O Futuro da Conetividade Sem Interrupções: Passpoint e OpenRoaming Explicados

Este guia de referência técnica fornece informações práticas para líderes de TI sobre a transição dos Captive Portals tradicionais para o Passpoint e OpenRoaming. Detalha as normas subjacentes IEEE 802.11u e WPA3, fluxos de autenticação seguros e estratégias de implementação no mundo real para melhorar a conetividade sem interrupções, reforçar a segurança e impulsionar um ROI mensurável em espaços empresariais.

📖 5 min de leitura📝 1,207 palavras🔧 2 exemplos práticos❓ 3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo ao Purple Technical Briefing. Sou o vosso anfitrião e hoje vamos analisar uma mudança crítica no design de redes empresariais: a transição dos Captive Portals tradicionais para o Passpoint e OpenRoaming. Se é gestor de TI, arquiteto de redes ou diretor de operações de espaços, este briefing de dez minutos dar-lhe-á as informações práticas de que necessita para avaliar e implementar estas tecnologias.

Comecemos pelo contexto. Nos últimos quinze anos, o WiFi de convidados dependeu de Captive Portals. Um utilizador entra num espaço, seleciona um SSID, aguarda por uma splash page, introduz um endereço de e-mail, aceita os termos e, finalmente, liga-se à Internet. Este ponto de fricção não é apenas um incómodo para o convidado; é uma oportunidade perdida para o espaço. Vemos elevadas taxas de abandono, o que significa que perde a oportunidade de interagir com esse utilizador ou de recolher análises. Além disso, os Captive Portals transmitem tráfego não encriptado até ao início de sessão, criando uma superfície de ataque significativa.

O Passpoint, também conhecido como Hotspot 2.0, altera fundamentalmente este paradigma. Baseado na norma IEEE 802.11u, o Passpoint permite a descoberta e autenticação automática e segura de redes. Quando um dispositivo entra num espaço com suporte para Passpoint, utiliza o Access Network Query Protocol, ou ANQP, para interrogar silenciosamente a rede. Verifica se a rede suporta o seu fornecedor de identidade. Se houver uma correspondência, o dispositivo liga-se automaticamente utilizando autenticação EAP-TLS ou EAP-TTLS de nível empresarial. O utilizador não faz absolutamente nada. Funciona de forma simples, exatamente como o roaming de rede móvel.

Agora, onde se enquadra o OpenRoaming? O OpenRoaming é construído com base no Passpoint. Enquanto o Passpoint fornece a tecnologia subjacente, o OpenRoaming, gerido pela Wireless Broadband Alliance, cria a federação global. Liga fornecedores de acesso — como hotéis, estádios e lojas de retalho — a fornecedores de identidade, tais como a Apple, Google, operadoras móveis e sistemas de identidade empresarial. Isto significa que um convidado pode autenticar-se no seu espaço utilizando a sua identidade fidedigna existente, sem que tenha de gerir uma infraestrutura RADIUS complexa ou negociar acordos de roaming individuais.

Vamos aprofundar a arquitetura técnica. O ecossistema tem quatro níveis. Primeiro, os dispositivos do utilizador final. Segundo, os fornecedores de acesso — ou seja, o hardware do seu espaço. Terceiro, o broker do ecossistema, que é a federação RADIUS do OpenRoaming. E quarto, os fornecedores de identidade. Quando um dispositivo tenta ligar-se, o pedido de autenticação é encaminhado de forma segura através da federação para o fornecedor de identidade do utilizador. Crucialmente, esta comunicação é protegida utilizando RadSec, que é RADIUS over TLS, garantindo que o tráfego de autenticação não possa ser intercetado.

Do ponto de vista da segurança, as vantagens são profundas. Com o OpenRoaming, a encriptação WPA3 é estabelecida desde o primeiro pacote. Existe autenticação mútua; o dispositivo verifica o certificado da rede antes de se ligar, eliminando completamente o risco de ataques 'evil twin'. E porque utiliza autenticação EAP, as credenciais do utilizador nunca saem realmente do fornecedor de identidade. O espaço recebe simplesmente um token anonimizado.

Então, como se implementa isto no mundo real? Vejamos um cenário na hotelaria. Uma cadeia hoteleira global pretende melhorar a conetividade dos hóspedes ao mesmo tempo que impulsiona a adoção da aplicação de fidelização. A abordagem tradicional seria um Captive Portal integrado com o seu sistema de gestão de propriedades. A abordagem moderna é a implementação do Passpoint integrado com o OpenRoaming.

