Passer au contenu principal

Aruba ClearPass vs. Purple WiFi : comparaison des fonctionnalités et co-déploiement

Un guide technique complet détaillant l'architecture de co-déploiement d'Aruba ClearPass et Purple WiFi. Il couvre la configuration du proxy RADIUS, l'attribution dynamique de VLAN et les meilleures pratiques pour fournir des réseaux invités sécurisés et axés sur l'analyse de données, aux côtés du NAC d'entreprise.

📖 6 min de lecture📝 1,499 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Parlez en anglais britannique avec un ton confiant, autoritaire et conversationnel. Vous êtes un consultant réseau senior qui brefe un client. Un rythme mesuré, une diction claire, professionnel mais sans rigidité. Des pauses naturelles occasionnelles pour marquer l'importance : Bienvenue dans ce briefing technique de Purple. Je suis votre hôte, et aujourd'hui nous abordons une question qui revient dans presque tous les projets de réseau sans fil d'entreprise sur lesquels nous travaillons : lorsque vous avez déjà déployé Aruba ClearPass, quelle est la place de Purple WiFi, et comment ces deux systèmes fonctionnent-ils ensemble ? [pause moyenne] Il ne s'agit pas d'une discussion théorique. Si vous êtes responsable informatique, architecte réseau ou ingénieur sécurité au sein d'un groupe hôtelier, d'une chaîne de magasins ou pour un exploitant de stade, c'est une décision que vous devrez peut-être prendre ce trimestre. Alors, entrons dans le vif du sujet. [pause moyenne] Introduction et contexte. [pause courte] Tout d'abord, clarifions ce que chaque plateforme est réellement conçue pour faire. Aruba ClearPass Policy Manager est une plateforme de contrôle d'accès réseau. Son rôle est d'authentifier les appareils et les utilisateurs, d'évaluer la posture des terminaux et d'appliquer la politique d'accès sur l'ensemble de votre réseau. Elle gère le 802.1X, qui est la norme IEEE pour le contrôle d'accès réseau basé sur les ports, en utilisant des méthodes EAP telles que EAP-TLS avec certificats et PEAP avec nom d'utilisateur et mot de passe. Elle s'intègre à Microsoft Entra ID, Okta et d'autres fournisseurs d'identité. Elle profile les appareils, vérifie s'ils sont conformes à votre politique de sécurité et leur attribue le bon rôle réseau. Pour les appareils d'entreprise, ClearPass est excellente. Elle a été conçue exactement pour ce cas d'usage. [pause moyenne] Purple WiFi est un tout autre animal. Purple est une plateforme cloud d'intelligence WiFi pour les invités. Son rôle est d'authentifier les visiteurs via un captive portal personnalisé, de collecter des données de première main grâce à des flux de consentement conformes au GDPR, et d'alimenter votre pile marketing et analytique avec ces données. Purple opère sur 80 000 sites à travers le monde et a traité 440 millions de connexions rien qu'en 2024. Elle s'intègre à plus de 400 connecteurs, y compris des CRM et des plateformes d'automatisation marketing. Pour les réseaux d'invités, Purple est le spécialiste. [pause moyenne] Le problème auquel la plupart des organisations sont confrontées est qu'elles essaient d'utiliser une seule plateforme pour faire les deux tâches. Soit elles demandent à ClearPass de gérer leur portail invité, ce qu'elle peut faire mais pas de manière élégante, soit elles déploient Purple sans réfléchir à la manière dont elle s'articule avec leur investissement NAC existant. La bonne solution est une architecture de co-déploiement où chaque plateforme fait ce qu'elle fait de mieux. [pause moyenne] Plongée technique en profondeur. [pause courte] Laissez-moi vous présenter l'architecture. Dans un co-déploiement, votre contrôleur de mobilité Aruba ou vos points d'accès Aruba Instant diffusent plusieurs SSID. Généralement trois : un pour les appareils d'entreprise, un pour les invités et un pour l'IoT. Pour en savoir plus sur ce modèle de conception de SSID, Purple a publié un guide détaillé intitulé Three SSIDs to rule them all, que je vous recommande de lire en parallèle de ce briefing. [pause moyenne] Le SSID d'entreprise utilise la norme 802.1X avec EAP-TLS. Les appareils s'authentifient à l'aide de certificats provisionnés via ClearPass Onboard, qui est le module intégré d'enrôlement de certificats et de provisionnement d'appareils de ClearPass. ClearPass vérifie la posture de l'appareil, valide le certificat, interroge Active Directory ou Microsoft Entra ID, puis affecte l'appareil au VLAN approprié. Généralement le VLAN 10 pour l'entreprise. L'ensemble de ce flux reste au sein de ClearPass. Purple n'intervient pas. [medium pause] C'est sur le SSID invité que l'intégration se produit. Lorsqu'un visiteur se connecte au SSID invité, le contrôleur Aruba intercepte son trafic