Ist das Hospital-WiFi sicher? Was Patienten und Besucher wissen sollten

Dieser umfassende technische Leitfaden untersucht die Sicherheitsarchitektur von Hospital-Gast-WiFi-Netzwerken. Er bietet IT-Managern und Betreibern von Einrichtungen umsetzbare Implementierungsstrategien mit den Schwerpunkten Netzwerksegmentierung, Verschlüsselungsstandards und Compliance-Frameworks, um den Schutz von Patientendaten ohne Beeinträchtigung des klinischen Betriebs zu gewährleisten.

📖 4 Min. Lesezeit📝 872 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

[Intro Music Fades In]

Host: Willkommen beim Purple Enterprise IT Briefing. Ich bin Ihr Host, und heute widmen wir uns einer Frage, die an der Schnittstelle von Patientenerfahrung und klinischer Sicherheit liegt: Ist das Hospital-WiFi sicher? Genauer gesagt: Was müssen Patienten und Besucher wissen, und wie bieten IT-Verantwortliche dieses sichere Erlebnis, ohne den klinischen Betrieb zu gefährden?

[Music Fades Out]

Host: Heute begrüßen wir einen Senior Solutions Architect von Purple. Kommen wir gleich zur Sache. Wenn ein Patient oder Besucher fragt: „Ist die Nutzung des Hospital-WiFi sicher?“, wie sieht dann die Realität in den meisten heutigen Gesundheitsnetzwerken aus?

Expert: Vielen Dank für die Einladung. Die kurze Antwort lautet: Ja, es ist sicher, vorausgesetzt, das Hospital hat eine moderne, segmentierte Architektur implementiert. Die Zeiten eines einzigen, flachen Netzwerks, in dem der Gastdatenverkehr potenziell in klinische Systeme übergehen konnte, sind für jeden seriösen Gesundheitsdienstleister längst vorbei. Heute setzen wir auf eine strenge Netzwerksegmentierung. Wenn sich ein Patient mit dem Gast-WiFi verbindet, wird er in ein völlig isoliertes VLAN geleitet. Dieser Datenverkehr geht über eine dedizierte Firewall-Richtlinie direkt ins Internet. Er berührt niemals die EHR-Systeme, die vernetzten medizinischen Geräte oder die Mitarbeiternetzwerke.

Host: Die Segmentierung ist also die Grundlage. Wie sieht es mit der Verschlüsselung des Datenverkehrs selbst aus? Wir hören viel über WPA3 und offene Netzwerke.

Expert: Ganz genau. In der Vergangenheit bedeutete kostenloses WiFi in Hospitalen ein offenes Netzwerk ohne Verschlüsselung über die Luftschnittstelle. Das bedeutete, dass Patientendaten theoretisch abgefangen werden konnten. Mit der Einführung von WPA3 und Technologien wie Passpoint oder OpenRoaming können wir nun auch in öffentlich zugänglichen Netzwerken verschlüsselte Verbindungen anbieten. Purple fungiert beispielsweise als kostenloser Identitätsanbieter für OpenRoaming. Das bedeutet, dass sich das Gerät eines Patienten sicher und automatisch authentifizieren kann, wodurch seine Sitzung verschlüsselt wird, ohne dass er mühsam ein komplexes Passwort eingeben muss. Das ist ein riesiger Fortschritt für die Sicherheit des Patienten-WiFi.

Host: Lassen Sie uns über das Captive Portal sprechen. Es ist oft die erste Interaktion, die ein Benutzer mit dem Hospital-WiFi hat. Wie trägt das zur Sicherheitslage bei?

Expert: Das Captive Portal ist von entscheidender Bedeutung. Es geht nicht nur darum, Nutzungsbedingungen zu akzeptieren; es ist das Tor zur Identitätserfassung und Compliance. Im Gesundheitswesen müssen wir je nach Region strenge Datenschutzbestimmungen wie die GDPR oder HIPAA einhalten. Ein robustes Captive Portal stellt sicher, dass alle erfassten Daten – selbst wenn es sich nur um eine E-Mail-Adresse oder Telefonnummer zur Authentifizierung handelt – mit ausdrücklicher Zustimmung verarbeitet werden. Darüber hinaus ermöglicht es dem IT-Team, Richtlinien für Sitzungs-Timeouts durchzusetzen, um sicherzustellen, dass inaktive Verbindungen getrennt werden, was die Angriffsfläche verringert.

