Die Zukunft der nahtlosen Konnektivität: Passpoint und OpenRoaming erklärt

Dieser technische Leitfaden bietet IT-Entscheidern praxisnahe Einblicke für den Übergang von herkömmlichen Captive Portals zu Passpoint und OpenRoaming. Er beschreibt die zugrunde liegenden Standards IEEE 802.11u und WPA3, sichere Authentifizierungsabläufe sowie reale Bereitstellungsstrategien, um die nahtlose Konnektivität zu verbessern, die Sicherheit zu erhöhen und einen messbaren ROI in Unternehmensstandorten zu erzielen.

📖 5 Min. Lesezeit📝 1,207 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen zum technischen Briefing von Purple. Ich bin Ihr Moderator, und heute befassen wir uns mit einem entscheidenden Wandel im Design von Unternehmensnetzwerken: dem Übergang von traditionellen Captive Portals zu Passpoint und OpenRoaming. Wenn Sie IT-Manager, Netzwerkarchitekt oder Leiter des Veranstaltungsbetriebs sind, liefert Ihnen dieses zehnminütige Briefing die nötigen praktischen Erkenntnisse zur Bewertung und Implementierung dieser Technologien.

Beginnen wir mit dem Kontext. In den letzten fünfzehn Jahren basierte das Gäste-WiFi auf Captive Portals. Ein Nutzer betritt einen Veranstaltungsort, wählt eine SSID aus, wartet auf eine Splash-Page, gibt eine E-Mail-Adresse ein, akzeptiert die Bedingungen und geht schließlich online. Dieser Reibungspunkt ist nicht nur ein Ärgernis für den Gast, sondern auch eine verpasste Chance für den Veranstaltungsort. Wir sehen hohe Absprungraten, was bedeutet, dass Sie die Möglichkeit verlieren, mit diesem Nutzer zu interagieren oder Analysen zu erfassen. Darüber hinaus übertragen Captive Portals den Datenverkehr bis zur Anmeldung unverschlüsselt, was eine erhebliche Angriffsfläche darstellt.

Passpoint, auch bekannt als Hotspot 2.0, verändert dieses Paradigma grundlegend. Basierend auf dem Standard IEEE 802.11u ermöglicht Passpoint eine automatische, sichere Netzwerkerkennung und -authentifizierung. Wenn ein Gerät einen Passpoint-fähigen Veranstaltungsort betritt, nutzt es das Access Network Query Protocol (ANQP), um das Netzwerk im Hintergrund abzufragen. Es prüft, ob das Netzwerk seinen Identitätsanbieter unterstützt. Bei einer Übereinstimmung verbindet sich das Gerät automatisch über eine EAP-TLS- oder EAP-TTLS-Authentifizierung der Enterprise-Klasse. Der Nutzer muss absolut nichts tun. Es funktioniert einfach, genau wie beim Mobilfunk-Roaming.

Wo ordnet sich nun OpenRoaming ein? OpenRoaming baut auf Passpoint auf. Während Passpoint die zugrunde liegende Technologie bereitstellt, schafft OpenRoaming, verwaltet von der Wireless Broadband Alliance, die globale Föderation. Es verbindet Zugangsanbieter – wie Hotels, Stadien und Einzelhandelsgeschäfte – mit Identitätsanbietern wie Apple, Google, Mobilfunkanbietern und Identitätssystemen von Unternehmen. Das bedeutet, dass sich ein Gast an Ihrem Veranstaltungsort mit seiner bestehenden, vertrauenswürdigen Identität authentifizieren kann, ohne dass Sie eine komplexe RADIUS-Infrastruktur verwalten oder einzelne Roaming-Vereinbarungen aushandeln müssen.

Lassen Sie uns einen Blick auf die technische Architektur werfen. Das Ökosystem besteht aus vier Ebenen. Erstens die Endgeräte der Nutzer. Zweitens die Zugangsanbieter – das ist die Hardware Ihres Veranstaltungsorts. Drittens der Ökosystem-Broker, also die OpenRoaming-RADIUS-Föderation. Und viertens die Identitätsanbieter. Wenn ein Gerät versucht, eine Verbindung herzustellen, wird die Authentifizierungsanfrage sicher über die Föderation an den Identitätsanbieter des Nutzers weitergeleitet. Entscheidend ist, dass diese Kommunikation über RadSec (RADIUS über TLS) gesichert ist, wodurch sichergestellt wird, dass der Authentifizierungsverkehr nicht abgefangen werden kann.

