Pular para o conteúdo principal

Captive Portal vs Splash Page

Este guia de autoridade detalha a distinção crítica entre captive portals e splash pages em redes WiFi de visitantes. Ele esclarece como o mecanismo subjacente de interceptação de rede funciona em conjunto com a interface visual do visitante, ajudando líderes de TI e operadores de locais a tomar decisões arquitetônicas e de aquisição fundamentadas.

📖 8 min de leitura📝 1,872 palavras🔧 3 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
CAPTIVE PORTAL VS SPLASH PAGE - UM DIRECIONAMENTO TÉCNICO DA PURPLE Roteiro de Podcast - Aproximadamente 10 Minutos Voz em Inglês do Reino Unido --- SEGMENTO 1: INTRODUÇÃO E CONTEXTO (aproximadamente 1 minuto) Bem-vindo à série de Direcionamento Técnico da Purple. Eu sou o seu apresentador e hoje vamos esclarecer uma das fontes mais persistentes de confusão no fornecimento e implantação de WiFi para convidados: a diferença entre um Captive Portal e uma splash page. Se você já participou de uma reunião com fornecedores e ouviu esses dois termos sendo usados como sinônimos, você não está sozinho. Isso acontece constantemente - em documentos de RFP, em apresentações de estratégia de TI, até mesmo em conversas entre engenheiros de rede que deveriam saber a diferença. E essa confusão importa, porque quando você mistura os dois, acaba especificando demais o componente errado, investindo de menos no componente certo ou, pior, implantando uma solução de WiFi para convidados que parece ótima, mas não possui controle de rede adequado por trás dela, ou uma que é tecnicamente sólida, mas afasta os convidados com uma tela de login desajeitada e sem identidade visual. Então, vamos resolver isso hoje. Ao final deste briefing, você terá um modelo mental claro do que cada componente faz, como eles interagem e o que procurar ao avaliar soluções para o seu local - seja um hotel, uma rede de varejo, um estádio ou um prédio do setor público. --- SEGMENTO 2: ANÁLISE TÉCNICA DETALHADA (aproximadamente 5 minutos) Vamos começar com o Captive Portal, porque ele é a base sobre a qual todo o resto se apoia. Um Captive Portal é um mecanismo de camada de rede. O seu trabalho é interceptar todo o tráfego de saída de um dispositivo recém-conectado e mantê-lo em uma espécie de sala de espera digital até que esse dispositivo seja autenticado. Quando um convidado se conecta ao SSID do seu WiFi, o dispositivo dele recebe um endereço IP via DHCP - essa parte funciona normalmente. Mas, antes que qualquer tráfego real de internet seja permitido, o Captive Portal o intercepta. Aqui está a sequência técnica. O dispositivo do convidado envia uma solicitação HTTP ou HTTPS - pode ser uma tentativa de carregar um site ou a própria verificação de conectividade do sistema operacional, que dispositivos modernos como iPhones e celulares Android executam automaticamente. O controlador do Captive Portal - que fica no seu controlador sem fio, no seu roteador ou em uma plataforma baseada em nuvem - intercepta essa consulta de DNS ou solicitação HTTP e a redireciona. Em vez de acessar a internet, o dispositivo recebe uma resposta de redirecionamento apontando para uma URL específica. Essa URL é onde a splash page está hospedada. Agora, o mecanismo de redirecionamento em si usa uma de duas técnicas principais. A primeira é o sequestro de DNS - o captive portal intercepta as consultas de DNS e retorna o endereço IP do servidor do portal em vez do destino real. A segunda é o redirecionamento HTTP - o portal intercepta a requisição HTTP no gateway e emite uma resposta de redirecionamento 302. Para o tráfego HTTPS, isso é mais complexo, porque você não pode interceptar uma sessão criptografada sem acionar um aviso de certificado. É por isso que a maioria das implementações de captive portal conta com o Captive Network Assistant integrado do sistema operacional - o pop-up que aparece no seu telefone quando você se conecta a uma nova rede - que usa um endpoint HTTP conhecido para detectar captive portals antes de tentar conexões HTTPS. Na camada de rede, o captive portal impõe o controle de acesso usando regras de firewall. Os dispositivos não autenticados são colocados em uma VLAN ou sub-rede restrita, onde todo o tráfego, exceto o DNS e o HTTP para o servidor do portal, é bloqueado. Assim que a autenticação é confirmada - seja por meio de um simples clique de aceitação, login social, captura de e-mail ou uma troca completa de credenciais 802.1X - o controlador do portal atualiza as regras de firewall para o endereço MAC daquele dispositivo, movendo-o da zona restrita para a zona autorizada com acesso total à internet. Isso é importante: o captive portal é invisível para o convidado. Eles nunca o veem diretamente. O que eles veem é a splash page. A splash page é a camada de aplicação - é o HTML, CSS e JavaScript renderizado no navegador do convidado ou no pop-up do Captive Network Assistant. É a interface visual: sua marca, seu logotipo, sua mensagem de