Aruba ClearPass vs. Purple WiFi: Comparando Funciones y Co-implementación

Hable en inglés británico con un tono confiado, autoritario y conversacional. Usted es un consultor senior de redes que informa a un cliente. Ritmo pausado, dicción clara, profesional pero no rígido. Pausas naturales ocasionales para enfatizar: Bienvenido a esta sesión informativa técnica de Purple. Soy su anfitrión y hoy abordaremos una pregunta que surge en casi todos los proyectos de redes inalámbricas empresariales en los que trabajamos: cuando ya tiene Aruba ClearPass desplegado, ¿dónde encaja Purple WiFi y cómo funcionan ambos sistemas en conjunto? [medium pause] Esta no es una discusión teórica. Si es gerente de TI, arquitecto de redes o ingeniero de seguridad en un grupo hotelero, una cadena minorista o el operador de un estadio, esta es una decisión que podría tener que tomar este trimestre. Así que entremos en materia. [medium pause] Introducción y contexto. [short pause] Primero, seamos claros sobre qué está diseñada a hacer realmente cada plataforma. Aruba ClearPass Policy Manager es una plataforma de Network Access Control. Su trabajo es autenticar dispositivos y usuarios, evaluar la postura del endpoint y aplicar políticas de acceso en toda su red. Maneja 802.1X, que es el estándar de la IEEE para el control de acceso a redes basado en puertos, utilizando métodos EAP como EAP-TLS con certificados y PEAP con nombre de usuario y contraseña. Se integra con Microsoft Entra ID, Okta y otros proveedores de identidad. Realiza el perfilamiento de dispositivos, verifica si cumplen con su política de seguridad y los asigna al rol de red correcto. Para dispositivos corporativos, ClearPass es excelente. Fue diseñado exactamente para este caso de uso. [medium pause] Purple WiFi es un animal completamente diferente. Purple es una plataforma de inteligencia de guest WiFi basada en la nube. Su función es autenticar a los visitantes a través de un Captive Portal personalizado, capturar datos de origen (first-party data) con flujos de consentimiento que cumplen con la GDPR, y enviar esos datos a su suite de marketing y analítica. Purple opera en 80,000 ubicaciones en todo el mundo y ha procesado 440 millones de inicios de sesión solo en 2024. Se integra con más de 400 conectores, incluidos CRM y plataformas de automatización de marketing. Para redes de invitados, Purple es el especialista. [medium pause] El problema que enfrentan la mayoría de las organizaciones es que intentan usar una sola plataforma para realizar ambas tareas. O bien le piden a ClearPass que administre su portal de invitados, lo cual puede hacer pero no de manera elegante, o despliegan Purple sin pensar en cómo se sitúa junto a su inversión actual en NAC. La respuesta correcta es una arquitectura de codespliegue donde cada plataforma hace lo que mejor sabe hacer. [medium pause] Inmersión técnica profunda. [short pause] Permítame guiarlo a través de la arquitectura. En un codespliegue, su Aruba Mobility Controller o los puntos de acceso Aruba Instant transmiten múltiples SSID. Normalmente tres: uno para dispositivos corporativos, uno para invitados y uno para IoT. Para obtener más información sobre este patrón de diseño de SSID, Purple ha publicado una guía detallada llamada "Three SSIDs to rule them all" (Tres SSID para gobernarlos a todos), la cual recomiendo leer junto con esta sesión informativa. [medium pause] El SSID corporativo utiliza 802.1X con EAP-TLS. Los dispositivos se autentican mediante certificados provistos a través de ClearPass Onboard, el cual es el módulo integrado de registro de certificados y aprovisionamiento de dispositivos de ClearPass. ClearPass comprueba la postura del dispositivo, verifica el certificado, consulta Active Directory o Microsoft Entra ID y asigna el dispositivo a la VLAN correspondiente. Típicamente la VLAN 10 para corporativo. Todo este flujo permanece dentro de ClearPass. Purple no interviene. [medium pause] En el SSID de invitados es donde ocurre la integración. Cuando un visitante se conecta al SSID de invitados, el controlador Aruba intercepta su tráfico HTTP y redirige su navegador al Captive Portal de Purple. El visitante se autentica a través de Purple, ya sea mediante inicio de sesión social con Google, un formulario de correo electrónico personalizado o OpenRoaming, donde Purple actúa como un proveedor de identidad gratuito bajo la licencia Connect. Una vez que Purple valida al visitante, envía un mensaje RADIUS Access-Accept de