HTTP et redirige son navigateur vers le Captive Portal de Purple. Le visiteur s'authentifie via Purple, par exemple en utilisant une connexion sociale via Google, un formulaire d'e-mail personnalisé ou OpenRoaming, où Purple agit comme un fournisseur d'identité gratuit sous la licence Connect. Une fois que Purple a validé le visiteur, il renvoie un message RADIUS Access-Accept au contrôleur, ce qui autorise l'accès internet. [medium pause] À présent, la décision architecturale clé est de savoir si vous insérez ClearPass en tant que proxy RADIUS entre le contrôleur et Purple, ou si le contrôleur communique directement avec les serveurs RADIUS de Purple. Pour la plupart des déploiements d'entreprise, le modèle proxy est le bon choix. Voici pourquoi. [medium pause] Avec ClearPass configuré comme proxy RADIUS, chaque événement d'authentification sur votre réseau, qu'il soit d'entreprise ou invité, passe par ClearPass. Vous disposez ainsi d'une piste d'audit unique. Votre équipe des opérations de sécurité visualise tout au même endroit. ClearPass peut ajouter ses propres attributs de politique avant de renvoyer la réponse au contrôleur, ce qui permet une affectation dynamique des VLAN en fonction du rôle. De plus, vous conservez la possibilité d'appliquer des politiques supplémentaires sur les sessions des invités, telles que des limites de bande passante ou des restrictions d'accès basées sur le temps. Exprimez-vous avec un ton confiant, faisant autorité et conversationnel. Vous êtes un consultant réseau senior qui briefe un client. Le rythme est mesuré, la diction est claire, le style est professionnel mais sans rigidité : La configuration du proxy dans ClearPass est simple. Vous créez une politique de routage RADIUS qui correspond au SSID invité par l'identifiant NAS ou l'identifiant de la station appelée. Les requêtes correspondant à cette politique sont transférées vers les serveurs RADIUS cloud de Purple. Purple répond, ClearPass ajoute l'attribut spécifique au fournisseur Aruba-User-Role, et le contrôleur place l'invité dans le VLAN 20 avec un accès internet uniquement. [medium pause] Pour les appareils IoT, le troisième SSID utilise le contournement d'authentification MAC. ClearPass profile l'appareil à l'aide de son OUI, les six premiers caractères de l'adresse MAC qui identifient le fabricant, et l'affecte au ROLE_IOT, qui correspond au VLAN 30. Ce VLAN n'a pas d'accès internet, seulement une connectivité locale. Vos téléviseurs intelligents, thermostats et serrures connectées sont complètement isolés du trafic de l'entreprise et de celui des invités. [medium pause] Parlons de conformité, car c'est là que l'architecture prouve sa valeur. Sous PCI-DSS, tout segment de réseau qui touche aux données des titulaires de cartes doit être isolé des réseaux invités. La segmentation VLAN dans cette architecture répond à cette exigence. Sous GDPR, le Captive Portal de Purple gère le recueil du consentement avec des options d'adhésion par choix conscient, ce qui signifie que les visiteurs choisissent activement de partager leurs données plutôt que de les voir collectées par défaut. Purple est certifié ISO 27001, conforme au GDPR, et détient la certification Cyber Essentials. ClearPass fournit la piste d'audit dont votre équipe de sécurité a besoin pour les rapports de conformité. [medium pause] Recommandations d'implémentation et pièges à éviter. [short pause] Laissez-moi vous présenter les cinq erreurs les plus courantes dans ce déploiement, et comment les éviter. [medium pause] Numéro un : le walled garden (zone d'accès limité). Avant qu'un visiteur ne s'authentifie, le contrôleur Aruba autorise uniquement le trafic vers une liste de destinations prédéfinie. Si les domaines du portail de Purple, ses points de terminaison CDN et les domaines des fournisseurs de connexion sociale ne figurent pas dans cette liste, le portail ne se chargera pas. Vous devez inclure star point purple point ai, star point cloudfront point net, et les domaines OAuth pour tous les fournisseurs de connexion sociale que vous activez. Google, Facebook, Apple et Microsoft Entra ID ont tous leurs propres ensembles de domaines. Traitez le walled garden comme une configuration vivante, car les fournisseurs de connexion sociale modifient périodiquement leurs domaines CDN. [medium pause] Numéro deux : les délais d'attente RADIUS. Le délai d'attente RADIUS par défaut sur la plupart des contrôleurs Aruba est de trois secondes. Dans une architecture proxy, la requête voyage du point d'accès au contrôleur, puis à ClearPass, traverse Internet jusqu'au RADIUS cloud de Purple, et revient. Sur un réseau encombré, ce trajet aller-retour peut dépasser trois secondes. Définissez votre délai