Pular para o conteúdo principal
Português (Brasil)

Como o Passpoint (Hotspot 2.0) Transforma a Experiência de Wi-Fi para Visitantes

Um guia de referência técnica abrangente detalhando como os protocolos Passpoint (Hotspot 2.0) e 802.11u substituem os Captive Portals tradicionais por um roaming Wi-Fi seguro, contínuo e semelhante ao celular. Ele fornece aos líderes de TI visões gerais de arquitetura, frameworks de implementação e o caso de negócios para a adoção de autenticação baseada em credenciais para resolver os desafios de randomização de MAC e melhorar a experiência do visitante.

📖 6 min de leitura📝 1,359 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Como o Passpoint Transforma a Experiência de Wi-Fi para Visitantes Um Briefing Técnico da Purple — Aproximadamente 10 Minutos --- INTRODUÇÃO E CONTEXTO — aproximadamente 1 minuto Bem-vindo à série de Briefings Técnicos da Purple. Vou passar os próximos dez minutos guiando você por algo que, francamente, já deveria ter substituído o Captive Portal anos atrás — o Passpoint, também conhecido como Hotspot 2.0. Se você gerencia infraestrutura de Wi-Fi em um grupo hoteleiro, rede de varejo, estádio ou qualquer local onde os visitantes se conectam repetidamente, quase certamente já se deparou com a mesma barreira: visitantes reclamando de ter que fazer login todas as vezes, seu suporte de TI recebendo chamadas sobre um Wi-Fi que "costumava funcionar" e uma percepção crescente de que a randomização de endereços MAC do iOS 14 e do Android 10 quebrou silenciosamente sua lógica de autenticação recorrente. O Passpoint é a resposta para todos esses problemas. Mas não é um botão mágico — é um protocolo projetado adequadamente que exige uma implantação deliberada. Então, vamos ao que interessa. --- MERGULHO TÉCNICO PROFUNDO — aproximadamente 5 minutos Vamos começar com o problema central que o Passpoint resolve, que os engenheiros chamam de problema de seleção de rede. No Wi-Fi tradicional, seu dispositivo busca por um SSID conhecido — um nome de rede — e, se reconhecer um, se conecta. Isso é simples, mas é frágil. Exige uma conexão prévia, não diz nada sobre a postura de segurança da rede e não suporta roaming entre locais. Toda vez que um visitante entra no seu hotel, o dispositivo dele precisa ser apontado manualmente para a sua rede, depois interceptado por um Captive Portal e, em seguida, autenticado por meio de um formulário web. Isso é atrito. E, em 2026, o atrito é uma desvantagem competitiva. O Passpoint muda totalmente o paradigma. Em vez de procurar por um nome de rede, o dispositivo procura por uma rede que suporte suas credenciais. Antes mesmo de tentar se conectar, o dispositivo pergunta ao ponto de acesso: "Você suporta meu provedor de identidade?" Se a resposta for sim, a autenticação ocorre automaticamente. Sem página de login. Sem solicitação de senha. Sem seleção manual. É o modelo de roaming celular aplicado ao Wi-Fi. O mecanismo que torna isso possível é chamado de Generic Advertisement Service — GAS — combinado com o Access Network Query Protocol, ou ANQP. Quando um ponto de acesso habilitado para Passpoint transmite seu beacon, ele inclui o que é chamado de Interworking Element — essencialmente uma flag que diz "eu falo 802.11u", que é a emenda IEEE que serve de base para tudo isso. Seu dispositivo vê essa flag, envia uma solicitação GAS e, dentro dessa solicitação, uma consulta ANQP pergunta: "Quais Identificadores Organizacionais de Consórcio de Roaming você suporta?" O ponto de acesso responde. Se houver uma correspondência com um perfil já existente no dispositivo, o handshake completo de autenticação WPA2 ou WPA3 Enterprise é iniciado. Essa autenticação usa o IEEE 802.1X — o mesmo padrão de controle de acesso baseado em porta usado em redes cabeadas corporativas — combinado com um método EAP. Os mais comuns são o EAP-TLS, que usa certificados; o EAP-TTLS, que cria um túnel seguro para nome de usuário e senha; e o EAP-SIM ou EAP-AKA para autenticação baseada em SIM