Captive Portal para HPE Aruba: configure-o com o Purple guest WiFi

CAPTIVE PORTAL FOR ARUBA: INTEGRATING PURPLE FOR ENTERPRISE GUEST WIFI Uma Apresentação Técnica Purple - Aproximadamente 10 Minutos [INTRODUÇÃO E CONTEXTO - aprox. 1 minuto] Boas-vindas à série de Apresentações Técnicas da Purple. Sou o seu anfitrião e hoje vamos abordar algo que surge em quase todas as conversas sobre implantação sem fio corporativa que temos: como configurar um Captive Portal na infraestrutura Aruba e, especificamente, como conectar esse portal à plataforma de inteligência de guest WiFi da Purple. Se você gerencia Aruba Instant APs ou uma frota de pontos de acesso por meio do Aruba Central, este episódio é para você. Vamos direto ao ponto - esta é uma apresentação prática, não uma palestra - por isso vou presumir que você já conhece as telas de configuração de WLAN e entende os conceitos básicos de autenticação RADIUS. O principal problema que estamos resolvendo é este: o portal de convidados integrado da Aruba é funcional, mas limitado. Ele não oferece a captura de dados de marketing, fluxos de consentimento em conformidade com a GDPR ou as análises em tempo real que os locais corporativos precisam. Substituí-lo pelo Captive Portal externo da Purple é a decisão de arquitetura correta, e hoje vou orientar você exatamente sobre como fazer isso. [APROFUNDAMENTO TÉCNICO - aprox. 5 minutos] Vamos começar com a arquitetura. Quando um convidado se conecta ao seu SSID Aruba e abre um navegador, o AP intercepta essa requisição HTTP na porta TCP 80 e a redireciona para a URL do portal externo - neste caso, a splash page hospedada na nuvem da Purple. O convidado se autentica por meio do portal da Purple, que envia uma mensagem RADIUS Access-Request para os servidores RADIUS da Purple na porta UDP 1812. Em caso de sucesso, o servidor RADIUS retorna uma mensagem Access-Accept, e o AP concede ao cliente acesso total à internet. Os registros de Accounting são enviados na porta UDP 1813 durante toda a sessão. Esse é o fluxo fundamental. Agora vamos para a configuração. Existem dois planos de gerenciamento com os quais você pode trabalhar: o Aruba Instant, que é o modelo de controladora virtual local executando o ArubaOS 8.x, e o Aruba Central, que é a plataforma de gerenciamento em nuvem da HPE. As etapas de configuração são semelhantes em conceito, mas diferem no local onde você encontra as configurações. Começando com o Aruba Instant no ArubaOS 8. Primeiro, você configurará seu servidor RADIUS. Navegue até Security, depois Authentication Server e clique em New. Você precisará de quatro informações da plataforma Purple: o endereço IP do servidor primário, a porta de autenticação - normalmente 1812 -, a porta de accounting - normalmente 1813 - e o segredo compartilhado (shared secret). A Purple fornece essas informações no seu painel de configuração do local. Adicione um servidor secundário para resiliência; a Purple opera uma infraestrutura RADIUS multirregião, portanto você terá um backup geograficamente apropriado. Em seguida, crie o perfil de Captive Portal Externo. Acesse Security, depois Captive Portal, clique em New e defina o Type como External. Insira a URL da splash page a partir da sua configuração de local do Purple - ela será um endpoint HTTPS hospedado pelo Purple. Defina a porta como 443, ative a opção Use HTTPS e, crucialmente, defina o campo WISPr como Enabled. O WISPr - Wireless Internet Service Provider roaming - é o protocolo que permite aos dispositivos detectarem automaticamente o captive portal e apresentá-lo corretamente, principalmente em dispositivos iOS e Android que usam detecção de captive portal em segundo plano. Sem o WISPr ativado, alguns dispositivos falharão em acionar o portal automaticamente. Agora, o SSID de visitante. Crie uma nova WLAN, defina o Primary Usage como Guest e, na guia Security, defina o Splash Page Type como External - RADIUS Server. Atribua o perfil de captive portal e o servidor RADIUS que você acabou de criar. Defina o Reauth Interval para algo razoável - 1440 minutos, que equivale a 24 horas, é uma escolha comum para ambientes de hotelaria. Ative a autenticação MAC se desejar que os visitantes recorrentes ignorem o portal em visitas subsequentes dentro desse período. Para o