Pular para o conteúdo principal

Captive Portal vs Splash Page

Este guia definitivo detalha a distinção crítica entre captive portals e splash pages em redes de WiFi de visitantes. Ele esclarece como o mecanismo subjacente de interceptação de rede funciona em conjunto com a interface visual do visitante, ajudando líderes de TI e operadores de locais a tomar decisões arquitetônicas e de aquisição informadas.

📖 8 min de leitura📝 2,126 palavras🔧 3 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
CAPTIVE PORTAL VS SPLASH PAGE - UMA APRESENTAÇÃO TÉCNICA DA PURPLE Roteiro do Podcast - Aproximadamente 10 Minutos Voz em Inglês do Reino Unido --- SEGMENTO 1: INTRODUÇÃO E CONTEXTO (aproximadamente 1 minuto) Bem-vindo à série de Apresentações Técnicas da Purple. Eu sou o seu apresentador e hoje vamos esclarecer uma das fontes mais persistentes de confusão no fornecimento e na implantação de WiFi para convidados: a diferença entre um captive portal e uma splash page. Se você já participou de uma reunião com fornecedores e ouviu esses dois termos sendo usados como sinônimos, você não está sozinho. Isso acontece constantemente - em documentos de RFP, em apresentações de estratégia de TI e até mesmo em conversas entre engenheiros de rede que realmente deveriam saber a diferença. E essa confusão é prejudicial porque, ao misturar os dois, você acaba especificando demais o componente errado, investindo menos do que o necessário no componente correto ou, pior ainda, implantando uma solução de WiFi para convidados que parece ótima, mas não possui nenhum controle de rede adequado por trás dela, ou uma que é tecnicamente sólida, mas afasta os convidados com uma tela de login deselegante e sem identidade visual. Então, vamos resolver isso hoje. Ao final desta apresentação, você terá um modelo mental claro do que cada componente faz, como eles interagem e o que procurar ao avaliar soluções para o seu estabelecimento - seja ele um hotel, uma rede de varejo, um estádio ou um prédio do setor público. --- SEGMENTO 2: ANÁLISE TÉCNICA DETALHADA (aproximadamente 5 minutos) Vamos começar com o captive portal, pois ele é a base sobre a qual todo o resto se apoia. Um captive portal é um mecanismo de camada de rede. O seu papel é interceptar todo o tráfego de saída de um dispositivo recém-conectado e mantê-lo em uma espécie de sala de espera digital até que esse dispositivo seja autenticado. Quando um convidado se conecta ao SSID do seu WiFi, o dispositivo dele recebe um endereço IP via DHCP - essa parte funciona normalmente. Mas antes que qualquer tráfego real de internet seja permitido, o captive portal o intercepta. Aqui está a sequência técnica. O dispositivo do convidado envia uma solicitação HTTP ou HTTPS - pode ser uma tentativa de carregar um site ou a própria verificação de conectividade do sistema operacional, que dispositivos modernos como iPhones e telefones Android executam automaticamente. O controlador do captive portal - que fica no seu controlador sem fio, no seu roteador ou em uma plataforma baseada em nuvem - intercepta essa consulta DNS ou solicitação HTTP e a redireciona. Em vez de acessar a internet, o dispositivo recebe uma resposta de redirecionamento que o aponta para uma URL específica. Essa URL é onde a splash page está hospedada. Agora, o próprio mecanismo de redirecionamento usa uma de duas técnicas principais. A primeira é o sequestro de DNS - o Captive Portal intercepta as consultas de DNS e retorna o endereço IP do servidor do portal em vez do destino real. A segunda é o redirecionamento HTTP - o portal intercepta a requisição HTTP no gateway e emite uma resposta de redirecionamento 302. Para o tráfego HTTPS, isso é mais complexo, porque você não pode interceptar uma sessão criptografada sem acionar um aviso de certificado. É por isso que a maioria das implementações de Captive Portal depende do Captive Network Assistant integrado do sistema operacional - o pop-up que aparece no seu telefone quando você se conecta a uma nova rede - que usa um endpoint HTTP conhecido para detectar os Captive Portals antes de tentar conexões HTTPS. Na camada de rede, o Captive Portal impõe o controle de acesso usando regras de firewall. Os dispositivos não autenticados são colocados em uma VLAN ou sub-rede restrita onde todo o tráfego, exceto DNS e HTTP para o servidor do portal, é bloqueado. Assim que a autenticação é confirmada - seja por meio de um simples clique de aceitação, login social, captura de e-mail ou uma troca completa de credenciais 802.1X - o controlador do portal atualiza as regras de firewall para o endereço MAC daquele dispositivo, movendo-o da zona restrita para a zona autorizada com acesso total à internet. Isso é importante: o Captive Portal é invisível para o convidado. Eles nunca o veem diretamente. O que eles veem é a splash page. A splash page é a camada de aplicação - é o HTML, CSS e JavaScript que é renderizado no navegador do convidado ou no pop-up do Captive Network Assistant. É a