Aruba ClearPass vs. Purple WiFi: comparativa de funciones y codespliegue

Hable en inglés británico con un tono seguro, autoritario y conversacional. Usted es un consultor de red sénior que informa a un cliente. Ritmo pausado, dicción clara, profesional pero no rígido. Pausas naturales ocasionales para dar énfasis: Bienvenido a esta sesión técnica de Purple. Soy su anfitrión, y hoy vamos a tratar una pregunta que surge en casi todos los proyectos de WiFi empresarial en los que trabajamos: cuando ya tiene Aruba ClearPass implementado, ¿dónde encaja Purple WiFi y cómo funcionan juntos ambos sistemas? [medium pause] Esta no es una discusión teórica. Si es director de TI, arquitecto de redes o ingeniero de seguridad en un grupo hotelero, una cadena minorista o un operador de estadios, esta es una decisión que podría tener que tomar este trimestre. Así que entremos en materia. [medium pause] Introducción y contexto. [short pause] En primer lugar, tengamos claro para qué está diseñada realmente cada plataforma. Aruba ClearPass Policy Manager es una plataforma de Network Access Control. Su función es autenticar dispositivos y usuarios, evaluar el estado de los terminales y aplicar políticas de acceso en toda la red. Gestiona 802.1X, que es el estándar IEEE para el control de acceso a redes basado en puertos, utilizando métodos EAP como EAP-TLS con certificados y PEAP con nombre de usuario y contraseña. Se integra con Microsoft Entra ID, Okta y otros proveedores de identidad. Analiza el perfil de los dispositivos, comprueba si cumplen con su política de seguridad y los asigna al rol de red adecuado. Para dispositivos corporativos, ClearPass es excelente. Fue creado exactamente para este caso de uso. [medium pause] Purple WiFi es algo totalmente diferente. Purple es una plataforma de inteligencia de WiFi para invitados basada en la nube. Su función es autenticar a los visitantes a través de un Captive Portal personalizado, capturar datos de origen con flujos de consentimiento que cumplen con el GDPR y enviar esos datos a su pila de marketing y analítica. Purple opera en más de 80.000 establecimientos en todo el mundo y ha procesado 440 millones de inicios de sesión solo en 2024. Se integra con más de 400 conectores, incluidos CRM y plataformas de automatización de marketing. Para redes de invitados, Purple es el especialista. [medium pause] El problema al que se enfrentan la mayoría de las organizaciones es que intentan utilizar una sola plataforma para realizar ambas funciones. O bien piden a ClearPass que gestione su portal de invitados, algo que puede hacer pero no de forma elegante, o bien implementan Purple sin pensar en cómo encaja con su inversión actual en NAC. La respuesta correcta es una arquitectura de co-implementación donde cada plataforma hace lo que mejor sabe hacer. [medium pause] Análisis técnico detallado. [short pause] Permítame guiarle a través de la arquitectura. En una co-implementación, su Aruba Mobility Controller o sus puntos de acceso Aruba Instant emiten múltiples SSIDs. Normalmente tres: uno para dispositivos corporativos, uno para invitados y otro para IoT. Para obtener más información sobre este patrón de diseño de SSID, Purple ha publicado una guía detallada llamada "Three SSIDs to rule them all", que le recomiendo leer junto con esta sesión informativa. [medium pause] El SSID corporativo utiliza 802.1X con EAP-TLS. Los dispositivos se autentican mediante certificados aprovisionados a través de ClearPass Onboard, que es el módulo integrado de registro de certificados y aprovisionamiento de dispositivos de ClearPass. ClearPass comprueba el estado del dispositivo (posture), verifica el certificado, consulta Active Directory o Microsoft Entra ID y asigna el dispositivo a la VLAN adecuada. Normalmente, la VLAN 10 para el tráfico corporativo. Todo este flujo se gestiona dentro de ClearPass. Purple no interviene. [medium pause] El SSID de invitados es donde se produce la integración. Cuando un visitante se conecta al SSID de invitados, el controlador de Aruba intercepta su tráfico HTTP y redirige su navegador al Captive Portal de Purple. El visitante se autentica a través de Purple, por ejemplo, mediante inicio de sesión social con Google, un formulario de correo electrónico personalizado o OpenRoaming, donde Purple actúa como proveedor de identidad gratuito bajo la licencia Connect. Una vez que Purple valida al visitante, envía