Saltar al contenido principal

Aruba ClearPass vs. Purple WiFi: comparación de funciones y co-despliegue

Una guía técnica exhaustiva que detalla la arquitectura de co-despliegue de Aruba ClearPass y Purple WiFi. Cubre la configuración de proxy RADIUS, la asignación dinámica de VLAN y las mejores prácticas para ofrecer redes de invitados seguras y basadas en análisis junto con el NAC empresarial.

📖 6 min de lectura📝 1,499 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Speak in British English with a confident, authoritative, and conversational tone. You are a senior network consultant briefing a client. Measured pace, clear diction, professional but not stiff. Occasional natural pauses for emphasis: Bienvenido a esta sesión técnica de Purple. Soy su anfitrión, y hoy vamos a abordar una pregunta que surge en casi todos los proyectos de redes inalámbricas empresariales en los que trabajamos: cuando ya tiene implementado Aruba ClearPass, ¿dónde encaja Purple WiFi y cómo funcionan juntos ambos sistemas? [medium pause] Esta no es una discusión teórica. Si usted es responsable de TI, arquitecto de red o ingeniero de seguridad en un grupo hotelero, una cadena de tiendas o un operador de estadios, esta es una decisión que podría tener que tomar este trimestre. Así que entremos en materia. [medium pause] Introducción y contexto. [short pause] En primer lugar, tengamos claro para qué está diseñada realmente cada plataforma. Aruba ClearPass Policy Manager es una plataforma de Network Access Control. Su función es autenticar dispositivos y usuarios, evaluar el estado de seguridad de los terminales y aplicar políticas de acceso en toda su red. Gestiona 802.1X, que es el estándar IEEE para el control de acceso a redes basado en puertos, utilizando métodos EAP como EAP-TLS con certificados y PEAP con nombre de usuario y contraseña. Se integra con Microsoft Entra ID, Okta y otros proveedores de identidad. Analiza el perfil de los dispositivos, comprueba si cumplen con su política de seguridad y los asigna al rol de red adecuado. Para dispositivos corporativos, ClearPass es excelente. Fue diseñado exactamente para este caso de uso. [medium pause] Purple WiFi es un concepto totalmente diferente. Purple es una plataforma de inteligencia de WiFi para invitados basada en la nube. Su función es autenticar a los visitantes a través de un Captive Portal personalizado, capturar datos de origen con flujos de consentimiento conformes con el GDPR y enviar esos datos a su pila de marketing y analítica. Purple opera en más de 80.000 establecimientos en todo el mundo y ha procesado 440 millones de inicios de sesión solo en 2024. Se integra con más de 400 conectores, incluidos CRM y plataformas de automatización de marketing. Para redes de invitados, Purple es el especialista. [medium pause] El problema al que se enfrentan la mayoría de las organizaciones es que intentan utilizar una sola plataforma para realizar ambas tareas. O bien piden a ClearPass que gestione su portal de invitados, algo que puede hacer pero no de forma elegante, o bien implementan Purple sin pensar en cómo se sitúa junto a su inversión actual en NAC. La respuesta correcta es una arquitectura de co-implementación en la que cada plataforma hace lo que mejor sabe hacer. [medium pause] Inmersión técnica profunda. [short pause] Permítame guiarle a través de la arquitectura. En una co-implementación, su Aruba Mobility Controller o sus puntos de acceso Aruba Instant transmiten múltiples SSID. Normalmente tres: uno para dispositivos corporativos, otro para invitados y otro para IoT. Para obtener más información sobre este patrón de diseño de SSID, Purple ha publicado una guía detallada llamada "Three SSIDs to rule them all", que le recomiendo leer junto con esta sesión informativa. [medium pause] El SSID corporativo utiliza 802.1X con EAP-TLS. Los dispositivos se autentican mediante certificados aprovisionados a través de ClearPass Onboard, que es el módulo integrado de registro de certificados y aprovisionamiento de dispositivos de ClearPass. ClearPass comprueba el estado de seguridad del dispositivo, verifica el certificado, consulta Active Directory o Microsoft Entra ID y asigna el dispositivo a la VLAN correspondiente. Normalmente, la VLAN 10 para el tráfico corporativo. Todo este flujo de trabajo se gestiona dentro de ClearPass. Purple no interviene. [medium pause] En el SSID de invitados es donde se realiza la integración. Cuando un visitante se conecta al SSID de invitados, el controlador de Aruba intercepta su tráfico HTTP y redirige su navegador al Captive Portal de Purple. El