HPE Aruba Instant e WiFi per ospiti: configurazione del captive portal con Purple

Benvenuti in questo briefing tecnico sull'integrazione di HPE Aruba ClearPass con la piattaforma Purple WiFi. Sono il vostro presentatore e oggi approfondiremo l'architettura, le strategie di implementazione e i vantaggi operativi derivanti dalla combinazione del solido controllo dell'accesso alla rete di ClearPass Policy Manager con le funzionalità leader di mercato di Purple per il WiFi ospiti e l'analitica. Per i manager IT, gli architetti di rete e i CTO che gestiscono strutture su larga scala - che si tratti di una catena retail in forte espansione, di uno stadio ad alta densità o di un complesso campus sanitario - offrire un accesso wireless sicuro, segmentato e ricco di informazioni è fondamentale. ClearPass è straordinario nell'applicazione di policy sensibili al contesto e nell'autenticazione 802.1X per i dispositivi aziendali. Tuttavia, quando si tratta di onboarding degli ospiti, Captive Portal ed estrazione di dati analitici di marketing azionabili dai dati dei visitatori, Purple è il leader indiscusso. La domanda fondamentale a cui rispondiamo oggi è: come configurare ClearPass per utilizzare Purple come Captive Portal, mantenendo al contempo ClearPass per il NAC e l'assegnazione dinamica delle VLAN basata sui ruoli? Scopriamolo subito. In primo luogo, definiamo l'architettura. Ad alto livello, l'integrazione si basa su protocolli RADIUS standard e meccanismi di redirect HTTP. I controller Aruba Mobility o gli Instant Access Point trasmettono l'SSID ospiti. Quando un dispositivo non autenticato si connette, il controller intercetta il traffico HTTP e reindirizza il browser dell'utente al Captive Portal di Purple. Questo redirect è il primo elemento critico da configurare correttamente. Ora, l'utente si autentica tramite Purple. Può trattarsi di un social login tramite Facebook o Google, di un modulo personalizzato con email e password o persino di OpenRoaming, dove Purple agisce come identity provider gratuito con licenza Connect. Una volta che Purple ha convalidato l'utente, invia un messaggio RADIUS Access-Accept attraverso la catena al controller, che quindi concede l'accesso alla rete. Ma è qui che ClearPass diventa essenziale. Invece di far comunicare il controller Aruba direttamente con i server RADIUS di Purple, si inserisce ClearPass come proxy RADIUS nel mezzo. Il controller invia tutte le richieste RADIUS a ClearPass. ClearPass valuta la richiesta e, se corrisponde alla policy di instradamento del servizio ospiti, la inoltra ai server cloud RADIUS di Purple. Purple risponde e ClearPass trasmette la risposta al controller, ma, aspetto fondamentale, può aggiungere i propri attributi di policy prima di farlo. Questa architettura proxy offre il meglio di entrambi i mondi. ClearPass mantiene un log di audit completo di ogni evento di autenticazione sulla rete, sia aziendale che ospiti. Si ottiene un'unica console di gestione per le operazioni di sicurezza. E Purple gestisce l'esperienza rivolta all'utente e l'analitica senza dover sostituire l'investimento NAC esistente. Parliamo ora dell'assegnazione dinamica della VLAN, perché è qui che le cose diventano davvero interessanti - e dove la maggior parte delle installazioni riscontra problemi se non si presta attenzione. ClearPass utilizza un concetto chiamato Ruoli e Profili di Enforcement. Quando arriva una richiesta di autenticazione, ClearPass valuta il contesto: chi è l'utente, quale dispositivo sta utilizzando, che ora è e da quale posizione si sta connettendo. In base a questi fattori, assegna un Ruolo. Per un ospite standard, potrebbe essere ROLE_GUEST. Per un VIP, potrebbe essere ROLE_VIP. Per un collaboratore esterno, ROLE_CONTRACTOR. Questo Ruolo viene poi mappato su un Profilo di Enforcement, che definisce gli attributi RADIUS specifici da restituire al controller Aruba. L'attributo più importante in questo caso è l'attributo specifico del fornitore (VSA) Aruba-User-Role. Questo comunica al controller esattamente in quale ruolo inserire l'utente sul lato wireless. Sul controller Aruba, ogni ruolo si mappa su una VLAN specifica e su un set di policy del firewall. Quindi ROLE_GUEST si mappa sulla VLAN 20, con accesso solo a internet e un limite di larghezza di banda di 10 megabit al secondo. ROLE_VIP si mappa sulla VLAN 40, con un limite di 50 megabit. ROLE_IOT si mappa sulla VLAN 30, un segmento completamente isolato senza accesso a internet, solo connettività locale per i dispositivi intelligenti. Questa segmentazione non è solo una buona pratica - è un requisito di conformità. Secondo lo standard PCI-DSS, qualsiasi rete che tocca i dati dei titolari di carta deve essere isolata dalle reti ospiti. Ai sensi del GDPR, è necessario essere in grado di dimostrare che i dati personali raccolti tramite il portale ospiti siano gestiti in modo appropriato e che il traffico degli ospiti non possa attraversare l'infrastruttura aziendale. Ora, lascia che ti illustri uno scenario reale: una grande catena alberghiera con 500 camere in più proprietà. Hanno controller Aruba in ogni sito, ClearPass distribuito centralmente e desiderano implementare Purple per il WiFi ospiti. La distribuzione si presenta così. Due SSID per sito: Hotel_Corp e Hotel_Guest. Hotel_Corp utilizza 802.1X con certificati, autenticati rispetto ad Active Directory tramite ClearPass. Hotel_Guest è un