Pular para o conteúdo principal
Português (Brasil)

Arquitetura de Captive Portal: Segurança, Redirecionamento e Melhores Práticas

Uma referência técnica definitiva sobre a arquitetura de captive portal corporativo. Este guia detalha o isolamento de rede, redirecionamento de DNS, autenticação RADIUS e conformidade de segurança para líderes de TI que implantam redes WiFi de visitantes seguras e ricas em dados.

📖 5 min de leitura📝 1,232 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Fale em inglês britânico com um tom confiante, autoritativo e de conversação - como um consultor sênior de redes orientando um cliente durante um café. Ritmo compassado, dicção clara, sem pressa. Pausas naturais ocasionais para ênfase. Profissional, mas não rígido: Bem-vindo ao Purple Technical Briefing. Eu sou o seu anfitrião e hoje vamos nos aprofundar na arquitetura de Captive Portal - especificamente no modelo de segurança, na mecânica de redirecionamento e nas decisões de design que diferenciam uma implantação em conformidade e bem projetada de uma que lhe trará problemas às três da manhã. [medium pause] Vamos contextualizar. Você está operando WiFi para convidados em uma rede de hotéis, em propriedades de varejo ou em um estádio. Milhares de dispositivos se conectam todos os dias. Alguns desses dispositivos contêm malware. Alguns desses usuários tentarão acessar conteúdos que não deveriam. E sua equipe jurídica quer saber, por escrito, que você obteve consentimento válido antes de armazenar um único byte de dados pessoais. [medium pause] Esse é o problema que a arquitetura de Captive Portal foi projetada para resolver. Vamos analisar como isso realmente funciona. [medium pause] Seção um. A cadeia de redirecionamento. Quando um dispositivo convidado se conecta ao seu SSID de WiFi, ele recebe um endereço IP de um pool de DHCP em uma VLAN dedicada para convidados - vamos chamá-la de VLAN 20. Seus dispositivos corporativos estão na VLAN 10. Essas duas VLANs nunca devem rotear entre si. Isso não é negociável sob o ponto de vista do PCI DSS e, francamente, também sob o ponto de vista de segurança básica. Agora, o dispositivo está conectado, mas ainda não foi autenticado. O controlador o coloca no que chamamos de estado de pré-autenticação. O dispositivo só pode acessar uma pequena lista de permissões de domínios - o walled garden. Todo o resto é interceptado. Aqui está a parte inteligente. Quando o dispositivo tenta carregar uma página da web - ou quando o sistema operacional realiza sua verificação de detecção de Captive Portal, o que o iOS faz automaticamente ao acessar captive.apple.com - o resolvedor DNS no gateway retorna o endereço IP do servidor do Captive Portal em vez do destino real. O navegador segue esse redirecionamento e chega à sua splash page. [medium pause] Isso é a Camada 3 e a Camada 7 trabalhando juntas. A VLAN cuida do isolamento da rede. A interceptação de DNS lida com o redirecionamento. E o Captive Portal gerencia a camada de identidade e consentimento. Três mecanismos distintos, todos trabalhando em sequência. [medium pause] Seção dois. Autenticação e RADIUS. Assim que o convidado interage com a splash page - seja aceitando os termos e condições, inserindo um endereço de e-mail, autenticando-se via login social ou verificando um código SMS - a plataforma precisa instruir o controlador de rede a abrir o firewall para aquele dispositivo específico. É aqui que entra o RADIUS. RADIUS significa Remote Authentication Dial-In User Service. É um protocolo definido na RFC 2865 e é o padrão do setor para comunicar decisões de autenticação entre um servidor de políticas e um dispositivo de acesso à rede. A Purple opera como um servidor RADIUS hospedado na nuvem. Quando um visitante conclui o fluxo do Captive Portal, a Purple envia uma mensagem RADIUS Access-Accept para o controlador WiFi local - seja um Cisco Meraki, um controlador HPE Aruba, um Ruckus SmartZone ou um ponto de acesso Juniper Mist. O controlador recebe essa mensagem e transiciona o dispositivo do visitante do estado de pré-autenticação para o estado autorizado, liberando as regras de firewall e concedendo acesso à internet. [medium pause] Existe uma extensão importante do RADIUS que você deve conhecer: Change of Authorisation, ou CoA. O CoA permite que o servidor RADIUS envie uma mensagem no meio da sessão para o controlador para revogar ou modificar