Passpoint and OpenRoaming: Complete Guide
Este guia de referência técnica fornece uma análise abrangente das estruturas Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Ele detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implantação necessárias para estabelecer uma conectividade de visitantes segura e sem atrito. Arquitetos de rede e líderes de TI aprenderão como projetar, implementar e solucionar problemas desses padrões para eliminar as barreiras de login manual, mantendo a segurança de nível empresarial.
📚 Parte da nossa série principal: Multi-Tenant WiFi →
- Resumo Executivo
- Detalhamento Técnico
- O Processo de Descoberta 802.11u
- Arquitetura de Federação OpenRoaming
- Guia de Implementação
- Passo 1: Auditoria da Infraestrutura de Rede
- Passo 2: Configuração de Firewall
- Passo 3: Aquisição de Certificado
- Passo 4: Configuração da Controladora Wireless
- Passo 5: Configuração do Proxy RADIUS/RadSec
- Melhores Práticas
- Solução de Problemas e Mitigação de Riscos
- Falhas Comuns e Resoluções
- ROI e Impacto no Negócio
- Eficiência Operacional
- Postura de Segurança
- Inteligência de Dados

Resumo Executivo
As demandas de conectividade corporativa mudaram do acesso de convidados manual, baseado em portal cativo, para uma integração automatizada, segura e sem atritos. O Passpoint (definido pela Wi-Fi Alliance como Hotspot 2.0) e o OpenRoaming (orquestrado pela Wireless Broadband Alliance) representam a padronização dessa mudança. Ao utilizar protocolos IEEE 802.11u e segurança WPA3-Enterprise, essas tecnologias permitem que os dispositivos móveis descubram, autentiquem e se conectem a redes WiFi seguras automaticamente, sem a intervenção do usuário.
Este guia serve como uma referência autoritativa para arquitetos de rede e diretores de TI que planejam implantar essas tecnologias em locais de grande escala, ambientes de varejo e campi corporativos. Nós examinamos os handshakes criptográficos subjacentes, a arquitetura de federação e as etapas práticas de configuração necessárias para integrar esses padrões na infraestrutura sem fio existente. Ao adotar essas estruturas, as organizações podem eliminar o atrito dos portais de convidados tradicionais, ao mesmo tempo em que melhoram significativamente sua postura de segurança sem fio.
Detalhamento Técnico
Para entender o Passpoint e o OpenRoaming, é preciso primeiro analisar os protocolos subjacentes que governam sua operação. No núcleo do Passpoint está o IEEE 802.11u, uma emenda ao padrão 802.11 que permite que dispositivos sem fio descubram serviços de rede antes de estabelecer uma associação.
Historicamente, um dispositivo cliente tinha que se associar a um Access Point (AP) e obter um endereço IP antes de poder consultar as capacidades da rede. Com o 802.11u, essa descoberta ocorre no estado de pré-associação usando consultas Access Network Query Protocol (ANQP).
O Processo de Descoberta 802.11u
Quando um dispositivo habilitado para Passpoint varre as frequências de rádio, ele detecta um beacon contendo um elemento de Interworking. Este elemento sinaliza que o AP suporta 802.11u e anuncia seu tipo de rede (por exemplo, privada, pública gratuita, pública tarifada). O dispositivo cliente então envia uma consulta ANQP para solicitar parâmetros específicos, tais como:
- Roaming Consortium Organisation Identifiers (OIs): Identificadores exclusivos globais atribuídos pelo IEEE que representam parceiros de roaming ou federações específicas.
- Nome do Local e Grupo do Local: Metadados que descrevem a localização física (por exemplo, "Terminal 2" ou "Estádio").
- Disponibilidade de Tipo de Endereço IP: Informações sobre se o IPv4 ou IPv6 está disponível, e se o NAT é aplicado.
Se o dispositivo cliente possuir um perfil contendo um Roaming Consortium OI correspondente, ele iniciará o processo de autenticação sem solicitar a ação do usuário.