A implementação ocorre por fases. Primeiro, configura o seu controlador de LAN sem fios para transmitir o identificador único organizacional, ou OUI, do OpenRoaming. Em seguida, estabelece um túnel RadSec seguro para um fornecedor de RADIUS na nuvem que faça parte da federação WBA. Uma vez configurado, qualquer convidado com um perfil OpenRoaming no seu dispositivo liga-se instantaneamente.

Mas é aqui que o retorno do investimento se materializa. O hotel pode aprovisionar perfis Passpoint diretamente através da sua aplicação de fidelização. Quando um hóspede descarrega a aplicação, o perfil é instalado. A partir desse momento, sempre que entrarem em qualquer propriedade da cadeia, ligam-se automaticamente. Isto fornece ao espaço dados de localização persistentes e anonimizados, permitindo uma interação baseada na proximidade. Se um hóspede passar perto do spa, pode acionar uma oferta direcionada através da aplicação.

Para ambientes de retalho, os benefícios são igualmente apelativos. Os Captive Portals com elevada fricção resultam frequentemente em compradores que abandonam a ligação WiFi, o que significa que o retalhista perde análises valiosas de tráfego de clientes. Com o OpenRoaming, a ligação é contínua, aumentando drasticamente a taxa de adesão. Isto fornece dados precisos sobre tempos de permanência, visitas repetidas e jornadas dos clientes pela loja, que podem ser correlacionados com dados do ponto de venda para medir o verdadeiro impacto do design da loja e das promoções.

Quais são os erros comuns a evitar durante a implementação? O problema mais frequente que vemos é a má gestão de certificados. Como o OpenRoaming depende fortemente de EAP-TLS e de autenticação mútua, a sua Infraestrutura de Chaves Públicas deve ser robusta. Certifique-se de que está a utilizar certificados de autoridades fidedignas e de que os seus processos de renovação automatizados estão a funcionar corretamente.

Outro erro é negligenciar a experiência de integração de utilizadores não federados. Embora o OpenRoaming lide com utilizadores com perfis existentes, ainda necessita de uma forma sem fricção para integrar novos utilizadores. É aqui que entra um servidor de Online Sign-Up, ou OSU, permitindo aos utilizadores aprovisionar um perfil de forma segura na sua primeira visita.

Passemos a uma sessão rápida de perguntas e respostas baseada nas dúvidas mais comuns que recebemos de arquitetos de rede.

Pergunta um: O OpenRoaming substitui completamente o meu Captive Portal?
Resposta: Não imediatamente. A maioria dos espaços executa um modelo híbrido durante a transição. Transmite o seu SSID aberto legado com o Captive Portal em paralelo com o SSID compatível com Passpoint. Com o tempo, à medida que mais dispositivos suportarem o OpenRoaming nativamente, poderá desativar progressivamente a rede aberta.

Pergunta dois: De que hardware necessito?
Resposta: A boa notícia é que a maioria dos Access Points de nível empresarial lançados nos últimos cinco anos suporta Passpoint e 802.11u. Provavelmente não necessita de uma atualização de hardware radical. As alterações residem principalmente na configuração do controlador e no backend RADIUS.

Pergunta três: Os dados de localização estão em conformidade com o GDPR?
Resposta: Sim, desde que os trate corretamente. O OpenRoaming utiliza identificadores anonimizados. O espaço não recebe o e-mail pessoal ou o número de telefone do utilizador por parte do fornecedor de identidade, apenas um token persistente. Na verdade, isto simplifica a conformidade em comparação com o armazenamento de dados pessoais recolhidos através de um Captive Portal.

Em resumo, o Passpoint e o OpenRoaming representam o futuro do WiFi empresarial. Eliminam a fricção dos Captive Portals, melhoram drasticamente a segurança através de WPA3 e autenticação mútua, e libertam um valor de negócio significativo através de taxas de adesão mais elevadas e melhores análises.

Os seus próximos passos devem ser auditar a sua infraestrutura sem fios atual para verificar a compatibilidade com o Passpoint, avaliar fornecedores de RADIUS na nuvem que suportem a federação WBA OpenRoaming e executar uma implementação piloto num ambiente controlado, como uma única filial de retalho ou uma ala de conferências de um hotel.

