Zum Hauptinhalt springen

Aruba ClearPass vs. Purple WiFi: Funktionsvergleich und Co-Deployment

Ein umfassender technischer Leitfaden, der die Co-Deployment-Architektur von Aruba ClearPass und Purple WiFi beschreibt. Er behandelt die RADIUS-Proxy-Konfiguration, die dynamische VLAN-Zuweisung und Best Practices für die Bereitstellung sicherer, analysebasierter Gästenetzwerke neben Enterprise-NAC.

📖 6 Min. Lesezeit📝 1,499 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Sprechen Sie mit einem selbstbewussten, autoritären und konversationellen Ton. Sie sind ein leitender Netzwerkberater, der einen Kunden informiert. Gemäßigtes Tempo, klare Aussprache, professionell, aber nicht steif. Gelegentliche natürliche Pausen zur Betonung: Willkommen zu diesem technischen Briefing von Purple. Ich bin Ihr Gastgeber, und heute behandeln wir eine Frage, die in fast jedem Enterprise-Wireless-Projekt auftaucht, an dem wir arbeiten: Wenn Sie bereits Aruba ClearPass bereitgestellt haben, wo fügt sich Purple WiFi ein und wie arbeiten die beiden Systeme zusammen? [medium pause] Dies ist keine theoretische Diskussion. Wenn Sie IT-Manager, Netzwerkarchitekt oder Sicherheitsingenieur bei einer Hotelgruppe, einer Einzelhandelskette oder einem Stadionbetreiber sind, ist dies eine Entscheidung, die Sie möglicherweise noch in diesem Quartal treffen müssen. Also legen wir los. [medium pause] Einführung und Kontext. [short pause] Lassen Sie uns zuerst klären, wofür die einzelnen Plattformen eigentlich entwickelt wurden. Der Aruba ClearPass Policy Manager ist eine Network Access Control-Plattform. Seine Aufgabe ist es, Geräte und Benutzer zu authentifizieren, den Endpunkt-Status zu bewerten und Zugriffsrichtlinien im gesamten Netzwerk durchzusetzen. Er verarbeitet 802.1X, den IEEE-Standard für portbasierte Netzwerkzugriffskontrolle, unter Verwendung von EAP-Methoden wie EAP-TLS mit Zertifikaten und PEAP mit Benutzername und Passwort. Er lässt sich in Microsoft Entra ID, Okta und andere Identitätsanbieter integrieren. Er profiliert Geräte, prüft, ob sie Ihren Sicherheitsrichtlinien entsprechen, und weist ihnen die richtige Netzwerkrolle zu. Für Unternehmensgeräte ist ClearPass hervorragend. Es wurde genau für diesen Anwendungsfall entwickelt. [medium pause] Purple WiFi ist etwas völlig anderes. Purple ist eine cloudbasierte Plattform für Gäste-WiFi-Intelligence. Ihre Aufgabe ist es, Besucher über ein gebrandetes Captive Portal zu authentifizieren, First-Party-Daten mit GDPR-konformen Einwilligungsabläufen zu erfassen und diese Daten in Ihren Marketing- und Analyse-Stack einzuspeisen. Purple ist an über 80.000 Standorten weltweit im Einsatz und hat allein im Jahr 2024 440 Millionen Anmeldungen verarbeitet. Es lässt sich in über 400 Konnektoren integrieren, darunter CRMs und Marketing-Automatisierungsplattformen. Für Gästenetzwerke ist Purple der Spezialist. [medium pause] Das Problem, vor dem die meisten Unternehmen stehen, ist, dass sie versuchen, eine einzige Plattform für beide Aufgaben zu nutzen. Entweder verlangen sie von ClearPass, ihr Gäste-Portal zu betreiben – was es zwar kann, aber nicht besonders elegant –, oder sie stellen Purple bereit, ohne darüber nachzudenken, wie es sich in ihre bestehende NAC-Investition einfügt. Die richtige Antwort ist eine Co-Deployment-Architektur, bei der jede Plattform das tut, was sie am besten kann. [medium pause] Technische Tiefenanalyse. [short pause] Lassen Sie mich Sie durch die Architektur führen. In einem Co-Deployment strahlen Ihre Aruba Mobility Controller oder Aruba Instant Access Points mehrere SSIDs aus. Typischerweise drei: eine für Unternehmensgeräte, eine für Gäste und eine für IoT. Weitere Informationen zu diesem SSID-Designmuster finden Sie in dem von Purple veröffentlichten detaillierten Leitfaden „Three SSIDs to rule them all“, den ich Ihnen parallel zu diesem Briefing zur Lektüre empfehle. [medium pause] Die Corporate-SSID verwendet 802.1X mit EAP-TLS. Geräte authentifizieren sich mit Zertifikaten, die über ClearPass Onboard bereitgestellt werden, dem integrierten Zertifikatsregistrierungs- und Gerätebereitstellungsmodul von ClearPass. ClearPass überprüft den Gerätestatus, verifiziert das Zertifikat, fragt das Active Directory oder Microsoft Entra ID ab und weist das Gerät dem entsprechenden VLAN zu. Typischerweise VLAN 10 für Unternehmen. Dieser gesamte Ablauf verbleibt in ClearPass. Purple ist daran nicht beteiligt. [medium pause] Bei der Gäste-SSID findet die Integration statt. Wenn sich ein Besucher mit der Gäste-SSID verbindet, fängt der Aruba-Controller seinen