Saltar al contenido principal

Aruba ClearPass vs. Purple WiFi: Comparativa de funciones y co-implementación

Una guía técnica completa que detalla la arquitectura de co-implementación de Aruba ClearPass y Purple WiFi. Cubre la configuración de proxy RADIUS, la asignación dinámica de VLAN y las mejores prácticas para ofrecer redes de invitados seguras y basadas en análisis junto con el NAC empresarial.

📖 6 min de lectura📝 1,499 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
Hable en inglés británico con un tono seguro, autoritario y conversacional. Usted es un consultor sénior de redes que asesora a un cliente. Ritmo moderado, dicción clara, profesional pero no rígido. Pausas naturales ocasionales para dar énfasis: Bienvenido a esta sesión informativa técnica de Purple. Soy su anfitrión, y hoy abordaremos una pregunta que surge en casi todos los proyectos de redes inalámbricas empresariales en los que trabajamos: cuando ya se tiene implementado Aruba ClearPass, ¿dónde encaja Purple WiFi y cómo funcionan ambos sistemas en conjunto? [pausa media] Esta no es una discusión teórica. Si usted es gerente de TI, arquitecto de redes o ingeniero de seguridad en un grupo hotelero, una cadena de tiendas de retail o un operador de estadios, esta es una decisión que podría tener que tomar este trimestre. Así que entremos en materia. [pausa media] Introducción y contexto. [pausa corta] Primero, seamos claros sobre el diseño y propósito real de cada plataforma. Aruba ClearPass Policy Manager es una plataforma de Network Access Control. Su función es autenticar dispositivos y usuarios, evaluar el estado de seguridad de los endpoints y aplicar políticas de acceso en toda su red. Administra 802.1X, que es el estándar IEEE para el control de acceso a redes basado en puertos, utilizando métodos EAP como EAP-TLS con certificados y PEAP con nombre de usuario y contraseña. Se integra con Microsoft Entra ID, Okta y otros proveedores de identidad. Analiza el perfil de los dispositivos, verifica si cumplen con su política de seguridad y les asigna el rol de red correcto. Para dispositivos corporativos, ClearPass es excelente. Fue creado exactamente para este caso de uso. [pausa media] Purple WiFi es un concepto totalmente diferente. Purple es una plataforma de inteligencia de WiFi para invitados basada en la nube. Su función es autenticar a los visitantes a través de un Captive Portal personalizado con su marca, recopilar datos de primera mano con flujos de consentimiento que cumplen con la norma GDPR y enviar esa información a sus sistemas de marketing y analítica. Purple opera en más de 80,000 establecimientos en todo el mundo y ha procesado 440 millones de inicios de sesión tan solo en 2024. Se integra con más de 400 conectores, incluidos CRM y plataformas de automatización de marketing. Para redes de invitados, Purple es el especialista. [pausa media] El problema al que se enfrentan la mayoría de las organizaciones es que intentan usar una sola plataforma para realizar ambas funciones. O bien le piden a ClearPass que administre su portal de invitados, lo cual puede hacer pero no de manera elegante, o implementan Purple sin pensar en cómo convive con su inversión actual en NAC. La respuesta correcta es una arquitectura de co-implementación donde cada plataforma hace lo que mejor sabe hacer. [pausa media] Inmersión técnica profunda. [pausa corta] Permítame guiarlo a través de la arquitectura. En una co-implementación, su Aruba Mobility Controller o sus puntos de acceso Aruba Instant transmiten múltiples SSID. Normalmente tres: uno para dispositivos corporativos, uno para invitados y uno para IoT. Para obtener más información sobre este patrón de diseño de SSID, Purple ha publicado una guía detallada llamada "Three SSIDs to rule them all", la cual recomiendo leer junto con esta sesión informativa. [pausa media] El SSID corporativo utiliza 802.1X con EAP-TLS. Los dispositivos se autentican mediante certificados aprovisionados a través de ClearPass Onboard, que es el módulo integrado de registro de certificados y aprovisionamiento de dispositivos de ClearPass. ClearPass comprueba la postura del dispositivo, verifica el certificado, consulta Active Directory o Microsoft Entra ID y asigna el dispositivo a la VLAN adecuada. Normalmente, la VLAN 10 para el tráfico corporativo. Todo este flujo permanece dentro de ClearPass. Purple no interviene. [medium pause] En el SSID de invitados es donde se produce la integración. Cuando un visitante se conecta al SSID de invitados, el controlador Aruba intercepta su tráfico HTTP y redirige su navegador al Captive Portal de