Vai al contenuto principale
Italiano

Configurazione del reindirizzamento del Captive Portal sui controller di rete aziendali

Questa guida autorevole descrive dettagliatamente l'architettura tecnica e i passaggi di configurazione specifici del fornitore necessari per implementare il reindirizzamento del Captive Portal sui controller di rete aziendali. Fornisce indicazioni pratiche per i team IT sulla configurazione dei walled garden, sull'integrazione dell'autenticazione RADIUS e sulla conformità alle normative GDPR e PCI DSS.

📖 6 minuti di lettura📝 1,397 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuto al Technical Briefing di Purple. Sono la tua guida e, nei prossimi dieci minuti, entreremo direttamente nel vivo di uno degli argomenti più cercati e meno documentati nel mondo del WiFi aziendale: la configurazione del reindirizzamento del Captive Portal sui controller di rete. Se hai mai cercato "configurar controlador portal cautivo" senza trovare risposte utili, questo è il briefing di cui avevi bisogno. Copriremo l'intero scenario: l'architettura tecnica, i passaggi di configurazione per i singoli controller, i requisiti di conformità e le insidie reali che mettono in difficoltà anche i team di rete più esperti. Iniziamo. Un Captive Portal è il meccanismo che intercetta la prima richiesta HTTP o HTTPS del dispositivo di un ospite dopo la connessione alla tua rete WiFi e lo reindirizza a una splash page personalizzata prima di concedere l'accesso a Internet. Tale splash page potrebbe richiedere un login social, la compilazione di un modulo, un semplice clic per l'accettazione dei termini o una verifica delle credenziali basata su RADIUS. Il reindirizzamento stesso viene gestito a livello di controller, non dall'access point o dal firewall. Il controller intercetta il traffico del client non autenticato, applica una lista di controllo degli accessi di pre-autenticazione (quella che chiamiamo walled garden) e reindirizza il browser del client all'URL del tuo portale. Perché questo è importante a livello commerciale? Per tre ragioni. In primo luogo, la conformità. In base al GDPR, sei tenuto a ottenere un consenso esplicito e informato prima di raccogliere dati personali dai visitatori. Un Captive Portal correttamente configurato è il tuo strumento di consenso. Senza di esso, raccogli dati in assenza di una base giuridica, esponendoti a rischi normativi. In secondo luogo, la sicurezza. Un SSID aperto senza autenticazione rappresenta un rischio. Il reindirizzamento tramite Captive Portal, combinato con la segmentazione VLAN e un server RADIUS, ti offre una tracciabilità per sessione. Sai chi si è connesso, quando e da quale dispositivo. In terzo luogo, la business intelligence. Ogni sessione autenticata rappresenta un punto di dati proprietari (first-party data). Purple elabora 440 milioni di accessi all'anno in 80.000 sedi. Questi dati — tempo di permanenza, frequenza delle visite, indicatori demografici — sono disponibili solo se il tuo Captive Portal è configurato correttamente per acquisirli e trasmetterli. Ora ti guiderò attraverso il flusso di reindirizzamento, passo dopo passo. Passo uno: il dispositivo di un ospite si associa al tuo SSID ospite. Il controller gli assegna un indirizzo IP tramite DHCP, ma lo inserisce in uno stato di pre-autenticazione limitato. Tutto il traffico viene bloccato, ad eccezione del DNS e dei domini del walled garden che hai esplicitamente autorizzato. Passo due: l'ospite apre un browser. La sua richiesta HTTP raggiunge il controller. Il controller la intercetta e genera un reindirizzamento 302 all'URL del tuo portale. Questo è il meccanismo di reindirizzamento principale. Passo tre: il browser dell'ospite carica la tua splash page, ospitata sul controller stesso o, come avviene più comunemente nelle distribuzioni aziendali, su una piattaforma cloud esterna come Purple. Fase quattro: l'ospite si autentica tramite social login, modulo o credenziali. Il portale invia un segnale di autorizzazione al controller, in genere tramite un messaggio RADIUS Access-Accept o un bypass di autorizzazione MAC. Fase cinque: il controller sposta il client dalla VLAN di pre-autenticazione alla VLAN di post-autenticazione, rimuove la regola di reindirizzamento e concede l'accesso a Internet. Questo flusso in cinque fasi è coerente su tutte le principali piattaforme di controller. Ciò che differisce è il modo in cui si configura ciascuna fase su Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi e altri. Esaminiamo le piattaforme principali. Cisco Meraki. Meraki utilizza una splash page personalizzata configurata interamente tramite la Dashboard di Meraki - non è presente alcuna CLI. Accedere a Wireless, quindi a Access Control, selezionare il proprio SSID guest, impostare la splash page su "Sign-on con server RADIUS" o "Click-through", quindi inserire l'URL del portale esterno nel campo Custom Splash URL. Il walled garden