HTTP-Datenverkehr ab und leitet seinen Browser zum Captive Portal von Purple weiter. Der Besucher authentifiziert sich über Purple, beispielsweise über Social Login via Google, ein benutzerdefiniertes E-Mail-Formular oder OpenRoaming, wobei Purple als kostenloser Identitätsanbieter unter der Connect-Lizenz fungiert. Sobald Purple den Besucher validiert hat, sendet es eine RADIUS Access-Accept-Nachricht an den Controller zurück, die den Internetzugang freigibt. [medium pause] Die entscheidende architektonische Entscheidung ist nun, ob Sie ClearPass as RADIUS-Proxy zwischen dem Controller und Purple schalten oder ob der Controller direkt mit den RADIUS-Servern von Purple kommuniziert. Für die meisten Enterprise-Bereitstellungen ist das Proxy-Modell die richtige Wahl. Und das aus folgendem Grund. [medium pause] Mit ClearPass als RADIUS-Proxy fließt jedes Authentifizierungsereignis in Ihrem Netzwerk, sowohl für Unternehmen als auch für Gäste, durch ClearPass. Sie erhalten einen einzigen Audit-Trail. Ihr Sicherheits-Team sieht alles an einem zentralen Ort. ClearPass kann seine eigenen Richtlinienattribute anhängen, bevor es die Antwort an den Controller zurücksendet, was eine dynamische VLAN-Zuweisung basierend auf der Rolle ermöglicht. Und Sie behalten die Möglichkeit, zusätzliche Richtlinien für Gästesitzungen durchzusetzen, wie z. B. Bandbreitenbegrenzungen oder zeitbasierte Zugriffsbeschränkungen. Sprechen Sie mit einem selbstbewussten, autoritären und konversationellen Ton. Sie sind ein leitender Netzwerkberater, der einen Kunden informiert. Gemäßigtes Tempo, klare Aussprache, professionell, aber nicht steif: Die Proxy-Konfiguration in ClearPass ist unkompliziert. Sie erstellen eine RADIUS-Routing-Richtlinie, die der Gäste-SSID über den NAS-Identifier oder die Called-Station-ID entspricht. Anfragen, die dieser Richtlinie entsprechen, werden an die Cloud-RADIUS-Server von Purple weitergeleitet. Purple antwortet, ClearPass hängt das herstellerspezifische Attribut `Aruba-User-Role` an und der Controller verschiebt den Gast in das VLAN 20 mit reinem Internetzugang. [medium pause] Für IoT-Geräte verwendet die dritte SSID den MAC-Authentifizierungs-Bypass. ClearPass profiliert das Gerät anhand seiner OUI, den ersten sechs Zeichen der MAC-Adresse, die den Hersteller identifizieren, und weist es der Rolle ROLE_IOT zu, die dem VLAN 30 entspricht. Dieses VLAN hat keinen Internetzugang, sondern nur lokale Konnektivität. Ihre Smart-TVs, Thermostate und Türschlösser sind vollständig vom Unternehmens- und Gästedatenverkehr isoliert. [medium pause] Lassen Sie uns über Compliance sprechen, denn hier macht sich die Architektur bezahlt. Unter PCI-DSS muss jedes Netzwerksegment, das mit Karteninhaberdaten in Berührung kommt, von Gästenetzwerken isoliert sein. Die VLAN-Segmentierung in dieser Architektur erfüllt diese Anforderung. Unter der GDPR übernimmt das Captive Portal von Purple die Erfassung der Einwilligung mit bewussten Opt-ins, was bedeutet, dass Besucher sich aktiv dafür entscheiden, ihre Daten zu teilen, anstatt dass diese standardmäßig erfasst werden. Purple ist ISO 27001-zertifiziert, GDPR-konform und besitzt die Cyber Essentials-Zertifizierung. ClearPass liefert den Audit-Trail, den Ihr Sicherheitsteam für Compliance-Berichte benötigt. [medium pause] Implementierungsempfehlungen und Fallstricke. [short pause] Lassen Sie mich Ihnen die fünf Dinge nennen, die bei dieser Bereitstellung am häufigsten schiefgehen, und wie Sie sie vermeiden können. [medium pause] Nummer eins: der Walled Garden. Bevor sich ein Besucher authentifiziert, lässt der Aruba-Controller nur Datenverkehr zu einer vordefinierten Liste von Zielen zu. Wenn die Portal-Domänen von Purple, seine CDN-Endpunkte und die Domänen der Social-Login-Anbieter nicht in dieser Liste enthalten sind, wird das Portal nicht geladen. Sie müssen star dot purple dot ai, star dot cloudfront dot net und die OAuth-Domänen für die von Ihnen aktivierten Social-Login-Anbieter aufnehmen. Google, Facebook, Apple und Microsoft Entra ID haben alle ihre eigenen Domänen. Betrachten Sie den Walled Garden als eine dynamische Konfiguration, da Social-Login-Anbieter ihre CDN-Domänen regelmäßig ändern. [medium pause] Nummer zwei: RADIUS-Timeouts. Das standardmäßige RADIUS-Timeout auf den meisten Aruba-Controllern beträgt drei Sekunden. In einer Proxy-Architektur reist die Anfrage vom Access Point zum Controller, zu ClearPass, über das Internet zu Purples Cloud-RADIUS und zurück. In einem überlasteten Netzwerk kann diese Roundtrip-Zeit drei Sekunden überschreiten. Stellen Sie Ihr Timeout auf