Captive Portal para HPE Aruba: configúrelo con el WiFi de invitados de Purple

CAPTIVE PORTAL FOR ARUBA: INTEGRATING PURPLE FOR ENTERPRISE GUEST WIFI Un dossier técnico de Purple - Aproximadamente 10 minutos [INTRODUCCIÓN Y CONTEXTO - aprox. 1 minuto] Le damos la bienvenida a la serie de dossieres técnicos de Purple. Soy su anfitrión y hoy vamos a tratar un tema que surge en casi todas las conversaciones sobre despliegue inalámbrico empresarial: cómo configurar un Captive Portal en la infraestructura de Aruba y, específicamente, cómo conectar ese portal a la plataforma de inteligencia de WiFi para invitados de Purple. Si tiene puntos de acceso Aruba Instant AP o gestiona una flota de puntos de acceso a través de Aruba Central, este episodio es para usted. Vamos a ir rápido - esto es una sesión informativa para profesionales, no una clase magistral - así que asumiré que sabe cómo manejarse en una pantalla de configuración de WLAN y que comprende los conceptos básicos de la autenticación RADIUS. El problema principal que resolvemos es este: el portal de invitados integrado de Aruba es funcional, pero limitado. No ofrece la captura de datos de marketing, los flujos de consentimiento conformes con el GDPR ni los análisis en tiempo real que necesitan los espacios empresariales. Sustituirlo por el Captive Portal externo de Purple es la decisión arquitectónica correcta, y hoy le guiaré exactamente en cómo hacerlo. [ANÁLISIS TÉCNICO DETALLADO - aprox. 5 minutos] Comencemos con la arquitectura. Cuando un invitado se conecta a su SSID de Aruba y abre un navegador, el AP intercepta esa solicitud HTTP en el puerto TCP 80 y la redirige a la URL del portal externo; en este caso, la página de bienvenida alojada en la nube de Purple. El invitado se autentica a través del portal de Purple, que luego envía una solicitud RADIUS Access-Request a los servidores RADIUS de Purple en el puerto UDP 1812. Si tiene éxito, el servidor RADIUS devuelve un mensaje Access-Accept y el AP otorga al cliente acceso completo a Internet. Los registros de contabilidad se envían en el puerto UDP 1813 durante toda la sesión. Ese es el flujo fundamental. Ahora entremos en la configuración. Hay dos planos de gestión con los que podría estar trabajando: Aruba Instant, que es el modelo de controlador virtual local que ejecuta ArubaOS 8.x, y Aruba Central, que es la plataforma de gestión en la nube de HPE. Los pasos de configuración son similares en concepto, pero difieren en el lugar donde se encuentran los ajustes. Comenzando con Aruba Instant en ArubaOS 8. Primero, configurará su servidor RADIUS. Vaya a Seguridad, luego a Servidor de autenticación y haga clic en Nuevo. Necesitará cuatro datos de la plataforma de Purple: la dirección IP del servidor principal, el puerto de autenticación (normalmente 1812), el puerto de contabilidad (normalmente 1813) y el secreto compartido. Purple proporciona estos datos en el panel de configuración de su establecimiento. Añada un servidor secundario para mayor resiliencia; Purple opera una infraestructura RADIUS multirregión, por lo que dispondrá de un respaldo adecuado geográficamente. A continuación, cree el perfil de External Captive Portal. Vaya a Seguridad, luego a Captive Portal, haga clic en Nuevo y establezca el Tipo en Externo. Introduzca la URL de la página de inicio (splash page) de la configuración de su espacio de Purple - este será un endpoint HTTPS alojado por Purple. Establezca el puerto en 443, habilite Usar HTTPS y, lo que es fundamental, establezca el campo WISPr en Habilitado. WISPr - que es el roaming del Proveedor de Servicios de Internet Inalámbrico - es el protocolo que permite a los dispositivos autodetectar el Captive Portal y presentarlo correctamente, especialmente en dispositivos iOS y Android que utilizan la detección en segundo plano de Captive Portal. Sin WISPr habilitado, algunos dispositivos no lograrán activar el portal automáticamente. Ahora, el SSID de invitados (Guest SSID). Cree una nueva WLAN, establezca el Uso primario en Invitado y, en la pestaña Seguridad, establezca el Tipo de página de inicio (Splash Page Type) en Externo - Servidor RADIUS. Asigne el perfil de Captive Portal y el servidor RADIUS que acaba de crear. Establezca el Intervalo de reautenticación en algo sensato - 1440 minutos, que son 24 horas, es una opción común para entornos de hostelería. Habilite la autenticación MAC si desea que los invitados que regresan omitan el portal en las visitas posteriores dentro de esa ventana de tiempo. Para Aruba Central