Arquitetura de Federação OpenRoaming
O OpenRoaming atua como uma camada de federação global sobre o Passpoint. Ele estabelece uma Public Key Infrastructure (PKI) segura gerenciada pela Wireless Broadband Alliance (WBA). Essa federação permite que provedores de identidade (IDPs) - como operadoras de telefonia móvel, fabricantes de dispositivos (Apple, Google) e sistemas de identidade corporativa - façam parcerias seguras com provedores de rede.A autenticação é executada utilizando WPA3-Enterprise (ou WPA2-Enterprise para compatibilidade legada) com PEAP (Protected Extensible Authentication Protocol) ou EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). O AP atua como um autenticador, encapsulando os pacotes EAP em pacotes RADIUS (Remote Authentication Dial-In User Service) ou RadSec (RADIUS sobre TLS) e encaminhando-os para o provedor de identidade.
O RadSec é obrigatório no OpenRoaming para proteger a comunicação entre o proxy RADIUS da rede local e os IDPs globais através da internet pública. O RadSec usa a porta TCP 2083 e criptografia TLS, garantindo que as credenciais do usuário e os atributos de autenticação permaneçam confidenciais durante o trânsito entre provedores de trânsito intermediários.
Guia de Implementação
A implantação do Passpoint e do OpenRoaming requer uma abordagem sistemática em toda a controladora wireless (WLC), infraestrutura RADIUS e configurações de DNS/firewall.
Passo 1: Auditoria da Infraestrutura de Rede
Certifique-se de que seus APs e WLCs suportam 802.11u e Passpoint Versão 2 ou 3. Verifique se o seu servidor RADIUS suporta RadSec (RFC 6614). Se o seu servidor RADIUS legado não suportar RadSec, você deve implantar um proxy RadSec (como FreeRADIUS ou um gateway dedicado) em sua DMZ.
Passo 2: Configuração de Firewall
Abra a porta TCP de saída 2083 para os servidores proxy RadSec do OpenRoaming. Certifique-se de que a resolução DNS está configurada corretamente em seus servidores RADIUS, pois o RadSec depende do Dynamic Delegation Discovery System (DDDS) e de registros NAPTR para localizar o IDP apropriado.
Passo 3: Aquisição de Certificado
Obtenha um certificado RadSec aprovado pela WBA de uma Autoridade Certificadora (CA) autorizada. Este certificado é crítico para a autenticação TLS mútua (mTLS) entre o seu proxy RadSec local e os corretores da federação OpenRoaming.
Passo 4: Configuração da Controladora Wireless
- Criar um SSID Seguro: Configure um novo SSID ou modifique um existente para usar WPA3-Enterprise (ou modo de transição WPA2/WPA3).
- Habilitar 802.11u (Interworking): Habilite o recurso Interworking no SSID.
- Configurar o HESSID: Defina o ESSID Homogêneo, normalmente o endereço MAC de uma das rádios do AP, para identificar exclusivamente o grupo de rede.
- Adicionar OIs do Roaming Consortium: Adicione as OIs do OpenRoaming Roaming Consortium. As OIs padrão são:
5A-03-BE-00-00(Livre de liquidação, identidades verificadas por Google, Apple ou operadoras móveis)5A-03-BE-00-01(Liquidado, para acordos de roaming comercial)
- Configurar Parâmetros ANQP: Defina o Nome do Local (Venue Name), Grupo do Local (Venue Group) e Tipo de Rede.
Passo 5: Configuração do Proxy RADIUS/RadSec
Configure seu servidor RADIUS local para agir como um proxy RadSec. Defina regras de roteamento que encaminham solicitações de autenticação contendo as OIs do OpenRoaming ou padrões de domínio específicos para o gateway RadSec do OpenRoaming.
Melhores Práticas
Para garantir uma implantação estável e de alto desempenho, siga as seguintes recomendações padrão do setor:
- Consolidação de SSID: Não crie um SSID dedicado para o Passpoint ou OpenRoaming. Em vez disso, combine-os em um único SSID corporativo seguro. Isso minimiza a sobrecarga de beacons e conserva um tempo de transmissão valioso.
- Gerenciamento de Certificados: Implemente processos automatizados de renovação de certificados para seus certificados RadSec. Um certificado expirado interromperá imediatamente todas as autenticações do OpenRoaming.
- Planejamento de Canais: Como o Passpoint depende de trocas ANQP de pré-associação, os dispositivos clientes passam mais tempo verificando e consultando. Otimize seu planejamento de canais de 5 GHz e 6 GHz para reduzir a contenção e garantir respostas rápidas de sondagem.
