Zum Hauptinhalt springen
Deutsch

PPSK WiFi: Vergleich von Funktionen und Bereitstellungsmodellen

Dieses technische Referenzhandbuch vergleicht die Private Pre-Shared Key (PPSK) WiFi Architektur mit herkömmlichen 802.1X und Standard-PSK-Bereitstellungen. Es bietet Netzwerkarchitekten und IT-Managern herstellerunabhängige Implementierungsstrategien für mandantenfähige Wohngebäude, IoT und BTR-Umgebungen.

📖 6 Min. Lesezeit📝 1,304 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Willkommen beim Purple Technical Briefing. Heute geht es um PPSK WiFi - Private Pre-Shared Key - was es ist, wie es im Vergleich zu den Alternativen abschneidet und wo der Einsatz tatsächlich sinnvoll ist. [medium pause] Beginnen wir mit dem Problem, das es löst. In einem herkömmlichen WPA2-Personal-Netzwerk nutzt jedes Gerät im Netzwerk denselben Schlüssel. Für ein Zuhause ist das in Ordnung. Für ein Build-to-Rent-Objekt mit 200 Wohneinheiten, ein Studentenwohnheim oder ein Hotel mit 300 Zimmern ist es ein Sicherheitsrisiko. Wenn ein Bewohner auszieht, müssen Sie entweder das Passwort für alle ändern - was den Smart-TV, das Thermostat und die Konsole jedes anderen Bewohners unbrauchbar macht - oder Sie lassen dem ehemaligen Bewohner den Zugang. Beide Optionen sind inakzeptabel. [short pause] PPSK löst dieses Problem, indem jeder Bewohner, jede Wohnung oder jede Gerätegruppe einen eigenen, eindeutigen WiFi-Schlüssel erhält. Alle verbinden sich mit derselben SSID - demselben Netzwerknamen - aber jeder Schlüssel ist einem separaten VLAN zugeordnet. Wohnung 12 befindet sich im VLAN 10. Wohnung 13 im VLAN 20. Die IoT-Geräte befinden sich im VLAN 99. Der Access Point übernimmt die Zuordnung von Schlüssel zu VLAN automatisch. Kein RADIUS-Server erforderlich. Keine Zertifikatsinfrastruktur. Kein 802.1X-Supplicant auf dem Gerät. [medium pause] Sprechen wir nun über die Terminologie, da diese je nach Hersteller variiert und für Verwirrung auf dem Markt sorgt. Aruba nennt es PPSK - Private Pre-Shared Key. Cisco Meraki nennt es iPSK - Identity PSK oder Personal Private Network. Juniper Mist verwendet ePSK. Extreme Networks, die das Konzept ursprünglich unter der Marke Aerohive entwickelt haben, nennen es Private PSK. Ubiquiti UniFi nennt es einfach PPSK. Cambium verwendet ebenfalls ePSK. Der zugrunde liegende Mechanismus ist bei allen identisch: eine SSID, mehrere eindeutige Schlüssel, wobei jeder Schlüssel an ein VLAN oder eine Richtliniengruppe gebunden ist. [short pause] Technisch passiert auf der Zuordnungsebene Folgendes: Wenn sich ein Gerät verbindet, präsentiert es seinen Pre-Shared Key während des WPA2-Four-Way-Handshakes. Der Access Point - oder der dahinter liegende Cloud-Controller - schlägt diesen Schlüssel im PPSK-Speicher nach, identifiziert, welchem VLAN er zugeordnet ist, und kennzeichnet den Datenverkehr des Geräts ab diesem Zeitpunkt entsprechend. Das Gerät sieht eine ganz normale WiFi-Verbindung. Es hat keine Ahnung, dass es in ein isoliertes Segment verschoben wurde. Der Chromecast funktioniert. Der Smart-Speaker lässt sich koppeln. Die Konsole erhält den richtigen NAT-Typ. Alles verhält sich wie ein Heimnetzwerk - weil es aus der Perspektive des Geräts genau das ist. [medium pause] Dies ist der entscheidende Unterschied zu 802.1X, dem Enterprise-Standard für Mitarbeiternetzwerke und Unternehmensumgebungen. 802.1X erfordert einen RADIUS-Server, einen Identitätsanbieter - Microsoft Entra ID, Okta oder Google Workspace - und einen Supplicant auf jedem Gerät. Dieser Supplicant ist die Softwarekomponente, die den EAP-Authentifizierungsaustausch abwickelt. Jedes verwaltete Notebook, jedes Unternehmenstelefon besitzt einen. Der smarte Kühlschrank Ihres Bewohners jedoch nicht. Die HLK-Steuerung Ihres Gebäudes ebenfalls nicht. Ihre IoT-Sensoren auch nicht. PPSK funktioniert mit allen, da es auf der WPA-Personal-Ebene und nicht auf der WPA-Enterprise-Ebene arbeitet. [short pause] Dennoch ist PPSK kein Ersatz für 802.1X in Unternehmensumgebungen. Es ist ein anderes Werkzeug für ein anderes Problem. Wenn Sie ein Mitarbeiternetzwerk betreiben, bei dem es auf die individuelle Zurechenbarkeit ankommt - bei dem Sie wissen müssen, dass sich eine bestimmte Person zu einer bestimmten Zeit authentifiziert hat, und Sie deren Zugriff in dem Moment sperren müssen, in dem sie das Unternehmen verlässt -, ist 802.1X die richtige Antwort. Wenn Sie ein Wohnnetzwerk betreiben, bei dem Sie eine Isolierung pro Haushalt, IoT-Unterstützung und betriebliche Einfachheit im großen Stil benötigen, ist PPSK die richtige Antwort. [medium pause] Sehen wir uns die Bereitstellungsmodelle an. Es gibt heute drei primäre Muster in der Praxis. [short pause] Das erste ist das Cloud-Controller-Modell, das bei neuen Bereitstellungen am häufigsten anzutreffen ist. Ihre Access Points - ob von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks oder Fortinet - verbinden sich mit einer Cloud-Management-Plattform. Der PPSK-Schlüsselspeicher befindet sich im Cloud-Controller. Wenn Sie einen neuen Bewohner anlegen, erstellen Sie einen Schlüssel im Portal, weisen ihn einem VLAN zu, und der Controller überträgt die Richtlinie an jeden Access Point im Gebäude. Der Bewohner erhält seinen Schlüssel - per E-Mail, SMS oder über einen QR-Code in einem Begrüßungspaket - und verbindet sich. Wenn er auszieht, löschen Sie den Schlüssel. Seine Geräte verbinden sich nicht mehr. Niemand sonst ist davon betroffen. [short pause] Das zweite Modell ist PPSK mit einem lokalen RADIUS-Backend. Einige Unternehmensbereitstellungen nutzen einen RADIUS-Server zur Speicherung und Validierung von PPSK-Anmeldedaten, was Ihnen eine zentrale Protokollierung, Audit-Trails und die Integration in Ihre Identity-Management-Plattform bietet. Dies erhöht zwar den Aufwand für die Infrastruktur, bietet Ihnen jedoch die Zurechenbarkeit von 802.1X bei gleichzeitiger Gerätekompatibilität von PPSK. Es ist das richtige Modell für gemischte Umgebungen - wie etwa einen Coworking-Space, in dem Sie sowohl verwaltete Unternehmensgeräte