Aus Sicherheitsaspekten sind die Vorteile tiefgreifend. Mit OpenRoaming wird die WPA3-Verschlüsselung bereits ab dem allerersten Paket aufgebaut. Es findet eine gegenseitige Authentifizierung statt; das Gerät überprüft das Zertifikat des Netzwerks vor der Verbindung, wodurch das Risiko von Evil-Twin-Angriffen vollständig eliminiert wird. Und da es die EAP-Authentifizierung nutzt, verlassen die Benutzerdaten niemals den Identity Provider. Der Standort erhält lediglich ein anonymisiertes Token.

Wie setzt man das nun in der Praxis um? Betrachten wir ein Szenario aus der Hotellerie. Eine globale Hotelkette möchte die Konnektivität für Gäste verbessern und gleichzeitig die Akzeptanz ihrer Loyalty-App steigern. Der traditionelle Ansatz wäre ein Captive Portal, das in ihr Property-Management-System integriert ist. Der moderne Ansatz ist die Bereitstellung von Passpoint, integriert mit OpenRoaming.

Die Bereitstellung erfolgt in Phasen. Zuerst konfigurieren Sie Ihren Wireless-LAN-Controller so, dass er den OpenRoaming Organizationally Unique Identifier (OUI) ausstrahlt. Anschließend richten Sie einen sicheren RadSec-Tunnel zu einem Cloud-RADIUS-Anbieter ein, der Teil der WBA-Federation ist. Einmal konfiguriert, verbindet sich jeder Gast mit einem OpenRoaming-Profil auf seinem Gerät sofort.

Aber genau hier stellt sich der Return on Investment ein. Das Hotel kann Passpoint-Profile direkt über seine Loyalty-App bereitstellen. Wenn ein Gast die App herunterlädt, wird das Profil installiert. Von diesem Moment an verbindet er sich automatisch, sobald er ein beliebiges Hotel der Kette betritt. Dies liefert dem Standort kontinuierliche, anonymisierte Standortdaten, die ein standortbasiertes Engagement ermöglichen. Wenn ein Gast in die Nähe des Spas geht, können Sie über die App ein gezieltes Angebot auslösen.

Für Einzelhandelsumgebungen sind die Vorteile gleichermaßen überzeugend. Barriereintensive Captive Portals führen oft dazu, dass Kunden die WiFi-Verbindung abbrechen, wodurch der Einzelhändler wertvolle Analysen zur Kundenfrequenz verliert. Mit OpenRoaming ist die Verbindung nahtlos, was die Verbindungsrate drastisch erhöht. Dies liefert präzise Daten über Verweilzeiten, wiederkehrende Besuche und Kundenlaufwege im gesamten Geschäft, die mit Point-of-Sale-Daten korreliert werden können, um die tatsächliche Wirkung von Ladenlayouts und Werbeaktionen zu messen.

Welche typischen Fehler sollten bei der Bereitstellung vermieden werden? Das am häufigsten beobachtete Problem ist ein mangelhaftes Zertifikatsmanagement. Da OpenRoaming stark auf EAP-TLS und gegenseitiger Authentifizierung basiert, muss Ihre Public-Key-Infrastruktur robust sein. Stellen Sie sicher, dass Sie Zertifikate von vertrauenswürdigen Zertifizierungsstellen verwenden und Ihre automatisierten Erneuerungsprozesse ordnungsgemäß funktionieren.

Ein weiterer Fehler ist die Vernachlässigung des Onboarding-Prozesses für nicht-föderierte Benutzer. Während OpenRoaming Benutzer mit bestehenden Profilen automatisch verarbeitet, benötigen Sie dennoch eine reibungslose Methode, um neue Benutzer an Bord zu holen. Hier kommt ein Online Sign-Up- (OSU) Server ins Spiel, der es Benutzern ermöglicht, bei ihrem ersten Besuch sicher ein Profil einzurichten.

Kommen wir nun zu einer schnellen Fragerunde basierend auf den häufigsten Fragen, die wir von Netzwerkarchitekten erhalten.

Frage eins: Ersetzt OpenRoaming mein Captive Portal vollständig?
Antwort: Nicht sofort. Die meisten Standorte nutzen während der Übergangsphase ein Hybridmodell. Sie strahlen Ihre herkömmliche offene SSID mit dem Captive Portal parallel zur Passpoint-fähigen SSID aus. Mit der Zeit, wenn immer mehr Geräte OpenRoaming nativ unterstützen, können Sie das offene Netzwerk schrittweise abschaffen.

Frage zwei: Welche Hardware benötige ich?
Antwort: Die gute Nachricht ist, dass die meisten in den letzten fünf Jahren veröffentlichten Enterprise-Access-Points Passpoint und 802.11u unterstützen. Sie benötigen höchstwahrscheinlich kein komplettes Hardware-Upgrade. Die Änderungen betreffen in erster Linie die Controller-Konfiguration und das RADIUS-Backend.

