PPSK WPA3: Vergleich von Funktionen und Bereitstellungsmodellen

Willkommen zum Purple Technical Briefing. Ich bin Ihr Gastgeber, und heute befassen wir uns mit einer Frage, die derzeit auf dem Schreibtisch fast jedes Netzwerkarchitekten im Bereich von Multi-Tenant-Immobilien, Hotellerie oder Einzelhandel liegt: Wie schneiden PPSK und WPA3 im direkten Vergleich ab und welches Bereitstellungsmodell passt zu Ihrer Umgebung? Beginnen wir mit dem Kontext. Wenn Sie ein Immobilienentwickler, ein Build-to-Rent-Betreiber oder ein Vermieter sind, der ein Wohngebäude mit gemeinsam genutzter WiFi-Infrastruktur verwaltet, haben Sie wahrscheinlich schon beide Begriffe gehört. PPSK, was für Private Pre-Shared Key steht, und WPA3, die neueste Generation der WiFi-Sicherheit der Wi-Fi Alliance. Sie werden oft so diskutiert, als handele es sich um konkurrierende Technologien. Das ist nicht der Fall. Sie lösen unterschiedliche Probleme. Und in vielen Szenarien benötigen Sie beide. Lassen Sie uns also unsere Begriffe klar definieren, bevor wir fortfahren. WPA3 ist ein Sicherheitszertifizierungsstandard, der 2018 von der Wi-Fi Alliance ratifiziert wurde. Er ist in zwei Hauptvarianten erhältlich: WPA3-Personal, das den alten Pre-Shared-Key-Mechanismus durch SAE (Simultaneous Authentication of Equals) ersetzt. Und WPA3-Enterprise, das auf dem 802.1X-Framework aufbaut und eine optionale kryptografische 192-Bit-Suite für Hochsicherheitsumgebungen einführt. Die entscheidende Verbesserung bei WPA3-Personal besteht darin, dass SAE Offline-Wörterbuchangriffe eliminiert. Wenn bei WPA2 ein Angreifer den Vier-Wege-Handshake abfing, als sich ein Gerät mit Ihrem Netzwerk verband, konnte er diese Daten entwenden und unbegrenzt Brute-Force-Cracking-Tools darauf anwenden, ohne Ihr Netzwerk jemals wieder zu berühren. SAE unterbindet das komplett. Jeder Passwortversuch erfordert eine aktive Interaktion mit dem Access Point. Das macht Offline-Cracking praktisch unmöglich. WPA3 schreibt außerdem Protected Management Frames (PMF) vor, die in IEEE 802.11w definiert sind. Dies schützt den Management-Verkehr zwischen Geräten und Access Points vor Spoofing- und Replay-Angriffen. Bei WPA2 war PMF optional. Bei WPA3 ist es nicht verhandelbar. Nun zu PPSK. Private Pre-Shared Key ist eine proprietäre Technologie - und dieses Wort "proprietär" ist wichtig, wir werden darauf zurückkommen. Das Grundkonzept ist einfach: Anstatt dass jedes Gerät auf einer SSID dasselbe Passwort teilt, erhält jedes Gerät oder jeder Benutzer eine eindeutige Passphrase. Verschiedene Anbieter bezeichnen dies unterschiedlich. Cisco nennt es iPSK. Extreme Networks nennt es PPSK. Ruckus nennt es DPSK. Juniper Mist nennt es Multi-PSK. HPE Aruba nennt es MPSK. Cambium nennt es ePSK. Der zugrunde liegende Mechanismus ist bei allen identisch. Und so funktioniert es technisch: Beim Standard-WPA2-Personal wird der Pre-Shared Key aus Ihrer Passphrase mithilfe einer im 802.11i-Standard definierten Formel abgeleitet. Jedes Gerät, das dasselbe Passwort verwendet, leitet denselben PSK ab. In einer PPSK-Implementierung leitet jede eindeutige Passphrase einen anderen PSK ab. Wenn sich ein Gerät verbindet, prüft der Access Point oder ein RADIUS-Server jeden gespeicherten PSK gegen den Message Integrity Check im Vier-Wege-Handshake, bis eine Übereinstimmung gefunden wird. Damit ist das Gerät identifiziert. Das praktische Ergebnis ist, dass Sie jedem Bewohner in einem BTR-Gebäude, jedem Hotelmitarbeiter oder jeder IoT-Gerätekategorie eine eigene, eindeutige Passphrase zuweisen und diese Passphrase einem bestimmten VLAN zuordnen können. Der Bewohner in Wohnung eins erhält Passphrase A, die VLAN 10 zugeordnet ist. Der Bewohner in