als auch im Besitz von Mitgliedern befindliche IoT-Geräte haben. [short pause] Das dritte Modell ist hybrid: PPSK für Bewohner und IoT, 802.1X für Mitarbeiter und Managementsysteme. Dies ist die Architektur, die Purple für Build-to-Rent- und Mehrfamilienhaus-Bereitstellungen empfiehlt. Bewohner erhalten PPSK. Gebäudemanagementsysteme, Videoüberwachung und Zutrittskontrolle erhalten ihr eigenes IoT-VLAN mit PPSK. Die Geräte des Hausverwaltungsteams nutzen 802.1X gegen Microsoft Entra ID oder Okta. Drei verschiedene Authentifizierungsmodelle, drei verschiedene VLANs, eine physische Infrastruktur. Kommen wir nun zur Implementierung. Wenn Sie PPSK für ein Build-to-Rent-Projekt oder ein Mehrfamilienhaus bereitstellen, ist dies die Abfolge, die funktioniert. [short pause] Beginnen Sie mit Ihrem logischen Design, bevor Sie die Hardware anfassen. Erfassen Sie Ihre Bewohnerzahl, Ihre IoT-Gerätekategorien und alle Mitarbeiter- oder Managementsysteme. Weisen Sie VLANs zu. Eine typische BTR-Bereitstellung sieht so aus: VLAN 10 bis zu der Nummer, die Ihre Wohneinheitenanzahl für Bewohner erfordert - ein VLAN pro Wohnung oder ein VLAN pro Etage, je nach Dichte. VLAN 99 für IoT. VLAN 100 für das Gebäudemanagement. VLAN 200 für das Gäste-WiFi in den Gemeinschaftsbereichen. [short pause] Dokumentieren Sie anschließend Ihr IP-Adressierungsschema. In einem Gebäude mit 200 Einheiten müssen Sie mit 3.000 bis 5.000 Geräten rechnen, die sich zu jedem beliebigen Zeitpunkt im Netzwerk befinden. Das entspricht dem Wert von 15 bis 25 Geräten pro Haushalt laut einer Untersuchung der British Property Federation. Ihre DHCP-Bereiche müssen darauf ausgelegt sein. Verwenden Sie die private Adressierung nach RFC 1918 mit ausreichenden Subnetzgrößen pro VLAN. Ein Slash 24 bietet Ihnen 254 nutzbare Adressen. Ein Slash 23 bietet Ihnen 510. Dimensionieren Sie entsprechend. [medium pause] Zur Hardware-Auswahl: PPSK wird von allen gängigen Enterprise Access Point Plattformen unterstützt. Cisco Meraki nennt es iPSK und verwaltet es über das Meraki Dashboard mit Schlüsselrichtlinien pro SSID. HPE Aruba implementiert es nativ in ArubaOS und Aruba Central. Ruckus unterstützt es über SmartZone und die Ruckus Cloud Plattform. Juniper Mist nutzt ePSK mit KI-gesteuertem RF-Management. Ubiquiti UniFi bietet PPSK seit 2023, allerdings ist zu beachten, dass es derzeit nur WPA2 unterstützt und nicht im 6-Gigahertz-Band funktioniert. Cambium und Extreme unterstützen es beide über ihre jeweiligen Cloud-Plattformen. [short pause] Eine wichtige Einschränkung, die Sie beachten sollten: Die PPSK-Implementierung von UniFi ist auf WPA2 beschränkt. Wenn Sie WiFi 6E Access Points spezifizieren und das 6-Gigahertz-Band für PPSK-Clients nutzen möchten, benötigen Sie eine Plattform, die WPA3-SAE mit PPSK unterstützt, oder Sie müssen PPSK-Clients auf die 2,4- und 5-Gigahertz-Bänder beschränken. Aruba, Ruckus und Meraki unterstützen PPSK in WPA3-Konfigurationen. [medium pause] Sprechen wir nun über die Fallstricke. Das sind die Fehlermuster, die ich in produktiven Bereitstellungen immer wieder sehe. [short pause] Das erste ist die unkontrollierte Ausbreitung von SSIDs. Jede SSID, die Sie ausstrahlen, verbraucht Sendezeit für Beacon-Frames. Wenn Sie in einem dicht besiedelten Wohngebäude sechs oder acht SSIDs pro Access Point ausstrahlen, verschlechtern Sie die Leistung für alle. Beschränken Sie sich auf maximal vier SSIDs pro Funkmodul. Nutzen Sie PPSK, um mehrere Bewohnersegmente über eine einzige SSID zu bedienen, anstatt eine eigene SSID pro Wohnung oder Etage zu erstellen. [short pause] Der zweite Fallstrick ist eine unzureichende Trunk-Port-Konfiguration. Sie entwerfen ein sauberes VLAN-Schema, stellen die Access Points bereit und dann geht Datenverkehr unbemerkt verloren, weil jemand vergessen hat, die entsprechenden VLANs auf einer Trunk-Verbindung zwischen dem Distribution-Switch und dem Access-Layer freizugeben. Validieren Sie jeden Trunk-Port bei der Inbetriebnahme. Dokumentieren Sie es. Testen Sie es mit einem Gerät in jedem VLAN, bevor die Bewohner einziehen. [short pause] Der dritte Fallstrick ist die Schlüsselverteilung. Schlüssel zu generieren ist einfach. Sie den Bewohnern auf eine sichere und betrieblich handhabbare Weise zukommen zu lassen, ist schwieriger. Ein QR-Code im Begrüßungspaket funktioniert am Einzugstag gut. Ein Bewohnerportal, in dem sie ihren Schlüssel abrufen und neue Geräte hinzufügen können, ist für den laufenden Betrieb besser. Erstellen Sie den Workflow zur Schlüsselverteilung vor der Bereitstellung, nicht danach. [short pause] Die vierte Falle, die speziell für IoT gilt, besteht darin, Smart Home-Geräte auf das PPSK-Segment des Bewohners zu legen, ohne die Auswirkungen zu bedenken. Ein kompromittiertes IoT-Gerät im VLAN eines Bewohners kann potenziell andere Geräte in demselben VLAN angreifen. Ziehen Sie für IoT-Kategorien mit hohem Risiko ein separates IoT-VLAN mit Egress-Filterung in Betracht, selbst wenn dies bedeutet, dass Bewohner ihre Smart Home-Apps für die Nutzung eines anderen Netzwerks konfigurieren müssen. [medium pause] Sehen wir uns zwei reale Szenarien an. [short pause] Szenario eins: ein Build to Rent-Projekt mit 180 Einheiten in einem Stadtzentrum. Der Betreiber wollte WiFi als Annehmlichkeit in die Miete einbeziehen, mit Aktivierung am Einzugstag und vollständigem Smart Home-Support. Sie installierten HPE Aruba Access Points, die über Aruba Central verwaltet werden. Jede Wohnung erhält einen eindeutigen PPSK-Schlüssel, der bei der Unterzeichnung des Mietvertrags generiert wird. Der Schlüssel wird dem Bewohner per E-Mail mit einem QR-Code zugeschickt. Sie scannen ihn, alle ihre Geräte verbinden sich und ihr Chromecast, Smart Speaker und ihre Konsole funktionieren sofort. Wenn ein Bewohner auszieht, löscht der Hausverwalter den Schlüssel im Portal. Der neue Bewohner erhält beim Einzug einen neuen Schlüssel. Kein Drama mit Passwortrotationen mehr. Der Betreiber meldet eine Reduzierung der WiFi-bezogenen Support-Tickets um 