iPSK-Leitfaden: Ein umfassender Guide für Unternehmen

Dieser Leitfaden erklärt die Identity Pre-Shared Key (iPSK) Architektur für Bauträger, BTR-Betreiber und Vermieter, die Multi-Tenant-WiFi bereitstellen. Er behandelt RADIUS-Integration, dynamische VLAN-Zuweisung, Layer-2-Isolierung und automatisiertes Lifecycle-Management für Anmeldedaten, um Bewohnern sofort einsatzbereites WiFi in großem Umfang zu bieten. Zudem werden die wirtschaftlichen Vorteile der Abschaffung von Routern in einzelnen Wohneinheiten sowie die betrieblichen Vorteile der iPSK-Integration mit Identity Providern wie Microsoft Entra ID, Okta und Google Workspace erläutert.

📖 7 Min. Lesezeit📝 1,619 Wörter🔧 2 ausgearbeitete Beispiele❓ 4 Übungsfragen📚 10 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen bei der technischen Briefing-Reihe von Purple. Heute befassen wir uns mit Identity Pre-Shared Key, oder iPSK. Wenn Sie ein Immobilienentwickler, ein BTR-Betreiber oder ein Vermieter sind, der Gebäude mit mehreren Mietparteien verwaltet, ist dies direkt relevant für Ihre nächste Netzwerkentscheidung.

Lassen Sie mich die Ausgangslage beschreiben. Sie haben ein Build-to-Rent-Objekt mit 300 Einheiten. Sie möchten verwaltetes WiFi als Premium-Annehmlichkeit anbieten. Sie möchten nicht in jeder Wohnung einen Consumer-Router aufstellen. Und Sie möchten absolut nicht, dass die Bewohner in Einheit 101 die Geräte der Bewohner in Einheit 202 sehen können. Die Frage ist: Wie realisieren Sie das alles in einem einzigen, überschaubaren Netzwerk? Die Antwort lautet iPSK.

Klassische WiFi-Sicherheit bietet Ihnen zwei Optionen. Option eins: ein standardmäßiges WPA2-Personal-Netzwerk. Alle teilen sich dasselbe Passwort. Es ist einfach, aber sobald eine Person dieses Passwort weitergibt, ist das gesamte Netzwerk gefährdet. Und wenn Sie den Zugang für eine Person sperren wollen, müssen Sie das Passwort für alle ändern. Das ist im großen Stil völlig undurchführbar.

Option zwei: WPA2- oder WPA3-Enterprise unter Verwendung des 802.1X-Standards. Dies ist echte Sicherheit auf Unternehmensniveau. Jeder Benutzer hat einen eindeutigen Benutzernamen und ein Passwort oder ein digitales Zertifikat. Die IT kann den Zugang für einzelne Personen sofort sperren. Das Problem ist, dass viele Geräte schlichtweg keine Verbindung dazu herstellen können. Spielekonsolen, Smart-TVs, WLAN-Drucker, Amazon Echo-Geräte, Chromecasts - keines dieser Geräte kann die komplexen Anmeldeseiten oder digitalen Zertifikate verarbeiten, die 802.1X erfordert.

iPSK liegt genau zwischen diesen beiden Optionen. Es gibt jedem einzelnen Benutzer oder Gerät sein eigenes, eindeutiges Passwort, aber die Benutzererfahrung auf dem Gerät ist identisch mit der Verbindung zu einem Heim-Router. Sie geben einfach ein Passwort ein. Keine Zertifikate, keine komplexen Anmeldeseiten, keine Captive Portals. Die Komplexität wird vollständig im Backend abgewickelt.

Und so funktioniert die technische Architektur. Wenn sich ein Client-Gerät über seinen eindeutigen Pre-Shared Key mit dem WiFi-Netzwerk verbindet, gewährt der Access Point nicht einfach so Zugriff. Stattdessen sendet er eine RADIUS-Authentifizierungsanfrage an einen zentralen Server. RADIUS steht für Remote Authentication Dial-In User Service. Es ist das Rückgrat der Netzwerkauthentifizierung in Unternehmen. Der RADIUS-Server gleicht die Anmeldedaten mit seiner Datenbank der konfigurierten Schlüssel ab. Bei einer Übereinstimmung sendet er eine Access-Accept-Nachricht zurück. Entscheidend ist, dass diese Nachricht auch eine VLAN-Zuweisung enthält - ein Virtual Local Area Network.

Diese VLAN-Zuweisung ist der Schlüssel zu allem. Wenn sich der Bewohner in Einheit 101 verbindet, weist das Netzwerk alle seine Geräte dem VLAN 101 zu. Wenn sich der Bewohner in Einheit 202 verbindet, kommen seine Geräte in das VLAN 202. Die Netzwerkinfrastruktur erzwingt eine sogenannte Layer-2-Isolierung zwischen diesen VLANs. Das bedeutet, dass die Geräte der Bewohner, obwohl sie sich im selben physischen WiFi-Netzwerk befinden, füreinander völlig unsichtbar sind. Dadurch entsteht für jeden Bewohner ein sogenanntes Private Area Network, oder PAN.

Weil jeder Bewohner sein eigenes, isoliertes VLAN hat, können Sie die mDNS-Reflektion innerhalb dieses spezifischen VLAN aktivieren. mDNS ist das Protokoll, mit dem Geräte einander in einem lokalen Netzwerk erkennen. Es sorgt dafür, dass AirPlay, Chromecast und kabelloses Drucken funktionieren. Indem Sie die mDNS-Reflektion im privaten VLAN jedes Bewohners aktivieren, ermöglichen Sie es dessen eigenen Geräten, miteinander zu kommunizieren, während sie von den Geräten aller anderen Personen vollständig isoliert bleiben.

