Vai al contenuto principale

Aruba ClearPass vs. Purple WiFi: Confronto delle Funzionalità e Co-implementazione

Una guida tecnica completa che dettaglia l'architettura di co-implementazione di Aruba ClearPass e Purple WiFi. Copre la configurazione del RADIUS proxy, l'assegnazione dinamica della VLAN e le migliori pratiche per fornire reti guest sicure e basate sull'analisi dei dati insieme al NAC aziendale.

📖 6 minuti di lettura📝 1,499 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Parla in inglese britannico con un tono sicuro, autorevole e colloquiale. Sei un consulente di rete senior che sta informando un cliente. Ritmo misurato, dizione chiara, professionale ma non rigido. Pause naturali occasionali per dare enfasi: Benvenuti a questo briefing tecnico di Purple. Sono il vostro relatore e oggi affronteremo una domanda che sorge in quasi tutti i progetti wireless aziendali di cui ci occupiamo: quando avete già implementato Aruba ClearPass, come si colloca Purple WiFi e in che modo i due sistemi collaborano? [medium pause] Questa non è una discussione teorica. Se siete un IT manager, un progettista di rete o un ingegnere della sicurezza presso un gruppo alberghiero, una catena di vendita al dettaglio o un gestore di stadi, questa è una decisione che potreste dover prendere in questo trimestre. Quindi, entriamo nel vivo. [medium pause] Introduzione e contesto. [short pause] Innanzitutto, facciamo chiarezza su quale sia la reale funzione di ciascuna piattaforma. Aruba ClearPass Policy Manager è una piattaforma di Network Access Control. Il suo compito è autenticare dispositivi e utenti, valutare lo stato di sicurezza degli endpoint e applicare i criteri di accesso all'intera rete. Gestisce lo standard 802.1X, che è lo standard IEEE per il controllo dell'accesso alla rete basato su porta, utilizzando metodi EAP come EAP-TLS con certificati e PEAP con nome utente e password. Si integra con Microsoft Entra ID, Okta e altri provider di identità. Profila i dispositivi, verifica se sono conformi ai criteri di sicurezza e li assegna al ruolo di rete corretto. Per i dispositivi aziendali, ClearPass è eccellente. È stato creato esattamente per questo caso d'uso. [medium pause] Purple WiFi è un software completamente diverso. Purple è una piattaforma cloud-based per l'intelligence della guest WiFi. Il suo compito è autenticare i visitatori tramite un captive portal personalizzato con il vostro brand, acquisire dati di prima parte con flussi di consenso conformi al GDPR e trasmettere tali dati alla vostra suite di marketing e analisi. Purple opera in oltre 80.000 sedi in tutto il mondo e ha elaborato 440 milioni di accessi solo nel 2024. Si integra con oltre 400 connettori, inclusi CRM e piattaforme di marketing automation. Per le reti guest, Purple è lo specialista. [medium pause] Il problema che la maggior parte delle organizzazioni si trova ad affrontare è il tentativo di utilizzare un'unica piattaforma per svolgere entrambi i compiti. Spesso chiedono a ClearPass di gestire il portale guest, cosa che può fare ma non in modo elegante, oppure implementano Purple senza considerare come si collochi rispetto ai loro investimenti NAC esistenti. La risposta corretta è un'architettura di co-implementazione in cui ogni piattaforma svolge ciò che sa fare meglio. [medium pause] Approfondimento tecnico. [short pause] Lasciate che vi illustri l'architettura. In una co-implementazione, il vostro Aruba Mobility Controller o i vostri access point Aruba Instant trasmettono più SSID. Tipicamente tre: uno per i dispositivi aziendali, uno per gli ospiti e uno per l'IoT. Per ulteriori informazioni su questo schema di progettazione degli SSID, Purple ha pubblicato una guida dettagliata intitolata "Three SSIDs to rule them all", che vi consiglio di leggere insieme a questo briefing. [medium pause] L'SSID aziendale utilizza 802.1X con EAP-TLS. I dispositivi si autenticano utilizzando certificati forniti tramite ClearPass Onboard, che è il modulo integrato di ClearPass per la registrazione dei certificati e il provisioning dei dispositivi. ClearPass controlla lo stato di sicurezza del dispositivo, verifica il certificato, interroga Active Directory o Microsoft Entra ID e assegna il dispositivo alla VLAN appropriata. In genere, si tratta della VLAN 10 per l'ambito aziendale. Questo intero flusso rimane all'interno di ClearPass. Purple non è coinvolto. [medium pause] L'integrazione avviene invece sull'SSID ospiti. Quando un visitatore si connette all'SSID ospiti, il controller Aruba