Aruba ClearPass vs. Purple WiFi: Confronto delle Funzionalità e Co-implementazione
Una guida tecnica completa che dettaglia l'architettura di co-implementazione di Aruba ClearPass e Purple WiFi. Copre la configurazione del RADIUS proxy, l'assegnazione dinamica della VLAN e le migliori pratiche per fornire reti guest sicure e basate sull'analisi dei dati insieme al NAC aziendale.
Ascolta questa guida
Visualizza trascrizione del podcast
- Sintesi Esecutiva
- Approfondimento Tecnico
- Architettura Centrale
- Flusso del Proxy RADIUS
- Assegnazione VLAN Dinamica Basata sui Ruoli
- Guida all'Implementazione
- Passaggio 1: Configurare i Server RADIUS di Purple in ClearPass
- Passaggio 2: Creare una RADIUS Routing Policy
- Passaggio 3: Definire il Servizio Ospiti
- Passaggio 4: Configurare il Walled Garden sul Controller
- Passaggio 5: Configurare RADIUS Accounting
- Best Practice
- Risoluzione dei Problemi e Mitigazione dei Rischi
- Errata Configurazione del Walled Garden
- Errori di Timeout RADIUS
- Mancata corrispondenza del Shared Secret
- Distinzione tra maiuscole e minuscole nei nomi dei ruoli
- ROI e impatto aziendale
- Riferimenti

Sintesi Esecutiva
Per gli ambienti aziendali fortemente orientati verso l'infrastruttura HPE Aruba, la gestione di policy complesse di accesso alla rete, unita all'erogazione di un'esperienza WiFi per gli ospiti fluida e ricca di dati, rappresenta una sfida architetturale significativa. Se da un lato Aruba ClearPass Policy Manager eccelle nel controllo dell'accesso alla rete (NAC) e nella sicurezza 802.1X per i dispositivi aziendali, dall'altro il suo Captive Portal integrato spesso manca delle funzioni avanzate di marketing automation e analytics richieste dalle moderne strutture. Questa guida illustra in dettaglio come integrare Purple WiFi con ClearPass, consentendo a ciascuna piattaforma di concentrarsi sui propri punti di forza.
Configurando ClearPass come proxy RADIUS, si mantiene un registro di audit di sicurezza unificato e l'assegnazione dinamica delle VLAN per i dispositivi aziendali e IoT, delegando a Purple l'esperienza di onboarding degli ospiti. Questo approccio consente l'acquisizione di dati di prima parte in conformità con il GDPR, analisi dettagliate sulle presenze e integrazioni con oltre 400 connettori di marketing - il tutto senza sostituire l'investimento esistente nel NAC Aruba. Questo documento fornisce il progetto tecnico per questa co-implementazione, coprendo l'architettura, i flussi di lavoro di configurazione e le best practice.
Approfondimento Tecnico
L'integrazione di Aruba ClearPass e Purple WiFi si basa su protocolli RADIUS standard e meccanismi di reindirizzamento HTTP, strutturati attorno a un'architettura proxy RADIUS. Questo design garantisce che ClearPass rimanga il punto centrale di decisione delle policy per tutti gli accessi alla rete, mentre Purple gestisce il Captive Portal rivolto agli ospiti e la raccolta dei dati.
Architettura Centrale
In una tipica co-implementazione, i controller di mobilità Aruba o gli access point Aruba Instant trasmettono più SSID. Un modello di progettazione tipico, come dettagliato in Three SSIDs to rule them all: the WiFi design for guest, staff and IoT , utilizza tre reti dedicate:
- SSID Aziendale: Utilizza 802.1X con EAP-TLS. I dispositivi si autenticano utilizzando i certificati distribuiti tramite ClearPass Onboard. ClearPass valuta lo stato di conformità del dispositivo, interroga Microsoft Entra ID o Active Directory e assegna il dispositivo alla VLAN aziendale (ad esempio, VLAN 10). Purple non è coinvolto in questo flusso.
- SSID IoT: Utilizza il MAC Authentication Bypass (MAB). ClearPass profila il dispositivo utilizzando il suo identificativo OUI (Organisationally Unique Identifier) e lo assegna a una VLAN IoT isolata (ad esempio, VLAN 30) senza accesso a Internet.
- SSID Ospiti: Una rete aperta o con cifratura OWE (Opportunistic Wireless Encryption) che attiva il Captive Portal di Purple.

