Vai al contenuto principale

Captive Portal vs. Reti Aperte: Bilanciare Sicurezza e UX

Questa guida di riferimento tecnico fornisce ad architetti di rete e IT manager un progetto completo per la distribuzione di reti WiFi per ospiti. Analizza i compromessi tecnici tra reti aperte e Captive Portal, dettagliando come bilanciare i protocolli di sicurezza con l'esperienza utente. I lettori impareranno a configurare meccanismi di reindirizzamento resilienti, gestire la randomizzazione dei MAC e implementare flussi di lavoro di autenticazione fluidi.

📖 6 minuti di lettura📝 1,484 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Executive Summary

Nei moderni ambienti aziendali, il WiFi per gli ospiti non è più una semplice utilità operativa - è un punto di contatto fondamentale per il coinvolgimento dei clienti, l'interazione con il brand e la sicurezza della rete. Per i manager IT, gli architetti di rete e i direttori operativi delle sedi, la sfida fondamentale consiste nel bilanciare la sicurezza della rete con la user experience (UX).

Questa guida fornisce un'analisi tecnica autorevole delle due principali architetture di WiFi per gli ospiti: i Captive Portal e le reti aperte. Se da un lato le reti aperte offrono un accesso senza attriti, dall'altro espongono gli utenti a vulnerabilità di sicurezza e privano le sedi di preziose opportunità di acquisizione dati. Al contrario, Captive Portal configurati male introducono attriti, causando l'abbandono della connessione e un aumento dei ticket di assistenza.

Comprendendo i protocolli sottostanti - tra cui RADIUS AAA, Change of Authorization (CoA) e Opportunistic Wireless Encryption (OWE) - le organizzazioni possono implementare sistemi WiFi per gli ospiti che proteggono il perimetro della rete, garantiscono la conformità normativa e offrono un'esperienza utente fluida. Questo documento illustra i progetti tecnici, i passaggi di configurazione e le best practice del settore necessarie per raggiungere questo equilibrio.

Technical Deep-Dive

Meccanismi di reindirizzamento dei Captive Portal

Per capire come funziona un Captive Portal, dobbiamo esaminare le interazioni a livello di pacchetto che si verificano quando un dispositivo client si associa a un SSID aperto configurato per il reindirizzamento web.

Quando un client si associa all'Access Point (AP) o al Wireless LAN Controller (WLC), gli viene assegnato un indirizzo IP tramite DHCP. Tuttavia, il WLC inserisce l'indirizzo MAC del client in uno stato "non autenticato" all'interno della sua tabella di associazione. In questo stato, il WLC applica una Access Control List (ACL) di pre-autenticazione che blocca tutto il traffico IP ad eccezione del DNS (porta UDP 53), del DHCP (porte UDP 67 e 68) e di intervalli IP specifici definiti nel "Walled Garden".

+-------------+          +------------+          +---------------+          +---------------+          +---------------+
|   Client    |          |   AP/WLC   |          |  DNS Server   |          | Purple Portal |          | RADIUS Server |
+-------------+          +------------+          +---------------+          +---------------+          +---------------+
       |                       |                         |                          |                          |
       |--- 1. Associate ----->|                         |                          |                          |
       |<-- 2. IP Assigned ----|                         |                          |                          |
       |                       |                         |                          |                          |
       |--- 3. DNS Query ----->|------------------------>|                          |                          |
       |    (captive.apple.com)|                         |                          |                          |
       |<-- 4. Risposta DNS ---|<------------------------|                          |                          |
       |                       |                         |                          |                          |
       |--- 5. HTTP GET ------>|                         |                          |                          |
       |    (Intercettato)     |                         |                          |                          |
       |<-- 6. HTTP 302 -------|                         |                          |                          |
       |    (Reindirizzamento a Purple)                  |                          |                          |
       |                       |                         |                          |                          |
       |--- 7. HTTPS GET ---------------------------------------------------------->|                          |
       |    (Richiesta Pagina del Portale)                                          |                          |
       |<-- 8. Servito Pagina ------------------------------------------------------|                          |
       |                       |                         |                          |                          |
       |--- 9. Invio Modulo -------------------------------------------------------->|                          |
       |                       |                         |                          |--- 10. Richiesta Auth -->|
       |                       |<-- 11. RADIUS CoA (Autorizza MAC) -----------------|                          |
       |                       |                                                    |<-- 12. Accettazione Auth-|
       |<-- 13. Accesso Consentito|                      |                          |                          |