intercetta il traffico HTTP e reindirizza il browser al Captive Portal di Purple. Il visitatore si autentica tramite Purple, ad esempio utilizzando il social login tramite Google, un modulo e-mail personalizzato o OpenRoaming, dove Purple funge da identity provider gratuito nell'ambito della licenza Connect. Una volta che Purple ha convalidato il visitatore, invia un messaggio RADIUS Access-Accept al controller, che concede l'accesso a Internet. [medium pause] Ora, la decisione architetturale fondamentale è se inserire ClearPass come proxy RADIUS tra il controller e Purple, o se il controller debba comunicare direttamente con i server RADIUS di Purple. Per la maggior parte delle implementazioni enterprise, il modello proxy è la scelta corretta. Ecco perché. [medium pause] Con ClearPass impostato come proxy RADIUS, ogni evento di autenticazione sulla rete, sia aziendale che ospiti, passa attraverso ClearPass. In questo modo si ottiene un unico audit trail. Il team addetto alle operazioni di sicurezza ha visibilità su tutto in un unico punto. ClearPass può aggiungere i propri attributi di policy prima di restituire la risposta al controller, consentendo l'assegnazione dinamica della VLAN in base al ruolo. Inoltre, si mantiene la possibilità di applicare policy aggiuntive alle sessioni ospiti, come limiti di larghezza di banda o restrizioni di accesso basate sull'orario. Parla in inglese britannico con un tono sicuro, autorevole e colloquiale. Sei un consulente di rete senior che tiene un briefing con un cliente. Ritmo misurato, dizione chiara, professionale ma non rigido: La configurazione del proxy in ClearPass è semplice. Si crea una RADIUS Routing Policy che corrisponde all'SSID ospiti tramite l'identificatore NAS o l'ID della stazione chiamata. Le richieste che corrispondono a tale policy vengono inoltrate ai server RADIUS in cloud di Purple. Purple risponde, ClearPass aggiunge l'attributo specifico del fornitore Aruba-User-Role e il controller inserisce l'ospite nella VLAN 20 con accesso solo a Internet. [medium pause] Per i dispositivi IoT, il terzo SSID utilizza il bypass dell'autenticazione MAC. ClearPass profila il dispositivo utilizzando il suo OUI, ovvero i primi sei caratteri dell'indirizzo MAC che identificano il produttore, e lo assegna a ROLE_IOT, che si mappa sulla VLAN 30. Questa VLAN non ha accesso a Internet, ma solo connettività locale. Le smart TV, i termostati e le serrature intelligenti sono completamente isolati sia dal traffico aziendale che da quello degli ospiti. [medium pause] Parliamo di conformità, perché è qui che l'architettura dimostra il suo valore. Ai sensi dello standard PCI-DSS, qualsiasi segmento di rete che tratta i dati dei titolari di carta deve essere isolato dalle reti guest. La segmentazione VLAN in questa architettura soddisfa tale requisito. Ai sensi del GDPR, il Captive Portal di Purple gestisce la raccolta del consenso con opt-in a scelta consapevole, il che significa che i visitatori scelgono attivamente di condividere i propri dati anziché vederli raccolti per impostazione predefinita. Purple è certificata ISO 27001, conforme al GDPR e possiede la certificazione Cyber Essentials. ClearPass fornisce il registro di controllo di cui il vostro team di sicurezza ha bisogno per i report di conformità. [medium pause] Raccomandazioni di implementazione e insidie comuni. [short pause] Permettetemi di elencarvi le cinque cose che più comunemente vanno storte in questa implementazione e come evitarle. [medium pause] Numero uno: il walled garden. Prima che un visitatore si autentichi, il controller Aruba consente il traffico solo verso un elenco predefinito di destinazioni. Se i domini del portale di Purple, i suoi endpoint CDN e i domini del provider di login social non sono in quell'elenco, il portale non si caricherà. È necessario includere asterisco punto purple punto ai, asterisco punto cloudfront punto net e i domini OAuth per qualsiasi provider di login social abilitato. Google, Facebook, Apple e Microsoft Entra ID hanno tutti i propri set di domini. Gestite il walled garden come una configurazione dinamica, poiché i provider di login social modificano periodicamente i loro domini CDN. [medium pause] Numero due: timeout RADIUS. Il timeout RADIUS predefinito sulla maggior parte dei controller Aruba è di tre secondi. In un'architettura proxy, la richiesta viaggia dall'access point al controller, a ClearPass, attraverso internet fino al cloud RADIUS di Purple e ritorno. Su una rete congestionata, questo viaggio di