Ver transcripción del podcast
Bienvenido al Informe Técnico de Purple. Hoy trataremos un tema que surge constantemente en nuestras conversaciones con gestores de TI y arquitectos de redes en los sectores de hostelería, retail y espacios multiinquilino: cómo integrar NETGEAR Insight y los puntos de acceso de la serie WAX con Purple WiFi. Si gestiona un hotel, un parque comercial, un centro de congresos o una urbanización de uso mixto, este informe es directamente relevante para su próxima decisión de despliegue.
Pongámonos en situación. La serie WAX de NETGEAR -los WAX610, WAX620 y WAX630- son puntos de acceso WiFi 6 gestionados a través de la plataforma en la nube Insight. Admiten hasta ocho SSID independientes por radio, cifrado WPA3 y hasta seis gigabits de rendimiento en el WAX630. Se alimentan por PoE, se pueden montar en el techo y se gestionan desde un único panel a través del Portal Cloud de Insight. Para un instalador de TI o un administrador de redes de pymes, se trata de una plataforma realmente capaz a un precio muy inferior al de Cisco Meraki o HPE Aruba.
Purple es un overlay en la nube independiente del hardware. Nos situamos por encima de su infraestructura existente y añadimos la capa de experiencia del invitado, la capa de captura de datos y la capa de analítica. Hemos procesado 440 millones de inicios de sesión en 2024 en 80.000 establecimientos activos. La integración con NETGEAR Insight es limpia y está bien documentada, y cubre cuatro casos de uso distintos que analizaremos hoy.
Entremos ahora en el análisis técnico detallado. Los cuatro casos de uso son: WiFi para invitados con un Captive Portal de Purple, WiFi seguro para el personal mediante 802.1X, segmentación multiinquilino mediante la función PPSK de NETGEAR y asignación dinámica de VLAN a través de RADIUS para redes basadas en la identidad.
Caso de uso uno: WiFi para invitados con un Captive Portal de Purple. Este es el punto de partida más común. Se crea un SSID de invitado dedicado en NETGEAR Insight y se configura como una red abierta. La configuración clave se encuentra en la sección Captive Portal de los ajustes del SSID. Seleccione Captive Portal externo y pegue la URL de la página de inicio que le proporciona Purple.
A continuación, configure el tipo de autenticación. Para la mayoría de los despliegues de Purple, seleccionará la autenticación RADIUS. Purple le proporciona una dirección IP del servidor RADIUS primario, el puerto 1812 para la autenticación y el puerto 1813 para la contabilidad, además de un secreto compartido. Copie estos datos en la configuración del Captive Portal externo de NETGEAR Insight. También debe definir un identificador NAS - se trata de una cadena que identifica este punto de acceso o ubicación específicos ante el servidor RADIUS. Utilice algo significativo, como el nombre de su establecimiento y el código de ubicación.
El walled garden (entorno cerrado) es el paso en el que tropiezan la mayoría de los instaladores. Antes de que un invitado se autentique, su dispositivo debe poder acceder a la página de inicio (splash page) de Purple, a los servidores de autenticación y a cualquier proveedor de inicio de sesión social que haya habilitado. NETGEAR Insight tiene una sección de Walled Garden dedicada en la configuración del Captive Portal externo donde se añaden estas URL. La documentación de soporte de Purple proporciona la lista exacta de dominios que debe incluir en la lista blanca. Si se equivoca en esto, los invitados verán una página en blanco en lugar de su portal personalizado.
Una vez configurado, el flujo funciona de la siguiente manera: un invitado se conecta al SSID de invitados del hotel. El punto de acceso intercepta su primera solicitud HTTP y lo redirige a la página de inicio de Purple. El invitado ve su portal personalizado, acepta los términos y, opcionalmente, proporciona su dirección de correo electrónico o inicia sesión a través de redes sociales. El servidor RADIUS de Purple devuelve un mensaje Access-Accept al punto de acceso y se le concede acceso a internet al invitado. Purple captura los datos de consentimiento, registra la sesión y esos datos fluyen hacia su panel de análisis de Purple.
Caso de uso dos: WiFi seguro para el personal mediante 802.1X. Aquí es donde se prescinde por completo de las contraseñas compartidas. Para las redes del personal, una clave precompartida es un riesgo; cuando un empleado se marcha, hay que cambiar la contraseña para todos. El estándar 802.1X, definido en la norma IEEE 802.1X, otorga a cada usuario una credencial individual. Cuando se van, se deshabilita su cuenta en el directorio y su acceso se revoca al instante.
