Ver transcripción del podcast
GUION DE PODCAST: Integración de los Access Points EnGenius Cloud con Purple WiFi
Plataforma de Inteligencia Purple WiFi - Serie de Sesiones Informativas Técnicas
Duración: Aproximadamente 10 minutos
Voz: Inglés del Reino Unido, tono de consultor sénior - seguro, conversacional, autorizado
[INTRO - 1 MINUTO]
Le damos la bienvenida a la Serie de Sesiones Informativas Técnicas de Purple. Hoy abordaremos un tema recurrente en los despliegues empresariales: la integración de los access points EnGenius Cloud con la plataforma de WiFi para invitados de Purple.
Si gestiona una red de EnGenius, ya sean access points de la serie ECW en un hotel, una cadena de tiendas o un edificio de oficinas multiinquilino, y desea añadir un Captive Portal personalizado con su marca, recopilar datos de visitantes de primera mano y aplicar una segmentación de red adecuada, esta sesión es para usted.
En los próximos diez minutos, le guiaré a través de las cuatro áreas de configuración principales: redirección del Captive Portal de invitados, configuración de walled garden, WiFi seguro para el personal mediante 802.1X e aislamiento multiinquilino mediante EnGenius MyPSK con asignación dinámica de VLAN. Al finalizar, tendrá una idea clara de qué configurar exactamente, en qué orden y cuáles son los errores más comunes.
Comencemos.
[ANÁLISIS TÉCNICO DETALLADO - 5 MINUTOS]
Empecemos con el Captive Portal de invitados, el punto de partida más común para cualquier operador de establecimientos.
EnGenius Cloud admite páginas de bienvenida externas de forma nativa. Esto significa que, en lugar de alojar una página de inicio de sesión básica en el propio access point, se redirige a los invitados no autenticados al portal de Purple alojado en la nube. Aquí es donde residen la imagen de marca, la captura de datos, la gestión del consentimiento y las analíticas.
Este es el proceso de configuración en EnGenius Cloud. Inicie sesión en su panel de EnGenius Cloud y vaya a Configure y, a continuación, a SSID. Seleccione su SSID de invitados. En la pestaña Wireless, configure el tipo de seguridad en Open o WPA2 PSK, según sus preferencias. Open es el estándar para la mayoría de los despliegues de WiFi para invitados. A continuación, vaya a la pestaña Captive Portal. Active el Captive Portal y configure el Authentication Type como Custom RADIUS. Este es el ajuste clave. Indica al access point que debe reenviar las solicitudes de autenticación a un servidor RADIUS externo, que en este caso es el nodo RADIUS en la nube de Purple.
Ahora introduzca los datos de RADIUS de Purple. La dirección IP del servidor RADIUS principal se proporciona en su panel de Purple en Hardware Configuration. El puerto de autenticación es UDP 1812. El puerto de contabilidad es UDP 1813. Introduzca el secreto compartido. Purple lo genera por usted y debe tener al menos 22 caracteres combinando mayúsculas, minúsculas, números y símbolos. Configure el identificador NAS para que coincida con el nombre de su establecimiento o con un identificador único que haya definido en Purple.
A continuación, cambie a la pestaña Splash Page. Seleccione la opción External Splash Page URL e introduzca la URL del portal de Purple. Esta es la URL que Purple proporciona para su establecimiento específico. Cuando un invitado se conecta al SSID y abre un navegador, el punto de acceso intercepta la solicitud y la redirige a esta URL, transmitiendo parámetros que incluyen la dirección MAC del cliente, la dirección MAC del AP y la URL original a la que el invitado intentaba acceder.
Ahora, el walled garden. Esta es la lista de dominios y direcciones IP a los que los invitados pueden acceder antes de autenticarse. Sin ella, el portal de Purple no se podrá cargar, ya que el navegador del invitado no podrá comunicarse con los servidores de Purple. En EnGenius Cloud, el walled garden se encuentra en Captive Portal, luego en Advanced Settings y, por último, en Walled Garden. Debe añadir el dominio del portal de Purple, los endpoints de la CDN de Purple y los endpoints de comprobación del Captive Portal del sistema operativo. Para dispositivos Apple, es captive.apple.com. Para Android, connectivitycheck.gstatic.com. Para Windows, msftconnecttest.com. Si olvida alguno de estos, los invitados de esas plataformas no verán el portal en absoluto.
