Ver transcripción del podcast
Bienvenido al Informe Técnico de Purple. Hoy cubriremos un tema que surge constantemente en nuestras conversaciones con gerentes de TI y arquitectos de red en los sectores de hotelería, retail y recintos multiinquilino: cómo integrar los puntos de acceso NETGEAR Insight y de la serie WAX con Purple WiFi. Si usted administra un hotel, un parque comercial, un centro de conferencias o un desarrollo de uso mixto, este informe es directamente relevante para su próxima decisión de implementación.
Pongamos el escenario. La serie WAX de NETGEAR - los modelos WAX610, WAX620 y WAX630 - son puntos de acceso WiFi 6 administrados a través de la plataforma en la nube Insight. Admiten hasta ocho SSID independientes por radio, cifrado WPA3 y hasta seis gigabits de rendimiento en el WAX630. Se alimentan por PoE, se pueden montar en el techo y se administran desde una única interfaz a través del Portal Cloud de Insight. Para un instalador de TI o un administrador de red de PyME, esta es una plataforma realmente capaz a un precio muy inferior al de la categoría de Cisco Meraki o HPE Aruba.
Purple es una solución en la nube independiente del hardware. Nos situamos por encima de su infraestructura existente y añadimos la capa de experiencia del invitado, la capa de captura de datos y la capa de analíticas. Hemos procesado 440 millones de inicios de sesión en 2024 en 80,000 recintos activos. La integración con NETGEAR Insight es limpia y está bien documentada, y cubre cuatro casos de uso distintos que analizaremos hoy.
Ahora entremos en el análisis técnico detallado. Los cuatro casos de uso son: WiFi de invitados con un Captive Portal de Purple, WiFi seguro para el personal mediante 802.1X, segmentación multiinquilino utilizando la función PPSK de NETGEAR y asignación dinámica de VLAN a través de RADIUS para redes basadas en la identidad.
Caso de uso uno: WiFi de invitados con un Captive Portal de Purple. Este es el punto de partida más común. Usted crea un SSID dedicado para invitados en NETGEAR Insight y lo configura como una red abierta. La configuración clave se encuentra en la sección Captive Portal de los ajustes del SSID. Selecciona Captive Portal externo y pega la URL de la página de inicio que Purple proporciona.
A continuación, configura el tipo de autenticación. Para la mayoría de las implementaciones de Purple, seleccionará la autenticación RADIUS. Purple le proporciona una dirección IP del servidor RADIUS principal, el puerto 1812 para la autenticación y el puerto 1813 para la contabilidad, junto con un secreto compartido. Copie y pegue estos datos en la configuración del Captive Portal externo de NETGEAR Insight. También debe definir un identificador NAS - este es un string que identifica este punto de acceso o ubicación específica ante el servidor RADIUS. Utilice algo significativo, como el nombre de su recinto y el código de ubicación.
El walled garden es la parte que complica a la mayoría de los instaladores. Antes de que un usuario se autentique, su dispositivo debe poder comunicarse con la splash page de Purple, los servidores de autenticación y cualquier proveedor de inicio de sesión social que tenga habilitado. NETGEAR Insight tiene una sección dedicada de Walled Garden en la configuración del External Captive Portal donde se agregan estas URL. La documentación de soporte de Purple proporciona la lista exacta de dominios para agregar a la lista blanca. Si se configura de forma incorrecta, los invitados verán una página en blanco en lugar de su portal de marca.
Una vez configurado, el flujo funciona de la siguiente manera: un invitado se conecta al SSID de Hotel Guest. El punto de acceso intercepta su primera solicitud HTTP y lo redirige a la splash page de Purple. El invitado ve su portal de marca, acepta los términos y, opcionalmente, proporciona su dirección de correo electrónico o inicia sesión a través de redes sociales. El servidor RADIUS de Purple devuelve un mensaje Access-Accept al punto de acceso y se le concede acceso a internet al invitado. Purple captura los datos de consentimiento, registra la sesión y esos datos fluyen hacia su panel de analíticas de Purple.
Segundo caso de uso: WiFi seguro para el personal mediante 802.1X. Aquí es donde se eliminan por completo las contraseñas compartidas. Para las redes del personal, una clave precompartida es un riesgo; cuando un empleado se va, se tiene que cambiar la contraseña para todos. El estándar 802.1X, definido en la norma IEEE 802.1X, le otorga a cada usuario una credencial individual. Cuando se van, se deshabilita su cuenta en el directorio y su acceso se revoca de inmediato.
