Zum Hauptinhalt springen
Deutsch

Drei SSIDs für alle Fälle: Einrichtungsleitfaden für Guest, Passpoint und IoT WiFi

Dieser technische Leitfaden bietet eine definitive Blaupause für die Implementierung des Drei-SSID-WiFi-Designs in Unternehmensumgebungen. Er beschreibt die Konfiguration eines offenen Guest WiFi-Portals, das automatisierte Onboarding via Passpoint sowie die gerätespezifische xPSK-Authentifizierung, um eine vollständige VLAN-Segmentierung und Zero-Trust-Netzwerkzugriff zu erreichen.

📖 5 Min. Lesezeit📝 1,176 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Willkommen bei der technischen Briefing-Reihe von Purple. Heute befassen wir uns mit dem Drei-SSID-WiFi-Design – einer Netzwerkarchitektur, die Gastzugang, sicheres automatisiertes Onboarding und IoT-Geräteverwaltung unter drei zweckbestimmten Drahtlosnetzwerken konsolidiert. Wenn Sie WiFi in einem Hotel, einem Einzelhandelsobjekt, einem Stadion oder einem Konferenzzentrum betreiben, ist dies das Design, das Sie im Jahr 2025 und darüber hinaus implementieren sollten. [medium pause] Lassen Sie mich zunächst den Kontext erläutern. Die meisten Standorte, die wir sehen, betreiben bestenfalls immer noch zwei SSIDs – ein Gastnetzwerk und etwas, das vage als Mitarbeiternetzwerk bezeichnet wird. Das Problem ist, dass diese beiden Netzwerke letztendlich alles tragen. Kartenterminals befinden sich im selben Segment wie die Smartphones der Gäste. Externe Dienstleister verbinden sich mit derselben SSID wie Ihre digitale Beschilderung. IoT-Sensoren teilen sich die Bandbreite mit Besuchern, die Videos streamen. Das ist kein Sicherheitskonzept. Das ist ein Sicherheitsrisiko. Das Drei-SSID-Design löst dies, indem es jeder Geräte- und Benutzerklasse ihr eigenes dediziertes Netzwerk, ihr eigenes VLAN und ihre eigene Authentifizierungsmethode zuweist. Drei SSIDs. Drei VLANs. Eine kohärente Sicherheitsarchitektur. [medium pause] Gehen wir die einzelnen Netzwerke der Reihe nach durch. SSID Nummer eins ist Ihr offenes Gast-WiFi. Dies ist das traditionelle Captive Portal-Netzwerk – dasjenige, das Ihre Besucher sehen, wenn sie ihr Telefon öffnen und eine Verbindung herstellen. Es ist offen, d. h. ohne Pre-Shared Key, da Sie am Verbindungspunkt keinerlei Reibungsverluste wünschen. Die Authentifizierung erfolgt auf der Portalebene. Der Besucher stellt eine Verbindung her, wird auf eine Begrüßungsseite weitergeleitet, akzeptiert Ihre Nutzungsbedingungen und gibt optional eine E-Mail-Adresse oder Telefonnummer an. Das ist Ihre bewusste Einwilligung (Opt-in) zur Einhaltung der GDPR. Die Plattform von Purple übernimmt dies nativ – das Portal erfasst First-Party-Daten, protokolliert den Zeitstempel der Einwilligung und ordnet die Sitzung dem VLAN 10 zu, Ihrem Gastsegment. VLAN 10 erhält ausschließlich Internetzugang. Es kann weder auf Ihre POS-Systeme noch auf Ihre Backoffice-Server oder andere interne Ressourcen zugreifen. Firewall-Regeln setzen dies an der Peripherie durch. Unter Compliance-Gesichtspunkten leistet diese SSID die Hauptarbeit. Die GDPR verlangt, dass Sie die Einwilligung, die Rechtsgrundlage für die Verarbeitung und den Zeitstempel erfassen. Purple protokolliert all dies automatisch. Wenn Sie sich an einem Standort befinden, der unter PCI DSS fällt – beispielsweise ein Hotel mit Zahlungsterminals auf den Zimmern –, muss die Gast-SSID vollständig von jeglicher Karteninhaber-Datenumgebung isoliert sein. Eine VLAN-Segmentierung mit einer Inter-VLAN-Firewall-Richtlinie erreicht dies. [medium pause] SSID Nummer zwei ist Ihr Passpoint-Netzwerk, auch bekannt als Hotspot 2.0. Hier wird das Design erst richtig interessant. Passpoint ist ein IEEE 802.11u-Standard, der es einem Gerät ermöglicht, ein WiFi-Netzwerk automatisch zu erkennen, sich zu authentifizieren und eine Verbindung herzustellen, ohne dass eine Benutzerinteraktion erforderlich ist. Kein Portal. Keine Kennwortabfrage. Das Gerät handelt die Authentifizierung im Hintergrund mittels EAP (Extensible Authentication Protocol) aus und stellt ab dem ersten Paket eine verschlüsselte Verbindung her. Wie weiß ein Gerät, dass es eine Verbindung herstellen soll? Es hat ein Passpoint-Profil installiert. Mit Purple wird dieses Profil über die Purple-App oder über ein SDK bereitgestellt, das Sie in Ihre eigene Marken-App einbetten. Wenn ein wiederkehrender Besucher Ihre Location betritt, erkennt sein Gerät, dass Ihr Passpoint-SSID eine ANQP-Antwort ausstrahlt, gleicht diese mit dem