mindestens zehn Sekunden ein und konfigurieren Sie eine Wiederholungslogik mit mindestens zwei Versuchen. [medium pause] Nummer drei: Abweichende Shared Secrets. Das Shared Secret zwischen dem Aruba-Controller und ClearPass muss exakt übereinstimmen. Das Shared Secret zwischen ClearPass und den RADIUS-Servern von Purple muss ebenfalls exakt übereinstimmen. Ein einziger Zeichenunterschied führt zu lautlosen Authentifizierungsfehlern ohne aussagekräftige Fehlermeldung für den Besucher. Überprüfen Sie diese immer Zeichen für Zeichen. [medium pause] Nummer vier: Groß-/Kleinschreibung bei Rollennamen. Das von ClearPass zurückgegebenen Attribut `Aruba-User-Role` muss exakt mit dem auf dem Aruba-Controller definierten Rollennamen übereinstimmen, einschließlich der Groß-/Kleinschreibung. Wenn ClearPass `guest-authenticated` zurückgibt, auf dem Controller jedoch `Guest-Authenticated` definiert ist, fällt der Besucher auf die Standard-Anmelderolle zurück und erhält keinen Internetzugang. [medium pause] Nummer fünf: RADIUS-Accounting. Viele Bereitstellungen konfigurieren das Authentifizierungs-Proxying korrekt, vergessen aber, auch das Accounting per Proxy weiterzuleiten. Purple verwendet RADIUS-Accounting-Daten, um die Sitzungsdauer und die Datennutzung zu verfolgen und seine Analyse-Dashboards zu füllen. Wenn das Accounting nicht an Purple fließt, sind Ihre Besucheranalysen und Berichte zur Verweildauer unvollständig. [medium pause] Häufig gestellte Fragen. [short pause] Kann ich dies auf Aruba Instant anstelle eines vollwertigen Mobility Controllers ausführen? Ja. Aruba Instant unterstützt externe RADIUS-Server und Captive Portal-Weiterleitungen. Die Konfiguration unterscheidet sich geringfügig, aber die Prinzipien sind identisch. [medium pause] Unterstützt Purple Change of Authorisation? Ja. CoA ermöglicht es dem Controller, die Sitzung eines Besuchers dynamisch zu aktualisieren, ohne dass er sich erneut verbinden muss. Dies ist nützlich für zeitlich begrenzten Zugriff oder Stufen-Upgrades. [medium pause] Funktioniert das mit WPA3? Ja. WPA3-SAE für persönliche Netzwerke und WPA3-Enterprise für 802.1X werden beide unterstützt. Für Gästenetzwerke, die Captive Portals verwenden, sind WPA3-SAE oder eine offene SSID mit Opportunistic Wireless Encryption die typische Wahl. [medium pause] Kann ich eine einzige SSID sowohl für Mitarbeiter als auch für Gäste verwenden? Das können Sie, aber es erhöht die Komplexität. ClearPass verarbeitet sowohl 802.1X- als auch MAC-Authentifizierung auf derselben SSID und verwendet Dienstregeln, um die Verkehrsarten zu unterscheiden und entsprechend weiterzuleiten. Für die meisten Standorte sind separate SSIDs die sauberere Wahl. [medium pause] Zusammenfassung und nächste Schritte. [short pause] ClearPass und Purple ergänzen sich und stehen nicht in Konkurrenz zueinander. ClearPass ist Ihre Richtlinien-Engine für Unternehmensgeräte: 802.1X, Endpunkt-Status, Zertifikatsverwaltung und einheitlicher Audit-Trail. Purple ist Ihre Plattform für Gäste-Intelligence: gebrandetes Captive Portal, GDPR-konforme Datenerfassung, Besucheranalysen und Marketing-Automatisierung. [medium pause] Die Co-Deployment-Architektur verwendet ClearPass als RADIUS-Proxy. Alle Authentifizierungsanfragen fließen durch ClearPass. Gästeanfragen werden an den Cloud-RADIUS von Purple weitergeleitet. Unternehmensanfragen werden lokal von ClearPass verarbeitet. Der Aruba-Controller setzt die resultierenden Richtlinien durch dynamische VLAN-Zuweisung durch. [medium pause] Die drei Konfigurationselemente, die Sie richtig einstellen müssen, sind: der Walled Garden, RADIUS-Timeouts und die Konsistenz der Rollennamen. Wenn Sie diese richtig einrichten, verfügen Sie über eine konforme, kommerziell wertvolle Gäste-WiFi-Bereitstellung, die die Sicherheitsstruktur Ihres Unternehmens nicht gefährdet. [medium pause] Für Ihre nächsten Schritte: Rufen Sie Ihre Purple-Standort-RADIUS-Anmeldedaten aus dem Purple-Dashboard ab, überprüfen Sie die Walled-Garden-Referenzliste im begleitenden schriftlichen Leitfaden und testen Sie den vollständigen Authentifizierungsablauf mit einem dedizierten Testgerät, bevor Sie ihn in der Produktion einführen. Wenn Sie an mehreren Standorten bereitstellen, können Sie über die Multi-Site-Management-Konsole von Purple die Konfigurationen des Captive Portals, das Branding und die Analysen für Ihren gesamten Bestand über eine einzige Schnittstelle verwalten. [medium pause] Vielen Dank fürs Zuhören. Besuchen Sie purple dot ai, um mit einem Lösungsarchitekten über Ihre spezifische Bereitstellung zu sprechen.