uma sessão que já está ativa. A Purple usa o CoA para impor limites de tempo de sessão, desconectar dispositivos que foram sinalizados por violações de políticas e oferecer suporte a fluxos de trabalho de direito ao esquecimento (right-to-erasure) sob a GDPR - onde um usuário solicita a exclusão de seus dados e a Purple pode revogar imediatamente sua sessão ativa. [medium pause] Seção três. O jardim murado (walled garden). O walled garden é uma lista de permissões (whitelist) de endereços IP e nomes de domínio que dispositivos não autenticados podem acessar antes de concluírem o fluxo do Captive Portal. Se você errar isso, sua página de login (splash page) não será carregada. Se errar feio, você terá criado uma brecha de segurança. No mínimo, seu walled garden precisa incluir a própria URL do Captive Portal, quaisquer endpoints de CDN que servem os recursos do portal e os endpoints de autenticação de quaisquer provedores de login social que você estiver usando - Google, Facebook, Microsoft. Se estiver usando verificação por SMS, você precisará liberar o endpoint da API do gateway de SMS. A armadilha que pega a maioria das implantações são os endereços IP dinâmicos. Os serviços em nuvem nem sempre têm IPs estáticos. Se você liberar um IP em vez de um domínio, e esse IP mudar, seu portal para de funcionar. Use a liberação baseada em domínio se o seu controlador oferecer suporte a isso e teste após cada alteração. [medium pause] Seção quatro. Design de segurança. Vamos falar sobre a arquitetura de segurança com mais detalhes, porque é aqui que a maioria das implantações apresenta falhas. Primeiro: isolamento de cliente (client isolation). Ative-o. Essa é uma configuração no ponto de acesso que impede que os dispositivos dos visitantes se comuniquem diretamente entre si pelo meio sem fio. Sem isso, um dispositivo comprometido em sua rede de visitantes pode sondar e atacar outros dispositivos de visitantes. É uma correção simples de uma única caixa de seleção que elimina toda uma classe de ataques peer-to-peer. Segundo: tempos de concessão DHCP (DHCP lease times). Em locais de alta rotatividade - um terminal de transporte, um estádio, uma loja de varejo movimentada - você precisa de tempos de concessão curtos. De trinta a sessenta minutos. Se você deixar o padrão de vinte e quatro horas e tiver dez mil dispositivos se conectando em um dia de jogo, esgotará seu pool de endereços IP antes do intervalo. Novos dispositivos não se conectarão. Sua equipe de operações receberá reclamações. Mantenha as concessões curtas. Terceiro: criptografia. Seu Captive Portal deve ser servido via HTTPS com um certificado TLS válido. Se for servido via HTTP, os navegadores modernos o sinalizarão como não seguro, os usuários desconfiarão dele e você estará transmitindo credenciais em texto simples. Use no mínimo TLS 1.2; o TLS 1.3 é preferível. A camada de transporte de WiFi deve usar WPA2-AES ou WPA3 - nunca WEP, nunca TKIP. Quarto: segmentação de VLAN. Sua VLAN de visitantes deve ser completamente isolada de qualquer segmento de rede que toque em dados de cartão de pagamento. O PCI DSS versão 4.0 é explícito sobre isso. Se a sua rede de visitantes puder rotear para uma sub-rede contendo um sistema de ponto de venda, toda a sua rede POS estará no escopo de uma auditoria PCI. Esse é um fardo de conformidade significativo. Segmente corretamente desde o primeiro dia. [medium pause] Seção cinco. GDPR e conformidade de dados. Todo Captive Portal que coleta dados pessoais - e endereço de e-mail, número de telefone e login social contam como dados pessoais sob a GDPR - deve atender a requisitos específicos. Você precisa de uma base legal para o processamento. Para WiFi de visitantes, isso normalmente é o consentimento. O consentimento deve ser dado livremente, específico, informado e inequívoco. Caixas pré-marcadas não contam. Agrupar o consentimento de WiFi com o consentimento de marketing não conta. O modelo de opt-in de escolha consciente da Purple separa o consentimento de acesso à rede do consentimento de marketing, de modo que os visitantes possam se conectar sem serem forçados a aceitar e-mails de marketing. Você precisa documentar quais dados coleta, por que os coleta, onde são armazenados e por quanto tempo os retém. A Purple é certificada ISO 27001, em conformidade com a GDPR, CCPA e certificada com Cyber Essentials. A plataforma armazena