interface visual: sua marca, seu logotipo, sua mensagem de boas-vindas, seus termos e condições, seus botões de login social, suas caixas de seleção de adesão de marketing. É o que transforma um evento frio de autenticação de rede em uma experiência de convidado de marca. Pense nisso desta forma. O Captive Portal é o segurança na porta - ele decide quem entra e impõe as regras. A splash page é o balcão de recepção - é a cara do seu estabelecimento, coleta informações e faz o convidado se sentir bem-vindo. Você precisa de ambos, e eles precisam funcionar juntos perfeitamente. Agora, por que essa distinção importa comercialmente? Porque quando você está avaliando uma solução de WiFi para convidados, você precisa fazer perguntas diferentes sobre cada componente. Para o Captive Portal, você pergunta: Quais métodos de autenticação ele suporta? Ele pode lidar com 802.1X para dispositivos corporativos ao lado do login social para convidados? Ele suporta bypass de endereço MAC para dispositivos que não conseguem exibir um navegador? Como ele lida com limites de tempo de sessão e reautenticação? Está em conformidade com suas obrigações de proteção de dados sob a GDPR? Ele se integra com sua infraestrutura RADIUS? Ele pode segmentar o tráfego por tipo de usuário - separando o tráfego de convidados do tráfego de funcionários na camada de rede? Para a página de splash, você deve se perguntar: quão personalizável ela é? Sua equipe de marketing pode editá-la sem alterar a configuração da rede? Ela suporta testes A/B? Ela pode exibir conteúdos diferentes para diferentes segmentos de usuários - membros de programas de fidelidade versus visitantes de primeira viagem, por exemplo? Ela suporta fundos de vídeo, banners promocionais ou páginas de redirecionamento pós-conexão? Como é o seu desempenho em dispositivos móveis? Ela é acessível? Estes são critérios de aquisição fundamentalmente diferentes, e misturar os dois leva a decisões ruins. Já vimos organizações investirem muito no design de uma bela página de splash e depois descobrirem que o Captive Portal subjacente não suporta os métodos de autenticação exigidos por sua política de segurança de TI. Também já vimos o inverso - implantações de Captive Portal tecnicamente robustas com páginas de splash tão mal projetadas que as taxas de adoção dos visitantes ficam na faixa dos trinta por cento. Vamos falar sobre os padrões que sustentam tudo isso. O mecanismo do Captive Portal não possui um padrão regulador único, mas opera dentro da estrutura de vários padrões importantes. O IEEE 802.1X é o padrão de controle de acesso à rede baseado em porta que rege como os dispositivos se autenticam em uma rede usando credenciais, certificados ou tokens. É a base da segurança de WiFi corporativo e é cada vez mais relevante até mesmo em contextos de WiFi para visitantes, onde você deseja oferecer acesso contínuo e baseado em credenciais para visitantes frequentes. O WPA3, o protocolo de segurança WiFi mais recente, introduz o Opportunistic Wireless Encryption, que criptografa o tráfego mesmo em redes abertas - algo relevante para implantações de Captive Portal porque altera a forma como o handshake inicial da conexão funciona. Sob a perspectiva de conformidade, o GDPR tem implicações significativas para o design da página de splash. Se a sua página de splash coleta dados pessoais - um endereço de e-mail, um nome, um login social - você precisa de consentimento explícito e informado, um aviso de privacidade claro e uma base legal para o processamento. A página de splash é onde esse consentimento é capturado, mas o Captive Portal é o que impõe a conexão entre consentimento e acesso. Se um visitante recusar a opção de receber marketing, o Captive Portal ainda assim precisa conceder a ele o acesso à internet - o consentimento para marketing não pode ser uma condição para acessar a rede sob o GDPR. O PCI-DSS é relevante se a sua rede WiFi para visitantes estiver no escopo de ambientes de dados de cartão - normalmente no varejo ou na hotelaria. A segmentação de rede aplicada pelo Captive Portal é um controle essencial aqui, garantindo que o tráfego de visitantes seja isolado dos sistemas de pagamento. - - - SEGMENTO 3: RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ARMADILHAS (aproximadamente 2 minutos) Deixe-me apresentar dois cenários do mundo real que ilustram como isso funciona na prática. Primeiro, um grupo hoteleiro de 200 quartos. Eles implantaram uma solução de guest WiFi onde a splash page era lindamente personalizada - sua marca, uma mensagem de boas-vindas, uma oferta promocional para o spa. Mas o captive portal subjacente era uma implementação open-source básica que usava sequestro de DNS sem qualquer gerenciamento de sessão. O resultado: os hóspedes que retornavam ao hotel eram solicitados a fazer login novamente a cada visita, mesmo durante a mesma estadia. A splash page parecia ótima, mas o captive portal não tinha persistência de endereço MAC, nem configuração de tempo