Saltar para o conteúdo principal
Português

O Guia Definitivo para a Arquitetura e Autenticação OpenRoaming

Este guia fornece uma referência técnica autoritária sobre a arquitetura WBA OpenRoaming, cobrindo a base Passpoint, federação RADIUS, segurança RadSec mTLS e orientações de implementação passo a passo para espaços empresariais. Equipará gestores de TI, arquitetos de rede e operadores de espaços com o conhecimento necessário para substituir os Captive Portals por uma conectividade Wi-Fi contínua, segura e em conformidade, que proporciona um ROI mensurável.

📖 7 min de leitura📝 1,706 palavras🔧 2 exemplos práticos3 perguntas de prática📚 9 definições principais

Ouça este guia

Ver transcrição do podcast
[00:00:00] Host: Bem-vindo ao Purple Technical Briefing. Sou o vosso anfitrião e hoje vamos analisar em detalhe uma tecnologia que está a reestruturar fundamentalmente a forma como o Wi-Fi empresarial funciona: o WBA OpenRoaming. Se é um gestor de TI, um arquiteto de rede ou um diretor de operações de espaços públicos, conhece bem a dor do tradicional Captive Portal. Os inícios de sessão manuais, os pedidos de suporte, os clientes frustrados. Hoje, vamos discutir como o OpenRoaming substitui essa fricção por uma experiência de roaming segura, semelhante à rede móvel. Vamos entrar na arquitetura. [00:01:00] Host: Para compreender o OpenRoaming, temos de olhar para a mecânica subjacente. É construído com base no Passpoint, ou Hotspot 2.0, que se baseia na norma IEEE 802.11u. Isto permite que um dispositivo — o seu smartphone ou portátil — consulte silenciosamente o ponto de acesso utilizando o Access Network Query Protocol, ou ANQP. O dispositivo pergunta: "Suporta as minhas credenciais?", procurando por Roaming Consortium Organization Identifiers específicos, ou RCOIs. Se houver uma correspondência, o dispositivo liga-se automaticamente. Sem páginas de entrada. Sem intervenção do utilizador. É, muito simplesmente, a experiência de roaming móvel finalmente disponibilizada através de Wi-Fi. [00:02:30] Host: A Wireless Broadband Alliance, ou WBA, gere a federação global que torna isto possível. Pense nisto como uma estrutura de confiança. De um lado, temos os Fornecedores de Identidade — organizações que emitem credenciais aos utilizadores. Pode ser uma operadora móvel, um departamento de TI corporativo ou um programa de fidelização. Do outro lado, temos os Fornecedores de Redes de Acesso — os espaços que operam a infraestrutura física de Wi-Fi. Hotéis, estádios, cadeias de retalho, aeroportos. A federação WBA é a cola que os une, permitindo que um utilizador credenciado pela sua operadora móvel se autentique de forma transparente num hotel que nunca visitou antes. [00:04:00] Host: Mas como é que a rede do espaço verifica realmente essas credenciais de forma segura, entre milhares de fornecedores diferentes, a nível global? É aqui que entra a federação RADIUS. O OpenRoaming resolve o problema de escalabilidade utilizando a deteção dinâmica de DNS, definida no RFC 7585. Quando um pedido de autenticação chega ao seu proxy RADIUS, este realiza uma pesquisa DNS NAPTR no domínio do utilizador para encontrar dinamicamente o servidor RadSec do Fornecedor de Identidade. Em seguida, estabelece uma ligação RadSec — que é RADIUS sobre TLS, definida no RFC 6614 — protegida por TLS mútuo utilizando certificados emitidos pela própria infraestrutura de chaves públicas (PKI) da WBA. Isto significa que quaisquer duas partes na federação podem estabelecer uma ligação fidedigna e encriptada sem nunca se terem conhecido antes. [00:05:30] Apresentador: Vamos falar de segurança e conformidade, porque é aqui que o OpenRoaming oferece uma atualização verdadeiramente transformadora. Com um Captive Portal, o seu tráfego não é encriptado por via aérea até concluir o início de sessão. O OpenRoaming utiliza autenticação 802.1X e WPA3-Enterprise. Obtém encriptação logo a partir do primeiro pacote. Além disso, a autenticação mútua de certificados previne ataques Evil Twin, onde um ponto de acesso malicioso falsifica o nome da sua rede. Como o dispositivo verifica o certificado da rede antes de se ligar, uma rede falsificada simplesmente não consegue passar essa verificação. [00:07:00] Apresentador: Do ponto de vista do GDPR, o OpenRoaming utiliza identificadores pseudónimos em vez de PII em bruto. Sabe que o utilizador é autenticado e legítimo, mas minimiza a sua pegada de dados. Para a conformidade com o PCI DSS em ambientes de retalho, aplica a atribuição dinâmica de VLAN através do seu servidor RADIUS para colocar os utilizadores convidados num segmento de rede isolado, mantendo-os completamente separados dos seus sistemas de ponto de venda. [00:08:00] Apresentador: Agora, armadilhas de implementação. Primeiro, verifique se o seu hardware suporta Passpoint. Segundo, a gestão do ciclo de vida dos certificados é crítica — se os seus certificados WBA PKI expirarem, o RadSec falha silenciosamente. Configure a monitorização com pelo menos 60 dias de aviso prévio. Terceiro, garanta que a infraestrutura de DNS é extremamente sólida, pois a descoberta dinâmica depende inteiramente de uma resolução fiável de registos NAPTR e SRV. [00:08:45] Apresentador: Perguntas e respostas rápidas. Ainda posso controlar a largura de banda por utilizador? Sim — a autenticação é federada, mas a autorização é local. O seu servidor RADIUS aplica perfis de QoS através de Atributos Específicos do Fornecedor. Funciona para dispositivos IoT? Sim — dispositivos sem ecrã provisionados com um perfil Passpoint via MDM ligam-se automaticamente. Qual é o ROI? Os locais reportam reduções de 70 a 80 por cento nos pedidos de suporte de Wi-Fi. A implementação no RAI Amsterdam registou 18.000 participantes a consumir 77 terabytes de dados ao longo de quatro dias. [00:09:45] Apresentador: Para resumir: o OpenRoaming é o padrão moderno para conectividade segura de convidados. Implemente o RCOI livre de liquidação, audite os seus pontos de acesso para suporte Passpoint, avalie a sua infraestrutura RADIUS para capacidade RadSec e colabore com um intermediário da WBA. Obrigado por se juntar a este Purple Technical Briefing. Até à próxima, mantenha as suas redes seguras e as suas ligações perfeitas.

