Passpoint e OpenRoaming: Guia Completo
Este guia de referência técnica fornece uma análise abrangente das frameworks Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implementação necessárias para estabelecer uma conectividade de convidados segura e sem atritos. Os arquitetos de rede e líderes de TI aprenderão a desenhar, implementar e resolver problemas destes padrões para eliminar as barreiras de início de sessão manual, mantendo simultaneamente uma segurança de nível empresarial.
📚 Parte da nossa série principal: WiFi Multi-Tenant →
- Resumo Executivo
- Análise Técnica Detalhada
- O Processo de Descoberta 802.11u
- Arquitetura de Federação OpenRoaming
- Guia de Implementação
- Passo 1: Auditoria da Infraestrutura de Rede
- Passo 2: Configuração da Firewall
- Passo 3: Aquisição de Certificados
- Passo 4: Configuração do Controlador Sem Fios
- Passo 5: Configuração do Proxy RADIUS/RadSec
- Melhores Práticas
- Resolução de Problemas e Mitigação de Riscos
- Modos de Falha Comuns e Resoluções
- Retorno do Investimento e Impacto Comercial
- Eficiência Operacional
- Postura de Segurança
- Inteligência de Dados
Resumo Executivo
As exigências de conectividade empresarial mudaram do acesso de convidados manual, baseado em portais cativos, para uma integração automatizada, segura e sem fricção. O Passpoint (definido pela Wi-Fi Alliance como Hotspot 2.0) e o OpenRoaming (orquestrado pela Wireless Broadband Alliance) representam a padronização desta mudança. Ao utilizar protocolos IEEE 802.11u e segurança WPA3-Enterprise, estas tecnologias permitem que os dispositivos móveis descubram, autentiquem e se liguem a redes WiFi seguras automaticamente, sem intervenção do utilizador.
Este guia serve como uma referência autoritária para arquitetos de rede e diretores de TI que planeiam implementar estas tecnologias em locais de grande escala, ambientes de retalho e campus corporativos. Examinamos os handshakes criptográficos subjacentes, a arquitetura de federação e as etapas práticas de configuração necessárias para integrar estes padrões na infraestrutura sem fios existente. Ao adotar estas estruturas, as organizações podem eliminar a fricção dos portais de convidados tradicionais, ao mesmo tempo que melhoram significativamente a sua postura de segurança sem fios.
Análise Técnica Detalhada
Para compreender o Passpoint e o OpenRoaming, é necessário primeiro dissecar os protocolos subjacentes que regem o seu funcionamento. No cerne do Passpoint está o IEEE 802.11u, uma emenda ao padrão 802.11 que permite aos dispositivos sem fios descobrir serviços de rede antes de estabelecer uma associação.
Historicamente, um dispositivo cliente tinha de se associar a um Access Point (AP) e obter um endereço IP antes de poder consultar as capacidades da rede. Com o 802.11u, esta descoberta ocorre no estado de pré-associação utilizando consultas Access Network Query Protocol (ANQP).
O Processo de Descoberta 802.11u
Quando um dispositivo habilitado para Passpoint faz uma varredura das frequências de rádio, deteta um beacon contendo um elemento de Interworking. Este elemento sinaliza que o AP suporta 802.11u e anuncia o seu tipo de rede (por exemplo, privada, pública gratuita, pública paga). O dispositivo cliente envia então uma consulta ANQP para solicitar parâmetros específicos, tais como:
- Roaming Consortium Organisation Identifiers (OIs): Identificadores exclusivos globais atribuídos pelo IEEE que representam parceiros de roaming ou federações específicas.
- Nome do Local e Grupo do Local: Metadados que descrevem a localização física (por exemplo, "Terminal 2" ou "Estádio").
- Disponibilidade de Tipo de Endereço IP: Informações sobre se o IPv4 ou IPv6 está disponível, e se o NAT é aplicado.
Se o dispositivo cliente possuir um perfil contendo um Roaming Consortium OI correspondente, inicia o processo de autenticação sem solicitar qualquer ação ao utilizador.
Arquitetura de Federação OpenRoaming
O OpenRoaming atua como uma camada de federação global sobre o Passpoint. Estabelece uma Public Key Infrastructure (PKI) segura gerida pela Wireless Broadband Alliance (WBA). Esta federação permite que os fornecedores de identidade (IDPs) - tais como operadores de rede móvel, fabricantes de dispositivos (Apple, Google) e sistemas de identidade empresarial - façam peering de forma segura com fornecedores de rede.
