Passer au contenu principal

Passpoint et OpenRoaming : Le Guide Complet

Ce guide de référence technique fournit une analyse complète des frameworks Passpoint (Hotspot 2.0) et WBA OpenRoaming au sein des réseaux WiFi d'entreprise. Il détaille les protocoles d'authentification sous-jacents, les composants architecturaux et les stratégies de déploiement nécessaires pour établir une connectivité invité sécurisée et fluide. Les architectes réseau et les responsables informatiques apprendront à concevoir, implémenter et dépanner ces normes afin d'éliminer les obstacles à la connexion manuelle tout en maintenant une sécurité de niveau entreprise.

📖 6 min de lecture📝 1,277 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

📚 Fait partie de notre série principale : WiFi Multi-Tenant

Résumé opérationnel

Les exigences de connectivité en entreprise sont passées d'un accès invités manuel basé sur un Captive Portal à une intégration automatisée, sécurisée et sans friction. Passpoint (défini par la Wi-Fi Alliance sous le nom de Hotspot 2.0) et OpenRoaming (orchestré par la Wireless Broadband Alliance) représentent la standardisation de cette transition. En utilisant les protocoles IEEE 802.11u et la sécurité WPA3-Enterprise, ces technologies permettent aux appareils mobiles de découvrir, de s'authentifier et de se connecter automatiquement à des réseaux WiFi sécurisés sans intervention de l'utilisateur.

Ce guide sert de référence de confiance pour les architectes réseau et les directeurs informatiques qui prévoient de déployer ces technologies dans des espaces de grande envergure, des environnements de vente au détail et des campus d'entreprise. Nous examinons les liaisons cryptographiques sous-jacentes, l'architecture de fédération et les étapes de configuration pratiques nécessaires pour intégrer ces normes dans l'infrastructure sans fil existante. En adoptant ces frameworks, les organisations peuvent éliminer les frictions des portails invités traditionnels tout en améliorant considérablement leur niveau de sécurité sans fil.

Analyse technique approfondie

Pour comprendre Passpoint et OpenRoaming, il faut d'abord analyser les protocoles sous-jacents qui régissent leur fonctionnement. Au cœur de Passpoint se trouve la norme IEEE 802.11u, un amendement à la norme 802.11 qui permet aux appareils sans fil de découvrir les services réseau avant d'établir une association.

Historiquement, un appareil client devait s'associer à un point d'accès (AP) et obtenir une adresse IP avant de pouvoir interroger les capacités du réseau. Avec la norme 802.11u, cette découverte se produit dans l'état de pré-association à l'aide de requêtes ANQP (Access Network Query Protocol).

Le processus de découverte 802.11u

Lorsqu'un appareil compatible Passpoint scanne les ondes, il détecte une balise contenant un élément d'interfonctionnement. Cet élément signale que l'AP prend en charge la norme 802.11u et annonce son type de réseau (par exemple, privé, public gratuit, public payant). L'appareil client envoie ensuite une requête ANQP pour demander des paramètres spécifiques, tels que :

  • Roaming Consortium Organisation Identifiers (OI) : Identifiants uniques mondiaux attribués par l'IEEE qui représentent des partenaires d'itinérance ou des fédérations spécifiques.
  • Nom du lieu et groupe de lieux : Métadonnées décrivant l'emplacement physique (par exemple, "Terminal 2" ou "Stade").
  • Disponibilité du type d'adresse IP : Informations indiquant si l'IPv4 ou l'IPv6 est disponible, et si le NAT est appliqué.

Si l'appareil client possède un profil contenant un OI de Roaming Consortium correspondant, il lance le processus d'authentification sans solliciter l'utilisateur.

