Saltar para o conteúdo principal
Português

Como o Passpoint (Hotspot 2.0) Transforma a Experiência de Wi-Fi de Convidados

Um guia de referência técnica abrangente que detalha como os protocolos Passpoint (Hotspot 2.0) e 802.11u substituem os portais cativos tradicionais por um roaming Wi-Fi contínuo, seguro e semelhante ao celular. Fornece aos líderes de TI visões gerais de arquitetura, estruturas de implementação e o caso de negócio para a adoção de autenticação baseada em credenciais para resolver os desafios de randomização de MAC e melhorar a experiência do convidado.

📖 6 min de leitura📝 1,359 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Como o Passpoint Transforma a Experiência de Wi-Fi de Convidados Um Briefing Técnico da Purple — Aproximadamente 10 Minutos --- INTRODUÇÃO E CONTEXTO — aproximadamente 1 minuto Bem-vindo à série de Briefings Técnicos da Purple. Vou passar os próximos dez minutos a guiá-lo por algo que, francamente, já deveria ter substituído o Captive Portal há anos — o Passpoint, também conhecido como Hotspot 2.0. Se gere infraestruturas de Wi-Fi num grupo hoteleiro, numa rede de retalho, num estádio ou em qualquer local onde os convidados se ligam repetidamente, quase de certeza que já bateu contra a mesma parede: convidados a queixarem-se de ter de iniciar sessão todas as vezes, o seu suporte de TI a receber chamadas sobre Wi-Fi que "costumava funcionar" e uma perceção crescente de que a randomização de endereços MAC do iOS 14 e do Android 10 quebrou silenciosamente a sua lógica de reautenticação. O Passpoint é a resposta para todos esses problemas. Mas não é um interruptor mágico — é um protocolo devidamente concebido que requer uma implementação deliberada. Por isso, vamos a isso. --- MERGULHO TÉCNICO PROFUNDO — aproximadamente 5 minutos Vamos começar com o problema central que o Passpoint resolve, que os engenheiros chamam de problema de seleção de rede. No Wi-Fi tradicional, o seu dispositivo procura um SSID conhecido — um nome de rede — e, se reconhecer um, liga-se. Isso é simples, mas é frágil. Requer uma ligação prévia, não lhe diz nada sobre a postura de segurança da rede e não suporta roaming entre locais. Sempre que um convidado entra no seu hotel, o seu dispositivo tem de ser apontado manualmente para a sua rede, depois intercetado por um Captive Portal e, em seguida, autenticado através de um formulário web. Isso é fricção. E em 2026, a fricção é uma desvantagem competitiva. O Passpoint muda totalmente o paradigma. Em vez de procurar um nome de rede, o dispositivo procura uma rede que suporte as suas credenciais. Antes mesmo de tentar ligar-se, o dispositivo pergunta ao ponto de acesso: "Suporta o meu fornecedor de identidade?" Se a resposta for sim, a autenticação prossegue automaticamente. Sem página de login. Sem pedido de palavra-passe. Sem seleção manual. É o modelo de roaming celular, aplicado ao Wi-Fi. O mecanismo que torna isto possível chama-se Generic Advertisement Service — GAS — combinado com o Access Network Query Protocol, ou ANQP. Quando um ponto de acesso compatível com Passpoint transmite o seu beacon, inclui o que se chama um Interworking Element — essencialmente uma flag que diz "eu falo 802.11u", que é a emenda IEEE que sustenta tudo isto. O seu dispositivo vê essa flag, envia um pedido GAS e, dentro desse pedido, uma consulta ANQP pergunta: "Que Roaming Consortium Organisational Identifiers suporta?" O ponto de acesso responde. Se houver uma correspondência com um perfil já existente no dispositivo, inicia-se o handshake completo de autenticação WPA2 ou WPA3 Enterprise. Essa autenticação utiliza o IEEE 802.1X — o mesmo padrão de controlo de acesso baseado em portas utilizado em redes com fios empresariais — combinado com um método EAP. Os mais comuns são o EAP-TLS, que utiliza certificados; o EAP-TTLS, que encapsula o nome de utilizador e a palavra-passe de forma segura; e o EAP-SIM ou EAP-AKA para autenticação baseada no SIM da operadora móvel. O resultado