Purple. El visitante se autentica a través de Purple, tal vez utilizando el inicio de sesión social a través de Google, un formulario de correo electrónico personalizado o OpenRoaming, donde Purple actúa como un proveedor de identidad gratuito bajo la licencia Connect. Una vez que Purple valida al visitante, envía un mensaje RADIUS Access-Accept de vuelta al controlador, el cual concede el acceso a internet. [medium pause] Ahora, la decisión arquitectónica clave es si se introduce ClearPass como un proxy RADIUS entre el controlador y Purple, o si el controlador se comunica directamente con los servidores RADIUS de Purple. Para la mayoría de las implementaciones empresariales, el modelo de proxy es la opción correcta. He aquí el porqué. [medium pause] Con ClearPass como proxy RADIUS, cada evento de autenticación en su red, tanto corporativa como de invitados, fluye a través de ClearPass. Se obtiene un único registro de auditoría. Su equipo de operaciones de seguridad lo ve todo en un solo lugar. ClearPass puede añadir sus propios atributos de política antes de devolver la respuesta al controlador, lo que permite la asignación dinámica de VLAN basada en roles. Y usted conserva la capacidad de aplicar políticas adicionales a las sesiones de invitados, como límites de ancho de banda o restricciones de acceso basadas en el tiempo. Speak in British English with a confident, authoritative, and conversational tone. You are a senior network consultant briefing a client. Measured pace, clear diction, professional but not stiff: La configuración del proxy en ClearPass es sencilla. Se crea una Política de Enrutamiento RADIUS que coincida con el SSID de invitados mediante el identificador NAS o el ID de la estación llamada. Las solicitudes que coinciden con esa política se reenvían a los servidores RADIUS en la nube de Purple. Purple responde, ClearPass añade el atributo específico del proveedor Aruba-User-Role y el controlador sitúa al invitado en la VLAN 20 con acceso exclusivo a internet. [medium pause] Para los dispositivos IoT, el tercer SSID utiliza la omisión de autenticación MAC. ClearPass perfila el dispositivo utilizando su OUI, los primeros seis caracteres de la dirección MAC que identifican al fabricante, y lo asigna a ROLE_IOT, que se mapea a la VLAN 30. Esta VLAN no tiene acceso a internet, sólo conectividad local. Sus pantallas inteligentes, termostatos y cerraduras electrónicas quedan completamente aislados del tráfico tanto corporativo como de invitados. [medium pause] Hablemos de cumplimiento, porque aquí es donde la arquitectura demuestra su valor. Con PCI-DSS, cualquier segmento de red que toque datos de titulares de tarjetas debe estar aislado de las redes de invitados. La segmentación de VLAN en esta arquitectura cumple con ese requisito. Bajo el GDPR, el Captive Portal de Purple gestiona la recopilación de consentimiento con opciones de aceptación de elección consciente, lo que significa que los visitantes eligen activamente compartir sus datos en lugar de que se recopilen de forma predeterminada. Purple cuenta con la certificación ISO 27001, cumple con el GDPR y tiene la certificación Cyber Essentials. ClearPass proporciona el registro de auditoría que su equipo de seguridad necesita para los informes de cumplimiento. [medium pause] Recomendaciones de implementación y errores comunes. [short pause] Permítame compartirle las cinco cosas que más fallan en esta implementación y cómo evitarlas. [medium pause] Número uno: el walled garden (entorno cerrado). Antes de que un visitante se autentique, el controlador de Aruba solo permite el tráfico a una lista predefinida de destinos. Si los dominios del portal de Purple, sus endpoints de CDN y los dominios de los proveedores de inicio de sesión social no están en esa lista, el portal no se cargará. Debe incluir asterisco punto purple punto ai, asterisco punto cloudfront punto net y los dominios de OAuth para los proveedores de inicio de sesión social que esté habilitando. Google, Facebook, Apple y Microsoft Entra ID tienen sus propios conjuntos de dominios. Trate al walled garden como una configuración dinámica, ya que los proveedores de inicio de sesión social cambian sus dominios de CDN periódicamente. [medium pause] Número dos: tiempos de espera de RADIUS. El tiempo de espera predeterminado de RADIUS en la mayoría de los controladores Aruba es de tres segundos. En una arquitectura de proxy, la solicitud viaja desde el punto de acceso al controlador, luego a ClearPass, de ahí a través de internet a la nube RADIUS de Purple y de regreso. En una red congestionada, ese viaje de ida y vuelta puede