Como Otimizar Captive Portals para Máxima Segurança de Rede e Conversão de Utilizadores
Este guia fornece um modelo técnico completo para otimizar captive portals em espaços empresariais, abrangendo a arquitetura de segmentação de rede, seleção de métodos de autenticação, design de consentimento em conformidade com o GDPR e otimização de conversão. Foi escrito para gestores de TI, arquitetos de rede e CTOs em hotéis, cadeias de retalho, estádios e organizações do setor público que precisam de equilibrar a segurança da rede com a captura de dados de primeira parte. A Purple opera infraestruturas de captive portal em mais de 80.000 espaços, com 440 milhões de inícios de sessão em 2024, e as estruturas aqui apresentadas refletem essa experiência operacional.
Ouça este guia
Ver transcrição do podcast
- Resumo Executivo
- Análise Técnica Detalhada
- Como Funcionam Realmente os Captive Portals
- Segmentação de Rede
- Segurança na Fronteira Sem Fios (Wireless Edge)
- Guia de Implementação
- Passo 1: Definir o Walled Garden
- Passo 2: Configurar a Integração RADIUS
- Passo 3: Escolher os Métodos de Autenticação
- Passo 4: Desenhar Fluxos de Consentimento
- Passo 5: Aplicar Políticas de Largura de Banda através de RADIUS VSAs
- Melhores Práticas
- Optimização da Taxa de Conversão
- Integração de Análise Comportamental
- Reforço de Segurança (Security Hardening)
- Resolução de Problemas e Mitigação de Riscos
- Portal Não Apresentado
- Randomização do Endereço MAC
- Exaustão de DHCP e DNS em Ambientes de Larga Escala
- Alterações na API do Fornecedor de OAuth
- Retorno do Investimento (ROI) e Impacto Comercial

Resumo Executivo
Um Captive Portal é a página de início de sessão em redes WiFi públicas. É também a sua decisão de segurança de rede mais importante; e se gere projetos de marketing, é o seu canal de recolha de dados mais valioso. Os dois objetivos de segurança e conversão não estão em conflito, mas exigem decisões de configuração diferentes, e este guia abrange ambos.
A sua arquitetura principal consiste em colocar o dispositivo de cada visitante num VLAN isolado antes de a autenticação estar concluída. Um servidor RADIUS gere as sessões e liberta os dispositivos para o VLAN de produção através de mensagens de Alteração de Autorização (CoA). A segmentação de rede garante que o tráfego de convidados nunca toca na infraestrutura corporativa ou nos sistemas POS. Em qualquer ambiente onde terminais de pagamento e redes WiFi partilham a mesma infraestrutura física, este é um requisito rigoroso do PCI-DSS.
Do lado da conversão, por cada campo de formulário adicionado, as taxas de subscrição diminuem entre 8% e 12%. O método de autenticação correto depende do seu tipo de espaço e objetivos de dados. A recolha de e-mails proporciona uma taxa de conversão de 65% a 80% e oferece a propriedade de dados primários. O início de sessão social via OAuth 2.0 reduz a fricção, mas introduz riscos de dependência de terceiros. O SMS OTP oferece a maior qualidade de dados, mas a menor taxa de conversão. Para ambientes do setor público sem objetivos de marketing, o início de sessão com um único clique é a escolha certa.
A Purple gere a infraestrutura de Guest WiFi em mais de 80.000 espaços. As orientações contidas neste documento refletem as 440 milhões de sessões iniciadas processadas em 2024 (dados internos da Purple, 2024).
Análise Técnica Detalhada
Como Funcionam Realmente os Captive Portals
Após um dispositivo se associar a um SSID, o Captive Portal intercetará os pedidos HTTP e HTTPS. O ponto de acesso coloca o dispositivo num VLAN isolado, onde o firewall apenas permite consultas DNS e um conjunto restrito de destinos pré-aprovados (o Walled Garden). O sistema operativo do dispositivo deteta este estado restrito ao testar URLs conhecidos (como captive.apple.com no iOS ou connectivitycheck.gstatic.com no Android). Quando o teste devolve uma resposta anómala, o sistema operativo inicia automaticamente o portal.