de operadoras móveis. O resultado é uma sessão mutuamente autenticada e totalmente criptografada. O dispositivo comprova sua identidade para a rede, e a rede comprova sua identidade para o dispositivo. Essa autenticação mútua é o que previne ataques de "evil twin" e de "man-in-the-middle" que assolam ambientes de Wi-Fi abertos. Agora, um termo que você ouvirá junto com o Passpoint é o OpenRoaming — a estrutura de federação da Wireless Broadband Alliance. Aqui está a distinção que importa: o Passpoint é o veículo. O OpenRoaming é o sistema de rodovias. O Passpoint define como um dispositivo descobre e se autentica em uma rede. O OpenRoaming define o ecossistema de confiança que permite que um provedor de identidade — por exemplo, Google, Samsung ou uma operadora móvel — e um provedor de acesso — seu hotel, seu estádio, sua propriedade de varejo — confiem nas credenciais um do outro sem a necessidade de um acordo bilateral entre cada parte. O OpenRoaming usa um modelo PKI de hub-and-spoke com túneis RadSec — que é RADIUS sobre TLS — para intermediar requisições de autenticação em toda a federação. O principal Roaming Consortium OI para OpenRoaming sem custos de liquidação é o 5A-03-BA. Você também vai querer transmitir o OI legado da Cisco, 00-40-96, para compatibilidade com dispositivos mais antigos e perfis Samsung OneUI. Do ponto de vista de conformidade de segurança, o Passpoint é uma atualização significativa. O WPA3-Enterprise usa o modo de segurança de 192 bits e exige sigilo de encaminhamento (forward secrecy) — cada sessão usa chaves de criptografia exclusivas, de modo que comprometer uma sessão não expõe o tráfego histórico. Para organizações sujeitas ao PCI DSS — particularmente ambientes de varejo que processam pagamentos com cartão — ou obrigações da GDPR em relação a dados pessoais, a autenticação baseada em certificado do Passpoint significa que você não está coletando credenciais por meio de um formulário web, o que reduz substancialmente a sua superfície de tratamento de dados. E há também a randomização de endereços MAC. Dispositivos modernos iOS e Android randomizam seu endereço MAC por padrão. Isso quebra os fluxos tradicionais de reautenticação de Captive Portal — o dispositivo parece novo a cada visita. O Passpoint é imune a isso. A autenticação é baseada em credenciais, não em MAC. Seu visitante recorrente se conecta perfeitamente a cada visita, independentemente de qual seja o endereço MAC do dispositivo naquele dia. Isso também tem uma implicação significativa para a sua análise de Wi-Fi — se você estiver usando a plataforma de analytics da Purple, a autenticação baseada em credenciais restaura a precisão dos dados de visitantes recorrentes. --- RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ARMADILHAS — aproximadamente 2 minutos Deixe-me apresentar o cenário prático de implantação. Os requisitos de infraestrutura são mais complexos do que um Captive Portal, mas estão totalmente ao alcance de qualquer organização que utilize hardware de classe empresarial. Você precisa de pontos de acesso certificados para Passpoint — a maioria dos APs corporativos da Cisco, Aruba, Ruckus e Ubiquiti já suporta isso hoje. Você precisa de um servidor RADIUS com suporte a EAP, infraestrutura AAA para gerenciamento de credenciais e, idealmente, um servidor OSU — Online Sign-Up — para provisionamento de perfil em autoatendimento. O trabalho de configuração se concentra em quatro elementos: suas configurações ANQP, que definem o que o AP anuncia antes da associação; seus OIs do Roaming Consortium; suas definições de domínio NAI, que informam aos dispositivos quais métodos EAP você suporta; e as informações do seu local, que são usadas pelos dispositivos para exibir o contexto sobre a rede. Minha recomendação mais forte para a maioria dos locais é uma estratégia de SSID duplo. Execute um SSID Passpoint para visitantes recorrentes e usuários cadastrados, e mantenha um SSID de Captive Portal para visitantes de primeira viagem. Use o