Passer au contenu principal
Français

L'avenir de la connectivité fluide : Passpoint et OpenRoaming expliqués

Ce guide de référence technique fournit des informations exploitables pour les responsables informatiques sur la transition des Captive Portals traditionnels vers Passpoint et OpenRoaming. Il détaille les normes sous-jacentes IEEE 802.11u et WPA3, les flux d'authentification sécurisés et les stratégies de déploiement en conditions réelles pour améliorer la connectivité fluide, renforcer la sécurité et générer un ROI mesurable dans les espaces d'entreprise.

📖 5 min de lecture📝 1,207 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Bienvenue dans ce briefing technique de Purple. Je suis votre hôte, et aujourd'hui nous décryptons une transition critique dans la conception des réseaux d'entreprise : le passage des traditionnels Captive Portals vers Passpoint et OpenRoaming. Si vous êtes responsable informatique, architecte réseau ou directeur d'exploitation de site, ce briefing de dix minutes vous apportera les informations exploitables dont vous avez besoin pour évaluer et déployer ces technologies. Commençons par le contexte. Depuis quinze ans, le WiFi invité repose sur des Captive Portals. Un utilisateur entre dans un établissement, sélectionne un SSID, attend une page de connexion, saisit une adresse e-mail, accepte les conditions générales, et se connecte enfin. Ce point de friction n'est pas seulement une source d'agacement pour l'invité ; c'est une opportunité manquée pour le site. Nous constatons des taux d'abandon élevés, ce qui signifie que vous perdez l'occasion d'engager cet utilisateur ou de collecter des analyses. De plus, les Captive Portals transmettent le trafic de manière non chiffrée jusqu'à la connexion, créant ainsi une surface d'attaque importante. Passpoint, également connu sous le nom de Hotspot 2.0, change fondamentalement ce paradigme. Basé sur la norme IEEE 802.11u, Passpoint permet une découverte et une authentification réseau automatiques et sécurisées. Lorsqu'un appareil pénètre dans un espace équipé de Passpoint, il utilise le protocole ANQP (Access Network Query Protocol) pour interroger silencieusement le réseau. Il vérifie si le réseau prend en charge son fournisseur d'identité. S'il y a correspondance, l'appareil se connecte automatiquement à l'aide d'une authentification de classe entreprise EAP-TLS ou EAP-TTLS. L'utilisateur ne fait absolument rien. Cela fonctionne tout simplement, exactement comme l'itinérance cellulaire. Maintenant, où se situe OpenRoaming ? OpenRoaming est construit sur la base de Passpoint. Alors que Passpoint fournit la technologie sous-jacente, OpenRoaming, géré par la Wireless Broadband Alliance, crée la fédération mondiale. Il connecte les fournisseurs d'accès — comme les hôtels, les stades et les commerces de détail — aux fournisseurs d'identité, tels qu'Apple, Google, les opérateurs mobiles et les systèmes d'identité d'entreprise. Cela signifie qu'un invité peut s'authentifier sur votre site en utilisant son identité de confiance existante, sans que vous ayez à gérer une infrastructure RADIUS complexe ou à négocier des accords d'itinérance individuels. Plongeons dans l'architecture technique. L'écosystème comporte quatre niveaux. Premièrement, les appareils des utilisateurs finaux. Deuxièmement, les fournisseurs d'accès — c'est-à-dire le matériel de votre site. Troisièmement, le courtier de l'écosystème, qui est la fédération RADIUS OpenRoaming. Et quatrièmement, les fournisseurs d'identité. Lorsqu'un appareil tente de se connecter, la demande d'authentification est transmise de manière sécurisée via la fédération au fournisseur d'identité de l'utilisateur. Élément crucial, cette communication est sécurisée à l'aide de RadSec, qui est du RADIUS sur TLS, garantissant que le trafic d'authentification ne peut pas être intercepté. D'un point de vue sécurité, les avantages sont profonds. Avec OpenRoaming, le chiffrement WPA3 est établi dès le tout premier paquet. Il y a une authentification mutuelle ; l'appareil vérifie le certificat du réseau avant de se connecter, éliminant ainsi complètement le risque d'attaques de type « evil twin ». Et comme il utilise l'authentification EAP, les identifiants des utilisateurs ne quittent jamais réellement le fournisseur d'identité. Le site reçoit simplement un jeton anonymisé. Alors, comment mettre cela en œuvre dans le monde réel ? Prenons le scénario de l'hôtellerie. Une chaîne hôtelière mondiale souhaite améliorer la connectivité de ses clients tout en stimulant l'adoption de son application de fidélité. L'approche traditionnelle consisterait à utiliser un Captive Portal intégré à leur système de gestion d'établissement. L'approche moderne consiste à déployer Passpoint intégré à OpenRoaming. Le déploiement se fait