UU PPSK 2023: Vergleich von Funktionen und Bereitstellungsmodellen

Dieser technische Referenzleitfaden vergleicht die Unique per-User Private Pre-Shared Key (UU PPSK) WiFi-Architektur mit herkömmlichen gemeinsam genutzten PSK- und 802.1X-Bereitstellungen, mit besonderem Fokus auf die Landschaft der Herstellerimplementierungen und Plattformfunktionen im Jahr 2023. Er bietet Immobilienentwicklern, BTR-Betreibern und MDU-Vermietern praxisnahe Bereitstellungsstrategien, Anleitungen zur VLAN-Architektur und automatisierte Workflows für das Lebenszyklusmanagement. Der Leitfaden deckt drei Bereitstellungsmodelle, Fallstudien aus der Praxis und die Compliance-Auswirkungen der einzelnen Authentifizierungsansätze ab.

📖 8 Min. Lesezeit📝 1,955 Wörter🔧 2 ausgearbeitete Beispiele❓ 4 Übungsfragen📚 10 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

UU PPSK 2023: Vergleich von Funktionen und Bereitstellungsmodellen. Ein technisches Briefing von Purple.

Willkommen. Heute befassen wir uns mit einer der wichtigsten architektonischen Entscheidungen, die Sie bei der Planung von WiFi für eine Multi-Tenant-Wohnimmobilie treffen werden: welches Pre-Shared-Key-Modell Sie bereitstellen sollten. Konkret konzentrieren wir uns auf UU PPSK, was für Unique per-User Pre-Shared Key steht, und warum es sich zur bevorzugten Architektur für Build to Rent-Betreiber, Anbieter von Studentenwohnheimen und MDU-Vermieter in ganz Großbritannien entwickelt hat.

Beginnen wir mit dem Problem. Sie verwalten ein Gebäude, in dem Dutzende oder Hunderte von separaten Haushalten dieselbe physische Netzwerkinfrastruktur nutzen. Jeder Bewohner benötigt ein privates, heimähnliches WiFi-Erlebnis. Ihr Chromecast muss ihr Telefon finden. Ihr intelligenter Lautsprecher muss mit ihren Glühbirnen kommunizieren. Und entscheidend ist, dass nichts davon für den Bewohner in der Wohnung nebenan sichtbar sein darf.

Die traditionelle Antwort war entweder ein gemeinsam genutztes Passwort, was in großem Maßstab ein Sicherheitsrisiko darstellt, oder eine vollständige 802.1X-Enterprise-Bereitstellung, die eine Public-Key-Infrastruktur, Zertifikatsverwaltung und einen RADIUS-Server erfordert, für deren Betrieb die meisten Immobilienbetreiber schlichtweg nicht die IT-Ressourcen haben. Keine der beiden Optionen ist für einen Build to Rent-Block mit 200 Einheiten geeignet.

Hier kommt PPSK ins Spiel. PPSK steht für Private Pre-Shared Key. Das Konzept ist einfach: Anstelle eines gemeinsam genutzten WiFi-Passworts für das gesamte Gebäude erhält jeder Bewohner sein eigenes, eindeutiges Passwort. Sie verbinden sich mit derselben SSID, demselben Netzwerknamen, aber ihr Schlüssel gehört ihnen allein. Wenn sie ausziehen, widerrufen Sie ihren Schlüssel. Das hat keinerlei Auswirkungen auf andere Bewohner.

Es gibt hier drei verschiedene Modelle, und das Verständnis der Unterschiede ist entscheidend, um die richtige architektonische Entscheidung zu treffen.

Das erste Modell ist ein standardmäßiger, gemeinsam genutzter PSK. Ein Passwort, alle im selben Netzwerk. Das ist es, was in den meisten Gebäuden heute noch läuft. Es ist einfach bereitzustellen, stellt jedoch einen Single Point of Failure dar. Ein Bewohner teilt das Passwort in einem Forum, und schon haben Sie die Kontrolle über Ihr Netzwerk verloren. Sie möchten den Zugriff eines Dienstleisters entziehen? Sie müssen das Passwort für alle ändern. In großem Maßstab ist das nicht handhabbar.

Das zweite Modell ist Group PPSK. Hier weisen Sie jeder Benutzergruppe einen eindeutigen Schlüssel zu, vielleicht einen Schlüssel pro Etage oder einen Schlüssel pro Mietverhältnis-Typ. Das ist besser als ein gemeinsam genutztes Passwort, hat aber immer noch ein Problem mit der Schadensreichweite. Wenn ein Schlüssel in einer Gruppe kompromittiert wird, ist die gesamte Gruppe betroffen. Sie können einzelne Bewohner auf der Netzwerkesicht immer noch nicht voneinander isolieren.

Das dritte Modell, auf das wir uns heute konzentrieren, ist UU PPSK. Unique per-User Pre-Shared Key. Von Cisco Meraki auch iPSK genannt, von Ruckus DPSK und von HPE Aruba MPSK. Die Terminologie variiert je nach Hersteller, aber das Konzept ist identisch. Jeder einzelne Bewohner, jede einzelne Gerätegruppe erhält einen eigenen, kryptografisch eindeutigen Schlüssel. Und dieser Schlüssel wird einem eigenen VLAN zugeordnet, einem eigenen Netzwerksegment, das von allen anderen Bewohnern im Gebäude vollständig isoliert ist.

Dies ist die Architektur, die das ermöglicht, was wir die WiFi-Blase nennen. Die Geräte von Bewohner A können sich gegenseitig sehen, streamen, koppeln und Dateien freigeben, genau wie in einem Heimnetzwerk. Aber Bewohner A kann kein einziges Gerät von Bewohner B sehen, obwohl beide mit demselben Access Point, auf derselben SSID und über dieselbe physische Kabelinfrastruktur verbunden sind.

Lassen Sie mich den technischen Authentifizierungsablauf beschreiben, da der Mechanismus hierdurch deutlich wird.

Wenn sich das Gerät eines Bewohners mit der SSID verbindet, fängt der Wireless LAN Controller den Verbindungsversuch ab. Während des WPA2-Vier-Wege-Handshakes präsentiert das Gerät seinen Pre-Shared Key. Der Controller sucht diesen Schlüssel in der PPSK-Datenbank. Er gibt die dem Bewohner zugewiesene eindeutige VLAN-ID zurück. Der Controller validiert den Schlüssel, und das Gerät wird authentifiziert und in sein dediziertes VLAN verschoben. Entscheidend ist, dass diese VLAN-Zuweisung auch die korrekte Bandbreitenrichtlinie und Firewall-Regeln enthält. Das Gerät wird also nicht nur authentifiziert. Es wird automatisch im richtigen Netzwerksegment platziert, ausgehend von einer einzigen SSID. Keine SSID-Überlastung. Kein Beacon-Overhead. Ein Netzwerkname, Hunderte von isolierten privaten Netzwerken darunter.