un mensaje de RADIUS Access-Accept de vuelta al controlador, el cual concede el acceso a internet. [medium pause] Ahora bien, la decisión clave de arquitectura es si se introduce ClearPass como un proxy RADIUS entre el controlador y Purple, o si el controlador se comunica directamente con los servidores RADIUS de Purple. Para la mayoría de los despliegues empresariales, el modelo de proxy es la opción correcta. He aquí por qué. [medium pause] Con ClearPass como proxy RADIUS, cada evento de autenticación en su red, tanto corporativa como de invitados, fluye a través de ClearPass. De este modo, se obtiene un único registro de auditoría. Su equipo de operaciones de seguridad puede verlo todo en un solo lugar. ClearPass puede añadir sus propios atributos de política antes de devolver la respuesta al controlador, lo que permite la asignación dinámica de VLAN en función del rol. Además, se conserva la capacidad de aplicar políticas adicionales a las de invitados, como límites de ancho de banda o restricciones de acceso basadas en el tiempo. La configuración del proxy en ClearPass es sencilla. Se crea una política de enrutamiento RADIUS que coincida con el SSID de invitados mediante el identificador NAS o el ID de la estación llamada. Las solicitudes que coinciden con esa política se reenvían a los servidores RADIUS en la nube de Purple. Purple responde, ClearPass añade el atributo específico del proveedor Aruba-User-Role y el controlador sitúa al invitado en la VLAN 20 con acceso exclusivo a internet. [medium pause] Para los dispositivos IoT, el tercer SSID utiliza la omisión de autenticación MAC. ClearPass perfila el dispositivo utilizando su OUI (los primeros seis caracteres de la dirección MAC que identifican al fabricante) y lo asigna a ROLE_IOT, que se asocia con la VLAN 30. Esta VLAN no tiene acceso a internet, solo conectividad local. Sus televisores inteligentes, termostatos y cerraduras inteligentes quedan completamente aislados tanto del tráfico corporativo como del de invitados. [medium pause] Hablemos de cumplimiento, porque aquí es donde la arquitectura demuestra su valor. Según PCI DSS, cualquier segmento de red que gestione datos de titulares de tarjetas debe estar aislado de las redes de invitados. La segmentación VLAN en esta arquitectura cumple con ese requisito. Bajo el GDPR, el captive portal de Purple gestiona la recogida de consentimiento mediante opciones de inclusión voluntaria de elección consciente, lo que significa que los visitantes eligen activamente compartir sus datos en lugar de que se recopilen por defecto. Purple cuenta con la certificación ISO 27001, cumple con el GDPR y tiene la certificación Cyber Essentials. ClearPass proporciona el registro de auditoría que su equipo de seguridad necesita para los informes de cumplimiento. [medium pause] Recomendaciones de implementación y errores comunes. [short pause] Permítame indicarle las cinco cosas que suelen fallar más a menudo en este despliegue y cómo evitarlas. [medium pause] Número uno: el walled garden. Antes de que un visitante se autentique, el controlador Aruba solo permite el tráfico a una lista de destinos predefinida. Si los dominios del portal de Purple, sus puntos de conexión CDN y los dominios de los proveedores de inicio de sesión social no están en esa lista, el portal no se cargará. Debe incluir asterisco punto purple punto ai, asterisco punto cloudfront punto net y los dominios OAuth de los proveedores de inicio de sesión social que esté habilitando. Google, Facebook, Apple y Microsoft Entra ID tienen sus propios conjuntos de dominios. Trate el walled garden como una configuración dinámica, ya que los proveedores de inicio de sesión social cambian sus dominios CDN periódicamente. [medium pause] Número dos: tiempos de espera de RADIUS. El tiempo de espera de RADIUS por defecto en la mayoría de los controladores Aruba es de tres segundos. En una arquitectura proxy, la solicitud viaja desde el punto de acceso al controlador, luego a ClearPass, cruza internet hasta el RADIUS en la nube de Purple y regresa. En una red congestionada, ese viaje de ida y vuelta puede superar los tres segundos. Establezca el tiempo de espera en al menos diez segundos y configure la lógica de reintento con al menos dos reintentos. [medium pause] Número tres: discrepancias en el secreto compartido. El secreto compartido entre el controlador Aruba y ClearPass debe coincidir