Frage drei: Sind die Standortdaten GDPR-konform?
Antwort: Ja, vorausgesetzt, Sie gehen korrekt damit um. OpenRoaming verwendet anonymisierte Identifikatoren. Der Standort erhält vom Identity Provider nicht die persönliche E-Mail-Adresse oder Telefonnummer des Nutzers, sondern nur ein persistentes Token. Dies vereinfacht die Compliance im Vergleich zur Speicherung personenbezogener Daten, die über ein Captive Portal erfasst wurden, erheblich.

Zusammenfassend lässt sich sagen, dass Passpoint und OpenRoaming die Zukunft des Enterprise-WiFi darstellen. Sie beseitigen die Hürden von Captive Portals, verbessern die Sicherheit durch WPA3 und gegenseitige Authentifizierung drastisch und erschließen durch höhere Verbindungsraten und bessere Analysen einen erheblichen geschäftlichen Mehrwert.

Ihre nächsten Schritte sollten darin bestehen, Ihre aktuelle drahtlose Infrastruktur auf Passpoint-Kompatibilität zu prüfen, Cloud-RADIUS-Anbieter zu evaluieren, die die WBA OpenRoaming-Federation unterstützen, und eine Pilotbereitstellung in einer kontrollierten Umgebung durchzuführen, beispielsweise in einer einzelnen Einzelhandelsfiliale oder einem Konferenzbereich eines Hotels.

Vielen Dank, dass Sie sich dieses Purple Technical Briefing angehört haben. Detailliertere Implementierungsleitfäden und Architekturdiagramme finden Sie im umfassenden schriftlichen Leitfaden, der diesen Podcast begleitet.

Wichtigste Erkenntnisse

✓Passpoint (802.11u) eliminiert Captive Portals, indem es Geräten ermöglicht, Netzwerke automatisch und sicher zu erkennen und sich mit ihnen zu verbinden.
✓OpenRoaming skaliert Passpoint durch die Schaffung einer globalen Föderation, die es Nutzern ermöglicht, sich mit bestehenden vertrauenswürdigen Identitäten (Apple, Google, Mobilfunkanbieter) zu authentifizieren.
✓Die Sicherheit wird durch WPA3-Verschlüsselung ab dem ersten Paket und gegenseitige Zertifikatsauthentifizierung drastisch verbessert, was „Evil Twin“-Angriffe neutralisiert.
✓Die Bereitstellung von Passpoint erfordert WPA3-fähige Access Points, einen Cloud-RADIUS-Anbieter und RadSec (RADIUS über TLS) für die sichere externe Kommunikation.
✓Die Integration der Passpoint-Profilbereitstellung in Kundenbindungs-Apps von Veranstaltungsorten führt zu höheren Netzwerk-Verbindungsraten und umfassenderen standortbasierten Analysen.
✓Veranstaltungsorte sollten während der Übergangsphase ein Hybridmodell betreiben und sowohl die alte Captive Portal SSID als auch die Passpoint SSID ausstrahlen, bis die Akzeptanz eine kritische Masse erreicht.
✓OpenRoaming vereinfacht die GDPR-Konformität, da es auf anonymisierten, persistenten Token basiert, anstatt personenbezogene Daten über Splash Pages zu erfassen.

Executive Summary

In den letzten zehn Jahren basierte das Gäste-WiFi auf Captive Portals – ein reibungsintensives Modell, das Nutzer frustriert, das Markenimage beeinträchtigt und erhebliche Sicherheitsrisiken birgt. Da Veranstaltungsorte in den Bereichen Gastgewerbe , Einzelhandel und im öffentlichen Sektor höhere Anmelderaten fordern, um WiFi Analytics und standortbasierte Dienste zu nutzen, verlagert sich die Branche hin zu einer nahtlosen, mobilfunkähnlichen Konnektivität.

Passpoint (Hotspot 2.0) und OpenRoaming repräsentieren die definitive Zukunft des drahtlosen Netzzugangs für Unternehmen. Basierend auf dem IEEE 802.11u-Standard und verwaltet von der Wireless Broadband Alliance (WBA), ermöglicht dieses Ökosystem eine berührungslose, sichere (WPA3) Authentifizierung. Durch die Föderation von Identitätsanbietern (wie Apple, Google und Mobilfunkanbietern) mit Zugangsnetzwerken können Veranstaltungsorte Gäste automatisch registrieren, ohne dass eine manuelle SSID-Auswahl oder Splash-Pages erforderlich sind. Dieser Leitfaden bietet IT-Managern und Netzwerkarchitekten einen praktischen, herstellerneutralen Fahrplan zur Evaluierung, Konzeption und Bereitstellung von Passpoint und OpenRoaming, um das Gäste-WiFi von einer Kostenstelle in ein sicheres, datenreiches Asset zu verwandeln.