Obrigado por ouvir este Purple Technical Briefing. Para guias de implementação mais detalhados e diagramas de arquitetura, consulte o guia escrito abrangente que acompanha este podcast.

Principais Conclusões

✓O Passpoint (802.11u) elimina os Captive Portals ao permitir que os dispositivos descubram e se liguem a redes de forma automática e segura.
✓O OpenRoaming dimensiona o Passpoint ao criar uma federação global, permitindo que os utilizadores se autentiquem utilizando identidades fidedignas existentes (Apple, Google, Operadoras).
✓A segurança é drasticamente melhorada através da encriptação WPA3 desde o primeiro pacote e da autenticação mútua de certificados, neutralizando os ataques 'evil twin'.
✓A implementação do Passpoint requer Access Points compatíveis com WPA3, um fornecedor de RADIUS na nuvem e RadSec (RADIUS over TLS) para uma comunicação externa segura.
✓A integração do aprovisionamento de perfis Passpoint em aplicações de fidelização de espaços impulsiona taxas de adesão à rede mais elevadas e análises baseadas na localização mais ricas.
✓Os espaços devem executar um modelo híbrido durante a transição, transmitindo tanto o SSID do Captive Portal legado como o SSID do Passpoint até que a adoção atinja uma massa crítica.
✓O OpenRoaming simplifica a conformidade com o GDPR ao basear-se em tokens persistentes anonimizados, em vez de recolher dados pessoais através de splash pages.

Resumo Executivo

Na última década, o WiFi de convidados dependeu de Captive Portals — um modelo com elevada fricção que frustra os utilizadores, degrada a experiência da marca e introduz vulnerabilidades de segurança significativas. À medida que os espaços nos setores de Hospitality , Retail e público exigem taxas de adesão mais elevadas para alimentar o WiFi Analytics e serviços baseados na localização, o setor está a transitar para uma conetividade sem interrupções, semelhante à das redes móveis.

O Passpoint (Hotspot 2.0) e o OpenRoaming representam o futuro definitivo do acesso sem fios empresarial. Construído com base na norma IEEE 802.11u e gerido pela Wireless Broadband Alliance (WBA), este ecossistema permite uma autenticação segura (WPA3) e sem toque. Ao federar fornecedores de identidade (como a Apple, Google e operadoras móveis) com redes de acesso, os espaços podem integrar automaticamente os convidados sem seleção manual de SSID ou splash pages. Este guia fornece um roteiro prático e neutro em termos de fornecedor para gestores de TI e arquitetos de rede avaliarem, desenharem e implementarem o Passpoint e o OpenRoaming, transformando o WiFi de convidados de um centro de custos num ativo seguro e rico em dados.

Análise Técnica Detalhada

A Arquitetura Passpoint e OpenRoaming

Para compreender a mudança, devemos distinguir entre a tecnologia subjacente e a federação que a dimensiona.

Passpoint (Hotspot 2.0) é uma certificação da Wi-Fi Alliance baseada na norma IEEE 802.11u. Define o mecanismo para os dispositivos descobrirem e se autenticarem em redes automaticamente. O protocolo central é o Access Network Query Protocol (ANQP), que permite a um dispositivo cliente interrogar um Access Point (AP) antes de se associar. O dispositivo verifica os Roaming Consortium Organizationally Unique Identifiers (OUIs) anunciados pelo AP em relação aos seus perfis aprovisionados localmente. Se for encontrada uma correspondência, o dispositivo inicia uma ligação Extensible Authentication Protocol (EAP) (normalmente EAP-TLS ou EAP-TTLS).

OpenRoaming é a federação global construída com base no Passpoint. Enquanto o Passpoint lida com a interação local entre o dispositivo e o AP, o OpenRoaming fornece a infraestrutura de proxy RADIUS que liga milhões de APs a milhares de Fornecedores de Identidade (IdPs). Isto elimina a necessidade de os espaços negociarem acordos de roaming individuais ou gerirem uma Infraestrutura de Chaves Públicas (PKI) complexa para convidados externos.

Mudança de Paradigma de Segurança

As redes abertas tradicionais com Captive Portals transmitem dados sem encriptação até que o utilizador conclua o processo de início de sessão. Isto expõe os utilizadores a ataques "evil twin", em que agentes maliciosos falsificam o SSID do espaço para recolher credenciais.