visitante se autentica a través de Purple, por ejemplo, utilizando el inicio de sesión social a través de Google, un formulario de correo electrónico personalizado o OpenRoaming, donde Purple actúa como un proveedor de identidad gratuito bajo la licencia Connect. Una vez que Purple valida al visitante, envía un mensaje RADIUS Access-Accept de vuelta al controlador, el cual concede el acceso a internet. [medium pause] Ahora, la decisión arquitectónica clave es si se introduce ClearPass como un proxy RADIUS entre el controlador y Purple, o si el controlador se comunica directamente con los servidores RADIUS de Purple. Para la mayoría de las implementaciones empresariales, el modelo proxy es la opción correcta. He aquí por qué. [medium pause] Con ClearPass como proxy RADIUS, cada evento de autenticación en su red, tanto corporativa como de invitados, fluye a través de ClearPass. Se obtiene un único registro de auditoría. Su equipo de operaciones de seguridad lo ve todo en un solo lugar. ClearPass puede añadir sus propios atributos de política antes de devolver la respuesta al controlador, lo que permite la asignación dinámica de VLAN según el rol. Y usted conserva la capacidad de aplicar políticas adicionales a las sesiones de invitados, como límites de ancho de banda o restricciones de acceso basadas en el tiempo. Hable en un tono seguro, autoritario y conversacional. Es un consultor de redes sénior que informa a un cliente. Ritmo pausado, dicción clara, profesional pero no rígido: La configuración del proxy en ClearPass es sencilla. Se crea una política de enrutamiento RADIUS que coincide con el SSID de invitados mediante el identificador NAS o el ID de la estación de llamada. Las solicitudes que coinciden con esa política se reenvían a los servidores RADIUS en la nube de Purple. Purple responde, ClearPass añade el atributo específico del fabricante Aruba-User-Role y el controlador sitúa al invitado en la VLAN 20 con acceso exclusivo a internet. [medium pause] Para los dispositivos IoT, el tercer SSID utiliza la omisión de autenticación MAC. ClearPass perfila el dispositivo utilizando su OUI, los seis primeros caracteres de la dirección MAC que identifican al fabricante, y lo asigna al ROLE_IOT, que se asocia con la VLAN 30. Esta VLAN no tiene acceso a internet, solo conectividad local. Sus televisores inteligentes, termostatos y cerraduras inteligentes quedan completamente aislados tanto del tráfico corporativo como del de invitados. [medium pause] Hablemos de cumplimiento, porque aquí es donde la arquitectura demuestra su valor. Bajo PCI DSS, cualquier segmento de red que toque datos de titulares de tarjetas debe estar aislado de las redes de invitados. La segmentación VLAN en esta arquitectura cumple con ese requisito. Bajo GDPR, el Captive Portal de Purple gestiona la recogida de consentimiento con opciones de aceptación de elección consciente, lo que significa que los visitantes eligen activamente compartir sus datos en lugar de que se recopilen por defecto. Purple cuenta con la certificación ISO 27001, cumple con GDPR y tiene la certificación Cyber Essentials. ClearPass proporciona el registro de auditoría que su equipo de seguridad necesita para los informes de cumplimiento. [medium pause] Recomendaciones de implementación y errores comunes. [short pause] Permítame mostrarle las cinco cosas que más suelen fallar en este despliegue y cómo evitarlas. [medium pause] Número uno: el walled garden. Antes de que un visitante se autentique, el controlador Aruba solo permite el tráfico a una lista predefinida de destinos. Si los dominios del portal de Purple, sus endpoints de CDN y los dominios de los proveedores de inicio de sesión social no están en esa lista, el portal no se cargará. Debe incluir asterisco punto purple punto ai, asterisco punto cloudfront punto net y los dominios de OAuth de los proveedores de inicio de sesión social que esté habilitando. Google, Facebook, Apple y Microsoft Entra ID tienen sus propios conjuntos de dominios. Trate el walled garden como una configuración viva, porque los proveedores de inicio de sesión social cambian sus dominios de CDN periódicamente. [medium pause] Número dos: tiempos de espera de RADIUS. El tiempo de espera de RADIUS por defecto en la mayoría de los controladores Aruba es de tres segundos. En una arquitectura de proxy, la solicitud viaja desde el punto de acceso al controlador, a ClearPass, a través de internet a la nube RADIUS de Purple, y de vuelta. En una red congestionada, ese viaje de ida y vuelta puede superar los tres segundos. Establezca su tiempo de espera en al menos