andata e ritorno può superare i tre secondi. Impostate il timeout ad almeno dieci secondi e configurate la logica di tentativo con almeno due tentativi. [medium pause] Numero tre: mancata corrispondenza del segreto condiviso. Il segreto condiviso tra il controller Aruba e ClearPass deve corrispondere esattamente. Anche il segreto condiviso tra ClearPass e i server RADIUS di Purple deve corrispondere esattamente. Una differenza di un solo carattere causa errori di autenticazione silenziosi senza alcun messaggio di errore significativo per il visitatore. Verificate sempre questi dati carattere per carattere. [medium pause] Numero quattro: distinzione tra maiuscole e minuscole nei nomi dei ruoli. L'attributo Aruba-User-Role restituito da ClearPass deve corrispondere esattamente al nome del ruolo definito sul controller Aruba, incluse le maiuscole. Se ClearPass restituisce guest-authenticated ma sul controller è definito Guest-Authenticated, il visitatore torna al ruolo di accesso predefinito senza accesso a internet. [medium pause] Numero cinque: accounting RADIUS. Molte distribuzioni configurano correttamente il proxy di autenticazione ma dimenticano di fare lo stesso per il proxy di accounting. Purple utilizza i dati di accounting RADIUS per tracciare la durata delle sessioni, l'utilizzo dei dati e per popolare le sue dashboard di analisi. Se i dati di accounting non fluiscono verso Purple, le analisi sulle presenze e i report sul tempo di permanenza saranno incompleti. [medium pause] Domande a raffica. [short pause] Posso eseguire questo su Aruba Instant anziché su un Mobility Controller completo? Sì. Aruba Instant supporta server RADIUS esterni e il reindirizzamento del Captive Portal. La configurazione differisce leggermente, ma i principi sono identici. [medium pause] Purple supporta il Change of Authorisation? Sì. Il CoA consente al controller di aggiornare dinamicamente la sessione di un visitatore senza richiedere la riconnessione. Questo è utile per l'accesso a tempo limitato o per gli aggiornamenti di livello. [medium pause] Funziona con WPA3? Sì. Sono supportati sia WPA3-SAE per le reti personali sia WPA3-Enterprise per 802.1X. Per le reti guest che utilizzano i Captive Portal, WPA3-SAE o un SSID aperto con Opportunistic Wireless Encryption sono le scelte tipiche. [medium pause] Posso utilizzare un unico SSID sia per i dipendenti sia per i guest? È possibile, ma aggiunge complessità. ClearPass gestisce sia l'autenticazione 802.1X sia quella basata su MAC sullo stesso SSID, utilizzando regole di servizio per differenziare i tipi di traffico e instradarli di conseguenza. Per la maggior parte delle strutture, SSID separati rappresentano la scelta più pulita. [medium pause] Riepilogo e prossimi passi. [short pause] ClearPass e Purple sono complementari, non concorrenti. ClearPass è il tuo motore di policy per i dispositivi aziendali: 802.1X, postura degli endpoint, gestione dei certificati e audit trail unificato. Purple è la tua piattaforma di guest intelligence: Captive Portal personalizzato, acquisizione dati conforme al GDPR, analisi delle presenze e automazione del marketing. [medium pause] L'architettura di co-distribuzione utilizza ClearPass come proxy RADIUS. Tutte le richieste di autenticazione passano attraverso ClearPass. Le richieste dei guest vengono instradate al cloud RADIUS di Purple. Le richieste aziendali sono gestite localmente da ClearPass. Il controller Aruba applica le policy risultanti tramite l'assegnazione dinamica della VLAN. [medium pause] I tre elementi di configurazione che devi impostare correttamente sono: il walled garden, i timeout RADIUS e la coerenza dei nomi dei ruoli. Configura questi elementi in modo corretto e avrai una distribuzione di WiFi guest conforme e di valore commerciale che non compromette la postura di sicurezza aziendale. [medium pause] Per i prossimi passi: recupera le credenziali RADIUS della tua sede Purple dalla dashboard di Purple, esamina l'elenco di riferimento del walled garden nella guida scritta di accompagnamento e testa l'intero flusso di autenticazione con un dispositivo di test dedicato prima di passare alla produzione. Se stai implementando la soluzione su più sedi, la console di gestione multi-sito di Purple ti consente di gestire le configurazioni dei Captive Portal, il branding e le analisi di tutta la tua proprietà da un'unica interfaccia. [medium pause] Grazie per l'ascolto. Visita purple dot ai per parlare con un solutions architect in merito alla tua implementazione specifica.