header_image.png

Resumo Executivo

O modelo tradicional de Captive Portal para Wi-Fi de convidados está ultrapassado. Durante décadas, os locais dependeram de ecrãs de início de sessão manual que frustram os utilizadores, oferecem uma segurança fraca e geram custos de suporte significativos. O WBA OpenRoaming representa uma mudança arquitetónica fundamental, substituindo a autenticação manual por uma federação global de ligações seguras e automáticas baseadas na tecnologia Passpoint (Hotspot 2.0) e em 802.1X Authentication: Securing Network Access on Modern Devices .

Para gestores de TI e arquitetos de rede, implementar o OpenRoaming já não é apenas uma questão de melhorar a experiência do utilizador — é um imperativo estratégico para reforçar a segurança da rede, reduzir os pedidos de suporte e gerar um ROI mensurável através de uma maior utilização da rede. Este guia fornece uma referência técnica abrangente para implementar a arquitetura OpenRoaming, navegar na federação RADIUS e garantir a conformidade com as normas de segurança modernas em ambientes empresariais, de Retail e de Hospitality .

Análise Técnica Detalhada: A Arquitetura OpenRoaming

A arquitetura OpenRoaming funciona através de uma federação de confiança gerida pela Wireless Broadband Alliance (WBA). Esta estabelece a ponte entre os Fornecedores de Identidade (IDPs) que emitem credenciais e os Fornecedores de Rede de Acesso (ANPs) que operam a infraestrutura de Wi-Fi.

A Base do Passpoint

Na base do OpenRoaming está a norma Passpoint da Wi-Fi Alliance (baseada em IEEE 802.11u). O Passpoint permite que os dispositivos detetem e se autentiquem em redes Wi-Fi de forma automática. Quando um dispositivo entra num local com suporte para OpenRoaming, utiliza o Access Network Query Protocol (ANQP) para consultar o ponto de acesso sobre os Roaming Consortium Organization Identifiers (RCOIs) suportados antes de se associar. Esta deteção pré-associação é totalmente invisível para o utilizador — o dispositivo determina silenciosamente se possui credenciais válidas para a rede antes de iniciar qualquer tentativa de ligação.