Architecture de la fédération OpenRoaming

OpenRoaming agit comme une couche de fédération mondiale au-dessus de Passpoint. Il établit une infrastructure à clés publiques (PKI) sécurisée gérée par la Wireless Broadband Alliance (WBA). Cette fédération permet aux fournisseurs d'identité (IDP) - tels que les opérateurs de réseaux mobiles, les fabricants d'appareils (Apple, Google) et les systèmes d'identité d'entreprise - de s'associer de manière sécurisée avec les fournisseurs de réseau.

L'authentification est exécutée via WPA3-Enterprise (ou WPA2-Enterprise pour la compatibilité avec les systèmes hérités) avec le protocole PEAP (Protected Extensible Authentication Protocol) ou EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). L'AP agit en tant qu'authentificateur, encapsulant les paquets EAP dans des paquets RADIUS (Remote Authentication Dial-In User Service) ou RadSec (RADIUS over TLS) et les transmettant au fournisseur d'identité.

RadSec est obligatoire dans OpenRoaming afin de sécuriser la communication entre le proxy RADIUS du réseau local et les IDP mondiaux sur l'internet public. RadSec utilise le port TCP 2083 et le chiffrement TLS, garantissant ainsi que les identifiants des utilisateurs et les attributs d'authentification restent confidentiels pendant le transit à travers les fournisseurs de transit intermédiaires.

Guide d'implémentation

Le déploiement de Passpoint et OpenRoaming nécessite une approche systématique à travers le contrôleur sans fil (WLC), l'infrastructure RADIUS et les configurations DNS/pare-feu.

Étape 1 : Audit de l'infrastructure réseau

Assurez-vous que vos AP et WLC prennent en charge les protocoles 802.11u et Passpoint version 2 ou 3. Vérifiez que votre serveur RADIUS prend en charge RadSec (RFC 6614). Si votre serveur RADIUS hérité ne prend pas en charge RadSec, vous devez déployer un proxy RadSec (tel que FreeRADIUS ou une passerelle dédiée) dans votre DMZ.

Étape 2 : Configuration du pare-feu

Ouvrez le port TCP sortant 2083 vers les serveurs proxy RadSec d'OpenRoaming. Assurez-vous que la résolution DNS est correctement configurée sur vos serveurs RADIUS, car RadSec s'appuie sur le système DDDS (Dynamic Delegation Discovery System) et les enregistrements NAPTR pour localiser l'IDP approprié.

Étape 3 : Acquisition de certificat

Obtenez un certificat RadSec approuvé par la WBA auprès d'une autorité de certification (CA) autorisée. Ce certificat est essentiel pour l'authentification TLS mutuelle (mTLS) entre votre proxy RadSec local et les courtiers de la fédération OpenRoaming.

Étape 4 : Configuration du contrôleur sans fil

  1. Créer un SSID sécurisé : Configurez un nouveau SSID ou modifiez un SSID existant pour utiliser le WPA3-Enterprise (ou le mode de transition WPA2/WPA3).
  2. Activer l'interfonctionnement 802.11u : Activez la fonctionnalité d'interfonctionnement (Interworking) sur le SSID.
  3. Configurer le HESSID : Définissez l'ESSID homogène (HESSID), généralement l'adresse MAC de l'une des radios de l'AP, afin d'identifier de manière unique le groupe de réseaux.
  4. Ajouter les OI de consortium d'itinérance : Ajoutez les OI du consortium d'itinérance OpenRoaming. Les OI standards sont :
    • 5A-03-BE-00-00 (Sans règlement financier, identités vérifiées par Google, Apple ou des opérateurs mobiles)
    • 5A-03-BE-00-01 (Avec règlement financier, pour les accords d'itinérance commerciale)
  5. Configurer les paramètres ANQP : Définissez le nom du lieu (Venue Name), le groupe de lieux (Venue Group) et le type de réseau (Network Type).

Étape 5 : Configuration du proxy RADIUS/RadSec

Configurez votre serveur RADIUS local pour qu'il agisse en tant que proxy RadSec. Définissez des règles de routage qui transfèrent les demandes d'authentification contenant les OI OpenRoaming ou des modèles de domaine spécifiques vers la passerelle RadSec OpenRoaming.