superar los tres segundos. Establezca su tiempo de espera en al menos diez segundos y configure la lógica de reintento con al menos dos reintentos. [medium pause] Número tres: discrepancias en el secreto compartido. El secreto compartido entre el controlador Aruba y ClearPass debe coincidir exactamente. El secreto compartido entre ClearPass y los servidores RADIUS de Purple también debe coincidir exactamente. Una diferencia de un solo carácter provoca fallas de autenticación silenciosas sin ningún mensaje de error útil para el visitante. Verifique siempre estos datos carácter por carácter. [medium pause] Número cuatro: distinción de mayúsculas y minúsculas en el nombre del rol. El atributo Aruba-User-Role devuelto por ClearPass debe coincidir exactamente con el nombre del rol definido en el controlador Aruba, incluyendo las mayúsculas. Si ClearPass devuelve guest-authenticated pero el controlador tiene definido Guest-Authenticated, el visitante vuelve al rol de inicio de sesión predeterminado sin acceso a internet. [medium pause] Número cinco: contabilidad RADIUS. Muchas implementaciones configuran correctamente el proxy de autenticación pero olvidan hacer lo mismo con la contabilidad. Purple utiliza los datos de contabilidad RADIUS para rastrear la duración de las sesiones, el uso de datos y para alimentar sus tableros de analíticas. Si la contabilidad no fluye hacia Purple, sus reportes de análisis de visitas y tiempo de permanencia estarán incompletos. [medium pause] Preguntas rápidas. [short pause] ¿Puedo ejecutar esto en Aruba Instant en lugar de un Mobility Controller completo? Sí. Aruba Instant es compatible con servidores RADIUS externos y redirección de Captive Portal. La configuración varía ligeramente, pero los principios son idénticos. [medium pause] ¿Soporta Purple el Cambio de Autorización? Sí. CoA permite al controlador actualizar dinámicamente la sesión de un visitante sin necesidad de que se vuelva a conectar. Esto es útil para accesos con límite de tiempo o mejoras de categoría. [medium pause] ¿Funciona esto con WPA3? Sí. WPA3-SAE para redes personales y WPA3-Enterprise para 802.1X son compatibles. Para redes de invitados que utilizan portales cautivos, WPA3-SAE o un SSID abierto con Opportunistic Wireless Encryption son las opciones típicas. [medium pause] ¿Puedo usar un solo SSID tanto para empleados como para invitados? Sí puede, pero añade complejidad. ClearPass maneja tanto la autenticación 802.1X como la autenticación MAC en el mismo SSID, utilizando reglas de servicio para diferenciar los tipos de tráfico y enrutarlos en consecuencia. Para la mayoría de los establecimientos, usar SSIDs separados es la opción más limpia. [medium pause] Resumen y próximos pasos. [short pause] ClearPass y Purple son complementarios, no competencia. ClearPass es su motor de políticas para dispositivos corporativos: 802.1X, postura del endpoint, gestión de certificados e historial de auditoría unificado. Purple es su plataforma de inteligencia de invitados: Captive Portal con marca propia, captura de datos que cumple con el GDPR, analíticas de visitas y automatización de marketing. [medium pause] La arquitectura de implementación conjunta utiliza ClearPass como un proxy RADIUS. Todas las solicitudes de autenticación fluyen a través de ClearPass. Las solicitudes de invitados se enrutan al RADIUS en la nube de Purple. Las solicitudes corporativas son manejadas localmente por ClearPass. El controlador Aruba aplica las políticas resultantes mediante la asignación dinámica de VLAN. [medium pause] Los tres elementos de configuración que debe asegurar son: el walled garden, los tiempos de espera de RADIUS y la coherencia en los nombres de los roles. Si configura estos correctamente, tendrá una implementación de WiFi para invitados que cumple con las normativas, tiene valor comercial y no compromete su postura de seguridad corporativa. [medium pause] Para sus próximos pasos: obtenga sus credenciales RADIUS de establecimiento de Purple desde el panel de control de Purple, revise la lista de referencia del walled garden en la guía escrita complementaria y pruebe todo el flujo de autenticación con un dispositivo de prueba dedicado antes de lanzarlo a producción. Si está realizando la implementación en múltiples ubicaciones, la consola de administración multisitio de Purple le permite gestionar las configuraciones de Captive Portal, la imagen de marca y las analíticas de toda su propiedad desde una sola interfaz. [medium pause] Gracias por escucharnos. Visite purple.ai para hablar con un arquitecto de soluciones sobre su implementación específica.