header_image.png

Sintesi Esecutiva

Per gli ambienti aziendali fortemente orientati verso l'infrastruttura HPE Aruba, la gestione di policy complesse di accesso alla rete, unita all'erogazione di un'esperienza WiFi per gli ospiti fluida e ricca di dati, rappresenta una sfida architetturale significativa. Se da un lato Aruba ClearPass Policy Manager eccelle nel controllo dell'accesso alla rete (NAC) e nella sicurezza 802.1X per i dispositivi aziendali, dall'altro il suo Captive Portal integrato spesso manca delle funzioni avanzate di marketing automation e analytics richieste dalle moderne strutture. Questa guida illustra in dettaglio come integrare Purple WiFi con ClearPass, consentendo a ciascuna piattaforma di concentrarsi sui propri punti di forza.

Configurando ClearPass come proxy RADIUS, si mantiene un registro di audit di sicurezza unificato e l'assegnazione dinamica delle VLAN per i dispositivi aziendali e IoT, delegando a Purple l'esperienza di onboarding degli ospiti. Questo approccio consente l'acquisizione di dati di prima parte in conformità con il GDPR, analisi dettagliate sulle presenze e integrazioni con oltre 400 connettori di marketing - il tutto senza sostituire l'investimento esistente nel NAC Aruba. Questo documento fornisce il progetto tecnico per questa co-implementazione, coprendo l'architettura, i flussi di lavoro di configurazione e le best practice.

Approfondimento Tecnico

L'integrazione di Aruba ClearPass e Purple WiFi si basa su protocolli RADIUS standard e meccanismi di reindirizzamento HTTP, strutturati attorno a un'architettura proxy RADIUS. Questo design garantisce che ClearPass rimanga il punto centrale di decisione delle policy per tutti gli accessi alla rete, mentre Purple gestisce il Captive Portal rivolto agli ospiti e la raccolta dei dati.

Architettura Centrale

In una tipica co-implementazione, i controller di mobilità Aruba o gli access point Aruba Instant trasmettono più SSID. Un modello di progettazione tipico, come dettagliato in Three SSIDs to rule them all: the WiFi design for guest, staff and IoT , utilizza tre reti dedicate:

  1. SSID Aziendale: Utilizza 802.1X con EAP-TLS. I dispositivi si autenticano utilizzando i certificati distribuiti tramite ClearPass Onboard. ClearPass valuta lo stato di conformità del dispositivo, interroga Microsoft Entra ID o Active Directory e assegna il dispositivo alla VLAN aziendale (ad esempio, VLAN 10). Purple non è coinvolto in questo flusso.
  2. SSID IoT: Utilizza il MAC Authentication Bypass (MAB). ClearPass profila il dispositivo utilizzando il suo identificativo OUI (Organisationally Unique Identifier) e lo assegna a una VLAN IoT isolata (ad esempio, VLAN 30) senza accesso a Internet.
  3. SSID Ospiti: Una rete aperta o con cifratura OWE (Opportunistic Wireless Encryption) che attiva il Captive Portal di Purple. architecture_overview.png

Flusso del Proxy RADIUS

Quando un visitatore si connette al SSID ospite e apre un browser, il controller Aruba intercetta il traffico HTTP e reindirizza la sessione all'URL del Captive Portal di Purple. Il visitatore si autentica tramite Purple utilizzando il social login, moduli personalizzati o OpenRoaming (dove Purple funge da identity provider gratuito nell'ambito del piano Connect).

