Saltar para o conteúdo principal

Passpoint e OpenRoaming: Guia Completo

Este guia de referência técnica fornece uma análise abrangente das frameworks Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implementação necessárias para estabelecer uma conectividade de convidados segura e sem atritos. Os arquitetos de rede e líderes de TI aprenderão a desenhar, implementar e resolver problemas destes padrões para eliminar as barreiras de início de sessão manual, mantendo simultaneamente uma segurança de nível empresarial.

📖 6 min de leitura📝 1,277 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

📚 Parte da nossa série principal: WiFi Multi-Tenant

Resumo Executivo

As exigências de conectividade empresarial mudaram do acesso de convidados manual, baseado em portais cativos, para uma integração automatizada, segura e sem fricção. O Passpoint (definido pela Wi-Fi Alliance como Hotspot 2.0) e o OpenRoaming (orquestrado pela Wireless Broadband Alliance) representam a padronização desta mudança. Ao utilizar protocolos IEEE 802.11u e segurança WPA3-Enterprise, estas tecnologias permitem que os dispositivos móveis descubram, autentiquem e se liguem a redes WiFi seguras automaticamente, sem intervenção do utilizador.

Este guia serve como uma referência autoritária para arquitetos de rede e diretores de TI que planeiam implementar estas tecnologias em locais de grande escala, ambientes de retalho e campus corporativos. Examinamos os handshakes criptográficos subjacentes, a arquitetura de federação e as etapas práticas de configuração necessárias para integrar estes padrões na infraestrutura sem fios existente. Ao adotar estas estruturas, as organizações podem eliminar a fricção dos portais de convidados tradicionais, ao mesmo tempo que melhoram significativamente a sua postura de segurança sem fios.

Análise Técnica Detalhada

Para compreender o Passpoint e o OpenRoaming, é necessário primeiro dissecar os protocolos subjacentes que regem o seu funcionamento. No cerne do Passpoint está o IEEE 802.11u, uma emenda ao padrão 802.11 que permite aos dispositivos sem fios descobrir serviços de rede antes de estabelecer uma associação.

Historicamente, um dispositivo cliente tinha de se associar a um Access Point (AP) e obter um endereço IP antes de poder consultar as capacidades da rede. Com o 802.11u, esta descoberta ocorre no estado de pré-associação utilizando consultas Access Network Query Protocol (ANQP).

O Processo de Descoberta 802.11u

Quando um dispositivo habilitado para Passpoint faz uma varredura das frequências de rádio, deteta um beacon contendo um elemento de Interworking. Este elemento sinaliza que o AP suporta 802.11u e anuncia o seu tipo de rede (por exemplo, privada, pública gratuita, pública paga). O dispositivo cliente envia então uma consulta ANQP para solicitar parâmetros específicos, tais como:

  • Roaming Consortium Organisation Identifiers (OIs): Identificadores exclusivos globais atribuídos pelo IEEE que representam parceiros de roaming ou federações específicas.
  • Nome do Local e Grupo do Local: Metadados que descrevem a localização física (por exemplo, "Terminal 2" ou "Estádio").
  • Disponibilidade de Tipo de Endereço IP: Informações sobre se o IPv4 ou IPv6 está disponível, e se o NAT é aplicado.

Se o dispositivo cliente possuir um perfil contendo um Roaming Consortium OI correspondente, inicia o processo de autenticação sem solicitar qualquer ação ao utilizador.

Arquitetura de Federação OpenRoaming

O OpenRoaming atua como uma camada de federação global sobre o Passpoint. Estabelece uma Public Key Infrastructure (PKI) segura gerida pela Wireless Broadband Alliance (WBA). Esta federação permite que os fornecedores de identidade (IDPs) - tais como operadores de rede móvel, fabricantes de dispositivos (Apple, Google) e sistemas de identidade empresarial - façam peering de forma segura com fornecedores de rede.

A autenticação é executada usando WPA3-Enterprise (ou WPA2-Enterprise para compatibilidade com sistemas legados) com Protected Extensible Authentication Protocol (PEAP) ou Extensible Authentication Protocol-Transport Layer Security (EAP-TLS). O AP atua como um autenticador, encapsulando os pacotes EAP em pacotes RADIUS (Remote Authentication Dial-In User Service) ou RadSec (RADIUS sobre TLS) e encaminhando-os para o fornecedor de identidade.