header_image.png

Resumen ejecutivo

Para los entornos empresariales con una fuerte inversión en la infraestructura de HPE Aruba, administrar políticas complejas de acceso a la red y, al mismo tiempo, ofrecer una experiencia de WiFi para invitados fluida y rica en datos presenta un desafío arquitectónico significativo. Aunque Aruba ClearPass Policy Manager destaca en el control de acceso a la red (NAC) y la seguridad 802.1X para dispositivos corporativos, su Captive Portal integrado a menudo carece de la automatización de marketing avanzada y los análisis que requieren los recintos modernos. Esta guía detalla cómo integrar Purple WiFi con ClearPass, lo que permite que cada plataforma se enfoque en sus fortalezas principales.

Al implementar ClearPass como un proxy RADIUS, usted mantiene un registro de auditoría de seguridad unificado y una asignación dinámica de VLAN para dispositivos corporativos e IoT, mientras delega la experiencia de incorporación de invitados a Purple. Este enfoque permite la captura de datos de primera mano de conformidad con el GDPR, análisis detallados de afluencia e integraciones con más de 400 conectores de marketing, todo sin reemplazar su inversión existente en el NAC de Aruba. Este documento proporciona el diseño técnico para esta implementación conjunta, que abarca la arquitectura, los flujos de trabajo de configuración y las mejores prácticas.

Análisis técnico detallado

La integración de Aruba ClearPass y Purple WiFi se basa en protocolos RADIUS estándar y mecanismos de redirección HTTP, estructurados en torno a una arquitectura de proxy RADIUS. Este diseño garantiza que ClearPass siga siendo el punto central de decisión de políticas para todo el acceso a la red, mientras que Purple administra el Captive Portal orientado al invitado y la recopilación de datos.

Arquitectura central

En una implementación conjunta estándar, sus controladores de movilidad Aruba o sus puntos de acceso Aruba Instant transmiten múltiples SSIDs. Un patrón de diseño típico, como se detalla en Three SSIDs to rule them all: the WiFi design for guest, staff and IoT , utiliza tres redes dedicadas:

  1. SSID corporativo: Utiliza 802.1X con EAP-TLS. Los dispositivos se autentican mediante certificados aprovisionados a través de ClearPass Onboard. ClearPass evalúa el estado de seguridad del dispositivo, consulta a Microsoft Entra ID o Active Directory y asigna el dispositivo a la VLAN corporativa (por ejemplo, VLAN 10). Purple no interviene en este flujo.
  2. SSID de IoT: Utiliza la omisión de autenticación MAC (MAB). ClearPass perfila el dispositivo mediante su identificador único de organización (OUI) y lo asigna a una VLAN de IoT aislada (por ejemplo, VLAN 30) sin acceso a internet.
  3. SSID de invitados: Una red abierta o con cifrado inalámbrico oportunista (OWE) que activa el Captive Portal de Purple. architecture_overview.png

Flujo de Proxy RADIUS

Cuando un visitante se conecta al SSID de invitados y abre un navegador, el controlador Aruba intercepta el tráfico HTTP y redirige la sesión a la URL del Captive Portal de Purple. El visitante se autentica a través de Purple utilizando inicio de sesión social, formularios personalizados o OpenRoaming (donde Purple actúa como un proveedor de identidad gratuito bajo el plan Connect).

Una vez que Purple valida al visitante, envía un mensaje RADIUS Access-Accept. Sin embargo, en lugar de que el controlador Aruba se comunique directamente con los servidores RADIUS en la nube de Purple, ClearPass se integra como un proxy RADIUS:

  1. El controlador Aruba envía todas las solicitudes RADIUS a ClearPass.
  2. ClearPass evalúa la solicitud según sus Reglas de Servicio. Si la solicitud coincide con el SSID de invitados (identificado por el Called-Station-Id o el identificador NAS), la Política de Enrutamiento RADIUS reenvía la solicitud a los servidores RADIUS de Purple.
  3. Purple responde con un mensaje Access-Accept.
  4. ClearPass recibe esta respuesta y aplica su propia Política de Aplicación (Enforcement Policy), añadiendo Atributos Específicos del Proveedor (VSAs) específicos antes de reenviar la respuesta final al controlador.

