Zum Hauptinhalt springen

Passpoint und OpenRoaming: Das vollständige Handbuch

Dieses technische Referenzhandbuch bietet eine umfassende Analyse der Passpoint (Hotspot 2.0) und WBA OpenRoaming Frameworks in Enterprise WiFi Netzwerken. Es beschreibt detailliert die zugrundeliegenden Authentifizierungsprotokolle, Architekturkomponenten und Bereitstellungsstrategien, die für den Aufbau einer sicheren, reibungslosen Gastkonnektivität erforderlich sind. Netzwerkarchitekten und IT-Leiter erfahren, wie sie diese Standards entwerfen, implementieren und Fehler beheben, um manuelle Anmeldebarrieren zu beseitigen und gleichzeitig die Sicherheit auf Enterprise-Niveau aufrechtzuerhalten.

📖 6 Min. Lesezeit📝 1,277 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

📚 Teil unserer Kernserie: Multi-Tenant WiFi

Executive Summary

Die Anforderungen an die Konnektivität in Unternehmen haben sich von einem manuellen, auf einem Captive Portal basierenden Gastzugang hin zu einem automatisierten, sicheren und reibungslosen Onboarding verlagert. Passpoint (von der Wi-Fi Alliance als Hotspot 2.0 definiert) und OpenRoaming (organisiert von der Wireless Broadband Alliance) stehen für die Standardisierung dieses Wandels. Durch die Nutzung von IEEE 802.11u-Protokollen und WPA3-Enterprise-Sicherheit ermöglichen diese Technologien es mobilen Geräten, sichere WiFi-Netzwerke automatisch und ohne Benutzereingriff zu erkennen, zu authentifizieren und eine Verbindung zu ihnen herzustellen.

Dieser Leitfaden dient als maßgebliches Referenzwerk für Netzwerkarchitekten und IT-Leiter, die den Einsatz dieser Technologien in großen Veranstaltungsorten, Einzelhandelsumgebungen und auf Unternehmenscampussen planen. Wir untersuchen die zugrunde liegenden kryptografischen Handshakes, die Föderationsarchitektur und die praktischen Konfigurationsschritte, die für die Integration dieser Standards in bestehende drahtlose Infrastrukturen erforderlich sind. Durch die Einführung dieser Frameworks können Unternehmen die Hürden herkömmlicher Gastportale beseitigen und gleichzeitig ihre Sicherheitslage im WiFi-Bereich erheblich verbessern.

Technischer Deep-Dive

Um Passpoint und OpenRoaming zu verstehen, muss man zunächst die zugrunde liegenden Protokolle analysieren, die ihren Betrieb regeln. Das Herzstück von Passpoint ist IEEE 802.11u, eine Ergänzung des 802.11-Standards, die es drahtlosen Geräten ermöglicht, Netzdienste zu erkennen, bevor eine Zuordnung hergestellt wird.

In der Vergangenheit musste sich ein Client-Gerät mit einem Access Point (AP) verbinden und eine IP-Adresse beziehen, bevor es die Funktionen des Netzwerks abfragen konnte. Mit 802.11u erfolgt diese Erkennung im Zustand vor der Zuordnung mithilfe von Access Network Query Protocol (ANQP)-Abfragen.

Der 802.11u-Erkennungsprozess

Wenn ein Passpoint-fähiges Gerät die Funkfrequenzen scannt, erkennt es ein Beacon, das ein Interworking-Element enthält. Dieses Element signalisiert, dass der AP 802.11u unterstützt, und kündigt seinen Netzwerktyp an (z. B. privat, kostenlos öffentlich, kostenpflichtig öffentlich). Das Client-Gerät sendet dann eine ANQP-Abfrage, um bestimmte Parameter anzufordern, wie zum Beispiel:

  • Roaming Consortium Organisation Identifiers (OIs): Global eindeutige Kennungen, die vom IEEE zugewiesen werden und bestimmte Roaming-Partner oder Föderationen darstellen.
  • Venue Name und Venue Group: Metadaten, die den physischen Standort beschreiben (z. B. "Terminal 2" oder "Stadion").
  • IP Address Type Availability: Informationen darüber, ob IPv4 oder IPv6 verfügbar ist und ob NAT angewendet wird.