header_image.png

Executive Summary

Für Enterprise-Umgebungen, die stark in HPE Aruba-Infrastruktur investiert haben, stellt die Verwaltung komplexer Netzwerkzugriffsrichtlinien bei gleichzeitiger Bereitstellung eines nahtlosen, datenreichen Gäste-WiFi-Erlebnisses eine erhebliche architektonische Herausforderung dar. Während der Aruba ClearPass Policy Manager bei der Netzwerkzugriffskontrolle (NAC) und der 802.1X-Sicherheit für Unternehmensgeräte glänzt, fehlt seinem integrierten Captive Portal die fortschrittliche Marketing-Automatisierung und Analytik, die für moderne Standorte erforderlich sind. Dieser Leitfaden beschreibt im Detail, wie Sie Purple WiFi in ClearPass integrieren, sodass sich jede Plattform auf ihre Kernstärken konzentrieren kann.

Durch die Bereitstellung von ClearPass als RADIUS-Proxy behalten Sie einen einheitlichen Sicherheits-Audit-Trail und eine dynamische VLAN-Zuweisung für Unternehmens- und IoT-Geräte bei, während Sie das Gäste-Onboarding an Purple auslagern. Dieser Ansatz ermöglicht eine GDPR-konforme Erfassung von First-Party-Daten, detaillierte Besucheranalysen und die Integration mit über 400 Marketing-Konnektoren – ohne Ihre bestehende Aruba NAC-Investition zu ersetzen. Dieses Dokument bietet den technischen Entwurf für dieses Co-Deployment, einschließlich Architektur, Konfigurationsfehler und Best Practices.

Technische Tiefenanalyse

Die Integration von Aruba ClearPass und Purple WiFi basiert auf Standard-RADIUS-Protokollen und HTTP-Weiterleitungsmechanismen, die um eine RADIUS-Proxy-Architektur herum strukturiert sind. Dieses Design stellt sicher, dass ClearPass der zentrale Richtlinien-Entscheidungspunkt für alle Netzwerkzugriffe bleibt, während Purple das gästefreundliche Captive Portal und die Datenerfassung verwaltet.

Kernarchitektur

In einem Standard-Co-Deployment strahlen Ihre Aruba Mobility Controller oder Aruba Instant Access Points mehrere SSIDs aus. Ein gängiges Designmuster, wie in Three SSIDs to rule them all: the WiFi design for guest, staff and IoT beschrieben, verwendet drei dedizierte Netzwerke:

  1. Corporate SSID: Verwendet 802.1X mit EAP-TLS. Geräte authentifizieren sich mit Zertifikaten, die über ClearPass Onboard bereitgestellt werden. ClearPass bewertet den Gerätestatus, fragt Microsoft Entra ID oder Active Directory ab und weist das Gerät einem Corporate-VLAN (z. B. VLAN 10) zu. Purple ist an diesem Ablauf nicht beteiligt.
  2. IoT SSID: Verwendet MAC-Authentifizierungs-Bypass (MAB). ClearPass profiliert das Gerät anhand seiner Organizationally Unique Identifier (OUI) und weist es einem isolierten IoT-VLAN (z. B. VLAN 30) ohne Internetzugang zu.
  3. Guest SSID: Dies ist ein offenes oder Opportunistic Wireless Encryption (OWE) Netzwerk, das das Purple Captive Portal auslöst. architecture_overview.png

RADIUS-Proxy-Ablauf

Wenn sich ein Besucher mit der Gäste-SSID verbindet und einen Browser öffnet, fängt der Aruba-Controller den HTTP-Verkehr ab und leitet die Sitzung an die URL des Purple Captive Portals weiter. Der Besucher authentifiziert sich über Purple mittels Social Login, benutzerdefinierten Formularen oder OpenRoaming (wobei Purple als kostenloser Identitätsanbieter im Rahmen des Connect-Tarifs fungiert).

Sobald Purple den Besucher validiert hat, sendet es eine RADIUS Access-Accept-Nachricht. Anstatt jedoch, dass der Aruba-Controller direkt den Cloud-RADIUS-Server von Purple kontaktiert, wird ClearPass als RADIUS-Proxy zwischengeschaltet:

  1. Der Aruba-Controller sendet alle RADIUS-Anfragen an ClearPass.
  2. Der ClearPass bewertet die Anfrage anhand seiner Dienstregeln (Service Rules). Wenn die Anfrage mit der Gäste-SSID übereinstimmt (identifiziert über Called-Station-Id oder den NAS-Identifier), leitet die RADIUS-Routing-Richtlinie die Anfrage an den RADIUS-Server von Purple weiter.
  3. Purple antwortet mit einer Access-Accept-Nachricht.
  4. ClearPass empfängt diese Antwort, wendet seine eigene Enforcement-Richtlinie an und fügt bestimmte herstellerspezifische Attribute (VSAs) hinzu, bevor die endgültige Antwort an den Controller weitergeleitet wird.

