Aruba ClearPass vs. Purple WiFi: Vergleich der Funktionen und Co-Deployment

Sprechen Sie in britischem Englisch mit einem selbstbewussten, autoritären und konversationellen Ton. Sie sind ein leitender Netzwerkberater, der einen Kunden brieft. Gemessenes Tempo, klare Aussprache, professionell, aber nicht steif. Gelegentliche natürliche Pausen zur Betonung: Willkommen zu diesem technischen Briefing von Purple. Ich bin Ihr Gastgeber, und heute behandeln wir eine Frage, die in fast jedem Enterprise-Wireless-Projekt auftaucht, an dem wir arbeiten: Wenn Sie Aruba ClearPass bereits im Einsatz haben, wo fügt sich Purple WiFi ein, und wie arbeiten die beiden Systeme zusammen? [mittlere Pause] Dies ist keine theoretische Diskussion. Wenn Sie IT-Manager, Netzwerkarchitekt oder Sicherheitsingenieur bei einer Hotelgruppe, einer Einzelhandelskette oder einem Stadionbetreiber sind, ist dies eine Entscheidung, die Sie möglicherweise in diesem Quartal treffen müssen. Also lassen Sie uns einsteigen. [mittlere Pause] Einführung und Kontext. [kurze Pause] Zuerst sollten wir uns darüber im Klaren sein, wofür jede Plattform eigentlich entwickelt wurde. Aruba ClearPass Policy Manager ist eine Network Access Control-Plattform. Ihre Aufgabe ist es, Geräte und Benutzer zu authentifizieren, den Sicherheitsstatus von Endpunkten zu bewerten und Zugriffsrichtlinien im gesamten Netzwerk durchzusetzen. Sie verarbeitet 802.1X, den IEEE-Standard für portbasierte Netzwerkzugriffskontrolle, unter Verwendung von EAP-Methoden wie EAP-TLS mit Zertifikaten und PEAP mit Benutzername und Passwort. Sie lässt sich in Microsoft Entra ID, Okta und andere Identitätsanbieter integrieren. Sie profiliert Geräte, prüft, ob sie Ihren Sicherheitsrichtlinien entsprechen, und weist ihnen die richtige Netzwerkrolle zu. Für Unternehmensgeräte ist ClearPass hervorragend. Es wurde genau für diesen Anwendungsfall entwickelt. [mittlere Pause] Purple WiFi ist etwas völlig anderes. Purple ist eine Cloud-basierte Guest WiFi Intelligence-Plattform. Ihre Aufgabe ist es, Besucher über ein gebrandetes Captive Portal zu authentifizieren, First-Party-Daten mit GDPR-konformen Einwilligungsprozessen zu erfassen und diese Daten in Ihren Marketing- und Analyse-Stack einzuspeisen. Purple ist an über 80.000 Standorten weltweit im Einsatz und hat allein im Jahr 2024 440 Millionen Logins verarbeitet. Es lässt sich in über 400 Konnektoren integrieren, darunter CRMs und Marketing-Automatisierungsplattformen. Für Gästenetzwerke ist Purple der Spezialist. [mittlere Pause] Das Problem, vor dem die meisten Unternehmen stehen, ist, dass sie versuchen, eine einzige Plattform für beide Aufgaben zu nutzen. Entweder verlangen sie von ClearPass, ihr Gästeportal zu betreiben, was es zwar kann, aber nicht elegant, oder sie implementieren Purple, ohne darüber nachzudenken, wie es sich in ihre bestehende NAC-Investition einfügt. Die richtige Antwort ist eine Co-Deployment-Architektur, bei der jede Plattform das tut, was sie am besten kann. [mittlere Pause] Technische Vertiefung. [kurze Pause] Lassen Sie mich Sie durch die Architektur führen. Bei einem Co-Deployment senden Ihr Aruba Mobility Controller oder Ihre Aruba Instant Access Points mehrere SSIDs aus. Typischerweise drei: eine für Unternehmensgeräte, eine für Gäste und eine für IoT. Für weitere Informationen zu diesem SSID-Designmuster