limite de sessão e nenhuma integração com o sistema de gerenciamento de propriedade. A correção exigiu a substituição completa do controlador do captive portal - a splash page estava ótima. Segundo, uma rede de varejo nacional. Eles implantaram um captive portal de nível empresarial com suporte completo a 802.1X, integração RADIUS e segmentação de tráfego sofisticada. Mas a splash page deles era um modelo padrão - fundo branco simples, sem marca, uma mensagem genérica de "Conectar ao WiFi". A adoção dos visitantes era de 34%. Depois que investiram em uma splash page bem desenhada e personalizada com uma opção de login social em um único clique, a adoção subiu para 71% em três meses. O captive portal não mudou nada. A lição de ambos os cenários: esses componentes separados exigem investimento separado e conhecimento especializado separado. Não deixe que sua equipe de rede seja responsável pelo design da splash page e não deixe que sua equipe de marketing tome decisões sobre a arquitetura do captive portal. Erros comuns a serem evitados: primeiro, assumir que uma splash page é um captive portal. Não é. Uma splash page sem um captive portal é apenas uma página da web que ninguém é forçado a visitar. Segundo, implantar um captive portal sem suporte HTTPS para a splash page. Quaisquer dados coletados em uma splash page não criptografada - endereços de e-mail, credenciais de login - são transmitidos em texto simples. Isso é um risco de segurança e de descumprimento da GDPR. Terceiro, ignorar a experiência móvel. Mais de 80% das conexões de guest WiFi vêm de dispositivos móveis. Se a sua splash page não for otimizada para dispositivos móveis, você estará criando atrito exatamente no momento em que deveria estar criando uma impressão positiva da marca. --- SEGMENTO 4: PERGUNTAS E RESPOSTAS RÁPIDAS (aproximadamente 1 minuto) Deixe-me passar por algumas perguntas que ouvimos regularmente. Posso ter uma splash page sem um captive portal? Tecnicamente sim - você pode hospedar uma página da web e direcionar as pessoas para ela - mas sem o captive portal forçando o redirecionamento, os visitantes não têm motivo para acessá-la. Você não teria captura de dados, gerenciamento de consentimento e controle de acesso à rede. Posso ter um captive portal sem uma splash page? Sim, e isso é comum em ambientes corporativos onde o 802.1X lida com a autenticação de forma silenciosa. Mas para implantações voltadas para visitantes, você quase sempre desejará uma splash page para gerenciar a experiência do usuário e a captura de dados. O WPA3 quebra os portais cativos? Não se for implementado corretamente. O WPA3 com Opportunistic Wireless Encryption é compatível com implantações de Captive Portal, mas exige que o portal use HTTPS e que a rede anuncie a URL do portal corretamente. Alguns dispositivos clientes mais antigos apresentam problemas de compatibilidade, razão pela qual muitos locais operam configurações de duplo SSID. O login social através da splash page é seguro? Depende da implementação. O login social baseado em OAuth 2.0 - via Google, Facebook ou Apple - é seguro quando implementado corretamente. A splash page gerencia o fluxo OAuth, e o Captive Portal recebe um token que confirma a autenticação. O principal risco está em como esse token é validado e como a sessão é gerenciada. - SEGMENTO 5: RESUMO E PRÓXIMOS PASSOS (aproximadamente 1 minuto) Vamos encerrar com os pontos principais. Um: um Captive Portal e uma splash page não são a mesma coisa. O Captive Portal é o mecanismo de controle de rede - ele intercepta o tráfego e aplica as regras de acesso. A splash page é a interface visual - é o que o visitante vê e com o que interage. Dois: eles trabalham juntos. O Captive Portal redireciona o visitante para a splash page. A splash page coleta a autenticação ou o consentimento. O Captive Portal então concede o acesso com base nesse resultado. Três: avalie-os separadamente. Faça perguntas diferentes, aplique competências distintas e defina orçamentos para ambos de forma independente. Quatro: a conformidade vive na interseção. O consentimento da GDPR é coletado na splash page, mas aplicado pelo Captive Portal. Acerte em ambos. Cinco: a Purple oferece ambos. Se você está procurando uma plataforma que gerencie o controle de Captive Portal de nível empresarial junto com um design de splash page rico e personalizável - com recursos completos de analytics, ferramentas de conformidade com a GDPR e integrações com sua infraestrutura existente - é exatamente para isso que a Purple foi criada. Para os próximos passos, recomendo revisar os guias de implementação da Purple sobre autenticação 802.1X e analytics de WiFi para visitantes. Os links estão nas notas do programa. E se você estiver no meio de um processo de aquisição, entre em contato com a equipe da Purple para uma avaliação técnica - vale a pena definir a arquitetura correta antes de se comprometer com uma implantação. Obrigado por ouvir. Até a próxima. - FIM DO ROTEIRO