O Passpoint altera fundamentalmente este perfil de risco. Como a autenticação ocorre via 802.1X, la ligação é protegida com encriptação WPA2-Enterprise ou WPA3-Enterprise desde o primeiro pacote. Além disso, la autenticação mútua inerente ao EAP-TLS significa que o dispositivo verifica o certificado da rede antes de enviar quaisquer credenciais, neutralizando eficazmente as vulnerabilidades de 'evil twin'. Conforme detalhado no nosso guia sobre Device Posture Assessment for Network Access Control , estabelecer a confiança do dispositivo é primordial, e o Passpoint impõe isso na periferia.

Guia de Implementação

A implementação do OpenRoaming requer coordenação entre o seu Wireless LAN Controller (WLC), a sua infraestrutura RADIUS e a federação WBA. Os seguintes passos neutros em termos de fornecedor descrevem uma implementação empresarial padrão.

Fase 1: Avaliação de Prontidão da Infraestrutura

Antes da configuração, verifique se o seu hardware existente suporta as normas exigidas. A maioria dos APs empresariais (por exemplo, Cisco, Aruba, Ruckus) lançados nos últimos cinco anos suporta nativamente 802.11u e Passpoint. Certifique-se de que o firmware do seu WLC está atualizado para suportar WPA3 e Protected Management Frames (PMF), que são obrigatórios para o Passpoint Release 3.

Fase 2: Integração de RADIUS e Federação

O ponto de integração crítico é ligar a sua rede local à federação OpenRoaming. Isto é alcançado estabelecendo uma ligação de proxy RADIUS segura.

Selecionar um Fornecedor de RADIUS na Nuvem: Escolha um fornecedor que seja um OpenRoaming Ecosystem Broker certificado (por exemplo, IronWiFi, Cisco Spaces).
Estabelecer Túneis RadSec: Configure o seu WLC para encaminhar pedidos de autenticação para o servidor RADIUS na nuvem utilizando RadSec (RADIUS over TLS). Isto protege o tráfego de autenticação através da Internet. Para uma configuração detalhada, consulte RadSec : Sécurisation du trafic d'authentification RADIUS avec TLS .
Configurar o Encaminhamento de Domínio (Realm Routing): Configure regras de encaminhamento no servidor RADIUS para reencaminhar pedidos correspondentes a domínios OpenRoaming (por exemplo, apple.openroaming.net) para a federação WBA.

Fase 3: Configuração de WLAN

Configure o SSID específico no seu WLC para transmitir os elementos ANQP necessários.

Ativar 802.11u: Ative as funcionalidades Hotspot 2.0/Passpoint para a WLAN de destino.
Definir OUIs do Roaming Consortium: Adicione os OUIs específicos fornecidos pela WBA (por exemplo, 5A-03-BA para OpenRoaming-Settlement-Free) ao beacon do AP.
Configurar Segurança: Defina a segurança de Camada 2 para WPA2/WPA3-Enterprise com autenticação 802.1X.

Fase 4: Estratégia de Integração de Utilizadores

Embora os utilizadores federados (por exemplo, aqueles com perfis Apple ou Google) se liguem automaticamente, deve planear para os utilizadores que não possuem perfis pré-existentes. Implemente um Online Sign-Up (OSU) ou integrar o aprovisionamento de perfis na aplicação móvel do seu espaço. Isto permite que os utilizadores descarreguem um perfil Passpoint durante a sua primeira visita, garantindo uma conectividade sem interrupções em todas as visitas subsequentes.

Melhores Práticas

Manter uma Abordagem Híbrida Durante a Transição: Não desative imediatamente o seu captive portal legado. Execute o SSID com suporte a Passpoint em simultâneo com a sua rede aberta Guest WiFi para acomodar dispositivos legados e utilizadores sem perfis. Monitorize as taxas de ligação para determinar quando a rede aberta pode ser desativada em segurança.
Priorizar o RadSec: Nunca transmita tráfego RADIUS pela internet sem encriptação. Utilize sempre o RadSec para proteger a comunicação entre o seu WLC e o fornecedor de RADIUS na nuvem.
Aproveitar a Integração com Aplicações: Para espaços de hotelaria e retalho, incorpore o aprovisionamento de perfis Passpoint na aplicação de fidelização da sua marca. Isto garante que o utilizador é autenticado de forma segura, ao mesmo tempo que associa diretamente a presença na rede ao seu perfil de cliente.
Monitorizar a Expiração de Certificados: O Passpoint depende fortemente de PKI. Implemente monitorização e alertas automatizados para todos os certificados de servidores RADIUS e web para evitar falhas de autenticação repentinas.

