Saltar para o conteúdo principal
Português

Arquitetura de Captive Portal: Segurança, Redirecionamento e Boas Práticas

Uma referência técnica definitiva sobre arquitetura de captive portal empresarial. Este guia analisa o isolamento de rede, redirecionamento de DNS, autenticação RADIUS e conformidade de segurança para líderes de TI que implementam redes WiFi de convidados seguras e ricas em dados.

📖 5 min de leitura📝 1,232 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Fale em inglês britânico com um tom confiante, autoritário e de conversação — como se fosse um consultor de redes sénior a fazer um briefing a um cliente enquanto bebem um café. Ritmo medido, dicção clara, sem pressas. Pausas naturais ocasionais para dar ênfase. Profissional mas não rígido: Bem-vindo ao Purple Technical Briefing. Sou o seu anfitrião e hoje vamos analisar a fundo a arquitetura de captive portal — especificamente o modelo de segurança, a mecânica de redirecionamento e as decisões de design que distinguem uma implementação em conformidade e bem estruturada de outra que lhe causará problemas às três da manhã. [medium pause] Vamos contextualizar a situação. Tem uma rede WiFi para convidados a funcionar numa cadeia de hotéis, numa rede de lojas ou num estádio. Milhares de dispositivos ligam-se todos os dias. Alguns desses dispositivos contêm malware. Alguns desses utilizadores tentarão aceder a conteúdos que não deviam. E a sua equipa jurídica quer a garantia, por escrito, de que recolheu um consentimento válido antes de armazenar um único byte de dados pessoais. [medium pause] Esse é o problema que a arquitetura de captive portal foi concebida para resolver. Vamos analisar como funciona realmente. [medium pause] Secção um. A cadeia de redirecionamento. Quando um dispositivo convidado se liga ao seu SSID de WiFi, obtém um endereço IP de um pool de DHCP numa VLAN de convidados dedicada — vamos chamar-lhe VLAN 20. Os seus dispositivos corporativos estão na VLAN 10. Estas duas VLANs nunca devem encaminhar tráfego entre si. Isso não é negociável do ponto de vista do PCI DSS e, francamente, também do ponto de vista da segurança básica. Neste momento, o dispositivo está ligado, mas ainda não se autenticou. O controlador coloca-o no que chamamos de estado de pré-autenticação. O dispositivo só consegue aceder a uma pequena lista de domínios permitidos — o walled garden. Tudo o resto é interceptado. Aqui está o aspeto engenhoso. Quando o dispositivo tenta carregar uma página web — ou quando o sistema operativo realiza a verificação de deteção de captive portal, o que o iOS faz automaticamente acedendo a captive.apple.com — o resolvedor de DNS no gateway devolve o endereço IP do servidor do captive portal em vez do destino real. O navegador segue esse redirecionamento e vai parar à sua splash page. [medium pause] Trata-se do Layer 3 e do Layer 7 a trabalhar em conjunto. A VLAN trata do isolamento da rede. A interceção de DNS trata do redirecionamento. E o captive portal trata da camada de identidade e consentimento. Três mecanismos distintos, todos a funcionar em sequência. [medium pause] Secção dois. Autenticação e RADIUS. Assim que o convidado interage com a splash page — seja aceitando os termos e condições, inserindo um endereço de e-mail, autenticando-se através de login social ou verificando um código por SMS —, a plataforma precisa de instruir o controlador de rede a abrir a firewall para esse dispositivo específico. É aqui que entra o RADIUS. RADIUS significa Remote Authentication Dial-In User Service. É um protocolo definido no RFC 2865 e é o padrão da indústria para comunicar decisões de autenticação entre um servidor de políticas e um dispositivo de acesso à rede. A Purple funciona como um servidor RADIUS alojado na nuvem. Quando um convidado conclui o fluxo do Captive Portal, a Purple envia uma mensagem RADIUS Access-Accept para o controlador WiFi local - quer seja um Cisco Meraki, um controlador HPE Aruba, um Ruckus SmartZone ou um ponto de acesso Juniper Mist. O controlador recebe essa mensagem e transita o dispositivo do convidado do estado de pré-autenticação para o estado autorizado, abrindo as regras de firewall e concedendo acesso à internet. [medium pause] Existe uma extensão importante do RADIUS que deve conhecer: Change of Authorisation, ou CoA. O CoA permite que o servidor RADIUS envie uma mensagem a meio da sessão para o controlador