Saltar al contenido principal
Español (México)

Configuración de la redirección de Captive Portal en controladores de red empresariales

Esta guía fidedigna detalla la arquitectura técnica y los pasos de configuración específicos del proveedor necesarios para implementar la redirección de Captive Portal en controladores de red empresariales. Proporciona orientación práctica para los equipos de TI sobre cómo configurar walled gardens, integrar la autenticación RADIUS y garantizar el cumplimiento de GDPR y PCI DSS.

📖 6 min de lectura📝 1,397 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
Le damos la bienvenida a la Sesión Técnica de Purple. Soy su anfitrión y, en los próximos diez minutos, entraremos de lleno en uno de los temas más buscados y menos documentados en el sector de WiFi empresarial: la configuración de la redirección de Captive Portal en controladores de red. Si alguna vez ha buscado "configurar controlador portal cautivo" y no ha encontrado nada, esta es la sesión que necesitaba. Abordaremos el panorama completo: la arquitectura técnica, los pasos de configuración controlador por controlador, los requisitos de cumplimiento y los errores comunes del mundo real que dificultan el trabajo incluso de los equipos de red más experimentados. Comencemos. Un Captive Portal es el mecanismo que intercepta la primera solicitud HTTP o HTTPS de un dispositivo de invitado después de conectarse a su red WiFi, y lo redirige a una página de inicio (splash page) de la marca antes de otorgar acceso a Internet. Esa página de inicio puede solicitar un inicio de sesión social, el envío de un formulario, una simple aceptación de términos con un clic o una verificación de credenciales respaldada por RADIUS. La redirección en sí se gestiona a nivel de controlador, no en el punto de acceso ni en el firewall. El controlador intercepta el tráfico del cliente no autenticado, aplica una lista de control de acceso de preautenticación (lo que llamamos un walled garden) y dirige el navegador del cliente a la URL de su portal. ¿Por qué es esto importante a nivel comercial? Por tres razones. En primer lugar, por cumplimiento de normativas. Bajo el GDPR, tiene la obligación de obtener un consentimiento explícito e informado antes de recopilar datos personales de los visitantes. Un Captive Portal correctamente configurado es su mecanismo de consentimiento. Sin él, estará recopilando datos sin una base legal, lo que representa un riesgo de incumplimiento normativo. En segundo lugar, por seguridad. Un SSID abierto y sin autenticación es una vulnerabilidad. La redirección de Captive Portal, combinada con la segmentación de VLAN y un servidor RADIUS, le brinda control y trazabilidad por sesión. Sabrá quién se conectó, cuándo y desde qué dispositivo. En tercer lugar, por inteligencia de negocios. Cada sesión autenticada es un punto de datos propios (first-party data). Purple procesa 440 millones de inicios de sesión al año en 80,000 establecimientos. Esos datos (tiempo de permanencia, frecuencia de visitas y señales demográficas) solo están disponibles si su Captive Portal está correctamente configurado para capturarlos y transmitirlos. Ahora, permítame guiarle por el flujo de redirección, paso a paso. Paso uno: un dispositivo de invitado se asocia a su SSID de invitados. El controlador le asigna una dirección IP mediante DHCP, pero lo coloca en un estado restringido de preautenticación. Se bloquea todo el tráfico, excepto el DNS y los dominios del walled garden que haya permitido explícitamente. Paso dos: el invitado abre un navegador. Su solicitud HTTP llega al controlador. El controlador la intercepta y emite una redirección 302 a la URL de su portal. Este es el mecanismo de redirección principal. Paso tres: el navegador del invitado carga su página de inicio, alojada en el propio controlador o, de manera más común en implementaciones empresariales, en una plataforma en la nube externa como Purple. Paso cuatro: el usuario se autentica, ya sea a través de inicio de sesión de redes sociales, formulario o credenciales. El portal envía una señal de autorización de vuelta al controlador, normalmente a través de un mensaje RADIUS Access-Accept o una omisión de autorización MAC. Paso cinco: el controlador pasa al cliente de la VLAN de preautenticación a la VLAN de postautenticación, elimina la regla de redirección y concede acceso a internet. Este flujo de cinco pasos es constante en todas las principales plataformas de controladores. Lo que varía es cómo se configura cada paso en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, entre otros. Repasemos las principales plataformas. Cisco Meraki. Meraki utiliza una página de inicio (splash page) personalizada que se configura por completo a través del panel de Meraki (Meraki Dashboard); no hay CLI. Diríjase a Wireless, luego a Access Control, seleccione su SSID de invitados, configure la splash page como "Sign-on with my RADIUS server" o "Click-through", y luego introduzca la URL de su portal externo en el campo Custom Splash URL. El walled garden se