Captive Portal como um funil de integração — apresente a opção de instalar um perfil Passpoint no final do fluxo de autenticação da primeira visita. Este modelo de integração progressiva oferece o melhor dos dois mundos: acesso inicial fácil e visitas de retorno integradas. Agora, as armadilhas. O erro de implantação mais comum que vejo é tratar o Passpoint como um substituto direto para Captive Portals sem construir a jornada de integração. Se os visitantes não souberem como instalar um perfil, ou se o fluxo do OSU for travado, a adoção estagna. Invista na experiência de provisionamento. A segunda armadilha é o gerenciamento de certificados. Se você estiver usando EAP-TLS com certificados de dispositivo, precisará de um ciclo de vida de PKI robusto. Certificados expirados interromperão silenciosamente a autenticação dos dispositivos afetados — e seu suporte técnico será o último a saber. Automatize a renovação de certificados e monitore a expiração de forma proativa. Terceiro: não negligencie o suporte a dispositivos legados. O Passpoint exige iOS 7 ou posterior, Android 6 ou posterior e Windows 10 ou posterior. Isso cobre a grande maioria dos dispositivos modernos, mas dispositivos IoT e alguns hardwares corporativos mais antigos precisarão de caminhos de acesso alternativos. --- PERGUNTAS E RESPOSTAS RÁPIDAS — aproximadamente 1 minuto O Passpoint funciona com pontos de acesso existentes? Se forem hardwares de classe empresarial dos últimos cinco anos, quase certamente sim — verifique a certificação Wi-Fi Alliance Passpoint na ficha técnica. Ainda posso coletar dados de visitantes com o Passpoint? Sim, mas o mecanismo muda. A coleta de dados ocorre no momento do provisionamento do perfil — no fluxo do OSU ou no cadastro baseado em aplicativo — e não a cada login. Isso é, na verdade, mais amigável ao GDPR, pois o consentimento é capturado uma única vez, de forma explícita.E quanto aos locais que desejam páginas de login personalizadas (splash pages)? As conexões Passpoint são invisíveis por design, portanto, as splash pages tradicionais não se aplicam. No entanto, você pode acionar notificações no aplicativo ou mensagens push pós-conexão se tiver uma integração com aplicativo de fidelidade. Alguns operadores usam um modelo híbrido onde a primeira visita ainda passa por um portal personalizado antes da adesão ao Passpoint. O OpenRoaming é gratuito para aderir? O nível livre de liquidação (settlement-free) do OpenRoaming, usando o OI 5A-03-BA, está disponível sem custo por meio da Wireless Broadband Alliance. Níveis comerciais com recursos de análise e monetização estão disponíveis por meio de membros da WBA. --- RESUMO E PRÓXIMOS PASSOS — aproximadamente 1 minuto Para resumir: o Passpoint não é uma tecnologia do futuro — é um protocolo maduro, baseado em padrões, que já está implantado em grandes aeroportos, redes de hotéis e estádios globalmente. A questão para a sua organização não é se deve adotá-lo, mas quando e como. Se você gerencia um grupo hoteleiro, uma rede de varejo ou um grande local com visitantes recorrentes, o caso de ROI é claro: redução da carga no suporte técnico, melhoria na satisfação dos hóspedes, mitigação de riscos de conformidade e dados analíticos precisos que não são corrompidos pela randomização de MAC. Seus próximos passos são simples. Primeiro, audite seu parque atual de APs para certificação Passpoint. Segundo, avalie sua infraestrutura RADIUS e determine se precisa de um servidor OSU para provisionamento de autoatendimento. Terceiro, projete sua estratégia de SSID duplo e a jornada de integração. E quarto, se estiver considerando a federação OpenRoaming, entre em contato com a Wireless Broadband Alliance ou com um provedor de plataforma como a Purple, que pode cuidar de toda a estrutura de federação para você. Este é o Briefing Técnico da Purple sobre Passpoint e Hotspot 2.0. Para obter o guia escrito completo, diagramas de arquitetura e exemplos práticos de implantação, visite purple.ai. Obrigado por ouvir.