Wohnung zwei erhält Passphrase B, die VLAN 20 zugeordnet ist. Ihr Datenverkehr ist auf Layer 2 isoliert. Sie teilen sich eine SSID, eine Reihe von Access Points, eine Infrastruktur - aber sie können die Geräte des jeweils anderen nicht sehen. Und genau hier wird das Spannungsverhältnis zwischen PPSK und WPA3 architektonisch wichtig. Und das ist der Punkt, den die meisten Anleitungen übergehen. PPSK läuft in seiner traditionellen Form auf WPA2. Der Multi-PSK-Mechanismus basiert auf dem in 802.11i definierten Vier-Wege-Handshake, dem Standard hinter WPA2. WPA3-Personal ersetzt diesen Handshake durch SAE. Die beiden Mechanismen sind auf Protokollebene grundlegend inkompatibel. Das bedeutet: Wenn Sie heute auf den meisten Access Points eine reine WPA3-Personal-SSID konfigurieren, können Sie auf derselben SSID nicht gleichzeitig PPSK ausführen. Der SAE-Handshake unterstützt den Multi-PSK-Trial-and-Match-Workflow nicht. Aber - und das ist wichtig - die Branche arbeitet aktiv an einer Lösung. Die Access Assurance-Plattform von Juniper Mist unterstützt jetzt WPA3 Multi-PSK über einen RADIUS-basierten Ansatz, bei dem der Access Point im WPA3-SAE-Modus arbeitet und der RADIUS-Server die gerätespezifische Schlüsselsuche übernimmt. Die iPSK-Lösung von Cisco unterstützt in ähnlicher Weise WPA3-SAE mit einem externen RADIUS-Server, der die Zuordnungen von MAC-Adressen zu PSK speichert. Das 6-GHz-Band, das mit Wi-Fi 6E unter 802.11ax eingeführt wurde, schreibt WPA3 vor. Daher muss jede Bereitstellung, die auf 6 GHz abzielt, eine WPA3-kompatible PPSK-Lösung finden. Das praktische Fazit für Ihre Bereitstellungsentscheidung lautet: Wenn Sie Hardware von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme oder Fortinet verwenden, prüfen Sie die aktuelle Firmware Ihres Herstellers auf WPA3- und Multi-PPSK-Unterstützung, bevor Sie Ihre Sicherheitsarchitektur festlegen. Der Markt bewegt sich schnell. Lassen Sie uns über Bereitstellungsmodelle sprechen. Es gibt drei Hauptmuster, die wir in der Praxis sehen. Das erste ist PPSK ohne RADIUS, manchmal auch lokales PPSK oder Controller-basiertes PPSK genannt. Der PSK-Pool wird direkt auf dem Access Point oder Wireless-Controller gespeichert. Dies ist die einfachste Bereitstellung. Es ist kein externer Authentifizierungsserver erforderlich. Das funktioniert gut für kleinere Standorte - eine einzelne Filiale im Einzelhandel, ein Coworking Space mit weniger als 500 Mitgliedern oder ein kleiner Wohnblock. Die Einschränkung liegt in der Skalierung. Die meisten Controller-basierten Implementierungen begrenzen die Anzahl der PSKs auf wenige Hundert bis einige Tausend. Die Schlüsselverwaltung wird manuell. Und da die Schlüssel lokal gespeichert werden, erfordert der Widerruf eines kompromittierten Schlüssels den direkten Zugriff auf den Controller. Das zweite Modell ist PPSK mit RADIUS. Hier befindet sich der PSK-Pool auf einem externen RADIUS-Server. Wenn sich ein Gerät verbindet, leitet der Access Point die Authentifizierungsanfrage an RADIUS weiter, welcher den korrekten PSK für dieses Gerät heraussucht und an den AP zurückgibt. Dieses Modell skaliert auf Zehntausende von Geräten. Es lässt sich in Identity Provider - Microsoft Entra ID, Okta, Google Workspace - integrieren, sodass Sie die Bereitstellung und Entzug von Berechtigungen automatisieren können. Wenn ein Bewohner aus einem BTR-Gebäude auszieht, widerrufen Sie dessen Eintrag im Identity Provider, und der WiFi-Zugang erlischt innerhalb von Sekunden. Keine manuelle Schlüsselrotation. Dies ist die Architektur, auf der die Multi-Tenant WiFi-Plattform von Purple aufbaut. Das dritte Modell ist WPA3-Enterprise mit 802.1X. Komplett ohne PSKs. Jedes Gerät