par étapes. Tout d'abord, vous configurez votre contrôleur LAN sans fil pour diffuser l'identifiant unique d'organisation (OUI) d'OpenRoaming. Vous établissez ensuite un tunnel RadSec sécurisé vers un fournisseur RADIUS cloud faisant partie de la fédération WBA. Une fois configuré, tout client disposant d'un profil OpenRoaming sur son appareil se connecte instantanément. Mais c'est là que le retour sur investissement se concrétise. L'hôtel peut configurer des profils Passpoint directement via son application de fidélité. Lorsqu'un client télécharge l'application, le profil est installé. À partir de ce moment, chaque fois qu'il entre dans un établissement de la chaîne, il se connecte automatiquement. Cela fournit au site des données de localisation persistantes et anonymisées, permettant un engagement basé sur la proximité. Si un client passe à proximité du spa, vous pouvez déclencher une offre ciblée via l'application. Pour les environnements de vente au détail, les avantages sont tout aussi convaincants. Les Captive Portals à forte friction incitent souvent les acheteurs à abandonner la connexion WiFi, ce qui signifie que le détaillant perd de précieuses analyses de fréquentation. Avec OpenRoaming, la connexion est fluide, ce qui augmente considérablement le taux de connexion. Cela fournit des données précises sur les temps de séjour, les visites répétées et les parcours des clients dans le magasin, qui peuvent être corrélées avec les données des points de vente pour mesurer l'impact réel de l'agencement des magasins et des promotions. Quels sont les pièges courants à éviter lors du déploiement ? Le problème le plus fréquent que nous constatons est une mauvaise gestion des certificats. Comme OpenRoaming repose fortement sur l'EAP-TLS et l'authentification mutuelle, votre infrastructure à clés publiques (PKI) doit être robuste. Assurez-vous d'utiliser des certificats provenant d'autorités de confiance et que vos processus de renouvellement automatique fonctionnent correctement. Un autre piège consiste à négliger l'expérience d'intégration des utilisateurs non fédérés. Bien qu'OpenRoaming gère les utilisateurs disposant de profils existants, vous avez toujours besoin d'un moyen fluide d'intégrer les nouveaux utilisateurs. C'est là qu'intervient un serveur d'inscription en ligne (OSU), permettant aux utilisateurs de configurer un profil de manière sécurisée lors de leur première visite. Passons à une session de questions-réponses rapide basée sur les questions les plus courantes que nous recevons de la part des architectes réseau. Question un : OpenRoaming remplace-t-il entièrement mon Captive Portal ? Réponse : Pas immédiatement. La plupart des établissements adoptent un modèle hybride pendant la transition. Vous diffusez votre ancien SSID ouvert avec le Captive Portal en parallèle du SSID compatible Passpoint. Au fil du temps, à mesure que de plus en plus d'appareils prennent en charge OpenRoaming de manière native, vous pouvez supprimer progressivement le réseau ouvert. Question deux : De quel matériel ai-je besoin ? Réponse : La bonne nouvelle est que la plupart des points d'accès de classe entreprise sortis au cours des cinq dernières années prennent en charge Passpoint et la norme 802.11u. Vous n'avez probablement pas besoin d'une mise à niveau matérielle complète. Les modifications concernent principalement la configuration du contrôleur et le backend RADIUS. Question trois : Les données de localisation sont-elles conformes au GDPR ? Réponse : Oui, à condition de les traiter correctement. OpenRoaming utilise des identifiants anonymisés. L'établissement ne reçoit pas l'e-mail personnel ou le numéro de téléphone de l'utilisateur de la part du fournisseur d'identité, mais uniquement un jeton persistant. Cela simplifie en réalité la conformité par rapport au stockage de données personnelles collectées via un Captive Portal. En résumé, Passpoint et OpenRoaming représentent l'avenir du WiFi d'entreprise. Ils éliminent les frictions des Captive Portals, améliorent considérablement la sécurité grâce au WPA3 et à l'authentification mutuelle, et libèrent une valeur commerciale significative grâce à des taux de connexion plus élevés et de meilleures analyses. Vos prochaines étapes consistent à auditer votre infrastructure sans fil actuelle pour vérifier sa compatibilité avec Passpoint, à évaluer les fournisseurs de RADIUS cloud qui prennent en charge la fédération WBA OpenRoaming, et à lancer un déploiement pilote dans un environnement contrôlé, tel qu'une seule succursale de vente au détail ou une aile de conférence d'un hôtel. Merci d'avoir écouté ce briefing technique Purple. Pour des guides d'implémentation plus détaillés et des schémas d'architecture, veuillez vous référer au guide écrit complet qui accompagne ce podcast.

