Saltar al contenido principal

Passpoint y OpenRoaming: Guía completa

Esta guía de referencia técnica proporciona un análisis exhaustivo de los frameworks Passpoint (Hotspot 2.0) y WBA OpenRoaming dentro de las redes WiFi empresariales. Detalla los protocolos de autenticación subyacentes, los componentes arquitectónicos y las estrategias de despliegue necesarias para establecer una conectividad de invitados segura y sin fricciones. Los arquitectos de redes y los líderes de TI aprenderán a diseñar, implementar y solucionar problemas de estos estándares para eliminar las barreras de inicio de sesión manual mientras mantienen una seguridad de nivel empresarial.

📖 6 min de lectura📝 1,277 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

📚 Parte de nuestra serie principal: WiFi multiinquilino

Resumen Ejecutivo

Las demandas de conectividad empresarial han pasado de un acceso de invitados manual basado en un Captive Portal a una incorporación automatizada, segura y sin fricciones. Passpoint (definido por la Wi-Fi Alliance como Hotspot 2.0) y OpenRoaming (coordinado por la Wireless Broadband Alliance) representan la estandarización de este cambio. Al utilizar los protocolos IEEE 802.11u y la seguridad WPA3-Enterprise, estas tecnologías permiten a los dispositivos móviles descubrir, autenticarse y conectarse a redes WiFi seguras de forma automática y sin intervención del usuario.

Esta guía sirve como referencia autorizada para arquitectos de red y directores de TI que planean implementar estas tecnologías en entornos de gran escala, superficies comerciales y campus corporativos. Analizamos los intercambios criptográficos subyacentes, la arquitectura de federación y los pasos de configuración práctica necesarios para integrar estos estándares en la infraestructura inalámbrica existente. Al adoptar estos marcos de trabajo, las organizaciones pueden eliminar la fricción de los portales de invitados tradicionales al tiempo que mejoran significativamente su postura de seguridad inalámbrica.

Análisis Técnico Detallado

Para comprender Passpoint y OpenRoaming, primero se deben analizar en detalle los protocolos subyacentes que rigen su funcionamiento. En el núcleo de Passpoint se encuentra IEEE 802.11u, una enmienda al estándar 802.11 que permite a los dispositivos inalámbricos descubrir servicios de red antes de establecer una asociación.

Históricamente, un dispositivo cliente tenía que asociarse con un punto de acceso (AP) y obtener una dirección IP antes de poder consultar las capacidades de la red. Con 802.11u, este descubrimiento ocurre en el estado de pre-asociación utilizando consultas del protocolo ANQP (Access Network Query Protocol).

El Proceso de Descubrimiento de 802.11u

Cuando un dispositivo compatible con Passpoint escanea el espectro radioeléctrico, detecta una baliza (beacon) que contiene un elemento de interfuncionamiento (Interworking). Este elemento indica que el AP admite 802.11u y anuncia su tipo de red (por ejemplo, privada, pública gratuita, pública de pago). A continuación, el dispositivo cliente envía una consulta ANQP para solicitar parámetros específicos, tales como:

  • Identificadores de Organización de Consorcios de Roaming (OIs): Identificadores únicos globales asignados por el IEEE que representan socios de roaming o federaciones específicas.
  • Nombre del lugar y Grupo del lugar: Metadatos que describen la ubicación física (por ejemplo, "Terminal 2" o "Estadio").
  • Disponibilidad de Tipo de Dirección IP: Información sobre si IPv4 o IPv6 está disponible y si se aplica NAT.

Si el dispositivo cliente posee un perfil que contiene un OI de Consorcio de Roaming coincidente, inicia el proceso de autenticación sin solicitar intervención del usuario.

Arquitectura de la Federación OpenRoaming

OpenRoaming actúa como una capa de federación global sobre Passpoint. Establece una Infraestructura de Clave Pública (PKI) segura gestionada por la Wireless Broadband Alliance (WBA). Esta federación permite a los proveedores de identidad (IDP) - como operadores de redes móviles, fabricantes de dispositivos (Apple, Google) y sistemas de identidad empresarial - interconectarse de forma segura con los proveedores de red.

La autenticación se ejecuta utilizando WPA3-Enterprise (o WPA2-Enterprise para compatibilidad con sistemas heredados) con PEAP (Protected Extensible Authentication Protocol) o EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). El punto de acceso actúa como autenticador, encapsulando los paquetes EAP en paquetes RADIUS (Remote Authentication Dial-In User Service) o RadSec (RADIUS sobre TLS) y reenviándolos al proveedor de identidad.