è configurato nella sezione Advanced Splash Settings: si aggiungono gli indirizzi IP del server del portale in modo che l'ospite possa raggiungere la splash page prima dell'autenticazione. I dettagli del server RADIUS vanno nella sezione RADIUS: autenticazione sulla porta 1812, accounting sulla porta 1813. HPE Aruba. Su ArubaOS, si configura un profilo di Captive Portal nella sezione AAA, specificando l'URL di login, il gruppo di server che punta al server RADIUS e l'URL di reindirizzamento. Successivamente, si applica tale profilo al proprio SSID tramite il profilo AP virtuale. Il ruolo di pre-autenticazione — quello che Aruba chiama ruolo di "logon" — contiene l'ACL che consente DNS, DHCP e l'accesso all'intervallo IP del server del portale. Dopo l'autenticazione, il controller assegna il ruolo "authenticated", che consente l'accesso completo a Internet. Ruckus SmartZone utilizza un tipo di WLAN Hotspot per le distribuzioni di Captive Portal. Sotto la configurazione WLAN, impostare il tipo di WLAN su Hotspot, quindi configurare l'URL del portale, il server RADIUS per l'autenticazione e l'accounting e le voci del walled garden. L'interfaccia Northbound Portal gestisce il flusso di autorizzazione MAC tra il portale e il controller. Juniper Mist utilizza un approccio cloud-native. Sotto Network, quindi WLANs, creare una WLAN guest e impostare il tipo di portale su "Captive Portal esterno". Inserire l'URL del portale e configurare i dettagli del server RADIUS. Mist passa il MAC del client, il MAC dell'AP e il nome dell'SSID come parametri URL al portale. Ubiquiti UniFi. Nel controller di rete UniFi, accedere a Impostazioni, quindi a WiFi, selezionare la rete guest e, in Opzioni avanzate, impostare la Guest Policy per abilitare il portale hotspot. Impostare il tipo di portale su "Esterno" e inserire l'URL del portale. Configurare il server RADIUS sotto Profili, quindi RADIUS. Il walled garden è l'elemento configurato in modo errato più comunemente nelle distribuzioni di Captive Portal. Se si commette un errore qui, gli ospiti visualizzeranno un errore del browser anziché la splash page. Il walled garden deve consentire, come minimo: gli indirizzi IP o il dominio del server del portale, gli indirizzi IP del server RADIUS, la risoluzione DNS sulla porta 53 e il DHCP sulle porte 67 e 68. Se il portale carica risorse da una CDN (font, immagini, JavaScript), anche i domini di tale CDN devono essere inclusi nel walled garden. Per le implementazioni Purple, forniamo gli intervalli IP e i domini specifici da inserire nella whitelist durante l'onboarding. La modalità di errore più comune è un portale che carica il frame HTML ma non riesce a eseguire il rendering delle immagini o a eseguire JavaScript perché i domini della CDN mancano nel walled garden. Qui dominano due standard di conformità: GDPR e PCI DSS. Ai sensi del GDPR, il tuo captive portal deve presentare un meccanismo di consenso chiaro e specifico prima di raccogliere dati personali. Ciò significa caselle di controllo separate e non selezionate per l'accesso WiFi e il consenso al marketing. Non è possibile raggrupparli. Il registro dei consensi deve essere memorizzato e recuperabile a fini di audit. La piattaforma di Purple gestisce questo aspetto automaticamente, memorizzando i record di consenso per ogni sessione autenticata. Ai sensi del PCI DSS, se la tua sede elabora pagamenti con carta, la rete WiFi per gli ospiti deve essere isolata dall'ambiente delle carte di pagamento. Ciò significa una VLAN ospite dedicata con regole di firewall che impediscono qualsiasi routing tra il segmento ospiti e la rete POS. La versione 4.0 di PCI DSS, diventata obbligatoria a marzo 2024, richiede test di segmentazione della rete almeno ogni sei mesi. Ecco due scenari concreti. Scenario uno: un hotel da 350 camere che utilizza Cisco Meraki. L'hotel desidera sostituire un portale click-through di base con un'esperienza ospite personalizzata con il proprio brand che acquisisca gli indirizzi e-mail per il programma fedeltà. La configurazione: creare un SSID ospite dedicato su una VLAN separata con solo accesso a Internet. Configurare la splash page di Meraki per puntare all'URL del portale di Purple. Configurare l'autenticazione RADIUS utilizzando i dettagli del server RADIUS di Purple. Configurare il walled garden con gli intervalli IP di Purple. Nella dashboard di Purple, creare una splash page personalizzata con un modulo che acquisisca nome, e-mail e numero di camera, con caselle di controllo esplicite per il consenso al GDPR. Collegare il connettore CRM di Purple alla piattaforma di marketing dell'hotel. Premier Inn ha implementato questo modello in tutte le sue strutture e ha registrato aumenti misurabili nei tassi di prenotazione diretta da parte degli ospiti acquisiti tramite WiFi. Scenario due: una catena di vendita al dettaglio regionale con 40 negozi che utilizzano HPE Aruba. Il rivenditore necessita di