Flusso del Proxy RADIUS
Quando un visitatore si connette al SSID ospite e apre un browser, il controller Aruba intercetta il traffico HTTP e reindirizza la sessione all'URL del Captive Portal di Purple. Il visitatore si autentica tramite Purple utilizzando il social login, moduli personalizzati o OpenRoaming (dove Purple funge da identity provider gratuito nell'ambito del piano Connect).
Una volta che Purple ha convalidato il visitatore, invia un messaggio di RADIUS Access-Accept. Tuttavia, invece di far contattare direttamente i server RADIUS cloud di Purple dal controller Aruba, ClearPass viene integrato come proxy RADIUS:
- Il controller Aruba invia tutte le richieste RADIUS a ClearPass.
- ClearPass valuta la richiesta in base alle sue Service Rules. Se la richiesta corrisponde al SSID ospite (identificato da
Called-Station-Ido dall'identificatore NAS), la RADIUS Routing Policy inoltra la richiesta ai server RADIUS di Purple. - Purple risponde con un messaggio di Access-Accept.
- ClearPass riceve questa risposta e applica la propria Enforcement Policy, aggiungendo specifici Vendor-Specific Attributes (VSA) prima di inoltrare la risposta finale al controller.
Assegnazione VLAN Dinamica Basata sui Ruoli
Il VSA chiave in questa architettura è Aruba-User-Role. Quando ClearPass inoltra il messaggio di Access-Accept al controller, include questo attributo per definire esattamente quale ruolo deve assumere il visitatore sulla rete WiFi.
Ad esempio, ClearPass può restituire Aruba-User-Role = guest-authenticated. Sul controller Aruba, questo ruolo è mappato sulla VLAN 20, configurata con policy di firewall che consentono l'accesso a Internet ma bloccano il routing verso le sottoreti aziendali interne. Questa segmentazione è essenziale per la conformità a standard come PCI-DSS [1].

Guida all'Implementazione
La distribuzione di questa architettura richiede una configurazione precisa sia sull'infrastruttura Aruba che su ClearPass. Segui questi passaggi indipendenti dal fornitore per stabilire l'integrazione.
Passaggio 1: Configurare i Server RADIUS di Purple in ClearPass
Accedi a Configuration > Network > Devices in ClearPass e aggiungi i server RADIUS primario e secondario di Purple come dispositivi di rete. Avrai bisogno degli indirizzi IP e della shared secret forniti nella dashboard di configurazione della location di Purple.
Passaggio 2: Creare una RADIUS Routing Policy
Crea una nuova RADIUS Routing Policy in ClearPass. Questa policy determinerà a quali condizioni le richieste verranno inoltrate tramite proxy a Purple. Imposta le destinazioni primaria e di backup sui server RADIUS di Purple configurati al Passaggio 1.
Passaggio 3: Definire il Servizio Ospiti
Crea un nuovo Servizio in ClearPass per l'autenticazione degli ospiti.
- Tipo: RADIUS Enforcement (Generic)
- Service Rules: Associa il parametro
Radius:IETF:Called-Station-Idcontenente il nome del tuo SSID per ospiti. - Routing Policy: Seleziona la policy creata al Passaggio 2.
- Enforcement Policy: Configura una policy per restituire il VSA
Aruba-User-Rolecon il valore corrispondente al tuo ruolo ospite sull'Aruba Controller.
Passaggio 4: Configurare il Walled Garden sul Controller
Il walled garden è un elenco di domini a cui un dispositivo può accedere prima dell'autenticazione. Questo viene configurato sull'Aruba Controller (o tramite le regole di accesso in ArubaOS 10). Devi includere i domini principali di Purple:
*.purple.ai*.cloudfront.net*.venuewifi.com
Se stai abilitando i login social, devi aggiungere anche i domini OAuth per ciascun provider (es. *.facebook.com, *.google.com, *.microsoftonline.com).
Passaggio 5: Configurare RADIUS Accounting
Assicurati che anche l'accounting RADIUS venga inviato tramite proxy tramite ClearPass a Purple. Purple utilizza i dati di accounting (Acct-Start, Acct-Interim-Update, Acct-Stop) per monitorare la durata delle sessioni e popolare la sua dashboard di WiFi Analytics . Imposta l'intervallo di accounting a 5 minuti sull'Aruba Controller.
Best Practice
Per garantire un'implementazione robusta e coerente, segui queste raccomandazioni standard del settore.