Wenn das Client-Gerät über ein Profil verfügt, das eine übereinstimmende Roaming Consortium OI enthält, leitet es den Authentifizierungsprozess ein, ohne den Benutzer zur Interaktion aufzufordern.

OpenRoaming-Föderationsarchitektur

OpenRoaming fungiert als globale Föderationsschicht auf Basis von Passpoint. Es etabliert eine sichere Public Key Infrastructure (PKI), die von der Wireless Broadband Alliance (WBA) verwaltet wird. Diese Föderation ermöglicht es Identity Providers (IDPs) - wie Mobilfunkbetreibern, Geräteherstellern (Apple, Google) und Identitätssystemen von Unternehmen -, sich sicher mit Netzwerkanbietern zusammenzuschließen.

Die Authentifizierung wird über WPA3-Enterprise (oder WPA2-Enterprise für Abwärtskompatibilität) mit Protected Extensible Authentication Protocol (PEAP) oder Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) durchgeführt. Der AP fungiert als Authentifikator, kapselt die EAP-Pakete in RADIUS (Remote Authentication Dial-In User Service) oder RadSec (RADIUS over TLS) Pakete und leitet diese an den Identity Provider weiter.

RadSec ist bei OpenRoaming obligatorisch, um die Kommunikation zwischen dem RADIUS-Proxy des lokalen Netzwerks und den globalen IDPs über das öffentliche Internet abzusichern. RadSec verwendet den TCP-Port 2083 und TLS-Verschlüsselung, wodurch sichergestellt wird, dass Benutzeranmeldeinformationen und Authentifizierungsattribute während der Übertragung über zwischengeschaltete Transit-Provider vertraulich bleiben.

Implementierungsleitfaden

Die Bereitstellung von Passpoint und OpenRoaming erfordert einen systematischen Ansatz über den Wireless-Controller (WLC), die RADIUS-Infrastruktur sowie die DNS- und Firewall-Konfigurationen hinweg.

Schritt 1: Audit der Netzwerkinfrastruktur

Stellen Sie sicher, dass Ihre APs und WLCs 802.11u und Passpoint Version 2 oder 3 unterstützen. Überprüfen Sie, ob Ihr RADIUS-Server RadSec (RFC 6614) unterstützt. Wenn Ihr bestehender RADIUS-Server RadSec nicht unterstützt, müssen Sie einen RadSec-Proxy (wie FreeRADIUS oder ein dediziertes Gateway) in Ihrer DMZ bereitstellen.

Schritt 2: Firewall-Konfiguration

Öffnen Sie den ausgehenden TCP-Port 2083 zu den OpenRoaming RadSec-Proxy-Servern. Stellen Sie sicher, dass die DNS-Auflösung auf Ihren RADIUS-Servern korrekt konfiguriert ist, da RadSec auf dem Dynamic Delegation Discovery System (DDDS) und NAPTR-Einträgen basiert, um den entsprechenden IDP zu finden.

Schritt 3: Zertifikatserwerb

Holen Sie ein von der WBA genehmigtes RadSec-Zertifikat von einer autorisierten Zertifizierungsstelle (CA) ein. Dieses Zertifikat ist entscheidend für die gegenseitige TLS-Authentifizierung (mTLS) zwischen Ihrem lokalen RadSec-Proxy und den OpenRoaming Federation Brokern.