O utilizador autentica-se. O portal transmite os resultados para o servidor RADIUS da rede através de uma mensagem CoA. O controlador de acesso remove a restrição de isolamento, move o dispositivo para o VLAN de produção e regista uma sessão contendo carimbos de data/hora, endereços MAC, identidade e políticas aplicadas. Dependendo do método de autenticação, este processo de ponta a ponta demora entre um e dez segundos.

Segmentação de Rede
Uma VLAN isolada é indispensável. Sem ela, dispositivos não autenticados num SSID aberto podem sondar a rede interna, aceder a interfaces de gestão ou interagir com sistemas de ponto de venda (POS). Em ambientes sob o âmbito do PCI-DSS (ou seja, qualquer espaço onde terminais de pagamento e o WiFi de convidados partilham a infraestrutura física), o Payment Card Industry Data Security Standard v4.0 exige o isolamento total da rede entre o ambiente de dados de titulares de cartões e a rede de clientes.
A segmentação de rede é implementada ao nível do controlador de acesso. Em Cisco Meraki, isto é configurado através de Group Policies; em HPE Aruba, através de User Roles; em Ruckus, através de Zone configuration; e em Juniper Mist, através de WLAN policies. O princípio é idêntico nas quatro plataformas: os dispositivos não autenticados têm uma política restrita aplicada; os dispositivos autenticados têm uma política de produção aplicada. O servidor RADIUS é responsável por impor esta transição.
Para espaços com múltiplos tipos de utilizadores (clientes, funcionários, prestadores de serviços), implemente SSIDs separados e mapeie cada SSID para uma VLAN separada com regras de firewall e políticas de largura de banda dedicadas. Não tente servir todos os tipos de utilizadores a partir de um único SSID através de um único Captive Portal. A complexidade da gestão de políticas superará de longe qualquer aparente conveniência.
Segurança na Fronteira Sem Fios (Wireless Edge)
Os Captive Portals operam na Camada 7 e não encriptam a ligação sem fios. Num SSID aberto, o tráfego entre o dispositivo e o ponto de acesso não é encriptado e é visível para qualquer dispositivo dentro do alcance do rádio.
Existem três formas de resolver este problema:
WPA3 com Captive Portal. O WPA3-Personal fornece Simultaneous Authentication of Equals (SAE), o que elimina os ataques de dicionário offline contra o WPA2-PSK. O Captive Portal continua a ser acionado para autenticação, mas a ligação sem fios é encriptada. Este é o padrão mínimo aceitável para novas implementações em 2026.
Passpoint (Hotspot 2.0) com 802.1X. O Passpoint utiliza EAP-TLS ou PEAP para fornecer autenticação baseada em certificados ou credenciais. O Captive Portal lida com o registo inicial e a assinatura do consentimento. Na segunda visita, o Passpoint autentica automaticamente o dispositivo em segundo plano utilizando o perfil configurado, contornando o portal por completo. Esta é a arquitetura utilizada pelo padrão de roaming de nível de operadora OpenRoaming. Para obter mais detalhes sobre métodos EAP, consulte o nosso guia: EAP Method WiFi: A Guide to Secure Network Access .
iPSK (Identity Pre-Shared Key). O iPSK atribui uma palavra-passe WPA2 ou WPA3 única a cada utilizador ou dispositivo através de um portal. Esta palavra-passe é armazenada no servidor RADIUS e mapeia para uma VLAN e política específicas. Isto proporciona encriptação personalizada e responsabilidade num SSID partilhado sem a sobrecarga de infraestrutura de implementar o 802.1X completo. Esta é a arquitetura padrão para WiFi Multi-Tenant em ambientes de arrendamento residencial e alojamento de estudantes.
Para detalhes sobre autenticação baseada em certificados, consulte Autenticação de Certificados WiFi: Acesso Seguro à Rede .