dados em data centers em conformidade, com políticas de retenção documentadas. E você precisa de um fluxo de trabalho de direito ao esquecimento. Se um visitante solicitar a exclusão de seus dados, você deve ser capaz de agir em até trinta dias. A plataforma da Purple oferece suporte nativo a isso, e o mecanismo de CoA RADIUS que mencionei anteriormente significa que você pode revogar sessões ativas ao mesmo tempo. [medium pause] Agora vamos passar para as recomendações de implementação e as armadilhas que vemos com mais frequência. [medium pause] Armadilha um: jardins murados mal configurados. A splash page carrega, mas o botão de login social não funciona. Ou a página carrega, mas o logotipo não aparece porque o domínio da CDN não está na lista de permissões. Teste seu jardim murado em um dispositivo novo sem DNS em cache antes de entrar em produção. Armadilha dois: PSKs compartilhadas. Alguns locais ainda usam uma única senha de WiFi escrita em um quadro-negro. Isso não é um Captive Portal - isso é um segredo compartilhado que qualquer pessoa pode fotografar e compartilhar. Ele não fornece dados de identidade, nenhum registro de consentimento e nenhuma capacidade de revogar o acesso individual. Substitua-o por um Captive Portal gerenciado. Armadilha três: dimensionamento insuficiente do pool de DHCP. Eu já cobri isso, mas vale a pena repetir. Dimensione seu pool de DHCP para o pico de conexões simultâneas, não para as conexões médias. Em um estádio com quarenta mil torcedores, você pode ter vinte mil dispositivos tentando se conectar simultaneamente. Planeje de acordo. Quarto erro: sem limite de tempo de sessão. Sem um limite de tempo de sessão (session timeout), um dispositivo que se conectou há seis meses e nunca mais retornou ainda mantém um estado de sessão autorizado em sua controladora. Esse é um registro obsoleto que desperdiça recursos e gera ruído de auditoria. Defina limites de tempo de sessão. Trinta minutos de inatividade é um padrão razoável. [medium pause] Perguntas e respostas rápidas. Pergunta: O Captive Portal funciona em todos os dispositivos? Resposta: Os sistemas operacionais modernos — iOS, Android, Windows, macOS — possuem detecção de Captive Portal integrada. Eles detectam o redirecionamento e exibem o portal automaticamente. Dispositivos mais antigos podem exigir que o usuário abra um navegador manualmente. A plataforma da Purple lida com ambos os fluxos. Pergunta: Podemos usar o Captive Portal junto com o 802.1X? Resposta: Sim. Muitas implantações corporativas usam 802.1X para dispositivos de funcionários — onde certificados ou credenciais autenticam automaticamente — e um Captive Portal para dispositivos de convidados em um SSID separado. A Purple se integra com a infraestrutura RADIUS que suporta ambos os fluxos simultaneamente. Pergunta: E quanto ao OpenRoaming? Resposta: O OpenRoaming é um padrão que permite que os dispositivos se conectem ao WiFi automaticamente usando autenticação baseada em certificado, ignorando totalmente o Captive Portal. A Purple atua como um provedor de identidade gratuito para OpenRoaming sob a licença Connect. É o caminho futuro para uma conectividade de convidados contínua, mas os Captive Portals continuam sendo o padrão para captura de dados e gerenciamento de consentimento hoje. [medium pause] Para resumir. Uma implantação de Captive Portal bem projetada baseia-se em cinco pilares. Isolamento de VLAN para proteger sua rede corporativa. Interceptação de DNS e redirecionamento HTTPS para apresentar a splash page. Autenticação RADIUS para abrir o firewall após o consentimento. Um walled garden configurado corretamente para garantir que o portal carregue de forma confiável. E tratamento de dados em conformidade com a GDPR para proteger tanto seus convidados quanto sua organização. A plataforma da Purple gerencia todas as cinco camadas em mais de 80.000 locais ativos, com 440 milhões de logins processados em 2024 e 99,999% de uptime. Ela se integra nativamente com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet — portanto, não importa o hardware que você esteja usando, você pode implantar sem precisar trocar tudo. Se você quiser se aprofundar em qualquer um desses tópicos — design de SSID, configuração de RADIUS ou fluxos de trabalho de conformidade com a GDPR — visite purple.ai para acessar a biblioteca completa de guias técnicos. Obrigado por ouvir.