Schritt 4: Konfiguration des Wireless-Controllers

  1. Erstellen Sie eine sichere SSID: Konfigurieren Sie eine neue SSID oder ändern Sie eine bestehende, um WPA3-Enterprise (oder den WPA2/WPA3-Übergangsmodus) zu verwenden.
  2. Aktivieren Sie 802.11u (Interworking): Aktivieren Sie die Interworking-Funktion auf der SSID.
  3. HESSID konfigurieren: Legen Sie die Homogeneous ESSID fest, in der Regel die MAC-Adresse einer der AP-Funkfrequenzen, um die Netzwerkgruppe eindeutig zu identifizieren.
  4. Roaming Consortium OIs hinzufügen: Fügen Sie die OpenRoaming Roaming Consortium OIs hinzu. Die Standard-OIs sind:
    • 5A-03-BE-00-00 (Settlement-Free, Identitäten verifiziert durch Google, Apple oder Mobilfunkanbieter)
    • 5A-03-BE-00-01 (Settled, für kommerzielle Roaming-Vereinbarungen)
  5. ANQP-Parameter konfigurieren: Definieren Sie den Namen des Standorts (Venue Name), die Standortgruppe (Venue Group) und den Netzwerktyp.

Schritt 5: Einrichtung des RADIUS/RadSec-Proxys

Konfigurieren Sie Ihren lokalen RADIUS-Server so, dass er als RadSec-Proxy fungiert. Definieren Sie Routing-Regeln, die Authentifizierungsanfragen, die die OpenRoaming OIs oder bestimmte Realm-Muster enthalten, an das OpenRoaming RadSec-Gateway weiterleiten.

Best Practices

Um eine stabile und leistungsstarke Bereitstellung zu gewährleisten, halten Sie sich an die folgenden branchenüblichen Empfehlungen:

  • SSID-Konsolidierung: Erstellen Sie keine dedizierte SSID für Passpoint oder OpenRoaming. Kombinieren Sie diese stattdessen auf einer einzigen, sicheren Enterprise-SSID. Dies minimiert den Beacon-Overhead und schont wertvolle Sendezeit.
  • Zertifikatsmanagement: Implementieren Sie automatisierte Prozesse zur Zertifikatsverlängerung für Ihre RadSec-Zertifikate. Ein abgelaufenes Zertifikat stoppt sofort alle OpenRoaming-Authentifizierungen.
  • Kanalplanung: Da Passpoint auf ANQP-Abfragen vor der Zuordnung basiert, verbringen Client-Geräte mehr Zeit mit dem Scannen und Abfragen. Optimieren Sie Ihre 5-GHz- und 6-GHz-Kanalplanung, um Konflikte zu reduzieren und schnelle Probe-Antworten zu gewährleisten.
  • Realm-Filterung: Implementieren Sie eine strikte Realm-Filterung auf Ihrem RadSec-Proxy, um zu verhindern, dass unnötiger Authentifizierungsverkehr das Föderationsnetzwerk überflutet. Leiten Sie nur Anfragen weiter, die gültigen OpenRoaming-Mustern entsprechen.
  • Abstimmung der User Experience: Stellen Sie sicher, dass Ihre physische Beschilderung vor Ort und Ihre digitalen Marketingmaterialien die Benutzer darüber informieren, dass sie sich automatisch über OpenRoaming verbinden können, um die Nutzung unverschlüsselter offener SSIDs zu reduzieren.

Fehlerbehebung & Risikominderung

Häufige Fehlerbilder und Lösungen

Problem: Client-Geräte verbinden sich nicht automatisch

  • Ursache: Fehlende oder falsch konfigurierte Roaming Consortium OIs auf dem WLC, oder auf dem Client-Gerät ist nicht das richtige Profil installiert.
  • Behebung: Verwenden Sie einen Paketanalysator, um die Beacon- und Probe-Response-Frames zu erfassen. Überprüfen Sie, ob das 802.11u-Interworking-Element die korrekten OIs enthält. Stellen Sie sicher, dass das Client-Profil korrekt über ein MDM oder ein Bereitstellungsportal bereitgestellt wird.