Die großen Anbieter von Enterprise-WiFi-Hardware unterstützen diese Technologie alle, verwenden jedoch unterschiedliche Bezeichnungen dafür. Cisco Meraki nennt es iPSK. HPE Aruba nennt es MPSK. Ruckus verwendet den Begriff DPSK. Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet unterstützen alle Varianten der gerätespezifischen Pre-Shared-Key-Authentifizierung. Purple ist hardwareunabhängig und lässt sich in all diese Plattformen integrieren.

Die manuelle Verwaltung von Hunderten oder Tausenden von eindeutigen Schlüsseln ist für kein IT-Team machbar. Purple lässt sich in Ihren Identity Provider, Microsoft Entra ID, Okta oder Google Workspace integrieren. Wenn ein neuer Bewohner einen Mietvertrag unterzeichnet, generiert Purple automatisch einen eindeutigen iPSK, weist ein VLAN zu und stellt dem Bewohner die Zugangsdaten bereit. Wenn der Mietvertrag endet, wird der Schlüssel automatisch widerrufen.

Lassen Sie uns nun über Implementierungsfehler sprechen. Hier gibt es eine wichtige technische Nuance. Der Widerruf eines Schlüssels in der RADIUS-Datenbank trennt ein Gerät, das bereits mit dem Netzwerk verbunden ist, nicht sofort. Die RADIUS-Authentifizierung findet nur während des anfänglichen Verbindungs-Handshakes statt. Um eine sofortige Trennung zu erzwingen, muss Ihr Verwaltungssystem eine Change of Authorization-Nachricht (eine CoA) direkt an den Wireless Controller senden. Stellen Sie sicher, dass Ihre Verwaltungsplattform CoA unterstützt.

Wichtige Fehler, die Sie vermeiden sollten. Erstens: MAC-Adressen-Randomisierung. Moderne Smartphones randomisieren ihre MAC-Adresse, um die Privatsphäre der Benutzer zu schützen. Wenn Ihre iPSK-Implementierung auf MAC Address Bypass basiert, unterbricht die Randomisierung die Authentifizierung. Stellen Sie sicher, dass Ihre Infrastruktur eine moderne, EAPOL-basierte iPSK-Verifizierung verwendet. Zweitens: RADIUS-Leistung. iPSK belastet den RADIUS-Server aufgrund der während des EAPOL-Handshakes erforderlichen Wörterbuchprüfungen stärker. Nutzen Sie einen cloudbasierten, leistungsstarken RADIUS-Service. Drittens: WPA3-Kompatibilität. iPSK läuft derzeit auf WPA2. Wenn Sie WiFi 6E- oder WiFi 7-Access-Points im 6-GHz-Band bereitstellen, benötigen Sie eine separate WPA3-Enterprise-Strategie für diese Clients.

Lassen Sie mich ein paar schnelle Fragen beantworten. Kann iPSK IoT-Geräte unterstützen? Ja. Spielekonsolen, intelligente Thermostate und kabellose Drucker verbinden sich über ein einfaches Passwort, genau wie im Heimnetzwerk.

Funktioniert iPSK mit jeder Hardware? Ja. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet unterstützen alle gerätespezifisches PSK. Purple bietet eine hardwareunabhängige Verwaltungsebene für alle diese Systeme.

Ist iPSK GDPR-konform? Ja, wenn es korrekt implementiert wird. Das Netzwerk weist identifizierbaren Personen Zugangsdaten zu, und diese Zugangsdaten werden entzogen, sobald die Person ausscheidet. Dies sorgt für einen klaren Audit-Trail beim Netzwerkzugriff.

Zusammenfassend lässt sich sagen: iPSK ist der maßgebliche Standard für WiFi-Konnektivität in Multi-Tenant-Umgebungen. Es bietet IT-Teams die Kontrolle über die Authentifizierung auf Enterprise-Niveau bei gleichzeitiger Einfachheit eines Heim-Routers für die Bewohner. Es unterstützt jeden Gerätetyp, ermöglicht die Netzwerkisolierung pro Bewohner durch dynamische VLAN-Zuweisung und skaliert durch ein automatisiertes Lifecycle-Management, das in Ihren Identity Provider integriert ist.

Wenn Sie ein BTR-Projekt, ein Studentenwohnheim oder eine andere Multi-Tenant-Immobilie planen, sollte iPSK das Fundament Ihres Netzwerkdesigns bilden. Purple hat diese Architektur weltweit an über 80.000 Standorten implementiert, und wir können Sie vom ersten Tag an bei der Planung, Bereitstellung und Verwaltung unterstützen. Für weitere Informationen besuchen Sie purple.ai oder sprechen Sie mit einem unserer Netzwerkarchitekten. Vielen Dank fürs Zuhören.

