Zum Hauptinhalt springen
Deutsch

PPSK-Verzeichnis: Vergleich von Funktionen und Bereitstellungsmodellen

Dieser Leitfaden beschreibt die PPSK (Private Pre-Shared Key) Verzeichnisarchitektur für mandantenfähige Netzwerke und vergleicht sie mit 802.1X und Standard-PSK. Er bietet Netzwerkarchitekten und IT-Managern herstellerunabhängige Bereitstellungsmodelle für Build to Rent, Studentenwohnheime und MDU-Umgebungen und deckt Cloud Controller, RADIUS-Backend und hybride Authentifizierungsmuster ab.

📖 8 Min. Lesezeit📝 1,990 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
[00:00:00] Willkommen beim Purple Technical Briefing. Heute befassen wir uns mit dem PPSK-Verzeichnismanagement - also dem Private Pre-Shared Key-Verzeichnismanagement. Was es ist, wie es im Vergleich zu Ihren Alternativen abschneidet und wie Sie es in Multi-Tenant-Umgebungen richtig implementieren. [00:00:20] Beginnen wir mit dem Problem, das es löst. Sie verwalten eine Build-to-Rent-Immobilie mit 200 Einheiten. Wenn Sie ein Standard-WPA2-Personal-Netzwerk verwenden, teilen sich alle Bewohner ein einziges Passwort. Wenn Wohnung 12 auszieht, haben Sie zwei Möglichkeiten. Entweder Sie ändern das Passwort, wodurch das WiFi für alle anderen Bewohner unterbrochen wird. Oder Sie lassen dem ehemaligen Bewohner den Zugang. Beides ist inakzeptabel. [00:00:45] PPSK löst dieses Problem. Sie senden einen einzigen Netzwerknamen - eine SSID. Aber das Netzwerk vergibt ein einzigartiges Passwort an jede Wohnung. Wenn sich ein Bewohner verbindet, überprüft der Access Point das PPSK-Verzeichnis, validiert den Key und leitet diesen Bewohner in sein eigenes, isoliertes VLAN weiter. Ihr Smartphone sieht ihren Smart-TV. Ihr Chromecast funktioniert. Sie können den Fernseher in der Wohnung nebenan nicht sehen. [00:01:10] Warum also nicht einfach 802.1X verwenden? 802.1X ist hervorragend für Unternehmensumgebungen geeignet. Es nutzt RADIUS und Identitätsanbieter wie Microsoft Entra ID oder Okta. Aber es erfordert einen Supplicant auf dem Gerät. Ein Supplicant ist die Softwarekomponente, die den Authentifizierungsaustausch abwickelt. Der Smart-Speaker Ihres Bewohners hat keinen 802.1X-Supplicant. Ebenso wenig wie sein intelligentes Thermostat, sein kabelloser Drucker oder seine Spielekonsole. PPSK bietet Ihnen Isolierung auf Enterprise-Niveau bei gleichzeitiger Kompatibilität mit Consumer-Geräten. Das ist das Kernwertversprechen. [00:02:00] Werfen wir einen Blick auf die Terminologie, da diese je nach Anbieter variiert und echte Verwirrung stiftet. Aruba nennt es PPSK - Private Pre-Shared Key. Cisco Meraki nennt es iPSK - Identity PSK. Juniper Mist verwendet ePSK. Extreme Networks, die das Konzept ursprünglich unter der Marke Aerohive entwickelt haben, nennen es Private PSK. Ubiquiti UniFi nennt es schlicht PPSK. Der zugrunde liegende Mechanismus ist bei allen identisch. Eine SSID, mehrere eindeutige Keys, wobei jeder Key an ein VLAN oder eine Richtliniengruppe gebunden ist. [00:02:40] Technisch gesehen passiert auf der Assoziationsschicht Folgendes: Wenn sich ein Gerät verbindet, präsentiert es seinen Pre-Shared Key während des WPA2-Four-Way-Handshakes. Der Access Point fragt das PPSK-Verzeichnis ab - das entweder im Cloud-Controller oder in einem RADIUS-Backend gehostet wird - um den Key zu validieren und das zugewiesene VLAN abzurufen. Das Gerät nimmt ein Standard-Heimnetzwerk wahr. Es hat keine Ahnung, dass es in einem isolierten Segment platziert wurde. Alles verhält sich genau so, wie es sich bei einem privaten Breitbandanschluss verhalten würde. [00:03:20] Sehen wir uns die Bereitstellungsmodelle an. Es gibt heute drei primäre Muster in der Produktion. Das erste ist das Cloud-Controller-Modell. Dies ist die gängigste Methode für neue Bereitstellungen. Ihre Access Points verbinden sich mit einer Cloud-Management-Plattform. Der PPSK-Key-Store befindet sich im Cloud-Controller. Wenn Sie einen neuen Bewohner anlegen, erstellen Sie einen Schlüssel im Portal, weisen ihn einem VLAN zu, und der Controller überträgt die Richtlinie an jeden Access Point im Gebäude. Der Bewohner erhält seinen Schlüssel per E-Mail, SMS oder über einen QR-Code in einem Willkommenspaket. Sie scannen ihn, alle ihre Geräte verbinden sich und ihr Chromecast, Smart Speaker und ihre Konsole funktionieren sofort. Wenn sie ausziehen, löschen Sie den Schlüssel. Ihre Geräte verbinden sich nicht mehr. Niemand sonst ist betroffen. [00:04:30] Das zweite Modell ist PPSK mit einem lokalen RADIUS-Backend. Einige Enterprise-Bereitstellungen nutzen einen RADIUS-Server, um PPSK-Anmeldedaten zu speichern und zu validieren. Dies bietet Ihnen eine zentrale Protokollierung, Audit-Trails und die Integration in Ihre Identity-Management-Plattform. Dies erhöht zwar den Aufwand für die Infrastruktur, bietet Ihnen jedoch die