Problem: RadSec-Verbindungsfehler

  • Ursache: Firewall blockiert den TCP-Port 2083 oder ungültige/abgelaufene RadSec-Zertifikate.
  • Behebung: Führen Sie eine Paketerfassung auf der WAN-Schnittstelle des RADIUS-Proxys durch. Überprüfen Sie, ob der TLS-Handshake erfolgreich abgeschlossen wird. Prüfen Sie den Status der Zertifikatssperrliste (CRL).

Problem: Hohe Latenz bei der Authentifizierung

  • Ursache: Geografisch weit entfernte IDPs oder langsame DNS-Auflösung für NAPTR-Einträge.
  • Behebung: Implementieren Sie ein lokales Caching von DNS-Einträgen und stellen Sie sicher, dass Ihr RADIUS-Proxy über Verbindungen mit geringer Latenz zu den regionalen OpenRoaming-Hubs verfügt.

ROI & geschäftlicher Nutzen

Der Übergang zu Passpoint und OpenRoaming liefert messbaren geschäftlichen Nutzen in drei Hauptbereichen: operative Effizienz, Sicherheitsniveau und Data Intelligence.

Operative Effizienz

Durch die Automatisierung des Verbindungsprozesses verzeichnen Standorte eine erhebliche Reduzierung von Support-Tickets im Zusammenhang mit dem Gäste-WiFi. Das Personal an der Rezeption und die IT-Helpdesks verbringen weniger Zeit mit der Behebung von Problemen mit dem Captive Portal und Kennwörtern.

Sicherheitsniveau

Herkömmliche offene Gästenetzwerke setzen Benutzer dem Abhören und Man-in-the-Middle-Angriffen aus. Passpoint schreibt eine Verschlüsselung der Enterprise-Klasse (WPA2/WPA3-Enterprise) vor und sichert den gesamten Datenverkehr über die Luft. Dies schützt sowohl den Benutzer als auch den Standort vor Haftungsrisiken im Zusammenhang mit Datenschutzverletzungen.

Data Intelligence

Bei der Integration mit Plattformen wie Purple ermöglicht Passpoint es Standorten, wiederkehrende Besucher nahtlos zu identifizieren. Da sich das Gerät automatisch verbindet, erfasst der Standort genaue Kennzahlen zur Verweildauer und Besuchshäufigkeit, ohne dass der Nutzer einen Browser öffnen und sich wiederholt anmelden muss. Dieser kontinuierliche Datenstrom ermöglicht hochgradig zielgerichtete Engagement-Strategien in Echtzeit.

Schlüsseldefinitionen

Passpoint

Ein Zertifizierungsprogramm der Wi-Fi Alliance (basierend auf Hotspot 2.0), das es mobilen Geräten ermöglicht, WiFi-Netzwerke mit Sicherheit auf Enterprise-Niveau automatisch zu erkennen und sich mit ihnen zu verbinden.

Es bildet das technische Fundament für ein nahtloses Onboarding von Gästen.

OpenRoaming

Eine globale Roaming-Federation, die von der Wireless Broadband Alliance (WBA) ins Leben gerufen wurde und es Nutzern ermöglicht, sich mithilfe vertrauenswürdiger Identitäten sicher und automatisch mit WiFi-Netzwerken zu verbinden.

Es fungiert als Policy- und Identity-Layer auf Basis von Passpoint.

ANQP

Access Network Query Protocol. Ein Abfrage-Antwort-Protokoll, das von mobilen Geräten verwendet wird, um Netzwerkfunktionen zu erkennen, bevor sie sich mit einem AP verbinden.

Entscheidend für die Erkennung vor der Assoziierung in 802.11u.

802.11u

Eine Ergänzung zum Standard IEEE 802.11, die Funktionen für das Interworking mit externen Netzwerken hinzufügt und so die Erkennung vor der Assoziierung ermöglicht.

Der physische und MAC-Layer-Standard, der Passpoint erst möglich macht.