Dynamische rollenbasierte VLAN-Zuweisung

Das wichtigste VSA in dieser Architektur ist Aruba-User-Role. Wenn ClearPass die Access-Accept-Nachricht an den Controller weiterleitet, enthält sie dieses Attribut, um genau anzugeben, welche Rolle der Besucher im drahtlosen Netzwerk einnehmen soll.

Beispielsweise kann ClearPass Aruba-User-Role = guest-authenticated zurückgeben. Auf dem Aruba-Controller wird diese Rolle dem VLAN 20 zugewiesen, das mit einer Firewall-Richtlinie konfiguriert ist, die den Internetzugang erlaubt, aber das Routing zu internen Unternehmens-Subnetzen blockiert. Diese Segmentierung ist für die Einhaltung von Standards wie PCI-DSS [1] unerlässlich.

comparison_chart.png

Implementierungsleitfaden

Die Bereitstellung dieser Architektur erfordert eine präzise Konfiguration sowohl auf der Aruba-Infrastruktur als auch auf ClearPass. Befolgen Sie diese herstellerneutralen Schritte, um diese Integration einzurichten.

Schritt 1: Purple RADIUS-Server in ClearPass konfigurieren

Gehen Sie in ClearPass zu „Configuration > Network > Devices“ und fügen Sie die primären und sekundären RADIUS-Server von Purple als Netzwerkgeräte hinzu. Sie benötigen die IP-Adressen und das Shared Secret, die in Ihrem Purple-Standort-Konfigurations-Dashboard bereitgestellt werden.

Schritt 2: RADIUS-Routing-Richtlinie erstellen

Erstellen Sie eine neue RADIUS-Routing-Richtlinie in ClearPass. Diese Richtlinie legt fest, unter welchen Bedingungen Anfragen an Purple weitergeleitet werden. Legen Sie die primären und Backup-Ziele auf den in Schritt 1 konfigurierten Purple RADIUS-Servern fest.

Schritt 3: Gäste-Dienst definieren

Erstellen Sie einen neuen Dienst (Service) in ClearPass für die Gäste-Authentifizierung.

  • Type: RADIUS Enforcement (Generic)
  • Dienstregeln: Stimmen Sie mit der Radius:IETF:Called-Station-Id überein, die Ihren Gäste-SSID-Namen enthält.
  • Routing-Richtlinie: Wählen Sie die in Schritt 2 erstellte Richtlinie aus.
  • Enforcement-Richtlinie: Konfigurieren Sie die Richtlinie so, dass sie das VSA Aruba-User-Role mit dem Wert zurückgibt, der Ihrer Gäste-Rolle auf dem Aruba-Controller entspricht.

Schritt 4: Walled Garden auf dem Controller konfigurieren

Ein Walled Garden ist eine Liste von Domänen, die ein Gerät vor der Authentifizierung erreichen kann. Dies wird auf dem Aruba-Controller konfiguriert (oder über Zugriffsregeln in ArubaOS 10). Sie müssen die Kern-Domänen von Purple aufnehmen:

  • *.purple.ai
  • *.cloudfront.net
  • *.venuewifi.com

Wenn Sie Social Login aktivieren, müssen Sie auch die OAuth-Domänen für jeden Anbieter hinzufügen (z. B. *.facebook.com, *.google.com, *.microsoftonline.com).

Schritt 5: RADIUS-Accounting konfigurieren

Stellen Sie sicher, dass das RADIUS-Accounting ebenfalls über ClearPass an Purple weitergeleitet wird. Purple verwendet Accounting-Daten (Acct-Start, Acct-Interim-Update, Acct-Stop), um die Sitzungsdauer zu verfolgen und sein WiFi Analytics -Dashboard zu füllen. Stellen Sie das Accounting-Intervall auf dem Aruba-Controller auf 5 Minuten ein.

Best Practices

Um eine robuste und konsistente Bereitstellung zu gewährleisten, befolgen Sie diese Branchenempfehlungen:

  • Datenverkehr streng segmentieren: Leiten Sie den Gäste-Datenverkehr immer über ein dediziertes VLAN, das keinen Zugriff auf Unternehmensressourcen hat. Dies ist eine grundlegende Anforderung für PCI-DSS und die allgemeine Netzwerksicherheit.
  • Accounting-Daten weiterleiten: Vernachlässigen Sie das RADIUS-Accounting nicht. Wenn keine Accounting-Pakete bei Purple eingehen, bleiben Ihre Besucheranalysen und Berichte zur Verweildauer unvollständig.
  • WISPr aktivieren: Stellen Sie sicher, dass WISPr (Wireless Internet Service Provider roaming) auf dem Captive Portal-Profil des Aruba-Controllers aktiviert ist. Dieses Protokoll ermöglicht es mobilen Betriebssystemen, das Captive Portal automatisch zu erkennen und den Anmeldebildschirm nahtlos anzuzeigen.
  • Einwilligung per Opt-in verwenden: Um die GDPR einzuhalten, konfigurieren Sie Ihr Purple-Portal so, dass explizite Opt-in-Kontrollkästchen für Marketingkommunikation verwendet werden, anstatt vorab angekreuzte Kästchen oder eine stillschweigende Zustimmung anzunehmen [2].

