AP NETGEAR Enterprise et WiFi invités : configuration du Captive Portal avec Purple

Bienvenue dans cette fiche technique de Purple. Nous abordons aujourd'hui un sujet qui revient constamment dans nos conversations avec les responsables informatiques et les architectes réseau des secteurs de l'hôtellerie, du commerce de détail et des sites multi-locataires : comment intégrer les points d'accès NETGEAR Insight et de la série WAX avec Purple WiFi. Si vous gérez un hôtel, un parc d'activités commerciales, un centre de conférences ou un complexe à usage mixte, cette présentation concerne directement votre prochaine décision de déploiement. Plantons le décor. La série WAX de NETGEAR - les WAX610, WAX620 et WAX630 - est composée de points d'accès WiFi 6 gérés via la plateforme cloud Insight. Ils prennent en charge jusqu'à huit SSID distincts par radio, le chiffrement WPA3 et jusqu'à six gigabits de débit sur le WAX630. Ils sont alimentés par PoE, peuvent être installés au plafond et sont gérés depuis une interface unique via l'Insight Cloud Portal. Pour un installateur informatique ou un administrateur réseau de PME, il s'agit d'une plateforme véritablement performante à un prix bien inférieur à celui de Cisco Meraki ou HPE Aruba. Purple est une solution cloud indépendante du matériel. Nous nous intégrons au-dessus de votre infrastructure existante et nous y ajoutons la couche d'expérience utilisateur invité, la couche de capture de données et la couche d'analyse. Nous avons traité 440 millions de connexions en 2024 sur 80 000 sites actifs. L'intégration avec NETGEAR Insight est simple, documentée et couvre quatre cas d'usage distincts que nous allons passer en revue aujourd'hui. Entrons maintenant dans les détails techniques. Les quatre cas d'usage sont : le WiFi invité avec un Captive Portal Purple, le WiFi sécurisé pour le personnel via 802.1X, la segmentation multi-locataires via la fonctionnalité PPSK de NETGEAR, et l'attribution dynamique de VLAN par RADIUS pour les réseaux basés sur l'identité. Premier cas d'usage : le WiFi invité avec un Captive Portal Purple. C'est le point de départ le plus courant. Vous créez un SSID invité dédié dans NETGEAR Insight et vous le configurez comme un réseau ouvert. La configuration clé se trouve dans la section Captive Portal des paramètres du SSID. Vous sélectionnez External Captive Portal et vous collez l'URL de la Splash Page fournie par Purple. Ensuite, vous configurez le type d'authentification. Pour la plupart des déploiements Purple, vous sélectionnerez l'authentification RADIUS. Purple vous fournit l'adresse IP d'un serveur RADIUS principal, le port 1812 pour l'authentification et le port 1813 pour l'analyse d'activité, ainsi qu'un secret partagé. Vous les collez dans la configuration External Captive Portal de NETGEAR Insight. Vous définissez également un NAS Identifier - un identifiant unique qui permet au serveur RADIUS d'identifier ce point d'accès ou cet emplacement spécifique. Utilisez un nom explicite, comme le nom de votre établissement et un code de localisation.Le walled garden est l'élément qui pose le plus de problèmes à la plupart des installateurs. Avant qu'un invité ne s'authentifie, son appareil doit pouvoir accéder à la splash page de Purple, aux serveurs d'authentification et aux éventuels fournisseurs de connexion sociale que vous avez activés. NETGEAR Insight dispose d'une section Walled Garden dédiée dans la configuration du Captive Portal externe où vous ajoutez ces URL. La documentation d'assistance de Purple fournit la liste exacte des domaines à inscrire sur liste blanche. Si vous vous trompez, les invités verront une page blanche au lieu de votre portail personnalisé. Une fois configuré, le flux fonctionne de la manière suivante : un invité se connecte au SSID Hotel Guest. Le point d'accès intercepte sa première requête HTTP et le redirige vers la splash page de Purple. L'invité voit votre portail personnalisé, accepte les conditions générales et, facultativement, fournit son adresse e-mail ou se connecte via les réseaux sociaux. Le serveur RADIUS de Purple renvoie un message Access-Accept au point d'accès, et l'invité se voit accorder l'accès à Internet. Purple capture les données de consentement, enregistre la session, et ces données sont transmises à votre tableau de bord d'analyse Purple. Deuxième cas d'usage : un WiFi personnel sécurisé utilisant 802.1X. C'est ici que vous abandonnez complètement les mots de passe partagés. Pour les réseaux du personnel, une clé pré-partagée est un risque - lorsqu'un employé s'en va, vous devez changer le mot de passe pour tout le monde. La norme 802.1X, définie dans le standard IEEE 802.1X, attribue à chaque utilisateur un identifiant individuel. Lorsqu'il part, vous désactivez son compte dans votre annuaire et son accès est instantanément révoqué. Dans NETGEAR Insight, vous configurez un SSID Staff distinct avec une sécurité WPA2 Enterprise. Cela indique au point d'accès