Nun ein Wort zur MAC-Adress-Randomisierung, da dies die Falle ist, über die die meisten Bereitstellungen stolpern. Seit iOS 14, Android 10 und Windows 11 verwenden Geräte aus Datenschutzgründen standardmäßig randomisierte MAC-Adressen. Wenn Ihre Authentifizierungsplattform eine MAC-Abfrage durchführt und das Gerät eine randomisierte Adresse präsentiert, schlägt die Abfrage fehl und das Gerät kann keine Verbindung herstellen. Die Lösung besteht darin, einen Vorregistrierungs-Workflow zu implementieren, bei dem Bewohner ihr Gerät vor der Verbindung registrieren. Die Plattform von Purple übernimmt dies automatisch als Teil des Onboarding-Prozesses für Bewohner.

Lassen Sie uns über Bereitstellungsmodelle sprechen, da UU PPSK auf drei verschiedene Arten bereitgestellt werden kann und die richtige Wahl von Ihrer Gebäudegröße, Ihren IT-Ressourcen und Ihrem Budget abhängt.

Das erste ist controller-lokales PPSK. Hier werden die eindeutigen Schlüssel direkt auf dem Wireless-Controller gespeichert, ohne dass ein externer RADIUS-Server erforderlich ist. Dies funktioniert gut bei kleineren Bereitstellungen mit bis zu etwa 50 Einheiten und ist am einfachsten zu betreiben. Ubiquiti UniFi unterstützt dies nativ. Die Einschränkung liegt in der Skalierbarkeit. Die meisten Controller stoßen bei einigen hundert lokalen PPSK-Einträgen an ihre Grenzen, und Sie verlieren das zentrale Lebenszyklusmanagement, das UU PPSK in großem Maßstab betrieblich tragfähig macht.

Das zweite Modell ist RADIUS-gestütztes PPSK. Hier werden die Schlüssel auf einem externen RADIUS-Server gespeichert, und der Controller fragt den RADIUS-Server bei jeder neuen Verbindung ab. Dies lässt sich auf Tausende von Einheiten skalieren. Ruckus SmartZone, HPE Aruba ClearPass und Cisco ISE unterstützen dieses Modell. Der betriebliche Aufwand ist höher, aber die Skalierbarkeit und die Funktionen für das Lebenszyklusmanagement sind erheblich besser.

Das dritte Modell, das Purple für Build to Rent- und MDU-Betreiber empfiehlt, ist Cloud-RADIUS-as-a-Service. Hier wird die RADIUS-Infrastruktur von Purple gehostet und verwaltet, und Sie verbinden Ihre Access Points über ein Cloud-Overlay damit. Dies bietet Ihnen die Skalierbarkeit von RADIUS-gestütztem PPSK ohne den betrieblichen Aufwand für den Betrieb eines eigenen RADIUS-Servers. Die Plattform von Purple setzt auf Ihrer vorhandenen Hardware auf – sei es Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme oder Fortinet – und bietet die Orchestrierungsebene für die Schlüsselbereitstellung, das Lebenszyklusmanagement und das Onboarding der Bewohner.

Der Lebenszyklus der Schlüssel ist vollständig automatisiert. Ein Bewohner zieht ein, sein Schlüssel wird über die Integration des Property-Management-Systems bereitgestellt. Er zieht aus, sein Schlüssel wird sofort widerrufen, ohne Auswirkungen auf andere Bewohner. Kein manuelles Eingreifen, keine Sicherheitslücken, kein Drama mit Passwortänderungen.

Lassen Sie mich Ihnen zwei konkrete Bereitstellungsszenarien vorstellen, um dies zu veranschaulichen.

Das erste ist eine BTR-Immobilie mit 250 Einheiten. Der Entwickler hatte im gesamten Gebäude Cisco Meraki Access Points spezifiziert. Er benötigte für jeden Bewohner ein privates WiFi-Erlebnis mit vollständiger IoT-Unterstützung, Einzugsbereitschaft am selben Tag und der Fähigkeit, 15 bis 25 Geräte pro Haushalt zu unterstützen. Die bereitgestellte Architektur war eine einzige SSID im gesamten Gebäude mit UU PPSK über den Cloud-RADIUS-Dienst von Purple. Jeder Bewohner erhielt beim Einzug einen eindeutigen Schlüssel über die Bewohner-App. Der Schlüssel war einem dedizierten VLAN mit einem privaten Subnetz zugeordnet, was jedem Haushalt ein vollständig isoliertes Netzwerksegment bot. Die mDNS-Reflektion wurde in jedem VLAN aktiviert, sodass Chromecast, Apple TV und Sonos wie erwartet funktionierten. Das Gebäude ging am ersten Tag mit 250 aktiven Bewohner-VLANs live, ohne dass eine manuelle RADIUS-Konfiguration durch das Team vor Ort erforderlich war.

Das zweite Szenario ist ein zweckgebundener Studentenwohnheim-Block (PBSA) mit 400 Betten. Die Herausforderung hierbei ist der jährliche Kohortenwechsel. Jeden August ziehen 400 Studenten aus und 400 neue Studenten ziehen ein, oft innerhalb derselben Woche. Bei einem gemeinsam genutzten PSK-Modell bedeutet dies eine gebäudeweite Passwortänderung, die jeden zurückkehrenden Bewohner betrifft. Bei UU PPSK bedeutet dies das Widerrufen von 400 Schlüsseln und das Bereitstellen von 400 neuen Schlüsseln, alles automatisiert über die Integration des Studentenverwaltungssystems. Die Bereitstellung nutzte Ruckus SmartZone mit DPSK, gestützt durch den RADIUS-Dienst von Purple. Jeder Student erhielt seinen eindeutigen Schlüssel während der Vorregistrierung per E-Mail. Das Betriebsteam meldete im ersten Semester eine Reduzierung der WiFi-bezogenen Support-Tickets um 70 %, hauptsächlich weil die Chromecast- und Smart-TV-Pairing-Probleme, die die vorherige Bereitstellung mit gemeinsam genutztem PSK geplagt hatten, vollständig beseitigt wurden.

Lassen Sie mich nun drei praktische Faustregeln behandeln, bevor wir zu den schnellen Fragen übergehen.

Regel eins: Wenn Ihr Gebäude mehr als 50 Einheiten hat, verwenden Sie RADIUS-gestütztes UU PPSK, nicht controller-lokales PPSK. Die Skalierbarkeitsgrenze von controller-lokalem PPSK wird Ihnen innerhalb von 12 Monaten nach der Inbetriebnahme Probleme bereiten.

Regel zwei: Planen Sie die MAC-Randomisierung von Tag eins an ein. Integrieren Sie einen Vorregistrierungs-Workflow in Ihren Onboarding-Prozess für Bewohner. Gehen Sie nicht davon aus, dass Geräte standardmäßig ihre permanente MAC-Adresse präsentieren.

