Voir la transcription du podcast
Bienvenue dans ce point technique sur l'intégration de HPE Aruba ClearPass avec la plateforme Purple WiFi. Je suis votre hôte, et aujourd'hui, nous plongeons au cœur de l'architecture, des stratégies de déploiement et des avantages opérationnels de la combinaison du contrôle d'accès réseau robuste de ClearPass Policy Manager avec les fonctionnalités de WiFi invité et d'analyse de pointe de Purple.
Pour les responsables informatiques, les architectes réseau et les CTO qui gèrent des sites de grande envergure - qu'il s'agisse d'une vaste chaîne de magasins, d'un stade à forte densité ou d'un campus de santé complexe - offrir un accès sans fil sécurisé, segmenté et riche en enseignements est primordial. ClearPass excelle dans l'application de politiques contextuelles et l'authentification 802.1X pour les appareils d'entreprise. Cependant, lorsqu'il s'agit de l'intégration des invités, du Captive Portal et de l'extraction d'analyses marketing exploitables à partir des données des visiteurs, Purple est le leader incontesté.
La question centrale à laquelle nous répondons aujourd'hui est la suivante : comment configurer ClearPass pour utiliser Purple comme Captive Portal, tout en conservant ClearPass pour le NAC et l'affectation dynamique de VLAN basée sur les rôles ? Entrons dans le vif du sujet.
Tout d'abord, établissons l'architecture. À haut niveau, l'intégration repose sur les protocoles RADIUS standard et les mécanismes de redirection HTTP. Vos Aruba Mobility Controllers ou Instant Access Points diffusent le SSID invité. Lorsqu'un appareil non authentifié se connecte, le contrôleur intercepte le trafic HTTP et redirige le navigateur de l'utilisateur vers le Captive Portal Purple. Cette redirection est le premier élément critique à configurer correctement.
Ensuite, l'utilisateur s'authentifie via Purple. Il peut s'agir d'une connexion sociale via Facebook ou Google, d'un formulaire personnalisé avec e-mail et mot de passe, ou même d'OpenRoaming, où Purple agit en tant que fournisseur d'identité gratuit sous la licence Connect. Une fois que Purple a validé l'utilisateur, il renvoie un message RADIUS Access-Accept via la chaîne jusqu'au contrôleur, qui accorde alors l'accès au réseau.
Mais c'est là que ClearPass devient essentiel. Plutôt que de laisser le contrôleur Aruba communiquer directement avec les serveurs RADIUS de Purple, vous insérez ClearPass en tant que proxy RADIUS au milieu. Le contrôleur envoie toutes les requêtes RADIUS à ClearPass. ClearPass évalue la requête et, si elle correspond à votre politique de routage de service invité, la transmet aux serveurs RADIUS cloud de Purple. Purple répond, et ClearPass transmet cette réponse au contrôleur, mais surtout, il peut y ajouter ses propres attributs de politique avant de le faire.
Cette architecture proxy vous offre le meilleur des deux mondes. ClearPass conserve un journal d'audit complet de chaque événement d'authentification sur votre réseau, qu'il soit d'entreprise ou invité. Vous disposez d'un panneau de contrôle unique pour vos opérations de sécurité. Et Purple gère l'expérience utilisateur et les analyses sans que vous ayez besoin de remplacer votre investissement NAC existant.
Parlons de l'affectation dynamique de VLAN, car c'est là que les choses deviennent vraiment puissantes - et là où la plupart des déploiements rencontrent des difficultés s'ils ne font pas attention.
ClearPass utilise un concept appelé Roles (Rôles) et Enforcement Profiles (Profils d'application). Lorsqu'une demande d'authentification arrive, ClearPass évalue le contexte : qui est l'utilisateur, quel appareil il utilise, quelle heure il est et depuis quel emplacement il se connecte. En fonction de ces facteurs, il attribue un rôle. Pour un invité standard, ce rôle peut être ROLE_GUEST. Pour un VIP, il peut s'agir de ROLE_VIP. Pour un sous-traitant, ROLE_CONTRACTOR.