en AOS-8, el flujo es esencialmente el mismo pero se accede a través del asistente de WLAN en Dispositivos, Configuración, WLAN. Establezca el Nivel de seguridad en Visitantes, el Tipo en External Captive Portal y cree un nuevo perfil de Captive Portal con la URL de inicio de Purple. Agregue sus servidores RADIUS primario y secundario, habilite la contabilidad (accounting) y establezca un intervalo de contabilidad de cinco minutos. Este intervalo es importante - garantiza que la plataforma de analítica de Purple reciba actualizaciones periódicas de la sesión para generar informes precisos sobre el tiempo de permanencia y la interacción. En AOS-10, que es la arquitectura nativa de la nube (cloud-first), hay una diferencia importante: el jardín vallado (walled garden) ya no se configura en la pestaña de Seguridad de la WLAN. En su lugar, se configura a través de las Reglas de acceso. Se crea un rol de preautenticación - llámelo Guest Logon - y se añaden reglas de permiso para cada dominio en la lista blanca del jardín vallado. A continuación, asigne ese rol como Rol de preautenticación en el SSID. Hablando del jardín vallado - aquí es donde fallan la mayoría de los despliegues. El jardín vallado es la lista de dominios a los que los invitados no autenticados pueden acceder antes de haber completado el flujo del portal. Sin estas entradas, el propio portal no se cargará, porque el dispositivo del invitado no podrá llegar a la CDN de Purple para descargar los elementos de la página de inicio. Las entradas obligatorias de Purple son: asterisco punto purple punto ai, asterisco punto cloudfront punto net y asterisco punto venuewifi punto com. Si utiliza el inicio de sesión social - Google, Facebook, Apple, Microsoft - deberá añadir los dominios OAuth correspondientes a cada proveedor. Google requiere asterisco punto google punto com, asterisco punto googleapis punto com y asterisco punto gstatic punto com. Facebook requiere asterisco punto facebook punto com, asterisco punto fbcdn punto net y connect punto facebook punto net. El inicio de sesión con Apple necesita asterisco punto apple punto com y appleid punto apple punto com. Microsoft Entra ID requiere asterisco punto microsoft punto com y asterisco punto microsoftonline punto com. Un detalle que vale la pena destacar: en Aruba, puede activar la lista blanca de URL automática (Automatic URL Whitelisting) en el perfil de Captive Portal. Esta función añade dinámicamente a la lista blanca las URL a las que hace referencia la página del portal. Es útil como alternativa de seguridad, pero recomiendo configurar explícitamente el Walled Garden en lugar de confiar en la lista blanca automática en entornos de producción; es más predecible y más fácil de auditar. Hablemos específicamente de los parámetros de RADIUS. Los atributos clave que utiliza Purple son: NAS-IP-Address, que identifica su AP o controlador; Called-Station-Id, que transporta el BSSID y el SSID en el formato dirección-MAC:nombre-SSID (Purple utiliza esto para mapear las sesiones con sedes y puntos de acceso específicos); y Calling-Station-Id, que es la dirección MAC del cliente. En cuanto a la contabilidad, Acct-Session-Id proporciona el identificador único de sesión, y Acct-Status-Type transporta eventos Start, Interim-Update y Stop. Asegúrese de que su configuración de Aruba envíe los tres tipos de eventos de contabilidad; algunas implementaciones solo envían Start y Stop, lo que significa que el análisis de Purple se pierde los datos de sesión intermedios necesarios para calcular con precisión el tiempo de permanencia. [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — aprox. 2 minutos] Permítame ofrecerle las recomendaciones prácticas que daría a cualquier cliente que vaya a realizar este despliegue. Primero: pruebe siempre con un dispositivo de prueba dedicado antes de la puesta en marcha. Conéctese al SSID de invitados, abra un navegador web con una URL HTTP (no HTTPS) y verifique que se activa la redirección. Si va directamente a HTTPS, la redirección no funcionará porque el AP no puede interceptar el tráfico cifrado. Este es el principal motivo de las llamadas de soporte que recibimos. Segundo: reglas de firewall. Su VLAN de gestión de AP o controlador necesita acceso UDP saliente a las IP de los servidores RADIUS de Purple en los puertos 1812 y 1813. Si dispone de un firewall de inspección de estado (stateful firewall) entre sus AP e internet, asegúrese de que permite estos flujos UDP. RADIUS no está orientado a la conexión, por lo