Vai al contenuto principale

Cisco ISE vs. Purple WiFi: Come si Confrontano e Come Collaborano

Questa guida spiega come Cisco ISE e Purple WiFi svolgano ruoli distinti ma complementari nelle reti aziendali. Descrive in dettaglio come utilizzare Cisco ISE per l'accesso aziendale sicuro tramite 802.1X, sfruttando al contempo Purple per il WiFi ospiti conforme al GDPR, l'analisi di marketing e l'integrazione CRM.

📖 6 minuti di lettura📝 1,259 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Agisci come un consulente senior per la sicurezza di rete che tiene un briefing a un cliente in inglese britannico con un tono fiducioso, autorevole e colloquiale. Parla chiaramente e a un ritmo misurato, come se stessi presentando a un consiglio di amministrazione di direttori IT e architetti di rete. Questo è un briefing tecnico professionale, non una lezione. Parla in inglese britannico con una pronuncia standard ricevuta: Benvenuti alla serie di briefing tecnici di Purple. Oggi risponderemo a una domanda che sorge costantemente nella progettazione delle reti aziendali: Cisco ISE contro Purple WiFi. Come si confrontano e, cosa ancora più importante, come lavorano insieme? Vi darò la risposta diretta in circa dieci minuti. [pausa media] Iniziamo con il contesto. Se gestite un hotel, un patrimonio retail, uno stadio o un edificio del settore pubblico, avete quasi certamente due popolazioni distinte che si connettono alla vostra rete. Avete il personale e i dispositivi aziendali, e avete ospiti, visitatori, fan o acquirenti. Queste due popolazioni hanno requisiti di autenticazione completamente diversi, diversi diritti sui dati e diversi obiettivi di business. L'errore che la maggior parte delle organizzazioni commette è cercare di risolvere entrambi i problemi con un unico strumento. È da qui che nasce la confusione tra Cisco ISE e Purple. [pausa media] Sezione uno: cosa fa effettivamente Cisco ISE. Cisco Identity Services Engine, o ISE, è la piattaforma aziendale di Network Access Control di Cisco. Il suo compito è autenticare e autorizzare i dispositivi aziendali e gli utenti del personale. Lo fa principalmente attraverso lo standard IEEE 802.1X, che è lo standard di controllo dell'accesso alla rete basato su porta. Quando un laptop aziendale si connette alla rete, ISE ne verifica il certificato tramite EAP-TLS, o le sue credenziali tramite PEAP, lo convalida rispetto ad Active Directory o Microsoft Entra ID, ne valuta lo stato di sicurezza e quindi lo assegna alla VLAN corretta con la policy corretta. Se il dispositivo non supera la valutazione dello stato di sicurezza, ISE può metterlo in quarantena automaticamente utilizzando RADIUS Change of Authorisation, o CoA. ISE gestisce anche l'onboarding BYOD, in cui i dispositivi personali vengono registrati con un certificato in modo da potersi autenticare in modo sicuro senza una password condivisa. Inoltre si integra con il framework pxGrid di Cisco, che consente ad altri strumenti di sicurezza come firewall e piattaforme SIEM di consumare il contesto di identità in tempo reale. I tre livelli di licenza ISE sono Essentials, Advantage e Premier. Essentials copre lo standard 802.1X e l'accesso guest di base. Advantage aggiunge BYOD, valutazione dello stato di sicurezza e integrazione MDM di terze parti. Premier aggiunge servizi di identità passiva e integrazione avanzata delle minacce. [pausa media] ISE è quindi una piattaforma di sicurezza seria e di livello enterprise. Ma ecco il punto cruciale: il suo portale ospiti è funzionale, non commerciale. ISE può reindirizzare un dispositivo non autenticato a una pagina web, raccogliere un nome utente e una password o l'approvazione di un garante, e concedere l'accesso a Internet. Quello che non può fare è acquisire il consenso di marketing conforme al GDPR, gestire splash page personalizzate con il brand e social login, inserire i dati dei visitatori in Salesforce o HubSpot, generare mappe termiche delle presenze o segmentare i visitatori in base ai dati demografici per una campagna di marketing. Non è per questo che ISE è stato progettato, e cercare di adattarlo a questo ruolo crea complessità senza produrre il risultato commerciale desiderato. Sei un consulente senior per la sicurezza di rete che continua un briefing tecnico in inglese britannico con un tono sicuro, autorevole e colloquiale. Parla in modo chiaro e con un ritmo misurato. Parla in inglese britannico con un accento standard "received pronunciation": Sezione due: cosa fa Purple. Purple è una piattaforma cloud overlay. Si posiziona al di sopra della tua infrastruttura WiFi esistente, che si tratti di Cisco Meraki, Cisco Catalyst, HPE Aruba, Ruckus, Juniper Mist o di uno qualsiasi degli altri principali produttori. Non sostituiamo l'hardware. Non sostituiamo ISE. Gestiamo il livello relativo all'esperienza degli ospiti. Quando un visitatore si connette al tuo SSID ospiti, Purple intercetta la connessione e presenta un Captive Portal personalizzato con il tuo brand. Questo portale può offrire il social login tramite Facebook, Google o LinkedIn, un modulo di acquisizione dati personalizzato, un'opzione click-to-connect o Passpoint per la riconnessione automatica e sicura durante le visite successive. Ogni accesso acquisisce dati di prima parte con il consenso esplicito ai sensi del GDPR. Tali dati confluiscono direttamente nel tuo CRM, nella tua piattaforma di email marketing o nel tuo programma di fidelizzazione. Purple opera in oltre 80.000 