Regel drei: Automatisieren Sie den Lebenszyklus der Schlüssel. Der betriebliche Nutzen von UU PPSK gegenüber einem gemeinsam genutzten PSK hängt vollständig davon ab, dass Schlüssel automatisch bereitgestellt und widerrufen werden. Eine manuelle Schlüsselverwaltung in großem Maßstab ist nicht tragbar. Integrieren Sie von Anfang an Ihr Property-Management-System.

Gut, machen wir eine Schnellfragerunde zu den Fragen, die mir am häufigsten gestellt werden.

Funktioniert UU PPSK mit WPA3? Ja, mit Einschränkungen. WPA3-SAE ändert den Handshake-Mechanismus. Die meisten modernen Controller unterstützen UU PPSK im WPA2- und WPA3-Übergangsmodus für Abwärtskompatibilität. Wenn Sie WiFi 6E Access Points spezifizieren, die WPA3 im 6-Gigahertz-Band vorschreiben, überprüfen Sie vor dem Hardwarekauf die spezifische Unterstützung Ihres Herstellers.

Wie viele eindeutige Schlüssel kann eine einzelne SSID unterstützen? Dies hängt von Ihrer Controller-Plattform. Bei einem externen RADIUS-Server ist die praktische Grenze die Kapazität Ihrer RADIUS-Datenbank. Der Cloud-RADIUS-Dienst von Purple lässt sich auf Zehntausende gleichzeitige Schlüssel skalieren.

Ist UU PPSK ein Ersatz für 802.1X? Nein. Für vollständig verwaltete Unternehmensgeräteflotten bleibt 802.1X die richtige Antwort. UU PPSK ist die richtige Antwort für Wohnnetzwerke, bei denen Sie eine Isolierung pro Haushalt, IoT-Unterstützung und betriebliche Einfachheit in großem Maßstab benötigen.

Wie sieht es mit der GDPR-Compliance aus? UU PPSK bietet Ihnen einen vollständigen Audit-Trail. Jede Verbindung ist an einen bestimmten Bewohnerschlüssel gebunden, der wiederum mit einem bestimmten Mietdatensatz verknüpft ist. Bei einem gemeinsam genutzten PSK ist diese Nachvollziehbarkeit unmöglich. UU PPSK ist die einzige Architektur, mit der Sie präzise auf ein Auskunftsbegehren oder eine behördliche Anfrage reagieren können.

Zusammenfassend lässt sich sagen: UU PPSK ist die Authentifizierungsarchitektur, die Multi-Tenant-WiFi im Wohnbereich betrieblich tragfähig macht. Sie bietet eine Netzwerktrennung pro Bewohner, automatisiert das Schlüssel-Lebenszyklusmanagement und unterstützt die gesamte Palette an IoT-Geräten für Endverbraucher, ohne dass eine Enterprise-Zertifikatsinfrastruktur erforderlich ist. Für jedes BTR-Projekt oder jede MDU-Immobilie mit mehr als 50 Einheiten ist dies die Architektur, die Sie heute spezifizieren sollten.

Wenn Sie erfahren möchten, wie die Multi-Tenant WiFi-Lösung von Purple mit Ihrer vorhandenen Hardware funktioniert, besuchen Sie purple.ai oder sprechen Sie mit einem unserer Netzwerkarchitekten. Vielen Dank fürs Zuhören.

Wichtigste Erkenntnisse

✓UU PPSK weist jedem Bewohner ein eindeutiges WiFi-Passwort unter einem einzigen gemeinsam genutzten Netzwerknamen zu und erstellt so ein isoliertes VLAN pro Haushalt.
✓Im Jahr 2023 fügte Ubiquiti UniFi native PPSK-Unterstützung hinzu und vervollständigte damit die Funktion für Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet.
✓Im Gegensatz zu 802.1X erfordert PPSK keine Zertifikate oder Supplicants, wodurch es vollständig kompatibel mit IoT-Geräten für Endverbraucher, Smart-TVs und Spielekonsolen ist.
✓Verwenden Sie bei Bereitstellungen mit mehr als 50 Einheiten immer einen RADIUS-gestützten Cloud-Dienst anstelle eines controller-lokalen Schlüsselspeichers, um ein automatisiertes Lebenszyklusmanagement zu ermöglichen.
✓Automatisieren Sie die Bereitstellung und den Widerruf von Schlüsseln, indem Sie die WiFi-Plattform über eine REST-API in Ihr Property-Management-System integrieren.
✓Aktivieren Sie die mDNS-Reflektion in jedem Bewohner-VLAN – ohne diese schlägt das Pairing von Chromecast, Apple TV und Sonos trotz erfolgreicher WiFi-Authentifizierung fehl.
✓Überprüfen Sie die WPA3-SAE-Unterstützung für die PPSK-Implementierung des von Ihnen gewählten Herstellers, bevor Sie WiFi 6E-Hardware spezifizieren, da nicht alle Plattformen PPSK im 6-GHz-Band unterstützen.

Executive Summary

Für IT-Manager und Netzwerkarchitekten, die Multi-Tenant-Umgebungen betreiben, stellt die Bereitstellung von sicherem, heimähnlichem WiFi in großem Maßstab eine besondere architektonische Herausforderung dar. Herkömmliche gemeinsam genutzte Passwörter bestehen keine Sicherheitsaudits und führen bei Auszügen von Bewohnern zu betrieblichen Engpässen. Die standardmäßige 802.1X-Enterprise-Authentifizierung erfordert einen RADIUS-Server und einen Supplicant auf jedem Gerät. Dadurch ist sie mit der überwiegenden Mehrheit der Smart-Home- und IoT-Geräte für Endverbraucher inkompatibel.

Unique per-User Private Pre-Shared Key (UU PPSK) schließt diese Lücke. Es bietet eine Netzwerktrennung pro Bewohner, automatisiert das Schlüssel-Lebenszyklusmanagement und sorgt für ein sicheres WiFi-Erlebnis, das die in einem typischen modernen Haushalt üblichen 15 bis 25 Geräte unterstützt. Im Jahr 2023 fügte Ubiquiti UniFi native PPSK-Unterstützung hinzu und vervollständigte damit das Angebot auf allen wichtigen Enterprise-Hardwareplattformen. Dieser Leitfaden beschreibt die Implementierung von UU PPSK im Detail, vergleicht herstellerspezifische Funktionen von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet und skizziert die Bereitstellungsarchitektur, die für eine effiziente Unterstützung von Multi-Tenant-Immobilien erforderlich ist. Weitere Informationen zum breiteren PPSK-Umfeld finden Sie unter Was ist PPSK: Vergleich von Funktionen und Bereitstellungsmodellen .

Technischer Deep-Dive

Das Grundprinzip von UU PPSK ist einfach: Anstatt mehrere SSIDs auszustrahlen oder auf ein einziges gemeinsam genutztes Passwort zu setzen, weist der Wireless-Controller jedem Bewohner oder jeder Gerätegruppe ein eindeutiges Passwort zu. Wenn sich ein Gerät mit seinem spezifischen Schlüssel authentifiziert, ordnet der Controller diese Verbindung einem dedizierten VLAN zu. Diese Architektur schafft eine eigene WiFi-Blase für jeden Bewohner. Ihre Geräte können sich gegenseitig erkennen, Medien streamen und Dateien freigeben, genau wie in einem Standard-Heimnetzwerk, während sie gleichzeitig von allen anderen Bewohnern im Gebäude vollständig isoliert bleiben.