Wichtigste Erkenntnisse

✓iPSK weist jedem Bewohner auf einer einzigen WiFi-SSID ein eindeutiges Passwort zu, wodurch Sicherheitsrisiken durch gemeinsam genutzte Passwörter im großen Stil vermieden werden.
✓Die dynamische VLAN-Zuweisung über RADIUS erstellt ein sicheres Private Area Network für jede Wohnung und bietet eine Layer-2-Isolierung, die mit der eines privaten Heimrouters vergleichbar ist.
✓iPSK unterstützt 100 % der Consumer-Geräte, einschließlich Spielekonsolen, Smart-TVs und IoT-Hardware, die keine 802.1X-Zertifikate verarbeiten können.
✓Ein automatisiertes Lebenszyklusmanagement über Microsoft Entra ID, Okta oder Google Workspace ist im großen Stil unerlässlich - eine manuelle Schlüsselverwaltung scheitert bereits ab einer geringen Anzahl von Einheiten.
✓Change of Authorization (CoA) muss konfiguriert werden, um eine sofortige Trennung zu erzwingen, wenn ein Key widerrufen wird - die RADIUS-Löschung allein beendet aktive Sitzungen nicht.
✓iPSK basiert auf WPA2; planen Sie eine separate WPA3-Enterprise-Strategie für Access Points im 6-GHz-Band, wenn Sie WiFi 6E oder WiFi 7 bereitstellen.
✓Der Verzicht auf Consumer-Router pro Wohneinheit senkt die Investitionskosten, eliminiert Funkinterferenzen und bietet den Bewohnern ab dem ersten Tag ein sofort einsatzbereites WiFi-Erlebnis.

Management-Zusammenfassung

Traditionelle WiFi-Sicherheit zwingt zur Wahl zwischen zwei unzureichenden Optionen. Standardmäßiges WPA2-Personal ist einfach, bietet jedoch keine individuelle Zurechenbarkeit. Ein einziges durchgesickertes Passwort gefährdet das gesamte Netzwerk, und der Entzug des Zugangs für einen einzelnen Bewohner bedeutet, dass das Passwort für alle geändert werden muss. WPA2-Enterprise oder WPA3-Enterprise mit IEEE 802.1X bietet zwar Kontrolle pro Benutzer, blockiert jedoch die Konnektivität für Spielekonsolen, Smart-TVs und IoT-Geräte, die keine digitalen Zertifikate verarbeiten können.

Identity Pre-Shared Key (iPSK) löst dieses Spannungsfeld. Es weist jedem einzelnen Benutzer oder Gerät auf einer einzigen SSID ein eindeutiges Passwort zu, was eine dynamische VLAN-Zuweisung und Layer-2-Isolierung über einen zentralen RADIUS-Server ermöglicht. Für Build-to-Rent-Betreiber (BTR), Immobilienentwickler und Vermieter ist iPSK der maßgebliche Standard für mandantenfähige Konnektivität. Es unterstützt 100 % der Bewohnergeräte, erstellt ein Private Area Network für jede Wohneinheit und lässt sich durch ein automatisiertes Lifecycle-Management skalieren, das in Identity Provider wie Microsoft Entra ID, Okta oder Google Workspace integriert ist. Purple automatisiert diesen gesamten Workflow an über 80.000 Live-Standorten und lässt sich nahtlos in Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet integrieren.

Technische Detailanalyse

Die Funktionsweise von Identity PSK

iPSK modifiziert den standardmäßigen WPA2-Vier-Wege-EAPOL-Handshake. Wenn sich ein Client-Gerät mit einem Access Point unter Verwendung eines bestimmten Pre-Shared Keys verbindet, gewährt der Access Point nicht sofort Zugriff. Stattdessen sendet er eine RADIUS-Anforderungsnachricht an den zentralen Authentifizierungsserver. Diese Anfrage enthält herstellerspezifische Attribute. Für Cisco Meraki sind dies die Meraki-IPSK-Attribute. Der RADIUS-Server führt einen Wörterbuchabgleich mit seiner Datenbank der konfigurierten iPSKs durch. Wenn eine Übereinstimmung gefunden wird, antwortet er mit einer Access-Accept-Nachricht, die die Passphrase und, was entscheidend ist, eine dynamische VLAN-Zuweisung über das Attribut Tunnel-Private-Group-Id enthält.

Diese Architektur erfordert keine Zertifikatsinfrastruktur. Das Client-Gerät sieht ein Standard-WPA2-Personal-Netzwerk und verbindet sich mit einem Passwort. Die Komplexität wird vollständig zwischen dem Access Point und dem RADIUS-Server abgewickelt. Aus diesem Grund unterstützt iPSK 100 % aller Endgeräte - Spielekonsolen, Smart-TVs, WLAN-Drucker und IoT-Sensoren verbinden sich alle mit demselben einfachen Passworterlebnis, das sie von zu Hause kennen.

Layer-2-Isolierung und Private Area Networks

In einer Mandanten-Umgebung ist eine einzelne SSID für hunderte von Wohnungen effizient für die HF-Planung, birgt aber ohne angemessene Segmentierung erhebliche Sicherheitsrisiken. iPSK ermöglicht die Erstellung eines Private Area Network (PAN) für jeden Bewohner.

Wenn sich ein Bewohner mit seinem eindeutigen iPSK authentifiziert, weist der RADIUS-Server seinen Geräten ein bestimmtes VLAN zu. Die Netzwerkinfrastruktur erzwingt eine Layer-2-Isolierung zwischen diesen VLANs. Das iPhone eines Bewohners kann den eigenen Drucker oder Chromecast sehen, aber der Bewohner in der Nachbarwohnung kann diese Geräte weder finden noch mit ihnen interagieren. Diese Mikrosegmentierung ist entscheidend für die GDPR-Compliance und das Vertrauen der Bewohner.

Da jeder Bewohner sein eigenes isoliertes VLAN hat, können Sie die mDNS-Reflektion innerhalb dieses spezifischen VLANs aktivieren. mDNS ist das Protokoll, das AirPlay, Chromecast-Streaming und kabelloses Drucken ermöglicht. Durch die Aktivierung der mDNS-Reflektion im privaten VLAN jedes Bewohners können die eigenen Geräte miteinander kommunizieren, während sie von allen anderen Bewohnern vollständig isoliert bleiben. Das Ergebnis ist ein heimeliges Erlebnis auf einer gemeinsamen Infrastruktur.