📚 Parte da nossa série principal: O Guia Definitivo para Captive Portals

header_image.png

Resumo Executivo

Para gerentes de TI, arquitetos de rede e diretores de operações de estabelecimentos, o WiFi para convidados não é mais apenas uma conveniência - é um ponto de contato crítico para a captura de dados proprietários (first-party data), engajamento de marketing e segurança de rede. No entanto, um ponto persistente de confusão em RFPs (solicitações de proposta) e discussões de implantação é a fusão do Captive Portal com splash pages.

Este guia visa esclarecer essa distinção fundamental. O Captive Portal é um mecanismo de controle na camada de rede que intercepta o tráfego, bloqueia o acesso à internet e gerencia a autenticação segura. A splash page, por outro lado, é a interface visual na camada de aplicação - a página web que os convidados visualizam, interagem e usam para se autenticar.

Confundir esses dois componentes gera riscos significativos de aquisição e implementação, como adquirir uma splash page com design atraente mas com controles de backend inseguros, ou implantar um Captive Portal altamente seguro com uma interface de usuário obsoleta e sem identidade visual que afasta os convidados. Ao compreender como essas tecnologias funcionam em conjunto, as organizações podem utilizar plataformas como o Purple para oferecer uma experiência de WiFi para convidados segura, em conformidade e altamente engajadora que gera valor comercial mensurável.

comparison_chart.png

Detalhamento Técnico

O Captive Portal: Interceptação de Tráfego na Camada de Rede

O Captive Portal opera nas camadas inferiores do modelo OSI (geralmente Camadas 2 e 3) para aplicar o controle de acesso. Quando o dispositivo de um convidado se conecta a um SSID aberto, o servidor DHCP local atribui a ele um endereço IP, máscara de sub-rede e gateway padrão. No entanto, o ponto de acesso sem fio (AP) ou controladora gateway coloca o endereço MAC desse dispositivo em um estado não autenticado na tabela de sessões do firewall.

Nesse estado, o firewall bloqueia todo o tráfego IP de saída, com exceção de serviços de rede essenciais, como DNS e DHCP. Quando o convidado tenta acessar um site externo, o Captive Portal intercepta o tráfego usando um de dois métodos principais:

  1. Redirecionamento HTTP (redirecionamento 302): O gateway intercepta a requisição HTTP inicial e retorna uma resposta HTTP 302 Found, redirecionando o navegador do cliente para a URL da splash page.
  2. Sequestro de DNS (DNS hijacking): O gateway intercepta as consultas DNS e resolve todos os nomes de domínio para o endereço IP do servidor local da splash page. Embora simples, este método tem sido progressivamente descontinuado devido ao DNSSEC e aos avisos de segurança no nível do navegador.

Sistemas operacionais móveis modernos utilizam um daemon integrado chamado Captive Network Assistant (CNA). Ao se conectar a uma rede, o CNA tenta acessar um endpoint HTTP não criptografado conhecido (por exemplo, o captive.apple.com da Apple ou o connectivitycheck.gstatic.com do Google). Se essa resposta for interceptada e redirecionada, o sistema operacional reconhece que está atrás de um Captive Portal e exibe automaticamente a Splash Page em uma janela dedicada do navegador do sistema, eliminando a necessidade de o usuário abrir um navegador web manualmente.

Depois que o usuário conclui o fluxo de autenticação na Splash Page, o servidor de autenticação (normalmente um servidor RADIUS) envia um pacote Access-Accept para o controlador de rede. O controlador então atualiza suas regras de firewall para conceder acesso total à internet ao endereço MAC daquele dispositivo, normalmente aproveitando o MAC Address Bypass (MAB) para lembrar o dispositivo por uma duração de sessão especificada.

A Splash Page: Experiência do Usuário na Camada de Aplicação

Ao contrário do Captive Portal, a Splash Page é uma aplicação web padrão que opera na Camada 7 (a camada de aplicação). Ela é desenvolvida com tecnologias web padrão (HTML, CSS e JavaScript) e hospedada localmente no controlador de gateway ou, mais comumente, em uma plataforma de nuvem como a Purple.

A Splash Page serve como a interface visual do visitante e o ponto de contato com a marca. Suas principais funções técnicas incluem:

  • Federação de identidade: Facilitar o login social (Google, Facebook, Apple) usando o protocolo OAuth 2.0.
  • Captura de dados: Coletar dados dos visitantes, como endereços de e-mail, nomes e números de programas de fidelidade.
  • Gestão de consentimento: Capturar o consentimento explícito de opt-in para marketing, juntamente com a aceitação dos termos de serviço e políticas de privacidade, garantindo a conformidade com regulamentos como o Regulamento Geral de Proteção de Dados (GDPR) [1] e a Lei de Privacidade do Consumidor da Califórnia (CCPA).
  • Entrega de publicidade e branding: Exibir banners promocionais direcionados, anúncios em vídeo ou páginas de redirecionamento pós-conexão para monetizar o espaço físico.