Der Authentifizierungsablauf

Wenn sich ein Gerät mit der SSID verbindet, fängt der Access Point die Zuordnungsanfrage ab. Während des WPA2- oder WPA3-Vier-Wege-Handshakes präsentiert das Gerät seinen Pre-Shared Key. Der Wireless LAN Controller (oder die Cloud-Management-Plattform) sucht diesen Schlüssel in der PPSK-Datenbank. Ist der Schlüssel gültig, identifiziert der Controller das zugehörige VLAN und markiert den Datenverkehr des Geräts ab diesem Zeitpunkt entsprechend.

Dieser Mechanismus unterscheidet sich grundlegend von 802.1X. Während 802.1X einen EAP-Austausch (Extensible Authentication Protocol) und einen clientseitigen Supplicant erfordert, arbeitet PPSK auf der WPA-Personal-Ebene. Das Gerät sieht einfach ein Standard-WiFi-Netzwerk, das ein Passwort erfordert. Dies gewährleistet die Kompatibilität mit bildschirmlosen IoT-Geräten, Smart-TVs und Spielekonsolen, die keine Enterprise-Zertifikate verarbeiten können. Für einen detaillierten Vergleich, wann 802.1X oder PPSK die richtige Wahl ist, beschreibt der Leitfaden Drei SSIDs, sie alle zu beherrschen die Drei-SSID-Architektur in vollem Umfang.

Herstellerimplementierungen und Terminologie im Jahr 2023

Der zugrunde liegende Mechanismus ist standardisiert, aber die Terminologie der Hersteller variiert erheblich. Bei der Bewertung von Hardware oder dem Lesen von Herstellerdokumentationen ist es wichtig zu verstehen, welcher Begriff welcher Plattform zugeordnet ist.

Hersteller	Funktionsname	WPA3-Unterstützung	Max. Schlüssel (lokal)	RADIUS-gestützt
Cisco Meraki	iPSK (Identity PSK)	Ja (Übergangsmodus)	5.000 pro Netzwerk	Ja (Cisco ISE)
HPE Aruba	MPSK / PPSK	Nur WPA2 für MPSK	Unbegrenzt über ClearPass	Ja (ClearPass)
Ruckus	DPSK (Dynamic PSK)	Ja (SmartZone 6.1+)	10.000 pro Zone	Ja (SmartZone)
Juniper Mist	ePSK	Ja	Unbegrenzt über Mist-Cloud	Ja (Mist-Cloud)
Ubiquiti UniFi	PPSK	Nur WPA2	1.000 pro Netzwerk	Ja (externer RADIUS)
Cambium	ePSK	Ja	Unbegrenzt über cnMaestro	Ja (cnMaestro)
Extreme	Private PSK	Ja	Unbegrenzt über ExtremeCloud	Ja (ExtremeCloud)
Fortinet	MPSK	Ja	Unbegrenzt über FortiGate	Ja (FortiAuthenticator)

Ein wichtiger Meilenstein im Jahr 2023 war die Einführung der nativen PPSK-Unterstützung durch Ubiquiti UniFi im Oktober desselben Jahres. Damit wurde die benutzerbezogene Schlüsselverwaltung der Enterprise-Klasse für den gesamten Hardware-Stack vervollständigt. Die UniFi-Implementierung unterstützt derzeit nur WPA2, was bedeutet, dass sie im 6-GHz-Band nicht funktioniert. Bei Bereitstellungen, die WiFi 6E-Hardware vorsehen, ist dies eine kritische Einschränkung, die vor der Entscheidung für eine Plattform geprüft werden muss.

Überlegungen zu WPA3 und 6 GHz

Die Einführung von WPA3 und dem 6-GHz-Band (WiFi 6E und WiFi 7) bringt neue Variablen mit sich. WPA3 ersetzt den herkömmlichen PSK-Handshake durch Simultaneous Authentication of Equals (SAE) und bietet so Schutz vor Offline-Wörterbuchangriffen. Allerdings unterstützen derzeit nicht alle PPSK-Implementierungen der Hersteller WPA3-SAE. Wenn Sie 6-GHz-Access-Points spezifizieren, die WPA3 vorschreiben, müssen Sie sicherstellen, dass die von Ihnen gewählte Plattform PPSK über WPA3 unterstützt. Andernfalls sind Sie gezwungen, PPSK-Clients auf die 2,4-GHz- und 5-GHz-Bänder zu beschränken.

Implementierungsleitfaden

Die Bereitstellung von UU PPSK in einer Build to Rent (BTR)- oder Multi-Dwelling Unit (MDU)-Umgebung erfordert eine sorgfältige Planung in drei Phasen: logisches Design, Hardwarekonfiguration und Onboarding der Bewohner.

Phase 1: Logisches Design und VLAN-Architektur

Beginnen Sie mit der Erfassung Ihrer Bewohnerzahl und Gerätekategorien. Eine Standard-BTR-Bereitstellung erfordert ein dediziertes VLAN für jede Wohneinheit. Für ein Gebäude mit 200 Einheiten benötigen Sie 200 Bewohner-VLANs. Zusätzlich müssen Sie separate VLANs für Gebäudemanagementsysteme, IoT-Sensoren und das Gäste-WiFi in Gemeinschaftsbereichen bereitstellen.

Weisen Sie ausreichend IP-Adressen zu. Untersuchungen der British Property Federation zeigen, dass in einem Haushalt durchschnittlich 15 bis 25 vernetzte Geräte vorhanden sind. Ein /24-Subnetz pro Wohnung bietet 254 nutzbare Adressen, was zukünftige IoT-Erweiterungen problemlos ermöglicht, ohne den DHCP-Pool zu erschöpfen. Ein /23-Subnetz bietet 510 nutzbare Adressen für Haushalte mit höherer Gerätedichte.

Ein empfohlenes VLAN-Schema für eine BTR-Immobilie mit 200 Einheiten:

VLAN-Bereich	Zweck	Subnetzgröße
VLAN 10 bis 209	Wohneinheiten (eine pro Wohnung)	/24 pro VLAN
VLAN 300	Gebäudemanagementsysteme	/24
VLAN 400	IoT-Sensoren und Zutrittskontrolle	/24
VLAN 500	Gäste-WiFi in Gemeinschaftsbereichen	/23
VLAN 600	Mitarbeiter- und Managementgeräte	/24

Phase 2: Hardware- und RADIUS-Konfiguration

Verlassen Sie sich bei Bereitstellungen mit mehr als 50 Einheiten auf RADIUS-gestütztes PPSK anstelle von controller-lokalem Speicher. Verbinden Sie Ihre Access Points mit einem Cloud-RADIUS-Dienst. Konfigurieren Sie eine einzige SSID für die gesamte Immobilie. Ordnen Sie die RADIUS-Attribute so zu, dass basierend auf dem authentifizierten Schlüssel die korrekte VLAN-ID zurückgegeben wird. Stellen Sie sicher, dass alle Trunk-Ports zwischen den Access-Layer-Switches und dem Distribution-Core den gesamten Bereich der Bewohner-VLANs zulassen.