Bonnes pratiques

Pour garantir un déploiement stable et performant, conformez-vous aux recommandations standard de l'industrie suivantes :

  • Consolidation des SSID : Ne créez pas de SSID dédié pour Passpoint ou OpenRoaming. Combinez-les plutôt sur un seul SSID d'entreprise sécurisé. Cela minimise la surcharge de balises et conserve un temps d'antenne précieux.
  • Gestion des certificats : Mettez en œuvre des processus automatisés de renouvellement de certificats pour vos certificats RadSec. Un certificat expiré interrompra immédiatement toutes les authentifications OpenRoaming.
  • Planification des canaux : Comme Passpoint repose sur des échanges ANQP de pré-association, les appareils clients passent plus de temps à scanner et à interroger. Optimisez la planification de vos canaux 5 GHz et 6 GHz pour réduire la congestion et garantir des réponses rapides aux requêtes de sondage.
  • Filtrage des domaines : Implémentez un filtrage de domaine strict sur votre proxy RadSec pour empêcher le trafic d'authentification inutile d'inonder le réseau fédéré. Ne transmettez que les requêtes correspondant à des modèles OpenRoaming valides.
  • Harmonisation de l'expérience utilisateur : Assurez-vous que la signalisation physique de votre site et vos supports de marketing numérique informent les utilisateurs qu'ils peuvent se connecter automatiquement via OpenRoaming, réduisant ainsi la dépendance aux SSID ouverts non chiffrés.

Dépannage et atténuation des risques

Modes de défaillance courants et résolutions

Problème : Les appareils clients ne parviennent pas à se connecter automatiquement

  • Cause racine : OI du consortium d'itinérance manquants ou mal configurés sur le contrôleur LAN sans fil (WLC), ou l'appareil client n'a pas le bon profil installé.
  • Atténuation : Utilisez un analyseur de paquets pour capturer les trames de balise et de réponse de sondage. Vérifiez que l'élément d'interfonctionnement 802.11u contient les OI corrects. Assurez-vous que le profil du client est correctement provisionné via un MDM ou un portail de provisionnement.

Problème : Échecs de connexion RadSec

  • Cause racine : Pare-feu bloquant le port TCP 2083, ou certificats RadSec invalides ou expirés.
  • Atténuation : Effectuez une capture de paquets sur l'interface WAN du proxy RADIUS. Vérifiez que la liaison TLS s'établit avec succès. Vérifiez le statut de la liste de révocation de certificats (CRL).

Problème : Latence élevée lors de l'authentification

  • Cause racine : IDP géographiquement éloignés ou résolution DNS lente pour les enregistrements NAPTR.
  • Atténuation : Mettez en œuvre une mise en cache locale des enregistrements DNS et assurez-vous que votre proxy RADIUS dispose de chemins à faible latence vers les hubs régionaux OpenRoaming.

ROI et impact commercial

La transition vers Passpoint et OpenRoaming offre une valeur commerciale mesurable à travers trois vecteurs principaux : l'efficacité opérationnelle, la posture de sécurité et l'intelligence des données.

Efficacité opérationnelle

En automatisant le processus de connexion, les sites constatent une réduction significative des tickets d'assistance liés au WiFi invité. Le personnel d'accueil et les équipes d'assistance informatique passent moins de temps à résoudre les problèmes de portail captif et de mot de passe.

Posture de sécurité

Les réseaux d'invités ouverts traditionnels exposent les utilisateurs à l'écoute clandestine et aux attaques de type "man-in-the-middle". Passpoint impose un chiffrement de niveau entreprise (WPA2/WPA3-Enterprise), sécurisant ainsi tout le trafic radio. Cela protège à la fois l'utilisateur et le site contre les responsabilités liées aux violations de données.

