Captive Portal per HPE Aruba: come configurarlo con il WiFi ospiti di Purple

CAPTIVE PORTAL FOR ARUBA: INTEGRATING PURPLE FOR ENTERPRISE GUEST WIFI Un briefing tecnico Purple - Circa 10 minuti [INTRODUZIONE E CONTESTO — circa 1 minuto] Benvenuti alla serie Purple Technical Briefing. Sono il vostro ospite e oggi affronteremo un argomento che emerge in quasi tutte le conversazioni sulle installazioni wireless aziendali: come configurare un Captive Portal su infrastruttura Aruba e, in particolare, come collegare tale portale alla piattaforma di guest WiFi intelligence di Purple. Se gestite AP Aruba Instant o una flotta di access point tramite Aruba Central, questo episodio fa al caso vostro. Saremo rapidi - questo è un briefing per professionisti, non una lezione accademica - quindi darò per scontato che sappiate muovervi all'interno di una schermata di configurazione WLAN e che conosciate le basi dell'autenticazione RADIUS. Il problema principale che andiamo a risolvere è questo: il portale ospiti integrato di Aruba è funzionale, ma limitato. Non offre l'acquisizione dei dati di marketing, i flussi di consenso conformi al GDPR o la reportistica in tempo reale di cui hanno bisogno le sedi aziendali. Sostituirlo con il Captive Portal esterno di Purple è la scelta architetturale corretta, e oggi vi guiderò passo dopo passo su come farlo. [APPROFONDIMENTO TECNICO — circa 5 minuti] Iniziamo con l'architettura. Quando un ospite si connette al vostro SSID Aruba e apre un browser, l'AP intercetta la richiesta HTTP sulla porta TCP 80 e la reindirizza all'URL del portale esterno - in questo caso, la splash page ospitata sul cloud di Purple. L'ospite si autentica tramite il portale di Purple, che invia quindi un Access-Request RADIUS ai server RADIUS di Purple sulla porta UDP 1812. In caso di successo, il server RADIUS restituisce un messaggio di Access-Accept e l'AP concede al client l'accesso completo a Internet. I record di accounting vengono inviati sulla porta UDP 1813 per tutta la durata della sessione. Questo è il flusso fondamentale. Ora passiamo alla configurazione. Ci sono due piani di gestione con cui potreste lavorare: Aruba Instant, che è il modello di controller virtuale on-premises con ArubaOS 8.x, e Aruba Central, che è la piattaforma di gestione cloud di HPE. I passaggi di configurazione sono simili nel concetto, ma differiscono nella posizione in cui si trovano le impostazioni. Iniziamo con Aruba Instant su ArubaOS 8. Per prima cosa, configurerete il server RADIUS. Passate a Security, poi Authentication Server e fate clic su New. Avrete bisogno di quattro informazioni dalla piattaforma di Purple: l'indirizzo IP del server primario, la porta di autenticazione - in genere 1812 - la porta di accounting - in genere 1813 - e il shared secret. Purple fornisce questi dati nella dashboard di configurazione della sede. Aggiungete un server secondario per la resilienza; Purple gestisce un'infrastruttura RADIUS multi-regione, quindi avrete un backup geograficamente appropriato. Successivamente, crea il profilo del Captive Portal esterno. Vai su Security, poi su Captive Portal, clicca su New e imposta il Type su External. Inserisci l'URL della splash page dalla configurazione del tuo venue Purple - questo sarà un endpoint HTTPS ospitato da Purple. Imposta la porta su 443, abilita Use HTTPS e, cosa fondamentale, imposta il campo WISPr su Enabled. WISPr - acronimo di Wireless Internet Service Provider roaming - è il protocollo che consente ai dispositivi di rilevare automaticamente il captive portal e di presentarlo correttamente, in particolare sui dispositivi iOS e Android che utilizzano il rilevamento del captive portal in background. Senza WISPr abilitato, alcuni dispositivi non riusciranno ad attivare automaticamente il portale. Ora, l'SSID Guest. Crea una nuova WLAN, imposta Primary Usage su Guest e, nella scheda Security, imposta Splash Page Type su External - RADIUS Server. Assegna il profilo del captive portal e il server RADIUS appena creati. Imposta il Reauth Interval su un valore sensato - 1440 minuti, ovvero 24 ore, è una scelta comune per gli ambienti hospitality. Abilita l'autenticazione MAC se desideri che gli ospiti che ritornano saltino il portale nelle visite successive all'interno di quella finestra temporale. Per