Aktivieren Sie die mDNS-Reflektion (Multicast DNS) in jedem Bewohner-VLAN. Dies ist der Schritt, der bei ersten Bereitstellungen am häufigsten vergessen wird. Sein Fehlen ist die Hauptursache für Pairing-Fehler bei Chromecast, Apple TV und Sonos. Die mDNS-Reflektion ermöglicht es Geräten im selben VLAN, sich gegenseitig zu erkennen, während eine VLAN-übergreifende Erkennung verhindert wird.

Phase 3: Automatisiertes Lebenszyklusmanagement

Die betriebliche Machbarkeit von UU PPSK hängt vollständig von einer automatisierten Schlüsselverwaltung ab. Integrieren Sie Ihr Property-Management-System (PMS) über eine REST-API in die WiFi-Authentifizierungsplattform. Wenn ein Mietvertrag unterzeichnet wird, muss das System automatisch einen eindeutigen Schlüssel generieren und ihn einem verfügbaren VLAN zuweisen. Stellen Sie dem Bewohner diesen Schlüssel vor dem Einzug per E-Mail oder über ein sicheres Bewohnerportal bereit. Wenn das Mietverhältnis endet, muss das System den Schlüssel sofort widerrufen und so den Zugriff für alle zugehörigen Geräte ohne manuelles Eingreifen der IT beenden.

Die Multi-Tenant WiFi-Lösung von Purple bietet diese Orchestrierungsebene als Cloud-Overlay auf Ihrer vorhandenen Hardware. Sie lässt sich über eine API in Property-Management-Systeme integrieren, automatisiert die Bereitstellung und den Widerruf von Schlüsseln und bietet das WiFi Analytics -Dashboard zur Überwachung der Netzwerkleistung in allen Bewohner-VLANs.

Best Practices

Verhindern Sie die SSID-Überlastung. Strahlen Sie maximal drei SSIDs pro Funkband aus: eine für Bewohner (UU PPSK), eine für Mitarbeiter und Management (802.1X) und eine für Gäste in Gemeinschaftsbereichen. Jede zusätzliche SSID verbraucht Sendezeit für Beacon-Frames. In einem dicht besiedelten Wohngebäude verschlechtern sechs oder acht SSIDs pro Access Point die Leistung für alle. Eine detaillierte Aufschlüsselung dieser Architektur finden Sie unter Drei SSIDs, sie alle zu beherrschen .

Berücksichtigen Sie die MAC-Randomisierung von Tag eins an. Moderne Betriebssysteme wie iOS 14 und neuer, Android 10 und neuer sowie Windows 11 verwenden standardmäßig randomisierte MAC-Adressen. Implementieren Sie einen Vorregistrierungs-Workflow, bei dem Bewohner ihre Geräte registrieren, oder stellen Sie sicher, dass Ihr Portal sie anleitet, die private Adressierung für ihr Heimnetzwerk zu deaktivieren. Wird dies nicht berücksichtigt, ist dies die häufigste Ursache für Authentifizierungsfehler bei neuen Bereitstellungen.

Validieren Sie Trunk-Ports bei der Inbetriebnahme. Entwerfen Sie ein sauberes VLAN-Schema, stellen Sie die Access Points bereit und testen Sie dann ein Gerät in jedem VLAN, bevor die Bewohner einziehen. Ein stiller Datenverlust aufgrund einer unvollständigen Trunk-Port-Konfiguration ist der häufigste Fehler nach der Bereitstellung. Dokumentieren Sie jede Trunk-Port-Konfiguration und gleichen Sie sie mit Ihrem VLAN-Schema ab.

Dimensionieren Sie Ihre DHCP-Bereiche richtig. Ein Gebäude mit 200 Einheiten und 20 Geräten pro Haushalt erfordert eine DHCP-Kapazität für 4.000 Geräte. Stellen Sie sicher, dass Ihr DHCP-Server Lease-Verlängerungen im Umfang Ihrer Bereitstellung bewältigen kann, insbesondere bei Einzugswellen, wenn Hunderte von Geräten gleichzeitig versuchen, eine Verbindung herzustellen.

Fehlerbehebung & Risikominderung

Der häufigste Fehler bei UU PPSK-Bereitstellungen ist der stille Datenverlust aufgrund von unvollständigem VLAN-Trunking. Wenn sich ein Gerät erfolgreich authentifiziert, aber keine IP-Adresse erhält, überprüfen Sie, ob das zugewiesene VLAN auf allen Uplink-Ports vom Access Point zurück zum DHCP-Server zugelassen ist.

Ein zweites häufiges Problem betrifft Smart-Home-Geräte, die keine Verbindung herstellen können. Dies geschieht häufig, wenn Bewohner versuchen, reine 2,4-GHz-IoT-Geräte zu verbinden, während ihr Telefon mit dem 5-GHz-Band verbunden ist, und die Setup-App diese Lücke nicht schließen kann. Stellen Sie sicher, dass Ihre Access Points Band Steering angemessen nutzen, oder stellen Sie eine dedizierte 2,4-GHz-IoT-Onboarding-SSID bereit, die demselben Bewohner-VLAN zugeordnet ist.

Fehler bei der MAC-Randomisierung äußern sich als sporadische Authentifizierungsfehler, bei denen sich ein Gerät beim ersten Versuch erfolgreich verbindet, bei nachfolgenden Verbindungen jedoch fehlschlägt. Das Gerät präsentiert jedes Mal eine andere randomisierte MAC-Adresse, was dazu führt, dass die RADIUS-Abfrage fehlschlägt. Die Lösung besteht darin, die SSID so zu konfigurieren, dass sie permanente MAC-Adressen anfordert, oder einen Workflow zur Gerätevorregistrierung zu implementieren.

Führen Sie zur Einhaltung der GDPR ein vollständiges Audit-Protokoll aller Ereignisse zur Bereitstellung und zum Widerruf von Schlüsseln. Jede Verbindung muss zu einem bestimmten Bewohnerschlüssel und Mietdatensatz zurückverfolgbar sein. Mit einem gemeinsam genutzten PSK ist diese Nachvollziehbarkeit unmöglich. UU PPSK is die einzige Architektur, mit der Sie präzise auf ein Auskunftsbegehren oder eine behördliche Anfrage reagieren können.

