OpenWrt e guest WiFi: configurazione del captive portal con Purple

[0:00 - 1:00] Introduzione e Contesto Benvenuti al Technical Briefing di Purple. Sono il vostro ospite e nei prossimi dieci minuti analizzeremo l'integrazione del firmware personalizzato OpenWrt con Purple WiFi. Se sei un IT manager, un progettista di rete o un CTO che distribuisce firmware personalizzati in ambienti hospitality, retail o nel settore pubblico, questo briefing fa al caso tuo. Tralasceremo la teoria accademica per offrirti la guida esatta per configurare CoovaChilli, proteggere le reti del personale con 802.1X e segmentare ambienti multi-tenant utilizzando Private Pre-Shared Keys. Perché è importante? Perché l'implementazione di un firmware personalizzato come OpenWrt offre un'incredibile flessibilità e indipendenza dall'hardware. Tuttavia, senza un livello di controllo degli accessi strutturato e basato sull'identità, tale flessibilità diventa un rischio per la sicurezza. È necessario acquisire i dati di prima parte in modo sicuro, garantire la conformità al GDPR e segmentare il traffico in modo affidabile. Entriamo nel dettaglio tecnico. [1:00 - 6:00] Approfondimento Tecnico Il nucleo dell'integrazione di OpenWrt si basa su CoovaChilli. CoovaChilli è l'access controller open source che intercetta il traffico dei client non autenticati e lo reindirizza al Captive Portal di Purple. Quando un ospite si connette al tuo SSID aperto, CoovaChilli funge da gatekeeper. Assegna un indirizzo IP tramite il proprio server DHCP interno, in esecuzione sull'interfaccia tun0, e blocca tutto il traffico ad eccezione di quello esplicitamente consentito nel walled garden. Quando l'ospite tenta di navigare, CoovaChilli intercetta la richiesta HTTP e reindirizza alla splash page di Purple. È qui che la configurazione del walled garden diventa fondamentale. Nel file chilli.conf, è necessario definire il parametro HS_UAMDOMAINS. Si tratta di un elenco di domini separati da virgole che gli ospiti possono raggiungere prima di autenticarsi. Devi includere splash.purple.ai, api.purple.ai e i vari domini CDN che utilizziamo per distribuire i contenuti del portale. Se dimentichi un dominio, il portale non si caricherà o i pulsanti di login social smetteranno di funzionare. È semplicissimo. Una volta che l'ospite si autentica sul portale Purple, il server RADIUS cloud di Purple invia un messaggio di Access-Accept a CoovaChilli sulla porta UDP 1812. CoovaChilli autorizza quindi l'indirizzo MAC, apre le regole del firewall per quella sessione e inizia a inviare i dati di accounting sulla porta UDP 1813. L'accounting non è opzionale. È il modo in cui Purple traccia la durata della sessione e l'utilizzo dei dati per la tua dashboard di analytics. Ora parliamo del WiFi per il personale. Non si usa CoovaChilli per il personale. Per le reti del personale, si utilizza hostapd con WPA2-Enterprise o WPA3-Enterprise. Questa è l'autenticazione standard 802.1X. L'access point funge da autenticatore, inoltrando i messaggi EAP al server RADIUS. Per i dispositivi aziendali, si consiglia di implementare EAP-TLS, che utilizza certificati digitali al posto delle password. Questo elimina completamente il furto di credenziali. Configura hostapd.conf per puntare al tuo server RADIUS e il server RADIUS imposterà l'assegnazione della VLAN per quel consumatore specifico.Questo ci porta a una delle funzionalità più potenti nelle moderne distribuzioni OpenWrt: Private Pre-Shared Keys, o PPSK. In un ambiente multi-tenant - ad esempio, una proprietà build-to-rent o uno spazio di coworking - non si desidera che vengano trasmessi cinquanta diversi SSID. Questo compromette l'efficienza del tempo di trasmissione radio. Al contrario, si trasmette un unico SSID. Quando un dispositivo si connette, hostapd invia l'indirizzo MAC al server RADIUS. Il server RADIUS risponde