installierten Profil ab und verbindet sich automatisch. Der gesamte Vorgang dauert weniger als zwei Sekunden. Der Nutzer muss sein Telefon nicht einmal berühren. Der Authentifizierungs-Flow verwendet EAP-TLS oder EAP-TTLS mit PEAP, je nach Ihrer Konfiguration. Das Gerät übermittelt Anmeldedaten an Ihren RADIUS-Server – Purple fungiert dabei als dieser RADIUS-Server in der Cloud – und der Server gibt ein RADIUS Access-Accept mit einem VLAN-Zuweisungsattribut zurück. Dieses Attribut teilt dem Access Point mit, auf welchem VLAN diese Sitzung platziert werden soll. So landet ein Nutzer der Loyalty-App beispielsweise auf VLAN 20, das Zugriff auf Ihre Loyalty-Plattform und umfassendere Inhalte bietet. Ein Mitarbeiter, der dieselbe Passpoint-SSID mit anderen Anmeldedaten nutzt, landet auf VLAN 30, das Zugriff auf interne Systeme hat. Eine SSID. Dynamische VLAN-Zuweisung. Richtliniendurchsetzung pro Identität. [medium pause] SSID Nummer drei ist Ihr xPSK-Netzwerk. xPSK ist ein Oberbegriff für iPSK, PPSK, DPSK und MPSK – allesamt Varianten desselben Konzepts von Pre-Shared Keys pro Gerät oder pro Gruppe. Die Idee ist einfach: Statt eines gemeinsamen Passworts für Ihre IoT-Geräte und externen Dienstleister erhält jedes Gerät oder jede Gruppe einen eigenen, eindeutigen Schlüssel. Dieser Schlüssel ist einem bestimmten VLAN zugeordnet. Wenn sich ein Kartenterminal mit seinem Schlüssel verbindet, landet es auf VLAN 40, Ihrem PCI-konformen Zahlungsnetzwerk. Wenn sich ein Digital-Signage-Player mit seinem Schlüssel verbindet, landet er auf VLAN 50, das Zugriff auf Ihren Content-Management-Server, aber auf sonst nichts hat. Wenn sich ein externer Dienstleister mit einem temporären Schlüssel verbindet, landet er auf VLAN 60, das Internetzugang, aber keinen Zugriff auf interne Ressourcen hat. Wenn Sie den Schlüssel dieses Dienstleisters widerrufen, ist er sofort vom Netzwerk getrennt. Es ist keine Passwortänderung auf allen anderen Geräten erforderlich. Der Mechanismus hinter xPSK variiert je nach Hersteller. Bei Cisco Meraki heißt er iPSK – Identity PSK – und funktioniert über RADIUS. Bei HPE Aruba lautet die Entsprechung MPSK, ebenfalls RADIUS-gesteuert. Ruckus nennt es DPSK – Dynamic PSK. Juniper Mist nutzt PPSK mit dynamischer VLAN-Zuweisung über das Cloud-Dashboard von Mist. Ubiquiti UniFi unterstützt in neueren Firmware-Versionen Network Access Control mit VLAN-Zuweisung pro Client. Purple lässt sich mit allen fünf dieser Plattformen als Cloud-RADIUS-Anbieter integrieren. [medium pause] Sprechen wir nun über die Implementierungsreihenfolge. Die Reihenfolge ist entscheidend. Beginnen Sie mit Ihrem VLAN-Design, bevor Sie die Wireless-Konfiguration anpassen. Definieren Sie Ihre VLANs zuerst auf der Switch-Ebene. Konfigurieren Sie Ihre Inter-VLAN-Routing-Richtlinie und sichern Sie diese auf der Firewall ab, bevor sich ein Gerät verbindet. Dies ist der häufigste Fehler, den wir sehen: Teams konfigurieren zuerst das Wireless-Netzwerk und versuchen dann nachträglich, die VLAN-Segmentierung einzurichten. Machen Sie es umgekehrt. Zweitens: Konfigurieren Sie Ihren RADIUS-Server. Navigieren Sie in der Plattform von Purple zum Bereich RADIUS-Konfiguration, generieren Sie Ihre Server-Anmeldedaten und notieren Sie sich die primäre und sekundäre IP-Adresse, den Authentifizierungsport – typischerweise 1812 – sowie das Shared Secret. Drittens: Erstellen Sie Ihre SSIDs. Setzen Sie für die Gäste-SSID die Sicherheit auf „Offen“, aktivieren Sie die Captive Portal-Weiterleitung und leiten Sie die Redirect-URL auf Ihr Purple-Portal um. Aktivieren Sie für die Passpoint-SSID 802.11u und konfigurieren Sie Ihre ANQP-Elemente – Ihren NAI-Realm, Ihre Roaming Consortium OI, falls Sie an OpenRoaming teilnehmen, sowie Ihre Standortinformationen. Legen Sie WPA2-Enterprise oder WPA3-Enterprise als Sicherheitstyp fest. Konfigurieren Sie für die xPSK-SSID die herstellerspezifischen MPSK- oder DPSK-Einstellungen und verweisen Sie bei der Authentifizierung auf Ihren Purple RADIUS-Endpunkt. Viertens: Konfigurieren Sie Ihren Walled Garden für die Gäste-SSID. Fügen Sie die Portal-Domains von Purple, Ihren DNS-Resolver und die Endpunkte zur Erkennung von Captive Portals hinzu, die von iOS und Android verwendet werden – captivedetect.apple.com von Apple und connectivitycheck.gstatic.com von Google. [mittlere Pause] Zwei Praxisbeispiele. Ein Hotel mit 350 Zimmern im Zentrum von London implementierte diese Architektur auf 28 Access