é uma sessão mutuamente autenticada e totalmente encriptada. O dispositivo prova a sua identidade à rede e a rede prova a sua identidade ao dispositivo. Essa autenticação mútua é o que impede ataques de evil twin e ataques de man-in-the-middle que assolam ambientes de Wi-Fi abertos. Agora, um termo que ouvirá juntamente com o Passpoint é o OpenRoaming — a estrutura de federação da Wireless Broadband Alliance. Aqui está a distinção que importa: o Passpoint é o veículo. O OpenRoaming é o sistema de autoestradas. O Passpoint define como um dispositivo descobre e se autentica numa rede. O OpenRoaming define o ecossistema de confiança que permite a um fornecedor de identidade — por exemplo, a Google, a Samsung ou uma operadora móvel — e a um fornecedor de acesso — o seu hotel, o seu estádio, a sua rede de retalho — confiar nas credenciais um do outro sem um acordo bilateral entre cada par. O OpenRoaming utiliza um modelo PKI hub-and-spoke com túneis RadSec — que é RADIUS sobre TLS — para fazer o proxy de pedidos de autenticação em toda a federação. O Roaming Consortium OI principal para o OpenRoaming livre de liquidação é o 5A-03-BA. Também vai querer transmitir o OI legado da Cisco, 00-40-96, para compatibilidade com dispositivos mais antigos e perfis Samsung OneUI. Do ponto de vista da conformidade de segurança, o Passpoint é uma atualização significativa. O WPA3-Enterprise utiliza o modo de segurança de 192 bits e exige o forward secrecy — cada sessão utiliza chaves de encriptação únicas, pelo que comprometer uma sessão não expõe o tráfego histórico. Para organizações sujeitas ao PCI DSS — particularmente ambientes de retalho que processam pagamentos com cartão — ou obrigações do GDPR em torno de dados pessoais, a autenticação baseada em certificados do Passpoint significa que não está a recolher credenciais através de um formulário web, o que reduz substancialmente a sua área de superfície de manuseamento de dados. E depois há a randomização de endereços MAC. Os dispositivos iOS e Android modernos randomizam o seu endereço MAC por predefinição. Isto quebra os fluxos tradicionais de reautenticação do Captive Portal — o dispositivo parece novo em cada visita. O Passpoint é imune a isto. A autenticação é baseada em credenciais, não em MAC. O seu convidado recorrente liga-se perfeitamente em cada visita, independentemente do endereço MAC do seu dispositivo nesse dia. Isto também tem uma implicação significativa para as suas análises de Wi-Fi — se estiver a utilizar a plataforma de análise da Purple, a autenticação baseada em credenciais restaura a precisão dos seus dados de visitantes recorrentes. --- RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ARMADILHAS — aproximadamente 2 minutos Deixe-me dar-lhe o cenário prático de implementação. Os requisitos de infraestrutura são mais complexos do que um Captive Portal, mas estão perfeitamente ao alcance de qualquer organização que execute hardware de classe empresarial. Precisa de pontos de acesso certificados para Passpoint — a maioria dos APs empresariais da Cisco, Aruba, Ruckus e Ubiquiti suportam isto hoje. Precisa de um servidor RADIUS com suporte EAP, infraestrutura AAA para gestão de credenciais e, idealmente, um servidor OSU — Online Sign-Up — para provisionamento de perfis em self-service. O trabalho de configuração centra-se em quatro elementos: as suas definições ANQP, que definem o que o AP anuncia antes da associação; os seus Roaming Consortium OIs; as suas definições de NAI realm, que indicam aos dispositivos quais os métodos EAP que suporta; e as informações do seu local, que são utilizadas pelos dispositivos para apresentar contexto sobre a rede. A minha recomendação mais forte para a maioria dos locais é uma estratégia de dual SSID. Execute um SSID Passpoint para convidados recorrentes e utilizadores registados, e mantenha um SSID com Captive Portal para visitantes de primeira viagem. Utilize o Captive Portal como um funil de integração — apresente a opção