RadSec

RADIUS über TLS (RFC 6614). Ein Protokoll, das RADIUS-Pakete sichert, indem es sie in einem TLS-Tunnel über TCP kapselt.

Zwingend erforderlich für OpenRoaming, um den Authentifizierungsverkehr über das öffentliche Internet abzusichern.

Roaming Consortium OI

Roaming Consortium Organisation Identifier. Ein eindeutiger Hex-Identifikator, der vom IEEE zugewiesen wird, um eine bestimmte Roaming-Federation oder einen Partner zu identifizieren.

Wird von APs verwendet, um zu signalisieren, welche Roaming-Anmeldedaten sie akzeptieren.

HESSID

Homogeneous ESSID. Eine auf APs konfigurierte 48-Bit-MAC-Adresse zur Identifizierung einer Gruppe von APs, die zum selben Netzwerk oder Standort gehören.

Hilft Client-Geräten zu verstehen, dass mehrere APs zur selben administrativen Domäne gehören.

EAP-TLS

Extensible Authentication Protocol-Transport Layer Security. Ein Authentifizierungsprotokoll, das digitale Zertifikate für die gegenseitige Authentifizierung verwendet.

Die sicherste von Passpoint unterstützte Authentifizierungsmethode.

Ausgearbeitete Beispiele

Eine großflächige Stadion-Bereitstellung erfordert die Konfiguration eines Cisco Catalyst 9800 Wireless Controllers zur Unterstützung von OpenRoaming (Settlement-Free) neben bestehenden Unternehmens-SSIDs. Der Netzwerkarchitekt muss sicherstellen, dass Client-Geräte das Netzwerk automatisch unter Verwendung der korrekten Roaming Consortium OIs erkennen und sich mit ihm verbinden.

Um dies auf dem Cisco Catalyst 9800 WLC zu implementieren, führen Sie die folgenden Konfigurationsschritte aus:

  1. Definieren Sie das ANQP-Serverprofil:
wireless profile anqp openroaming-anqp-profile
  venue-name english "Stadium Main Bowl"
  venue-group assembly venue-type arena
  network-auth-type redirect-url "https://portal.purple.ai"
  ip-type ipv4-nat ipv6-no-address
  1. Erstellen Sie das Roaming-Consortium-Profil und fügen Sie die OpenRoaming Settlement-Free OI (5A-03-BE-00-00) hinzu:
wireless profile roaming openroaming-roaming-profile
  roaming-consortium-oi 5A03BE0000
  1. Konfigurieren Sie das Hotspot 2.0 (Passpoint) Profil:
wireless profile hotspot openroaming-hotspot-profile
  anqp-server-profile openroaming-anqp-profile
  roaming-consortium-profile openroaming-roaming-profile
  hessid 00:11:22:33:44:55
  1. Wenden Sie das Hotspot-Profil auf das Ziel-WLAN-Profil an:
wlan openroaming-wlan 1 openroaming-ssid
  security wpa wpa3
  security wpa akm eap
  hotspot-profile openroaming-hotspot-profile
  no shutdown
  1. Überprüfen Sie die Konfiguration über die CLI:
show wireless profile hotspot detailed openroaming-hotspot-profile
Kommentar des Prüfers: Der Kandidat hat die Trennung von ANQP-, Roaming- und Hotspot-Profilen auf der Cisco Catalyst 9800-Plattform korrekt erkannt. Ein häufiger Fehler ist das Weglassen der HESSID, die für korrekte Roaming-Entscheidungen des Clients erforderlich ist. Die Verwendung des richtigen Hex-Formats für die Roaming Consortium OI (5A03BE0000) ist kritisch, da eine falsche Formatierung den Client-Abgleich verhindert.

Eine Einzelhandelskette mit mehreren Standorten möchte von einem herkömmlichen Captive Portal zu einem Hybridmodell migrieren. Sie möchte OpenRoaming für nahtlose Verbindungen nutzen und gleichzeitig die Analyseplattform von Purple nutzen, um das Besucherverhalten zu verfolgen und gezielte Kampagnen basierend auf der Verweildauer durchzuführen.