header_image.png

Résumé exécutif

Depuis une décennie, le WiFi invité repose sur les Captive Portals — un modèle fastidieux qui frustre les utilisateurs, dégrade l'image de marque et introduit d'importantes vulnérabilités de sécurité. Alors que les établissements des secteurs de l' Hôtellerie , du Commerce de détail et du secteur public exigent des taux de connexion plus élevés pour alimenter le WiFi Analytics et les services basés sur la localisation, l'industrie évolue vers une connectivité fluide, similaire à celle du réseau cellulaire.

Passpoint (Hotspot 2.0) et OpenRoaming représentent l'avenir définitif de l'accès sans fil d'entreprise. Conçu sur la norme IEEE 802.11u et géré par la Wireless Broadband Alliance (WBA), cet écosystème permet une authentification sécurisée (WPA3) sans contact. En fédérant les fournisseurs d'identité (comme Apple, Google et les opérateurs mobiles) avec les réseaux d'accès, les établissements peuvent connecter automatiquement les invités sans sélection manuelle de l'SSID ni page de connexion. Ce guide fournit une feuille de route pratique et neutre vis-à-vis des fournisseurs pour aider les responsables informatiques et les architectes réseau à évaluer, concevoir et déployer Passpoint et OpenRoaming, transformant ainsi le WiFi invité d'un centre de coûts en un actif sécurisé et riche en données.

Analyse technique approfondie

L'architecture Passpoint et OpenRoaming

Pour comprendre cette transition, nous devons distinguer la technologie sous-jacente de la fédération qui permet de la déployer à grande échelle.

Passpoint (Hotspot 2.0) est une certification de la Wi-Fi Alliance basée sur la norme IEEE 802.11u. Elle définit le mécanisme permettant aux appareils de découvrir et de s'authentifier automatiquement sur les réseaux. Le protocole central est l'Access Network Query Protocol (ANQP), qui permet à un appareil client d'interroger un point d'accès (AP) avant de s'y associer. L'appareil compare les identifiants uniques d'organisation de consortium d'itinérance (OUI) diffusés par l'AP avec ses profils configurés localement. Si une correspondance est trouvée, l'appareil lance une connexion EAP (Extensible Authentication Protocol), généralement EAP-TLS ou EAP-TTLS.