Points mit HPE Aruba-Hardware. Vor der Implementierung teilten sich Kartenterminals ein Netzwerksegment mit den Geräten der Gäste – ein Verstoß gegen die PCI-Compliance. Durch das Redesign mit drei SSIDs wurden die Kartenterminals in ein dediziertes VLAN verschoben, dessen Firewall-Regeln nur ausgehenden HTTPS-Verkehr zum Zahlungsabwickler zulassen. Das PCI-Audit wurde im nächsten Zyklus bestanden. Die Erfassung von Gästedaten stieg in den ersten drei Monaten um 34 %, da das Portal-Erlebnis schneller und der Opt-In-Prozess übersichtlicher war. Eine Einzelhandelskette mit 80 Filialen in ganz Großbritannien reduzierte ihre SSID-Anzahl pro Filiale von durchschnittlich 4,2 auf drei. EPOS-Terminals und digitale Beschilderungen wurden auf die xPSK-SSID verschoben, wobei die Schlüssel pro Gerät zentral über Purple verwaltet werden. Die Mitarbeiter wechselten zu einer Passpoint-SSID und nutzten ihre Microsoft Entra ID-Anmeldedaten via EAP-TTLS. Das IT-Team verzeichnete im ersten Quartal nach dem Rollout einen Rückgang der Support-Tickets im Bereich WiFi um 60 %. [mittlere Pause] Einige Fallstricke bei der Implementierung, auf die Sie achten sollten. RADIUS-Timeout-Konfiguration: Wenn Ihre Access Points den Purple RADIUS-Server nicht innerhalb des konfigurierten Timeouts erreichen können, lehnen sie die Verbindung ab. Konfigurieren Sie daher immer sowohl die primäre als auch die sekundäre RADIUS-Serveradresse. VLAN-Tagging auf Trunk-Ports: Jeder Uplink-Port des Access Points muss als Trunk konfiguriert sein, der alle von Ihren SSIDs verwendeten VLANs überträgt. Ein häufiger Fehler besteht darin, das VLAN am Controller zu konfigurieren, aber zu vergessen, es dem Trunk auf dem Switch-Port hinzuzufügen. Passpoint ANQP-Konfiguration: Die NAI-Realm-Liste muss exakt mit der im auf dem Gerät installierten Passpoint-Profil übereinstimmen. Bei einer Abweichung überspringen die Geräte Ihr Netzwerk bei der Erkennung. Testen Sie dies mit einem bekannten, funktionierenden Gerät, bevor Sie das System für die Produktion freigeben. xPSK-Schlüsselrotation: Schlüssel für externe Dienstleister sollten bereits bei der Bereitstellung mit einem Ablaufdatum versehen werden. Mit dem Dashboard von Purple können Sie einzelne Schlüssel widerrufen, ohne andere Geräte im Netzwerk zu beeinträchtigen. [medium pause] Kurze Fragen, schnelle Antworten. Kann ich alle drei SSIDs auf demselben Access Point betreiben? Ja. Halten Sie die Gesamtzahl der SSIDs pro Access Point bei sechs oder weniger, um den Beacon-Overhead zu minimieren. Erfordert Passpoint eine bestimmte App? Bei Purple ist entweder die Purple-App oder ein in Ihre eigene Marken-App integriertes SDK erforderlich. Das SDK übernimmt die Profilbereitstellung geräuschlos im Hintergrund. Ist xPSK PCI-konform für Kartenterminals? Ja, vorausgesetzt, das VLAN, das den Datenverkehr der Zahlungsgeräte überträgt, ist ordnungsgemäß segmentiert und Firewall-Regeln beschränken den Datenverkehr auf das vom Zahlungsabwickler geforderte Maß. Was passiert, wenn ein Gäste-SSID-Portal ausfällt? Konfigurieren Sie eine Fallback-Weiterleitung oder eine lokale Splash-Page auf dem Access-Point-Controller. Die Plattform von Purple läuft mit einer Ausfallsicherheit von 99,999 %, aber eine doppelte Absicherung ist immer eine gute Praxis. [medium pause] Zusammenfassung: Das Drei-SSID-Design bietet Ihnen ein Gästenetzwerk mit einem konformen Captive Portal zur Datenerfassung, ein Passpoint-Netzwerk für ein automatisiertes, sicheres Onboarding über die Purple-App oder das SDK mit dynamischer VLAN-Zuweisung sowie ein xPSK-Netzwerk, das IoT-Geräte, Kartenterminals, Digital Signage, externe Dienstleister und BYOD unter gerätespezifischen Schlüsseln konsolidiert, die bestimmten VLANs zugewiesen sind. Das Ergebnis ist ein höheres Sicherheitsniveau, eine bessere Besucherfahrung und ein Netzwerk, das sich auch in großem Maßstab problemlos verwalten lässt. Beginnen Sie mit Ihrem VLAN-Design, konfigurieren Sie RADIUS, erstellen Sie Ihre SSIDs und richten Sie Ihren Walled Garden ein. Das Onboarding-Team von Purple kann Sie durch die Konfiguration für Ihre spezifische Hardwareplattform führen. Der vollständige schriftliche Leitfaden ist unter purple.ai verfügbar. Suchen Sie nach "three SSIDs to rule them all" für die Schritt-für-Schritt-Konfigurationsanleitung mit herstellerspezifischen Details für Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist und Ubiquiti UniFi. Vielen Dank fürs Zuhören.