O RadSec é obrigatório no OpenRoaming para proteger a comunicação entre o proxy RADIUS da rede local e os IDPs globais através da internet pública. O RadSec utiliza a porta TCP 2083 e encriptação TLS, garantindo que as credenciais do utilizador e os atributos de autenticação permanecem confidenciais durante o trânsito através de fornecedores de trânsito intermediários.

Guia de Implementação

A implementação do Passpoint e do OpenRoaming requer uma abordagem sistemática em todo o controlador sem fios (WLC), infraestrutura RADIUS e configurações de DNS/firewall.

Passo 1: Auditoria da Infraestrutura de Rede

Certifique-se de que os seus APs e WLCs suportam 802.11u e Passpoint Versão 2 ou 3. Verifique se o seu servidor RADIUS suporta RadSec (RFC 6614). Se o seu servidor RADIUS legado não suportar RadSec, deve implementar um proxy RadSec (como o FreeRADIUS ou um gateway dedicado) na sua DMZ.

Passo 2: Configuração da Firewall

Abra a porta TCP de saída 2083 para os servidores proxy RadSec do OpenRoaming. Certifique-se de que a resolução DNS está configurada corretamente nos seus servidores RADIUS, uma vez que o RadSec depende do Dynamic Delegation Discovery System (DDDS) e de registos NAPTR para localizar o IDP apropriado.

Passo 3: Aquisição de Certificados

Obtenha um certificado RadSec aprovado pela WBA de uma Autoridade de Certificação (CA) autorizada. Este certificado é crítico para a autenticação mútua TLS (mTLS) entre o seu proxy RadSec local e os corretores da federação OpenRoaming.

Passo 4: Configuração do Controlador Sem Fios

  1. Criar um SSID Seguro: Configure um novo SSID ou modifique um existente para usar WPA3-Enterprise (ou modo de transição WPA2/WPA3).
  2. Ativar 802.11u (Interworking): Ative a funcionalidade Interworking no SSID.
  3. Configurar o HESSID: Defina o ESSID Homogéneo, normalmente o endereço MAC de um dos rádios do AP, para identificar exclusivamente o grupo de rede.
  4. Adicionar OIs do Roaming Consortium: Adicione os OIs do Roaming Consortium do OpenRoaming. Os OIs padrão são:
    • 5A-03-BE-00-00 (Livre de liquidação, identidades verificadas pela Google, Apple ou operadores móveis)
    • 5A-03-BE-00-01 (Liquidado, para acordos de roaming comercial)
  5. Configurar Parâmetros ANQP: Defina o Nome do Local, Grupo do Local e Tipo de Rede.

Passo 5: Configuração do Proxy RADIUS/RadSec

Configure o seu servidor RADIUS local para atuar como um proxy RadSec. Defina regras de encaminhamento que reencaminhem pedidos de autenticação que contenham os OIs do OpenRoaming ou padrões de domínio específicos para o gateway RadSec do OpenRoaming.

Melhores Práticas

Para garantir uma implementação estável e de alto desempenho, cumpra as seguintes recomendações padrão da indústria:

  • Consolidação de SSID: Não crie um SSID dedicado para o Passpoint ou OpenRoaming. Em vez disso, combine-os num único SSID empresarial seguro. Isto minimiza a sobrecarga de beacons e conserva tempo de antena valioso.
  • Gestão de Certificados: Implemente processos automatizados de renovação de certificados para os seus certificados RadSec. Um certificado expirado interromperá imediatamente todas as autenticações OpenRoaming.
  • Planeamento de Canais: Como o Passpoint depende de trocas ANQP de pré-associação, os dispositivos cliente passam mais tempo a verificar e a consultar. Otimize o seu planeamento de canais de 5 GHz e 6 GHz para reduzir a contenção e garantir respostas rápidas de sondagem.
  • Filtragem de Realm: Implemente uma filtragem estrita de realm no seu proxy RadSec para evitar que tráfego de autenticação desnecessário inunde a rede de federação. Encaminhe apenas pedidos que correspondam a padrões OpenRoaming válidos.
  • Alinhamento da Experiência do Utilizador: Certifique-se de que a sinalização física do local e os materiais de marketing digital informam os utilizadores de que se podem ligar automaticamente via OpenRoaming, reduzindo a dependência de SSIDs abertos e não encriptados.