sedi attive e ha gestito 440 milioni di accessi nel solo 2024. Deteniamo la certificazione ISO 27001, siamo conformi a GDPR e CCPA, e manteniamo un tempo di attività del 99,999%. Tra i clienti di rilievo figurano McDonald's, Harrods, Premier Inn, AGS Airports e Manchester Airports Group. [pausa media] Sezione tre: come coesistono in una moderna topologia di rete. L'architettura è semplice una volta compresa la separazione delle competenze. Gestisci due o tre SSID sugli stessi access point. L'SSID aziendale utilizza WPA3-Enterprise con 802.1X, e ISE funge da server RADIUS. Ogni dispositivo del personale si autentica con un certificato o una credenziale. ISE assegna il dispositivo alla VLAN corretta, applica la policy corretta e registra la sessione. Purple non ha alcun ruolo in questo ambito. Questo è interamente il dominio di ISE. L'SSID ospiti è aperto o utilizza WPA3-Personal con una chiave precondivisa per l'associazione iniziale. Il traffico viene reindirizzato al portale cloud di Purple. Purple gestisce l'autenticazione, l'acquisizione del consenso e l'analisi dei dati. L'access point applica un walled garden fino a quando Purple non segnala l'autorizzazione, quindi apre l'accesso a Internet. ISE non ha alcun ruolo in questo ambito. Questo è il dominio di Purple. Per implementazioni più complesse, puoi aggiungere un terzo SSID per i dispositivi IoT, utilizzando identity pre-shared keys, o iPSK, dove ogni dispositivo riceve una passphrase univoca mappata su una VLAN specifica. ISE può gestire questo per l'IoT aziendale, oppure la funzionalità SecurePass di Purple si occupa dell'IoT per le sedi fisiche, come i terminali per i punti vendita e la segnaletica digitale. Se desideri un'integrazione più stretta tra le due piattaforme, pxGrid di Cisco consente a Purple di pubblicare il contesto della sessione ospite all'interno dell'ecosistema ISE, in modo che il team addetto alle operazioni di sicurezza possa visualizzare l'attività degli ospiti insieme a quella aziendale in una vista unificata. [medium pause] Sezione quattro: consigli per l'implementazione ed errori comuni. Permettimi di illustrarti i tre errori più comuni che riscontro nelle implementazioni. Primo: utilizzare il Captive Portal integrato di ISE per il WiFi ospiti commerciale. Il Captive Portal ospiti di ISE è progettato per collaboratori esterni e personale temporaneo, non per un accesso ospiti orientato al marketing. Non offre alcuna integrazione con i sistemi CRM, nessuna gestione del consenso e nessun analytics. Se operi nei settori dell'ospitalità, del retail o degli eventi, hai bisogno di Purple sull'SSID ospiti. ISE gestisce la rete aziendale. Purple gestisce gli ospiti. Tienili separati. Secondo: non segmentare correttamente le VLAN. Il traffico ospiti deve essere isolato dal traffico aziendale a livello due. Purple opera in una VLAN separata instradata direttamente verso Internet, senza alcun accesso alle risorse interne. ISE impone l'assegnazione delle VLAN per i dispositivi aziendali. Se unisci queste due reti, crei una vulnerabilità di sicurezza e un problema di conformità. Terzo: trascurare la configurazione del walled garden. Quando Purple funge da Captive Portal, l'access point deve consentire il traffico DNS e HTTP verso gli endpoint cloud di Purple prima dell'autenticazione. Se il tuo walled garden è troppo restrittivo, il portale non si caricherà. Se è troppo permissivo, gli utenti potranno aggirare l'autenticazione. La documentazione di supporto di Purple fornisce gli intervalli IP e i domini esatti da inserire nella whitelist per ciascun fornitore di hardware. [medium pause] Sezione cinque: domande a raffica. Purple sostituisce Cisco ISE? No. Risolvono problemi diversi per utenti diversi su SSID diversi. Posso eseguire Purple su Cisco Meraki senza ISE? Sì. Purple si integra nativamente con Cisco Meraki tramite le Meraki API. ISE non è richiesto per il WiFi ospiti. Posso eseguirli entrambi sugli stessi access point? Sì. La presenza di più SSID sullo stesso hardware è una pratica standard. Purple supporta lo standard 802.1X? La funzionalità SecurePass di Purple supporta WPA3-Enterprise con 802.1X per i dispositivi degli ospiti che hanno installato l'app Purple, consentendo la riconnessione automatica basata su certificato senza un Captive Portal. E per quanto riguarda la conformità PCI-DSS? Il WiFi ospiti deve essere isolato dai sistemi di carte di pagamento. L'architettura VLAN di Purple soddisfa questo requisito. ISE impone lo stesso isolamento per i dispositivi aziendali. [medium pause] Riepilogo e prossimi passi. Il framework decisionale è semplice. Se il dispositivo appartiene alla tua organizzazione o al tuo staff, ISE gestisce l'autenticazione. Se il dispositivo appartiene a un ospite, visitatore, acquirente o fan, Purple gestisce l'esperienza. Le due piattaforme condividono la stessa infrastruttura fisica ma operano in livelli logici completamente separati. Come passo successivo, mappa la tua attuale architettura SSID. Identifica quali SSID sono aziendali e quali sono per gli ospiti. Conferma che il traffico degli ospiti sia isolato tramite VLAN. Quindi valuta se il tuo attuale Captive Portal per ospiti fornisce il consenso di marketing, gli analytics e l'integrazione CRM di cui i tuoi team commerciali hanno bisogno. In caso contrario, questa è la lacuna che Purple colma. Puoi trovare la guida scritta completa, i diagrammi di architettura e gli esempi pratici su purple.ai. Grazie per il tuo tempo.

