Pular para o conteúdo principal

Aruba ClearPass vs. Purple WiFi: Comparando Recursos e Coimplantação

Um guia técnico abrangente detalhando a arquitetura de coimplantação do Aruba ClearPass e Purple WiFi. Ele abrange a configuração de proxy RADIUS, atribuição dinâmica de VLAN e as melhores práticas para fornecer redes de convidados seguras e orientadas por análise de dados junto com o NAC corporativo.

📖 6 min de leitura📝 1,499 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Fale em inglês britânico com um tom confiante, autoritário e de conversação. Você é um consultor sênior de redes instruindo um cliente. Ritmo medido, dicção clara, profissional mas não rígido. Pausas naturais ocasionais para ênfase: Bem-vindo a este briefing técnico da Purple. Sou o seu anfitrião e hoje abordaremos uma questão que surge em quase todos os projetos de rede sem fio corporativa em que trabalhamos: quando você já tem o Aruba ClearPass implantado, onde o Purple WiFi se encaixa e como os dois sistemas funcionam juntos? [pausa média] Esta não é uma discussão teórica. Se você é um gerente de TI, um arquiteto de rede ou um engenheiro de segurança em um grupo hoteleiro, uma rede de varejo ou uma operadora de estádio, esta é uma decisão que você pode precisar tomar neste trimestre. Então, vamos ao que interessa. [pausa média] Introdução e contexto. [pausa curta] Primeiro, vamos ser claros sobre o que cada plataforma foi realmente projetada para fazer. O Aruba ClearPass Policy Manager é uma plataforma de Controle de Acesso à Rede (NAC). Seu trabalho é autenticar dispositivos e usuários, avaliar a postura do endpoint e aplicar políticas de acesso em toda a sua rede. Ele lida com 802.1X, que é o padrão IEEE para controle de acesso à rede baseado em porta, usando métodos EAP como EAP-TLS com certificados e PEAP com nome de usuário e senha. Ele se integra com o Microsoft Entra ID, Okta e outros provedores de identidade. Ele traça o perfil dos dispositivos, verifica se eles estão em conformidade com sua política de segurança e os atribui à função de rede correta. Para dispositivos corporativos, o ClearPass é excelente. Ele foi construído exatamente para este caso de uso. [pausa média] O Purple WiFi é um animal totalmente diferente. O Purple é uma plataforma de inteligência de WiFi para convidados baseada em nuvem. Seu trabalho é autenticar visitantes por meio de um captive portal personalizado, capturar dados primários com fluxos de consentimento em conformidade com a GDPR e enviar esses dados para sua pilha de marketing e análise. O Purple opera em mais de 80.000 locais em todo o mundo e processou 440 milhões de logins apenas em 2024. Ele se integra com mais de 400 conectores, incluindo CRMs e plataformas de automação de marketing. Para redes de convidados, o Purple é o especialista. [pausa média] O problema que a maioria das organizações enfrenta é que tentam usar uma única plataforma para fazer os dois trabalhos. Ou pedem ao ClearPass para executar o portal de convidados, o que ele pode fazer, mas não de forma elegante, ou implantam o Purple sem pensar em como ele se posiciona ao lado de seu investimento em NAC existente. A resposta correta é uma arquitetura de co-implantação onde cada plataforma faz o que faz de melhor. [pausa média] Detalhamento técnico. [pausa curta] Deixe-me orientá-lo pela arquitetura. Em uma co-implantação, seu Aruba Mobility Controller ou pontos de acesso Aruba Instant transmitem múltiplos SSIDs. Normalmente três: um para dispositivos corporativos, um para convidados e um para IoT. Para saber mais sobre este padrão de design de SSID, a Purple publicou um guia detalhado chamado Three SSIDs to rule them all, que recomendo a leitura junto com este briefing. [pausa média] O SSID corporativo usa 802.1X com EAP-TLS. Os dispositivos se autenticam usando certificados provisionados por meio do ClearPass Onboard, que é o módulo integrado de registro de certificados e provisionamento de dispositivos do ClearPass. O ClearPass verifica a postura do dispositivo, valida o certificado, consulta o Active Directory ou o Microsoft Entra ID e atribui o dispositivo à VLAN apropriada. Geralmente, VLAN 10 para o corporativo. Todo esse fluxo permanece dentro do ClearPass. O Purple não está envolvido. [medium pause] O SSID de visitantes é onde a integração acontece. Quando um visitante se conecta ao SSID de visitantes, o controlador Aruba intercepta o tráfego HTTP e redireciona o navegador para o Captive