En NETGEAR Insight, se configura un SSID de personal independiente con seguridad WPA2 Enterprise. Esto le indica al punto de acceso que utilice la autenticación 802.1X en lugar de una clave precompartida. Luego, se configuran los ajustes del servidor RADIUS a nivel de ubicación de red. Vaya a la configuración de ubicación de red, seleccione RADIUS, habilite 802.1X Access Authentication e ingrese la IP, el puerto y el secreto compartido de su servidor RADIUS. El intervalo de reautenticación predeterminado es de 3,600 segundos - una hora - lo cual es un punto de partida razonable para la mayoría de los establecimientos.
El método EAP más común en implementaciones de PyMEs es PEAP-MSCHAPv2, el cual utiliza un certificado del lado del servidor para crear un túnel cifrado dentro del cual el usuario se autentica con su nombre de usuario y contraseña de Active Directory. EAP-TLS es más seguro - utiliza certificados en ambos lados - pero requiere una infraestructura PKI y MDM para enviar los certificados a los dispositivos.
Un punto crítico: aplique la validación de certificados en cada dispositivo cliente. Configure sus dispositivos Windows a través de objetos de directiva de grupo y sus dispositivos móviles a través de perfiles MDM para validar el certificado del servidor RADIUS. Si omite este paso, los dispositivos quedarán vulnerables a ataques de puntos de acceso no autorizados donde un atacante presenta un certificado falso y captura las credenciales.Caso de uso tres: NETGEAR PPSK para recintos multiinquilino. Private Pre-Shared Key resuelve un problema específico en parques comerciales, desarrollos de uso mixto y espacios de co-working. Tienes múltiples inquilinos que comparten la misma infraestructura física de WiFi. No quieres ejecutar SSIDs independientes para cada inquilino, ya que eso genera congestión de radiofrecuencia y complejidad de gestión. Pero tampoco puedes darles a todos la misma contraseña, porque entonces el Inquilino A podría ver el tráfico del Inquilino B.
PPSK resuelve esto de manera elegante. Creas un solo SSID y creas múltiples claves precompartidas en NETGEAR Insight en Wireless, Settings, Advanced, Multi PSK Settings. Cada clave está asociada a una VLAN específica. El Inquilino A recibe una contraseña única de 16 caracteres que se asigna a la VLAN 30. El Inquilino B recibe una contraseña diferente que se asigna a la VLAN 40. El equipo de administración del recinto recibe una tercera contraseña que se asigna a la VLAN 20, la cual tiene acceso a los sistemas de gestión.
Cuando los dispositivos del Inquilino A se conectan usando su contraseña, el punto de acceso los coloca automáticamente en la VLAN 30. No pueden ver ningún tráfico en la VLAN 40 ni en la VLAN 20. Desde la perspectiva de un inquilino, solo tienen una contraseña de WiFi. Desde tu perspectiva como administrador de red, tienes un aislamiento de tráfico completo entre inquilinos con cero hardware adicional.
Existen dos limitaciones importantes que debes conocer. Primero, PPSK en NETGEAR Insight requiere cifrado WPA2 Personal o WPA2 Personal Mixed. No funciona en la banda de 6 GHz. Segundo, PPSK no se puede combinar con un Captive Portal en el mismo SSID. Si necesitas ambos, requieres dos SSIDs independientes - lo cual está bien, porque los puntos de acceso de la serie WAX admiten hasta ocho.
Caso de uso cuatro: asignación dinámica de VLAN a través de RADIUS. Esta es la configuración más sofisticada y la que sustenta la capacidad de Redes Basadas en Identidad de Purple. En lugar de asignar estáticamente una VLAN a una contraseña o a un SSID, dejas que el servidor RADIUS decida qué VLAN asignar según quién se esté autenticando.
El mecanismo utiliza tres atributos RADIUS estándar: Tunnel-Type, que debe establecerse en el valor 13 para VLAN; Tunnel-Medium-Type, que debe establecerse en el valor 6 para IEEE 802; y Tunnel-Private-Group-ID, que transporta el ID de la VLAN como una cadena de texto. Cuando un usuario se autentica con éxito, el servidor RADIUS devuelve estos tres atributos en el mensaje Access-Accept. El punto de acceso los lee y coloca al cliente en la VLAN especificada.
En la práctica, esto significa que puedes tener un único SSID WPA2 Enterprise donde el gerente de un hotel se autentica y accede a la VLAN 20 con acceso a los sistemas de gestión de la propiedad, un agente de recepción se autentica y accede a la VLAN 21 con acceso exclusivo al sistema de registro, y un contratista se autentica y accede a la VLAN 50 con acceso solo a internet. Todo desde el mismo SSID, todo aplicado automáticamente por el servidor RADIUS en función de la pertenencia al grupo de Active Directory.