A Federação RADIUS e o RadSec

O roaming de Wi-Fi de operadoras tradicional baseia-se em tabelas de encaminhamento RADIUS estáticas preenchidas através de acordos bilaterais, protegidas por túneis IPSec. Este modelo não é escalável para uma federação global e aberta. O OpenRoaming resolve este problema utilizando a deteção dinâmica de pares baseada em DNS (RFC 7585) e o RadSec (RADIUS sobre TLS, RFC 6614).

Quando um ponto de acesso recebe um pedido de autenticação, o proxy RADIUS local executa uma pesquisa DNS NAPTR no realm do utilizador para descobrir dinamicamente o servidor RadSec do IDP. A sinalização é protegida através de TLS mútuo (mTLS) com certificados emitidos pela Infraestrutura de Chaves Públicas (PKI) de quatro níveis da WBA, garantindo a segurança de ponta a ponta entre a Rede de Acesso e o Fornecedor de Identidade sem a necessidade de acordos bilaterais pré-estabelecidos.

Identificadores de Organização de Consórcio de Roaming (RCOIs)

O OpenRoaming utiliza RCOIs específicos para transmitir controlos de política e modelos de liquidação. Estes são anunciados no beacon 802.11 e via ANQP:

Valor RCOI Modelo Descrição
5A-03-BA Sem Liquidação O ANP fornece conectividade sem custos para o IDP. Modelo dominante para empresas, retalho e hotelaria.
BA-A2-D0 Liquidado O ANP espera compensação financeira. Utilizado para cenários de conectividade premium.

Os 12 bits mais significativos do RCOI também podem ser utilizados para definir políticas de Grupo de Acesso Fechado (CAG), permitindo que ANPs e IDPs negociem níveis de Qualidade de Serviço, níveis de comprovação de identidade e requisitos de privacidade a um nível granular.

architecture_overview.png

Guia de Implementação

A implementação do OpenRoaming requer coordenação entre o hardware de rede, a infraestrutura RADIUS e a gestão de identidades. Para uma visão geral abrangente dos requisitos de hardware, consulte o nosso guia sobre Wireless Access Points Definition Your Ultimate 2026 Guide .

Passo 1: Avaliação de Prontidão da Infraestrutura

Verifique se os seus pontos de acesso e controladores de LAN sem fios suportam Passpoint/Hotspot 2.0 (IEEE 802.11u). A maioria dos equipamentos de classe empresarial fabricados após 2018 inclui suporte nativo. Configure um SSID dedicado protegido com WPA3-Enterprise (ou WPA2-Enterprise para compatibilidade com dispositivos legados). Este SSID transportará o tráfego OpenRoaming e deve ser configurado com as definições ANQP adequadas para transmitir o seu RCOI.

Passo 2: Adesão à WBA e Envolvimento de um Broker

Para participar na federação OpenRoaming, a sua organização deve aderir diretamente à WBA ou contratar um broker autorizado da WBA. O broker atribuirá à sua organização uma Identidade WBA (WBAID), emitirá os seus certificados RadSec sob a PKI da WBA e configurará os seus registos DNS NAPTR/SRV para permitir a descoberta dinâmica. Este é o passo fundamental que liga a sua infraestrutura à federação global.

Passo 3: Configuração da Infraestrutura RADIUS

O seu servidor RADIUS deve estar configurado para encaminhar pedidos de autenticação para a federação OpenRoaming. Isto envolve a configuração do RadSec para estabelecer ligações mTLS utilizando os seus certificados emitidos pela WBA. O proxy RADIUS deve ser capaz de realizar pesquisas DNS NAPTR para resolver dinamicamente os endpoints do IDP. As soluções RADIUS baseadas na nuvem podem simplificar significativamente este passo, abstraindo os processos complexos de descoberta de DNS e gestão de certificados.

