PPSK-Kiosk: Funktionsvergleich und Bereitstellungsmodelle

Willkommen zum Purple Technical Briefing. Heute befassen wir uns mit PPSK-Kiosk-Bereitstellungen - was sie sind, wie sie im Vergleich zu Alternativen abschneiden und wo ihr Einsatz tatsächlich sinnvoll ist. Beginnen wir mit dem Problem. In einem herkömmlichen WPA2-Personal-Netzwerk nutzt jedes Gerät dasselbe Passwort. Zu Hause ist das in Ordnung. In einem Build-to-Rent-Objekt mit 200 Einheiten, einem Hotel mit 300 Zimmern oder einem Konferenzzentrum mit aufeinanderfolgenden Veranstaltungen ist es ein Sicherheitsrisiko. Wenn ein Bewohner auszieht oder ein Gast auscheckt, müssen Sie entweder das Passwort für alle Beteiligten ändern - wodurch die Verbindung jedes anderen Geräts im Gebäude unterbrochen wird - oder Sie lassen die alten Zugangsdaten aktiv. Keine der beiden Optionen ist akzeptabel. PPSK löst dieses Problem, indem es jedem Bewohner, jeder Wohnung oder jeder Gerätegruppe einen eigenen, eindeutigen WiFi-Schlüssel zuweist. Alle verbinden sich mit derselben SSID - demselben Netzwerknamen - aber jeder Schlüssel wird einem separaten VLAN zugeordnet. Wohnung 12 befindet sich im VLAN 10. Wohnung 13 ist im VLAN 20. Die IoT-Geräte befinden sich im VLAN 99. Der Access Point übernimmt die Zuordnung von Schlüssel zu VLAN automatisch. Kein RADIUS-Server erforderlich. Keine Zertifikatsinfrastruktur. Kein 802.1X-Supplicant auf dem Gerät. Der Kiosk-Aspekt ist nun der Punkt, an dem es für Immobilienentwickler und Betreiber von Veranstaltungsorten betrieblich interessant wird. Ein PPSK-Kiosk ist ein Self-Service-Terminal - in der Regel ein Tablet in einem festen Ständer -, das in einer Lobby, an einer Rezeption oder in einem Gemeinschaftsbereich aufgestellt wird. Ein Besucher oder ein neuer Bewohner geht hin, gibt seinen Namen ein oder scannt einen QR-Code, und der Kiosk generiert und erstellt direkt vor Ort einen eindeutigen PPSK. Der Schlüssel ist mit dem Identitätsdatensatz verknüpft, hat ein definiertes Ablaufdatum und wird dem richtigen VLAN für die jeweilige Zugriffsebene zugeordnet. Kein Personal am Empfang erforderlich. Kein IT-Ticket. Kein gemeinsames Passwort auf einem Whiteboard. Sprechen wir über die Terminologie, da diese je nach Hersteller variiert und das führt oft zu echter Verwirrung. Aruba nennt es PPSK - Private Pre-Shared Key. Cisco Meraki nennt es iPSK - Identity PSK. Juniper Mist verwendet ePSK. Extreme Networks, die das Konzept ursprünglich unter der Marke Aerohive entwickelt haben, nennen es Private PSK. Ubiquiti UniFi nennt es einfach PPSK. Cambium verwendet ebenfalls ePSK. Der zugrunde liegende Mechanismus ist bei allen identisch: eine SSID, mehrere eindeutige Schlüssel, wobei jeder Schlüssel an ein VLAN oder eine Richtliniengruppe gebunden ist. Technisch gesehen passiert auf der Assoziierungsebene Folgendes. Wenn sich ein Gerät verbindet, präsentiert es seinen Pre-Shared Key während des WPA2-Four-Way-Handshakes. Der Access Point - oder der dahinter liegende Cloud-Controller - schlägt diesen Schlüssel im PPSK-Speicher nach, identifiziert, welchem VLAN er zugeordnet ist, und markiert den Datenverkehr des Geräts ab diesem Zeitpunkt entsprechend. Das Gerät sieht eine ganz normale WiFi-Verbindung. Es hat keine Ahnung, dass es in einem isolierten Segment platziert wurde. Sein Chromecast funktioniert. Sein Smart Speaker koppelt sich. Seine Konsole erhält den richtigen NAT-Typ. Alles verhält sich wie ein Heimnetzwerk - denn aus der Perspektive des Geräts ist es das auch. Dies ist der wesentliche Unterschied zu 802.1X, dem Enterprise-Standard für Mitarbeiternetzwerke und Unternehmensumgebungen. 