Guia de Implementação
Passo 1: Definir o Walled Garden
Antes de configurar o seu portal, mapeie e verifique todas as dependências externas necessárias para a autenticação. Se disponibilizar o início de sessão social do Google, adicione accounts.google.com e os domínios de autenticação do Google associados à lista de permissões. Se utilizar o Stripe para acessos pagos, adicione os endpoints da API do Stripe à lista de permissões. Se utilizar o início de sessão da Apple, adicione appleid.apple.com à lista de permissões.
A falha em manter um walled garden preciso é a principal causa de falhas na apresentação do Captive Portal em ambientes de produção. Utilize uma ferramenta de validação de walled garden para gerar regras prontas a copiar e colar para o seu controlador específico. A Purple disponibiliza um Validador de Domínios de Walled Garden gratuito que gera regras prontas a usar para controladores Cisco Meraki, Ubiquiti UniFi, HPE Aruba e Catalyst.
Passo 2: Configurar a Integração RADIUS
Integre o seu controlador de acessos com o seu fornecedor de cloud RADIUS. Configure o controlador para redirecionar o tráfego não autenticado para o URL do portal e especifique os servidores RADIUS para autenticação e contabilidade. Certifique-se de que o segredo partilhado do RADIUS tem pelo menos 22 carateres, contém maiúsculas, minúsculas e carateres especiais, e é alterado a cada 90 dias.
Para implementações Cisco Meraki, configure os servidores RADIUS em "Wireless > Access Control". Para HPE Aruba, configure em "Security > Authentication Servers". Para Ruckus, configure em "Services > Authentication". Para Juniper Mist, configure em "Network > WLAN".
Passo 3: Escolher os Métodos de Autenticação

A tabela seguinte associa os tipos de locais aos métodos de autenticação recomendados e às taxas de conversão esperadas.
| Tipo de Local | Método Recomendado | Conversão Esperada | Dados Recolhidos |
|---|---|---|---|
| Hotéis e Hotelaria | Recolha de Email + Início de Sessão Social | 65-80% | Email, Nome, Dados Demográficos Opcionais |
| Retalho | Recolha de Email | 68-75% | Email, Nome |
| Estádios e Eventos | Código de Acesso Único por SMS (SMS OTP) | 45-55% | Número de Telemóvel Verificado |
| Centros de Congressos | Início de Sessão Social + Email | 60-70% | Email, Perfil Profissional |
| Setor Público | Clique para aceder (Click-through) | 90-95% | Apenas Endereço MAC, Registo de Data/Hora |
| Saúde | Clique para aceder (Click-through) | 90-95% | Apenas Endereço MAC, Registo de Data/Hora |
Fonte: Dados de rede da Purple, 440 milhões de inícios de sessão, 2024.
Passo 4: Desenhar Fluxos de Consentimento
Separe o consentimento necessário para o acesso à rede do consentimento necessário para comunicações de marketing. Ao abrigo do UK GDPR (a versão da lei do Reino Unido retida do Regulamento (UE) 2016/679), estes constituem duas bases jurídicas distintas.
O acesso à rede pode ser concedido com base em interesses legítimos nos termos do Artigo 6.º, n.º 1, alínea f), abrangendo a administração e a segurança da rede. As comunicações de marketing exigem consentimento explícito nos termos do Artigo 6.º, n.º 1, alínea a). Este consentimento deve ser dado livremente, específico, informado e inequívoco. Caixas de seleção pré-selecionadas não cumprem este requisito.
Implemente duas caixas de seleção independentes no portal. A primeira, obrigatória, abrange os Termos de Serviço e o acesso à rede. A segunda, opcional e desmarcada por predefinição, abrange as subscrições de marketing. Registe o carimbo de data/hora, o endereço IP, o endereço MAC e o estado do consentimento para cada sessão. Este registo de auditoria é a sua prova de conformidade em caso de consultas regulamentares.
Passo 5: Aplicar Políticas de Largura de Banda através de RADIUS VSAs
Configure o servidor RADIUS para retornar Vendor-Specific Attributes (VSAs) após uma autenticação bem-sucedida. Os VSAs instruem o ponto de acesso a aplicar limites específicos de largura de banda, filtros de conteúdo e tempos limite de sessão com base no perfil do utilizador.