Passo 4: Estratégia de Provisionamento de Dispositivos

A disponibilização de perfis Passpoint nos dispositivos dos utilizadores é a principal consideração operacional. Estão disponíveis quatro abordagens:

Método Ideal Para Mecanismo
MDM Push Dispositivos corporativos geridos O Intune, Jamf ou Workspace ONE enviam perfis automaticamente
Online Sign-Up (OSU) Implementações voltadas para o consumidor Auto-registo normalizado através do protocolo Passpoint OSU
Provisionamento via App Membros de programas de fidelização A aplicação móvel instala o perfil Passpoint após a autenticação
Registo por Código QR Check-in na hotelaria O código QR físico despoleta a instalação do perfil

Passo 5: Configuração de Políticas e Segmentação de VLAN

Configure o seu controlador WLAN para transmitir os RCOIs OpenRoaming adequados via ANQP. Implemente a atribuição dinâmica de VLAN através de atributos RADIUS para garantir que o tráfego de convidados é isolado das redes corporativas. Isto é inegociável para a conformidade com PCI DSS em ambientes de Retalho e é uma boa prática em todos os setores.

deployment_checklist.png

Boas Práticas de Segurança e Conformidade

O OpenRoaming melhora fundamentalmente a postura de segurança do Wi-Fi do local, passando de redes abertas e não encriptadas para uma segurança robusta de nível empresarial. Para uma análise mais aprofundada dos mecanismos de autenticação subjacentes, consulte Autenticação 802.1X: Garantir o Acesso à Rede em Dispositivos Modernos .

WPA3-Enterprise e Autenticação 802.1X

Ao contrário dos portais cativos onde o tráfego não é encriptado até ao início de sessão, o OpenRoaming utiliza encriptação WPA3-Enterprise desde o primeiríssimo pacote. O processo de autenticação mútua 802.1X garante que o dispositivo do utilizador verifica criptograficamente a identidade da rede antes de transmitir quaisquer credenciais, eliminando o risco de pontos de acesso falsos "Evil Twin" — uma vulnerabilidade que os portais cativos tradicionais não conseguem resolver.

Privacidade e Conformidade com o GDPR

Os Captive Portals tradicionais recolhem frequentemente dados de identificação pessoal (PII) extensivos, criando encargos significativos de conformidade com o GDPR. O OpenRoaming autentica os utilizadores através de identificadores pseudónimos, tais como o atributo Chargeable-User-Identity (CUI). O local verifica se o utilizador é legítimo sem necessariamente ingerir os seus dados PII em bruto, alinhando-se com os princípios de minimização de dados do GDPR e reduzindo o âmbito das suas obrigações de processamento de dados.

Segmentação de Rede e PCI DSS

Para ambientes de Retalho , a conformidade com o PCI DSS é crítica. O tráfego de OpenRoaming deve ser estritamente segmentado dos sistemas de Ponto de Venda (POS) e das redes corporativas. Utilize a atribuição dinâmica de VLAN através de atributos RADIUS para isolar o tráfego de convidados imediatamente após a autenticação, colocando-o numa instância VRF apenas com uma rota de internet padrão e regras de negação explícitas para todo o espaço de endereçamento interno RFC 1918.

comparison_chart.png

Casos de Estudo: OpenRoaming em Produção

Caso de Estudo 1: Centro de Convenções RAI Amsterdam (Eventos e Conferências)

O Centro de Convenções RAI Amsterdam, um dos maiores locais de eventos da Europa que acolhe 1,5 milhões de convidados anualmente, implementou Wi-Fi 6 com WBA OpenRoaming em 2023. No Cisco Live Europe, mais de 18.000 participantes tiveram acesso a uma conectividade OpenRoaming contínua, consumindo mais de 77 terabytes de dados ao longo de quatro dias. Os participantes passaram uma média de seis horas na rede. A implementação demonstrou como o OpenRoaming elimina o pico de ligações que normalmente ocorre quando as portas do evento se abrem, distribuindo a carga de autenticação de forma uniforme pela federação. Para centros de Transportes e centros de conferências, este caso de estudo é a prova de conceito definitiva.

