Arquitectura de Captive Portal: seguridad, redirección y mejores prácticas

Hable en un tono seguro, autoritario y conversacional, como un consultor de red sénior que informa a un cliente mientras toman un café. Ritmo medido, dicción clara, sin prisas. Pausas naturales ocasionales para enfatizar. Profesional pero no rígido: Bienvenido a la sesión técnica de Purple. Soy su anfitrión, y hoy profundizaremos en la arquitectura de Captive Portal; específicamente, en el modelo de seguridad, la mecánica de redirección y las decisiones de diseño que diferencian un despliegue compatible y bien diseñado de uno que le causará problemas a las tres de la mañana. [medium pause] Pongámonos en situación. Usted gestiona WiFi para invitados en una cadena hotelera, una superficie comercial o un estadio. Miles de dispositivos se conectan cada día. Algunos de esos dispositivos contienen malware. Algunos de esos usuarios intentarán acceder a contenidos que no deberían. Y su equipo legal quiere saber, por escrito, que ha obtenido un consentimiento válido antes de almacenar un solo byte de datos personales. [medium pause] Ese es el problema que la arquitectura de Captive Portal está diseñada para resolver. Analicemos cómo funciona realmente. [medium pause] Sección uno. La cadena de redirección. Cuando un dispositivo de invitado se conecta a su WiFi SSID, obtiene una dirección IP de un pool DHCP en una VLAN de invitados dedicada, llamémosla VLAN 20. Sus dispositivos corporativos están en la VLAN 10. Estas dos VLAN nunca deben enrutarse entre sí. Esto no es negociable desde el punto de vista de PCI DSS y, francamente, tampoco desde el punto de vista de la seguridad básica. Ahora, el dispositivo está conectado, pero aún no se ha autenticado. El controlador lo sitúa en lo que llamamos un estado de preautenticación. El dispositivo solo puede acceder a una pequeña lista blanca de dominios: el "walled garden". Todo lo demás es interceptado. Aquí está la parte inteligente. Cuando el dispositivo intenta cargar una página web, o cuando el sistema operativo realiza su comprobación de detección de Captive Portal (lo que iOS hace automáticamente accediendo a captive.apple.com), el resolutor DNS de la puerta de enlace devuelve la dirección IP del servidor de Captive Portal en lugar del destino real. El navegador sigue esa redirección y llega a su página de inicio (splash page). [medium pause] Esto es la Capa 3 y la Capa 7 trabajando juntas. La VLAN se encarga del aislamiento de la red. La interceptación de DNS se encarga de la redirección. Y el Captive Portal gestiona la capa de identidad y consentimiento. Tres mecanismos distintos que funcionan en secuencia. [medium pause] Sección dos. Autenticación y RADIUS. Una vez que el invitado interactúa con la página de inicio (splash page), ya sea aceptando los términos y condiciones, introduciendo una dirección de correo electrónico, autenticándose mediante inicio de sesión social o verificando un código SMS, la plataforma debe indicar al controlador de red que abra el cortafuegos para ese dispositivo específico. Aquí es donde entra en juego RADIUS. RADIUS significa Remote Authentication Dial-In User Service. Es un protocolo definido en RFC 2865 y es el estándar del sector para comunicar decisiones de autenticación entre un servidor de políticas y un dispositivo de acceso a la red. Purple funciona como un servidor RADIUS alojado en la nube. Cuando un invitado completa el flujo del Captive Portal, Purple envía un mensaje de aceptación de acceso (Access-Accept) de RADIUS al controlador WiFi local, ya sea un Cisco Meraki, un controlador HPE Aruba, un Ruckus SmartZone o un punto de acceso Juniper Mist. El controlador recibe ese mensaje y transiciona el dispositivo del invitado del estado de preautenticación al estado autorizado, abriendo las reglas del firewall y otorgando acceso a internet. [medium pause] Existe una extensión importante de RADIUS que debe conocer: Cambio de autorización o CoA (Change of Authorisation). CoA permite al servidor RADIUS enviar un mensaje a mitad de sesión al controlador para revocar o modificar una sesión que ya está activa. Purple utiliza CoA para aplicar tiempos de espera de sesión, desconectar dispositivos marcados por infracciones de políticas y admitir flujos de trabajo de derecho al borrado en virtud del GDPR, donde un usuario solicita la eliminación de sus datos y Purple puede revocar inmediatamente