header_image.png

Executive Summary

Die meisten Unternehmensstandorte betreiben immer noch veraltete Wireless-Architekturen, bei denen der gesamte Datenverkehr auf ein oder zwei SSIDs zusammengelegt wird. Dieser Ansatz birgt unakzeptable Risiken, da unmanaged IoT-Geräte, Hardware von Drittanbietern und öffentliche Besucher auf gemeinsamen Netzwerksegmenten platziert werden. Das Drei-SSID-WiFi-Design beseitigt diese Schwachstelle, indem es jeder Geräte- und Benutzerklasse ein eigenes, dediziertes Netzwerk, ein eigenes VLAN und eine eigene Authentifizierungsmethode zuweist. Dieser Leitfaden bietet einen schrittweisen Entwurf für die Bereitstellung von drei verschiedenen SSIDs: ein offenes Guest WiFi-Netzwerk für Compliance und Datenerfassung, ein Passpoint (Hotspot 2.0)-Netzwerk für automatisierten, sicheren Zugriff über die Purple-App oder das SDK und ein xPSK-Netzwerk, das alle Headless-Geräte unter gerätespezifischen Schlüsseln konsolidiert. Durch die Standardisierung auf diese Architektur können IT-Teams eine strikte VLAN-Segmentierung erreichen, den Hochfrequenz-Overhead reduzieren und den Netzwerkbetrieb über Cisco Meraki-, HPE Aruba-, Ruckus-, Juniper Mist- und Ubiquiti UniFi-Bereitstellungen hinweg optimieren.

Listen to the Briefing

Technical Architecture Deep-Dive

Das Drei-SSID-Design ist ein Zero-Trust-Ansatz, der auf den Wireless-Edge angewendet wird. Er basiert auf dem Prinzip, dass die SSID lediglich der Einstiegspunkt ist; die eigentliche Sicherheitsgrenze ist die VLAN-Zuweisung, die durch die Authentifizierungsmethode vorgegeben wird.

three_ssid_architecture_overview.png

1. Guest WiFi (Open SSID)

Die erste SSID ist ein offenes Netzwerk mit einem Captive Portal. Es dient Besuchern, temporären Gästen und Gelegenheitsnutzern. Da es offen ist, gibt es keinerlei Hürden beim Verbindungsaufbau. Der Sicherheitskontrollpunkt verlagert sich auf die Portalebene. Wenn sich ein Gerät verbindet, erhält es eine IP-Adresse aus einem stark eingeschränkten Subnetz und wird in einen Walled Garden verschoben. Der Benutzer wird auf eine Splash-Page weitergeleitet, auf der er die Nutzungsbedingungen akzeptiert und optional Identitätsdaten angibt.