Portal do Purple. O visitante se autentica por meio do Purple, talvez usando login social via Google, um formulário de e-mail personalizado ou OpenRoaming, onde o Purple atua como um provedor de identidade gratuito sob a licença do Connect. Assim que o Purple valida o visitante, ele envia uma mensagem RADIUS Access-Accept de volta ao controlador, que concede o acesso à internet. [medium pause] Agora, a principal decisão de arquitetura é se você insere o ClearPass como um proxy RADIUS entre o controlador e o Purple, ou se o controlador se comunica diretamente com os servidores RADIUS do Purple. Para a maioria das implantações corporativas, o modelo de proxy é a escolha certa. Veja o porquê. [medium pause] Com o ClearPass como um proxy RADIUS, cada evento de autenticação na sua rede, tanto corporativa quanto de visitantes, passa pelo ClearPass. Você obtém uma trilha de auditoria única. Sua equipe de operações de segurança visualiza tudo em um só lugar. O ClearPass pode anexar seus próprios atributos de política antes de retornar a resposta ao controlador, permitindo a atribuição dinâmica de VLAN com base na função. E você mantém a capacidade de aplicar políticas adicionais às sessões de visitantes, como limites de largura de banda ou restrições de acesso baseadas em tempo. Fale em inglês britânico com um tom confiante, autoritário e conversacional. Você é um consultor sênior de rede orientando um cliente. Ritmo cadenciado, dicção clara, profissional mas não rígido: A configuração do proxy no ClearPass é simples. Você cria uma Política de Roteamento RADIUS que corresponde ao SSID de visitantes pelo identificador NAS ou ID da estação chamada. As solicitações que correspondem a essa política são encaminhadas para os servidores RADIUS na nuvem do Purple. O Purple responde, o ClearPass anexa o atributo específico do fornecedor Aruba-User-Role e o controlador coloca o visitante na VLAN 20 com acesso exclusivo à internet. [medium pause] Para dispositivos IoT, o terceiro SSID usa desvio de autenticação MAC. O ClearPass traça o perfil do dispositivo usando seu OUI, os primeiros seis caracteres do endereço MAC que identificam o fabricante, e o atribui a ROLE_IOT, que mapeia para a VLAN 30. Essa VLAN não tem acesso à internet, apenas conectividade local. Suas smart TVs, termostatos e fechaduras inteligentes ficam completamente isolados do tráfego corporativo e de visitantes. [medium pause] Vamos falar sobre conformidade, porque é aqui que a arquitetura mostra seu valor. Sob o PCI-DSS, qualquer segmento de rede que toque em dados de titulares de cartão deve ser isolado das redes de convidados. A segmentação de VLAN nesta arquitetura atende a esse requisito. Sob o GDPR, o Captive Portal do Purple gerencia a coleta de consentimento com opt-ins de escolha consciente, o que significa que os visitantes escolhem ativamente compartilhar seus dados, em vez de tê-los coletados por padrão. A Purple possui certificação ISO 27001, está em conformidade com o GDPR e possui a certificação Cyber Essentials. O ClearPass fornece a trilha de auditoria que sua equipe de segurança precisa para relatórios de conformidade. [medium pause] Recomendações de implementação e armadilhas. [short pause] Deixe-me apresentar as cinco coisas que mais comumente dão errado nesta implantação, e como evitá-las. [medium pause] Número um: o walled garden. Antes de um visitante se autenticar, o controlador Aruba apenas permite o tráfego para uma lista predefinida de destinos. Se os domínios do portal da Purple, seus endpoints CDN e os domínios do provedor de login social não estiverem nessa lista, o portal não será carregado. Você precisa incluir asterisco ponto purple ponto ai, asterisco ponto cloudfront ponto net e os domínios OAuth para quaisquer provedores de login social que estiver ativando. Google, Facebook, Apple e Microsoft Entra ID possuem seus próprios conjuntos de domínios. Trate o walled garden como uma configuração viva, porque os provedores de login social alteram seus domínios CDN periodicamente. [medium pause] Número dois: timeouts de RADIUS. O timeout padrão de RADIUS na maioria dos controladores Aruba é de três segundos. Em uma arquitetura de proxy, a solicitação viaja do ponto de acesso para o controlador, para o ClearPass, através da internet para o RADIUS na nuvem da Purple, e volta. Em uma rede congestionada, essa viagem de ida e volta pode exceder três segundos. Defina seu timeout para pelo menos dez segundos