AP Alta Labs e WiFi ospiti: configurazione del captive portal con Purple

PODCAST SCRIPT: Integrazione di Alta Labs con Purple WiFi: Setup e configurazione del Captive Portal Purple WiFi Intelligence Platform - Technical Briefing Series Durata: circa 10 minuti Voce: inglese britannico, tono da consulente senior - fiducioso, colloquiale, autorevole --- [INTRO - 1 MINUTO] Benvenuti alla Purple Technical Briefing Series. Sono il vostro ospite e oggi analizzeremo nel dettaglio l'integrazione tra gli access point Alta Labs e la piattaforma di intelligence Purple WiFi. Se siete IT manager, network architect o responsabili delle operazioni di una struttura e desiderate distribuire una soluzione di guest WiFi robusta e scalabile, questo briefing fa al caso vostro. Tratteremo la configurazione specifica per gli AP Alta Labs AP6 e AP6 Pro, come configurare il reindirizzamento del captive portal esterno e le impostazioni cruciali del walled garden necessarie per far funzionare concretamente i social login nel mondo reale. Approfondiremo anche AltaPass - l'implementazione delle Private Pre-Shared Keys, o PPSK, di Alta Labs - e come utilizzarla per segmentare gli ambienti multi-tenant senza compromettere le prestazioni RF con un eccesso di SSID. Iniziamo. --- [APPROFONDIMENTO TECNICO - 5 MINUTI] L'integrazione tra Alta Labs e Purple si basa su due concetti di rete fondamentali: il reindirizzamento HTTP per il captive portal e RADIUS per l'autenticazione e il tracciamento. Quando un ospite entra nella vostra struttura - ad esempio, un negozio al dettaglio o la hall di un hotel - e si connette alla vostra rete guest aperta o WPA3-OWE, l'AP Alta Labs funge da guardiano. Intercetta le richieste HTTP iniziali del client e le reindirizza alla vostra splash page personalizzata di Purple. Per configurare questo aspetto nella piattaforma Alta Labs Cloud Management, andate nelle impostazioni WiFi, selezionate il vostro SSID guest e, sotto la voce Impostazioni Avanzate, impostate il tipo di rete su Guest. Questo passaggio è fondamentale perché applica automaticamente l'isolamento dei client, impedendo ai dispositivi di comunicare lateralmente all'interno della rete. Successivamente, nella sezione Hotspot, selezionate Esterno e inserite l'URL di reindirizzamento Purple fornito nelle impostazioni della vostra struttura, insieme al vostro Secret di Autorizzazione. Ma è qui che la maggior parte delle implementazioni incontra un ostacolo: il walled garden. Il walled garden è l'elenco di domini e indirizzi IP a cui un dispositivo è autorizzato ad accedere prima di essere autenticato. Se volete che gli ospiti accedano tramite Google, Facebook o Apple, i loro dispositivi devono poter raggiungere i relativi server OAuth mentre si trovano ancora nello stato pre-autenticato. Dovete inserire esplicitamente nella whitelist i domini dell'infrastruttura Purple - come region1.purpleportal.net e cloudfront.net. Successivamente, è necessario aggiungere i probe di rilevamento del captive portal dei vari sistemi operativi: captive.apple.com per iOS e connectivitycheck.gstatic.com per Android. Se bloccate questi indirizzi, lo smartphone non saprà di trovarsi dietro un captive portal e la splash page non apparirà mai. Infine, aggiungi i domini di accesso social. Per Google, questi sono accounts.google.com, oauth2.googleapis.com e gstatic.com. Per Facebook, sono facebook.com, graph.facebook.com e i domini fbcdn.net. Una whitelist di IP statici non funzionerà in questo caso perché questi provider utilizzano reti di distribuzione dei contenuti dinamiche. È necessario utilizzare i nomi di dominio e assicurarsi che il controller esegua la risoluzione DNS dinamica. Una volta che l'utente completa l'accesso sulla splash page di Purple, il server RADIUS di Purple invia un messaggio di Access-Accept all'AP di Alta Labs. L'AP rimuove quindi la restrizione del walled garden e concede al dispositivo l'accesso completo a Internet. Si tratta di un flusso pulito e sicuro che acquisisce dati di prima parte mantenendo l'integrità della rete. Ora parliamo della segmentazione multi-tenant. In ambienti come uffici intelligenti, alloggi per