Technischer Deep-Dive

Die Passpoint- und OpenRoaming-Architektur

Um diesen Wandel zu verstehen, müssen wir zwischen der zugrunde liegenden Technologie und der Föderation, die sie skaliert, unterscheiden.

Passpoint (Hotspot 2.0) ist eine Zertifizierung der Wi-Fi Alliance, die auf dem IEEE 802.11u-Standard basiert. Sie definiert den Mechanismus, mit dem Geräte Netzwerke automatisch erkennen und sich dort authentifizieren. Das Kernprotokoll ist das Access Network Query Protocol (ANQP), das es einem Client-Gerät ermöglicht, einen Access Point (AP) vor der Zuordnung abzufragen. Das Gerät gleicht die vom AP angekündigten Roaming Consortium Organizationally Unique Identifiers (OUIs) mit seinen lokal bereitgestellten Profilen ab. Wenn eine Übereinstimmung gefunden wird, initiiert das Gerät eine EAP-Verbindung (Extensible Authentication Protocol, typischerweise EAP-TLS oder EAP-TTLS).

OpenRoaming ist die globale Föderation, die auf Passpoint aufbaut. Während Passpoint die lokale Interaktion zwischen Gerät und AP abwickelt, stellt OpenRoaming die RADIUS-Proxy-Infrastruktur bereit, die Millionen von APs mit Tausenden von Identitätsanbietern (IdPs) verbindet. Dadurch entfällt für Veranstaltungsorte die Notwendigkeit, individuelle Roaming-Vereinbarungen auszuhandeln oder eine komplexe Public Key Infrastructure (PKI) für externe Gäste zu verwalten.

Paradigmenwechsel in der Sicherheit

Herkömmliche offene Netzwerke mit Captive Portals übertragen Daten unverschlüsselt, bis der Benutzer den Anmeldevorgang abschließt. Dies setzt Benutzer „Evil Twin“-Angriffen aus, bei denen böswillige Akteure die SSID des Veranstaltungsorts fälschen, um Anmeldedaten abzufangen.

Passpoint verändert dieses Risikoprofil grundlegend. Da die Authentifizierung über 802.1X erfolgt, ist die Verbindung vom allerersten Paket an mit einer WPA2-Enterprise- oder WPA3-Enterprise-Verschlüsselung gesichert. Darüber hinaus bedeutet die dem EAP-TLS inhärente gegenseitige Authentifizierung, dass das Gerät das Zertifikat des Netzwerks überprüft, bevor es Anmeldedaten sendet, wodurch Evil-Twin-Schachstellen effektiv neutralisiert werden. Wie in unserem Leitfaden zur Gerätestatus-Bewertung für die Netzwerkzugriffskontrolle ausführlich beschrieben, ist der Aufbau von Geräte-Vertrauen von größter Bedeutung, und Passpoint setzt dies direkt am Edge durch.

Implementierungsleitfaden

Die Bereitstellung von OpenRoaming erfordert die Abstimmung zwischen Ihrem Wireless LAN Controller (WLC), Ihrer RADIUS-Infrastruktur und der WBA-Federation. Die folgenden herstellerneutralen Schritte beschreiben eine standardmäßige Enterprise-Bereitstellung.

Phase 1: Bewertung der Infrastrukturbereitschaft

Überprüfen Sie vor der Konfiguration, ob Ihre vorhandene Hardware die erforderlichen Standards unterstützt. Die meisten in den letzten fünf Jahren veröffentlichten Enterprise-APs (z. B. Cisco, Aruba, Ruckus) unterstützen 802.11u und Passpoint nativ. Stellen Sie sicher, dass Ihre WLC-Firmware aktualisiert ist, um WPA3 und Protected Management Frames (PMF) zu unterstützen, die für Passpoint Release 3 zwingend erforderlich sind.

Phase 2: Integration von RADIUS und Federation

Der entscheidende Integrationspunkt ist die Verbindung Ihres lokalen Netzwerks mit der OpenRoaming-Federation. Dies wird durch die Einrichtung einer sicheren RADIUS-Proxy-Verbindung erreicht.

Wählen Sie einen Cloud-RADIUS-Anbieter: Wählen Sie einen Anbieter, der ein zertifizierter OpenRoaming Ecosystem Broker ist (z. B. IronWiFi, Cisco Spaces).
RadSec-Tunnel einrichten: Konfigurieren Sie Ihren WLC so, dass er Authentifizierungsanfragen über RadSec (RADIUS über TLS) an den Cloud-RADIUS-Server weiterleitet. Dies sichert den Authentifizierungsverkehr über das Internet. Eine detaillierte Konfiguration finden Sie unter RadSec : Sécurisation du trafic d'authentification RADIUS avec TLS .
Realm-Routing konfigurieren: Richten Sie Routing-Regeln auf dem RADIUS-Server ein, um Anfragen, die mit OpenRoaming-Domains übereinstimmen (z. B. apple.openroaming.net), an die WBA-Federation weiterzuleiten.