diez segundos y configure la lógica de reintento con al menos dos reintentos. [medium pause] Número tres: discrepancias en el secreto compartido. El secreto compartido entre el controlador Aruba y ClearPass debe coincidir exactamente. El secreto compartido entre ClearPass y los servidores RADIUS de Purple también debe coincidir exactamente. Una diferencia de un solo carácter provoca fallos de autenticación silenciosos sin ningún mensaje de error útil para el visitante. Verifique siempre estos datos carácter por carácter. [medium pause] Número cuatro: distinción entre mayúsculas y minúsculas en el nombre del rol. El atributo Aruba-User-Role devuelto por ClearPass debe coincidir exactamente con el nombre del rol definido en el controlador Aruba, incluyendo las mayúsculas. Si ClearPass devuelve guest-authenticated pero el controlador tiene definido Guest-Authenticated, el visitante vuelve al rol de inicio de sesión por defecto sin acceso a internet. [medium pause] Número cinco: contabilidad de RADIUS. Muchas implementaciones configuran la delegación de autenticación correctamente pero se olvidan de delegar también la contabilidad. Purple utiliza los datos de contabilidad de RADIUS para realizar el seguimiento de la duración de las sesiones, el uso de datos y para rellenar sus paneles de analítica. Si la contabilidad no fluye hacia Purple, sus informes de analítica de visitas y tiempo de permanencia estarán incompletos. [medium pause] Preguntas rápidas. [short pause] ¿Puedo ejecutar esto en Aruba Instant en lugar de en un Mobility Controller completo? Sí. Aruba Instant es compatible con servidores RADIUS externos y redireccionamiento de Captive Portal. La configuración varía ligeramente, pero los principios son idénticos. [medium pause] ¿Es Purple compatible con Change of Authorisation? Sí. El CoA permite al controlador actualizar dinámicamente la sesión de un visitante sin necesidad de que se vuelva a conectar. Esto es útil para accesos con límite de tiempo o mejoras de categoría. [medium pause] ¿Funciona esto con WPA3? Sí. Se admiten tanto WPA3-SAE para redes personales como WPA3-Enterprise para 802.1X. Para redes de invitados que utilizan Captive Portals, las opciones habituales son WPA3-SAE o un SSID abierto con Opportunistic Wireless Encryption. [medium pause] ¿Puedo utilizar un único SSID tanto para empleados como para invitados? Puede hacerlo, pero añade complejidad. ClearPass gestiona tanto la autenticación 802.1X como la autenticación MAC en el mismo SSID, utilizando reglas de servicio para diferenciar los tipos de tráfico y dirigir el enrutamiento en consecuencia. Para la mayoría de los recintos, SSID independientes son la opción más limpia. [medium pause] Resumen y próximos pasos. [short pause] ClearPass y Purple son complementarios, no competencia. ClearPass es su motor de políticas para dispositivos corporativos: 802.1X, estado del endpoint, gestión de certificados y registro de auditoría unificado. Purple es su plataforma de inteligencia de invitados: Captive Portal personalizado con su marca, captura de datos que cumple con el GDPR, analítica de visitas y automatización de marketing. [medium pause] La arquitectura de implementación conjunta utiliza ClearPass como proxy de RADIUS. Todas las solicitudes de autenticación fluyen a través de ClearPass. Las solicitudes de invitados se dirigen al RADIUS en la nube de Purple. Las solicitudes corporativas son gestionadas localmente por ClearPass. El controlador Aruba aplica las políticas resultantes mediante la asignación dinámica de VLAN. [medium pause] Los tres elementos de configuración que debe implementar correctamente son: el walled garden, los tiempos de espera de RADIUS y la coherencia en los nombres de los roles. Si los configura bien, dispondrá de una implementación de WiFi para invitados que cumple las normativas y tiene valor comercial, sin comprometer el nivel de seguridad corporativa. [medium pause] Para sus próximos pasos: obtenga las credenciales de RADIUS del recinto de Purple desde el panel de control de Purple, revise la lista de referencia del walled garden en la guía escrita adjunta y pruebe todo el flujo de autenticación con un dispositivo de prueba dedicado antes de ponerlo en producción. Si va a realizar la implementación en varias sedes, la consola de gestión multisitio de Purple le permite administrar las configuraciones del Captive Portal, la imagen de marca y la analítica de todo su patrimonio desde una única interfaz. [medium pause] Gracias por escucharnos. Visite purple.ai para hablar con un arquitecto de soluciones sobre su despliegue específico.