Una volta che Purple ha convalidato il visitatore, invia un messaggio di RADIUS Access-Accept. Tuttavia, invece di far contattare direttamente i server RADIUS cloud di Purple dal controller Aruba, ClearPass viene integrato come proxy RADIUS:

  1. Il controller Aruba invia tutte le richieste RADIUS a ClearPass.
  2. ClearPass valuta la richiesta in base alle sue Service Rules. Se la richiesta corrisponde al SSID ospite (identificato da Called-Station-Id o dall'identificatore NAS), la RADIUS Routing Policy inoltra la richiesta ai server RADIUS di Purple.
  3. Purple risponde con un messaggio di Access-Accept.
  4. ClearPass riceve questa risposta e applica la propria Enforcement Policy, aggiungendo specifici Vendor-Specific Attributes (VSA) prima di inoltrare la risposta finale al controller.

Assegnazione VLAN Dinamica Basata sui Ruoli

Il VSA chiave in questa architettura è Aruba-User-Role. Quando ClearPass inoltra il messaggio di Access-Accept al controller, include questo attributo per definire esattamente quale ruolo deve assumere il visitatore sulla rete WiFi.

Ad esempio, ClearPass può restituire Aruba-User-Role = guest-authenticated. Sul controller Aruba, questo ruolo è mappato sulla VLAN 20, configurata con policy di firewall che consentono l'accesso a Internet ma bloccano il routing verso le sottoreti aziendali interne. Questa segmentazione è essenziale per la conformità a standard come PCI-DSS [1].

comparison_chart.png

Guida all'Implementazione

La distribuzione di questa architettura richiede una configurazione precisa sia sull'infrastruttura Aruba che su ClearPass. Segui questi passaggi indipendenti dal fornitore per stabilire l'integrazione.

Passaggio 1: Configurare i Server RADIUS di Purple in ClearPass

Accedi a Configuration > Network > Devices in ClearPass e aggiungi i server RADIUS primario e secondario di Purple come dispositivi di rete. Avrai bisogno degli indirizzi IP e della shared secret forniti nella dashboard di configurazione della location di Purple.

Passaggio 2: Creare una RADIUS Routing Policy

Crea una nuova RADIUS Routing Policy in ClearPass. Questa policy determinerà a quali condizioni le richieste verranno inoltrate tramite proxy a Purple. Imposta le destinazioni primaria e di backup sui server RADIUS di Purple configurati al Passaggio 1.

Passaggio 3: Definire il Servizio Ospiti

Crea un nuovo Servizio in ClearPass per l'autenticazione degli ospiti.

  • Tipo: RADIUS Enforcement (Generic)
  • Service Rules: Associa il parametro Radius:IETF:Called-Station-Id contenente il nome del tuo SSID per ospiti.
  • Routing Policy: Seleziona la policy creata al Passaggio 2.
  • Enforcement Policy: Configura una policy per restituire il VSA Aruba-User-Role con il valore corrispondente al tuo ruolo ospite sull'Aruba Controller.

Passaggio 4: Configurare il Walled Garden sul Controller

Il walled garden è un elenco di domini a cui un dispositivo può accedere prima dell'autenticazione. Questo viene configurato sull'Aruba Controller (o tramite le regole di accesso in ArubaOS 10). Devi includere i domini principali di Purple:

  • *.purple.ai
  • *.cloudfront.net
  • *.venuewifi.com

Se stai abilitando i login social, devi aggiungere anche i domini OAuth per ciascun provider (es. *.facebook.com, *.google.com, *.microsoftonline.com).

Passaggio 5: Configurare RADIUS Accounting

Assicurati che anche l'accounting RADIUS venga inviato tramite proxy tramite ClearPass a Purple. Purple utilizza i dati di accounting (Acct-Start, Acct-Interim-Update, Acct-Stop) per monitorare la durata delle sessioni e popolare la sua dashboard di WiFi Analytics . Imposta l'intervallo di accounting a 5 minuti sull'Aruba Controller.

Best Practice

Per garantire un'implementazione robusta e coerente, segui queste raccomandazioni standard del settore.

  • Segrega Rigorosamente il Traffico: Posiziona sempre il traffico ospiti su una VLAN dedicata senza percorsi verso le risorse aziendali. Questo è un requisito fondamentale per la conformità PCI-DSS e la sicurezza generale della rete.
  • Invia i Dati di Accounting tramite Proxy: Non trascurare l'accounting RADIUS. Se i pacchetti di accounting non raggiungono Purple, le tue analisi delle presenze e i report sul tempo di permanenza saranno incompleti.
  • Abilita WISPr: Nel profilo del captive portal dell'Aruba Controller, assicurati che WISPr (Wireless Internet Service Provider roaming) sia abilitato. Questo protocollo consente ai sistemi operativi mobili di rilevare automaticamente il captive portal e visualizzare la schermata di login in modo fluido.
  • Utilizza l'Opt-In a Scelta Attiva: Per la conformità GDPR, configura il tuo portale Purple in modo da utilizzare caselle di controllo di opt-in esplicite per le comunicazioni di marketing, anziché caselle preselezionate o consenso presunto [2].