para revogar ou modificar uma sessão que já está ativa. A Purple utiliza o CoA para impor limites de tempo de sessão, desligar dispositivos que tenham sido sinalizados por violações de políticas e apoiar fluxos de trabalho de direito ao apagamento sob o GDPR - onde um utilizador solicita a eliminação dos seus dados e a Purple pode revogar imediatamente a sua sessão ativa. [medium pause] Secção três. O walled garden. O walled garden é uma lista branca de endereços IP e nomes de domínio que os dispositivos não autenticados podem aceder antes de concluírem o fluxo do Captive Portal. Se errar nisto, a sua splash page não irá carregar. Se errar gravemente, terá criado uma lacuna de segurança. No mínimo, o seu walled garden precisa de incluir o próprio URL do Captive Portal, quaisquer endpoints de CDN que sirvam os recursos do portal e os endpoints de autenticação de quaisquer fornecedores de início de sessão social que esteja a utilizar - Google, Facebook, Microsoft. Se estiver a utilizar a verificação por SMS, terá de incluir na lista branca o endpoint da API do gateway de SMS. Laço que apanha a maioria das implementações são os endereços IP dinâmicos. Os serviços de nuvem nem sempre têm IPs estáticos. Se incluir na lista branca um IP em vez de um domínio, e esse IP for alterado, o seu portal deixa de funcionar. Utilize a inclusão em lista branca baseada em domínio onde o seu controlador a suporte e teste após cada alteração. [medium pause] Secção quatro. Design de segurança. Vamos falar sobre a arquitetura de segurança com mais detalhe, porque é aqui que a maioria das implementações apresenta lacunas. Primeiro: isolamento de clientes. Ative-o. Esta é uma definição no ponto de acesso que impede os dispositivos dos convidados de comunicarem diretamente entre si através do meio sem fios. Sem isso, um dispositivo comprometido na sua rede de convidados pode sondar e atacar outros dispositivos de convidados. É uma correção com uma única caixa de seleção que elimina toda uma classe de ataques peer-to-peer. Segundo: tempos de concessão DHCP. Num local de grande rotação - um centro de transportes, um estádio, uma loja de retalho movimentada - precisa de tempos de concessão curtos. Trinta a sessenta minutos. Se mantiver o valor predefinido de vinte e quatro horas e tiver dez mil dispositivos a ligarem-se num dia de jogo, esgotará o seu pool de endereços IP antes do intervalo. Os novos dispositivos não se irão ligar. A sua equipa de operações receberá reclamações. Mantenha as concessões curtas. Terceiro: encriptação. O seu Captive Portal deve ser servido através de HTTPS com um certificado TLS válido. Se for servido através de HTTP, os browsers modernos irão sinalizá-lo como inseguro, os utilizadores desconfiarão dele e estará a transmitir credenciais em texto simples. Utilize, no mínimo, TLS 1.2; o TLS 1.3 é preferível. A camada de transporte WiFi deve utilizar WPA2-AES ou WPA3 - nunca WEP, nunca TKIP. Quarto: segmentação de VLAN. A sua VLAN de convidados deve estar completamente isolada de qualquer segmento de rede que toque em dados de cartões de pagamento. A versão 4.0 do PCI DSS é explícita quanto a isto. Se a sua rede de convidados conseguir encaminhar para uma sub-rede que contenha um sistema de ponto de venda, toda a sua rede POS estará no âmbito de uma auditoria PCI. Esse é um encargo de conformidade significativo. Segmente corretamente desde o primeiro dia. [medium pause] Secção cinco. GDPR e conformidade de dados. Cada Captive Portal que recolha dados pessoais - e endereço de email, número de telefone e login social contam todos como dados pessoais ao abrigo do GDPR - deve cumprir requisitos específicos. Necessita de uma base jurídica para o processamento. Para o WiFi de convidados, isso é normalmente o consentimento. O consentimento deve ser dado livremente, específico, informado e inequívoco. Caixas pré-selecionadas não contam. Agrupar o consentimento de WiFi com o consentimento de marketing não conta. O modelo de opt-in de escolha consciente da Purple separa o consentimento de acesso à rede do consentimento de marketing, para que os convidados possam aceder à internet sem serem forçados a aceitar emails de marketing. Necessita de documentar que dados recolhe, por que razão os recolhe, onde são armazenados e durante quanto tempo os retém. A Purple é certificada pela norma ISO 27001, em conformidade com o GDPR, em conformidade com