de instalar um perfil Passpoint no final do fluxo de autenticação da primeira visita. Este modelo de integração progressiva dá-lhe o melhor de dois mundos: acesso fácil na primeira vez, visitas recorrentes contínuas. Agora, as armadilhas. A falha de implementação mais comum que vejo é tratar o Passpoint como um substituto direto para os portais cativos sem construir a jornada de integração. Se os convidados não souberem como instalar um perfil, ou se o fluxo OSU for confuso, a adoção estagna. Invista na experiência de provisionamento. A segunda armadilha é a gestão de certificados. Se estiver a utilizar EAP-TLS com certificados de dispositivo, precisa de um ciclo de vida de PKI robusto. Certificados expirados irão quebrar silenciosamente a autenticação para os dispositivos afetados — e o seu suporte técnico será o último a saber. Automatize a renovação de certificados e monitorize a expiração de forma proativa. Terceiro: não negligencie o suporte a dispositivos legados. O Passpoint requer o iOS 7 ou posterior, Android 6 ou posterior e Windows 10 ou posterior. Isto cobre a grande maioria dos dispositivos modernos, mas os dispositivos IoT e alguns hardwares corporativos mais antigos precisarão de caminhos de acesso alternativos. --- PERGUNTAS E RESPOSTAS RÁPIDAS — aproximadamente 1 minuto O Passpoint funciona com os pontos de acesso existentes? Se forem hardware de classe empresarial dos últimos cinco anos, quase de certeza que sim — verifique a certificação Wi-Fi Alliance Passpoint na folha de especificações. Ainda posso recolher dados de convidados com o Passpoint? Sim, mas o mecanismo muda. A recolha de dados acontece no momento do provisionamento do perfil — no fluxo OSU ou no registo baseado na aplicação — em vez de em cada início de sessão. Isto é, na verdade, mais compatível com o GDPR, uma vez que o consentimento é capturado uma vez, de forma explícita. E quanto aos locais que pretendem páginas de entrada personalizadas com a marca? As ligações Passpoint são invisíveis por design, pelo que as páginas de entrada tradicionais não se aplicam. No entanto, pode acionar notificações na aplicação ou mensagens push pós-ligação se tiver uma integração com uma aplicação de fidelização. Alguns operadores utilizam um modelo híbrido onde a primeira visita ainda passa por um portal com a marca antes do registo no Passpoint. O OpenRoaming é gratuito? O nível livre de liquidação do OpenRoaming, utilizando o OI 5A-03-BA, está disponível sem custos através da Wireless Broadband Alliance. Os níveis comerciais com funcionalidades de análise e monetização estão disponíveis através de membros da WBA. --- RESUMO E PRÓXIMOS PASSOS — aproximadamente 1 minuto Para resumir: o Passpoint não é uma tecnologia do futuro — é um protocolo maduro, baseado em normas, que já está implementado em grandes aeroportos, cadeias hoteleiras e estádios globalmente. A questão para a sua organização não é se deve adotá-lo, mas sim quando e como. Se gere um grupo hoteleiro, uma cadeia de retalho ou um grande local com visitantes recorrentes, o caso de ROI é claro: redução da carga de suporte técnico, melhoria da satisfação dos convidados, mitigação de riscos de conformidade e dados analíticos precisos que não são quebrados pela randomização de MAC. Os seus próximos passos são simples. Primeiro, audite o seu parque de APs atual para verificar a certificação Passpoint. Segundo, avalie a sua infraestrutura RADIUS e determine se precisa de um servidor OSU para provisionamento em self-service. Terceiro, desenhe a sua estratégia de dual SSID e a jornada de integração. E quarto, se estiver a considerar a federação OpenRoaming, contacte a Wireless Broadband Alliance ou um fornecedor de plataforma como a Purple, que pode tratar de toda a integração da federação por si. Este é o Briefing Técnico da Purple sobre Passpoint e Hotspot 2.0. Para obter o guia escrito completo, diagramas de arquitetura e exemplos práticos de implementação, visite purple.ai. Obrigado por ouvir.