Quando l'utente tenta di navigare su un sito web HTTP, o quando il Captive Network Assistant (CNA) del sistema operativo attiva una finestra del browser automatica, il client invia una richiesta HTTP GET. Il WLC intercetta questa richiesta (solitamente sulla porta 80) e restituisce un codice di stato HTTP 302 Redirect. Questo reindirizzamento punta il browser del client all'URL del Captive Portal esterno (ad esempio, la piattaforma di hosting del portale di Purple), aggiungendo parametri di query chiave come:

  • client_mac: L'indirizzo MAC del dispositivo ospite.
  • ap_mac: L'indirizzo MAC dell'AP a cui il client è associato.
  • ssid: Il nome della rete ospite.
  • redirect_url: L'URL originale a cui l'utente ha tentato di accedere.

Il ruolo del Captive Network Assistant (CNA)

I sistemi operativi moderni (iOS, Android, macOS e Windows) utilizzano daemon in background che monitorano la connettività di rete. All'associazione con una rete WiFi, il sistema operativo invia una richiesta HTTP a un URL di convalida dedicato e hardcoded. Gli esempi includono:

  • Apple: http://captive.apple.com/hotspot-detect.html
  • Google Android: http://connectivitycheck.gstatic.com/generate_204
  • Microsoft Windows: http://www.msftconnecttest.com/connecttest.txt

Se il sistema operativo riceve la risposta prevista HTTP 200 OK (o HTTP 204 No Content), presume che sia disponibile un accesso diretto a Internet. Se riceve un reindirizzamento HTTP 302, rileva un Captive Portal e avvia la CNA - una finestra del browser protetta da sandbox e semplificata.

La gestione della CNA è un aspetto critico nella progettazione del WiFi per gli ospiti. Poiché il browser della CNA è in modalità sandbox, presenta forti limitazioni: spesso non supporta i cookie, la memoria locale o determinate API JavaScript e si chiude immediatamente se l'utente cambia applicazione. Se la configurazione del Captive Portal non tiene conto di queste limitazioni, l'esperienza dell'utente fallirà.

RADIUS AAA e Change of Authorization (CoA)

Una volta che l'utente ha completato l'azione richiesta sul Captive Portal (ad esempio, inserendo un indirizzo e-mail, accettando i termini o autenticandosi tramite un social provider), il server del portale deve notificare al WLC di concedere l'accesso alla rete. Questo si ottiene utilizzando il protocollo RADIUS (Remote Authentication Dial-In User Service), in particolare sfruttando la RFC 3576 Change of Authorization (CoA).

  1. Richiesta di autenticazione: il server del portale invia una chiamata API o un RADIUS Access-Request al server RADIUS dell'organizzazione (o direttamente al WLC se funge da client AAA), convalidando la sessione dell'utente.
  2. RADIUS CoA: il server RADIUS invia un pacchetto CoA-Request (porta UDP 3799) al WLC. Questo pacchetto contiene l'indirizzo MAC del client e le istruzioni per aggiornare lo stato della sessione.
  3. Aggiornamento dello stato della sessione: il WLC elabora la CoA-Request, fa passare lo stato del client da "non autenticato" a "autenticato" e applica la policy post-autenticazione (ad esempio, spostando il client su una VLAN diversa, applicando limiti di larghezza di banda o abilitando l'accesso illimitato a Internet).
  4. CoA-ACK: il WLC restituisce un pacchetto CoA-ACK (Acknowledge) al server RADIUS, confermando la modifica della policy.

Reti aperte e Opportunistic Wireless Encryption (OWE)

Le reti aperte tradizionali (nessun Captive Portal, nessuna crittografia) trasmettono tutti i frame wireless in chiaro. Ciò consente a malintenzionati all'interno della portata fisica di effettuare intercettazioni passive, catturando dati sensibili trasmessi su protocolli non crittografati (HTTP, FTP, IMAP).

Per mitigare questa vulnerabilità senza introdurre l'attrito di una chiave pre-condivisa (PSK), la Wi-Fi Alliance ha introdotto l'Opportunistic Wireless Encryption (OWE), standardizzato nella RFC 8110. L'OWE utilizza uno scambio di chiavi Diffie-Hellman durante il processo di associazione 802.11 per stabilire una chiave di sessione a coppie unica e crittografata per ciascun client.