o CCPA e com a certificação Cyber Essentials. A plataforma armazena dados em centros de dados conformes com políticas de retenção documentadas. E necessita de um fluxo de trabalho de direito ao apagamento. Se um convidado solicitar a eliminação dos seus dados, deve ser capaz de agir em conformidade no prazo de trinta dias. A plataforma da Purple suporta isto nativamente, e o mecanismo RADIUS CoA que mencionei anteriormente significa que pode revogar sessões ativas ao mesmo tempo. [medium pause] Passemos agora para as recomendações de implementação e os erros que vemos com mais frequência. [medium pause] Erro um: walled gardens mal configurados. A splash page carrega, mas o botão de login social não funciona. Ou a página carrega mas o logótipo não aparece porque o domínio CDN não está na whitelist. Teste o seu walled garden num dispositivo novo sem DNS em cache antes de entrar em produção. Erro dois: PSKs partilhadas. Alguns locais ainda utilizam uma única palavra-passe de WiFi escrita num quadro de giz. Isso não é um Captive Portal - é um segredo partilhado que qualquer pessoa pode fotografar e partilhar. Não lhe fornece dados de identidade, nenhum registo de consentimento e nenhuma capacidade de revogar o acesso individual. Substitua-o por um Captive Portal gerido. Erro três: dimensionamento insuficiente do pool DHCP. Já abordei isto, mas vale a pena repetir. Dimensione o seu pool DHCP para o pico de ligações simultâneas, não para a média de ligações. Num estádio com quarenta mil adeptos, poderá ter vinte mil dispositivos a tentar ligar-se simultaneamente. Planeie em conformidade. Quarto erro: sem limite de tempo de sessão. Sem um limite de tempo de sessão, um dispositivo que se ligou há seis meses e nunca mais voltou ainda mantém um estado de sessão autorizado no seu controlador. Esse é um registo obsoleto que desperdiça recursos e cria ruído de auditoria. Defina limites de tempo de sessão. Trinta minutos de inatividade é um padrão razoável. [medium pause] Perguntas e respostas rápidas. Pergunta: O Captive Portal funciona em todos os dispositivos? Resposta: Os sistemas operativos modernos - iOS, Android, Windows, macOS - têm todos deteção de Captive Portal integrada. Detetam o redirecionamento e apresentam o portal automaticamente. Dispositivos mais antigos podem exigir que o utilizador abra um browser manualmente. A plataforma da Purple lida com ambos os fluxos. Pergunta: Podemos usar um Captive Portal em conjunto com o 802.1X? Resposta: Sim. Muitas implementações empresariais usam 802.1X para dispositivos de funcionários - onde os certificados ou credenciais são autenticados automaticamente - e um Captive Portal para dispositivos de convidados num SSID separado. A Purple integra-se com infraestruturas RADIUS que suportam ambos os fluxos simultaneamente. Pergunta: E quanto ao OpenRoaming? Resposta: O OpenRoaming é um padrão que permite que os dispositivos se liguem ao WiFi automaticamente utilizando autenticação baseada em certificados, contornando totalmente o Captive Portal. A Purple atua como um fornecedor de identidade gratuito para o OpenRoaming sob a licença Connect. É o rumo futuro para uma conectividade de convidados contínua, mas os Captive Portals continuam a ser o padrão atual para captura de dados e gestão de consentimento. [medium pause] Para resumir. Uma implementação de Captive Portal bem arquitetada baseia-se em cinco pilares. Isolamento de VLAN para proteger a sua rede corporativa. Interceção de DNS e redirecionamento HTTPS para apresentar a splash page. Autenticação RADIUS para abrir a firewall após o consentimento. Um walled garden configurado corretamente para garantir que o portal carrega de forma fiável. E o tratamento de dados em conformidade com o GDPR para proteger tanto os seus convidados como a sua organização. A plataforma da Purple lida com todas as cinco camadas em 80.000 locais ativos, com 440 milhões de inícios de sessão processados em 2024 e 99,999% de uptime. Integra-se nativamente com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet - por isso, independentemente do hardware que estiver a utilizar, pode implementar sem necessidade de remover e substituir. Se pretender aprofundar qualquer um destes tópicos - design de SSID, configuração de RADIUS ou fluxos de trabalho de conformidade com o GDPR - visite purple.ai para aceder à biblioteca completa de guias técnicos. Obrigado por ouvir.