un'esperienza WiFi ospiti coerente in tutte le sedi, con analisi delle presenze per confrontare le prestazioni dei singoli negozi. Distribuisci Aruba Central per gestire tutte le 40 sedi da un'unica dashboard. Configura un modello WLAN ospiti con un Captive Portal esterno che punta a Purple. Applica il modello a tutte le sedi utilizzando la funzione di criteri di gruppo di Aruba Central. In Purple, configura un unico modello di portale da applicare a tutte le sedi, con dashboard di analisi per singolo punto vendita. Il walled garden e la configurazione RADIUS vengono definiti una sola volta nel modello e propagati automaticamente. Risultato: il team IT gestisce 40 sedi da un'unica console. Il team marketing ottiene dati sulle presenze per singolo negozio, analisi dei tempi di permanenza e tassi di visite ripetute, il tutto da un'unica dashboard Purple. Quattro errori comuni che vedo ripetutamente. Uno: errori di intercettazione HTTPS. I browser moderni e i sistemi operativi mobili utilizzano probe HTTPS per rilevare i Captive Portal. Se il controller non è in grado di intercettare il traffico HTTPS (il che richiede un certificato valido per il dominio di reindirizzamento), il probe fallisce silenziosamente e l'ospite non vede alcun reindirizzamento. La soluzione: configura l'interfaccia virtuale del controller con un certificato attendibile, oppure utilizza probe solo HTTP sul tuo SSID ospiti. Due: perdita di DNS (DNS leakage). Se la tua ACL di pre-autenticazione consente un DNS illimitato, gli ospiti possono utilizzare il tunneling DNS per aggirare completamente il Captive Portal. Limita il DNS solo al resolver designato. Tre: discrepanze nel timeout di sessione. Se il timeout di sessione del controller è inferiore alla validità del token di sessione del portale, gli ospiti verranno reindirizzati al portale a metà sessione. Allinea questi valori: in genere 24 ore per il settore alberghiero, otto ore per la vendita al dettaglio. Quattro: assenza di accounting. L'accounting RADIUS (i messaggi Accounting-Start e Accounting-Stop) è il modo in cui il portale sa che una sessione è terminata. Senza l'accounting configurato, i record di sessione del portale saranno imprecisi e le analisi inaffidabili. Domande rapide, risposte rapide. Posso utilizzare un portale esterno con qualsiasi controller? Sì, a condizione che il controller supporti il reindirizzamento al Captive Portal esterno, come fanno tutte le piattaforme di cui abbiamo discusso. Ho bisogno di un server RADIUS per gestire un Captive Portal? Non sempre. I semplici portali click-through possono utilizzare il bypass dell'autorizzazione MAC senza un server RADIUS completo. Ma per i portali con credenziali o login social, RADIUS è il meccanismo standard. Il Captive Portal funziona con il WPA3? Sì. Il WPA3 gestisce il livello di crittografia wireless. Il Captive Portal gestisce il livello di autenticazione. Operano in modo indipendente e sono completamente compatibili. In che modo Purple si integra con il controller esistente? Purple funge da server del portale esterno. È sufficiente puntare l'URL splash del controller all'endpoint del portale di Purple, configurare il walled garden con gli intervalli IP di Purple e configurare RADIUS utilizzando i dettagli del server di Purple. L'integrazione segue lo stesso processo indipendentemente dal fatto che si utilizzi Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist o Ubiquiti UniFi. In sintesi, il reindirizzamento del Captive Portal viene configurato a livello di controller, non di access point. I componenti principali sono: l'URL splash che punta al portale, il walled garden che consente l'accesso al server del portale, RADIUS per l'autenticazione e l'accounting e la segmentazione VLAN per l'isolamento della rete. I passaggi di configurazione variano a seconda del fornitore, ma l'architettura è coerente. In termini di conformità, il portale deve implementare l'acquisizione del consenso conforme al GDPR e la segmentazione della rete conforme a PCI DSS. Lo standard WPA3 è l'attuale standard per la crittografia wireless e dovrebbe rappresentare la specifica di base per qualsiasi nuova implementazione. Purple si integra nativamente con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Con oltre 80.000 location e 440 milioni di accessi nel 2024, la piattaforma è progettata per essere indipendente dall'hardware: la scelta del controller non limita la capacità di acquisire dati degli ospiti di prima parte o di eseguire analisi. Il prossimo passo: verifica la configurazione attuale del controller rispetto alla checklist del walled garden e dell'accounting RADIUS presente in questa guida. Se stai implementando una nuova rete WiFi per gli ospiti, inizia con i passaggi di configurazione specifici del fornitore per la piattaforma del tuo controller e collega Purple come portale esterno. Grazie per l'attenzione. Questo è stato il Technical Briefing di Purple.