- Filtragem de Realm: Implemente uma filtragem estrita de realm em seu proxy RadSec para evitar que o tráfego de autenticação desnecessário sobrecarregue a rede da federação. Encaminhe apenas as solicitações que correspondam a padrões válidos de OpenRoaming.
- Alinhamento da Experiência do Usuário: Certifique-se de que a sinalização física do local e os materiais de marketing digital informem aos usuários que eles podem se conectar automaticamente via OpenRoaming, reduzindo a dependência de SSIDs abertos e não criptografados.
Solução de Problemas e Mitigação de Riscos
Falhas Comuns e Resoluções
Problema: Os dispositivos clientes não conseguem se conectar automaticamente
- Causa Raiz: OIs do Roaming Consortium ausentes ou mal configuradas no WLC, ou o dispositivo cliente não possui o perfil correto instalado.
- Mitigação: Use um analisador de pacotes para capturar os quadros de beacon e resposta de sondagem. Verifique se o elemento Interworking 802.11u contém os OIs corretos. Certifique-se de que o perfil do cliente seja provisionado corretamente por meio de um MDM ou de um portal de provisionamento.
Problema: Falhas de conexão RadSec
- Causa Raiz: Firewall bloqueando a porta TCP 2083, ou certificados RadSec inválidos/expirados.
- Mitigação: Realize uma captura de pacotes na interface WAN do proxy RADIUS. Verifique se o handshake TLS foi concluído com sucesso. Verifique o status da lista de revogação de certificados (CRL).
Problema: Alta latência durante a autenticação
- Causa Raiz: IDPs geograficamente distantes ou resolução DNS lenta para registros NAPTR.
- Mitigação: Implemente o cache local de registros DNS e garanta que seu proxy RADIUS tenha caminhos de baixa latência para os hubs regionais do OpenRoaming.
ROI e Impacto no Negócio
A transição para o Passpoint e o OpenRoaming entrega valor comercial mensurável em três vetores principais: eficiência operacional, postura de segurança e inteligência de dados.
Eficiência Operacional
Ao automatizar o processo de conexão, os locais experimentam uma redução significativa nos chamados de suporte relacionados a guest WiFi. A equipe da recepção e as centrais de ajuda de TI gastam menos tempo solucionando falhas de Captive Portal e problemas de senha.
Postura de Segurança
As redes guest abertas tradicionais expõem os usuários a interceptações e ataques man-in-the-middle. O Passpoint exige criptografia de nível corporativo (WPA2/WPA3-Enterprise), protegendo todo o tráfego aéreo. Isso protege tanto o usuário quanto o local de responsabilidades associadas a violações de dados.
Inteligência de Dados
Quando integrado com plataformas como a Purple, o Passpoint permite que os locais identifiquem visitantes recorrentes de forma contínua. Como o dispositivo se conecta automaticamente, o local captura métricas precisas de tempo de permanência e frequência de visitas sem exigir que o usuário abra um navegador e faça login repetidamente. Esse fluxo contínuo de dados possibilita estratégias de engajamento em tempo real altamente direcionadas.
Definições principais
Passpoint
Um programa de certificação da Wi-Fi Alliance (baseado em Hotspot 2.0) que permite que dispositivos móveis descubram e se conectem automaticamente a redes WiFi com segurança de nível empresarial.
Ele forma a base técnica para a integração contínua de visitantes.
OpenRoaming
Uma federação global de roaming criada pela Wireless Broadband Alliance (WBA) que permite aos usuários se conectarem de forma segura e automática a redes WiFi usando identidades confiáveis.
Ele atua como a camada de política e identidade sobre o Passpoint.
ANQP
Access Network Query Protocol. Um protocolo de consulta-resposta usado por dispositivos móveis para descobrir recursos de rede antes de se associarem a um AP.
Crucial para a descoberta de pré-associação em 802.11u.
802.11u
Uma emenda ao padrão IEEE 802.11 que adiciona recursos para interoperação com redes externas, permitindo a descoberta de pré-associação.
O padrão de camada física e MAC que torna o Passpoint possível.