Risoluzione dei Problemi e Mitigazione dei Rischi

Anche con una configurazione accurata, le integrazioni possono fallire. Ecco i problemi più comuni e come risolverli.

Errata Configurazione del Walled Garden

Se il captive portal non si carica sul dispositivo di un visitatore, la causa principale è quasi sempre il walled garden. I provider di social login aggiornano frequentemente i loro intervalli IP CDN e i nomi di dominio. Gestisci il walled garden come una configurazione in continua evoluzione. Se un social login specifico non funziona, utilizza un'acquisizione di pacchetti per identificare quale dominio il dispositivo sta tentando di raggiungere e aggiungilo all'elenco dei consentiti.

Errori di Timeout RADIUS

Il timeout RADIUS predefinito sulla maggior parte dei controller Aruba è di 3 secondi. In un'architettura proxy, la richiesta di autenticazione deve viaggiare dall'AP al controller, a ClearPass, attraverso Internet fino all'infrastruttura cloud di Purple e viceversa. Su una rete congestionata, questo viaggio di andata e ritorno può facilmente superare i 3 secondi, causando l'interruzione della richiesta da parte del controller. Aumenta il timeout RADIUS sul controller Aruba ad almeno 10 secondi e configura la logica di ripetizione dei tentativi.

Mancata corrispondenza del Shared Secret

RADIUS si affida a shared secret per la sicurezza. Se lo shared secret tra il controller Aruba e ClearPass, o tra ClearPass e Purple, non corrisponde esattamente, l'autenticazione fallirà in modo silenzioso. Al visitatore non verrà mostrato alcun messaggio di errore significativo. Verifica sempre questi segreti carattere per carattere se l'autenticazione non va a buon fine.

Distinzione tra maiuscole e minuscole nei nomi dei ruoli

Il valore del VSA Aruba-User-Role restituito da ClearPass deve corrispondere esattamente al nome del ruolo definito sul controller Aruba, inclusa la distinzione tra maiuscole e minuscole. Se ClearPass restituisce guest-authenticated ma il controller si aspetta Guest-Authenticated, il visitatore tornerà al ruolo di accesso predefinito e non otterrà l'accesso a Internet.

ROI e impatto aziendale

L'implementazione di Purple WiFi al posto di un Captive Portal locale di base offre un valore aziendale misurabile in più reparti.

  • Impatto sul marketing: Catturando dati di prima parte tramite il portale, le sedi registrano un aumento significativo dei propri database di marketing. Ad esempio, Harrods ha ottenuto un ROI di marketing pari a 57 volte utilizzando Purple per incrementare le iscrizioni al programma fedeltà [3].
  • Efficienza operativa: L'architettura proxy RADIUS riduce il carico operativo per l'IT. I team di sicurezza mantengono un'unica console in ClearPass per tutti gli eventi di accesso alla rete, semplificando i report di conformità e la risoluzione dei problemi.
  • Monetizzazione: Per le strutture nei settori del trasporto o dell' ospitalità , Purple consente modelli di larghezza di banda a più livelli. AGS Airports ha generato un ROI dell'842% implementando un livello WiFi premium a pagamento affiancato a un livello base gratuito [4].

Implementando questa co-implementazione, trasformerai la tua rete ospiti da un centro di costo a una risorsa in grado di generare ricavi, mantenendo al contempo il rigoroso livello di sicurezza richiesto dall'IT aziendale.

Riferimenti

[1] PCI Security Standards Council. "Payment Card Industry (PCI) Data Security Standard." [2] Information Commissioner's Office (ICO). "Guide to the General Data Protection Regulation (GDPR)." [3] Purple. "Caso di studio Harrods Guest WiFi." [4] Purple. "Caso di studio AGS Airports Guest WiFi."

Definizioni chiave

RADIUS Proxy

Un'architettura in cui un server intermedio (ClearPass) riceve le richieste di autenticazione da un dispositivo di rete (controller Aruba) e le inoltra al server backend appropriato (Purple), consentendo al proxy di ispezionare, registrare o modificare il traffico.