header_image.png

Executive Summary

La configurazione del reindirizzamento al Captive Portal su un controller di rete enterprise è un requisito fondamentale per offrire un servizio WiFi ospiti sicuro e conforme. Se configurato correttamente, il controller intercetta il traffico dei client non autenticati e invia un reindirizzamento HTTP 302 a un portale esterno, consentendo l'autenticazione, l'acquisizione del consenso e la segmentazione della rete. In caso di errata configurazione, si verificano errori di connessione silenziosi, avvisi di sicurezza del browser ed esposizioni in termini di conformità.

Questa guida fornisce l'architettura tecnica e i passaggi di configurazione specifici del fornitore necessari per distribuire Captive Portal esterni su Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e Ubiquiti UniFi. Dettagliamo i meccanismi del flusso di reindirizzamento, i requisiti precisi per la configurazione del walled garden e l'integrazione di RADIUS per l'autenticazione e l'accounting. Seguendo questi passaggi, ti assicurerai che la tua rete ospiti soddisfi i requisiti di segmentazione PCI DSS, acquisisca il consenso esplicito GDPR e instradi in modo sicuro i dati di prima parte verso piattaforme come Purple.

Technical Deep-Dive

Il meccanismo di reindirizzamento al Captive Portal opera a livello di controller di rete. Si basa su una sequenza specifica di modifiche dello stato della rete per intercettare, autenticare e autorizzare un dispositivo client.