header_image.png

Resumo Executivo

Para o espaço empresarial moderno, a fricção é uma desvantagem competitiva. Os Captive Portals tradicionais, embora outrora o padrão para acesso à rede de convidados, representam agora um estrangulamento operacional significativo e uma fonte de frustração persistente para o utilizador. O Passpoint, também conhecido como Hotspot 2.0, transforma fundamentalmente este paradigma ao substituir a autenticação manual baseada na web por um roaming contínuo, semelhante ao celular. Ao tirar partido do padrão IEEE 802.11u e da encriptação WPA3-Enterprise, o Passpoint permite que os dispositivos dos convidados descubram, autentiquem e se liguem a redes Wi-Fi empresariais de forma automática e segura.

Para os líderes de TI em Hospitality , Retail e grandes espaços públicos, a transição para o Passpoint já não é opcional. A randomização predefinida do endereço MAC implementada nos dispositivos iOS e Android modernos quebrou efetivamente a lógica de reautenticação dos Captive Portals legados, o que significa que os convidados que regressam aparecem como novos dispositivos em cada visita. O Passpoint resolve isto ao autenticar o perfil de credenciais do utilizador em vez do seu endereço de hardware. Este guia detalha a arquitetura técnica do Passpoint, o impacto comercial da implementação e uma estrutura de implementação neutra em termos de fornecedor, concebida para melhorar a experiência de Guest WiFi e, ao mesmo tempo, reduzir a carga de trabalho do suporte técnico.

Análise Técnica Detalhada

O Problema da Seleção de Rede e o 802.11u

Nas implementações de Wi-Fi legadas, os dispositivos dependem de um mecanismo fundamentalmente frágil para a seleção de rede: a procura de Service Set Identifiers (SSIDs) conhecidos. Esta abordagem exige que o utilizador se tenha ligado anteriormente à rede ou que selecione manualmente a rede a partir de uma lista. Não oferece qualquer visibilidade pré-associação sobre a postura de segurança da rede, requisitos de autenticação ou disponibilidade de internet a montante. O Passpoint aborda esta limitação através da emenda IEEE 802.11u, que introduz a Interligação com Redes Externas.

Em vez de procurar passivamente por SSIDs, um dispositivo compatível com Passpoint consulta ativamente a infraestrutura de rede antes de tentar a associação. Quando um ponto de acesso transmite o seu beacon, inclui um Interworking Element — um sinalizador que indica o suporte para 802.11u. O dispositivo cliente deteta este sinalizador e inicia um pedido Generic Advertisement Service (GAS). Encapsulada neste pedido está uma consulta Access Network Query Protocol (ANQP). O dispositivo pergunta à infraestrutura: "Que Roaming Consortium Organisational Identifiers (OIs) suporta?" Se a resposta do ponto de acesso corresponder a um perfil de credenciais armazenado no dispositivo, a autenticação automática prossegue.

passpoint_architecture_overview.png

Arquitetura de Autenticação e Segurança

O Passpoint exige segurança de nível empresarial, eliminando completamente a fase de "rede aberta" inerente às implementações de Captive Portal. A autenticação é gerida através do controlo de acesso à rede baseado em porta IEEE 802.1X, combinado com um método Extensible Authentication Protocol (EAP). Os métodos mais prevalentes em implementações empresariais são o EAP-TLS (baseado em certificados de cliente e servidor), EAP-TTLS (credenciais em túnel) e EAP-SIM/AKA (para cenários de desvio de tráfego celular).

Esta arquitetura fornece autenticação mútua. O dispositivo prova criptograficamente a sua identidade à rede e, crucialmente, la rede prova a sua identidade ao dispositivo. Esta verificação mútua é a principal defesa contra pontos de acesso falsos (evil twins) e tentativas de interceção man-in-the-middle. Além disso, o Passpoint exige encriptação WPA2-Enterprise ou WPA3-Enterprise. O WPA3-Enterprise introduz o modo de segurança de 192 bits e exige o sigilo de encaminhamento (forward secrecy), garantindo que, mesmo que as chaves de sessão sejam comprometidas no futuro, o tráfego histórico permanece encriptado.

A Federação OpenRoaming

Enquanto o Passpoint define o mecanismo técnico para descoberta e autenticação, o OpenRoaming fornece a estrutura de confiança. Desenvolvido pela Wireless Broadband Alliance (WBA), o OpenRoaming é uma federação global que permite que os Fornecedores de Identidade (como operadores de rede móvel, Google ou Apple) e os Fornecedores de Acesso (como hotéis, estádios e cadeias de retalho) confiem mutuamente nas credenciais de cada um, sem necessidade de acordos bilaterais entre todas as entidades.