que algunos firewalls requieren reglas explícitas en lugar de depender de la inspección de estado. Tercero: confianza de certificados. Al configurar la URL de la página de inicio (splash page) como HTTPS, el AP debe confiar en el certificado presentado por el servidor del portal de Purple. En Aruba Central, es posible que deba importar un certificado de CA de confianza en la configuración global antes de que la redirección del portal funcione correctamente a través de HTTPS. Purple utiliza certificados de una CA de confianza generalizada, pero vale la pena verificar esto en su entorno. Cuarto: segmentación de VLAN. Su SSID de invitados debe estar en una VLAN dedicada que esté aislada de su red corporativa. Esto es tanto un requisito de seguridad (la norma PCI-DSS exige la segmentación de red para entornos de datos de titulares de tarjetas) como una necesidad práctica para el funcionamiento de un Captive Portal. La VLAN de invitados debe tener acceso a internet, pero no rutas hacia recursos internos. Quinto: la configuración WISPr. Ya lo mencioné antes, pero conviene repetirlo. Active WISPr. Sin él, los dispositivos iOS en particular no detectarán automáticamente el Captive Portal, y los invitados experimentarán una situación confusa en la que parecerá que están conectados pero no tendrán acceso a internet. [PREGUNTAS Y RESPUESTAS RÁPIDAS — aprox. 1 minuto] Permítame repasar las preguntas que recibo con más frecuencia. ¿Puedo utilizar Aruba Instant On - el producto para pequeñas empresas - con Purple? Sí, con algunas limitaciones. Instant On admite portales cautivos externos, pero la interfaz de configuración está más limitada que la de Aruba Central completo. Purple dispone de una guía de integración dedicada para Instant On. ¿Soporta Purple RadSec para RADIUS cifrado? Sí. Purple admite RADIUS sobre TLS - RadSec - para despliegues donde el tráfico RADIUS atraviesa redes no seguras. Esto es cada vez más relevante para despliegues gestionados en la nube donde el intercambio RADIUS cruza la internet pública. ¿Qué ocurre si el portal de Purple no está accesible? Puede configurar la opción Captive Portal Failure en Deny Internet - que es la opción segura por defecto - o en Allow Internet, que proporciona un modo de acceso abierto de contingencia. Para la mayoría de los recintos empresariales, Deny Internet es la opción correcta. ¿Puedo ejecutar múltiples SSIDs con diferentes recintos de Purple en la misma infraestructura de Aruba? Absolutamente. Cada SSID recibe su propio perfil de Captive Portal que apunta a una URL de recinto de Purple diferente. El atributo de RADIUS Called-Station-Id lleva el nombre del SSID, que Purple utiliza para dirigir la sesión a la configuración correcta del recinto. [RESUMEN Y PRÓXIMOS PASOS — aprox. 1 minuto] Permítame resumir todo esto. Desplegar Purple como un Captive Portal externo en la infraestructura de Aruba es una ruta de integración muy consolidada. Los pasos clave son: configurar sus servidores RADIUS con las credenciales de Purple, crear un perfil de Captive Portal externo que apunte a la URL de su página de bienvenida de Purple con WISPr habilitado, crear su SSID de invitados con el tipo de página de bienvenida External RADIUS Server, y configurar su walled garden con los dominios principales de Purple más los dominios de los proveedores de inicio de sesión social que vaya a habilitar. La diferencia a recordar en AOS-10 es que la configuración del walled garden se traslada a Access Rules en lugar de a la pestaña WLAN Security. Desde una perspectiva de negocio, sustituir el portal local básico de Aruba por Purple le proporciona captura de datos de conformidad con el GDPR, analítica de ubicación en tiempo real, informes demográficos y automatización de marketing - todo ello desde la misma infraestructura de WiFi que ya posee. Para sus próximos pasos: obtenga sus credenciales RADIUS de recinto de Purple desde el panel de control de Purple, repase la lista de comprobación de configuración en la guía escrita adjunta y realice pruebas con un dispositivo dedicado antes de lanzarlo a producción. Si realiza el despliegue en múltiples ubicaciones, la consola de gestión multi-sitio de Purple le permite gestionar las configuraciones de los portales cautivos, la imagen de marca y las analíticas de todo su patrimonio desde una única interfaz. Gracias por su atención. La guía escrita completa, las tablas de configuración y las listas de referencia de walled garden están disponibles en purple dot ai. Hasta la próxima. [FIN DEL GUION]