e configure a lógica de nova tentativa com pelo menos duas tentativas. [medium pause] Número três: divergências de segredo compartilhado (shared secret). O segredo compartilhado entre o controlador Aruba e o ClearPass deve coincidir exatamente. O segredo compartilhado entre o ClearPass e os servidores RADIUS da Purple também deve coincidir exatamente. Uma diferença de um único caractere causa falhas silenciosas de autenticação, sem nenhuma mensagem de erro compreensível para o visitante. Sempre verifique isso caractere por caractere. [medium pause] Número quatro: diferenciação de maiúsculas e minúsculas no nome da função (role). O atributo Aruba-User-Role retornado pelo ClearPass deve corresponder exatamente ao nome da função definido no controlador Aruba, incluindo letras maiúsculas e minúsculas. Se o ClearPass retornar guest-authenticated mas o controlador tiver Guest-Authenticated definido, o visitante volta para a função de logon padrão, ficando sem acesso à internet. [medium pause] Número cinco: contabilização RADIUS. Muitas implantações configuram o proxy de autenticação corretamente, mas se esquecem de fazer o mesmo com o proxy de contabilização. O Purple usa dados de contabilização RADIUS para rastrear a duração da sessão, o uso de dados e para preencher seus painéis de análise. Se a contabilização não estiver fluindo para o Purple, suas análises de fluxo de visitantes e relatórios de tempo de permanência ficarão incompletos. [medium pause] Perguntas rápidas. [short pause] Posso executar isso no Aruba Instant em vez de um Mobility Controller completo? Sim. O Aruba Instant suporta servidores RADIUS externos e redirecionamento de Captive Portal. A configuração difere um pouco, mas os princípios são idênticos. [medium pause] O Purple suporta Change of Authorisation? Sim. O CoA permite que o controlador atualize dinamicamente a sessão de um visitante sem exigir que ele se reconecte. Isso é útil para acessos com limite de tempo ou atualizações de plano. [medium pause] Isso funciona com WPA3? Sim. WPA3-SAE para redes pessoais e WPA3-Enterprise para 802.1X são ambos suportados. Para redes de convidados que utilizam captive portals, WPA3-SAE ou um SSID aberto com Opportunistic Wireless Encryption são as escolhas típicas. [medium pause] Posso usar um único SSID para funcionários e convidados? Pode, mas isso adiciona complexidade. O ClearPass lida com autenticação 802.1X e MAC no mesmo SSID, usando regras de serviço para diferenciar os tipos de tráfego e direcioná-los adequadamente. Para a maioria dos locais, SSIDs separados são a escolha mais limpa. [medium pause] Resumo e próximos passos. [short pause] ClearPass e Purple são complementares, não concorrentes. O ClearPass é o seu mecanismo de políticas para dispositivos corporativos: 802.1X, postura do endpoint, gerenciamento de certificados e trilha de auditoria unificada. O Purple é a sua plataforma de inteligência de convidados: Captive Portal personalizado, captura de dados em conformidade com o GDPR, análises de fluxo de visitantes e automação de marketing. [medium pause] A arquitetura de implantação conjunta usa o ClearPass como um proxy RADIUS. Todas as solicitações de autenticação fluem pelo ClearPass. As solicitações de convidados são direcionadas para o RADIUS em nuvem do Purple. As solicitações corporativas são tratadas localmente pelo ClearPass. O controlador Aruba aplica as políticas resultantes por meio de atribuição dinâmica de VLAN. [medium pause] Os três elementos de configuração que você precisa acertar são: o walled garden, os limites de tempo do RADIUS e a consistência dos nomes de perfil. Acerte esses pontos e você terá uma implantação de WiFi para convidados em conformidade e comercialmente valiosa que não compromete a postura de segurança corporativa. [medium pause] Para os seus próximos passos: obtenha suas credenciais RADIUS do local do Purple no painel do Purple, revise a lista de referência do walled garden no guia escrito complementar e teste todo o fluxo de autenticação com um dispositivo de teste dedicado antes de colocar em produção. Se você estiver implantando em vários locais, o console de gerenciamento multi-site do Purple permite gerenciar as configurações do Captive Portal, a identidade visual e as análises de toda a sua propriedade a partir de uma única interface. [medium pause] Obrigado por ouvir. Visite purple dot ai para falar com um arquiteto de soluções sobre a sua implantação específica.

