Vai al contenuto principale

Passpoint and OpenRoaming: Complete Guide

Questa guida di riferimento tecnico fornisce un'analisi completa dei framework Passpoint (Hotspot 2.0) e WBA OpenRoaming all'interno delle reti WiFi aziendali. Descrive in dettaglio i protocolli di autenticazione sottostanti, i componenti architetturali e le strategie di implementazione necessarie per stabilire una connettività guest sicura e senza attriti. I progettisti di rete e i responsabili IT impareranno a progettare, implementare e risolvere i problemi di questi standard per eliminare le barriere di accesso manuale mantenendo al contempo una sicurezza di livello enterprise.

📖 6 minuti di lettura📝 1,277 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

📚 Parte della nostra serie principale: Multi-Tenant WiFi

header_image.png

Executive Summary

Le esigenze di connettività aziendale sono passate dall'accesso guest manuale, basato su Captive Portal, a un onboarding automatizzato, sicuro e senza attriti. Passpoint (definito dalla Wi-Fi Alliance come Hotspot 2.0) e OpenRoaming (orchestrato dalla Wireless Broadband Alliance) rappresentano la standardizzazione di questo cambiamento. Utilizzando i protocolli IEEE 802.11u e la sicurezza WPA3-Enterprise, queste tecnologie consentono ai dispositivi mobili di rilevare, autenticare e connettersi alle reti WiFi sicure in modo automatico senza l'intervento dell'utente.

Questa guida funge da riferimento autorevole per gli architetti di rete e i direttori IT che pianificano di distribuire queste tecnologie in ambienti di grandi dimensioni, contesti retail e campus aziendali. Esaminiamo gli handshake crittografici alla base, l'architettura di federazione e i passaggi di configurazione pratici richiesti per integrare questi standard nell'infrastruttura wireless esistente. Adottando questi framework, le organizzazioni possono eliminare l'attrito dei portali guest tradizionali, migliorando significativamente al contempo il proprio livello di sicurezza wireless.

Approfondimento Tecnico

Per comprendere Passpoint e OpenRoaming, è necessario innanzitutto analizzare i protocolli sottostanti che ne regolano il funzionamento. Al centro di Passpoint c'è lo standard IEEE 802.11u, un emendamento allo standard 802.11 che consente ai dispositivi wireless di rilevare i servizi di rete prima di stabilire un'associazione.

Storicamente, un dispositivo client doveva associarsi a un Access Point (AP) e ottenere un indirizzo IP prima di poter interrogare le funzionalità della rete. Con il protocollo 802.11u, questo rilevamento avviene nello stato di pre-associazione utilizzando le query Access Network Query Protocol (ANQP).

Il Processo di Rilevamento 802.11u

Quando un dispositivo abilitato per Passpoint scansiona le frequenze radio, rileva un beacon contenente un elemento di Interworking. Questo elemento segnala che l'AP supporta lo standard 802.11u e pubblicizza il suo tipo di rete (ad esempio, privata, pubblica gratuita, pubblica a pagamento). Il dispositivo client invia quindi una query ANQP per richiedere parametri specifici, come:

  • Roaming Consortium Organisation Identifiers (OI): Identificatori univoci globali assegnati dall'IEEE che rappresentano partner di roaming o federazioni specifiche.
  • Nome e Gruppo della Sede (Venue): Metadati che descrivono la posizione fisica (ad esempio, "Terminal 2" o "Stadio").
  • Disponibilità del Tipo di Indirizzo IP: Informazioni sulla disponibilità di IPv4 o IPv6 e sull'eventuale applicazione del NAT.

Se il dispositivo client possiede un profilo contenente un OI di Roaming Consortium corrispondente, avvia il processo di autenticazione senza richiedere l'intervento dell'utente.

Architettura della Federazione OpenRoaming

OpenRoaming funge da livello di federazione globale al di sopra di Passpoint. Stabilisce una Public Key Infrastructure (PKI) sicura gestita dalla Wireless Broadband Alliance (WBA). Questa federazione consente agli Identity Provider (IDP) - come gli operatori di rete mobile, i produttori di dispositivi (Apple, Google) e i sistemi di identità aziendali - di interconnettersi in modo sicuro con i provider di rete.L'autenticazione viene eseguita utilizzando WPA3-Enterprise (o WPA2-Enterprise per la compatibilità con i sistemi legacy) con Protected Extensible Authentication Protocol (PEAP) o Extensible Authentication Protocol-Transport Layer Security (EAP-TLS). L'AP funge da autenticatore, incapsulando i pacchetti EAP in pacchetti RADIUS (Remote Authentication Dial-In User Service) o RadSec (RADIUS su TLS) e inoltrandoli all'identity provider.