30 % im Vergleich zu seiner vorherigen Bereitstellung mit gemeinsam genutzten Passwörtern. [short pause] Szenario zwei: ein zweckgebundener Studentenwohnheimblock mit 400 Betten. Die Herausforderung hierbei ist die Einzugswoche, in der Hunderte von Studenten gleichzeitig ankommen und versuchen, Dutzende von Geräten auf einmal zu verbinden. Der Betreiber nutzte Ruckus Access Points mit SmartZone und setzte PPSK mit einem Schlüssel pro Zimmer ein. Die Schlüssel wurden vorab generiert und dem vor der Ankunft versandten Willkommenspaket beigelegt. Die Studenten scannten bei der Ankunft den QR-Code und waren innerhalb von Sekunden verbunden. Das Netzwerk bewältigte den Einzugsansturm ohne Leistungseinbußen, da der Datenverkehr jedes Studenten auf sein eigenes VLAN-Segment isoliert war. [medium pause] Kommen wir nun zu einer schnellen Fragerunde zu den Fragen, die am häufigsten gestellt werden. [short pause] Wie viele PPSK-Schlüssel kann ein einzelner Access Point verarbeiten? Die meisten Enterprise-Plattformen unterstützen Tausende von Schlüsseln pro SSID. Cisco Meraki unterstützt bis zu 5.000 iPSK-Einträge pro Netzwerk. Aruba unterstützt eine ähnliche Größenordnung. Ubiquiti UniFi unterstützt bis zu 1.000 PPSK-Einträge pro Netzwerk. Für ein Gebäude mit 200 Einheiten liegen Sie auf jeder Plattform weit innerhalb der Grenzen. [short pause] Funktioniert PPSK mit WPA3? Ja, auf den meisten Enterprise-Plattformen. WPA3-SAE bietet im Vergleich zu WPA2-PSK einen stärkeren Schutz vor Offline-Wörterbuchangriffen. Daher ist der Einsatz von PPSK auf WPA3, sofern Ihre Client-Geräte dies unterstützen, der richtige Ansatz. Die Ausnahme ist UniFi, das derzeit nur WPA2 für PPSK unterstützt. [short pause] Kann ich PPSK in mein Immobilienverwaltungssystem integrieren? Ja, über die API des Herstellers. Aruba Central, Meraki, Ruckus und Mist stellen alle REST APIs für das PPSK-Schlüsselmanagement bereit. Sie können die Erstellung und den Widerruf von Schlüsseln als Teil Ihres Workflows zur Mietverwaltung automatisieren. [short pause] Was ist der Sicherheitsunterschied zwischen PPSK und 802.1X? Der wesentliche Unterschied besteht darin, dass PPSK auf einem Shared-Secret-Modell basiert. Der Key ist eine Zeichenfolge, die geteilt oder abgefangen werden kann. 802.1X mit EAP-TLS verwendet digitale Zertifikate, die nicht auf dieselbe Weise geteilt werden können und eine gegenseitige Authentifizierung bieten. Für Wohnumgebungen, in denen das Bedrohungsmodell in erster Linie die Isolierung zwischen den Bewohnern ist, bietet PPSK ausreichende Sicherheit. Für Netzwerke von Unternehmensmitarbeitern ist 802.1X die richtige Wahl. [medium pause] Zusammenfassend lässt sich sagen: PPSK WiFi ist das richtige Authentifizierungsmodell für Multi-Tenant-Wohnanlagen, IoT-intensive Umgebungen und jedes Szenario, in dem Sie eine Isolierung pro Benutzer oder pro Haushalt benötigen, ohne den Infrastruktur-Overhead von 802.1X. Es läuft auf Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet. Es lässt sich über eine API in Property-Management-Systeme integrieren. Und es löst die drei zentralen betrieblichen Probleme, die Netzwerke mit gemeinsam genutzten Passwörtern nicht lösen können: Auszug ohne Beeinträchtigung aller anderen, Unterstützung von Smart-Home-Geräten und Verantwortlichkeit pro Bewohner. [short pause] Das Entscheidungs-Framework ist einfach. Wenn Ihre Geräte 802.1X unterstützen und Sie über eine RADIUS-Infrastruktur verfügen, verwenden Sie 802.1X für Mitarbeiter und verwaltete Geräte. Wenn Sie eine Multi-Tenant-Wohnimmobilie betreiben, verwenden Sie PPSK. Wenn Sie IoT-Geräte haben, die kein 802.1X unterstützen, verwenden Sie PPSK mit einem dedizierten IoT VLAN. Wenn Sie Gäste-WiFi in Gemeinschaftsbereichen benötigen, verwenden Sie ein Standard-PSK oder ein offenes Netzwerk mit einem Captive Portal darüber. [short pause] Für die nächsten Schritte: Prüfen Sie das Architektur-Übersichtsdiagramm im Leitfaden, das den gesamten PPSK-Bereitstellungs-Stack vom ISP-Uplink bis zum Gerät des Bewohners zeigt. Nutzen Sie das Entscheidungsflussdiagramm, um Ihre spezifische Umgebung dem richtigen Authentifizierungsmodell zuzuordnen. Und wenn Sie eine BTR- oder MDU-Bereitstellung planen und verstehen möchten, wie die Multi-Tenant-WiFi-Plattform von Purple auf Ihrer bestehenden Hardware aufsetzt, um die Key-Management-, Bewohnerportal- und Analyse-Ebene bereitzustellen, finden Sie den Link im Leitfaden. [medium pause] Das war's mit dem heutigen Briefing. Vielen Dank fürs Zuhören. Lassen Sie mich tiefer auf das Sicherheitsmodell eingehen, da ich hier die größte Verwirrung im Markt sehe. [short pause] PPSK arbeitet auf der WPA-Personal-Ebene. Jeder Key ist ein Pre-Shared Secret. Die Sicherheitsgarantie, die PPSK bietet, ist die Isolierung zwischen den Bewohnern - Gerät A mit Key A kann nicht mit Gerät B mit Key B kommunizieren, selbst wenn sie mit demselben physischen Access Point verbunden sind. Diese Isolierung wird auf der VLAN-Ebene erzwungen, nicht auf der Verschlüsselungsebene. Die Verschlüsselung zwischen jedem Gerät und dem Access Point verwendet dieselbe WPA2- oder WPA3-Verschlüsselungssuite, unabhängig davon, welchen PPSK-Key das Gerät zur Authentifizierung verwendet hat. [short pause] Was PPSK nicht bietet, ist die gegenseitige Authentifizierung, die 802.1X liefert. In einer 802.1X-Bereitstellung mit EAP-TLS authentifiziert sich der Client gegenüber dem Netzwerk und das Netzwerk gegenüber dem Client. Beide Seiten weisen Zertifikate vor. Dies verhindert Angriffe durch gefälschte Access Points. Bei PPSK hat der Client keine Möglichkeit zu überprüfen, ob er mit dem legitimen Netzwerk verbunden ist oder mit einem gefälschten Access Point, der dieselbe SSID ausstrahlt. Für ein Wohngebäude, bei dem das Bedrohungsmodell in erster Linie darin besteht, die Bewohner voneinander zu isolieren, ist dies ein akzeptabler Kompromiss. Für eine Unternehmensumgebung, die sensible Daten verarbeitet, ist dies nicht der Fall. [medium pause] Sprechen wir nun über den