header_image.png

Resumo executivo

Para estabelecimentos corporativos, o WiFi de visitantes é uma infraestrutura crítica que exige uma disciplina arquitetônica rigorosa. Preencher a lacuna entre o acesso público aberto e a rede corporativa segura requer uma configuração precisa de isolamento de VLAN, interceptação de DNS e gerenciamento de identidade. Este guia analisa a mecânica da arquitetura de Captive Portal corporativo, deixando de lado o jargão de marketing para explicar exatamente como ela funciona no nível do pacote. Abordamos os principais componentes técnicos: segmentação de VLAN, gerenciamento de pool de DHCP, redirecionamento HTTP, autenticação RADIUS e controle de largura de banda.

Seja ao implantar uma nova rede para uma cadeia de Hospitality ou atualizar a infraestrutura legada em Healthcare , compreender essa mecânica é essencial para mitigar riscos, garantir a conformidade com PCI DSS e GDPR e capturar dados primários acionáveis por meio de nossa plataforma WiFi Analytics .

Ouça o podcast de briefing técnico:

Análise técnica detalhada: como funcionam os captive portals

Em um nível fundamental, uma rede WiFi de visitantes corporativa opera enganando o dispositivo cliente o suficiente para interceptar seu tráfego, forçar a autenticação e, em seguida, roteá-lo com segurança para a internet sem nunca tocar na LAN corporativa.

1. Isolamento lógico via VLANs

A base de qualquer rede de Guest WiFi segura é a separação lógica. Quando um usuário do estabelecimento se conecta ao SSID de visitantes, o ponto de acesso etiqueta seu tráfego com um ID de Rede Local Virtual (VLAN) específico (por exemplo, VLAN 20), enquanto o tráfego corporativo opera em uma VLAN separada (por exemplo, VLAN 10).

Essa marcação garante que, no nível do switch e do firewall, o tráfego de visitantes seja fisicamente incapaz de ser roteado para sub-redes internas que contenham sistemas de ponto de venda ou registros de pacientes. O firewall é configurado com regras explícitas de negação para roteamento inter-VLAN, forçando o tráfego de visitantes diretamente para fora da interface WAN.

architecture_overview.png

2. DHCP e o pool de endereços IP

Ao se conectar, o dispositivo do cliente transmite um pacote DHCP Discover. A rede responde atribuindo um endereço IP de uma sub-rede dedicada para convidados. Uma distinção técnica crítica aqui é o tempo de concessão (lease time). Enquanto os dispositivos corporativos podem reter um IP por oito dias, as redes de convidados devem usar tempos de concessão agressivos (30 a 60 minutos) para evitar a exaustão do pool de IPs em ambientes de alta rotatividade, como hubs de Transporte .