Resolução de Problemas e Mitigação de Riscos

Ao implementar o Passpoint, as equipas de TI encontram tipicamente modos de falha específicos. Compreender estes riscos é crucial para uma implementação sem problemas.

Problemas de Timeout de ANQP: Se os APs estiverem sobrecarregados ou o controlador estiver lento, as respostas ANQP podem expirar, impedindo os dispositivos de detetar a rede. Mitigação: Garanta que os APs estão adequadamente aprovisionados e monitorize a utilização de CPU do plano de controlo. Para ambientes de alta densidade, considere otimizar os intervalos de beacon.
Falhas de Confiança no Certificado: Se o dispositivo do cliente não confiar na Root CA que assinou o certificado do servidor RADIUS, o handshake EAP-TLS falhará silenciosamente. Mitigação: Utilize sempre certificados emitidos por Autoridades de Certificação públicas amplamente reconhecidas (ex.: DigiCert, Let's Encrypt) para servidores RADIUS voltados para o público. Evite certificados autoassinados para acesso de convidados.
Quebras de Conetividade RadSec: Firewalls ou problemas de encaminhamento intermédio podem cortar a ligação TCP necessária para o RadSec. Mitigação: Implemente uma monitorização robusta do estado do túnel RadSec e configure servidores RADIUS secundários para failover.

ROI e Impacto no Negócio

A transição para o Passpoint e OpenRoaming não é apenas uma atualização de TI; é um facilitador de negócios estratégico. Ao remover a fricção dos captive portals, os espaços registam melhorias imediatas nas principais métricas.

Aumento das Taxas de Ligação: Os espaços observam tipicamente um aumento de 40-60% no número de dispositivos que se ligam à rede. Isto expande diretamente o tamanho da amostra para WiFi Analytics e Sensores , fornecendo dados mais precisos de afluência e tempo de permanência.
Envolvimento do Cliente Melhorado: No retalho e na hotelaria, a conectividade sem interrupções permite que os espaços acionem notificações baseadas na localização através das suas aplicações no momento em que um convidado entra pela porta, gerando um envolvimento imediato.
Redução de Custos de Suporte: A eliminação de captive portals reduz drasticamente os pedidos de suporte relacionados com falhas de início de sessão, redirecionamentos de navegador e palavras-passe esquecidas, libertando recursos de TI.
Monetização de Dados: Ao integrar com plataformas de Wayfinding e de fidelização, os espaços podem correlacionar a presença física com o comportamento de compra, fornecendo informações acionáveis que justificam o investimento na rede.

Ouça o nosso briefing detalhado sobre este tema:

Definições Principais

Passpoint (Hotspot 2.0)

Uma certificação da Wi-Fi Alliance baseada na norma IEEE 802.11u que permite aos dispositivos descobrir automaticamente e ligar-se de forma segura a redes Wi-Fi sem intervenção do utilizador.

As equipas de TI implementam o Passpoint para substituir os Captive Portals legados, proporcionando uma experiência de roaming semelhante à das redes móveis para WiFi empresarial e de convidados.

OpenRoaming

Uma federação global de roaming gerida pela Wireless Broadband Alliance (WBA) que liga Fornecedores de Identidade (IdPs) a Redes de Acesso utilizando a tecnologia Passpoint.

Os espaços aderem ao OpenRoaming para permitir que os convidados se autentiquem utilizando credenciais existentes (por exemplo, Apple ID, Google, SIM da operadora) sem gerir contas locais.

ANQP (Access Network Query Protocol)

Um protocolo de Camada 2 definido na norma 802.11u que permite a um dispositivo cliente solicitar informações a um Access Point (como parceiros de roaming suportados) antes de se associar à rede.

O ANQP é o mecanismo que permite a um smartphone 'saber' se se pode ligar a uma rede Passpoint silenciosamente em segundo plano.

RadSec (RADIUS over TLS)

Um protocolo que protege o tráfego de autenticação RADIUS ao envolvê-lo num túnel TLS, normalmente utilizando a porta TCP 2083.

Essencial para implementações OpenRoaming para garantir que os pedidos de autenticação enviados do espaço para o fornecedor de RADIUS na nuvem não possam ser intercetados.