Sebbene l'OWE protegga dallo sniffing passivo, non fornisce autenticazione. Si tratta di una rete "aperta" in termini di controllo degli accessi, ma crittografata in termini di trasmissione. Per le strutture, l'OWE rappresenta un significativo passo avanti nella sicurezza, sebbene non faciliti l'acquisizione dei dati o l'accettazione dei termini di servizio a meno che non sia abbinato a un meccanismo di reindirizzamento basato sul web.

Guida all'implementazione

Questa guida passo passo all'implementazione illustra come configurare una rete WiFi guest di livello enterprise utilizzando un Cisco Catalyst Wireless LAN Controller (WLC) integrato con il Captive Portal esterno e i servizi RADIUS di Purple.

Step 1: Configurare la VLAN Guest e il DHCP Scope

Prima di configurare i parametri wireless, stabilire una VLAN dedicata e isolata sullo switch principale e configurare un DHCP scope con un tempo di lease breve (es. da 2 a 4 ore) per evitare l'esaurimento degli indirizzi IP in ambienti ad alta densità.

! Core Switch Configuration
vlan 900
 name Guest_WiFi
!
interface Vlan900
 description Guest WiFi Gateway
 ip address 172.16.0.1 255.255.240.0
 ip helper-address 172.16.0.10
!
! DHCP Server Configuration (ISC DHCPD Example)
subnet 172.16.0.0 netmask 255.255.240.0 {
  range 172.16.0.50 172.16.15.254;
  option routers 172.16.0.1;
  option domain-name-servers 8.8.8.8, 1.1.1.1;
  default-lease-time 7200;
  max-lease-time 14400;
}

Step 2: Definire il Walled Garden (ACL di Pre-Autenticazione)

Per consentire ai client non autenticati di risolvere il DNS e accedere al Captive Portal, è necessario configurare una ACL di pre-autenticazione sul WLC. Questa ACL deve consentire il traffico da e verso l'infrastruttura di hosting di Purple e tutti i CDN o endpoint di social login richiesti.

! Cisco WLC CLI Configuration
ip access-list extended PRE_AUTH_ACL
 ! Permit DNS resolution
 permit udp any any eq domain
 permit udp any eq domain any
 ! Permit DHCP
 permit udp any any eq bootpc
 permit udp any eq bootps any
 ! Permit access to Purple Portal Servers
 permit tcp any host 54.246.117.243 eq www
 permit tcp any host 54.246.117.243 eq 443
 permit tcp any host 52.19.194.225 eq www
 permit tcp any host 52.19.194.225 eq 443
 ! Permit Apple CNA validation bypass (Optional - if you wish to bypass CNA)
 permit tcp any host 17.253.109.201 eq www
 deny ip any any

Step 3: Configurare i Server di Autenticazione e Accounting RADIUS

Configurare il WLC per comunicare con i server RADIUS di Purple per l'autenticazione, l'accounting e il CoA.

! Configure RADIUS Authentication Server
radius-server host 54.246.117.243 auth-port 1812 acct-port 1813 key 7 
! Configure RADIUS Accounting Server
radius-server host 52.19.194.225 auth-port 1812 acct-port 1813 key 7 
!
! Enable RFC 3576 Change of Authorization (CoA)
aaa server radius dynamic-author
 client 54.246.117.243 server-key 7 
 client 52.19.194.225 server-key 7 
 port 3799

Step 4: Configurare il SSID Guest (WLAN)

Creare il SSID Guest, mapparlo sulla VLAN Guest e applicare i criteri di sicurezza e reindirizzamento.

! Create WLAN
wlan Guest_WiFi 1 Guest_WiFi
 client vlan Guest_WiFi
 ip flow monitor wireless-input unicast
 ip flow monitor wireless-output unicast
 ! Configure Layer 2 Security to Open
 security wpa secondary none
 security wpa akm owe
 ! Configure Layer 3 Security for Web Redirect
 security web-auth
 security web-auth parameter-map PURPLE_MAP
 security web-auth authentication-list PURPLE_RADIUS_LIST
 ! Apply Pre-Authentication ACL
 security web-auth acl PRE_AUTH_ACL
 no shutdown

Passo 5: Configurare la Parameter Map di Web Auth

Definisci i parametri di reindirizzamento, inclusi l'URL del portale esterno e il modo in cui il WLC deve gestire l'indirizzo MAC del client.