OpenRoaming est la fédération mondiale construite au-dessus de Passpoint. Tandis que Passpoint gère l'interaction locale entre l'appareil et l'AP, OpenRoaming fournit l'infrastructure de proxy RADIUS qui connecte des millions d'AP à des milliers de fournisseurs d'identité (IdP). Cela évite aux établissements d'avoir à négocier des accords d'itinérance individuels ou à gérer une infrastructure à clés publiques (PKI) complexe pour les invités externes.

architecture_overview.png

Changement de paradigme en matière de sécurité

Les réseaux ouverts traditionnels avec Captive Portals transmettent les données de manière non chiffrée jusqu'à ce que l'utilisateur termine le processus de connexion. Cela expose les utilisateurs aux attaques de type « evil twin » (jumeau maléfique), où des acteurs malveillants usurpent l'SSID de l'établissement pour collecter des identifiants.

Passpoint modifie fondamentalement ce profil de risque. L'authentification s'effectuant via 802.1X, la connexion est sécurisée par un chiffrement WPA2-Enterprise ou WPA3-Enterprise dès le tout premier paquet. De plus, l'authentification mutuelle inhérente à EAP-TLS signifie que l'appareil vérifie le certificat du réseau avant d'envoyer la moindre information d'identification, neutralisant ainsi efficacement les vulnérabilités de type « evil twin ». Comme détaillé dans notre guide sur l'évaluation de la posture des appareils pour le contrôle d'accès réseau ( Device Posture Assessment for Network Access Control ), l'établissement de la confiance de l'appareil est primordial, et Passpoint l'impose dès la périphérie.

comparison_chart.png

Guide d'implémentation

Le déploiement d'OpenRoaming nécessite une coordination entre votre contrôleur LAN sans fil (WLC), votre infrastructure RADIUS et la fédération WBA. Les étapes indépendantes de tout fournisseur présentées ci-dessous décrivent un déploiement d'entreprise standard.

Étape 1 : Évaluation de la préparation de l'infrastructure

Avant la configuration, vérifiez que votre matériel existant prend en charge les normes requises. La plupart des points d'accès d'entreprise (par exemple, Cisco, Aruba, Ruckus) sortis au cours des cinq dernières années prennent en charge nativement 802.11u et Passpoint. Assurez-vous que le micrologiciel de votre WLC est mis à jour pour prendre en charge le WPA3 et les trames de gestion protégées (PMF), qui sont obligatoires pour Passpoint Release 3.

Étape 2 : Intégration RADIUS et Fédération

Le point d'intégration critique consiste à connecter votre réseau local à la fédération OpenRoaming. Ceci est réalisé en établissant une connexion proxy RADIUS sécurisée.

  1. Sélectionner un fournisseur Cloud RADIUS : Choisissez un fournisseur qui est un courtier certifié de l'écosystème OpenRoaming (par exemple, IronWiFi, Cisco Spaces).
  2. Établir des tunnels RadSec : Configurez votre WLC pour transférer les demandes d'authentification au serveur RADIUS cloud à l'aide de RadSec (RADIUS sur TLS). Cela sécurise le trafic d'authentification sur Internet. Pour une configuration détaillée, reportez-vous à RadSec : Sécurisation du trafic d'authentification RADIUS avec TLS .
  3. Configurer le routage des domaines (Realms) : Configurez des règles de routage sur le serveur RADIUS pour transférer les demandes correspondant aux domaines OpenRoaming (par exemple, apple.openroaming.net) vers la fédération WBA.

Étape 3 : Configuration du WLAN

Configurez l'SSID spécifique sur votre WLC pour diffuser les éléments ANQP nécessaires.