configura en la sección Advanced Splash Settings; aquí se agregan las direcciones IP del servidor de su portal para que el invitado pueda acceder a la splash page antes de la autenticación. Los detalles del servidor RADIUS se ingresan en la sección RADIUS: autenticación en el puerto 1812, contabilidad en el puerto 1813. HPE Aruba. En ArubaOS, se configura un perfil de Captive Portal en la sección AAA, especificando la URL de inicio de sesión, el grupo de servidores que apunta a su servidor RADIUS y la URL de redirección. Luego, se aplica ese perfil a su SSID mediante el perfil de AP virtual. El rol de preautenticación (lo que Aruba denomina el rol "logon") contiene la ACL que permite DNS, DHCP y el acceso al rango de IP del servidor de su portal. Tras la autenticación, el controlador asigna el rol "authenticated", que permite el acceso total a internet. Ruckus SmartZone utiliza un tipo de WLAN Hotspot para implementaciones de Captive Portal. En la configuración de WLAN, establezca el tipo de WLAN en Hotspot, luego configure la URL del portal, el servidor RADIUS para autenticación y contabilidad, y las entradas del walled garden. La interfaz Northbound Portal Interface gestiona el flujo de autorización MAC entre el portal y el controlador. Juniper Mist utiliza un enfoque nativo de la nube. En Network, luego en WLANs, cree una WLAN de invitados y configure el tipo de portal como "External Captive Portal". Introduzca la URL de su portal y configure los detalles del servidor RADIUS. Mist envía la dirección MAC del cliente, la MAC del AP y el nombre del SSID como parámetros de URL al portal. Ubiquiti UniFi. En el UniFi Network Controller, vaya a Settings, luego a WiFi, seleccione su red de invitados y, en Advanced Options, configure la Guest Policy para habilitar el portal de hotspot. Establezca el tipo de portal en "External" e introduzca la URL de su portal. Configure el servidor RADIUS en Profiles, luego en RADIUS. El walled garden es el elemento que más comúnmente se configura de forma incorrecta en las implementaciones de Captive Portal. Si comete un error aquí, sus invitados verán un error de navegador en lugar de su splash page. El walled garden debe permitir, como mínimo: las direcciones IP o el dominio del servidor de su portal, las direcciones IP de su servidor RADIUS, la resolución DNS en el puerto 53 y DHCP en los puertos 67 y 68. Si su portal carga recursos desde una CDN (fuentes, imágenes, JavaScript), esos dominios de CDN también deben estar en el walled garden. Para las implementaciones de Purple, proporcionamos los rangos de IP y dominios específicos para incluir en la lista de permitidos durante la incorporación. El modo de falla más común es un portal que carga el marco HTML pero no renderiza las imágenes ni ejecuta JavaScript porque faltan los dominios de la CDN en el walled garden. Aquí dominan dos estándares de cumplimiento: GDPR y PCI DSS. Bajo la regulación GDPR, su Captive Portal debe presentar un mecanismo de consentimiento claro y específico antes de recopilar datos personales. Esto significa casillas de verificación independientes y sin marcar para el acceso a WiFi y el consentimiento de marketing. No puede agruparlos. El registro de consentimiento debe almacenarse y ser recuperable para fines de auditoría. La plataforma de Purple maneja esto de forma automática, almacenando los registros de consentimiento para cada sesión autenticada. Bajo PCI DSS, si su establecimiento procesa pagos con tarjeta, su red WiFi de invitados debe estar aislada de su entorno de tarjetas de pago. Esto significa una VLAN de invitados dedicada con reglas de firewall que impidan cualquier enrutamiento entre el segmento de invitados y su red POS. La versión 4.0 de PCI DSS, que se volvió obligatoria en marzo de 2024, requiere pruebas de segmentación de red al menos cada seis meses. Permítame presentarle dos escenarios concretos. Escenario uno: un hotel de 350 habitaciones que opera con Cisco Meraki. El hotel desea reemplazar un portal de acceso directo básico con una experiencia de invitado personalizada que capture direcciones de correo electrónico para su programa de lealtad. La configuración: crear un SSID de invitados dedicado en una VLAN independiente con acceso exclusivo a internet. Configurar la splash page de Meraki para que apunte a la URL del portal de Purple. Configurar la autenticación RADIUS utilizando los detalles del servidor RADIUS de Purple. Configurar el walled garden con los rangos de IP de Purple. En el panel de Purple, crear una splash page personalizada con un formulario que capture el nombre, correo electrónico y número de habitación, con casillas de verificación de consentimiento explícito de GDPR. Conectar el conector de CRM de Purple a la plataforma de marketing del hotel. Premier Inn implementó este modelo en todas sus propiedades y vio aumentos medibles en las tasas de reserva directa de los huéspedes adquiridos a través de WiFi. Escenario dos: una cadena minorista regional con 40 tiendas que utilizan HPE Aruba. El minorista necesita una experiencia de