header_image.png

Executive Summary

L'architettura di rete aziendale richiede una chiara separazione delle competenze tra sicurezza aziendale e coinvolgimento commerciale dei visitatori. Quando si valuta Cisco ISE rispetto a Purple WiFi, l'errore commesso da molti responsabili IT è considerare queste piattaforme come concorrenti. Non lo sono. Cisco Identity Services Engine (ISE) è un motore di policy 802.1X e Network Access Control (NAC) leader del settore, progettato per proteggere i dispositivi aziendali e dei dipendenti. Purple è una piattaforma overlay basata su cloud creata per gestire i Captive Portals per gli ospiti, il consenso al marketing dei visitatori e la reportistica analitica operativa.

Tentare di forzare Cisco ISE a fungere da cisco ise guest portal alternative per il marketing commerciale introduce una complessità non necessaria e non riesce a fornire dati utili. Al contrario, l'implementazione di Purple WiFi insieme a Cisco ISE consente a ciascuna piattaforma di fare ciò che sa fare meglio. Purple si integra nativamente con l'infrastruttura Cisco per alleggerire la complessa logica della guest experience, lasciando al contempo le policy di sicurezza aziendali principali a Cisco ISE. Questa guida analizza come le due soluzioni coesistono in una moderna topologia di rete aziendale, fornendo strategie di implementazione pratiche per il settore retail , hospitality e grandi spazi pubblici.

Approfondimento Tecnico

Il ruolo di Cisco ISE: Controllo degli Accessi alla Rete Aziendale

Cisco ISE rappresenta lo standard di riferimento per il NAC aziendale. La sua funzione primaria è quella di autenticare e autorizzare i dispositivi e gli utenti noti che si connettono alla rete aziendale, affidandosi principalmente allo standard IEEE 802.1X per il controllo degli accessi di rete basato su porta.

