Saltar al contenido principal

Passpoint y OpenRoaming: Guía completa

Esta guía de referencia técnica proporciona un análisis exhaustivo de los frameworks Passpoint (Hotspot 2.0) y WBA OpenRoaming dentro de las redes WiFi empresariales. Detalla los protocolos de autenticación subyacentes, los componentes arquitectónicos y las estrategias de despliegue requeridas para establecer una conectividad de invitados segura y sin fricciones. Los arquitectos de red y los líderes de TI aprenderán a diseñar, implementar y solucionar problemas de estos estándares para eliminar las barreras de inicio de sesión manual mientras se mantiene la seguridad de nivel empresarial.

📖 6 min de lectura📝 1,277 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

📚 Parte de nuestra serie principal: WiFi multi-tenant

Resumen Ejecutivo

Las demandas de conectividad empresarial han pasado del acceso de invitados manual basado en un Captive Portal a una incorporación automatizada, segura y sin fricciones. Passpoint (definido por la Wi-Fi Alliance como Hotspot 2.0) y OpenRoaming (orquestado por la Wireless Broadband Alliance) representan la estandarización de este cambio. Al utilizar protocolos IEEE 802.11u y seguridad WPA3-Enterprise, estas tecnologías permiten que los dispositivos móviles descubran, se autentiquen y se conecten a redes WiFi seguras de forma automática sin la intervención del usuario.

Esta guía sirve como referencia autorizada para arquitectos de red y directores de TI que planean implementar estas tecnologías en entornos de gran escala, espacios comerciales y campus corporativos. Examinamos los intercambios criptográficos subyacentes, la arquitectura de federación y los pasos de configuración prácticos requeridos para integrar estos estándares en la infraestructura inalámbrica existente. Al adoptar estos marcos de trabajo, las organizaciones pueden eliminar la fricción de los portales de invitados tradicionales mientras mejoran significativamente su postura de seguridad inalámbrica.

Análisis Técnico Detallado

Para entender Passpoint y OpenRoaming, primero se deben analizar los protocolos subyacentes que rigen su funcionamiento. En el núcleo de Passpoint se encuentra IEEE 802.11u, una enmienda al estándar 802.11 que permite a los dispositivos inalámbricos descubrir servicios de red antes de establecer una asociación.

Históricamente, un dispositivo cliente tenía que asociarse con un Punto de Acceso (AP) y obtener una dirección IP antes de poder consultar las capacidades de la red. Con 802.11u, este descubrimiento ocurre en el estado de preasociación utilizando consultas del Protocolo de Consulta de Red de Acceso (ANQP).

El Proceso de Descubrimiento 802.11u

Cuando un dispositivo compatible con Passpoint escanea el espectro radioeléctrico, detecta una baliza que contiene un elemento de Interworking. Este elemento indica que el AP es compatible con 802.11u y anuncia su tipo de red (por ejemplo, privada, pública gratuita, pública de pago). El dispositivo cliente envía entonces una consulta ANQP para solicitar parámetros específicos, tales como:

  • Identificadores de Organización de Consorcio de Roaming (OIs): Identificadores únicos globales asignados por el IEEE que representan socios de roaming o federaciones específicas.
  • Nombre y Grupo del Sitio: Metadatos que describen la ubicación física (por ejemplo, "Terminal 2" o "Estadio").
  • Disponibilidad del Tipo de Dirección IP: Información sobre si IPv4 o IPv6 está disponible, y si se aplica NAT.

Si el dispositivo cliente posee un perfil que contiene un OI de Consorcio de Roaming coincidente, inicia el proceso de autenticación sin preguntar al usuario.

Arquitectura de Federación OpenRoaming

OpenRoaming actúa como una capa de federación global sobre Passpoint. Establece una Infraestructura de Clave Pública (PKI) segura gestionada por la Wireless Broadband Alliance (WBA). Esta federación permite que los proveedores de identidad (IDPs) - como operadores de red móvil, fabricantes de dispositivos (Apple, Google) y sistemas de identidad empresarial - se conecten de forma segura con los proveedores de red.

La autenticación se ejecuta utilizando WPA3-Enterprise (o WPA2-Enterprise para compatibilidad con sistemas heredados) con Protected Extensible Authentication Protocol (PEAP) o Extensible Authentication Protocol-Transport Layer Security (EAP-TLS). El AP actúa como autenticador, encapsulando los paquetes EAP en paquetes RADIUS (Remote Authentication Dial-In User Service) o RadSec (RADIUS sobre TLS) y reenviándolos al proveedor de identidad.