Asignación Dinámica de VLAN Basada en Roles

El VSA clave en esta arquitectura es Aruba-User-Role. Cuando ClearPass reenvía el mensaje Access-Accept al controlador, incluye este atributo para definir con precisión qué rol debe asumir el visitante en la red inalámbrica.

Por ejemplo, ClearPass puede devolver Aruba-User-Role = guest-authenticated. En el controlador Aruba, este rol se asigna a la VLAN 20, la cual está configurada con políticas de firewall que permiten el acceso a internet pero bloquean el enrutamiento hacia las subredes corporativas internas. Esta segmentación es esencial para el cumplimiento de estándares como PCI-DSS [1].

comparison_chart.png

Guía de Implementación

Implementar esta arquitectura requiere una configuración precisa tanto en la infraestructura de Aruba como en ClearPass. Siga estos pasos neutros del proveedor para establecer la integración.

Paso 1: Configurar los Servidores RADIUS de Purple en ClearPass

Navegue a Configuración > Red > Dispositivos en ClearPass y agregue los servidores RADIUS primario y secundario de Purple como dispositivos de red. Necesitará las direcciones IP y el secreto compartido proporcionados en su panel de configuración de ubicaciones de Purple.

Paso 2: Crear una Política de Enrutamiento RADIUS

Cree una nueva Política de Enrutamiento RADIUS en ClearPass. Esta política determinará bajo qué condiciones se realiza el proxy de las solicitudes hacia Purple. Establezca los destinos primario y de respaldo en los servidores RADIUS de Purple que configuró en el Paso 1.

Paso 3: Definir el Servicio de Invitados

Cree un nuevo Servicio en ClearPass para la autenticación de invitados.

  • Tipo: Aplicación RADIUS (Genérico)
  • Reglas de Servicio: Coincidir con Radius:IETF:Called-Station-Id que contiene el nombre de su SSID de invitados.
  • Política de Enrutamiento: Seleccione la política creada en el Paso 2.
  • Política de Aplicación: Configure una política para devolver el VSA Aruba-User-Role con el valor correspondiente a su rol de invitado en el Aruba Controller.

Paso 4: Configurar el Walled Garden en el Controller

El walled garden es una lista de dominios a los que un dispositivo puede acceder antes de la autenticación. Esto se configura en el Aruba Controller (o mediante reglas de acceso en ArubaOS 10). Debe incluir los dominios principales de Purple:

  • *.purple.ai
  • *.cloudfront.net
  • *.venuewifi.com

Si está habilitando inicios de sesión con redes sociales, también debe agregar los dominios de OAuth para cada proveedor (por ejemplo, *.facebook.com, *.google.com, *.microsoftonline.com).

Paso 5: Configurar la Contabilidad RADIUS

Asegúrese de que la contabilidad RADIUS también se envíe a través de ClearPass a Purple. Purple utiliza los datos de contabilidad (Acct-Start, Acct-Interim-Update, Acct-Stop) para rastrear la duración de la sesión y alimentar su panel de WiFi Analytics . Establezca el intervalo de contabilidad en 5 minutos en el Aruba Controller.

Mejores Prácticas

Para garantizar una implementación sólida y consistente, siga estas recomendaciones estándar de la industria.

  • Segregar el Tráfico de Forma Estricta: Coloque siempre el tráfico de invitados en una VLAN dedicada sin ruta hacia los recursos corporativos. Este es un requisito fundamental para PCI-DSS y la seguridad general de la red.
  • Enviar Datos de Contabilidad por Proxy: No descuide la contabilidad RADIUS. Si los paquetes de contabilidad no llegan a Purple, sus análisis de visitas y reportes de tiempo de permanencia estarán incompletos.
  • Habilitar WISPr: En el perfil de captive portal del Aruba Controller, asegúrese de que WISPr (Wireless Internet Service Provider roaming) esté habilitado. Este protocolo permite que los sistemas operativos móviles detecten automáticamente el captive portal y muestren la pantalla de inicio de sesión de manera fluida.
  • Utilizar el Consentimiento de Elección Activa: Para el cumplimiento de GDPR, configure su portal de Purple para utilizar casillas de verificación de consentimiento explícito para comunicaciones de marketing en lugar de casillas previamente marcadas o consentimiento implícito [2].