WiFi para invitados que sea consistente en todos los sitios, con analíticas de afluencia para comparar el rendimiento de las tiendas. Despliegue Aruba Central para administrar los 40 sitios desde un único panel. Configure una plantilla WLAN de invitados con un Captive Portal externo que apunte a Purple. Aplique la plantilla en todos los sitios utilizando la función de políticas de grupo de Aruba Central. En Purple, configure una única plantilla de portal que se aplique a todos los puntos de encuentro, con paneles de analíticas específicos para cada lugar. El walled garden y la configuración RADIUS se definen una sola vez en la plantilla y se propagan automáticamente. Resultado: el equipo de TI administra 40 sitios desde una sola consola. El equipo de marketing obtiene datos de afluencia por tienda, análisis del tiempo de permanencia y tasas de visitas recurrentes, todo desde un único panel de Purple. Cuatro errores comunes que veo con frecuencia. Uno: fallas en la intercepción de HTTPS. Los navegadores y sistemas operativos móviles modernos utilizan pruebas HTTPS para detectar captive portals. Si su controlador no puede interceptar el tráfico HTTPS (lo que requiere un certificado válido para el dominio de redirección), la prueba falla de forma silenciosa y el invitado no ve ninguna redirección. La solución: configure la interfaz virtual de su controlador con un certificado de confianza o utilice pruebas de solo HTTP en su SSID de invitados. Dos: fuga de DNS. Si su ACL de preautenticación permite DNS sin restricciones, los invitados pueden utilizar túneles DNS para evadir el Captive Portal por completo. Restrinja el DNS únicamente a su resolver designado. Tres: discrepancias en el tiempo de espera de la sesión. Si el tiempo de espera de la sesión del controlador es menor que la validez del token de sesión de su portal, los invitados serán redireccionados de vuelta al portal a mitad de la sesión. Alinee estos valores (normalmente 24 horas para hotelería y ocho horas para comercio minorista). Cuatro: falta de contabilidad. La contabilidad RADIUS (los mensajes Accounting-Start y Accounting-Stop) es la forma en que su portal sabe que una sesión ha finalizado. Sin la contabilidad configurada, los registros de sesión de su portal no serán precisos y sus analíticas no serán confiables. Preguntas rápidas, respuestas rápidas. ¿Puedo utilizar un portal externo con cualquier controlador? Sí, siempre que el controlador admita la redirección a un Captive Portal externo, algo que hacen todas las plataformas que hemos analizado. ¿Necesito un servidor RADIUS para ejecutar un Captive Portal? No siempre. Los portales simples de un solo clic pueden utilizar la omisión de autorización por MAC sin necesidad de un servidor RADIUS completo. Sin embargo, para portales basados en credenciales o inicio de sesión con redes sociales, RADIUS es el mecanismo estándar. ¿Funciona el Captive Portal con WPA3? Sí. WPA3 gestiona la capa de cifrado inalámbrico. El Captive Portal gestiona la capa de autenticación. Operan de forma independiente y son totalmente compatibles. ¿Cómo se integra Purple con su controlador existente? Purple actúa como el servidor de portal externo. Debe apuntar la URL de la página de inicio de su controlador al endpoint del portal de Purple, configurar el walled garden con los rangos de IP de Purple y configurar RADIUS con los detalles del servidor de Purple. La integración es el mismo proceso independientemente de si utiliza Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist o Ubiquiti UniFi. En resumen. La redirección de Captive Portal se configura a nivel de controlador, no en el punto de acceso. Los componentes principales son: la URL de la página de inicio que apunta a su portal, el walled garden que permite el acceso al servidor de su portal, RADIUS para autenticación y contabilidad, y la segmentación de VLAN para el aislamiento de la red. Los pasos de configuración varían según el proveedor, pero la arquitectura es consistente. Para fines de cumplimiento, su portal debe implementar una captura de consentimiento que cumpla con el GDPR y una segmentación de red que cumpla con PCI DSS. WPA3 es el estándar actual para el cifrado inalámbrico y debería ser su especificación base en cualquier nueva implementación. Purple se integra de forma nativa con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Con presencia en 80,000 establecimientos y 440 millones de inicios de sesión en 2024, la plataforma es agnóstica al hardware por diseño: su elección de controlador no limita su capacidad para capturar datos de invitados de primera mano ni para realizar análisis. Su siguiente paso: revise la configuración actual de su controlador comparándola con la lista de verificación de walled garden y contabilidad RADIUS en esta guía. Si está implementando una nueva red WiFi de invitados, comience con los pasos de configuración específicos del proveedor para la plataforma de su controlador y conecte Purple como su portal externo. Gracias por su atención. Este ha sido el Informe Técnico de Purple.