RadSec es obligatorio en OpenRoaming para asegurar la comunicación entre el proxy RADIUS de la red local y los IDP globales a través de internet pública. RadSec utiliza el puerto TCP 2083 y cifrado TLS, garantizando que las credenciales de usuario y los atributos de autenticación permanezcan confidenciales durante el tránsito a través de proveedores de tránsito intermediarios.

Guía de Implementación

La implementación de Passpoint y OpenRoaming requiere un enfoque sistemático en el controlador inalámbrico (WLC), la infraestructura RADIUS y las configuraciones de DNS y firewall.

Paso 1: Auditoría de la Infraestructura de Red

Asegúrese de que sus AP y WLC sean compatibles con 802.11u y Passpoint versión 2 o 3. Verifique que su servidor RADIUS sea compatible con RadSec (RFC 6614). Si su servidor RADIUS heredado no es compatible con RadSec, debe implementar un proxy RadSec (como FreeRADIUS o un gateway dedicado) en su DMZ.

Paso 2: Configuración del Firewall

Abra el puerto TCP de salida 2083 para los servidores proxy RadSec de OpenRoaming. Asegúrese de que la resolución DNS esté configurada correctamente en sus servidores RADIUS, ya que RadSec depende de Dynamic Delegation Discovery System (DDDS) y registros NAPTR para ubicar el IDP correspondiente.

Paso 3: Adquisición de Certificados

Obtenga un certificado RadSec aprobado por la WBA de una Autoridad de Certificación (CA) autorizada. Este certificado es fundamental para la autenticación mTLS (TLS mutuo) entre su proxy RadSec local y los agentes de la federación de OpenRoaming.

Paso 4: Configuración del Controlador Inalámbrico

  1. Crear un SSID Seguro: Configure un nuevo SSID o modifique uno existente para utilizar WPA3-Enterprise (o el modo de transición WPA2/WPA3).
  2. Habilitar 802.11u (Interworking): Habilite la función de Interworking en el SSID.
  3. Configurar el HESSID: Establezca el ESSID Homogéneo, que suele ser la dirección MAC de una de las radios del AP, para identificar de forma única al grupo de red.
  4. Agregar OIs de Consorcio de Roaming: Agregue los OI de Consorcio de Roaming de OpenRoaming. Los OI estándar son:
    • 5A-03-BE-00-00 (Libre de liquidación, identidades verificadas por Google, Apple o proveedores de telefonía móvil)
    • 5A-03-BE-00-01 (Liquidado, para acuerdos de roaming comercial)
  5. Configurar Parámetros ANQP: Defina el Nombre del Lugar (Venue Name), el Grupo de Lugar (Venue Group) y el Tipo de Red.

Paso 5: Configuración del Proxy RADIUS/RadSec

Configure su servidor RADIUS local para que actúe como un proxy RadSec. Defina reglas de enrutamiento que reenvíen las solicitudes de autenticación que contengan los OI de OpenRoaming o patrones de dominio específicos al gateway RadSec de OpenRoaming.

Mejores Prácticas

Para garantizar una implementación estable y de alto rendimiento, siga las siguientes recomendaciones estándar de la industria:

  • Consolidación de SSID: No cree un SSID dedicado para Passpoint u OpenRoaming. En su lugar, combínelos en un solo SSID empresarial seguro. Esto minimiza la sobrecarga de beacons y conserva el valioso tiempo de transmisión.
  • Gestión de Certificados: Implemente procesos automatizados de renovación de certificados para sus certificados RadSec. Un certificado expirado detendrá inmediatamente todas las autenticaciones de OpenRoaming.
  • Planificación de Canales: Debido a que Passpoint depende de los intercambios ANQP previos a la asociación, los dispositivos cliente pasan más tiempo escaneando y realizando consultas. Optimice su planificación de canales de 5 GHz y 6 GHz para reducir la congestión y garantizar respuestas rápidas de sondeo.
  • Filtrado de Dominios: Implemente un filtrado estricto de dominios (realm filtering) en su proxy RadSec para evitar que el tráfico de autenticación innecesario sature la red de la federación. Solo reenvíe las solicitudes que coincidan con patrones válidos de OpenRoaming.
  • Alineación de la Experiencia del Usuario: Asegúrese de que la señalización física de su establecimiento y los materiales de marketing digital informen a los usuarios que pueden conectarse automáticamente a través de OpenRoaming, reduciendo la dependencia de SSIDs abiertos sin cifrar.