header_image.png

Resumo Executivo

Para os empreendimentos modernos, a fricção é uma desvantagem competitiva. Os Captive Portals tradicionais, embora outrora tenham sido o padrão para acesso à rede de convidados, hoje representam um gargalo operacional significativo e uma fonte de frustração persistente para o usuário. O Passpoint, também conhecido como Hotspot 2.0, transforma fundamentalmente esse paradigma ao substituir a autenticação manual baseada na web por um roaming contínuo, semelhante ao celular. Ao aproveitar o padrão IEEE 802.11u e a criptografia WPA3-Enterprise, o Passpoint permite que os dispositivos dos convidados descubram, autentiquem e se conectem a redes Wi-Fi corporativas de forma automática e segura.

Para os líderes de TI nos setores de Hospitalidade , Varejo e grandes espaços públicos, a transição para o Passpoint não é mais opcional. A randomização padrão de endereços MAC implementada nos dispositivos iOS e Android modernos quebrou efetivamente a lógica de reautenticação dos Captive Portals legados, o que significa que os convidados que retornam aparecem como novos dispositivos a cada visita. O Passpoint resolve isso autenticando o perfil de credencial do usuário em vez de seu endereço de hardware. Este guia detalha a arquitetura técnica do Passpoint, o impacto comercial da implantação e uma estrutura de implementação neutra em relação ao fornecedor, projetada para melhorar a experiência de Guest WiFi e, ao mesmo tempo, reduzir a sobrecarga do helpdesk.

Mergulho Técnico Profundo

O Problema de Seleção de Rede e o 802.11u

Nas implantações de Wi-Fi legadas, os dispositivos dependem de um mecanismo fundamentalmente frágil para a seleção de rede: a varredura de SSIDs conhecidos. Essa abordagem exige que o usuário tenha se conectado anteriormente à rede ou selecione manualmente a rede a partir de uma lista. Ela não oferece visibilidade pré-associação sobre a postura de segurança da rede, requisitos de autenticação ou disponibilidade de internet upstream. O Passpoint aborda essa limitação por meio da emenda IEEE 802.11u, que introduz a Interoperação com Redes Externas.

Em vez de escanear passivamente por SSIDs, um dispositivo habilitado para Passpoint consulta ativamente a infraestrutura de rede antes de tentar a associação. Quando um ponto de acesso transmite seu beacon, ele inclui um Interworking Element — uma flag que indica suporte para 802.11u. O dispositivo cliente detecta essa flag e inicia uma solicitação de Generic Advertisement Service (GAS). Encapsulada dentro desta solicitação está uma consulta de Access Network Query Protocol (ANQP). O dispositivo pergunta à infraestrutura: "Quais Roaming Consortium Organisational Identifiers (OIs) você suporta?" Se a resposta do ponto de acesso corresponder a um perfil de credencial armazenado no dispositivo, a autenticação automática prossegue.

passpoint_architecture_overview.png

Arquitetura de Autenticação e Segurança

O Passpoint exige segurança de nível empresarial, eliminando completamente a fase de "rede aberta" inerente às implantações de Captive Portal. A autenticação é realizada via controle de acesso à rede baseado em porta IEEE 802.1X, combinado com um método Extensible Authentication Protocol (EAP). Os métodos mais prevalentes em implantações empresariais são EAP-TLS (baseado em certificados de cliente e servidor), EAP-TTLS (credenciais em túnel) e EAP-SIM/AKA (para cenários de descarregamento de rede celular).

Esta arquitetura fornece autenticação mútua. O dispositivo comprova criptograficamente sua identidade para a rede e, crucialmente, a rede comprova sua identidade para o dispositivo. Essa verificação mútua é a principal defesa contra pontos de acesso "evil twin" e tentativas de interceptação do tipo "man-in-the-middle". Além disso, o Passpoint exige criptografia WPA2-Enterprise ou WPA3-Enterprise. O WPA3-Enterprise introduz o modo de segurança de 192 bits e exige sigilo de encaminhamento (forward secrecy), garantindo que, mesmo que as chaves de sessão sejam comprometidas no futuro, o tráfego histórico permaneça criptografado.

A Federação OpenRoaming

Enquanto o Passpoint define o mecanismo técnico para descoberta e autenticação, o OpenRoaming fornece a estrutura de confiança. Desenvolvido pela Wireless Broadband Alliance (WBA), o OpenRoaming é uma federação global que permite que Provedores de Identidade (como operadoras de rede móvel, Google ou Apple) e Provedores de Acesso (como hotéis, estádios e redes de varejo) confiem nas credenciais uns dos outros sem a necessidade de acordos bilaterais entre cada entidade.