En NETGEAR Insight, se configura un SSID de personal independiente con seguridad WPA2 Enterprise. Esto le indica al punto de acceso que utilice la autenticación 802.1X en lugar de una clave precompartida. A continuación, configure los ajustes del servidor RADIUS a nivel de ubicación de red. Vaya a la configuración de ubicación de red, seleccione RADIUS, habilite la autenticación de acceso 802.1X e introduzca la IP de su servidor RADIUS, el puerto y el secreto compartido. El intervalo de reautenticación predeterminado es de 3600 segundos - una hora - lo cual es un punto de partida razonable para la mayoría de los establecimientos.
El método EAP más común en despliegues de pymes es PEAP-MSCHAPv2, que utiliza un certificado del lado del servidor para crear un túnel cifrado dentro del cual el usuario se autentica con su nombre de usuario y contraseña de Active Directory. EAP-TLS es más seguro - utiliza certificados en ambos lados - pero requiere una infraestructura PKI y un MDM para distribuir los certificados a los dispositivos.
Un punto crítico: aplique la validación de certificados en cada dispositivo cliente. Configure sus dispositivos Windows a través de objetos de directiva de grupo y sus dispositivos móviles a través de perfiles MDM para validar el certificado del servidor RADIUS. Si omite este paso, los dispositivos quedarán vulnerables a ataques de puntos de acceso no autorizados donde un atacante presenta un certificado falso y captura las credenciales.Caso de uso tres: PPSK de NETGEAR para entornos multi-inquilino. Private Pre-Shared Key resuelve un problema específico en parques comerciales, desarrollos de uso mixto y espacios de co-working. Tienes múltiples inquilinos que comparten la misma infraestructura física de WiFi. No quieres ejecutar SSIDs independientes para cada inquilino, ya que eso genera congestión de radiofrecuencia y complejidad de gestión. Pero tampoco puedes dar a todos la misma contraseña, porque entonces el Inquilino A podría ver el tráfico del Inquilino B.
PPSK resuelve esto de manera elegante. Creas un único SSID y creas múltiples claves precompartidas en NETGEAR Insight bajo Wireless, Settings, Advanced, Multi PSK Settings. Cada clave está asociada a una VLAN específica. El Inquilino A obtiene una contraseña única de 16 caracteres que se asigna a la VLAN 30. El Inquilino B obtiene una contraseña diferente que se asigna a la VLAN 40. El equipo de gestión del recinto obtiene una tercera contraseña que se asigna a la VLAN 20, la cual tiene acceso a los sistemas de gestión.
Cuando los dispositivos del Inquilino A se conectan usando su contraseña, el punto de acceso los coloca automáticamente en la VLAN 30. No pueden ver ningún tráfico en la VLAN 40 o en la VLAN 20. Desde la perspectiva del inquilino, solo tienen una contraseña de WiFi. Desde tu perspectiva como administrador de red, tienes un aislamiento de tráfico completo entre inquilinos sin necesidad de hardware adicional.
Existen dos limitaciones importantes que debes conocer. Primero, PPSK en NETGEAR Insight requiere cifrado WPA2 Personal o WPA2 Personal Mixed. No funciona en la banda de 6 GHz. Segundo, PPSK no se puede combinar con un Captive Portal en el mismo SSID. Si necesitas ambos, requieres dos SSIDs independientes - lo cual no es un problema, ya que los puntos de acceso de la serie WAX admiten hasta ocho.
Caso de uso cuatro: asignación dinámica de VLAN a través de RADIUS. Esta es la configuración más sofisticada y la que sirve de base para la capacidad de Redes Basadas en la Identidad de Purple. En lugar de asignar estáticamente una VLAN a una contraseña o a un SSID, dejas que el servidor RADIUS decida qué VLAN asignar en función de quién se esté autenticando.
El mecanismo utiliza tres atributos RADIUS estándar: Tunnel-Type, que debe establecerse en el valor 13 para VLAN; Tunnel-Medium-Type, que debe establecerse en el valor 6 para IEEE 802; y Tunnel-Private-Group-ID, que transporta el ID de la VLAN como una cadena. Cuando un usuario se autentica correctamente, el servidor RADIUS devuelve estos tres atributos en el mensaje Access-Accept. El punto de acceso los lee y coloca al cliente en la VLAN especificada.
En la práctica, esto significa que puedes tener un único SSID WPA2 Enterprise donde un gerente de hotel se autentica y accede a la VLAN 20 con acceso a los sistemas de gestión de la propiedad, un recepcionista se autentica y accede a la VLAN 21 con acceso únicamente al sistema de registro, y un contratista se autentica y accede a la VLAN 50 con acceso solo a internet. Todo desde el mismo SSID, todo aplicado automáticamente por el servidor RADIUS en función de la pertenencia a grupos de Active Directory.
