HPE Aruba Instant y WiFi para invitados: configuración del Captive Portal con Purple

Bienvenido a esta sesión técnica sobre la integración de HPE Aruba ClearPass con la plataforma Purple WiFi. Soy su anfitrión y hoy analizaremos en detalle la arquitectura, las estrategias de despliegue y los beneficios operativos de combinar el sólido control de acceso a la red de ClearPass Policy Manager con las capacidades de analítica y WiFi para invitados líderes del sector de Purple. Para los responsables de TI, arquitectos de red y CTO que gestionan recintos a gran escala - ya sea una extensa cadena de tiendas de retail, un estadio de alta densidad o un complejo campus sanitario - ofrecer un acceso inalámbrico seguro, segmentado y con información útil es primordial. ClearPass es fenomenal para la aplicación de políticas basadas en el contexto y la autenticación 802.1X para dispositivos corporativos. Sin embargo, cuando se trata del registro de invitados, Captive Portals y la obtención de análisis de marketing accionables a partir de los datos de los visitantes, Purple es el líder indiscutible. La pregunta fundamental que respondemos hoy es: ¿Cómo se configura ClearPass para utilizar Purple como Captive Portal, manteniendo al mismo tiempo ClearPass para NAC y la asignación dinámica de VLAN basada en roles? Vamos a verlo. En primer lugar, establezcamos la arquitectura. A alto nivel, la integración se basa en protocolos RADIUS estándar y mecanismos de redirección HTTP. Sus Aruba Mobility Controllers o Instant Access Points difunden el SSID de invitados. Cuando se conecta un dispositivo no autenticado, el controlador intercepta el tráfico HTTP y redirige el navegador del usuario al Captive Portal de Purple. Esta redirección es la primera pieza crítica que hay que configurar correctamente. Ahora, el usuario se autentica a través de Purple. Puede tratarse de un inicio de sesión social a través de Facebook o Google, un formulario personalizado de correo electrónico y contraseña, o incluso OpenRoaming, donde Purple actúa como un proveedor de identidad gratuito bajo la licencia Connect. Una vez que Purple valida al usuario, envía un mensaje RADIUS Access-Accept de vuelta a través de la cadena al controlador, que luego concede el acceso a la red. Pero aquí es donde ClearPass resulta esencial. En lugar de que el controlador Aruba se comunique directamente con los servidores RADIUS de Purple, se introduce ClearPass como un proxy RADIUS en medio. El controlador envía todas las solicitudes RADIUS a ClearPass. ClearPass evalúa la solicitud y, si coincide con su política de enrutamiento de servicios para invitados, la reenvía a los servidores RADIUS en la nube de Purple. Purple responde y ClearPass devuelve esa respuesta al controlador, pero con la particularidad de que puede añadir sus propios atributos de política antes de hacerlo. Esta arquitectura proxy le ofrece lo mejor de ambos mundos. ClearPass mantiene un registro de auditoría completo de cada evento de autenticación en su red, tanto corporativa como de invitados. Obtiene un único panel de control para las operaciones de seguridad. Y Purple se encarga de la experiencia de cara al usuario y de la analítica sin necesidad de que tenga que sustituir su inversión actual en NAC. Hablemos de la asignación dinámica de VLAN, porque aquí es donde las cosas se vuelven realmente potentes - y donde la mayoría de los despliegues tienen problemas si no se tiene cuidado. ClearPass utiliza un concepto llamado Roles y Enforcement Profiles. Cuando llega una solicitud de autenticación, ClearPass evalúa el contexto: quién es el usuario, qué dispositivo está utilizando, qué hora es y desde qué ubicación se está conectando. En función de estos factores, asigna un Rol. Para un invitado estándar, podría ser ROLE_GUEST. Para un VIP, podría ser ROLE_VIP. Para un contratista, ROLE_CONTRACTOR. Este Rol se mapea luego a un Enforcement Profile, que define los atributos RADIUS específicos que se devolverán al controlador Aruba. El atributo más importante aquí es el Aruba-User-Role Vendor-Specific Attribute, o VSA. Esto le indica al controlador exactamente en qué rol colocar al usuario en el lado inalámbrico. En el controlador Aruba, cada rol se mapea a una VLAN específica y a un conjunto de políticas de firewall. Así, ROLE_GUEST se mapea a la VLAN 20, con acceso solo a internet y un límite de ancho de banda de 10 megabits por segundo. ROLE_VIP se mapea a la VLAN 40, con un límite de 50 megabits. ROLE_IOT se mapea a la VLAN 30, un segmento completamente aislado sin acceso a internet, solo conectividad local para dispositivos inteligentes. Esta segmentación no es solo una buena práctica - es un requisito de cumplimiento. Bajo PCI-DSS, cualquier red que toque datos de titulares de tarjetas debe estar aislada de las redes de invitados. Bajo GDPR, debe poder demostrar que los datos personales recopilados a través del portal de invitados se manejan adecuadamente y que el tráfico de invitados no puede atravesar su infraestructura corporativa. Ahora, permítame guiarle a través de un escenario del mundo real: una gran cadena hotelera con 500 habitaciones en múltiples propiedades. Tienen controladores Aruba en cada sitio, ClearPass desplegado de forma centralizada y quieren implementar Purple para el WiFi de invitados. El despliegue se ve así. Dos SSIDs por sitio: Hotel_Corp y Hotel_Guest. Hotel_Corp utiliza 802.1X con certificados, autenticado contra Active Directory a través de ClearPass. Hotel_Guest es un SSID abierto que activa el Captive Portal de Purple. En ClearPass, crean dos