Caso de Estudo 2: Cadeia de Retalho Delhaize (Retalho)

O grupo de retalho belga Delhaize implementou o OpenRoaming em toda a sua rede de lojas para melhorar a conectividade dos clientes e simplificar as operações. A implementação resolveu problemas persistentes com as taxas de conversão dos Captive Portals — um desafio que todos os operadores de Retalho enfrentam, uma vez que os clientes optam cada vez mais por dados móveis em vez de interagirem com ecrãs de início de sessão manuais. Ao permitir uma conectividade automática e segura para os utilizadores da aplicação de fidelização, a Delhaize aumentou a adoção do Wi-Fi e melhorou a qualidade dos dados de análise em loja, apoiando diretamente as decisões de merchandising e utilização do espaço. Isto alinha-se com a tendência mais ampla de integração de WiFi Analytics com plataformas de inteligência de retalho.

Resolução de Problemas e Mitigação de Riscos

Embora o OpenRoaming simplifique a experiência do utilizador final, a infraestrutura subjacente é complexa. Os arquitetos de rede devem mitigar proativamente os modos de falha comuns:

A Expiração do Certificado RadSec é o risco operacional mais crítico. As ligações mTLS dependem de certificados WBA PKI. Um certificado expirado irá interromper imediatamente o encaminhamento de federação, causando falhas de autenticação silenciosas. Implemente a monitorização com pelo menos 60 dias de aviso prévio e um processo de renovação definido.

As Falhas de Resolução de DNS são a segunda causa mais comum de interrupções no OpenRoaming. A descoberta dinâmica de pares depende de uma resolução de DNS fiável dos registos NAPTR e SRV. Garanta que os seus proxies RADIUS têm encaminhadores de DNS redundantes e de alto desempenho configurados e teste a resolução de DNS como parte das suas verificações regulares de integridade da rede.

A Compatibilidade com Dispositivos Antigos deve ser planeada durante a transição. Embora os dispositivos modernos iOS, Android, Windows e macOS suportem nativamente o Passpoint, os dispositivos mais antigos não o fazem. Mantenha uma rede tradicional paralela de Guest WiFi durante o período de transição para garantir uma cobertura universal.

A Configuração Incorreta do Proxy RADIUS pode causar falhas de encaminhamento baseadas em realm. Certifique-se de que o seu proxy lida corretamente com o realm EAP-Identity e que os seus registos DNS NAPTR estão formatados corretamente para a descoberta RFC 7585. Teste com múltiplos realms IDP antes de entrar em produção.

ROI e Impacto no Negócio

O caso de negócio para o OpenRoaming vai muito além da elegância técnica. Os operadores de espaços podem esperar retornos mensuráveis em vários vetores:

Métrica Resultado Típico Fonte
Redução de pedidos de suporte de Wi-Fi Decréscimo de 70–80% Relatórios de implementação da WBA
Aumento da taxa de adoção de Wi-Fi Aumento de 40–50% Dados de implementação em aeroportos da WBA
Consumo de dados por utilizador Significativamente maior vs. Captive Portal Estudo de caso da RAI Amsterdam
Risco de conformidade de PII Substancialmente reduzido Modelo de ID pseudónimo do GDPR

Ao adotar o OpenRoaming, os espaços oferecem as Modern Hospitality WiFi Solutions Your Guests Deserve , transformando o Wi-Fi de um serviço público frustrante num facilitador invisível e contínuo da experiência digital. A integração com plataformas de WiFi Analytics torna-se mais valiosa à medida que taxas de adesão mais elevadas produzem conjuntos de dados mais ricos e representativos. Para as organizações que exploram o cenário mais amplo de modernização da rede, o artigo The Core SD WAN Benefits for Modern Businesses fornece um contexto complementar sobre como o OpenRoaming se enquadra numa arquitetura de rede moderna e definida por software.

O setor da Healthcare também beneficia significativamente, com o OpenRoaming a permitir uma conectividade segura e automática para médicos visitantes e dispositivos IoT médicos — sem os riscos de conformidade de redes de convidados abertas ou a sobrecarga operacional da gestão de Captive Portal por dispositivo.

Definições Principais

Passpoint (Hotspot 2.0)

Um programa de certificação da Wi-Fi Alliance baseado em IEEE 802.11u que permite aos dispositivos detetar e autenticar-se automaticamente em redes Wi-Fi sem intervenção do utilizador, utilizando credenciais pré-configuradas.