A autenticação é executada usando WPA3-Enterprise (ou WPA2-Enterprise para compatibilidade com sistemas legados) com Protected Extensible Authentication Protocol (PEAP) ou Extensible Authentication Protocol-Transport Layer Security (EAP-TLS). O AP atua como um autenticador, encapsulando os pacotes EAP em pacotes RADIUS (Remote Authentication Dial-In User Service) ou RadSec (RADIUS sobre TLS) e encaminhando-os para o fornecedor de identidade.
O RadSec é obrigatório no OpenRoaming para proteger a comunicação entre o proxy RADIUS da rede local e os IDPs globais através da internet pública. O RadSec utiliza a porta TCP 2083 e encriptação TLS, garantindo que as credenciais do utilizador e os atributos de autenticação permanecem confidenciais durante o trânsito através de fornecedores de trânsito intermediários.
Guia de Implementação
A implementação do Passpoint e do OpenRoaming requer uma abordagem sistemática em todo o controlador sem fios (WLC), infraestrutura RADIUS e configurações de DNS/firewall.
Passo 1: Auditoria da Infraestrutura de Rede
Certifique-se de que os seus APs e WLCs suportam 802.11u e Passpoint Versão 2 ou 3. Verifique se o seu servidor RADIUS suporta RadSec (RFC 6614). Se o seu servidor RADIUS legado não suportar RadSec, deve implementar um proxy RadSec (como o FreeRADIUS ou um gateway dedicado) na sua DMZ.
Passo 2: Configuração da Firewall
Abra a porta TCP de saída 2083 para os servidores proxy RadSec do OpenRoaming. Certifique-se de que a resolução DNS está configurada corretamente nos seus servidores RADIUS, uma vez que o RadSec depende do Dynamic Delegation Discovery System (DDDS) e de registos NAPTR para localizar o IDP apropriado.
Passo 3: Aquisição de Certificados
Obtenha um certificado RadSec aprovado pela WBA de uma Autoridade de Certificação (CA) autorizada. Este certificado é crítico para a autenticação mútua TLS (mTLS) entre o seu proxy RadSec local e os corretores da federação OpenRoaming.
Passo 4: Configuração do Controlador Sem Fios
- Criar um SSID Seguro: Configure um novo SSID ou modifique um existente para usar WPA3-Enterprise (ou modo de transição WPA2/WPA3).
- Ativar 802.11u (Interworking): Ative a funcionalidade Interworking no SSID.
- Configurar o HESSID: Defina o ESSID Homogéneo, normalmente o endereço MAC de um dos rádios do AP, para identificar exclusivamente o grupo de rede.
- Adicionar OIs do Roaming Consortium: Adicione os OIs do Roaming Consortium do OpenRoaming. Os OIs padrão são:
5A-03-BE-00-00(Livre de liquidação, identidades verificadas pela Google, Apple ou operadores móveis)5A-03-BE-00-01(Liquidado, para acordos de roaming comercial)
- Configurar Parâmetros ANQP: Defina o Nome do Local, Grupo do Local e Tipo de Rede.
Passo 5: Configuração do Proxy RADIUS/RadSec
Configure o seu servidor RADIUS local para atuar como um proxy RadSec. Defina regras de encaminhamento que reencaminhem pedidos de autenticação que contenham os OIs do OpenRoaming ou padrões de domínio específicos para o gateway RadSec do OpenRoaming.
Melhores Práticas
Para garantir uma implementação estável e de alto desempenho, cumpra as seguintes recomendações padrão da indústria:
- Consolidação de SSID: Não crie um SSID dedicado para o Passpoint ou OpenRoaming. Em vez disso, combine-os num único SSID empresarial seguro. Isto minimiza a sobrecarga de beacons e conserva tempo de antena valioso.
- Gestão de Certificados: Implemente processos automatizados de renovação de certificados para os seus certificados RadSec. Um certificado expirado interromperá imediatamente todas as autenticações OpenRoaming.
