AP de Alta Labs y WiFi de invitados: configuración de captive portal con Purple

GUION DE PODCAST: Integración de Alta Labs con Purple WiFi: Configuración y Ajustes del Captive Portal Plataforma de Inteligencia Purple WiFi - Serie de Sesiones Técnicas Duración: Aproximadamente 10 minutos Voz: Inglés británico, tono de consultor senior - seguro, conversacional, con autoridad --- [INTRO - 1 MINUTO] Le damos la bienvenida a la Serie de Sesiones Técnicas de Purple. Soy su anfitrión, y hoy analizaremos a detalle la integración entre los puntos de acceso de Alta Labs y la plataforma de inteligencia Purple WiFi. Si usted es gerente de TI, arquitecto de redes o director de operaciones de un establecimiento y busca implementar una solución de WiFi para invitados robusta y escalable, esta sesión es para usted. Vamos a cubrir la configuración específica para los modelos Alta Labs AP6 y AP6 Pro, cómo configurar la redirección del captive portal externo y los ajustes críticos del walled garden necesarios para que los inicios de sesión con redes sociales funcionen correctamente en el mundo real. También analizaremos a fondo AltaPass - la implementación de Private Pre-Shared Keys, o PPSK, de Alta Labs - y cómo puede utilizarlo para segmentar entornos multi-inquilino sin afectar el rendimiento de RF con un exceso de SSIDs. Comencemos. --- [INMERSIÓN TÉCNICA - 5 MINUTOS] La integración entre Alta Labs y Purple se basa en dos conceptos de red fundamentales: la redirección HTTP para el captive portal y RADIUS para la autenticación y el registro de actividad (accounting). Cuando un invitado entra a su establecimiento - por ejemplo, una tienda de retail o el lobby de un hotel - y se conecta a su red de invitados abierta o WPA3-OWE, el AP de Alta Labs actúa como el guardián. Intercepta las solicitudes HTTP iniciales del cliente y las redirige a su splash page personalizada de Purple. Para configurar esto en la plataforma Alta Labs Cloud Management, vaya a sus ajustes de WiFi, seleccione su SSID de invitados y, en la sección de Ajustes Avanzados, defina el tipo de red como Guest. Esto es crucial porque aplica de forma automática la funcionalidad de client isolation, lo que evita que los dispositivos se comuniquen de forma lateral en la red. Después, en la sección de Hotspot, seleccione External e introduzca la URL de redirección de Purple proporcionada en la configuración de su establecimiento, junto con su Authorisation Secret. Pero aquí es donde la mayoría de las implementaciones encuentran un obstáculo: el walled garden. El walled garden es la lista de dominios y direcciones IP a los que un dispositivo puede acceder antes de haberse autenticado. Si quiere que los invitados inicien sesión utilizando Google, Facebook o Apple, sus dispositivos deben comunicarse con esos servidores de OAuth mientras aún se encuentran en estado de pre-autenticación. Debe registrar explícitamente en la lista de permitidos los dominios de la infraestructura de Purple, como region1.purpleportal.net y cloudfront.net. Después, debe agregar los sensores de captive portal de los sistemas operativos: captive.apple.com para iOS y connectivitycheck.gstatic.com para Android. Si bloquea estos dominios, el teléfono no detectará que está detrás de un captive portal y la splash page nunca se mostrará. Finalmente, se agregan los dominios de inicio de sesión social. Para Google, son accounts.google.com, oauth2.googleapis.com y gstatic.com. Para Facebook, son facebook.com, graph.facebook.com y los dominios de fbcdn.net. Una lista blanca de IP estáticas no funcionará aquí porque estos proveedores utilizan redes de distribución de contenido dinámicas. Debe utilizar nombres de dominio y asegurarse de que su controlador realice la resolución de DNS dinámica. Una vez que el usuario completa el inicio de sesión en la página de inicio de Purple, el servidor RADIUS de Purple envía un mensaje Access-Accept de vuelta al AP de Alta Labs. Luego, el AP elimina la restricción del portal cautivo y otorga al dispositivo acceso total a Internet. Es un flujo limpio y seguro que recopila datos de origen mientras mantiene la integridad de la red. Ahora, hablemos de la segmentación multi-inquilino. En entornos como