RadSec è obbligatorio in OpenRoaming per proteggere la comunicazione tra il proxy RADIUS della rete locale e gli IDP globali su internet pubblico. RadSec utilizza la porta TCP 2083 e la crittografia TLS, garantendo che le credenziali dell'utente e gli attributi di autenticazione rimangano riservati durante il transito attraverso i provider di transito intermedi.

Guida all'implementazione

La distribuzione di Passpoint e OpenRoaming richiede un approccio sistematico che coinvolge il controller wireless (WLC), l'infrastruttura RADIUS e le configurazioni DNS/firewall.

Passaggio 1: Audit dell'infrastruttura di rete

Assicurati che i tuoi AP e WLC supportino lo standard 802.11u e Passpoint Release 2 o 3. Verifica che il tuo server RADIUS supporti RadSec (RFC 6614). Se il tuo server RADIUS legacy non supporta RadSec, devi distribuire un proxy RadSec (come FreeRADIUS o un gateway dedicato) nella tua DMZ.

Passaggio 2: Configurazione del firewall

Apri la porta TCP in uscita 2083 verso i server proxy RadSec di OpenRoaming. Assicurati che la risoluzione DNS sia configurata correttamente sui tuoi server RADIUS, poiché RadSec si affida al Dynamic Delegation Discovery System (DDDS) e ai record NAPTR per individuare l'IDP appropriato.

Passaggio 3: Acquisizione del certificato

Ottieni un certificato RadSec approvato da WBA da un'Autorità di Certificazione (CA) autorizzata. Questo certificato è fondamentale per l'autenticazione mTLS (mutual TLS) tra il tuo proxy RadSec locale e i broker della federazione OpenRoaming.

Passaggio 4: Configurazione del controller wireless

  1. Crea un SSID sicuro: Configura un nuovo SSID o modificane uno esistente per utilizzare WPA3-Enterprise (o la modalità di transizione WPA2/WPA3).
  2. Abilita 802.11u (Interworking): Abilita la funzione Interworking sull'SSID.
  3. Configura l'HESSID: Imposta l'Homogeneous ESSID, in genere l'indirizzo MAC di una delle radio AP, per identificare in modo univoco il gruppo di rete.
  4. Aggiungi gli OI del Roaming Consortium: Aggiungi gli OI del Roaming Consortium di OpenRoaming. Gli OI standard sono:
    • 5A-03-BE-00-00 (Senza regolamento finanziario, identità verificate da Google, Apple o operatori di telefonia mobile)
    • 5A-03-BE-00-01 (Con regolamento finanziario, per accordi di roaming commerciale)
  5. Configura i parametri ANQP: Definisci il Venue Name, il Venue Group e il Network Type.

Passaggio 5: Configurazione del proxy RADIUS/RadSec

Configura il tuo server RADIUS locale per fungere da proxy RadSec. Definisci le regole di instradamento che inoltrano le richieste di autenticazione contenenti gli OI di OpenRoaming o pattern di realm specifici al gateway RadSec di OpenRoaming.

Best Practice

Per garantire una distribuzione stabile e ad alte prestazioni, attieniti alle seguenti raccomandazioni standard del settore:

  • Consolidamento degli SSID: Non creare un SSID dedicato per Passpoint o OpenRoaming. Combinali invece in un unico SSID aziendale sicuro. Questo riduce al minimo l'overhead dei beacon e preserva tempo di trasmissione prezioso.
  • Gestione dei certificati: Implementa processi di rinnovo automatico per i tuoi certificati RadSec. Un certificato scaduto interromperà immediatamente tutte le autenticazioni OpenRoaming.
  • Pianificazione dei canali: Poiché Passpoint si affida agli scambi ANQP pre-associazione, i dispositivi client impiegano più tempo per la scansione e l'interrogazione. Ottimizza la pianificazione dei canali a 5 GHz e 6 GHz per ridurre la congestione e garantire risposte rapide ai probe.
  • Filtro dei realm: Implementa un filtro rigoroso dei realm sul proxy RadSec per evitare che il traffico di autenticazione non necessario intasi la rete di federazione. Inoltra solo le richieste che corrispondono a pattern OpenRoaming validi.
  • Allineamento della User Experience: Assicurati che la segnaletica fisica della location e i materiali di marketing digitale informino gli utenti della possibilità di connettersi automaticamente tramite OpenRoaming, riducendo l'affidamento a SSID aperti non crittografati.