Servicios. El Servicio Uno coincide con Hotel_Corp y gestiona la autenticación 802.1X de forma local. El Servicio Dos coincide con Hotel_Guest y utiliza una RADIUS Routing Policy para redirigir las solicitudes a Purple por proxy. La Enforcement Policy para el Servicio Dos devuelve el Aruba-User-Role de guest-authenticated, que se mapea a la VLAN 20 en el controlador. Para los dispositivos IoT - televisiones inteligentes, termostatos, cerraduras de puertas - utilizan un tercer SSID, Hotel_IoT, con autenticación basada en MAC. ClearPass perfila el dispositivo utilizando su OUI y asigna ROLE_IOT, enviándolo a la VLAN 30. ¿El resultado? El personal obtiene acceso corporativo completo. Los invitados disfrutan de una experiencia de portal de marca atractiva con inicio de sesión social y opciones de suscripción de marketing. Los dispositivos IoT están aislados. Y el equipo de TI tiene visibilidad completa de los tres tipos de usuarios en el Access Tracker de ClearPass. Ahora hablemos de los errores comunes, porque hay varios que le pillarán desprevenido si no está preparado. Número uno: el walled garden. Esta es la causa más común de fallos en el Captive Portal. Antes de que un dispositivo se autentique, el controlador de Aruba solo permite el tráfico a una lista predefinida de destinos: el walled garden. Si la URL del portal de Purple, sus endpoints de API de backend y los dominios de los proveedores de inicio de sesión social no están en esa lista, el portal simplemente no se cargará. Debe mantener esta lista de forma proactiva. Los proveedores de inicio de sesión social como Facebook y Google cambian regularmente sus rangos de IP y dominios de CDN. Trate el walled garden como una configuración viva. Número dos: los tiempos de espera de RADIUS. El tiempo de espera predeterminado de RADIUS en la mayoría de los controladores de Aruba es de tres segundos. En una arquitectura de proxy, la solicitud viaja desde el AP al controlador, a ClearPass, a través de internet hasta el RADIUS en la nube de Purple y de vuelta. En una red congestionada, ese viaje de ida y vuelta puede superar fácilmente los tres segundos. Aumente el tiempo de espera a al menos diez segundos y configure la lógica de reintento. Número tres: discrepancias en el secreto compartido. Esto causa fallos silenciosos que son notoriamente difíciles de diagnosticar. El secreto compartido entre el controlador de Aruba y ClearPass debe coincidir exactamente. El secreto compartido entre ClearPass y los servidores RADIUS de Purple también debe coincidir exactamente. Una diferencia de un solo carácter hará que la autenticación falle sin ningún mensaje de error significativo para el usuario final. Compruebe siempre estos datos por duplicado. Número cuatro: distinción de mayúsculas y minúsculas en los nombres de los roles. El VSA Aruba-User-Role devuelto por ClearPass debe coincidir exactamente (incluyendo las mayúsculas) con el nombre del rol definido en el controlador de Aruba. Si ClearPass devuelve "guest-authenticated" pero el controlador tiene definido "Guest-Authenticated", el usuario volverá al rol predeterminado, que suele ser el rol de inicio de sesión sin acceso a internet. Número cinco: contabilidad de RADIUS. Muchas implementaciones configuran correctamente el proxy de autenticación, pero se olvidan de configurar también el proxy de contabilidad. Purple utiliza los datos de contabilidad de RADIUS para realizar el seguimiento de la duración de la sesión, el uso de datos y para rellenar sus paneles de análisis. Si la contabilidad no fluye hacia Purple, sus análisis estarán incompletos. Pasemos a la sección de preguntas rápidas. ¿Puedo utilizar un único SSID tanto para empleados como para invitados? Sí, puede hacerlo. Configure ClearPass para gestionar tanto 802.1X como MAC-Auth en el mismo SSID. Utilice las Reglas de Servicio para diferenciar el tipo de tráfico y redirigirlo en consecuencia. Es más complejo de gestionar, pero reduce la proliferación de SSID. ¿Soporta Purple el Cambio de Autorización (CoA)? Sí. El CoA permite al controlador actualizar dinámicamente la sesión de un usuario sin necesidad de que se vuelva a conectar. Esto es útil para el acceso por tiempo limitado o para actualizaciones de nivel. ¿Puedo utilizar esta integración con Aruba Instant en lugar de un Mobility Controller completo? Sí, Aruba Instant admite servidores RADIUS externos y redireccionamiento de Captive Portal. La configuración es ligeramente diferente, pero los principios son idénticos. ¿Funciona esta integración con WPA3? Sí. Tanto WPA3-SAE para redes personales como WPA3-Enterprise para 802.1X son compatibles. Para redes de invitados que utilizan captive portals, las opciones habituales son WPA3-SAE o un SSID abierto con Opportunistic Wireless Encryption. Para resumir la sesión de hoy: la integración de ClearPass y Purple es una arquitectura de proxy RADIUS. ClearPass sigue siendo su punto central de decisión de políticas para todo el acceso a la red. Purple se encarga de la experiencia de cara al invitado y de la analítica. El controlador Aruba aplica las políticas resultantes mediante la asignación dinámica de VLAN. Los tres elementos de configuración más críticos son el walled garden, los timeouts de RADIUS y la coherencia en los nombres de los roles. Si los configura correctamente, dispondrá de una implementación de WiFi para invitados robusta, conforme a la normativa y de gran valor comercial. Gracias por su atención. Si desea profundizar en este tema, visite purple.ai para hablar con un arquitecto de soluciones sobre su implementación específica.