RadSec es obligatorio en OpenRoaming para proteger la comunicación entre el proxy RADIUS de la red local y los IDP globales a través de la internet pública. RadSec utiliza el puerto TCP 2083 y el cifrado TLS, lo que garantiza que las credenciales de usuario y los atributos de autenticación sigan siendo confidenciales durante el tránsito a través de proveedores de tránsito intermedios.

Guía de implementación

El despliegue de Passpoint y OpenRoaming requiere un enfoque sistemático en el controlador inalámbrico (WLC), la infraestructura RADIUS y las configuraciones de DNS/firewall.

Paso 1: Auditoría de la infraestructura de red

Asegúrese de que sus puntos de acceso y WLC admitan 802.11u y Passpoint versión 2 o 3. Verifique que su servidor RADIUS admita RadSec (RFC 6614). Si su servidor RADIUS heredado no admite RadSec, debe desplegar un proxy RadSec (como FreeRADIUS o una pasarela dedicada) en su DMZ.

Paso 2: Configuración del firewall

Abra el puerto TCP de salida 2083 hacia los servidores proxy RadSec de OpenRoaming. Asegúrese de que la resolución DNS esté configurada correctamente en sus servidores RADIUS, ya que RadSec depende de DDDS (Dynamic Delegation Discovery System) y de los registros NAPTR para localizar el IDP adecuado.

Paso 3: Adquisición de certificados

Obtenga un certificado RadSec aprobado por la WBA de una autoridad de certificación (CA) autorizada. Este certificado es fundamental para la autenticación mTLS (TLS mutuo) entre su proxy RadSec local y los agentes de la federación de OpenRoaming.

Paso 4: Configuración del controlador inalámbrico

  1. Crear un SSID seguro: Configure un nuevo SSID o modifique uno existente para utilizar WPA3-Enterprise (o el modo de transición WPA2/WPA3).
  2. Activar 802.11u (Interworking): Active la función Interworking en el SSID.
  3. Configurar el HESSID: Establezca el ESSID homogéneo (normalmente la dirección MAC de una de las radios del punto de acceso) para identificar de forma exclusiva el grupo de red.
  4. Añadir los OI de consorcio de roaming: Añada los OI de consorcio de roaming de OpenRoaming. Los OI estándar son:
    • 5A-03-BE-00-00 (sin costes de liquidación, identidades verificadas por Google, Apple o de operadores móviles)
    • 5A-03-BE-00-01 (con liquidación, para acuerdos de roaming comercial)
  5. Configurar los parámetros ANQP: Defina el nombre del espacio, el grupo de espacio y el tipo de red.

Paso 5: Configuración del proxy RADIUS/RadSec

Configure su servidor RADIUS local para que actúe como un proxy RadSec. Defina reglas de enrutamiento que reenvíen las solicitudes de autenticación que contengan los OI de OpenRoaming o patrones de dominio específicos a la pasarela RadSec de OpenRoaming.

Buenas prácticas

Para garantizar un despliegue estable y de alto rendimiento, siga las siguientes recomendaciones estándar del sector:

  • Consolidación de SSID: No cree un SSID dedicado para Passpoint o OpenRoaming. En su lugar, combínelos en un único SSID empresarial seguro. Esto minimiza la sobrecarga de beacons y conserva un valioso tiempo de transmisión.
  • Gestión de certificados: Implemente procesos automatizados de renovación de certificados para sus certificados RadSec. Un certificado caducado detendrá de inmediato todas las autenticaciones de OpenRoaming.
  • Planificación de canales: Dado que Passpoint depende de intercambios ANQP previos a la asociación, los dispositivos cliente pasan más tiempo escaneando y realizando consultas. Optimice su planificación de canales de 5 GHz y 6 GHz para reducir la saturación y garantizar respuestas de sondeo rápidas.
  • Filtrado de realms: Implemente un filtrado estricto de realms en su proxy RadSec para evitar que el tráfico de autenticación innecesario sature la red de la federación. Solo reenvíe las solicitudes que coincidan con patrones válidos de OpenRoaming.
  • Alineación de la experiencia del usuario: Asegúrese de que la señalización física de su establecimiento y los materiales de marketing digital informen a los usuarios de que pueden conectarse automáticamente a través de OpenRoaming, reduciendo la dependencia de SSIDs abiertos no cifrados.