Host: Ich möchte zu einem realen Szenario übergehen. Stellen Sie sich ein großes regionales Hospital vor – sagen wir mit 500 Betten –, das mit Rogue Access Points zu kämpfen hat. Patienten bringen ihre eigenen Hotspots mit, oder schlimmer noch, böswillige Akteure fälschen die SSID des Hospitals. Wie geht ein IT-Manager das an?

Expert: Das ist eine klassische Herausforderung. Rogue APs sind eine erhebliche Bedrohung, da sie die Sicherheitskontrollen des Hospitals umgehen. Die Lösung umfasst eine kontinuierliche HF-Überwachung. Enterprise-Access-Points können in Kombination mit einer Plattform wie den Analysen von Purple nicht autorisierte Sendegeräte erkennen und klassifizieren. Das System kann diese Rogue APs dann automatisch eindämmen, indem es Deauthentifizierungs-Frames sendet und so die Bedrohung effektiv neutralisiert, bevor sich ein Patient versehentlich mit einem bösartigen „Kostenlosen Hospital-WiFi“-Netzwerk verbindet.

Host: Wie sieht es mit Peer-to-Peer-Bedrohungen aus? Wenn ich als Besucher im Gastnetzwerk bin, kann die Person, die neben mir im Wartezimmer sitzt, mein Gerät sehen?

Expert: Das sollte sie nicht können, und genau hier kommt die Client-Isolierung ins Spiel. Sie ist eine obligatorische Konfiguration für jedes öffentliche oder Gastnetzwerk. Die Client-Isolierung verhindert, dass Geräte im selben Subnetz direkt miteinander kommunizieren. Selbst wenn sich also ein kompromittiertes Gerät mit dem Patienten-WiFi verbindet, kann es die Laptops oder Smartphones anderer Patienten nicht scannen oder angreifen. Das ist eine einfache, aber hochwirksame Kontrollmaßnahme.

Host: Lassen Sie uns eine kurze, schnelle Fragerunde zu Implementierungsfehlern machen. Was ist der größte Fehler, den Betreiber von Einrichtungen bei der Bereitstellung von Hospital-WiFi für Patienten machen?

Expert: Die Bandbreite nicht pro Benutzer zu drosseln. Wenn Sie keine Quality of Service- oder QoS-Kontrollen implementieren, kann ein einzelner Benutzer, der 4K-Videos streamt, das Erlebnis für alle anderen im Wartezimmer beeinträchtigen, was zu Beschwerden und der Wahrnehmung eines „schlechten“ Netzwerks führt.

Host: Zweite Frage: Wie wichtig ist die DNS-Filterung im Gastnetzwerk?

Expert: Unverzichtbar. Sie müssen eine Inhaltsfilterung auf DNS-Ebene implementieren, um bösartige Domains, Phishing-Seiten und unangemessene Inhalte zu blockieren. Das schützt die Benutzer vor Malware und das Hospital vor Haftungsansprüchen.

Host: Letzte schnelle Frage: Wie hoch ist der ROI, wenn man das richtig macht?

Expert: Er ist zweifach. Erstens die Risikominderung – die Vermeidung der katastrophalen Kosten einer Sicherheitsverletzung oder einer Strafe wegen Nichteinhaltung von Vorschriften. Zweitens die betriebliche Effizienz. Ein sicheres, zuverlässiges WiFi-Netzwerk reduziert Helpdesk-Tickets und verbessert die Patientenzufriedenheit, was sich direkt auf das Finanzergebnis des Hospitals auswirkt.

Host: Hervorragende Einblicke. Zusammenfassend lässt sich sagen, dass Hospital-WiFi sicher ist, wenn es auf einer Grundlage von Netzwerksegmentierung, WPA3-Verschlüsselung, sicheren Captive Portals und kontinuierlicher Überwachung aufbaut. Es geht darum, die Daten des Patienten ebenso vehement zu schützen wie die klinischen Daten.