O OpenRoaming opera num modelo de Public Key Infrastructure (PKI) do tipo hub-and-spoke. Os pedidos de autenticação são encaminhados através da federação utilizando túneis RadSec (RADIUS sobre TLS). Ao transmitir o OpenRoaming OI livre de liquidação (5A-03-BA), um espaço empresarial pode fornecer instantaneamente acesso Wi-Fi seguro e contínuo a milhões de utilizadores globalmente que já possuem um perfil de identidade compatível nos seus dispositivos.

Guia de Implementação

A implementação do Passpoint requer uma base de infraestrutura mais sofisticada do que uma rede aberta tradicional, mas os componentes são padrão nos ambientes empresariais modernos.

Pré-requisitos de Infraestrutura

  1. Pontos de Acesso Certificados para Passpoint: A infraestrutura sem fios deve suportar as especificações 802.11u e Hotspot 2.0. A grande maioria dos pontos de acesso empresariais fabricados nos últimos cinco anos por fornecedores como a Cisco, Aruba e Ruckus cumprem este requisito.
  2. Infraestrutura RADIUS/AAA: Um servidor RADIUS robusto capaz de gerir a autenticação EAP e de encaminhar pedidos para os repositórios de identidade apropriados. Se participar no OpenRoaming, o servidor RADIUSrver deve suportar RadSec para proxying seguro.
  3. Servidor de Registo Online (OSU): Para ambientes que emitem as suas próprias credenciais (em vez de dependerem exclusivamente de identidades federadas), um servidor OSU fornece o mecanismo para aprovisionar perfis Passpoint de forma segura em dispositivos convidados.

A Estratégia de Duplo-SSID

O modelo de implementação mais eficaz para locais em transição para o Passpoint é a estratégia de duplo-SSID. Esta abordagem mantém um SSID tradicional com Captive Portal para a integração inicial, enquanto disponibiliza um SSID Passpoint para ligações subsequentes sem interrupções.

Quando um convidado se liga ao SSID do Captive Portal pela primeira vez, conclui o fluxo de autenticação padrão (por exemplo, aceitar os termos e condições, fornecer um endereço de e-mail). Após a autenticação bem-sucedida, o portal apresenta uma opção para descarregar um perfil Passpoint. Uma vez instalado, o dispositivo preferirá automaticamente o SSID Passpoint seguro em todas as visitas futuras. Este modelo de integração progressiva garante a acessibilidade para dispositivos antigos, ao mesmo tempo que migra a maioria dos utilizadores para a rede Passpoint segura e sem fricção.

passpoint_vs_captive_portal_comparison.png

Boas Práticas

Ao desenhar uma arquitetura Passpoint, os líderes de TI devem aderir a várias boas práticas críticas para garantir a estabilidade operacional e a segurança.

Em primeiro lugar, a gestão do ciclo de vida dos certificados é fundamental. Se utilizar EAP-TLS, a expiração dos certificados do cliente ou do servidor resultará em falhas de autenticação silenciosas que são difíceis de diagnosticar pelas equipas de suporte de primeira linha. Implemente protocolos automatizados de renovação de certificados e monitorização proativa. Como destacado no nosso guia sobre Avaliação de Postura de Dispositivos para Controlo de Acesso à Rede , uma visibilidade robusta dos endpoints é essencial ao gerir o acesso baseado em certificados.

Em segundo lugar, garanta a compatibilidade com dispositivos antigos. Embora o iOS 7+, Android 6+ e Windows 10+ suportem nativamente o Passpoint, alguns dispositivos IoT, hardware antigo e dispositivos estritamente geridos por empresas podem não ter suporte. A estratégia de duplo-SSID mitiga este risco ao fornecer um método de acesso alternativo.

Em terceiro lugar, ao configurar elementos ANQP, certifique-se de que a Informação do Local é precisa e descritiva. Estes metadados são frequentemente exibidos pelo sistema operativo do dispositivo do cliente para fornecer contexto sobre a rede à qual o utilizador se está a ligar.

Resolução de Problemas e Mitigação de Riscos

A complexidade do Passpoint introduz domínios de falha específicos que diferem das implementações de Captive Portal.

Modo de Falha 1: Tempo Limite ou Inacessibilidade do RADIUS Se o servidor RADIUS local não conseguir contactar o Fornecedor de Identidade a montante (especialmente em cenários federados de OpenRoaming), o handshake EAP expirará por tempo limite. Mitigação: Implemente uma infraestrutura RADIUS redundante e garanta uma monitorização robusta dos túneis RadSec. Reveja a nossa documentação técnica sobre RadSec : Sécurisation du trafic d'authentification RADIUS avec TLS para obter orientações de configuração.