Aruba Central su AOS-8, il flusso è essenzialmente lo stesso ma vi si accede tramite la procedura guidata WLAN sotto Devices, Config, WLANs. Imposta Security Level su Visitors, Type su External Captive Portal e crea un nuovo profilo captive portal con l'URL splash di Purple. Aggiungi i tuoi server RADIUS primario e secondario, abilita l'accounting e imposta un intervallo di accounting di cinque minuti. Questo intervallo è importante - assicura che la piattaforma di analytics di Purple riceva aggiornamenti regolari sulle sessioni per un reporting accurato sul tempo di permanenza e sull'engagement. Su AOS-10, che è l'architettura cloud-first, c'è una differenza importante: il walled garden non si configura più nella scheda WLAN Security. Al contrario, lo si configura tramite le Access Rules. Crea un ruolo di pre-autenticazione - chiamalo Guest Logon - e aggiungi regole di consentito per ciascun dominio nella whitelist del walled garden. Quindi assegna quel ruolo come Pre-Authentication Role sull'SSID. A proposito del walled garden - è qui che la maggior parte delle distribuzioni fallisce. Il walled garden è l'elenco dei domini che gli ospiti non autenticati possono raggiungere prima di aver completato il flusso del portale. Senza queste voci, il portale stesso non si caricherà, perché il dispositivo dell'ospite non può raggiungere la CDN di Purple per scaricare le risorse della splash page. Le voci obbligatorie per Purple sono: star dot purple dot ai, star dot cloudfront dot net e star dot venuewifi dot com. Se utilizzi il login social - Google, Facebook, Apple, Microsoft - dovrai aggiungere i domini OAuth pertinenti per ciascun provider. Google richiede star dot google dot com, star dot googleapis dot com e star dot gstatic dot com. Facebook richiede star dot facebook dot com, star dot fbcdn dot net e connect dot facebook dot net. L'accesso con Apple richiede star dot apple dot com e appleid dot apple dot com. Microsoft Entra ID richiede star dot microsoft dot com e star dot microsoftonline dot com. Un aspetto importante da evidenziare: su Aruba, puoi abilitare l'Automatic URL Whitelisting nel profilo del Captive Portal. Questa funzione inserisce dinamicamente in whitelist gli URL a cui fa riferimento la pagina del portale. È utile come soluzione di emergenza, ma ti consiglio di configurare esplicitamente il walled garden invece di affidarti alla whitelist automatica in produzione - è più prevedibile e più facile da verificare. Parliamo nello specifico dei parametri RADIUS. Gli attributi chiave che Purple utilizza sono: NAS-IP-Address, che identifica il tuo AP o controller; Called-Station-Id, che trasporta il BSSID e l'SSID nel formato MAC-address:SSID-name - Purple lo usa per mappare le sessioni su sedi e access point specifici; e Calling-Station-Id, che è l'indirizzo MAC del client. Sul lato accounting, Acct-Session-Id fornisce l'identificatore univoco della sessione e Acct-Status-Type trasporta gli eventi Start, Interim-Update e Stop. Assicurati che la tua configurazione Aruba invii tutti e tre i tipi di eventi di accounting - alcune distribuzioni inviano solo Start e Stop, il che significa che le analisi di Purple non riceveranno i dati di sessione intermedi necessari per calcolare con precisione i tempi di permanenza. [CONSIGLI PER L'IMPLEMENTAZIONE E ERRORI COMUNI — circa 2 minuti] Permettimi di darti i consigli pratici che darei a qualsiasi cliente che stia implementando questa soluzione. Primo: testa sempre con un dispositivo di test dedicato prima di andare live. Connettiti all'SSID ospiti, apri un browser su un URL HTTP (non HTTPS) e verifica che il reindirizzamento si attivi. Se vai direttamente su HTTPS, il reindirizzamento non funzionerà perché l'AP non può intercettare il traffico crittografato. Questa è la causa principale delle richieste di supporto che riceviamo. Secondo: regole del firewall. La tua VLAN di gestione degli AP o il controller necessitano di accesso UDP in uscita verso gli IP del server RADIUS di Purple sulle porte 1812 e 1813. Se hai un firewall stateful tra i tuoi AP e Internet, assicurati che consenta questi flussi UDP. Il protocollo RADIUS è privo di connessione (connectionless), quindi alcuni firewall richiedono regole esplicite invece di affidarsi all'ispezione stateful. Terzo: attendibilità