- Segrega Rigorosamente il Traffico: Posiziona sempre il traffico ospiti su una VLAN dedicata senza percorsi verso le risorse aziendali. Questo è un requisito fondamentale per la conformità PCI-DSS e la sicurezza generale della rete.
- Invia i Dati di Accounting tramite Proxy: Non trascurare l'accounting RADIUS. Se i pacchetti di accounting non raggiungono Purple, le tue analisi delle presenze e i report sul tempo di permanenza saranno incompleti.
- Abilita WISPr: Nel profilo del captive portal dell'Aruba Controller, assicurati che WISPr (Wireless Internet Service Provider roaming) sia abilitato. Questo protocollo consente ai sistemi operativi mobili di rilevare automaticamente il captive portal e visualizzare la schermata di login in modo fluido.
- Utilizza l'Opt-In a Scelta Attiva: Per la conformità GDPR, configura il tuo portale Purple in modo da utilizzare caselle di controllo di opt-in esplicite per le comunicazioni di marketing, anziché caselle preselezionate o consenso presunto [2].
Risoluzione dei Problemi e Mitigazione dei Rischi
Anche con una configurazione accurata, le integrazioni possono fallire. Ecco i problemi più comuni e come risolverli.
Errata Configurazione del Walled Garden
Se il captive portal non si carica sul dispositivo di un visitatore, la causa principale è quasi sempre il walled garden. I provider di social login aggiornano frequentemente i loro intervalli IP CDN e i nomi di dominio. Gestisci il walled garden come una configurazione in continua evoluzione. Se un social login specifico non funziona, utilizza un'acquisizione di pacchetti per identificare quale dominio il dispositivo sta tentando di raggiungere e aggiungilo all'elenco dei consentiti.
Errori di Timeout RADIUS
Il timeout RADIUS predefinito sulla maggior parte dei controller Aruba è di 3 secondi. In un'architettura proxy, la richiesta di autenticazione deve viaggiare dall'AP al controller, a ClearPass, attraverso Internet fino all'infrastruttura cloud di Purple e viceversa. Su una rete congestionata, questo viaggio di andata e ritorno può facilmente superare i 3 secondi, causando l'interruzione della richiesta da parte del controller. Aumenta il timeout RADIUS sul controller Aruba ad almeno 10 secondi e configura la logica di ripetizione dei tentativi.
Mancata corrispondenza del Shared Secret
RADIUS si affida a shared secret per la sicurezza. Se lo shared secret tra il controller Aruba e ClearPass, o tra ClearPass e Purple, non corrisponde esattamente, l'autenticazione fallirà in modo silenzioso. Al visitatore non verrà mostrato alcun messaggio di errore significativo. Verifica sempre questi segreti carattere per carattere se l'autenticazione non va a buon fine.
Distinzione tra maiuscole e minuscole nei nomi dei ruoli
Il valore del VSA Aruba-User-Role restituito da ClearPass deve corrispondere esattamente al nome del ruolo definito sul controller Aruba, inclusa la distinzione tra maiuscole e minuscole. Se ClearPass restituisce guest-authenticated ma il controller si aspetta Guest-Authenticated, il visitatore tornerà al ruolo di accesso predefinito e non otterrà l'accesso a Internet.
ROI e impatto aziendale
L'implementazione di Purple WiFi al posto di un Captive Portal locale di base offre un valore aziendale misurabile in più reparti.
- Impatto sul marketing: Catturando dati di prima parte tramite il portale, le sedi registrano un aumento significativo dei propri database di marketing. Ad esempio, Harrods ha ottenuto un ROI di marketing pari a 57 volte utilizzando Purple per incrementare le iscrizioni al programma fedeltà [3].
- Efficienza operativa: L'architettura proxy RADIUS riduce il carico operativo per l'IT. I team di sicurezza mantengono un'unica console in ClearPass per tutti gli eventi di accesso alla rete, semplificando i report di conformità e la risoluzione dei problemi.
- Monetizzazione: Per le strutture nei settori del trasporto o dell' ospitalità , Purple consente modelli di larghezza di banda a più livelli. AGS Airports ha generato un ROI dell'842% implementando un livello WiFi premium a pagamento affiancato a un livello base gratuito [4].
Implementando questa co-implementazione, trasformerai la tua rete ospiti da un centro di costo a una risorsa in grado di generare ricavi, mantenendo al contempo il rigoroso livello di sicurezza richiesto dall'IT aziendale.