OUI (Organizationally Unique Identifier)

Um número de 24 bits que identifica exclusivamente um fornecedor, fabricante ou organização, utilizado no Passpoint para identificar consórcios de roaming suportados.

Os administradores de rede configuram OUIs específicos nos seus WLCs para transmitir quais os fornecedores de identidade ou federações (como o OpenRoaming) que são suportados no espaço.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Uma estrutura de autenticação altamente segura que requer autenticação mútua baseada em certificados entre o cliente e o servidor.

O padrão de excelência para a autenticação Passpoint, garantindo que tanto o dispositivo do utilizador como a rede do espaço verificam as identidades mútuas antes de se ligarem.

OSU (Online Sign-Up)

Um mecanismo padronizado no Passpoint Release 2 e posterior que permite a um dispositivo obter credenciais de rede e um perfil de forma segura a partir de um servidor de aprovisionamento.

Utilizado para integrar novos convidados que ainda não tenham um perfil Passpoint instalado no seu dispositivo.

Evil Twin Attack

Um ataque sem fios em que um agente malicioso configura um Access Point falso que transmite o mesmo SSID de uma rede legítima para intercetar o tráfego e as credenciais dos utilizadores.

O Passpoint elimina este risco ao exigir que a rede apresente um certificado válido (autenticação mútua) antes de o dispositivo se ligar.

Exemplos Práticos

Uma cadeia hoteleira global com 200 propriedades pretende melhorar a conetividade dos hóspedes e aumentar a adoção da sua aplicação de fidelização. Atualmente, os hóspedes queixam-se de ter de iniciar sessão no Captive Portal todos os dias da sua estadia, e as taxas de adesão são baixas.

O hotel implementa o Passpoint em todas as propriedades. Em vez de um Captive Portal, integram o aprovisionamento de perfis Passpoint na sua aplicação de fidelização. Quando um hóspede descarrega a aplicação e inicia sessão, um perfil Passpoint é instalado silenciosamente no seu dispositivo. Os APs são configurados para transmitir o OUI específico do Roaming Consortium do hotel. O WLC utiliza RadSec para encaminhar pedidos de autenticação para um fornecedor de RADIUS na nuvem. Quando o hóspede chega a qualquer propriedade globalmente, o seu dispositivo deteta o OUI, autentica-se via EAP-TLS utilizando o perfil e liga-se instantaneamente com encriptação WPA3.

Comentário do Examinador: Esta abordagem resolve tanto a fricção de conetividade como o objetivo de negócio. Ao associar o acesso à rede à aplicação, o hotel garante uma ligação segura e de alta qualidade, assegurando ao mesmo tempo que o hóspede permanece envolvido com o ecossistema digital da marca. A utilização de um OUI específico garante que o dispositivo apenas se liga à rede fidedigna do hotel, mitigando os riscos de 'evil twin'.

Um grande centro de conferências necessita de fornecer WiFi seguro para 10.000 participantes. Gerir credenciais temporárias para um evento de 3 dias através de um Captive Portal é operacionalmente pesado e inseguro.

O espaço implementa o OpenRoaming. Configuram o seu WLC para transmitir os OUIs do WBA OpenRoaming e estabelecem uma ligação RadSec com um OpenRoaming Ecosystem Broker. Os participantes que chegam ao espaço e que já possuem um perfil OpenRoaming (por exemplo, através da sua operadora móvel ou de um espaço anterior) ligam-se automaticamente. Para os participantes sem perfil, o espaço disponibiliza códigos QR pelo recinto que direcionam os utilizadores para um servidor de Online Sign-Up (OSU) para descarregar um perfil de evento temporário.

Comentário do Examinador: Isto reduz drasticamente a sobrecarga de TI na gestão de credenciais. Ao tirar partido da federação OpenRoaming, o espaço transfere a carga de autenticação para os Fornecedores de Identidade existentes dos participantes. A alternativa de código QR/OSU garante que nenhum participante fique sem acesso, mantendo uma experiência sem interrupções.

Perguntas de Prática

Q1. É o Diretor de TI de uma cadeia de retalho. O Marketing pretende monitorizar com precisão as visitas repetidas dos clientes utilizando WiFi analytics, mas a atual rede aberta de convidados com um Captive Portal tem uma taxa de adesão de 15%. Os clientes queixam-se de que o início de sessão demora demasiado tempo. Como redesenharia a estratégia de acesso à rede para cumprir os objetivos do Marketing e, ao mesmo tempo, melhorar a experiência do cliente?