d'utiliser l'authentification 802.1X plutôt qu'une clé pré-partagée. Vous configurez ensuite les paramètres du serveur RADIUS au niveau de l'emplacement réseau. Accédez aux paramètres de l'emplacement réseau, sélectionnez RADIUS, activez l'authentification d'accès 802.1X, puis saisissez l'IP de votre serveur RADIUS, le port et le secret partagé. L'intervalle de ré-authentification par défaut est de 3 600 secondes - une heure - ce qui est un point de départ raisonnable pour la plupart des sites. La méthode EAP la plus courante dans les déploiements PME est PEAP-MSCHAPv2, qui utilise un certificat côté serveur pour créer un tunnel chiffré dans lequel l'utilisateur s'authentifie avec son nom d'utilisateur et son mot de passe Active Directory. EAP-TLS est plus sécurisé - il utilise des certificats des deux côtés - mais il nécessite une infrastructure PKI et un MDM pour déployer les certificats sur les appareils. Un point critique : imposez la validation des certificats sur chaque appareil client. Configurez vos appareils Windows via les objets de stratégie de groupe et vos appareils mobiles via les profils MDM afin de valider le certificat du serveur RADIUS. Si vous ignorez cette étape, les appareils sont vulnérables aux attaques par point d'accès pirate, où un attaquant présente un faux certificat et capture les identifiants.Cas d'usage trois : NETGEAR PPSK pour les sites multi-locataires. La clé privée pré-partagée résout un problème spécifique dans les parcs d'activités commerciales, les développements mixtes et les espaces de co-working. Vous avez plusieurs locataires qui partagent la même infrastructure WiFi physique. Vous ne voulez pas diffuser des SSIDs distincts pour chaque locataire - cela crée une congestion des fréquences radio et une complexité de gestion. Mais vous ne pouvez pas non plus donner le même mot de passe à tout le monde, car le Locataire A pourrait alors voir le trafic du Locataire B. Le PPSK résout ce problème de manière élégante. Vous créez un seul SSID et vous générez plusieurs clés pré-partagées dans NETGEAR Insight sous Wireless, Settings, Advanced, Multi PSK Settings. Chaque clé est associée à un VLAN spécifique. Le Locataire A reçoit un mot de passe unique de 16 caractères qui est mappé vers le VLAN 30. Le Locataire B reçoit un mot de passe différent qui est mappé vers le VLAN 40. L'équipe de gestion du site reçoit un troisième mot de passe qui est mappé vers le VLAN 20, qui a accès aux systèmes de gestion. Lorsque les appareils du Locataire A se connectent en utilisant leur mot de passe, le point d'accès les place automatiquement sur le VLAN 30. Ils ne peuvent voir aucun trafic sur le VLAN 40 ou le VLAN 20. Du point de vue du locataire, il dispose simplement d'un mot de passe WiFi. De votre point de vue en tant qu'administrateur réseau, vous bénéficiez d'une isolation complète du trafic entre les locataires sans aucun matériel supplémentaire. Il existe deux limitations importantes à connaître. Premièrement, le PPSK dans NETGEAR Insight nécessite un chiffrement WPA2 Personal ou WPA2 Personal Mixed. Il ne fonctionne pas sur la bande 6 GHz. Deuxièmement, le PPSK ne peut pas être combiné avec un Captive Portal sur le même SSID. Si vous avez besoin des deux, vous devez configurer deux SSIDs distincts - ce qui ne pose aucun problème, car les points d'accès de la série WAX en prennent en charge jusqu'à huit. Cas d'usage quatre : attribution dynamique de VLAN via RADIUS. Il s'agit de la configuration la plus sophistiquée et de celle qui sous-tend la fonctionnalité Identity-Based Networks de Purple. Au lieu d'attribuer de manière statique un VLAN à un mot de passe ou à un SSID, vous laissez le serveur RADIUS décider quel VLAN attribuer en fonction de l'identité de l'utilisateur qui s'authentifie. Le mécanisme utilise trois attributs RADIUS standards : Tunnel-Type, qui doit être défini sur la valeur 13 pour le VLAN ; Tunnel-Medium-Type, qui doit être défini sur la valeur 6 pour IEEE 802 ; et Tunnel-Private-Group-ID, qui transporte l'ID du VLAN sous forme de chaîne de caractères. Lorsqu'un utilisateur s'authentifie avec succès, le serveur RADIUS renvoie ces trois attributs dans le message Access-Accept. Le point d'accès les lit et place le client sur le VLAN spécifié. En pratique, cela signifie que vous pouvez avoir un seul SSID WPA2 Enterprise sur lequel un directeur d'hôtel s'authentifie et se retrouve sur le VLAN 20 avec accès aux systèmes de gestion de l'établissement, un agent d'accueil s'authentifie et se retrouve sur le VLAN 21 avec accès uniquement au système d'enregistrement, et un prestataire externe s'authentifie et se retrouve sur le VLAN 50 avec un accès Internet uniquement. Tout cela à partir du même SSID, le tout appliqué automatiquement par le serveur RADIUS en fonction de l'appartenance à un groupe Active Directory.Parlons maintenant des recommandations d'implémentation et des pièges à éviter. Le premier piège est le walled garden. Tout déploiement de