authentifiziert sich über ein Zertifikat oder Anmeldedaten via EAP-TLS oder PEAP. Dies ist der Goldstandard für Unternehmensumgebungen, das Gesundheitswesen und alle Bereiche mit strengen Compliance-Anforderungen wie PCI-DSS oder ISO 27001. Der Aufwand ist höher - Sie benötigen eine Public-Key-Infrastruktur für die Zertifikatsverwaltung, und jedes Gerät muss registriert werden. Für ein BTR-Gebäude, in dem Bewohner ihre eigenen Geräte mitbringen, ist dies selten praktikabel. Für das Mitarbeiternetzwerk eines Hotels oder die klinische Geräteflotte eines Krankenhauses ist es die richtige Lösung. Betrachten wir nun zwei reale Szenarien, um dies zu veranschaulichen. Szenario eins. Ein Build-to-Rent-Objekt mit 200 Wohneinheiten. Der Betreiber möchte, dass jeder Bewohner sein eigenes privates Netzwerksegment hat, ohne Sichtbarkeit in benachbarte Wohnungen. Zudem müssen Smart-Home-Geräte - Thermostate, Video-Türklingeln, Smart-Speaker - unterstützt werden, die in der Regel reine WPA2-Geräte sind. Und der Aufwand für die Netzwerkverwaltung soll so gering wie möglich sein. Die richtige Architektur ist hier PPSK mit RADIUS auf einer WPA2 oder WPA2/WPA3 Transition Mode SSID. Jeder Bewohner erhält beim Einzug eine eindeutige Passphrase, die automatisch über das in den RADIUS-Server integrierte Immobilienverwaltungssystem bereitgestellt wird. Seine Geräte - Telefone, Laptops, Smart-TVs - verbinden sich mit dieser Passphrase und landen im dedizierten VLAN. Seine IoT-Geräte verbinden sich über eine separate IoT-Passphrase, die einem eingeschränkten IoT-VLAN ohne Zugriff auf das Hauptsegment der Wohnung zugeordnet ist. Beim Auszug stößt das Immobilienverwaltungssystem die Deaktivierung an. Die Passphrase wird widerrufen. Der Zugang endet. Die Multi-Tenant WiFi-Plattform von Purple deckt genau diesen Workflow ab und lässt sich in Hardware von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti, UniFi, Cambium, Extreme Networks und Fortinet integrieren. Dank des Cloud-Overlays verwalten Sie die gesamte Anlage über ein einziges Dashboard, unabhängig davon, welche Hardware vor Ort installiert ist. Szenario zwei. Ein Hotel mit 150 Zimmern. Das Hotel benötigt drei unterschiedliche Netzwerksegmente: Guest WiFi für Hotelbesucher, Staff WiFi für betriebliche Geräte und ein Gebäudemanagement-Netzwerk für CCTV, Türzugang und HVAC. Das Gäste-Netzwerk muss reibungslos funktionieren. Das Mitarbeiter-Netzwerk muss sicher und auditierbar sein. Das Gebäudemanagement-Netzwerk muss vollständig isoliert sein. Hier ist die Architektur ein Drei-SSID-Design. Die Gäste-SSID verwendet WPA3-Personal mit SAE oder Enhanced Open mit Opportunistic Wireless Encryption für ein wirklich passwortloses Erlebnis, kombiniert mit dem Captive Portal von Purple für ein einwilligungsbasiertes Onboarding. Die Mitarbeiter-SSID verwendet WPA3-Enterprise mit 802.1X, authentifiziert über Microsoft Entra ID. Die Gebäudemanagement-SSID verwendet PPSK mit einem dedizierten VLAN, das an der Firewall von jeglichem anderen Datenverkehr isoliert ist. Lassen Sie mich nun auf die häufigsten Fallstricke bei der Implementierung eingehen, denn hier laufen Bereitstellungen oft schief. Der erste ist die PMF-Kompatibilität. WPA3 schreibt Protected Management Frames vor. Wenn Sie ältere Geräte haben - ältere Barcodescanner, Point-of-Sale-Terminals, einige medizinische Geräte -, die PMF nicht unterstützen, können sie sich nicht mit einer reinen WPA3-SSID verbinden. Das Symptom ist, dass das Gerät das Netzwerk sieht, sich aber nicht verbinden kann. Die Lösung ist entweder der WPA3-Transition-Mode, der sowohl WPA2- als auch WPA3-Clients auf derselben SSID zulässt, oder eine dedizierte WPA2-SSID auf einem isolierten VLAN