  1. Activer le 802.11u : Activez les fonctionnalités Hotspot 2.0/Passpoint pour le WLAN cible.
  2. Définir les OUI du consortium d'itinérance : Ajoutez les OUI spécifiques fournis par la WBA (par exemple, 5A-03-BA pour OpenRoaming-Settlement-Free) à la balise (beacon) du point d'accès.
  3. Configurer la sécurité : Définissez la sécurité de couche 2 sur WPA2/WPA3-Enterprise avec authentification 802.1X.

Étape 4 : Stratégie d'intégration des utilisateurs

Bien que les utilisateurs fédérés (par exemple, ceux disposant de profils Apple ou Google) se connectent automatiquement, vous devez anticiper le cas des utilisateurs qui ne possèdent pas de profil préexistant. Implémentez un serveur d'inscription en ligne (OSU) ou intégrez l'approvisionnement de profils dans l'application mobile de votre établissement. Cela permet aux utilisateurs de télécharger un profil Passpoint lors de leur première visite, garantissant ainsi une connectivité fluide pour toutes les visites ultérieures.

Bonnes pratiques

  • Maintenir une approche hybride pendant la transition : Ne désactivez pas immédiatement votre Captive Portal existant. Diffusez le SSID compatible Passpoint en parallèle de votre réseau Guest WiFi ouvert pour prendre en charge les appareils plus anciens et les utilisateurs sans profil. Surveillez les taux de connexion pour déterminer à quel moment le réseau ouvert peut être retiré en toute sécurité.
  • Prioriser RadSec : Ne transmettez jamais de trafic RADIUS non chiffré sur Internet. Utilisez toujours RadSec pour sécuriser la communication entre votre WLC et le fournisseur RADIUS cloud.
  • Tirer parti de l'intégration applicative : Pour les secteurs de l'hôtellerie et du commerce de détail, intégrez l'approvisionnement du profil Passpoint au sein de l'application de fidélité de votre marque. Cela garantit une authentification sécurisée de l'utilisateur tout en liant directement sa présence sur le réseau à son profil client.
  • Surveiller l'expiration des certificats : Passpoint repose fortement sur l'infrastructure PKI. Mettez en place une surveillance et des alertes automatisées pour tous les certificats RADIUS et de serveurs web afin d'éviter les échecs d'authentification soudains.

Dépannage et atténuation des risques

Lors du déploiement de Passpoint, les équipes informatiques rencontrent généralement des types de pannes spécifiques. Comprendre ces risques est crucial pour un déploiement réussi.

  • Problèmes de délai d'attente ANQP : Si les points d'accès sont surchargés ou si le contrôleur est ralenti, les réponses ANQP peuvent expirer, empêchant les appareils de détecter le réseau. Atténuation : Assurez-vous que les points d'accès sont correctement dimensionnés et surveillez l'utilisation du processeur du plan de contrôle. Pour les environnements à haute densité, envisagez d'optimiser les intervalles de balisage (beacon intervals).
  • Échecs de confiance des certificats : Si l'appareil client ne fait pas confiance à l'autorité de certification racine (Root CA) qui a signé le certificat du serveur RADIUS, la liaison EAP-TLS échouera silencieusement. Atténuation : Utilisez toujours des certificats émis par des autorités de certification publiques largement reconnues (par exemple, DigiCert, Let's Encrypt) pour les serveurs RADIUS publics. Évitez les certificats auto-signés pour l'accès invité.
  • Pertes de connectivité RadSec : Les pare-feu ou les problèmes de routage intermédiaire peuvent couper la connexion TCP requise pour RadSec. Atténuation : Mettez en place une surveillance robuste de l'état du tunnel RadSec et configurez des serveurs RADIUS secondaires pour le basculement.

ROI et impact commercial

La transition vers Passpoint et OpenRoaming n'est pas une simple mise à niveau informatique ; c'est un levier commercial stratégique. En éliminant les frictions liées aux Captive Portals, les établissements constatent des améliorations immédiates de leurs indicateurs clés.