Utilizzato per mantenere un unico registro di controllo della sicurezza in ClearPass consentendo al contempo a Purple di gestire l'autenticazione degli ospiti.

Walled Garden

Un ambiente limitato che controlla l'accesso di un utente ai contenuti web prima che si sia completamente autorizzato sulla rete.

Essenziale per i Captive Portal; il walled garden deve consentire l'accesso ai domini di hosting del portale e ai provider di login social in modo che la pagina di accesso possa caricarsi.

Vendor-Specific Attribute (VSA)

Campi dati personalizzati all'interno del protocollo RADIUS che consentono ai fornitori di hardware di supportare funzionalità proprietarie non definite negli RFC RADIUS standard.

ClearPass utilizza la VSA "Aruba-User-Role" per indicare al controller Aruba esattamente quale ruolo del firewall e quale VLAN assegnare a un utente guest.

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN.

Il protocollo principale utilizzato da ClearPass per proteggere i dispositivi aziendali, in genere utilizzando EAP-TLS con certificati.

Captive Portal

Una pagina web che l'utente di una rete ad accesso pubblico è obbligato a visualizzare e con cui deve interagire prima che venga concesso l'accesso.

Purple fornisce l'interfaccia del Captive Portal per acquisire i dati dei visitatori, mostrare il branding e raccogliere il consenso al marketing.

MAC Authentication Bypass (MAB)

Una tecnica che utilizza l'indirizzo MAC di un dispositivo per autenticarlo sulla rete quando il dispositivo non supporta i supplicant 802.1X.

Utilizzato da ClearPass per profilare e autenticare dispositivi IoT headless come smart TV o termostati, inserendoli in una VLAN isolata.

Dynamic VLAN Assignment

Il processo di assegnazione automatica di un dispositivo a una specifica rete locale virtuale (VLAN) in base alle sue credenziali di autenticazione o al suo ruolo, anziché all'SSID a cui si è connesso.

Consente a una singola infrastruttura di rete fisica di segmentare in modo sicuro il traffico aziendale, guest e IoT.

WISPr

Wireless Internet Service Provider roaming; un protocollo che consente ai dispositivi di rilevare automaticamente i Captive Portal.

Deve essere abilitato sul controller Aruba affinché i dispositivi mobili mostrino automaticamente la schermata di login di Purple all'accesso alla rete WiFi ospiti.

Esempi pratici

Un hotel da 500 camere deve implementare una rete WiFi aziendale sicura per il personale e un portale guest brandizzato con acquisizione dati per i visitatori, utilizzando i controller Aruba e ClearPass esistenti.

Implementare due SSID: "Hotel_Corp" e "Hotel_Guest". Configurare "Hotel_Corp" per l'autenticazione 802.1X tramite Active Directory via ClearPass, assegnando il personale alla VLAN 10. Configurare "Hotel_Guest" come rete aperta che reindirizza al Captive Portal di Purple. Configurare ClearPass come RADIUS proxy per l'SSID guest, inoltrando le richieste a Purple. Configurare ClearPass per restituire la VSA "Aruba-User-Role" in seguito alla corretta autenticazione su Purple, assegnando gli ospiti a una VLAN 20 isolata.

Commento dell'esaminatore: Questo approccio isola perfettamente il traffico aziendale da quello guest, soddisfacendo i requisiti PCI-DSS. Sfrutta ClearPass per la sua forza nell'autenticazione 802.1X, delegando al contempo il portale guest e l'analisi dei dati a Purple, evitando la necessità di due soluzioni NAC separate.

I visitatori si connettono all'SSID guest, ma la pagina del Captive Portal di Purple non si carica sui loro dispositivi.

Verificare e aggiornare la configurazione del walled garden sul controller Aruba. Assicurarsi che i domini principali di Purple (*.purple.ai, *.cloudfront.net, *.venuewifi.com) siano esplicitamente consentiti. Se l'accesso tramite social network è abilitato, verificare che tutti i domini OAuth necessari (ad es. *.facebook.com, *.google.com) siano inclusi nella whitelist di pre-autenticazione.

Commento dell'esaminatore: Le configurazioni errate del walled garden sono la causa più comune di errore dei Captive Portal. I dispositivi devono essere in grado di raggiungere l'infrastruttura di hosting del portale e la CDN prima di essere completamente autorizzati sulla rete.