Resolución de problemas y mitigación de riesgos

Modos de fallo comunes y resoluciones

Problema: Los dispositivos cliente no se conectan automáticamente

  • Causa raíz: Faltan las OI de Roaming Consortium o están mal configuradas en el WLC, o el dispositivo cliente no tiene instalado el perfil correcto.
  • Mitigación: Utilice un analizador de paquetes para capturar las tramas de beacon y de respuesta de sondeo. Verifique que el elemento Interworking 802.11u contenga las OI correctas. Asegúrese de que el perfil del cliente se aprovisione correctamente mediante un MDM o un portal de aprovisionamiento.

Problema: Fallos en la conexión RadSec

  • Causa raíz: El cortafuegos bloquea el puerto TCP 2083 o los certificados RadSec no son válidos o han caducado.
  • Mitigación: Realice una captura de paquetes en la interfaz WAN del proxy RADIUS. Verifique que el saludo TLS se complete correctamente. Compruebe el estado de la lista de revocación de certificados (CRL).

Problema: Alta latencia durante la autenticación

  • Causa raíz: IDP geográficamente distantes o resolución de DNS lenta para registros NAPTR.
  • Mitigación: Implemente el almacenamiento en caché local de los registros DNS y asegúrese de que su proxy RADIUS tenga rutas de baja latencia a los hubs regionales de OpenRoaming.

ROI e impacto empresarial

La transición a Passpoint y OpenRoaming aporta un valor empresarial medible en tres vectores principales: eficiencia operativa, postura de seguridad e inteligencia de datos.

Eficiencia operativa

Al automatizar el proceso de conexión, los establecimientos experimentan una reducción significativa en los tickets de soporte relacionados con el WiFi para invitados. El personal de recepción y los servicios de asistencia de TI dedican menos tiempo a resolver fallos de Captive Portal y problemas de contraseñas.

Postura de seguridad

Las redes tradicionales abiertas para invitados exponen a los usuarios a escuchas ilegales y ataques de intermediario (man-in-the-middle). Passpoint exige un cifrado de nivel empresarial (WPA2/WPA3-Enterprise), lo que protege todo el tráfico inalámbrico. Esto protege tanto al usuario como al establecimiento de las responsabilidades asociadas a las brechas de datos.

Data Intelligence

Cuando se integra con plataformas como Purple, Passpoint permite a los establecimientos identificar a los visitantes que regresan de forma fluida. Dado que el dispositivo se conecta automáticamente, el establecimiento captura métricas precisas sobre el tiempo de permanencia y la frecuencia de las visitas sin necesidad de que el usuario abra un navegador e inicie sesión repetidamente. Este flujo continuo de datos permite estrategias de interacción en tiempo real muy específicas.

Definiciones clave

Passpoint

Un programa de certificación de la Wi-Fi Alliance (basado en Hotspot 2.0) que permite a los dispositivos móviles descubrir y conectarse automáticamente a redes WiFi con seguridad de nivel empresarial.

Constituye la base técnica para una incorporación fluida de invitados.

OpenRoaming

Una federación de roaming global creada por la Wireless Broadband Alliance (WBA) que permite a los usuarios conectarse de forma segura y automática a redes WiFi utilizando identidades de confianza.

Actúa como la capa de políticas e identidad por encima de Passpoint.

ANQP

Access Network Query Protocol. Un protocolo de consulta - respuesta utilizado por los dispositivos móviles para descubrir las capacidades de la red antes de asociarse con un AP.

Crucial para el descubrimiento previo a la asociación en 802.11u.

802.11u

Una enmienda al estándar IEEE 802.11 que añade funciones para la interoperabilidad con redes externas, permitiendo el descubrimiento previo a la asociación.

El estándar de capa física y MAC que hace posible Passpoint.

RadSec

RADIUS sobre TLS (RFC 6614). Un protocolo que asegura los paquetes RADIUS encapsulándolos dentro de un túnel TLS sobre TCP.

Obligatorio para OpenRoaming para asegurar el tráfico de autenticación a través de la internet pública.

Roaming Consortium OI

Identificador de Organización del Consorcio de Roaming. Un identificador hexadecimal único asignado por el IEEE para identificar una federación o socio de roaming específico.

Utilizado por los AP para anunciar qué credenciales de roaming aceptan.

HESSID

ESSID Homogéneo. Una dirección MAC de 48 bits configurada en los AP para identificar un grupo de AP que pertenecen a la misma red o recinto.

Ayuda a los dispositivos clientes a comprender que varios AP pertenecen al mismo dominio administrativo.