Diese SSID ist für die Einhaltung von Vorschriften von entscheidender Bedeutung. Gemäß GDPR müssen Sie die Einwilligung und die Rechtsgrundlage für die Datenverarbeitung erfassen. Purple übernimmt dies nativ, protokolliert den Zeitstempel der Einwilligung und erfasst First-Party-Daten. Nach der Authentifizierung wird die Sitzung dem VLAN 10 zugewiesen. Firewall-Regeln stellen sicher, dass VLAN 10 nur Internetzugang hat und vollständig von internen Systemen isoliert ist. Für Standorte, die dem PCI-DSS-Standard unterliegen, stellt diese Segmentierung sicher, dass der Gast-Datenverkehr niemals mit der Karteninhaber-Datenumgebung in Berührung kommt.

2. Passpoint (Hotspot 2.0)

Der zweite SSID nutzt IEEE 802.11u Passpoint, um einen automatisierten, verschlüsselten Zugriff zu ermöglichen. Dies ist für wiederkehrende Gäste, Treuemitglieder und Mitarbeiter konzipiert. Anstelle eines Captive Portal verwendet Passpoint ein installiertes Profil, um die Authentifizierung im Hintergrund über EAP-TLS oder EAP-TTLS mit PEAP auszuhandeln.

Wenn ein Benutzer mit der Purple-App (oder Ihrer eigenen App, die das Purple SDK integriert) den Standort betritt, erkennt sein Gerät, dass der Passpoint-SSID bestimmte ANQP-Elemente (Access Network Query Protocol) ausstrahlt. Es gleicht diese mit seinem Profil ab und verbindet sich automatisch. Purple fungiert als Cloud-RADIUS-Server, verarbeitet die Anmeldeinformationen und gibt eine RADIUS-Access-Accept-Nachricht zurück. Entscheidend ist, dass diese Nachricht Attribute zur VLAN-Zuweisung (wie Tunnel-Private-Group-ID) enthält. Ein Treuemitglied wird beispielsweise VLAN 20 zugewiesen, während ein Mitarbeiter, der denselben SSID verwendet, VLAN 30 zugewiesen wird. Diese dynamische VLAN-Zuweisung ermöglicht die Durchsetzung von Richtlinien pro Identität und nicht pro SSID.

3. xPSK (IoT und BYOD)

Der dritte SSID konsolidiert alle anderen Anwendungsfälle – Kartenterminals, digitale Beschilderung, Drucker, Auftragnehmer und BYOD – mithilfe von xPSK (iPSK, PPSK, DPSK oder MPSK). Anstelle eines einzigen gemeinsam genutzten Passworts erhält jedes Gerät oder jede Gruppe einen eindeutigen Pre-Shared Key.

Wenn sich ein Gerät verbindet, sendet der Access Point die MAC-Adresse des Geräts und den spezifisch verwendeten PSK an den Purple-RADIUS-Server. Purple validiert den Schlüssel und gibt die entsprechende VLAN-Zuweisung zurück. Ein Kartenterminal landet im VLAN 40 (PCI-relevant), während ein Digital-Signage-Player im VLAN 50 landet. Wenn der Schlüssel eines Auftragnehmers widerrufen wird, wird sein Zugriff sofort beendet, ohne dass andere Geräte beeinträchtigt werden. Dies erübrigt MAC-Authentication-Bypass-Listen (MAB-Listen) und gemeinsam genutzte Passwörter.

vlan_segmentation_diagram.png

Implementierungsleitfaden

Die Bereitstellung dieser Architektur erfordert eine strikte Reihenfolge. Konfigurieren Sie die Wireless-Controller erst, wenn das zugrunde liegende kabelgebundene Netzwerk vorbereitet ist.

Schritt 1: Switch- und Firewall-Konfiguration

Definieren Sie Ihre VLANs zuerst auf der Switch-Ebene. Erstellen Sie diskrete VLANs für jede Geräteklasse (z. B. VLAN 10 Guest, VLAN 20 Secure, VLAN 30 IoT, VLAN 40 PCI). Konfigurieren Sie Inter-VLAN-Routing-Richtlinien auf Ihrer Firewall, um eine strikte Isolierung zu erzwingen. Guest- und IoT-VLANs sollten in der Regel nur ausgehenden Internetzugang haben. Stellen Sie sicher, dass alle Access-Point-Uplink-Ports als Trunks konfiguriert sind, die alle erforderlichen VLANs übertragen.

Schritt 2: RADIUS-Server-Integration

Navigieren Sie zum Purple-Portal und generieren Sie Ihre RADIUS-Anmeldedaten. Notieren Sie sich die primären und sekundären IP-Adressen, den Authentifizierungsport (normalerweise 1812), den Accounting-Port (1813) und das Shared Secret. Geben Sie diese Details in die AAA-Konfiguration Ihres Wireless-Controllers ein. Stellen Sie das RADIUS-Timeout auf mindestens zwei Sekunden ein, um Cloud-Latenzen auszugleichen.