WPA3-Upgrade-Pfad. WPA3-SAE, was für Simultaneous Authentication of Equals steht, ersetzt den WPA2-Vier-Wege-Handshake durch ein sichereres Schlüsselaustauschprotokoll namens Dragonfly. Die entscheidende Verbesserung für PPSK-Bereitstellungen ist die Forward Secrecy: Selbst wenn ein Angreifer den WiFi-Verkehr abfängt und später den Pre-Shared Key erhält, kann er den abgefangenen Verkehr nicht entschlüsseln. WPA2-PSK bietet keine Forward Secrecy. WPA3-SAE hingegen schon. Wenn Sie heute neue Hardware bereitstellen, spezifizieren Sie die WPA3-SAE-Unterstützung und aktivieren Sie diese für Ihre PPSK-SSID. Clients, die WPA3 nicht unterstützen, fallen im Übergangsmodus auf WPA2 zurück, sodass Sie keine harte Umstellung erzwingen müssen. [short pause] Der GDPR-Aspekt verdient eine direkte Ansprache. In einer Multi-Tenant-Wohnanlage verarbeiten Sie personenbezogene Daten - konkret die Verknüpfung zwischen einem WiFi-Schlüssel und einem namentlich genannten Bewohner. Diese Verknüpfung ist ein personenbezogenes Datum im Sinne der UK GDPR und der EU GDPR. Sie benötigen eine Rechtsgrundlage für die Verarbeitung. Im BTR-Kontext ist die Rechtsgrundlage in der Regel die Erfüllung eines Vertrags - des Mietvertrags - oder berechtigte Interessen. Sie benötigen eine Datenschutzerklärung, die die Verarbeitung von WiFi-Daten abdeckt. Sie benötigen eine Datenaufbewahrungsrichtlinie für Verbindungsprotokolle. Und Sie müssen in der Lage sein, auf Auskunftsbegehren der betroffenen Personen zu reagieren, was bedeutet, dass Ihre PPSK-Verwaltungsplattform in der Lage sein muss, alle mit dem Schlüssel eines bestimmten Bewohners verknüpften Daten zu exportieren. [short pause] Die Multi-Tenant-WiFi-Plattform von Purple wurde genau für diesen Zweck entwickelt. Die Daten werden in einer nach ISO 27001 zertifizierten Infrastruktur gespeichert. Wir sind konform mit GDPR und CCPA. Der Speicherort der Daten ist wählbar - UK, EU oder US - sodass Sie Ihre regulatorischen Verpflichtungen unabhängig vom Standort Ihrer Immobilien erfüllen können. Und unsere Plattform bietet die Prüfpfade und Datenexportfunktionen, die Sie für die Compliance benötigen. Lassen Sie mich die Frage nach dem ROI beantworten, da diese in jedem BTR-Beschaffungsgespräch aufkommt. [short pause] Untersuchungen der British Property Federation zeigen konsistent, dass die WiFi-Qualität unter den fünf wichtigsten Ausstattungsmerkmalen bei Build-to-Rent-Vermietungsentscheidungen liegt. Betreiber, die verwaltetes WiFi als Zusatzleistung anbieten, berichten von Mietaufschlägen von fünfzehn bis dreißig Pfund pro Wohneinheit und Monat im Vergleich zu gleichwertigen Immobilien ohne integrierte Konnektivität. Bei einem Gebäude mit 200 Einheiten entspricht das zusätzlichen Mieteinnahmen zwischen sechsunddreißigtausend und zweiundsiebzigtausend Pfund pro Jahr. Verglichen mit den typischen Bereitstellungskosten für PPSK - Hardware über fünf Jahre abgeschrieben plus eine Software-Overlay-Lizenz - liegt die Amortisationszeit in der Regel bei unter 18 Monaten. [short pause] Die betrieblichen Einsparungen sind ebenso signifikant. Ein Netzwerk mit gemeinsam genutztem Passwort in einem Gebäude mit 200 Einheiten erzeugt ein vorhersehbares Volumen an Support-Tickets: Bewohner, die ihren Chromecast nicht verbinden können, Bewohner, deren Smart-Speaker sich nicht koppeln lässt, Bewohner, deren Konsole den NAT-Typ „Strict“ anzeigt. Die Lösung dieser Tickets kostet Zeit und Geld. Ein korrekt implementiertes PPSK-Netzwerk eliminiert die Mehrheit davon. Ein Betreiber, mit dem wir zusammenarbeiten, meldete eine Reduzierung der WiFi-bezogenen Support-Kontakte um 30 % in den ersten sechs Monaten nach der Migration von einem gemeinsam genutzten Passwort zu einer PPSK-Bereitstellung. [short pause] Leerstandszeiten sind der andere Hebel. Ein Gebäude, in dem das WiFi am Einzugstag aktiv und funktionsfähig ist, reduziert Reibungsverluste für neue Bewohner. Ein Gebäude, in dem ein neuer Bewohner auf einen Termin mit einem Breitband-Techniker warten muss - in Großbritannien in der Regel sieben bis vierzehn Tage -, erzeugt einen negativen ersten Eindruck, der sich auf die Mieterbindung auswirkt. PPSK mit Aktivierung am Einzugstag beseitigt diese Hürde vollständig. [medium pause] Ein weiterer Bereich, der abgedeckt werden muss: die Coworking- und Mischnutzungsanwendung. PPSK ist nicht nur für Wohngebäude geeignet. Es ist auch das richtige Modell für Coworking-Spaces, in denen Sie eine Isolierung pro Mitglied oder pro Unternehmen wünschen, ohne den Overhead von 802.1X. Ein Coworking-Betreiber mit 200 Mitgliedern kann jedem Mitglied einen eigenen PPSK-Schlüssel zuweisen, diesen einem dedizierten VLAN zuordnen und sicherstellen, dass die Geräte von Mitglied A für Mitglied B unsichtbar sind. Wenn eine Mitgliedschaft abläuft, wird der Schlüssel widerrufen. Wenn ein neues Mitglied beitritt, wird ein neuer Schlüssel generiert. Das Mitgliedserlebnis ist identisch mit dem eines Heimnetzwerks. [short pause] Für Coworking funktioniert das Hybridmodell besonders gut. Mitglieder erhalten PPSK. Besucher von Mitgliedern - beispielsweise Kunden, die an Besprechungen teilnehmen - erhalten ein separates Gast-WiFi-SSID mit einem Captive Portal. Das Gebäudepersonal erhält 802.1X über den Identity Provider des Betreibers. Drei Authentifizierungsmodelle, eine physische Infrastruktur, saubere Trennung zwischen allen drei Benutzergruppen. [medium pause] Damit ist das Gesamtbild vollständig. PPSK WiFi ist eine ausgereifte, bestens unterstützte Technologie, die ein spezifisches und wichtiges Problem löst: die Isolierung pro Benutzer oder pro Haushalt in Multi-Tenant-Umgebungen, ganz ohne den Infrastruktur-Overhead von 802.1X. Sie ist hardwareunabhängig, API-gesteuert und lässt sich noch heute auf den Access Points bereitstellen, die Sie bereits besitzen. Die Entscheidungskriterien sind eindeutig. Die Bereitstellungsmuster sind erprobt. Und der Business Case, insbesondere im Bereich Build to Rent und bei zweckgebundenen Studentenunterkünften, ist bestens belegt.