3. Interceptação de DNS e o captive portal

É aqui que a experiência do usuário começa. Quando o dispositivo recém-conectado tenta acessar um site (ou quando o sistema operacional realiza sua verificação de detecção de captive portal, como o captive.apple.com da Apple), a rede intercepta a solicitação de DNS.

Em vez de resolver o endereço IP real do site solicitado, o gateway retorna o endereço IP do captive portal. O navegador do cliente é então redirecionado via HTTP para a splash page hospedada pela Purple.

4. Autenticação e RADIUS

Assim que o usuário interage com o captive portal - seja aceitando os termos e condições, inserindo um e-mail ou usando um login social - a plataforma deve informar o controlador de rede local para permitir o tráfego.

Isso é feito por meio do protocolo RADIUS (Remote Authentication Dial-In User Service). A Purple atua como o servidor RADIUS na nuvem, enviando uma mensagem de Access-Accept de volta ao controlador WiFi ou gateway local. O controlador então altera o status do usuário de "não autorizado" (apenas acesso ao walled garden) para "autorizado", abrindo as portas do firewall para acesso padrão à internet.

Guia de implementação: projetando para escala

A implantação de Wi-Fi para convidados exige o equilíbrio entre a fricção do usuário e os requisitos de segurança e captura de dados. Nossa sobreposição em nuvem se integra nativamente com hardwares da Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

Passo 1: Arquitetar a topologia de rede

Garanta que seus switches principais e firewalls suportem marcação VLAN 802.1Q. Configure sua VLAN de convidados para terminar em uma interface DMZ no firewall, ignorando completamente as tabelas de roteamento internas.

Passo 2: Configurar o walled garden

Um walled garden é uma lista de endereços IP e domínios que usuários não autenticados têm permissão para acessar. Isso deve incluir as URLs necessárias para carregar o captive portal, recursos de CDN para logotipos e os endpoints de autenticação para logins sociais (por exemplo, Microsoft Entra ID, Okta, Google Workspace). Se o walled garden estiver configurado incorretamente, a splash page não será carregada, resultando em um beco sem saída para o usuário.

Passo 3: Implementar o isolamento de clientes

Habilite o isolamento de clientes em seus pontos de acesso. Isso impede que os dispositivos conectados de convidados se comuniquem diretamente entre si por meio da rede sem fio, mitigando efetivamente ataques ponto a ponto e a propagação de malware dentro da sub-rede de convidados.

Passo 4: Integrar a gestão de identidade

Afastes-se de PSKs compartilhados. Implemente um Captive Portal gerenciado que capture dados primários (first-party data) por meio de opt-ins de escolha consciente. Para uma integração contínua e segura, considere a implementação do OpenRoaming. A Purple atua como um provedor de identidade gratuito para OpenRoaming sob o plano Connect, permiting que os dispositivos se autentiquem de forma segura via certificados sem uma página de login tradicional. Para saber mais sobre o design de ambientes multirede, leia nosso guia: Three SSIDs to rule them all: the WiFi design for guest, staff, and IoT .

Melhores práticas e conformidade

A conformidade não é opcional. Um Captive Portal devidamente projetado protege sua organização contra responsabilidade civil e multas regulatórias.

security_compliance_checklist.png

GDPR e privacidade de dados

Um Captive Portal coleta dados pessoais desde o momento em que o usuário se conecta. Para atender aos requisitos da GDPR, você deve obter consentimento explícito antes de processar esses dados. A plataforma da Purple lida com os requisitos de identidade e consentimento da Camada 7 necessários para a conformidade com a GDPR, garantindo que os dados sejam coletados legalmente, armazenados com segurança e possam ser excluídos mediante solicitação por meio de fluxos de trabalho automatizados.

Conformidade com PCI DSS v4.0

Se sua organização processa cartões de crédito, sua rede está sujeita ao PCI DSS. Redes WiFi de convidados que funcionam na mesma rede que os sistemas de PDV podem arrastar a rede de convidados para o escopo do PCI DSS, o que cria encargos de auditoria significativos. A segmentação estrita de VLAN é obrigatória para garantir que o tráfego de convidados nunca toque no ambiente de dados do portador do cartão.