su sesión activa. [medium pause] Sección tres. El jardín vallado (walled garden). El walled garden es una lista de permitidos (whitelist) de direcciones IP y nombres de dominio a los que pueden acceder los dispositivos no autenticados antes de completar el flujo del Captive Portal. Si hace esto mal, su página de bienvenida no se cargará. Si lo hace muy mal, habrá creado una brecha de seguridad. Como mínimo, su walled garden debe incluir la propia URL del Captive Portal, los endpoints de CDN que sirven los recursos del portal y los endpoints de autenticación de los proveedores de inicio de sesión social que utilice (Google, Facebook, Microsoft). Si utiliza la verificación por SMS, deberá incluir en la whitelist el endpoint de la API de la pasarela de SMS. La trampa en la que caen la mayoría de las implementaciones son las direcciones IP dinámicas. Los servicios en la nube no siempre tienen IP estáticas. Si incluye en la whitelist una IP en lugar de un dominio, y esa IP cambia, su portal dejará de funcionar. Utilice listas de permitidos basadas en dominios siempre que su controlador lo admita y realice pruebas después de cada cambio. [medium pause] Sección cuatro. Diseño de seguridad. Hablemos de la arquitectura de seguridad con más detalle, porque aquí es donde la mayoría de las implementaciones presentan deficiencias. Primero: aislamiento de clientes (client isolation). Actívelo. Se trata de un ajuste en el punto de acceso que evita que los dispositivos de los invitados se comuniquen directamente entre sí a través del medio inalámbrico. Sin él, un dispositivo comprometido en su red de invitados puede sondear y atacar a otros dispositivos de invitados. Es una solución de una sola casilla de verificación que elimina toda una clase de ataques de igual a igual (peer-to-peer). Segundo: tiempos de concesión (lease times) de DHCP. En un lugar con gran afluencia de público (un centro de transporte, un estadio, una tienda minorista concurrida), se necesitan tiempos de concesión cortos. De treinta a sesenta minutos. Si deja el valor predeterminado en veinticuatro horas y tiene diez mil dispositivos conectándose en el día de un partido, agotará su grupo de direcciones IP antes del descanso. Los nuevos dispositivos no se conectarán y su equipo de operaciones recibirá quejas. Mantenga las concesiones cortas. Tercero: el cifrado. Su Captive Portal debe servirse a través de HTTPS con un certificado TLS válido. Si se sirve a través de HTTP, los navegadores modernos lo marcarán como no seguro, los usuarios desconfiarán de él y transmitirá las credenciales en texto plano. Utilice TLS 1.2 como mínimo; se prefiere TLS 1.3. La capa de transporte de WiFi debe utilizar WPA2-AES o WPA3; nunca WEP, nunca TKIP. Cuarto: segmentación de VLAN. Su VLAN de invitados debe estar completamente aislada de cualquier segmento de red que toque datos de tarjetas de pago. PCI DSS versión 4.0 es explícita al respecto. Si su red de invitados puede enrutarse a una subred que contenga un sistema de punto de venta, toda su red de TPV entrará en el ámbito de aplicación de una auditoría de PCI. Eso representa una carga de cumplimiento significativa. Segmente correctamente desde el primer día. [medium pause] Sección cinco. GDPR y cumplimiento de datos. Cada Captive Portal que recopile datos personales (y la dirección de correo electrónico, el número de teléfono y el inicio de sesión social cuentan como datos personales según el GDPR) debe cumplir con requisitos específicos. Necesita una base legal para el tratamiento. Para el WiFi de invitados, normalmente se trata del consentimiento. El consentimiento debe ser libre, específico, informado e inequívoco. Las casillas premarcadas no sirven. Vincular el consentimiento de WiFi con el consentimiento de marketing tampoco sirve. El modelo de consentimiento de opción consciente de Purple separa el consentimiento de acceso a la red del consentimiento de marketing, de modo que los invitados pueden conectarse sin verse obligados a aceptar correos electrónicos de marketing. Debe documentar qué datos recopila, por qué los recopila, dónde se almacenan y cuánto tiempo los conserva. Purple cuenta con la certificación ISO 27001, cumple con el GDPR, cumple con la CCPA y cuenta con la certificación Cyber Essentials. La plataforma almacena los datos en centros de datos conformes con políticas de retención documentadas. Y necesita un flujo de trabajo