Dica: Considere como pode associar a autenticação de rede a um ativo que o cliente já valoriza, eliminando completamente a fricção do Captive Portal.

Ver resposta modelo

Implemente o Passpoint e integre o aprovisionamento de perfis na aplicação móvel de fidelização existente do retalhista. Quando os clientes descarregam ou atualizam a aplicação, o perfil Passpoint é instalado silenciosamente. Ao entrar em qualquer loja, o seu dispositivo autentica-se automaticamente via EAP-TLS. Isto elimina a fricção do Captive Portal, aumenta drasticamente a taxa de adesão (fornecendo ao Marketing dados precisos sobre visitas repetidas) e protege a ligação com WPA3.

Q2. Durante uma implementação piloto do OpenRoaming num estádio, a equipa de rede nota que, embora os pedidos de autenticação estejam a chegar ao WLC local, não estão a conseguir chegar ao fornecedor de RADIUS na nuvem. A equipa da firewall confirma que as portas RADIUS padrão (UDP 1812/1813) estão abertas para o exterior. Qual é a causa mais provável da falha?

Dica: Os OpenRoaming Ecosystem Brokers exigem comunicações seguras para o tráfego de autenticação através da Internet.

Ver resposta modelo

O WLC está provavelmente a tentar enviar tráfego RADIUS padrão não encriptado, mas as implementações OpenRoaming requerem RadSec (RADIUS over TLS) para a comunicação com o broker na nuvem. A equipa da firewall precisa de garantir que a porta TCP 2083 (a porta padrão para RadSec) está aberta para o exterior, e o WLC deve ser configurado para estabelecer o túnel TLS utilizando os certificados corretos.

Q3. Um hospital pretende implementar o Passpoint para fornecer roaming sem interrupções aos médicos que se deslocam entre o campus principal e as clínicas satélite. No entanto, o Responsável de Segurança da Informação (ISO) está preocupado com ataques 'evil twin', em que um agente malicioso pode falsificar o SSID do hospital num café próximo para roubar credenciais. Como é que o Passpoint aborda esta preocupação específica?

Dica: Foque-se nos métodos EAP específicos utilizados no Passpoint e na forma como o dispositivo cliente verifica a rede antes de transmitir dados.

Ver resposta modelo

O Passpoint mitiga o risco de 'evil twin' através de autenticação mútua, normalmente utilizando EAP-TLS ou EAP-TTLS. Antes de o dispositivo do médico enviar quaisquer credenciais de autenticação, o AP (através do servidor RADIUS) deve apresentar um certificado digital válido. O dispositivo verifica este certificado em relação às suas Root CAs fidedignas. Se um agente malicioso falsificar o SSID, não possuirá a chave privada/certificado válido para o servidor RADIUS do hospital, e o dispositivo abortará silenciosamente a ligação antes que quaisquer credenciais sejam trocadas.

Continue a ler esta série

What is a Probe Request? Understanding How Devices Discover Networks

Este guia de referência técnica oferece uma análise aprofundada dos pedidos de sondagem IEEE 802.11, da varredura ativa versus passiva e do impacto da aleatorização de MAC na análise de locais. Apresenta estratégias de implementação acionáveis para arquitetos de rede otimizarem implementações de alta densidade, mitigarem tempestades de sondagem e garantirem a recolha de dados precisa e em conformidade com o GDPR, utilizando camadas de identidade autenticadas.

How to Fix Slow WiFi Without Upgrading Your Internet Plan

Um guia de referência técnica abrangente para gestores de TI e arquitetos de rede sobre como otimizar o desempenho de WiFi empresarial sem aumentar a largura de banda do ISP. Abrange a otimização de RF, gestão da densidade de clientes, implementação de QoS e como aproveitar a análise de WiFi para diagnosticar e resolver gargalos.

The Checklist for Migrating from Legacy NAC to Cloud-Native NAC

Este guia de referência técnica e autoritário fornece uma lista de verificação estruturada em três fases para migrar do Network Access Control (NAC) legado para uma arquitetura nativa da nuvem. Ele equipa gestores de TI e arquitetos de rede com estratégias acionáveis para gerir a integração de identidades, a paridade de políticas e a conformidade sem interromper as operações do local.