Ce rôle est ensuite mappé à un Enforcement Profile, qui définit les attributs RADIUS spécifiques à renvoyer au contrôleur Aruba. L'attribut le plus important ici est l'attribut spécifique au fournisseur, ou VSA, Aruba-User-Role. Cela indique précisément au contrôleur dans quel rôle placer l'utilisateur sur le réseau sans fil.
Sur le contrôleur Aruba, chaque rôle est mappé à un VLAN spécifique et à un ensemble de politiques de pare-feu. Ainsi, ROLE_GUEST est mappé au VLAN 20, avec un accès uniquement à Internet et une limite de bande passante de 10 mégabits par seconde. ROLE_VIP est mappé au VLAN 40, avec une limite de 50 mégabits. ROLE_IOT est mappé au VLAN 30, un segment complètement isolé sans accès à Internet, offrant uniquement une connectivité locale pour les appareils intelligents.
Cette segmentation n'est pas seulement une bonne pratique - c'est une exigence de conformité. Selon la norme PCI-DSS, tout réseau en contact avec des données de titulaires de cartes doit être isolé des réseaux d'invités. Conformément au GDPR, vous devez être en mesure de démontrer que les données personnelles collectées via le Captive Portal pour les invités sont traitées de manière appropriée et que le trafic des invités ne peut pas traverser votre infrastructure d'entreprise.
Laissez-moi maintenant vous présenter un scénario concret : une grande chaîne hôtelière de 500 chambres réparties sur plusieurs sites. Elle dispose de contrôleurs Aruba sur chaque site, de ClearPass déployé de manière centralisée, et elle souhaite déployer Purple pour le WiFi des invités.
Le déploiement se présente comme suit. Deux SSID par site : Hotel_Corp et Hotel_Guest. Hotel_Corp utilise la norme 802.1X avec des certificats, authentifiés par rapport à Active Directory via ClearPass. Hotel_Guest est un SSID ouvert qui déclenche le Captive Portal de Purple.
Dans ClearPass, deux Services sont créés. Le premier Service correspond à Hotel_Corp et gère l'authentification 802.1X localement. Le second Service correspond à Hotel_Guest et utilise une politique de routage RADIUS pour relayer les requêtes vers Purple. L'Enforcement Policy du second Service renvoie l'Aruba-User-Role de guest-authenticated, qui est mappé au VLAN 20 sur le contrôleur.
Pour les appareils IoT - téléviseurs intelligents, thermostats, serrures de porte - ils utilisent un troisième SSID, Hotel_IoT, avec une authentification basée sur les adresses MAC. ClearPass profile l'appareil à l'aide de son OUI et attribue le rôle ROLE_IOT, le plaçant ainsi dans le VLAN 30.
Le résultat ? Le personnel bénéficie d'un accès complet à l'entreprise. Les invités profitent d'une expérience de Captive Portal personnalisée aux couleurs de la marque avec connexion par les réseaux sociaux et options d'inscription marketing. Les appareils IoT sont isolés. Et l'équipe informatique dispose d'une visibilité complète sur les trois types d'utilisateurs dans l'Access Tracker de ClearPass.
Parlons maintenant des pièges, car il y en a plusieurs qui vous guettent si vous n'êtes pas préparé.
Numéro un : le walled garden (espace sécurisé). C'est la cause la plus fréquente d'échec du Captive Portal. Avant qu'un appareil ne soit authentifié, le contrôleur Aruba autorise uniquement le trafic vers une liste prédéfinie de destinations - le walled garden. Si l'URL du portail de Purple, ses points de terminaison API backend et les domaines des fournisseurs de connexion sociale ne figurent pas dans cette liste, le portail ne se chargera tout simplement pas. Vous devez maintenir cette liste de manière proactive. Les fournisseurs de connexion sociale comme Facebook et Google modifient régulièrement leurs plages IP et leurs domaines CDN. Traitez le walled garden comme une configuration évolutive.