Modo de Falha 2: Falhas no Aprovisionamento de Perfis Os utilizadores podem deparar-se com erros ao tentar descarregar o perfil Passpoint a partir do servidor OSU, frequentemente devido a limitações do navegador do Captive Portal em dispositivos móveis. Mitigação: Desenhe o fluxo do Captive Portal para sair do mini-navegador do assistente de rede cativa (CNA) para o navegador nativo do sistema do dispositivo antes de iniciar o descarregamento do perfil.

Modo de Falha 3: Impacto da Randomização de MAC nas Análises Embora o Passpoint resolva a quebra de autenticação causada pela randomização de MAC, as plataformas de análise antigas que dependem exclusivamente de endereços MAC continuarão a reportar contagens de visitantes imprecisas. Mitigação: Integre os registos de autenticação RADIUS com a sua plataforma de WiFi Analytics . Ao monitorizar identificadores de credenciais únicos (como a Identidade de Utilizador Faturável ou NAI anonimizada) em vez de endereços MAC, os locais podem restaurar métricas precisas de afluência e fidelização.

ROI e Impacto no Negócio

O caso de negócio para a implementação do Passpoint assenta em três pilares mensuráveis: eficiência operacional, redução de riscos e experiência do utilizador.

Do ponto de vista operacional, a eliminação da fricção do Captive Portal correlaciona-se diretamente com uma redução nos pedidos de suporte de TI relacionados com a conectividade Wi-Fi. Em grandes ambientes de Saúde ou Transportes , isto representa uma poupança de custos significativa.

Relativamente à mitigação de riscos, a transição de redes abertas para a encriptação WPA3-Enterprise reduz substancialmente a responsabilidade do local. Para ambientes de retalho sujeitos ao PCI DSS, a redução da área de superfície de manuseamento de dados (ao eliminar a recolha de credenciais baseada na web) simplifica as auditorias de conformidade.

Finalmente, a melhoria na experiência do utilizador é profunda. Na hotelaria, os estudos mostram consistentemente que um Wi-Fi fiável e sem interrupções é um dos principais fatores de satisfação dos hóspedes e de repetição de reservas. Ao implementar o Passpoint, os locais oferecem uma experiência de conectividade que reflete a fiabilidade das redes móveis, transformando o Wi-Fi de um serviço frustrante num recurso premium e transparente.

deployment_decision_framework.png

Definições Principais

IEEE 802.11u

A emenda da norma de rede sem fios que permite a Interligação com Redes Externas, permitindo que os dispositivos consultem os APs antes de se associarem.

Ao configurar controladores sem fios, os engenheiros devem ativar o 802.11u para permitir que os dispositivos descubram as capacidades do Passpoint.

ANQP (Access Network Query Protocol)

Um protocolo de consulta e resposta utilizado pelos dispositivos para descobrir serviços de rede, acordos de roaming e informações sobre o local antes de se ligarem.

As equipas de TI configuram perfis ANQP no controlador sem fios para transmitir os seus Roaming Consortium OIs e NAI Realms suportados.

Roaming Consortium OI

Um Identificador Organizacional transmitido pelo ponto de acesso que indica quais os fornecedores de identidade ou federações que a rede suporta.

Se uma empresa se juntar ao OpenRoaming, deve garantir que os seus APs transmitem o OpenRoaming OI específico (5A-03-BA).

OSU (Online Sign-Up)

Um processo normalizado e infraestrutura de servidor para fornecer credenciais e certificados Passpoint de forma segura ao dispositivo de um utilizador.

Ao criar um fluxo de integração self-service para um programa de fidelização, os programadores irão integrar-se com um servidor OSU para enviar o perfil para o dispositivo.

RadSec

Um protocolo que encapsula o tráfego de autenticação RADIUS dentro de um túnel TLS para garantir a transmissão segura em redes não confiáveis.

Necessário ao fazer o proxy de pedidos de autenticação de um local local para um hub OpenRoaming baseado na nuvem.