exactamente. El secreto compartido entre ClearPass y los servidores RADIUS de Purple también debe coincidir exactamente. La diferencia de un solo carácter provoca fallos de autenticación silenciosos sin ningún mensaje de error explicativo para el visitante. Verifique siempre estos secretos carácter por carácter. [medium pause] Número cuatro: distinción entre mayúsculas y minúsculas en el nombre del rol. El atributo Aruba-User-Role devuelto por ClearPass debe coincidir exactamente con el nombre del rol definido en el controlador Aruba, incluidas las mayúsculas. Si ClearPass devuelve guest-authenticated pero el controlador tiene definido Guest-Authenticated, el visitante vuelve al rol de inicio de sesión predeterminado y se queda sin acceso a internet. [medium pause] Número cinco: RADIUS accounting. Muchas implementaciones configuran correctamente el proxy de autenticación, pero olvidan configurar también el proxy de RADIUS accounting. Purple utiliza los datos de RADIUS accounting para realizar un seguimiento de la duración de las sesiones, el uso de datos y para nutrir sus paneles de analítica. Si los datos de accounting no fluyen hacia Purple, sus informes de tiempo de permanencia y de análisis de afluencia estarán incompletos. [medium pause] Preguntas rápidas. [short pause] ¿Puedo ejecutar esto en Aruba Instant en lugar de en un Mobility Controller completo? Sí. Aruba Instant es compatible con servidores RADIUS externos y redireccionamiento a Captive Portal. La configuración difiere ligeramente, pero los principios son idénticos. [medium pause] ¿Admite Purple el Cambio de Autorización (CoA)? Sí. CoA permite que el controlador actualice dinámicamente la sesión de un visitante sin necesidad de que se vuelva a conectar. Esto es útil para accesos con límite de tiempo o mejoras de categoría. [medium pause] ¿Funciona esto con WPA3? Sí. Es compatible tanto con WPA3-SAE para redes personales como con WPA3-Enterprise para 802.1X. Para redes de invitados que utilizan Captive Portals, las opciones habituales son WPA3-SAE o un SSID abierto con Opportunistic Wireless Encryption. [medium pause] ¿Puedo usar un único SSID tanto para empleados como para invitados? Puede hacerlo, pero añade complejidad. ClearPass gestiona tanto la autenticación 802.1X como la de dirección MAC en el mismo SSID, utilizando reglas de servicio para diferenciar los tipos de tráfico y enrutarlos en consecuencia. Para la mayoría de los establecimientos, utilizar SSIDs independientes es la opción más limpia. [medium pause] Resumen y próximos pasos. [short pause] ClearPass y Purple son complementarios, no competidores. ClearPass es su motor de políticas para dispositivos corporativos: 802.1X, estado del endpoint, gestión de certificados y registro de auditoría unificado. Purple es su plataforma de inteligencia de invitados: Captive Portal personalizado con su marca, captura de datos que cumple con el GDPR, analítica de afluencia y automatización de marketing. [medium pause] La arquitectura de despliegue conjunto utiliza ClearPass como proxy RADIUS. Todas las solicitudes de autenticación fluyen a través de ClearPass. Las solicitudes de invitados se enrutan al RADIUS en la nube de Purple. Las solicitudes corporativas se gestionan localmente en ClearPass. El controlador de Aruba aplica las políticas resultantes mediante la asignación dinámica de VLAN. [medium pause] Los tres elementos de configuración que debe definir correctamente son: el walled garden, los tiempos de espera de RADIUS y la coherencia en los nombres de los roles. Si los configura bien, dispondrá de un despliegue de WiFi para invitados conforme a la normativa, con gran valor comercial y que no compromete la seguridad de su red corporativa. [medium pause] Para sus próximos pasos: obtenga las credenciales RADIUS de su establecimiento en Purple desde el panel de control de Purple, revise la lista de referencia del walled garden en la guía escrita adjunta y pruebe todo el flujo de autenticación con un dispositivo de prueba dedicado antes de ponerlo en producción. Si va a realizar el despliegue en varias ubicaciones, la consola de gestión multiestablecimiento de Purple le permite gestionar las configuraciones de Captive Portal, la marca y la analítica de toda su infraestructura desde una única interfaz. [medium pause] Gracias por escucharnos. Visite purple dot ai para hablar con un arquitecto de soluciones sobre su despliegue específico.