boas-vindas, seus termos e condições, seus botões de login social, suas caixas de seleção de aceitação de marketing. É o que transforma um evento frio de autenticação de rede em uma experiência de marca para o convidado. Pense desta forma. O captive portal é o segurança na porta - ele decide quem entra e impõe as regras. A splash page é a mesa de recepção - ela é o rosto do seu estabelecimento, coleta informações e faz o convidado se sentir bem-vindo. Você precisa de ambos, e eles precisam funcionar juntos perfeitamente. Agora, por que essa distinção importa comercialmente? Porque quando você está avaliando uma solução de WiFi para convidados, você precisa fazer perguntas diferentes sobre cada componente. Para o captive portal, você pergunta: Quais métodos de autenticação ele suporta? Ele pode lidar com 802.1X para dispositivos corporativos juntamente com login social para convidados? Ele suporta bypass de endereço MAC para dispositivos que não conseguem exibir um navegador? Como ele lida com limites de tempo de sessão e reautenticação? Ele está em conformidade com suas obrigações de proteção de dados de acordo com a GDPR? Ele se integra à sua infraestrutura RADIUS? Ele pode segmentar o tráfego por tipo de usuário - separando o tráfego de convidados do tráfego de funcionários na camada de rede?Para a splash page, você deve se perguntar: quão personalizável ela é? Sua equipe de marketing pode editá-la sem mexer na configuração da rede? Ela suporta testes A/B? Pode exibir conteúdos diferentes para diferentes segmentos de usuários - membros do programa de fidelidade versus visitantes de primeira viagem, por exemplo? Suporta fundos em vídeo, banners promocionais ou páginas de redirecionamento pós-conexão? Como é o desempenho em dispositivos móveis? É acessível? Estes são critérios de aquisição fundamentalmente diferentes, e confundi-los leva a decisões equivocadas. Já vimos organizações investirem muito no design de uma bela splash page para depois descobrirem que o Captive Portal subjacente não suporta os métodos de autenticação exigidos por sua política de segurança de TI. Também já vimos o oposto - implantações de Captive Portal tecnicamente robustas com splash pages tão mal desenhadas que as taxas de adesão dos visitantes ficam na faixa dos trinta por cento. Vamos falar sobre os padrões que sustentam tudo isso. O mecanismo de Captive Portal não possui um padrão regulador único, mas opera dentro da estrutura de vários padrões importantes. O IEEE 802.1X é o padrão de controle de acesso à rede baseado em porta que rege como os dispositivos se autenticam em uma rede usando credenciais, certificados ou tokens. É a base da segurança de WiFi corporativo e é cada vez mais relevante até mesmo em contextos de WiFi para visitantes, onde você deseja oferecer acesso contínuo e baseado em credenciais para visitantes que retornam. O WPA3, o protocolo de segurança WiFi mais recente, introduz a Criptografia Sem Fio Oportunista, que criptografa o tráfego mesmo em redes abertas - algo relevante para implantações de Captive Portal porque altera a forma como o handshake inicial de conexão funciona. Do ponto de vista de conformidade, o GDPR tem implicações significativas para o design da splash page. Se sua splash page coleta dados pessoais - um endereço de e-mail, um nome, um login social - você precisa de consentimento explícito e informado, um aviso de privacidade claro e uma base legal para o processamento. A splash page é onde esse consentimento é capturado, mas o Captive Portal é o que impõe a conexão entre o consentimento e o acesso. Se um visitante recusar a adesão ao marketing, o Captive Portal ainda precisará conceder a ele acesso à internet - o consentimento para marketing não pode ser uma condição para acessar a rede sob o GDPR. O PCI-DSS é relevante se a sua rede de WiFi para visitantes estiver no escopo de ambientes de dados de cartões - normalmente no varejo ou na hotelaria. A segmentação de rede aplicada pelo Captive Portal é um controle essencial aqui, garantindo que o tráfego de visitantes seja isolado dos sistemas de pagamento. - SEGMENTO 3: RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS (aproximadamente 2 minutos) Deixe-me apresentar dois cenários do mundo real que ilustram como isso funciona na prática. Primeiro, um grupo de hotéis de 200 quartos. Eles implantaram uma solução de WiFi para visitantes em que a página de splash era lindamente personalizada com a marca deles — o logotipo, uma mensagem de boas-vindas, uma oferta promocional para o spa. Mas o Captive Portal subjacente era uma implementação básica de código aberto que usava sequestro de DNS sem qualquer gerenciamento de sessão. O resultado: os hóspedes que retornavam ao hotel eram solicitados a fazer login novamente a cada visita, mesmo durante a mesma estadia. A página de splash parecia ótima, mas o Captive Portal não tinha persistência de endereço MAC, nenhuma configuração de tempo limite de sessão e nenhuma integração com o sistema de gestão