Verantwortlichkeit von 802.1X gepaart mit der Gerätekompatibilität von PPSK. Es ist das richtige Modell für gemischte Umgebungen - wie etwa einen Coworking-Bereich, in dem Sie sowohl verwaltete Unternehmensgeräte als auch im Besitz von Mitgliedern befindliche IoT-Geräte haben. [00:05:15] Das dritte Modell ist die hybride Authentifizierung. Bewohner nutzen PPSK für ihre Laptops und IoT-Geräte. Das Gebäudepersonal nutzt 802.1X für Unternehmensgeräte. Beide Gruppen verbinden sich mit derselben physischen Infrastruktur, werden jedoch unterschiedlichen logischen Segmenten zugewiesen. Purple empfiehlt diese Architektur für umfassende Build-to-Rent- und Mehrfamilienhaus-Bereitstellungen. Drei verschiedene Authentifizierungsmodelle, drei verschiedene VLANs, eine physische Infrastruktur. [00:06:00] Lassen Sie uns nun über Stolpersteine bei der Implementierung sprechen. Dies sind die Fehlerszenarien, die ich in Produktionsumgebungen immer wieder erlebe. Stolperstein eins: SSID-Proliferation. Jede SSID, die Sie senden, verbraucht Sendezeit für Beacon-Frames. Wenn Sie in einem dicht besiedelten Wohngebäude sechs oder acht SSIDs pro Access Point senden, beeinträchtigen Sie die Leistung für alle. Beschränken Sie sich auf maximal vier SSIDs pro Funkmodul. Nutzen Sie PPSK, um mehrere Bewohnersegmente über eine einzige SSID zu bedienen, anstatt eine separate SSID pro Wohnung oder Etage zu erstellen. [00:06:45] Stolperstein zwei: unzureichende Trunk-Port-Konfiguration. Sie entwerfen ein sauberes VLAN-Schema, stellen die Access Points bereit, und dann bricht der Datenverkehr lautlos ab, weil jemand vergessen hat, die entsprechenden VLANs auf einer Trunk-Verbindung zwischen dem Distribution-Switch und dem Access-Layer freizugeben. Validieren Sie jeden Trunk-Port bei der Inbetriebnahme. Dokumentieren Sie es. Testen Sie es mit einem Gerät in jedem VLAN, bevor die Bewohner einziehen. [00:07:20] Stolperstein drei: Schlüsselverteilung. Das Erstellen von Schlüsseln ist einfach. Sie den Bewohnern auf eine sichere und betrieblich handhabbare Weise zukommen zu lassen, ist schwieriger. Ein QR-Code im Willkommenspaket funktioniert am Einzugstag gut. Ein Bewohnerportal, in dem sie ihren Schlüssel abrufen und neue Geräte hinzufügen können, ist für den laufenden Betrieb besser. Erstellen Sie den Workflow zur Schlüsselverteilung vor der Bereitstellung, nicht danach. Vierte Fehlerquelle: WPA3-Kompatibilität. Die meisten Enterprise-Plattformen unterstützen PPSK auf WPA3, was vor Offline-Dictionary-Angriffen schützt. Aber Ubiquiti UniFi beschränkt PPSK derzeit auf WPA2. Wenn Sie das 6-Gigahertz-Band benötigen, ist WPA3 erforderlich. Planen Sie Ihre Hardware entsprechend. [00:08:00] Sehen wir uns zwei reale Bereitstellungsszenarien an. Szenario eins: Eine Build-to-Rent-Immobilie mit 180 Einheiten in einem Stadtzentrum. Der Betreiber wollte WiFi als Service in der Miete inbegriffen anbieten, mit Aktivierung am Einzugstag und vollständiger Smart-Home-Unterstützung. Es wurden HPE Aruba Access Points bereitgestellt, die über Aruba Central verwaltet werden. Jede Wohnung erhält einen eindeutigen PPSK-Schlüssel, der bei der Unterzeichnung des Mietvertrags generiert wird. Der Schlüssel wird dem Bewohner per E-Mail mit einem QR-Code zugesendet. Der Betreiber meldete eine Reduzierung der WiFi-bezogenen Support-Tickets um 30 % im Vergleich zur vorherigen Bereitstellung mit gemeinsam genutzten Passwörtern. [00:08:45] Szenario zwei: Ein zweckgebundener Studentenwohnheimblock mit 400 Betten. Die Herausforderung hierbei ist die Einzugswoche der Kohorte, in der Hunderte von Studenten gleichzeitig ankommen. Der Betreiber nutzte Ruckus Access Points mit SmartZone und setzte PPSK mit einem Schlüssel pro Zimmer ein. Die Schlüssel wurden vorab generiert und dem vor der Ankunft versandten Willkommenspaket beigelegt. Die Studenten scannten bei der Ankunft den QR-Code und waren innerhalb von Sekunden verbunden. [00:09:20] Schnelle Fragerunde. Wie viele PPSK-Schlüssel kann ein einzelner Access Point verarbeiten? Cisco Meraki unterstützt bis zu 5.000 iPSK-Einträge pro Netzwerk. Aruba skaliert ähnlich. UniFi unterstützt bis zu 1.000. Kann ich PPSK in mein Immobilienverwaltungssystem integrieren? Ja, über die REST-API des Anbieters. Funktioniert PPSK mit WPA3? Ja, auf den meisten Enterprise-Plattformen. Die Ausnahme ist UniFi, das derzeit nur WPA2 unterstützt. [00:09:50] Zusammenfassend lässt sich sagen: Die PPSK-Verzeichnisverwaltung ist die richtige Architektur für Multi-Tenant-WiFi. Planen Sie Ihre VLANs sorgfältig, bevor Sie die Hardware anfassen. Sichern Sie Ihre Trunk-Links. Automatisieren Sie Ihre Schlüsselverteilung. Und überprüfen Sie die WPA3-Unterstützung Ihres Anbieters, wenn Sie WiFi 6E bereitstellen. Vielen Dank, dass Sie sich das Purple Technical Briefing angehört haben.