d'attente sur au moins dix secondes et configurez une logique de tentative avec au moins deux essais. [medium pause] Numéro trois : les incompatibilités de clés secrètes partagées. La clé secrète partagée entre le contrôleur Aruba et ClearPass doit correspondre exactement. La clé secrète partagée entre ClearPass et les serveurs RADIUS de Purple doit également correspondre exactement. Une différence d'un seul caractère entraîne des échecs d'authentification silencieux sans message d'erreur explicite pour le visiteur. Vérifiez toujours ces clés caractère par caractère. [medium pause] Numéro quatre : la sensibilité à la casse des noms de rôles. L'attribut Aruba-User-Role renvoyé par ClearPass doit correspondre exactement au nom de rôle défini sur le contrôleur Aruba, y compris les majuscules. Si ClearPass renvoie guest-authenticated mais que le contrôleur a défini Guest-Authenticated, le visiteur est redirigé vers le rôle de connexion par défaut sans accès à Internet. [medium pause] Numéro cinq : l'authentification RADIUS. De nombreux déploiements configurent correctement le proxy d'authentification mais oublient de faire de même pour l'accounting. Purple utilise les données d'accounting RADIUS pour suivre la durée des sessions, l'utilisation des données et pour alimenter ses tableaux de bord analytiques. Si l'accounting ne remonte pas vers Purple, vos analyses de fréquentation et vos rapports de temps de présence seront incomplets. [medium pause] Questions-réponses rapides. [short pause] Puis-je exécuter cela sur Aruba Instant plutôt que sur un Mobility Controller complet ? Oui. Aruba Instant prend en charge les serveurs RADIUS externes et la redirection vers un Captive Portal. La configuration diffère légèrement mais les principes sont identiques. [medium pause] Purple prend-il en charge le Change of Authorisation ? Oui. Le CoA permet au contrôleur de mettre à jour dynamiquement la session d'un visiteur sans qu'il ait besoin de se reconnecter. C'est très utile pour les accès limités dans le temps ou les montées en gamme de services. [medium pause] Cela fonctionne-t-il avec le WPA3 ? Oui. Le WPA3-SAE pour les réseaux personnels et le WPA3-Enterprise pour le 802.1X sont tous deux pris en charge. Pour les réseaux invités utilisant des portails captifs, le WPA3-SAE ou un SSID ouvert avec Opportunistic Wireless Encryption sont les choix habituels. [medium pause] Puis-je utiliser un seul SSID pour les employés et les invités ? C'est possible, mais cela ajoute de la complexité. ClearPass gère à la fois le 802.1X et l'authentification MAC sur le même SSID, en utilisant des règles de service pour différencier les types de trafic et les acheminer en conséquence. Pour la plupart des sites, l'utilisation de SSIDs distincts reste la solution la plus simple. [medium pause] Résumé et prochaines étapes. [short pause] ClearPass et Purple sont complémentaires, ils ne se font pas concurrence. ClearPass est votre moteur de politique pour les appareils d'entreprise : 802.1X, posture des terminaux, gestion des certificats et piste d'audit unifiée. Purple est votre plateforme d'intelligence pour les invités : Captive Portal personnalisé, capture de données conforme au GDPR, analyses de fréquentation et automatisation du marketing. [medium pause] L'architecture de co-déploiement utilise ClearPass comme proxy RADIUS. Toutes les demandes d'authentification transitent par ClearPass. Les demandes des invités sont acheminées vers le RADIUS cloud de Purple. Les demandes de l'entreprise sont traitées localement par ClearPass. Le contrôleur Aruba applique les politiques résultantes via une attribution dynamique de VLAN. [medium pause] Les trois éléments de configuration que vous devez absolument réussir sont : le walled garden, les délais d'attente RADIUS et la cohérence des noms de rôles. Maîtrisez ces aspects, et vous obtiendrez un déploiement WiFi invité conforme et commercialement performant, sans compromettre la sécurité de votre entreprise. [medium pause] Pour vos prochaines étapes : récupérez les identifiants RADIUS de votre site Purple depuis le tableau de bord Purple, consultez la liste de référence du walled garden dans le guide écrit d'accompagnement, et testez l'ensemble du flux d'authentification avec un appareil de test dédié avant de passer en production. Si vous effectuez un déploiement sur plusieurs sites, la console de gestion multi-sites de Purple vous permet de gérer les configurations de portails captifs, la personnalisation de marque et les analyses de l'ensemble de votre parc depuis une interface unique. [medium pause] Merci pour votre écoute. Rendez-vous sur purple.ai pour échanger avec un architecte de solutions au sujet de votre déploiement spécifique.