header_image.png

Resumen ejecutivo

Para entornos empresariales con una gran inversión en infraestructura HPE Aruba, gestionar políticas complejas de acceso a la red y, al mismo tiempo, ofrecer una experiencia de WiFi para invitados fluida y rica en datos presenta un desafío arquitectónico importante. Mientras que Aruba ClearPass Policy Manager destaca en el control de acceso a la red (NAC) y la seguridad 802.1X para dispositivos corporativos, su Captive Portal integrado a menudo carece de la automatización de marketing avanzada y las analíticas que requieren los espacios modernos. Esta guía detalla cómo integrar Purple WiFi con ClearPass, lo que permite que cada plataforma se centre en sus puntos fuertes.

Al implementar ClearPass como un proxy RADIUS, se mantiene un registro de auditoría de seguridad unificado y una asignación dinámica de VLAN para dispositivos corporativos e IoT, mientras se delega la experiencia de incorporación de invitados en Purple. Este enfoque permite la captura de datos de primera mano de conformidad con el GDPR, analíticas detalladas de afluencia e integraciones con más de 400 conectores de marketing, todo ello sin tener que reemplazar su inversión existente en el NAC de Aruba. Este documento proporciona el diseño técnico para esta implementación conjunta, abarcando la arquitectura, los flujos de trabajo de configuración y las mejores prácticas.

Análisis técnico profundo

La integración de Aruba ClearPass y Purple WiFi se basa en protocolos RADIUS estándar y mecanismos de redirección HTTP, estructurados en torno a una arquitectura de proxy RADIUS. Este diseño garantiza que ClearPass siga siendo el punto central de decisión de políticas para todo el acceso a la red, mientras que Purple gestiona el Captive Portal orientado al invitado y la recopilación de datos.

Arquitectura principal

En una implementación conjunta estándar, sus Aruba Mobility Controllers o Aruba Instant Access Points emiten múltiples SSIDs. Un patrón de diseño típico, como se detalla en Three SSIDs to rule them all: the WiFi design for guest, staff and IoT , utiliza tres redes dedicadas:

  1. SSID corporativo: Utiliza 802.1X con EAP-TLS. Los dispositivos se autentican mediante certificados provistos a través de ClearPass Onboard. ClearPass evalúa el estado de seguridad del dispositivo, consulta a Microsoft Entra ID o Active Directory y asigna el dispositivo a la VLAN corporativa (por ejemplo, VLAN 10). Purple no interviene en este flujo.
  2. SSID de IoT: Utiliza MAC Authentication Bypass (MAB). ClearPass perfila el dispositivo utilizando su identificador único de organización (OUI) y lo asigna a una VLAN de IoT aislada (por ejemplo, VLAN 30) sin acceso a internet.
  3. SSID de invitados: Una red abierta o con encriptación inalámbrica oportunista (OWE) que activa el Captive Portal de Purple. architecture_overview.png

Flujo del Proxy RADIUS

Cuando un visitante se conecta al SSID de invitados y abre un navegador, el controlador de Aruba intercepta el tráfico HTTP y redirige la sesión a la URL del Captive Portal de Purple. El visitante se autentica a través de Purple mediante inicio de sesión social, formularios personalizados u OpenRoaming (donde Purple actúa como un proveedor de identidad gratuito bajo el plan Connect).

Una vez que Purple valida al visitante, envía un mensaje RADIUS Access-Accept. Sin embargo, en lugar de que el controlador de Aruba se comunique directamente con los servidores RADIUS en la nube de Purple, ClearPass se integra como un proxy RADIUS:

  1. El controlador de Aruba envía todas las solicitudes RADIUS a ClearPass.
  2. ClearPass evalúa la solicitud con respecto a sus Reglas de Servicio. Si la solicitud coincide con el SSID de invitados (identificado por el Called-Station-Id o el identificador NAS), la Política de Enrutamiento RADIUS reenvía la solicitud a los servidores RADIUS de Purple.
  3. Purple responde con un mensaje Access-Accept.
  4. ClearPass recibe esta respuesta y aplica su propia Política de Aplicación (Enforcement Policy), añadiendo Atributos Específicos del Fabricante (VSAs) específicos antes de reenviar la respuesta final al controlador.