Risoluzione dei problemi e mitigazione dei rischi

Modalità di guasto comuni e soluzioni

Problema: I dispositivi client non si connettono automaticamente

  • Causa principale: OI del consorzio di roaming mancanti o configurati in modo errato sul WLC, oppure il dispositivo client non ha il profilo corretto installato.
  • Mitigazione: Utilizza un analizzatore di pacchetti per acquisire i frame di beacon e risposta ai probe. Verifica che l'elemento di interworking 802.11u contenga gli OI corretti. Assicurati che il profilo client sia configurato correttamente tramite un MDM o un portale di provisioning.

Problema: Errori di connessione RadSec

  • Causa principale: Il firewall blocca la porta TCP 2083 o i certificati RadSec non sono validi o sono scaduti.
  • Mitigazione: Esegui un'acquisizione di pacchetti sull'interfaccia WAN del proxy RADIUS. Verifica che l'handshake TLS si completi con successo. Controlla lo stato della lista di revoca dei certificati (CRL).

Problema: Elevata latenza durante l'autenticazione

  • Causa principale: IDP geograficamente distanti o risoluzione DNS lenta per i record NAPTR.
  • Mitigazione: Implementa la memorizzazione nella cache locale dei record DNS e assicurati che il proxy RADIUS disponga di percorsi a bassa latenza verso gli hub regionali OpenRoaming.

ROI e impatto sul business

La transizione a Passpoint e OpenRoaming offre un valore aziendale misurabile attraverso tre vettori principali: efficienza operativa, postura di sicurezza e data intelligence.

Efficienza operativa

Automatizzando il processo di connessione, le location registrano una riduzione significativa dei ticket di supporto relativi al guest WiFi. Il personale della reception e gli helpdesk IT dedicano meno tempo alla risoluzione dei problemi relativi ai guasti del captive portal e alle password.

Postura di sicurezza

Le reti guest aperte tradizionali espongono gli utenti a intercettazioni e attacchi man-in-the-middle. Passpoint impone una crittografia di livello aziendale (WPA2/WPA3-Enterprise), proteggendo tutto il traffico aereo. Questo tutela sia l'utente che la location da responsabilità associate a violazioni dei dati.

Data Intelligence

Quando integrato con piattaforme come Purple, Passpoint consente alle location di identificare i visitatori ricorrenti in modo trasparente. Poiché il dispositivo si connette automaticamente, la location acquisisce metriche accurate sul tempo di permanenza e sulla frequenza delle visite senza richiedere all'utente di aprire un browser e accedere ripetutamente. Questo flusso continuo di dati consente strategie di engagement in tempo reale altamente mirate.

Definizioni chiave

Passpoint

Un programma di certificazione della Wi-Fi Alliance (basato su Hotspot 2.0) che consente ai dispositivi mobili di rilevare e connettersi automaticamente alle reti WiFi con una sicurezza di livello enterprise.

Costituisce la base tecnica per un onboarding degli ospiti senza interruzioni.

OpenRoaming

Una federazione di roaming globale creata dalla Wireless Broadband Alliance (WBA) che consente agli utenti di connettersi in modo sicuro e automatico alle reti WiFi utilizzando identità attendibili.

Agisce come livello di policy e identità al di sopra di Passpoint.

ANQP

Access Network Query Protocol. Un protocollo di query-risposta utilizzato dai dispositivi mobili per rilevare le funzionalità della rete prima di associarsi a un AP.

Cruciale per il rilevamento pre-associazione nello standard 802.11u.

802.11u

Un emendamento allo standard IEEE 802.11 che aggiunge funzionalità per l'interoperabilità con reti esterne, consentendo il rilevamento pre-associazione.

Lo standard a livello fisico e MAC che rende possibile Passpoint.

RadSec

RADIUS su TLS (RFC 6614). Un protocollo che protegge i pacchetti RADIUS incapsulandoli all'interno di un tunnel TLS su TCP.

Obbligatorio per OpenRoaming per proteggere il traffico di autenticazione sulla rete internet pubblica.

Roaming Consortium OI

Roaming Consortium Organisation Identifier. Un identificatore esadecimale univoco assegnato dall'IEEE per identificare una specifica federazione o partner di roaming.

Utilizzato dagli AP per annunciare quali credenziali di roaming accettano.

HESSID

Homogeneous ESSID. Un indirizzo MAC a 48 bit configurato sugli AP per identificare un gruppo di AP appartenenti alla stessa rete o sede.

Aiuta i dispositivi client a comprendere che più AP appartengono allo stesso dominio amministrativo.

