HPE Aruba Instant e WiFi para visitantes: configuração do Captive Portal com o Purple

Bem-vindo a este briefing técnico sobre a integração do HPE Aruba ClearPass com a plataforma Purple WiFi. Sou o seu anfitrião e hoje vamos nos aprofundar na arquitetura, nas estratégias de implantação e nos benefícios operacionais de combinar o robusto controle de acesso à rede do ClearPass Policy Manager com os recursos líderes do setor de WiFi para visitantes e analytics da Purple. Para gerentes de TI, arquitetos de rede e CTOs que gerenciam locais de grande escala - seja uma rede varejista em expansão, um estádio de alta densidade ou um complexo de saúde complexo - oferecer acesso sem fio seguro, segmentado e inteligente é fundamental. O ClearPass é excelente na aplicação de políticas sensíveis ao contexto e na autenticação 802.1X para dispositivos corporativos. No entanto, quando se trata de integração de visitantes, Captive Portals e extração de insights de marketing acionáveis a partir dos dados dos visitantes, a Purple é a líder indiscutível. A questão principal que estamos respondendo hoje é: como configurar o ClearPass para usar a Purple como o Captive Portal, mantendo o ClearPass para NAC e atribuição dinâmica de VLAN baseada em funções? Vamos começar. Primeiro, vamos estabelecer a arquitetura. Em alto nível, a integração depende de protocolos RADIUS padrão e mecanismos de redirecionamento HTTP. Seus Aruba Mobility Controllers ou Instant Access Points transmitem o SSID de visitantes. Quando um dispositivo não autenticado se conecta, o controlador intercepta o tráfego HTTP e redireciona o navegador do usuário para o Captive Portal da Purple. Esse redirecionamento é a primeira peça crítica a ser configurada corretamente. Agora, o usuário se autentica por meio da Purple. Pode ser um login social via Facebook ou Google, um formulário personalizado de e-mail e senha, ou até mesmo OpenRoaming, onde a Purple atua como um provedor de identidade gratuito sob a licença do Purple Connect. Assim que a Purple valida o usuário, ela envia uma mensagem RADIUS Access-Accept de volta pela cadeia para o controlador, que então concede o acesso à rede. Mas é aqui que o ClearPass se torna essencial. Em vez de o controlador Aruba se comunicar diretamente com os servidores RADIUS da Purple, você insere o ClearPass como um proxy RADIUS no meio. O controlador envia todas as solicitações RADIUS para o ClearPass. O ClearPass avalia a solicitação e, se ela corresponder à sua política de roteamento de serviço de visitantes, a encaminha para os servidores RADIUS na nuvem da Purple. A Purple responde, e o ClearPass passa essa resposta de volta para o controlador, mas, crucialmente, ele pode anexar seus próprios atributos de política antes de fazer isso. Essa arquitetura de proxy oferece o melhor dos dois mundos. O ClearPass mantém um registro de auditoria completo de cada evento de autenticação em sua rede, tanto corporativa quanto de visitantes. Você obtém um painel único para operações de segurança. E a Purple lida com a experiência do usuário final e com o analytics, sem que você precise substituir seu investimento em NAC existente. Vamos falar sobre atribuição dinâmica de VLAN, porque é aqui que as coisas se tornam realmente poderosas - e onde a maioria das implantações enfrenta problemas se não forem cuidadosas. O ClearPass usa um conceito chamado Roles (Funções) e Enforcement Profiles (Perfis de Execução). Quando chega uma solicitação de autenticação, o ClearPass avalia o contexto: quem é o usuário, em qual dispositivo ele está, que horas são e de qual local ele está se conectando. Com base nesses fatores, ele atribui uma Role. Para um convidado padrão, pode ser ROLE_GUEST. Para um VIP, pode ser ROLE_VIP. Para um prestador de serviço, ROLE_CONTRACTOR. Essa Role é então mapeada para um Enforcement Profile, que define os atributos RADIUS específicos a serem retornados ao controlador Aruba. O atributo mais importante aqui é o Aruba-User-Role Vendor-Specific Attribute, ou VSA. Isso informa ao controlador exatamente em qual função colocar o usuário no lado sem fio. No controlador Aruba, cada função é mapeada para uma VLAN específica e um conjunto de políticas de firewall. Assim, ROLE_GUEST é mapeada para a VLAN 20, com acesso apenas à internet e um limite de largura de banda de 10 megabits por segundo. ROLE_VIP é mapeada para a VLAN 40, com um limite de 50 megabits. ROLE_IOT é mapeada para a VLAN 30, um segmento totalmente isolado sem acesso à internet, apenas conectividade local para dispositivos inteligentes. Essa segmentação não é apenas uma boa prática - ela é um requisito de conformidade. Sob o PCI-DSS, qualquer rede que toque em dados de portadores de cartão deve ser isolada das redes de convidados. Sob o GDPR, você precisa ser capaz de demonstrar que os dados pessoais coletados por meio do portal de convidados são tratados de forma adequada e que o tráfego de convidados não pode atravessar a infraestrutura corporativa. Agora, deixe-me guiar você por um cenário do mundo real: uma grande rede de hotéis com 500 quartos em várias propriedades. Eles têm controladores Aruba em cada local, ClearPass implantado centralmente e querem implementar a Purple para WiFi de convidados. A implantação funciona assim. Dois SSIDs por local: Hotel_Corp e Hotel_Guest. O Hotel_Corp usa 802.1X com certificados, autenticado