für diese Altgeräte. Der Transition-Mode ist eine valide Migrationsstrategie, ist jedoch anfällig für Downgrade-Angriffe, betrachten Sie ihn also als Übergangslösung. Der zweite Fallstrick ist die unkontrollierte Vermehrung von Schlüsseln. Bei einer PPSK-Bereitstellung ohne ordnungsgemäßes Lifecycle-Management sammeln sich veraltete Schlüssel an. Ehemalige Bewohner, Ex-Mitarbeiter, ausgemusterte Geräte - sie alle hinterlassen verwaiste PSKs in Ihrer RADIUS-Datenbank. Jeder einzelne ist ein potenzieller Angriffsvektor. Automatisieren Sie die Bereitstellung und Deaktivierung vom ersten Tag an und prüfen Sie Ihre PSK-Datenbank vierteljährlich. Der dritte Fallstrick ist die 6GHz-Planung. Wenn Sie WiFi 6E oder WiFi 7 Access Points bereitstellen und das 6GHz-Band nutzen möchten, ist WPA3 zwingend erforderlich. Sie können WPA2 nicht auf 6GHz betreiben. Wenn Ihre PPSK-Strategie also auf WPA2 basiert, bleiben Ihre 6GHz-Funkmodule ungenutzt oder betreiben eine separate SSID. Planen Sie Ihre Sicherheitsarchitektur, bevor Sie Ihre Hardware-Beschaffung abschließen. Nun zu einer kurzen Fragerunde. Frage: Kann ich PPSK und WPA3 auf derselben SSID betreiben? Antwort: Auf der meisten heutigen Hardware nicht nativ. Aber Juniper Mist und Cisco unterstützen beide WPA3-SAE mit RADIUS-basiertem Multi-PSK. Prüfen Sie die aktuelle Firmware Ihres Herstellers. Erwarten Sie eine breitere Unterstützung durch alle Hersteller in den nächsten 12 bis 18 Monaten. Frage: Ist PPSK konform mit PCI-DSS? Antwort: PPSK kann die PCI-DSS-Anforderungen zur Netzwerksegmentierung erfüllen, wenn sich jedes Gerät der Karteninhaber-Datenumgebung in seinem eigenen isolierten VLAN befindet und der Zugriff kontrolliert und auditierbar ist. Für Karteninhaber-Datenumgebungen ist WPA3-Enterprise mit 802.1X und EAP-TLS die sicherere, langfristige Wahl. Frage: Was passiert, wenn ein Bewohner seinen PPSK mit einem Nachbarn teilt? Antwort: Der Nachbar landet im selben VLAN wie der Bewohner. Der Nachbar kann nicht auf den Datenverkehr anderer Bewohner zugreifen. Es bedeutet jedoch, dass der Immobilienbetreiber einen nicht autorisierten Nutzer mit Diensten versorgt. Dies kann minimiert werden, indem PSKs an MAC-Adressen gebunden werden, sofern die Hardware dies unterstützt, oder indem Nutzungsüberwachung und Anomalie-Alarme implementiert werden. Zusammenfassend lässt sich sagen: PPSK und WPA3 ergänzen sich und stehen nicht in Konkurrenz zueinander. PPSK löst das Problem der Isolierung in Multi-Tenant-Umgebungen - eine SSID, eindeutige Anmeldedaten pro Bewohner oder Gerät, automatische VLAN-Zuweisung. WPA3 löst das Problem der Authentifizierungssicherheit - SAE eliminiert Offline-Wörterbuchangriffe, PMF schützt Management-Frames und die 192-Bit-Suite erfüllt hohe Sicherheitsanforderungen. Für BTR-Betreiber und Vermieter, die heute eine gemeinsame WiFi-Infrastruktur bereitstellen, ist die empfohlene Architektur PPSK mit RADIUS zur Isolierung der Bewohner, ausgeführt im WPA2- oder WPA3-Transition-Modus für eine breite Gerätekompatibilität, mit einem klaren Migrationspfad zu WPA3-nativen PPSK, sobald die Unterstützung durch die Hardware-Anbieter ausgereift ist. Kombinieren Sie dies mit einer dedizierten WPA3-Enterprise SSID für Mitarbeiter und betriebliche Geräte sowie einem isolierten IoT-VLAN für Smart-Building-Systeme. Die Multi-Tenant-WiFi-Plattform von Purple fungiert über all dem als hardwareunabhängiges Cloud-Overlay. Wir verwalten die RADIUS-Integration, die Bereitstellungs-Workflows, die Analysen und das Compliance-Reporting - über 80.000 Live-Standorte und 350 Millionen eindeutige Nutzer hinweg. ISO 27001 zertifiziert, GDPR und CCPA konform, 99,999 % Betriebszeit. Bis zum nächsten Mal.