SSID aperto che attiva il Captive Portal di Purple. In ClearPass, creano due Servizi. Il Servizio Uno corrisponde a Hotel_Corp e gestisce l'autenticazione 802.1X localmente. Il Servizio Due corrisponde a Hotel_Guest e utilizza una Policy di Routing RADIUS per inoltrare le richieste a Purple tramite proxy. La Policy di Enforcement per il Servizio Due restituisce l'Aruba-User-Role di guest-authenticated, che si mappa sulla VLAN 20 del controller. Per i dispositivi IoT - smart TV, termostati, serrature delle porte - utilizzano un terzo SSID, Hotel_IoT, con autenticazione basata su MAC. ClearPass profila il dispositivo utilizzando la sua OUI e assegna ROLE_IOT, inserendolo nella VLAN 30. Il risultato? Il personale ottiene l'accesso aziendale completo. Gli ospiti ottengono un'esperienza di portale brandizzata e coinvolgente con login social e opzioni di marketing. I dispositivi IoT sono isolati. E il team IT ha una visibilità completa su tutti e tre i tipi di utenti nell'Access Tracker di ClearPass. Ora parliamo delle insidie, perché ce ne sono diverse che ti sorprenderanno se non sei preparato. Numero uno: il walled garden. Questa è la causa più comune di errore dei Captive Portal. Prima che un dispositivo sia autenticato, il controller Aruba consente il traffico solo verso un elenco predefinito di destinazioni - il walled garden. Se l'URL del portale di Purple, i suoi endpoint API di backend e i domini dei provider di social login non sono in quell'elenco, il portale semplicemente non si caricherà. È necessario gestire questo elenco in modo proattivo. I provider di social login come Facebook e Google modificano regolarmente i loro intervalli IP e i domini CDN. Gestisci il walled garden come una configurazione dinamica. Numero due: i timeout RADIUS. Il timeout RADIUS predefinito sulla maggior parte dei controller Aruba è di tre secondi. In un'architettura proxy, la richiesta viaggia dall'AP al controller, a ClearPass, attraverso internet fino al cloud RADIUS di Purple e ritorno. Su una rete congestionata, questo viaggio di andata e ritorno può facilmente superare i tre secondi. Aumenta il timeout a un minimo di dieci secondi e configura una logica di retry. Numero tre: discrepanza delle shared secret. Questo problema causa errori silenziosi che sono notoriamente difficili da diagnosticare. La shared secret tra il controller Aruba e ClearPass deve corrispondere esattamente. Anche la shared secret tra ClearPass e i server RADIUS di Purple deve corrispondere esattamente. Una differenza anche di un solo carattere causerà il fallimento dell'autenticazione senza alcun messaggio di errore comprensibile per l'utente finale. Verifica sempre questi parametri con la massima attenzione. Numero quattro: distinzione tra maiuscole e minuscole nei nomi dei ruoli. Il VSA Aruba-User-Role restituito da ClearPass deve corrispondere esattamente - incluse le maiuscole - al nome del ruolo definito sul controller Aruba. Se ClearPass restituisce guest-authenticated ma il controller ha definito Guest-Authenticated, l'utente tornerà al ruolo predefinito, che in genere è il ruolo di logon senza accesso a internet. Numero cinque: il RADIUS accounting. Molte implementazioni configurano correttamente il proxying dell'autenticazione ma dimenticano di fare lo stesso per l'accounting. Purple utilizza i dati di RADIUS accounting per monitorare la durata della sessione, l'utilizzo dei dati e per alimentare le sue dashboard di analytics. Se l'accounting non viene inviato a Purple, le tue analytics saranno incomplete. Passiamo ora alla sezione delle domande rapide. Posso usare un unico SSID sia per i dipendenti che per gli ospiti? Sì, è possibile. Configura ClearPass per gestire sia 802.1X che MAC-Auth sullo stesso SSID. Utilizza le Service Rules per differenziare il tipo di traffico e instradarlo di conseguenza. È più complesso da gestire ma riduce la proliferazione degli SSID. Purple supporta il Change of Authorisation? Sì. Il CoA consente al controller di aggiornare dinamicamente la sessione di un utente senza richiedere una nuova connessione. Questo è utile per l'accesso a tempo limitato o per gli upgrade di livello. Posso utilizzare questa integrazione con Aruba Instant invece di un Mobility Controller completo? Sì, Aruba Instant supporta server RADIUS esterni e il reindirizzamento al Captive Portal. La configurazione è leggermente diversa ma i principi sono identici. Questa integrazione funziona con WPA3? Sì. WPA3-SAE per le reti personali e WPA3-Enterprise per 802.1X sono entrambi supportati. Per le reti guest che utilizzano Captive Portal, WPA3-SAE o un SSID aperto con Opportunistic Wireless Encryption sono le scelte tipiche. Per riassumere il briefing di oggi. L'integrazione tra ClearPass e Purple è un'architettura proxy RADIUS. ClearPass rimane il punto decisionale centrale per i criteri di accesso a tutta la rete. Purple gestisce l'esperienza rivolta ai guest e l'analytics. Il controller Aruba applica i criteri risultanti tramite l'assegnazione dinamica della VLAN. I tre elementi di configurazione più critici sono il walled garden, i timeout RADIUS e la coerenza dei nomi dei ruoli. Una volta impostati correttamente, avrai una distribuzione WiFi guest robusta, conforme e commercialmente preziosa. Grazie per l'attenzione. Se desideri approfondire l'argomento, visita purple.ai per parlare con un solutions architect della tua specifica distribuzione.