hoteleira. A correção exigiu a substituição total do controlador do Captive Portal — a página de splash estava ótima. Segundo, uma rede nacional de varejo. Eles implantaram um Captive Portal de nível empresarial com suporte completo a 802.1X, integração RADIUS e segmentação de tráfego sofisticada. Mas a página de splash deles era um modelo padrão — branco simples, sem marca, uma mensagem genérica "Conectar ao WiFi". A adesão dos visitantes foi de 34%. Depois que investiram em uma página de splash devidamente projetada e personalizada com a marca, com uma opção de login social em um único clique, a adesão aumentou para 71% em três meses. O Captive Portal não havia mudado em nada. A lição de ambos os cenários: esses componentes distintos exigem investimentos e conhecimentos separados. Não deixe que sua equipe de rede seja responsável pelo design da página de splash e não deixe que sua equipe de marketing tome decisões sobre a arquitetura do Captive Portal. Armadilhas comuns a evitar: primeiro, assumir que uma página de splash é um Captive Portal. Não é. Uma página de splash sem um Captive Portal é apenas uma página da web que ninguém é forçado a visitar. Segundo, implantar um Captive Portal sem suporte a HTTPS para a página de splash. Quaisquer dados coletados em uma página de splash não criptografada — endereços de e-mail, credenciais de login — são transmitidos em texto simples. Isso é um risco de segurança e de conformidade com a GDPR. Terceiro, ignorar a experiência móvel. Mais de 80% das conexões de WiFi de visitantes são de dispositivos móveis. Se a sua página de splash não estiver otimizada para celular, você estará criando atrito exatamente no momento em que deveria estar criando uma impressão positiva da marca. --- SEGMENTO 4: PERGUNTAS E RESPOSTAS RÁPIDAS (aproximadamente 1 minuto) Deixe-me passar por algumas perguntas que ouvimos regularmente. Posso ter uma página de splash sem um Captive Portal? Tecnicamente sim — você pode hospedar uma página da web e direcionar as pessoas para ela — mas sem o Captive Portal forçando o redirecionamento, os visitantes não têm motivo para visitá-la. Você não teria captura de dados, nenhum gerenciamento de consentimento e nenhum controle de acesso à rede. Posso ter um Captive Portal sem uma página de splash? Sim, e isso é comum em ambientes corporativos onde o 802.1X lida com a autenticação de forma silenciosa. Mas para implantações voltadas para visitantes, você quase sempre desejará uma página de splash para gerenciar a experiência do usuário e a captura de dados. O WPA3 quebra os portais cativos? Não se for implementado corretamente. O WPA3 com Opportunistic Wireless Encryption é compatível com implantações de Captive Portal, mas exige que o portal use HTTPS e que a rede anuncie a URL do portal corretamente. Alguns dispositivos clientes mais antigos apresentam problemas de compatibilidade, e é por isso que muitos locais utilizam configurações de SSID duplo. O login social através da Splash Page é seguro? Depende da implementação. O login social baseado em OAuth 2.0 - via Google, Facebook ou Apple - é seguro quando implementado corretamente. A Splash Page gerencia o fluxo de OAuth, e o Captive Portal recebe um token confirmando a autenticação. O principal risco está em como esse token é validado e como a sessão é gerenciada. SEGMENTO 5: RESUMO E PRÓXIMOS PASSOS (aproximadamente 1 minuto) Vamos encerrar com as principais conclusões. Primeiro: um Captive Portal e uma Splash Page não são a mesma coisa. O Captive Portal é o mecanismo de controle de rede - ele intercepta o tráfego e aplica as regras de acesso. A Splash Page é a interface visual - é o que o visitante vê e com o qual interage. Segundo: eles trabalham juntos. O Captive Portal redireciona o visitante para a Splash Page. A Splash Page coleta a autenticação ou o consentimento. O Captive Portal, então, concede o acesso com base nesse resultado. Terceiro: avalie-os separadamente. Faça perguntas diferentes, aplique competências distintas e defina orçamentos para ambos de forma independente. Quarto: a conformidade vive na interseção. O consentimento da GDPR é capturado na Splash Page, mas aplicado pelo Captive Portal. Acerte em ambos. Quinto: a Purple oferece ambos. Se você procura uma plataforma que gerencie o controle de Captive Portal de nível corporativo junto com um design de Splash Page rico e personalizável - com análises completas, ferramentas de conformidade com a GDPR e integrações com sua infraestrutura existente - é exatamente para isso que a Purple foi criada. Para os seus próximos passos, recomendo revisar os guias de implementação da Purple sobre autenticação 802.1X e análises de WiFi para visitantes. Os links estão nas notas do programa. E se você estiver no meio de um processo de aquisição, entre em contato com a equipe da Purple para uma avaliação técnica - vale a pena acertar na arquitetura antes de se comprometer com uma implantação. Obrigado por ouvir. Até a próxima. FIM DO ROTEIRO

