Configurando o Redirecionamento do Captive Portal em Controladoras de Rede Corporativas

Bem-vindo ao Purple Technical Briefing. Sou o seu anfitrião e, nos próximos dez minutos, iremos direto a um dos tópicos mais pesquisados e menos documentados em WiFi corporativo: a configuração de redirecionamento de captive portal em controladores de rede. Se você já pesquisou por "configurar controlador portal cautivo" e voltou de mãos vazias, este é o briefing de que você precisava. Abordaremos o panorama completo: a arquitetura técnica, as etapas de configuração para cada controlador, os requisitos de conformidade e as armadilhas do mundo real que atrapalham até mesmo equipes de rede experientes. Vamos começar. Um captive portal é o mecanismo que intercepta a primeira solicitação HTTP ou HTTPS do dispositivo de um visitante após a conexão à sua rede WiFi, redirecionando-o para uma splash page personalizada antes de liberar o acesso à internet. Essa splash page pode solicitar um login social, o preenchimento de um formulário, uma simples aceitação de termos por clique ou uma verificação de credenciais baseada em RADIUS. O redirecionamento em si é tratado no nível do controlador — não no ponto de acesso, nem no firewall. O controlador intercepta o tráfego do cliente não autenticado, aplica uma lista de controle de acesso pré-autenticação — o que chamamos de walled garden — e direciona o navegador do cliente para a URL do seu portal. Por que isso importa comercialmente? Três razões. Primeiro, conformidade. Sob o GDPR, você deve obter consentimento explícito e informado antes de coletar dados pessoais dos visitantes. Um captive portal configurado corretamente é o seu mecanismo de consentimento. Sem ele, você está coletando dados sem uma base legal — e isso representa uma exposição regulatória. Segundo, segurança. Um SSID aberto sem autenticação é uma vulnerabilidade. O redirecionamento de captive portal, combinado com a segmentação de VLAN e um servidor RADIUS, oferece responsabilidade por sessão. Você sabe quem se conectou, quando e a partir de qual dispositivo. Terceiro, inteligência de negócios. Cada sessão autenticada é um ponto de dados proprietários (first-party data). A Purple processa 440 milhões de logins anualmente em 80.000 estabelecimentos. Esses dados — tempo de permanência, frequência de visitas, sinais demográficos — só estão disponíveis se o seu captive portal estiver configurado corretamente para capturá-los e transmiti-los. Agora, deixe-me guiar você pelo fluxo de redirecionamento, passo a passo. Passo um: um dispositivo de visitante se associa ao seu SSID de visitantes. O controlador atribui a ele um endereço IP via DHCP, mas o coloca em um estado restrito de pré-autenticação. Todo o tráfego é bloqueado, exceto o DNS e os domínios de walled garden que você permitiu explicitamente. Passo dois: o visitante abre um navegador. Sua solicitação HTTP chega ao controlador. O controlador a intercepta e emite um redirecionamento 302 para a URL do seu portal. Passo três: o navegador do visitante carrega sua splash page, hospedada no próprio controlador ou, de forma mais comum em implantações corporativas, em uma plataforma de nuvem externa como a Purple. Passo quatro: o convidado se autentica - via login social, formulário ou credenciais. O portal envia um sinal de autorização de volta para a controladora, normalmente por meio de uma mensagem RADIUS Access-Accept ou de um bypass de autorização MAC. Passo cinco: a controladora move o cliente da VLAN de pré-autenticação para a VLAN pós-autenticação, remove a regra de redirecionamento e concede acesso à internet. Esse fluxo de cinco etapas é consistente em todas as principais plataformas de controladoras. O que difere é como você configura cada etapa na Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi e outras. Vamos passar pelas principais plataformas. Cisco Meraki. A Meraki usa uma splash page personalizada configurada inteiramente pelo Meraki Dashboard - não há CLI. Navegue até Wireless, depois em Access Control, selecione o seu SSID de convidado, defina a splash page como "Sign-on with my RADIUS server" ou "Click-through" e, em seguida, insira a URL do seu portal externo no campo Custom Splash URL. O walled garden é configurado na seção Advanced Splash Settings - você adiciona os endereços IP do servidor do seu portal para que o convidado possa acessar a splash page antes da autenticação. Os detalhes do servidor RADIUS ficam na seção RADIUS: autenticação na porta 1812, bilhetagem (accounting) na porta 1813. HPE Aruba. No ArubaOS, você configura um perfil de Captive Portal na seção