Data Intelligence

Lorsqu'il est intégré à des plateformes comme Purple, Passpoint permet aux sites d'identifier les visiteurs récurrents de manière transparente. Comme l'appareil se connecte automatiquement, le site capture des métriques précises de temps de séjour et de fréquence de visite sans que l'utilisateur n'ait besoin d'ouvrir un navigateur et de se connecter à plusieurs reprises. Ce flux continu de données permet des stratégies d'engagement en temps réel hautement ciblées.

Définitions clés

Passpoint

Un programme de certification de la Wi-Fi Alliance (basé sur Hotspot 2.0) qui permet aux appareils mobiles de découvrir et de se connecter automatiquement à des réseaux WiFi avec une sécurité de niveau entreprise.

Il constitue le socle technique pour une intégration transparente des invités.

OpenRoaming

Une fédération mondiale d'itinérance créée par la Wireless Broadband Alliance (WBA) qui permet aux utilisateurs de se connecter de manière sécurisée et automatique aux réseaux WiFi à l'aide d'identités de confiance.

Il sert de couche de politique et d'identité au-dessus de Passpoint.

ANQP

Access Network Query Protocol. Un protocole de requête-réponse utilisé par les appareils mobiles pour découvrir les capacités du réseau avant de s'associer à un point d'accès.

Crucial pour la découverte de pré-association en 802.11u.

802.11u

Un amendement à la norme IEEE 802.11 qui ajoute des fonctionnalités d'interfonctionnement avec des réseaux externes, permettant la découverte de pré-association.

La norme de couche physique et MAC qui rend Passpoint possible.

RadSec

RADIUS sur TLS (RFC 6614). Un protocole qui sécurise les paquets RADIUS en les encapsulant dans un tunnel TLS sur TCP.

Obligatoire pour OpenRoaming afin de sécuriser le trafic d'authentification sur l'internet public.

Roaming Consortium OI

Roaming Consortium Organisation Identifier. Un identifiant hexadécimal unique attribué par l'IEEE pour identifier une fédération d'itinérance ou un partenaire spécifique.

Utilisé par les points d'accès pour annoncer les identifiants d'itinérance qu'ils acceptent.

HESSID

Homogeneous ESSID. Une adresse MAC de 48 bits configurée sur les points d'accès pour identifier un groupe de points d'accès appartenant au même réseau ou site.

Aide les appareils clients à comprendre que plusieurs points d'accès appartiennent au même domaine d'administration.

EAP-TLS

Extensible Authentication Protocol-Transport Layer Security. Un protocole d'authentification qui utilise des certificats numériques pour une authentification mutuelle.

La méthode d'authentification la plus sécurisée prise en charge par Passpoint.

Exemples concrets

Un déploiement à grande échelle dans un stade nécessite la configuration d'un contrôleur sans fil Cisco Catalyst 9800 pour prendre en charge OpenRoaming (sans frais de règlement - Settlement-Free) aux côtés des SSID d'entreprise existants. L'architecte réseau doit s'assurer que les appareils clients découvrent et se connectent automatiquement au réseau en utilisant les bons OI (Roaming Consortium OIs).

Pour implémenter cela sur le contrôleur Cisco Catalyst 9800 WLC, suivez ces étapes de configuration :