header_image.png

Résumé exécutif

Pour les environnements d'entreprise fortement investis dans l'infrastructure HPE Aruba, la gestion de politiques d'accès réseau complexes tout en offrant une expérience WiFi invité fluide et riche en données présente un défi architectural majeur. Alors qu'Aruba ClearPass Policy Manager excelle dans le contrôle d'accès réseau (NAC) et la sécurité 802.1X pour les appareils de l'entreprise, son Captive Portal intégré manque souvent de l'automatisation marketing avancée et des analyses requises par les sites modernes. Ce guide détaille comment intégrer Purple WiFi avec ClearPass, permettant à chaque plateforme de se concentrer sur ses points forts.

En déployant ClearPass en tant que proxy RADIUS, vous conservez une piste d'audit de sécurité unifiée et une attribution dynamique de VLAN pour les appareils d'entreprise et IoT, tout en déléguant l'expérience d'intégration des invités à Purple. Cette approche permet une collecte de données de première partie conforme au GDPR, des analyses détaillées de fréquentation et des intégrations avec plus de 400 connecteurs marketing - le tout sans remplacer votre investissement NAC Aruba existant. Ce document fournit le plan technique de ce co-déploiement, couvrant l'architecture, les flux de configuration et les meilleures pratiques.

Analyse technique approfondie

L'intégration d'Aruba ClearPass et de Purple WiFi repose sur les protocoles RADIUS standard et les mécanismes de redirection HTTP, structurés autour d'une architecture de proxy RADIUS. Cette conception garantit que ClearPass reste le point de décision central des politiques pour tous les accès réseau, tandis que Purple gère le Captive Portal destiné aux invités et la collecte de données.

Architecture centrale

Dans un co-déploiement standard, vos contrôleurs de mobilité Aruba ou vos points d'accès Aruba Instant diffusent plusieurs SSIDs. Un modèle de conception typique, tel que détaillé dans Three SSIDs to rule them all: the WiFi design for guest, staff and IoT , utilise trois réseaux dédiés :

  1. SSID d'entreprise : Utilise le 802.1X avec EAP-TLS. Les appareils s'authentifient à l'aide de certificats provisionnés via ClearPass Onboard. ClearPass évalue la posture de l'appareil, interroge Microsoft Entra ID ou Active Directory, et affecte l'appareil au VLAN d'entreprise (par exemple, VLAN 10). Purple n'intervient pas dans ce flux.
  2. SSID IoT : Utilise le bypass d'authentification MAC (MAB). ClearPass profile l'appareil à l'aide de son identifiant unique d'organisation (OUI) et l'affecte à un VLAN IoT isolé (par exemple, VLAN 30) sans accès internet.
  3. SSID Invité : Un réseau ouvert ou avec chiffrement sans fil opportuniste (OWE) qui déclenche le Captive Portal de Purple. architecture_overview.png

Flux de proxy RADIUS

Lorsqu'un visiteur se connecte au SSID invité et ouvre un navigateur, le contrôleur Aruba intercepte le trafic HTTP et redirige la session vers l'URL du Captive Portal de Purple. Le visiteur s'authentifie via Purple à l'aide d'une connexion sociale, de formulaires personnalisés ou d'OpenRoaming (où Purple agit en tant que fournisseur d'identité gratuit dans le cadre du forfait Connect).

Une fois que Purple a validé le visiteur, il envoie un message RADIUS Access-Accept. Cependant, au lieu que le contrôleur Aruba contacte directement les serveurs RADIUS cloud de Purple, ClearPass est intégré en tant que proxy RADIUS :

  1. Le contrôleur Aruba envoie toutes les requêtes RADIUS à ClearPass.
  2. ClearPass évalue la requête par rapport à ses règles de service. Si la requête correspond au SSID invité (identifié par le Called-Station-Id ou l'identifiant NAS), la politique de routage RADIUS transfère la requête aux serveurs RADIUS de Purple.
  3. Purple répond par un message Access-Accept.
  4. ClearPass reçoit cette réponse et applique sa propre politique d'application, en ajoutant des attributs spécifiques au fournisseur (VSA) avant de transmettre la réponse finale au contrôleur.