A tecnologia fundamental que torna possível a experiência fluida de OpenRoaming no dispositivo do utilizador final. Sem o suporte Passpoint tanto no AP como no dispositivo, o OpenRoaming não pode funcionar.

RadSec

Um protocolo (RFC 6614) que transporta pacotes RADIUS através de uma ligação TCP e TLS, fornecendo uma entrega encriptada, fiável e autenticada de sinalização de autenticação.

Utilizado para proteger o tráfego de autenticação que atravessa a internet pública entre o proxy RADIUS do local e a federação global OpenRoaming. Substitui o modelo legado de túnel IPSec.

RCOI (Roaming Consortium Organization Identifier)

Um identificador de 3 ou 5 octetos transmitido pelos pontos de acesso em beacons 802.11 e respostas ANQP para indicar quais as federações de roaming e políticas de liquidação que a rede suporta.

Os dispositivos leem o RCOI para determinar se possuem credenciais válidas para se ligarem antes de tentarem a autenticação. O RCOI sem custos de liquidação (5A-03-BA) é o padrão para implementações empresariais.

ANQP (Access Network Query Protocol)

Um protocolo IEEE 802.11 utilizado por dispositivos para consultar pontos de acesso sobre informações de rede — incluindo RCOIs suportados, nome do local e lista de domínios NAI — antes da associação.

Permite que os dispositivos avaliem silenciosamente se uma rede suporta as suas credenciais sem perturbar o utilizador ou iniciar uma tentativa de ligação.

Identity Provider (IDP)

Uma organização que mantém as identidades dos utilizadores e emite as credenciais Passpoint (certificados ou perfis) utilizadas para a autenticação OpenRoaming.

Operadoras móveis, departamentos de TI corporativos e programas de fidelização atuam como IDPs. O IDP autentica o utilizador e sinaliza o resultado ao ANP através da federação RADIUS.

Access Network Provider (ANP)

O local ou organização que opera a infraestrutura física de Wi-Fi, transmite RCOIs OpenRoaming e aplica políticas de acesso locais.

Hotéis, estádios, lojas de retalho e escritórios de empresas atuam como ANPs. O ANP controla o que os utilizadores autenticados podem aceder, independentemente de qual IDP os autenticou.

WBA PKI

A infraestrutura de chaves públicas (PKI) de quatro níveis gerida pela Wireless Broadband Alliance, utilizada para emitir os certificados mTLS necessários para ligações RadSec entre participantes da federação.

Fornece a confiança criptográfica fundamental que permite a milhares de redes independentes federarem-se de forma segura sem acordos bilaterais pré-estabelecidos.

802.1X

Um padrão IEEE para controlo de acesso à rede baseado em portas que fornece um mecanismo de autenticação para dispositivos que desejam ligar-se a uma LAN ou WLAN, utilizando métodos EAP (Extensible Authentication Protocol).

A estrutura de segurança robusta que sustenta o OpenRoaming. Impede o acesso não autorizado e permite a encriptação WPA3-Enterprise desde o primeiro pacote de dados.

Chargeable-User-Identity (CUI)

Um atributo RADIUS (RFC 4372) que fornece um identificador pseudónimo e estável para um utilizador em várias sessões, sem expor a sua identidade real à rede de acesso.

Permite que os locais monitorizem visitantes únicos para fins analíticos, minimizando a recolha de PII, apoiando diretamente a conformidade de minimização de dados do GDPR.

Exemplos Práticos

Um hotel de luxo com 500 quartos utiliza atualmente um Captive Portal que exige que os hóspedes iniciem sessão com o número do quarto e o apelido. Estão a registar elevados volumes de suporte e baixas pontuações de satisfação dos hóspedes relativamente ao Wi-Fi. Pretendem implementar o OpenRoaming, mas estão preocupados em perder a capacidade de escalonar a largura de banda para hóspedes VIP e membros do programa de fidelização.