header_image.png

Resumen ejecutivo

Configurar un redireccionamiento de Captive Portal en un controlador de red enterprise es un requisito fundamental para ofrecer un WiFi de invitados seguro y que cumpla con las normativas. Cuando se configura correctamente, el controlador intercepta el tráfico de clientes no autenticados y emite un redireccionamiento HTTP 302 a un portal externo, lo que permite la autenticación, la captura de consentimiento y la segmentación de red. Si se configura de forma incorrecta, se producen fallas de conexión silenciosas, advertencias de seguridad del navegador y riesgos de cumplimiento.

Esta guía proporciona la arquitectura técnica y los pasos de configuración específicos de cada proveedor necesarios para implementar Captive Portals externos en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y Ubiquiti UniFi. Detallamos la mecánica del flujo de redireccionamiento, los requisitos precisos para la configuración del walled garden y la integración de RADIUS para la autenticación y la contabilidad. Al seguir estos pasos, se asegura de que su red de invitados cumpla con los requisitos de segmentación de PCI DSS, capture el consentimiento explícito de GDPR y dirija de forma segura los datos de primera mano a plataformas como Purple.

Inmersión técnica profunda

El mecanismo de redireccionamiento de Captive Portal opera a nivel del controlador de red. Se basa en una secuencia específica de cambios de estado de red para interceptar, autenticar y autorizar un dispositivo cliente.

architecture_overview.png

El flujo de redireccionamiento

  1. Asociación y DHCP: Un dispositivo de invitado se asocia con el SSID de invitados. El controlador asigna una dirección IP a través de DHCP, pero coloca al cliente en un estado restringido de preautenticación (a menudo asignado a una VLAN o rol de preautenticación específico).
  2. Aplicación del Walled Garden: En este estado de preautenticación, se descarta todo el tráfico saliente, excepto el DNS (puerto 53), el DHCP (puertos 67 y 68) y el tráfico destinado a direcciones IP o dominios específicos definidos en la lista de control de acceso (ACL). Esta ACL se conoce como walled garden.
  3. Intercepción y redireccionamiento: Cuando el invitado abre un navegador e inicia una solicitud HTTP, el controlador intercepta la solicitud. En lugar de enrutar el tráfico a Internet, el controlador responde con un código de estado HTTP 302 Found, lo que redirecciona el navegador a la URL de su Captive Portal externo. Los sistemas operativos modernos utilizan sondas HTTPS automáticas (como el Asistente de red cautiva de Apple) para detectar este redireccionamiento e iniciar un pseudonavegador.
  4. Autenticación: El invitado interactúa con la splash page alojada en el portal externo (por ejemplo, Purple). Esto puede implicar un inicio de sesión social, el envío de un formulario o un simple clic. Al finalizar, el portal se comunica con el controlador para autorizar la sesión.
  5. Autorización y Contabilidad: La señal de autorización se envía típicamente a través de un mensaje RADIUS Access-Accept o mediante una API específica del proveedor. El controlador recibe esta señal, pasa al cliente al estado de post-autenticación (a menudo una VLAN diferente), elimina la regla de redirección y otorga acceso a Internet. Luego, el controlador envía un mensaje RADIUS Accounting-Start para registrar la duración de la sesión y el uso de datos.