header_image.png

Management-Zusammenfassung

Herkömmliche WPA2-Personal-Netzwerke nutzen ein einziges Passwort für alle Geräte. In einem Build-to-Rent-Objekt (BTR) mit 200 Wohneinheiten bedeutet das ein einziges Passwort für jeden Bewohner, jeden Smart-TV, jedes Thermostat und jede Spielekonsole im Gebäude. Wenn ein Bewohner auszieht, müssen Sie entweder das Passwort für alle ändern - was die Verbindung für die anderen 199 Wohnungen unterbricht - oder Sie belassen dem ehemaligen Bewohner den Zugriff. Beides ist inakzeptabel.

Die Integration eines Private Pre-Shared Key (PPSK)-Verzeichnisses löst dieses Problem. PPSK weist jedem Bewohner oder jeder Einheit ein einziges, eindeutiges WiFi-Passwort zu und verknüpft diesen Schlüssel mit einem bestimmten Virtual Local Area Network (VLAN). Die Geräte verbinden sich mit derselben Service Set Identifier (SSID), aber das Netzwerk isoliert sie in private Segmente. Die Geräte des jeweiligen Bewohners können sich untereinander finden. Kein Bewohner kann die Geräte eines anderen sehen. Wenn ein Mietverhältnis endet, widerrufen Sie einfach einen Schlüssel, ohne die Verbindung aller anderen zu beeinträchtigen.

Dieser Leitfaden vergleicht die PPSK-Verzeichnisbereitstellung mit Standard-PSK und IEEE 802.1X, beschreibt die drei wichtigsten Bereitstellungsarchitekturen im Detail und bietet praktische Implementierungshilfen für Immobilienentwickler, BTR-Betreiber und die sie unterstützenden IT-Teams. Purple ist in über 80.000 Live-Standorten im Einsatz und lässt sich als Cloud-Overlay in Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet integrieren.

Technischer Deep-Dive: PPSK vs. 802.1X vs. Standard-PSK

Um zu verstehen, warum sich PPSK in mandantenfähigen Implementierungen durchsetzt, muss man es mit den Alternativen auf der Zuordnungsebene vergleichen.

Standard-PSK: das Heimnetzwerk-Modell

Bei einer Standard-WPA2-Personal-Einrichtung strahlt der Access Point (AP) eine SSID aus und erfordert einen einzigen Pre-Shared Key. Jedes Gerät nutzt diesen Schlüssel. Der AP weist alle Geräte demselben VLAN zu. Geräte können sich gegenseitig finden - ideal für einen einzelnen Haushalt, aber inakzeptabel für ein BTR-Objekt mit 200 Einheiten. Dem Standard-PSK fehlt jeglicher Widerrufsmechanismus pro Benutzer. Um den Zugriff für einen Benutzer zu sperren, muss der Schlüssel für alle Beteiligten geändert werden.

802.1X: der Enterprise-Standard

IEEE 802.1X (WPA-Enterprise) erfordert einen RADIUS-Server, einen Identity Provider wie Microsoft Entra ID, Okta oder Google Workspace und einen Supplicant auf jedem Gerät. Der Supplicant übernimmt den EAP-Austausch (Extensible Authentication Protocol). Dies bietet robuste, identitätsbasierte Sicherheit mit individueller Zurechenbarkeit pro Benutzer. Allerdings scheitert 802.1X in Wohnumgebungen, da IoT-Geräten - wie Smart-TVs, Spielekonsolen, kabellosen Lautsprechern und Smart-Home-Sensoren - 802.1X-Supplicants fehlen. Die Bereitstellung von 802.1X in einem BTR-Gebäude (Build-to-Rent) bedeutet, dass jedes IoT-Gerät entweder unauthentifiziert oder in einem separaten, unmanaged Netzwerk verbleibt.

PPSK-Verzeichnis: Die Multi-Tenant-Lösung

PPSK (bei Cisco Meraki als iPSK bezeichnet, bei Cisco als Personal Private Network und bei Juniper Mist und Cambium als ePSK) schließt diese Lücke. Der AP strahlt eine einzige SSID aus. Wenn sich ein Gerät verbindet, präsentiert es seinen eindeutigen Schlüssel während des WPA2-Vier-Wege-Handshakes. Der AP fragt das PPSK-Verzeichnis ab - gehostet im Cloud-Controller oder einem RADIUS-Backend -, um den Schlüssel zu validieren und das zugewiesene VLAN abzurufen. Das Gerät nimmt ein Standard-Heimnetzwerk wahr. Der Betreiber erreicht eine vollständige Isolation pro Wohneinheit.

comparison_chart.png

Die folgende Tabelle fasst die wichtigsten Funktionsunterschiede zwischen den drei Authentifizierungsmodellen zusammen.