O hotel deve implementar o OpenRoaming utilizando o RCOI sem liquidação (5A-03-BA), com a aplicação de fidelização do hotel a funcionar como Fornecedor de Identidade (IDP). Quando um membro de fidelização VIP se autentica, a resposta RADIUS Access-Accept do IDP inclui Atributos Específicos do Fornecedor (VSAs) que instruem o controlador WLAN do hotel a atribuir o utilizador a um perfil de QoS premium e a uma VLAN dedicada de alta largura de banda. Os hóspedes padrão autenticados através de um IDP de terceiros (por exemplo, o seu operador móvel) recebem o perfil de QoS predefinido. O servidor RADIUS do hotel atua como o ponto de aplicação de políticas, traduzindo os atributos de identidade fornecidos pelo IDP em políticas de rede locais.

Comentário do Examinador: Esta abordagem separa elegantemente a autenticação da autorização. O OpenRoaming lida com a integração contínua e segura (o "quem"), enquanto as políticas RADIUS locais garantem que o espaço mantém o controlo granular sobre os recursos de rede (o "quê"). Isto satisfaz tanto o objetivo operacional de reduzir a fricção como o requisito de negócio de manter o escalonamento de serviços. Demonstra também um princípio arquitetónico fundamental: o IDP comprova a identidade, mas o ANP aplica a política.

Uma grande cadeia de retalho com 200 lojas pretende implementar o OpenRoaming para melhorar a conectividade dos clientes e alimentar a sua plataforma de WiFi Analytics com dados de tráfego de visitantes mais ricos. A sua equipa de segurança está preocupada com a conformidade com o PCI DSS e o risco de os dispositivos dos hóspedes acederem à rede corporativa ou aos sistemas de ponto de venda.

A cadeia de retalho deve implementar uma segmentação de rede rigorosa como pré-requisito para a implementação. O SSID do OpenRoaming deve ser mapeado para uma VLAN de hóspedes isolada na camada de acesso (o AP ou switch de distribuição). O servidor RADIUS deve aplicar a atribuição dinâmica de VLAN, garantindo que todos os utilizadores autenticados pelo OpenRoaming sejam colocados numa instância VRF com apenas uma rota predefinida para a internet e regras de negação ACL explícitas para todo o espaço de endereçamento interno RFC 1918. O proxy RADIUS do OpenRoaming deve ser implementado numa DMZ, sem rota de encaminhamento direto para a rede corporativa. Um teste de intrusão trimestral deve verificar se o limite de segmentação se mantém.

Comentário do Examinador: Esta é a abordagem padrão do setor para ambientes de retalho. Ao aplicar a segmentação na periferia e utilizar VRFs, o tráfego do OpenRoaming é completamente dissociado do ambiente de dados de titulares de cartões (CDE). Isto garante que a implementação não aumenta o âmbito da sua auditoria PCI DSS. A colocação do proxy RADIUS na DMZ é um detalhe crítico que muitas implementações ignoram — garante que, mesmo que a infraestrutura RADIUS seja comprometida, os atacantes não conseguem transitar para a rede corporativa.

Perguntas de Prática

Q1. O seu espaço está a registar falhas frequentes de autenticação silenciosa para um subconjunto de utilizadores OpenRoaming. As capturas de pacotes confirmam que a resposta EAP-Identity é recebida pelo AP, mas nenhum RADIUS Access-Request chega ao Identity Provider. Qual é o ponto de falha arquitetural mais provável e como o diagnosticaria?

Dica: Considere os passos necessários para que o proxy RADIUS localize o destino correto para o realm do utilizador específico antes de poder reencaminhar o pedido de autenticação.

Ver resposta modelo

O ponto de falha mais provável é a resolução de DNS no proxy RADIUS. O OpenRoaming depende da descoberta dinâmica (RFC 7585), exigindo que o proxy realize uma pesquisa DNS NAPTR/SRV no realm fornecido no EAP-Identity. Se o DNS falhar, o proxy não consegue determinar o endereço IP do servidor RadSec do IDP, resultando numa falha silenciosa. Diagnostique executando uma pesquisa NAPTR manual a partir do proxy RADIUS para o realm afetado, verificando se os registos SRV corretos são devolvidos e se o IP do servidor RadSec está acessível na porta 2083.

Q2. Um diretor de TI de um hospital quer implementar o OpenRoaming para melhorar a conectividade dos médicos visitantes e dos dispositivos IoT médicos, mas exige que todo o tráfego de convidados seja encriptado por via aérea desde o momento da ligação para cumprir a política de segurança interna. Atualmente, utilizam um Captive Portal com WPA2-Personal (PSK). O OpenRoaming satisfaz este requisito e como difere o modelo de encriptação?