  1. Définir le profil de serveur ANQP :
wireless profile anqp openroaming-anqp-profile
  venue-name english "Stadium Main Bowl"
  venue-group assembly venue-type arena
  network-auth-type redirect-url "https://portal.purple.ai"
  ip-type ipv4-nat ipv6-no-address
  1. Créer le profil Roaming Consortium et ajouter l'OI OpenRoaming Settlement-Free (5A-03-BE-00-00) :
wireless profile roaming openroaming-roaming-profile
  roaming-consortium-oi 5A03BE0000
  1. Configurer le profil Hotspot 2.0 (Passpoint) :
wireless profile hotspot openroaming-hotspot-profile
  anqp-server-profile openroaming-anqp-profile
  roaming-consortium-profile openroaming-roaming-profile
  hessid 00:11:22:33:44:55
  1. Appliquer le profil Hotspot au profil WLAN cible :
wlan openroaming-wlan 1 openroaming-ssid
  security wpa wpa3
  security wpa akm eap
  hotspot-profile openroaming-hotspot-profile
  no shutdown
  1. Vérifier la configuration à l'aide de l'interface de ligne de commande (CLI) :
show wireless profile hotspot detailed openroaming-hotspot-profile
Commentaire de l'examinateur : Le candidat a correctement identifié la séparation des profils ANQP, Roaming et Hotspot sur la plateforme Cisco Catalyst 9800. Une erreur courante consiste à omettre le HESSID, qui est nécessaire pour les décisions de roaming des clients. L'utilisation du format hexadécimal correct pour l'OI du Roaming Consortium (5A03BE0000) est essentielle, car un formatage incorrect empêchera l'association des clients.

Une chaîne de magasins multi-sites souhaite migrer d'un Captive Portal traditionnel vers un modèle hybride. Ils souhaitent utiliser OpenRoaming pour une connexion fluide tout en utilisant la plateforme d'analyse de Purple pour suivre le comportement des visiteurs et mener des campagnes ciblées basées sur le temps de visite.

La solution nécessite la configuration d'un proxy RadSec pour acheminer les demandes d'authentification vers la fédération OpenRoaming tout en envoyant simultanément les données de comptabilité (accounting) à la plateforme cloud Purple.

  1. Configurer le proxy RadSec local (par exemple, FreeRADIUS) pour établir une connexion TLS avec la passerelle OpenRoaming :
home_server openroaming_radsec {
  type = auth+acct
  ipaddr = radsec.openroaming.org
  port = 2083
  proto = tcp
  tls {
    private_key_file = /etc/raddb/certs/radsec.key
    certificate_file = /etc/raddb/certs/radsec.pem
    ca_file = /etc/raddb/certs/wba_ca.pem
  }
}
  1. Configurer le serveur d'accounting pour dupliquer les paquets d'accounting et les transférer vers les endpoints d'accounting RADIUS de Purple :
home_server purple_accounting {
  type = acct
  ipaddr = acct.purpleportal.net
  port = 1813
  secret = PurpleSharedSecret
}

realm openroaming {
  auth_pool = openroaming_radsec
  acct_pool = purple_accounting
}
  1. Sur le WLC, assurez-vous que l'accounting RADIUS est activé et configuré pour envoyer des mises à jour intermédiaires toutes les 300 secondes. Cela garantit que Purple reçoit des données en continu sur le temps de visite, même si l'utilisateur n'ouvre pas activement un navigateur.
Commentaire de l'examinateur : Cette architecture hybride est extrêmement efficace. En acheminant l'authentification vers la fédération OpenRoaming et en dupliquant les données de comptabilisation vers Purple, le détaillant obtient une intégration automatique et sécurisée tout en conservant une visibilité totale sur les analyses des visiteurs. La clé du succès réside ici dans la configuration du proxy RadSec pour gérer le routage vers une double destination.

Questions d'entraînement

Q1. Un ingénieur réseau constate que les appareils Android se connectent automatiquement au SSID OpenRoaming, mais que les appareils iOS invitent les utilisateurs à sélectionner manuellement le réseau. Quelle est la cause la plus probable de ce comportement ?

Conseil : Examinez comment les profils sont provisionnés et approuvés sur différents systèmes d'exploitation mobiles.

Voir la réponse type

La cause la plus probable est que les appareils iOS ne disposent pas du profil OpenRoaming requis, ou que le certificat du profil n'est pas approuvé par iOS. Les appareils Android sont souvent livrés avec des profils OpenRoaming préinstallés par les fabricants d'appareils ou les configurations d'opérateurs. iOS nécessite l'installation explicite d'un profil via un MDM, une application de provisionnement ou un portail comme Purple pour approuver l'autorité de certification racine et associer le Roaming Consortium OI au SSID.