Solución de Problemas y Mitigación de Riesgos

Modos de Falla Comunes y Resoluciones

Problema: Los dispositivos cliente no se conectan automáticamente

  • Causa Raíz: Falta o configuración incorrecta de las OIs de Roaming Consortium en el WLC, o el dispositivo cliente no tiene instalado el perfil correcto.
  • Mitigación: Utilice un analizador de paquetes para capturar las tramas de beacon y de respuesta de sondeo. Verifique que el elemento Interworking 802.11u contenga las OIs correctas. Asegúrese de que el perfil del cliente esté aprovisionado correctamente a través de un MDM o un portal de aprovisionamiento.

Problema: Fallas en la conexión RadSec

  • Causa Raíz: El firewall está bloqueando el puerto TCP 2083, o los certificados RadSec no son válidos o están expirados.
  • Mitigación: Realice una captura de paquetes en la interfaz WAN del proxy RADIUS. Verifique que el saludo TLS se complete con éxito. Compruebe el estado de la lista de revocación de certificados (CRL).

Problema: Alta latencia durante la autenticación

  • Causa Raíz: IDPs geográficamente distantes o resolución de DNS lenta para registros NAPTR.
  • Mitigación: Implemente el almacenamiento en caché local de los registros DNS y asegúrese de que su proxy RADIUS tenga rutas de baja latencia hacia los hubs regionales de OpenRoaming.

ROI e Impacto Comercial

La transición a Passpoint y OpenRoaming ofrece un valor comercial medible a través de tres vectores principales: eficiencia operativa, postura de seguridad e inteligencia de datos.

Eficiencia Operativa

Al automatizar el proceso de conexión, los establecimientos experimentan una reducción significativa en los tickets de soporte relacionados con WiFi para invitados. El personal de recepción y las mesas de ayuda de TI dedican menos tiempo a solucionar fallas del Captive Portal y problemas de contraseñas.

Postura de Seguridad

Las redes abiertas tradicionales para invitados exponen a los usuarios a la interceptación de datos y a ataques de intermediario (man-in-the-middle). Passpoint exige un cifrado de nivel empresarial (WPA2/WPA3-Enterprise), lo que protege todo el tráfico de transmisión inalámbrica. Esto protege tanto al usuario como al establecimiento de responsabilidades asociadas con violaciones de datos.

Inteligencia de datos

Al integrarse con plataformas como Purple, Passpoint permite a los establecimientos identificar a los visitantes recurrentes de forma fluida. Debido a que el dispositivo se conecta automáticamente, el establecimiento captura métricas precisas de tiempo de permanencia y frecuencia de visitas sin necesidad de que el usuario abra un navegador e inicie sesión repetidamente. Este flujo continuo de datos permite implementar estrategias de interacción en tiempo real altamente personalizadas.

Definiciones clave

Passpoint

Un programa de certificación de Wi-Fi Alliance (basado en Hotspot 2.0) que permite a los dispositivos móviles descubrir y conectarse automáticamente a redes WiFi con seguridad de nivel empresarial.

Constituye la base técnica para una incorporación fluida de invitados.

OpenRoaming

Una federación de roaming global creada por la Wireless Broadband Alliance (WBA) que permite a los usuarios conectarse de forma segura y automática a redes WiFi utilizando identidades confiables.

Actúa como la capa de políticas e identidad sobre Passpoint.

ANQP

Access Network Query Protocol. Un protocolo de consulta y respuesta utilizado por los dispositivos móviles para descubrir las capacidades de la red antes de asociarse con un AP.

Crucial para el descubrimiento previo a la asociación en 802.11u.

802.11u

Una enmienda al estándar IEEE 802.11 que añade funciones para la interoperabilidad con redes externas, permitiendo el descubrimiento previo a la asociación.

El estándar de capa física y MAC que hace posible Passpoint.

RadSec

RADIUS sobre TLS (RFC 6614). Un protocolo que protege los paquetes RADIUS encapsulándolos dentro de un túnel TLS sobre TCP.

Obligatorio para que OpenRoaming proteja el tráfico de autenticación a través de la internet pública.

Roaming Consortium OI

Roaming Consortium Organisation Identifier. Un identificador hexadecimal único asignado por el IEEE para identificar una federación o socio de roaming específico.

Utilizado por los AP para anunciar qué credenciales de roaming aceptan.

HESSID

Homogeneous ESSID. Una dirección MAC de 48 bits configurada en los AP para identificar un grupo de AP que pertenecen a la misma red o recinto.