Guía de Implementación

La arquitectura fundamental es constante entre los distintos proveedores, pero la sintaxis de configuración varía significativamente. A continuación se presentan los pasos para las principales plataformas empresariales.

vendor_comparison_chart.png

Cisco Meraki

Cisco Meraki configura los portales cautivos completamente a través del Meraki Dashboard.

  1. Diríjase a Wireless > Access Control y seleccione su SSID de invitados.
  2. En Splash page, seleccione Sign-on with my RADIUS server (para acceso basado en credenciales) o Click-through.
  3. En el campo Custom Splash URL, ingrese la URL de su portal externo proporcionada por Purple.
  4. En RADIUS, ingrese las direcciones IP de los servidores RADIUS primario y secundario tanto para la autenticación (puerto 1812) como para la contabilidad (puerto 1813), junto con el secreto compartido.
  5. Desplácese hasta Advanced Splash Settings para configurar el walled garden. Agregue las direcciones IP o dominios de su servidor de portal y cualquier CDN requerido.

HPE Aruba

La configuración de Aruba implica definir un perfil de Captive Portal y aplicarlo a un rol.

  1. En ArubaOS, diríjase a Configuration > Authentication > L3 Authentication.
  2. Cree un nuevo Captive Portal Authentication Profile. Ingrese la Login URL que apunta a su splash page de Purple.
  3. Cree un Server Group que contenga sus servidores RADIUS y asígnelo al perfil de Captive Portal.
  4. Diríjase a Configuration > Security > Roles. Edite el rol de pre-autenticación (a menudo llamado logon). Asegúrese de que la ACL permita el tráfico DHCP, DNS y HTTP/HTTPS hacia las direcciones IP de su walled garden, y aplique el perfil de Captive Portal a todo el demás tráfico HTTP.
  5. Asigne el rol logon como el rol inicial en su perfil AAA para el SSID de invitados.

Ruckus SmartZone

Ruckus utiliza un tipo de WLAN específico para implementaciones de hotspots.

  1. Dirígete a WLANs y crea una nueva WLAN. Configura el WLAN Type como Hotspot (WISPr).
  2. En Authentication Options, selecciona External RADIUS Server e ingresa los detalles de tu servidor tanto para autenticación como para accounting.
  3. En Hotspot Portal, selecciona External e ingresa la URL de tu portal.
  4. Configura el Walled Garden agregando las direcciones IP o dominios necesarios.
  5. Ruckus depende de su Northbound Portal Interface (NPI) para gestionar el flujo de autorización, lo que requiere configurar los parámetros de la NPI para permitir la comunicación desde el servidor de tu portal.

Ubiquiti UniFi

UniFi proporciona una interfaz sencilla para portales externos.

  1. En el UniFi Network Controller, ve a Settings > WiFi y selecciona tu red de invitados.
  2. En Advanced Options, habilita la Guest Policy.
  3. Ve a Settings > Guest Control. En Portal Type, selecciona External Portal Server e ingresa la URL de tu portal.
  4. En Access Control, agrega las direcciones IP requeridas a la lista de Pre-Authorization Access (el walled garden).
  5. Configura los detalles del servidor RADIUS en Profiles > RADIUS y aplica el perfil a la red de invitados.