Phase 3: WLAN-Konfiguration

Konfigurieren Sie die spezifische SSID auf Ihrem WLC, um die erforderlichen ANQP-Elemente auszustrahlen.

802.11u aktivieren: Aktivieren Sie die Hotspot 2.0/Passpoint-Funktionen für das Ziel-WLAN.
Roaming Consortium OUIs definieren: Fügen Sie die von der WBA bereitgestellten spezifischen OUIs (z. B. 5A-03-BA für OpenRoaming-Settlement-Free) zum Beacon des APs hinzu.
Sicherheit konfigurieren: Stellen Sie die Layer-2-Sicherheit auf WPA2/WPA3-Enterprise mit 802.1X-Authentifizierung ein.

Phase 4: Strategie für das Benutzer-Onboarding

Während föderierte Benutzer (z. B. solche mit Apple- oder Google-Profilen) sich automatisch verbinden, müssen Sie für Benutzer planen, die keine bereits existierenden Profile haben. Implementieren Sie einen Online Sign-Up (OSU) Server oder integrieren Sie die Profilbereitstellung in die mobile App Ihres Standorts. Dies ermöglicht es Benutzern, bei ihrem ersten Besuch ein Passpoint-Profil herunterzuladen, was eine nahtlose Konnektivität für alle nachfolgenden Besuche gewährleistet.

Best Practices

Behalten Sie während des Übergangs einen hybriden Ansatz bei: Deaktivieren Sie Ihr bestehendes Captive Portal nicht sofort. Betreiben Sie die Passpoint-fähige SSID parallel zu Ihrem offenen Guest WiFi -Netzwerk, um ältere Geräte und Benutzer ohne Profile zu unterstützen. Überwachen Sie die Verbindungsraten, um zu bestimmen, wann das offene Netzwerk sicher abgeschaltet werden kann.
Priorisieren Sie RadSec: Übertragen Sie RADIUS-Traffic niemals unverschlüsselt über das Internet. Verwenden Sie immer RadSec, um die Kommunikation zwischen Ihrem WLC und dem Cloud-RADIUS-Anbieter zu sichern.
Nutzen Sie die App-Integration: Integrieren Sie für das Gastgewerbe und den Einzelhandel die Bereitstellung von Passpoint-Profilen in die Loyalty-App Ihrer Marke. Dies garantiert, dass der Benutzer sicher authentifiziert wird, während die Netzwerkpräsenz direkt mit seinem Kundenprofil verknüpft wird.
Überwachen Sie den Ablauf von Zertifikaten: Passpoint basiert in hohem Maße auf PKI. Implementieren Sie eine automatisierte Überwachung und Alarmierung für alle RADIUS- und Webserver-Zertifikate, um plötzliche Authentifizierungsfehler zu verhindern.

Fehlerbehebung & Risikominderung

Bei der Bereitstellung von Passpoint stoßen IT-Teams in der Regel auf spezifische Fehlermuster. Das Verständnis dieser Risiken ist entscheidend für eine reibungslose Einführung.

ANQP-Timeout-Probleme: Wenn APs überlastet sind oder der Controller träge reagiert, kann es zu Timeouts bei ANQP-Antworten kommen, was verhindert, dass Geräte das Netzwerk erkennen. Minderung: Stellen Sie sicher, dass APs ausreichend dimensioniert sind, und überwachen Sie die CPU-Auslastung der Control Plane. Optimieren Sie für Umgebungen mit hoher Dichte die Beacon-Intervalle.
Zertifikats-Vertrauensfehler: Wenn das Client-Gerät der Root-CA, die das Zertifikat des RADIUS-Servers signiert hat, nicht vertraut, schlägt der EAP-TLS-Handshake geräuschlos fehl. Minderung: Verwenden Sie für öffentlich zugängliche RADIUS-Server immer Zertifikate, die von weithin anerkannten öffentlichen Zertifizierungsstellen (z. B. DigiCert, Let's Encrypt) ausgestellt wurden. Vermeiden Sie selbstsignierte Zertifikate für den Gastzugang.
RadSec-Verbindungsabbrüche: Firewalls oder zwischengeschaltete Routing-Probleme können die für RadSec erforderliche TCP-Verbindung trennen. Minderung: Implementieren Sie eine robuste Überwachung des RadSec-Tunnelstatus und konfigurieren Sie sekundäre RADIUS-Server für das Failover.

ROI & geschäftliche Auswirkungen

Der Übergang zu Passpoint und OpenRoaming ist nicht nur ein IT-Upgrade, sondern ein strategischer Business-Enabler. Durch den Wegfall der Hürden von Captive Portals verzeichnen Standorte sofortige Verbesserungen bei den wichtigsten Kennzahlen.

