Ver transcrição do podcast
Bem-vindo ao Briefing Técnico da Purple. Hoje estamos abordando um tema que surge constantemente em nossas conversas com gerentes de TI e arquitetos de rede nos setores de hotelaria, varejo e locais multi-inquilino: como integrar os access points NETGEAR Insight e da série WAX com o Purple WiFi. Se você gerencia um hotel, um centro comercial, um centro de convenções ou um empreendimento de uso misto, este briefing é diretamente relevante para sua próxima decisão de implantação.
Vamos contextualizar. A série WAX da NETGEAR - o WAX610, WAX620 e WAX630 - é composta por access points WiFi 6 gerenciados por meio da plataforma de nuvem Insight. Eles suportam até oito SSIDs separados por rádio, criptografia WPA3 e até seis gigabits de taxa de transferência no WAX630. Eles são alimentados por PoE, montáveis no teto e gerenciados a partir de um único painel de controle por meio do Insight Cloud Portal. Para um instalador de TI ou administrador de rede de PMEs, esta é uma plataforma genuinamente capaz a um preço bem abaixo do nível da Cisco Meraki ou HPE Aruba.
A Purple é um overlay de nuvem independente de hardware. Nós operamos sobre a sua infraestrutura existente e adicionamos a camada de experiência do convidado, a camada de captura de dados e a camada de analytics. Processamos 440 milhões de logins em 2024 em 80.000 locais ativos. A integração com o NETGEAR Insight é limpa, bem documentada e cobre quatro casos de uso distintos que detalharemos hoje.
Agora vamos entrar no detalhamento técnico. Os quatro casos de uso são: Guest WiFi com um Captive Portal da Purple, Staff WiFi seguro usando 802.1X, segmentação Multi-Tenant usando o recurso PPSK da NETGEAR e atribuição dinâmica de VLAN via RADIUS para redes baseadas em identidade.
Caso de uso um: Guest WiFi com um Captive Portal da Purple. Este é o ponto de partida mais comum. Você cria um SSID de convidado dedicado no NETGEAR Insight e o configura como uma rede aberta. A configuração principal fica na seção Captive Portal das configurações do SSID. Você seleciona External Captive Portal e cola a Splash Page URL fornecida pela Purple.
Em seguida, você configura o tipo de autenticação. Para a maioria das implantações da Purple, você selecionará a autenticação RADIUS. A Purple fornece um endereço IP do servidor RADIUS principal, a porta 1812 para autenticação e a porta 1813 para tarifação, além de um shared secret. Você insere essas informações na configuração do External Captive Portal do NETGEAR Insight. Você também define um NAS Identifier - uma string que identifica esse access point ou local específico para o servidor RADIUS. Use algo significativo, como o nome do seu local e o código de localização.O walled garden é a parte que mais confunde os instaladores. Antes que um convidado se autentique, o dispositivo dele precisa conseguir acessar a splash page da Purple, os servidores de autenticação e quaisquer provedores de login social que você tenha ativado. O NETGEAR Insight possui uma seção dedicada de Walled Garden na configuração do Captive Portal externo, onde você adiciona essas URLs. A documentação de suporte da Purple fornece a lista exata de domínios para incluir na lista de permissões. Se errar nisso, os convidados verão uma página em branco em vez do seu portal personalizado.
Depois de configurado, o fluxo funciona assim: um convidado se conecta ao SSID Hotel Guest. O ponto de acesso intercepta sua primeira requisição HTTP e o redireciona para a splash page da Purple. O convidado vê seu portal personalizado, aceita os termos e, opcionalmente, fornece seu endereço de e-mail ou faz login via redes sociais. O servidor RADIUS da Purple retorna uma mensagem de Access-Accept para o ponto de acesso, e o acesso à internet é concedido ao convidado. A Purple captura os dados de consentimento, registra a sessão e esses dados fluem para o seu painel de analytics da Purple.
Caso de uso dois: WiFi seguro para funcionários usando 802.1X. É aqui que você deixa de usar senhas compartilhadas completamente. Para redes de funcionários, uma chave pré-compartilhada é um risco - quando um funcionário sai, você precisa alterar a senha de todos. O 802.1X, definido no padrão IEEE 802.1X, fornece a cada usuário uma credencial individual. Quando eles saem, você desativa a conta deles no seu diretório e o acesso deles é revogado instantaneamente.
No NETGEAR Insight, você configura um SSID de funcionários separado com segurança WPA2 Enterprise. Isso instrui o ponto de acesso a usar a autenticação 802.1X em vez de uma chave pré-compartilhada. Em seguida, você configura as definições do servidor RADIUS no nível de local da rede. Vá para as configurações de local de rede, selecione RADIUS, ative a autenticação de acesso 802.1X e insira o IP do seu servidor RADIUS, a porta e o segredo compartilhado. O intervalo de reautenticação padrão é de 3.600 segundos - uma hora - o que é um ponto de partida razoável para a maioria dos locais.