Implementierungen der Hardware-Hersteller

Jeder große Enterprise-WiFi-Hardware-Hersteller unterstützt PSK pro Gerät, jedoch unter verschiedenen Produktnamen. Die folgende Tabelle ordnet die Terminologie der Hersteller der zugrunde liegenden Technologie zu.

Hersteller	Produktname	RADIUS erforderlich	Dynamisches VLAN
Cisco Meraki	iPSK	Ja	Ja
HPE Aruba	MPSK	Ja	Ja
Ruckus	DPSK	Ja	Ja
Juniper Mist	PPSK	Ja	Ja
Ubiquiti UniFi	PPSK	Ja	Ja
Cambium	PPSK	Ja	Ja
Extreme	PPSK	Ja	Ja
Fortinet	PPSK	Ja	Ja

Purple ist hardwareunabhängig und bietet eine einheitliche Verwaltungsebene über all diese Plattformen hinweg. Sie sind nicht an einen einzelnen Hersteller gebunden und können Ihre Hardware migrieren, ohne Ihre Authentifizierungsinfrastruktur neu aufbauen zu müssen.

Leitfaden zur Implementierung

Die Bereitstellung von iPSK erfordert die Abstimmung zwischen Ihrer Wireless-Infrastruktur, Ihrem RADIUS-Server und Ihrem Identity Provider. Befolgen Sie diese Schritte, um die Bereitstellung korrekt durchzuführen.

Schritt 1 - Planen Sie Ihre VLAN-Architektur. Weisen Sie jeder Wohneinheit ein VLAN zu. Bei einem Komplex mit 300 Einheiten benötigen Sie 300 VLANs. Standard-802.1Q unterstützt 4.094 VLANs, was für die meisten BTR-Projekte ausreicht. Planen Sie bei größeren Bereitstellungen VXLAN-Overlays ein.

Schritt 2 - Stellen Sie Ihren RADIUS-Server bereit. Purple bietet einen Cloud-gehosteten RADIUS-Service mit 99,999 % Betriebszeit. Richten Sie Ihre Wireless-Controller auf den RADIUS-Endpunkt von Purple aus. Konfigurieren Sie den Shared Secret zwischen Ihren Access Points und dem RADIUS-Server. Schritt 3 - Konfigurieren Sie Ihren Wireless-Controller. Erstellen Sie eine einzelne SSID mit WPA2-PSK-Sicherheit. Aktivieren Sie die herstellerspezifische Option für iPSK oder PPSK. Aktivieren Sie den AAA-Override, damit die RADIUS-Antwort VLANs dynamisch zuweisen kann. Deaktivieren Sie die Client-Isolierung auf SSID-Ebene - die Isolierung wird pro VLAN verwaltet.

Schritt 4 - Integrieren Sie Ihren Identity-Provider. Verbinden Sie Purple mit Microsoft Entra ID, Okta oder Google Workspace. Purple liest das Bewohnerverzeichnis aus und stellt automatisch ein eindeutiges iPSK und eine VLAN-Zuweisung für jeden Bewohner bereit.

Schritt 5 - Konfigurieren Sie Change of Authorization (CoA). Richten Sie CoA zwischen Purple und Ihren Wireless-Controllern ein. Dies ermöglicht es Purple, eine Disconnect-Nachricht zu senden, wenn der Mietvertrag eines Bewohners endet, und so eine sofortige Beendigung der Sitzung zu erzwingen.

Schritt 6 - Aktivieren Sie mDNS-Reflection pro VLAN. Konfigurieren Sie Ihre Netzwerk-Switches und Wireless-Controller so, dass sie mDNS-Traffic innerhalb jeder VLAN-Grenze spiegeln. Dies ermöglicht AirPlay, Chromecast und kabelloses Drucken in jeder Wohnung, ohne dass Erkennungsdaten im gesamten Gebäude verbreitet werden.

Weitere Informationen zur Gestaltung Ihrer gesamten WiFi-Architektur finden Sie in unserem Leitfaden über Drei SSIDs, um sie alle zu beherrschen: Gast, Passpoint und IoT WiFi .

Best Practices

Vermeiden Sie Probleme mit der MAC-Adressen-Randomisierung. Moderne Smartphones randomisieren ihre MAC-Adresse, um die Privatsphäre der Benutzer zu schützen. Wenn Ihre iPSK-Implementierung auf MAC Address Bypass (MAB) basiert, führt die Randomisierung zu Authentifizierungsfehlern. Stellen Sie sicher, dass Ihre Infrastruktur eine moderne, EAPOL-basierte iPSK-Verifizierung nutzt, bei der das Passwort selbst als Authentifikator dient und nicht die MAC-Adresse.

Planen Sie die RADIUS-Performance ein. iPSK stellt aufgrund der während des EAPOL-Handshakes erforderlichen Dictionary-Prüfungen eine höhere Rechenlast an den RADIUS-Server als Standard-PSK. Nutzen Sie einen Cloud-basierten, hochperformanten RADIUS-Service. Die RADIUS-Infrastruktur von Purple ist für diese Arbeitslast ausgelegt und sichert eine Betriebszeit von 99,999 % an über 80.000 Standorten.

Berücksichtigen Sie die WPA3-Kompatibilität frühzeitig. iPSK läuft derzeit auf WPA2. Wenn Sie WiFi 6E oder WiFi 7 Access Points auf dem 6-GHz-Band bereitstellen, benötigen Sie eine separate WPA3-Enterprise-Strategie für diese Clients. Das 6-GHz-Band schreibt WPA3-Sicherheit vor, die iPSK derzeit nicht auf dieselbe Weise unterstützt. Planen Sie eine Dual-Band-Strategie: WPA2 iPSK auf 2,4 GHz und 5 GHz, WPA3-Enterprise auf 6 GHz.