! Parameter Map Configuration
parameter-map PURPLE_MAP
 type webauth
 redirect-server-url https://portal.purplewifi.net/auth
 redirect portal
 banner-page-disable
 logout-window-disable

Best Practice

Ottimizzazione della Sicurezza

  1. Isolamento dei Client: Abilita sempre l'isolamento dei client (blocco peer-to-peer) sulla VLAN guest. Ciò impedisce ai dispositivi guest associati di comunicare tra loro, mitigando il rischio di scansioni interne, ARP spoofing e propagazione laterale di malware.
  2. Filtraggio DNS: Implementa la sicurezza a livello DNS (ad es. Cisco Umbrella o Cloudflare Gateway) sulla rete guest. Questo assicura che, ancora prima che l'utente si autentichi, sia protetto dall'accesso a domini noti di phishing, malware o contenuti per adulti.
  3. Reindirizzamento Sicuro (HTTPS): Assicurati che l'hostname di reindirizzamento configurato sul WLC utilizzi un certificato SSL/TLS valido e pubblicamente attendibile. Se il WLC reindirizza una richiesta HTTPS utilizzando un certificato autofirmato, il browser dell'utente mostrerà un grave avviso di sicurezza, distruggendo la fiducia e aumentando i tassi di abbandono.

Ottimizzazione della User Experience (UX)

  1. Ottimizzare la Velocità di Reindirizzamento: Mantieni l'ACL di pre-autenticazione (walled garden) il più snella possibile. Ricerche DNS eccessive o controlli IP all'interno di un'ACL sovraccarica possono ritardare il processo di reindirizzamento, causando il timeout del dispositivo client e facendogli presumere che la rete sia guasta.
  2. Minimizzare i Campi del Modulo: Ogni campo aggiuntivo in un modulo di Captive Portal riduce i tassi di conversione di circa il 10%. Limita l'acquisizione dei dati ai campi essenziali (ad es. indirizzo email o login social) e utilizza il profiling progressivo per raccogliere ulteriori informazioni durante le visite successive.
  3. Implementare il MAC Caching: Per evitare che gli ospiti che ritornano debbano autenticarsi nuovamente ogni volta che entrano nella struttura, configura il MAC caching (noto anche come MAC bypass). Quando un client si autentica con successo, il server RADIUS memorizza nella cache il suo indirizzo MAC per un periodo definito (ad es. 30 giorni). Nelle visite successive, il WLC esegue un'autenticazione MAC silenziosa rispetto al server RADIUS, concedendo l'accesso immediato senza mostrare il portale.

Risoluzione dei Problemi e Mitigazione dei Rischi

1. La Modalità di Errore "CNA Loop"

  • Sintomo: Il client si connette all'SSID, si apre la finestra del CNA, l'utente completa il processo di accesso, ma la finestra del CNA non si chiude o si riapre immediatamente, chiedendo nuovamente all'utente di accedere.
  • Causa principale: il browser CNA determina la connettività internet interrogando continuamente il suo URL di convalida (es. captive.apple.com). Se il WLC concede l'accesso a internet ma la configurazione del walled garden o del routing blocca o reindirizza ancora il traffico verso l'URL di convalida, l'OS ritiene di essere ancora captive.
  • Risoluzione: assicurarsi che il RADIUS CoA trasferisca con successo il client a un ruolo senza restrizioni in cui tutto il traffico verso i domini di convalida è consentito. In alternativa, configurare il WLC per aggirare completamente il rilevamento CNA consentendo l'accesso ai domini di convalida nell'ACL di pre-autenticazione, anche se questo impedirà l'apertura automatica del portale su alcuni dispositivi.

2. Problemi di randomizzazione MAC

  • Sintomo: gli ospiti che ritornano sono costretti a autenticarsi nuovamente tramite il portale captive nonostante la memorizzazione nella cache del MAC sia abilitata.
  • Causa principale: i sistemi operativi moderni (iOS 14+, Android 10+, Windows 10/11) utilizzano la randomizzazione MAC per impostazione predefinita. Il dispositivo genera un indirizzo MAC univoco gestito localmente per ciascun SSID. Se l'utente ha abilitato l'opzione "Indirizzo privato", l'indirizzo MAC potrebbe ruotare periodicamente, interrompendo il caching basato su MAC e l'analitica.
  • Risoluzione: accettare che il tracciamento basato su MAC sia deprecato per l'analitica a lungo termine. Utilizzare identificatori alternativi, come account utente o indirizzi email acquisiti tramite il portale, per collegare le sessioni. Per un accesso continuo, valutare l'implementazione di Passpoint (Hotspot 2.0), che utilizza profili sicuri anziché indirizzi MAC per l'autenticazione.