Resolución de Problemas y Mitigación de Riesgos

Incluso con una configuración cuidadosa, las integraciones pueden fallar. Estos son los modos de falla más comunes y cómo resolverlos.

Configuración Incorrecta del Walled Garden

Si el captive portal no se carga en el dispositivo de un visitante, la causa raíz casi siempre es el walled garden. Los proveedores de inicio de sesión social actualizan con frecuencia sus rangos de IP de CDN y nombres de dominio. Trate al walled garden como una configuración en continuo cambio. Si falla un inicio de sesión social específico, utilice una captura de paquetes para identificar a qué dominio intenta acceder el dispositivo y agréguelo a la lista de permitidos.

Errores de Tiempo de Espera de RADIUS

El tiempo de espera predeterminado de RADIUS en la mayoría de los controladores Aruba es de 3 segundos. En una arquitectura de proxy, la solicitud de autenticación debe viajar desde el AP hasta el controlador, luego a ClearPass, de ahí a través de internet a la infraestructura de nube de Purple y de vuelta. En una red congestionada, este viaje de ida y vuelta puede superar fácilmente los 3 segundos, lo que hace que el controlador descarte la solicitud. Incremente el tiempo de espera de RADIUS en el controlador Aruba a por lo menos 10 segundos y configure la lógica de reintento.

Discrepancia en el Secreto Compartido

RADIUS se basa en secretos compartidos para la seguridad. Si el secreto compartido entre el controlador Aruba y ClearPass, o entre ClearPass y Purple, no coincide exactamente, la autenticación fallará de manera silenciosa. Al visitante no se le mostrará ningún mensaje de error útil. Verifique siempre estos secretos carácter por carácter si la autenticación está fallando.

Sensibilidad a Mayúsculas y Minúsculas en el Nombre del Rol

El valor del VSA Aruba-User-Role devuelto por ClearPass debe coincidir exactamente con el nombre del rol definido en el controlador Aruba, incluyendo las mayúsculas y minúsculas. Si ClearPass devuelve guest-authenticated pero el controlador espera Guest-Authenticated, el visitante volverá al rol de inicio de sesión predeterminado y no obtendrá acceso a internet.

ROI e Impacto Comercial

Implementar Purple WiFi en lugar de un Captive Portal local básico ofrece un valor comercial medible en múltiples departamentos.

  • Impacto de Marketing: Al capturar datos de primera mano a través del portal, los establecimientos experimentan un aumento significativo en sus bases de datos de marketing. Por ejemplo, Harrods logró un ROI de marketing de 57x utilizando Purple para impulsar los registros en su programa de lealtad [3].
  • Eficiencia Operativa: La arquitectura de proxy RADIUS reduce la carga operativa para el departamento de TI. Los equipos de seguridad mantienen un panel de control único en ClearPass para todos los eventos de acceso a la red, lo que simplifica los informes de cumplimiento y la resolución de problemas.
  • Monetización: Para los establecimientos en los sectores de transporte o hotelería , Purple permite modelos de ancho de banda por niveles. AGS Airports generó un ROI del 842% al implementar un nivel de WiFi premium de pago junto con un nivel básico gratuito [4].

Al implementar este despliegue conjunto, transforma su red de invitados de un centro de costos a un activo generador de ingresos, al mismo tiempo que mantiene la rigurosa postura de seguridad que requiere el departamento de TI empresarial.

Referencias

[1] PCI Security Standards Council. "Payment Card Industry (PCI) Data Security Standard." [2] Information Commissioner's Office (ICO). "Guide to the General Data Protection Regulation (GDPR)." [3] Purple. "Harrods Guest WiFi Case Study." [4] Purple. "AGS Airports Guest WiFi Case Study."

Definiciones clave

Proxy RADIUS

Una arquitectura en la que un servidor intermedio (ClearPass) recibe solicitudes de autenticación de un dispositivo de red (controlador Aruba) y las reenvía al servidor backend adecuado (Purple), lo que permite al proxy inspeccionar, registrar o modificar el tráfico.