Quando un computer portatile aziendale si connette a una porta dello switch o a un SSID aziendale, ISE agisce come un server RADIUS. Valuta i certificati dei dispositivi tramite EAP-TLS o le credenziali dell'utente tramite PEAP a fronte di Active Directory o Microsoft Entra ID. Successivamente, ISE esamina lo stato di sicurezza del dispositivo. Se conforme, ISE assegna la VLAN corretta e applica il Security Group Tag (SGT) adeguato. Se il dispositivo non supera la verifica di sicurezza, ISE può metterlo in quarantena utilizzando la funzione RADIUS Change of Authorisation (CoA). Per un esame più approfondito della configurazione del client, consulta la nostra guida su Che cos'è un supplicant 802.1X? Tipi di client e configurazione del dispositivo . ISE gestisce anche l'onboarding Bring Your Own Device (BYOD), dove i dispositivi personali vengono registrati con certificati per un accesso sicuro e senza password. Inoltre, si integra con il framework pxGrid di Cisco, consentendo a firewall e piattaforme SIEM di utilizzare il contesto di identità in tempo reale. Le licenze di ISE sono suddivise in tre livelli: Essentials, Advantage e Premier, che scalano dal modulo base 802.1X fino all'integrazione avanzata delle minacce.

Il ruolo di Purple: Esperienza Ospiti e Analytics

Sebbene ISE eccella nella protezione delle risorse aziendali, il suo portale ospiti integrato è più utilitaristico che commerciale. Può fornire un accesso di base a Internet per i collaboratori esterni, ma non è in grado di acquisire il consenso di marketing conforme al GDPR, gestire splash page personalizzate con il brand e login social, o inviare i dati dei visitatori a piattaforme CRM come Salesforce. Purple colma esattamente questa lacuna.

Purple è un overlay cloud agnostico rispetto all'hardware. Funziona al di sopra della tua infrastruttura WiFi esistente, inclusi Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Purple controlla essenzialmente il livello dell'esperienza ospiti. Quando un visitatore si connette al tuo SSID ospiti, Purple presenta un Captive Portal personalizzato con il brand. Questo portale offre il social login tramite Facebook, Google o LinkedIn, moduli personalizzati per l'acquisizione dei dati e opzioni fluide come Passpoint.

Ogni accesso acquisisce dati di prima parte con opt-in chiari e basati su una scelta attiva. Purple elabora questi dati attraverso il suo motore di analytics, creando mappe di calore delle presenze e dati demografici dei visitatori, per poi inviarli direttamente al tuo stack di marketing. Purple opera in oltre 80.000 sedi attive e ha elaborato 440 milioni di accessi nel 2024. Disponiamo della certificazione ISO 27001 e siamo conformi a GDPR e CCPA, garantendo una stabilità di livello enterprise con un uptime del 99,999%. Per approfondire i vantaggi commerciali, consulta la nostra panoramica sulla piattaforma WiFi Analytics .

architecture_overview.png

Coesistenza Architetturale

Quando si separano gli SSID, l'architettura diventa straordinariamente semplice. Si eseguono due o tre SSID sugli stessi access point. Per un'analisi dettagliata di questo design, leggi Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi .

L'SSID aziendale utilizza WPA3-Enterprise con 802.1X, e ISE funge da server RADIUS. ISE assegna il dispositivo alla VLAN corretta e applica le policy. In questo contesto Purple non interviene.

L'SSID ospiti utilizza una rete aperta per l'associazione iniziale o WPA3-Personal con una chiave precondivisa. Il traffico viene reindirizzato al portale cloud di Purple. Purple gestisce l'autenticazione, l'acquisizione del consenso e gli analytics. L'access point applica un walled garden fino a quando Purple non segnala l'avvenuta autorizzazione, abilitando quindi l'accesso a Internet. In questo ambito ISE non ha alcun ruolo. Per i dispositivi IoT della sede, come i terminali per i punti vendita, la funzione SecurePass di Purple può gestire le Identity Pre-Shared Keys (iPSK), mentre ISE può gestire i dispositivi IoT aziendali.

comparison_chart.png

Guida all'implementazione

L'implementazione di Purple insieme a Cisco ISE richiede un'attenta configurazione dei controller LAN wireless o delle dashboard cloud.