oficinas inteligentes, alojamiento para estudiantes o unidades multifamiliares, a menudo se necesita proporcionar redes seguras y aisladas para diferentes grupos. Históricamente, los equipos de TI transmitían un SSID independiente para cada inquilino. Esa es una práctica terrible. Provoca una sobrecarga de gestión masiva y destruye el rendimiento inalámbrico debido a la sobrecarga de tramas de baliza (beacon frames). Alta Labs resuelve esto con AltaPass, su versión de claves precompartidas privadas. Con AltaPass, se transmite un solo SSID - llamémoslo BuildingWiFi. Pero se generan contraseñas únicas para diferentes usuarios o dispositivos. Cuando el Inquilino A introduce su contraseña específica, el AP lo asigna dinámicamente a la VLAN 101 con un límite de ancho de banda de 100 Megabits. Cuando el equipo de administración introduce su contraseña en el mismo SSID, se les asigna a la VLAN 200 con ancho de banda ilimitado. Incluso se puede crear una contraseña para dispositivos IoT, como termostatos inteligentes, que los asigne a una VLAN aislada y evite por completo el Captive Portal. Un SSID. Contraseñas ilimitadas. Aislamiento completo. Esto es redes basadas en la identidad (Identity-Based Networking) en el borde, y es una solución genuinamente elegante a un problema que ha plagado las implementaciones multi-inquilino durante años. Permítame darle un ejemplo concreto de cómo funciona esto en la práctica. Considere un complejo de departamentos de 72 unidades - un tipo de implementación del mundo real para el cual se ha utilizado ampliamente Alta Labs. En lugar de transmitir 72 SSIDs independientes, el administrador de la red crea un solo SSID y genera una contraseña única para cada unidad. Cada contraseña se asocia a una VLAN y subred dedicadas. Los residentes en el nivel básico obtienen 100 Megabits. Los residentes que han pagado por el nivel premium obtienen 300 Megabits. El equipo de administración del edificio obtiene acceso sin restricciones. El sistema de automatización del edificio - cerraduras de puertas, HVAC, elevadores - obtiene su propia VLAN aislada con inspección profunda de paquetes habilitada. Todo desde un solo SSID. El entorno de RF es más limpio, el rendimiento es mayor y la gestión es drásticamente más simple. Ahora, pasemos a la configuración de 802.1X para WiFi seguro del personal. Para la red de su personal, no debería utilizar una clave precompartida en absoluto. Debería usar WPA2 o WPA3 Enterprise con autenticación 802.1X. En la plataforma Alta Labs, esto se configura seleccionando el SSID de su personal, estableciendo el modo de seguridad en WPA2-Enterprise o WPA3-Enterprise, y direccionando el AP a su servidor RADIUS. Si se está integrando con el producto SecurePass de Purple, Purple actúa como intermediario de RADIUS, conectándose a su proveedor de identidad - ya sea Microsoft Entra ID, Okta o Google Workspace - y devolviendo la asignación de VLAN correspondiente en el mensaje Access-Accept. El AP de Alta Labs lee el atributo Tunnel-Private-Group-Id de la respuesta de RADIUS y coloca el dispositivo en la VLAN correcta de forma automática. Una nota importante sobre la asignación dinámica de VLAN con Alta Labs: al configurar las VLAN asignadas por RADIUS, establezca la VLAN predeterminada en el SSID en VLAN 1 o déjela sin etiquetar. Existe un comportamiento conocido en el que, si la VLAN predeterminada se establece en un valor específico, el AP puede anular la VLAN asignada por RADIUS con la predeterminada configurada. Establecer la predeterminada en VLAN 1 garantiza que la asignación de RADIUS tenga prioridad. --- [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES - 2 MINUTOS] Cuando implemente esto, hay algunas recomendaciones clave que quiero destacar. Primero, siempre pruebe el flujo de su Captive Portal con un dispositivo nuevo. No utilice su propio teléfono si ya se ha conectado a la red durante las pruebas. Su dispositivo recuerda la autorización de la dirección MAC o tiene entradas DNS almacenadas en caché, lo que ocultará fallas en el walled garden. Use una tableta que nunca haya detectado la red, conéctela y verifique que el asistente del Captive Portal del sistema operativo se inicie