header_image.png

Executive Summary

Die Netzwerkarchitektur für Multi-Tenant-Gebäude erfordert ein ausgewogenes Verhältnis von Isolierung, Skalierbarkeit und Gerätekompatibilität. Traditionelle WPA2-Personal-Netzwerke scheitern bei hoher Skalierung, da gemeinsam genutzte Passwörter die Privatsphäre der Bewohner gefährden und bei einer Änderung alle Geräte offline schalten. Umgekehrt bietet 802.1X hervorragende Sicherheit, scheitert jedoch in Wohnumgebungen, da IoT-Geräten, Smart-Speakern und Spielekonsolen die für die RADIUS-Authentifizierung erforderlichen Supplikanten fehlen.

PPSK WiFi löst dieses strukturelle Problem. Durch die Zuweisung eines eindeutigen Pre-Shared Keys an jeden Bewohner und die Verknüpfung dieses Schlüssels mit einem isolierten VLAN können Betreiber ein sicheres, privates WiFi-Erlebnis auf gemeinsam genutzter Enterprise-Hardware bereitstellen. Dieser Leitfaden beschreibt die Architektur, die Implementierungsmodelle und die geschäftlichen Vorteile der Bereitstellung von PPSK auf Cisco Meraki, HPE Aruba, Ruckus und anderen führenden Herstellern, speziell für Build to Rent (BTR), Studentenwohnheime und Multi-Dwelling Unit (MDU) Umgebungen.

Technical Deep-Dive

Die Architektur von PPSK

Private Pre-Shared Key (PPSK) arbeitet auf der WPA-Personal-Ebene. Die grundlegende Innovation besteht darin, die SSID von einem einzigen Passwort zu entkoppeln. Anstelle eines einzigen Passworts für das gesamte Netzwerk verwaltet der Access Point oder Cloud-Controller eine Datenbank mit Tausenden von eindeutigen Schlüsseln.

Wenn sich ein Gerät verbindet, präsentiert es seinen Schlüssel während des standardmäßigen WPA2- oder WPA3-Four-Way-Handshakes. Das Netzwerk validiert den Schlüssel und prüft die damit verknüpfte Richtlinie. Diese Richtlinie enthält vor allem eine VLAN-Zuweisung. Der Access Point markiert dann den gesamten Datenverkehr dieses Geräts mit der zugewiesenen VLAN-ID, bevor er an den Distribution-Switch weitergeleitet wird.

Dadurch entsteht eine eigene "WiFi-Blase" für jeden Bewohner. Gerät A und Gerät B, die denselben Schlüssel verwenden, werden im VLAN 10 platziert und können sich gegenseitig über mDNS finden. Gerät C, das einen anderen Schlüssel verwendet, wird im VLAN 20 platziert. Gerät C kann die Geräte A oder B nicht sehen oder mit ihnen kommunizieren, selbst wenn alle drei mit demselben physischen Access Point verbunden sind.

architecture_overview.png

PPSK vs. 802.1X

Es ist ein Missverständnis, PPSK als direkten Ersatz für 802.1X zu betrachten. Beide decken unterschiedliche Bedrohungsszenarien ab.

802.1X mit EAP-TLS bietet eine gegenseitige Authentifizierung. Der Client überprüft das Netzwerk über ein Serverzertifikat, was Angriffe durch gefälschte Access Points verhindert, und das Netzwerk überprüft den Client über ein Clientzertifikat. Dies ist der obligatorische Standard für Unternehmensnetzwerke, bei denen Datenabfluss das Hauptrisiko darstellt.

PPSK bietet eine Isolierung zwischen den Bewohnern. Es bietet keine gegenseitige Authentifizierung. Es unterstützt jedoch 100 % der WiFi-fähigen Geräte, einschließlich kopfloser IoT-Hardware. Für einen BTR-Betreiber besteht das Hauptrisiko darin, dass Bewohner A auf den Smart-TV von Bewohner B zugreift oder dessen lokalen Netzwerkverkehr einsehen kann. PPSK mindert dieses Risiko effektiv ohne den administrativen Aufwand einer Public-Key-Infrastruktur (PKI).

comparison_chart.png

WPA3 und Forward Secrecy

Der Übergang zu WPA3 stärkt PPSK-Bereitstellungen erheblich. WPA3-Personal ersetzt den PSK-Handshake durch Simultaneous Authentication of Equals (SAE). SAE nutzt das Dragonfly-Schlüsselaustauschprotokoll, das Forward Secrecy bietet.

In einem WPA2-PSK-Netzwerk kann ein Angreifer, der den ersten Handshake abfängt und später das Passwort erhält, den abgefangenen Datenverkehr entschlüsseln. In einem WPA3-SAE-Netzwerk ist dies kryptografisch unmöglich. Wenn Ihre Hardware dies unterstützt, sollte WPA3-SAE die Standardkonfiguration für neue PPSK-Bereitstellungen sein.