Aruba Central no AOS-8, o fluxo é essencialmente o mesmo, mas acessado através do assistente de WLAN em Devices, Config, WLANs. Defina o Security Level como Visitors, o Type como External Captive Portal e crie um novo perfil de captive portal com a URL de splash do Purple. Adicione seus servidores RADIUS primário e secundário, ative o accounting e defina um intervalo de accounting de cinco minutos. Esse intervalo é importante - ele garante que a plataforma de analytics do Purple receba atualizações regulares de sessão para relatórios precisos de tempo de permanência e engajamento. No AOS-10, que é a arquitetura cloud-first, há uma diferença importante: o walled garden não é mais configurado na guia WLAN Security. Em vez disso, você o configura por meio de Access Rules. Você cria uma função de pré-autenticação - chame-a de Guest Logon - e adiciona regras de permissão (allow) para cada domínio na lista de permissões do walled garden. Em seguida, atribua essa função como a Pre-Authentication Role no SSID. Falando em walled garden - é aqui que a maioria das implantações apresenta problemas. O walled garden é a lista de domínios que os visitantes não autenticados podem acessar antes de concluírem o fluxo do portal. Sem essas entradas, o próprio portal não carregará, porque o dispositivo do visitante não conseguirá acessar a CDN do Purple para baixar os recursos da splash page. As entradas obrigatórias do Purple são: asterisco ponto purple ponto ai, asterisco ponto cloudfront ponto net e asterisco ponto venuewifi ponto com. Se estiver usando login social - Google, Facebook, Apple, Microsoft - você precisará adicionar os domínios OAuth relevantes para cada provedor. O Google exige asterisco ponto google ponto com, asterisco ponto googleapis ponto com e asterisco ponto gstatic ponto com. O Facebook exige asterisco ponto facebook ponto com, asterisco ponto fbcdn ponto net e connect ponto facebook ponto net. O login com a Apple precisa de asterisco ponto apple ponto com e appleid ponto apple ponto com. O Microsoft Entra ID exige asterisco ponto microsoft ponto com e asterisco ponto microsoftonline ponto com. Uma coisa que vale a pena destacar: no Aruba, você pode habilitar o Automatic URL Whitelisting no perfil do Captive Portal. Esse recurso libera dinamicamente as URLs que a página do portal faz referência. É útil como uma alternativa de segurança, mas eu recomendaria configurar explicitamente o walled garden em vez de confiar na liberação automática em produção - é mais previsível e mais fácil de auditar. Vamos falar especificamente sobre os parâmetros RADIUS. Os principais atributos que o Purple usa são: NAS-IP-Address, que identifica seu AP ou controladora; Called-Station-Id, que carrega o BSSID e o SSID no formato endereço-MAC:nome-SSID - o Purple usa isso para mapear sessões para locais e pontos de acesso específicos; e Calling-Station-Id, que é o endereço MAC do cliente. No lado de tarifação (accounting), o Acct-Session-Id fornece o identificador exclusivo de sessão, e o Acct-Status-Type carrega eventos Start, Interim-Update e Stop. Certifique-se de que sua configuração do Aruba esteja enviando todos os três tipos de eventos de tarifação - algumas implantações enviam apenas Start e Stop, o que significa que a análise do Purple perde os dados de sessão provisórios necessários para cálculos precisos de tempo de permanência. [IMPLEMENTATION RECOMMENDATIONS & PITFALLS — aprox. 2 minutos] Deixe-me dar as recomendações práticas que eu daria a qualquer cliente que estivesse implantando isso. Primeiro: sempre teste com um dispositivo de teste dedicado antes de entrar em operação. Conecte-se ao SSID de visitantes, abra um navegador em uma URL HTTP - não HTTPS - e verifique se o redirecionamento funciona. Se você for direto para HTTPS, o redirecionamento não funcionará porque o AP não pode interceptar o tráfego criptografado. Esta é a principal chamada de suporte que recebemos. Segundo: regras de firewall. Sua VLAN de gerenciamento de AP ou controladora precisa de acesso UDP de saída para os IPs do servidor RADIUS do Purple nas portas 1812 e 1813. Se você tiver um firewall stateful entre seus APs e a internet, certifique-se de que ele permita esses fluxos UDP. O RADIUS é sem conexão, portanto, alguns firewalls