ROI & geschäftliche Auswirkungen

Die Implementierung von UU PPSK liefert messbaren geschäftlichen Nutzen für Immobilienbetreiber. Durch den Wegfall gebäudeweiter Passwortänderungen und die Automatisierung der Schlüsselbereitstellung verzeichnen Betreiber in Spitzenzeiten beim Einzug in der Regel eine Reduzierung der WiFi-bezogenen Support-Tickets um 50 % bis 70 %, basierend auf Bereitstellungsdaten von Purples Multi-Tenant WiFi-Kunden.

Die Bereitstellung eines sicheren, leistungsstarken Netzwerks, das die IoT-Geräte der Bewohner direkt unterstützt, erhöht die Zufriedenheit und Bindung der Mieter. Für BTR-Betreiber ist WiFi mittlerweile eine Standardausstattung, die in der Miete enthalten ist, und die Qualität dieses Dienstes beeinflusst direkt die Vertragsverlängerungsraten.

Aus Compliance-Sicht stellt UU PPSK sicher, dass Sie die GDPR-Anforderungen an die Rechenschaftspflicht für Daten erfüllen. Da jede Verbindung an einen bestimmten Bewohnerschlüssel gebunden ist, behalten Sie einen klaren Audit-Trail der Netzwerkaktivität. Sie können die Netzwerkleistung und -auslastung mithilfe von WiFi Analytics effektiv verfolgen und so sicherstellen, dass Sie die im Mietvertrag versprochene Servicequalität liefern.

Für Betreiber im Gastgewerbe und im Einzelhandel gilt dieselbe UU PPSK-Architektur für Mitarbeiternetzwerke, bei denen mitarbeiterbezogene Schlüssel gemeinsam genutzte Mitarbeiter-Passwörter ersetzen und das Sicherheitsrisiko eliminieren, dass ehemalige Mitarbeiter nach ihrem Ausscheiden den Netzwerkzugriff behalten.

Purple ist seit der Gründung im Jahr 2012 an über 80.000 Live-Standorten aktiv, mit einer Betriebszeit von 99,999 % und einer ISO 27001-Zertifizierung. Das Multi-Tenant WiFi-Produkt ist hardwareunabhängig und fungiert als Cloud-Overlay auf Infrastrukturen von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet. Weitere Informationen zum breiteren PPSK-Funktionsumfang finden Sie unter Was ist PPSK: Vergleich von Funktionen und Bereitstellungsmodellen und dem spanischsprachigen Äquivalent Qué es PPSK: comparación de funciones y modelos de despliegue .

Schlüsseldefinitionen

UU PPSK (Unique per-User Private Pre-Shared Key)

Eine Authentifizierungsmethode, die jedem einzelnen Benutzer oder Haushalt auf einer einzigen SSID ein eindeutiges WiFi-Passwort zuweist. Jeder Schlüssel wird einem dedizierten VLAN zugeordnet, wodurch der Datenverkehr des Benutzers von allen anderen Benutzern auf derselben physischen Infrastruktur isoliert wird.

Wird in Multi-Tenant-Umgebungen verwendet, um eine Netzwerktrennung ohne Enterprise-802.1X-Zertifikate zu ermöglichen. Die Standardarchitektur für BTR- und MDU-WiFi-Bereitstellungen.

VLAN (Virtual Local Area Network)

Ein logisches Teilnetzwerk, das eine Gruppe von Geräten zusammenfasst und deren Broadcast-Verkehr von anderen Geräten auf derselben physischen Infrastruktur isoliert.

Bei einer UU PPSK-Bereitstellung wird der eindeutige Schlüssel jedes Bewohners seinem eigenen dedizierten VLAN zugeordnet, wodurch ein privates Netzwerksegment entsteht, das wie ein Heimrouter funktioniert.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentrale Authentifizierung, Autorisierung und Kontoführung (Accounting) für Benutzer bietet, die sich mit einem Netzwerkdienst verbinden und diesen nutzen. Definiert in RFC 2865.

Enterprise-PPSK-Bereitstellungen verwenden einen RADIUS-Server, um Schlüssel zu speichern und die korrekte VLAN-Zuweisung an den Access Point zurückzugeben. Cloud-RADIUS-as-a-Service macht den Betrieb einer eigenen RADIUS-Infrastruktur überflüssig.

mDNS (Multicast DNS)

Ein Protokoll, das Hostnamen in kleinen Netzwerken, die keinen lokalen Nameserver enthalten, in IP-Adressen auflöst. Definiert in RFC 6762.

Muss in den Bewohner-VLANs aktiviert und reflektiert werden, damit Geräte wie Apple TV, Chromecast und Sonos von Smartphones im selben VLAN erkannt werden können. Ohne mDNS-Reflektion schlagen Streaming und Smart-Home-Pairing fehl.

MAC-Randomisierung

Eine Datenschutzfunktion in modernen Betriebssystemen, die für jedes WiFi-Netzwerk, mit dem sich das Gerät verbindet, eine randomisierte MAC-Adresse generiert, um eine netzwerkübergreifende Verfolgung zu verhindern.

Kann Authentifizierungs-Workflows von PPSK stören, die MAC-Adressabfragen verwenden. Erfordert einen Vorregistrierungs-Workflow oder eine Konfiguration auf SSID-Ebene, um permanente MAC-Adressen anzufordern.

802.1X

Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten. Erfordert einen RADIUS-Server und einen clientseitigen Supplicant.

Die Enterprise-Alternative zu PPSK, geeignet für verwaltete Unternehmensgeräteflotten. Nicht geeignet für IoT-Geräte für Endverbraucher, Smart-TVs oder Spielekonsolen, denen ein Supplicant fehlt.

WPA3-SAE (Simultaneous Authentication of Equals)

Der in WPA3 Personal verwendete Authentifizierungsmechanismus, der den herkömmlichen PSK-Handshake durch einen Dragonfly-Schlüsselaustausch ersetzt, der Schutz vor Offline-Wörterbuchangriffen bietet.

Zwingend erforderlich für das 6-GHz-Band (WiFi 6E). Nicht alle PPSK-Implementierungen der Hersteller unterstützen WPA3-SAE, was PPSK-Clients auf WiFi 6E-Hardware auf die 2,4-GHz- und 5-GHz-Bänder beschränken kann.

SSID-Überlastung

Die negativen Leistungsauswirkungen, die durch das Ausstrahlen zu vieler Netzwerknamen von einem einzigen Access Point verursacht werden. Jede SSID verbraucht Sendezeit mit Beacon-Frames, was die verfügbare Bandbreite für den Datenverkehr reduziert.

UU PPSK löst dies, indem es Hunderten von isolierten Bewohnernetzwerken ermöglicht, unter einer einzigen SSID zu arbeiten, anstatt eine separate SSID pro Bewohner oder Etage zu erfordern.

iPSK (Identity PSK)

Die Implementierung der benutzerbezogenen Pre-Shared-Key-Authentifizierung von Cisco Meraki. Funktionell gleichwertig mit UU PPSK. Unterstützt bis zu 5.000 eindeutige Schlüssel pro Netzwerk und lässt sich für RADIUS-gestützte Bereitstellungen in Cisco ISE integrieren.