Padrões de segurança de rede

Exija criptografia WPA3 ou WPA2-AES na camada de transporte sem fio. Certifique-se de que seu Captive Portal seja servido via HTTPS usando TLS 1.2 ou TLS 1.3 para proteger as credenciais do usuário durante a fase de autenticação.

Solução de problemas e mitigação de riscos

Mesmo redes bem projetadas enfrentam problemas. Aqui estão os modos de falha mais comuns e como evitá-los.

Modo de falha: Exaustão de endereços IP Em um ambiente de Varejo movimentado, os dispositivos buscam e se conectam constantemente a redes abertas. Se o tempo de concessão (lease time) do seu DHCP for de 24 horas, um comprador que passar em frente à sua loja por cinco minutos consumirá um endereço IP pelo dia inteiro. Mitigação: Reduza o tempo de concessão do DHCP para 30 minutos na VLAN de convidados.

Modo de falha: Bloqueios de Walled Garden Os serviços de nuvem mudam frequentemente seus endereços IP. Se o seu walled garden usa uma lista de permissões de IP estático para endpoints de login social, a autenticação falhará quando esses IPs mudarem. Mitigação: Use listas de permissão baseadas em domínio para entradas de walled garden sempre que seu controlador de hardware suportar.

Modo de falha: Sessões obsoletas Os usuários saem do local sem se desconectar, mas sua sessão permanece ativa no controlador, consumindo recursos. Mitigação: Implemente limites de tempo de inatividade agressivos (por exemplo, 30 minutos) e use RADIUS Change of Authorisation (CoA) para revogar ativamente as sessões quando os limites de tempo forem atingidos.

ROI e impacto nos negócios

Um Captive Portal seguro transforma um centro de custo de TI tradicional em um ativo gerador de receita. Ao capturar dados primários (first-party) verificados, os locais podem criar perfis detalhados de visitantes. A Purple processou 440 milhões de logins em 2024 em mais de 80.000 locais ativos, comprovando a escala e a confiabilidade dessa abordagem.

Por exemplo, o McDonald's usa dados de Captive Portal para entender o tempo de permanência e a frequência de visitas dos clientes, enquanto o Manchester Airports Group otimiza o fluxo de passageiros com base em análises de conexão. O ROI é medido não apenas pelo crescimento do banco de dados de marketing, mas também pelos insights operacionais obtidos a partir dos 29 bilhões de pontos de dados coletados pela plataforma.

Definições principais

Captive Portal

Uma página web que intercepta o tráfego de rede e exige a interação do usuário (como aceitar termos ou fazer login) antes de conceder acesso total à internet.

O principal mecanismo para capturar dados primários (first-party) e aplicar termos de uso em redes de visitantes.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização.

O protocolo que a Purple usa para informar ao seu hardware de WiFi local que um visitante tem permissão para acessar a internet.

Walled Garden

Uma lista restrita de endereços IP ou domínios que um usuário pode acessar antes de se autenticar através do captive portal.

Essencial para permitir o carregamento da splash page e dos provedores de login social enquanto o dispositivo ainda está em estado de pré-autenticação.

VLAN

Virtual Local Area Network. Uma sub-rede lógica que agrupa uma coleção de dispositivos de diferentes LANs físicas.

Usada para segmentar de forma segura o tráfego de visitantes do tráfego corporativo, garantindo a conformidade com o PCI DSS.

Client Isolation

Uma configuração de segurança sem fio que impede que os dispositivos conectados ao mesmo ponto de acesso se comuniquem diretamente entre si.

Crucial para proteger os visitantes de ataques peer-to-peer e da propagação de malware na rede pública.

DHCP Lease Time

A duração pela qual um endereço IP é atribuído a um dispositivo antes de expirar e retornar ao pool disponível.