O OpenRoaming opera em um modelo de Public Key Infrastructure (PKI) hub-and-spoke. As solicitações de autenticação são transmitidas por proxy pela federação usando túneis RadSec (RADIUS sobre TLS). Ao transmitir o OpenRoaming OI livre de liquidação (5A-03-BA), um estabelecimento empresarial pode fornecer instantaneamente acesso Wi-Fi seguro e contínuo a milhões de usuários globalmente que já possuem um perfil de identidade compatível em seus dispositivos.

Guia de Implementação

A implantação do Passpoint exige uma infraestrutura de base mais sofisticada do que uma rede aberta tradicional, mas os componentes são padrão em ambientes corporativos modernos.

Pré-requisitos de Infraestrutura

  1. Pontos de Acesso Certificados para Passpoint: A infraestrutura sem fio deve suportar as especificações 802.11u e Hotspot 2.0. A grande maioria dos pontos de acesso corporativos fabricados nos últimos cinco anos por fornecedores como Cisco, Aruba e Ruckus atende a esse requisito.
  2. Infraestrutura RADIUS/AAA: Um servidor RADIUS robusto capaz de lidar com autenticação EAP e rotear solicitações para os repositórios de identidade apropriados. Se estiver participando do OpenRoaming, o servidor RADIUS deve suportar RadSec para proxy seguro.
  3. Servidor de Cadastro Online (OSU): Para ambientes que emitem suas próprias credenciais (em vez de depender exclusivamente de identidades federadas), um servidor OSU fornece o mecanismo para provisionar perfis Passpoint com segurança em dispositivos de visitantes.

A Estratégia de SSID Duplo

O modelo de implantação mais eficaz para locais em transição para o Passpoint é a estratégia de SSID duplo. Essa abordagem mantém um SSID de Captive Portal tradicional para a integração inicial, enquanto fornece um SSID Passpoint para conexões subsequentes integradas.

Quando um visitante se conecta ao SSID do Captive Portal pela primeira vez, ele conclui o fluxo de autenticação padrão (por exemplo, aceitando os termos e condições, fornecendo um endereço de e-mail). Após a autenticação bem-sucedida, o portal apresenta uma opção para baixar um perfil Passpoint. Uma vez instalado, o dispositivo preferirá automaticamente o SSID seguro do Passpoint em todas as visitas futuras. Esse modelo de integração progressiva garante a acessibilidade para dispositivos legados enquanto migra a maioria dos usuários para a rede Passpoint segura e sem atrito.

passpoint_vs_captive_portal_comparison.png

Boas Práticas

Ao projetar uma arquitetura Passpoint, os líderes de TI devem aderir a várias boas práticas críticas para garantir a estabilidade operacional e a segurança.

Em primeiro lugar, o gerenciamento do ciclo de vida dos certificados é fundamental. Se estiver utilizando EAP-TLS, a expiração dos certificados do cliente ou do servidor resultará em falhas silenciosas de autenticação que são difíceis de diagnosticar pelas equipes de suporte de primeira linha. Implemente protocolos automatizados de renovação de certificados e monitoramento proativo. Como destacado em nosso guia sobre Avaliação de Postura de Dispositivo para Controle de Acesso à Rede , a visibilidade robusta dos endpoints é essencial ao gerenciar o acesso baseado em certificados.

Em segundo lugar, garanta a compatibilidade com dispositivos legados. Embora o iOS 7+, Android 6+ e Windows 10+ suportem nativamente o Passpoint, certos dispositivos IoT, hardware legado e dispositivos estritamente gerenciados por empresas podem não ter suporte. A estratégia de SSID duplo mitiga esse risco ao fornecer um método de acesso alternativo.

Em terceiro lugar, ao configurar os elementos ANQP, certifique-se de que as Informações do Local sejam precisas e descritivas. Esses metadados são frequentemente exibidos pelo sistema operacional do dispositivo cliente para fornecer contexto sobre a rede à qual o usuário está se conectando.

Solução de Problemas e Mitigação de Riscos

A complexidade do Passpoint introduz domínios de falha específicos que diferem das implantações de Captive Portal.