Die Lösung erfordert die Konfiguration eines RadSec-Proxys, um Authentifizierungsanfragen an die OpenRoaming-Federation weiterzuleiten und gleichzeitig Accounting-Daten an die Purple-Cloud-Plattform zu senden.

  1. Konfigurieren Sie den lokalen RadSec-Proxy (z. B. FreeRADIUS), um eine TLS-Verbindung mit dem OpenRoaming-Gateway herzustellen:
home_server openroaming_radsec {
  type = auth+acct
  ipaddr = radsec.openroaming.org
  port = 2083
  proto = tcp
  tls {
    private_key_file = /etc/raddb/certs/radsec.key
    certificate_file = /etc/raddb/certs/radsec.pem
    ca_file = /etc/raddb/certs/wba_ca.pem
  }
}
  1. Konfigurieren Sie den Accounting-Server so, dass er Accounting-Pakete dupliziert und an die RADIUS-Accounting-Endpunkte von Purple weiterleitet:
home_server purple_accounting {
  type = acct
  ipaddr = acct.purpleportal.net
  port = 1813
  secret = PurpleSharedSecret
}

realm openroaming {
  auth_pool = openroaming_radsec
  acct_pool = purple_accounting
}
  1. Stellen Sie auf dem WLC sicher, dass das RADIUS-Accounting aktiviert und so konfiguriert ist, dass alle 300 Sekunden Zwischen-Updates gesendet werden. Dies stellt sicher, dass Purple kontinuierlich Daten zur Verweildauer erhält, selbst wenn der Benutzer nicht aktiv einen Browser öffnet.
Kommentar des Prüfers: Diese hybride Architektur ist äußerst effektiv. Durch das Routing der Authentifizierung an die OpenRoaming-Federation und das Duplizieren der Accounting-Daten an Purple erreicht der Einzelhändler ein sicheres, automatisches Onboarding bei voller Transparenz der Besucheranalysen. Der Schlüssel zum Erfolg liegt hier in der Konfiguration des RadSec-Proxys für das Dual-Destination-Routing.

Übungsfragen

Q1. Ein Netzwerktechniker stellt fest, dass sich Android-Geräte automatisch mit der OpenRoaming-SSID verbinden, iOS-Geräte die Benutzer jedoch auffordern, das Netzwerk manuell auszuwählen. Was ist die wahrscheinlichste Ursache für dieses Verhalten?

Hinweis: Überlegen Sie, wie Profile auf verschiedenen mobilen Betriebssystemen bereitgestellt und als vertrauenswürdig eingestuft werden.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist, dass auf den iOS-Geräten das erforderliche OpenRoaming-Profil nicht installiert ist oder die Zertifikatsdaten des Profils von iOS nicht als vertrauenswürdig eingestuft werden. Android-Geräte sind häufig ab Werk mit vorinstallierten OpenRoaming-Profilen von Geräteherstellern oder Mobilfunkanbietern ausgestattet. iOS erfordert eine explizite Profilinstallation über ein MDM, eine Bereitstellungs-App oder ein Portal wie Purple, um der Root-CA zu vertrauen und die Roaming Consortium OI mit der SSID zu verknüpfen.

Q2. Bei einer Paketerfassung auf der WAN-Schnittstelle eines RadSec-Proxys beobachten Sie TCP-SYN-Pakete, die an Port 2083 gesendet werden, aber es wird kein SYN-ACK empfangen. Welche Schritte zur Fehlerbehebung sollten Sie einleiten?

Hinweis: Konzentrieren Sie sich auf den Netzwerkpfad und die Firewall-Konfigurationen.