3. Errori di risoluzione DNS

  • Sintomo: la pagina del portale captive non si carica, mostrando un errore "DNS_PROBE_FINISHED_NO_INTERNET" o simile nel browser del client.
  • Causa principale: i client non autenticati non possono risolvere l'hostname del portale captive esterno perché il WLC sta bloccando il traffico DNS, oppure il server DNS assegnato non è raggiungibile dalla VLAN guest.
  • Risoluzione: controllare attentamente l'ACL di pre-autenticazione per assicurarsi che la porta UDP 53 sia esplicitamente consentita da e verso i server DNS. Verificare che l'ambito DHCP stia distribuendo server DNS validi e raggiungibili (come i resolver pubblici 8.8.8.8 o 1.1.1.1) che sono consentiti nell'ACL.

ROI e impatto aziendale

L'implementazione di una soluzione WiFi per gli ospiti sofisticata rappresenta un investimento strategico che genera un valore aziendale misurabile su molteplici vettori.

Metrica Rete aperta Portale captive di base Portale captive ottimizzato (Purple)
Tasso di acquisizione dati 0% 15% - 25% 45% - 65%
Attrito per l'utente Zero Elevato (Ogni visita) Basso (Caching MAC abilitato)
Livello di sicurezza Vulnerabile (Nessuna crittografia) Moderato (Payload in chiaro) Elevato (OWE + Client Isolation)
Conformità (GDPR/DPA) Non conforme Di base (Termini statici) Completamente conforme (Consenso dinamico)
ROI di marketing Nessuno Basso Elevato (Campagne mirate)

Acquisizione dati vs Attrito

Una rete aperta fornisce un'acquisizione dati pari a zero, lasciando la location all'oscuro di chi stia utilizzando i suoi servizi. Un captive portal di base acquisisce i dati ma introduce un elevato attrito se richiede l'autenticazione a ogni visita.

Un captive portal ottimizzato, che utilizza la piattaforma di intelligence di Purple, bilancia questo compromesso. Implementando il caching MAC, la location acquisisce ricchi dati demografici e comportamentali alla prima visita, mentre le visite successive sono del tutto fluide. Questo approccio mantiene un'elevata soddisfazione degli utenti mentre crea un database di marketing pulito e conforme.

Conformità normativa

La gestione di una rete ospiti aperta e non monitorata espone le organizzazioni a significativi rischi legali. In molte giurisdizioni (incluso il Regno Unito ai sensi del Data Protection Act 2018 e l'UE ai sensi del GDPR), le location devono essere in grado di identificare gli utenti o almeno dimostrare di aver adottato misure ragionevoli per prevenire attività illegali (come la violazione del copyright o l'accesso a contenuti illegali) sulle loro reti.

Un captive portal aziendale mitiga questo rischio:

  • Presentando Termini di servizio e Informative sulla privacy legalmente vincolanti.
  • Acquisendo un consenso esplicito e granulare per le comunicazioni di marketing.
  • Registrando i dati di sessione (allocazione IP, indirizzo MAC e timestamp) per conformarsi alle richieste delle forze dell'ordine (ad esempio, il RIPA nel Regno Unito).

Definizioni chiave

Captive Network Assistant (CNA)

Un browser web a livello di sistema, isolato in una sandbox, che si avvia automaticamente su dispositivi mobili e laptop quando viene rilevato un reindirizzamento al captive portal su una rete wireless.

Comprendere le limitazioni dei CNA è fondamentale perché questi browser non supportano i cookie o l'archiviazione persistente, il che influisce sul modo in cui devono essere progettati i moduli di login.

Walled Garden

Una lista di controllo degli accessi (ACL) pre-autenticazione che definisce gli indirizzi IP specifici, le sottoreti o i nomi di dominio a cui un dispositivo guest può accedere prima di accedere al captive portal.

Essenziale per consentire l'accesso a DNS, DHCP, risorse del portale e gateway di pagamento senza concedere l'accesso completo a Internet.