O método EAP mais comum em implantações de PMEs é o PEAP-MSCHAPv2, que usa um certificado do lado do servidor para criar um túnel criptografado dentro do qual o usuário se autentica com seu nome de usuário e senha do Active Directory. O EAP-TLS é mais seguro - ele usa certificados em ambos os lados - mas exige uma infraestrutura PKI e MDM para enviar certificados para os dispositivos.
Um ponto crítico: exija a validação de certificado em todos os dispositivos clientes. Configure seus dispositivos Windows por meio de Objetos de Diretiva de Grupo (GPO) e seus dispositivos móveis por meio de perfis MDM para validar o certificado do servidor RADIUS. Se você pular esta etapa, os dispositivos ficarão vulneráveis a ataques de pontos de acesso falsos, onde um invasor apresenta um certificado falso e captura credenciais.Caso de uso três: PPSK da NETGEAR para locais multi-inquilinos. A Chave Pré-Compartilhada Privada resolve um problema específico em parques comerciais, empreendimentos de uso misto e espaços de co-working. Você tem vários inquilinos compartilhando a mesma infraestrutura física de WiFi. Você não quer executar SSIDs separados para cada inquilino - isso gera congestionamento de radiofrequência e complexidade de gerenciamento. Mas você também não pode dar a todos a mesma senha, porque senão o Inquilino A poderá ver o tráfego do Inquilino B.
O PPSK resolve isso de forma elegante. Você cria um único SSID e cria várias chaves pré-compartilhadas no NETGEAR Insight em Wireless, Settings, Advanced, Multi PSK Settings. Cada chave é associada a uma VLAN específica. O Inquilino A recebe uma senha exclusiva de 16 caracteres que mapeia para a VLAN 30. O Inquilino B recebe uma senha diferente que mapeia para a VLAN 40. A equipe de gerenciamento do local recebe uma terceira senha que mapeia para a VLAN 20, que tem acesso aos sistemas de gerenciamento.
Quando os dispositivos do Inquilino A se conectam usando sua senha, o ponto de acesso os coloca automaticamente na VLAN 30. Eles não conseguem ver nenhum tráfego na VLAN 40 ou VLAN 20. Do ponto de vista do inquilino, eles apenas têm uma senha de WiFi. Do seu ponto de vista como administrador de rede, você tem isolamento de tráfego completo entre inquilinos com zero hardware adicional.
Existem duas limitações importantes a serem observadas. Primeiro, o PPSK no NETGEAR Insight requer criptografia WPA2 Personal ou WPA2 Personal Mixed. Ele não funciona na banda de 6 GHz. Segundo, o PPSK não pode ser combinado com Captive Portal no mesmo SSID. Se você precisar de ambos, precisará de dois SSIDs separados - o que é perfeitamente viável, pois os pontos de acesso da série WAX suportam até oito.
Caso de uso quatro: atribuição dinâmica de VLAN via RADIUS. Esta é a configuração mais sofisticada e a que fundamenta a capacidade de Redes Baseadas em Identidade da Purple. Em vez de atribuir estaticamente uma VLAN a uma senha ou a um SSID, você deixa o servidor RADIUS decidir qual VLAN atribuir com base em quem está se autenticando.
O mecanismo usa três atributos RADIUS padrão: Tunnel-Type, que deve ser definido com o valor 13 para VLAN; Tunnel-Medium-Type, que deve ser definido com o valor 6 para IEEE 802; e Tunnel-Private-Group-ID, que carrega o ID da VLAN como uma string. Quando um usuário se autentica com sucesso, o servidor RADIUS retorna esses três atributos na mensagem Access-Accept. O ponto de acesso os lê e coloca o cliente na VLAN especificada.
Na prática, isso significa que você pode ter um único SSID WPA2 Enterprise onde o gerente de um hotel se autentica e cai na VLAN 20 com acesso aos sistemas de gerenciamento da propriedade, um recepcionista se autentica e cai na VLAN 21 com acesso apenas ao sistema de check-in, e um prestador de serviços se autentica e cai na VLAN 50 apenas com acesso à internet. Tudo a partir do mesmo SSID, tudo aplicado de forma automática pelo servidor RADIUS com base na associação de grupo do Active Directory.