Deve ser mantido curto (30-60 minutos) em redes de visitantes para evitar a falta de endereços IP à medida que os visitantes entram e saem.

RADIUS CoA

Change of Authorisation (Mudança de Autorização). Uma extensão do RADIUS que permite ao servidor alterar o estado da sessão de um cliente ativo.

Usado pela Purple para desconectar instantaneamente os usuários quando o limite de tempo expira ou se eles solicitarem a exclusão de dados sob a GDPR.

OpenRoaming

Um serviço de federação de roaming que permite aos dispositivos conectarem-se de forma automática e segura a redes WiFi participantes usando certificados.

A próxima geração de conectividade contínua, onde a Purple atua como um provedor de identidade gratuito no plano Connect.

Exemplos práticos

Um hotel de 200 quartos precisa implantar WiFi de visitantes em toda a sua propriedade. Atualmente, eles usam uma única rede plana (192.168.1.0/24) para a recepção, back office e acesso de visitantes por meio de uma senha compartilhada. Eles desejam capturar os endereços de e-mail dos visitantes para fins de marketing, garantindo ao mesmo tempo a segurança dos sistemas da recepção.

  1. Implementar segmentação de rede: Crie a VLAN 10 para a recepção/escritório e a VLAN 20 para os visitantes.
  2. Configurar o firewall: Bloqueie todo o roteamento da VLAN 20 para a VLAN 10. Roteie a VLAN 20 diretamente para a WAN.
  3. Remover a senha compartilhada: Implante um SSID aberto chamado 'Hotel_Guest'.
  4. Configurar o captive portal: Configure o controlador WiFi para redirecionar o tráfego HTTP não autenticado para a URL do captive portal da Purple.
  5. Configurar o jardim murado (walled garden): Adicione os domínios do portal Purple e os recursos de CDN à lista de permissões para que a splash page seja carregada.
  6. Configurar o RADIUS: Adicione os endereços IP do servidor RADIUS da Purple e os segredos compartilhados ao controlador WiFi.
  7. Ajustar o DHCP: Defina o pool de DHCP da VLAN 20 para uma sub-rede /22 com um tempo de concessão (lease time) de 60 minutos para lidar com a alta rotatividade de dispositivos.
Comentário do examinador: Esta abordagem resolve o risco imediato de conformidade com o PCI DSS isolando os sistemas da recepção. A transição de uma senha compartilhada para um captive portal baseado em RADIUS permite a captura de dados necessária, oferecendo controle de sessão individual e rastreabilidade.

Um grande estádio espera 40.000 espectadores para uma partida. Eles implantaram um captive portal, mas estão preocupados com o desempenho da rede e o esgotamento de IPs durante o evento de 3 horas.

  1. Dimensionamento do DHCP: Implante uma sub-rede /16 para a VLAN de visitantes para fornecer mais de 65.000 endereços IP disponíveis.
  2. Tempos de concessão (Lease Times): Defina o tempo de concessão do DHCP para 30 minutos para liberar rapidamente os IPs de torcedores que saem mais cedo.
  3. Modelagem de banda (Bandwidth Shaping): Aplique um limite de taxa por usuário de 5 Mbps de download / 2 Mbps de upload no nível do controlador para evitar que alguns usuários saturem o link de internet de 10 Gbps.
  4. Isolamento de clientes (Client Isolation): Ative o isolamento de clientes no nível do AP para evitar tempestades de broadcast e tráfego peer-to-peer que possam degradar o desempenho do wireless no ambiente de alta densidade do estádio.
Comentário do examinador: Ambientes de alta densidade exigem gerenciamento agressivo de recursos. A combinação de uma sub-rede grande, concessões curtas e modelagem estrita de banda garante acesso justo para todos os torcedores, protegendo ao mesmo tempo a estabilidade da rede principal.

Questões práticas

Q1. Você está implantando um Captive Portal em uma sala de espera de um hospital. A splash page carrega com sucesso em dispositivos Android, mas os dispositivos iOS exibem uma tela branca em branco. Qual é a causa arquitetônica mais provável?