hat Purple einen detaillierten Leitfaden mit dem Titel "Three SSIDs to rule them all" veröffentlicht, dessen Lektüre ich Ihnen parallel zu diesem Briefing empfehlen würde. [mittlere Pause] Der Corporate-SSID verwendet 802.1X mit EAP-TLS. Geräte authentifizieren sich über Zertifikate, die über ClearPass Onboard bereitgestellt werden – das integrierte Modul von ClearPass zur Zertifikatsregistrierung und Gerätebereitstellung. ClearPass überprüft den Gerätestatus, verifiziert das Zertifikat, fragt Active Directory oder Microsoft Entra ID ab und weist das Gerät dem entsprechenden VLAN zu. Typischerweise VLAN 10 für das Unternehmensnetzwerk. Dieser gesamte Ablauf verbleibt innerhalb von ClearPass. Purple ist nicht beteiligt. [medium pause] Beim Guest-SSID findet die Integration statt. Wenn sich ein Besucher mit dem Guest-SSID verbindet, fängt der Aruba-Controller dessen HTTP-Traffic ab und leitet den Browser auf das Captive Portal von Purple weiter. Der Besucher authentifiziert sich über Purple, beispielsweise per Social-Login über Google, ein benutzerdefiniertes E-Mail-Formular oder OpenRoaming, wobei Purple unter der Connect-Lizenz als kostenloser Identity Provider fungiert. Sobald Purple den Besucher validiert hat, sendet es eine RADIUS-Access-Accept-Nachricht zurück an den Controller, die den Internetzugang freigibt. [medium pause] Die entscheidende architektonische Frage ist nun, ob Sie ClearPass als RADIUS-Proxy zwischen dem Controller und Purple schalten oder ob der Controller direkt mit den RADIUS-Servern von Purple kommuniziert. Für die meisten Enterprise-Bereitstellungen ist das Proxy-Modell die richtige Wahl. Und zwar aus folgenden Gründen. [medium pause] Mit ClearPass als RADIUS-Proxy läuft jedes Authentifizierungsereignis in Ihrem Netzwerk, sowohl für das Unternehmens- als auch für das Gastnetzwerk, über ClearPass. Sie erhalten einen einzigen Audit-Trail. Ihr Security Operations Team sieht alles an einem zentralen Ort. ClearPass kann eigene Richtlinienattribute anhängen, bevor die Antwort an den Controller zurückgegeben wird, was eine dynamische VLAN-Zuweisung basierend auf der Rolle ermöglicht. Zudem behalten Sie die Möglichkeit, zusätzliche Richtlinien für Gastsitzungen durchzusetzen, wie z. B. Bandbreitenbegrenzungen oder zeitbasierte Zugriffsbeschränkungen. Sprechen Sie in britischem Englisch mit einem selbstbewussten, autoritären und konversationellen Tonfall. Sie sind ein Senior Network Consultant, der einen Kunden brieft. Gemäßigtes Tempo, klare Diktion, professionell, aber nicht steif: Die Proxy-Konfiguration in ClearPass ist unkompliziert. Sie erstellen eine RADIUS-Routing-Richtlinie, die den Guest-SSID anhand der NAS-Kennung oder der angerufenen Stations-ID (Called Station ID) abgleicht. Anfragen, die dieser Richtlinie entsprechen, werden an die Cloud-RADIUS-Server von Purple weitergeleitet. Purple antwortet, ClearPass hängt das herstellerspezifische Attribut Aruba-User-Role an und der Controller platziert den Gast in VLAN 20 mit reinem Internetzugang. [medium pause] Für IoT-Geräte nutzt der dritte SSID den MAC-Authentifizierungs-Bypass. ClearPass profiliert das Gerät anhand seiner OUI – den ersten sechs Zeichen der MAC-Adresse, die den Hersteller identifizieren – und weist es der ROLE_IOT zu, die VLAN 30 zugeordnet ist. Dieses VLAN hat keinen Internetzugang, sondern nur