Como a Splash Page é uma aplicação web, ela deve ser altamente responsiva e otimizada para dispositivos móveis, que representam mais de 80% das conexões de WiFi de visitantes.

architecture_overview.png

Guia de Implementação

A implantação de uma solução de WiFi para visitantes de nível empresarial exige uma coordenação estreita entre a infraestrutura de rede e o software em nuvem. A seguir, apresenta-se um guia arquitetônico neutro em relação a fornecedores para a implementação de um sistema de Captive Portal e Splash Page.

Arquitetura de Implantação Passo a Passo

  1. Segmentação de rede: Configure uma VLAN dedicada para visitantes em seus switches e pontos de acesso para isolar o tráfego de visitantes da rede corporativa interna, terminais de ponto de venda (POS) e dispositivos IoT. Este é um requisito fundamental para a conformidade com o PCI-DSS [2].
  2. Configuração de SSID: Configure um SSID aberto com Opportunistic Wireless Encryption (OWE) habilitado se o seu hardware for compatível, ou um SSID aberto padrão. Habilite o redirecionamento de Captive Portal dentro do perfil de SSID no seu controlador sem fio (por exemplo, Cisco Catalyst, Aruba Instant On ou Ruckus SmartZone).
  3. Configuração de Walled Garden (ACL): Antes da autenticação, os dispositivos dos visitantes devem ter permissão para acessar determinados domínios externos para que a Splash page seja renderizada corretamente. Isso é conhecido como "Walled Garden" ou lista de controle de acesso (ACL). Você deve incluir:
    • O domínio da sua Splash page hospedada na nuvem (por exemplo, *.purple.ai).
    • Os endpoints de OAuth dos provedores de login social (por exemplo, *.facebook.com, *.google.com, *.apple.com).
    • As redes de distribuição de conteúdo (CDNs) que hospedam os recursos necessários (fontes, folhas de estilo, imagens).
  4. Integração de servidor RADIUS: Configure o controlador sem fio para usar um servidor RADIUS externo (como o RADIUS em nuvem da Purple) para autenticação e bilhetagem (802.1X / AAA) [3].
  5. Personalização da Splash page: Desenhe a Splash page dentro do portal Purple, garantindo a consistência da marca, responsividade móvel e caixas de seleção claras para consentimento legal.
  6. Políticas de sessão e de largura de banda: Defina limites de tempo de sessão (por exemplo, 8 horas), tempos limite de ociosidade (por exemplo, 30 minutos) e limites de largura de banda por usuário (por exemplo, 5 Mbps de download, 2 Mbps de upload) no controlador de rede para evitar abusos na rede e garantir acesso justo para todos os visitantes.
Parâmetro Técnico Captive Portal (Gateway de Rede) Splash Page (Aplicativo em Nuvem)
Camada OSI Camada 2 / Camada 3 (Rede/Link de Dados) Camada 7 (Aplicação)
Protocolos Primários RADIUS, DHCP, HTTP (redirecionamento 302) HTTP, HTTPS, HTML5, CSS3, OAuth 2.0
Funções Principais Interceptação de tráfego, controle de acesso, modelagem de banda Interface do usuário, coleta de dados, consentimento, branding
Visibilidade do Usuário Totalmente invisível (mecanismo de backend) 100% visível (tela visual de boas-vindas)
Padrões de Segurança IEEE 802.1X, WPA3, OWE, PCI DSS HTTPS, SSL/TLS, GDPR, CCPA
Hardware Típico APs sem fio, roteadores de gateway, controladores Servidores em nuvem, CDNs

Melhores Práticas

Para garantir uma rede WiFi de visitantes altamente disponível, segura e em conformidade legal, as equipes de TI devem seguir estas melhores práticas do setor:

1. Imponha o uso de HTTPS e Certificados SSL/TLS

Todo o tráfego entre o dispositivo do visitante e a splash page deve ser criptografado usando HTTPS. Executar uma splash page em HTTP não criptografado expõe os dados dos visitantes - incluindo credenciais de login e endereços de e-mail - a farejamento de pacotes (packet sniffing) e ataques man-in-the-middle. Certifique-se de que o domínio da sua splash page tenha um certificado SSL/TLS válido e publicamente confiável. Certificados autoassinados geram avisos graves no navegador que fazem com que os visitantes abandonem a conexão.