Implementierungsleitfaden

Die Bereitstellung einer mandantenfähigen WiFi-Architektur erfordert die strikte Einhaltung der Layer-2-Segmentierungsprinzipien.

1. Logische Segmentierungsstrategie

Definieren Sie vor der Konfiguration der Access Points die VLAN-Taxonomie. Eine Standard-BTR-Bereitstellung erfordert:

  • Bewohner-VLANs: Ein VLAN pro Einheit (z. B. VLANs 10 - 210 für ein Gebäude mit 200 Einheiten).
  • IoT-VLAN: Ein dediziertes Segment (z. B. VLAN 99) für Gebäudemanagementsysteme, HLK und Zutrittskontrolle.
  • Management-VLAN: Ein streng isoliertes Segment für AP- und Switch-Management-Traffic.
  • Gäste-VLAN: Ein direkt ins Internet geroutetes Segment für Gemeinschaftsbereiche.

2. Hardware- und Anbieter-Auswahl

PPSK ist eine Softwarefunktion und kein IEEE-Standard, was bedeutet, dass die Implementierung je nach Anbieter variiert:

  • Cisco Meraki: Bezeichnet als iPSK (Identity PSK). Verwaltet über das Meraki-Dashboard mit Richtlinien pro SSID. Hohe Skalierbarkeit.
  • HPE Aruba: Bezeichnet als PPSK oder MPSK (Multiple PSK). Nativ unterstützt in ArubaOS und Aruba Central.
  • Ruckus: Bezeichnet als DPSK (Dynamic PSK). Verwaltet über SmartZone oder Ruckus Cloud.
  • Juniper Mist: Bezeichnet als ePSK. Integriert sich eng in das KI-gestützte RF-Management von Mist.
  • Ubiquiti UniFi: Bezeichnet als PPSK. Hinzugefügt im Jahr 2023. Hinweis: Derzeit auf WPA2 beschränkt; inkompatibel mit 6-GHz-Bändern.

3. Key-Lifecycle-Management

Der betriebliche Erfolg einer PPSK-Bereitstellung hängt vollständig von der Schlüsselverteilung ab. Das Generieren von Schlüsseln ist trivial; die sichere Bereitstellung an die Bewohner ist komplex.

Integrieren Sie die Schlüsselgenerierung über eine API in das Immobilienverwaltungssystem. Wenn ein Mietvertrag unterzeichnet wird, sollte das System die WiFi-Controller-API (z. B. Aruba Central oder das Meraki-Dashboard) aufrufen, um einen Schlüssel zu generieren und dem richtigen VLAN zuzuweisen. Der Schlüssel wird dem Bewohner dann per E-Mail oder über eine sichere Bewohner-App zugestellt. Wenn das Mietverhältnis endet, widerruft der API-Aufruf den Schlüssel sofort.

deployment_decision_guide.png

Best Practices

HF-Planung und SSID-Konsolidierung

In Umgebungen mit hoher Dichte beeinträchtigt ein Wildwuchs an SSIDs die Netzwerkleistung massiv. Jede von einem Access Point ausgestrahlte SSID verbraucht Sendezeit für Management-Frames. Das Ausstrahlen von acht SSIDs in einem dicht genutzten Korridor kann 25 % der verfügbaren Sendezeit beanspruchen, noch bevor ein einziges Byte an Benutzerdaten übertragen wird.

PPSK löst dieses Problem, indem es Hunderten von Bewohnern ermöglicht, eine einzige SSID zu nutzen. Als Best Practice gilt das Ausstrahlen von maximal drei SSIDs pro Funkmodul:

  1. Building_Resident (PPSK für Mieter)
  2. Building_Guest (Offen mit Captive Portal für Besucher)
  3. Building_IoT (PPSK für die Infrastruktur)

Verwaltung von CGNAT und IP-Adressenknappheit

Eine BTR-Immobilie mit 200 Einheiten beherbergt 3.000 bis 5.000 gleichzeitige Geräte. Standardmäßige /24-Subnetze sind schnell erschöpft. Implementieren Sie stattdessen /23- oder /22-Subnetze für die VLANs der Bewohner.

Da IPv4-Adressen begrenzt sind, müssen Betreiber Carrier-Grade NAT (CGNAT) einsetzen. Stellen Sie sicher, dass die Firewall oder der Core-Router, der die NAT-Übersetzung durchführt, über eine ausreichende Status-Tabellen-Kapazität verfügt, um Zehntausende gleichzeitiger Verbindungen zu verarbeiten. Konfigurieren Sie die NAT-Richtlinien so, dass "Typ 2" oder "Moderate" NAT für Spielkonsolen zulässig ist, da ein striktes NAT die Online-Multiplayer-Funktionalität beeinträchtigt.

Fehlerbehebung & Risikominderung

Das Fehler-Szenario des Trunk-Ports

Der häufigste Fehler bei der Implementierung tritt auf der Switch-Ebene auf. Ein AP ist so konfiguriert, dass er einen PPSK-Schlüssel dem VLAN 50 zuweist, aber der Switch-Port, der den AP mit der Distribution-Ebene verbindet, ist nicht so konfiguriert, dass er VLAN 50 auf dem 802.1Q-Trunk zulässt. Der AP taggt den Datenverkehr, der Switch verwirft ihn und der Bewohner hat keinen Internetzugang. Dokumentieren und prüfen Sie während der Inbetriebnahme alle zugelassenen VLAN-Listen der Trunk-Ports sorgfältig.

Isolation von IoT-Geräten

Bewohner werden unweigerlich anfällige, kostengünstige IoT-Geräte mit ihren persönlichen VLANs verbinden. Während PPSK Bewohner A von Bewohner B isoliert, schützt es nicht den Laptop von Bewohner A vor der kompromittierten Smart-Home-Glühbirne von Bewohner A.

Implementieren Sie nach Möglichkeit eine Layer-2-Client-Isolation innerhalb des Bewohner-VLANs, aber gehen Sie vorsichtig vor: Eine strikte Client-Isolation verhindert die Kopplung von Chromecast und Smart Speakern. Die optimale Lösung besteht darin, ein dediziertes IoT-VLAN für die Gebäudeinfrastruktur bereitzustellen und gleichzeitig das lokalisierte Risiko innerhalb der einzelnen Bewohner-VLANs zu akzeptieren.

ROI & geschäftlicher Nutzen

Die Bereitstellung von WiFi als verwalteter Service und nicht als Verantwortung der Mieter bringt BTR- und Studentenwohnheim-Betreibern messbare wirtschaftliche Vorteile.

Mietaufschläge: Immobilien mit verwaltetem WiFi, das ab dem ersten Tag einsatzbereit ist, erzielen einen Mietaufschlag von 15 £ bis 30 £ pro Wohneinheit und Monat. Bei einem Gebäude mit 200 Einheiten generiert dies 36.000 £ bis 72.000 £ an zusätzlichem jährlichen NOI.