Funktion Standard PSK PPSK-Verzeichnis 802.1X / WPA-Enterprise
Gerätekompatibilität Universell Breit (alle WPA2-Geräte) Eingeschränkt (erfordert Supplicant)
Verzeichnis-Integration Keine Nativ (Cloud oder RADIUS) Nativ (RADIUS + IdP)
Sperrung pro Benutzer Nicht möglich Sofort Sofort
IoT-Geräteunterstützung Ja Ja Nein (kein Supplicant)
Dynamische VLAN-Zuweisung Nein Ja Ja
Komplexität der Bereitstellung Sehr gering Moderat Hoch
WPA3-Unterstützung Ja Ja (die meisten Anbieter) Ja

Implementierungsleitfaden: Architektur und Bereitstellungsmodelle

Die Bereitstellung eines PPSK-Verzeichnisses erfordert einen strukturierten Ansatz für das logische Design, bevor mit der Hardwarekonfiguration begonnen wird.

Schritt 1: Logisches Netzwerkdesign

Erfassen Sie Ihre Bewohnerzahl und die Kategorien der IoT-Geräte, bevor Sie die Hardware anfassen. Eine standardmäßige BTR-Bereitstellung isoliert den Datenverkehr wie folgt. Die VLANs der Bewohner reichen von VLAN 10 bis zu der für Ihre Wohneinheiten erforderlichen Anzahl - ein VLAN pro Wohnung ist der Standardansatz. Ein dediziertes IoT-VLAN (normalerweise VLAN 99) bedient Gebäudemanagementsysteme, CCTV und intelligente Sensoren. Ein Management-VLAN (VLAN 100) überträgt den Datenverkehr der Mitarbeitergeräte, authentifiziert über 802.1X. Ein Gäste-VLAN (VLAN 200) bedient temporäre Besucher in Gemeinschaftsbereichen über ein Captive Portal. Berechnen Sie Ihren Bedarf an IP-Adressen sorgfältig. Untersuchungen der British Property Federation zeigen, dass pro Haushalt 15 bis 25 Geräte genutzt werden. Ein Gebäude mit 200 Wohneinheiten beherbergt bis zu 5.000 Geräte gleichzeitig. Verwenden Sie private RFC 1918-Adressen mit einem /24-Subnetz (254 nutzbare Adressen) pro Bewohner-VLAN, um eine ausreichende Kapazität zu gewährleisten. Ein /23-Subnetz (510 Adressen) bietet zusätzlichen Spielraum für Einheiten mit hoher Gerätedichte.

Schritt 2: Auswahl des Bereitstellungsmodells

Heute sind drei primäre PPSK-Architekturen im Einsatz.

Cloud-Controller-Modell. Das PPSK-Verzeichnis befindet sich in der Cloud-Plattform des Anbieters - Aruba Central, Meraki Dashboard, Ruckus Cloud oder Juniper Mist. Der Controller überträgt die Richtlinien an die APs. Wenn ein Bewohner einzieht, generieren Sie einen Schlüssel im Portal. Wenn er auszieht, löschen Sie ihn. Aufgrund der einfachen Bedienung und des Verzichts auf On-Premises-Infrastruktur ist dies das am häufigsten genutzte Modell für Neuinstallationen.

RADIUS-Backend-Modell. Die APs leiten Authentifizierungsanfragen an einen zentralen RADIUS-Server wie Cisco ISE oder FreeRADIUS weiter, der eine Identitätsdatenbank abfragt. Der RADIUS-Server gibt die VLAN-Zuweisung über ein Cisco-AVPair-Attribut zurück. Dieses Modell eignet sich für Umgebungen, die detaillierte Audit-Trails und die Integration in bestehende Unternehmensverzeichnisse erfordern. Es verursacht zwar zusätzlichen Infrastruktur-Overhead, bietet aber die Nachvollziehbarkeit von 802.1X gepaart mit der Gerätekompatibilität von PPSK.

Hybrides Authentifizierungsmodell. Bewohner nutzen PPSK für ihre Laptops und IoT-Geräte. Das Gebäudepersonal nutzt 802.1X für Firmengeräte über Microsoft Entra ID oder Okta. Beide Gruppen verbinden sich mit derselben physischen Infrastruktur, werden jedoch unterschiedlichen logischen Segmenten zugewiesen. Purple empfiehlt diese Architektur für umfassende BTR- und Mehrfamilienhaus-Bereitstellungen (MDU). Bewohner erhalten PPSK. Gebäudemanagementsysteme erhalten ein dediziertes IoT-VLAN mit PPSK. Die Geräte des Property-Management-Teams nutzen 802.1X. Drei verschiedene Authentifizierungsmodelle, drei verschiedene VLANs, eine physische Infrastruktur.

architecture_overview.png

Schritt 3: Hardware-Integration

PPSK wird von allen führenden Enterprise-AP-Plattformen unterstützt, wobei sich die Details der Implementierung je nach Anbieter unterscheiden.

Anbieter PPSK-Begriff Management-Plattform WPA3-Unterstützung Limit für Schlüssel
Cisco Meraki iPSK Meraki Dashboard Ja 5.000 pro Netzwerk
HPE Aruba PPSK Aruba Central / ArubaOS Ja Tausende
Ruckus PPSK SmartZone / Ruckus Cloud Ja Tausende
Juniper Mist ePSK Mist AI Ja Tausende
Ubiquiti UniFi PPSK UniFi Network Nein (nur WPA2) 1.000 pro Netzwerk
Cambium ePSK cnMaestro Ja Tausende
Extreme Private PSK ExtremeCloud IQ Ja Tausende
Fortinet PPSK FortiWLM / FortiGate Ja Tausende
Bitte beachten Sie die spezifische Einschränkung bei Ubiquiti UniFi: Die aktuelle PPSK-Implementierung ist auf WPA2 beschränkt. Wenn Sie WiFi 6E Access Points bereitstellen und das 6-GHz-Band benötigen, müssen Sie eine Plattform verwenden, die WPA3-SAE mit PPSK unterstützt. Aruba, Ruckus und Meraki unterstützen PPSK in WPA3-Konfigurationen.