AAA, especificando a URL de login, o grupo de servidores que aponta para o seu servidor RADIUS e a URL de redirecionamento. Em seguida, você aplica esse perfil ao seu SSID por meio do perfil de AP virtual. A função de pré-autenticação - o que a Aruba chama de função "logon" - contém a ACL que permite DNS, DHCP e acesso à faixa de IP do servidor do seu portal. Após a autenticação, a controladora atribui a função "authenticated", que permite acesso total à internet. Ruckus SmartZone usa um tipo de WLAN Hotspot para implantações de Captive Portal. Na configuração de WLAN, defina o tipo de WLAN como Hotspot, depois configure a URL do portal, o servidor RADIUS para autenticação e bilhetagem (accounting) e as entradas de walled garden. A Northbound Portal Interface lida com o fluxo de autorização MAC entre o portal e a controladora. Juniper Mist usa uma abordagem nativa da nuvem. Em Network, depois em WLANs, crie uma WLAN de convidado e defina o tipo de portal como "External Captive Portal". Insira a URL do seu portal e configure os detalhes do servidor RADIUS. A Mist passa o MAC do cliente, o MAC do AP e o nome do SSID como parâmetros de URL para o portal. Ubiquiti UniFi. No UniFi Network Controller, navegue até Settings, depois em WiFi, selecione sua rede de convidados e, em Advanced Options, defina a Guest Policy para ativar o portal de hotspot. Defina o tipo de portal como "External" e insira a URL do seu portal. Configure o servidor RADIUS em Profiles, depois em RADIUS. O walled garden é o elemento configurado incorretamente com mais frequência em implantações de Captive Portal. Se errar nisso, seus convidados verão um erro de navegador em vez da sua splash page. O walled garden deve permitir, no mínimo: os endereços IP ou domínio do seu servidor de portal, os endereços IP do seu servidor RADIUS, a resolução DNS na porta 53 e o DHCP nas portas 67 e 68. Se o seu portal carrega recursos de uma CDN - fontes, imagens, JavaScript - esses domínios da CDN também devem estar no walled garden. Para implantações da Purple, fornecemos os intervalos de IP e domínios específicos para a lista de permissões durante o onboarding. O modo de falha mais comum é um portal que carrega o frame HTML, mas falha ao renderizar imagens ou executar JavaScript porque os domínios da CDN estão ausentes do walled garden. Dois padrões de conformidade dominam aqui: GDPR e PCI DSS. Sob a GDPR, seu captive portal deve apresentar um mecanismo de consentimento claro e específico antes de coletar dados pessoais. Isso significa caixas de seleção separadas e desmarcadas para acesso WiFi e consentimento de marketing. Você não pode agrupá-los. O registro de consentimento deve ser armazenado e recuperável para fins de auditoria. A plataforma da Purple lida com isso automaticamente, armazenando registros de consentimento para cada sessão autenticada. Sob o PCI DSS, se o seu estabelecimento processa pagamentos com cartão, sua rede WiFi de convidados deve ser isolada do seu ambiente de cartões de pagamento. Isso significa uma VLAN de convidados dedicada com regras de firewall que impedem qualquer roteamento entre o segmento de convidados e sua rede de PDV. A versão 4.0 do PCI DSS, que se tornou obrigatória em março de 2024, exige testes de segmentação de rede pelo menos a cada seis meses. Deixe-me dar dois cenários concretos. Cenário um: um hotel de 350 quartos executando Cisco Meraki. O hotel deseja substituir um portal básico de clique único por uma experiência de convidado personalizada que capture endereços de e-mail para seu programa de fidelidade. A configuração: crie um SSID de convidado dedicado em uma VLAN separada apenas com acesso à internet. Configure a splash page do Meraki para apontar para a URL do portal da Purple. Configure a autenticação RADIUS usando os detalhes do servidor RADIUS da Purple. Configure o walled garden com os intervalos de IP da Purple. No painel da Purple, crie uma splash page personalizada com um formulário capturando nome, e-mail e número do quarto, com caixas de seleção explícitas de consentimento da GDPR. Conecte o conector de CRM da Purple à plataforma de marketing do hotel. O Premier Inn implementou esse modelo em todas as suas propriedades e viu aumentos mensuráveis nas taxas de reserva direta de hóspedes adquiridos via WiFi. Cenário dois: uma rede de varejo regional com 40 lojas executando HPE Aruba. O varejista precisa de uma experiência de WiFi para convidados consistente em todos os locais, com análises de fluxo de pessoas para comparar o desempenho das lojas. Implante o Aruba Central para gerenciar todos os 40 locais a partir de um único