precisam de regras explícitas em vez de confiar na inspeção stateful. Terceiro: confiança de certificado. Ao configurar a URL da splash page como HTTPS, o AP precisa confiar no certificado apresentado pelo servidor de portal do Purple. No Aruba Central, pode ser necessário importar um certificado de CA confiável nas configurações globais antes que o redirecionamento do portal funcione corretamente via HTTPS. O Purple usa certificados de uma CA amplamente confiável, mas vale a pena verificar isso em seu ambiente. Quarto: segmentação de VLAN. Seu SSID de visitantes deve estar em uma VLAN dedicada que esteja isolada da sua rede corporativa. Isso é tanto um requisito de segurança - o PCI-DSS exige segmentação de rede para ambientes de dados de portadores de cartão - quanto uma necessidade prática para a funcionalidade do Captive Portal. A VLAN de visitantes deve ter acesso à internet, mas nenhuma rota para recursos internos. Quinto: a configuração do WISPr. Mencionei isso antes, mas vale a pena repetir. Habilite o WISPr. Sem ele, os dispositivos iOS em particular não detectarão automaticamente o Captive Portal, e os visitantes terão uma experiência confusa em que parecem estar conectados, mas não têm acesso à internet. [P&R RÁPIDA — aprox. 1 minuto] Deixe-me passar pelas perguntas que recebo com mais frequência. Posso usar o Aruba Instant On - o produto para pequenas empresas - com o Purple? Sim, com algumas limitações. O Instant On suporta Captive Portals externos, mas a interface de configuração é mais limitada do que o Aruba Central completo. A Purple possui um guia de integração dedicado ao Instant On. A Purple suporta RadSec para RADIUS criptografado? Sim. A Purple suporta RADIUS sobre TLS - RadSec - para implantações onde o tráfego RADIUS atravessa redes não confiáveis. Isso é cada vez mais relevante para implantações gerenciadas na nuvem, onde a troca de RADIUS cruza a internet pública. O que acontece se o portal Purple estiver inacessível? Você pode configurar a definição de Falha do Captive Portal para Negar Internet - que é o padrão seguro - ou Permitir Internet, que fornece um modo de acesso aberto de backup. Para a maioria dos locais corporativos, Negar Internet é a escolha certa. Posso executar múltiplos SSIDs com diferentes locais Purple na mesma infraestrutura Aruba? Com certeza. Cada SSID recebe seu próprio perfil de Captive Portal apontando para uma URL de local Purple diferente. O atributo RADIUS Called-Station-Id carrega o nome do SSID, que a Purple usa para rotear a sessão para a configuração correta do local. [RESUMO E PRÓXIMOS PASSOS — aprox. 1 minuto] Deixe-me resumir tudo isso. Implantar a Purple como um Captive Portal externo em uma infraestrutura Aruba é um caminho de integração amplamente testado. As etapas principais são: configurar seus servidores RADIUS com as credenciais da Purple, criar um perfil de Captive Portal externo apontando para a URL da splash page da Purple com WISPr habilitado, criar seu SSID de visitantes com o tipo de splash page External RADIUS Server e configurar seu walled garden com os domínios principais da Purple e quaisquer domínios de provedores de login social que você esteja ativando. A diferença do AOS-10 a ser lembrada é que a configuração do walled garden passa para as Access Rules em vez da guia WLAN Security. Do ponto de vista de negócios, substituir o portal local básico da Aruba pela Purple oferece captura de dados em conformidade com o GDPR, análises de localização em tempo real, relatórios demográficos e automação de marketing - tudo a partir da mesma infraestrutura WiFi que você já possui. Para os seus próximos passos: obtenha as credenciais RADIUS do seu local Purple no painel da Purple, execute a lista de verificação de configuração no guia escrito complementar e teste com um dispositivo dedicado antes de implementar em produção. Se você estiver implantando em vários locais, o console de gerenciamento de múltiplos locais da Purple permite gerenciar as configurações do Captive Portal, branding e análises em toda a sua propriedade a partir de uma única interface. Obrigado por ouvir. O guia escrito completo, as tabelas de configuração e as listas de referência de walled garden estão disponíveis em purple ponto ai. Até a próxima. [FIM DO ROTEIRO]