Schritt 3: SSID-Konfiguration

Konfigurieren Sie die drei SSIDs gemäss der spezifischen Implementierung Ihres Herstellers:

Guest SSID: Stellen Sie die Sicherheit auf „Open“ (Offen). Aktivieren Sie die Captive Portal-Weiterleitung und verweisen Sie auf Ihre Purple-Portal-URL. Konfigurieren Sie den Walled Garden so, dass der Zugriff auf die Domänen von Purple, Ihren DNS-Resolver und die Endpunkte zur Erkennung des Betriebssystem-Captive-Portals (z. B. captivedetect.apple.com) zugelassen wird.

Passpoint SSID: Aktivieren Sie 802.11u/Hotspot 2.0. Konfigurieren Sie die ANQP-Elemente und stellen Sie sicher, dass der NAI Realm exakt mit dem von der Purple-App bereitgestellten Profil übereinstimmt. Stellen Sie die Sicherheit auf WPA2-Enterprise oder WPA3-Enterprise ein und verweisen Sie die Authentifizierung auf die Purple-RADIUS-Server.

xPSK SSID: Aktivieren Sie die herstellerspezifische xPSK-Funktion (z. B. iPSK bei Cisco Meraki, MPSK bei HPE Aruba). Verweisen Sie die MAC-Authentifizierung auf die Purple-RADIUS-Server und aktivieren Sie die dynamische VLAN-Zuweisung.

Best Practices

  • SSID-Anzahl begrenzen: Strahlen Sie niemals mehr als vier SSIDs pro Access Point aus. Zu viele SSIDs erhöhen den Beacon-Overhead, was die Gesamtleistung des Netzwerks beeinträchtigt. Das Design mit drei SSIDs optimiert die Auslastung der Sendezeit (Airtime).
  • Präziser Walled Garden: Halten Sie Ihren Walled Garden so restriktiv wie möglich. Nehmen Sie nur Domänen auf, die für den Portal-Flow und die Erkennung des Betriebssystems unbedingt erforderlich sind. Zu weit gefasste IP-Bereiche führen zu Sicherheitslücken.
  • Schlüssel-Lifecycle-Management: Richten Sie einen strengen Lebenszyklus für xPSK-Schlüssel ein. Legen Sie bereits bei der Bereitstellung Ablaufdaten für Schlüssel von externen Dienstleistern fest. Überprüfen und rotieren Sie IoT-Schlüssel jährlich.

Fehlerbehebung & Risikominderung

  • RADIUS-Timeouts: Wenn Geräte keine Verbindung zu den Passpoint- oder xPSK-Netzwerken herstellen können, überprüfen Sie die RADIUS-Timeout-Einstellungen auf dem Controller. Cloud-RADIUS erfordert ein etwas längeres Timeout als lokale Server. Stellen Sie sicher, dass sowohl die primäre als auch die sekundäre Purple-RADIUS-IP konfiguriert sind.
  • Fehler bei der VLAN-Kennzeichnung (Tagging): Wenn sich ein Gerät erfolgreich authentifiziert, aber keine IP-Adresse erhält, liegt das Problem fast immer an einem fehlenden VLAN-Tag am Switch-Port des Access Points. Überprüfen Sie die Trunk-Konfiguration.
  • Passpoint-Erkennungsprobleme: Wenn Geräte die Passpoint SSID ignorieren, überprüfen Sie die Konfiguration des ANQP NAI Realm. Selbst ein kleiner Tippfehler führt dazu, dass das Gerät das Netzwerk stillschweigend ablehnt.

ROI & geschäftliche Auswirkungen

Die Implementierung des Drei-SSID-Designs bietet einen messbaren geschäftlichen Mehrwert. Durch die Konsolidierung von SSIDs reduzieren Standorte HF-Interferenzen und verbessern die Client-Leistung. Die dynamische VLAN-Zuweisung über Passpoint und xPSK reduziert die Anzahl der IT-Support-Tickets im Zusammenhang mit Passwort-Zurücksetzungen und der Whitelist von MAC-Adressen erheblich. Darüber hinaus gewährleistet die robuste Segmentierung die Einhaltung von PCI DSS und GDPR, was das finanzielle Risiko von Datenschutzverletzungen mindert und gleichzeitig die Erfassung von First-Party-Daten über das Guest WiFi -Portal maximiert.

Schlüsseldefinitionen

Passpoint (Hotspot 2.0)

Ein IEEE-802.11u-Standard, der es mobilen Geräten ermöglicht, WiFi-Netzwerke automatisch zu erkennen und sich sicher mit ihnen zu verbinden, ohne dass eine Benutzerinteraktion erforderlich ist.

Entscheidend für die Bereitstellung von mobilfunkähnlichen Roaming-Erlebnissen und einen sicheren, verschlüsselten Zugang für wiederkehrende Besucher und Mitarbeiter.

xPSK

Ein Oberbegriff für herstellerspezifische Implementierungen (iPSK, PPSK, DPSK, MPSK), die mehrere eindeutige Pre-Shared Keys auf einer einzigen SSID ermöglichen, wobei jeder Schlüssel einem bestimmten VLAN zugeordnet wird.