painel. Configure um modelo de WLAN de convidados com captive portal externo apontando para a Purple. Aplique o modelo em todos os locais usando o recurso de política de grupo do Aruba Central. Na Purple, configure um único modelo de portal aplicável a todos os locais, com painéis de análise por local. O walled garden e a configuração do RADIUS são definidos uma vez no modelo e propagados automaticamente. Resultado: a equipe de TI gerencia 40 locais a partir de um único console. A equipe de marketing obtém dados de fluxo de pessoas por loja, análise de tempo de permanência e taxas de visitas recorrentes — tudo a partir de um único painel da Purple. Quatro armadilhas que vejo repetidamente. Uma: falhas de interceptação de HTTPS. Navegadores e sistemas operacionais móveis modernos usam sondagens HTTPS para detectar captive portals. Se o seu controlador não puder interceptar o tráfego HTTPS — o que requer um certificado válido para o domínio de redirecionamento —, a sondagem falha silenciosamente e o convidado não vê o redirecionamento. A solução: configure a interface virtual do seu controlador com um certificado confiável ou use sondagens apenas HTTP no seu SSID de convidados. Duas: vazamento de DNS. Se a sua ACL de pré-autenticação permitir DNS irrestrito, os convidados podem usar tunelamento DNS para ignorar completamente o captive portal. Restrinja o DNS apenas ao seu resolvedor designado. Três: incompatibilidades de tempo limite de sessão. Se o tempo limite de sessão do seu controlador for menor que a validade do token de sessão do seu portal, os convidados serão redirecionados de volta ao portal no meio da sessão. Alinhe esses valores — normalmente 24 horas para hotelaria, oito horas para varejo. Quatro: contabilidade ausente. A contabilidade RADIUS — as mensagens Accounting-Start e Accounting-Stop — é como o seu portal sabe que uma sessão terminou. Sem a contabilidade configurada, os registros de sessão do seu portal serão imprecisos e suas análises serão não confiáveis. Perguntas rápidas, respostas rápidas. Posso usar um portal externo com qualquer controlador? Sim, desde que o controlador ofereça suporte a redirecionamento para captive portal externo — o que todas as plataformas que discutimos fazem. Preciso de um servidor RADIUS para executar um captive portal? Nem sempre. Portais simples de clique simples podem usar desvio de autorização MAC sem um servidor RADIUS completo. Mas para portais de login social ou baseados em credenciais, o RADIUS é o mecanismo padrão. O captive portal funciona com WPA3? Sim. O WPA3 lida com a camada de criptografia sem fio. O captive portal lida com a camada de autenticação. Eles operam de forma independente e são totalmente compatíveis. Como o Purple se integra ao meu controlador existente? O Purple atua como o servidor de portal externo. Você direciona a URL de splash do seu controlador para o endpoint do portal do Purple, configura o walled garden com as faixas de IP do Purple e define o RADIUS usando os detalhes do servidor do Purple. A integração é o mesmo processo, independentemente de você estar no Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist ou Ubiquiti UniFi. Para resumir. O redirecionamento de Captive Portal é configurado no nível do controlador, não no ponto de acesso. Os componentes principais são: a URL de splash apontando para o seu portal, o walled garden permitindo o acesso ao seu servidor de portal, RADIUS para autenticação e bilhetagem (accounting), e segmentação de VLAN para isolamento de rede. As etapas de configuração variam de acordo com o fabricante, mas a arquitetura é consistente. Para conformidade, seu portal deve implementar a captura de consentimento em conformidade com a GDPR e a segmentação de rede em conformidade com o PCI DSS. O WPA3 é o padrão atual para criptografia sem fio e deve ser sua especificação de linha de base em qualquer nova implantação. O Purple se integra nativamente com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Em 80.000 locais e 440 milhões de logins em 2024, a plataforma é agnóstica em relação ao hardware por design - sua escolha de controlador não limita sua capacidade de capturar dados primários de visitantes ou executar análises. Seu próximo passo: revise a configuração atual do seu controlador em relação ao checklist de walled garden e bilhetagem RADIUS neste guia. Se você estiver implantando uma nova rede WiFi de convidados, comece com as etapas de configuração específicas do fabricante para a sua plataforma de controlador e conecte o Purple como seu portal externo. Obrigado por ouvir. Este foi o Purple Technical Briefing.