Asignación Dinámica de VLAN Basada en Roles

El VSA clave en esta arquitectura es Aruba-User-Role. Cuando ClearPass reenvía el mensaje Access-Accept al controlador, incluye este atributo para definir con precisión qué rol debe asumir el visitante en la red inalámbrica.

Por ejemplo, ClearPass puede devolver Aruba-User-Role = guest-authenticated. En el controlador de Aruba, este rol se asigna a la VLAN 20, que está configurada con políticas de firewall que permiten el acceso a internet pero bloquean el enrutamiento a las subredes corporativas internas. Esta segmentación es esencial para el cumplimiento de estándares como PCI-DSS [1].

comparison_chart.png

Guía de Implementación

Desplegar esta arquitectura requiere una configuración precisa tanto en la infraestructura de Aruba como en ClearPass. Siga estos pasos independientes del fabricante para establecer la integración.

Paso 1: Configurar los Servidores RADIUS de Purple en ClearPass

Navegue a Configuración > Red > Dispositivos en ClearPass y añada los servidores RADIUS primario y secundario de Purple como dispositivos de red. Necesitará las direcciones IP y el secreto compartido proporcionados en su panel de configuración de ubicaciones de Purple.

Paso 2: Crear una Política de Enrutamiento RADIUS

Crear una nueva Política de Enrutamiento RADIUS en ClearPass. Esta política determinará bajo qué condiciones se realiza el proxy de las solicitudes a Purple. Establezca los destinos principal y de respaldo en los servidores RADIUS de Purple que configuró en el Paso 1.

Paso 3: Definir el Servicio de Invitados

Crear un nuevo Servicio en ClearPass para la autenticación de invitados.

  • Tipo: Aplicación RADIUS (Genérico)
  • Reglas de servicio: Coinciden con el Radius:IETF:Called-Station-Id que contiene el nombre de su SSID de invitados.
  • Política de enrutamiento: Seleccione la política creada en el Paso 2.
  • Política de aplicación: Configure una política para devolver el VSA Aruba-User-Role con el valor correspondiente a su rol de invitado en el controlador Aruba.

Paso 4: Configurar el Walled Garden en el controlador

El walled garden es una lista de dominios a los que un dispositivo puede acceder antes de la autenticación. Esto se configura en el controlador Aruba (o mediante reglas de acceso en ArubaOS 10). Debe incluir los dominios principales de Purple:

  • *.purple.ai
  • *.cloudfront.net
  • *.venuewifi.com

Si va a habilitar los inicios de sesión con redes sociales, también debe agregar los dominios de OAuth para cada proveedor (por ejemplo, *.facebook.com, *.google.com, *.microsoftonline.com).

Paso 5: Configurar la contabilidad de RADIUS

Asegúrese de que la contabilidad de RADIUS también se esté enviando a través de un proxy mediante ClearPass a Purple. Purple utiliza los datos de contabilidad (Acct-Start, Acct-Interim-Update, Acct-Stop) para realizar el seguimiento de la duración de la sesión y completar su panel de control de analíticas de WiFi (/guest-wifi-marketing-analytics-platform). Establezca el intervalo de contabilidad en 5 minutos en el controlador Aruba.

Buenas prácticas

Para garantizar una implementación sólida y constante, siga estas recomendaciones estándar del sector.

  • Segregar el tráfico de forma estricta: Coloque siempre el tráfico de invitados en una VLAN dedicada sin ruta de acceso a los recursos corporativos. Este es un requisito fundamental para PCI DSS y la seguridad general de la red.
  • Datos de contabilidad proxy: No descuide la contabilidad de RADIUS. Si los paquetes de contabilidad no llegan a Purple, sus informes de analíticas de afluencia y tiempo de permanencia estarán incompletos.
  • Habilitar WISPr: En el perfil del Captive Portal del controlador Aruba, asegúrese de que WISPr (Wireless Internet Service Provider roaming) esté habilitado. Este protocolo permite que los sistemas operativos móviles detecten automáticamente el Captive Portal y muestren la pantalla de inicio de sesión sin problemas.
  • Utilizar el consentimiento explícito de elección activa: Para cumplir con el GDPR, configure su portal de Purple para usar casillas de verificación de consentimiento explícito para las comunicaciones de marketing en lugar de casillas ya marcadas o consentimiento implícito [2].