Passo 1: Segmentazione SSID

Creare SSID separati per il traffico aziendale e quello degli ospiti. Configurare l'SSID aziendale per WPA3-Enterprise e indirizzare l'autenticazione RADIUS ai nodi Cisco ISE. Configurare l'SSID per gli ospiti per l'accesso aperto con filtraggio MAC o WPA3-Personal.

Passo 2: Isolamento VLAN

Assicurarsi che il traffico degli ospiti sia isolato da quello aziendale a livello Layer 2. L'SSID degli ospiti deve essere mappato su una VLAN dedicata che esclude le tabelle di routing interne e instrada direttamente al firewall internet. ISE applica l'assegnazione della VLAN per l'SSID aziendale in base alle policy.

Passo 3: Configurazione del Walled Garden

Per l'SSID degli ospiti, configurare il reindirizzamento del Captive Portal per puntare all'infrastruttura cloud di Purple. È necessario configurare un walled garden (ACL di pre-autorizzazione) sui punti di accesso per consentire il traffico DNS e HTTP/HTTPS verso gli intervalli IP e i domini richiesti da Purple. Se il walled garden è troppo restrittivo, il Captive Portal non si caricherà.

Passo 4: Integrazione RADIUS per Guest WiFi

Configurare il controller wireless per utilizzare i server RADIUS di Purple per l'SSID degli ospiti. Ciò consente a Purple di autorizzare l'utente e di monitorare la durata della sessione e l'utilizzo della larghezza di banda.

Best Practice

  1. Non mischiare mai il traffico degli ospiti e quello aziendale sullo stesso SSID. Questo comporta notevoli rischi per la sicurezza e la conformità. Utilizzare sempre SSID dedicati mappati su VLAN isolate.
  2. Utilizzare Purple per l'accesso commerciale degli ospiti. Non utilizzare il portale ospiti integrato di ISE se si necessita di analisi di marketing, integrazione CRM o login social personalizzato.
  3. Applicare una larghezza di banda a livelli. Offrire un servizio di base gratuito sull'SSID degli ospiti e un'opzione premium a pagamento per velocità più elevate utilizzando i piani Purple Connect, Purple Capture o Purple Engage.
  4. Sfruttare Passpoint. Utilizzare Passpoint (Hotspot 2.0) tramite Purple per consentire agli ospiti che ritornano di connettersi in modo automatico e sicuro senza dover visualizzare ripetutamente il Captive Portal.

Risoluzione dei problemi e mitigazione dei rischi

  • Il Captive Portal non si carica: Questo problema è quasi sempre dovuto al walled garden. Verificare che tutti i domini e gli indirizzi IP richiesti da Purple siano consentiti nell'ACL di pre-autenticazione dell'hardware Cisco.
  • I dispositivi degli ospiti accedono alle risorse interne: Questo indica un errore nell'isolamento della VLAN. Verificare che la VLAN degli ospiti non possa instradare verso le sottoreti aziendali a livello di firewall o di switch principale.* RADIUS Timeout: Se il controller wireless non riesce a raggiungere i server RADIUS di Purple, l'autenticazione degli ospiti fallirà. Assicurati che il tuo firewall consenta le porte UDP in uscita 1812 e 1813 verso l'infrastruttura di Purple.

ROI e Impatto Aziendale

L'impatto aziendale derivante dalla separazione del controllo degli accessi di rete Cisco ISE dalla gestione della guest experience è estremamente significativo. Delegando le responsabilità del guest WiFi a Purple, i team IT possono ridurre il carico operativo legato alla gestione degli account temporanei e alla risoluzione dei problemi del portale.

Ancora più importante, Purple trasforma la rete guest in una risorsa in grado di generare ricavi. Raccogliendo dati di prima parte e integrandoli con le piattaforme CRM, le location possono avviare campagne di marketing altamente mirate. Ad esempio, Harrods ha utilizzato una semplice domanda sulla propria splash page per incrementare le iscrizioni al proprio programma fedeltà, contribuendo direttamente a un ROI di 3 volte superiore solo per quel gruppo di utenti. AGS Airports ha registrato un ritorno sull'investimento dell'842% implementando una larghezza di banda a livelli. La combinazione di Cisco ISE per la sicurezza e Purple per l'engagement offre sia tranquillità che un valore commerciale misurabile.