Attribution dynamique de VLAN basée sur les rôles

L'attribut VSA clé de cette architecture est Aruba-User-Role. Lorsque ClearPass transmet le message Access-Accept au contrôleur, il inclut cet attribut pour définir précisément le rôle que le visiteur doit assumer sur le réseau WiFi.

Par exemple, ClearPass peut renvoyer Aruba-User-Role = guest-authenticated. Sur le contrôleur Aruba, ce rôle est associé au VLAN 20, qui est configuré avec des politiques de pare-feu autorisant l'accès à internet mais bloquant le routage vers les sous-réseaux d'entreprise internes. Cette segmentation est essentielle pour la conformité avec des normes telles que PCI-DSS [1].

comparison_chart.png

Guide de mise en œuvre

Le déploiement de cette architecture nécessite une configuration précise à la fois sur l'infrastructure Aruba et sur ClearPass. Suivez ces étapes neutres vis-à-vis des fournisseurs pour établir l'intégration.

Étape 1 : Configurer les serveurs RADIUS de Purple dans ClearPass

Naviguez vers Configuration > Network > Devices dans ClearPass et ajoutez les serveurs RADIUS principal et secondaire de Purple en tant que périphériques réseau. Vous aurez besoin des adresses IP et du secret partagé fournis dans votre tableau de bord de configuration de site Purple.

Étape 2 : Créer une politique de routage RADIUS

Créez une nouvelle politique de routage RADIUS dans ClearPass. Cette politique déterminera dans quelles conditions les requêtes sont relayées vers Purple. Définissez les destinations principale et de secours sur les serveurs RADIUS de Purple que vous avez configurés à l'étape 1.

Étape 3 : Définir le service invité

Créez un nouveau service dans ClearPass pour l'authentification des invités.

  • Type : Application RADIUS (générique)
  • Règles de service : Faites correspondre le Radius:IETF:Called-Station-Id contenant le nom de votre SSID invité.
  • Politique de routage : Sélectionnez la politique créée à l'étape 2.
  • Politique d'application : Configurez une politique pour renvoyer le VSA Aruba-User-Role avec la valeur correspondant à votre rôle invité sur le contrôleur Aruba.

Étape 4 : Configurer le Walled Garden sur le contrôleur

Le walled garden est une liste de domaines auxquels un appareil peut accéder avant de s'authentifier. Il se configure sur le contrôleur Aruba (ou via des règles d'accès dans ArubaOS 10). Vous devez inclure les domaines de base de Purple :

  • *.purple.ai
  • *.cloudfront.net
  • *.venuewifi.com

Si vous activez les connexions via les réseaux sociaux, vous devez également ajouter les domaines OAuth de chaque fournisseur (par exemple *.facebook.com, *.google.com, *.microsoftonline.com).

Étape 5 : Configurer la comptabilisation RADIUS

Assurez-vous que la comptabilisation RADIUS est également relayée via ClearPass vers Purple. Purple utilise les données de comptabilisation (Acct-Start, Acct-Interim-Update, Acct-Stop) pour suivre la durée des sessions et alimenter son tableau de bord d'analyses WiFi WiFi Analytics . Définissez l'intervalle de comptabilisation sur 5 minutes sur le contrôleur Aruba.

Bonnes pratiques

Pour garantir un déploiement robuste et cohérent, suivez ces recommandations conformes aux standards du secteur.

  • Ségréguer strictement le trafic : Placez toujours le trafic invité sur un VLAN dédié sans accès aux ressources de l'entreprise. C'est une exigence fondamentale pour la conformité PCI-DSS et la sécurité générale du réseau.
  • Relayer les données de comptabilisation : Ne négligez pas la comptabilisation RADIUS. Si les paquets de comptabilisation n'atteignent pas Purple, vos analyses de fréquentation et vos rapports de temps de présence seront incomplets.
  • Activer WISPr : Sur le profil de Captive Portal du contrôleur Aruba, assurez-vous que le protocole WISPr (Wireless Internet Service Provider roaming) est activé. Ce protocole permet aux systèmes d'exploitation mobiles de détecter automatiquement le Captive Portal et d'afficher l'écran de connexion de manière fluide.
  • Utiliser le consentement actif : Pour la conformité GDPR, configurez votre portail Purple pour utiliser des cases d'acceptation explicites et non pré-cochées pour les communications marketing, plutôt que de présumer du consentement [2].