Automatisieren Sie die Bereitstellung von Anmeldedaten. Versenden Sie Passwörter nicht im Klartext per E-Mail. Purple stellt den Bewohnern die Anmeldedaten über ein sicheres, gebrandetes Portal oder über die Purple-App bereit. Dies erstellt ein überprüfbares Protokoll der Zustellung und stellt sicher, dass Bewohner Passwort-Resets selbst durchführen können, ohne den Helpdesk kontaktieren zu müssen.

Testen Sie mDNS-Reflection vor dem Live-Gang. Die häufigste Beschwerde von Bewohnern nach einer iPSK-Bereitstellung ist, dass ihr Chromecast oder AirPlay nicht funktioniert. Testen Sie die mDNS-Spiegelung in jedem VLAN während der Inbetriebnahme. Verwenden Sie einen Laptop und einen Chromecast im selben Bewohner-VLAN und überprüfen Sie die Streaming-Funktion vor der Übergabe. Für weitere Informationen darüber, wie Ihr WiFi-Netzwerk den ersten Eindruck für Bewohner prägt, lesen Sie Wie Sie mit Ihrem Gäste-WiFi einen hervorragenden ersten Eindruck hinterlassen .

Fehlerbehebung und Risikominderung

Veraltete Sitzungen nach Schlüsselwiderruf. Das häufigste Fehlerszenario bei einer iPSK-Bereitstellung. Der Widerruf eines Schlüssels in der RADIUS-Datenbank verhindert zukünftige Verbindungen, trennt jedoch keine aktiven Sitzungen. Konfigurieren Sie CoA auf Ihren Wireless Controllern und stellen Sie sicher, dass Purple bei jedem Schlüsselwiderrufsereignis eine CoA-Abmeldenachricht sendet.

VLAN-Erschöpfung. In sehr großen Multi-Tenant-Umgebungen können Sie das Limit von 4.094 VLANs ausschöpfen. Vermeiden Sie dies, indem Sie VXLAN-Overlays verwenden oder VLANs zwischen nicht benachbarten Einheiten teilen, bei denen das Risiko einer gegenseitigen Beeinträchtigung vernachlässigbar ist.

Ausfall des RADIUS-Servers. Wenn Ihr RADIUS-Server offline geht, können sich keine neuen Geräte verbinden. Konfigurieren Sie ein RADIUS-Failover mit einem sekundären Server. Der Cloud-RADIUS-Service von Purple bietet integrierte Redundanz und ein SLA mit einer Betriebszeit von 99,999 %.

Verzögerungen bei der Schlüsselsynchronisation. Wenn ein neuer Bewohner einzieht, kann es zu einer Verzögerung zwischen der Unterzeichnung des Mietvertrags im Property-Management-System und der Bereitstellung der iPSK in RADIUS kommen. Integrieren Sie Ihr Property-Management-System direkt mit der API von Purple, um die Bereitstellung zu automatisieren und diese Lücke zu schließen.

ROI und geschäftlicher Nutzen

Der Verzicht auf Consumer-Router pro Wohneinheit verändert die Wirtschaftlichkeit von Multi-Tenant-WiFi grundlegend. Ein typisches BTR-Projekt mit 300 Einheiten gibt unter Umständen 150 - 200 £ pro Einheit für Consumer-Router aus, was sich auf bis zu 60.000 £ an Hardware summiert, die alle drei bis fünf Jahre ausgetauscht werden muss. Zentralisierte Enterprise Access Points in Fluren und Gemeinschaftsbereichen reduzieren die Hardwarekosten und eliminieren den operativen Aufwand für den Austausch defekter Consumer-Router in bewohnten Apartments.

Noch wichtiger ist, dass Sie den Bewohnern ein sofort einsatzbereites Erlebnis bieten. Die Bewohner verbinden sich mit dem WiFi, sobald sie die Tür betreten, und nutzen Zugangsdaten, die vor dem Einzugstag sicher übermittelt wurden. Dieses Premium-Angebot erhöht die Mieterzufriedenheit und unterstützt höhere Mietrenditen. Laut Untersuchungen der Immobilienbranche wird Managed WiFi von Bewohnern mittlerweile als eine der drei wichtigsten Annehmlichkeiten genannt, die sie in einem BTR-Projekt erwarten.

Die Multi-Tenant-WiFi -Lösung von Purple isoliert den Datenverkehr sicher und unterstützt die Smart-Geräte der Bewohner, gestützt auf 29 Milliarden Datenpunkte, die über unser globales Netzwerk gesammelt wurden. Unsere WiFi Analytics -Plattform bietet Property Managern Einblick in die Netzwerkauslastung, was Ihnen hilft, Ihre Infrastrukturinvestitionen bedarfsgerecht anzupassen und Investoren den Wert des Managed-WiFi-Angebots zu demonstrieren. Für BTR-Betreiber, die das Bewohner-Engagement über die reine Konnektivität hinaus erweitern möchten, lässt sich die Gäste-WiFi -Plattform von Purple in Immobilienverwaltungssysteme integrieren, um zielgerichtete Kommunikation und Treueprogramme anzubieten. Lesen Sie auch unseren Leitfaden darüber, wie Sie Massen-SMS im Marketing nutzen, um Wiederholungsbesuche zu steigern , für praktische Taktiken zur Bewohnerbindung.