EAP-TLS

Protocolo de autenticación extensible - Seguridad de la capa de transporte. Un protocolo de autenticación que utiliza certificados digitales para la autenticación mutua.

El método de autenticación más seguro compatible con Passpoint.

Ejemplos prácticos

Un despliegue a gran escala en un estadio requiere configurar un controlador inalámbrico Cisco Catalyst 9800 para que admita OpenRoaming (sin liquidación) junto con los SSID corporativos existentes. El arquitecto de red debe asegurarse de que los dispositivos cliente descubran y se conecten automáticamente a la red utilizando los OI de consorcio de roaming correctos.

Para implementar esto en el Cisco Catalyst 9800 WLC, siga estos pasos de configuración:

  1. Defina el perfil del servidor ANQP:
wireless profile anqp openroaming-anqp-profile
  venue-name english "Stadium Main Bowl"
  venue-group assembly venue-type arena
  network-auth-type redirect-url "https://portal.purple.ai"
  ip-type ipv4-nat ipv6-no-address
  1. Cree el perfil del consorcio de roaming y añada el OI de OpenRoaming sin liquidación (5A-03-BE-00-00):
wireless profile roaming openroaming-roaming-profile
  roaming-consortium-oi 5A03BE0000
  1. Configure el perfil de Hotspot 2.0 (Passpoint):
wireless profile hotspot openroaming-hotspot-profile
  anqp-server-profile openroaming-anqp-profile
  roaming-consortium-profile openroaming-roaming-profile
  hessid 00:11:22:33:44:55
  1. Aplique el perfil de Hotspot al perfil de WLAN de destino:
wlan openroaming-wlan 1 openroaming-ssid
  security wpa wpa3
  security wpa akm eap
  hotspot-profile openroaming-hotspot-profile
  no shutdown
  1. Verifique la configuración mediante la CLI:
show wireless profile hotspot detailed openroaming-hotspot-profile
Comentario del examinador: El candidato identificó correctamente la separación de los perfiles ANQP, Roaming y Hotspot en la plataforma Cisco Catalyst 9800. Un error común es omitir el HESSID, que es necesario para que el cliente tome las decisiones de roaming adecuadas. El uso del formato hexadecimal correcto para el OI del consorcio de roaming (5A03BE0000) es crítico, ya que un formato incorrecto impedirá la coincidencia de clientes.

Una cadena minorista con varias sedes desea migrar de un Captive Portal tradicional a un modelo híbrido. Desean utilizar OpenRoaming para una conexión fluida y, al mismo tiempo, utilizar la plataforma de analítica de Purple para rastrear el comportamiento de los visitantes y realizar campañas personalizadas basadas en el tiempo de permanencia.

La solución requiere configurar un proxy RadSec para enrutar las solicitudes de autenticación a la federación de OpenRoaming, enviando simultáneamente los datos de contabilidad a la plataforma en la nube de Purple.

  1. Configure el proxy RadSec local (por ejemplo, FreeRADIUS) para establecer una conexión TLS con la pasarela de OpenRoaming:
home_server openroaming_radsec {
  type = auth+acct
  ipaddr = radsec.openroaming.org
  port = 2083
  proto = tcp
  tls {
    private_key_file = /etc/raddb/certs/radsec.key
    certificate_file = /etc/raddb/certs/radsec.pem
    ca_file = /etc/raddb/certs/wba_ca.pem
  }
}
  1. Configure el servidor de contabilidad para duplicar los paquetes de contabilidad y reenviarlos a los extremos de contabilidad RADIUS de Purple:
home_server purple_accounting {
  type = acct
  ipaddr = acct.purpleportal.net
  port = 1813
  secret = PurpleSharedSecret
}

realm openroaming {
  auth_pool = openroaming_radsec
  acct_pool = purple_accounting
}
  1. En el WLC, asegúrese de que la contabilidad RADIUS esté habilitada y configurada para enviar actualizaciones provisionales cada 300 segundos. Esto garantiza que Purple reciba continuamente datos sobre el tiempo de permanencia, incluso si el usuario no abre el navegador de forma activa.
Comentario del examinador: Esta arquitectura híbrida es muy eficaz. Al enrutar la autenticación a la federación OpenRoaming y duplicar los datos de contabilidad a Purple, el minorista logra una incorporación segura y automática, al tiempo que mantiene una visibilidad total de los análisis de visitantes. La clave del éxito aquí es la configuración del proxy RadSec para gestionar el enrutamiento a doble destino.