Fehlerbehebung und Risikominderung

Selbst bei sorgfältiger Konfiguration können Integrationen fehlschlagen. Hier sind die häufigsten Fehlerquellen und wie man sie behebt.

Walled-Garden-Fehlkonfiguration

Wenn das Captive Portal auf dem Gerät eines Besuchers nicht geladen werden kann, liegt dies fast immer am Walled Garden. Social-Login-Anbieter aktualisieren häufig ihre CDN-IP-Bereiche und Domänennamen. Betrachten Sie den Walled Garden als eine sich ständig ändernde Konfiguration. Wenn ein bestimmtes Social Login fehlschlägt, ermitteln Sie mithilfe von Paketaufzeichnungen, welche Domäne das Gerät zu erreichen versucht, und fügen Sie diese der Whitelist hinzu.

RADIUS-Timeout-Fehler

Das standardmäßige RADIUS-Timeout auf den meisten Aruba-Controllern beträgt 3 Sekunden. In einer Proxy-Architektur muss die Authentifizierungsanfrage vom AP zum Controller, zu ClearPass, über das Internet zur Cloud-Infrastruktur von Purple und zurück reisen. In einem ausgelasteten Netzwerk kann diese Roundtrip-Zeit leicht 3 Sekunden überschreiten, was dazu führt, dass der Controller die Anfrage verwirft. Erhöhen Sie das RADIUS-Timeout auf dem Aruba-Controller auf mindestens 10 Sekunden und konfigurieren Sie eine Wiederholungslogik.

Abweichende Shared Secrets

RADIUS verlässt sich zur Sicherheit auf Shared Secrets. Wenn das Shared Secret zwischen dem Aruba-Controller und ClearPass oder zwischen ClearPass und Purple nicht exakt übereinstimmt, schlägt die Authentifizierung geräuschlos fehl. Dem Besucher wird keine aussagekräftige Fehlermeldung angezeigt. Überprüfen Sie diese Secrets bei Authentifizierungsfehlern immer Zeichen für Zeichen.

Groß-/Kleinschreibung bei Rollennamen

Der Wert des von ClearPass zurückgegebenen VSA Aruba-User-Role must exakt mit dem auf dem Aruba-Controller definierten Rollennamen übereinstimmen, einschließlich der Groß-/Kleinschreibung. Wenn ClearPass guest-authenticated zurückgibt, der Controller jedoch Guest-Authenticated erwartet, fällt der Besucher auf die Standard-Anmelderolle zurück und erhält keinen Internetzugang.

ROI und geschäftliche Auswirkungen

Die Verwendung von Purple WiFi anstelle eines einfachen lokalen Captive Portals generiert einen messbaren geschäftlichen Nutzen über mehrere Abteilungen hinweg.

  • Marketing-Auswirkungen: Durch die Erfassung von First-Party-Daten über das Portal verzeichnen Standorte ein erhebliches Wachstum ihrer Marketing-Datenbanken. Beispielsweise nutzte Harrods Purple, um die Anmeldungen für sein Treueprogramm zu steigern, und erzielte einen 57-fachen Marketing-ROI [3].
  • Betriebliche Effizienz: Die RADIUS-Proxy-Architektur reduziert den betrieblichen Aufwand für die IT. Sicherheitsteams verwalten ein einziges zentrales Dashboard (Single Pane of Glass) in ClearPass für alle Netzwerkzugriffsereignisse, was Compliance-Berichte und Fehlerbehebung vereinfacht.
  • Monetarisierung: Für Standorte im Transportwesen oder im Gastgewerbe ermöglicht Purple gestaffelte Bandbreitenmodelle. AGS Airports implementierte neben einer kostenlosen Basisstufe eine kostenpflichtige Premium-WiFi-Stufe und erzielte einen ROI von 842 % [4].

Durch die Implementierung dieses Co-Deployments verwandeln Sie Ihr Gästenetzwerk von einer Kostenstelle in eine umsatzgenerierende Ressource, während Sie gleichzeitig die von der Unternehmens-IT geforderte strenge Sicherheitsstruktur beibehalten.

Referenzen

[1] PCI Security Standards Council. "Payment Card Industry (PCI) Data Security Standard." [2] Information Commissioner's Office (ICO). "Guide to the General Data Protection Regulation (GDPR)." [3] Purple. "Harrods Guest WiFi Case Study." [4] Purple. "AGS Airports Guest WiFi Case Study."

Schlüsseldefinitionen

RADIUS-Proxy

Eine Architektur, bei der ein Zwischenserver (ClearPass) Authentifizierungsanfragen von einem Netzwerkgerät (Aruba-Controller) empfängt und an den entsprechenden Backend-Server (Purple) weiterleitet, sodass der Proxy den Datenverkehr überprüfen, protokollieren oder ändern kann.

Wird verwendet, um einen einzigen Sicherheits-Audit-Trail in ClearPass aufzuerhalten, während Purple die Gäste-Authentifizierung übernimmt.

Walled Garden

Eine begrenzte Umgebung, die den Zugriff eines Benutzers auf Webinhalte kontrolliert, bevor er sich vollständig im Netzwerk authentifiziert hat.