No HPE Aruba, o VSA Aruba-User-Role atribui utilizadores a uma função definida com políticas pré-configuradas. No Cisco Meraki, o ID da política de grupo é retornado através do atributo Filter-Id. No Ruckus, o atributo Ruckus-User-Groups mapeia utilizadores para grupos configurados. Este mecanismo permite a aplicação dinâmica de políticas sem configurar SSIDs separados para diferentes níveis de utilizador.
Melhores Práticas
Optimização da Taxa de Conversão
O perfil progressivo tem um melhor desempenho do que a recolha de dados numa única sessão. Peça um endereço de email na primeira visita. Na segunda visita, solicite a data de nascimento ou o código postal. Na terceira visita, peça as preferências de marketing. Esta abordagem mantém taxas de conversão elevadas ao mesmo tempo que constrói perfis mais ricos ao longo do tempo.
Mais de 85% das interações no Captive Portal ocorrem em dispositivos móveis (dados internos da Purple, 2024). Desenhe para ecrãs pequenos. Os botões devem ser suficientemente grandes para tocar sem fazer zoom. O texto deve ser legível com os tamanhos de letra predefinidos. O fluxo de início de sessão deve ser concluído em três toques.
Para implementações de retalho , integre o portal com o seu CRM ou plataforma de fidelização. A Pizza Express utilizou um Captive Portal personalizado com a sua marca para adicionar 3,7 milhões de clientes ao seu CRM em dois anos, transformando cada ligação WiFi numa subscrição de marketing verificada (dados de cliente da Purple, Pizza Express). O portal tornou-se o canal principal para registos de fidelização e re-envolvimento promocional.
Integração de Análise Comportamental
As sessões no Captive Portal são a chave de correlação entre a análise do espaço físico e os sistemas de marketing digital. Cada sessão autenticada gera um evento de visita com um carimbo de data/hora, tempo de permanência e estado de visitante recorrente. Integrado com o WiFi Analytics , estes dados impulsionam a atribuição de visitas, a segmentação demográfica e a medição do ROI das campanhas.
Para saber mais sobre como os dados comportamentais das redes WiFi informam as operações do espaço, consulte Behavioral Analytics: Insights for WiFi Networks .
Reforço de Segurança (Security Hardening)
Disponibilize os portais exclusivamente através de HTTPS, utilizando um certificado TLS válido de uma Autoridade de Certificação (CA) fidedigna. Os portais HTTP expõem as credenciais do utilizador a interceções e desencadeiam avisos de segurança no navegador que prejudicam as taxas de conversão. Implemente HTTP Strict Transport Security (HSTS) com um max-age mínimo de 31536000 segundos. Implemente limitação de taxa (rate limiting) nos pontos de extremidade de autenticação. Sem a limitação de taxa, o portal fica vulnerável a ataques de credential stuffing e de força bruta contra os códigos de credenciais. Limite as tentativas de autenticação a cinco por endereço IP por minuto.
Realize testes de intrusão na aplicação do portal pelo menos uma vez por ano. A Purple possui as certificações ISO 27001 e Cyber Essentials, e é submetida regularmente a testes de intrusão por entidades terceiras. Para implementações no setor da Saúde e dos Transportes , a realização de testes trimestrais é o padrão adequado.
Resolução de Problemas e Mitigação de Riscos
Portal Não Apresentado
Este é o modo de falha mais comum. O sistema operativo do dispositivo envia uma sonda cativa para um URL conhecido. Se a firewall bloquear esse domínio, o sistema operativo não consegue detetar o estado cativo e o portal nunca será iniciado automaticamente. Os utilizadores terão de navegar manualmente para um URL que não seja HTTPS para acionar o redirecionamento.
Verifique primeiro as definições de Walled Garden. Certifique-se de que os seguintes domínios estão acessíveis antes da autenticação: captive.apple.com, www.apple.com, connectivitycheck.gstatic.com, clients3.google.com e msftconnecttest.com. Estes são os URLs de sonda utilizados pelo iOS, Android e Windows, respetivamente.