header_image.png

Resumo executivo

Para recintos empresariais, o WiFi de convidados é uma infraestrutura crítica que exige uma disciplina arquitetural rigorosa. Fazer a ponte entre o acesso público aberto e a rede corporativa segura requer a configuração precisa de isolamento de VLAN, interceção de DNS e gestão de identidade. Este guia disseca a mecânica da arquitetura de Captive Portal empresarial, eliminando o jargão de marketing para explicar exatamente como funciona ao nível do pacote. Abordamos os principais componentes técnicos: segmentação de VLAN, gestão de pool de DHCP, redirecionamento HTTP, autenticação RADIUS e modelação de largura de banda (bandwidth shaping).

Quer esteja a implementar uma nova rede para uma cadeia de Hotelaria ou a atualizar infraestruturas legadas em Saúde , compreender este funcionamento é essencial para mitigar riscos, garantir a conformidade com PCI DSS e GDPR, e recolher dados primários acionáveis através da nossa plataforma de WiFi Analytics .

Ouça o podcast de briefing técnico:

Análise técnica detalhada: como funcionam os Captive Portals

A um nível fundamental, uma rede WiFi de convidados empresarial funciona enganando o dispositivo do cliente o suficiente para intercetar o seu tráfego, forçar a autenticação e, em seguida, encaminhá-lo de forma segura para a internet sem nunca tocar na LAN corporativa.

1. Isolamento lógico via VLANs

A base de qualquer rede de WiFi de Convidados segura é a separação lógica. Quando um utilizador do recinto se liga ao SSID de convidados, o ponto de acesso etiqueta o seu tráfego com um ID de Rede Local Virtual (VLAN) específico (por exemplo, VLAN 20), enquanto o tráfego corporativo opera numa VLAN separada (por exemplo, VLAN 10).

Esta etiquetagem garante que, ao nível do switch e da firewall, o tráfego de convidados seja fisicamente incapaz de ser encaminhado para sub-redes internas que contenham sistemas de ponto de venda ou registos de pacientes. A firewall está configurada com regras de recusa explícitas para o encaminhamento inter-VLAN, forçando o tráfego de convidados diretamente para fora da interface WAN.

architecture_overview.png

2. DHCP e o pool de endereços IP

Ao ligar-se, o dispositivo do cliente transmite um pacote DHCP Discover. A rede responde atribuindo um endereço IP a partir de uma sub-rede de convidados dedicada. Uma distinção técnica crítica aqui é o tempo de concessão (lease time). Enquanto os dispositivos corporativos podem reter um IP por oito dias, as redes de convidados devem utilizar tempos de concessão agressivos (30 a 60 minutos) para evitar a exaustão do conjunto de IPs em ambientes de elevada rotatividade, como centros de Transportes .