Höhere Verbindungsraten: Veranstaltungsorte verzeichnen in der Regel einen Anstieg von 40–60 % bei der Anzahl der Geräte, die sich mit dem Netzwerk verbinden. Dies vergrößert direkt die Stichprobengröße für WiFi Analytics und Sensors und liefert präzisere Daten zu Besucherzahlen und Verweildauer.
Verbesserte Kundenbindung: Im Einzelhandel und im Gastgewerbe ermöglicht eine nahtlose Konnektivität den Veranstaltungsorten, standortbasierte Benachrichtigungen über ihre Apps auszulösen, sobald ein Gast die Tür betritt, was die sofortige Interaktion fördert.
Reduzierter Support-Aufwand: Der Wegfall von Captive Portals reduziert Helpdesk-Tickets im Zusammenhang mit Anmeldefehlern, Browser-Weiterleitungen und vergessenen Passwörtern drastisch und entlastet die IT-Ressourcen.
Datenmonetarisierung: Durch die Integration mit Wayfinding und Treueplattformen können Veranstaltungsorte die physische Präsenz mit dem Kaufverhalten korrelieren und so umsetzbare Erkenntnisse gewinnen, die die Netzwerkinvestition rechtfertigen.

Hören Sie sich unser umfassendes Briefing zu diesem Thema an:

Schlüsseldefinitionen

Passpoint (Hotspot 2.0)

Eine Zertifizierung der Wi-Fi Alliance basierend auf dem Standard IEEE 802.11u, die es Geräten ermöglicht, Wi-Fi-Netzwerke automatisch zu erkennen und sich ohne Benutzereingriff sicher mit ihnen zu verbinden.

IT-Teams implementieren Passpoint, um herkömmliche Captive Portals zu ersetzen und eine mobilfunkähnliche Roaming-Erfahrung für Enterprise- und Gäste-WiFi zu bieten.

OpenRoaming

Eine globale Roaming-Föderation, die von der Wireless Broadband Alliance (WBA) verwaltet wird und Identitätsanbieter (IdPs) über Passpoint-Technologie mit Zugangsnetzwerken verbindet.

Veranstaltungsorte schließen sich OpenRoaming an, um Gästen die Authentifizierung über bestehende Anmeldedaten (z. B. Apple ID, Google, Mobilfunk-SIM) zu ermöglichen, ohne lokale Konten verwalten zu müssen.

ANQP (Access Network Query Protocol)

Ein in 802.11u definiertes Layer-2-Protokoll, das es einem Client-Gerät ermöglicht, vor der Assoziierung mit dem Netzwerk Informationen von einem Access Point anzufordern (z. B. unterstützte Roaming-Partner).

ANQP ist der Mechanismus, der es einem Smartphone ermöglicht, im Hintergrund geräuschlos zu „wissen“, ob es sich mit einem Passpoint-Netzwerk verbinden kann.

RadSec (RADIUS over TLS)

Ein Protokoll, das den RADIUS-Authentifizierungsverkehr sichert, indem es ihn in einen TLS-Tunnel verpackt, typischerweise unter Verwendung des TCP-Ports 2083.

Unerlässlich für OpenRoaming-Bereitstellungen, um sicherzustellen, dass vom Veranstaltungsort an den Cloud-RADIUS-Anbieter gesendete Authentifizierungsanfragen nicht abgefangen werden können.

OUI (Organizationally Unique Identifier)

Eine 24-Bit-Nummer, die einen Anbieter, Hersteller oder eine Organisation eindeutig identifiziert und in Passpoint verwendet wird, um unterstützte Roaming-Konsortien zu identifizieren.

Netzwerkadministratoren konfigurieren spezifische OUIs auf ihren WLCs, um zu signalisieren, welche Identitätsanbieter oder Föderationen (wie OpenRoaming) am Veranstaltungsort unterstützt werden.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Ein hochsicheres Authentifizierungs-Framework, das eine gegenseitige zertifikatsbasierte Authentifizierung zwischen dem Client und dem Server erfordert.

Der Goldstandard für die Passpoint-Authentifizierung, der sicherstellt, dass sowohl das Gerät des Benutzers als auch das Netzwerk des Veranstaltungsorts vor der Verbindung gegenseitig ihre Identität überprüfen.

OSU (Online Sign-Up)

Ein standardisierter Mechanismus in Passpoint Release 2 und neuer, der es einem Gerät ermöglicht, Netzwerkanmeldedaten und ein Profil sicher von einem Bereitstellungsserver zu beziehen.

Wird verwendet, um neue Gäste zu registrieren, die noch kein Passpoint-Profil auf ihrem Gerät installiert haben.