Randomização do Endereço MAC
O iOS 14 e o Android 10 introduziram a randomização do endereço MAC por rede por predefinição. Os dispositivos que regressam apresentam um novo endereço MAC a cada ligação, quebrando a persistência da sessão. O portal solicitará novamente a autenticação do utilizador, exigindo que este inicie sessão mais uma vez.
Mitigue esta situação implementando um perfil Passpoint no primeiro início de sessão. Este perfil contém credenciais que o dispositivo utiliza para ligações subsequentes, contornando totalmente a identificação baseada em MAC. Em alternativa, utilize um fluxo de autenticação baseado numa aplicação que dependa de tokens de identidade armazenados na aplicação, em vez do endereço MAC do dispositivo.
Exaustão de DHCP e DNS em Ambientes de Larga Escala
Em grandes recintos (estádios, centros de convenções, interfaces de transporte), milhares de dispositivos ligam-se em simultâneo no início de um evento ou conferência. Se o pool de DHCP for demasiado pequeno, os dispositivos não conseguem obter um endereço IP. Se o servidor DNS não conseguir lidar com o volume de consultas, as sondas cativas falham e o portal não é apresentado. Planeie o tamanho do seu pool DHCP com base no pico de ligações simultâneas e não nas médias. Para um estádio com 60.000 lugares, assuma 40.000 dispositivos simultâneos. Aloque um pool DHCP de pelo menos 50.000 endereços e configure um tempo de concessão curto (15 a 30 minutos) para recuperar endereços rapidamente. Implemente servidores DNS dedicados para a rede de convidados, separados da infraestrutura de DNS empresarial.
Alterações na API do Fornecedor de OAuth
Os fornecedores de login social alteram os termos da sua API sem aviso prévio. O Facebook tem restringido progressivamente os dados disponíveis através da sua Graph API. Se o login social for o seu único método de autenticação e um fornecedor alterar os seus termos, o seu portal irá falhar para todos os utilizadores.
Implemente sempre pelo menos um método de autenticação que não seja OAuth juntamente com o login social. A recolha de e-mail é a alternativa padrão. Configure a monitorização para os endpoints de autenticação OAuth para alertar sobre taxas de erro elevadas, que são frequentemente o precursor de, ou acompanham, uma alteração de API.
-
Retorno do Investimento (ROI) e Impacto Comercial
Se medido exclusivamente pelos gastos com infraestrutura, um Captive Portal é um centro de custos; mas se medido pelo valor dos dados que recolhe e pelos programas de marketing que viabiliza, é um ativo gerador de receita.
Uma marca de retalho com 500 lojas, que processa 10.000 logins por loja mensalmente com uma taxa de aceitação (opt-in) de 65%, irá gerar 39 milhões de contactos de CRM verificados anualmente. Utilizando um modelo conservador de atribuição de receita de marketing por e-mail de £0,10 por contacto por ano, esse único canal de recolha de dados gera £3,9 milhões em receita atribuída.
Para operadores de Hospitalidade , o portal é o primeiro ponto de contacto na jornada do convidado. A Premier Inn e a Whitbread utilizam dados de WiFi de convidados para impulsionar programas de fidelização e medir a correlação entre o envolvimento com o WiFi e as reservas repetidas (dados de clientes Purple, Whitbread).
Para operadores de transportes, o portal fornece dados de fluxo de passageiros que informam o arrendamento de espaços de retalho, decisões de pessoal e o desempenho de concessões. O Manchester Airport Group (MAG) utiliza análises de WiFi para medir o tempo de permanência dos passageiros nas zonas dos terminais e correlaciona os dados das sessões de WiFi com os gastos de retalho por passageiro (dados de clientes Purple, MAG).
Três métricas fundamentais definem o sucesso do portal: taxa de aceitação (tenha como objetivo mais de 60% para a recolha de e-mails), taxa de qualidade dos dados (percentagem de endereços de e-mail validados, tenha como objetivo mais de 80%) e taxa de retorno (percentagem de utilizadores repetidos que se autenticam sem reintroduzir credenciais, tenha como objetivo mais de 70%).
A plataforma de Análise de WiFi da Purple fornece estas métricas em tempo real em todos os locais, suportando a segmentação por localização, bloco de tempo e coorte de utilizadores.