3. Interceção de DNS e o Captive Portal

É aqui que começa a experiência do utilizador. Quando o dispositivo recém-ligado tenta aceder a um website (ou quando o SO executa a sua verificação de deteção de Captive Portal, como o captive.apple.com da Apple), a rede intercetá o pedido DNS.

Em vez de resolver o endereço IP real do site solicitado, o gateway devolve o endereço IP do Captive Portal. O navegador do cliente é então redirecionado por HTTP para a splash page alojada pela Purple.

4. Autenticação e RADIUS

Assim que o utilizador interage com o Captive Portal - seja aceitando os termos e condições, inserindo um e-mail ou utilizando um login social - a plataforma deve informar o controlador de rede local para permitir o tráfego.

Isto é processado através do protocolo RADIUS (Remote Authentication Dial-In User Service). A Purple atua como o servidor RADIUS na nuvem, enviando uma mensagem Access-Accept de volta para o controlador ou gateway de Wi-Fi local. O controlador altera então o estado do utilizador de 'não autorizado' (apenas acesso a walled garden) para 'autorizado', abrindo as portas da firewall para o acesso normal à Internet.

Guia de implementação: conceber para escala

A implementação de Wi-Fi para convidados exige o equilíbrio entre a fricção do utilizador e os requisitos de segurança e captura de dados. A nossa sobreposição na nuvem (cloud overlay) integra-se nativamente com hardware Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

Passo 1: Desenhar a arquitetura da topologia de rede

Certifique-se de que os seus switches centrais e firewalls suportam marcação VLAN 802.1Q (VLAN tagging). Configure a sua VLAN de convidados para terminar numa interface DMZ na firewall, contornando completamente as tabelas de encaminhamento internas.

Passo 2: Configurar o walled garden

Um walled garden é uma lista de endereços IP e domínios que os utilizadores não autenticados têm permissão para aceder. Isto deve incluir os URLs necessários para carregar o Captive Portal, recursos de CDN para logótipos e os pontos de extremidade (endpoints) de autenticação para logins sociais (por exemplo, Microsoft Entra ID, Okta, Google Workspace). Se o walled garden estiver mal configurado, a splash page não será carregada, resultando num beco sem saída para o utilizador.

Passo 3: Implementar o isolamento de clientes

Ative o isolamento de clientes nos seus pontos de acesso. Isto impede que os dispositivos de convidados ligados comuniquem diretamente entre si através do meio sem fios, mitigando eficazmente ataques peer-to-peer e a propagação de malware na sub-rede de convidados.

Passo 4: Integrar a gestão de identidades

Afaste-se das PSKs partilhadas. Implemente um Captive Portal gerido que capture dados primários através de opt-ins de escolha consciente. Para uma integração segura e contínua, considere a implementação do OpenRoaming. A Purple atua como um fornecedor de identidade gratuito para o OpenRoaming ao abrigo do plano Connect, permitindo que os dispositivos se autentiquem de forma segura através de certificados, sem uma splash page tradicional. Para saber mais sobre como desenhar ambientes multi-rede, leia o nosso guia: Three SSIDs to rule them all: the WiFi design for guest, staff, and IoT .

Melhores práticas e conformidade

A conformidade não é opcional. Um Captive Portal devidamente estruturado protege a sua organização de responsabilidades e multas regulatórias.

security_compliance_checklist.png

GDPR e privacidade de dados

Um Captive Portal recolhe dados pessoais a partir do momento em que um utilizador se liga. Para cumprir os requisitos do GDPR, deve capturar o consentimento explícito antes de processar estes dados. A plataforma da Purple lida com os requisitos de identidade e consentimento da Camada 7 necessários para a conformidade com o GDPR, garantindo que os dados são recolhidos legalmente, armazenados de forma segura e podem ser apagados mediante pedido através de fluxos de trabalho automatizados.

Conformidade PCI DSS v4.0

Se a sua organização processa cartões de crédito, a sua rede está sujeita ao PCI DSS. As redes Wi-Fi de convidados que funcionam na mesma rede que os sistemas POS podem arrastar a rede de convidados para o âmbito do PCI DSS, o que cria encargos de auditoria significativos. A segmentação estrita de VLAN é obrigatória para garantir que o tráfego de convidados nunca toque no ambiente de dados do titular do cartão.