RADIUS CoA (Change of Authorization)

Un'estensione del protocollo RADIUS (RFC 3576) che consente di modificare dinamicamente gli attributi di una sessione attiva senza richiedere al client di disconnettersi e riassociarsi.

Utilizzato dal captive portal per segnalare al WLC di concedere l'accesso completo a Internet a un client immediatamente dopo un'autenticazione riuscita.

Opportunistic Wireless Encryption (OWE)

Uno standard Wi-Fi Alliance (RFC 8110) che fornisce la crittografia individuale per le connessioni wireless su reti aperte senza richiedere una password condivisa o un login utente.

Protegge gli utenti guest dallo sniffing wireless passivo, mantenendo al contempo la facilità d'accesso associata alle reti aperte.

MAC Randomisation

Una funzionalità di privacy implementata nei sistemi operativi moderni che ruota l'indirizzo MAC fisico del dispositivo, generando un MAC virtuale unico per diversi SSID.

Rappresenta una sfida per le tradizionali analisi dei dati WiFi degli ospiti e per il caching dei MAC a lungo termine, richiedendo alle piattaforme moderne di utilizzare identificatori alternativi come l'email o gli account utente.

Passpoint (Hotspot 2.0)

Un programma di certificazione Wi-Fi Alliance che consente ai dispositivi mobili di rilevare automaticamente e connettersi in modo sicuro alle reti WiFi utilizzando profili o credenziali pre-configurati.

Rappresenta il futuro del guest WiFi senza attriti, eliminando completamente i captive portal e mantenendo al contempo una sicurezza WPA3 di livello aziendale.

DNS Redirection

Una tecnica in cui un dispositivo di rete intercetta le query DNS da client non autenticati e le risolve all'indirizzo IP del server del Captive Portal, forzando il browser al reindirizzamento.

Spesso utilizzato come alternativa o supplemento al reindirizzamento HTTP per attivare i browser CNA sui dispositivi moderni.

Client Isolation

Un'impostazione di sicurezza sugli access point wireless che impedisce ai client wireless associati allo stesso SSID di comunicare direttamente tra loro.

Un requisito di sicurezza non negoziabile per le reti ospiti al fine di prevenire attacchi peer-to-peer e la diffusione di malware.

Esempi pratici

Uno stadio polifunzionale di alto livello con una capienza di 60.000 persone richiede una soluzione WiFi per gli ospiti. Il direttore delle operazioni desidera acquisire dati di marketing allineati agli sponsor da parte dei partecipanti, ma è fortemente preoccupato per la congestione della rete e l'attrito al momento dell'accesso durante l'intervallo di 15 minuti, in cui fino a 20.000 utenti simultanei potrebbero tentare di connettersi.

Per gestire questo scenario ad alta densità, implementiamo un'architettura ibrida che combina un Captive Portal leggero con un caching aggressivo dei MAC e un rigido limitatore di banda.

  1. Configurazione SSID: Distribuisci un singolo SSID chiamato 'Stadium_Guest'. Configura la rete come Aperta con OWE (Opportunistic Wireless Encryption) abilitato per proteggere le trasmissioni wireless senza richiedere una chiave pre-condivisa.
  2. Ottimizzazione del Walled Garden: Riduci al minimo l'ACL di pre-autenticazione per includere solo gli intervalli IP essenziali del portale Purple e dell'app di biglietteria locale dello stadio. Ciò riduce il sovraccarico di risoluzione DNS sui controller locali.
  3. Progettazione del Captive Portal: La pagina del portale è ospitata su una CDN ad alte prestazioni (Cloudflare) con tutte le immagini compresse a meno di 50 KB. Il modulo di accesso è limitato a un singolo campo: 'Indirizzo e-mail' con una casella di controllo opzionale per il consenso al marketing. L'accesso tramite social (Facebook, Google) è disabilitato per questo evento per evitare che la latenza dell'API esterna rallenti il processo di onboarding.
  4. Criteri di sessione e Caching dei MAC: Imposta il timeout della sessione su 6 ore (coprendo l'intera durata dell'evento). Configura un TTL per il caching dei MAC di 7 giorni. Quando un tifoso si autentica una volta, il suo indirizzo MAC viene memorizzato nella cache. Se perde temporaneamente la connessione a causa del roaming o dell'elevata densità, viene autenticato di nuovo silenziosamente tramite il bypass MAC del RADIUS al momento della riassociazione, ignorando completamente il portale.
  5. Allocazione della larghezza di banda: Applica un contratto di larghezza di banda dinamico tramite il WLC: 3 Mbps in download e 1 Mbps in upload per utente. Questo è sufficiente per pubblicare sui social media e inviare messaggi, ma impedisce allo streaming video di saturare il backhaul da 10 Gbps.
Commento dell'esaminatore: Questa soluzione bilancia con successo la UX e la stabilità operativa. Disabilitando gli accessi social durante gli eventi ad alta densità, eliminiamo la dipendenza da API esterne che spesso applicano limiti di frequenza o falliscono sotto carichi improvvisi. Il caching dei MAC a 7 giorni garantisce che i tifosi che partecipano ad eventi consecutivi nei fine settimana non riscontrino alcun attrito, mentre il tempo di lease DHCP ridotto a 2 ore assicura che gli indirizzi IP vengano riciclati in modo efficiente.