2. Implemente o Isolamento de Rede

Nunca direcione o tráfego de WiFi de visitantes para a mesma VLAN ou sub-rede dos ativos corporativos. O tráfego de visitantes deve ser isolado em uma VLAN exclusiva para visitantes com regras rígidas de firewall que impeçam qualquer roteamento entre VLANs em direção às sub-redes internas. Isso reduz o risco de propagação de malware e acesso não autorizado a dados corporativos confidenciais.

3. Garanta a Conformidade com a GDPR e a CCPA

Se o seu estabelecimento opera ou atende a cidadãos do Reino Unido, da UE ou da Califórnia, sua splash page deve aderir a leis rígidas de privacidade de dados:

  • Consentimento livremente concedido: As caixas de seleção para adesão de marketing (opt-in) devem vir desmarcadas por padrão. O consentimento para comunicações de marketing não pode ser uma condição prévia para o acesso à internet.
  • Política de privacidade clara: Forneça um link direto e de fácil acesso para a sua política de privacidade na splash page.
  • Direito ao esquecimento (direito à exclusão): Certifique-se de que sua plataforma de WiFi de visitantes (como o Purple) ofereça suporte a fluxos de trabalho automatizados para visitantes que solicitarem a exclusão de seus dados pessoais.

4. Otimize para Dispositivos Móveis e o CNA

Certifique-se de que a splash page seja leve e altamente responsiva. Evite fundos de vídeo pesados ou imagens grandes não compactadas, que retardam o carregamento da página - particularmente em ambientes de altíssima densidade, como estádios ou centros de conferências. Teste a splash page em uma variedade de sistemas operacionais móveis para garantir uma renderização perfeita dentro do navegador nativo do Captive Network Assistant (CNA).

Resolução de Problemas e Mitigação de Riscos

Modos de Falha Comuns e Estratégias de Mitigação

  • O pop-up do CNA não aparece: Se o redirecionamento do Captive Portal não ativar o CNA do dispositivo, os visitantes podem permanecer conectados ao SSID sem acesso à internet e sem uma maneira óbvia de fazer login.
    • Mitigação: Certifique-se de que os servidores DNS atribuídos aos visitantes via DHCP estejam totalmente funcionais e sejam capazes de resolver domínios externos. Se a resolução de DNS falhar, o CNA não conseguirá realizar a verificação de conectividade e o redirecionamento nunca será acionado.
  • Configuração incorreta do Walled Garden: Os visitantes não conseguem concluir o login de rede social porque a página de login do OAuth não carrega ou exibe um erro de conexão.
    • Mitigation: Double-check the gateway's Walled Garden ACL. Social login providers frequently change their IP ranges and domains. Using a cloud-managed guest WiFi platform such as Purple ensures Walled Garden domains are updated automatically and kept in sync with your hardware.* CNA browser limitations: The native CNA browser on mobile devices has limited functionality compared with standard browsers such as Safari or Chrome. It may block cookies, popups, or external redirects.
    • Mitigation: Avoid complex JavaScript or third-party integrations on the splash page that require cookie persistence or browser popups. Keep the authentication flow as simple and direct as possible.

ROI and Business Impact

Understanding the distinction between the Captive Portal and the splash page enables organisations to maximise return on investment (ROI) by optimising both the network performance and the commercial utility of their guest WiFi networks.

The Business Value of a Dual-Optimised Solution

  • Increased guest engagement: Compared with a generic, unbranded welcome page, a professionally designed splash page - when combined with Purple's core products such as Guest WiFi and WiFi Analytics [4] [5] - can lift guest login rates by up to 40%.
  • Rich first-party data capture: By offering seamless social media login and structured form fields, venues in sectors such as Retail , Hospitality , Healthcare , and Transport can capture clean, verified email addresses, demographic data, and visit-frequency data.
  • Monetisation opportunities: Using the splash page for retail media monetisation allows venues to serve targeted advertising to guests at the moment of connection, tapping into the rapidly growing digital advertising market.
  • Operational efficiency: A robust Captive Portal reduces IT support tickets by automating device onboarding, managing session timeouts, and enforcing bandwidth limits to prevent network congestion.

By deploying Purple's enterprise-grade solution, venues can ensure their network architecture is secure and compliant while giving their marketing teams full creative freedom to design beautiful, high-converting splash pages that build customer loyalty and drive revenue.

References

Definições principais

Captive Portal

Um mecanismo de camada de rede que intercepta o tráfego do cliente e restringe o acesso à internet até que os critérios de autenticação sejam atendidos.

Encontrado por equipes de TI ao configurar controladores sem fio, gateways ou firewalls para redirecionar endereços MAC não autenticados.

Splash Page

A página de destino visual e baseada na web renderizada no navegador de um visitante que facilita a autenticação, captura de dados e engajamento com a marca.

Gerenciado pelas equipes de marketing e operações do local para projetar a experiência de integração do usuário e coletar dados do cliente.

