EnGenius e guest WiFi: configurazione del captive portal con Purple

SCRIPT PER PODCAST: Integrazione degli Access Point EnGenius Cloud con Purple WiFi Piattaforma di Intelligence Purple WiFi - Serie di Briefing Tecnici Durata: circa 10 minuti Voce: inglese britannico, tono da consulente senior - fiducioso, colloquiale, autorevole [INTRO - 1 MINUTO] Benvenuti alla serie di Briefing Tecnici di Purple. Oggi parleremo di un argomento che si presenta regolarmente nelle distribuzioni aziendali: l'integrazione degli access point EnGenius Cloud con la piattaforma per WiFi ospiti di Purple. Se gestite un parco dispositivi EnGenius, che si tratti di access point della serie ECW in un hotel, in una catena di negozi o in un edificio per uffici multitenant, e volete aggiungere un Captive Portal personalizzato con il vostro marchio, raccogliere dati di prima parte sui visitatori e applicare una corretta segmentazione della rete, questo briefing fa al caso vostro. Nei prossimi dieci minuti, voglio guidarvi attraverso le quattro aree di configurazione principali: il reindirizzamento al Captive Portal per gli ospiti, la configurazione del walled garden, il WiFi sicuro per il personale tramite 802.1X e l'isolamento multitenant tramite EnGenius MyPSK con assegnazione dinamica della VLAN. Al termine, avrete un quadro chiaro di cosa configurare, in quale ordine e quali sono i punti critici più comuni. Cominciamo. [APPROFONDIMENTO TECNICO - 5 MINUTI] Iniziamo con il Captive Portal per gli ospiti, il punto di partenza più comune per qualsiasi gestore di sedi. EnGenius Cloud supporta nativamente le splash page esterne. Ciò significa che invece di ospitare una pagina di accesso di base sull'access point stesso, reindirizzate gli ospiti non autenticati al portale ospitato sul cloud di Purple. È qui che risiedono il branding, l'acquisizione dei dati, la gestione del consenso e la parte di analisi. Ecco la sequenza di configurazione in EnGenius Cloud. Accedete alla dashboard di EnGenius Cloud e andate su Configure, quindi SSID. Selezionate il vostro SSID per gli ospiti. Nella scheda Wireless, impostate il tipo di sicurezza su Open o WPA2 PSK, a seconda delle vostre preferenze. La modalità Open è lo standard per la maggior parte delle installazioni WiFi per ospiti. Passate quindi alla scheda Captive Portal. Abilitate il Captive Portal e impostate l'Authentication Type su Custom RADIUS. Questa è l'impostazione chiave. Indica all'access point di inoltrare le richieste di autenticazione a un server RADIUS esterno, che in questo caso è l'endpoint RADIUS cloud di Purple. Ora inserite i dettagli RADIUS di Purple. L'IP del server RADIUS primario è fornito nella dashboard di Purple sotto Hardware Configuration. La porta di autenticazione è UDP 1812. La porta di accounting è UDP 1813. Inserite il shared secret. Purple lo genera per voi e dovrebbe essere composto da almeno 22 caratteri che mescolano maiuscole e minuscole, numeri e simboli. Impostate il NAS identifier in modo che corrisponda al nome della vostra sede o a un identificatore unico che avete definito in Purple. Successivamente, passa alla scheda Splash Page. Seleziona External Splash Page URL e inserisci l'URL del portale Purple. Questo è l'URL fornito da Purple per il tuo specifico locale. Quando un ospite si connette all'SSID e apre un browser, l'access point intercetta la richiesta e lo reindirizza a questo URL, passando parametri tra cui l'indirizzo MAC del client, l'indirizzo MAC dell'AP e l'URL originale che l'ospite stava cercando di raggiungere. Ora passiamo al walled garden. Questo è l'elenco di domini e indirizzi IP che gli ospiti possono raggiungere prima di autenticarsi. Senza di esso, il portale Purple stesso non può caricarsi, perché il browser dell'ospite non può raggiungere i server di Purple. In EnGenius Cloud, il walled garden si trova in Captive Portal, poi in Advanced Settings e infine in Walled Garden. È necessario aggiungere il dominio del portale Purple, gli endpoint CDN di Purple e gli endpoint di rilevamento del captive portal del sistema operativo. Per i dispositivi Apple, l'indirizzo è captive.apple.com. Per Android, connectivitycheck.gstatic.com. Per Windows, msftconnecttest.com. Se ne dimentichi qualcuno, gli ospiti su quelle piattaforme non visualizzeranno affatto il portale. Se offri l'accesso tramite social network tramite Google o Facebook, devi anche includere nella whitelist gli endpoint OAuth