Una catena di vendita al dettaglio nazionale con 450 negozi desidera passare da una rete aperta non crittografata a un sistema WiFi sicuro per gli ospiti. Richiedono una soluzione che monitori il tempo di permanenza dei clienti e le visite ripetute in tutte le sedi, sia conforme al GDPR e offra un'esperienza fluida per gli utenti dell'app fedeltà che ritornano.

Implementiamo un'architettura guest WiFi centralizzata e gestita in cloud, integrata con l'API dell'applicazione loyalty del retailer.

  1. Architettura di rete: Distribuire AP Cisco Meraki in tutte le 450 sedi, gestiti tramite un'unica dashboard. Configurare un SSID unificato: 'Retail_Guest'.
  2. Integrazione RADIUS: Configurare gli AP Meraki per utilizzare i server cloud RADIUS di Purple per l'autenticazione e l'accounting. Abilitare gli aggiornamenti provvisori di accounting RADIUS ogni 10 minuti per tracciare accuratamente il tempo di permanenza.
  3. Captive Portal conforme al GDPR: Configurare un captive portal multilingue che rilevi dinamicamente la lingua del browser dell'utente. Il portale presenta caselle di controllo deselezionate e chiare per il consenso al marketing, separate dall'accettazione dei Termini di Servizio. Gli stati del consenso vengono sincronizzati in tempo reale con il CRM del retailer tramite webhook.
  4. Onboarding dell'app basato su API: Per gli utenti dell'app loyalty, implementiamo un 'WiFi SDK' all'interno dell'app. Quando un cliente con l'app installata entra in un negozio, l'app rileva l'SSID 'Retail_Guest' e autentica automaticamente il dispositivo utilizzando un certificato digitale pre-configurato o un token sicuro tramite API, bypassando completamente il captive portal.
  5. Caching dei MAC per gli utenti senza app: Per i visitatori senza l'app, configurare una policy di caching dei MAC di 30 giorni. Al momento della prima registrazione tramite il portale, il loro MAC viene inserito in whitelist. Quando visitano uno dei 450 negozi entro 30 giorni, vengono connessi automaticamente.
Commento dell'esaminatore: Questa implementazione multi-sito sfrutta l'integrazione API per colmare il divario tra i punti vendita fisici e le applicazioni digitali. Utilizzando un WiFi SDK all'interno dell'app loyalty, il retailer bypassa il captive portal per i suoi clienti di maggior valore, offrendo un'esperienza ottimale e senza attriti. Il caching dei MAC di 30 giorni in tutte le 450 sedi garantisce la coerenza del brand e un tracciamento continuo dei dati.

Domande di esercitazione

Q1. Un punto vendita segnala che gli utenti WiFi ospiti su dispositivi iOS vengono disconnessi immediatamente dopo aver completato l'accesso al Captive Portal. I log del WLC mostrano un'autenticazione riuscita e un RADIUS CoA-ACK. Qual è la causa probabile e come si risolve?

Suggerimento: Considera in che modo il Captive Network Assistant (CNA) di iOS determina se mantenere attiva la connessione o chiudere la finestra.