Se utiliza para mantener un único registro de auditoría de seguridad en ClearPass mientras se permite que Purple gestione la autenticación de invitados.

Walled Garden

Un entorno limitado que controla el acceso de un usuario al contenido web antes de que se haya autorizado por completo en la red.

Esencial para los captive portals; el walled garden debe permitir el acceso a los dominios de alojamiento del portal y a los proveedores de inicio de sesión con redes sociales para que se pueda cargar la página de inicio de sesión.

Atributo específico del proveedor (VSA)

Campos de datos personalizados dentro del protocolo RADIUS que permiten a los proveedores de hardware admitir funciones propietarias no definidas en los RFC estándar de RADIUS.

ClearPass utiliza el VSA 'Aruba-User-Role' para indicarle al controlador Aruba exactamente qué rol de firewall y VLAN asignar a un usuario invitado.

802.1X

Un estándar IEEE para el control de acceso a redes basado en puertos que proporciona un mecanismo de autenticación a los dispositivos que desean conectarse a una LAN o WLAN.

El protocolo principal utilizado por ClearPass para proteger los dispositivos corporativos, normalmente utilizando EAP-TLS con certificados.

Captive Portal

Una página web que el usuario de una red de acceso público está obligado a ver e interactuar con ella antes de que se le conceda el acceso.

Purple proporciona la interfaz de captive portal para capturar datos de los visitantes, mostrar la marca y recopilar el consentimiento de marketing.

Bypass de autenticación de MAC (MAB)

Una técnica que utiliza la dirección MAC de un dispositivo para autenticarlo en la red cuando el dispositivo no admite suplicantes 802.1X.

Utilizado por ClearPass para perfilar y autenticar dispositivos IoT sin pantalla como televisiones inteligentes o termostatos, ubicándolos en una VLAN aislada.

Asignación dinámica de VLAN

El proceso de asignar automáticamente un dispositivo a una red de área local virtual específica en función de sus credenciales de autenticación o rol, en lugar del SSID al que se conectó.

Permite que una sola infraestructura de red física segmente de forma segura el tráfico corporativo, de invitados y de IoT.

WISPr

Roaming de proveedor de servicios de internet inalámbrico; un protocolo que permite a los dispositivos detectar automáticamente los portales cautivos.

Debe estar habilitado en el controlador Aruba para que los dispositivos móviles muestren automáticamente la pantalla de inicio de sesión de Purple al conectarse al WiFi de invitados.

Ejemplos resueltos

Un hotel de 500 habitaciones necesita implementar WiFi corporativo seguro para el personal y un portal de invitados de marca con captura de datos para los visitantes, utilizando los controladores Aruba y ClearPass existentes.

Implemente dos SSID: 'Hotel_Corp' y 'Hotel_Guest'. Configure 'Hotel_Corp' para la autenticación 802.1X contra Active Directory a través de ClearPass, asignando al personal a la VLAN 10. Configure 'Hotel_Guest' como una red abierta que redirija al captive portal de Purple. Configure ClearPass como un proxy RADIUS para el SSID de invitados, reenviando las solicitudes a Purple. Configure ClearPass para devolver el VSA 'Aruba-User-Role' tras una autenticación exitosa en Purple, asignando a los invitados a una VLAN 20 aislada.

Comentario del examinador: Este enfoque aísla perfectamente el tráfico corporativo y el de invitados, cumpliendo con los requisitos de PCI-DSS. Aprovecha ClearPass por su solidez en 802.1X mientras delega el captive portal y los análisis a Purple, evitando la necesidad de dos soluciones NAC independientes.

Los visitantes se están conectando al SSID de invitados, pero la página del captive portal de Purple no se carga en sus dispositivos.

Revise y actualice la configuración del walled garden en el controlador Aruba. Asegúrese de que los dominios principales de Purple (*.purple.ai, *.cloudfront.net, *.venuewifi.com) estén explícitamente permitidos. Si el inicio de sesión con redes sociales está habilitado, verifique que todos los dominios de OAuth necesarios (por ejemplo, *.facebook.com, *.google.com) también estén incluidos en la lista de permitidos previa a la autenticación.

Comentario del examinador: Las configuraciones erróneas del walled garden son la causa más común de fallas en el captive portal. Los dispositivos deben poder conectarse a la infraestructura de alojamiento del portal y a la CDN antes de estar completamente autorizados en la red.