Mejores prácticas

1. Configuración del Walled Garden

El walled garden es el punto de falla más crítico en las implementaciones de captive portal. Si el walled garden está incompleto, el navegador del invitado no podrá cargar la página de bienvenida (splash page), lo que dará como resultado una pantalla en blanco o un error de tiempo de espera agotado (timeout).

Debes permitir explícitamente el acceso a:

  • Las direcciones IP o dominios del servidor principal del portal.
  • Las direcciones IP del servidor RADIUS.
  • Cualquier Red de Distribución de Contenido (CDN) que utilice el portal para cargar fuentes, imágenes o JavaScript.
  • Dominios de proveedores de identidad si utilizas inicio de sesión con redes sociales (por ejemplo, facebook.com, google.com).

2. Segmentación de red para PCI DSS

Si tu establecimiento procesa pagos con tarjeta, el cumplimiento de PCI DSS exige un aislamiento estricto de la red de invitados respecto al entorno de datos de los titulares de tarjetas. No dependas únicamente de la separación por SSID. Debes configurar una VLAN de invitados dedicada a nivel de controlador o switch, con reglas de firewall que denieguen explícitamente el enrutamiento entre la VLAN de invitados y cualquier red corporativa interna o de Punto de Venta (POS).

3. RADIUS Accounting

Siempre configura RADIUS accounting. Aunque la omisión de autorización por MAC puede otorgar acceso, se requiere RADIUS accounting (mensajes Accounting-Start y Accounting-Stop) para rastrear con precisión la duración de la sesión y el uso de datos. Sin accounting, tu plataforma de analítica reportará tiempos de permanencia y recuentos de usuarios simultáneos inexactos.

Resolución de problemas y mitigación de riesgos

Fallas de intercepción de HTTPS

Los sistemas operativos modernos utilizan pruebas HTTPS para detectar captive portals. Si el controlador intercepta una solicitud HTTPS pero presenta un certificado SSL inválido o no confiable para el redireccionamiento, el navegador mostrará una advertencia de seguridad grave (por ejemplo, "La conexión no es privada") y bloqueará el redireccionamiento. Para mitigar esto, asegúrese de que su controlador esté provisto de un certificado SSL válido y de confianza pública para su interfaz virtual, o configure el controlador para que solo intercepte el tráfico HTTP para el redireccionamiento inicial.

Filtración de DNS

Si la ACL de preautenticación permite tráfico DNS saliente sin restricciones, los usuarios avanzados pueden utilizar túneles DNS para evadir el captive portal y acceder a Internet sin autenticarse. Mitigue esto restringiendo el tráfico DNS saliente en el rol de preautenticación únicamente a sus resolutores DNS designados, bloqueando todo el demás tráfico del puerto 53.

Discrepancias en el tiempo de espera de la sesión

Si el tiempo de espera de la sesión configurado en el controlador inalámbrico es más corto que el período de validez de la sesión definido en el portal externo, los invitados se desconectarán repentinamente y se verán obligados a volver a autenticarse. Asegúrese de que el tiempo de espera por inactividad del controlador y el tiempo de espera absoluto de la sesión coincidan con la experiencia de usuario prevista (por ejemplo, 24 horas para entornos de hospitalidad, 8 horas para retail).

ROI e impacto empresarial

El despliegue de un captive portal configurado correctamente transforma el WiFi de invitados de un costo operativo en un activo estratégico. Al integrar los controladores empresariales con una capa de inteligencia como Purple, los establecimientos pueden capturar el consentimiento explícito de GDPR y recopilar valiosos datos de primera mano.

Purple procesa 440 millones de inicios de sesión al año en 80,000 establecimientos. Estos datos se alimentan directamente en las plataformas CRM, lo que permite realizar campañas de marketing dirigidas basadas en visitas físicas reales. Por ejemplo, los operadores de Retail pueden medir la afluencia y las tasas de visitas repetidas, mientras que los establecimientos de Hospitalidad pueden impulsar reservas directas al interactuar con los huéspedes después de su estancia. El ROI se mide en un mayor valor de vida del cliente, una mejor eficiencia operativa a través de análisis de afluencia precisos y la mitigación del riesgo regulatorio mediante una gestión de cumplimiento automatizada.