NAI Realm

Network Access Identifier Realm; indica o domínio do utilizador e os métodos específicos de autenticação EAP suportados pela rede.

Configurado juntamente com o ANQP para indicar aos dispositivos clientes se a rede requer EAP-TLS, EAP-TTLS ou EAP-SIM.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security; um método de autenticação altamente seguro que requer certificados de cliente e de servidor.

Frequentemente utilizado em implementações de Wi-Fi de colaboradores empresariais, onde a TI pode enviar certificados para dispositivos geridos via MDM.

MAC Address Randomisation

Uma funcionalidade de privacidade nos sistemas operativos móveis modernos que gera um endereço de hardware falso e temporário para cada ligação de rede Wi-Fi.

O principal catalisador que afasta os locais dos portais cativos, pois quebra a capacidade de reconhecer visitantes recorrentes com base no seu hardware.

Exemplos Práticos

Uma cadeia de hotéis empresarial de 400 quartos está a registar um elevado volume de pedidos de suporte de hóspedes recorrentes que se queixam de ter de se voltar a ligar manualmente ao Wi-Fi no lobby, no restaurante e nos seus quartos, apesar de já se terem ligado anteriormente. Atualmente, o hotel utiliza um SSID aberto tradicional com um Captive Portal. Como deve o arquiteto de rede resolver isto?

O arquiteto deve implementar uma estratégia de Dual-SSID. Primeiro, implementar um SSID Passpoint seguro que transmita o Roaming Consortium OI específico do hotel. Segundo, modificar o Captive Portal existente no SSID aberto para servir como um funil de integração. Quando um hóspede inicia sessão através do portal, é solicitado a descarregar um perfil de configuração Passpoint para o seu dispositivo. Uma vez instalado, o dispositivo irá autenticar-se automática e seguramente via 802.1X/EAP no SSID Passpoint à medida que se desloca entre o lobby, o restaurante e o quarto, eliminando a reautenticação manual.

Comentário do Examinador: Esta abordagem aborda diretamente a fricção causada pela randomização de endereços MAC que quebra a persistência da sessão do Captive Portal. Ao utilizar o Captive Portal para fornecer o perfil, o hotel garante uma transição suave para os utilizadores, mantendo um caminho de acesso para dispositivos legados que não suportam o Passpoint.

Uma cadeia de retalho nacional pretende oferecer Wi-Fi seguro e contínuo nas suas 500 localizações para impulsionar a adesão à aplicação de fidelização. No entanto, gerir certificados personalizados ou credenciais individuais para milhões de potenciais clientes é considerado operacionalmente inviável. Qual é a arquitetura de implementação recomendada?

O retalhista deve implementar o Passpoint e federar-se com o OpenRoaming. Ao configurar os seus pontos de acesso para transmitir o OpenRoaming OI livre de liquidação (5A-03-BA) e estabelecer túneis RadSec a partir da sua infraestrutura RADIUS para um hub OpenRoaming, o retalhista permite que qualquer cliente com um perfil de fornecedor de identidade compatível (como um dispositivo Samsung moderno ou um perfil de operadora móvel) se ligue automaticamente. O retalhista pode então integrar isto com a sua aplicação de fidelização para acionar notificações push após a associação bem-sucedida à rede.

Comentário do Examinador: A federação via OpenRoaming é a solução ideal para escala. Transfere o fardo da gestão de identidades e do fornecimento de credenciais para Fornecedores de Identidade estabelecidos, permitindo que o retalhista se concentre na camada de acesso e nas análises de envolvimento resultantes.

Perguntas de Prática

Q1. Um diretor de TI de um hospital pretende implementar o Passpoint para garantir que os dispositivos móveis dos médicos se ligam de forma segura à rede clínica, enquanto os doentes se ligam a uma rede de convidados separada. Os médicos utilizam dispositivos pessoais não geridos (BYOD). Qual o método EAP e a estratégia de provisionamento que o arquiteto deve recomendar?

Dica: Considere o equilíbrio entre a segurança e a sobrecarga operacional de gerir certificados em dispositivos pessoais não geridos.