Modo de Falha 1: Tempo Limite ou Inacessibilidade do RADIUS Se o servidor RADIUS local não conseguir alcançar o Provedor de Identidade upstream (especialmente em cenários de OpenRoaming federados), o handshake EAP expirará. Mitigação: Implemente uma infraestrutura RADIUS redundante e garanta um monitoramento robusto dos túneis RadSec. Revise nossa documentação técnica sobre RadSec : Sécurisation du trafic d'authentification RADIUS avec TLS para orientações de configuração.

Modo de Falha 2: Falhas no Provisionamento de Perfil Os usuários podem encontrar erros ao tentar baixar o perfil Passpoint do servidor OSU, geralmente devido a limitações do navegador do Captive Portal em dispositivos móveis. Mitigação: Desenhe o fluxo do Captive Portal para sair do mini-navegador do assistente de rede cativa (CNA) e entrar no navegador nativo do sistema do dispositivo antes de iniciar o download do perfil.

Modo de Falha 3: Impacto da Randomização de MAC nas Análises Embora o Passpoint resolva a quebra de autenticação causada pela randomização de MAC, as plataformas de análise legadas que dependem exclusivamente de endereços MAC ainda relatarão contagens imprecisas de visitantes. Mitigação: Integre os logs de autenticação RADIUS com sua plataforma de WiFi Analytics . Ao rastrear identificadores de credenciais exclusivos (como a Identidade de Usuário Tarifável ou NAI anonimizado) em vez de endereços MAC, os locais podem restaurar métricas precisas de fluxo de pessoas e fidelidade.

ROI e Impacto nos Negócios

O caso de negócios para a implantação do Passpoint baseia-se em três pilares mensuráveis: eficiência operacional, redução de riscos e experiência do usuário.

Do ponto de vista operacional, a eliminação do atrito do Captive Portal correlaciona-se diretamente com a redução de chamados de suporte de TI relacionados à conectividade Wi-Fi. Em grandes ambientes de Saúde ou Transporte , isso representa uma economia significativa de custos.

Em relação à mitigação de riscos, a mudança de redes abertas para a criptografia WPA3-Enterprise reduz substancialmente a responsabilidade do local. Para ambientes de varejo sujeitos ao PCI DSS, a redução na área de superfície de manuseio de dados (ao eliminar a coleta de credenciais baseada na web) simplifica as auditorias de conformidade.

Finalmente, a melhoria na experiência do usuário é profunda. No setor de hospitalidade, estudos mostram consistentemente que um Wi-Fi contínuo e confiável é o principal fator de satisfação dos hóspedes e de reservas recorrentes. Ao implementar o Passpoint, os estabelecimentos oferecem uma experiência de conectividade que reflete a confiabilidade das redes celulares, transformando o Wi-Fi de um serviço frustrante em uma comodidade premium e transparente.

deployment_decision_framework.png

Definições principais

IEEE 802.11u

A emenda do padrão de rede sem fio que permite a Interoperação com Redes Externas, permitindo que os dispositivos consultem os APs antes de se associarem.

Ao configurar controladores sem fio, os engenheiros devem habilitar o 802.11u para permitir que os dispositivos descubram os recursos do Passpoint.

ANQP (Access Network Query Protocol)

Um protocolo de consulta e resposta usado por dispositivos para descobrir serviços de rede, acordos de roaming e informações do local antes de se conectarem.

As equipes de TI configuram perfis ANQP no controlador sem fio para transmitir seus Roaming Consortium OIs e NAI Realms suportados.

Roaming Consortium OI

Um Identificador Organizacional transmitido pelo ponto de acesso que indica quais provedores de identidade ou federações a rede suporta.

Se uma empresa aderir ao OpenRoaming, ela deve garantir que seus APs transmitam o OI específico do OpenRoaming (5A-03-BA).

OSU (Online Sign-Up)

Um processo padronizado e infraestrutura de servidor para provisionar credenciais e certificados Passpoint com segurança no dispositivo de um usuário.

Ao criar um fluxo de integração de autoatendimento para um programa de fidelidade, os desenvolvedores farão a integração com um servidor OSU para enviar o perfil para o dispositivo.

RadSec

Um protocolo que encapsula o tráfego de autenticação RADIUS dentro de um túnel TLS para garantir a transmissão segura em redes não confiáveis.

Necessário ao fazer o proxy de solicitações de autenticação de um local físico para um hub OpenRoaming baseado em nuvem.