Captive Portal externe échoue au moins une fois à cause du walled garden. Le symptôme est le suivant : les invités se connectent au SSID mais voient une erreur de navigateur au lieu de la splash page. La solution est méthodique : ouvrez la documentation d'assistance Purple, copiez chaque domaine de la liste du walled garden et collez-les dans la section Walled Garden de NETGEAR Insight. Testez avec un appareil qui n'a pas d'identifiants en cache. Le deuxième piège est l'accessibilité RADIUS. Le point d'accès NETGEAR doit pouvoir atteindre votre serveur RADIUS. RADIUS utilise le port UDP 1812 pour l'authentification et le port UDP 1813 pour l'accounting. Ouvrez ces ports depuis l'IP d'administration du point d'accès vers l'IP du serveur RADIUS. Testez avec un outil de test RADIUS avant de passer en production. Le troisième piège est le conflit entre PPSK et Captive Portal. NETGEAR Insight n'autorise pas le PPSK et le Captive Portal sur le même SSID. Si vous avez besoin des deux, créez deux SSIDs. Nommez-les clairement - un pour les utilisateurs PPSK et un pour les invités du Captive Portal. Le quatrième piège est la validation des certificats sur les clients 802.1X. Chaque appareil Windows nécessite un objet de stratégie de groupe (GPO) qui spécifie l'autorité de certification de confiance et le nom attendu du serveur RADIUS. Chaque appareil mobile nécessite un profil MDM avec les mêmes paramètres. Sans cela, un utilisateur pourrait s'authentifier à son insu auprès d'un point d'accès malveillant et transmettre ses identifiants Active Directory. Passons maintenant à une session rapide de questions et réponses. Question une : Puis-je utiliser Purple avec NETGEAR Insight sans serveur RADIUS ? Oui, pour les déploiements de Captive Portal pour invités, vous pouvez utiliser le mode d'authentification web de Purple plutôt que RADIUS. Le point d'accès redirige vers la splash page via HTTP, et Purple gère l'authentification via une session web. Le protocole RADIUS vous offre plus de contrôle et de meilleures données d'accounting, mais il n'est pas obligatoire pour les déploiements de portails invités basiques. Question deux : Combien de clés PPSK puis-je créer dans NETGEAR Insight ? NETGEAR Insight prend en charge jusqu'à 64 clés PPSK par SSID sur les points d'accès de la série WAX. Pour la plupart des sites multi-locataires, cela est amplement suffisant. Si vous avez plus de 64 locataires, vous devez plutôt passer à une solution de VLAN dynamique basée sur RADIUS. Question trois : NETGEAR Insight prend-il en charge le WPA3 Enterprise pour le 802.1X ? Oui, les points d'accès de la série WAX prennent en charge le WPA3 Enterprise. Pour la plupart des déploiements PME, le WPA2 Enterprise est suffisant et offre une compatibilité plus large avec les appareils clients. Le WPA3 Enterprise mérite d'être envisagé pour les environnements traitant des données sensibles, comme les services de santé ou financiers.Quatrième question : que se passe-t-il si le serveur RADIUS de Purple est injoignable ? NETGEAR Insight prend en charge une option de sécurité (failsafe) dans la configuration du Captive Portal externe. Si vous activez cette sécurité, les invités bénéficient d'un accès internet pendant une courte période, même si les serveurs du Captive Portal sont injoignables. Purple maintient une disponibilité de 99,999 % sur l'ensemble de son infrastructure, mais l'activation de cette sécurité reste une bonne pratique pour tout déploiement en production. Pour résumer les points clés de ce briefing aujourd'hui. Les points d'accès de la série NETGEAR WAX s'intègrent à Purple via le mécanisme de Captive Portal externe dans NETGEAR Insight. Vous configurez l'URL de la page d'accueil, les identifiants du serveur RADIUS et les domaines du walled garden dans l'Insight Cloud Portal. Pour les réseaux du personnel, utilisez WPA2 Enterprise avec 802.1X et imposez la validation des certificats sur chaque appareil client. Pour les sites multi-locataires, la fonctionnalité PPSK de NETGEAR vous offre une isolation VLAN par locataire à partir d'un seul SSID avec jusqu'à 64 clés uniques. Pour les déploiements les plus sophistiqués, l'attribution dynamique de VLAN via les attributs RADIUS vous offre une segmentation réseau basée sur l'identité qui s'adapte à l'utilisateur qui se connecte, et pas seulement à l'endroit d'où il se connecte. Si vous planifiez un déploiement NETGEAR avec Purple, la prochaine étape consiste à demander vos identifiants RADIUS Purple et la liste des domaines du walled garden auprès de l'équipe d'assistance de Purple, et à tester la redirection du Captive Portal sur un SSID de test avant le déploiement en production. La configuration prend moins de 30 minutes une fois que vous avez ces identifiants en main. Merci d'avoir suivi ce briefing technique de Purple. Pour consulter le guide écrit complet, comprenant les détails de configuration étape par étape et des exemples concrets, rendez-vous sur purple.ai.