Purple integriert sich als hardwareunabhängiges Cloud-Overlay über alle Plattformen in dieser Liste und bietet ein einheitliches PPSK-Verzeichnis sowie eine einheitliche Verwaltungsoberfläche für Bewohner, unabhängig vom zugrunde liegenden Hardware-Hersteller. Weitere Informationen zum breiteren SSID-Architekturkontext finden Sie in unserem Leitfaden über Drei SSIDs, sie alle zu beherrschen: Guest, Passpoint und IoT WiFi .

Best Practices für Multi-Tenant-WiFi

SSID-Verbreitung kontrollieren

Begrenzen Sie Ihre Übertragung auf maximal vier SSIDs pro Funkmodul. Jede zusätzliche SSID verbraucht Sendezeit für Beacon-Frames. In einem dicht besiedelten Wohngebäude mit 30 APs erzeugt die Übertragung von acht SSIDs pro AP 240 Beacon-Streams, die um Sendezeit konkurrieren. Verwenden Sie PPSK, um Benutzer logisch hinter einer einzigen SSID zu segmentieren, anstatt eine separate SSID pro Wohnung oder Etage zu erstellen. Die empfohlene SSID-Architektur finden Sie unter Drei SSIDs, sie alle zu beherrschen .

Schlüsselverteilung automatisieren

Verlassen Sie sich nicht auf manuelle Passwortlisten. Integrieren Sie Ihr PPSK-Verzeichnis über die REST API des Herstellers in Ihr Property-Management-System. Generieren Sie den eindeutigen Schlüssel automatisch bei der Anmeldung des Mietverhältnisses und stellen Sie ihn über einen QR-Code in der Begrüßungs-E-Mail zu. Erstellen Sie den Workflow zur Schlüsselverteilung vor der Bereitstellung, nicht danach. Betreiber, die die Schlüsselbereitstellung automatisieren, verzeichnen 30 % weniger Support-Tickets im Zusammenhang mit WiFi im Vergleich zu manuellen Verteilungsmethoden (interne Daten von Purple, 2024).

Trunk-Verbindungen vor der Inbetriebnahme validieren

Der häufigste Fehler bei der Inbetriebnahme sind fehlende VLAN-Tags auf Trunk-Verbindungen zwischen Distribution Switches und dem Kernnetzwerk. Entwerfen Sie Ihr VLAN-Schema und überprüfen Sie dann, ob jedes Bewohner-VLAN auf jeder relevanten Trunk-Verbindung zugelassen ist. Testen Sie dies mit einem Gerät in jedem VLAN, bevor die Bewohner einziehen.

Egress-Filterung auf das IoT-VLAN anwenden

Geräte der Gebäudeinfrastruktur - HLK-Steuerungen, Überwachungskameras, Zutrittskontrollpanels - sollten sich in einem dedizierten IoT-VLAN mit strikter Egress-Filterung an der Firewall befinden. Dies verhindert, dass ein kompromittiertes IoT-Gerät auf die Bewohner-VLANs oder das Verwaltungsnetzwerk zugreift.

Weitere Informationen zur Guest WiFi -Architektur und zur Integration von WiFi Analytics finden Sie in unserer Produktdokumentation. Betreiber im Bereich Hospitality sollten auch unseren Leitfaden darüber lesen, wie Sie mit Ihrem Guest WiFi einen hervorragenden ersten Eindruck hinterlassen .

Fehlerbehebung und Risikominderung

Spielkonsolen und NAT-Typ

Bewohner erwarten, dass ihre PlayStation oder Xbox für den Online-Multiplayer einen "Typ 2"- oder "Open"-NAT-Typ meldet. Eine zu aggressive Implementierung von Carrier-Grade NAT (CGNAT) führt zu "Strict" NAT, was ein hohes Volumen an Support-Tickets erzeugt. Konfigurieren Sie Ihre Firewall so, dass UPnP pro Bewohnersegment korrekt verarbeitet wird. Wenden Sie keine pauschale Einschränkung auf alle Bewohner-VLANs an.

Kopplung von Smart-Home-Geräten

Chromecast, Apple TV, Amazon Echo und Sonos erfordern die Geräteerkennung im selben logischen Netzwerk. Mit PPSK teilen sich alle Geräte mit demselben Bewohnerschlüssel ein VLAN und können sich gegenseitig erkennen. Geräte auf unterschiedlichen Schlüsseln können dies nicht. Dies ist das korrekte Verhalten. Wenn Bewohner Fehler bei der Smart-Home-Kopplung melden, überprüfen Sie, ob alle ihre Geräte denselben PPSK-Schlüssel verwenden.

Schlüsselerschöpfung auf UniFi

Ubiquiti UniFi unterstützt bis zu 1.000 PPSK-Einträge pro Netzwerk. Für eine Wohnanlage mit mehr als 1.000 Einheiten oder eine mit einer hohen Anzahl an IoT-Geräten erfordert dieses Limit eine sorgfältige Planung. Erwägen Sie die Segmentierung des Netzwerks über mehrere UniFi-Standorte hinweg oder die Migration zu einer Plattform mit höheren Schlüsselgrenzen wie HPE Aruba oder Cisco Meraki.