Resolução de Problemas e Mitigação de Riscos

Modos de Falha Comuns e Resoluções

Problema: Os dispositivos cliente não se ligam automaticamente

  • Causa Raiz: OIs do Roaming Consortium em falta ou mal configurados no WLC, ou o dispositivo cliente não tem o perfil correto instalado.
  • Mitigação: Utilize um analisador de pacotes para capturar as tramas de beacon e de resposta de sondagem. Verifique se o elemento 802.11u Interworking contém os OIs corretos. Certifique-se de que o perfil do cliente está provisionado corretamente através de um MDM ou de um portal de provisionamento.

Problema: Falhas na ligação RadSec

  • Causa Raiz: Firewall a bloquear a porta TCP 2083, ou certificados RadSec inválidos/expirados.
  • Mitigação: Realize uma captura de pacotes na interface WAN do proxy RADIUS. Verifique se o handshake TLS é concluído com sucesso. Verifique o estado da lista de revogação de certificados (CRL).

Problema: Alta latência durante a autenticação

  • Causa Raiz: IDPs geograficamente distantes ou resolução de DNS lenta para registos NAPTR.
  • Mitigação: Implemente o cache local de registos DNS e garanta que o seu proxy RADIUS tem caminhos de baixa latência para os hubs OpenRoaming regionais.

Retorno do Investimento e Impacto Comercial

A transição para o Passpoint e OpenRoaming proporciona um valor comercial mensurável em três vetores principais: eficiência operacional, postura de segurança e inteligência de dados.

Eficiência Operacional

Ao automatizar o processo de ligação, os locais registam uma redução significativa nos pedidos de suporte relacionados com WiFi de convidados. A equipa da receção e os helpdesks de TI passam menos tempo a resolver falhas de Captive Portal e problemas de palavra-passe.

Postura de Segurança

As redes tradicionais abertas de convidados expõem os utilizadores a escutas e a ataques man-in-the-middle. O Passpoint exige encriptação de nível empresarial (WPA2/WPA3-Enterprise), protegendo todo o tráfego aéreo. Isto protege tanto o utilizador como o local de responsabilidades associadas a violações de dados.

Inteligência de Dados

Quando integrado com plataformas como a Purple, o Passpoint permite que os locais identifiquem os visitantes recorrentes de forma contínua. Como o dispositivo se liga automaticamente, o local captura métricas precisas de tempo de permanência e frequência de visitas sem exigir que o utilizador abra um navegador e inicie sessão repetidamente. Este fluxo de dados contínuo permite estratégias de interação em tempo real altamente direcionadas.

Definições Principais

Passpoint

Um programa de certificação da Wi-Fi Alliance (baseado em Hotspot 2.0) que permite aos dispositivos móveis descobrir e ligar-se automaticamente a redes WiFi com segurança de nível empresarial.

Forma a base técnica para o onboarding simplificado de convidados.

OpenRoaming

Uma federação de roaming global criada pela Wireless Broadband Alliance (WBA) que permite aos utilizadores ligarem-se de forma segura e automática a redes WiFi utilizando identidades fidedignas.

Funciona como a camada de política e identidade por cima do Passpoint.

ANQP

Access Network Query Protocol. Um protocolo de pergunta-resposta utilizado por dispositivos móveis para descobrir capacidades de rede antes de se associarem a um AP.

Crucial para a descoberta pré-associação em 802.11u.

802.11u

Uma emenda à norma IEEE 802.11 que adiciona funcionalidades para interfuncionamento com redes externas, permitindo a descoberta pré-associação.

A norma de camada física e MAC que torna o Passpoint possível.

RadSec

RADIUS sobre TLS (RFC 6614). Um protocolo que protege pacotes RADIUS ao encapsulá-los num túnel TLS sobre TCP.

Obrigatório para o OpenRoaming para proteger o tráfego de autenticação através da internet pública.

Roaming Consortium OI

Roaming Consortium Organisation Identifier. Um identificador hexadecimal único atribuído pelo IEEE para identificar uma federação de roaming ou parceiro específico.

Utilizado por APs para anunciar que credenciais de roaming aceitam.

HESSID

Homogeneous ESSID. Um endereço MAC de 48 bits configurado em APs para identificar um grupo de APs pertencentes à mesma rede ou local.

Ajuda os dispositivos clientes a compreender que múltiplos APs pertencem ao mesmo domínio administrativo.