Numéro deux : les expirations de délai RADIUS. Le délai d'attente RADIUS par défaut sur la plupart des contrôleurs Aruba est de trois secondes. Dans une architecture proxy, la requête voyage de l'AP au contrôleur, vers ClearPass, traverse Internet jusqu'au RADIUS cloud de Purple, puis revient. Sur un réseau encombré, cet aller-retour peut facilement dépasser trois secondes. Augmentez votre délai d'attente à au soit dix secondes et configurez une logique de tentative.
Numéro trois : les erreurs de correspondance de secret partagé. Cela provoque des échecs silencieux particulièrement difficiles à diagnostiquer. Le secret partagé entre le contrôleur Aruba et ClearPass doit correspondre exactement. Le secret partagé entre ClearPass et les serveurs RADIUS de Purple doit également correspondre exactement. Une différence d'un seul caractère entraînera l'échec de l'authentification sans aucun message d'erreur explicite pour l'utilisateur final. Double-vérifiez toujours ces éléments.
Numéro quatre : la sensibilité à la casse des noms de rôles. Le VSA Aruba-User-Role renvoyé par ClearPass doit correspondre exactement - y compris les majuscules - au nom de rôle défini sur le contrôleur Aruba. Si ClearPass renvoie guest-authenticated mais que le contrôleur a Guest-Authenticated de défini, l'utilisateur reviendra au rôle par défaut, qui est généralement le rôle de connexion sans accès Internet.
Numéro cinq : la comptabilité RADIUS. De nombreux déploiements configurent correctement le proxy d'authentification mais oublient de proxifier également la comptabilité. Purple utilise les données de comptabilité RADIUS pour suivre la durée de la session, l'utilisation des données et pour alimenter ses tableaux de bord d'analyse. Si la comptabilité ne remonte pas vers Purple, vos analyses seront incomplètes.
Passons à la section des questions rapides.
Puis-je utiliser un seul SSID pour les employés et les invités ? Oui, c'est possible. Configurez ClearPass pour gérer à la fois le 802.1X et le MAC-Auth sur le même SSID. Utilisez des règles de service pour différencier le type de trafic et acheminer en conséquence. C'est plus complexe à gérer mais cela limite la prolifération des SSID.
Est-ce que Purple prend en charge le Change of Authorisation ? Oui. Le CoA permet au contrôleur de mettre à jour dynamiquement la session d'un utilisateur sans l'obliger à se reconnecter. C'est utile pour les accès limités dans le temps ou les mises à niveau de forfait.
Puis-je utiliser cette intégration avec Aruba Instant plutôt qu'avec un Mobility Controller complet ? Oui, Aruba Instant prend en charge les serveurs RADIUS externes et la redirection vers un Captive Portal. La configuration est légèrement différente mais les principes sont identiques.
Cette intégration fonctionne-t-elle avec WPA3 ? Oui. WPA3-SAE pour les réseaux personnels et WPA3-Enterprise pour 802.1X sont tous deux pris en charge. Pour les réseaux invités utilisant des portails captifs, WPA3-SAE ou un SSID ouvert avec Opportunistic Wireless Encryption sont les choix typiques.
Pour résumer le briefing d'aujourd'hui. L'intégration entre ClearPass et Purple repose sur une architecture de proxy RADIUS. ClearPass reste votre point de décision central pour toutes les politiques d'accès au réseau. Purple gère l'expérience orientée invité et les analyses. Le contrôleur Aruba applique les politiques qui en découlent via l'attribution dynamique de VLAN. Les trois éléments de configuration les plus critiques sont le walled garden, les délais d'attente RADIUS et la cohérence des noms de rôles. En configurant correctement ces éléments, vous obtiendrez un déploiement WiFi invité robuste, conforme et commercialement précieux.
Merci de votre attention. Si vous souhaitez approfondir le sujet, visitez purple.ai pour vous entretenir avec un architecte de solutions au sujet de votre déploiement spécifique.