Dica: Considere como diferentes sistemas operacionais detectam portais cativos (Captive Portals) e quais recursos eles precisam alcançar.

Ver resposta modelo

O walled garden provavelmente está mal configurado. Os dispositivos iOS tentam acessar domínios específicos da Apple (como captive.apple.com) para acionar o mini-navegador do portal. Se esses domínios ou os recursos específicos de CDN exigidos pela splash page não estiverem na lista de permissões (whitelist) do walled garden, a página não será renderizada corretamente no Apple CNA (Captive Network Assistant).

Q2. Uma rede de varejo deseja oferecer WiFi gratuito, mas exige que os usuários façam login usando suas credenciais do Microsoft Entra ID. Durante os testes, os usuários são redirecionados para a splash page, clicam no botão "Entrar com a Microsoft", mas a página expira (timeout). Por quê?

Dica: Pense no estado do firewall antes que a autenticação RADIUS seja concluída.

Ver resposta modelo

Os endpoints de autenticação do Microsoft Entra ID não foram adicionados ao walled garden. Como o usuário está em um estado de pré-autenticação, o firewall bloqueia todo o tráfego para a internet. Para corrigir isso, os domínios de login e intervalos de IP específicos da Microsoft devem ser incluídos na lista de permissões para que o dispositivo possa se comunicar com o provedor de identidade para concluir o fluxo OAuth.

Q3. Um local está ficando sem endereços IP em sua rede de convidados todas as tardes, apesar de ter menos usuários simultâneos do que o tamanho do seu pool DHCP. Qual alteração de configuração é necessária?

Dica: Pense em quanto tempo um dispositivo retém um endereço IP depois de sair do edifício.

Ver resposta modelo

O tempo de concessão (lease time) do DHCP está configurado como muito alto (provavelmente o padrão de 12 ou 24 horas). Dispositivos que se conectam brevemente e saem estão retendo seus endereços IP, impedindo que novos dispositivos se conectem. O tempo de concessão deve ser reduzido para 30 a 60 minutos para reciclar rapidamente os IPs dos convidados que já saíram.

Continue a ler esta série

Otimizando Captive Portals B2B: Capturando Nomes de Empresas e Dados Profissionais

Este guia explica como gerentes de TI, arquitetos de rede e diretores de operações de locais podem configurar Captive Portals B2B para capturar dados profissionais - nomes de empresas, cargos e endereços de e-mail comercial - no momento do login no WiFi. Ele abrange toda a arquitetura técnica, desde o isolamento de VLAN e autenticação RADIUS até a integração de CRM com Salesforce e HubSpot, com conformidade com GDPR e CCPA integrada. Os locais que implantam isso corretamente transformam sua rede WiFi de convidados em um mecanismo de dados proprietários e em um sistema automatizado de geração de leads.

Ler o guia →

How to Set Up a Captive Portal on Starlink: A Guide for Remote & Maritime Venues

Este guia detalha como contornar o hardware nativo da Starlink e integrar um Captive Portal gerenciado na nuvem usando equipamentos de roteamento corporativos. Você aprenderá como superar a limitação de CGNAT, impor a segmentação de VLAN, gerenciar restrições de largura de banda de satélite e garantir a conformidade regulatória.

Ler o guia →

Melhores Práticas de Captive Portal: Projetando para Alta Conversão e Conformidade

Este guia técnico oferece aos gerentes de TI, arquitetos de rede e diretores de operações de locais um roteiro completo para a implantação de captive portals que equilibram a segurança de rede com uma alta conversão de usuários. O guia abrange toda a arquitetura, desde a segmentação de VLAN e autenticação RADIUS até o design de consentimento em conformidade com a GDPR e a seleção de métodos de autenticação. Extraído da experiência operacional da Purple em mais de 80.000 locais e 440 milhões de logins em 2024, cada recomendação é baseada em dados reais de implantação.

Ler o guia →