EAP-TLS

Extensible Authentication Protocol-Transport Layer Security. Um protocolo de autenticação que utiliza certificados digitais para autenticação mútua.

O método de autenticação mais seguro suportado pelo Passpoint.

Exemplos Práticos

Uma implementação num estádio de grande escala exige a configuração de um Cisco Catalyst 9800 Wireless Controller para suportar OpenRoaming (Settlement-Free) em conjunto com os SSIDs corporativos existentes. O arquiteto de rede deve garantir que os dispositivos dos clientes detetam e se ligam automaticamente à rede utilizando os OIs de Consórcio de Roaming corretos.

Para implementar isto no Cisco Catalyst 9800 WLC, siga estes passos de configuração:

  1. Defina o Perfil de Servidor ANQP:
wireless profile anqp openroaming-anqp-profile
  venue-name english "Stadium Main Bowl"
  venue-group assembly venue-type arena
  network-auth-type redirect-url "https://portal.purple.ai"
  ip-type ipv4-nat ipv6-no-address
  1. Crie o Perfil de Consórcio de Roaming e adicione o OI OpenRoaming Settlement-Free (5A-03-BE-00-00):
wireless profile roaming openroaming-roaming-profile
  roaming-consortium-oi 5A03BE0000
  1. Configure o Perfil Hotspot 2.0 (Passpoint):
wireless profile hotspot openroaming-hotspot-profile
  anqp-server-profile openroaming-anqp-profile
  roaming-consortium-profile openroaming-roaming-profile
  hessid 00:11:22:33:44:55
  1. Aplique o perfil Hotspot ao Perfil WLAN de destino:
wlan openroaming-wlan 1 openroaming-ssid
  security wpa wpa3
  security wpa akm eap
  hotspot-profile openroaming-hotspot-profile
  no shutdown
  1. Verifique a configuração utilizando a CLI:
show wireless profile hotspot detailed openroaming-hotspot-profile
Comentário do Examinador: O candidato identificou corretamente a separação dos perfis ANQP, Roaming e Hotspot na plataforma Cisco Catalyst 9800. Um erro comum é a omissão do HESSID, que é necessário para decisões adequadas de roaming do cliente. O uso do formato hexadecimal correto para o OI do Consórcio de Roaming (5A03BE0000) é crítico, pois uma formatação incorreta impedirá a correspondência do cliente.

Uma cadeia de retalho multi-site pretende migrar de um Captive Portal tradicional para um modelo híbrido. Pretendem utilizar o OpenRoaming para uma ligação contínua, utilizando simultaneamente a plataforma de analytics da Purple para acompanhar o comportamento dos visitantes e executar campanhas direcionadas com base no tempo de permanência.

A solução requer a configuração de um proxy RadSec para encaminhar pedidos de autenticação para a federação OpenRoaming, enviando simultaneamente dados de accounting para a plataforma de nuvem da Purple.

  1. Configure o proxy RadSec local (por exemplo, FreeRADIUS) para estabelecer uma ligação TLS com o gateway OpenRoaming:
home_server openroaming_radsec {
  type = auth+acct
  ipaddr = radsec.openroaming.org
  port = 2083
  proto = tcp
  tls {
    private_key_file = /etc/raddb/certs/radsec.key
    certificate_file = /etc/raddb/certs/radsec.pem
    ca_file = /etc/raddb/certs/wba_ca.pem
  }
}
  1. Configure o servidor de accounting para duplicar os pacotes de accounting e encaminhá-los para os endpoints de accounting RADIUS da Purple:
home_server purple_accounting {
  type = acct
  ipaddr = acct.purpleportal.net
  port = 1813
  secret = PurpleSharedSecret
}

realm openroaming {
  auth_pool = openroaming_radsec
  acct_pool = purple_accounting
}
  1. No WLC, certifique-se de que o accounting RADIUS está ativado e configurado para enviar atualizações provisórias a cada 300 segundos. Isto garante que a Purple recebe continuamente dados de tempo de permanência, mesmo que o utilizador não abra ativamente um navegador.
Comentário do Examinador: Esta arquitetura híbrida é altamente eficaz. Ao encaminhar a autenticação para a federação OpenRoaming e duplicar os dados de faturação para a Purple, o retalhista consegue um onboarding seguro e automático, mantendo total visibilidade sobre as analíticas de visitantes. A chave para o sucesso aqui é a configuração do proxy RadSec para lidar com o encaminhamento de destino duplo.