per tali provider. Google richiede come minimo accounts.google.com, oauth2.googleapis.com e apis.google.com. Facebook richiede www.facebook.com, graph.facebook.com e connect.facebook.net. La documentazione di supporto di Purple fornisce un elenco walled garden aggiornato per ciascun metodo di autenticazione. Usa quello come riferimento, poiché questi domini cambiano nel tempo. Ora passiamo al WiFi sicuro per il personale utilizzando il protocollo 802.1X. Questo è un SSID separato. Il tipo di sicurezza qui è WPA2 Enterprise o WPA3 Enterprise. In EnGenius Cloud, nella scheda Wireless dell'SSID, seleziona WPA2 Enterprise e poi scegli Custom RADIUS. Inserisci gli stessi dettagli del server RADIUS: l'endpoint RADIUS di Purple, la porta 1812 e la chiave segreta condivisa. La differenza rispetto alla configurazione per gli ospiti è che qui non è presente alcun captive portal. I dispositivi del personale si autenticano silenziosamente utilizzando il protocollo 802.1X. Il dispositivo presenta un certificato o un nome utente e una password al server RADIUS, che li convalida e restituisce un messaggio Access-Accept insieme agli attributi di assegnazione della VLAN. Gli attributi RADIUS che gestiscono l'assegnazione dinamica della VLAN sono Tunnel-Type impostato su VLAN, Tunnel-Medium-Type impostato su 802 e Tunnel-Private-Group-ID impostato sul numero della VLAN. Quindi, se la VLAN del personale è la VLAN 20, il server RADIUS restituisce Tunnel-Private-Group-ID con il valore 20. L'access point EnGenius legge questo attributo e inserisce automaticamente il dispositivo autenticato nella VLAN 20. Ciò significa che è possibile avere un singolo SSID che serve molteplici ruoli del personale - finanza, operazioni, IT, contrattisti - e ciascuno di essi viene indirizzato a una VLAN diversa in base all'appartenenza al gruppo di directory, il tutto senza alcuna configurazione manuale della VLAN per ciascun dispositivo. Per il metodo EAP, PEAP-MSCHAPv2 è la scelta più comune per gli ambienti che utilizzano Active Directory o Microsoft Entra ID. Richiede un certificato lato server sul server RADIUS e credenziali con nome utente e password sul client. EAP-TLS è più sicuro. Utilizza certificati su entrambi i lati. Richiede però un'infrastruttura PKI e la distribuzione di un MDM per inviare i certificati ai dispositivi. Per la maggior parte dei gestori di sedi fisiche, PEAP-MSCHAPv2 con convalida rigorosa del certificato applicata tramite Criteri di gruppo o MDM rappresenta la scelta pratica. Passiamo ora alla parte tecnicamente più interessante: EnGenius MyPSK e l'isolamento multi-tenant. MyPSK, noto anche come PPSK o Private Pre-Shared Key, risolve un problema specifico negli ambienti multi-tenant. In un complesso in affitto, in un ufficio arredato o in uno studentato, si desidera che ogni inquilino o residente abbia la propria password WiFi univoca. Tuttavia, non si vuole creare un SSID separato per ciascun inquilino. Ciò creerebbe congestione delle radiofrequenze e sovraccarico di gestione. MyPSK consente di creare fino a 500 chiavi pre-condivise univoche per SSID. Ogni chiave è associata a una VLAN specifica. Quando un residente si connette utilizzando la sua chiave univoca, l'access point lo inserisce automaticamente nella VLAN assegnata. Il traffico dell'Inquilino A non tocca mai il segmento di rete dell'Inquilino B. Anche la crittografia è per singolo utente. Ogni chiave genera una Pairwise Master Key univoca, in modo che un inquilino non possa decifrare il traffico aereo di un altro inquilino, pur condividendo lo stesso SSID. In EnGenius Cloud, MyPSK si configura nelle impostazioni di sicurezza dell'SSID. Selezionare WPA2 PSK o WPA3 Personal, quindi abilitare MyPSK. Sarà quindi possibile creare le PSK singolarmente o generare automaticamente batch fino a 50 alla volta. Per ogni PSK, si assegna un ID VLAN e, facoltativamente, si imposta una data di scadenza. Al termine di un contratto di locazione o al conseguimento del diploma di uno studente, è sufficiente far scadere o eliminare la sua PSK. L'accesso viene revocato immediatamente senza influire su nessun altro inquilino. Per l'integrazione di Purple in un ambiente MyPSK, i tenant rivolti agli ospiti possono comunque essere indirizzati attraverso un Captive Portal sulla loro VLAN. Il personale e i tenant operativi bypassano completamente il portale. La segmentazione VLAN garantisce che i dati analitici di Purple siano