Host: Vielen Dank an unseren Experten von Purple für die Teilnahme. IT-Verantwortliche, die ihre Infrastruktur aktualisieren möchten, sollten daran denken, dass Plattformen wie das Gast-WiFi von Purple nicht nur Konnektivität bieten, sondern auch die Sicherheit, Compliance und Analysen, die für eine effektive Verwaltung dieser komplexen Umgebungen erforderlich sind. Bis zum nächsten Mal, halten Sie Ihre Netzwerke segmentiert und Ihre Benutzer sicher.

[Outro Music Fades In and Out]

Wichtigste Erkenntnisse

✓Hospital-WiFi ist sicher, wenn es mit einer strengen Netzwerksegmentierung konzipiert ist, die den Gastdatenverkehr von klinischen Systemen isoliert.
✓WPA3 und OpenRoaming bieten eine unverzichtbare Verschlüsselung über die Luftschnittstelle für öffentliche Netzwerke.
✓Die Client-Isolierung muss aktiviert sein, um Peer-to-Peer-Angriffe unter Gästen zu verhindern.
✓Captive Portals sind entscheidend für die Identitätserfassung, Compliance und Richtliniendurchsetzung.
✓Eine kontinuierliche HF-Überwachung ist erforderlich, um Rogue Access Points zu erkennen und zu neutralisieren.
✓Bandbreitenbegrenzung (QoS) sorgt für ein konsistentes, zuverlässiges Erlebnis für alle Patienten.
✓DNS-Filterung schützt Benutzer vor Malware und reduziert die Haftung des Hospitals.

Executive Summary

Für IT-Manager und CTOs im Gesundheitswesen ist die Frage „Ist Krankenhaus-WiFi sicher?“ nicht nur eine Frage des Patientenkomforts, sondern eine kritische Notwendigkeit zur Compliance und Risikominderung. Die Bereitstellung von kostenlosem WiFi in Krankenhäusern für Patienten und Besucher ist heute ein Standard, birgt jedoch erhebliche Angriffsflächen, wenn die Architektur nicht korrekt ausgelegt ist. Dieser Leitfaden beschreibt die technischen Kontrollen, die zur Absicherung von Patienten-WiFi-Umgebungen erforderlich sind, um sicherzustellen, dass der Gastzugang strikt von den klinischen Netzwerken isoliert bleibt. Wir werden die Implementierung von IEEE 802.1X, WPA3 und sicheren Captive Portals untersuchen und zeigen, wie Enterprise-Plattformen wie Purple's Guest WiFi Risiken minimieren und gleichzeitig eine nahtlose Benutzererfahrung bieten. Durch die Implementierung dieser Standards können Gesundheitsdienstleister die Frage, ob die Nutzung von Krankenhaus-WiFi sicher ist, selbstbewusst mit Ja beantworten.

Technische Tiefenanalyse: Netzwerkarchitektur und Segmentierung

Die Grundlage für sicheres Krankenhaus-WiFi ist eine konsequente Netzwerksegmentierung. Eine flache Netzwerkarchitektur ist im Gesundheitswesen eine katastrophale Schwachstelle.

Klinische vs. Gästetrennung

Der Datenverkehr von Gästen muss logisch von klinischen Systemen (EHR, vernetzte medizinische Geräte, Mitarbeiterkommunikation) über separate Virtual Local Area Networks (VLANs) getrennt werden. Das Patienten-WiFi-Netzwerk sollte so konfiguriert sein, dass der Datenverkehr direkt zum Internet-Gateway geleitet wird und interne Routing-Tabellen vollständig umgangen werden. Firewalls müssen strenge Access Control Lists (ACLs) erzwingen, die jeglichen eingehenden Datenverkehr vom Gäste-VLAN zu den klinischen VLANs blockieren.

Verschlüsselungsstandards

In der Vergangenheit boten offene Gästenetzwerke keine Verschlüsselung über die Luft. Die Einführung von WPA3 (Wi-Fi Protected Access 3) und Opportunistic Wireless Encryption (OWE) hat diese Situation grundlegend verändert. WPA3 bietet eine individuelle Datenverschlüsselung auch in Netzwerken, die keinen Pre-Shared Key erfordern, was das Risiko des passiven Abhörens erheblich verringert. Darüber hinaus ermöglicht die Integration von Passpoint (Hotspot 2.0) ein nahtloses, verschlüsseltes Roaming. Purple fungiert als kostenloser Identity Provider für Dienste wie OpenRoaming unter der Connect-Lizenz und ermöglicht eine sichere, profilbasierte Authentifizierung, die die Hürden herkömmlicher Passwörter beseitigt und gleichzeitig Sicherheit auf Enterprise-Niveau bietet.