architecture_overview.png

Il Flusso di Reindirizzamento

  1. Associazione e DHCP: Un dispositivo ospite si associa all'SSID ospite. Il controller assegna un indirizzo IP tramite DHCP ma inserisce il client in uno stato limitato di pre-autenticazione (spesso mappato su una VLAN o un ruolo specifico di pre-auth).
  2. Applicazione del Walled Garden: In questo stato di pre-autenticazione, tutto il traffico in uscita viene bloccato ad eccezione di DNS (porta 53), DHCP (porte 67 e 68) e del traffico destinato a indirizzi IP o domini specifici definiti nella lista di controllo degli accessi (ACL). Questa ACL è nota come walled garden.
  3. Intercettazione e Reindirizzamento: Quando l'ospite apre un browser e avvia una richiesta HTTP, il controller intercetta la richiesta. Invece di instradare il traffico verso Internet, il controller risponde con un codice di stato HTTP 302 Found, reindirizzando il browser all'URL del Captive Portal esterno. I moderni sistemi operativi utilizzano sonde HTTPS automatiche (come il Captive Network Assistant di Apple) per rilevare questo reindirizzamento e attivare un pseudo-browser.
  4. Autenticazione: L'ospite interagisce con la splash page ospitata sul portale esterno (es. Purple). Questo può comportare un login social, la sottomissione di un modulo o un semplice click-through. Al completamento, il portale comunica con il controller per autorizzare la sessione.
  5. Autorizzazione e Accounting: Il segnale di autorizzazione viene tipicamente inviato tramite un messaggio RADIUS Access-Accept o attraverso un'API specifica del vendor. Il controller riceve questo segnale, sposta il client nello stato post-autenticazione (spesso una VLAN differente), rimuove la regola di reindirizzamento e concede l'accesso a internet. Il controller invia quindi un messaggio RADIUS Accounting-Start per registrare la durata della sessione e l'utilizzo dei dati.

Guida all'implementazione

L'architettura fondamentale è coerente tra i vari vendor, ma la sintassi di configurazione varia in modo significativo. Di seguito sono riportati i passaggi per le principali piattaforme enterprise.

vendor_comparison_chart.png

Cisco Meraki

Cisco Meraki configura i Captive Portal interamente tramite la Meraki Dashboard.

  1. Passare a Wireless > Access Control e selezionare l'SSID guest.
  2. Sotto Splash page, selezionare Sign-on with my RADIUS server (per l'accesso basato su credenziali) o Click-through.
  3. Nel campo Custom Splash URL, inserire l'URL del portale esterno fornito da Purple.
  4. Sotto RADIUS, inserire gli indirizzi IP dei server RADIUS primario e secondario sia per l'autenticazione (porta 1812) che per l'accounting (porta 1813), insieme al shared secret.
  5. Scorrere fino a Advanced Splash Settings per configurare il walled garden. Aggiungere gli indirizzi IP o i domini del server del portale e le CDN necessarie.

HPE Aruba

La configurazione di Aruba comporta la definizione di un profilo di Captive Portal e la sua applicazione a un ruolo.

  1. In ArubaOS, passare a Configuration > Authentication > L3 Authentication.
  2. Creare un nuovo Captive Portal Authentication Profile. Inserire il Login URL che punta alla splash page di Purple.
  3. Creare un Server Group contenente i server RADIUS e assegnarlo al profilo di Captive Portal.
  4. Passare a Configuration > Security > Roles. Modificare il ruolo di pre-autenticazione (spesso denominato logon). Assicurarsi che l'ACL consenta il traffico DHCP, DNS e HTTP/HTTPS verso gli indirizzi IP del walled garden e applichi il profilo di Captive Portal a tutto l'altro traffico HTTP.
  5. Assegnare il ruolo logon come ruolo iniziale nel profilo AAA per l'SSID guest.

Ruckus SmartZone

Ruckus utilizza un tipo di WLAN specifico per le distribuzioni di hotspot.

  1. Passare a WLAN e creare una nuova WLAN. Impostare il Tipo di WLAN su Hotspot (WISPr).
  2. In Opzioni di autenticazione, selezionare Server RADIUS esterno e inserire i dettagli del server sia per l'autenticazione che per l'accounting.
  3. In Portale Hotspot, selezionare Esterno e inserire l'URL del portale.
  4. Configurare il Walled Garden aggiungendo gli indirizzi IP o i domini necessari.
  5. Ruckus si affida alla sua Northbound Portal Interface (NPI) per gestire il flusso di autorizzazione, il che richiede la configurazione delle impostazioni NPI per consentire la comunicazione dal server del portale.

Ubiquiti UniFi

UniFi fornisce un'interfaccia semplice per i portali esterni.

  1. Nel UniFi Network Controller, andare su Impostazioni > WiFi e selezionare la rete ospiti.
  2. In Opzioni avanzate, abilitare la Guest Policy.
  3. Andare su Impostazioni > Controllo ospiti. In Tipo di portale, selezionare Server portale esterno e inserire l'URL del portale.
  4. In Controllo accessi, aggiungere gli indirizzi IP richiesti all'elenco Accesso pre-autorizzazione (il walled garden).
  5. Configurare i dettagli del server RADIUS in Profili > RADIUS e applicare il profilo alla rete ospiti.