Ahora, hablemos de las recomendaciones de implementación y de los errores más comunes. El primer error es el walled garden. Toda implementación de Captive Portal externo falla en el walled garden al menos una vez. El síntoma es que los invitados se conectan al SSID pero ven un error de navegador en lugar de la página de bienvenida (splash page). La solución es metódica: abra la documentación de soporte de Purple, copie cada dominio de la lista de walled garden y péguelos en la sección de Walled Garden de NETGEAR Insight. Realice la prueba con un dispositivo que no tenga credenciales almacenadas en caché.
El segundo error es la accesibilidad de RADIUS. El punto de acceso de NETGEAR necesita comunicarse con su servidor RADIUS. RADIUS utiliza el puerto UDP 1812 para la autenticación y el puerto UDP 1813 para la contabilidad (accounting). Abra esos puertos desde la IP de gestión del punto de acceso hacia la IP del servidor RADIUS. Realice pruebas con una herramienta de prueba de RADIUS antes de la puesta en marcha.
El tercer error es el conflicto entre PPSK y el Captive Portal. NETGEAR Insight no permite tener PPSK y Captive Portal en el mismo SSID. Si necesita ambos, cree dos SSID. Nómbrelos claramente: uno para los usuarios de PPSK y otro para los invitados del Captive Portal.
El cuarto error es la validación de certificados en clientes 802.1X. Cada dispositivo Windows necesita un Group Policy Object que especifique la Entidad de Certificación (CA) de confianza y el nombre de servidor RADIUS esperado. Cada dispositivo móvil necesita un perfil de MDM con la misma configuración. Sin esto, un usuario podría autenticarse sin saberlo en un punto de acceso malicioso y entregar sus credenciales de Active Directory.
Pasemos ahora a una sesión de preguntas y respuestas rápidas. Primera pregunta: ¿Puedo usar Purple con NETGEAR Insight sin un servidor RADIUS? Sí, para las implementaciones de Captive Portal de invitados, puede utilizar el modo de autenticación web de Purple en lugar de RADIUS. El punto de acceso redirige a la página de bienvenida a través de HTTP, y Purple gestiona la autenticación mediante una sesión web. RADIUS ofrece un mayor control y mejores datos de contabilidad, pero no es obligatorio para implementaciones básicas de portal de invitados.
Segunda pregunta: ¿Cuántas claves PPSK puedo crear en NETGEAR Insight? NETGEAR Insight admite hasta 64 claves PPSK por SSID en los puntos de acceso de la serie WAX. Para la mayoría de los espacios con múltiples inquilinos, esto es más que suficiente. Si tiene más de 64 inquilinos, deberá pasar a una solución de VLAN dinámica basada en RADIUS.
Tercera pregunta: ¿Admite NETGEAR Insight WPA3 Enterprise para 802.1X? Sí, los puntos de acceso de la serie WAX admiten WPA3 Enterprise. Para la mayoría de las implementaciones en pymes, WPA2 Enterprise es suficiente y ofrece una compatibilidad de dispositivos cliente más amplia. Vale la pena considerar WPA3 Enterprise para entornos que manejan datos sensibles, como el sector sanitario o los servicios financieros.Cuarta pregunta: ¿Qué ocurre si el servidor RADIUS de Purple no está disponible? NETGEAR Insight admite una opción de seguridad ante fallos (failsafe) en la configuración del Captive Portal externo. Si activa la función failsafe, se concede acceso a Internet a los invitados durante un breve periodo de tiempo, incluso si los servidores del captive portal no están disponibles. Purple mantiene un tiempo de actividad del 99,999 % en toda su infraestructura, pero activar la función failsafe es una buena práctica para cualquier despliegue en producción.
Para resumir los puntos clave de la sesión de hoy: los puntos de acceso de la serie NETGEAR WAX se integran con Purple a través del mecanismo de Captive Portal externo en NETGEAR Insight. Puede configurar la URL de la página de inicio, las credenciales del servidor RADIUS y los dominios de walled garden en el portal Insight Cloud. Para las redes del personal, utilice WPA2 Enterprise con 802.1X y exija la validación de certificados en todos los dispositivos cliente. Para espacios multi-inquilino, la función PPSK de NETGEAR ofrece aislamiento de VLAN por inquilino desde un único SSID con hasta 64 claves exclusivas. Para los despliegues más sofisticados, la asignación dinámica de VLAN mediante atributos RADIUS proporciona una segmentación de red basada en la identidad que se adapta a quién se conecta, y no solo a desde dónde se conecta.
Si está planeando un despliegue de NETGEAR con Purple, el siguiente paso es solicitar sus credenciales de RADIUS de Purple y la lista de dominios de walled garden al equipo de soporte de Purple, y probar la redirección del captive portal en un SSID de prueba antes de lanzarlo a producción. La configuración requiere menos de 30 minutos una vez que disponga de esas credenciales.
Gracias por escuchar la sesión técnica de Purple. Para consultar la guía escrita completa, incluidos los detalles de configuración paso a paso y ejemplos prácticos, visite purple.ai.