Padrões de segurança de rede

Exija a encriptação WPA3 ou WPA2-AES na camada de transporte sem fios. Garanta que o seu Captive Portal é disponibilizado através de HTTPS utilizando TLS 1.2 ou TLS 1.3 para proteger as credenciais do utilizador durante a fase de autenticação.

Resolução de problemas e mitigação de riscos

Mesmo as redes bem concebidas encontram problemas. Aqui estão os modos de falha mais comuns e como evitá-los.

Modo de falha: Esgotamento de endereços IP Num ambiente de Retail movimentado, os dispositivos procuram e ligam-se constantemente a redes abertas. Se o seu tempo de concessão DHCP for de 24 horas, um cliente que passe pela sua loja durante cinco minutos consome um endereço IP para o dia inteiro. Mitigação: Reduza os tempos de concessão DHCP para 30 minutos na VLAN de convidados.

Modo de falha: Bloqueios de walled garden Os serviços de cloud alteram frequentemente os seus endereços IP. Se o seu walled garden utilizar listas brancas de IP estáticos para endpoints de login social, a autenticação falhará quando esses IPs rodarem. Mitigação: Utilize listas brancas baseadas em domínio para entradas de walled garden sempre que o seu controlador de hardware o suporte.

Modo de falha: Sessões obsoletas Os utilizadores saem do local sem se desligarem, mas a sua sessão permanece ativa no controlador, consumindo recursos. Mitigação: Implemente tempos de limite de inatividade agressivos (ex.: 30 minutos) e utilize RADIUS Change of Authorisation (CoA) para revogar ativamente as sessões quando os limites de tempo forem atingidos.

ROI e impacto empresarial

Um captive portal seguro transforma um centro de custos de TI tradicional num ativo gerador de receitas. Ao capturar dados de primeira parte (first-party) verificados, os locais podem criar perfis detalhados dos visitantes. A Purple processou 440 milhões de inícios de sessão em 2024 em mais de 80.000 locais ativos, comprovando a escala e a fiabilidade desta abordagem.

Por exemplo, a McDonald's utiliza dados do captive portal para compreender o tempo de permanência e a frequência de visitas dos clientes, enquanto o Manchester Airports Group otimiza o fluxo de passageiros com base em análises de ligação. O ROI é medido não apenas pelo crescimento da base de dados de marketing, mas também pelas informações operacionais obtidas a partir dos 29 mil milhões de pontos de dados recolhidos pela plataforma.

Definições Principais

Captive Portal

Uma página web que intercepta o tráfego de rede e requer a interação do utilizador (como aceitar os termos ou iniciar sessão) antes de conceder acesso total à internet.

O mecanismo principal para capturar dados primários (first-party data) e impor termos de utilização em redes de convidados.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece uma gestão centralizada de Autenticação, Autorização e Auditoria (Authentication, Authorization, and Accounting).

O protocolo que a Purple utiliza para informar o seu hardware WiFi local de que um convidado tem permissão para aceder à internet.

Walled Garden

Uma lista restrita de endereços IP ou domínios a que um utilizador pode aceder antes de se autenticar através do captive portal.

Essencial para permitir que a página de login e os fornecedores de login social sejam carregados enquanto o dispositivo ainda se encontra num estado pré-autenticado.

VLAN

Virtual Local Area Network. Uma sub-rede lógica que agrupa uma coleção de dispositivos de diferentes LANs físicas.

Utilizada para segmentar de forma segura o tráfego de convidados do tráfego corporativo, garantindo a conformidade com o PCI DSS.

Client Isolation

Uma configuração de segurança sem fios que impede que os dispositivos ligados ao mesmo ponto de acesso comuniquem diretamente entre si.

Crucial para proteger os convidados de ataques peer-to-peer e da propagação de malware na rede pública.