Definizioni chiave

Network Access Control (NAC)

Un'architettura di sicurezza che limita la disponibilità della rete ai soli dispositivi endpoint conformi e autenticati. Cisco ISE è una piattaforma NAC.

I team IT utilizzano il controllo degli accessi di rete per impedire ai dispositivi non autorizzati di accedere ai dati aziendali.

IEEE 802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta, che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN.

Utilizzato da Cisco ISE per proteggere gli SSID aziendali tramite certificati o credenziali anziché password condivise.

Captive Portal

Una pagina web che l'utente di una rete ad accesso pubblico è obbligato a visualizzare e con cui deve interagire prima che l'accesso venga concesso.

Purple fornisce captive portal altamente personalizzabili per acquisire il consenso al marketing e i dati di prima parte.

VLAN (Virtual Local Area Network)

Una sottorete logica che raggruppa una serie di dispositivi appartenenti a diverse LAN fisiche.

Fondamentale per separare il traffico degli ospiti (gestito da Purple) da quello aziendale (gestito da ISE).

Walled Garden

Un ambiente limitato che controlla l'accesso dell'utente a contenuti e servizi web prima che sia avvenuta la completa autenticazione.

Deve essere configurato correttamente sull'hardware Cisco per consentire ai dispositivi di raggiungere i server di Purple per caricare il captive portal.

RADIUS

Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e tracciamento delle attività.

Sia ISE che Purple utilizzano lo standard RADIUS, ma per scopi diversi: ISE per l'accesso aziendale 802.1X, Purple per la gestione delle sessioni degli ospiti.

Passpoint (Hotspot 2.0)

Uno standard che consente ai dispositivi mobili di rilevare e connettersi automaticamente alle reti WiFi in modo sicuro senza l'intervento dell'utente.

Purple supporta lo standard Passpoint per offrire un'esperienza di roaming fluida, simile a quella cellulare, per gli ospiti che ritornano.

pxGrid

Platform Exchange Grid. Un framework di Cisco che consente la collaborazione tra sistemi di rete multivendor e multipiattaforma.

Consente a Purple di condividere il contesto delle sessioni degli ospiti con l'ecosistema Cisco ISE per una visibilità unificata della sicurezza.

Esempi pratici

Un hotel di 200 camere ha l'esigenza di fornire un accesso WiFi sicuro per il personale interno (servizio pulizie, direzione) e un'esperienza WiFi con captive portal personalizzato e acquisizione dati per gli ospiti dell'hotel. Attualmente utilizzano access point Cisco Catalyst.

Configurare due SSID. 'Hotel_Corp' utilizza lo standard WPA3-Enterprise. Cisco ISE funge da server RADIUS, autenticando i dispositivi del personale tramite certificati EAP-TLS e assegnandoli alla VLAN di gestione. 'Hotel_Guest' utilizza un SSID aperto con reindirizzamento a Purple. Purple presenta un captive portal personalizzato che offre il login social o l'integrazione con il PMS. Il traffico degli ospiti viene instradato su una VLAN isolata con accesso diretto a internet.

Commento dell'esaminatore: Questo approccio separa perfettamente le diverse esigenze. ISE protegge le risorse aziendali, mentre Purple gestisce i requisiti commerciali di acquisizione dei dati degli ospiti per il team di marketing dell'hotel. L'isolamento della VLAN garantisce la conformità con gli standard PCI-DSS.

Una grande catena di negozi desidera monitorare l'afflusso e il tempo di permanenza dei clienti in 50 punti vendita utilizzando l'infrastruttura Cisco Meraki esistente, senza compromettere la sicurezza della rete interna dei punti cassa (POS).

I terminali POS si connettono a un SSID nascosto protetto da WPA3-Enterprise e Cisco ISE. Un SSID pubblico 'Free_Store_WiFi' viene trasmesso per i clienti. La dashboard Meraki viene configurata per integrarsi con Purple tramite API. Purple acquisisce dati di presenza anonimizzati dai dispositivi in ricerca di rete per generare mappe di calore, e acquisisce dati di prima parte espliciti quando i clienti accedono al captive portal.

Commento dell'esaminatore: L'utilizzo dell'overlay cloud di Purple con Meraki non richiede alcun nuovo hardware. La catena di negozi ottiene analisi approfondite e dati di marketing, mentre ISE garantisce che la rete POS rimanga protetta, isolata e conforme.