Betriebliche Effizienz: Netzwerke mit gemeinsam genutzten Passwörtern generieren kontinuierlich Support-Tickets im Zusammenhang mit der Gerätekopplung und Passwortrotationen beim Auszug. PPSK-Bereitstellungen reduzieren das WiFi-bezogene Supportvolumen typischerweise um 30 %, indem sie eine standardmäßige Heimnetzwerkumgebung imitieren.

Retention: Reibungen beim Einzug sind ein Haupttreiber für frühe Unzufriedenheit unter Mietern. Durch die Eliminierung der Wartezeit von 7 bis 14 Tagen auf einen Breitbandtechniker und die Bereitstellung sofortiger Konnektivität verbessern Betreiber das erste Wohnerlebnis der Bewohner, was sich direkt auf die langfristigen Retention-Kennzahlen auswirkt.

Interne Verlinkung

Für weiteres Material zu verwandten Architekturen lesen Sie unsere Leitfäden Managed WiFi Provider: Ein umfassender Leitfaden für Unternehmen und Drei SSIDs für alle Fälle: Gast, Passpoint und IoT WiFi . Für branchenspezifische Implementierungen lesen Sie unsere Bereitstellungsmodelle für das Gastgewerbe und den Einzelhandel oder erkunden Sie die Analysefunktionen von WiFi Analytics .

Schlüsseldefinitionen

PPSK (Private Pre-Shared Key)

Eine WiFi Authentifizierungsmethode, bei der mehrere eindeutige Passwörter auf einer einzigen SSID verwendet werden können, wobei jedes Passwort den Benutzer einem bestimmten VLAN oder einer Richtlinie zuweist.

Wird in mandantenfähigen Umgebungen verwendet, um eine Netzwerktrennung pro Haushalt ohne die Komplexität von 802.1X zu gewährleisten.

802.1X

Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle, der eine gegenseitige Authentifizierung zwischen einem Client und einem Netzwerk unter Verwendung eines RADIUS-Servers und eines Identity Providers ermöglicht.

Der obligatorische Sicherheitsstandard für Netzwerke von Unternehmensmitarbeitern, jedoch ungeeignet für IoT-Geräte in Wohnbereichen.

VLAN (Virtual Local Area Network)

Ein logisches Subnetzwerk, das eine Gruppe von Geräten aus verschiedenen physischen LANs zusammenfasst und deren Datenverkehr auf Layer 2 isoliert.

Der Mechanismus, den PPSK verwendet, um den Datenverkehr von Bewohner A auf gemeinsam genutzter Hardware vom Datenverkehr von Bewohner B getrennt zu halten.

WPA3-SAE

Simultaneous Authentication of Equals. Das in WPA3-Personal verwendete Schlüsselaustauschprotokoll, das den WPA2-Vier-Wege-Handshake ersetzt.

Bietet Perfect Forward Secrecy für PPSK-Bereitstellungen und stellt sicher, dass erfasster Datenverkehr auch bei einer Kompromittierung des Schlüssels später nicht entschlüsselt werden kann.

CGNAT (Carrier-Grade NAT)

Ein groß angelegter Mechanismus zur Netzwerkadressübersetzung, der verwendet wird, um einen kleinen Pool öffentlicher IPv4-Adressen unter Tausenden von internen privaten IP-Adressen aufzuteilen.

Erforderlich in großen BTR-Bereitstellungen, bei denen das reine Volumen an Bewohnergeräten den verfügbaren öffentlichen IP-Adressraum überschreitet.

mDNS (Multicast DNS)

Ein Protokoll, das Hostnamen in IP-Adressen in kleinen Netzwerken auflöst, die keinen lokalen Nameserver enthalten.

Das Protokoll, mit dem ein Smartphone einen Chromecast erkennen kann. Dies funktioniert nur, wenn sich beide Geräte im selben VLAN befinden, was PPSK ermöglicht.

RADIUS

Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Authentifizierung, Autorisierung und Accounting-Verwaltung bereitstellt.

Erforderlich für 802.1X-Bereitstellungen, wird jedoch bei standardmäßigen Cloud-verwalteten PPSK-Bereitstellungen vollständig umgangen.

Supplicant

Der Software-Client auf einem Endgerät, der den 802.1X-Authentifizierungsaustausch abwickelt.

Laptops und Telefone verfügen über Supplicants; Smart-TVs und Spielekonsolen nicht, weshalb PPSK für Wohn-WiFi erforderlich ist.

Ausgearbeitete Beispiele

Ein Build to Rent Betreiber mit 250 Wohneinheiten stellt derzeit WiFi über ein einziges gemeinsames Passwort zur Verfügung. Bewohner beschweren sich ständig darüber, dass sie die Smart-TVs ihrer Nachbarn sehen können. Wenn ein Bewohner auszieht, muss das Passwort geändert werden, was die Verbindung für das gesamte Gebäude unterbricht. Der Betreiber möchte dieses Problem lösen, ohne seine vorhandenen Cisco Meraki Access Points zu ersetzen.

Der Betreiber sollte von einer Standard-WPA2-PSK-Konfiguration auf Meraki iPSK (Identity PSK) umsteigen.

  1. Konfigurieren Sie eine einzelne neue SSID namens "Resident_WiFi".
  2. Konfigurieren Sie im Meraki Dashboard die SSID für "Identity PSK ohne RADIUS".
  3. Erstellen Sie 250 eindeutige VLANs auf dem Core-Switch (z. B. VLANs 100-350).
  4. Generieren Sie 250 eindeutige iPSK-Passphrasen.
  5. Ordnen Sie jede Passphrase im Meraki Dashboard einer bestimmten VLAN-ID zu.
  6. Verteilen Sie die eindeutigen Passphrasen an die jeweiligen Bewohner.

Wenn sich ein Bewohner verbindet, kennzeichnet Meraki seinen Datenverkehr mit seinem spezifischen VLAN und isoliert ihn so von den Nachbarn. Wenn ein Bewohner auszieht, wird sein spezifischer iPSK aus dem Dashboard gelöscht, wodurch sein Zugriff entzogen wird, ohne dass andere Bewohner beeinträchtigt werden.

Kommentar des Prüfers: Dies ist die klassische Anwendung von PPSK. Sie behebt den Ausfall der Layer-2-Isolierung (Sichtbarkeit von Nachbargeräten) und den betrieblichen Aufwand (globale Passwortänderung) vollständig auf Softwareebene unter Nutzung der bestehenden Meraki Hardware-Investition.

Ein IT-Team einer Universität stellt WiFi in einem neuen Studentenwohnheim mit 400 Betten bereit. Sie benötigen 802.1X (eduroam) für Laptops und Telefone der Studenten, aber die Studenten bringen auch Spielekonsolen und Smart-Speaker mit, die kein 802.1X unterstützen. Wie sollte die Architektur dies handhaben?