vuelta al controlador, el cual otorga el acceso a internet. [medium pause] Ahora bien, la decisión arquitectónica clave es si se inserta ClearPass como un proxy RADIUS entre el controlador y Purple, o si el controlador se comunica directamente con los servidores RADIUS de Purple. Para la mayoría de las implementaciones empresariales, el modelo de proxy es la opción correcta. He aquí el porqué. [medium pause] Con ClearPass como proxy RADIUS, cada evento de autenticación en su red, tanto corporativa como de invitados, fluye a través de ClearPass. Obtiene un registro de auditoría único. Su equipo de operaciones de seguridad ve todo en un solo lugar. ClearPass puede anexar sus propios atributos de política antes de devolver la respuesta al controlador, lo que permite la asignación dinámica de VLAN según el rol. Y conserva la capacidad de aplicar políticas adicionales en las sesiones de invitados, como límites de ancho de banda o restricciones de acceso basadas en el tiempo. Hable en un tono seguro, autoritario y conversacional. Usted es un consultor senior de redes que asesora a un cliente. Ritmo medido, dicción clara, profesional pero no rígido: La configuración del proxy en ClearPass es sencilla. Crea una política de enrutamiento RADIUS que coincida con el SSID de invitados por el identificador NAS o el ID de la estación llamada. Las solicitudes que coinciden con esa política se reenvían a los servidores RADIUS en la nube de Purple. Purple responde, ClearPass anexa el atributo específico del proveedor Aruba-User-Role y el controlador coloca al invitado en la VLAN 20 con acceso exclusivo a internet. [medium pause] Para los dispositivos IoT, el tercer SSID utiliza la omisión de autenticación MAC. ClearPass perfila el dispositivo utilizando su OUI, los primeros seis caracteres de la dirección MAC que identifican al fabricante, y lo asigna a ROLE_IOT, que se asigna a la VLAN 30. Esta VLAN no tiene acceso a internet, solo conectividad local. Sus pantallas inteligentes, termostatos y cerraduras inteligentes están completamente aislados del tráfico tanto corporativo como de invitados. [medium pause] Hablemos de cumplimiento, porque aquí es donde la arquitectura demuestra su valor. Bajo PCI DSS, cualquier segmento de red que toque datos de titulares de tarjetas debe estar aislado de las redes de invitados. La segmentación de VLAN en esta arquitectura cumple con ese requisito. Bajo GDPR, el Captive Portal de Purple gestiona la recopilación de consentimiento con opciones de inclusión voluntaria de elección consciente, lo que significa que los visitantes eligen activamente compartir sus datos en lugar de que se recopilen de forma predeterminada. Purple cuenta con la certificación ISO 27001, cumple con GDPR y tiene la certificación Cyber Essentials. ClearPass proporciona el registro de auditoría que su equipo de seguridad necesita para los informes de cumplimiento. [medium pause] Recomendaciones de implementación y errores comunes. [short pause] Permítame compartirle las cinco cosas que más comúnmente fallan en esta implementación y cómo evitarlas. [medium pause] Número uno: el "walled garden" (entorno cerrado). Antes de que un visitante se autentique, el controlador Aruba solo permite el tráfico a una lista predefinida de destinos. Si los dominios del portal de Purple, sus endpoints de CDN y los dominios del proveedor de inicio de sesión social no están en esa lista, el portal no se cargará. Debe incluir asterisco punto purple punto ai, asterisco punto cloudfront punto net y los dominios de OAuth para los proveedores de inicio de sesión social que esté habilitando. Google, Facebook, Apple y Microsoft Entra ID tienen sus propios conjuntos de dominios. Trate al "walled garden" como una configuración viva, ya que los proveedores de inicio de sesión social cambian sus dominios de CDN periódicamente. [medium pause] Número dos: tiempos de espera (timeouts) de RADIUS. El tiempo de espera de RADIUS predeterminado en la mayoría de los controladores Aruba es de tres segundos. En una arquitectura proxy, la solicitud viaja desde el punto de acceso al controlador, a ClearPass, a través de internet a la nube de RADIUS de Purple y de regreso. En una red congestionada, ese viaje de ida y vuelta puede superar los tres segundos. Establezca su tiempo de espera en al menos diez segundos y configure la lógica de reintento con al menos dos reintentos. [medium pause] Número tres: discrepancias en secretos compartidos. El secreto compartido entre el