NAI Realm

Network Access Identifier Realm; indica o domínio do usuário e os métodos específicos de autenticação EAP suportados pela rede.

Configurado junto com o ANQP para informar aos dispositivos clientes se a rede exige EAP-TLS, EAP-TTLS ou EAP-SIM.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security; um método de autenticação altamente seguro que exige certificados tanto do cliente quanto do servidor.

Frequentemente usado em implantações de Wi-Fi corporativo para funcionários, onde a TI pode enviar certificados para dispositivos gerenciados via MDM.

MAC Address Randomisation

Um recurso de privacidade em sistemas operacionais móveis modernos que gera um endereço de hardware temporário e falso para cada conexão de rede Wi-Fi.

O principal catalisador que afasta os locais físicos dos Captive Portals, pois impede a capacidade de reconhecer visitantes recorrentes com base em seu hardware.

Exemplos práticos

Uma rede de hotéis corporativos de 400 quartos está enfrentando um alto volume de chamados de suporte de hóspedes recorrentes que reclamam que precisam se reconectar manualmente ao Wi-Fi no lobby, no restaurante e em seus quartos, apesar de já terem se conectado anteriormente. Atualmente, o hotel usa um SSID aberto tradicional com um Captive Portal. Como o arquiteto de rede deve resolver isso?

O arquiteto deve implementar uma estratégia de Dual-SSID. Primeiro, implantar um SSID Passpoint seguro transmitindo o Roaming Consortium OI específico do hotel. Segundo, modificar o Captive Portal existente no SSID aberto para servir como um funil de integração. Quando um hóspede faz login pelo portal, ele é solicitado a baixar um perfil de configuração Passpoint em seu dispositivo. Uma vez instalado, o dispositivo se autenticará de forma automática e segura via 802.1X/EAP no SSID Passpoint à medida que ele se move entre o lobby, o restaurante e o quarto, eliminando a reautenticação manual.

Comentário do examinador: Esta abordagem aborda diretamente o atrito causado pela randomização de endereços MAC que quebra a persistência da sessão do Captive Portal. Ao usar o Captive Portal para provisionar o perfil, o hotel garante uma transição suave para os usuários, mantendo um caminho de acesso para dispositivos legados que não suportam Passpoint.

Uma rede de varejo nacional deseja oferecer Wi-Fi seguro e contínuo em suas 500 lojas para impulsionar o engajamento com o aplicativo de fidelidade. No entanto, gerenciar certificados personalizados ou credenciais individuais para milhões de clientes em potencial é considerado operacionalmente inviável. Qual é a arquitetura de implantação recomendada?

O varejista deve implantar o Passpoint e se federar com o OpenRoaming. Ao configurar seus pontos de acesso para transmitir o OpenRoaming OI livre de liquidação (5A-03-BA) e estabelecer túneis RadSec de sua infraestrutura RADIUS para um hub OpenRoaming, o varejista permite que qualquer cliente com um perfil de provedor de identidade compatível (como um dispositivo Samsung moderno ou um perfil de operadora móvel) se conecte automaticamente. O varejista pode, então, integrar isso ao seu aplicativo de fidelidade para disparar notificações push após a associação bem-sucedida à rede.

Comentário do examinador: A federação via OpenRoaming é a solução ideal para escala. Ela transfere o ônus do gerenciamento de identidade e provisionamento de credenciais para Provedores de Identidade estabelecidos, permitindo que o varejista se concentre na camada de acesso e nas análises de engajamento resultantes.

Questões práticas

Q1. Um diretor de TI de um hospital deseja implantar o Passpoint para garantir que os dispositivos móveis dos médicos se conectem com segurança à rede clínica, enquanto os pacientes se conectam a uma rede de convidados separada. Os médicos usam dispositivos pessoais não gerenciados (BYOD). Qual método EAP e estratégia de provisionamento o arquiteto deve recomendar?

Dica: Considere o equilíbrio entre a segurança e a sobrecarga operacional de gerenciar certificados em dispositivos pessoais não gerenciados.