Preguntas de práctica

Q1. Ha configurado ClearPass para actuar como proxy de autenticación de invitados hacia Purple. El invitado se autentica con éxito en el portal de Purple, pero el controlador Aruba lo coloca en el rol 'logon' predeterminado sin acceso a internet en lugar del rol 'guest-access' previsto. ¿Cuál es el error de configuración más probable?

Sugerencia: Verifique cómo comunica ClearPass la asignación de roles de regreso al controlador.

Ver respuesta modelo

La sensibilidad a mayúsculas y minúsculas del nombre del rol no coincide. El valor del VSA Aruba-User-Role devuelto por ClearPass debe coincidir exactamente con el nombre del rol definido en el controlador Aruba. Si hay un error tipográfico o una diferencia en las mayúsculas (por ejemplo, 'Guest-Access' frente a 'guest-access'), el controlador no reconocerá el rol y colocará al usuario en el estado restringido predeterminado.

Q2. Una cadena de tiendas departamentales desea implementar Purple WiFi para la analítica de invitados, pero su equipo de seguridad insiste en que todos los eventos de autenticación de red se registren de forma centralizada en su sistema Aruba ClearPass existente para fines de cumplimiento. ¿Cómo debería diseñarse la arquitectura?

Sugerencia: Considere cómo fluye el tráfico RADIUS entre los puntos de acceso, ClearPass y Purple.

Ver respuesta modelo

Implemente una arquitectura de proxy RADIUS. Configure los controladores Aruba para enviar todas las solicitudes RADIUS a ClearPass. En ClearPass, cree una política de enrutamiento que reenvíe las solicitudes del SSID de invitados a los servidores RADIUS en la nube de Purple. Esto garantiza que Purple gestione el portal de invitados y las analíticas, mientras que ClearPass mantiene un historial de auditoría completo y centralizado de todos los eventos de autenticación.

Q3. Después de implementar la integración, el equipo de marketing informa que el tablero de analíticas de Purple muestra cero datos para el "tiempo de permanencia" de los visitantes, a pesar de que los invitados se conectan y usan internet con éxito. ¿Qué paso de configuración se omitió?

Sugerencia: Los cálculos de tiempo de permanencia requieren actualizaciones continuas sobre el estado de la sesión, no solo la autenticación inicial.

Ver respuesta modelo

El accounting de RADIUS no se está enviando mediante proxy a Purple. Aunque el proxy de autenticación permite a los usuarios acceder a la red, Purple requiere paquetes de accounting de RADIUS (Acct-Start, Acct-Interim-Update, Acct-Stop) para calcular la duración de la sesión y el tiempo de permanencia. Debe asegurarse de que ClearPass esté configurado para enviar datos de accounting a Purple como proxy, y que el controlador esté configurado para enviar actualizaciones intermitentes (por ejemplo, cada 5 minutos).

Continúe leyendo esta serie

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Esta guía de referencia técnica describe la arquitectura, configuración e implementación de la autenticación RADIUS para redes WiFi empresariales de invitados y empleados. Proporciona a los arquitectos de red y gerentes de TI los protocolos exactos, los estándares de seguridad y las metodologías de solución de problemas requeridas para crear sistemas de control de acceso inalámbrico seguros y escalables.

Leer la guía →

Passpoint y OpenRoaming: Guía completa

Esta guía de referencia técnica proporciona un análisis exhaustivo de los frameworks Passpoint (Hotspot 2.0) y WBA OpenRoaming dentro de las redes WiFi empresariales. Detalla los protocolos de autenticación subyacentes, los componentes arquitectónicos y las estrategias de despliegue requeridas para establecer una conectividad de invitados segura y sin fricciones. Los arquitectos de red y los líderes de TI aprenderán a diseñar, implementar y solucionar problemas de estos estándares para eliminar las barreras de inicio de sesión manual mientras se mantiene la seguridad de nivel empresarial.

Leer la guía →

Cómo implementar SCEP para un BYOD seguro y el registro de redes en la educación superior

Esta guía técnica proporciona a los arquitectos de red y directores de TI un plan de acción independiente del proveedor para implementar el registro de certificados basado en SCEP para proteger las redes de campus de educación superior. Detalla cómo migrar de PEAP basado en contraseñas a 802.1X EAP-TLS, automatizar la incorporación de BYOD y aplicar una segmentación robusta de VLAN.

Leer la guía →