Resolución de problemas y mitigación de riesgos

Incluso con una configuración cuidadosa, las integraciones pueden fallar. Estos son los modos de fallo más comunes y cómo resolverlos.

Configuración incorrecta del Walled Garden

Si el Captive Portal no se carga en el dispositivo de un visitante, la causa principal casi siempre es el walled garden. Los proveedores de inicio de sesión social actualizan con frecuencia sus rangos de IP de CDN y nombres de dominio. Trate el walled garden como una configuración en continuo cambio. Si falla un inicio de sesión social específico, utilice una captura de paquetes para identificar a qué dominio intenta acceder el dispositivo y agréguelo a la lista de permitidos.

Errores de tiempo de espera de RADIUS

El tiempo de espera de RADIUS predeterminado en la mayoría de los controladores Aruba es de 3 segundos. En una arquitectura proxy, la solicitud de autenticación debe viajar desde el AP al controlador, a ClearPass, a través de internet hasta la infraestructura en la nube de Purple y de regreso. En una red congestionada, este viaje de ida y vuelta puede superar fácilmente los 3 segundos, lo que hace que el controlador descarte la solicitud. Aumente el tiempo de espera de RADIUS en el controlador Aruba a al menos 10 segundos y configure la lógica de reintento.

Discrepancia en el Secreto Compartido

RADIUS depende de secretos compartidos para la seguridad. Si el secreto compartido entre el controlador Aruba y ClearPass, o entre ClearPass y Purple, no coincide exactamente, la autenticación fallará de forma silenciosa. Al visitante no se le mostrará ningún mensaje de error útil. Verifique siempre estos secretos carácter por carácter si la autenticación está fallando.

Sensibilidad a Mayúsculas y Minúsculas en el Nombre del Rol

El valor del VSA Aruba-User-Role devuelto por ClearPass debe coincidir exactamente con el nombre del rol definido en el controlador Aruba, incluyendo mayúsculas y minúsculas. Si ClearPass devuelve guest-authenticated pero el controlador espera Guest-Authenticated, el visitante volverá al rol de inicio de sesión predeterminado y no tendrá acceso a internet.

ROI e Impacto Comercial

Implementar Purple WiFi en lugar de un Captive Portal local básico ofrece un valor comercial medible en múltiples departamentos.

  • Impacto de Marketing: Al capturar datos de origen a través del portal, los establecimientos experimentan un aumento significativo en sus bases de datos de marketing. Por ejemplo, Harrods logró un ROI de marketing de 57 veces utilizando Purple para impulsar las suscripciones a programas de fidelización [3].
  • Eficiencia Operativa: La arquitectura de proxy RADIUS reduce la carga operativa de TI. Los equipos de seguridad mantienen un único panel de control en ClearPass para todos los eventos de acceso a la red, lo que simplifica los informes de cumplimiento y la resolución de problemas.
  • Monetización: Para los establecimientos de los sectores de transporte u hostelería , Purple permite modelos de ancho de banda por niveles. AGS Airports generó un ROI del 842% al implementar un nivel de WiFi premium de pago junto con un nivel básico gratuito [4].

Al implementar este despliegue conjunto, transformará su red de invitados de un centro de costes a un activo generador de ingresos, al tiempo que mantiene la rigurosa postura de seguridad que requiere la TI empresarial.

Referencias

[1] PCI Security Standards Council. "Payment Card Industry (PCI) Data Security Standard." [2] Information Commissioner's Office (ICO). "Guide to the General Data Protection Regulation (GDPR)." [3] Purple. "Caso de Estudio de WiFi para Invitados de Harrods." [4] Purple. "Caso de Estudio de WiFi para Invitados de AGS Airports."

Definiciones clave

Proxy RADIUS

Una arquitectura en la que un servidor intermedio (ClearPass) recibe solicitudes de autenticación de un dispositivo de red (controlador Aruba) y las reenvía al servidor backend adecuado (Purple), lo que permite al proxy inspeccionar, registrar o modificar el tráfico.