Dépannage et atténuation des risques

Même avec une configuration minutieuse, des problèmes d'intégration peuvent survenir. Voici les modes de défaillance les plus courants et la manière de les résoudre.

Mauvaise configuration du Walled Garden

Si le Captive Portal ne parvient pas à se charger sur l'appareil d'un visiteur, la cause première est presque toujours liée au walled garden. Les fournisseurs de connexion sociale mettent fréquemment à jour les plages d'adresses IP de leurs CDN et leurs noms de domaine. Considérez le walled garden comme une configuration en constante évolution. Si une connexion sociale spécifique échoue, utilisez une capture de paquets pour identifier le domaine que l'appareil tente de joindre et ajoutez-le à la liste des domaines autorisés.

Erreurs de dépassement de délai RADIUS

Le délai d'attente RADIUS par défaut sur la plupart des contrôleurs Aruba est de 3 secondes. Dans une architecture proxy, la demande d'authentification doit voyager du point d'accès au contrôleur, puis à ClearPass, traverser Internet jusqu'à l'infrastructure cloud de Purple, et revenir. Sur un réseau encombré, cet aller-retour peut facilement dépasser 3 secondes, ce qui amène le contrôleur à rejeter la demande. Augmentez le délai d'attente RADIUS sur le contrôleur Aruba à au moins 10 secondes et configurez une logique de tentative.

Non-concordance de la clé secrète partagée (Shared Secret)

RADIUS s'appuie sur des clés secrètes partagées pour la sécurité. Si la clé secrète partagée entre le contrôleur Aruba et ClearPass, ou entre ClearPass et Purple, ne correspond pas exactement, l'authentification échouera silencieusement. Le visiteur ne verra aucun message d'erreur explicite. Vérifiez toujours ces clés caractère par caractère si l'authentification échoue.

Sensibilité à la casse du nom de rôle

La valeur de l'attribut VSA Aruba-User-Role renvoyée par ClearPass doit correspondre exactement au nom de rôle défini sur le contrôleur Aruba, y compris la casse. Si ClearPass renvoie guest-authenticated mais que le contrôleur attend Guest-Authenticated, le visiteur sera redirigé par défaut vers le rôle de connexion de base et n'obtiendra pas d'accès Internet.

ROI et impact commercial

Le déploiement de Purple WiFi au lieu d'un simple Captive Portal local apporte une valeur commerciale mesurable à plusieurs départements.

  • Impact marketing : En capturant des données de première main via le portail, les sites constatent une augmentation significative de leurs bases de données marketing. Par exemple, Harrods a obtenu un ROI marketing multiplié par 57 en utilisant Purple pour encourager les inscriptions à son programme de fidélité [3].
  • Efficacité opérationnelle : L'architecture proxy RADIUS réduit la charge opérationnelle de l'équipe informatique. Les équipes de sécurité conservent une interface unique dans ClearPass pour tous les événements d'accès réseau, ce qui simplifie les rapports de conformité et le dépannage.
  • Monétisation : Pour les sites des secteurs du transport ou de l'hôtellerie , Purple permet de proposer des modèles de bande passante à plusieurs niveaux. AGS Airports a généré un ROI de 842 % en mettant en œuvre un niveau WiFi premium payant parallèlement à un niveau de base gratuit [4].

En mettant en œuvre ce co-déploiement, vous transformez votre réseau invité d'un centre de coûts en un actif générateur de revenus, tout en maintenant la posture de sécurité rigoureuse requise pour l'informatique d'entreprise.

Références

[1] PCI Security Standards Council. "Payment Card Industry (PCI) Data Security Standard." [2] Information Commissioner's Office (ICO). "Guide to the General Data Protection Regulation (GDPR)." [3] Purple. "Harrods Guest WiFi Case Study." [4] Purple. "AGS Airports Guest WiFi Case Study."

Définitions clés

Proxy RADIUS

Une architecture dans laquelle un serveur intermédiaire (ClearPass) reçoit des demandes d'authentification de la part d'un équipement réseau (contrôleur Aruba) et les transmet au serveur principal approprié (Purple), permettant ainsi au proxy d'inspecter, de consigner ou de modifier le trafic.

Utilisé pour maintenir une piste d'audit de sécurité unique dans ClearPass tout en permettant à Purple de gérer l'authentification des invités.