Ver resposta modelo

O arquiteto deve recomendar o EAP-TTLS com um fluxo de provisionamento de servidor Online Sign-Up (OSU). O EAP-TLS requer certificados de cliente, que são operacionalmente difíceis de implementar e gerir em dispositivos BYOD não geridos. O EAP-TTLS permite que os médicos se autentiquem de forma segura utilizando as suas credenciais existentes de Active Directory/LDAP (nome de utilizador e palavra-passe) encapsuladas numa sessão TLS segura. O servidor OSU pode fornecer um portal self-service onde os médicos iniciam sessão uma vez para descarregar o perfil, permitindo a ligação automática a partir daí.

Q2. Durante um piloto de implementação do Passpoint, os dispositivos Android estão a autenticar-se e a ligar-se com sucesso, mas os dispositivos iOS estão a falhar durante o handshake EAP. Os registos do RADIUS mostram erros de 'Unknown CA'. Qual é a causa e a solução mais provável?

Dica: O iOS da Apple tem requisitos rigorosos relativamente à cadeia de confiança para certificados de servidor RADIUS.

Ver resposta modelo

A causa mais provável é o servidor RADIUS estar a utilizar um certificado autoassinado ou um certificado emitido por uma Autoridade de Certificação (CA) interna privada na qual os dispositivos iOS não confiam inerentemente. Os dispositivos Android por vezes permitem que os utilizadores ignorem a validação do certificado (embora esta seja uma má prática de segurança), enquanto o iOS a exige rigorosamente para perfis Passpoint. A solução é substituir o certificado do servidor RADIUS por um emitido por uma CA comercial publicamente confiável (por exemplo, DigiCert, Let's Encrypt), ou garantir que o certificado raiz da CA privada está explicitamente incluído no perfil de configuração Passpoint enviado para os dispositivos iOS.

Q3. O recinto de um estádio implementou o OpenRoaming. Um utilizador com um perfil OpenRoaming válido da Google entra no recinto, mas o seu dispositivo não tenta ligar-se automaticamente. Que configuração específica no controlador de LAN sem fios do estádio deve o engenheiro de rede verificar primeiro?

Dica: Como é que o dispositivo sabe que o ponto de acesso suporta a federação OpenRoaming antes de tentar ligar-se?

Ver resposta modelo

O engenheiro deve verificar a configuração ANQP, especificamente se os Pontos de Acesso estão a transmitir o Roaming Consortium Organisational Identifier (OI) correto para o OpenRoaming, que é 5A-03-BA. Se este OI não estiver incluído no beacon do AP ou na resposta GAS, o dispositivo não reconhecerá a rede como participante do OpenRoaming e não tentará autenticar-se.

Continue a ler esta série

How to Set Up a Captive Portal on Starlink: A Guide for Remote & Maritime Venues

Este guia detalha como contornar o hardware nativo da Starlink e integrar um Captive Portal gerido na nuvem utilizando equipamento de encaminhamento empresarial. Irá aprender a ultrapassar a limitação de CGNAT, impor a segmentação de VLAN, gerir as restrições de largura de banda de satélite e garantir a conformidade regulamentar.

Ler o guia →

Captive Portal Best Practices: Designing for High Conversion and Compliance

Este guia técnico oferece aos gestores de TI, arquitetos de rede e diretores de operações de espaços comerciais um plano completo para implementar portais cativos que equilibram a segurança de rede com uma elevada conversão de utilizadores. Abrange toda a arquitetura, desde a segmentação de VLAN e autenticação RADIUS até ao design de consentimento em conformidade com o GDPR e à seleção do método de autenticação. Com base na experiência operacional da Purple em mais de 80.000 locais e 440 milhões de inícios de sessão em 2024, cada recomendação é fundamentada em dados reais de implementação.

Ler o guia →

Como Otimizar Captive Portals para a Máxima Segurança de Rede e Conversão de Utilizadores

Este guia fornece um plano técnico completo para otimizar captive portals em locais empresariais, abrangendo a arquitetura de segmentação de rede, a seleção do método de autenticação, o design de consentimento em conformidade com o GDPR e a otimização da conversão. Foi escrito para gestores de TI, arquitetos de rede e CTOs em hotéis, cadeias de retalho, estádios e organizações do setor público que precisam de equilibrar a segurança de rede com a captura de dados primários (first-party). A Purple opera infraestruturas de captive portal em mais de 80.000 locais com 440 milhões de inícios de sessão em 2024, e as estruturas aqui apresentadas refletem essa experiência operacional.

Ler o guia →