EAP-TLS

Extensible Authentication Protocol-Transport Layer Security. Un protocollo di autenticazione che utilizza certificati digitali per la mutua autenticazione.

Il metodo di autenticazione più sicuro supportato da Passpoint.

Esempi pratici

La distribuzione in uno stadio su larga scala richiede la configurazione di un controller wireless Cisco Catalyst 9800 per supportare OpenRoaming (Settlement-Free) insieme agli SSID aziendali esistenti. Il progettista di rete deve garantire che i dispositivi client rilevino e si connettano automaticamente alla rete utilizzando gli OI della Roaming Consortium corretti.

Per implementare questo sul WLC Cisco Catalyst 9800, seguire questi passaggi di configurazione:

  1. Definire il profilo del server ANQP:
wireless profile anqp openroaming-anqp-profile
  venue-name english "Stadium Main Bowl"
  venue-group assembly venue-type arena
  network-auth-type redirect-url "https://portal.purple.ai"
  ip-type ipv4-nat ipv6-no-address
  1. Creare il profilo Roaming Consortium e aggiungere l'OI OpenRoaming Settlement-Free (5A-03-BE-00-00):
wireless profile roaming openroaming-roaming-profile
  roaming-consortium-oi 5A03BE0000
  1. Configurare il profilo Hotspot 2.0 (Passpoint):
wireless profile hotspot openroaming-hotspot-profile
  anqp-server-profile openroaming-anqp-profile
  roaming-consortium-profile openroaming-roaming-profile
  hessid 00:11:22:33:44:55
  1. Applicare il profilo Hotspot al profilo WLAN di destinazione:
wlan openroaming-wlan 1 openroaming-ssid
  security wpa wpa3
  security wpa akm eap
  hotspot-profile openroaming-hotspot-profile
  no shutdown
  1. Verificare la configurazione tramite la CLI:
show wireless profile hotspot detailed openroaming-hotspot-profile
Commento dell'esaminatore: Il candidato ha identificato correttamente la separazione dei profili ANQP, Roaming e Hotspot sulla piattaforma Cisco Catalyst 9800. Un errore comune è l'omissione dell'HESSID, necessario per le corrette decisioni di roaming del client. L'uso del formato esadecimale corretto per l'OI di Roaming Consortium (5A03BE0000) è fondamentale, poiché una formattazione errata impedirà l'associazione del client.

Una catena retail multi-sito desidera migrare da un Captive Portal tradizionale a un modello ibrido. Desiderano utilizzare OpenRoaming per una connessione fluida, utilizzando al contempo la piattaforma di analisi di Purple per monitorare il comportamento dei visitatori ed eseguire campagne mirate in base al tempo di permanenza.

La soluzione richiede la configurazione di un proxy RadSec per instradare le richieste di autenticazione alla federazione OpenRoaming e inviare contemporaneamente i dati di accounting alla piattaforma cloud di Purple.

  1. Configurare il proxy RadSec locale (ad esempio, FreeRADIUS) per stabilire una connessione TLS con il gateway OpenRoaming:
home_server openroaming_radsec {
  type = auth+acct
  ipaddr = radsec.openroaming.org
  port = 2083
  proto = tcp
  tls {
    private_key_file = /etc/raddb/certs/radsec.key
    certificate_file = /etc/raddb/certs/radsec.pem
    ca_file = /etc/raddb/certs/wba_ca.pem
  }
}
  1. Configurare il server di accounting per duplicare i pacchetti di accounting e inoltrarli agli endpoint di accounting RADIUS di Purple:
home_server purple_accounting {
  type = acct
  ipaddr = acct.purpleportal.net
  port = 1813
  secret = PurpleSharedSecret
}

realm openroaming {
  auth_pool = openroaming_radsec
  acct_pool = purple_accounting
}
  1. Sul WLC, assicurarsi che l'accounting RADIUS sia abilitato e configurato per inviare aggiornamenti intermedi ogni 300 secondi. Ciò garantisce che Purple riceva continuamente i dati sul tempo di permanenza, anche se l'utente non apre attivamente un browser.
Commento dell'esaminatore: Questa architettura ibrida è altamente efficace. Instradando l'autenticazione verso la federazione OpenRoaming e duplicando i dati di accounting su Purple, il rivenditore ottiene un onboarding sicuro e automatico, mantenendo al contempo la piena visibilità sulla visitor analytics. La chiave del successo in questo caso è la configurazione del proxy RadSec per gestire l'instradamento a doppia destinazione.

