Ver transcrição do podcast
ROTEIRO DO PODCAST: Integração dos Access Points EnGenius Cloud com o Purple WiFi
Plataforma de Inteligência Purple WiFi - Série de Briefing Técnico
Duração: Aproximadamente 10 minutos
Voz: Inglês britânico, tom de consultor sênior - confiante, conversacional, autoritativo
[INTRODUÇÃO - 1 MINUTO]
Bem-vindo à Série de Briefing Técnico da Purple. Hoje vamos abordar algo que surge regularmente em implantações corporativas: a integração de access points EnGenius Cloud com a plataforma de WiFi para visitantes da Purple.
Se você gerencia uma infraestrutura EnGenius, sejam access points da série ECW em um hotel, uma rede de varejo ou um edifício comercial multi-inquilino, e deseja adicionar um Captive Portal personalizado, coletar dados de visitantes primários (first-party) e aplicar uma segmentação de rede adequada, este briefing é para você.
Nos próximos dez minutos, quero guiar você pelas quatro principais áreas de configuração: redirecionamento do Captive Portal de visitantes, configuração de walled garden, WiFi seguro para funcionários usando 802.1X e isolamento multi-inquilino usando EnGenius MyPSK com atribuição dinâmica de VLAN. Ao final, você terá uma visão clara de exatamente o que configurar, em qual ordem e quais são as armadilhas comuns.
Vamos começar.
[APROFUNDAMENTO TÉCNICO - 5 MINUTOS]
Vamos começar com o Captive Portal de visitantes, o ponto de partida mais comum para qualquer operador de local de evento.
O EnGenius Cloud oferece suporte nativo a splash pages externas. Isso significa que, em vez de hospedar uma página de login básica no próprio access point, você redireciona os visitantes não autenticados para o portal hospedado na nuvem da Purple. É aqui que residem o branding, a captura de dados, o gerenciamento de consentimento e as análises.
Aqui está a sequência de configuração no EnGenius Cloud. Faça login no seu painel do EnGenius Cloud e navegue até Configure, depois SSID. Selecione o seu SSID de visitantes. Na guia Wireless, defina o tipo de segurança como Open ou WPA2 PSK, dependendo da sua preferência. Open é o padrão para a maioria das implantações de WiFi para visitantes. Em seguida, mude para a guia Captive Portal. Ative o Captive Portal e defina o Authentication Type como Custom RADIUS. Essa é a configuração principal. Ela instrui o access point a encaminhar as solicitações de autenticação para um servidor RADIUS externo, que neste caso é o endpoint RADIUS na nuvem da Purple.
Agora insira os detalhes do RADIUS da Purple. O IP do servidor RADIUS principal é fornecido no seu painel da Purple em Configuração de Hardware. A porta de autenticação é UDP 1812. A porta de tarifação (accounting) é UDP 1813. Insira o segredo compartilhado (shared secret). A Purple gera isso para você, e ele deve ter pelo menos 22 caracteres, misturando maiúsculas e minúsculas, números e símbolos. Defina o identificador NAS para corresponder ao nome do seu local de evento ou a um identificador exclusivo que você definiu na Purple.
Em seguida, acesse a guia Splash Page. Selecione URL da Splash Page Externa e insira a URL do portal Purple. Essa é a URL que a Purple fornece para o seu local específico. Quando um convidado se conecta ao SSID e abre um navegador, o ponto de acesso intercepta a solicitação e o redireciona para essa URL, passando parâmetros que incluem o endereço MAC do cliente, o endereço MAC do AP e a URL original que o convidado estava tentando acessar.
Agora, o walled garden. Esta é a lista de domínios e endereços IP que os convidados podem acessar antes de se autenticarem. Sem isso, o próprio portal Purple não pode ser carregado, pois o navegador do convidado não consegue acessar os servidores da Purple. No EnGenius Cloud, o walled garden fica em Captive Portal, depois Advanced Settings, e então Walled Garden. Você precisa adicionar o domínio do portal Purple, os endpoints de CDN da Purple e os endpoints de teste de Captive Portal do sistema operacional. Para dispositivos Apple, é captive.apple.com. Para Android, connectivitycheck.gstatic.com. Para Windows, msftconnecttest.com. Se esquecer de algum desses, os convidados nessas plataformas não verão o portal de forma alguma.