  • Taux d'association accrus : Les établissements constatent généralement une augmentation de 40 à 60 % du nombre d'appareils se connectant au réseau. Cela élargit directement la taille de l'échantillon pour WiFi Analytics et Sensors , fournissant des données plus précises sur la fréquentation et le temps de visite.
  • Engagement client amélioré : Dans le commerce de détail et l'hôtellerie, la connectivité fluide permet aux établissements de déclencher des notifications géolocalisées via leurs applications dès qu'un client franchit la porte, générant un engagement immédiat.
  • Réduction des coûts de support : L'élimination des Captive Portals réduit considérablement les tickets d'assistance liés aux échecs de connexion, aux redirections de navigateur et aux mots de passe oubliés, libérant ainsi des ressources informatiques.
  • Monétisation des données : En s'intégrant aux plateformes de Wayfinding et de fidélisation, les établissements peuvent corréler la présence physique avec le comportement d'achat, fournissant des informations exploitables qui justifient l'investissement réseau.

Écoutez notre présentation complète sur ce sujet :

Définitions clés

Passpoint (Hotspot 2.0)

Une certification de la Wi-Fi Alliance basée sur la norme IEEE 802.11u qui permet aux appareils de découvrir automatiquement et de se connecter en toute sécurité aux réseaux Wi-Fi sans intervention de l'utilisateur.

Les équipes informatiques déploient Passpoint pour remplacer les anciens Captive Portals, offrant ainsi une expérience d'itinérance similaire à celle du réseau cellulaire pour le WiFi d'entreprise et des invités.

OpenRoaming

Une fédération mondiale d'itinérance gérée par la Wireless Broadband Alliance (WBA) qui connecte les fournisseurs d'identité (IdP) aux réseaux d'accès à l'aide de la technologie Passpoint.

Les sites rejoignent OpenRoaming pour permettre aux invités de s'authentifier à l'aide de leurs identifiants existants (par exemple, Apple ID, Google, carte SIM d'opérateur) sans avoir à gérer de comptes locaux.

ANQP (Access Network Query Protocol)

Un protocole de couche 2 défini dans la norme 802.11u qui permet à un appareil client de demander des informations à un point d'accès (telles que les partenaires d'itinérance pris en charge) avant de s'associer au réseau.

L'ANQP est le mécanisme qui permet à un smartphone de « savoir » s'il peut se connecter à un réseau Passpoint de manière silencieuse en arrière-plan.

RadSec (RADIUS over TLS)

Un protocole qui sécurise le trafic d'authentification RADIUS en l'enveloppant dans un tunnel TLS, généralement en utilisant le port TCP 2083.

Indispensable pour les déploiements OpenRoaming afin de garantir que les demandes d'authentification envoyées depuis le site vers le fournisseur RADIUS cloud ne puissent pas être interceptées.

OUI (Organizationally Unique Identifier)

Un numéro de 24 bits qui identifie de manière unique un fournisseur, un fabricant ou une organisation, utilisé dans Passpoint pour identifier les consortiums d'itinérance pris en charge.

Les administrateurs réseau configurent des OUI spécifiques sur leurs WLC pour diffuser les fournisseurs d'identité ou les fédérations (comme OpenRoaming) pris en charge sur le site.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Un cadre d'authentification hautement sécurisé qui nécessite une authentification mutuelle basée sur des certificats entre le client et le serveur.

La référence absolue pour l'authentification Passpoint, garantissant que l'appareil de l'utilisateur et le réseau du site vérifient mutuellement leurs identités avant de se connecter.

OSU (Online Sign-Up)

Un mécanisme standardisé dans Passpoint Release 2 et versions ultérieures qui permet à un appareil d'obtenir en toute sécurité des identifiants réseau et un profil auprès d'un serveur de provisionnement.

Utilisé pour intégrer les nouveaux invités qui ne disposent pas encore d'un profil Passpoint installé sur leur appareil.