studenti o unità abitative plurifamiliari, è spesso necessario fornire reti sicure e isolate per diversi gruppi. In passato, i team IT trasmettevano un SSID separato per ogni tenant. Questa è una pratica pessima. Causa un enorme sovraccarico di gestione e distrugge le prestazioni wireless a causa del sovraccarico dei beacon frame. Alta Labs risolve questo problema con AltaPass, la loro versione di chiavi pre-condivise private (PPSK). Con AltaPass, trasmetti un solo SSID - chiamiamolo BuildingWiFi. Ma generi password uniche per diversi utenti o dispositivi. Quando il Tenant A inserisce la sua password specifica, l'AP lo assegna dinamicamente alla VLAN 101 con un limite di larghezza di banda di 100 Megabit. Quando il team di gestione inserisce la propria password sullo stesso SSID, viene inserito nella VLAN 200 con larghezza di banda illimitata. È anche possibile creare una password per i dispositivi IoT, come i termostati intelligenti, che li assegna a una VLAN isolata e bypassa completamente il Captive Portal. Un unico SSID. Password illimitate. Isolamento completo. Questa è la rete basata sull'identità all'edge, ed è una soluzione davvero elegante a un problema che affligge le distribuzioni multi-tenant da anni. Lascia che ti fornisca un esempio concreto di come funziona in pratica. Considera un complesso residenziale di 72 unità - un tipo di distribuzione reale per cui Alta Labs è stato ampiamente utilizzato. Invece di trasmettere 72 SSID separati, l'amministratore di rete crea un singolo SSID e genera una password univoca per ogni unità. Ogni password è mappata su una VLAN e una sottorete dedicate. I residenti del livello base ottengono 100 Megabit. I residenti che hanno pagato per il livello premium ottengono 300 Megabit. Il team di gestione dell'edificio ottiene l'accesso illimitato. Il sistema di automazione dell'edificio - serrature delle porte, HVAC, ascensori - ottiene la propria VLAN isolata con ispezione profonda dei pacchetti abilitata. Tutto da un unico SSID. L'ambiente RF è più pulito, le prestazioni sono più elevate e la gestione è nettamente più semplice. Ora passiamo alla configurazione 802.1X per il WiFi protetto del personale.Per la rete del personale, non dovresti utilizzare affatto una chiave precondivisa. Dovresti utilizzare WPA2 o WPA3 Enterprise con autenticazione 802.1X. Nella piattaforma Alta Labs, puoi configurarlo selezionando il tuo SSID del personale, impostando la modalità di sicurezza su WPA2-Enterprise o WPA3-Enterprise e indirizzando l'access point al tuo server RADIUS. Se ti stai integrando con il prodotto SecurePass di Purple, Purple funge da intermediario RADIUS, connettendosi al tuo provider di identità - che si tratti di Microsoft Entra ID, Okta o Google Workspace - e restituendo l'assegnazione VLAN appropriata nel messaggio Access-Accept. L'access point Alta Labs legge l'attributo Tunnel-Private-Group-Id dalla risposta RADIUS e inserisce automaticamente il dispositivo nella VLAN corretta. Una nota importante sull'assegnazione dinamica della VLAN con Alta Labs: quando configuri le VLAN assegnate via RADIUS, imposta la VLAN predefinita sull'SSID su VLAN 1 o lasciala non taggata. Esiste un comportamento noto per cui, se la VLAN predefinita è impostata su un valore specifico, l'access point potrebbe ignorare la VLAN assegnata via RADIUS con quella predefinita configurata. Impostare il valore predefinito su VLAN 1 garantisce che l'assegnazione RADIUS abbia la precedenza. --- [RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE DA EVITARE - 2 MINUTI] Quando distribuisci questa soluzione, ci sono alcune raccomandazioni chiave che desidero evidenziare. In primo luogo, testa sempre il flusso del tuo Captive Portal con un dispositivo nuovo. Non utilizzare il tuo telefono se ti sei già connesso alla rete durante i test. Il tuo dispositivo ricorda l'autorizzazione dell'indirizzo MAC o ha memorizzato in cache le voci DNS, il che maschererà eventuali guasti del walled garden. Prendi un tablet che non si è mai connesso alla rete, connettilo e verifica che l'assistente del Captive Portal del sistema operativo si avvii automaticamente. In secondo