automáticamente. Segundo, tenga cuidado con el exceso de elementos en la lista de permitidos. Veo a ingenieros frustrarse con los errores de inicio de sesión social y simplemente agregar dominios enteros con comodines o bloques masivos de IP a la lista de permitidos. Esto crea una vulnerabilidad de seguridad donde los usuarios hábiles pueden eludir su Captive Portal por completo. Limítese a los dominios específicos requeridos para el flujo de OAuth. Tercero, al implementar AltaPass PPSK con VLAN dinámicas, asegúrese de que toda su infraestructura de conmutación esté configurada correctamente. Los puertos del switch que se conectan a sus AP de Alta Labs deben configurarse como troncales, permitiendo que todas las VLAN etiquetadas pasen a la puerta de enlace. Si el AP etiqueta el tráfico para la VLAN 101, pero el puerto del switch está configurado en modo de acceso en la VLAN 1, el tráfico se cae y el cliente no obtiene dirección IP. Cuarto, implemente una revisión trimestral de la configuración de su walled garden. Los proveedores de OAuth y las redes de distribución de contenido cambian sus estructuras de dominio. Apple actualizó sus dominios de Sign In dos veces en 2023. Un walled garden que era correcto al momento de la implementación perderá alineación sin un mantenimiento activo. --- [PREGUNTAS Y RESPUESTAS RÁPIDAS - 1 MINUTO] Repasemos un par de preguntas rápidas que escuchamos en el campo de trabajo. Pregunta uno: ¿Puedo usar WPA3 con el Captive Portal de Purple en hardware de Alta Labs? Sí. Debe usar WPA3-OWE, que significa Opportunistic Wireless Encryption. Esto cifra los datos por el aire, protegiendo la privacidad de los invitados, mientras sigue funcionando como una red abierta que activa el redireccionamiento del Captive Portal. Es la elección correcta para cualquier implementación nueva de WiFi para invitados en 2026. Pregunta dos: ¿Qué puertos necesito abrir en mi firewall para el tráfico de RADIUS? Los servidores RADIUS de Purple se comunican a través del puerto UDP 1812 para la autenticación y del puerto UDP 1813 para la contabilidad. Asegúrese de que su firewall perimetral permita el tráfico saliente en estos puertos desde los AP de Alta Labs hacia la infraestructura de Purple. Pregunta tres: ¿Puedo usar AltaPass PPSK junto con el Captive Portal de Purple en el mismo SSID? Sí, y de hecho esta es una configuración muy útil. Puede crear una contraseña de AltaPass que omita el Captive Portal para dispositivos conocidos - como sus terminales de punto de venta o señalización digital - mientras que las conexiones estándar al mismo SSID sigan pasando por la página de bienvenida de Purple. Esto le brinda un único SSID limpio que maneja tanto dispositivos autenticados como usuarios invitados. --- [RESUMEN Y PRÓXIMOS PASOS - 1 MINUTO] Para concluir: La integración de Alta Labs con Purple WiFi le brinda una plataforma segura y escalable para capturar datos de primera mano y ofrecer una experiencia de invitado con su marca. Recuerde los tres pilares de una implementación exitosa. Primero, configure correctamente el redireccionamiento del hotspot externo y los ajustes de RADIUS en la plataforma Alta Labs Cloud Management. Segundo, defina meticulosamente sus dominios de walled garden para garantizar que las sondas del sistema operativo y los inicios de sesión con redes sociales funcionen correctamente. Y tercero, aproveche AltaPass PPSK para implementar redes basadas en la identidad, segmentando su tráfico sin saturar su espacio aéreo con SSIDs innecesarios. Purple opera en 80,000 establecimientos activos y procesó 440 millones de inicios de sesión en 2024. La plataforma cuenta con la certificación ISO 27001, cumple con el GDPR y está diseñada para escalar desde un solo hotel boutique hasta una cadena minorista nacional. Al combinar eso con el rendimiento y la flexibilidad del hardware de Alta Labs, obtiene una pila de WiFi empresarial atractiva. Si sigue esta guía de juego, ofrecerá una experiencia de WiFi fluida y de conformidad que complacerá tanto a su equipo de marketing como a su equipo de seguridad. Gracias por escuchar la serie de resúmenes técnicos de Purple. Hasta la próxima, mantenga sus redes seguras y sus datos listos para la acción.