header_image.png

Resumo Executivo

Para ambientes corporativos com grandes investimentos na infraestrutura HPE Aruba, gerenciar políticas complexas de acesso à rede e ao mesmo tempo entregar uma experiência de WiFi de visitantes fluida e rica em dados apresenta um desafio arquitetônico significativo. Embora o Aruba ClearPass Policy Manager se destaque no Network Access Control (NAC) e segurança 802.1X para dispositivos corporativos, seu Captive Portal integrado muitas vezes carece da automação de marketing avançada e dos recursos de análise exigidos pelos locais modernos. Este guia detalha como integrar o Purple WiFi com o ClearPass, permitindo que cada plataforma foque em seus pontos fortes.

Ao implantar o ClearPass como um proxy RADIUS, você mantém uma trilha de auditoria de segurança unificada e atribuição dinâmica de VLAN para dispositivos corporativos e de IoT, enquanto transfere a experiência de integração de visitantes para a Purple. Esta abordagem permite a captura de dados proprietários em conformidade com a GDPR, análise detalhada de fluxo de visitantes e integrações com mais de 400 conectores de marketing - tudo sem substituir seu investimento existente em Aruba NAC. Este documento fornece o modelo técnico para esta coimplantação, cobrindo a arquitetura, fluxos de trabalho de configuração e melhores práticas.

Análise Técnica Detalhada

A integração do Aruba ClearPass e Purple WiFi baseia-se em protocolos RADIUS padrão e mecanismos de redirecionamento HTTP, estruturados em torno de uma arquitetura de proxy RADIUS. Este design garante que o ClearPass permaneça como o ponto de decisão de política central para todo o acesso à rede, enquanto a Purple gerencia o Captive Portal voltado para visitantes e a coleta de dados.

Arquitetura Central

Em uma coimplantação padrão, seus Aruba Mobility Controllers ou Aruba Instant Access Points transmitem múltiplos SSIDs. Um padrão de design típico, conforme detalhado em Three SSIDs to rule them all: the WiFi design for guest, staff and IoT , utiliza três redes dedicadas:

  1. SSID Corporativo: Utiliza 802.1X com EAP-TLS. Os dispositivos se autenticam usando certificados provisionados via ClearPass Onboard. O ClearPass avalia a postura do dispositivo, consulta o Microsoft Entra ID ou Active Directory e atribui o dispositivo à VLAN corporativa (por exemplo, VLAN 10). A Purple não está envolvida neste fluxo.
  2. SSID de IoT: Utiliza MAC Authentication Bypass (MAB). O ClearPass traça o perfil do dispositivo usando seu Identificador Único de Organização (OUI) e o atribui a uma VLAN de IoT isolada (por exemplo, VLAN 30) sem acesso à internet.
  3. SSID de Visitantes: Uma rede aberta ou com Opportunistic Wireless Encryption (OWE) que aciona o Captive Portal da Purple. architecture_overview.png

Fluxo do RADIUS Proxy

Quando um visitante se conecta ao SSID de convidados e abre um navegador, o controlador Aruba intercepta o tráfego HTTP e redireciona a sessão para a URL do Captive Portal da Purple. O visitante se autentica via Purple usando login social, formulários personalizados ou OpenRoaming (onde a Purple atua como um provedor de identidade gratuito sob o plano Connect).