luogo, fai attenzione all'inserimento eccessivo in whitelist. Vedo spesso tecnici che si innervosiscono per gli errori di social login e si limitano a inserire in whitelist interi domini wildcard o enormi blocchi IP. Questo crea una vulnerabilità di sicurezza in cui gli utenti esperti possono aggirare completamente il tuo Captive Portal. Attieniti ai domini specifici richiesti per il flusso OAuth. In terzo luogo, quando distribuisci AltaPass PPSK con VLAN dinamiche, assicurati che l'intera infrastruttura di switching sia configurata correttamente. Le porte dello switch che si collegano ai tuoi access point Alta Labs devono essere configurate come trunk, consentendo a tutte le VLAN taggate di passare al gateway. Se l'access point tagga il traffico per la VLAN 101, ma la porta dello switch è impostata in modalità access sulla VLAN 1, il traffico viene interrotto e il client non riceve alcun indirizzo IP. In quarto luogo, implementa una revisione trimestrale della configurazione del tuo walled garden. I provider OAuth e le reti di distribuzione dei contenuti modificano le strutture dei propri domini. Apple ha aggiornato i suoi domini di accesso due volte nel 2023. Un walled garden corretto al momento della distribuzione perderà l'allineamento senza una manutenzione attiva. --- [DOMANDE E RISPOSTE RAPIDE - 1 MINUTO] Esaminiamo un paio di domande rapide che riceviamo spesso dal campo. Domanda uno: posso utilizzare WPA3 con il Captive Portal di Purple su hardware Alta Labs? Sì. È consigliabile utilizzare WPA3-OWE, ovvero Opportunistic Wireless Encryption. Questa tecnologia crittografa i dati via etere, proteggendo la privacy degli ospiti, pur funzionando come una rete aperta che attiva il reindirizzamento al Captive Portal. È la scelta giusta per qualsiasi nuova implementazione di WiFi per ospiti nel 2026. Seconda domanda: Quali porte devo aprire sul mio firewall per il traffico RADIUS? I server RADIUS di Purple comunicano sulla porta UDP 1812 per l'autenticazione e sulla porta UDP 1813 per l'accounting. Assicurati che il tuo firewall perimetrale consenta il traffico in uscita su queste porte dagli AP Alta Labs verso l'infrastruttura Purple. Terza domanda: Posso utilizzare AltaPass PPSK insieme al Captive Portal di Purple sullo stesso SSID? Sì, e questa è in realtà una configurazione molto utile. È possibile creare una password AltaPass che aggiri il Captive Portal per i dispositivi noti - come i terminali del punto vendita o la segnaletica digitale - mentre le connessioni standard allo stesso SSID passano comunque attraverso la splash page di Purple. Questo ti offre un unico SSID pulito che gestisce sia i dispositivi autenticati che gli utenti ospiti. --- [RIASSUNTO E PROSSIMI PASSI - 1 MINUTO] Per riassumere: L'integrazione di Alta Labs con Purple WiFi ti offre una piattaforma sicura e scalabile per acquisire dati di prima parte e offrire un'esperienza ospite personalizzata con il tuo brand. Ricorda i tre pilastri per un'implementazione di successo. Innanzitutto, configura accuratamente il reindirizzamento dell'hotspot esterno e le impostazioni RADIUS nella piattaforma Alta Labs Cloud Management. In secondo luogo, definisci meticolosamente i domini del tuo walled garden per garantire che i probe del sistema operativo e i login social funzionino correttamente. E in terzo luogo, sfrutta AltaPass PPSK per implementare l'Identity-Based Networking, segmentando il traffico senza inquinare lo spazio aereo con SSID non necessari. Purple opera in 80.000 sedi live e ha elaborato 440 milioni di accessi nel 2024. La piattaforma è certificata ISO 27001, conforme al GDPR e progettata per scalare da un singolo boutique hotel a una catena di vendita al dettaglio nazionale. Se abbini questo alle prestazioni e alla flessibilità dell'hardware Alta Labs, ottieni uno stack WiFi aziendale davvero straordinario. Se segui questa guida, offrirai un'esperienza WiFi fluida e conforme di cui sia il tuo team di marketing che il tuo team di sicurezza saranno entusiasti. Grazie per aver ascoltato la serie Purple Technical Briefing. Alla prossima, continua a mantenere le tue reti sicure e i tuoi dati utilizzabili.