Definições Principais
Captive portal
Uma aplicação web que interceta o tráfego de rede após um dispositivo se associar a um SSID, exigindo a interação do utilizador (autenticação, pagamento ou aceitação de termos) antes de conceder acesso à internet.
O principal mecanismo para integrar visitantes em redes WiFi públicas ou de convidados. Todos os dispositivos que se ligam passam por ele, tornando-o a superfície de recolha de dados mais consistente num espaço físico.
Walled garden
Um ambiente de rede restrito que permite o acesso apenas a endereços IP ou domínios específicos e aprovados antes da autenticação.
Necessário para permitir que os dispositivos acedam à página do captive portal, aos servidores DNS e aos serviços de autenticação de terceiros necessários antes que o acesso total à internet seja concedido. A configuração incorreta é a principal causa de falhas na apresentação do portal.
RADIUS (Remote Authentication Dial-In User Service)
Um protocolo de rede que fornece gestão centralizada de autenticação, autorização e contabilização para utilizadores que se ligam a um serviço de rede.
O protocolo padrão utilizado por portais cativos para comunicar com pontos de acesso e controladores. Todos os pontos de acesso de nível empresarial da Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e Ubiquiti UniFi suportam RADIUS.
Alteração de Autorização (CoA)
Uma extensão RADIUS definida na RFC 5176 que permite a um servidor modificar dinamicamente os atributos de autorização de uma sessão ativa.
Utilizado pelo portal cativo para instruir o controlador de acesso a mover um dispositivo da VLAN de quarentena para la VLAN de produção imediatamente após o início de sessão bem-sucedido, sem exigir que o dispositivo se volte a ligar.
Passpoint (Hotspot 2.0)
Um padrão baseado em IEEE 802.11u que permite aos dispositivos móveis detetar e ligar-se automaticamente a redes WiFi de forma segura usando autenticação 802.1X, sem interação manual com o portal.
A abordagem padrão para autenticação de utilizadores recorrentes em locais empresariais. O portal cativo trata da integração na primeira visita e da recolha de consentimento; o Passpoint lida com todas as visitas subsequentes de forma silenciosa e segura.
VLAN (Virtual Local Area Network)
Uma sub-rede lógica que agrupa dispositivos de diferentes segmentos de rede física, forçando o isolamento do tráfego na camada de ligação de dados.
Utilizada para segmentar o tráfego de convidados do tráfego corporativo. Sem a segmentação por VLAN, um dispositivo de convidado no mesmo comutador físico que um terminal de ponto de venda pode sondá-lo ou atacá-lo.
iPSK (Identity Pre-Shared Key)
Um método de segurança em que é atribuída a cada utilizador ou dispositivo uma frase de acesso WPA2 ou WPA3 única para o mesmo SSID, armazenada e aplicada pelo servidor RADIUS.
Fornece encriptação individualizada e aplicação de políticas por utilizador num SSID partilhado sem a sobrecarga de infraestrutura de uma implementação 802.1X completa. Arquitetura padrão para WiFi multi-inquilino.
Aleatorização de endereços MAC
Uma funcionalidade de privacidade no iOS 14+, Android 10+ e Windows 10+ que gera um endereço MAC aleatório por rede para evitar a monitorização do dispositivo entre redes.
Quebra a persistência de sessão baseada em MAC em portais cativos. Um dispositivo que regressa apresenta um novo endereço MAC, desencadeando a reautenticação. Mitigado por perfis Passpoint ou tokens de identidade baseados em aplicações.
Atributo Específico do Fornecedor (VSA)
Um atributo RADIUS no espaço de nomes específico do fornecedor (atributo 26) que transporta instruções de política específicas do fornecedor de hardware do servidor RADIUS para o controlador de acesso.
Utilizado para atribuir limites de largura de banda, IDs de VLAN, políticas de filtragem de conteúdo e limites de tempo de sessão de forma dinâmica com base no perfil do utilizador autenticado. Cada fornecedor de hardware (Aruba, Meraki, Ruckus) define o seu próprio espaço de nomes VSA.