GDPR und Bewohnerdaten

PPSK-Schlüsselspeicher enthalten personenbezogene Daten von Bewohnern. Stellen Sie sicher, dass Ihre Schlüsselverwaltungsplattform Daten in einer konformen Region speichert. Purple speichert Daten in Übereinstimmung mit GDPR- und CCPA-Anforderungen, mit wählbarer Datenresidenz für EU-Bereitstellungen. Bewahren Sie personenbezogene WiFi-Protokolle von Bewohnern nur so lange auf, wie es für die Sicherheit und den Betrieb erforderlich ist - sechs Monate sind eine übliche Obergrenze für BTR-Umgebungen.

ROI und geschäftliche Auswirkungen

Managed WiFi ist eine Kernausstattung in BTR und speziell gebauten Studentenwohnheimen. Betreiber, die PPSK-Netzwerke bereitstellen, sehen messbare Erträge in drei Dimensionen.

Mietaufschlag. BTR-Betreiber erzielen laut Sektorforschung der British Property Federation in der Regel einen monatlichen Aufschlag von £15 bis £30 pro Einheit für hochwertiges, sofort einsatzbereites WiFi. Bei einer Wohnanlage mit 200 Einheiten entspricht dies zusätzlichen jährlichen Einnahmen von £36.000 bis £72.000.

Operative Effizienz. Eindeutige Schlüssel machen gebäudeweite Passwortrotationen überflüssig. Betreiber berichten von einer Reduzierung der WiFi-bezogenen Support-Tickets um 30 % nach der Migration von gemeinsam genutztem PSK zu PPSK (interne Daten von Purple, 2024). Die Konnektivität am Einzugstag verkürzt zudem Leerstandszeiten um fünf bis zehn Tage.

Hardware-agnostische Bereitstellung. Indem Sie die Multi-Tenant-WiFi-Lösung von Purple als Software-Overlay auf Ihrer bestehenden oder gewählten Hardware bereitstellen, behalten Sie die Kontrolle über das Netzwerk und die NOI-Steigerung. Sie vermeiden es, die Einnahmen an einen Drittanbieter von Breitbanddiensten abzutreten, der die Konnektivität in einen Vertrag einbindet, der den Ausstattungsaufschlag abschöpft.

Purple ist seit 2012 an mehr als 80.000 Live-Standorten tätig, mit 99,999 % Betriebszeit und Zertifizierungen nach ISO 27001, GDPR, CCPA und Cyber Essentials. Für Bereitstellungen im Bereich Einzelhandel und Gesundheitswesen , die eine ähnliche Netzwerksegmentierung erfordern, gilt dieselbe PPSK-Verzeichnisarchitektur mit branchenspezifischen Compliance-Overlays. Für die iPSK-Variante dieser Architektur siehe unseren dazugehörigen Leitfaden: Logo guild iPSK: Ein umfassender Leitfaden für Unternehmen .

Schlüsseldefinitionen

PPSK (Private Pre-Shared Key)

Eine Authentifizierungsmethode, bei der eindeutige WiFi-Passwörter an einzelne Benutzer, Geräte oder Einheiten auf einer einzigen SSID vergeben werden, wobei jeder Schlüssel einer bestimmten Netzwerkrichtlinie oder einem VLAN zugeordnet wird. Auch als iPSK (Cisco Meraki), ePSK (Juniper Mist, Cambium) oder Private PSK (Extreme Networks) bezeichnet.

Unerlässlich für mandantenfähige Umgebungen, in denen Bewohner eine Isolierung pro Einheit benötigen, ihre IoT-Geräte jedoch 802.1X nicht unterstützen.

IEEE 802.1X

Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle, der authentifizierten Zugriff über einen RADIUS-Server und einen Identitätsanbieter ermöglicht. Erfordert einen Software-Supplicant auf dem Client-Gerät.

Wird für Personal- und Verwaltungsnetzwerke in BTR-Bereitstellungen verwendet. Kann nicht für IoT-Geräte ohne Supplicants verwendet werden.

VLAN (Virtual Local Area Network)

Ein logisches Subnetzwerk, das eine Gruppe von Geräten zusammenfasst und deren Broadcast-Verkehr von anderen Geräten auf derselben physischen Infrastruktur isoliert.

PPSK verwendet VLANs, um private WiFi-Blasen für jede Wohnung zu erstellen. Der Schlüssel jedes Bewohners wird einem eindeutigen VLAN zugeordnet.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentrale Authentifizierungs-, Autorisierungs- und Accounting-Verwaltung für Benutzer bereitstellt, die eine Verbindung zu einem Netzwerkdienst herstellen.

Wird im RADIUS-Backend-Bereitstellungsmodell verwendet, um PPSK-Anmeldedaten mit einem Identitätsspeicher abzugleichen und VLAN-Zuweisungen über Cisco-AVPair-Attribute zurückzugeben.

Supplicant

Ein Software-Client auf einem Endgerät, der mit einem Authentifikator kommuniziert, um über 802.1X Netzwerkzugriff zu erhalten. Wickelt den EAP-Authentifizierungsaustausch ab.

Das Fehlen von Supplicants auf IoT-Geräten ist der Hauptgrund, warum PPSK in privaten Netzwerken erforderlich ist. Laptops und Telefone verfügen über Supplicants; intelligente Lautsprecher und Thermostate nicht.

WPA3-SAE (Simultaneous Authentication of Equals)

Der neueste WiFi-Sicherheitsstandard, der einen Dragonfly-Schlüsselaustausch verwendet, um vor Offline-Wörterbuchangriffen zu schützen und den WPA2-Vier-Wege-Handshake für die PSK-Authentifizierung ersetzt.