Best Practice

1. Configurazione del Walled Garden

Il walled garden è il punto di guasto più critico nelle distribuzioni di Captive Portal. Se il walled garden è incompleto, il browser dell'ospite non riuscirà a caricare la splash page, causando una schermata vuota o un errore di timeout.

È necessario consentire esplicitamente l'accesso a:

  • Indirizzi IP o domini del server del portale principale.
  • Indirizzi IP del server RADIUS.
  • Qualsiasi Content Delivery Network (CDN) utilizzata dal portale per caricare font, immagini o JavaScript.
  • Domini del provider di identità se si utilizza il social login (ad es., facebook.com, google.com).

2. Segmentazione della rete per PCI DSS

Se la tua sede elabora pagamenti con carta, la conformità PCI DSS richiede un isolamento rigoroso della rete ospiti dall'ambiente dei dati dei titolari di carta. Non fare affidamento esclusivamente sulla separazione degli SSID. È necessario configurare una VLAN ospiti dedicata a livello di controller o switch, con regole firewall che neghino esplicitamente il routing tra la VLAN ospiti e qualsiasi rete aziendale interna o Point of Sale (POS).

3. Accounting RADIUS

Configurare sempre l'accounting RADIUS. Sebbene il bypass dell'autorizzazione MAC possa concedere l'accesso, l'accounting RADIUS (messaggi Accounting-Start e Accounting-Stop) è necessario per tracciare accuratamente la durata della sessione e l'utilizzo dei dati. Senza l'accounting, la piattaforma di analytics riporterà tempi di permanenza e conteggi degli utenti simultanei imprecisi.

Risoluzione dei problemi e mitigazione dei rischi

Errori di intercettazione HTTPS

I sistemi operativi moderni utilizzano probe HTTPS per rilevare i captive portal. Se il controller intercetta una richiesta HTTPS ma presenta un certificato SSL non valido o non attendibile per il reindirizzamento, il browser mostrerà un avviso di sicurezza grave (ad es., "La connessione non è privata") e bloccherà il reindirizzamento. Per mitigare questo problema, assicurati che il controller sia provvisto di un certificato SSL valido e pubblicamente attendibile per la sua interfaccia virtuale, oppure configura il controller in modo che intercetti solo il traffico HTTP per il reindirizzamento iniziale.

DNS Leakage

Se l'ACL di pre-autenticazione consente un traffico DNS in uscita illimitato, gli utenti esperti possono utilizzare il DNS tunnelling per aggirare il captive portal e accedere a Internet senza autenticarsi. Mitiga questo problema limitando il traffico DNS in uscita nel ruolo di pre-autenticazione solo ai resolver DNS designati, bloccando tutto il restante traffico sulla porta 53.

Disallineamenti del Timeout di Sessione

Se il timeout di sessione configurato sul controller wireless è inferiore al periodo di validità della sessione definito nel portale esterno, gli ospiti verranno disconnessi improvvisamente e costretti a autenticarsi nuovamente. Assicurati che il timeout di inattività del controller e il timeout assoluto della sessione siano allineati con l'esperienza ospite desiderata (ad es., 24 ore per gli ambienti hospitality, 8 ore per il retail).

ROI e Impatto Aziendale

L'implementazione di un captive portal correttamente configurato trasforma il WiFi per gli ospiti da un costo operativo a una risorsa strategica. Integrando i controller aziendali con un livello di intelligenza come Purple, le strutture possono acquisire il consenso esplicito GDPR e raccogliere preziosi dati di prima parte.

Purple gestisce 440 milioni di accessi all'anno in 80.000 strutture. Questi dati alimentano direttamente le piattaforme CRM, consentendo campagne di marketing mirate basate sulle visite fisiche effettive. Ad esempio, gli operatori del settore Retail possono misurare l'affluenza e i tassi di visite ripetute, mentre le strutture Hospitality possono generare prenotazioni dirette coinvolgendo gli ospiti dopo il soggiorno. Il ROI si misura in un aumento del customer lifetime value, in una migliore efficienza operativa grazie a un'analisi accurata dell'affluenza e nella mitigazione del rischio normativo attraverso una gestione automatizzata della conformità.