📚 Parte da nossa série principal: O Guia Definitivo para Captive Portals

header_image.png

Resumo Executivo

Para gerentes de TI, arquitetos de rede e diretores de operações de locais físicos, o WiFi para visitantes não é mais apenas uma conveniência - é um ponto de contato crítico para captura de dados primários, engajamento de marketing e segurança de rede. No entanto, um ponto persistente de confusão em RFPs (solicitações de propostas) e discussões de implantação é a combinação do Captive Portal com splash pages.

Este guia tem como objetivo esclarecer essa distinção fundamental. O Captive Portal é um mecanismo de controle no nível da camada de rede que intercepta o tráfego, bloqueia o acesso à internet e gerencia a autenticação segura. A splash page, por outro lado, é a interface visual na camada de aplicação - a página web com a qual os visitantes visualizam, interagem e usam para se autenticar.

Confundir esses dois componentes gera riscos significativos de aquisição e implementação, como comprar uma splash page com design atraente, mas com controles de backend inseguros, ou implantar um Captive Portal altamente seguro com uma interface de usuário obsoleta e sem identidade de marca que afasta os visitantes. Ao compreender como essas tecnologias funcionam em conjunto, as organizações podem usar plataformas como o Purple para oferecer uma experiência de WiFi para visitantes segura, em conformidade e altamente engajadora que gera valor comercial mensurável.

comparison_chart.png

Imersão Técnica

O Captive Portal: Interceptação de Tráfego na Camada de Rede

O Captive Portal opera nas camadas inferiores do modelo OSI (normalmente as Camadas 2 e 3) para aplicar o controle de acesso. Quando o dispositivo de um visitante se conecta a um SSID aberto, o servidor DHCP local atribui a ele um endereço IP, máscara de sub-rede e gateway padrão. No entanto, o ponto de acesso sem fio (AP) ou controladora gateway coloca o endereço MAC desse dispositivo em um estado não autenticado dentro da tabela de sessão do firewall.

Nesse estado, o firewall bloqueia todo o tráfego IP de saída, com exceção de serviços de rede essenciais, como DNS e DHCP. Quando o visitante tenta acessar um site externo, o Captive Portal intercepta o tráfego usando um de dois métodos principais:

  1. Redirecionamento HTTP (redirecionamento 302): O gateway intercepta a solicitação HTTP inicial e retorna uma resposta HTTP 302 Found, redirecionando o navegador do cliente para a URL da splash page.
  2. Sequestro de DNS (DNS hijacking): O gateway intercepta consultas DNS e resolve todos os nomes de domínio para o endereço IP do servidor local da splash page. Embora simples, este método tem sido progressivamente descontinuado devido ao DNSSEC e a avisos de segurança no nível do navegador. Sistemas operacionais móveis modernos fazem uso de um daemon integrado chamado Captive Network Assistant (CNA). Ao se conectar a uma rede, o CNA tenta alcançar um endpoint HTTP conhecido e não criptografado (por exemplo, o captive.apple.com da Apple ou o connectivitycheck.gstatic.com do Google). Se essa resposta for interceptada e redirecionada, o sistema operacional reconhece que está atrás de um Captive Portal e exibe automaticamente a Splash Page em uma janela dedicada do navegador do sistema, eliminando a necessidade de o usuário abrir um navegador web manualmente.

Depois que o usuário conclui o fluxo de autenticação na Splash Page, o servidor de autenticação (geralmente um servidor RADIUS) envia um pacote Access-Accept para o controlador de rede. O controlador então atualiza suas regras de firewall para conceder acesso total à internet ao endereço MAC desse dispositivo, normalmente utilizando MAC Address Bypass (MAB) para lembrar o dispositivo por uma duração de sessão especificada.

A Splash Page: Experiência do Usuário na Camada de Aplicação

Ao contrário do Captive Portal, a Splash Page é uma aplicação web padrão que opera na Camada 7 (a camada de aplicação). Ela é construída com tecnologias web padrão (HTML, CSS e JavaScript) e hospedada localmente no controlador gateway ou, mais comumente, em uma plataforma de nuvem como a Purple.

A Splash Page serve como a interface visual do visitante e ponto de contato da marca. Suas principais funções técnicas incluem:

  • Federação de identidade: Facilitar o login social (Google, Facebook, Apple) usando o protocolo OAuth 2.0.
  • Captura de dados: Coletar detalhes dos visitantes, como endereços de e-mail, nomes e números de programas de fidelidade.
  • Gestão de consentimento: Capturar o consentimento explícito de opt-in para marketing, juntamente com o aceite dos termos de serviço e políticas de privacidade, garantindo a conformidade com regulamentos como o General Data Protection Regulation (GDPR) [1] e a California Consumer Privacy Act (CCPA).
  • Entrega de publicidade e branding: Exibir banners promocionais direcionados, anúncios em vídeo ou páginas de redirecionamento pós-conexão para monetizar o espaço físico.