Exemplos Práticos
Um hotel de 200 quartos que utiliza pontos de acesso HPE Aruba necessita de WiFi em níveis: acesso básico gratuito para hóspedes standard e acesso de alta velocidade para membros do programa de fidelização. Como devem ser configurados o captive portal e a rede?
Implemente um único SSID de convidado em toda a propriedade. Configure o captive portal para se integrar com o Property Management System (PMS) do hotel através de API. Apresente duas opções de autenticação no portal: 'Iniciar sessão com Número de Quarto e Nome' e 'Iniciar sessão com Credenciais de Fidelização'. Quando um membro do programa de fidelização se autentica, o portal consulta o PMS, verifica o nível e envia um RADIUS CoA para o controlador Aruba. A resposta RADIUS inclui um Aruba-User-Role VSA que atribui o utilizador a uma função de alta largura de banda (por exemplo, 50 Mbps de download, 20 Mbps de upload). Os hóspedes standard recebem uma função predefinida com limite de taxa (5 Mbps de download, 2 Mbps de upload). Ambos os tipos de utilizador ligam-se ao mesmo SSID e VLAN, mas recebem políticas de largura de banda diferentes aplicadas pelo controlador.
Uma cadeia de retalho nacional com 500 localizações pretende implementar WiFi de convidados para recolher endereços de email para marketing. A equipa jurídica identificou preocupações de conformidade com o GDPR. Como deve ser desenhado o fluxo de consentimento do portal?
Desenhe um portal com um único campo de introdução de email. Abaixo do campo, implemente duas caixas de seleção distintas. Caixa de seleção 1 (obrigatória, desmarcada por predefinição): 'Aceito os Termos de Serviço e a Política de Privacidade. Compreendo que os dados do meu dispositivo serão processados para fornecer acesso à rede.' Caixa de seleção 2 (opcional, desmarcada por predefinição): 'Consinto em receber comunicações de marketing, ofertas e promoções por email.' Configure o backend para registar o carimbo de data/hora, o endereço IP, o endereço MAC e o estado de ambas as caixas de seleção para cada sessão. Armazene este registo de auditoria de consentimento num repositório de dados em conformidade com o GDPR, com um período de retenção alinhado com o programa de marketing (normalmente 24 meses desde a última interação). Integre os endereços de email das adesões da Caixa de seleção 2 diretamente no CRM via API.
Perguntas de Prática
Q1. O diretor de TI de um estádio relata que, durante o intervalo, o portal cativo não carrega para milhares de utilizadores em simultâneo, embora a força do sinal WiFi seja forte em todo o recinto. Qual é o gargalo arquitetónico mais provável e qual é a resolução?
Dica: Considere os serviços que um dispositivo necessita antes de poder sequer solicitar a página do portal. A força do sinal não é o fator limitador.
Ver resposta modelo
O gargalo mais provável é a exaustão do grupo DHCP ou a sobrecarga do resolvedor DNS. Quando milhares de dispositivos se ligam em simultâneo, cada um deve obter um endereço IP via DHCP e resolver o URL de teste de conectividade do sistema operativo via DNS antes que o portal possa carregar. Se o grupo DHCP for subdimensionado ou se o servidor DNS não conseguir lidar com o volume de consultas, o processo fica retido antes que o utilizador veja algo. Resolução: dimensione o grupo DHCP para o pico de ligações simultâneas (não para a média), defina um tempo de concessão curto de 15 a 30 minutos para reciclar endereços e implemente um resolvedor DNS dedicado para a rede de convidados com capacidade suficiente para as taxas de consulta de pico.
Q2. Está a implementar um captive portal numa sala de espera de um hospital. O objetivo principal é disponibilizar acesso à internet para doentes e visitantes. Não há qualquer objetivo de marketing. Que método de autenticação deve escolher e quais são as implicações de conformidade?
Dica: Equilibre a fricção com o valor dos dados recolhidos. Considere o que acontece quando recolhe dados pessoais de que não necessita.