Domande di esercitazione

Q1. Il tuo direttore marketing desidera acquisire indirizzi email e dati demografici dai visitatori che utilizzano il WiFi ospiti nei tuoi punti vendita. Il team di ingegneria di rete suggerisce di abilitare la funzionalità di portale ospiti integrata nella tua installazione esistente di Cisco ISE. È questo l'approccio corretto?

Suggerimento: Considera le funzionalità commerciali del portale ospiti ISE rispetto a una piattaforma overlay dedicata.

Visualizza risposta modello

No. Il portale ospiti di Cisco ISE è progettato per l'accesso funzionale (ad es. appaltatori), non per il marketing commerciale. Manca di integrazioni native con i CRM, di flussi di gestione del consenso GDPR e di analisi dettagliate dei visitatori. L'approccio corretto consiste nell'implementare Purple sull'SSID ospiti per gestire l'acquisizione dei dati e l'analisi, lasciando che ISE gestisca la rete aziendale.

Q2. Un ospite si connette all'SSID gestito da Purple ma il suo browser mostra un errore di timeout invece della splash page del Captive Portal. Gli utenti aziendali sull'SSID gestito da ISE non riscontrano problemi. Qual è la causa più probabile?

Suggerimento: Pensa a cosa deve accadere prima che l'autenticazione sia completata su una rete con Captive Portal.

Visualizza risposta modello

La causa più probabile è un walled garden (ACL di pre-autenticazione) configurato in modo errato sull'access point wireless o sul controller. Al dispositivo viene impedito di raggiungere l'infrastruttura cloud di Purple per caricare il portale. È necessario assicurarsi che i domini e gli intervalli IP specifici di Purple siano inseriti nella whitelist.

Q3. Stai progettando una rete per una nuova sede aziendale. Devi supportare i laptop del personale, i telefoni personali del personale (BYOD) e i clienti in visita. Come dovresti progettare gli SSID e l'autenticazione?

Suggerimento: Separa i gruppi di utenti in base alla proprietà del dispositivo e ai livelli di accesso richiesti.

Visualizza risposta modello

Distribuisci due SSID. L'SSID aziendale utilizza WPA3-Enterprise. Cisco ISE gestisce l'autenticazione 802.1X per i laptop del personale e gestisce la registrazione dei certificati per i dispositivi BYOD del personale, assegnandoli a VLAN interne. L'SSID ospiti è aperto e reindirizzato a Purple. Purple gestisce l'autenticazione del Captive Portal per i clienti in visita, posizionandoli su una VLAN isolata con solo accesso a Internet.

Continua a leggere questa serie

Configuring RADIUS Authentication for Guest and Staff WiFi Networks

Questa guida di riferimento tecnica descrive l'architettura, la configurazione e l'implementazione dell'autenticazione RADIUS per le reti WiFi aziendali per ospiti e personale. Fornisce ai network architect e ai manager IT i protocolli esatti, gli standard di sicurezza e le metodologie di risoluzione dei problemi necessari per creare sistemi di controllo degli accessi wireless sicuri e scalabili.

Leggi la guida →

Passpoint and OpenRoaming: Complete Guide

Questa guida di riferimento tecnico fornisce un'analisi completa dei framework Passpoint (Hotspot 2.0) e WBA OpenRoaming all'interno delle reti WiFi aziendali. Descrive in dettaglio i protocolli di autenticazione sottostanti, i componenti architetturali e le strategie di implementazione necessarie per stabilire una connettività guest sicura e senza attriti. I progettisti di rete e i responsabili IT impareranno a progettare, implementare e risolvere i problemi di questi standard per eliminare le barriere di accesso manuale mantenendo al contempo una sicurezza di livello enterprise.

Leggi la guida →

Come Implementare SCEP per il Secure BYOD e l'Iscrizione di Rete nell'Istruzione Superiore

Questa guida tecnica fornisce ad architetti di rete e responsabili IT un modello indipendente dal fornitore per implementare la registrazione dei certificati basata su SCEP per proteggere le reti dei campus universitari. Descrive in dettaglio come migrare dal protocollo PEAP basato su password a 802.1X EAP-TLS, automatizzare l'onboarding dei dispositivi BYOD e applicare una robusta segmentazione VLAN.

Leggi la guida →