Captive Network Assistant (CNA)

Um recurso de sistema operacional integrado em dispositivos móveis que detecta automaticamente um captive portal e abre a splash page em uma janela do navegador do sistema.

Crucial para a experiência do usuário, pois evita a necessidade de os visitantes abrirem manualmente um navegador para fazer login.

Walled Garden (ACL)

Uma lista de endereços IP ou domínios que um usuário não autenticado tem permissão de acessar antes de fazer login na rede.

Deve ser configurado corretamente no gateway sem fio para permitir o carregamento da splash page e dos fluxos OAuth de login social.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA) para usuários que se conectam a uma rede.

Usado pelo captive portal para verificar as credenciais dos visitantes em um banco de dados e conceder acesso à rede.

MAC Address Bypass (MAB)

Um mecanismo que permite que um dispositivo ignore a tela de login do captive portal em conexões subsequentes ao lembrar seu endereço MAC de hardware.

Usado para criar uma experiência fluida para visitantes que retornam, eliminando a necessidade de fazer login repetidamente.

Opportunistic Wireless Encryption (OWE)

Um padrão WiFi (parte do WPA3) que fornece criptografia em redes abertas sem exigir uma senha compartilhada.

Permite a transmissão segura de dados em redes de visitantes públicas, ao mesmo tempo em que permite o redirecionamento do captive portal.

VLAN Segmentation

A prática de dividir uma rede física em várias redes lógicas na Camada 2 para isolar o tráfego.

Essencial para implantações de WiFi de visitantes para garantir que o tráfego de visitantes seja completamente isolado de redes corporativas seguras.

Exemplos práticos

Uma rede de varejo nacional com 150 lojas quer implementar uma rede de WiFi de visitantes que capture e-mails de clientes para fins de marketing, mas sua equipe de segurança de TI está preocupada com o tráfego de visitantes acessando os sistemas de Ponto de Venda (POS) corporativos. Como isso deve ser arquitetado?

  1. Configure uma VLAN de visitantes dedicada (por exemplo, VLAN 50) em todos os switches e access points nas 150 lojas, completamente isolada da VLAN do POS corporativo (VLAN 10) usando ACLs de firewall. 2. Ative o redirecionamento de captive portal no SSID de visitantes, apontando a URL de redirecionamento para a splash page segura hospedada na nuvem da Purple. 3. Configure o gateway de rede para restringir todo o tráfego pré-autenticado na VLAN 50, permitindo acesso apenas a DNS, DHCP e domínios do Walled Garden da Purple. 4. Utilize a integração da Purple com a controladora wireless para autenticar os visitantes via RADIUS, concedendo acesso à internet apenas depois que o visitante fornecer um e-mail verificado e aceitar os termos de serviço na splash page.
Comentário do examinador: Esta arquitetura alcança o duplo objetivo de marketing e segurança. Ao separar as camadas de rede (segmentação de VLAN na Camada 2/3) da camada de aplicação (captura de e-mail na splash page na Camada 7), a rede de varejo garante a conformidade com PCI-DSS para seus sistemas de POS, ao mesmo tempo em que maximiza a captura de dados de marketing.

Um estádio de esportes de 50.000 lugares quer oferecer WiFi gratuito durante os eventos. A equipe de operações deseja uma experiência de login contínua para evitar congestionamentos de rede no início dos jogos, enquanto a equipe de marketing deseja exibir anúncios de vídeo de patrocinadores na splash page. Como você equilibra esses requisitos?

  1. Implante access points de alta densidade e configure um captive portal com MAC Address Bypass (MAB) definido para 30 dias, para que os torcedores que retornam não precisem ver a splash page a cada visita. 2. Para novas conexões, projete uma splash page ultraleve, otimizada para carregamento rápido em dispositivos móveis. 3. Insira um pequeno anúncio de vídeo do patrocinador de 5 segundos que seja reproduzido diretamente na splash page, com um botão "Pular e Conectar" que aciona imediatamente a autenticação do captive portal. 4. Configure o captive portal para alocar um perfil de largura de banda generoso (por exemplo, 10 Mbps) por usuário para garantir uma transmissão de vídeo e navegação na web fluidas.
Comentário do examinador: Em ambientes de alta densidade, o desempenho é primordial. O uso de MAB para torcedores que retornam reduz drasticamente a carga no captive portal e nos servidores RADIUS durante os horários de pico. O design leve da splash page e o anúncio de vídeo curto garantem que a equipe de marketing alcance seus objetivos de patrocínio sem causar frustração na rede ou atrasos na conexão.

Um grande hospital público quer fornecer WiFi de visitantes para pacientes e acompanhantes. A equipe de conformidade exige que a rede esteja em conformidade com as normas de privacidade de dados de saúde e que os pacientes não possam acessar conteúdos maliciosos ou inadequados na web. Qual é a estratégia de implantação recomendada?