Evil Twin Attack

Une attaque sans fil dans laquelle un acteur malveillant configure un point d'accès pirate diffusant le même SSID qu'un réseau légitime pour intercepter le trafic et les identifiants des utilisateurs.

Passpoint élimine ce risque en exigeant que le réseau présente un certificat valide (authentification mutuelle) avant que l'appareil ne se connecte.

Exemples concrets

Une chaîne hôtelière mondiale comptant 200 établissements souhaite améliorer la connectivité de ses clients et accroître l'adoption de son application de fidélité. Les clients se plaignent actuellement de devoir se connecter au Captive Portal tous les jours de leur séjour, et les taux d'association sont faibles.

L'hôtel déploie Passpoint sur l'ensemble de ses propriétés. Au lieu d'un Captive Portal, il intègre le provisionnement de profils Passpoint dans son application de fidélité. Lorsqu'un client télécharge l'application et s'y connecte, un profil Passpoint est installé silencieusement sur son appareil. Les points d'accès sont configurés pour diffuser l'OUI spécifique du consortium de roaming de l'hôtel. Le contrôleur LAN sans fil (WLC) utilise RadSec pour transférer les demandes d'authentification à un fournisseur RADIUS cloud. Lorsque le client arrive dans n'importe quel établissement à l'échelle mondiale, son appareil détecte l'OUI, s'authentifie via EAP-TLS à l'aide du profil et se connecte instantanément avec un chiffrement WPA3.

Commentaire de l'examinateur : Cette approche résout à la fois les frictions de connectivité et l'objectif commercial. En liant l'accès au réseau à l'application, l'hôtel garantit une connexion sécurisée et de haute qualité tout en veillant à ce que le client reste engagé avec l'écosystème numérique de la marque. L'utilisation d'un OUI spécifique garantit que l'appareil se connecte uniquement au réseau de confiance de l'hôtel, limitant ainsi les risques de type "evil twin".

Un grand centre de conférences doit fournir un accès WiFi sécurisé à 10 000 participants. La gestion d'identifiants temporaires pour un événement de 3 jours via un Captive Portal est lourde sur le plan opérationnel et peu sécurisée.

Le site met en œuvre OpenRoaming. Il configure son WLC pour diffuser les OUI WBA OpenRoaming et établit une connexion RadSec vers un courtier de l'écosystème OpenRoaming. Les participants arrivant sur le site qui possèdent déjà un profil OpenRoaming (par exemple, via leur opérateur mobile ou un site visité précédemment) se connectent automatiquement. Pour les participants sans profil, le site propose des codes QR dans les espaces communs qui dirigent les utilisateurs vers un serveur d'inscription en ligne (OSU) pour télécharger un profil d'événement temporaire.

Commentaire de l'examinateur : Cela réduit considérablement la charge de travail informatique liée à la gestion des identifiants. En s'appuyant sur la fédération OpenRoaming, le site délègue la charge d'authentification aux fournisseurs d'identité existants des participants. L'alternative du code QR/OSU garantit qu'aucun participant ne se retrouve sans accès, maintenant ainsi une expérience fluide.

Questions d'entraînement

Q1. Vous êtes le directeur informatique d'une chaîne de magasins. Le marketing souhaite suivre avec précision les visites des clients réguliers grâce aux analyses WiFi, mais le réseau invité ouvert actuel avec un Captive Portal a un taux d'association de 15 %. Les clients se plaignent que la connexion prend trop de temps. Comment repensez-vous la stratégie d'accès au réseau pour atteindre les objectifs du marketing tout en améliorant l'expérience client ?

Conseil : Considérez comment vous pouvez lier l'authentification réseau à un actif que le client apprécie déjà, éliminant ainsi complètement les frictions liées au Captive Portal.