Musterlösung anzeigen
  1. Überprüfen Sie, ob die Outbound-Firewall-Richtlinie Datenverkehr über den TCP-Port 2083 von der IP des RadSec-Proxys zum Ziel-OpenRoaming-Gateway zulässt.
  2. Prüfen Sie, ob eine dazwischengeschaltete Sicherheits-Appliance (z. B. ein IPS oder eine Deep-Packet-Inspection-Firewall) den Datenverkehr blockiert oder verwirft.
  3. Bestätigen Sie, ob die über DNS-NAPTR-Einträge aufgelöste Ziel-IP-Adresse korrekt und erreichbar ist.
  4. Führen Sie ein Traceroute durch, um festzustellen, an welcher Stelle im Transitpfad der Paketverlust auftritt.

Q3. Warum gilt die SSID-Konsolidierung bei der Bereitstellung von Passpoint und OpenRoaming als Best Practice, und was sind die technischen Auswirkungen, wenn diese Empfehlung ignoriert wird?

Hinweis: Denken Sie an die Airtime-Effizienz und den Beacon-Overhead.

Musterlösung anzeigen

Eine SSID-Konsolidierung ist von entscheidender Bedeutung, da jede auf einem AP konfigurierte SSID ihre eigenen Beacon-Frames übertragen muss, in der Regel mit der niedrigsten unterstützten obligatorischen Datenrate. Das Erstellen einer dedizierten SSID für Passpoint/OpenRoaming erhöht den Beacon-Overhead, was wertvolle Sendezeit verbraucht und die gesamte Netzwerkkapazität verringert. Durch die Konsolidierung von Passpoint auf eine bestehende sichere Enterprise-SSID kündigt der AP die 802.11u-Parameter innerhalb der bestehenden Beacon-Frames an, wodurch Sendezeit gespart und eine optimale Kanaleffizienz aufrechterhalten wird.

Weiterlesen in dieser Reihe

Konfigurieren von RADIUS-Authentifizierung für Gäste- und Mitarbeiter-WiFi-Netzwerke

Dieses technische Referenzhandbuch beschreibt die Architektur, Konfiguration und Bereitstellung der RADIUS-Authentifizierung für WiFi-Netzwerke von Unternehmen für Gäste und Mitarbeiter. Es bietet Netzwerkarchitekten und IT-Managern die genauen Protokolle, Sicherheitsstandards und Fehlerbehebungsmethoden, die für den Aufbau sicherer, skalierbarer drahtloser Zugriffskontrollsysteme erforderlich sind.

Leitfaden lesen →

Implementierung von SCEP für sichere BYOD- und Netzwerkanmeldung im Hochschulbereich

Dieser technische Leitfaden bietet Netzwerkarchitekten und IT-Managern ein herstellerunabhängiges Konzept für die Bereitstellung von SCEP-basierten Zertifikatsanmeldungen zur Sicherung von Campusnetzwerken an Hochschulen. Er beschreibt im Detail die Migration von passwortbasiertem PEAP zu 802.1X EAP-TLS, die Automatisierung des BYOD-Onboardings und die Durchsetzung einer robusten VLAN-Segmentierung.

Leitfaden lesen →

Server RADIUS: Ein umfassender Leitfaden für Unternehmen

Dieser Leitfaden bietet IT-Managern, Netzwerkarchitekten und CTOs eine definitive technische Referenz zur Server RADIUS-Authentifizierung für Enterprise-WiFi. Er behandelt das AAA-Framework, die 802.1X-Architektur, die Auswahl von EAP-Methoden, die Abwägung zwischen Cloud- und On-Premises-Bereitstellung sowie die dynamische VLAN-Zuweisung. Betreiber von Standorten in den Bereichen Hotellerie, Einzelhandel, Events und im öffentlichen Sektor finden hier praktische Implementierungsanleitungen, Fallstudien aus der Praxis und die Entscheidungsrahmen, die für die Migration von unsicheren Pre-Shared Keys zu einer sicheren, identitätsbasierten Netzwerkzugriffskontrollarchitektur erforderlich sind.

Leitfaden lesen →