Q2. Lors d'une capture de paquets sur l'interface WAN d'un proxy RadSec, vous observez des paquets TCP SYN envoyés au port 2083, mais aucun SYN-ACK n'est reçu. Quelles étapes de dépannage devez-vous suivre ?

Conseil : Concentrez-vous sur le chemin réseau et les configurations de pare-feu.

Voir la réponse type
  1. Vérifier que la politique de pare-feu sortant autorise le trafic du port TCP 2083 depuis l'IP du proxy RadSec vers la passerelle OpenRoaming de destination.
  2. Vérifier s'il existe un équipement de sécurité intermédiaire (tel qu'un IPS ou un pare-feu d'inspection approfondie des paquets) qui bloque ou rejette le trafic.
  3. Confirmer que l'adresse IP de destination résolue via les enregistrements DNS NAPTR est correcte et accessible.
  4. Effectuer un traceroute pour identifier où se produit la perte de paquets sur le chemin de transit.

Q3. Pourquoi la consolidation des SSID est-elle considérée comme une bonne pratique lors du déploiement de Passpoint et de OpenRoaming, et quel est l'impact technique si l'on ignore cette recommandation ?

Conseil : Pensez à l'efficacité du temps d'antenne et à la surcharge des balises (beacons).

Voir la réponse type

La consolidation des SSID est essentielle car chaque SSID configuré sur un AP doit diffuser ses propres trames de balise (beacon frames), généralement au débit de données obligatoire pris en charge le plus bas. La création d'un SSID dédié pour Passpoint/OpenRoaming augmente la surcharge de balises, ce qui consomme du temps d'antenne précieux et réduit la capacité globale du réseau. En consolidant Passpoint sur un SSID d'entreprise sécurisé existant, l'AP annonce les paramètres 802.11u au sein des trames de balise existantes, préservant ainsi le temps d'antenne et maintenant une efficacité optimale des canaux.

Continuer la lecture de cette série

Configuration de l'authentification RADIUS pour les réseaux WiFi invités et collaborateurs

Ce guide de référence technique présente l'architecture, la configuration et le déploiement de l'authentification RADIUS pour les réseaux WiFi d'entreprise destinés aux invités et aux collaborateurs. Il fournit aux architectes réseau et aux responsables informatiques les protocoles exacts, les normes de sécurité et les méthodologies de dépannage requis pour concevoir des systèmes de contrôle d'accès sans fil sécurisés et évolutifs.

Lire le guide →

Comment implémenter SCEP pour un BYOD sécurisé et l'enregistrement réseau dans l'enseignement supérieur

Ce guide technique propose aux architectes réseau et aux responsables informatiques un modèle neutre vis-à-vis des fournisseurs pour déployer l'enregistrement de certificats basé sur SCEP afin de sécuriser les réseaux de campus de l'enseignement supérieur. Il détaille comment migrer du PEAP basé sur mot de passe vers le 802.1X EAP-TLS, automatiser l'intégration du BYOD et appliquer une segmentation VLAN robuste.

Lire le guide →

Serveur RADIUS : un guide complet pour les entreprises

Ce guide fournit aux responsables informatiques, architectes réseau et directeurs techniques une référence technique définitive sur l'authentification serveur RADIUS pour le WiFi d'entreprise. Il couvre le framework AAA, l'architecture 802.1X, la sélection de la méthode EAP, les arbitrages de déploiement entre cloud et sur site, ainsi que l'attribution dynamique de VLAN. Les exploitants de sites dans l'hôtellerie, le commerce, l'événementiel et le secteur public y trouveront des conseils de mise en œuvre pratiques, des études de cas réelles et les cadres décisionnels nécessaires pour migrer de clés prépartagées non sécurisées vers une architecture de contrôle d'accès réseau sécurisée et basée sur l'identité.

Lire le guide →