Como a Splash Page é uma aplicação web, ela deve ser altamente responsiva e otimizada para dispositivos móveis, que representam mais de 80% das conexões de WiFi de visitantes.

architecture_overview.png

Guia de Implementação

A implantação de uma solução de WiFi para visitantes de nível empresarial exige uma coordenação estreita entre a infraestrutura de rede e o software em nuvem. O texto a seguir é um guia arquitetônico neutro em relação ao fornecedor para implementar um sistema de Captive Portal e Splash Page.

Arquitetura de Implantação Passo a Passo

  1. Segmentação de rede: Configure uma VLAN dedicada para visitantes em seus switches e pontos de acesso para isolar o tráfego de visitantes da rede corporativa interna, terminais de ponto de venda (POS) e dispositivos IoT. Este é um requisito fundamental para a conformidade com o PCI-DSS [2].
  2. Configuração de SSID: Configure um SSID aberto com Opportunistic Wireless Encryption (OWE) habilitado se seu hardware for compatível, ou um SSID aberto padrão. Habilite o redirecionamento de Captive Portal no perfil do SSID em sua controladora wireless (por exemplo, Cisco Catalyst, Aruba Instant On ou Ruckus SmartZone).
  3. Configuração de Walled Garden (ACL): Antes da autenticação, os dispositivos dos visitantes devem ter permissão para acessar determinados domínios externos para que a Splash page seja renderizada corretamente. Isso é conhecido como "Walled Garden" ou lista de controle de acesso (ACL). Você deve incluir:
    • O domínio da sua Splash page hospedada na nuvem (por exemplo, *.purple.ai).
    • Os endpoints de OAuth dos provedores de login social (por exemplo, *.facebook.com, *.google.com, *.apple.com).
    • As redes de distribuição de conteúdo (CDNs) que hospedam os recursos necessários (fontes, folhas de estilo, imagens).
  4. Integração do servidor RADIUS: Configure a controladora wireless para usar um servidor RADIUS externo (como o cloud RADIUS da Purple) para autenticação e bilhetagem (802.1X / AAA) [3].
  5. Personalização da Splash page: Desenhe a Splash page dentro do portal Purple, garantindo consistência da marca, responsividade móvel e caixas de seleção claras para consentimento legal.
  6. Políticas de sessão e largura de banda: Defina limites de tempo de sessão (por exemplo, 8 horas), tempos de inatividade (por exemplo, 30 minutos) e limites de largura de banda por usuário (por exemplo, 5 Mbps de download, 2 Mbps de upload) na controladora de rede para evitar abusos na rede e garantir acesso justo para todos os visitantes.
Parâmetro Técnico Captive Portal (Gateway de Rede) Splash Page (Aplicação em Nuvem)
Camada OSI Camada 2 / Camada 3 (Rede/Link de Dados) Camada 7 (Aplicação)
Protocolos Primários RADIUS, DHCP, HTTP (redirecionamento 302) HTTP, HTTPS, HTML5, CSS3, OAuth 2.0
Funções Principais Interceptação de tráfego, controle de acesso, controle de banda Interface do usuário, coleta de dados, consentimento, branding
Visibilidade do Usuário Totalmente invisível (mecanismo de backend) 100% visível (tela de boas-vindas visual)
Padrões de Segurança IEEE 802.1X, WPA3, OWE, PCI DSS HTTPS, SSL/TLS, GDPR, CCPA
Hardware Típico APs wireless, roteadores gateway, controladoras Servidores em nuvem, CDNs

Melhores Práticas

Para garantir uma rede WiFi de visitantes altamente disponível, segura e em conformidade com as leis, as equipes de TI devem seguir estas melhores práticas do setor:

1. Impor Certificados HTTPS e SSL/TLS

Todo o tráfego entre o dispositivo do visitante e a splash page deve ser criptografado usando HTTPS. Executar uma splash page em HTTP não criptografado expõe os dados dos visitantes - incluindo credenciais de login e endereços de e-mail - a farejamento de pacotes (packet sniffing) e ataques man-in-the-middle. Certifique-se de que o domínio da sua splash page tenha um certificado SSL/TLS válido e publicamente confiável. Certificados autoassinados geram avisos graves no navegador que fazem com que os visitantes abandonem a conexão.

2. Implemente Isolamento de Rede

Nunca direcione o tráfego de WiFi de visitantes para a mesma VLAN ou sub-rede que os ativos corporativos. O tráfego de visitantes deve ser isolado em uma VLAN exclusiva para visitantes, com regras rígidas de firewall que impeçam qualquer roteamento entre VLANs em direção a sub-redes internas. Isso reduz o risco de propagação de malware e acesso não autorizado a dados corporativos confidenciais.