Si ofrece inicio de sesión social a través de Google o Facebook, también debe añadir a la lista de permitidos los endpoints de OAuth para esos proveedores. Google requiere como mínimo accounts.google.com, oauth2.googleapis.com y apis.google.com. Facebook requiere www.facebook.com, graph.facebook.com y connect.facebook.net. La documentación de soporte de Purple proporciona una lista de walled garden actualizada para cada método de autenticación. Utilícela como referencia, ya que estos dominios cambian con frecuencia.
Ahora pasemos al WiFi seguro para el personal mediante 802.1X.
Este es un SSID independiente. El tipo de seguridad aquí es WPA2 Enterprise o WPA3 Enterprise. En EnGenius Cloud, en la pestaña SSID Wireless, seleccione WPA2 Enterprise y luego elija Custom RADIUS. Introduzca los mismos detalles del servidor RADIUS: el endpoint de RADIUS de Purple, el puerto 1812 y el secreto compartido. La diferencia con la configuración de invitados es que aquí no hay Captive Portal. Los dispositivos del personal se autentican de forma silenciosa utilizando el protocolo 802.1X. El dispositivo presenta un certificado o un nombre de usuario y contraseña al servidor RADIUS, que lo valida y devuelve un mensaje Access-Accept junto con los atributos de asignación de VLAN.
Los atributos RADIUS que gestionan la asignación dinámica de VLAN son Tunnel-Type configurado como VLAN, Tunnel-Medium-Type configurado como 802 y Tunnel-Private-Group-ID configurado con el número de VLAN. Por lo tanto, si la VLAN de su personal es la VLAN 20, el servidor RADIUS devuelve Tunnel-Private-Group-ID con un valor de 20. El punto de acceso de EnGenius lee este atributo y coloca automáticamente el dispositivo autenticado en la VLAN 20. Esto significa que puede tener un único SSID que dé servicio a múltiples roles de personal (finanzas, operaciones, TI, contratistas), y cada uno de ellos terminará en una VLAN diferente según su pertenencia a un grupo de directorio, todo ello sin necesidad de configurar manualmente la VLAN por dispositivo.
Para el método EAP, PEAP-MSCHAPv2 es la opción más común para entornos que utilizan Active Directory o Microsoft Entra ID. Requiere un certificado en el servidor RADIUS y credenciales de usuario y contraseña en el cliente. EAP-TLS es más seguro. Utiliza certificados en ambos lados, pero requiere una infraestructura PKI y un despliegue MDM para distribuir los certificados a los dispositivos. Para la mayoría de los operadores de recintos, PEAP-MSCHAPv2 con validación estricta de certificados aplicada mediante Directiva de Grupo o MDM es la opción más práctica.
Pasemos ahora a la parte técnicamente más interesante: EnGenius MyPSK y el aislamiento multi-inquilino.
MyPSK, también conocido como PPSK o Private Pre-Shared Key, resuelve un problema específico en entornos multi-inquilino. En una promoción de viviendas de alquiler, una oficina de servicios compartidos o una residencia de estudiantes, se busca que cada inquilino o residente tenga su propia contraseña de WiFi exclusiva. Sin embargo, no conviene crear un SSID independiente para cada uno de ellos, ya que esto provocaría congestión de radiofrecuencia y una gran sobrecarga de gestión.
MyPSK permite crear hasta 500 claves precompartidas exclusivas por SSID. Cada clave está vinculada a una VLAN específica. Cuando un residente se conecta utilizando su clave exclusiva, el punto de acceso lo sitúa automáticamente en su VLAN asignada. El tráfico del inquilino A nunca toca el segmento de red del inquilino B. El cifrado también se realiza por usuario. Cada clave genera una Pairwise Master Key exclusiva, de modo que un inquilino no puede descifrar el tráfico de red de otro inquilino, aunque compartan el mismo SSID.
En EnGenius Cloud, MyPSK se configura en los ajustes de seguridad del SSID. Seleccione WPA2 PSK o WPA3 Personal y, a continuación, active MyPSK. Puede crear las PSK de forma individual o generar lotes automáticamente de hasta 50 a la vez. Para cada PSK, asigne un ID de VLAN y, opcionalmente, establezca una fecha de caducidad. Cuando finaliza un contrato de alquiler o un estudiante se gradúa, simplemente se cancela o elimina su PSK. El acceso se revoca de inmediato sin afectar a ningún otro inquilino.
Para la integración de Purple en un entorno MyPSK, los inquilinos orientados a invitados pueden seguir siendo dirigidos a través de un Captive Portal en su VLAN. El personal y los inquilinos operativos omiten el portal por completo. La segmentación de VLAN garantiza que los datos analíticos de Purple se atribuyan correctamente por segmento de red.
[RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES - 2 MINUTOS]
Permítame ofrecerle la secuencia de implementación que recomiendo para un despliegue inicial limpio.
Comience con su arquitectura de VLAN antes de tocar la configuración de WiFi. Defina la VLAN 10 para invitados, la VLAN 20 para el personal, la VLAN 30 para los inquilinos o la numeración que mejor se adapte a su esquema actual. Configure primero estas VLAN en sus switches ECS, con las asignaciones de puertos trunk y de acceso adecuadas. Los puntos de acceso deben recibir tráfico etiquetado en el puerto de enlace ascendente para cada VLAN que tenga previsto utilizar.
Luego, configure los SSIDs en EnGenius Cloud en este orden: primero el SSID de invitados, ya que es el más sencillo. Valide la redirección del Captive Portal a Purple antes de continuar. A continuación, configure el SSID del personal con 802.1X. Realice pruebas con un dispositivo conocido antes de implementarlo en toda la red. Por último, configure MyPSK si necesita aislamiento multi-inquilino.
Los errores comunes. Primero, el walled garden. Esta es la causa número uno de los fallos en despliegues de Captive Portal. Si los invitados no pueden acceder al portal, compruebe primero el walled garden. Segundo, un desajuste en el secreto compartido de RADIUS. El secreto compartido debe ser idéntico tanto en la configuración de EnGenius Cloud como en la configuración del servidor RADIUS de Purple. Una diferencia de un solo carácter hará que todas las autenticaciones fallen silenciosamente. Tercero, la configuración de trunk VLAN en el switch. Si el puerto del switch ECS que se conecta al punto de acceso no está configurado como trunk para transportar todas las VLANs requeridas, la asignación dinámica de VLAN fallará. Cuarto, la validación de certificados en clientes 802.1X. Si los dispositivos del personal no están configurados para validar el certificado del servidor RADIUS, serán vulnerables al robo de credenciales mediante puntos de acceso falsos. Imponga esto mediante Directivas de Grupo para Windows y perfiles MDM para todo lo demás.
[PREGUNTAS Y RESPUESTAS RÁPIDAS - 1 MINUTO]
Algunas preguntas que escucho habitualmente sobre los despliegues de EnGenius y Purple.
¿Puedo usar EnGenius Cloud RADIUS en lugar del RADIUS de Purple? Sí, para la autenticación interna. Pero para el WiFi de invitados con las analíticas y el portal de Purple, debe apuntar al endpoint RADIUS de Purple. Ambos pueden coexistir en diferentes SSIDs.
¿Funciona MyPSK con WPA3? Sí. EnGenius es compatible con WPA3 y con el modo mixto WPA2/WPA3 con MyPSK, por lo que los dispositivos compatibles con WPA3 obtienen autenticación SAE mientras que los dispositivos más antiguos recurren a WPA2 PSK, todo ello utilizando la misma clave por usuario.
¿Es compatible Purple con la contabilidad RADIUS para datos de sesión? Sí. Active el servidor de contabilidad en la configuración RADIUS de EnGenius Cloud, apuntando al endpoint de contabilidad de Purple en el puerto UDP 1813. Esto envía la duración de la sesión y el volumen de datos a las analíticas de Purple.
[RESUMEN Y PRÓXIMOS PASOS - 1 MINUTO]
En resumen. Los puntos de acceso de EnGenius Cloud se integran perfectamente con la plataforma de WiFi de invitados de Purple a través de cuatro capas de configuración. La redirección del Captive Portal de invitados utiliza un RADIUS personalizado y una URL de página de bienvenida externa que apunta a Purple. La lista blanca del walled garden garantiza que el portal se cargue antes de la autenticación. El WiFi del personal utiliza WPA2 Enterprise con 802.1X y asignación dinámica de VLAN mediante atributos RADIUS. Y el aislamiento multi-inquilino utiliza EnGenius MyPSK para asignar claves únicas por usuario vinculadas a VLANs específicas, con fechas de caducidad opcionales para accesos de duración limitada.
Purple opera en 80.000 establecimientos y ha procesado 440 millones de inicios de sesión solo en 2024. La plataforma cuenta con la certificación ISO 27001, cumple con la normativa GDPR y es independiente del hardware, que es exactamente por lo que funciona a la perfección con EnGenius junto con Cisco Meraki, HPE Aruba, Ruckus y el resto del ecosistema de hardware empresarial.
Si está listo para realizar el despliegue, comience con la guía de configuración del walled garden en la documentación de soporte de Purple y, a continuación, realice la configuración del SSID en EnGenius Cloud. La guía paso a paso completa está disponible en purple.ai. Gracias por escucharnos.