Schlüsseldefinitionen

iPSK (Identity Pre-Shared Key)

Ein Sicherheitsmechanismus, der die Verwendung mehrerer eindeutiger Passwörter auf einer einzigen WiFi-SSID ermöglicht, wobei jedes Passwort an bestimmte Netzwerkrichtlinien einschließlich VLAN-Zuweisung und Zugriffskontrolle gebunden ist.

Wird verwendet, um eine Zugriffskontrolle auf Enterprise-Niveau zu bieten und gleichzeitig Consumer-Geräte zu unterstützen, die keine 802.1X-Funktionen besitzen. Cisco Meraki verwendet genau diesen Begriff; andere Anbieter nutzen MPSK, DPSK oder PPSK für dasselbe Konzept.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentrale Authentifizierung, Autorisierung und Accounting-Verwaltung für Benutzer bietet, die eine Verbindung zu einem Netzwerkdienst herstellen.

Der Backend-Server, der iPSK-Passwörter validiert und VLAN-Zuweisungen an den Access Point zurückgibt. Purple bietet einen in der Cloud gehosteten RADIUS-Service mit einer Betriebszeit von 99,999 %.

VLAN (Virtual Local Area Network)

Ein logisches Subnetzwerk, das eine Gruppe von Geräten zusammenfasst und deren Datenverkehr vom Rest des physischen Netzwerks isoliert - unabhängig von ihrem physischen Standort.

Wird in mandantenfähigen WiFi-Netzwerken verwendet, um ein sicheres, privates Netzwerksegment für jede einzelne Wohnung zu erstellen. Die dynamische VLAN-Zuweisung über RADIUS ermöglicht die Isolierung pro Bewohner.

Layer 2 isolation

Eine Netzwerksicherheitsfunktion, die verhindert, dass Geräte im selben physischen Netzwerk auf der Sicherungsschicht (Data Link Layer) direkt miteinander kommunizieren.

Stellt sicher, dass Bewohner die Geräte ihrer Nachbarn nicht sehen oder darauf zugreifen können, obwohl sie dieselbe physische WiFi-Infrastruktur nutzen.

mDNS (Multicast Domain Name System)

Ein von Apple Bonjour und Google Cast verwendetes Protokoll zur Erkennung von Diensten in einem lokalen Netzwerk ohne zentralen DNS-Server.

Muss in mandantenfähigen Netzwerken sorgfältig verwaltet werden. Die Aktivierung der mDNS-Reflektion innerhalb des privaten VLANs jedes Bewohners ermöglicht die normale Funktion von AirPlay, Chromecast und drahtlosem Drucken, ohne dass die Geräteerkennung im gesamten Gebäude offengelegt wird.

CoA (Change of Authorization)

Eine in RFC 5176 definierte RADIUS-Erweiterung, die es dem Authentifizierungsserver ermöglicht, die Autorisierungsattribute einer aktiven Sitzung dynamisch zu ändern oder eine Trennungsnachricht zu senden.

Unverzichtbar für den sofortigen Entzug des Zugangs, wenn der Mietvertrag eines Bewohners endet. Ohne CoA verhindert ein entzogener Schlüssel nur zukünftige Verbindungen - die aktuell aktive Sitzung wird dadurch nicht getrennt.

EAPOL (Extensible Authentication Protocol over LAN)

Das in WPA2 verwendete Protokoll zur Aushandlung von Verschlüsselungsschlüsseln zwischen dem Client-Gerät und dem Access Point während des Vier-Wege-Handshakes.

Moderne iPSK-Implementierungen nutzen den EAPOL-Handshake zur sicheren Überprüfung des Passworts. Dies ist zuverlässiger als der MAC Address Bypass, da es nicht von der Randomisierung von MAC-Adressen beeinflusst wird.

MAC Address Bypass (MAB)

Eine Authentifizierungsmethode, bei der die Hardware-MAC-Adresse des Geräts sowohl als Benutzername als auch als Passwort in einer RADIUS-Anfrage verwendet wird.

Eine veraltete Methode, die manchmal mit iPSK verwechselt wird. MAB ist heute unzuverlässig, da moderne iPhones und Android-Geräte ihre MAC-Adresse standardmäßig randomisieren, was zu Authentifizierungsfehlern führt.

Private Area Network (PAN)

Im Kontext von mandantenfähigem WiFi ein logisch isoliertes Netzwerksegment, das einem einzelnen Bewohner oder einer Einheit zugewiesen ist und das Äquivalent zu einem privaten Heimrouter auf einer gemeinsam genutzten Infrastruktur darstellt.

Das Ergebnis der Kombination von iPSK-Authentifizierung mit dynamischer VLAN-Zuweisung und Layer 2 isolation. Jeder Bewohner erhält sein eigenes PAN, ohne dass ein physischer Router in der Wohnung erforderlich ist.

Dynamic VLAN assignment

Der Prozess, bei dem ein RADIUS-Server eine VLAN-Kennung in der Access-Accept-Nachricht zurückgibt und den Access Point anweist, das authentifizierte Gerät in ein bestimmtes Netzwerksegment einzustufen.

Der Mechanismus, der die Isolierung pro Bewohner in einer iPSK-Bereitstellung ermöglicht. Ohne dynamische VLAN-Zuweisung würden alle Geräte dasselbe Netzwerksegment teilen - unabhängig davon, welches Passwort sie verwenden.

Ausgearbeitete Beispiele

Eine Build-to-Rent-Immobilie mit 300 Einheiten möchte Managed WiFi als Premium-Service anbieten. Der Betreiber möchte die Installation von 300 einzelnen Routern vermeiden. Die Bewohner müssen in der Lage sein, kabellose Drucker, Smart-Speaker und Chromecast-Geräte sicher zu nutzen, und der Betreiber muss den Zugang sofort sperren können, wenn ein Mieter auszieht.