Domande di esercitazione

Q1. Un ingegnere di rete nota che i dispositivi Android si connettono automaticamente all'SSID OpenRoaming, ma i dispositivi iOS richiedono agli utenti di selezionare manualmente la rete. Qual è la causa più probabile di questo comportamento?

Suggerimento: Considera il modo in care i profili vengono forniti e ritenuti attendibili sui diversi sistemi operativi mobili.

Visualizza risposta modello

La causa più probabile è che sui dispositivi iOS non sia installato il profilo OpenRoaming richiesto o che il payload del certificato del profilo non sia ritenuto attendibile da iOS. I dispositivi Android spesso presentano profili OpenRoaming preinstallati dai produttori del dispositivo o configurazioni dell'operatore. iOS richiede l'installazione esplicita del profilo tramite un MDM, un'app di provisioning o un portale come Purple per considerare attendibile la CA radice e associare il Roaming Consortium OI all'SSID.

Q2. Durante l'acquisizione di pacchetti sull'interfaccia WAN di un proxy RadSec, si osservano pacchetti TCP SYN inviati alla porta 2083, ma non viene ricevuto alcun SYN-ACK. Quali passaggi di risoluzione dei problemi dovresti intraprendere?

Suggerimento: Concentrati sul percorso di rete e sulle configurazioni del firewall.

Visualizza risposta modello
  1. Verificare che la policy del firewall in uscita consenta il traffico sulla porta TCP 2083 dall'IP del proxy RadSec verso il gateway OpenRoaming di destinazione.
  2. Verificare se è presente un dispositivo di sicurezza intermedio (come un IPS o un firewall con deep packet inspection) che blocca o interrompe il traffico.
  3. Confermare che l'indirizzo IP di destinazione risolto tramite i record DNS NAPTR sia corretto e raggiungibile.
  4. Eseguire un traceroute per identificare dove si verifica la perdita del pacchetto nel percorso di transito.

Q3. Perché il consolidamento degli SSID è considerato una best practice quando si distribuiscono Passpoint e OpenRoaming, e qual è l'impatto tecnico se si ignora questa raccomandazione?

Suggerimento: Pensa all'efficienza del tempo di trasmissione dell'aria e al sovraccarico dei beacon.

Visualizza risposta modello

Il consolidamento degli SSID è fondamentale perché ogni SSID configurato su un AP deve trasmettere i propri beacon frame, solitamente alla velocità dati obbligatoria supportata più bassa. La creazione di un SSID dedicato per Passpoint/OpenRoaming aumenta l'overhead dei beacon, consumando tempo di trasmissione prezioso e riducendo la capacità complessiva della rete. Consolidando Passpoint su un SSID aziendale sicuro esistente, l'AP annuncia i parametri 802.11u all'interno dei beacon frame esistenti, preservando il tempo di trasmissione e mantenendo un'efficienza ottimale dei canali.

Continua a leggere questa serie

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Questa guida di riferimento tecnica descrive l'architettura, la configurazione e l'implementazione dell'autenticazione RADIUS per le reti WiFi aziendali per ospiti e personale. Fornisce ai network architect e ai manager IT i protocolli esatti, gli standard di sicurezza e le metodologie di risoluzione dei problemi necessari per creare sistemi di controllo degli accessi wireless sicuri e scalabili.

Leggi la guida →

Come Implementare SCEP per il Secure BYOD e l'Iscrizione di Rete nell'Istruzione Superiore

Questa guida tecnica fornisce ad architetti di rete e responsabili IT un modello indipendente dal fornitore per implementare la registrazione dei certificati basata su SCEP per proteggere le reti dei campus universitari. Descrive in dettaglio come migrare dal protocollo PEAP basato su password a 802.1X EAP-TLS, automatizzare l'onboarding dei dispositivi BYOD e applicare una robusta segmentazione VLAN.

Leggi la guida →

Server RADIUS: una guida completa per le aziende

Questa guida fornisce a IT manager, architetti di rete e CTO un riferimento tecnico definitivo sull'autenticazione tramite server RADIUS per il WiFi aziendale. Copre il framework AAA, l'architettura 802.1X, la selezione del metodo EAP, i compromessi tra implementazioni cloud e on-premises e l'assegnazione dinamica della VLAN. I gestori di location nei settori dell'ospitalità, del retail, degli eventi e del settore pubblico troveranno indicazioni pratiche per l'implementazione, casi di studio reali e i framework decisionali necessari per migrare da chiavi pre-condivise non sicure a un'architettura di controllo degli accessi alla rete sicura e basata sull'identità.

Leggi la guida →