Evil Twin Attack

Ein drahtloser Angriff, bei dem ein böswilliger Akteur einen gefälschten Access Point einrichtet, der dieselbe SSID wie ein legitimes Netzwerk ausstrahlt, um den Datenverkehr und die Anmeldedaten der Benutzer abzufangen.

Passpoint eliminiert dieses Risiko, indem es vom Netzwerk verlangt, ein gültiges Zertifikat vorzulegen (gegenseitige Authentifizierung), bevor sich das Gerät verbindet.

Ausgearbeitete Beispiele

Eine globale Hotelkette mit 200 Standorten möchte die Konnektivität für Gäste verbessern und die Nutzungsrate ihrer Loyalty-App steigern. Bisher beschweren sich Gäste darüber, dass sie sich an jedem Tag ihres Aufenthalts erneut im Captive Portal anmelden müssen, und die Verbindungsraten sind niedrig.

Das Hotel implementiert Passpoint an allen Standorten. Anstelle eines Captive Portals integrieren sie die Bereitstellung von Passpoint-Profilen direkt in ihre Loyalty-App. Wenn ein Gast die App herunterlädt und sich anmeldet, wird im Hintergrund ein Passpoint-Profil auf seinem Gerät installiert. Die APs sind so konfiguriert, dass sie die spezifische Roaming Consortium OUI des Hotels ausstrahlen. Der WLC nutzt RadSec, um Authentifizierungsanfragen an einen Cloud-RADIUS-Anbieter weiterzuleiten. Sobald der Gast an einem beliebigen Standort weltweit eintrifft, erkennt sein Gerät die OUI, authentifiziert sich via EAP-TLS über das Profil und verbindet sich sofort mit WPA3-Verschlüsselung.

Kommentar des Prüfers: Dieser Ansatz löst sowohl die Hürden bei der Verbindungsherstellung als auch das geschäftliche Ziel. Durch die Verknüpfung des Netzwerkzugangs mit der App garantiert das Hotel eine hochwertige, sichere Verbindung und stellt gleichzeitig sicher, dass der Gast mit dem digitalen Ökosystem der Marke interagiert. Die Verwendung einer spezifischen OUI stellt sicher, dass sich das Gerät nur mit dem vertrauenswürdigen Netzwerk des Hotels verbindet, was Evil-Twin-Risiken minimiert.

Ein großes Konferenzzentrum muss sicheres WiFi für 10.000 Teilnehmer bereitstellen. Die Verwaltung temporärer Zugangsdaten für eine dreitägige Veranstaltung über ein Captive Portal ist operativ aufwendig und unsicher.

Der Veranstaltungsort implementiert OpenRoaming. Sie konfigurieren ihren WLC so, dass er die WBA OpenRoaming OUIs ausstrahlt, und richten eine RadSec-Verbindung zu einem OpenRoaming Ecosystem Broker ein. Teilnehmer, die am Veranstaltungsort eintreffen und bereits ein OpenRoaming-Profil besitzen (z. B. über ihren Mobilfunkanbieter oder einen früheren Veranstaltungsort), verbinden sich automatisch. Für Teilnehmer ohne Profil stellt der Veranstaltungsort im gesamten Gebäude QR-Codes bereit, die die Nutzer zu einem Online Sign-Up (OSU) Server leiten, um ein temporäres Event-Profil herunterzuladen.

Kommentar des Prüfers: Dies reduziert den IT-Overhead für die Verwaltung von Zugangsdaten drastisch. Durch die Nutzung der OpenRoaming-Föderation verlagert der Veranstaltungsort den Authentifizierungsaufwand auf die bestehenden Identity Provider der Teilnehmer. Die Fallback-Lösung via QR-Code/OSU stellt sicher, dass kein Teilnehmer ohne Zugang bleibt, und sorgt für ein nahtloses Erlebnis.

Übungsfragen

Q1. Sie sind IT-Leiter einer Einzelhandelskette. Das Marketing möchte wiederkehrende Kundenbesuche mithilfe von WiFi-Analysen genau verfolgen, aber das aktuelle offene Gastnetzwerk mit einem Captive Portal hat eine Attach-Rate von nur 15 %. Kunden beschweren sich, dass die Anmeldung zu lange dauert. Wie gestalten Sie die Strategie für den Netzwerkzugriff neu, um die Ziele des Marketings zu erreichen und gleichzeitig das Kundenerlebnis zu verbessern?

Hinweis: Überlegen Sie, wie Sie die Netzwerkauthentifizierung an ein Asset koppeln können, das der Kunde bereits schätzt, um die Reibung durch das Captive Portal vollständig zu eliminieren.