Richten Sie Enterprise-Access-Points von Cisco Meraki oder HPE Aruba in Fluren und Gemeinschaftsbereichen ein, um eine vollständige Gebäudeabdeckung über eine einzige SSID zu gewährleisten. Konfigurieren Sie den Wireless-Controller so, dass er die iPSK-Authentifizierung verwendet und auf den Cloud-RADIUS-Server von Purple verweist. Integrieren Sie das Immobilienverwaltungssystem mit der API von Purple. Wenn ein Bewohner einzieht, generiert Purple automatisch ein eindeutiges Passwort und weist ein dediziertes VLAN zu (z. B. VLAN 150 für Wohneinheit 150). Aktivieren Sie mDNS-Reflection ausschließlich innerhalb jedes VLANs. Konfigurieren Sie CoA so, dass Purple bei Kündigung eines Mietvertrags im Immobilienverwaltungssystem sofort eine Trennungsnachricht an den Wireless-Controller sendet, wodurch alle aktiven Sitzungen für dieses VLAN beendet werden.

Kommentar des Prüfers: Dieser Ansatz verhindert Hardware-Wildwuchs und Funkinterferenzen durch 300 konkurrierende Router. Die dynamische VLAN-Zuweisung gewährleistet eine Layer-2-Isolierung zwischen den Wohnungen und erfüllt die DSGVO- und Sicherheitsanforderungen. Die Aktivierung von mDNS-Reflection pro VLAN ermöglicht es, dass Smart-Geräte für jeden Bewohner normal funktionieren, ohne sie dem gesamten Gebäude zugänglich zu machen. Die CoA-Konfiguration ist das entscheidende Detail, das bei vielen Bereitstellungen übersehen wird - ohne sie behalten gekündigte Mieter den Netzwerkzugriff, bis sich ihr Gerät von selbst trennt und versucht, sich neu zu authentifizieren.

In einem Studentenwohnheim mit 500 Zimmern kommt es zu Sicherheitsproblemen, da Studenten das standardmäßige WPA2-Personal-Passwort an Nicht-Bewohner weitergeben. Das IT-Team benötigt eine personalisierte Zuordnung und die Möglichkeit, den Zugang für bestimmte Studenten zu sperren, ohne den Rest des Netzwerks zu beeinträchtigen.

Migrieren Sie das Wohnheim auf eine iPSK-Architektur. Integrieren Sie das Microsoft Entra ID der Universität mit dem WiFi-Authentifizierungssystem von Purple. Purple stellt zu Beginn des akademischen Jahres automatisch für jeden eingeschriebenen Studenten einen eindeutigen iPSK bereit. Wenn ein Student seinen Schlüssel an einen Nicht-Bewohner weitergibt, kann die IT die Quelle anhand der RADIUS-Logs identifizieren und diesen spezifischen Schlüssel sofort sperren, ohne andere Studenten zu beeinträchtigen. Wenn ein Student das Studium abschließt oder die Universität verlässt, wird sein spezifischer Schlüssel automatisch über die Microsoft Entra ID-Integration gesperrt.

Kommentar des Prüfers: Dies löst das Problem der Passwortweitergabe durch eine personalisierte Zuordnung auf der Netzwerkschicht. Die Integration mit Microsoft Entra ID automatisiert das Lifecycle-Management und entlastet den IT-Helpdesk. Die entscheidende Erkenntnis ist, dass iPSK einen Audit-Trail erstellt - jeder Verbindungsversuch wird für ein bestimmtes Ticket protokolliert, das einer bestimmten Person zugeordnet ist. Dies ist auch für die DSGVO-Konformität relevant, da die Universität nachweisen kann, dass der Netzwerkzugriff an identifizierbare Personen gebunden ist und entzogen wird, wenn diese Personen die Einrichtung verlassen.

Übungsfragen

Q1. Sie entwerfen das WiFi-Netzwerk für ein Co-Living-Projekt mit 200 Einheiten. Die Mitglieder müssen ihre Laptops, Telefone und drahtlosen Drucker verbinden. Der Betreiber möchte den Zugang sofort entziehen, wenn der Vertrag eines Mitglieds endet. Welche Authentifizierungsmethode sollten Sie wählen und warum?

Hinweis: Berücksichtigen Sie die Gerätekompatibilitätsanforderungen für drahtlose Drucker und die betriebliche Anforderung für einen sofortigen Entzug des Zugangs.

Musterlösung anzeigen

iPSK ist die richtige Wahl. Während 802.1X eine hervorragende Sicherheit für Laptops und Telefone bietet, unterstützen drahtlose Drucker in der Regel keine Unternehmenszertifikate. iPSK ermöglicht es allen Geräten, sich sicher zu verbinden, und bietet gleichzeitig individuelle Zurechenbarkeit und VLAN-Isolierung für verschiedene Mitglieder. Um die Anforderung des sofortigen Entzugs zu erfüllen, konfigurieren Sie Change of Authorization (CoA) zwischen Purple und den Wireless-Controllern, sodass bei Kündigung eines Mitgliedervertrags im Verwaltungssystem sofort eine CoA-Disconnect-Nachricht gesendet wird, um alle aktiven Sitzungen zu beenden.

Q2. Ein Bewohner meldet, dass er Netflix nicht von seinem Telefon auf seinen Smart-TV streamen kann. Beide Geräte sind über den eindeutigen iPSK des Bewohners mit dem Netzwerk verbunden. Der Netzwerktechniker bestätigt, dass sich beide Geräte im VLAN 210 befinden. Was ist das wahrscheinlichste Konfigurationsproblem und wie beheben Sie es?