- Planeamento de Canais: Como o Passpoint depende de trocas ANQP de pré-associação, os dispositivos cliente passam mais tempo a verificar e a consultar. Otimize o seu planeamento de canais de 5 GHz e 6 GHz para reduzir a contenção e garantir respostas rápidas de sondagem.
- Filtragem de Realm: Implemente uma filtragem estrita de realm no seu proxy RadSec para evitar que tráfego de autenticação desnecessário inunde a rede de federação. Encaminhe apenas pedidos que correspondam a padrões OpenRoaming válidos.
- Alinhamento da Experiência do Utilizador: Certifique-se de que a sinalização física do local e os materiais de marketing digital informam os utilizadores de que se podem ligar automaticamente via OpenRoaming, reduzindo a dependência de SSIDs abertos e não encriptados.
Resolução de Problemas e Mitigação de Riscos
Modos de Falha Comuns e Resoluções
Problema: Os dispositivos cliente não se ligam automaticamente
- Causa Raiz: OIs do Roaming Consortium em falta ou mal configurados no WLC, ou o dispositivo cliente não tem o perfil correto instalado.
- Mitigação: Utilize um analisador de pacotes para capturar as tramas de beacon e de resposta de sondagem. Verifique se o elemento 802.11u Interworking contém os OIs corretos. Certifique-se de que o perfil do cliente está provisionado corretamente através de um MDM ou de um portal de provisionamento.
Problema: Falhas na ligação RadSec
- Causa Raiz: Firewall a bloquear a porta TCP 2083, ou certificados RadSec inválidos/expirados.
- Mitigação: Realize uma captura de pacotes na interface WAN do proxy RADIUS. Verifique se o handshake TLS é concluído com sucesso. Verifique o estado da lista de revogação de certificados (CRL).
Problema: Alta latência durante a autenticação
- Causa Raiz: IDPs geograficamente distantes ou resolução de DNS lenta para registos NAPTR.
- Mitigação: Implemente o cache local de registos DNS e garanta que o seu proxy RADIUS tem caminhos de baixa latência para os hubs OpenRoaming regionais.
Retorno do Investimento e Impacto Comercial
A transição para o Passpoint e OpenRoaming proporciona um valor comercial mensurável em três vetores principais: eficiência operacional, postura de segurança e inteligência de dados.
Eficiência Operacional
Ao automatizar o processo de ligação, os locais registam uma redução significativa nos pedidos de suporte relacionados com WiFi de convidados. A equipa da receção e os helpdesks de TI passam menos tempo a resolver falhas de Captive Portal e problemas de palavra-passe.
Postura de Segurança
As redes tradicionais abertas de convidados expõem os utilizadores a escutas e a ataques man-in-the-middle. O Passpoint exige encriptação de nível empresarial (WPA2/WPA3-Enterprise), protegendo todo o tráfego aéreo. Isto protege tanto o utilizador como o local de responsabilidades associadas a violações de dados.
Inteligência de Dados
Quando integrado com plataformas como a Purple, o Passpoint permite que os locais identifiquem os visitantes recorrentes de forma contínua. Como o dispositivo se liga automaticamente, o local captura métricas precisas de tempo de permanência e frequência de visitas sem exigir que o utilizador abra um navegador e inicie sessão repetidamente. Este fluxo de dados contínuo permite estratégias de interação em tempo real altamente direcionadas.
Definições Principais
Passpoint
Um programa de certificação da Wi-Fi Alliance (baseado em Hotspot 2.0) que permite aos dispositivos móveis descobrir e ligar-se automaticamente a redes WiFi com segurança de nível empresarial.
Forma a base técnica para o onboarding simplificado de convidados.
OpenRoaming
Uma federação de roaming global criada pela Wireless Broadband Alliance (WBA) que permite aos utilizadores ligarem-se de forma segura e automática a redes WiFi utilizando identidades fidedignas.
Funciona como a camada de política e identidade por cima do Passpoint.
ANQP
Access Network Query Protocol. Um protocolo de pergunta-resposta utilizado por dispositivos móveis para descobrir capacidades de rede antes de se associarem a um AP.
Crucial para a descoberta pré-associação em 802.11u.
802.11u
Uma emenda à norma IEEE 802.11 que adiciona funcionalidades para interfuncionamento com redes externas, permitindo a descoberta pré-associação.
A norma de camada física e MAC que torna o Passpoint possível.