Musterlösung anzeigen

Implementieren Sie Passpoint und integrieren Sie die Profilbereitstellung in die bestehende mobile Loyalty-App des Einzelhändlers. Wenn Kunden die App herunterladen oder aktualisieren, wird das Passpoint-Profil im Hintergrund installiert. Beim Betreten einer Filiale authentifiziert sich ihr Gerät automatisch über EAP-TLS. Dies eliminiert die Reibung durch das Captive Portal, erhöht die Attach-Rate drastisch (wodurch das Marketing präzise Daten zu wiederkehrenden Besuchen erhält) und sichert die Verbindung mit WPA3.

Q2. Während einer Pilotbereitstellung von OpenRoaming in einem Stadion stellt das Netzwerkteam fest, dass Authentifizierungsanfragen zwar den lokalen WLC erreichen, aber den Cloud-RADIUS-Anbieter nicht erreichen. Das Firewall-Team bestätigt, dass die Standard-RADIUS-Ports (UDP 1812/1813) ausgehend geöffnet sind. Was ist die wahrscheinlichste Ursache für den Fehler?

Hinweis: OpenRoaming-Ecosystem-Broker schreiben eine sichere Kommunikation für den Authentifizierungsverkehr über das Internet vor.

Musterlösung anzeigen

Der WLC versucht wahrscheinlich, standardmäßigen, unverschlüsselten RADIUS-Verkehr zu senden, aber OpenRoaming-Bereitstellungen erfordern RadSec (RADIUS über TLS) für die Kommunikation mit dem Cloud-Broker. Das Firewall-Team muss sicherstellen, dass der TCP-Port 2083 (der Standardport für RadSec) ausgehend geöffnet ist, und der WLC muss so konfiguriert sein, dass er den TLS-Tunnel mit den korrekten Zertifikaten aufbaut.

Q3. Ein Krankenhaus möchte Passpoint bereitstellen, um Ärzten, die sich zwischen dem Hauptcampus und Satellitenkliniken bewegen, ein nahtloses Roaming zu ermöglichen. Der Informationssicherheitsbeauftragte (ISO) ist jedoch besorgt über „Evil Twin“-Angriffe, bei denen ein böswilliger Akteur die SSID des Krankenhauses in einem nahe gelegenen Café fälschen könnte, um Anmeldedaten zu stehlen. Wie geht Passpoint mit diesem spezifischen Problem um?

Hinweis: Konzentrieren Sie sich auf die spezifischen EAP-Methoden, die in Passpoint verwendet werden, und darauf, wie das Client-Gerät das Netzwerk überprüft, bevor es Daten überträgt.

Musterlösung anzeigen

Passpoint minimiert das Risiko eines Evil Twin durch gegenseitige Authentifizierung, typischerweise unter Verwendung von EAP-TLS oder EAP-TTLS. Bevor das Gerät des Arztes Authentifizierungsdaten sendet, muss der AP (über den RADIUS-Server) ein gültiges digitales Zertifikat vorlegen. Das Gerät überprüft dieses Zertifikat anhand seiner vertrauenswürdigen Root-CAs. Wenn ein böswilliger Akteur die SSID fälscht, besitzt er nicht den gültigen privaten Schlüssel bzw. das Zertifikat für den RADIUS-Server des Krankenhauses, und das Gerät bricht die Verbindung im Hintergrund ab, bevor Anmeldedaten ausgetauscht werden.

Weiterlesen in dieser Reihe

Hotel Guest WiFi Management: Integration von PMS, Portalen und Markenstandards

Dieser technische Leitfaden beschreibt detailliert die Architektur von WiFi-Netzwerken der Enterprise-Klasse für Hotels, mit Schwerpunkt auf VLAN-Segmentierung, PMS-Integration für automatisiertes Sitzungsmanagement und Captive Portal-Optimierung für die GDPR-konforme Datenerfassung.

How to Set Up Guest WiFi: A Secure Enterprise Configuration Guide

Dieser maßgebliche Leitfaden bietet IT-Leitern und Netzwerkarchitekten eine definitive Vorlage für die Bereitstellung von sicherem Enterprise-Guest-WiFi. Er behandelt die wesentliche Architektur, die WPA3-Migration, VLAN-Segmentierung und die Integration von Captive Portals, um interne Systeme zu schützen und gleichzeitig DSGVO-konforme First-Party-Daten zu erfassen.

Verwalten der Bandbreite für Staff WiFi: Shaping, QoS und Verkehrsreduzierung

Dieser Leitfaden beschreibt praktische Methoden zur Verwaltung der Bandbreite für Staff WiFi in großen Unternehmen. Er behandelt Traffic Shaping, QoS-Implementierung und wie der Einsatz von Purple Shield die Netzwerklast reduziert, ohne dass Infrastruktur-Upgrades erforderlich sind.