3. Garanta a Conformidade com GDPR e CCPA

Se o seu estabelecimento opera ou atende cidadãos do Reino Unido, da UE ou da Califórnia, sua splash page deve aderir a leis rígidas de privacidade de dados:

  • Consentimento dado livremente: As caixas de seleção de aceitação de marketing devem estar desmarcadas por padrão. O consentimento para comunicações de marketing não pode ser uma pré-condição para o acesso à internet.
  • Política de privacidade clara: Forneça um link direto e de fácil acesso para sua política de privacidade na splash page.
  • Direito ao esquecimento (direito à exclusão): Certifique-se de que sua plataforma de WiFi de visitantes (como a Purple) ofereça suporte a fluxos de trabalho automatizados para visitantes que solicitam a exclusão de seus dados pessoais.

4. Otimize para Dispositivos Móveis e o CNA

Certifique-se de que a splash page seja leve e altamente responsiva. Evite fundos de vídeo pesados ou imagens grandes não compactadas, que lentificam o carregamento da página - especialmente em ambientes de altíssima densidade, como estádios ou centros de convenções. Teste a splash page em diversos sistemas operacionais móveis para garantir a renderização contínua dentro do navegador nativo do Captive Network Assistant (CNA).

Resolução de Problemas e Mitigação de Riscos

Modos de Falha Comuns e Estratégias de Mitigação

  • O pop-up do CNA não aparece: Se o redirecionamento do Captive Portal não acionar o CNA do dispositivo, os visitantes podem permanecer conectados ao SSID sem acesso à internet e sem uma maneira óbvia de fazer login.
    • Mitigação: Certifique-se de que os servidores DNS atribuídos aos visitantes via DHCP estejam totalmente funcionais e sejam capazes de resolver domínios externos. Se a resolução de DNS falhar, o CNA não poderá realizar seu teste de conectividade e o redirecionamento nunca será acionado.
  • Configuração incorreta do Walled Garden: Os visitantes não conseguem concluir o login por redes sociais porque a página de login do OAuth não carrega ou exibe um erro de conexão.
    • Mitigação: Verifique duas vezes a ACL de Walled Garden do gateway. Os provedores de login social alteram frequentemente as suas faixas de IP e domínios. O uso de uma plataforma de WiFi para visitantes gerenciada na nuvem, como a Purple, garante que os domínios de Walled Garden sejam atualizados de forma automática e mantidos em sincronia com o seu hardware.* Limitações do navegador CNA: O navegador nativo do CNA em dispositivos móveis tem funcionalidade limitada em comparação com navegadores padrão, como o Safari ou o Chrome. Ele pode bloquear cookies, pop-ups ou redirecionamentos externos.
    • Mitigação: Evite JavaScript complexo ou integrações de terceiros na splash page que exijam persistência de cookies ou pop-ups do navegador. Mantenha o fluxo de autenticação o mais simples e direto possível.

ROI e Impacto nos Negócios

Compreender a distinção entre o Captive Portal e a splash page permite que as organizações maximizem o retorno sobre o investimento (ROI), otimizando tanto o desempenho da rede quanto a utilidade comercial de suas redes de WiFi para visitantes.

O Valor Comercial de uma Solução Duplamente Otimizada

  • Maior engajamento dos visitantes: Em comparação com uma página de boas-vindas genérica e sem marca, uma splash page projetada profissionalmente - quando combinada com os produtos principais da Purple, como Guest WiFi e WiFi Analytics [4] [5] - pode aumentar as taxas de login de visitantes em até 40%.
  • Captura rica de dados primários: Ao oferecer login simplificado por redes sociais e campos de formulário estruturados, locais em setores como Varejo , Hotelaria , Saúde e Transporte podem capturar endereços de e-mail limpos e verificados, dados demográficos e dados de frequência de visitas.
  • Oportunidades de monetização: O uso da splash page para monetização de mídia de varejo permite que os locais exibam publicidade direcionada aos visitantes no momento da conexão, aproveitando o mercado de publicidade digital em rápido crescimento.
  • Eficiência operacional: Um Captive Portal robusto reduz os chamados de suporte de TI ao automatizar a integração de dispositivos, gerenciar limites de tempo de sessão e aplicar limites de largura de banda para evitar o congestionamento da rede.

Ao implantar a solução de nível empresarial da Purple, os locais podem garantir que a arquitetura de sua rede seja segura e esteja em conformidade, ao mesmo tempo em que dão às suas equipes de marketing total liberdade criativa para projetar splash pages bonitas e de alta conversão que geram fidelidade dos clientes e impulsionam a receita.

Referências

Definições principais

Captive Portal

Um mecanismo de camada de rede que intercepta o tráfego do cliente e restringe o acesso à internet até que os critérios de autenticação sejam atendidos.

Encontrado pelas equipes de TI ao configurar controladores sem fio, gateways ou firewalls para redirecionar endereços MAC não autenticados.

Splash Page

A página de destino visual, baseada na web, renderizada no navegador do visitante que facilita a autenticação, a captura de dados e o engajamento com a marca.

Gerenciado pelas equipes de marketing e operações do local para projetar a experiência de integração do usuário e coletar dados do cliente.