para el derecho de supresión. Si un invitado solicita la eliminación de sus datos, debe poder tramitarlo en un plazo de treinta días. La plataforma de Purple admite esto de forma nativa, y el mecanismo RADIUS CoA que mencioné antes significa que puede revocar sesiones activas al mismo tiempo. [medium pause] Pasemos ahora a las recomendaciones de implementación y a los errores que vemos con más frecuencia. [medium pause] Error uno: Walled Gardens mal configurados. La página de inicio carga, pero el botón de inicio de sesión social no funciona. O la página carga pero el logotipo no aparece porque el dominio de la CDN no está en la lista blanca. Pruebe su Walled Garden en un dispositivo nuevo sin DNS en caché antes de publicarlo. Error dos: claves PSK compartidas. Algunos establecimientos todavía utilizan una única contraseña de WiFi escrita en una pizarra. Eso no es un Captive Portal: es un secreto compartido que cualquiera puede fotografiar y compartir. No le proporciona datos de identidad, ni registro de consentimiento, ni capacidad de revocar el acceso individual. Reemplácelo por un Captive Portal gestionado. Error tres: tamaño insuficiente del pool de DHCP. Ya he hablado de esto, pero conviene repetirlo. Ajuste el tamaño de su pool de DHCP para las conexiones simultáneas máximas, no para las conexiones medias. En un estadio con cuarenta mil aficionados, es posible que tenga veinte mil dispositivos intentando conectarse simultáneamente. Planifique en consecuencia. Cuarto error: sin tiempo de espera de sesión. Sin un tiempo de espera de sesión, un dispositivo que se conectó hace seis meses y nunca regresó sigue teniendo un estado de sesión autorizado en su controlador. Ese es un registro obsoleto que desperdicia recursos y genera ruido en las auditorías. Establezca tiempos de espera de sesión. Treinta minutos de inactividad es un valor predeterminado razonable. [medium pause] Preguntas y respuestas rápidas. Pregunta: ¿Funciona el Captive Portal en todos los dispositivos? Respuesta: Los sistemas operativos modernos (iOS, Android, Windows, macOS) tienen detección de Captive Portal integrada. Detectan la redirección y muestran el portal automáticamente. Los dispositivos más antiguos pueden requerir que el usuario abra un navegador manualmente. La plataforma de Purple gestiona ambos flujos. Pregunta: ¿Podemos usar el Captive Portal junto con 802.1X? Respuesta: Sí. Muchas implementaciones empresariales utilizan 802.1X para los dispositivos del personal (donde los certificados o credenciales se autentican automáticamente) y un Captive Portal para los dispositivos de invitados en un SSID independiente. Purple se integra con la infraestructura RADIUS que admite ambos flujos simultáneamente. Pregunta: ¿Y qué pasa con OpenRoaming? Respuesta: OpenRoaming es un estándar que permite a los dispositivos conectarse a WiFi automáticamente mediante autenticación basada en certificados, omitiendo el Captive Portal por completo. Purple actúa como un proveedor de identidad gratuito para OpenRoaming bajo la licencia Connect. Es la dirección del futuro para una conectividad de invitados fluida, pero los Captive Portals siguen siendo el estándar para la captura de datos y la gestión del consentimiento en la actualidad. [medium pause] En resumen. Una implementación de Captive Portal bien diseñada se basa en cinco pilares. Aislamiento de VLAN para proteger su red corporativa. Intercepción de DNS y redirección HTTPS para mostrar la página de bienvenida. Autenticación RADIUS para abrir el cortafuegos tras el consentimiento. Un walled garden configurado correctamente para garantizar que el portal se cargue de forma fiable. Y un tratamiento de datos que cumpla con el GDPR para proteger tanto a sus invitados como a su organización. La plataforma de Purple gestiona las cinco capas en más de 80 000 establecimientos activos, con 440 millones de inicios de sesión procesados en 2024 y un tiempo de actividad del 99,999 %. Se integra de forma nativa con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet, por lo que, independientemente del hardware que utilice, podrá realizar la implementación sin tener que reemplazar sus equipos existentes. Si desea profundizar en alguno de estos temas (diseño de SSID, configuración de RADIUS o flujos de trabajo de conformidad con el GDPR), visite purple.ai para acceder a la biblioteca completa de guías técnicas. Gracias por su atención.