Preguntas de práctica

Q1. Un ingeniero de redes nota que los dispositivos Android se conectan automáticamente al SSID de OpenRoaming, pero los dispositivos iOS solicitan a los usuarios que seleccionen manualmente la red. ¿Cuál es la causa más probable de este comportamiento?

Sugerencia: Considere cómo se aprovisionan y confían los perfiles en los diferentes sistemas operativos móviles.

Ver respuesta modelo

La causa más probable es que los dispositivos iOS no tengan instalado el perfil de OpenRoaming requerido, o que el sistema iOS no confíe en la carga útil del certificado del perfil. Los dispositivos Android suelen venir con perfiles de OpenRoaming preinstalados de los fabricantes de dispositivos o de las configuraciones de los operadores. iOS requiere la instalación explícita del perfil a través de un MDM, una aplicación de aprovisionamiento o un portal como Purple para confiar en la CA raíz y asociar el Roaming Consortium OI con el SSID.

Q2. Durante una captura de paquetes en la interfaz WAN de un proxy RadSec, observa paquetes TCP SYN enviados al puerto 2083, pero no se recibe ningún SYN-ACK. ¿Qué pasos de resolución de problemas debería seguir?

Sugerencia: Concéntrese en la ruta de red y las configuraciones de firewall.

Ver respuesta modelo
  1. Verifique que la política de firewall saliente permita el tráfico del puerto TCP 2083 desde la IP del proxy RadSec hacia la pasarela de OpenRoaming de destino.
  2. Compruebe si hay un dispositivo de seguridad intermedio (como un IPS o un firewall de inspección profunda de paquetes) que esté bloqueando o descartando el tráfico.
  3. Confirme que la dirección IP de destino resuelta mediante registros DNS NAPTR sea correcta y accesible.
  4. Realice un traceroute para identificar dónde se está produciendo la pérdida de paquetes en la ruta de tránsito.

Q3. ¿Por qué se considera una práctica recomendada la consolidación de SSID al implementar Passpoint y OpenRoaming, y cuál es el impacto técnico de ignorar esta recomendación?

Sugerencia: Piense en la eficiencia del tiempo de transmisión en el aire y la sobrecarga de balizas (beacons).

Ver respuesta modelo

La consolidación de SSID es fundamental porque cada SSID configurado en un AP debe transmitir sus propias tramas de baliza (beacon frames), normalmente a la tasa de datos obligatoria más baja admitida. Crear un SSID dedicado para Passpoint/OpenRoaming aumenta la sobrecarga de balizas, lo que consume un valioso tiempo de transmisión y reduce la capacidad general de la red. Al consolidar Passpoint en un SSID corporativo seguro existente, el AP anuncia los parámetros 802.11u dentro de las tramas de baliza existentes, preservando el tiempo de transmisión y manteniendo una eficiencia de canal óptima.

Continúe leyendo esta serie

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Esta guía de referencia técnica describe la arquitectura, configuración y despliegue de la autenticación RADIUS para redes WiFi empresariales de invitados y de personal. Proporciona a los arquitectos de redes y responsables de TI los protocolos exactos, los estándares de seguridad y las metodologías de resolución de problemas necesarios para crear sistemas de control de acceso inalámbrico seguros y escalables.

Leer la guía →

Cómo implementar SCEP para un BYOD seguro y registro de red en educación superior

Esta guía técnica proporciona a arquitectos de red y directores de TI un plan de acción independiente del proveedor para desplegar el registro de certificados basado en SCEP para proteger las redes de campus de educación superior. Detalla cómo migrar de PEAP basado en contraseñas a 802.1X EAP-TLS, automatizar la incorporación de BYOD y aplicar una segmentación robusta de VLAN.

Leer la guía →

Server RADIUS: una guía completa para empresas

Esta guía proporciona a directores de TI, arquitectos de redes y directores de tecnología (CTO) una referencia técnica definitiva sobre la autenticación mediante server RADIUS para WiFi empresarial. Cubre el marco AAA, la arquitectura 802.1X, la selección del método EAP, las ventajas y desventajas del despliegue en la nube frente a local y la asignación dinámica de VLAN. Los operadores de recintos del sector de la hostelería, retail, eventos y el sector público encontrarán pautas de implementación prácticas, casos de estudio reales y los marcos de decisión necesarios para migrar de claves precompartidas no seguras a una arquitectura de control de acceso a la red segura y basada en la identidad.

Leer la guía →