Walled Garden

Un environnement limité qui contrôle l'accès d'un utilisateur au contenu web avant qu'il ne soit pleinement autorisé sur le réseau.

Essentiel pour les Captive Portals ; le walled garden doit autoriser l'accès aux domaines d'hébergement du portail et aux fournisseurs de connexion sociale afin que la page de connexion puisse se charger.

Attribut spécifique au fournisseur (VSA)

Champs de données personnalisés au sein du protocole RADIUS qui permettent aux fournisseurs de matériel de prendre en charge des fonctionnalités propriétaires non définies dans les RFC RADIUS standard.

ClearPass utilise le VSA "Aruba-User-Role" pour indiquer au contrôleur Aruba exactement quel rôle de pare-feu et quel VLAN attribuer à un utilisateur invité.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, qui fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un réseau LAN ou WLAN.

Le protocole principal utilisé par ClearPass pour sécuriser les appareils de l'entreprise, généralement en utilisant EAP-TLS avec des certificats.

Captive Portal

Une page web que l'utilisateur d'un réseau d'accès public est obligé de consulter et avec laquelle il doit interagir avant que l'accès ne lui soit accordé.

Purple fournit l'interface de Captive Portal pour capturer les données des visiteurs, afficher l'image de marque et recueillir le consentement marketing.

Bypass d'authentification MAC (MAB)

Une technique qui utilise l'adresse MAC d'un appareil pour l'authentifier sur le réseau lorsque l'appareil ne prend pas en charge les demandeurs 802.1X.

Utilisé par ClearPass pour profiler et authentifier les appareils IoT sans écran comme les téléviseurs intelligents ou les thermostats, en les plaçant dans un VLAN isolé.

Attribution dynamique de VLAN

Le processus consistant à attribuer automatiquement un appareil à un réseau local virtuel (VLAN) spécifique en fonction de ses identifiants d'authentification ou de son rôle, plutôt qu'en fonction du SSID auquel il s'est connecté.

Permet à une seule infrastructure réseau physique de segmenter de manière sécurisée le trafic de l'entreprise, des invités et de l'IoT.

WISPr

Itinérance de fournisseur de services Internet sans fil - un protocole qui permet aux appareils de détecter automatiquement les portails captifs.

Doit être activé sur le contrôleur Aruba pour que les appareils mobiles affichent automatiquement l'écran de connexion Purple lors de la connexion au WiFi invité.

Exemples concrets

Un hôtel de 500 chambres doit déployer un réseau WiFi d'entreprise sécurisé pour le personnel et un portail invité personnalisé avec capture de données pour les visiteurs, en utilisant les contrôleurs Aruba et ClearPass existants.

Déployez deux SSID : "Hotel_Corp" et "Hotel_Guest". Configurez "Hotel_Corp" pour l'authentification 802.1X par rapport à Active Directory via ClearPass, en attribuant le personnel au VLAN 10. Configurez "Hotel_Guest" comme un réseau ouvert redirigeant vers le Captive Portal de Purple. Configurez ClearPass en tant que proxy RADIUS pour le SSID invité, en transmettant les requêtes à Purple. Configurez ClearPass pour renvoyer l'attribut VSA "Aruba-User-Role" après une authentification réussie sur Purple, attribuant ainsi les invités à un VLAN 20 isolé.

Commentaire de l'examinateur : Cette approche isole parfaitement le trafic d'entreprise et le trafic invité, répondant ainsi aux exigences PCI-DSS. Elle tire parti de ClearPass pour sa force dans le domaine du 802.1X tout en déléguant le portail invité et l'analyse de données à Purple, évitant ainsi d'avoir recours à deux solutions NAC distinctes.

Les visiteurs se connectent au SSID invité, mais la page du Captive Portal de Purple ne parvient pas à se charger sur leurs appareils.

Vérifiez et mettez à jour la configuration du walled garden sur le contrôleur Aruba. Assurez-vous que les domaines principaux de Purple (*.purple.ai, *.cloudfront.net, *.venuewifi.com) sont explicitement autorisés. Si la connexion via les réseaux sociaux est activée, vérifiez que tous les domaines OAuth nécessaires (par exemple, *.facebook.com, *.google.com) sont également inclus dans la liste d'autorisation de pré-authentification.

Commentaire de l'examinateur : Les mauvaises configurations de walled garden sont la cause la plus fréquente des échecs de Captive Portal. Les appareils doivent pouvoir atteindre l'infrastructure d'hébergement du portail et le CDN avant d'être pleinement autorisés sur le réseau.