del certificato. Quando configuri l'URL della splash page come HTTPS, l'AP deve considerare attendibile il certificato presentato dal server del portale di Purple. Su Aruba Central, potrebbe essere necessario importare un certificato CA attendibile nelle impostazioni globali prima che il reindirizzamento del portale funzioni correttamente su HTTPS. Purple utilizza certificati di una CA ampiamente attendibile, ma vale la pena verificarlo nel tuo ambiente. Quarto: segmentazione della VLAN. Il tuo SSID ospiti dovrebbe trovarsi su una VLAN dedicata e isolata dalla rete aziendale. Questo è sia un requisito di sicurezza - lo standard PCI-DSS richiede la segmentazione della rete per gli ambienti con dati dei titolari di carta - sia una necessità pratica per la funzionalità del Captive Portal. La VLAN ospiti dovrebbe avere accesso a Internet ma nessuna rotta verso le risorse interne. Quinto: l'impostazione WISPr. L'ho menzionato prima, ma vale la pena ripeterlo. Abilita WISPr. Senza di esso, i dispositivi iOS in particolare non rileveranno automaticamente il Captive Portal e gli ospiti vivranno un'esperienza confusa in cui sembreranno connessi ma non avranno accesso a Internet. [Q&A RAPIDO - circa 1 minuto] Permettetemi di passare in rassegna le domande che ricevo più spesso. Posso utilizzare Aruba Instant On - il prodotto per le piccole imprese - con Purple? Sì, con alcune limitazioni. Instant On supporta Captive Portal esterni, ma l'interfaccia di configurazione è più limitata rispetto ad Aruba Central completo. Purple ha una guida all'integrazione dedicata per Instant On. Purple supporta RadSec per il RADIUS crittografato? Sì. Purple supporta RADIUS su TLS - RadSec - per le distribuzioni in cui il traffico RADIUS attraversa reti non affidabili. Questo è sempre più rilevante per le distribuzioni gestite in cloud in cui lo scambio RADIUS attraversa l'internet pubblico. Cosa succede se il portale Purple non è raggiungibile? È possibile configurare l'impostazione Captive Portal Failure su "Nega Internet" - che è l'impostazione predefinita sicura - o su "Consenti Internet", che fornisce una modalità di accesso aperto di fallback. Per la maggior parte delle sedi aziendali, "Nega Internet" è la scelta corretta. Posso gestire più SSID con diverse sedi Purple sulla stessa infrastruttura Aruba? Assolutamente sì. Ogni SSID ottiene il proprio profilo di Captive Portal esterno che punta a un URL della sede Purple diverso. L'attributo RADIUS Called-Station-Id trasporta il nome dell'SSID, che Purple utilizza per instradare la sessione alla corretta configurazione della sede. [RIASSUNTO E PROSSIMI PASSI - circa 1 minuto] Riassumiamo il tutto. Distribuire Purple come Captive Portal esterno su infrastruttura Aruba è un percorso di integrazione ben collaudato. I passaggi chiave sono: configurare i server RADIUS con le credenziali di Purple, creare un profilo di Captive Portal esterno che punti all'URL della splash page di Purple con WISPr abilitato, creare l'SSID guest con il tipo di splash page External RADIUS Server e configurare il walled garden con i domini principali di Purple più i domini dei provider di social login che si stanno abilitando. La differenza di AOS-10 da ricordare è che la configurazione del walled garden si sposta su Access Rules anziché sulla scheda WLAN Security. Dal punto di vista aziendale, sostituire il portale locale di base di Aruba con Purple offre un'acquisizione dati conforme al GDPR, analisi della posizione in tempo reale, report demografici e marketing automation - il tutto dalla stessa infrastruttura WiFi che già possedete. Per i prossimi passi: recuperate le credenziali RADIUS della vostra sede Purple dalla dashboard di Purple, eseguite l'elenco di controllo della configurazione nella guida scritta di accompagnamento e fate un test con un dispositivo dedicato prima di passare alla produzione. Se state effettuando la distribuzione su più siti, la console di gestione multi-sito di Purple vi consente di gestire le configurazioni dei Captive Portal, il branding e l'analitica dell'intero patrimonio da un'unica interfaccia. Grazie per l'attenzione. La guida scritta completa, le tabelle di configurazione e gli elenchi di riferimento per il walled garden sono disponibili su purple dot ai. Alla prossima. [FINE DELLO SCRIPT]