Das IT-Team muss eine hybride Authentifizierungsarchitektur implementieren, die zwei SSIDs ausstrahlt.

  1. SSID 1 (eduroam): Konfiguriert für 802.1X mit RADIUS-Authentifizierung gegenüber dem Identity Provider der Universität. Dies deckt alle Laptops, Tablets und Smartphones ab.
  2. SSID 2 (Student_Devices): Konfiguriert für PPSK. Für jedes Studentenzimmer wird ein eindeutiger Schlüssel generiert und einem dedizierten VLAN für dieses Zimmer zugeordnet.

Studenten nutzen eduroam für ihre Hauptgeräte. Für bildschirmlose Geräte (Konsolen, Smart-Speaker) nutzen sie den eindeutigen PPSK ihres Zimmers auf der zweiten SSID. Das Kernnetzwerk leitet den Datenverkehr sowohl von den 802.1X-VLANs als auch von den PPSK-VLANs ins Internet weiter, verhindert jedoch das Inter-VLAN-Routing, um die Sicherheit zu gewährleisten.

Kommentar des Prüfers: Dieser hybride Ansatz ist im Hochschulbereich zwingend erforderlich. Der Versuch, IoT-Geräte über MAC-Authentication Bypass (MAB) in 802.1X zu zwingen, ist betrieblich aufwendig und unsicher. Die Verwendung von PPSK für das IoT-Segment bietet Isolierung und betriebliche Einfachheit, während die strenge Sicherheit von 802.1X für kompatible Geräte beibehalten wird.

Übungsfragen

Q1. Ein Build to Rent-Betreiber möchte WiFi in 150 Wohnungen unter Verwendung von Ubiquiti UniFi Access Points bereitstellen. Sie möchten das 6-GHz-Band (Wi-Fi 6E) nutzen, um den Bewohnern maximalen Durchsatz zu garantieren, und sie möchten PPSK verwenden, um jede Wohnung zu isolieren. Was ist der architektonische Fehler in diesem Plan?

Hinweis: Berücksichtigen Sie die spezifischen Verschlüsselungsanforderungen für das 6-GHz-Band und die aktuelle PPSK-Implementierung von UniFi.

Musterlösung anzeigen

Der architektonische Fehler besteht darin, dass das 6-GHz-Band die WPA3-Sicherheit vorschreibt, die aktuelle Implementierung von PPSK bei Ubiquiti UniFi jedoch nur WPA2 unterstützt. Daher kann PPSK auf dem 6-GHz-Band mit UniFi-Hardware nicht bereitgestellt werden. Der Betreiber muss entweder die PPSK-SSID auf die 2,4-GHz- und 5-GHz-Bänder beschränken oder einen anderen Hardware-Hersteller (wie Aruba oder Meraki) wählen, der PPSK mit WPA3-SAE unterstützt.

Q2. Ein Hotel-IT-Manager konfiguriert PPSK auf seinen Access Points und weist Zimmer 101 dem VLAN 101 und Zimmer 102 dem VLAN 102 zu. Geräte in den Zimmern verbinden sich erfolgreich mit dem WiFi und erhalten eine IP-Adresse, können aber das Internet nicht erreichen. Was ist der wahrscheinlichste Konfigurationsfehler?

Hinweis: Der Access Point erledigt seine Aufgabe, aber der Datenverkehr gelangt nicht zum Router.

Musterlösung anzeigen

Der wahrscheinlichste Fehler ist eine fehlende 802.1Q-Trunk-Konfiguration auf den Switch-Ports, die die Access Points mit dem Netzwerk verbinden. Der AP markiert den Datenverkehr korrekt mit VLAN 101 oder 102, aber wenn diese VLANs auf dem Switch-Trunk-Port nicht explizit zugelassen sind, verwirft der Switch die markierten Frames. Der IT-Manager muss die Switch-Konfiguration aktualisieren, um alle Zimmer-VLANs auf den entsprechenden Trunk-Verbindungen zuzulassen.

Q3. Ein Unternehmensbüro möchte PPSK für die Laptops der Mitarbeiter anstelle von 802.1X verwenden, da kein RADIUS-Server verwaltet werden soll. Es ist geplant, jedem Mitarbeiter ein eindeutiges PPSK zuzuweisen. Warum stellt dies ein Sicherheitsrisiko für eine Unternehmensumgebung dar?

Hinweis: Überlegen Sie, was passiert, wenn sich ein Mitarbeiter mit einem bösartigen Access Point verbindet, der die Unternehmens-SSID ausstrahlt.

Musterlösung anzeigen

Dies ist ein Sicherheitsrisiko, da PPSK keine gegenseitige Authentifizierung bietet. Ein Angreifer könnte einen Rogue Access Point einrichten, der die Unternehmens-SSID ausstrahlt. Da PPSK auf einem Pre-Shared Key basiert, würde der Laptop des Mitarbeiters versuchen, eine Verbindung zum Rogue AP herzustellen, was potenziell den Schlüssel offenlegen oder einen Man-in-the-Middle-Angriff ermöglichen könnte. 802.1X mit EAP-TLS verhindert dies, indem es vorschreibt, dass das Netzwerk dem Client ein vertrauenswürdiges Zertifikat präsentiert, bevor der Client eine Verbindung herstellt.

Weiterlesen in dieser Reihe

PPSK WPA3: Vergleich von Funktionen und Bereitstellungsmodellen

Dieser technische Leitfaden vergleicht PPSK und WPA3-SAE und erläutert deren architektonische Unterschiede sowie Bereitstellungsmodelle für mandantenfähige Umgebungen. Er bietet IT-Managern und Immobilienentwicklern praktische Anleitungen zur Einrichtung sicherer, isolierter WiFi Netzwerke mithilfe der identitätsbasierten Lösungen von Purple.

Leitfaden lesen →

PPSK life: comparing features and deployment models

Dieser Leitfaden vergleicht PPSK (Private Pre-Shared Key) mit standardmäßigem PSK und 802.1X und beschreibt Implementierungsmodelle für mandantenfähige Umgebungen im Detail. Er unterstützt IT-Manager und Immobilienbetreiber bei der Bereitstellung von sicherem, für die Bewohner isoliertem WiFi, das Smart-Home-Geräte unterstützt und messbaren Geschäftswert generiert.

Leitfaden lesen →

PPSK Trainingszentrum: Vergleich von Funktionen und Bereitstellungsmodellen

Eine maßgebliche technische Referenz für die Bereitstellung von Private Pre-Shared Key (PPSK)-Architekturen in Trainingszentren. Dieses Handbuch vergleicht Controller-lokale, RADIUS-gestützte und Cloud-orchestrierte Modelle und bietet praktische Implementierungsschritte für die Netzwerksegmentierung und die Automatisierung des Schlüssel-Lebenszyklus.

Leitfaden lesen →