Dica: Compare o timing de encriptação dos Captive Portals com a autenticação baseada em 802.1X, e considere o que acontece ao tráfego antes de o login no Captive Portal ser concluído.

Ver resposta modelo

Sim, o OpenRoaming satisfaz plenamente este requisito. Com um Captive Portal, o tráfego não é encriptado por via aérea até que o utilizador conclua o processo de login — criando uma janela de vulnerabilidade. O OpenRoaming utiliza autenticação 802.1X e WPA3-Enterprise (ou WPA2-Enterprise), o que estabelece uma sessão encriptada única e criptograficamente segura através de um handshake de 4 vias imediatamente após a autenticação bem-sucedida, antes de qualquer dado do utilizador ser transmitido. Cada sessão utiliza uma PMK única derivada da troca EAP, garantindo uma encriptação por sessão que é muito mais forte do que o modelo PSK partilhado.

Q3. Está a configurar o controlador WLAN para uma nova implementação num estádio que participará na federação OpenRoaming sem liquidação (settlement-free). Um colega sugere transmitir também o RCOI liquidado para maximizar a compatibilidade. Quais são as implicações de transmitir ambos os RCOIs em simultâneo e qual é a sua recomendação?

Dica: Considere as implicações comerciais e operacionais do RCOI liquidado (settled) e como os dispositivos priorizam a correspondência de RCOI.

Ver resposta modelo

Transmitir o RCOI liquidado (BA-A2-D0) juntamente com o RCOI sem liquidação (5A-03-BA) é tecnicamente possível, mas acarreta um risco comercial significativo. O RCOI liquidado sinaliza aos Identity Providers que o ANP espera compensação financeira pela conectividade. Isto pode dissuadir os IDPs de permitir a ligação dos seus utilizadores, uma vez que incorreriam em custos. Para um estádio que procura a máxima adoção por parte dos utilizadores e uma conectividade sem falhas, transmitir apenas o RCOI sem liquidação é a abordagem correta. O RCOI liquidado só deve ser utilizado quando existir um acordo de liquidação comercial específico com os IDPs relevantes.

Continue a ler esta série

How to Configure SCEP for Automated Enterprise WiFi Certificate Enrollment

Este guia explica como configurar o SCEP (Simple Certificate Enrollment Protocol) para a atribuição automatizada de certificados WiFi empresariais, cobrindo toda a arquitetura desde PKI e NDES até à implementação de perfis MDM e validação RADIUS. Destina-se a gestores de TI, arquitetos de rede e CTOs em hotéis, cadeias de retalho, estádios, centros de conferências e organizações do setor público que necessitam de ir além das chaves pré-partilhadas e implementar uma autenticação 802.1X EAP-TLS escalável e baseada em identidade. A plataforma de sobreposição na nuvem da Purple, independente de hardware, integra-se diretamente com esta arquitetura, fornecendo a camada de WiFi para convidados e BYOD que coexiste com a sua rede de colaboradores autenticada por certificado.

Ler o guia →

O Guia Empresarial do SCEP: Implementar o Simple Certificate Enrollment Protocol para Segurança Automatizada de WiFi em Campus

Este guia de referência técnica fornece um modelo arquitetónico definitivo e uma estratégia de implementação passo a passo para a implementação de certificados de WiFi empresariais utilizando SCEP. Abrange as diferenças críticas entre SCEP e PKCS, a sequência exata de implementação necessária para o sucesso e estratégias reais de mitigação de riscos para líderes de TI.

Ler o guia →

Como Implementar SCEP para a Inscrição Automatizada de Certificados WiFi

Este guia explica como implementar o SCEP (Simple Certificate Enrollment Protocol) para a inscrição automatizada de certificados WiFi em espaços empresariais. Abrange todo o plano de arquitetura - desde o design de PKI e integração de MDM até à sequência de implementação obrigatória de três passos - e mostra aos gestores de TI e arquitetos de rede como eliminar credenciais partilhadas, automatizar a gestão do ciclo de vida dos certificados e cumprir os requisitos de PCI DSS e GDPR à escala.

Ler o guia →