Visualizza risposta modello

La causa probabile è che il browser CNA di iOS non riesce a ricevere una risposta HTTP 200 OK corretta dal server di validazione di Apple (captive.apple.com) subito dopo l'autenticazione. Quando l'utente completa il login, il browser CNA invia una richiesta in background a questo URL. Se la policy post-autenticazione del WLC blocca o reindirizza ancora questa richiesta (forse a causa di un ritardo di routing o di una ACL post-auth configurata in modo errato), il sistema operativo presume che la rete sia ancora captive ma non funzionante, e si disconnette dall'SSID. Per risolvere questo problema, verifica che il RADIUS CoA applichi istantaneamente una policy che consenta l'accesso illimitato ai domini di validazione di Apple e assicurati che non vi siano regole del firewall a monte che ritardino il traffico verso queste destinazioni.

Q2. Un network architect desidera implementare OWE per il WiFi ospiti ma è preoccupato per la compatibilità con i dispositivi legacy. Quale strategia di deployment dovrebbe utilizzare per garantire che tutti gli ospiti possano connettersi?

Suggerimento: Esamina le specifiche della modalità OWE Transition Mode definita dalla Wi-Fi Alliance.

Visualizza risposta modello

L'architect dovrebbe implementare OWE Transition Mode. Questa configurazione richiede la creazione di due SSID: un SSID aperto per i dispositivi legacy e un SSID OWE nascosto. L'SSID aperto trasmette uno speciale Information Element (IE) che pubblicizza la presenza dell'SSID OWE sicuro. I dispositivi moderni che supportano OWE rileveranno automaticamente questo IE e passeranno all'SSID OWE crittografato in modo trasparente, mentre i dispositivi legacy rimarranno connessi all'SSID aperto non crittografato. Ciò garantisce il 100% di compatibilità, proteggendo al contempo le connessioni per i dispositivi abilitati.

Q3. Un IT manager presso un centro congressi nota che la CPU del WLC sale al 95% durante i grandi eventi, quando migliaia di utenti tentano di connettersi contemporaneamente al WiFi ospiti. Come si può ottimizzare la configurazione del Captive Portal per mitigare questo problema?

Suggerimento: Concentrati sul meccanismo di reindirizzamento e su dove viene elaborato il carico crittografico.

Visualizza risposta modello

Il picco della CPU è probabilmente causato dal WLC che elabora un volume elevato di reindirizzamenti HTTPS locali, il che richiede al controller di eseguire handshake SSL/TLS ad alta intensità di risorse per ogni client non autenticato. Per mitigare questo problema: 1) Implementare l'API Captive Portal RFC 8910, che consente ai dispositivi moderni di interrogare lo stato del Captive Portal tramite DHCP o Router Advertisement, evitando la necessità di un'intercettazione HTTP/HTTPS attiva. 2) Ottimizzare l'ACL di pre-autenticazione per consentire l'accesso diretto ai comuni domini CDN e di validazione, riducendo il numero di richieste intercettate. 3) Sgravare l'elaborazione del reindirizzamento utilizzando il reindirizzamento basato su AP (local switching) anziché centralizzare tutta l'elaborazione del web-auth sul WLC.

Continua a leggere questa serie

La Guida Enterprise per l'Installazione del WiFi per gli Ospiti: Sicurezza, Segmentazione e Velocità

Questa guida tecnica enterprise fornisce istruzioni operative per IT manager e architetti di rete sulla distribuzione di un WiFi per gli ospiti sicuro e segmentato. Copre l'architettura VLAN, la crittografia WPA3, l'autenticazione 802.1X, la conformità PCI-DSS e GDPR, e l'integrazione del livello di Captive Portal agnostico rispetto all'hardware di Purple.

Leggi la guida →

Come configurare il WiFi per gli ospiti: Guida alla segmentazione della rete aziendale

Questa guida illustra in dettaglio l'architettura tecnica, gli standard di autenticazione e la metodologia di implementazione necessari per creare una rete WiFi aziendale sicura e segmentata. Imparerai come implementare il modello a tre SSID, distribuire l'autenticazione 802.1X per il personale, configurare Captive Portal per l'accesso degli ospiti in conformità con il GDPR e ridurre l'ambito PCI-DSS.

Leggi la guida →

Come implementare limitazioni di tempo e larghezza di banda sul WiFi per gli ospiti

Una guida tecnica di riferimento autorevole sull'implementazione di limitazioni di tempo e larghezza di banda sulle reti WiFi per ospiti aziendali. Questa guida fornisce progetti architetturali pratici, configurazioni indipendenti dai fornitori e casi di studio reali per aiutare i responsabili IT a bilanciare prestazioni di rete, conformità di sicurezza ed esperienza dei visitatori.

Leggi la guida →