Implementierungsleitfaden: Sicherung der Patientenerfahrung

Die Bereitstellung von sicherem WiFi in Krankenhäusern erfordert einen systematischen Ansatz für das Identitätsmanagement und die Risikominderung.

Die Rolle des Captive Portals

Das Captive Portal ist der primäre Durchsetzungspunkt für Gästenetzwerk-Richtlinien. Es ist nicht nur eine Branding-Maßnahme, sondern ein Compliance-Mechanismus. Bei der Bereitstellung eines Captive Portals über eine WiFi Analytics -Plattform müssen IT-Teams sicherstellen, dass es eine reine HTTPS-Übertragung erzwingt, um das Abfangen von Anmeldedaten zu verhindern. Das Portal muss außerdem die Zustimmung des Benutzers gemäß der GDPR oder lokalen Datenschutzbestimmungen einholen, bevor der Zugriff gewährt wird.

Client-Isolierung und Abwehr von Rogue APs

Um Benutzer vor lateralen Angriffen zu schützen, muss die Client-Isolierung (auch bekannt als AP-Isolierung) auf der Gäste-SSID aktiviert werden. Dies verhindert, dass Geräte, die mit demselben Access Point verbunden sind, direkt miteinander kommunizieren, wodurch Peer-to-Peer-Bedrohungen neutralisiert werden. Darüber hinaus ist eine kontinuierliche HF-Überwachung erforderlich, um unbefugte Access Points (Rogue APs) zu erkennen und einzudämmen. Wenn ein böswilliger Akteur versucht, einen „Evil Twin“-Angriff durchzuführen, indem er die SSID des Krankenhauses fälscht, muss das Wireless Intrusion Prevention System (WIPS) Clients, die versuchen, sich mit dem Rogue AP zu verbinden, automatisch deauthentifizieren.

Best Practices für IT-Teams im Gesundheitswesen

DNS-Filterung implementieren: Blockieren Sie den Zugriff auf bekannte bösartige Domänen, Phishing-Seiten und unangemessene Inhalte auf DNS-Ebene. Dies schützt das Netzwerk vor Malware und begrenzt die Haftung.
Quality of Service (QoS) erzwingen: Wenden Sie eine Bandbreitenbegrenzung pro Benutzer an, um eine Netzwerksättigung zu verhindern. Ein einzelner Benutzer, der hochauflösende Videos streamt, sollte nicht die Leistung des gesamten Patienten-WiFi-Netzwerks beeinträchtigen.
Sitzungsmanagement: Konfigurieren Sie restriktive Richtlinien für Sitzungs-Timeouts. Verlangen Sie von den Benutzern eine tägliche Neuauthentifizierung, um inaktive Sitzungen zu bereinigen und ein genaues Audit-Protokoll der aktiven Geräte zu führen.
Regelmäßige Audits: Führen Sie vierteljährliche Wireless-Penetrationstests durch und überprüfen Sie die Firewall-Regeln, um sicherzustellen, dass die VLAN-Isolierung intakt bleibt.

Weitere Einblicke in sichere Bereitstellungen in komplexen Umgebungen finden Sie in unserem umfassenden Leitfaden WiFi in Hospitals: A Guide to Secure Clinical Networks .

Fehlerbehebung & Risikominderung

Häufige Fehlerquellen in Krankenhaus-Gästenetzwerken resultieren oft aus falsch konfigurierten VLANs oder unzureichender Portalsicherheit.