Assim que a Purple valida o visitante, ela envia uma mensagem RADIUS Access-Accept. No entanto, em vez de o controlador Aruba entrar em contato diretamente com os servidores RADIUS em nuvem da Purple, o ClearPass é integrado como um proxy RADIUS:

  1. O controlador Aruba envia todas as solicitações RADIUS para o ClearPass.
  2. O ClearPass avalia a solicitação em relação às suas Regras de Serviço. Se a solicitação corresponder ao SSID de convidados (identificado pelo Called-Station-Id ou identificador NAS), a Política de Roteamento RADIUS encaminha a solicitação para os servidores RADIUS da Purple.
  3. A Purple responde com uma mensagem Access-Accept.
  4. O ClearPass recebe essa resposta e aplica sua própria Política de Imposição, anexando Atributos Específicos do Fabricante (VSAs) específicos antes de encaminhar a resposta final para o controlador.

Atribuição Dinâmica de VLAN Baseada em Regras

A VSA principal nesta arquitetura é o Aruba-User-Role. Quando o ClearPass encaminha a mensagem Access-Accept para o controlador, ele inclui este atributo para definir precisamente qual função o visitante deve assumir na rede sem fio.

Por exemplo, o ClearPass pode retornar Aruba-User-Role = guest-authenticated. No controlador Aruba, essa função é mapeada para a VLAN 20, que é configurada com políticas de firewall que permitem o acesso à internet, mas bloqueiam o roteamento para sub-redes corporativas internas. Essa segmentação é essencial para a conformidade com padrões como o PCI-DSS [1].

comparison_chart.png

Guia de Implementação

A implantação desta arquitetura exige uma configuração precisa tanto na infraestrutura Aruba quanto no ClearPass. Siga estes passos neutros em termos de fabricante para estabelecer a integração.

Passo 1: Configurar Servidores RADIUS da Purple no ClearPass

Navegue até Configuration > Network > Devices no ClearPass e adicione os servidores RADIUS primário e secundário da Purple como dispositivos de rede. Você precisará dos endereços IP e do segredo compartilhado fornecidos no seu painel de configuração de local da Purple.

Passo 2: Criar uma Política de Roteamento RADIUS

Crie uma nova Política de Roteamento RADIUS no ClearPass. Esta política determinará em quais condições as solicitações serão enviadas via proxy para a Purple. Defina os destinos primário e de backup para os servidores RADIUS da Purple que você configurou no Passo 1.

Passo 3: Definir o Serviço de Convidados

Crie um novo Serviço no ClearPass para autenticação de convidados.

  • Tipo: RADIUS Enforcement (Genérico)
  • Service Rules: Faça a correspondência do Radius:IETF:Called-Station-Id contendo o nome do seu SSID de visitante.
  • Routing Policy: Selecione a política criada na Etapa 2.
  • Enforcement Policy: Configure uma política para retornar o VSA Aruba-User-Role com o valor correspondente à sua função de visitante no Aruba Controller.

Step 4: Configure the Walled Garden on the Controller

O walled garden é uma lista de domínios que um dispositivo pode acessar antes da autenticação. Isso é configurado no Aruba Controller (ou por meio de regras de acesso no ArubaOS 10). Você deve incluir os domínios principais da Purple:

  • *.purple.ai
  • *.cloudfront.net
  • *.venuewifi.com

Se você estiver ativando logins sociais, também deve adicionar os domínios OAuth para cada provedor (por exemplo, *.facebook.com, *.google.com, *.microsoftonline.com).

Step 5: Configure RADIUS Accounting

Certifique-se de que o RADIUS accounting também esteja sendo direcionado via ClearPass para a Purple. A Purple usa dados de accounting (Acct-Start, Acct-Interim-Update, Acct-Stop) para rastrear a duração da sessão e preencher seu painel de WiFi Analytics . Defina o intervalo de accounting para 5 minutos no Aruba Controller.

Best Practices

Para garantir uma implantação robusta e consistente, siga estas recomendações padrão do setor.

  • Strictly Segregate Traffic: Sempre coloque o tráfego de visitantes em uma VLAN dedicada, sem caminho para os recursos corporativos. Este é um requisito fundamental para PCI-DSS e segurança de rede geral.
  • Proxy Accounting Data: Não negligencie o RADIUS accounting. Se os pacotes de accounting não chegarem à Purple, suas análises de fluxo de visitantes e relatórios de tempo de permanência ficarão incompletos.
  • Enable WISPr: No perfil de Captive Portal do Aruba Controller, certifique-se de que o WISPr (Wireless Internet Service Provider roaming) esteja ativado. Este protocolo permite que os sistemas operacionais móveis detectem automaticamente o Captive Portal e exibam a tela de login perfeitamente.
  • Use Active-Choice Opt-Ins: Para conformidade com a GDPR, configure seu portal Purple para usar caixas de seleção de aceitação explícita para comunicações de marketing, em vez de caixas pré-marcadas ou consentimento presumido [2].