attribuiti correttamente per ciascun segmento di rete. [CONSIGLI DI IMPLEMENTAZIONE ED ERRORI DA EVITARE - 2 MINUTI] Ecco la sequenza di implementazione che raccomando per una prima installazione pulita. Iniziare con l'architettura VLAN prima di toccare la configurazione WiFi. Definire la VLAN 10 per gli ospiti, la VLAN 20 per il personale, la VLAN 30 per gli inquilini, o qualsiasi numerazione si adatti allo schema esistente. Configurare prima queste VLAN sugli switch ECS, con le assegnazioni appropriate delle porte trunk e di accesso. Gli access point devono ricevere il traffico taggato sulla porta uplink per ogni VLAN che si intende utilizzare. Quindi configura gli SSID in EnGenius Cloud in questo ordine: prima l'SSID guest, perché è il più semplice. Valuta il reindirizzamento del Captive Portal verso Purple prima di procedere. Successivamente, configura l'SSID del personale con 802.1X. Esegui un test con un dispositivo noto prima di distribuire all'intera infrastruttura. Infine, configura MyPSK se hai bisogno dell'isolamento multi-tenant. Le insidie. Primo, il walled garden. Questa è la causa numero uno dei fallimenti nelle implementazioni del Captive Portal. Se gli ospiti non riescono a raggiungere il portale, controlla prima il walled garden. Secondo, la mancata corrispondenza del segreto condiviso RADIUS. Il segreto condiviso deve essere identico sia sulla configurazione di EnGenius Cloud sia sulla configurazione del server RADIUS di Purple. Una differenza di un solo carattere causa il fallimento silenzioso di ogni autenticazione. Terzo, la configurazione del trunk VLAN sullo switch. Se la porta dello switch ECS che si collega all'access point non è configurata come trunk che trasporta tutte le VLAN richieste, l'assegnazione dinamica della VLAN fallirà. Quarto, la validazione del certificato sui client 802.1X. Se i dispositivi del personale non sono configurati per validare il certificato del server RADIUS, sono vulnerabili al furto di credenziali tramite access point non autorizzati. Imponi questa configurazione tramite Criteri di gruppo per Windows e profili MDM per tutto il resto. [DOMANDE E RISPOSTE RAPIDE - 1 MINUTO] Alcune domande che sento regolarmente sulle implementazioni di EnGenius e Purple. Posso usare il RADIUS di EnGenius Cloud invece del RADIUS di Purple? Sì, per l'autenticazione interna. Ma per il WiFi ospiti con la diagnostica e il portale di Purple, devi puntare all'endpoint RADIUS di Purple. I due possono coesistere su SSID diversi. MyPSK funziona con WPA3? Sì. EnGenius supporta WPA3 e la modalità mista WPA2/WPA3 con MyPSK, in modo che i dispositivi compatibili con WPA3 ottengano l'autenticazione SAE mentre i dispositivi più vecchi ripiegano su WPA2 PSK, il tutto utilizzando la stessa chiave per utente. Purple supporta il RADIUS accounting per i dati di sessione? Sì. Abilita il server di accounting nella configurazione RADIUS di EnGenius Cloud, puntando all'endpoint di accounting di Purple sulla porta UDP 1813. Questo invia la durata della sessione e il volume dei dati alla diagnostica di Purple. [RIASSUNTO E PROSSIMI PASSI - 1 MINUTO] Per riassumere. Gli access point EnGenius Cloud si integrano perfettamente con la piattaforma WiFi ospiti di Purple attraverso quattro livelli di configurazione. Il reindirizzamento del Captive Portal per gli ospiti utilizza un RADIUS personalizzato e un URL di splash page esterno che punta a Purple. Il walled garden in whitelist garantisce che il portale venga caricato prima dell'autenticazione. Il WiFi del personale utilizza WPA2 Enterprise con 802.1X e assegnazione dinamica della VLAN tramite attributi RADIUS. E l'isolamento multi-tenant utilizza EnGenius MyPSK per assegnare chiavi uniche per utente associate a VLAN specifiche, con date di scadenza opzionali per l'accesso a tempo limitato. Purple opera in 80.000 sedi e ha elaborato 440 milioni di accessi solo nel 2024. La piattaforma è certificata ISO 27001, conforme al GDPR e indipendente dall'hardware, che è esattamente il motivo per cui funziona perfettamente con EnGenius insieme a Cisco Meraki, HPE Aruba, Ruckus e al resto dell'ecosistema hardware aziendale. Se sei pronto per l'implementazione, inizia con la guida alla configurazione del walled garden nella documentazione di supporto di Purple, quindi procedi con la configurazione del SSID in EnGenius Cloud. La guida dettagliata completa è disponibile su purple.ai. Grazie per l'ascolto.