Ver resposta modelo

O arquiteto deve recomendar o EAP-TTLS com um fluxo de provisionamento de servidor Online Sign-Up (OSU). O EAP-TLS exige certificados de cliente, que são operacionalmente difíceis de implantar e gerenciar em dispositivos BYOD não gerenciados. O EAP-TTLS permite que os médicos se autentiquem com segurança usando suas credenciais existentes do Active Directory/LDAP (usuário e senha) tuneladas dentro de uma sessão TLS segura. O servidor OSU pode fornecer um portal de autoatendimento onde os médicos fazem login uma vez para baixar o perfil, permitindo a conexão automática a partir de então.

Q2. Durante um piloto de implantação do Passpoint, os dispositivos Android estão se autenticando e conectando com sucesso, mas os dispositivos iOS estão falhando durante o handshake EAP. Os logs do RADIUS mostram erros de 'Unknown CA'. Qual é a causa mais provável e a solução?

Dica: O iOS da Apple possui requisitos rígidos em relação à cadeia de confiança para certificados de servidor RADIUS.

Ver resposta modelo

A causa mais provável é que o servidor RADIUS está usando um certificado autoassinado ou um certificado emitido por uma Autoridade Certificadora (CA) interna privada na qual os dispositivos iOS não confiam inerentemente. Os dispositivos Android às vezes permitem que os usuários ignorem ou desconsiderem a validação do certificado (embora isso seja uma prática de segurança ruim), enquanto o iOS a exige rigidamente para perfis Passpoint. A solução é substituir o certificado do servidor RADIUS por um emitido por uma CA comercial publicamente confiável (por exemplo, DigiCert, Let's Encrypt) ou garantir que o certificado raiz da CA privada esteja explicitamente incluído no perfil de configuração do Passpoint enviado para os dispositivos iOS.

Q3. Um estádio implementou o OpenRoaming. Um usuário com um perfil OpenRoaming válido do Google entra no local, mas seu dispositivo não tenta se conectar automaticamente. Qual configuração específica no controlador de LAN sem fio do estádio o engenheiro de rede deve verificar primeiro?

Dica: Como o dispositivo sabe que o ponto de acesso suporta a federação OpenRoaming antes de tentar se conectar?

Ver resposta modelo

O engenheiro deve verificar a configuração ANQP, especificamente checando se os pontos de acesso estão transmitindo o Roaming Consortium Organisational Identifier (OI) correto para o OpenRoaming, que é 5A-03-BA. Se este OI não estiver incluído no beacon do AP ou na resposta GAS, o dispositivo não reconhecerá a rede como participante do OpenRoaming e não tentará se autenticar.

Continue a ler esta série

How to Set Up a Captive Portal on Starlink: A Guide for Remote & Maritime Venues

Este guia detalha como contornar o hardware nativo da Starlink e integrar um Captive Portal gerenciado na nuvem usando equipamentos de roteamento corporativos. Você aprenderá como superar a limitação de CGNAT, impor a segmentação de VLAN, gerenciar restrições de largura de banda de satélite e garantir a conformidade regulatória.

Ler o guia →

Melhores Práticas de Captive Portal: Projetando para Alta Conversão e Conformidade

Este guia técnico oferece aos gerentes de TI, arquitetos de rede e diretores de operações de locais um roteiro completo para a implantação de captive portals que equilibram a segurança de rede com uma alta conversão de usuários. O guia abrange toda a arquitetura, desde a segmentação de VLAN e autenticação RADIUS até o design de consentimento em conformidade com a GDPR e a seleção de métodos de autenticação. Extraído da experiência operacional da Purple em mais de 80.000 locais e 440 milhões de logins em 2024, cada recomendação é baseada em dados reais de implantação.

Ler o guia →

Como otimizar Captive Portals para máxima segurança de rede e conversão de usuários

Este guia fornece um blueprint técnico completo para otimizar captive portals em ambientes corporativos, cobrindo arquitetura de segmentação de rede, seleção de métodos de autenticação, design de consentimento em conformidade com o GDPR e otimização de conversão. Ele foi escrito para gerentes de TI, arquitetos de rede e CTOs em hotéis, redes de varejo, estádios e organizações do setor público que precisam equilibrar a segurança de rede com a captura de dados primários (first-party data). A Purple opera a infraestrutura de captive portal em mais de 80.000 locais, com 440 milhões de logins em 2024, e as estruturas apresentadas aqui refletem essa experiência operacional.

Ler o guia →