Ver resposta modelo
A opção correta é o Click-through (apenas termos e condições). Este método proporciona uma conversão de 90 a 95% com o mínimo de atrito. Como não existe um objetivo de marketing, a recolha de dados pessoais, como endereços de email, introduz obrigações de conformidade com o GDPR (fundamento jurídico, minimização de dados, políticas de retenção, direitos de acesso do titular) sem acrescentar qualquer valor comercial. Num ambiente de cuidados de saúde, o risco reputacional de uma violação de dados que envolva dados pessoais de doentes ou visitantes é particularmente significativo. O Click-through limita a recolha de dados ao endereço MAC e ao carimbo de data/hora, o que é suficiente para a gestão da rede ao abrigo do legítimo interesse.
Q3. Um retalhista pretende disponibilizar o login social do Google e da Apple no seu captive portal. A sua rede utiliza pontos de acesso Cisco Meraki. Que configuração de rede é obrigatória para que o login social funcione e qual é o risco de falha?
Dica: Como é que o dispositivo acede ao fornecedor de identidade antes de ter acesso à internet? O que acontece se o fornecedor alterar os seus termos?
Ver resposta modelo
Deve configurar o walled garden no controlador de acessos Meraki para incluir na lista de permissões os domínios de autenticação de ambos os fornecedores: accounts.google.com e os respetivos endpoints OAuth da Google, bem como appleid.apple.com e os respetivos endpoints de autenticação da Apple. Sem estas entradas, a VLAN de quarentena bloqueará o pedido OAuth e o login social falhará silenciosamente. O risco de falha reside na alteração da API do fornecedor: se a Google ou a Apple modificarem os seus termos de OAuth ou os endpoints da API, o fluxo de autenticação deixa de funcionar para todos os utilizadores que dependem desse método. Implemente sempre a recolha de email como uma opção de autenticação paralela, para que os utilizadores tenham uma alternativa sem OAuth.
Q4. O operador de um centro de conferências pretende utilizar o SMS OTP como método de autenticação principal para um evento de três dias com uma previsão de 8000 logins únicos por dia. Que implicações de custos devem ser modeladas antes de se comprometer com este método?
Dica: O SMS OTP tem um custo por mensagem. Calcule o total à escala e considere o impacto na taxa de conversão.
Ver resposta modelo
Com 8000 logins por dia durante três dias, estará a processar 24 000 mensagens SMS. Com uma tarifa típica de operadora no Reino Unido de 2 a 5 pence por mensagem, o custo situa-se entre £480 e £1200 para o evento. Se os participantes forem internacionais, os custos aumentam significativamente (até 10 a 15 pence por mensagem para alguns mercados). Além disso, as taxas de conversão do SMS OTP são de 45 a 55%, o que significa que aproximadamente 4400 a 4800 dos 8000 logins esperados serão concluídos. Os restantes participantes precisarão de um método alternativo. Modele o custo por mensagem, tenha em conta a taxa de conversão e garanta que existe um método alternativo (recolha de email ou click-through) disponível para os utilizadores que não concluírem a verificação por SMS.
Continue a ler esta série
Captive Portal para Ruijie: configure-o com o Purple guest WiFi
Como o cloud guest WiFi da Purple funciona sobre os pontos de acesso Ruijie RG Series utilizando autenticação web e RADIUS, configurado a partir da linha de comandos, e onde encontrar os passos exatos de configuração.
Conceber Captive Portals B2B: Recolha de Nome Registado e Dados da Empresa
Este guia fornece aos gestores de TI e operadores de espaços uma estrutura técnica independente de fornecedor para conceber Captive Portals B2B. Detalha como estruturar os campos de registo para capturar o nome registado e os dados da empresa, garantindo elevadas taxas de conclusão, mantendo a conformidade com o GDPR e construindo inteligência ao nível da conta.
Arquitetura de Captive Portal: Segurança, Redirecionamento e Boas Práticas
Uma referência técnica definitiva sobre arquitetura de captive portal empresarial. Este guia analisa o isolamento de rede, redirecionamento de DNS, autenticação RADIUS e conformidade de segurança para líderes de TI que implementam redes WiFi de convidados seguras e ricas em dados.