Unerlässlich für Captive Portals; der Walled Garden muss den Zugriff auf die Hosting-Domänen des Portals und die Social-Login-Anbieter ermöglichen, damit die Anmeldeseite geladen werden kann.

Herstellerspezifisches Attribut (VSA)

Benutzerdefinierte Datenfelder innerhalb des RADIUS-Protokolls, die es Hardwareherstellern ermöglichen, proprietäre Funktionen zu unterstützen, die nicht in den Standard-RADIUS-RFCs definiert sind.

ClearPass verwendet das VSA „Aruba-User-Role“, um dem Aruba-Controller genau mitzuteilen, welche Firewall-Rolle und welches VLAN einem Gastbenutzer zugewiesen werden sollen.

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.

Das primäre Protokoll, das von ClearPass zur Sicherung von Unternehmensgeräten verwendet wird, typischerweise unter Verwendung von EAP-TLS mit Zertifikaten.

Captive Portal

Eine Webseite, die der Benutzer eines öffentlich zugänglichen Netzwerks ansehen und mit der er interagieren muss, bevor ihm der Zugriff gewährt wird.

Purple stellt die Captive Portal-Schnittstelle bereit, um Besucherdaten zu erfassen, das Branding anzuzeigen und Marketing-Einwilligungen einzuholen.

MAC-Authentifizierungs-Bypass (MAB)

Eine Technik, die die MAC-Adresse eines Geräts verwendet, um es im Netzwerk zu authentifizieren, wenn das Gerät keine 802.1X-Supplicants unterstützt.

Wird von ClearPass verwendet, um bildschirmlose IoT-Geräte wie Smart-TVs oder Thermostate zu profilieren und zu authentifizieren und sie in ein isoliertes VLAN zu verschieben.

Dynamische VLAN-Zuweisung

Der Prozess der automatischen Zuweisung eines Geräts zu einem bestimmten virtuellen lokalen Netzwerk (VLAN) basierend auf seinen Authentifizierungsdaten oder seiner Rolle, anstatt auf der SSID, mit der es sich verbunden hat.

Ermöglicht es einer einzigen physischen Netzwerkinfrastruktur, den Unternehmens-, Gäste- und IoT-Datenverkehr sicher zu segmentieren.

WISPr

Wireless Internet Service Provider Roaming; ein Protokoll, das es Geräten ermöglicht, Captive Portals automatisch zu erkennen.

Muss auf dem Aruba-Controller aktiviert sein, damit mobile Geräte beim Verbinden mit dem Gäste-WiFi automatisch den Purple-Anmeldebildschirm anzeigen.

Ausgearbeitete Beispiele

Ein Hotel mit 500 Zimmern muss unter Verwendung vorhandener Aruba-Controller und ClearPass ein sicheres Corporate-WiFi für Mitarbeiter und ein gebrandetes, datenerfassendes Gäste-Portal für Besucher bereitstellen.

Stellen Sie zwei SSIDs bereit: „Hotel_Corp“ und „Hotel_Guest“. Konfigurieren Sie „Hotel_Corp“ für die 802.1X-Authentifizierung gegenüber dem Active Directory über ClearPass und weisen Sie die Mitarbeiter dem VLAN 10 zu. Konfigurieren Sie „Hotel_Guest“ als offenes Netzwerk, das zum Purple Captive Portal weiterleitet. Richten Sie ClearPass als RADIUS-Proxy für die Gäste-SSID ein, der Anfragen an Purple weiterleitet. Konfigurieren Sie ClearPass so, dass es nach erfolgreicher Purple-Authentifizierung das VSA „Aruba-User-Role“ zurückgibt und Gäste einem isolierten VLAN 20 zuweist.

Kommentar des Prüfers: Dieser Ansatz isoliert den Unternehmens- und Gästedatenverkehr perfekt und erfüllt die PCI-DSS-Anforderungen. Er nutzt die Stärken von ClearPass bei 802.1X, während das Gäste-Portal und die Analysen an Purple ausgelagert werden, wodurch zwei separate NAC-Lösungen überflüssig werden.

Besucher verbinden sich mit der Gäste-SSID, aber die Seite des Purple Captive Portals wird auf ihren Geräten nicht geladen.

Überprüfen und aktualisieren Sie die Walled-Garden-Konfiguration auf dem Aruba-Controller. Stellen Sie sicher, dass die Kern-Domänen von Purple (*.purple.ai, *.cloudfront.net, *.venuewifi.com) explizit erlaubt sind. Wenn Social Login aktiviert ist, überprüfen Sie, ob alle erforderlichen OAuth-Domänen (z. B. *.facebook.com, *.google.com) ebenfalls in der Pre-Authentifizierungs-Erlaubnisliste enthalten sind.

Kommentar des Prüfers: Walled-Garden-Fehlkonfigurationen sind die häufigste Ursache für Fehler beim Laden des Captive Portals. Geräte müssen in der Lage sein, die Portal-Hosting-Infrastruktur und das CDN zu erreichen, bevor sie vollständig im Netzwerk authentifiziert sind.