Riferimenti
[1] PCI Security Standards Council. "Payment Card Industry (PCI) Data Security Standard." [2] Information Commissioner's Office (ICO). "Guide to the General Data Protection Regulation (GDPR)." [3] Purple. "Caso di studio Harrods Guest WiFi." [4] Purple. "Caso di studio AGS Airports Guest WiFi."
Definizioni chiave
RADIUS Proxy
Un'architettura in cui un server intermedio (ClearPass) riceve le richieste di autenticazione da un dispositivo di rete (controller Aruba) e le inoltra al server backend appropriato (Purple), consentendo al proxy di ispezionare, registrare o modificare il traffico.
Utilizzato per mantenere un unico registro di controllo della sicurezza in ClearPass consentendo al contempo a Purple di gestire l'autenticazione degli ospiti.
Walled Garden
Un ambiente limitato che controlla l'accesso di un utente ai contenuti web prima che si sia completamente autorizzato sulla rete.
Essenziale per i Captive Portal; il walled garden deve consentire l'accesso ai domini di hosting del portale e ai provider di login social in modo che la pagina di accesso possa caricarsi.
Vendor-Specific Attribute (VSA)
Campi dati personalizzati all'interno del protocollo RADIUS che consentono ai fornitori di hardware di supportare funzionalità proprietarie non definite negli RFC RADIUS standard.
ClearPass utilizza la VSA "Aruba-User-Role" per indicare al controller Aruba esattamente quale ruolo del firewall e quale VLAN assegnare a un utente guest.
802.1X
Uno standard IEEE per il controllo dell'accesso alla rete basato su porta che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN.
Il protocollo principale utilizzato da ClearPass per proteggere i dispositivi aziendali, in genere utilizzando EAP-TLS con certificati.
Captive Portal
Una pagina web che l'utente di una rete ad accesso pubblico è obbligato a visualizzare e con cui deve interagire prima che venga concesso l'accesso.
Purple fornisce l'interfaccia del Captive Portal per acquisire i dati dei visitatori, mostrare il branding e raccogliere il consenso al marketing.
MAC Authentication Bypass (MAB)
Una tecnica che utilizza l'indirizzo MAC di un dispositivo per autenticarlo sulla rete quando il dispositivo non supporta i supplicant 802.1X.
Utilizzato da ClearPass per profilare e autenticare dispositivi IoT headless come smart TV o termostati, inserendoli in una VLAN isolata.
Dynamic VLAN Assignment
Il processo di assegnazione automatica di un dispositivo a una specifica rete locale virtuale (VLAN) in base alle sue credenziali di autenticazione o al suo ruolo, anziché all'SSID a cui si è connesso.
Consente a una singola infrastruttura di rete fisica di segmentare in modo sicuro il traffico aziendale, guest e IoT.
WISPr
Wireless Internet Service Provider roaming; un protocollo che consente ai dispositivi di rilevare automaticamente i Captive Portal.
Deve essere abilitato sul controller Aruba affinché i dispositivi mobili mostrino automaticamente la schermata di login di Purple all'accesso alla rete WiFi ospiti.
Esempi pratici
Un hotel da 500 camere deve implementare una rete WiFi aziendale sicura per il personale e un portale guest brandizzato con acquisizione dati per i visitatori, utilizzando i controller Aruba e ClearPass esistenti.
Implementare due SSID: "Hotel_Corp" e "Hotel_Guest". Configurare "Hotel_Corp" per l'autenticazione 802.1X tramite Active Directory via ClearPass, assegnando il personale alla VLAN 10. Configurare "Hotel_Guest" come rete aperta che reindirizza al Captive Portal di Purple. Configurare ClearPass come RADIUS proxy per l'SSID guest, inoltrando le richieste a Purple. Configurare ClearPass per restituire la VSA "Aruba-User-Role" in seguito alla corretta autenticazione su Purple, assegnando gli ospiti a una VLAN 20 isolata.
I visitatori si connettono all'SSID guest, ma la pagina del Captive Portal di Purple non si carica sui loro dispositivi.
Verificare e aggiornare la configurazione del walled garden sul controller Aruba. Assicurarsi che i domini principali di Purple (*.purple.ai, *.cloudfront.net, *.venuewifi.com) siano esplicitamente consentiti. Se l'accesso tramite social network è abilitato, verificare che tutti i domini OAuth necessari (ad es. *.facebook.com, *.google.com) siano inclusi nella whitelist di pre-autenticazione.