Domande di esercitazione

Q1. Hai configurato ClearPass per fare da proxy per l'autenticazione degli ospiti su Purple. L'utente ospite si autentica correttamente sul portale Purple, ma il controller Aruba lo inserisce nel ruolo predefinito 'logon' senza accesso a internet invece che nel ruolo pianificato 'guest-access'. Qual è l'errore di configurazione più probabile?

Suggerimento: Verifica in che modo ClearPass comunica l'assegnazione del ruolo al controller.

Visualizza risposta modello

C'è una discrepanza tra maiuscole e minuscole nel nome del ruolo. Il valore del VSA Aruba-User-Role restituito da ClearPass deve corrispondere esattamente al nome del ruolo definito sul controller Aruba. In caso di errore di battitura o differenza di maiuscole (ad esempio, 'Guest-Access' anziché 'guest-access'), il controller non riconoscerà il ruolo e sposterà l'utente nello stato limitato predefinito.

Q2. Una catena di negozi desidera implementare Purple WiFi per l'analisi dei dati dei visitatori, ma il team di sicurezza esige che tutti gli eventi di autenticazione di rete siano registrati centralmente nel sistema Aruba ClearPass esistente per motivi di conformità. Come dovrebbe essere progettata l'architettura?

Suggerimento: Considera il flusso del traffico RADIUS tra gli access point, ClearPass e Purple.

Visualizza risposta modello

Implementa un'architettura RADIUS proxy. Configura i controller Aruba per inviare tutte le richieste RADIUS a ClearPass. In ClearPass, crea una politica di routing che inoltri le richieste provenienti dall'SSID ospiti ai server RADIUS cloud di Purple. In questo modo Purple gestisce il portale ospiti e l'analisi dei dati, mentre ClearPass mantiene una traccia di controllo completa e centralizzata di tutti gli eventi di autenticazione.

Q3. Dopo aver implementato l'integrazione, il team di marketing segnala che la dashboard analitica di Purple mostra dati pari a zero per il tempo di sosta ('dwell time') dei visitatori, anche se gli ospiti si connettono e navigano correttamente su internet. Quale passaggio di configurazione è stato tralasciato?

Suggerimento: I calcoli del tempo di sosta (dwell time) richiedono aggiornamenti costanti sullo stato della sessione, non solo l'autenticazione iniziale.

Visualizza risposta modello

Il RADIUS accounting non viene inoltrato come proxy a Purple. Sebbene il proxy di autenticazione consenta agli utenti l'accesso alla rete, Purple richiede i pacchetti di RADIUS accounting (Acct-Start, Acct-Interim-Update, Acct-Stop) per calcolare la durata della sessione e il tempo di sosta. È necessario assicurarsi che ClearPass sia configurato per fare da proxy dei dati di accounting verso Purple e che il controller sia impostato per inviare aggiornamenti intermedi (ad esempio, ogni 5 minuti).

Continua a leggere questa serie

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Questa guida di riferimento tecnica descrive l'architettura, la configurazione e l'implementazione dell'autenticazione RADIUS per le reti WiFi aziendali per ospiti e personale. Fornisce ai network architect e ai manager IT i protocolli esatti, gli standard di sicurezza e le metodologie di risoluzione dei problemi necessari per creare sistemi di controllo degli accessi wireless sicuri e scalabili.

Leggi la guida →

Passpoint and OpenRoaming: Complete Guide

Questa guida di riferimento tecnico fornisce un'analisi completa dei framework Passpoint (Hotspot 2.0) e WBA OpenRoaming all'interno delle reti WiFi aziendali. Descrive in dettaglio i protocolli di autenticazione sottostanti, i componenti architetturali e le strategie di implementazione necessarie per stabilire una connettività guest sicura e senza attriti. I progettisti di rete e i responsabili IT impareranno a progettare, implementare e risolvere i problemi di questi standard per eliminare le barriere di accesso manuale mantenendo al contempo una sicurezza di livello enterprise.

Leggi la guida →

Come Implementare SCEP per il Secure BYOD e l'Iscrizione di Rete nell'Istruzione Superiore

Questa guida tecnica fornisce ad architetti di rete e responsabili IT un modello indipendente dal fornitore per implementare la registrazione dei certificati basata su SCEP per proteggere le reti dei campus universitari. Descrive in dettaglio come migrare dal protocollo PEAP basato su password a 802.1X EAP-TLS, automatizzare l'onboarding dei dispositivi BYOD e applicare una robusta segmentazione VLAN.

Leggi la guida →