Ayuda a los dispositivos clientes a comprender que varios AP pertenecen al mismo dominio administrativo.

EAP-TLS

Extensible Authentication Protocol-Transport Layer Security. Un protocolo de autenticación que utiliza certificados digitales para la autenticación mutua.

El método de autenticación más seguro compatible con Passpoint.

Ejemplos resueltos

Un despliegue a gran escala en un estadio requiere configurar un controlador inalámbrico Cisco Catalyst 9800 para que admita OpenRoaming (libre de liquidación) junto con los SSID corporativos existentes. El arquitecto de red debe asegurarse de que los dispositivos cliente descubran y se conecten automáticamente a la red utilizando los OI de consorcio de roaming correctos.

Para implementar esto en el Cisco Catalyst 9800 WLC, siga estos pasos de configuración:

  1. Defina el perfil del servidor ANQP:
wireless profile anqp openroaming-anqp-profile
  venue-name english "Stadium Main Bowl"
  venue-group assembly venue-type arena
  network-auth-type redirect-url "https://portal.purple.ai"
  ip-type ipv4-nat ipv6-no-address
  1. Cree el perfil de consorcio de roaming y agregue el OI de OpenRoaming libre de liquidación (5A-03-BE-00-00):
wireless profile roaming openroaming-roaming-profile
  roaming-consortium-oi 5A03BE0000
  1. Configure el perfil de Hotspot 2.0 (Passpoint):
wireless profile hotspot openroaming-hotspot-profile
  anqp-server-profile openroaming-anqp-profile
  roaming-consortium-profile openroaming-roaming-profile
  hessid 00:11:22:33:44:55
  1. Aplique el perfil de Hotspot al perfil de WLAN de destino:
wlan openroaming-wlan 1 openroaming-ssid
  security wpa wpa3
  security wpa akm eap
  hotspot-profile openroaming-hotspot-profile
  no shutdown
  1. Verifique la configuración utilizando la CLI:
show wireless profile hotspot detailed openroaming-hotspot-profile
Comentario del examinador: El candidato identificó correctamente la separación de los perfiles ANQP, Roaming y Hotspot en la plataforma Cisco Catalyst 9800. Un error común es omitir el HESSID, el cual es necesario para las decisiones de roaming adecuadas del cliente. El uso del formato hexadecimal correcto para el OI del consorcio de roaming (5A03BE0000) es crítico, ya que un formato incorrecto evitará la coincidencia con el cliente.

Una cadena minorista de múltiples sucursales desea migrar de un Captive Portal tradicional a un modelo híbrido. Desean utilizar OpenRoaming para una conexión fluida y al mismo tiempo utilizar la plataforma de analítica de Purple para rastrear el comportamiento de los visitantes y realizar campañas segmentadas basadas en el tiempo de permanencia.

La solución requiere configurar un proxy RadSec para enrutar las solicitudes de autenticación a la federación de OpenRoaming, enviando simultáneamente los datos de contabilidad a la plataforma en la nube de Purple.

  1. Configure el proxy RadSec local (por ejemplo, FreeRADIUS) para establecer una conexión TLS con la puerta de enlace de OpenRoaming:
home_server openroaming_radsec {
  type = auth+acct
  ipaddr = radsec.openroaming.org
  port = 2083
  proto = tcp
  tls {
    private_key_file = /etc/raddb/certs/radsec.key
    certificate_file = /etc/raddb/certs/radsec.pem
    ca_file = /etc/raddb/certs/wba_ca.pem
  }
}
  1. Configure el servidor de contabilidad para duplicar los paquetes de contabilidad y reenviarlos a los endpoints de contabilidad RADIUS de Purple:
home_server purple_accounting {
  type = acct
  ipaddr = acct.purpleportal.net
  port = 1813
  secret = PurpleSharedSecret
}

realm openroaming {
  auth_pool = openroaming_radsec
  acct_pool = purple_accounting
}
  1. En el WLC, asegúrese de que la contabilidad RADIUS esté habilitada y configurada para enviar actualizaciones interinas cada 300 segundos. Esto asegura que Purple reciba datos continuos del tiempo de permanencia, incluso si el usuario no abre un navegador de forma activa.
Comentario del examinador: Esta arquitectura híbrida es sumamente efectiva. Al dirigir la autenticación a la federación de OpenRoaming y duplicar los datos de contabilidad (accounting) a Purple, el minorista logra una incorporación segura y automática, al tiempo que mantiene una visibilidad total de los análisis de visitantes. La clave del éxito aquí es la configuración del proxy RadSec para gestionar el enrutamiento de doble destino.