RadSec
RADIUS sobre TLS (RFC 6614). Um protocolo que protege pacotes RADIUS ao encapsulá-los num túnel TLS sobre TCP.
Obrigatório para o OpenRoaming para proteger o tráfego de autenticação através da internet pública.
Roaming Consortium OI
Roaming Consortium Organisation Identifier. Um identificador hexadecimal único atribuído pelo IEEE para identificar uma federação de roaming ou parceiro específico.
Utilizado por APs para anunciar que credenciais de roaming aceitam.
HESSID
Homogeneous ESSID. Um endereço MAC de 48 bits configurado em APs para identificar um grupo de APs pertencentes à mesma rede ou local.
Ajuda os dispositivos clientes a compreender que múltiplos APs pertencem ao mesmo domínio administrativo.
EAP-TLS
Extensible Authentication Protocol-Transport Layer Security. Um protocolo de autenticação que utiliza certificados digitais para autenticação mútua.
O método de autenticação mais seguro suportado pelo Passpoint.
Exemplos Práticos
Uma implementação num estádio de grande escala exige a configuração de um Cisco Catalyst 9800 Wireless Controller para suportar OpenRoaming (Settlement-Free) em conjunto com os SSIDs corporativos existentes. O arquiteto de rede deve garantir que os dispositivos dos clientes detetam e se ligam automaticamente à rede utilizando os OIs de Consórcio de Roaming corretos.
Para implementar isto no Cisco Catalyst 9800 WLC, siga estes passos de configuração:
- Defina o Perfil de Servidor ANQP:
wireless profile anqp openroaming-anqp-profile
venue-name english "Stadium Main Bowl"
venue-group assembly venue-type arena
network-auth-type redirect-url "https://portal.purple.ai"
ip-type ipv4-nat ipv6-no-address
- Crie o Perfil de Consórcio de Roaming e adicione o OI OpenRoaming Settlement-Free (5A-03-BE-00-00):
wireless profile roaming openroaming-roaming-profile
roaming-consortium-oi 5A03BE0000
- Configure o Perfil Hotspot 2.0 (Passpoint):
wireless profile hotspot openroaming-hotspot-profile
anqp-server-profile openroaming-anqp-profile
roaming-consortium-profile openroaming-roaming-profile
hessid 00:11:22:33:44:55
- Aplique o perfil Hotspot ao Perfil WLAN de destino:
wlan openroaming-wlan 1 openroaming-ssid
security wpa wpa3
security wpa akm eap
hotspot-profile openroaming-hotspot-profile
no shutdown
- Verifique a configuração utilizando a CLI:
show wireless profile hotspot detailed openroaming-hotspot-profile
Uma cadeia de retalho multi-site pretende migrar de um Captive Portal tradicional para um modelo híbrido. Pretendem utilizar o OpenRoaming para uma ligação contínua, utilizando simultaneamente a plataforma de analytics da Purple para acompanhar o comportamento dos visitantes e executar campanhas direcionadas com base no tempo de permanência.
A solução requer a configuração de um proxy RadSec para encaminhar pedidos de autenticação para a federação OpenRoaming, enviando simultaneamente dados de accounting para a plataforma de nuvem da Purple.
- Configure o proxy RadSec local (por exemplo, FreeRADIUS) para estabelecer uma ligação TLS com o gateway OpenRoaming:
home_server openroaming_radsec {
type = auth+acct
ipaddr = radsec.openroaming.org
port = 2083
proto = tcp
tls {
private_key_file = /etc/raddb/certs/radsec.key
certificate_file = /etc/raddb/certs/radsec.pem
ca_file = /etc/raddb/certs/wba_ca.pem
}
}
- Configure o servidor de accounting para duplicar os pacotes de accounting e encaminhá-los para os endpoints de accounting RADIUS da Purple:
home_server purple_accounting {
type = acct
ipaddr = acct.purpleportal.net
port = 1813
secret = PurpleSharedSecret
}
realm openroaming {
auth_pool = openroaming_radsec
acct_pool = purple_accounting
}
- No WLC, certifique-se de que o accounting RADIUS está ativado e configurado para enviar atualizações provisórias a cada 300 segundos. Isto garante que a Purple recebe continuamente dados de tempo de permanência, mesmo que o utilizador não abra ativamente um navegador.
