HPE Aruba Instant y WiFi de invitados: configuración de captive portal con Purple

Bienvenido a este informe técnico sobre la integración de HPE Aruba ClearPass con la plataforma Purple WiFi. Soy su anfitrión, y hoy nos sumergiremos en la arquitectura, las estrategias de implementación y los beneficios operativos de combinar el robusto control de acceso a la red de ClearPass Policy Manager con las capacidades líderes en la industria de Purple para WiFi de invitados y analíticas. Para los gerentes de TI, arquitectos de red y CTO que administran recintos a gran escala - ya sea una extensa cadena de tiendas minoristas, un estadio de alta densidad o un complejo campus de atención médica - ofrecer un acceso inalámbrico seguro, segmentado y con información valiosa es primordial. ClearPass es fenomenal en la aplicación de políticas basadas en el contexto y la autenticación 802.1X para dispositivos corporativos. Sin embargo, cuando se trata de la incorporación de invitados, Captive Portals y la extracción de analíticas de marketing accionables a partir de los datos de los visitantes, Purple es el líder indiscutible. La pregunta principal que responderemos hoy es: ¿Cómo se configura ClearPass para utilizar Purple como el Captive Portal, mientras se conserva ClearPass para NAC y la asignación dinámica de VLAN basada en roles? Entremos en materia. Primero, establezcamos la arquitectura. A alto nivel, la integración se basa en protocolos RADIUS estándar y mecanismos de redirección HTTP. Sus Aruba Mobility Controllers o Instant Access Points transmiten el SSID de invitados. Cuando un dispositivo no autenticado se conecta, el controlador intercepta el tráfico HTTP y redirige el navegador del usuario al Captive Portal de Purple. Esta redirección es la primera pieza crítica que se debe configurar correctamente. Ahora, el usuario se autentica a través de Purple. Esto podría ser un inicio de sesión social mediante Facebook o Google, un formulario personalizado de correo electrónico y contraseña, o incluso OpenRoaming, donde Purple actúa como un proveedor de identidad gratuito bajo la licencia Connect. Una vez que Purple valida al usuario, envía un mensaje RADIUS Access-Accept de vuelta a través de la cadena al controlador, el cual luego otorga el acceso a la red. Pero aquí es donde ClearPass se vuelve esencial. En lugar de que el controlador Aruba se comunique directamente con los servidores RADIUS de Purple, usted inserta a ClearPass como un proxy RADIUS en medio. El controlador envía todas las solicitudes RADIUS a ClearPass. ClearPass evalúa la solicitud y, si coincide con su política de enrutamiento de servicio de invitados, la reenvía a los servidores RADIUS en la nube de Purple. Purple responde y ClearPass devuelve esa respuesta al controlador, pero de manera crucial, puede añadir sus propios atributos de política antes de hacerlo. Esta arquitectura de proxy le ofrece lo mejor de ambos mundos. ClearPass mantiene un registro de auditoría completo de cada evento de autenticación en su red, tanto corporativa como de invitados. Usted obtiene un único panel de control para las operaciones de seguridad. Y Purple se encarga de la experiencia de cara al usuario y de las analíticas sin que usted tenga que reemplazar su inversión existente en NAC. Hablemos de la asignación dinámica de VLAN, porque aquí es donde las cosas se vuelven realmente potentes - y donde la mayoría de las implementaciones se topan con problemas si no se tiene cuidado. ClearPass utiliza un concepto llamado Roles y Perfiles de Aplicación (Enforcement Profiles). Cuando llega una solicitud de autenticación, ClearPass evalúa el contexto: quién es el usuario, qué dispositivo está usando, qué hora es y desde qué ubicación se está conectando. Con base en estos factores, asigna un Rol. Para un invitado estándar, podría ser ROLE_GUEST. Para un VIP, podría ser ROLE_VIP. Para un contratista, ROLE_CONTRACTOR. Este Rol se mapea luego a un Perfil de Aplicación, el cual define los atributos RADIUS específicos que se devolverán al controlador Aruba. El atributo más importante aquí es el Atributo Específico del Proveedor (VSA) Aruba-User-Role. Esto le indica al controlador exactamente en qué rol colocar al usuario en el lado inalámbrico. En el controlador Aruba, cada rol se mapea a una VLAN específica y a un conjunto de políticas de firewall. De este modo, ROLE_GUEST se mapea a la VLAN 20, con acceso exclusivo a internet y un límite de ancho de banda de 10 megabits por segundo. ROLE_VIP se mapea a la VLAN 40, con un límite de 50 megabits. ROLE_IOT se mapea a la VLAN 30, un segmento completamente aislado sin acceso a internet, solo con conectividad local para dispositivos inteligentes. Esta segmentación no es solo una buena práctica - es un requisito de cumplimiento. Bajo PCI-DSS, cualquier red que maneje datos de titulares de tarjetas debe estar aislada de las redes de invitados. Bajo GDPR, debe ser capaz de demostrar que los datos personales recopilados a través del portal de invitados se manejan de manera adecuada y que el tráfico de invitados no puede atravesar su infraestructura corporativa. Ahora, permítame guiarlo a través de un escenario del mundo real: una gran cadena hotelera con 500 habitaciones en múltiples propiedades. Tienen controladores Aruba en cada sitio, ClearPass implementado de forma centralizada y quieren lanzar Purple para el WiFi de invitados. La implementación se ve de la siguiente manera. Dos SSIDs por sitio: Hotel_Corp y Hotel_Guest. Hotel_Corp utiliza 802.1X con certificados, autenticado contra Active Directory a través de ClearPass. Hotel_Guest es un SSID abierto que activa