Troubleshooting and Risk Mitigation

Mesmo com uma configuração cuidadosa, as integrações podem falhar. Aqui estão os modos de falha mais comuns e como resolvê-los.

Walled Garden Misconfiguration

Se o Captive Portal não carregar no dispositivo de um visitante, a causa raiz quase sempre é o walled garden. Os provedores de login social atualizam frequentemente suas faixas de IP de CDN e nomes de domínio. Trate o walled garden como uma configuração em constante mudança. Se um login social específico falhar, use uma captura de pacotes para identificar qual domínio o dispositivo está tentando acessar e adicione-o à lista de permissões.

RADIUS Timeout Errors

O timeout padrão do RADIUS na maioria dos controladores Aruba é de 3 segundos. Em uma arquitetura proxy, a solicitação de autenticação deve viajar do AP para o controlador, para o ClearPass, pela internet até a infraestrutura em nuvem da Purple, e voltar. Em uma rede congestionada, essa viagem de ida e volta pode facilmente exceder 3 segundos, fazendo com que o controlador descarte a solicitação. Aumente o timeout do RADIUS no controlador Aruba para pelo menos 10 segundos e configure a lógica de tentativa (retry).

Incompatibilidade de Segredo Compartilhado (Shared Secret Mismatch)

O RADIUS depende de segredos compartilhados para segurança. Se o segredo compartilhado entre o controlador Aruba e o ClearPass, ou entre o ClearPass e a Purple, não corresponder exatamente, a autenticação falhará silenciosamente. Nenhuma mensagem de erro útil será exibida para o visitante. Sempre verifique esses segredos caractere por caractere caso a autenticação esteja falhando.

Sensibilidade a Maiúsculas e Minúsculas no Nome da Função (Role Name Case Sensitivity)

O valor do VSA Aruba-User-Role retornado pelo ClearPass deve corresponder exatamente ao nome da função definido no controlador Aruba, incluindo maiúsculas e minúsculas. Se o ClearPass retornar guest-authenticated mas o controlador esperar Guest-Authenticated, o visitante voltará para a função de logon padrão e não terá acesso à internet.

Retorno sobre o Investimento (ROI) e Impacto no Negócio

A implantação do Purple WiFi em vez de um Captive Portal local básico oferece valor comercial mensurável em vários departamentos.

  • Impacto de Marketing: Ao capturar dados primários (first-party) por meio do portal, os estabelecimentos veem um aumento significativo em suas bases de dados de marketing. Por exemplo, a Harrods alcançou um ROI de marketing de 57x usando a Purple para impulsionar inscrições no programa de fidelidade [3].
  • Eficiência Operacional: A arquitetura de proxy RADIUS reduz a carga operacional sobre a TI. As equipes de segurança mantêm um painel único (single pane of glass) no ClearPass para todos os eventos de acesso à rede, simplificando os relatórios de conformidade e a resolução de problemas.
  • Monetização: Para estabelecimentos nos setores de transporte ou hospitalidade , a Purple permite modelos de largura de banda em camadas. A AGS Airports gerou um ROI de 842% ao implementar uma camada paga de WiFi premium junto a uma camada básica gratuita [4].

Ao implementar essa implantação conjunta, você transforma sua rede de convidados de um centro de custo em um ativo gerador de receita, mantendo a postura de segurança rigorosa exigida para a TI corporativa.

Referências

[1] PCI Security Standards Council. "Payment Card Industry (PCI) Data Security Standard." [2] Information Commissioner's Office (ICO). "Guide to the General Data Protection Regulation (GDPR)." [3] Purple. "Caso de Estudo de Guest WiFi da Harrods." [4] Purple. "Caso de Estudo de Guest WiFi da AGS Airports."

Definições principais

RADIUS Proxy

Uma arquitetura onde um servidor intermediário (ClearPass) recebe solicitações de autenticação de um dispositivo de rede (controlador Aruba) e as encaminha para o servidor backend apropriado (Purple), permitindo que o proxy inspecione, registre ou modifique o tráfego.