con una passphrase specifica e un ID VLAN specifico per quel dispositivo, utilizzando l'attributo Tunnel-Password. Questo significa che il membro del personale del negozio A viene reindirizzato sulla VLAN 10, mentre il partecipante all'evento nella sala principale viene reindirizzato sulla VLAN 30, il tutto connettendosi esattamente allo stesso SSID. È elegante, scalabile e applica l'accesso con privilegi minimi all'edge. [6:00 - 8:00] Consigli per l'implementazione e insidie comuni Parliamo dell'implementazione. Quando si distribuisce OpenWrt con Purple, il primo passo è sempre recuperare le credenziali RADIUS dal portale Purple. Sono necessari gli indirizzi IP RADIUS primario e secondario, la chiave segreta condivisa (shared secret) e l'URL del portale. Nella configurazione di OpenWrt, si definirà l'interfaccia di rete ospiti - in genere eth1 o wlan0 - e vi si assocerà CoovaChilli. Assicurarsi che HS_RADSECRET nel file chilli.conf corrisponda esattamente a quanto presente nel portale Purple. Una mancata corrispondenza anche di un solo carattere causerà errori di autenticazione silenziosi. La trappola più grande che riscontriamo è la risoluzione DNS pre-autenticazione. CoovaChilli intercetta le richieste DNS. Se il firewall a monte impedisce al router OpenWrt di risolvere i DNS esterni, il reindirizzamento al Captive Portal fallirà. Assicurarsi che il router OpenWrt abbia accesso DNS illimitato a resolver pubblici come Google o OpenDNS. Un altro problema comune è rappresentato dai meccanismi di rilevamento del Captive Portal integrati in iOS e Android. I dispositivi Apple contattano captive.apple.com per verificare la connettività internet. Se si inserisce captive.apple.com nella whitelist del walled garden, il dispositivo crederà di avere accesso a internet e non mostrerà l'assistente per la rete captive. Se si desidera che la finestra pop-up appaia automaticamente, tenere i domini di Apple fuori dal walled garden. [8:00 - 9:00] Domande e Risposte Rapide Passiamo a una sessione rapida di domande e risposte. Domanda uno: Posso eseguire CoovaChilli e hostapd 802.1X sullo stesso access point OpenWrt? Sì. Si associa CoovaChilli all'interfaccia dell'SSID ospiti e si configura hostapd con 802.1X sull'interfaccia dell'SSID del personale. Operano in modo indipendente. Domanda due: Purple supporta l'assegnazione dinamica della VLAN con OpenWrt? Sì. I server RADIUS di Purple possono restituire gli attributi RADIUS standard, inclusi Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID, indicando a OpenWrt di indirizzare l'utente autenticato su una specifica VLAN. Terza domanda: cosa succede se il router OpenWrt perde la connessione al server RADIUS di Purple? CoovaChilli non riuscirà ad autenticare le nuove sessioni. Le sessioni autorizzate esistenti rimarranno attive fino alla scadenza del loro timeout di sessione. Configura sempre il server RADIUS secondario di Purple per garantire un'elevata disponibilità. [9:00 - 10:00] Riepilogo e prossimi passi Per riassumere: OpenWrt offre una piattaforma robusta e indipendente dall'hardware per il WiFi aziendale. Integrando CoovaChilli per l'accesso guest e hostapd per il personale sicuro e il PPSK multi-tenant, si costruisce una rete basata sull'identità. Purple elimina la complessità dell'infrastruttura RADIUS, offrendo un portale gestito in cloud che acquisisce dati di prima parte e garantisce la conformità. Il passo successivo consiste nel verificare le attuali distribuzioni di firmware personalizzati. Assicurati che i walled garden siano completi, verifica gli intervalli di accounting RADIUS e inizia a pianificare la migrazione dalle PSK condivise alla segmentazione PPSK dinamica. Grazie per aver ascoltato il Purple Technical Briefing. Per saperne di più su come Purple può proteggere e monetizzare il tuo WiFi guest, visita purple.ai. Alla prossima.