Der in der Meraki-Dokumentation und im Meraki-Dashboard verwendete Begriff. Bei der Bewertung von Meraki-Hardware für eine BTR-Bereitstellung ist iPSK die zu spezifizierende Funktion.

DPSK (Dynamic PSK)

Die Implementierung der benutzerbezogenen Pre-Shared-Key-Authentifizierung von Ruckus Networks. Unterstützt bis zu 10.000 Schlüssel pro Zone in SmartZone-Bereitstellungen und lässt sich in den Cloud-RADIUS-Dienst von Purple integrieren.

Der in der Ruckus-Dokumentation verwendete Begriff. Ruckus SmartZone 6.1 und neuer fügt WPA3-Unterstützung für DPSK hinzu, was die Nutzung im 6-GHz-Band ermöglicht.

Ausgearbeitete Beispiele

Eine Build to Rent (BTR)-Immobilie mit 250 Einheiten in Manchester muss sicheres WiFi bereitstellen, das in der Miete enthalten ist. Die Bewohner erwarten, dass sie vom ersten Tag an Smart-TVs, Sonos-Lautsprecher und Spielekonsolen verbinden können. Das IT-Team möchte die Support-Tickets während der Einzugswelle im September minimieren und sicherstellen, dass beim Auszug eines Bewohners dessen Zugang gesperrt wird, ohne andere Bewohner zu beeinträchtigen.

Stellen Sie eine einzige gebäudeweite SSID unter Verwendung von UU PPSK bereit, die durch den Cloud-RADIUS-Dienst von Purple gestützt wird. Integrieren Sie die RADIUS-Plattform über eine REST-API in das Property-Management-System. Weisen Sie jeder der 250 Einheiten ein /24-Subnetz und ein dediziertes VLAN zu (VLAN 10 bis VLAN 259). Konfigurieren Sie die API-Integration so, dass bei Unterzeichnung des Mietvertrags ein eindeutiger PPSK generiert und dem Bewohner per E-Mail mit einem QR-Code zugesendet wird. Aktivieren Sie die mDNS-Reflektion in jedem VLAN, um die Erkennung von Sonos, Chromecast und Apple TV zu unterstützen. Konfigurieren Sie die PMS-Integration so, dass der Schlüssel am Enddatum des Mietverhältnisses automatisch widerrufen wird. Verwenden Sie Cisco Meraki iPSK mit dem Meraki-Dashboard, das für die Schlüsselspeicherung und VLAN-Zuweisung mit dem Cloud-RADIUS von Purple verbunden ist.

Kommentar des Prüfers: Dieser Ansatz erübrigt 802.1X-Supplicants und gewährleistet eine 100%ige Kompatibilität mit IoT-Geräten für Endverbraucher. Die API-Integration macht eine manuelle Bereitstellung überflüssig, sodass das Netzwerk 250 gleichzeitige Einzüge ohne IT-Eingriff bewältigen kann. Die dedizierten VLANs bieten die erforderliche Sicherheitsisolierung. Die mDNS-Reflektion ist der entscheidende Schritt, der Smart-Home-Funktionen in jedem isolierten VLAN ermöglicht. Der automatische Widerruf am Enddatum des Mietverhältnisses schließt die Sicherheitslücke, die bei manuellen Schlüsselverwaltungs-Workflows besteht.

Ein zweckgebundener Studentenwohnheim-Block (PBSA) mit 400 Betten nutzt derzeit ein einziges gemeinsam genutztes Passwort. Studenten beschweren sich häufig darüber, dass sie die Chromecasts anderer Personen sehen können, und der Betreiber kann den Zugang für ausgezogene Studenten nicht sperren, ohne das Passwort für alle zu ändern. Der Betreiber muss außerdem den jährlichen Kohortenwechsel bewältigen, bei dem 400 Studenten ausziehen und 400 neue Studenten innerhalb derselben Woche einziehen.

Migrate vom gemeinsam genutzten PSK zu einer UU PPSK-Architektur mit Ruckus SmartZone mit DPSK, gestützt durch den RADIUS-Dienst von Purple. Stellen Sie 400 eindeutige Schlüssel bereit, einen pro Studentenzimmer, die jeweils einem eigenen VLAN zugeordnet sind. Verteilen Sie die Schlüssel während der Vorregistrierung über das Portal des Studentenverwaltungssystems, zugestellt per E-Mail mit einem QR-Code. Konfigurieren Sie den automatischen Ablauf der Schlüssel entsprechend den Vertragsenddaten. Beim jährlichen Wechsel widerruft das System automatisch 400 abgelaufene Schlüssel und stellt über die Integration des Studentenverwaltungssystems 400 neue bereit.

Kommentar des Prüfers: Dies löst das Problem der Broadcast-Domäne sofort. Studenten sehen nur Geräte in ihrem eigenen VLAN, was ihre Chromecasts sichert und Beschwerden über die Sichtbarkeit von Geräten anderer Bewohner eliminiert. Das automatisierte Lebenszyklusmanagement löst das Problem des jährlichen Wechsels, indem es den Schlüsselwiderruf auf den einzelnen Benutzer beschränkt und so Störungen für den Rest der Kohorte verhindert. Die Schlüsselverteilung per E-Mail vor der Ankunft verhindert die Verbindungswelle am Einzugstag, da die Studenten bereits mit dem auf ihren Geräten konfigurierten Schlüssel ankommen.

Übungsfragen

Q1. Sie entwerfen das Netzwerk für eine BTR-Immobilie mit 300 Einheiten. Der Entwickler möchte Ubiquiti UniFi Access Points verwenden und die PPSK-Schlüssel lokal auf dem Controller speichern, um Kosten zu sparen. Was ist das Hauptrisiko dieses Ansatzes und was würden Sie stattdessen empfehlen?

Hinweis: Berücksichtigen Sie die Skalierbarkeitsgrenzen lokaler Controller im Vergleich zu Cloud-RADIUS sowie die betrieblichen Auswirkungen einer manuellen Schlüsselverwaltung bei einer Größenordnung von 300 Einheiten.

Musterlösung anzeigen

Die Hauptrisiken sind die Skalierbarkeit und das Fehlen eines automatisierten Lebenszyklusmanagements. Die lokale PPSK-Implementierung von Ubiquiti UniFi unterstützt bis zu 1.000 Einträge pro Netzwerk, was bei einem Gebäude mit 300 Einheiten und mehreren Geräten pro Haushalt schnell erreicht wird. Noch kritischer ist, dass die lokale Speicherung eine API-Integration in das Property-Management-System verhindert. Dies zwingt das IT-Team dazu, Schlüssel für jeden Ein- und Auszug manuell bereitzustellen und zu widerrufen. Bei 300 Einheiten mit typischen BTR-Fluktuationsraten wird dies zu einer enormen betrieblichen Belastung. Die Empfehlung lautet, UniFi-Hardware zu verwenden, diese jedoch über die RADIUS-Integrationsoption mit einem externen Cloud-RADIUS-Dienst zu verbinden, um ein automatisiertes Schlüssel-Lebenszyklusmanagement über die PMS-API zu ermöglichen.