Fehlermodus: DHCP-Erschöpfung: Gästenetzwerke weisen oft eine hohe Fluktuation auf. Wenn die DHCP-Lease-Zeiten zu lang sind, erschöpft sich der IP-Pool, was neue Verbindungen verhindert. Minderung: Setzen Sie die DHCP-Lease-Zeiten für das Gäste-Subnetz auf 1-2 Stunden.
Fehlermodus: Umgehung des Captive Portals: Fortgeschrittene Benutzer versuchen möglicherweise, das Captive Portal mittels DNS-Tunneling zu umgehen. Minderung: Blockieren Sie alle ausgehenden DNS-Anfragen aus dem Gäste-VLAN, außer jenen, die an die genehmigten, gefilterten DNS-Server gerichtet sind.

Ähnliche Herausforderungen zeigen sich oft in anderen Umgebungen mit hoher Besucherfrequenz; für einen Vergleich siehe unseren Leitfaden Is Café and Coffee Shop WiFi Safe? .

ROI & geschäftliche Auswirkungen

Der Return on Investment für eine sichere Krankenhaus-WiFi-Bereitstellungyment wird in Risikominderung und betrieblicher Effizienz gemessen. Eine Sicherheitsverletzung, die von einem ungesicherten Gastnetzwerk ausgeht, kann zu Millionenstrafen, Reputationsschäden und gestörten klinischen Abläufen führen. Durch die Implementierung einer robusten, segmentierten Architektur reduzieren Krankenhäuser Helpdesk-Tickets im Zusammenhang mit Verbindungsproblemen und verbessern die Patientenzufriedenheit. Die über sichere, konforme Captive Portals erfassten Daten liefern zudem wertvolle Analysen zu Besucherströmen und Verweildauern, was die Betriebsplanung und Ressourcenallokation unterstützt.

Referenzen

[1] IEEE Standards Association. "IEEE 802.1X-2020 - IEEE Standard for Local and Metropolitan Area Networks--Port-Based Network Access Control." https://standards.ieee.org/ieee/802.1X/7342/ [2] Wi-Fi Alliance. "Security: WPA3." https://www.wi-fi.org/discover-wi-fi/security

Schlüsseldefinitionen

Netzwerksegmentierung

Die Praxis, ein Computernetzwerk in Subnetzwerke aufzuteilen, um die Leistung und Sicherheit zu verbessern.

In Hospitalen von entscheidender Bedeutung, um sicherzustellen, dass der WiFi-Datenverkehr von Patienten nicht auf klinische EHR-Systeme oder medizinische Geräte zugreifen kann.

Client-Isolierung

Eine Sicherheitsfunktion für drahtlose Netzwerke, die verhindert, dass Geräte, die mit demselben Access Point verbunden sind, miteinander kommunizieren.

Wird in Gastnetzwerken verwendet, um laterale Angriffe und die Verbreitung von Peer-to-Peer-Malware zu verhindern.

WPA3

Die neueste Generation der Wi-Fi-Sicherheit, die eine robuste Authentifizierung und eine individualisierte Datenverschlüsselung bietet.

Ersetzt WPA2, um einen besseren Schutz gegen Brute-Force-Wörterbuchangriffe auf drahtlose Netzwerke zu bieten.

Captive Portal

Eine Webseite, die ein Benutzer eines öffentlich zugänglichen Netzwerks ansehen und mit der er interagieren muss, bevor ihm der Zugriff gewährt wird.

Wird von IT-Teams verwendet, um Nutzungsbedingungen durchzusetzen, Identitätsdaten zu erfassen und die Einhaltung gesetzlicher Vorschriften zu gewährleisten.

Rogue Access Point

Ein drahtloser Access Point, der ohne ausdrückliche Genehmigung eines lokalen Netzwerkadministrators in einem sicheren Netzwerk installiert wurde.

Ein großer Bedrohungsvektor; IT-Teams verwenden WIPS, um diese Geräte zu erkennen und einzudämmen, um das Abfangen von Daten zu verhindern.

VLAN (Virtual Local Area Network)

Ein logisches Subnetzwerk, das eine Gruppe von Geräten aus verschiedenen physischen LANs zusammenfasst.

Die grundlegende Technologie zur Isolierung des Gastdatenverkehrs vom klinischen Netzwerk.

OpenRoaming

Ein Roaming-Verbunddienst, der ein automatisches und sicheres Wi-Fi-Erlebnis ermöglicht.

Ermöglicht Patienten eine sichere Verbindung ohne Passwörter mithilfe einer profilbasierten Authentifizierung.