Captive Network Assistant (CNA)

Um recurso integrado do sistema operacional em dispositivos móveis que detecta automaticamente um Captive Portal e abre a splash page em uma janela do navegador do sistema.

Crucial para a experiência do usuário, pois elimina a necessidade de os visitantes abrirem manualmente um navegador para fazer login.

Walled Garden (ACL)

Uma lista de endereços IP ou domínios que um usuário não autenticado tem permissão para acessar antes de fazer login na rede.

Deve ser configurado corretamente no gateway sem fio para permitir o carregamento da splash page e dos fluxos OAuth de login social.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA) para usuários que se conectam a uma rede.

Utilizado pelo Captive Portal para verificar as credenciais do visitante em um banco de dados e conceder acesso à rede.

MAC Address Bypass (MAB)

Um mecanismo que permite que um dispositivo ignore a tela de login do Captive Portal em conexões subsequentes, lembrando seu endereço MAC de hardware.

Utilizado para criar uma experiência fluida para visitantes que retornam, eliminando a necessidade de fazer login repetidamente.

Opportunistic Wireless Encryption (OWE)

Um padrão WiFi (parte do WPA3) que fornece criptografia em redes abertas sem exigir uma senha compartilhada.

Permite a transmissão segura de dados em redes públicas de visitantes, ao mesmo tempo em que permite o redirecionamento do Captive Portal.

VLAN Segmentation

A prática de dividir uma rede física em várias redes lógicas na Camada 2 para isolar o tráfego.

Essencial para implantações de WiFi de visitantes para garantir que o tráfego de visitantes seja completamente isolado de redes corporativas seguras.

Exemplos práticos

Uma rede varejista nacional com 150 lojas deseja implementar uma rede WiFi de visitantes que capture e-mails de clientes para fins de marketing, mas sua equipe de segurança de TI está preocupada com o tráfego de visitantes acessando os sistemas de Ponto de Venda (POS) corporativos. Como isso deve ser arquitetado?

  1. Configure uma VLAN de visitantes dedicada (por exemplo, VLAN 50) em todos os switches e access points nas 150 lojas, totalmente isolada da VLAN do POS corporativo (VLAN 10) usando ACLs de firewall. 2. Ative o redirecionamento de captive portal no SSID de visitantes, apontando a URL de redirecionamento para a splash page segura hospedada na nuvem do Purple. 3. Configure o gateway de rede para restringir todo o tráfego pré-autenticado na VLAN 50, permitindo o acesso apenas a DNS, DHCP e aos domínios do Walled Garden do Purple. 4. Utilize a integração do Purple com o controlador sem fio para autenticar visitantes via RADIUS, concedendo acesso à internet apenas depois que o visitante fornecer um endereço de e-mail verificado e aceitar os termos de serviço na splash page.
Comentário do examinador: Esta arquitetura alcança os objetivos duplos de marketing e segurança. Ao separar as camadas de rede (segmentação de VLAN na Camada 2/3) da camada de aplicação (captura de e-mail na splash page na Camada 7), a rede varejista garante a conformidade com PCI-DSS para seus sistemas de POS enquanto maximiza a captura de dados de marketing.

Um estádio de esportes com capacidade para 50.000 pessoas quer oferecer WiFi gratuito durante os eventos. A equipe de operações quer uma experiência de login contínua para evitar o congestionamento da rede no início dos jogos, enquanto a equipe de marketing quer exibir anúncios em vídeo de patrocinadores na splash page. Como você equilibra esses requisitos?

  1. Implante access points de alta densidade e configure um captive portal com MAC Address Bypass (MAB) definido para 30 dias, para que os torcedores que retornam não precisem ver a splash page a cada visita. 2. Para novas conexões, projete uma splash page ultraleve, otimizada para carregamento rápido em dispositivos móveis. 3. Incorpore um anúncio em vídeo curto de patrocinador com 5 segundos de duração para ser reproduzido diretamente na splash page, com um botão 'Pular e Conectar' que aciona imediatamente a autenticação do captive portal. 4. Configure o captive portal para alocar um perfil de largura de banda generoso (por exemplo, 10 Mbps) por usuário para garantir uma transmissão de vídeo e navegação na web fluidas.
Comentário do examinador: Em ambientes de alta densidade, o desempenho é primordial. O uso de MAB para torcedores que retornam reduz drasticamente a carga no captive portal e nos servidores RADIUS durante os horários de pico. O design leve da splash page e o anúncio em vídeo curto garantem que a equipe de marketing atinja seus objetivos de patrocínio sem causar frustração na rede ou atrasos na integração.

Um grande hospital público deseja fornecer WiFi de visitantes para pacientes e acompanhantes. A equipe de conformidade exige que a rede esteja em conformidade com os padrões de privacidade de dados de saúde e que os pacientes não consigam acessar conteúdo web malicioso ou inadequado. Qual é a estratégia de implantação recomendada?