Preguntas de práctica

Q1. ¿Un ingeniero de red nota que los dispositivos Android se conectan automáticamente al SSID de OpenRoaming, pero los dispositivos iOS solicitan a los usuarios que seleccionen manualmente la red. ¿Cuál es la causa más probable de este comportamiento?

Sugerencia: Considere cómo se aprovisionan y en qué medida se confía en los perfiles en los diferentes sistemas operativos móviles.

Ver respuesta modelo

La causa más probable es que los dispositivos iOS no tengan instalado el perfil de OpenRoaming requerido, o que iOS no confíe en el certificado del perfil. Los dispositivos Android a menudo vienen con perfiles de OpenRoaming preinstalados por los fabricantes de los dispositivos o las configuraciones de los operadores. iOS requiere la instalación explícita del perfil a través de un MDM, una aplicación de aprovisionamiento o un portal como Purple para confiar en la CA raíz y asociar el Roaming Consortium OI con el SSID.

Q2. Durante una captura de paquetes en la interfaz WAN de un proxy RadSec, observa paquetes TCP SYN enviados al puerto 2083, pero no se recibe ningún SYN-ACK. ¿Qué pasos de solución de problemas debe seguir?

Sugerencia: Concéntrese en la ruta de la red y las configuraciones del firewall.

Ver respuesta modelo
  1. Verifique que la política del firewall de salida permita el tráfico del puerto TCP 2083 desde la IP del proxy RadSec hacia la gateway de OpenRoaming de destino.
  2. Verifique si hay un dispositivo de seguridad intermedio (como un IPS o un firewall de inspección profunda de paquetes) que esté bloqueando o descartando el tráfico.
  3. Confirme que la dirección IP de destino resuelta a través de los registros DNS NAPTR sea correcta y accesible.
  4. Realice un traceroute para identificar dónde se está produciendo la pérdida de paquetes en la ruta de tránsito.

Q3. ¿Por qué se considera la consolidación de SSID una práctica recomendada al implementar Passpoint y OpenRoaming, y cuál es el impacto técnico de ignorar esta recomendación?

Sugerencia: Piense en la eficiencia del tiempo de aire y la sobrecarga de balizas (beacons).

Ver respuesta modelo

La consolidación de SSID es crítica porque cada SSID configurado en un AP debe transmitir sus propios tramas de beacon, generalmente a la tasa de datos obligatoria más baja compatible. Crear un SSID dedicado para Passpoint/OpenRoaming aumenta la sobrecarga de beacons, consumiendo valioso tiempo de transmisión (airtime) y reduciendo la capacidad general de la red. Al consolidar Passpoint en un SSID empresarial seguro existente, el AP anuncia los parámetros 802.11u dentro de las tramas de beacon existentes, preservando el tiempo de transmisión y manteniendo una eficiencia de canal óptima.

Continúe leyendo esta serie

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Esta guía de referencia técnica describe la arquitectura, configuración e implementación de la autenticación RADIUS para redes WiFi empresariales de invitados y empleados. Proporciona a los arquitectos de red y gerentes de TI los protocolos exactos, los estándares de seguridad y las metodologías de solución de problemas requeridas para crear sistemas de control de acceso inalámbrico seguros y escalables.

Leer la guía →

Cómo implementar SCEP para un BYOD seguro y el registro de redes en la educación superior

Esta guía técnica proporciona a los arquitectos de red y directores de TI un plan de acción independiente del proveedor para implementar el registro de certificados basado en SCEP para proteger las redes de campus de educación superior. Detalla cómo migrar de PEAP basado en contraseñas a 802.1X EAP-TLS, automatizar la incorporación de BYOD y aplicar una segmentación robusta de VLAN.

Leer la guía →

Server RADIUS: una guía completa para empresas

Esta guía proporciona a directores de TI, arquitectos de redes y directores de tecnología una referencia técnica definitiva sobre la autenticación de server RADIUS para WiFi empresarial. Abarca el marco AAA, la arquitectura 802.1X, la selección del método EAP, las ventajas y desventajas de la implementación en la nube frente a la local, y la asignación dinámica de VLAN. Los operadores de recintos en los sectores de hotelería, comercio minorista, eventos y el sector público encontrarán orientación de implementación práctica, casos de estudio del mundo real y los marcos de decisión necesarios para migrar de claves precompartidas inseguras a una arquitectura de control de acceso a la red segura y basada en la identidad.

Leer la guía →