Wird zur Sicherung von bildschirmlosen IoT-Geräten, Druckern und Kartenterminals verwendet, die keine 802.1X-Enterprise-Authentifizierung unterstützen.

Captive Portal

Eine Webseite, die Benutzer anzeigen und mit der sie interagieren müssen, bevor ihnen Zugriff auf ein öffentliches WiFi-Netzwerk gewährt wird.

Der primäre Mechanismus zur Erfassung von First-Party-Daten und zur Gewährleistung der GDPR-Konformität durch explizite Einwilligung.

VLAN-Segmentierung

Die Praxis der Aufteilung eines physischen Netzwerks in mehrere logische Netzwerke, um den Datenverkehr zu isolieren und Sicherheitsrichtlinien durchzusetzen.

Unerlässlich für die Isolierung von nicht vertrauenswürdigem Gast-Datenverkehr von sensiblen internen Systemen und Zahlungsgeräten im PCI-Bereich.

RADIUS

Remote Authentication Dial-In User Service; ein Netzwerkprotokoll, das eine zentralisierte Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) bietet.

Das System hinter Passpoint und xPSK, das Anmeldedaten validiert und dem Access Point mitteilt, welches VLAN zugewiesen werden soll.

ANQP

Access Network Query Protocol; ein Protokoll, das von Geräten verwendet wird, um Netzwerkinformationen (wie Roaming-Konsortien und Authentifizierungstypen) abzufragen, bevor sie sich mit einem Access Point verbinden.

Der Mechanismus, mit dem Passpoint ermittelt, ob ein Gerät über das richtige Profil verfügt, um sich automatisch zu verbinden.

Walled Garden

Eine eingeschränkte Umgebung, die den Zugriff des Benutzers auf Webinhalte kontrolliert, bevor er sich vollständig authentifiziert hat.

Muss korrekt konfiguriert sein, damit Geräte das Captive Portal und die Endpunkte zur Betriebssystem-Erkennung erreichen können.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security; ein Authentifizierungs-Framework, das Zertifikate sowohl für die Client- als auch für die Server-Validierung verwendet.

Die hochsichere Authentifizierungsmethode, die typischerweise von Passpoint-Profilen verwendet wird, um verschlüsselte Verbindungen zu gewährleisten.

Ausgearbeitete Beispiele

Ein Hotel mit 350 Zimmern muss seine Kartenterminals sichern und gleichzeitig Gästedaten für sein Treueprogramm erfassen. Derzeit teilen sich alle Geräte eine einzige WPA2-Personal SSID.

Implementieren Sie die Drei-SSID-Architektur. Erstellen Sie VLAN 10 für Gäste, VLAN 20 für Mitglieder des Treueprogramms und VLAN 40 für Zahlungsterminals. Konfigurieren Sie die Guest-SSID als offen mit einem Captive Portal von Purple für die Datenerfassung. Konfigurieren Sie die Passpoint-SSID für Treueprogramm-Mitglieder über die Purple-App. Konfigurieren Sie die xPSK-SSID für die Kartenterminals. Generieren Sie im Purple-Dashboard eindeutige PSKs für jedes Terminal und weisen Sie diese dem VLAN 40 zu. Beschränken Sie auf der Firewall das VLAN 40 so, dass nur ausgehender HTTPS-Datenverkehr an die IP-Adressen des Zahlungsabwicklers zugelassen wird.

Kommentar des Prüfers: Dieser Ansatz behebt sofort den Verstoß gegen die PCI-Compliance, indem er die Umgebung für Karteninhaberdaten isoliert. Zudem modernisiert er das Gästeerlebnis, indem er Stammgästen einen reibungslosen Passpoint-Zugang ermöglicht, während gleichzeitig wertvolle First-Party-Daten von neuen Gästen erfasst werden.

Eine Einzelhandelskette mit 80 Filialen leidet unter massiven WiFi-Performance-Problemen, da pro Filiale fünf SSIDs ausgestrahlt werden (Guest, Staff, POS, Signage, Scanners).

Konsolidieren Sie die Netzwerke mithilfe des Drei-SSID-Designs. Behalten Sie die Guest-SSID mit einem Captive Portal bei. Richten Sie eine Passpoint-SSID für Mitarbeiter ein, die sich über die RADIUS-Integration von Purple gegenüber Microsoft Entra ID authentifizieren und einem Mitarbeiter-VLAN zugewiesen werden. Fassen Sie POS, Signage und Scanners auf einer einzigen xPSK-SSID zusammen. Weisen Sie jeder Gerätekategorie eindeutige Schlüssel zu und ordnen Sie POS dem VLAN 40, Signage dem VLAN 50 und Scanners dem VLAN 60 zu.