Usado para manter uma trilha de auditoria de segurança única no ClearPass enquanto permite que a Purple lide com a autenticação de convidados.

Walled Garden

Um ambiente limitado que controla o acesso de um usuário ao conteúdo da web antes que ele tenha se autorizado totalmente na rede.

Essencial para os Captive Portals; o walled garden deve permitir o acesso aos domínios de hospedagem do portal e aos provedores de login social para que a página de login possa carregar.

Vendor-Specific Attribute (VSA)

Campos de dados personalizados dentro do protocolo RADIUS que permitem que fornecedores de hardware ofereçam suporte a recursos proprietários não definidos nas RFCs padrão do RADIUS.

O ClearPass usa o VSA "Aruba-User-Role" para informar ao controlador Aruba exatamente qual função de firewall e VLAN atribuir a um usuário convidado.

802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta que fornece um mecanismo de autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN.

O protocolo primário usado pelo ClearPass para proteger dispositivos corporativos, normalmente usando EAP-TLS com certificados.

Captive Portal

Uma página da web que o usuário de uma rede de acesso público é obrigado a visualizar e interagir antes que o acesso seja concedido.

A Purple fornece a interface de Captive Portal para capturar dados de visitantes, exibir branding e coletar consentimento de marketing.

MAC Authentication Bypass (MAB)

Uma técnica que usa o endereço MAC de um dispositivo para autenticá-lo na rede quando o dispositivo não oferece suporte a suplicantes 802.1X.

Usado pelo ClearPass para traçar o perfil e autenticar dispositivos IoT sem interface de usuário, como smart TVs ou termostatos, colocando-os em uma VLAN isolada.

Dynamic VLAN Assignment

O processo de atribuir automaticamente um dispositivo a uma Rede Local Virtual específica com base em suas credenciais de autenticação ou função, em vez do SSID ao qual ele se conectou.

Permite que uma única infraestrutura de rede física segmente com segurança o tráfego corporativo, de convidados e de IoT.

WISPr

Roaming de Provedor de Serviços de Internet sem fio; um protocolo que permite aos dispositivos detectar automaticamente captive portals.

Deve ser ativado no controlador Aruba para que os dispositivos móveis abram automaticamente a tela de login do Purple ao se conectarem ao WiFi de convidados.

Exemplos práticos

Um hotel de 500 quartos precisa implantar um WiFi corporativo seguro para os funcionários e um portal de convidados personalizado com captura de dados para os visitantes, usando os controladores Aruba e ClearPass existentes.

Implante dois SSIDs: "Hotel_Corp" e "Hotel_Guest". Configure o "Hotel_Corp" para autenticação 802.1X em relação ao Active Directory via ClearPass, atribuindo os funcionários à VLAN 10. Configure o "Hotel_Guest" como uma rede aberta redirecionando para o Captive Portal da Purple. Configure o ClearPass como um proxy RADIUS para o SSID de convidados, encaminhando as solicitações para a Purple. Configure o ClearPass para retornar o VSA "Aruba-User-Role" após a autenticação bem-sucedida na Purple, atribuindo os convidados a uma VLAN 20 isolada.

Comentário do examinador: Esta abordagem isola perfeitamente o tráfego corporativo e de convidados, atendendo aos requisitos do PCI-DSS. Ela aproveita o ClearPass por sua força no 802.1X enquanto transfere o portal de convidados e a análise de dados para a Purple, evitando a necessidade de duas soluções NAC separadas.

Os visitantes estão se conectando ao SSID de convidados, mas a página do Captive Portal da Purple não está carregando em seus dispositivos.

Revise e atualize a configuração do walled garden no controlador Aruba. Certifique-se de que os domínios principais da Purple (*.purple.ai, *.cloudfront.net, *.venuewifi.com) estejam explicitamente permitidos. Se o login social estiver ativado, verifique se todos os domínios OAuth necessários (por exemplo, *.facebook.com, *.google.com) também estão incluídos na lista de permissões pré-autenticação.

Comentário do examinador: Configurações incorretas de walled garden são a causa mais comum de falhas no Captive Portal. Os dispositivos devem ser capazes de alcançar a infraestrutura de hospedagem do portal e a CDN antes de serem totalmente autorizados na rede.