Se utiliza para mantener un único registro de auditoría de seguridad en ClearPass al tiempo que se permite que Purple gestione la autenticación de invitados.

Walled Garden

Un entorno limitado que controla el acceso de un usuario al contenido web antes de que se haya autorizado por completo en la red.

Esencial para los portales cautivos; el walled garden debe permitir el acceso a los dominios de alojamiento del portal y a los proveedores de inicio de sesión social para que la página de inicio de sesión pueda cargarse.

Atributo específico del proveedor (VSA)

Campos de datos personalizados dentro del protocolo RADIUS que permiten a los proveedores de hardware admitir funciones propietarias no definidas en los RFC estándar de RADIUS.

ClearPass utiliza el VSA "Aruba-User-Role" para indicar al controlador Aruba exactamente qué rol de firewall y qué VLAN asignar a un usuario invitado.

802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos que proporciona un mecanismo de autenticación a los dispositivos que desean conectarse a una LAN o WLAN.

El protocolo principal utilizado por ClearPass para proteger los dispositivos corporativos, normalmente utilizando EAP-TLS con certificados.

Captive Portal

Una página web que el usuario de una red de acceso público está obligado a ver e interactuar con ella antes de que se le conceda el acceso.

Purple proporciona la interfaz de Captive Portal para capturar datos de visitantes, mostrar la imagen de marca y recopilar el consentimiento de marketing.

Bypass de autenticación MAC (MAB)

Una técnica que utiliza la dirección MAC de un dispositivo para autenticarlo en la red cuando el dispositivo no admite suplicantes 802.1X.

Utilizado por ClearPass para perfilar y autenticar dispositivos IoT sin interfaz de usuario directa, como televisiones inteligentes o termostatos, ubicándolos en una VLAN aislada.

Asignación dinámica de VLAN

El proceso de asignar automáticamente un dispositivo a una red de área local virtual específica en función de sus credenciales de autenticación o de su rol, en lugar del SSID al que se conectó.

Permite que una única infraestructura de red física segmente de forma segura el tráfico corporativo, de invitados y de IoT.

WISPr

Itinerancia del proveedor de servicios de Internet inalámbrico; un protocolo que permite a los dispositivos detectar automáticamente los portales cautivos.

Debe estar habilitado en el controlador Aruba para que los dispositivos móviles muestren automáticamente la pantalla de inicio de sesión de Purple al conectarse al WiFi de invitados.

Ejemplos prácticos

Un hotel de 500 habitaciones necesita desplegar una WiFi corporativa segura para el personal y un portal para invitados con marca personalizada y captura de datos para los visitantes, utilizando los controladores Aruba y ClearPass existentes.

Despliegue dos SSID: "Hotel_Corp" y "Hotel_Guest". Configure "Hotel_Corp" para la autenticación 802.1X contra Active Directory a través de ClearPass, asignando al personal la VLAN 10. Configure "Hotel_Guest" como una red abierta que redirija al Captive Portal de Purple. Configure ClearPass como un proxy RADIUS para el SSID de invitados, reenviando las solicitudes a Purple. Configure ClearPass para que devuelva el VSA "Aruba-User-Role" tras una autenticación correcta en Purple, asignando a los invitados a una VLAN 20 aislada.

Comentario del examinador: Este enfoque aísla perfectamente el tráfico corporativo y el de invitados, cumpliendo con los requisitos de PCI-DSS. Aprovecha la solidez de ClearPass para 802.1X al tiempo que delega el portal de invitados y los análisis en Purple, evitando la necesidad de contar con dos soluciones NAC independientes.

Los visitantes se están conectando al SSID de invitados, pero la página del Captive Portal de Purple no se carga en sus dispositivos.

Revise y actualice la configuración del walled garden en el controlador Aruba. Asegúrese de que los dominios principales de Purple (*.purple.ai, *.cloudfront.net, *.venuewifi.com) estén explícitamente permitidos. Si el inicio de sesión social está habilitado, verifique que todos los dominios OAuth necesarios (por ejemplo, *.facebook.com, *.google.com) también estén incluidos en la lista de permitidos previa a la autenticación.

Comentario del examinador: Las configuraciones incorrectas del walled garden son la causa más común de fallos en el Captive Portal. Los dispositivos deben poder conectarse con la infraestructura de alojamiento del portal y con la CDN antes de estar completamente autorizados en la red.