Se você estiver oferecendo login social por meio do Google ou Facebook, também precisará incluir na lista de permissões os endpoints OAuth desses provedores. O Google exige accounts.google.com, oauth2.googleapis.com e apis.google.com, no mínimo. O Facebook exige www.facebook.com, graph.facebook.com e connect.facebook.net. A documentação de suporte da Purple fornece uma lista atualizada de walled garden para cada método de autenticação. Use-a como referência, pois esses domínios mudam.
Agora vamos passar para o WiFi seguro da equipe usando 802.1X.
Este é um SSID separado. O tipo de segurança aqui é WPA2 Enterprise ou WPA3 Enterprise. No EnGenius Cloud, na guia SSID Wireless, selecione WPA2 Enterprise e escolha Custom RADIUS. Insira os mesmos detalhes do servidor RADIUS. O endpoint RADIUS da Purple, porta 1812, e o segredo compartilhado. A diferença em relação à configuração de convidados é que não há Captive Portal aqui. Os dispositivos da equipe se autenticam silenciosamente usando o protocolo IEEE 802.1X. O dispositivo apresenta um certificado ou nome de usuário e senha ao servidor RADIUS, que o valida e retorna uma mensagem de Access-Accept junto com os atributos de atribuição de VLAN.
Os atributos RADIUS que geram a atribuição dinâmica de VLAN são Tunnel-Type definido como VLAN, Tunnel-Medium-Type definido como 802 e Tunnel-Private-Group-ID definido como o número da VLAN. Portanto, se a VLAN da sua equipe for a VLAN 20, o servidor RADIUS retornará o Tunnel-Private-Group-ID com o valor 20. O ponto de acesso EnGenius lê esse atributo e coloca o dispositivo autenticado na VLAN 20 automaticamente. Isso significa que você pode ter um único SSID atendendo a várias funções da equipe, financeiro, operações, TI, prestadores de serviços, cada um caindo em uma VLAN diferente com base em sua associação ao grupo de diretório, tudo sem qualquer configuração manual de VLAN por dispositivo.Para o método EAP, PEAP-MSCHAPv2 é a escolha mais comum para ambientes que utilizam Active Directory ou Microsoft Entra ID. Ele requer um certificado do lado do servidor no servidor RADIUS e credenciais de usuário e senha no cliente. O EAP-TLS é mais seguro. Ele usa certificados em ambos os lados. Mas exige uma infraestrutura PKI e implantação de MDM para enviar certificados para os dispositivos. Para a maioria dos operadores de locais, o PEAP-MSCHAPv2 com validação estrita de certificado aplicada via Política de Grupo ou MDM é a escolha prática.
Agora para a parte tecnicamente mais interessante: EnGenius MyPSK e isolamento multi-tenant.
O MyPSK, também chamado de PPSK ou Private Pre-Shared Key, resolve um problema específico em ambientes multi-tenant. Em um empreendimento build-to-rent, um escritório compartilhado ou uma residência estudantil, você deseja que cada inquilino ou residente tenha sua própria senha de WiFi exclusiva. Mas você não quer criar um SSID separado para cada inquilino. Isso gera congestionamento de radiofrequência e sobrecarga de gerenciamento.
O MyPSK permite criar até 500 chaves pré-compartilhadas exclusivas por SSID. Cada chave é vinculada a uma VLAN específica. Quando um residente se conecta usando sua chave exclusiva, o ponto de acesso o coloca em sua VLAN designada automaticamente. O tráfego do Inquilino A nunca toca o segmento de rede do Inquilino B. A criptografia também é por usuário. Cada chave gera uma Pairwise Master Key exclusiva, de modo que um inquilino não pode descriptografar o tráfego aéreo de outro inquilino, mesmo compartilhando o mesmo SSID.
No EnGenius Cloud, você configura o MyPSK nas configurações de segurança do SSID. Selecione WPA2 PSK ou WPA3 Personal e, em seguida, ative o MyPSK. Você pode criar PSKs individualmente ou gerar automaticamente lotes de até 50 por vez. Para cada PSK, você atribui um ID de VLAN e, opcionalmente, define uma data de expiração. Quando um contrato termina ou um estudante se forma, você simplesmente expira ou exclui o PSK dele. O acesso é revogado imediatamente sem afetar nenhum outro inquilino.
Para a integração do Purple em um ambiente MyPSK, os inquilinos voltados para visitantes ainda podem ser direcionados através de um Captive Portal em sua VLAN. Os funcionários e inquilinos operacionais ignoram o portal totalmente. A segmentação de VLAN garante que os dados analíticos do Purple sejam atribuídos corretamente por segmento de rede.
[RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ARMADILHAS - 2 MINUTOS]
Deixe-me apresentar a sequência de implementação que recomendo para uma primeira implantação limpa.
Comece com a sua arquitetura de VLAN antes de tocar na configuração do WiFi. Defina a VLAN 10 para visitantes, a VLAN 20 para funcionários, a VLAN 30 para inquilinos ou qualquer numeração que se adapte ao seu esquema existente. Configure essas VLANs em seus switches ECS primeiro, com as atribuições apropriadas de porta de tronco e acesso. Os pontos de acesso precisam receber tráfego marcado na porta de uplink para cada VLAN que você planeja usar.
Depois, configure os SSIDs no EnGenius Cloud nesta ordem: primeiro o SSID de convidados, porque é o mais simples. Valide o redirecionamento do Captive Portal para a Purple antes de prosseguir. Em seguida, configure o SSID da equipe com 802.1X. Teste com um dispositivo conhecido antes de implementar em toda a rede. Depois, configure o MyPSK se precisar de isolamento multi-tenant.
Os pontos de atenção. Primeiro, o walled garden. Esta é a principal causa de falhas em implantações de Captive Portal. Se os convidados não conseguirem acessar o portal, verifique o walled garden primeiro. Segundo, divergência no segredo compartilhado do RADIUS. O segredo compartilhado deve ser idêntico tanto na configuração do EnGenius Cloud quanto na configuração do servidor RADIUS da Purple. Uma diferença de um único caractere faz com que todas as autenticações falhem silenciosamente. Terceiro, configuração de trunk de VLAN no switch. Se a porta do switch ECS que conecta ao access point não estiver configurada como trunk transportando todas as VLANs necessárias, a atribuição dinâmica de VLAN falhará. Quarto, validação de certificado em clientes 802.1X. Se os dispositivos da equipe não estiverem configurados para validar o certificado do servidor RADIUS, eles estarão vulneráveis a roubo de credenciais por meio de access points invasores. Force isso via Política de Grupo para Windows e perfis de MDM para o restante.
[PERGUNTAS E RESPOSTAS RÁPIDAS - 1 MINUTO]
Algumas perguntas que ouço regularmente sobre implantações da EnGenius e da Purple.
Posso usar o RADIUS do EnGenius Cloud em vez do RADIUS da Purple? Sim, para autenticação interna. Mas para WiFi de convidados com os recursos de analytics e portal da Purple, você precisa apontar para o endpoint do RADIUS da Purple. Ambos podem coexistir em SSIDs diferentes.
O MyPSK funciona com WPA3? Sim. A EnGenius suporta WPA3 e o modo misto WPA2/WPA3 com MyPSK, de modo que os dispositivos compatíveis com WPA3 obtêm autenticação SAE, enquanto os dispositivos mais antigos utilizam o WPA2 PSK, todos usando a mesma chave por usuário.
A Purple suporta bilhetagem RADIUS para dados de sessão? Sim. Ative o servidor de bilhetagem na configuração de RADIUS do EnGenius Cloud, apontando para o endpoint de bilhetagem da Purple na porta UDP 1813. Isso envia a duração da sessão e o volume de dados para o analytics da Purple.
[RESUMO E PRÓXIMOS PASSOS - 1 MINUTO]
Para resumir. Os access points do EnGenius Cloud se integram perfeitamente com a plataforma de WiFi de convidados da Purple por meio de quatro camadas de configuração. O redirecionamento do Captive Portal de convidados usa RADIUS personalizado e uma URL de splash page externa apontando para a Purple. A lista de permissões do walled garden garante que o portal carregue antes da autenticação. O WiFi da equipe usa WPA2 Enterprise com 802.1X e atribuição dinâmica de VLAN via atributos RADIUS. E o isolamento multi-tenant usa o EnGenius MyPSK para atribuir chaves exclusivas por usuário vinculadas a VLANs específicas, com datas de expiração opcionais para acesso com tempo limitado.
A Purple opera em 80.000 locais e processou 440 milhões de logins apenas em 2024. A plataforma possui certificação ISO 27001, está em conformidade com o GDPR e é independente de hardware, o que é exatamente o motivo pelo qual ela funciona perfeitamente com a EnGenius junto com Cisco Meraki, HPE Aruba, Ruckus e o restante do ecossistema de hardware corporativo.
Se você estiver pronto para implantar, comece com o guia de configuração de walled garden na documentação de suporte da Purple e, em seguida, realize a configuração do SSID no EnGenius Cloud. O guia passo a passo completo está disponível em purple.ai. Obrigado por ouvir.