Questões práticas

Q1. Você configurou o ClearPass para fazer proxy da autenticação de convidados para o Purple. O convidado se autentica com sucesso no portal Purple, mas o controlador Aruba o coloca na função padrão 'logon' sem acesso à internet, em vez da função pretendida 'guest-access'. Qual é o erro de configuração mais provável?

Dica: Verifique como o ClearPass comunica a atribuição de função de volta ao controlador.

Ver resposta modelo

Diferença de maiúsculas e minúsculas no nome da função. O valor do VSA Aruba-User-Role retornado pelo ClearPass deve corresponder exatamente ao nome da função definido no controlador Aruba. Se houver um erro de digitação ou diferença de maiúsculas/minúsculas (por exemplo, 'Guest-Access' versus 'guest-access'), o controlador não reconhecerá a função e colocará o usuário no estado restrito padrão.

Q2. Uma rede de varejo deseja implantar o Purple WiFi para análise de dados de convidados, mas sua equipe de segurança insiste que todos os eventos de autenticação de rede devem ser registrados centralmente em seu sistema Aruba ClearPass existente para fins de conformidade. Como essa arquitetura deve ser projetada?

Dica: Considere como o tráfego RADIUS flui entre os pontos de acesso, o ClearPass e o Purple.

Ver resposta modelo

Implemente uma arquitetura de proxy RADIUS. Configure os controladores Aruba para enviar todas as solicitações RADIUS para o ClearPass. No ClearPass, crie uma política de roteamento que encaminhe as solicitações do SSID de convidados para os servidores RADIUS em nuvem do Purple. Isso garante que o Purple gerencie o portal de convidados e as análises, enquanto o ClearPass mantém uma trilha de auditoria completa e centralizada de todos os eventos de autenticação.

Q3. Após implantar a integração, a equipe de marketing relata que o painel de análise do Purple está exibindo zero dados para o 'tempo de permanência' dos visitantes, embora os convidados estejam se conectando e usando a internet com sucesso. Qual etapa de configuração foi esquecida?

Dica: Os cálculos de tempo de permanência exigem atualizações contínuas sobre o status da sessão, e não apenas a autenticação inicial.

Ver resposta modelo

O accounting do RADIUS não está sendo enviado via proxy para o Purple. Embora o proxy de autenticação permita o acesso dos usuários à rede, o Purple exige os pacotes de accounting do RADIUS (Acct-Start, Acct-Interim-Update, Acct-Stop) para calcular a duração da sessão e o tempo de permanência. Você deve garantir que o ClearPass esteja configurado para enviar os dados de accounting via proxy para o Purple, e que o controlador esteja definido para enviar atualizações intermediárias (por exemplo, a cada 5 minutos).

Continue a ler esta série

Configurando Autenticação RADIUS para Redes WiFi de Convidados e Funcionários

Este guia de referência técnica descreve a arquitetura, configuração e implantação da autenticação RADIUS para redes WiFi corporativas de convidados e funcionários. Ele fornece aos arquitetos de rede e gerentes de TI os protocolos exatos, padrões de segurança e metodologias de solução de problemas necessários para criar sistemas de controle de acesso sem fio seguros e escaláveis.

Ler o guia →

Passpoint and OpenRoaming: Complete Guide

Este guia de referência técnica fornece uma análise abrangente das estruturas Passpoint (Hotspot 2.0) e WBA OpenRoaming em redes WiFi corporativas. Ele detalha os protocolos de autenticação subjacentes, componentes de arquitetura e estratégias de implantação necessárias para estabelecer uma conectividade de visitantes segura e sem atrito. Arquitetos de rede e líderes de TI aprenderão como projetar, implementar e solucionar problemas desses padrões para eliminar as barreiras de login manual, mantendo a segurança de nível empresarial.

Ler o guia →

Como Implementar SCEP para BYOD Seguro e Registro de Rede no Ensino Superior

Este guia técnico fornece aos arquitetos de rede e gerentes de TI um modelo neutro de fornecedor para implantar o registro de certificados baseado em SCEP para proteger redes de campus de ensino superior. Ele detalha como migrar do PEAP baseado em senha para o 802.1X EAP-TLS, automatizar a integração de BYOD e aplicar uma segmentação robusta de VLAN.

Ler o guia →