DHCP Lease Time

A duração pela qual um endereço IP é atribuído a um dispositivo antes de expirar e regressar ao pool disponível.

Deve ser mantido curto (30-60 minutos) em redes de convidados para evitar a rutura de endereços IP à medida que os visitantes entram e saem.

RADIUS CoA

Change of Authorisation. Uma extensão ao RADIUS que permite ao servidor alterar o estado da sessão de um cliente ativo.

Utilizado pela Purple para desligar instantaneamente os utilizadores quando o seu limite de tempo expira ou se solicitarem a eliminação de dados ao abrigo do GDPR.

OpenRoaming

Um serviço de federação de roaming que permite aos dispositivos ligarem-se automática e seguramente a redes WiFi participantes utilizando certificados.

A próxima geração de conectividade contínua, onde a Purple atua como um fornecedor de identidade gratuito ao abrigo do plano Connect.

Exemplos Práticos

Um hotel de 200 quartos precisa de implementar WiFi de convidados em toda a sua propriedade. Atualmente, utilizam uma única rede plana (192.168.1.0/24) para a receção, back office e acesso de convidados através de uma palavra-passe partilhada. Pretendem recolher os endereços de email dos convidados para marketing, garantindo ao mesmo tempo que os sistemas da receção estão seguros.

  1. Implementar segmentação de rede: Criar a VLAN 10 para a receção/escritório e a VLAN 20 para convidados.
  2. Configurar a firewall: Bloquear todo o encaminhamento da VLAN 20 para a VLAN 10. Encaminhar a VLAN 20 diretamente para a WAN.
  3. Remover a palavra-passe partilhada: Implementar um SSID aberto chamado 'Hotel_Guest'.
  4. Configurar o captive portal: Configurar o controlador WiFi para redirecionar o tráfego HTTP não autenticado para o URL do captive portal da Purple.
  5. Configurar o walled garden: Adicionar à lista de permissões os domínios do portal Purple e os recursos da CDN para que a página de login seja carregada.
  6. Configurar o RADIUS: Adicionar os endereços IP do servidor RADIUS da Purple e os segredos partilhados ao controlador WiFi.
  7. Ajustar o DHCP: Definir o pool de DHCP da VLAN 20 para uma sub-rede /22 com um tempo de atribuição (lease time) de 60 minutos para lidar com a elevada rotação de dispositivos.
Comentário do Examinador: Esta abordagem resolve o risco imediato de conformidade com o PCI DSS ao isolar os sistemas da receção. A transição de uma palavra-passe partilhada para um captive portal suportado por RADIUS permite a recolha de dados necessária, proporcionando controlo de sessão individual e rastreabilidade.

Um grande estádio espera 40.000 espetadores para um jogo. Implementaram um captive portal, mas estão preocupados com o desempenho da rede e a exaustão de IPs durante o evento de 3 horas.

  1. Dimensionamento de DHCP: Implementar uma sub-rede /16 para a VLAN de convidados para fornecer mais de 65.000 endereços IP disponíveis.
  2. Tempos de Atribuição (Lease Times): Definir o tempo de atribuição de DHCP para 30 minutos para recuperar rapidamente os IPs dos adeptos que saem mais cedo.
  3. Limitação de Largura de Banda: Aplicar um limite de taxa por utilizador de 5 Mbps de download / 2 Mbps de upload ao nível do controlador para evitar que alguns utilizadores saturem o link de internet de 10 Gbps.
  4. Isolamento de Clientes: Ativar o isolamento de clientes ao nível do AP para evitar tempestades de difusão (broadcast storms) e tráfego peer-to-peer de degradar o desempenho sem fios no ambiente denso do estádio.
Comentário do Examinador: Ambientes de alta densidade exigem uma gestão de recursos agressiva. A combinação de uma sub-rede grande, atribuições curtas e uma limitação estrita de largura de Banda garante um acesso justo para todos os adeptos, protegendo ao mesmo tempo a estabilidade da rede principal.