802.1X erfordert einen RADIUS-Server, einen Identity Provider - Microsoft Entra ID, Okta oder Google Workspace - und einen Supplicant auf jedem Gerät. Dieser Supplicant ist die Softwarekomponente, die den EAP-Authentifizierungsaustausch abwickelt. Jeder verwaltete Laptop, jedes Firmentelefon besitzt einen. Der intelligente Kühlschrank Ihres Bewohners nicht. Die HLK-Steuerung Ihres Gebäudes nicht. Ihre IoT-Sensoren nicht. PPSK funktioniert mit allen diesen Geräten, da es auf der WPA-Personal-Ebene und nicht auf der WPA-Enterprise-Ebene arbeitet. Dennoch ist PPSK kein Ersatz für 802.1X in Unternehmensumgebungen. Es ist ein anderes Werkzeug für ein anderes Problem. Wenn Sie ein Mitarbeiternetzwerk betreiben, bei dem es auf die individuelle Zurechenbarkeit ankommt, ist 802.1X die richtige Lösung. Wenn Sie ein Wohnnetzwerk betreiben, bei dem Sie eine Isolierung pro Haushalt, IoT-Unterstützung und betriebliche Einfachheit im großen Stil benötigen, ist PPSK die richtige Lösung. Sehen wir uns die drei Bereitstellungsmodelle an, die heute in der Praxis eingesetzt werden. Das erste ist das Cloud-Controller-Modell. Ihre Access Points - ob Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks oder Fortinet - verbinden sich mit einer Cloud-Management-Plattform. Der PPSK-Schlüsselspeicher befindet sich im Cloud-Controller. Wenn Sie einen neuen Bewohner anlegen, erstellen Sie im Portal einen Schlüssel, weisen ihn einem VLAN zu, und der Controller überträgt die Richtlinie auf jeden Access Point im Gebäude. Der Bewohner erhält seinen Schlüssel per E-Mail, SMS oder über einen QR-Code in einem Willkommenspaket und stellt die Verbindung her. Wenn er auszieht, löschen Sie den Schlüssel. Seine Geräte können sich nicht mehr verbinden. Niemand sonst ist davon betroffen. Das zweite Modell ist PPSK mit einem lokalen RADIUS-Backend. Einige Enterprise-Bereitstellungen nutzen einen RADIUS-Server zur Speicherung und Validierung von PPSK-Anmeldedaten, was Ihnen eine zentrale Protokollierung, Audit-Trails und die Integration in Ihre Identity-Management-Plattform bietet. Dies bedeutet zwar einen zusätzlichen Aufwand für die Infrastruktur, bietet Ihnen jedoch die Zurechenbarkeit von 802.1X bei der Gerätekompatibilität von PPSK. Das dritte Modell ist ein Hybridmodell: PPSK für Bewohner und IoT, 802.1X für Mitarbeiter und Managementsysteme. Dies ist die Architektur, die Purple für Build-to-Rent- und Mehrfamilienhaus-Projekte empfiehlt. Bewohner erhalten PPSK. Gebäudemanagementsysteme, Videoüberwachung und Zutrittskontrolle erhalten ihr eigenes IoT-VLAN mit PPSK. Die Geräte des Property-Management-Teams nutzen 802.1X in Verbindung mit Microsoft Entra ID oder Okta. Drei verschiedene Authentifizierungsmodelle, drei verschiedene VLANs, eine physische Infrastruktur. Kommen wir nun zu den Fallstricken. Dies sind die Fehlermuster, die ich in der Praxis immer wieder erlebe. Das erste ist die SSID-Proliferation. Jede SSID, die Sie ausstrahlen, verbraucht Sendezeit für Beacon-Frames. Wenn Sie in einem dicht besiedelten Wohngebäude sechs oder acht SSIDs pro Access Point ausstrahlen, verschlechtern Sie die Leistung für alle. Beschränken Sie sich auf maximal vier SSIDs pro Funkmodul. Verwenden Sie PPSK, um mehrere Segmente von Bewohnern über eine einzige SSID zu bedienen, anstatt eine separate SSID pro Wohnung oder Etage zu erstellen. Die zweite Falle ist eine unzureichende Konfiguration der Trunk-Ports. Sie entwerfen ein sauberes VLAN-Schema, stellen die Access Points bereit und dann bricht der Datenverkehr lautlos ab, weil jemand vergessen hat, die relevanten VLANs auf einer Trunk-Verbindung zwischen dem Distribution-Switch und dem Access-Layer zuzulassen. Validieren Sie jeden Trunk-Port bei der Inbetriebnahme. Dokumentieren Sie es. Testen Sie es mit einem Gerät in jedem VLAN, bevor die Bewohner einziehen. Die dritte Falle ist die Schlüsselverteilung. Das Generieren von Schlüsseln ist unkompliziert. Sie den Bewohnern auf eine sichere und betrieblich verwaltbare Weise zukommen zu lassen, ist schwieriger. Ein QR-Code im Willkommenspaket funktioniert am Tag des Einzugs gut. Ein Bewohnerportal, in dem sie ihren Schlüssel abrufen und neue Geräte hinzufügen können, ist für den laufenden Betrieb besser. Erstellen Sie den Workflow für die Schlüsselverteilung vor der Bereitstellung, nicht danach. Lassen Sie mich Ihnen zwei praktische Szenarien vorstellen, die dies in der Realität veranschaulichen. Szenario eins: eine Build-to-Rent-Wohnanlage mit 180 Einheiten in einem Stadtzentrum. Der Betreiber wollte, dass WiFi als Annehmlichkeit in der Miete enthalten ist, mit Aktivierung am Tag des Einzugs und