Erforderlich für den 6-GHz-Netzwerkbetrieb auf WiFi 6E Access Points. Architekten müssen überprüfen, ob der gewählte AP-Anbieter PPSK über WPA3 unterstützt, bevor sie Hardware spezifizieren.

CGNAT (Carrier-Grade NAT)

Eine Methode zur gemeinsamen Nutzung einer einzigen öffentlichen IP-Adresse durch mehrere private IP-Adressen, die häufig von ISPs und großen Netzwerkbetreibern verwendet wird, um IPv4-Adressraum zu sparen.

Eine fehlerhafte CGNAT-Konfiguration in BTR-Netzwerken schränkt die Multiplayer-Konnektivität von Spielkonsolen ein und führt zu einem "Strict" NAT-Typ anstelle des erforderlichen "Open" oder "Type 2".

SSID (Service Set Identifier)

Der Name eines WiFi-Netzwerks, wie er von einem Access Point übertragen wird. Geräte suchen nach SSIDs, um verfügbare Netzwerke zu identifizieren.

PPSK ermöglicht es mehreren Bewohnersegmenten, eine einzige SSID gemeinsam zu nutzen, wodurch die Verschlechterung der Sendezeit verhindert wird, die durch das Ausstrahlen separater SSIDs pro Wohneinheit verursacht wird.

Ausgearbeitete Beispiele

Eine Build to Rent Entwicklung mit 180 Einheiten benötigt am Einzugstag WiFi mit vollem Smart-Home-Support. Der Betreiber möchte die Passwortrotation nach Mietende abschaffen und Support-Tickets von Bewohnern reduzieren, die ihren Chromecast oder Smart Speaker nicht verbinden können.

Stellen Sie HPE Aruba Access Points bereit, die über Aruba Central verwaltet werden. Konfigurieren Sie eine einzelne SSID mit aktiviertem PPSK. Ordnen Sie die VLANs 10 bis 190 den einzelnen Wohnungen zu (ein VLAN pro Einheit). Integrieren Sie das Immobilienverwaltungssystem über die Aruba Central REST API, um bei der Mietvertragsunterzeichnung automatisch einen eindeutigen PPSK-Schlüssel zu generieren. Senden Sie den Schlüssel dem Bewohner über einen QR-Code in seiner Begrüßungs-E-Mail. Wenn ein Mietverhältnis endet, löschen Sie den Schlüssel im Portal. Konfigurieren Sie DHCP mit /24-Subnetzen pro VLAN, um bis zu 25 Geräte pro Wohnung zu unterstützen. Richten Sie ein dediziertes IoT-VLAN (VLAN 99) für Gebäudemanagementsysteme mit Egress-Filterung ein.

Kommentar des Prüfers: Dieser Ansatz eliminiert Schwachstellen durch gemeinsam genutzte Passwörter. Das Widerrufen eines Schlüssels beim Auszug betrifft nur dieses spezifische VLAN, sodass die anderen 179 Einheiten betriebsbereit bleiben. Das Onboarding per QR-Code reduziert Support-Tickets am ersten Tag. HPE Aruba wurde ausgewählt, da es PPSK auf WPA3 unterstützt und so die zukünftige Bereitstellung von WiFi 6E im 6GHz-Band ermöglicht.

Ein zweckgebundenes Studentenwohnheim mit 400 Betten muss die Einzugswoche bewältigen, in der Hunderte von Studenten gleichzeitig ankommen und jeweils mehrere Geräte verbinden. Die vorherige Bereitstellung nutzte ein gemeinsam genutztes Passwort, das jährlich rotiert wurde, was zu Beginn jedes akademischen Jahres zu Chaos führte.

Stellen Sie Ruckus Access Points bereit, die über SmartZone verwaltet werden. Konfigurieren Sie PPSK mit einem eindeutigen Schlüssel pro Zimmer. Generieren Sie alle Schlüssel vor Beginn des akademischen Jahres im Voraus. Fügen Sie den QR-Code des jeweiligen Zimmers dem Willkommenspaket hinzu, das den Studenten vor der Ankunft zugesandt wird. Konfigurieren Sie VLANs pro Zimmer mit /23-Subnetzen, um Laptops, Telefone, Konsolen und Smart-TVs zu unterstützen. Aktivieren Sie WPA3-SAE auf der PPSK-SSID für verbesserte Sicherheit. Richten Sie ein Self-Service-Portal für Bewohner ein, über das Studenten ihren Schlüssel abrufen und unter dem Jahr neue Geräte hinzufügen können, ohne die IT zu kontaktieren.

Kommentar des Prüfers: Die Vorabgenerierung und Verteilung von Schlüsseln vor der Ankunft verhindert die Überlastung der Authentifizierung am Einzugstag. Die VLAN-Isolierung pro Zimmer sorgt dafür, dass der Datenverkehr jedes Studenten unabhängig ist, sodass die hohe Bandbreitennutzung eines Studenten die Nachbarn nicht beeinträchtigt. Das Self-Service-Portal reduziert die Arbeitsbelastung der IT-Abteilung während des gesamten akademischen Jahres.

Übungsfragen

Q1. Sie beraten einen BTR-Betreiber bei der Modernisierung eines Wohnkomplexes mit 400 Wohneinheiten. Derzeit wird für jede Etage eine eigene SSID ausgestrahlt (acht Etagen, acht SSIDs). Bewohner berichten von langsamem WiFi, insbesondere in den Abendstunden. Was ist die wahrscheinliche Ursache und was empfehlen Sie?

Hinweis: Berücksichtigen Sie die Beziehung zwischen der SSID-Anzahl, Beacon-Frames und der Sendezeitnutzung.