Ahora, hablemos de las recomendaciones de implementación y los errores comunes. El primer error común es el jardín vallado (walled garden). Cada implementación de Captive Portal externo falla en el jardín vallado al menos una vez. El síntoma es que los invitados se conectan al SSID pero ven un error de navegador en lugar de la página de bienvenida. La solución es metódica: abra la documentación de soporte de Purple, copie cada dominio de la lista de jardines vallados y péguelos en la sección Walled Garden de NETGEAR Insight. Realice la prueba con un dispositivo que no tenga credenciales almacenadas en caché.
El segundo error común es la accesibilidad de RADIUS. El punto de acceso NETGEAR necesita comunicarse con su servidor RADIUS. RADIUS utiliza el puerto UDP 1812 para la autenticación y el puerto UDP 1813 para la contabilidad (accounting). Abra esos puertos desde la IP de administración del punto de acceso hacia la IP del servidor RADIUS. Realice pruebas con una herramienta de prueba de RADIUS antes de pasar a producción.
El tercer error común es el conflicto entre PPSK y el Captive Portal. NETGEAR Insight no permite PPSK y Captive Portal en el mismo SSID. Si necesita ambos, cree dos SSIDs. Nómbrelos de forma clara - uno para inquilinos PPSK y otro para invitados de Captive Portal.
El cuarto error común es la validación de certificados en clientes 802.1X. Cada dispositivo Windows necesita un Objeto de Directiva de Grupo (GPO) que especifique la Autoridad de Certificación de confianza y el nombre del servidor RADIUS esperado. Cada dispositivo móvil necesita un perfil de MDM con la misma configuración. Sin esto, un usuario podría autenticarse sin saberlo en un punto de acceso no autorizado y entregar sus credenciales de Active Directory.
Ahora pasemos a una sesión de preguntas y respuestas rápidas. Pregunta uno: ¿Puedo usar Purple con NETGEAR Insight sin un servidor RADIUS? Sí, para implementaciones de Captive Portal de invitados, puede usar el modo de autenticación web de Purple en lugar de RADIUS. El punto de acceso redirige a la página de bienvenida a través de HTTP, y Purple gestiona la autenticación mediante una sesión web. RADIUS le brinda más control y mejores datos de contabilidad, pero no es obligatorio para implementaciones básicas de portal de invitados.
Pregunta dos: ¿Cuántas claves PPSK puedo crear en NETGEAR Insight? NETGEAR Insight admite hasta 64 claves PPSK por SSID en los puntos de acceso de la serie WAX. Para la mayoría de los entornos multi-inquilino, esto es más que suficiente. Si tiene más de 64 inquilinos, deberá migrar a una solución de VLAN dinámica basada en RADIUS.
Pregunta tres: ¿NETGEAR Insight admite WPA3 Enterprise para 802.1X? Sí, los puntos de acceso de la serie WAX admiten WPA3 Enterprise. Para la mayoría de las implementaciones de PyMEs, WPA2 Enterprise es suficiente y ofrece una compatibilidad de dispositivos cliente más amplia. Vale la pena considerar WPA3 Enterprise para entornos que manejan datos confidenciales, como el sector salud o los servicios financieros.
Pregunta cuatro: ¿Qué pasa si el servidor RADIUS de Purple no está disponible? NETGEAR Insight admite una opción failsafe en la configuración del Captive Portal externo. Si activa failsafe, a los invitados se les otorga acceso a Internet por un período corto, incluso si los servidores del Captive Portal no están disponibles. Purple mantiene un tiempo de actividad del 99.999% en toda nuestra infraestructura, pero activar failsafe es una buena práctica para cualquier implementación en producción.
Para resumir los puntos clave de la sesión de hoy: los puntos de acceso de la serie NETGEAR WAX se integran con Purple a través del mecanismo de Captive Portal externo en NETGEAR Insight. Puede configurar la URL de la splash page, las credenciales del servidor RADIUS y los dominios de walled garden en el portal en la nube de Insight. Para redes de personal, use WPA2 Enterprise con 802.1X y aplique la validación de certificados en cada dispositivo cliente. Para instalaciones multiinquilino, la función PPSK de NETGEAR le brinda aislamiento de VLAN por inquilino desde un solo SSID con hasta 64 claves únicas. Para las implementaciones más sofisticadas, la asignación dinámica de VLAN a través de atributos RADIUS le brinda una segmentación de red basada en la identidad que se adapta a quién se está conectando, no solo desde dónde se está conectando.
Si está planeando una implementación de NETGEAR con Purple, el siguiente paso es solicitar sus credenciales de RADIUS de Purple y la lista de dominios de walled garden al equipo de soporte de Purple, y probar la redirección del Captive Portal en un SSID de staging antes de lanzarlo a producción. La configuración toma menos de 30 minutos una vez que tenga esas credenciales a la mano.
Gracias por escuchar el Informe Técnico de Purple. Para obtener la guía escrita completa, incluidos los detalles de configuración paso a paso y ejemplos prácticos, visite purple.ai.