no Active Directory via ClearPass. O Hotel_Guest é um SSID aberto que aciona o portal cativo da Purple. No ClearPass, eles criam dois Serviços. O Serviço Um corresponde ao Hotel_Corp e lida com a autenticação 802.1X localmente. O Serviço Dois corresponde ao Hotel_Guest e usa uma Política de Roteamento RADIUS para fazer o proxy das solicitações para a Purple. A Política de Execução para o Serviço Dois retorna a Aruba-User-Role de guest-authenticated, que é mapeada para a VLAN 20 no controlador. Para dispositivos IoT - TVs inteligentes, termostatos, fechaduras de portas - eles usam um terceiro SSID, Hotel_IoT, com autenticação baseada em MAC. O ClearPass traça o perfil do dispositivo usando seu OUI e atribui a ROLE_IOT, colocando-o na VLAN 30. O resultado? A equipe obtém acesso corporativo total. Os convidados ganham uma experiência de portal personalizada e atraente, com login social e aceitação de marketing. Os dispositivos IoT são isolados. E a equipe de TI tem visibilidade total de todos os três tipos de usuários no Access Tracker do ClearPass. Agora vamos falar sobre as armadilhas, porque existem várias que podem surpreender você se não estiver preparado. Número um: o walled garden. Esta é a fonte mais comum de falhas de Captive Portal. Antes de um dispositivo ser autenticado, o controlador Aruba permite apenas tráfego para uma lista predefinida de destinos - o walled garden. Se a URL do portal da Purple, seus endpoints de API de backend e os domínios do provedor de login social não estiverem nessa lista, o portal simplesmente não carregará. Você precisa manter essa lista de forma ativa. Provedores de login social como Facebook e Google alteram regularmente suas faixas de IP e domínios de CDN. Trate o walled garden como uma configuração ativa. Número dois: timeouts de RADIUS. O timeout de RADIUS padrão na maioria dos controladores Aruba é de três segundos. Em uma arquitetura de proxy, a requisição viaja do AP para o controlador, para o ClearPass, pela internet para o cloud RADIUS da Purple e volta. Em uma rede congestionada, essa viagem de ida e volta pode facilmente exceder três segundos. Aumente seu timeout para pelo menos dez segundos e configure a lógica de nova tentativa. Número três: divergências de segredo compartilhado. Isso causa falhas silenciosas que são notoriamente difíceis de diagnosticar. O segredo compartilhado entre o controlador Aruba e o ClearPass deve coincidir exatamente. O segredo compartilhado entre o ClearPass e os servidores RADIUS da Purple também deve coincidir exatamente. Uma única diferença de caractere fará com que a autenticação falhe sem nenhuma mensagem de erro útil para o usuário final. Sempre verifique isso duas vezes. Número quatro: diferenciação de maiúsculas e minúsculas no nome da função. A VSA Aruba-User-Role retornada pelo ClearPass deve coincidir exatamente - incluindo letras maiúsculas - com o nome da função definido no controlador Aruba. Se o ClearPass retornar guest-authenticated, mas o controlador tiver Guest-Authenticated definido, o usuário voltará para a função padrão, que normalmente é a função de logon sem acesso à internet. Número cinco: tarifação RADIUS. Muitas implantações configuram o proxy de autenticação corretamente, mas esquecem de fazer o mesmo com a tarifação. A Purple usa dados de tarifação RADIUS para rastrear a duração da sessão, o uso de dados e para preencher seus painéis de análise. Se a tarifação não estiver fluindo para a Purple, suas análises estarão incompletas. Vamos passar para a seção de perguntas rápidas. Posso usar um único SSID para funcionários e convidados? Sim, você pode. Configure o ClearPass para lidar com 802.1X e MAC-Auth no mesmo SSID. Use Regras de Serviço para diferenciar o tipo de tráfego e rotear adequadamente. É mais complexo de gerenciar, mas reduz a proliferação de SSIDs. A Purple suporta Change of Authorisation? Sim. O CoA permite que o controlador atualize dinamicamente a sessão de um usuário sem exigir que ele se reconecte. Isso é útil para acesso com limite de tempo ou atualizações de nível. Posso usar essa integração com o Aruba Instant em vez de um Mobility Controller completo? Sim, o Aruba Instant suporta servidores RADIUS externos e redirecionamento de Captive Portal. A configuração é um pouco diferente, mas os princípios são idênticos. Essa integração funciona com WPA3? Sim. O WPA3-SAE para redes pessoais e o WPA3-Enterprise para 802.1X são ambos suportados. Para redes de convidados que utilizam Captive Portals, o WPA3-SAE ou um SSID aberto com Opportunistic Wireless Encryption são as escolhas típicas. Para resumir a apresentação de hoje. A integração do ClearPass e Purple é uma arquitetura de proxy RADIUS. O ClearPass continua sendo seu ponto central de decisão de políticas para todo o acesso à rede. O Purple lida com a experiência voltada para o convidado e o analytics. O controlador Aruba aplica as políticas resultantes por meio de atribuição dinâmica de VLAN. Os três elementos de configuração mais críticos são o walled garden, os timeouts de RADIUS e a consistência dos nomes de funções. Acerte nesses pontos e você terá uma implantação de WiFi para convidados robusta, em conformidade e comercialmente valiosa. Obrigado por nos ouvir. Se quiser explorar isso mais a fundo, visite purple.ai para falar com um arquiteto de soluções sobre sua implantação específica.