RadSec
RADIUS sobre TLS (RFC 6614). Um protocolo que protege pacotes RADIUS encapsulando-os em um túnel TLS sobre TCP.
Obrigatório para o OpenRoaming para proteger o tráfego de autenticação pela internet pública.
Roaming Consortium OI
Roaming Consortium Organisation Identifier. Um identificador hexadecimal exclusivo atribuído pelo IEEE para identificar uma federação ou parceiro de roaming específico.
Usado por APs para anunciar quais credenciais de roaming eles aceitam.
HESSID
Homogeneous ESSID. Um endereço MAC de 48 bits configurado em APs para identificar um grupo de APs pertencentes à mesma rede ou local.
Ajuda os dispositivos clientes a entenderem que vários APs pertencem ao mesmo domínio administrativo.
EAP-TLS
Extensible Authentication Protocol-Transport Layer Security. Um protocolo de autenticação que usa certificados digitais para autenticação mútua.
O método de autenticação mais seguro suportado pelo Passpoint.
Exemplos práticos
Uma implantação de estádio em grande escala exige a configuração de um Cisco Catalyst 9800 Wireless Controller para suportar OpenRoaming (Livre de Liquidação) junto com os SSIDs corporativos existentes. O arquiteto de rede deve garantir que os dispositivos cliente descubram e se conectem automaticamente à rede usando os OIs do Roaming Consortium corretos.
Para implementar isso no Cisco Catalyst 9800 WLC, siga estas etapas de configuração:
- Defina o Perfil do Servidor ANQP:
wireless profile anqp openroaming-anqp-profile
venue-name english "Stadium Main Bowl"
venue-group assembly venue-type arena
network-auth-type redirect-url "https://portal.purple.ai"
ip-type ipv4-nat ipv6-no-address
- Crie o Perfil do Roaming Consortium e adicione o OI do OpenRoaming Livre de Liquidação (5A-03-BE-00-00):
wireless profile roaming openroaming-roaming-profile
roaming-consortium-oi 5A03BE0000
- Configure o Perfil do Hotspot 2.0 (Passpoint):
wireless profile hotspot openroaming-hotspot-profile
anqp-server-profile openroaming-anqp-profile
roaming-consortium-profile openroaming-roaming-profile
hessid 00:11:22:33:44:55
- Aplique o perfil do Hotspot ao Perfil WLAN de destino:
wlan openroaming-wlan 1 openroaming-ssid
security wpa wpa3
security wpa akm eap
hotspot-profile openroaming-hotspot-profile
no shutdown
- Verifique a configuração usando a CLI:
show wireless profile hotspot detailed openroaming-hotspot-profile
Uma rede de varejo multi-site deseja migrar de um portal cativo tradicional para um modelo híbrido. Eles querem usar o OpenRoaming para uma conexão perfeita enquanto utilizam a plataforma de análise da Purple para monitorar o comportamento do visitante e executar campanhas direcionadas com base no tempo de permanência.
A solução exige a configuração de um proxy RadSec para rotear as solicitações de autenticação para a federação OpenRoaming e, simultaneamente, enviar dados de contabilidade para a plataforma de nuvem da Purple.
- Configure o proxy RadSec local (por exemplo, FreeRADIUS) para estabelecer uma conexão TLS com o gateway OpenRoaming:
home_server openroaming_radsec {
type = auth+acct
ipaddr = radsec.openroaming.org
port = 2083
proto = tcp
tls {
private_key_file = /etc/raddb/certs/radsec.key
certificate_file = /etc/raddb/certs/radsec.pem
ca_file = /etc/raddb/certs/wba_ca.pem
}
}
- Configure o servidor de contabilidade para duplicar os pacotes de contabilidade e encaminhá-los para os endpoints de contabilidade RADIUS da Purple:
home_server purple_accounting {
type = acct
ipaddr = acct.purpleportal.net
port = 1813
secret = PurpleSharedSecret
}
realm openroaming {
auth_pool = openroaming_radsec
acct_pool = purple_accounting
}
- No WLC, certifique-se de que a contabilidade RADIUS esteja habilitada e configurada para enviar atualizações provisórias a cada 300 segundos. Isso garante que a Purple receba dados contínuos de tempo de permanência, mesmo que o usuário não abra ativamente um navegador.