controlador Aruba y ClearPass debe coincidir exactamente. El secreto compartido entre ClearPass y los servidores RADIUS de Purple también debe coincidir exactamente. Una diferencia de un solo carácter provoca fallas de autenticación silenciosas sin ningún mensaje de error útil para el visitante. Siempre verifique estos datos carácter por carácter. [medium pause] Número cuatro: sensibilidad a mayúsculas y minúsculas en los nombres de roles. El atributo Aruba-User-Role devuelto por ClearPass debe coincidir exactamente con el nombre de rol definido en el controlador Aruba, incluyendo las mayúsculas. Si ClearPass devuelve guest-authenticated pero el controlador tiene definido Guest-Authenticated, el visitante vuelve al rol de inicio de sesión predeterminado sin acceso a internet. [medium pause] Número cinco: contabilidad RADIUS. Muchas implementaciones configuran el proxy de autenticación correctamente pero olvidan configurar el proxy de contabilidad también. Purple utiliza los datos de contabilidad de RADIUS para realizar el seguimiento de la duración de las sesiones, el uso de datos y para rellenar sus paneles de análisis. Si la contabilidad no fluye hacia Purple, sus análisis de afluencia y reportes de tiempo de permanencia estarán incompletos. [medium pause] Preguntas rápidas. [short pause] ¿Puedo ejecutar esto en Aruba Instant en lugar de en un Mobility Controller completo? Sí. Aruba Instant es compatible con servidores RADIUS externos y redireccionamiento de Captive Portal. La configuración varía ligeramente pero los principios son idénticos. [medium pause] ¿Soporta Purple el Cambio de Autorización (CoA)? Sí. El CoA permite al controlador actualizar dinámicamente la sesión de un visitante sin necesidad de que se vuelva a conectar. Esto es útil para el acceso limitado por tiempo o para las actualizaciones de categoría. [medium pause] ¿Funciona esto con WPA3? Sí. Se admiten tanto WPA3-SAE para redes personales como WPA3-Enterprise para 802.1X. Para las redes de invitados que utilizan Captive Portals, las opciones típicas son WPA3-SAE o un SSID abierto con Opportunistic Wireless Encryption. [medium pause] ¿Puedo utilizar un único SSID tanto para empleados como para invitados? Puede hacerlo, pero añade complejidad. ClearPass gestiona tanto la autenticación 802.1X como la de direcciones MAC en el mismo SSID, utilizando reglas de servicio para diferenciar los tipos de tráfico y dirigir el enrutamiento de la manera correspondiente. Para la mayoría de los recintos, los SSIDs separados son la opción más limpia. [medium pause] Resumen y próximos pasos. [short pause] ClearPass y Purple son complementarios, no competidores. ClearPass es su motor de políticas para dispositivos corporativos: 802.1X, postura del endpoint, gestión de certificados y pista de auditoría unificada. Purple es su plataforma de inteligencia para invitados: Captive Portal personalizado, captura de datos que cumple con el GDPR, análisis de afluencia y automatización de marketing. [medium pause] La arquitectura de implementación conjunta utiliza ClearPass como proxy RADIUS. Todas las solicitudes de autenticación fluyen a través de ClearPass. Las solicitudes de invitados se dirigen al RADIUS en la nube de Purple. Las solicitudes corporativas son gestionadas localmente por ClearPass. El controlador Aruba aplica las políticas resultantes mediante la asignación dinámica de VLAN. [medium pause] Los tres elementos de configuración que debe realizar correctamente son: el jardín amurallado, los tiempos de espera de RADIUS y la coherencia en los nombres de los roles. Realice esto correctamente y tendrá una implementación de WiFi para invitados que cumple las normativas, tiene valor comercial y no compromete la postura de seguridad de su empresa. [medium pause] Para sus próximos pasos: obtenga sus credenciales RADIUS para recintos de Purple desde el panel de control de Purple, revise la lista de referencia del jardín amurallado en la guía escrita complementaria y pruebe el flujo completo de autenticación con un dispositivo de prueba dedicado antes de ponerlo en producción. Si está realizando la implementación en múltiples sitios, la consola de gestión de múltiples sitios de Purple le permite gestionar las configuraciones del Captive Portal, la personalización de marca y los análisis de todo su patrimonio desde una única interfaz. [medium pause] Gracias por escucharnos. Visite purple punto ai para hablar con un arquitecto de soluciones sobre su implementación específica.