Preguntas de práctica

Q1. ¿Se ha configurado ClearPass para actuar como proxy de autenticación de invitados hacia Purple. El invitado se autentica correctamente en el portal de Purple, pero el controlador Aruba lo ubica en el rol predeterminado 'logon' sin acceso a internet en lugar del rol 'guest-access' previsto. ¿Cuál es el error de configuración más probable?

Sugerencia: Compruebe cómo ClearPass comunica la asignación de roles de vuelta al controlador.

Ver respuesta modelo

La distinción entre mayúsculas y minúsculas en el nombre del rol no coincide. El valor del VSA Aruba-User-Role devuelto por ClearPass debe coincidir exactamente con el nombre del rol definido en el controlador Aruba. Si hay una errata o una diferencia de mayúsculas (por ejemplo, 'Guest-Access' frente a 'guest-access'), el controlador no reconocerá el rol y colocará al usuario en el estado restringido predeterminado.

Q2. Una cadena de tiendas quiere desplegar Purple WiFi para analíticas de invitados, pero su equipo de seguridad insiste en que todos los eventos de autenticación de red se registren de forma centralizada en su sistema Aruba ClearPass existente para cumplir con las normativas. ¿Cómo debería diseñarse la arquitectura?

Sugerencia: Considere cómo fluye el tráfico RADIUS entre los puntos de acceso, ClearPass y Purple.

Ver respuesta modelo

Implemente una arquitectura de proxy RADIUS. Configure los controladores Aruba para enviar todas las solicitudes RADIUS a ClearPass. En ClearPass, cree una política de enrutamiento que reenvíe las solicitudes del SSID de invitados a los servidores RADIUS en la nube de Purple. Esto garantiza que Purple gestione el portal de invitados y las analíticas, mientras que ClearPass mantiene un registro de auditoría completo y centralizado de todos los eventos de autenticación.

Q3. Tras desplegar la integración, el equipo de marketing informa que el panel de analíticas de Purple muestra cero datos para el "tiempo de permanencia" de los visitantes, a pesar de que los invitados se conectan y usan internet con éxito. ¿Qué paso de configuración se omitió?

Sugerencia: Los cálculos del tiempo de permanencia requieren actualizaciones continuas sobre el estado de la sesión, no solo la autenticación inicial.

Ver respuesta modelo

La contabilidad RADIUS no se está enviando como proxy a Purple. Aunque el proxy de autenticación permite a los usuarios acceder a la red, Purple requiere paquetes de contabilidad RADIUS (Acct-Start, Acct-Interim-Update, Acct-Stop) para calcular la duración de la sesión y el tiempo de permanencia. Debe asegurarse de que ClearPass esté configurado para enviar por proxy los datos de contabilidad a Purple y de que el controlador esté configurado para enviar actualizaciones provisionales (por ejemplo, cada 5 minutos).

Continúe leyendo esta serie

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Esta guía de referencia técnica describe la arquitectura, configuración y despliegue de la autenticación RADIUS para redes WiFi empresariales de invitados y de personal. Proporciona a los arquitectos de redes y responsables de TI los protocolos exactos, los estándares de seguridad y las metodologías de resolución de problemas necesarios para crear sistemas de control de acceso inalámbrico seguros y escalables.

Leer la guía →

Passpoint y OpenRoaming: Guía completa

Esta guía de referencia técnica proporciona un análisis exhaustivo de los frameworks Passpoint (Hotspot 2.0) y WBA OpenRoaming dentro de las redes WiFi empresariales. Detalla los protocolos de autenticación subyacentes, los componentes arquitectónicos y las estrategias de despliegue necesarias para establecer una conectividad de invitados segura y sin fricciones. Los arquitectos de redes y los líderes de TI aprenderán a diseñar, implementar y solucionar problemas de estos estándares para eliminar las barreras de inicio de sesión manual mientras mantienen una seguridad de nivel empresarial.

Leer la guía →

Cómo implementar SCEP para un BYOD seguro y registro de red en educación superior

Esta guía técnica proporciona a arquitectos de red y directores de TI un plan de acción independiente del proveedor para desplegar el registro de certificados basado en SCEP para proteger las redes de campus de educación superior. Detalla cómo migrar de PEAP basado en contraseñas a 802.1X EAP-TLS, automatizar la incorporación de BYOD y aplicar una segmentación robusta de VLAN.

Leer la guía →