DNS-Filterung

Der Prozess der Nutzung des Domain Name Systems, um bösartige Websites zu blockieren und schädliche oder unangemessene Inhalte herauszufiltern.

Wird in Gastnetzwerken implementiert, um Benutzer vor Malware und das Hospital vor Haftungsansprüchen zu schützen.

Ausgearbeitete Beispiele

Ein regionales Hospital mit 400 Betten muss ein Patienten-WiFi in allen Stationen und Wartebereichen einrichten. Der IT-Leiter ist besorgt, dass Patienten versehentlich Malware herunterladen, die sich auf andere Geräte im Gastnetzwerk ausbreiten könnte. Wie sollte das Netzwerk konfiguriert werden, um dieses Risiko zu minimieren?

Richten Sie eine dedizierte Gast-SSID ein, die einem isolierten VLAN zugewiesen ist. 2. Aktivieren Sie die Client-Isolierung (AP-Isolierung) auf dem Wireless-LAN-Controller für die Gast-SSID, um die Peer-to-Peer-Kommunikation zu blockieren. 3. Implementieren Sie eine Inhaltsfilterung auf DNS-Ebene, um bekannte Malware- und Phishing-Domains zu blockieren. 4. Konfigurieren Sie die Firewall so, dass nur ausgehender HTTP- (80) und HTTPS- (443) Datenverkehr aus dem Gast-VLAN zugelassen wird, und blockieren Sie alle anderen Ports.

Kommentar des Prüfers: Dieser Ansatz bekämpft die Bedrohung auf mehreren Ebenen. Die Client-Isolierung ist hier die entscheidende Kontrollmaßnahme, da sie eine laterale Bewegung selbst dann verhindert, wenn ein Gerät kompromittiert ist. Die DNS-Filterung bietet eine proaktive Abwehr gegen Malware-Downloads.

Bei einer Routineprüfung stellt das Netzwerkteam fest, dass Besucher in der Cafeteria extrem langsame WiFi-Geschwindigkeiten haben. Die Untersuchung zeigt, dass eine kleine Anzahl von Nutzern 4K-Videos streamt und die Access Points überlastet. Was ist die technische Lösung?

Implementieren Sie Quality of Service (QoS) und Bandbreitenbegrenzung auf der Gast-SSID. Konfigurieren Sie ein Bandbreitenlimit pro Benutzer (z. B. 5 Mbps Downstream / 2 Mbps Upstream) im Wireless-Controller oder über die Policy-Engine der Purple-Gast-WiFi-Plattform.

Kommentar des Prüfers: Eine Bandbreitenbegrenzung ist für öffentliche Netzwerke unerlässlich. Sie stellt einen fairen Zugriff für alle Nutzer sicher und verhindert, dass einige wenige Verbraucher mit hoher Bandbreite das Erlebnis für alle anderen beeinträchtigen, was für die Patientenzufriedenheit von entscheidender Bedeutung ist.

Übungsfragen

Q1. Ein IT-Leiter eines Hospitals plant ein Netzwerk-Upgrade und möchte OpenRoaming für das Patienten-WiFi implementieren, um die Sicherheit und das Benutzererlebnis zu verbessern. Was ist der Hauptvorteil dieses Ansatzes im Vergleich zu einem herkömmlichen offenen Netzwerk mit einem Captive Portal?

Hinweis: Überlegen Sie, wie die Verbindung über die Luftschnittstelle gesichert wird, noch bevor der Benutzer das Portal überhaupt erreicht.

Musterlösung anzeigen

OpenRoaming bietet eine automatische, profilbasierte Authentifizierung und verschlüsselt die Verbindung über die Luftschnittstelle (normalerweise über Passpoint/802.1X), während ein herkömmliches offenes Netzwerk Daten im Klartext überträgt, bis sich der Benutzer am Portal authentifiziert (und selbst dann ist nur der HTTPS-Datenverkehr sicher). Dies eliminiert das Risiko des passiven Abhörens der drahtlosen Verbindung.

Q2. Während eines Penetrationstests greift das Sicherheitsteam erfolgreich vom Patienten-WiFi-Netzwerk auf die IP-basierten Sicherheitskameras des Hospitals zu. Auf welchen Architekturfehler weist dies hin und wie sollte er behoben werden?