Questions d'entraînement

Q1. Vous avez configuré ClearPass pour relayer l'authentification des invités vers Purple. L'invité s'authentifie avec succès sur le portail Purple, mais le contrôleur Aruba le place dans le rôle 'logon' par défaut sans accès à Internet au lieu du rôle 'guest-access' prévu. Quelle est l'erreur de configuration la plus probable ?

Conseil : Vérifiez comment ClearPass communique l'attribution des rôles au contrôleur.

Voir la réponse type

La casse du nom du rôle ne correspond pas. La valeur du VSA Aruba-User-Role renvoyée par ClearPass doit correspondre exactement au nom du rôle défini sur le contrôleur Aruba. S'il y a une faute de frappe ou une différence de casse (par exemple, 'Guest-Access' au lieu de 'guest-access'), le contrôleur ne reconnaîtra pas le rôle et placera l'utilisateur dans l'état restreint par défaut.

Q2. Une chaîne de magasins souhaite déployer Purple WiFi pour l'analyse des données de fréquentation, mais son équipe de sécurité insiste pour que tous les événements d'authentification réseau soient enregistrés de manière centralisée dans son système Aruba ClearPass existant pour des raisons de conformité. Comment concevoir cette architecture ?

Conseil : Considérez le flux du trafic RADIUS entre les points d'accès, ClearPass et Purple.

Voir la réponse type

Implémentez une architecture proxy RADIUS. Configurez les contrôleurs Aruba pour envoyer toutes les requêtes RADIUS à ClearPass. Dans ClearPass, créez une politique de routage qui transfère les requêtes du SSID invité vers les serveurs cloud RADIUS de Purple. Cela garantit que Purple gère le portail invité et les analyses, tandis que ClearPass conserve une piste d'audit centralisée et complète de tous les événements d'authentification.

Q3. Après le déploiement de l'intégration, l'équipe marketing signale que le tableau de bord analytique Purple affiche zéro donnée pour le "temps de séjour" des visiteurs, même si les invités se connectent et utilisent Internet avec succès. Quelle étape de configuration a été omise ?

Conseil : Les calculs de temps de séjour nécessitent des mises à jour régulières de l'état de la session, pas seulement l'authentification initiale.

Voir la réponse type

L'accounting RADIUS n'est pas relayé vers Purple. Bien que le proxy d'authentification autorise les utilisateurs sur le réseau, Purple a besoin des paquets d'accounting RADIUS (Acct-Start, Acct-Interim-Update, Acct-Stop) pour calculer la durée de session et le temps de séjour. Vous devez vous assurer que ClearPass est configuré pour relayer les données d'accounting vers Purple, et que le contrôleur est configuré pour envoyer des mises à jour intermédiaires (par exemple, toutes les 5 minutes).

Continuer la lecture de cette série

Configuration de l'authentification RADIUS pour les réseaux WiFi invités et collaborateurs

Ce guide de référence technique présente l'architecture, la configuration et le déploiement de l'authentification RADIUS pour les réseaux WiFi d'entreprise destinés aux invités et aux collaborateurs. Il fournit aux architectes réseau et aux responsables informatiques les protocoles exacts, les normes de sécurité et les méthodologies de dépannage requis pour concevoir des systèmes de contrôle d'accès sans fil sécurisés et évolutifs.

Lire le guide →

Passpoint et OpenRoaming : Le Guide Complet

Ce guide de référence technique fournit une analyse complète des frameworks Passpoint (Hotspot 2.0) et WBA OpenRoaming au sein des réseaux WiFi d'entreprise. Il détaille les protocoles d'authentification sous-jacents, les composants architecturaux et les stratégies de déploiement nécessaires pour établir une connectivité invité sécurisée et fluide. Les architectes réseau et les responsables informatiques apprendront à concevoir, implémenter et dépanner ces normes afin d'éliminer les obstacles à la connexion manuelle tout en maintenant une sécurité de niveau entreprise.

Lire le guide →

Comment implémenter SCEP pour un BYOD sécurisé et l'enregistrement réseau dans l'enseignement supérieur

Ce guide technique propose aux architectes réseau et aux responsables informatiques un modèle neutre vis-à-vis des fournisseurs pour déployer l'enregistrement de certificats basé sur SCEP afin de sécuriser les réseaux de campus de l'enseignement supérieur. Il détaille comment migrer du PEAP basé sur mot de passe vers le 802.1X EAP-TLS, automatiser l'intégration du BYOD et appliquer une segmentation VLAN robuste.

Lire le guide →