Definizioni chiave

Captive Portal

Una pagina web che intercetta il traffico di rete non autenticato e richiede l'interazione dell'utente, come l'accettazione dei termini o la fornitura di credenziali, prima di concedere l'accesso a Internet.

Utilizzato nelle reti aziendali per applicare policy di sicurezza, acquisire dati di prima parte e garantire la conformità normativa.

Walled Garden

Un elenco di controllo degli accessi (ACL) applicato ai client non autenticati, che consente l'accesso solo a indirizzi IP o domini specifici necessari per caricare il Captive Portal.

Fondamentale per garantire il corretto caricamento della splash page; la mancanza di domini CDN nel walled garden causerà un rendering errato del portale.

RADIUS

Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e contabilità (AAA).

Utilizzato dai controller di rete per verificare le credenziali degli ospiti rispetto a un database esterno e registrare le metriche della sessione.

Segmentazione VLAN

La pratica di suddividere una rete fisica in più reti logiche per isolare il traffico.

Obbligatoria per la conformità PCI DSS per garantire che il traffico WiFi degli ospiti non possa essere instradato verso gli ambienti delle carte di pagamento.

Reindirizzamento HTTP 302

Un codice di stato di risposta HTTP standard che indica che la risorsa richiesta è stata temporaneamente spostata a un URL diverso.

Il meccanismo utilizzato dai controller di rete per intercettare la richiesta web iniziale di un ospite e indirizzare il suo browser alla splash page.

IEEE 802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta, che richiede l'autenticazione dei dispositivi prima di ottenere l'accesso alla rete.

Fornisce sicurezza di livello aziendale garantendo che ogni connessione sia autenticata singolarmente, spesso supportata da un server RADIUS.

WPA3-Enterprise

Il protocollo di sicurezza Wi-Fi più recente, che fornisce una crittografia robusta e richiede l'autenticazione 802.1X.

Consigliato per implementazioni aziendali sicure per proteggere dagli attacchi di dizionario offline e garantire la riservatezza dei dati.

MAC Authorisation Bypass (MAB)

Un metodo per concedere l'accesso alla rete basato sull'indirizzo MAC del dispositivo client anziché richiedere credenziali utente esplicite.

Spesso utilizzato nei Captive Portal click-through in cui il portale registra l'indirizzo MAC dopo che l'utente ha accettato i termini di servizio.

Esempi pratici

Un hotel da 350 camere deve distribuire un portale WiFi per gli ospiti personalizzato con il proprio brand che acquisisca gli indirizzi e-mail per il programma fedeltà, garantendo la conformità al GDPR e isolando il traffico degli ospiti dalla rete aziendale.

Il team IT distribuisce gli AP Cisco Meraki e configura un SSID ospite dedicato su VLAN 100. Nel Meraki Dashboard, imposta la splash page su "Accedi con il mio server RADIUS" e inserisce l'URL del portale di Purple. Configura il walled garden per includere gli intervalli IP e i domini CDN di Purple. Le regole del firewall vengono applicate alla VLAN 100, negando il routing verso la VLAN aziendale per garantire la conformità PCI DSS. Nella piattaforma Purple, viene creato un portale personalizzato con un modulo di acquisizione dati e caselle di controllo esplicite per il consenso GDPR. Il connettore CRM di Purple è configurato per sincronizzare le e-mail acquisite direttamente con la piattaforma di marketing dell'hotel.

Commento dell'esaminatore: Questo approccio risponde correttamente sia ai requisiti tecnici che a quelli commerciali. La segmentazione VLAN garantisce sicurezza e conformità, mentre l'integrazione con Purple fornisce l'acquisizione del consenso necessaria e la sincronizzazione con il CRM. L'uso di RADIUS garantisce un tracciamento accurato delle sessioni.

Una catena di vendita al dettaglio regionale con 40 negozi richiede un'esperienza WiFi per gli ospiti coerente in tutte le sedi, con una gestione centralizzata e analisi delle presenze a livello di singolo negozio.

Il rivenditore distribuisce AP HPE Aruba gestiti tramite Aruba Central. Viene creato un unico modello di WLAN ospite con un Captive Portal esterno che punta a Purple. Il ruolo di pre-autenticazione è configurato con le ACL del walled garden necessarie. Questo modello viene applicato a tutti i 40 siti utilizzando la group policy di Aruba Central. In Purple, viene distribuito un design unificato del portale, con dashboard di analisi configurate per segmentare i dati in base alle singole sedi dei negozi.