Hinweis: Überlegen Sie, wie verschiedene Arten von Datenverkehr logisch getrennt werden sollten.

Musterlösung anzeigen

Dies deutet auf einen Fehler bei der Netzwerksegmentierung hin. Das Patienten-WiFi und die Sicherheitskameras befinden sich wahrscheinlich im selben VLAN, oder die Firewall-ACLs zwischen ihren jeweiligen VLANs sind falsch konfiguriert. Die Lösung besteht darin, das Gast-WiFi in ein dediziertes VLAN zu verlegen und strenge Firewall-Regeln zu implementieren, die jeglichen Datenverkehr vom Gast-VLAN zu internen IP-Bereichen blockieren und den Gastdatenverkehr ausschließlich ins Internet leiten.

Q3. Ein Betriebsleiter stellt fest, dass das Captive Portal in modernen Webbrowsern Warnungen generiert, dass die Verbindung „Nicht sicher“ sei. Warum passiert das und was ist die technische Behebung?

Hinweis: Berücksichtigen Sie das Protokoll, das zur Bereitstellung der Captive Portal-Seite verwendet wird.

Musterlösung anzeigen

Das Captive Portal wird wahrscheinlich über unverschlüsseltes HTTP statt über HTTPS bereitgestellt. Moderne Browser kennzeichnen HTTP-Anmeldeseiten als unsicher. Die Behebung besteht darin, ein gültiges SSL/TLS-Zertifikat auf dem Wireless-Controller oder dem externen Captive Portal-Server (wie der Plattform von Purple) zu installieren und den gesamten Portal-Datenverkehr über HTTPS (Port 443) zu erzwingen.

Weiterlesen in dieser Reihe

So konfigurieren Sie SCEP für die automatisierte Zertifikatsregistrierung für Enterprise WiFi

Dieser Leitfaden erklärt, wie Sie SCEP (Simple Certificate Enrollment Protocol) für die automatisierte Zertifikatsregistrierung für Enterprise WiFi konfigurieren. Er deckt die gesamte Architektur von PKI und NDES bis hin zur MDM-Profilbereitstellung und RADIUS-Validierung ab. Er richtet sich an IT-Manager, Netzwerkarchitekten und CTOs in Hotels, Einzelhandelsketten, Stadien, Konferenzzentren und Organisationen des öffentlichen Sektors, die über Pre-Shared Keys hinausgehen und eine skalierbare, identitätsbasierte 802.1X EAP-TLS-Authentifizierung implementieren müssen. Die hardwareunabhängige Cloud-Overlay-Plattform von Purple lässt sich direkt in diese Architektur integrieren und bietet die Guest- und BYOD-WiFi-Ebene, die parallel zu Ihrem zertifikatsauthentifizierten Mitarbeiternetzwerk läuft.

The Enterprise Guide to SCEP: Deploying Simple Certificate Enrollment Protocol for Automated Campus WiFi Security

Dieser technische Leitfaden bietet einen definitiven Architektur-Entwurf und eine schrittweise Implementierungsstrategie für die Bereitstellung von WiFi-Zertifikaten in Unternehmen mittels SCEP. Er behandelt die entscheidenden Unterschiede zwischen SCEP und PKCS, die für den Erfolg erforderliche genaue Bereitstellungsreihenfolge sowie praxiserprobte Strategien zur Risikominderung für IT-Verantwortliche.

So implementieren Sie SCEP für die automatisierte WiFi-Zertifikatsregistrierung

Dieser Leitfaden erklärt, wie Sie SCEP (Simple Certificate Enrollment Protocol) für die automatisierte WiFi-Zertifikatsregistrierung in Unternehmensstandorten implementieren. Er deckt den gesamten architektonischen Entwurf ab – vom PKI-Design und der MDM-Integration bis hin zur obligatorischen dreistufigen Bereitstellungssequenz – und zeigt IT-Managern und Netzwerkarchitekten, wie sie gemeinsame Anmeldeinformationen eliminieren, das Lebenszyklusmanagement von Zertifikaten automatisieren und PCI DSS- und GDPR-Anforderungen in großem Maßstab erfüllen.