Übungsfragen

Q1. Sie haben ClearPass so konfiguriert, dass es die Gäste-Authentifizierung an Purple weiterleitet. Der Gast authentifiziert sich erfolgreich im Purple-Portal, aber der Aruba-Controller weist ihm die Standardrolle „logon“ ohne Internetzugang anstelle der beabsichtigten Rolle „guest-access“ zu. Was ist der wahrscheinlichste Konfigurationsfehler?

Hinweis: Überprüfen Sie, wie ClearPass die Rollenzuweisung an den Controller zurückmeldet.

Musterlösung anzeigen

Die Groß-/Kleinschreibung des Rollennamens stimmt nicht überein. Der von ClearPass zurückgegebenen Wert des VSA Aruba-User-Role muss exakt mit dem auf dem Aruba-Controller definierten Rollennamen übereinstimmen. Wenn ein Tippfehler oder eine falsche Groß-/Kleinschreibung vorliegt (z. B. „Guest-Access“ vs. „guest-access“), erkennt der Controller die Rolle nicht und versetzt den Benutzer in den eingeschränkten Standardzustand.

Q2. Eine Einzelhandelskette möchte Purple WiFi für Gästeanalysen bereitstellen, aber ihr Sicherheitsteam besteht darauf, dass alle Netzwerk-Authentifizierungsereignisse aus Compliance-Gründen zentral in ihrem bestehenden Aruba ClearPass-System protokolliert werden. Wie sollte die Architektur gestaltet werden?

Hinweis: Berücksichtigen Sie, wie der RADIUS-Datenverkehr zwischen den Access Points, ClearPass und Purple fließt.

Musterlösung anzeigen

Implementieren Sie eine RADIUS-Proxy-Architektur. Konfigurieren Sie die Aruba-Controller so, dass sie alle RADIUS-Anfragen an ClearPass senden. Erstellen Sie in ClearPass eine Routing-Richtlinie, die Anfragen von der Gäste-SSID an die Cloud-RADIUS-Server von Purple weiterleitet. Dies stellt sicher, dass Purple das Gäste-Portal und die Analysen verwaltet, während ClearPass einen vollständigen, zentralisierten Audit-Trail aller Authentifizierungsereignisse führt.

Q3. Nach der Bereitstellung der Integration berichtet das Marketingteam, dass das Purple-Analyse-Dashboard keine Daten für die „Verweildauer“ der Besucher anzeigt, obwohl sich die Gäste erfolgreich verbinden und das Internet nutzen. Welcher Konfigurationsschritt wurde vergessen?

Hinweis: Berechnungen der Verweildauer erfordern fortlaufende Aktualisierungen des Sitzungsstatus, nicht nur die anfängliche Authentifizierung.

Musterlösung anzeigen

Das RADIUS-Accounting wird nicht an Purple weitergeleitet. Während das Authentifizierungs-Proxying Benutzern den Zugriff auf das Netzwerk ermöglicht, benötigt Purple RADIUS-Accounting-Pakete (Acct-Start, Acct-Interim-Update, Acct-Stop), um die Sitzungsdauer und die Verweildauer zu berechnen. Sie müssen sicherstellen, dass ClearPass so konfiguriert ist, dass es Accounting-Daten an Purple weiterleitet, und der Controller so eingestellt ist, dass er Zwischenaktualisierungen sendet (z. B. alle 5 Minuten).

Weiterlesen in dieser Reihe

Konfigurieren von RADIUS-Authentifizierung für Gäste- und Mitarbeiter-WiFi-Netzwerke

Dieses technische Referenzhandbuch beschreibt die Architektur, Konfiguration und Bereitstellung der RADIUS-Authentifizierung für WiFi-Netzwerke von Unternehmen für Gäste und Mitarbeiter. Es bietet Netzwerkarchitekten und IT-Managern die genauen Protokolle, Sicherheitsstandards und Fehlerbehebungsmethoden, die für den Aufbau sicherer, skalierbarer drahtloser Zugriffskontrollsysteme erforderlich sind.

Leitfaden lesen →

Passpoint und OpenRoaming: Das vollständige Handbuch

Dieses technische Referenzhandbuch bietet eine umfassende Analyse der Passpoint (Hotspot 2.0) und WBA OpenRoaming Frameworks in Enterprise WiFi Netzwerken. Es beschreibt detailliert die zugrundeliegenden Authentifizierungsprotokolle, Architekturkomponenten und Bereitstellungsstrategien, die für den Aufbau einer sicheren, reibungslosen Gastkonnektivität erforderlich sind. Netzwerkarchitekten und IT-Leiter erfahren, wie sie diese Standards entwerfen, implementieren und Fehler beheben, um manuelle Anmeldebarrieren zu beseitigen und gleichzeitig die Sicherheit auf Enterprise-Niveau aufrechtzuerhalten.

Leitfaden lesen →

Implementierung von SCEP für sichere BYOD- und Netzwerkanmeldung im Hochschulbereich

Dieser technische Leitfaden bietet Netzwerkarchitekten und IT-Managern ein herstellerunabhängiges Konzept für die Bereitstellung von SCEP-basierten Zertifikatsanmeldungen zur Sicherung von Campusnetzwerken an Hochschulen. Er beschreibt im Detail die Migration von passwortbasiertem PEAP zu 802.1X EAP-TLS, die Automatisierung des BYOD-Onboardings und die Durchsetzung einer robusten VLAN-Segmentierung.

Leitfaden lesen →