  1. Configure o captive portal para redirecionar os usuários para uma splash page que contenha um aviso de privacidade claro e específico para a área de saúde e os termos de serviço. 2. Integre o gateway do captive portal com um serviço de filtragem de DNS baseado em nuvem (como Cisco Umbrella ou Webroot) para bloquear automaticamente o acesso a conteúdo adulto, malware e sites de phishing. 3. Desative as opções de login social para evitar a coleta de dados pessoais desnecessários, confiando em vez disso em um botão simples de "Aceitar e Conectar" ou em um formulário básico de verificação de e-mail. 4. Aplique um controle estrito de largura de banda no captive portal para priorizar as aplicações clínicas e dispositivos de IoT do hospital em relação ao tráfego de streaming dos visitantes.
Comentário do examinador: Ambientes de saúde exigem uma abordagem conservadora em relação à privacidade de dados e ao filtro de conteúdo. Ao omitir o login social, o hospital minimiza seu escopo de conformidade sob as regulamentações de dados de saúde. A integração do filtro de DNS diretamente no gateway do captive portal garante que as políticas de conteúdo sejam aplicadas em toda a rede, independentemente do que o usuário faça na splash page.

Questões práticas

Q1. Um gerente de TI percebe que os visitantes estão se conectando ao SSID de WiFi de visitantes, mas a splash page personalizada não aparece e os usuários não conseguem acessar a internet. Qual é a causa técnica mais provável desse problema e como ele deve ser diagnosticado?

Dica: Considere o papel do DNS no processo de redirecionamento do captive portal.

Ver resposta modelo

A causa mais provável é uma falha no processo de resolução de DNS. Quando um dispositivo se conecta, ele precisa resolver o nome de domínio da splash page para carregar a tela de boas-vindas. Se o servidor DNS atribuído à VLAN de visitantes estiver inativo, configurado incorretamente ou bloqueado pelas regras de firewall pré-autenticação do gateway, o dispositivo não conseguirá resolver o domínio e o redirecionamento falhará. Para diagnosticar, conecte um dispositivo de teste ao SSID, verifique se ele recebe um IP e um endereço de servidor DNS válidos via DHCP e tente pingar ou resolver um domínio público. Se o DNS falhar, verifique o status do servidor DNS e certifique-se de que o tráfego de DNS (porta UDP 53) é permitido na ACL de pré-autenticação do gateway.

Q2. Um estabelecimento comercial deseja permitir que os visitantes façam login usando suas contas do Facebook. No entanto, quando os usuários clicam no botão de login do Facebook na splash page, recebem um erro de 'Conexão Recusada'. O restante da splash page carrega perfeitamente. Qual é o problema e como resolvê-lo?

Dica: Pense em quais recursos externos um dispositivo pré-autenticado tem permissão para acessar.

Ver resposta modelo

O problema é que os domínios de autenticação do Facebook não estão incluídos na Lista de Controle de Acesso (ACL) do Walled Garden de pré-autenticação do gateway. Como o usuário ainda não está autenticado, o Captive Portal bloqueia todo o tráfego externo. Quando o usuário clica no botão do Facebook, o navegador tenta acessar os servidores OAuth do Facebook, o que é bloqueado pelo gateway. Para resolver isso, a equipe de TI deve adicionar os domínios OAuth do Facebook necessários (ex: *.facebook.com, *.facebook.net) à ACL do Walled Garden na controladora sem fio ou gateway.

Q3. Um estabelecimento de hospitalidade implantou uma rede WiFi de convidados. A equipe de marketing deseja coletar os endereços de e-mail dos visitantes e enviar imediatamente uma newsletter de boas-vindas. No entanto, a equipe jurídica está preocupada com a conformidade com o GDPR em relação ao consentimento. Como a splash page e o Captive Portal devem ser configurados para atender a ambas as equipes?

Dica: O GDPR exige que o consentimento para marketing seja dado de livre vontade e não seja uma condição para a prestação do serviço.

Ver resposta modelo

Para atender tanto a equipe de marketing quanto a jurídica sob o GDPR: 1. A splash page deve apresentar uma caixa de seleção desmarcada de forma clara para a adesão de marketing ("Coninto em receber e-mails de marketing"). 2. A aceitação dos Termos de Serviço e da Política de Privacidade deve ser uma caixa de seleção separada ou declarada claramente como uma condição para usar a rede gratuita. 3. O sistema subjacente de Captive Portal e splash page deve ser configurado para conceder acesso à internet independentemente de a caixa de marketing estar marcada ou desmarcada. Se um usuário deixar a caixa de marketing desmarcada mas aceitar os Termos de Serviço, o sistema ainda deverá enviar um pacote Access-Accept para a controladora de rede. Isso garante que o consentimento seja dado de forma livre, em conformidade com o GDPR, enquanto ainda permite que o marketing colete e-mails de usuários que optarem por participar.