Musterlösung anzeigen

Die wahrscheinliche Ursache ist die Sendezeit-Sättigung durch übermäßige Beacon-Frames. Jede SSID sendet mehrmals pro Sekunde Beacons. Acht SSIDs auf 30 Access Points erzeugen 240 konkurrierende Beacon-Streams, die einen erheblichen Teil der verfügbaren Sendezeit verbrauchen, noch bevor Daten der Bewohner übertragen werden. Es wird empfohlen, auf eine einzige SSID zu konsolidieren und PPSK bereitzustellen, um die erforderliche Isolierung pro Etage oder Wohneinheit zu erreichen. Dies eliminiert den Beacon-Overhead bei gleichzeitiger Aufrechterhaltung der Sicherheit.

Q2. Ein BTR-Betreiber berichtet, dass die Smart-TVs, Chromecasts und intelligenten Lautsprecher der Bewohner nach dem Auszug anderer Bewohner häufig nicht mehr funktionieren. Das IT-Team ändert das Passwort des Gebäudes bei jedem Auszug. Was ist der architektonische Fehler und was ist die richtige Lösung?

Hinweis: Analysieren Sie die Auswirkungen eines gemeinsamen PSK auf alle verbundenen Geräte, wenn der Schlüssel rotiert wird.

Musterlösung anzeigen

Das Netzwerk verwendet einen standardmäßigen gemeinsamen PSK für alle Bewohner. Wenn der Schlüssel beim Auszug rotiert wird, verliert jedes Gerät im Gebäude seine Verbindung und muss manuell neu verbunden werden. Die richtige Lösung ist die Migration zu einem PPSK-Verzeichnis, bei dem ein eindeutiger Schlüssel pro Wohnung ausgegeben wird. Wenn ein Bewohner auszieht, löscht der Betreiber nur den Schlüssel dieser Wohnung. Die anderen 399 Wohnungen sind nicht betroffen. Smart-TVs, Chromecasts und intelligente Lautsprecher verbinden sich automatisch wieder, da sich ihre Zugangsdaten nicht geändert haben.

Q3. Sie spezifizieren WiFi 6E Access Points für ein neues BTR-Projekt mit 200 Wohneinheiten. Der Kunde benötigt eindeutige PPSK-Schlüssel pro Wohnung und möchte das 6-GHz-Band für Anwendungen mit hoher Bandbreite nutzen. Sie vergleichen Ubiquiti UniFi mit HPE Aruba. Welches Kompatibilitätsproblem müssen Sie identifizieren und wie wirkt sich dies auf Ihre Hardware-Empfehlung aus?

Hinweis: Prüfen Sie die Beziehung zwischen dem 6-GHz-Band, den WPA3-Anforderungen und den Einschränkungen der PPSK-Implementierung der Anbieter.

Musterlösung anzeigen

Das 6GHz-Band schreibt WPA3-SAE vor. Ubiquiti UniFi beschränkt PPSK derzeit auf WPA2, was bedeutet, dass PPSK-Clients das 6GHz-Band auf UniFi-Hardware nicht nutzen können. HPE Aruba unterstützt PPSK auf WPA3-SAE und ermöglicht so die volle Nutzung des 6GHz-Bands für PPSK-Clients. Die Empfehlung für diese Bereitstellung lautet HPE Aruba. Falls der Kunde bereits in UniFi investiert hat, müssen PPSK-Clients auf die 2,4GHz- und 5GHz-Bänder beschränkt werden, bis Ubiquiti eine WPA3-Unterstützung für PPSK hinzufügt.

Weiterlesen in dieser Reihe

Uu PPSK 2023: Vergleich von Funktionen und Bereitstellungsmodellen

Dieser technische Referenzleitfaden vergleicht die Unique per-User Private Pre-Shared Key (UU PPSK) WiFi-Architektur mit herkömmlichen gemeinsam genutzten PSK- und 802.1X-Implementierungen, mit einem besonderen Fokus auf der Landschaft der Anbieterimplementierungen und Plattformfunktionen im Jahr 2023. Er bietet Immobilienentwicklern, BTR-Betreibern und MDU-Vermietern umsetzbare Bereitstellungsstrategien, Anleitungen zur VLAN-Architektur und automatisierte Workflows für das Lifecycle-Management. Der Leitfaden deckt drei Bereitstellungsmodellen, Fallstudien aus der Praxis und die Compliance-Auswirkungen des jeweiligen Authentifizierungsansatzes ab.

Leitfaden lesen →

PPSK xaverius: Vergleich von Funktionen und Bereitstellungsmodellen

Dieser fundierte Leitfaden untersucht die PPSK xaverius-Architektur für mandantenfähige Umgebungen wie Mietwohnanlagen (Build to Rent) und Studentenwohnheime. Er vergleicht Bereitstellungsmodelle, beschreibt Implementierungsstrategien im Detail und erklärt, wie die VLAN-Isolierung pro Wohneinheit ein heimisches WiFi-Erlebnis bietet und gleichzeitig die Enterprise-Sicherheit wahrt.

Leitfaden lesen →

PPSK: Vergleich von Funktionen und Bereitstellungsmodellen

Dieses technische Referenzhandbuch vergleicht die Private Pre-Shared Key (PPSK) Architektur mit traditionellen 802.1X und Standard-PSK-Bereitstellungen. Es bietet Netzwerkarchitekten und IT-Managern herstellerunabhängige Implementierungsstrategien für Multi-Tenant-Wohnungen, IoT- und BTR-Umgebungen.

Leitfaden lesen →