Perguntas de Prática
Q1. Um engenheiro de rede nota que os dispositivos Android se estão a ligar automaticamente ao SSID OpenRoaming, mas os dispositivos iOS estão a solicitar aos utilizadores que selecionem manualmente a rede. Qual é a causa mais provável deste comportamento?
Dica: Considere como os perfis são provisionados e confiados em diferentes sistemas operativos móveis.
Ver resposta modelo
A causa mais provável é que os dispositivos iOS não têm o perfil OpenRoaming necessário instalado, ou o payload de certificado do perfil não é confiado pelo iOS. Os dispositivos Android vêm frequentemente com perfis OpenRoaming pré-instalados de fabricantes de dispositivos ou configurações de operadoras. O iOS requer a instalação explícita do perfil através de um MDM, de uma aplicação de provisionamento ou de um portal como a Purple para confiar na CA raiz e associar o Roaming Consortium OI ao SSID.
Q2. Durante uma captura de pacotes na interface WAN de um proxy RadSec, observa pacotes TCP SYN enviados para a porta 2083, mas nenhum SYN-ACK é recebido. Que passos de resolução de problemas deve tomar?
Dica: Foque-se no caminho de rede e nas configurações de firewall.
Ver resposta modelo
- Verifique se a política de firewall de saída permite o tráfego da porta TCP 2083 do IP do proxy RadSec para o gateway OpenRoaming de destino.
- Verifique se existe um dispositivo de segurança intermédio (como um IPS ou firewall de inspeção profunda de pacotes) a bloquear ou a descartar o tráfego.
- Confirme se o endereço IP de destino resolvido através de registos DNS NAPTR está correto e acessível.
- Realize um traceroute para identificar onde o descarte de pacotes está a ocorrer no caminho de trânsito.
Q3. Por que razão a consolidação de SSID é considerada uma boa prática ao implementar Passpoint e OpenRoaming, e qual é o impacto técnico de ignorar esta recomendação?
Dica: Pense na eficiência do tempo de antena e na sobrecarga de beacons.
Ver resposta modelo
A consolidação de SSID é crítica porque cada SSID configurado num AP deve transmitir as suas próprias tramas de sinalização (beacon frames), tipicamente na taxa de dados obrigatória mais baixa suportada. A criação de um SSID dedicado para Passpoint/OpenRoaming aumenta o tráfego de beacon, consumindo tempo de antena valioso e reduzindo a capacidade geral da rede. Ao consolidar o Passpoint num SSID empresarial seguro já existente, o AP anuncia os parâmetros 802.11u dentro das tramas de sinalização existentes, preservando o tempo de antena e mantendo a eficiência ideal do canal.
Continue a ler esta série
Configuring RADIUS Authentication for Guest and Staff WiFi Networks
Este guia de referência técnica descreve a arquitetura, configuração e implementação de autenticação RADIUS para redes WiFi empresariais de convidados e funcionários. Fornece aos arquitetos de rede e gestores de TI os protocolos exatos, normas de segurança e metodologias de resolução de problemas necessários para construir sistemas de controlo de acesso sem fios seguros e escaláveis.
Como Implementar SCEP para Integração Segura de BYOD e Redes no Ensino Superior
Este guia técnico fornece aos arquitetos de rede e gestores de TI um plano neutro em termos de fornecedor para implementar a emissão de certificados baseada em SCEP para proteger as redes dos campus do ensino superior. Detalha como migrar de PEAP baseado em palavra-passe para 802.1X EAP-TLS, automatizar a integração de BYOD e impor uma segmentação robusta de VLAN.
Server RADIUS: um guia abrangente para empresas
Este guia fornece aos gestores de TI, arquitetos de rede e CTOs uma referência técnica definitiva sobre a autenticação de server RADIUS para WiFi empresarial. Abrange a estrutura AAA, a arquitetura 802.1X, a seleção do método EAP, as vantagens e desvantagens da implementação na cloud versus local, e a atribuição dinâmica de VLAN. Os operadores de espaços nos setores da hotelaria, retalho, eventos e setor público encontrarão orientações de implementação práticas, estudos de caso do mundo real e as estruturas de decisão necessárias para migrar de chaves pré-partilhadas inseguras para uma arquitetura de controlo de acesso à rede segura e orientada pela identidade.