el Captive Portal de Purple. En ClearPass, crean dos Servicios. El Servicio Uno coincide con Hotel_Corp y maneja la autenticación 802.1X de manera local. El Servicio Dos coincide con Hotel_Guest y utiliza una Política de Enrutamiento RADIUS para enviar solicitudes proxy a Purple. La Política de Aplicación para el Servicio Dos devuelve el Aruba-User-Role de guest-authenticated, el cual se mapea a la VLAN 20 en el controlador. Para los dispositivos IoT - televisiones inteligentes, termostatos, cerraduras de puertas - utilizan un tercer SSID, Hotel_IoT, con autenticación basada en MAC. ClearPass perfila el dispositivo utilizando su OUI y asigna ROLE_IOT, enviándolo a la VLAN 30. ¿El resultado? El personal obtiene acceso corporativo completo. Los invitados disfrutan de una experiencia de portal de marca atractiva con inicio de sesión social y opciones de suscripción de marketing. Los dispositivos IoT quedan aislados. Y el equipo de TI tiene visibilidad completa de los tres tipos de usuarios en el Access Tracker de ClearPass. Ahora hablemos de los errores comunes, porque hay varios que lo tomarán por sorpresa si no está preparado. Número uno: el jardín vallado (walled garden). Esta es la fuente más común de fallas en el Captive Portal. Antes de que un dispositivo sea autenticado, el controlador Aruba solo permite el tráfico a una lista predefinida de destinos: el walled garden. Si la URL del portal de Purple, sus endpoints de la API backend y los dominios de los proveedores de inicio de sesión social no están en esa lista, el portal simplemente no se cargará. Debe mantener esta lista de manera proactiva. Los proveedores de inicio de sesión social como Facebook y Google cambian regularmente sus rangos de IP y dominios de CDN. Trate al walled garden como una configuración viva. Número dos: tiempos de espera de RADIUS. El tiempo de espera predeterminado de RADIUS en la mayoría de los controladores Aruba es de tres segundos. En una arquitectura de proxy, la solicitud viaja desde el AP al controlador, luego a ClearPass, a través de internet a la nube de RADIUS de Purple y de regreso. En una red congestionada, ese viaje de ida y vuelta puede superar fácilmente los tres segundos. Incremente su tiempo de espera a al menos diez segundos y configure la lógica de reintento. Número tres: discrepancias en el secreto compartido. Esto causa fallas silenciosas que son notoriamente difíciles de diagnosticar. El secreto compartido entre el controlador Aruba y ClearPass debe coincidir exactamente. El secreto compartido entre ClearPass y los servidores RADIUS de Purple también debe coincidir exactamente. Una diferencia de un solo carácter hará que la autenticación falle sin un mensaje de error claro para el usuario final. Siempre verifique esto dos veces. Número cuatro: sensibilidad a mayúsculas y minúsculas en el nombre del rol. El VSA Aruba-User-Role devuelto por ClearPass debe coincidir exactamente -incluyendo mayúsculas y minúsculas- con el nombre del rol definido en el controlador Aruba. Si ClearPass devuelve guest-authenticated pero el controlador tiene definido Guest-Authenticated, el usuario volverá al rol predeterminado, que normalmente es el rol de inicio de sesión sin acceso a internet. Número cinco: contabilidad de RADIUS. Muchas implementaciones configuran correctamente el proxy de autenticación pero olvidan configurar también el proxy de contabilidad. Purple utiliza los datos de contabilidad de RADIUS para rastrear la duración de la sesión, el uso de datos y para alimentar sus tableros de analíticas. Si la contabilidad no fluye hacia Purple, sus analíticas estarán incompletas. Pasemos a la sección de preguntas rápidas. ¿Puedo usar un solo SSID tanto para empleados como para invitados? Sí, puede hacerlo. Configure ClearPass para manejar tanto 802.1X como MAC-Auth en el mismo SSID. Utilice reglas de servicio para diferenciar el tipo de tráfico y enrutarlo en consecuencia. Es más complejo de administrar pero reduce la proliferación de SSID. ¿Purple es compatible con el cambio de autorización (CoA)? Sí. CoA permite al controlador actualizar dinámicamente la sesión de un usuario sin requerir que se vuelva a conectar. Esto es útil para el acceso por tiempo limitado o actualizaciones de nivel. ¿Puedo usar esta integración con Aruba Instant en lugar de un controlador de movilidad (Mobility Controller) completo? Sí, Aruba Instant es compatible con servidores RADIUS externos y redireccionamiento de Captive Portal. La configuración es ligeramente diferente pero los principios son idénticos. ¿Funciona esta integración con WPA3? Sí. Se admiten tanto WPA3-SAE para redes personales como WPA3-Enterprise para 802.1X. Para redes de invitados que utilizan Captive Portals, WPA3-SAE o un SSID abierto con Opportunistic Wireless Encryption son las opciones típicas. Para resumir la sesión de hoy. La integración de ClearPass y Purple es una arquitectura de proxy RADIUS. ClearPass sigue siendo su punto de decisión de políticas central para todo el acceso a la red. Purple gestiona la experiencia de cara al invitado y la analítica. El controlador de Aruba aplica las políticas resultantes a través de la asignación dinámica de VLAN. Los tres elementos de configuración más críticos son el walled garden, los tiempos de espera de RADIUS y la coherencia en los nombres de los roles. Configure estos de forma correcta y tendrá una implementación de WiFi de invitados robusta, conforme a las normativas y comercialmente valiosa. Gracias por su atención. Si desea explorar esto más a fondo, visite purple.ai para hablar con un arquitecto de soluciones sobre su implementación específica.