Voir la réponse type

Implémentez Passpoint et intégrez le provisionnement de profil dans l'application mobile de fidélité existante du détaillant. Lorsque les clients téléchargent ou mettent à jour l'application, le profil Passpoint est installé de manière transparente. En entrant dans n'importe quel magasin, leur appareil s'authentifie automatiquement via EAP-TLS. Cela élimine les frictions du Captive Portal, augmente considérablement le taux d'association (fournissant au marketing des données précises sur les visites répétées) et sécurise la connexion avec WPA3.

Q2. Lors d'un déploiement pilote d'OpenRoaming dans un stade, l'équipe réseau constate que bien que les demandes d'authentification atteignent le WLC local, elles ne parviennent pas à atteindre le fournisseur RADIUS cloud. L'équipe pare-feu confirme que les ports RADIUS standard (UDP 1812/1813) sont ouverts en sortie. Quelle est la cause la plus probable de cet échec ?

Conseil : Les courtiers de l'écosystème OpenRoaming imposent des communications sécurisées pour le trafic d'authentification sur Internet.

Voir la réponse type

Le WLC tente probablement d'envoyer du trafic RADIUS standard non chiffré, mais les déploiements OpenRoaming nécessitent RadSec (RADIUS sur TLS) pour la communication avec le courtier cloud. L'équipe pare-feu doit s'assurer que le port TCP 2083 (le port standard pour RadSec) est ouvert en sortie, et le WLC doit être configuré pour établir le tunnel TLS en utilisant les certificats appropriés.

Q3. Un hôpital souhaite déployer Passpoint pour offrir une itinérance fluide aux médecins se déplaçant entre le campus principal et les cliniques satellites. Cependant, le responsable de la sécurité des systèmes d'information (RSSI) s'inquiète des attaques de type « evil twin » (jumeau maléfique) où un acteur malveillant pourrait usurper l'SSID de l'hôpital dans un café voisin pour voler des identifiants. Comment Passpoint répond-il à cette préoccupation spécifique ?

Conseil : Concentrez-vous sur les méthodes EAP spécifiques utilisées dans Passpoint et sur la manière dont l'appareil client vérifie le réseau avant de transmettre des données.

Voir la réponse type

Passpoint atténue le risque de jumeau maléfique grâce à l'authentification mutuelle, généralement en utilisant EAP-TLS ou EAP-TTLS. Avant que l'appareil du médecin n'envoie des identifiants d'authentification, l'AP (via le serveur RADIUS) doit présenter un certificat numérique valide. L'appareil vérifie ce certificat par rapport à ses autorités de certification (CA) racines de confiance. Si un acteur malveillant usurpe l'SSID, il ne possédera pas la clé privée ou le certificat valide pour le serveur RADIUS de l'hôpital, et l'appareil interrompra silencieusement la connexion avant que des identifiants ne soient échangés.

Continuer la lecture de cette série

Gestion du WiFi pour les clients d'hôtels : Intégration du PMS, des portails et des normes de marque

Ce guide technique détaille comment concevoir des réseaux WiFi hôteliers de classe entreprise, en se concentrant sur la segmentation VLAN, l'intégration PMS pour la gestion automatisée des sessions et l'optimisation du Captive Portal pour une collecte de données conforme au GDPR.

Lire le guide →

Comment configurer un WiFi invité : Guide de configuration d'entreprise sécurisé

Ce guide de référence fournit aux responsables informatiques et aux architectes réseau un plan d'action définitif pour déployer un WiFi invité d'entreprise sécurisé. Il couvre l'architecture essentielle, la migration vers le WPA3, la segmentation VLAN et l'intégration de Captive Portal pour protéger les systèmes internes tout en collectant des données de première partie conformes.

Lire le guide →

Gestion de la bande passante pour le WiFi du personnel : lissage, QoS et réduction du trafic

Ce guide détaille les méthodes pratiques pour gérer la bande passante du WiFi du personnel dans les établissements d'entreprise. Il aborde le lissage du trafic, l'implémentation de la QoS et la manière dont le déploiement de Purple Shield réduit la charge réseau sans nécessiter de mise à niveau des infrastructures.

Lire le guide →