  1. Configure o captive portal para redirecionar os usuários para uma splash page que contenha um aviso de privacidade claro e termos de serviço específicos para a área de saúde. 2. Integre o gateway do captive portal com um serviço de filtragem de DNS baseado na nuvem (como Cisco Umbrella ou Webroot) para bloquear automaticamente o acesso a conteúdo adulto, malware e sites de phishing. 3. Desative as opções de login social para evitar a coleta de dados pessoais desnecessários, contando em vez disso com um botão simples de 'Aceitar e Conectar' ou um formulário básico de verificação de e-mail. 4. Imponha uma modelagem de largura de banda rígida no captive portal para priorizar aplicações clínicas e dispositivos IoT do hospital sobre o tráfego de streaming dos visitantes.
Comentário do examinador: Ambientes de saúde exigem uma abordagem conservadora em relação à privacidade de dados e filtragem de conteúdo. Ao omitir o login social, o hospital minimiza seu impacto de conformidade com as regulamentações de dados de saúde. A integração da filtragem de DNS diretamente no gateway do Captive Portal garante que as políticas de conteúdo sejam aplicadas em toda a rede, independentemente do que o usuário faça na splash page.

Questões práticas

Q1. Um gerente de TI percebe que os visitantes estão se conectando ao SSID de WiFi de visitantes, mas a splash page personalizada não aparece e os usuários não conseguem acessar a internet. Qual é a causa técnica mais provável desse problema e como ele deve ser diagnosticado?

Dica: Considere o papel do DNS no processo de redirecionamento do Captive Portal.

Ver resposta modelo

A causa mais provável é uma falha no processo de resolução de DNS. Quando um dispositivo se conecta, ele precisa resolver o nome de domínio da splash page para carregar a tela de boas-vindas. Se o servidor DNS atribuído à VLAN de visitantes estiver inoperante, configurado incorretamente ou bloqueado pelas regras de firewall de pré-autenticação do gateway, o dispositivo não conseguirá resolver o domínio e o redirecionamento falhará. Para diagnosticar, conecte um dispositivo de teste ao SSID, verifique se ele recebe um IP e endereço de servidor DNS válidos via DHCP e tente testar a conectividade ou resolver um domínio público. Se o DNS falhar, verifique o status do servidor DNS e garanta que o tráfego de DNS (porta UDP 53) seja permitido na ACL de pré-autenticação do gateway.

Q2. Um estabelecimento comercial deseja permitir que os visitantes façam login usando suas contas do Facebook. No entanto, quando os usuários clicam no botão de login do Facebook na splash page, recebem um erro de 'Conexão Recusada'. O restante da splash page é carregado perfeitamente. Qual é o problema e como resolvê-lo?

Dica: Pense em quais recursos externos um dispositivo pré-autenticado tem permissão para acessar.

Ver resposta modelo

O problema é que os domínios de autenticação do Facebook não estão incluídos na lista de controle de acesso (ACL) do Walled Garden de pré-autenticação do gateway. Como o usuário ainda não está autenticado, o Captive Portal bloqueia todo o tráfego externo. Quando o usuário clica no botão do Facebook, o navegador tenta alcançar os servidores OAuth do Facebook, o que é bloqueado pelo gateway. Para resolver isso, a equipe de TI deve adicionar os domínios OAuth do Facebook necessários (por exemplo, *.facebook.com, *.facebook.net) à ACL do Walled Garden no controlador sem fio ou gateway.

Q3. Um local de hospitalidade implantou uma rede WiFi para convidados. A equipe de marketing deseja coletar os endereços de e-mail dos convidados e enviar imediatamente um boletim informativo de boas-vindas. No entanto, a equipe jurídica está preocupada com a conformidade com o GDPR em relação ao consentimento. Como a página de login e o Captive Portal devem ser configurados para atender a ambas as equipes?

Dica: O GDPR exige que o consentimento para marketing seja dado de forma livre e não como uma condição para a prestação do serviço.

Ver resposta modelo

Para atender às equipes de marketing e jurídica sob o GDPR: 1. A página de login deve apresentar uma caixa de seleção clara e desmarcada para a aceitação de marketing ("Aceito receber e-mails de marketing"). 2. Aceitar os Termos de Serviço e a Política de Privacidade deve ser uma caixa de seleção separada ou claramente declarada como uma condição para o uso da rede gratuita. 3. O sistema de Captive Portal e de página de login subjacente deve ser configurado para conceder acesso à internet independentemente de a caixa de seleção de marketing estar marcada ou desmarcada. Se um usuário deixar a caixa de marketing desmarcada, mas aceitar os Termos de Serviço, o sistema ainda deverá enviar um pacote Access-Accept para o controlador de rede. Isso garante que o consentimento seja dado livremente, em conformidade com o GDPR, ao mesmo tempo em que permite que o marketing colete e-mails dos usuários que optarem por participar.