Definiciones clave

Captive Portal

Una página web que intercepta el tráfico de red no autenticado y requiere la interacción del usuario (como aceptar términos o proporcionar credenciales) antes de otorgar acceso a Internet.

Se utiliza en redes empresariales para aplicar políticas de seguridad, recopilar datos de primera mano y garantizar el cumplimiento normativo.

Walled Garden

Una lista de control de acceso (ACL) aplicada a clientes no autenticados, que permite el acceso únicamente a direcciones IP o dominios específicos necesarios para cargar el Captive Portal.

Es fundamental para garantizar que la página de inicio se cargue correctamente; la falta de dominios de CDN en el walled garden hará que el portal no se muestre de forma adecuada.

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA).

Utilizado por los controladores de red para verificar las credenciales de los huéspedes frente a una base de datos externa y registrar las métricas de la sesión.

Segmentación de VLAN

La práctica de dividir una red física en múltiples redes lógicas para aislar el tráfico.

Obligatorio para el cumplimiento de PCI DSS para garantizar que el tráfico de WiFi para huéspedes no pueda enrutarse a entornos de tarjetas de pago.

Redirección HTTP 302

Un código de estado de respuesta HTTP estándar que indica que el recurso solicitado se ha movido temporalmente a una URL diferente.

El mecanismo utilizado por los controladores de red para interceptar la solicitud web inicial de un huésped y dirigir su navegador a la página de inicio.

IEEE 802.1X

Un estándar de la IEEE para el control de acceso a redes basado en puertos, que requiere que los dispositivos se autentiquen antes de obtener acceso a la red.

Proporciona seguridad de nivel empresarial al garantizar que cada conexión se autentique individualmente, a menudo respaldada por un servidor RADIUS.

WPA3-Enterprise

El protocolo de seguridad de Wi-Fi más reciente, que proporciona un cifrado robusto y requiere autenticación 802.1X.

Recomendado para implementaciones empresariales seguras para proteger contra ataques de diccionario sin conexión y garantizar la confidencialidad de los datos.

MAC Authorisation Bypass (MAB)

Un método para otorgar acceso a la red basado en la dirección MAC del dispositivo cliente en lugar de requerir credenciales de usuario explícitas.

A menudo se utiliza en Captive Portals de un solo clic donde el portal registra la dirección MAC después de que el usuario acepta los términos del servicio.

Ejemplos resueltos

Un hotel de 350 habitaciones necesita implementar un portal de WiFi para huéspedes con la identidad de su marca que recopile direcciones de correo electrónico para su programa de lealtad, garantizando el cumplimiento de GDPR e aislando el tráfico de los huéspedes de la red corporativa.

El equipo de TI implementa AP de Cisco Meraki y configura un SSID de huéspedes dedicado en la VLAN 100. En el panel de Meraki, configuran la página de inicio en "Iniciar sesión con mi servidor RADIUS" e ingresan la URL del portal de Purple. Configuran el walled garden para incluir los rangos de IP de Purple y los dominios de CDN. Se aplican reglas de firewall a la VLAN 100, denegando el enrutamiento a la VLAN corporativa para garantizar el cumplimiento de PCI DSS. En la plataforma de Purple, se crea un portal de marca con un formulario de captura de datos y casillas de verificación explícitas para el consentimiento de GDPR. El conector de CRM de Purple se configura para sincronizar los correos electrónicos capturados directamente con la plataforma de marketing del hotel.

Comentario del examinador: Este enfoque aborda correctamente los requisitos tanto técnicos como comerciales. La segmentación de VLAN garantiza la seguridad y el cumplimiento, mientras que la integración con Purple proporciona la captura de consentimiento necesaria y la sincronización con el CRM. El uso de RADIUS garantiza un seguimiento preciso de las sesiones.

Una cadena de retail regional con 40 tiendas requiere una experiencia de WiFi para huéspedes uniforme en todas las ubicaciones, con una gestión centralizada y análisis de afluencia a nivel de tienda.

El minorista implementa AP de HPE Aruba gestionados a través de Aruba Central. Se crea una única plantilla de WLAN para huéspedes con un Captive Portal externo que apunta a Purple. El rol de preautenticación se configura con las ACL de walled garden necesarias. Esta plantilla se aplica en los 40 sitios utilizando la política de grupo de Aruba Central. En Purple, se implementa un diseño de portal unificado, con paneles de análisis configurados para segmentar los datos por ubicación de tienda individual.