Agora, vamos falar sobre recomendações de implementação e armadilhas comuns. A primeira armadilha é o walled garden. Toda implantação de Captive Portal externo falha no walled garden pelo menos uma vez. O sintoma é os visitantes se conectando ao SSID mas vendo um erro de navegador em vez da splash page. A correção é metódica: abra a documentação de suporte da Purple, copie todos os domínios da lista de walled garden e cole-os na seção Walled Garden do NETGEAR Insight. Teste com um dispositivo que não tenha credenciais em cache.
A segunda armadilha é a alcançabilidade do RADIUS. O ponto de acesso NETGEAR precisa alcançar seu servidor RADIUS. O RADIUS usa a porta UDP 1812 para autenticação e a porta UDP 1813 para contabilização. Abra essas portas do IP de gerenciamento do ponto de acesso para o IP do servidor RADIUS. Teste com uma ferramenta de teste de RADIUS antes de entrar em operação.
A terceira armadilha é o conflito entre PPSK e Captive Portal. O NETGEAR Insight não permite PPSK e Captive Portal no mesmo SSID. Se você precisar de ambos, crie dois SSIDs. Nomeie-os claramente - um para usuários PPSK e outro para os visitantes do Captive Portal.
A quarta armadilha é a validação de certificados em clientes 802.1X. Todo dispositivo Windows precisa de um Group Policy Object que especifique a Autoridade Certificadora confiável e o nome esperado do servidor RADIUS. Todo dispositivo móvel precisa de um perfil de MDM com as mesmas configurações. Sem isso, um usuário pode, sem saber, se autenticar em um ponto de acesso malicioso e entregar suas credenciais do Active Directory.
Agora, uma sessão rápida de perguntas e respostas. Pergunta um: Posso usar a Purple com o NETGEAR Insight sem um servidor RADIUS? Sim, para implantações de Captive Portal de visitantes, você pode usar o modo de autenticação web da Purple em vez do RADIUS. O ponto de acesso redireciona para a splash page via HTTP, e a Purple gerencia a autenticação por meio de uma sessão web. O RADIUS oferece mais controle e melhores dados de contabilização, mas não é obrigatório para implantações básicas de portal de visitantes.
Pergunta dois: Quantas chaves PPSK posso criar no NETGEAR Insight? O NETGEAR Insight suporta até 64 chaves PPSK por SSID em pontos de acesso da série WAX. Para a maioria dos locais multi-tenant, isso é mais do que suficiente. Se você tiver mais de 64 usuários, precisará migrar para uma solução de VLAN dinâmica baseada em RADIUS.
Pergunta três: O NETGEAR Insight suporta WPA3 Enterprise para 802.1X? Sim, os pontos de acesso da série WAX suportam WPA3 Enterprise. Para a maioria das implantações de PMEs, o WPA2 Enterprise é suficiente e possui maior compatibilidade com dispositivos clientes. O WPA3 Enterprise vale a pena ser considerado para ambientes que lidam com dados confidenciais, como serviços de saúde ou financeiros.
Pergunta quatro: O que acontece se o servidor RADIUS da Purple estiver inacessível? O NETGEAR Insight suporta uma opção de fail-safe na configuração de Captive Portal externo. Se você ativar o fail-safe, os visitantes recebem acesso à internet por um curto período, mesmo se os servidores de Captive Portal estiverem inacessíveis. A Purple mantém 99,999% de uptime em toda a nossa infraestrutura, mas ativar o fail-safe é uma boa prática para qualquer implantação em produção.
Para resumir os principais pontos da apresentação de hoje: os pontos de acesso da série NETGEAR WAX se integram à Purple por meio do mecanismo de Captive Portal externo no NETGEAR Insight. Você configura a URL da splash page, as credenciais do servidor RADIUS e os domínios de walled garden no Insight Cloud Portal. Para redes de colaboradores, use WPA2 Enterprise com 802.1X e exija a validação de certificados em todos os dispositivos clientes. Para ambientes multi-tenant, o recurso PPSK da NETGEAR oferece isolamento de VLAN por cliente a partir de um único SSID com até 64 chaves exclusivas. Para as implantações mais sofisticadas, a atribuição dinâmica de VLAN via atributos RADIUS oferece segmentação de rede baseada em identidade que se adapta a quem está se conectando, e não apenas de onde estão se conectando.
Se você está planejando uma implantação NETGEAR com a Purple, o próximo passo é solicitar suas credenciais RADIUS da Purple e a lista de domínios de walled garden à equipe de suporte da Purple, e testar o redirecionamento do Captive Portal em um SSID de testes (staging) antes de implementar em produção. A configuração leva menos de 30 minutos assim que você tiver as credenciais em mãos.
Obrigado por acompanhar o Briefing Técnico da Purple. Para o guia escrito completo, incluindo detalhes de configuração passo a passo e exemplos práticos, visite purple.ai.