Domande di esercitazione
Q1. Hai configurato ClearPass per fare da proxy per l'autenticazione degli ospiti su Purple. L'utente ospite si autentica correttamente sul portale Purple, ma il controller Aruba lo inserisce nel ruolo predefinito 'logon' senza accesso a internet invece che nel ruolo pianificato 'guest-access'. Qual è l'errore di configurazione più probabile?
Suggerimento: Verifica in che modo ClearPass comunica l'assegnazione del ruolo al controller.
Visualizza risposta modello
C'è una discrepanza tra maiuscole e minuscole nel nome del ruolo. Il valore del VSA Aruba-User-Role restituito da ClearPass deve corrispondere esattamente al nome del ruolo definito sul controller Aruba. In caso di errore di battitura o differenza di maiuscole (ad esempio, 'Guest-Access' anziché 'guest-access'), il controller non riconoscerà il ruolo e sposterà l'utente nello stato limitato predefinito.
Q2. Una catena di negozi desidera implementare Purple WiFi per l'analisi dei dati dei visitatori, ma il team di sicurezza esige che tutti gli eventi di autenticazione di rete siano registrati centralmente nel sistema Aruba ClearPass esistente per motivi di conformità. Come dovrebbe essere progettata l'architettura?
Suggerimento: Considera il flusso del traffico RADIUS tra gli access point, ClearPass e Purple.
Visualizza risposta modello
Implementa un'architettura RADIUS proxy. Configura i controller Aruba per inviare tutte le richieste RADIUS a ClearPass. In ClearPass, crea una politica di routing che inoltri le richieste provenienti dall'SSID ospiti ai server RADIUS cloud di Purple. In questo modo Purple gestisce il portale ospiti e l'analisi dei dati, mentre ClearPass mantiene una traccia di controllo completa e centralizzata di tutti gli eventi di autenticazione.
Q3. Dopo aver implementato l'integrazione, il team di marketing segnala che la dashboard analitica di Purple mostra dati pari a zero per il tempo di sosta ('dwell time') dei visitatori, anche se gli ospiti si connettono e navigano correttamente su internet. Quale passaggio di configurazione è stato tralasciato?
Suggerimento: I calcoli del tempo di sosta (dwell time) richiedono aggiornamenti costanti sullo stato della sessione, non solo l'autenticazione iniziale.
Visualizza risposta modello
Il RADIUS accounting non viene inoltrato come proxy a Purple. Sebbene il proxy di autenticazione consenta agli utenti l'accesso alla rete, Purple richiede i pacchetti di RADIUS accounting (Acct-Start, Acct-Interim-Update, Acct-Stop) per calcolare la durata della sessione e il tempo di sosta. È necessario assicurarsi che ClearPass sia configurato per fare da proxy dei dati di accounting verso Purple e che il controller sia impostato per inviare aggiornamenti intermedi (ad esempio, ogni 5 minuti).
Continua a leggere questa serie
Configuring RADIUS Authentication for Guest and Staff WiFi Networks
Questa guida di riferimento tecnica descrive l'architettura, la configurazione e l'implementazione dell'autenticazione RADIUS per le reti WiFi aziendali per ospiti e personale. Fornisce ai network architect e ai manager IT i protocolli esatti, gli standard di sicurezza e le metodologie di risoluzione dei problemi necessari per creare sistemi di controllo degli accessi wireless sicuri e scalabili.
Passpoint and OpenRoaming: Complete Guide
Questa guida di riferimento tecnico fornisce un'analisi completa dei framework Passpoint (Hotspot 2.0) e WBA OpenRoaming all'interno delle reti WiFi aziendali. Descrive in dettaglio i protocolli di autenticazione sottostanti, i componenti architetturali e le strategie di implementazione necessarie per stabilire una connettività guest sicura e senza attriti. I progettisti di rete e i responsabili IT impareranno a progettare, implementare e risolvere i problemi di questi standard per eliminare le barriere di accesso manuale mantenendo al contempo una sicurezza di livello enterprise.
Come Implementare SCEP per il Secure BYOD e l'Iscrizione di Rete nell'Istruzione Superiore
Questa guida tecnica fornisce ad architetti di rete e responsabili IT un modello indipendente dal fornitore per implementare la registrazione dei certificati basata su SCEP per proteggere le reti dei campus universitari. Descrive in dettaglio come migrare dal protocollo PEAP basato su password a 802.1X EAP-TLS, automatizzare l'onboarding dei dispositivi BYOD e applicare una robusta segmentazione VLAN.