lokale Konnektivität. Ihre Smart-TVs, Thermostate und Türschlösser sind vollständig vom Unternehmens- und Gastverkehr isoliert. [medium pause] Sprechen wir über Compliance, denn hier zahlt sich die Architektur wirklich aus. Unter PCI DSS muss jedes Netzwerksegment, das mit Karteninhaberdaten in Berührung kommt, von Gastnetzwerken isoliert sein. Die VLAN-Segmentierung in dieser Architektur erfüllt diese Anforderung. Unter GDPR verwaltet das Captive Portal von Purple die Einwilligungserfassung mit bewussten Opt-ins, was bedeutet, dass Besucher sich aktiv für die Freigabe ihrer Daten entscheiden, anstatt dass diese standardmäßig erfasst werden. Purple ist ISO-27001-zertifiziert, GDPR-konform und besitzt die Cyber Essentials-Zertifizierung. ClearPass bietet den Audit-Trail, den Ihr Sicherheitsteam für die Compliance-Berichterstattung benötigt. [medium pause] Implementierungsempfehlungen und Fallstricke. [short pause] Lassen Sie mich Ihnen die fünf Dinge nennen, die bei dieser Bereitstellung am häufigsten schiefgehen, und wie Sie sie vermeiden können. [medium pause] Nummer eins: der Walled Garden. Bevor sich ein Besucher authentifiziert, lässt der Aruba-Controller nur Datenverkehr zu einer vordefinierten Liste von Zielen zu. Wenn die Portal-Domains von Purple, deren CDN-Endpunkte und die Domains der Social-Login-Anbieter nicht in dieser Liste enthalten sind, wird das Portal nicht geladen. Sie müssen star dot purple dot ai, star dot cloudfront dot net und die OAuth-Domains für die von Ihnen aktivierten Social-Login-Anbieter aufnehmen. Google, Facebook, Apple und Microsoft Entra ID haben alle ihre eigenen Domains. Betrachten Sie den Walled Garden als eine dynamische Konfiguration, da Social-Login-Anbieter ihre CDN-Domains regelmäßig ändern. [medium pause] Nummer zwei: RADIUS-Timeouts. Der Standard-RADIUS-Timeout auf den meisten Aruba-Controllern beträgt drei Sekunden. In einer Proxy-Architektur läuft die Anfrage vom Access Point zum Controller, zu ClearPass, über das Internet zum Cloud-RADIUS von Purple und zurück. In einem überlasteten Netzwerk kann dieser Roundtrip mehr als drei Sekunden dauern. Stellen Sie Ihren Timeout auf mindestens zehn Sekunden ein und konfigurieren Sie eine Wiederholungslogik mit mindestens zwei Versuchen. [medium pause] Nummer drei: Abweichungen bei Shared Secrets. Das Shared Secret zwischen dem Aruba-Controller und ClearPass muss exakt übereinstimmen. Das Shared Secret zwischen ClearPass und den RADIUS-Servern von Purple muss ebenfalls exakt übereinstimmen. Schon ein einziger abweichender Buchstabe führt zu stillen Authentifizierungsfehlern ohne aussagekräftige Fehlermeldung für den Besucher. Überprüfen Sie diese immer Zeichen für Zeichen. [medium pause] Nummer vier: Groß-/Kleinschreibung bei Rollennamen. Das von ClearPass zurückgegebene Attribut Aruba-User-Role muss exakt mit dem auf dem Aruba-Controller definierten Rollennamen übereinstimmen, einschließlich der Groß-/Kleinschreibung. Wenn ClearPass guest-authenticated zurückgibt, auf dem Controller jedoch Guest-Authenticated definiert ist, fällt der Besucher auf die Standard-Anmelderolle ohne Internetzugang zurück. [medium pause] Nummer fünf: RADIUS-Accounting. Viele Implementierungen konfigurieren das Authentifizierungs-Proxying korrekt, vergessen aber, auch das Accounting zu proxyen. Purple nutzt RADIUS-Accounting-Daten, um