Kommentar des Prüfers: Die Reduzierung der SSID-Anzahl von fünf auf drei verringert den Overhead durch Management-Frames erheblich, was die verfügbare Sendezeit und den Client-Durchsatz sofort verbessert. Das IT-Team erhält eine granulare Kontrolle über bildschirmlose Geräte, ohne den administrativen Aufwand für die Pflege von MAB-Listen tragen zu müssen.

Übungsfragen

Q1. Der IT-Leiter eines Stadions möchte Passpoint für Fans über die offizielle Team-App bereitstellen, befürchtet jedoch, dass die RADIUS-Timeout-Einstellungen bei Veranstaltungen mit hoher Dichte zu Verbindungsfehlern führen. Was ist der empfohlene Ansatz?

Hinweis: Berücksichtigen Sie die Latenz der cloudbasierten Authentifizierung im Vergleich zu lokalen Controllern.

Musterlösung anzeigen

Konfigurieren Sie das RADIUS-Timeout auf den Wireless-Controllern auf mindestens zwei bis drei Sekunden. In Umgebungen mit hoher Dichte können Cloud-RADIUS-Antworten etwas länger dauern als bei lokalen Servern. Stellen Sie außerdem sicher, dass sowohl die primäre als auch die sekundäre IP-Adresse von Purple RADIUS konfiguriert sind, um eine Ausfallsicherheits-Redundanz zu gewährleisten.

Q2. Sie konfigurieren die xPSK SSID für eine Flotte neuer kabelloser Barcodescanner. Die Scanner verbinden sich erfolgreich mit der SSID, können jedoch den Inventarserver nicht erreichen. Was ist die wahrscheinlichste Ursache?

Hinweis: Denken Sie an den Pfad zwischen dem Access Point und dem Core-Switch.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist ein fehlendes VLAN-Tag am Switch-Port des Access Points. Obwohl Purple RADIUS den Scanner korrekt dem Inventar-VLAN zuweist, wird der Datenverkehr verworfen, wenn dieses VLAN auf dem Trunk-Port, der den Access Point mit dem Switch verbindet, nicht zulässig ist.

Q3. Ein Hotel muss Gästen den Zugriff auf seine direkte Buchungsmaschine ermöglichen, bevor sie sich über das Captive Portal authentifizieren. Wie sollte dies konfiguriert werden?

Hinweis: Dies beinhaltet die Steuerung des Datenverkehrs vor der Authentifizierung.

Musterlösung anzeigen

Das IT-Team muss die Domains und IP-Adressen der Buchungsmaschine zur Walled-Garden-Konfiguration auf dem Wireless-Controller hinzufügen. Dies ermöglicht es dem Datenverkehr vor der Authentifizierung, diese spezifischen Ziele zu erreichen, während jeglicher andere Internetzugang blockiert wird, bis der Captive Portal-Flow abgeschlossen ist.

Weiterlesen in dieser Reihe

Drei SSIDs, um sie alle zu beherrschen: Einrichtungsleitfaden für Gäste-, Mitarbeiter- und IoT-WiFi

Dieser maßgebliche technische Leitfaden bietet einen schrittweisen Entwurf für die Implementierung einer Drei-SSID-WiFi-Architektur. Er erklärt, wie Sie Gäste-, Mitarbeiter- und IoT-Traffic mithilfe von Captive Portals, 802.1X RADIUS und gerätespezifischen PSK (xPSK) segmentieren, um die Leistung zu optimieren und die PCI-DSS-Compliance zu gewährleisten.

Leitfaden lesen →

Enterprise WiFi-Authentifizierung ohne Active Directory oder On-Premises-Server

Dieser Leitfaden erklärt, wie Sie eine sichere WPA2/3-Enterprise WiFi-Authentifizierung ohne ein lokales Active Directory, Windows NPS oder einen RADIUS-Server bereitstellen. Er behandelt den Protokollkonflikt zwischen Cloud-Identity-Providern und 802.1X, die Argumente für EAP-TLS gegenüber PEAP-MSCHAPv2 sowie die Bereitstellung von Cloud-RADIUS mit MDM-ausgestellten Zertifikaten gegen Microsoft Entra ID, Okta oder Google Workspace. Geschrieben für IT-Leiter in Cloud-First- und Mac/Chromebook-intensiven Unternehmen, die bereit sind, ihre On-Premises-Infrastruktur abzulösen.

Leitfaden lesen →

Wie Sie den WiFi-Zugang beim Ausscheiden eines Mitarbeiters widerrufen

Dieser Leitfaden beschreibt im Detail, wie Sie den WiFi-Zugang beim Ausscheiden eines Mitarbeiters widerrufen, indem Sie unsichere, gemeinsam genutzte Passwörter durch benutzerbezogene 802.1X-Zertifikate oder iPSK ersetzen. Er behandelt das automatisierte Deprovisionieren via SCIM, um die Audit-Anforderungen von ISO 27001 und SOC 2 zu erfüllen.

Leitfaden lesen →