Questões práticas
Q1. Um engenheiro de rede percebe que os dispositivos Android estão se conectando automaticamente ao SSID do OpenRoaming, mas os dispositivos iOS estão solicitando que os usuários selecionem a rede manualmente. Qual é a causa mais provável desse comportamento?
Dica: Considere como os perfis são provisionados e confiáveis em diferentes sistemas operacionais móveis.
Ver resposta modelo
A causa mais provável é que os dispositivos iOS não têm o perfil OpenRoaming necessário instalado, ou a carga de certificado do perfil não é confiável para o iOS. Os dispositivos Android geralmente vêm com perfis OpenRoaming pré-instalados de fabricantes de dispositivos ou configurações de operadoras. O iOS exige a instalação explícita do perfil por meio de um MDM, um aplicativo de provisionamento ou um portal como o Purple para confiar na CA raiz e associar o Roaming Consortium OI ao SSID.
Q2. Durante uma captura de pacotes na interface WAN de um proxy RadSec, você observa pacotes TCP SYN enviados para a porta 2083, mas nenhum SYN-ACK é recebido. Quais etapas de solução de problemas você deve tomar?
Dica: Foque no caminho da rede e nas configurações de firewall.
Ver resposta modelo
- Verifique se a política de firewall de saída permite o tráfego da porta TCP 2083 do IP do proxy RadSec para o gateway OpenRoaming de destino.
- Verifique se há um dispositivo de segurança intermediário (como um IPS ou firewall de inspeção profunda de pacotes) bloqueando ou descartando o tráfego.
- Confirme se o endereço IP de destino resolvido por meio dos registros DNS NAPTR está correto e acessível.
- Realize um traceroute para identificar onde o descarte de pacotes está ocorrendo no caminho de trânsito.
Q3. Por que a consolidação de SSID é considerada uma prática recomendada ao implantar Passpoint e OpenRoaming, e qual é o impacto técnico de ignorar essa recomendação?
Dica: Pense na eficiência do tempo de transmissão no ar e na sobrecarga de beacons.
Ver resposta modelo
A consolidação de SSID é crítica porque cada SSID configurado em um AP deve transmitir seus próprios quadros de beacon, normalmente na menor taxa de dados obrigatória suportada. Criar um SSID dedicado para Passpoint/OpenRoaming aumenta o overhead de beacon, consumindo tempo de transmissão valioso e reduzindo a capacidade geral da rede. Ao consolidar o Passpoint em um SSID corporativo seguro existente, o AP anuncia os parâmetros 802.11u dentro dos quadros de beacon existentes, preservando o tempo de transmissão e mantendo a eficiência ideal do canal.
Continue a ler esta série
Configurando Autenticação RADIUS para Redes WiFi de Convidados e Funcionários
Este guia de referência técnica descreve a arquitetura, configuração e implantação da autenticação RADIUS para redes WiFi corporativas de convidados e funcionários. Ele fornece aos arquitetos de rede e gerentes de TI os protocolos exatos, padrões de segurança e metodologias de solução de problemas necessários para criar sistemas de controle de acesso sem fio seguros e escaláveis.
Como Implementar SCEP para BYOD Seguro e Registro de Rede no Ensino Superior
Este guia técnico fornece aos arquitetos de rede e gerentes de TI um modelo neutro de fornecedor para implantar o registro de certificados baseado em SCEP para proteger redes de campus de ensino superior. Ele detalha como migrar do PEAP baseado em senha para o 802.1X EAP-TLS, automatizar a integração de BYOD e aplicar uma segmentação robusta de VLAN.
Server RADIUS: um guia completo para empresas
Este guia fornece a gerentes de TI, arquitetos de rede e CTOs uma referência técnica definitiva sobre autenticação de server RADIUS para WiFi corporativo. Ele aborda a estrutura AAA, arquitetura 802.1X, seleção de método EAP, compensações de implantação em nuvem versus local e atribuição dinâmica de VLAN. Operadores de locais nos setores de hospitalidade, varejo, eventos e setor público encontrarão orientações práticas de implementação, estudos de caso do mundo real e as estruturas de decisão necessárias para migrar de chaves pré-compartilhadas inseguras para uma arquitetura de controle de acesso à rede segura e orientada por identidade.