Comentario del examinador: El uso de la configuración basada en plantillas de Aruba Central elimina las discrepancias de configuración en las 40 tiendas. La integración con Purple permite al equipo de marketing comparar las métricas de afluencia y tiempo de permanencia en toda la red de tiendas desde una única interfaz, lo que demuestra el valor de una capa de inteligencia independiente del hardware.

Preguntas de práctica

Q1. Un establecimiento informa que los clientes que se conectan al WiFi ven una pantalla en blanco en lugar de la página de inicio de sesión de la marca. El portal utiliza fuentes personalizadas alojadas en Google Fonts. ¿Cuál es el error de configuración más probable?

Sugerencia: Considera qué tráfico se permite antes de que un usuario se autentique.

Ver respuesta modelo

El walled garden está incompleto. Los dominios del CDN de Google Fonts no se han agregado a la ACL de preautenticación. El controlador está bloqueando la solicitud para cargar las fuentes, lo que provoca que falle la renderización de la página.

Q2. Para cumplir con PCI DSS, un gerente de TI crea un nuevo SSID llamado 'Guest_WiFi' en la misma subred que la red corporativa. ¿Es esto suficiente?

Sugerencia: PCI DSS requiere el aislamiento del entorno de datos de los titulares de tarjetas.

Ver respuesta modelo

No. Crear un SSID separado en la misma subred no proporciona aislamiento de red. La red de invitados debe colocarse en una VLAN dedicada con reglas de firewall que nieguen explícitamente el enrutamiento a las redes corporativas o de puntos de venta (POS).

Q3. Una cadena de tiendas nota que su panel de analíticas muestra 1,000 autenticaciones al día, pero la métrica de tiempo de permanencia promedio falta o es cero. ¿Qué paso de configuración se omitió?

Sugerencia: ¿Qué protocolo es responsable de rastrear la duración de la sesión?

Ver respuesta modelo

No se ha configurado el registro de conexiones RADIUS (RADIUS Accounting) en el controlador. Sin los mensajes de Accounting-Start y Accounting-Stop, la plataforma de analíticas no puede calcular la duración de las sesiones.

Continúe leyendo esta serie

Cómo configurar un Captive Portal en Starlink: Una guía para ubicaciones remotas y marítimas

Esta guía detalla cómo omitir el hardware nativo de Starlink e integrar un Captive Portal administrado en la nube utilizando equipos de enrutamiento empresariales. Aprenderá cómo superar la limitación de CGNAT, aplicar la segmentación de VLAN, administrar las restricciones de ancho de banda satelital y garantizar el cumplimiento normativo.

Leer la guía →

Mejores prácticas de Captive Portal: Diseñando para una alta conversión y cumplimiento

Esta guía técnica ofrece a los gerentes de TI, arquitectos de red y directores de operaciones de establecimientos un plan completo para implementar captive portals que equilibren la seguridad de la red con una alta conversión de usuarios. Cubre toda la arquitectura, desde la segmentación de VLAN y la autenticación RADIUS hasta el diseño de consentimiento conforme a GDPR y la selección del método de autenticación. Basada en la experiencia operativa de Purple en más de 80,000 establecimientos y 440 millones de inicios de sesión en 2024, cada recomendación se fundamenta en datos reales de implementación.

Leer la guía →

Cómo optimizar los captive portals para una máxima seguridad de red y conversión de usuarios

Esta guía proporciona un plan técnico completo para optimizar los captive portals en entornos empresariales, abarcando la arquitectura de segmentación de red, la selección del método de autenticación, el diseño de consentimiento conforme a GDPR y la optimización de la conversión. Está dirigida a gerentes de TI, arquitectos de red y CTOs en hoteles, cadenas de retail, estadios y organizaciones del sector público que necesitan equilibrar la seguridad de la red con la captura de datos de primera mano. Purple opera la infraestructura de captive portal en más de 80,000 establecimientos con 440 millones de inicios de sesión en 2024, y los marcos de trabajo aquí presentados reflejan esa experiencia operativa.

Leer la guía →