Perguntas de Prática

Q1. Um engenheiro de rede nota que os dispositivos Android se estão a ligar automaticamente ao SSID OpenRoaming, mas os dispositivos iOS estão a solicitar aos utilizadores que selecionem manualmente a rede. Qual é a causa mais provável deste comportamento?

Dica: Considere como os perfis são provisionados e confiados em diferentes sistemas operativos móveis.

Ver resposta modelo

A causa mais provável é que os dispositivos iOS não têm o perfil OpenRoaming necessário instalado, ou o payload de certificado do perfil não é confiado pelo iOS. Os dispositivos Android vêm frequentemente com perfis OpenRoaming pré-instalados de fabricantes de dispositivos ou configurações de operadoras. O iOS requer a instalação explícita do perfil através de um MDM, de uma aplicação de provisionamento ou de um portal como a Purple para confiar na CA raiz e associar o Roaming Consortium OI ao SSID.

Q2. Durante uma captura de pacotes na interface WAN de um proxy RadSec, observa pacotes TCP SYN enviados para a porta 2083, mas nenhum SYN-ACK é recebido. Que passos de resolução de problemas deve tomar?

Dica: Foque-se no caminho de rede e nas configurações de firewall.

Ver resposta modelo
  1. Verifique se a política de firewall de saída permite o tráfego da porta TCP 2083 do IP do proxy RadSec para o gateway OpenRoaming de destino.
  2. Verifique se existe um dispositivo de segurança intermédio (como um IPS ou firewall de inspeção profunda de pacotes) a bloquear ou a descartar o tráfego.
  3. Confirme se o endereço IP de destino resolvido através de registos DNS NAPTR está correto e acessível.
  4. Realize um traceroute para identificar onde o descarte de pacotes está a ocorrer no caminho de trânsito.

Q3. Por que razão a consolidação de SSID é considerada uma boa prática ao implementar Passpoint e OpenRoaming, e qual é o impacto técnico de ignorar esta recomendação?

Dica: Pense na eficiência do tempo de antena e na sobrecarga de beacons.

Ver resposta modelo

A consolidação de SSID é crítica porque cada SSID configurado num AP deve transmitir as suas próprias tramas de sinalização (beacon frames), tipicamente na taxa de dados obrigatória mais baixa suportada. A criação de um SSID dedicado para Passpoint/OpenRoaming aumenta o tráfego de beacon, consumindo tempo de antena valioso e reduzindo a capacidade geral da rede. Ao consolidar o Passpoint num SSID empresarial seguro já existente, o AP anuncia os parâmetros 802.11u dentro das tramas de sinalização existentes, preservando o tempo de antena e mantendo a eficiência ideal do canal.

Continue a ler esta série

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Este guia de referência técnica descreve a arquitetura, configuração e implementação de autenticação RADIUS para redes WiFi empresariais de convidados e funcionários. Fornece aos arquitetos de rede e gestores de TI os protocolos exatos, normas de segurança e metodologias de resolução de problemas necessários para construir sistemas de controlo de acesso sem fios seguros e escaláveis.

Ler o guia →

Como Implementar SCEP para Integração Segura de BYOD e Redes no Ensino Superior

Este guia técnico fornece aos arquitetos de rede e gestores de TI um plano neutro em termos de fornecedor para implementar a emissão de certificados baseada em SCEP para proteger as redes dos campus do ensino superior. Detalha como migrar de PEAP baseado em palavra-passe para 802.1X EAP-TLS, automatizar a integração de BYOD e impor uma segmentação robusta de VLAN.

Ler o guia →

Server RADIUS: um guia abrangente para empresas

Este guia fornece aos gestores de TI, arquitetos de rede e CTOs uma referência técnica definitiva sobre a autenticação de server RADIUS para WiFi empresarial. Abrange a estrutura AAA, a arquitetura 802.1X, a seleção do método EAP, as vantagens e desvantagens da implementação na cloud versus local, e a atribuição dinâmica de VLAN. Os operadores de espaços nos setores da hotelaria, retalho, eventos e setor público encontrarão orientações de implementação práticas, estudos de caso do mundo real e as estruturas de decisão necessárias para migrar de chaves pré-partilhadas inseguras para uma arquitetura de controlo de acesso à rede segura e orientada pela identidade.

Ler o guia →