Perguntas de Prática

Q1. Está a implementar um Captive Portal na sala de espera de um hospital. A splash page carrega com sucesso em dispositivos Android, mas os dispositivos iOS apresentam um ecrã branco em branco. Qual é a causa arquitetónica mais provável?

Dica: Considere como os diferentes sistemas operativos detetam os portais cativos e quais os recursos que precisam de alcançar.

Ver resposta modelo

O walled garden está provavelmente mal configurado. Os dispositivos iOS tentam aceder a domínios específicos da Apple (como captive.apple.com) para acionar o mini-browser do portal. Se estes domínios ou os recursos específicos de CDN necessários para a splash page não estiverem na whitelist do walled garden, a página não será renderizada corretamente no Apple CNA (Captive Network Assistant).

Q2. Uma cadeia de retalho quer oferecer WiFi gratuito, mas exige que os utilizadores iniciem sessão utilizando as suas credenciais do Microsoft Entra ID. Durante os testes, os utilizadores são redirecionados para a splash page, clicam no botão "Iniciar sessão com a Microsoft", mas a página expira por timeout. Porquê?

Dica: Pense no estado da firewall antes de a autenticação RADIUS ser concluída.

Ver resposta modelo

Os endpoints de autenticação do Microsoft Entra ID não foram adicionados ao walled garden. Como o utilizador está num estado de pré-autenticação, a firewall bloqueia todo o tráfego para a internet. Para corrigir isto, os domínios de início de sessão e gamas de IP específicos da Microsoft devem ser adicionados à whitelist para que o dispositivo possa comunicar com o fornecedor de identidade para concluir o fluxo de OAuth.

Q3. Um espaço fica sem endereços IP na sua rede de convidados todas as tardes, apesar de ter menos utilizadores simultâneos do que o tamanho do seu pool DHCP. Que alteração de configuração é necessária?

Dica: Pense no tempo que um dispositivo retém um endereço IP após sair do edifício.

Ver resposta modelo

O tempo de lease do DHCP está configurado com um valor demasiado elevado (provavelmente o padrão de 12 ou 24 horas). Os dispositivos que se ligam brevemente e saem estão a reter os seus endereços IP, impedindo a ligação de novos dispositivos. O tempo de lease deve ser reduzido para 30 a 60 minutos para reciclar rapidamente os IPs de convidados que já saíram.

Continue a ler esta série

Otimizar Captive Portals B2B: Capturar Nomes de Empresas e Dados Profissionais

Este guia explica como os gestores de TI, arquitetos de rede e diretores de operações de espaços podem configurar Captive Portals B2B para capturar dados profissionais - nomes de empresas, cargos e endereços de email profissionais - no momento do login no WiFi. Abrange toda a arquitetura técnica, desde o isolamento de VLAN e autenticação RADIUS até à integração de CRM com Salesforce e HubSpot, com conformidade GDPR e CCPA integrada. Os espaços que implementam isto corretamente transformam a sua rede WiFi de convidados num motor de dados primários e num sistema automatizado de geração de leads.

Ler o guia →

How to Set Up a Captive Portal on Starlink: A Guide for Remote & Maritime Venues

Este guia detalha como contornar o hardware nativo da Starlink e integrar um Captive Portal gerido na nuvem utilizando equipamento de encaminhamento empresarial. Irá aprender a ultrapassar a limitação de CGNAT, impor a segmentação de VLAN, gerir as restrições de largura de banda de satélite e garantir a conformidade regulamentar.

Ler o guia →

Captive Portal Best Practices: Designing for High Conversion and Compliance

Este guia técnico oferece aos gestores de TI, arquitetos de rede e diretores de operações de espaços comerciais um plano completo para implementar portais cativos que equilibram a segurança de rede com uma elevada conversão de utilizadores. Abrange toda a arquitetura, desde a segmentação de VLAN e autenticação RADIUS até ao design de consentimento em conformidade com o GDPR e à seleção do método de autenticação. Com base na experiência operacional da Purple em mais de 80.000 locais e 440 milhões de inícios de sessão em 2024, cada recomendação é fundamentada em dados reais de implementação.

Ler o guia →