vollständiger Smart-Home-Unterstützung. Sie installierten HPE Aruba Access Points, die über Aruba Central verwaltet werden. Jede Wohnung erhält einen eindeutigen PPSK-Schlüssel, der bei der Unterzeichnung des Mietvertrags generiert wird. Der Schlüssel wird dem Bewohner mit einem QR-Code per E-Mail zugesendet. Sie scannen ihn, alle ihre Geräte verbinden sich und ihr Chromecast, Smart-Speaker und ihre Konsole funktionieren sofort. Wenn ein Bewohner auszieht, löscht der Hausverwalter den Schlüssel im Portal. Der neue Bewohner erhält beim Einzug einen neuen Schlüssel. Der Betreiber meldete eine Reduzierung der WiFi-bezogenen Support-Tickets um 30 % im Vergleich zu seiner vorherigen Bereitstellung mit gemeinsam genutzten Passwörtern. Szenario zwei: ein zweckgebundenes Studentenwohnheim mit 400 Betten. Die Herausforderung besteht hier in der Einzugswoche, in der Hunderte von Studenten gleichzeitig ankommen und alle versuchen, Dutzende von Geräten auf einmal zu verbinden. Der Betreiber nutzte Ruckus Access Points mit SmartZone und implementierte PPSK mit einem Schlüssel pro Zimmer. Die Schlüssel wurden vorab generiert und dem vor der Ankunft versandten Willkommenspaket beigelegt. Die Studenten scannten bei der Ankunft den QR-Code und waren innerhalb von Sekunden verbunden. Das Netzwerk bewältigte den Einzugsansturm ohne Leistungseinbußen, da der Datenverkehr jedes Studenten in seinem eigenen VLAN-Segment isoliert war. Nun zu einer schnellen Fragerunde zu den Fragen, die am häufigsten gestellt werden. Wie viele PPSK-Schlüssel kann ein einzelner Access Point verarbeiten? Die meisten Enterprise-Plattformen unterstützen Tausende von Schlüsseln pro SSID. Cisco Meraki unterstützt bis zu 5.000 iPSK-Einträge pro Netzwerk. Aruba unterstützt eine ähnliche Größenordnung. Ubiquiti UniFi unterstützt bis zu 1.000 PPSK-Einträge pro Netzwerk. Für ein Gebäude mit 200 Einheiten liegen Sie auf jeder Plattform weit innerhalb der Grenzwerte. Funktioniert PPSK mit WPA3? Ja, auf den meisten Enterprise-Plattformen. WPA3-SAE bietet im Vergleich zu WPA2-PSK einen stärkeren Schutz gegen Offline-Wörterbuchangriffe. Daher ist die Bereitstellung von PPSK auf WPA3, sofern Ihre Client-Geräte dies unterstützen, der richtige Ansatz. Die Ausnahme ist UniFi, das derzeit für PPSK nur WPA2 unterstützt. Kann ich PPSK in mein Property Management System integrieren? Ja, über die API des Herstellers. Aruba Central, Meraki, Ruckus und Mist stellen alle REST-APIs für das PPSK-Schlüsselmanagement bereit. Die Plattform von Purple fungiert als Cloud-Overlay und übernimmt die API-Aufrufe an die zugrunde liegende Hardware. Ihr Property Management System kommuniziert also mit einem einzigen Endpunkt, unabhängig davon, welchen Access-Point-Hersteller Sie nutzen. Wie sieht es mit der GDPR-Konformität aus? Bei der PPSK-Schlüsselgenerierung werden Identitätsdaten erfasst - Name, E-Mail, Wohneinheit. Diese Daten benötigen eine Rechtsgrundlage gemäß UK GDPR, eine klare Aufbewahrungsrichtlinie und eine sichere Speicherung. Purple speichert Daten nach Ihrer Wahl in den Regionen EU, UK oder US, mit konfigurierbaren Aufbewahrungsfristen und einer in den Onboarding-Prozess integrierten Einwilligungserfassung. Zusammenfassend lässt sich sagen: Ein PPSK-Kiosk ist die richtige Architektur, wenn Sie eine WiFi-Isolierung pro Benutzer oder Haushalt, Unterstützung für IoT-Geräte und ein Self-Service-Onboarding in großem Maßstab benötigen. Sie läuft auf Hardware, die Sie wahrscheinlich bereits besitzen - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme oder Fortinet. Sie ersetzt nicht 802.1X für Mitarbeiternetzwerke, bei denen es auf individuelle Audit-Trails ankommt. Und das Kiosk-Element - das Self-Service-Terminal - ist das, was den Betrieb bei einem BTR-Projekt mit 200 Einheiten oder einer Konferenz mit 500 Delegierten überhaupt erst praktikabel macht. Wenn Sie eine Bereitstellung planen und die Architektur besprechen möchten, arbeitet das Team von Purple in über 80.000 Standorten und kann das passende Modell für Ihren spezifischen Immobilientyp ermitteln. Der Link befindet sich im Leitfaden. Vielen Dank fürs Zuhören.