnungsfreien RCOI (5A-03-BA) ist technisch möglich, birgt jedoch erhebliche kommerzielle Risiken. Die abgerechnete RCOI signalisiert den Identity Providern, dass der ANP eine finanzielle Vergütung für die Konnektivität erwartet. Dies kann IDPs davon abhalten, ihren Benutzern die Verbindung zu erlauben, da ihnen Kosten entstehen würden. Für ein Stadion, das eine maximale Benutzerakzeptanz und nahtlose Konnektivität anstrebt, ist die Ausstrahlung von ausschließlich der abrechnungsfreien RCOI der richtige Ansatz. Die abgerechnete RCOI sollte nur verwendet werden, wenn eine spezifische kommerzielle Abrechnungsvereinbarung mit den entsprechenden IDPs besteht.

Weiterlesen in dieser Reihe

So konfigurieren Sie SCEP für die automatisierte Zertifikatsregistrierung für Enterprise WiFi

Dieser Leitfaden erklärt, wie Sie SCEP (Simple Certificate Enrollment Protocol) für die automatisierte Zertifikatsregistrierung für Enterprise WiFi konfigurieren. Er deckt die gesamte Architektur von PKI und NDES bis hin zur MDM-Profilbereitstellung und RADIUS-Validierung ab. Er richtet sich an IT-Manager, Netzwerkarchitekten und CTOs in Hotels, Einzelhandelsketten, Stadien, Konferenzzentren und Organisationen des öffentlichen Sektors, die über Pre-Shared Keys hinausgehen und eine skalierbare, identitätsbasierte 802.1X EAP-TLS-Authentifizierung implementieren müssen. Die hardwareunabhängige Cloud-Overlay-Plattform von Purple lässt sich direkt in diese Architektur integrieren und bietet die Guest- und BYOD-WiFi-Ebene, die parallel zu Ihrem zertifikatsauthentifizierten Mitarbeiternetzwerk läuft.

Leitfaden lesen →

The Enterprise Guide to SCEP: Deploying Simple Certificate Enrollment Protocol for Automated Campus WiFi Security

Dieser technische Leitfaden bietet einen definitiven Architektur-Entwurf und eine schrittweise Implementierungsstrategie für die Bereitstellung von WiFi-Zertifikaten in Unternehmen mittels SCEP. Er behandelt die entscheidenden Unterschiede zwischen SCEP und PKCS, die für den Erfolg erforderliche genaue Bereitstellungsreihenfolge sowie praxiserprobte Strategien zur Risikominderung für IT-Verantwortliche.

Leitfaden lesen →

So implementieren Sie SCEP für die automatisierte WiFi-Zertifikatsregistrierung

Dieser Leitfaden erklärt, wie Sie SCEP (Simple Certificate Enrollment Protocol) für die automatisierte WiFi-Zertifikatsregistrierung in Unternehmensstandorten implementieren. Er deckt den gesamten architektonischen Entwurf ab – vom PKI-Design und der MDM-Integration bis hin zur obligatorischen dreistufigen Bereitstellungssequenz – und zeigt IT-Managern und Netzwerkarchitekten, wie sie gemeinsame Anmeldeinformationen eliminieren, das Lebenszyklusmanagement von Zertifikaten automatisieren und PCI DSS- und GDPR-Anforderungen in großem Maßstab erfüllen.

Leitfaden lesen →