die Sitzungsdauer und den Datennutzungsgrad zu verfolgen und seine Analytics-Dashboards zu füllen. Wenn das Accounting nicht an Purple übertragen wird, sind Ihre Footfall-Analytics und Berichte zur Verweildauer unvollständig. [medium pause] Schnelle Fragerunde. [short pause] Kann ich dies auf Aruba Instant anstelle eines vollwertigen Mobility Controllers ausführen? Ja. Aruba Instant unterstützt externe RADIUS-Server und Captive Portal-Weiterleitungen. Die Konfiguration weicht leicht ab, aber die Prinzipien sind identisch. [medium pause] Unterstützt Purple Change of Authorisation? Ja. CoA ermöglicht es dem Controller, die Sitzung eines Besuchers dynamisch zu aktualisieren, ohne dass dieser sich neu verbinden muss. Dies ist nützlich für zeitlich begrenzten Zugriff oder Tarif-Upgrades. [medium pause] Funktioniert das mit WPA3? Ja. Sowohl WPA3-SAE für private Netzwerke als auch WPA3-Enterprise für 802.1X werden unterstützt. Für Gastnetzwerke, die Captive Portals nutzen, sind WPA3-SAE oder eine offene SSID mit Opportunistic Wireless Encryption die typische Wahl. [medium pause] Kann ich eine einzige SSID sowohl für Mitarbeiter als auch für Gäste nutzen? Das ist möglich, erhöht jedoch die Komplexität. ClearPass verarbeitet sowohl 802.1X- als auch MAC-Authentifizierung auf derselben SSID und nutzt Dienstregeln, um Traffic-Typen zu differenzieren und entsprechend weiterzuleiten. Für die meisten Standorte sind separate SSIDs die sauberere Lösung. [medium pause] Zusammenfassung und nächste Schritte. [short pause] ClearPass und Purple ergänzen sich gegenseitig und stehen nicht in Konkurrenz zueinander. ClearPass ist Ihre Policy-Engine für Unternehmensgeräte: 802.1X, Endpoint-Posture, Zertifikatsverwaltung und einheitlicher Audit-Trail. Purple ist Ihre Plattform für Gast-Intelligence: gebrandetes Captive Portal, GDPR-konforme Datenerfassung, Footfall-Analytics und Marketing-Automatisierung. [medium pause] Die Co-Deployment-Architektur nutzt ClearPass als RADIUS-Proxy. Alle Authentifizierungsanfragen laufen über ClearPass. Gastanfragen werden an den Cloud-RADIUS von Purple weitergeleitet. Unternehmensanfragen werden lokal von ClearPass verarbeitet. Der Aruba-Controller setzt die resultierenden Richtlinien durch dynamische VLAN-Zuweisung durch. [medium pause] Die drei Konfigurationselemente, die Sie unbedingt richtig einrichten müssen, sind: der Walled Garden, RADIUS-Timeouts und eine einheitliche Rollenbenennung. Wenn Sie diese korrekt konfigurieren, erhalten Sie eine konforme, kommerziell wertvolle Gast-WiFi-Bereitstellung, die die Sicherheitslage Ihres Unternehmens nicht gefährdet. [medium pause] Für Ihre nächsten Schritte: Rufen Sie die RADIUS-Anmeldedaten für Ihren Purple-Standort aus dem Purple-Dashboard ab, prüfen Sie die Walled-Garden-Referenzliste im begleitenden schriftlichen Handbuch und testen Sie den vollständigen Authentifizierungsablauf mit einem dedizierten Testgerät vor dem Rollout in die Produktion. Wenn Sie an mehreren Standorten bereitstellen, können Sie mit der Multi-Site-Management-Konsole von Purple die Captive Portal-Konfigurationen, das Branding und die Analytics für Ihren gesamten Bestand über eine einzige Benutzeroberfläche verwalten. [medium pause] Vielen Dank fürs Zuhören. Besuchen Sie purple dot ai, um mit einem Solutions Architect über Ihre spezifische Bereitstellung zu sprechen.