Commento dell'esaminatore: L'utilizzo della configurazione basata su modelli di Aruba Central elimina le discrepanze di configurazione tra i 40 siti. L'integrazione con Purple consente al team di marketing di confrontare le metriche di affluenza e tempo di permanenza nell'intero patrimonio da un'unica interfaccia, dimostrando il valore di un livello di intelligence indipendente dall'hardware.

Domande di esercitazione

Q1. Una sede segnala che gli ospiti che si conmettono al WiFi visualizzano una schermata vuota invece della splash page personalizzata. Il portale utilizza font personalizzati ospitati su Google Fonts. Qual è l'errore di configurazione più probabile?

Suggerimento: Considera quale traffico è consentito prima che un utente si autentichi.

Visualizza risposta modello

Il walled garden è incompleto. I domini CDN di Google Fonts non sono stati aggiunti all'ACL di pre-autenticazione. Il controller sta bloccando la richiesta di caricamento dei font, causando il fallimento del rendering della pagina.

Q2. Per essere conforme allo standard PCI DSS, un IT manager crea un nuovo SSID denominato "Guest_WiFi" sulla stessa sottorete della rete aziendale. È sufficiente?

Suggerimento: La conformità PCI DSS richiede l'isolamento dell'ambiente dei dati dei titolari di carta.

Visualizza risposta modello

No. La creazione di un SSID separato sulla stessa sottorete non fornisce l'isolamento della rete. La rete ospiti deve essere collocata su una VLAN dedicata con regole di firewall che vietino esplicitamente l'instradamento verso le reti aziendali o POS.

Q3. Una catena di negozi nota che la propria dashboard di analisi mostra 1.000 autenticazioni al giorno, ma la metrica del tempo medio di permanenza è mancante o pari a zero. Quale passaggio di configurazione è stato saltato?

Suggerimento: Quale protocollo è responsabile del monitoraggio della durata della sessione?

Visualizza risposta modello

Il RADIUS Accounting non è stato configurato sul controller. Senza i messaggi di Accounting-Start e Accounting-Stop, la piattaforma di analisi non può calcolare la durata delle sessioni.

Continua a leggere questa serie

Come configurare un Captive Portal su Starlink: una guida per sedi remote e marittime

Questa guida spiega in dettaglio come escludere l'hardware nativo di Starlink e integrare un Captive Portal gestito in cloud utilizzando apparecchiature di routing aziendali. Imparerai come superare il limite del CGNAT, applicare la segmentazione VLAN, gestire i vincoli di larghezza di banda satellitare e garantire la conformità normativa.

Leggi la guida →

Captive Portal Best Practices: Progettazione per Conversioni Elevate e Compliance

Questa guida tecnica offre a IT manager, architetti di rete e direttori operativi delle location un modello completo per l'implementazione di Captive Portal in grado di bilanciare la sicurezza di rete con un tasso elevato di conversione degli utenti. Copre l'intera architettura, dalla segmentazione VLAN e autenticazione RADIUS fino alla progettazione del consenso conforme al GDPR e alla selezione del metodo di autenticazione. Basata sull'esperienza operativa di Purple in oltre 80.000 location e 440 milioni di login nel 2024, ogni raccomandazione è fondata su dati reali di implementazione.

Leggi la guida →

Come ottimizzare i Captive Portal per la massima sicurezza di rete e conversione degli utenti

Questa guida fornisce un progetto tecnico completo per l'ottimizzazione dei captive portal all'interno di strutture aziendali, coprendo l'architettura di segmentazione della rete, la selezione dei metodi di autenticazione, la progettazione del consenso conforme al GDPR e l'ottimizzazione delle conversioni. È scritta per IT manager, architetti di rete e CTO di hotel, catene di vendita al dettaglio, stadi e organizzazioni del settore pubblico che devono bilanciare la sicurezza della rete con l'acquisizione di dati di prima parte. Purple gestisce l'infrastruttura dei captive portal in oltre 80.000 sedi con 440 milioni di accessi nel 2024, e i framework qui presentati riflettono tale esperienza operativa.

Leggi la guida →