Q2. Ein Bewohner berichtet, dass sich sein Smartphone einwandfrei mit dem UU PPSK-Netzwerk verbindet, er jedoch seine neuen intelligenten Glühbirnen nicht koppeln kann. Die Glühbirnen unterstützen nur 2,4 GHz, während das Smartphone mit dem 5-GHz-Band verbunden ist. Wie sollten Sie dieses Problem lösen?

Hinweis: Denken Sie darüber nach, wie die Setup-App des Herstellers während des ersten Pairing-Prozesses mit der Glühbirne kommuniziert und in welchem Band sich beide Geräte gleichzeitig befinden müssen.

Musterlösung anzeigen

Das Problem besteht darin, dass die Setup-App des Smartphones während der Bereitstellung direkt mit der Glühbirne kommunizieren muss, was voraussetzt, dass sich beide Geräte auf demselben Frequenzband befinden. Das Smartphone nutzt 5 GHz, die Glühbirne 2,4 GHz, und die Setup-App kann diese Lücke nicht schließen. Die Lösung besteht darin, Band Steering für das VLAN des Bewohners vorübergehend zu deaktivieren oder eine dedizierte 2,4-GHz-IoT-Onboarding-SSID bereitzustellen, die demselben Bewohner-VLAN zugeordnet ist. Sobald die Glühbirne bereitgestellt und mit dem VLAN des Bewohners verbunden ist, kann das Smartphone in das 5-GHz-Band zurückkehren und die Glühbirne über den Cloud-Dienst oder die mDNS-Erkennung im VLAN steuern.

Q3. Ihr Unternehmen rüstet auf WiFi 6E Access Points auf, die WPA3 für das 6-GHz-Band erfordern. Sie planen, UU PPSK für die Authentifizierung der Bewohner zu verwenden. Welche kritische Kompatibilitätsprüfung müssen Sie vor dem Kauf der Hardware durchführen und was ist Ihre Ausweichlösung, wenn die Prüfung fehlschlägt?

Hinweis: Nicht alle PPSK-Implementierungen der Hersteller unterstützen WPA3-SAE. Das 6-GHz-Band schreibt WPA3 vor.

Musterlösung anzeigen

Sie müssen überprüfen, ob die PPSK-Implementierung des jeweiligen Herstellers WPA3-SAE auf dem 6-GHz-Funkband unterstützt. Das PPSK von Ubiquiti UniFi unterstützt nur WPA2 und funktioniert nicht im 6-GHz-Band. Das MPSK von HPE Aruba weist ebenfalls WPA3-Einschränkungen auf. Ruckus SmartZone 6.1 und neuer fügt WPA3-Unterstützung für DPSK hinzu. Wenn Ihre gewählte Hardware PPSK auf WPA3 nicht unterstützt, besteht die Ausweichlösung darin, das 6-GHz-Funkband für den reinen WPA3-Unternehmens- oder Mitarbeiterverkehr (802.1X) zu konfigurieren und den PPSK-Bewohnerverkehr unter Verwendung von WPA2 auf die 2,4-GHz- und 5-GHz-Funkbänder zu beschränken. Dies ist eine gültige Architektur, beschränkt die Geräte der Bewohner jedoch auf WiFi 6-Geschwindigkeiten anstelle von WiFi 6E.

Q4. Sie erhalten ein GDPR-Auskunftsbegehren eines ehemaligen Bewohners, der alle mit seinem Mietverhältnis verknüpften Netzwerkaktivitätsdaten anfordert. Ihr Gebäude nutzt derzeit einen gemeinsam genutzten PSK. Können Sie diese Anfrage präzise beantworten und welche architektonische Änderung würde Ihnen dies in Zukunft ermöglichen?

Hinweis: Überlegen Sie, wie der Datenverkehr in einer gemeinsam genutzten PSK-Umgebung im Vergleich zu einer UU PPSK-Umgebung einzelnen Benutzern zugeordnet wird.

Musterlösung anzeigen

Mit einem gemeinsam genutzten PSK können Sie die Anfrage nicht präzise beantworten. Jedes Gerät im Netzwerk verwendet dieselben Anmeldedaten, was es unmöglich macht, bestimmte Netzwerkaktivitäten einem bestimmten Bewohner zuzuordnen. Sie können den Datenverkehr zwar anhand der MAC-Adresse identifizieren, aber aufgrund der MAC-Randomisierung ist selbst dies unzuverlässig. Die Migration zu UU PPSK löst dieses Problem. Der eindeutige Schlüssel jedes Bewohners ist mit seinem Mietdatensatz im Property-Management-System verknüpft. Jedes Verbindungsereignis wird für diesen Schlüssel protokolliert, wodurch ein vollständiger Audit-Trail entsteht, der extrahiert und als Antwort auf ein Auskunftsbegehren bereitgestellt werden kann. Dies erfüllt auch den GDPR-Grundsatz der Rechenschaftspflicht gemäß Artikel 5 Absatz 2.

Weiterlesen in dieser Reihe

Mitarbeiter-WiFi vs. Gäste-WiFi: Best Practices für die Segmentierung von Unternehmensnetzwerken

Ein umfassender technischer Leitfaden für IT-Führungskräfte zur Segmentierung von Mitarbeiter- und Gäste-WiFi-Netzwerken. Er behandelt VLAN-Architektur, 802.1X-Authentifizierung, Firewall-Richtlinien und die geschäftlichen Auswirkungen eines sicheren Netzwerkdesigns.

iPSK-Leitfaden: Ein umfassender Guide für Unternehmen

Dieser Leitfaden erklärt die Identity Pre-Shared Key (iPSK) Architektur für Bauträger, BTR-Betreiber und Vermieter, die Multi-Tenant-WiFi bereitstellen. Er behandelt RADIUS-Integration, dynamische VLAN-Zuweisung, Layer-2-Isolierung und automatisiertes Lifecycle-Management für Anmeldedaten, um Bewohnern sofort einsatzbereites WiFi in großem Umfang zu bieten. Zudem werden die wirtschaftlichen Vorteile der Abschaffung von Routern in einzelnen Wohneinheiten sowie die betrieblichen Vorteile der iPSK-Integration mit Identity Providern wie Microsoft Entra ID, Okta und Google Workspace erläutert.

Uu PPSK pdf: Funktionen und Bereitstellungsmodelle im Vergleich

Dieser technische Referenzleitfaden vergleicht die Private Pre-Shared Key (PPSK) WiFi-Architektur mit herkömmlichen 802.1X- und Standard-PSK-Bereitstellungen. Er bietet Netzwerkarchitekten und IT-Managern herstellerneutrale Implementierungsstrategien für Multi-Tenant-Wohn-, IoT- und BTR-Umgebungen.