Hinweis: Überlegen Sie, wie Protokolle zur Geräteerkennung funktionieren und was für das Casting erforderlich ist.

Musterlösung anzeigen

Das Netzwerk erzwingt eine strikte Layer-2-Isolierung innerhalb von VLAN 210, ohne mDNS-Reflection zu aktivieren. Chromecast verwendet mDNS (Google Cast-Protokoll), um Empfänger im lokalen Netzwerk zu finden. Ohne mDNS-Reflection innerhalb des VLANs kann das Telefon den Smart-TV nicht finden, obwohl sie sich im selben VLAN befinden. Beheben Sie dies, indem Sie den Wireless-Controller oder einen dedizierten mDNS-Proxy so konfigurieren, dass er den mDNS-Verkehr innerhalb der Grenzen von VLAN 210 weiterleitet. Aktivieren Sie mDNS nicht global - dies würde es Bewohnern ermöglichen, die Geräte der anderen über VLANs hinweg zu entdecken.

Q3. Ein Vermieter kündigt ein Mietverhältnis und bittet das IT-Team, dem ehemaligen Mieter sofort den WiFi-Zugang zu entziehen. Das IT-Team löscht den iPSK des Mieters aus der RADIUS-Datenbank, aber der Laptop des ehemaligen Mieters bleibt noch mehrere Stunden mit dem Netzwerk verbunden. Was ist schiefgelaufen und was sollte das IT-Team konfigurieren, um dies in Zukunft zu verhindern?

Hinweis: Überlegen Sie, wann die RADIUS-Authentifizierung im Lebenszyklus der Verbindung tatsächlich stattfindet.

Musterlösung anzeigen

Die RADIUS-Authentifizierung findet nur während des ersten Verbindungs-Handshakes statt. Sobald ein Gerät authentifiziert und dem Netzwerk zugeordnet ist, behält es seine Sitzung ohne erneute Authentifizierung bei. Das Löschen des Schlüssels aus RADIUS verhindert zukünftige Verbindungen, beendet jedoch nicht die aktive Sitzung. Das IT-Team muss die Unterstützung für Change of Authorization (CoA) auf den Wireless-Controllern konfigurieren und sicherstellen, dass das Verwaltungssystem eine CoA-Disconnect-Nachricht sendet, wenn ein Schlüssel entzogen wird. Dies weist den Access Point an, das Gerät sofort zu deauthentifizieren und zu trennen, wodurch die Sitzung in Echtzeit beendet wird.

Q4. Sie planen eine BTR-Wohnanlage mit 600 Einheiten und überlegen, ob Sie Standard-802.1Q-VLANs oder VXLAN für die Netzwerksegmentierungsschicht verwenden sollen. Welche Faktoren sollten diese Entscheidung beeinflussen?

Hinweis: Berücksichtigen Sie das VLAN-Limit von Standard-802.1Q und den Umfang der Bereitstellung.

Musterlösung anzeigen

Standard-802.1Q unterstützt 4.094 VLANs, was für 600 Einheiten ausreicht und Spielraum für Management-VLANs, IoT-VLANs und Gastnetzwerke lässt. Für diese Bereitstellungsgröße ist Standard-802.1Q angemessen. Wenn die Entwicklung jedoch Teil eines größeren Campus ist oder Sie planen, dasselbe Netzwerk über mehrere Gebäude mit Tausenden von Einheiten hinweg auszudehnen, bietet VXLAN einen Adressraum von 16 Millionen Segmenten und eine bessere Skalierbarkeit über geroutete Grenzen hinweg. Für ein eigenständiges Projekt mit 600 Einheiten halten Sie es mit 802.1Q einfach und reservieren Sie VXLAN für standortübergreifende oder sehr große Bereitstellungen.

Weiterlesen in dieser Reihe

Uu PPSK pdf: Funktionen und Bereitstellungsmodelle im Vergleich

Dieser technische Referenzleitfaden vergleicht die Private Pre-Shared Key (PPSK) WiFi-Architektur mit herkömmlichen 802.1X- und Standard-PSK-Bereitstellungen. Er bietet Netzwerkarchitekten und IT-Managern herstellerneutrale Implementierungsstrategien für Multi-Tenant-Wohn-, IoT- und BTR-Umgebungen.

UU PPSK 2023: Vergleich von Funktionen und Bereitstellungsmodellen

Dieser technische Referenzleitfaden vergleicht die Unique per-User Private Pre-Shared Key (UU PPSK) WiFi-Architektur mit herkömmlichen gemeinsam genutzten PSK- und 802.1X-Bereitstellungen, mit besonderem Fokus auf die Landschaft der Herstellerimplementierungen und Plattformfunktionen im Jahr 2023. Er bietet Immobilienentwicklern, BTR-Betreibern und MDU-Vermietern praxisnahe Bereitstellungsstrategien, Anleitungen zur VLAN-Architektur und automatisierte Workflows für das Lebenszyklusmanagement. Der Leitfaden deckt drei Bereitstellungsmodelle, Fallstudien aus der Praxis und die Compliance-Auswirkungen der einzelnen Authentifizierungsansätze ab.

PPSK xaverius: Vergleich von Funktionen und Bereitstellungsmodellen

Dieser maßgebliche Leitfaden untersucht die PPSK xaverius-Architektur für Multi-Tenant-Umgebungen wie BTR und Studentenwohnheime. Er vergleicht Bereitstellungsmodelle, beschreibt Implementierungsstrategien im Detail und erklärt, wie eine VLAN-Isolierung pro Wohneinheit ein heimeliges WiFi-Erlebnis bietet und gleichzeitig die Sicherheit auf Unternehmensniveau wahrt.