Integração do Alta Labs com o Purple WiFi: Configuração e Ajustes do Captive Portal

ROTEIRO DO PODCAST: Integração do Alta Labs com o Purple WiFi: Configuração e Ajustes do Captive Portal Plataforma de Inteligência Purple WiFi - Série de Briefing Técnico Duração: Aproximadamente 10 minutos Voz: Inglês britânico, tom de consultor sênior - confiante, conversacional, autoritário --- [INTRO - 1 MINUTO] Bem-vindo à Série de Briefing Técnico do Purple. Eu sou o seu anfitrião e hoje estamos detalhando a integração entre os pontos de acesso do Alta Labs e a plataforma de inteligência Purple WiFi. Se você é um gerente de TI, arquiteto de rede ou diretor de operações de locais que busca implantar uma solução de WiFi para visitantes robusta e escalável, este briefing é para você. Vamos cobrir a configuração específica para o Alta Labs AP6 e AP6 Pro, como configurar o redirecionamento externo do captive portal e as configurações críticas de walled garden necessárias para fazer os logins sociais realmente funcionarem no mundo real. Também vamos nos aprofundar no AltaPass - a implementação de Chaves Pré-Compartilhadas Privadas (PPSK) do Alta Labs - e como você pode usá-lo para segmentar ambientes multi-tenant sem destruir seu desempenho de RF com o excesso de SSIDs. Vamos começar. --- [APROFUNDAMENTO TÉCNICO - 5 MINUTOS] A integração entre o Alta Labs e o Purple depende de dois conceitos fundamentais de rede: redirecionamento HTTP para o captive portal e RADIUS para autenticação e tarifação (accounting). Quando um visitante entra no seu estabelecimento - por exemplo, uma loja de varejo ou o lobby de um hotel - e se conecta à sua rede de visitantes aberta ou WPA3-OWE, o AP do Alta Labs atua como o guardião. Ele intercepta as solicitações HTTP iniciais do cliente e as redireciona para a sua splash page personalizada do Purple. Para configurar isso na plataforma Alta Labs Cloud Management, você navega até as configurações de WiFi, seleciona o SSID de visitantes e, em Configurações Avançadas, define o tipo de rede como Guest. Isso é crucial porque aplica automaticamente o isolamento de clientes, impedindo que os dispositivos se comuniquem lateralmente pela rede. Em seguida, na seção Hotspot, você seleciona External e insere a URL de redirecionamento do Purple fornecida nas configurações do seu local, junto com o seu Segredo de Autorização (Authorisation Secret). Mas é aqui que a maioria das implantações encontra um obstáculo: o walled garden. O walled garden é a lista de domínios e endereços IP que um dispositivo tem permissão para acessar antes de ser autenticado. Se você deseja que os visitantes façam login usando Google, Facebook ou Apple, os dispositivos deles precisam alcançar esses servidores OAuth enquanto ainda estão no estado pré-autenticado. Você deve incluir explicitamente na lista de permissões os domínios de infraestrutura do Purple - como region1.purpleportal.net e cloudfront.net. Em seguida, precisa adicionar os testes de captive portal do sistema operacional: captive.apple.com para iOS e connectivitycheck.gstatic.com para Android. Se você bloqueá-los, o telefone não saberá que está atrás de um captive portal e a splash page nunca será exibida. Por fim, você adiciona os domínios de login social. Para o Google, são accounts.google.com, oauth2.googleapis.com e gstatic.com. Para o Facebook, são facebook.com, graph.facebook.com e os domínios fbcdn.net. Uma lista de permissões de IP estático não funcionará aqui porque esses provedores usam redes de distribuição de conteúdo (CDNs) dinâmicas. Você deve usar nomes de domínio e garantir que seu controlador execute a resolução dinâmica de DNS. Assim que o usuário conclui o login na splash page do Purple, o servidor RADIUS do Purple envia uma mensagem Access-Accept de volta para o AP do Alta Labs. O AP então remove a restrição do walled garden e concede ao dispositivo acesso total à internet. É um fluxo limpo e seguro que captura dados primários (first-party data) enquanto mantém a integridade da rede. Agora, vamos falar sobre segmentação multi-tenant. Em ambientes como escritórios inteligentes, alojamentos estudantis ou condomínios residenciais, você frequentemente precisa fornecer redes seguras e isoladas para diferentes grupos. Historicamente, as equipes de TI transmitiam um SSID separado para cada tenant. Essa é uma prática terrível. Ela causa uma enorme sobrecarga de gerenciamento e destrói o desempenho do seu sem fio devido à sobrecarga de frames de beacon. O Alta Labs resolve isso com o AltaPass, a versão deles de Chaves Pré-Compartilhadas Privadas. Com o AltaPass, você transmite um único SSID - vamos chamá-lo de BuildingWiFi. Mas você gera senhas exclusivas para diferentes usuários ou dispositivos. Quando o Tenant A insere sua senha específica, o AP o atribui dinamicamente à VLAN 101 com um limite de largura de banda de 100 Megabits. Quando a equipe de gerenciamento insere sua senha no mesmo SSID, eles são direcionados para a VLAN 200 com largura de banda ilimitada. Você pode até criar uma senha para dispositivos IoT, como termostatos inteligentes, que os atribui a uma VLAN isolada e ignora completamente o captive portal. Um SSID. Senhas ilimitadas. Isolamento completo. Isso é Redes Baseadas em Identidade (Identity-Based Networking) na borda, e é uma solução genuinamente elegante para um problema que assombra implantações multi-tenant há anos. Deixe-me dar um exemplo concreto de como isso funciona na prática. Considere um complexo de apartamentos de 72 unidades - um tipo de implantação do mundo real para o qual o Alta Labs tem sido amplamente utilizado. Em vez de transmitir 72 SSIDs separados, o administrador de rede cria um único SSID e gera uma senha exclusiva para cada unidade. Cada senha é mapeada para uma VLAN e sub-rede dedicadas. Os moradores do plano básico recebem 100 Megabits. Os moradores que pagaram pelo plano premium recebem 300 Megabits. A equipe de administração do prédio tem acesso irrestrito. O sistema de automação predial - fechaduras de portas, HVAC, elevadores - recebe sua própria VLAN isolada com inspeção profunda de pacotes (DPI) ativada. Tudo a partir de um único SSID. O ambiente de RF fica mais limpo, o desempenho é maior e o gerenciamento é drasticamente mais simples. Agora, vamos passar para a configuração 802.1X para o WiFi seguro de funcionários. Para a rede de funcionários, você não deve usar uma chave pré-compartilhada de forma alguma. Você deve usar WPA2 ou WPA3 Enterprise com autenticação 802.1X. Na plataforma Alta Labs, você configura isso selecionando o SSID de funcionários, definindo o modo de segurança como WPA2-Enterprise ou WPA3-Enterprise e apontando o AP para o seu servidor RADIUS. Se você estiver integrando com o produto SecurePass do Purple, o Purple atua como o intermediário RADIUS, conectando-se ao seu provedor de identidade - seja o Microsoft Entra ID, Okta ou Google Workspace - e retornando a atribuição de VLAN apropriada na mensagem Access-Accept. O AP do Alta Labs lê o atributo Tunnel-Private-Group-Id da resposta RADIUS e coloca o dispositivo na VLAN correta automaticamente. Uma nota importante sobre a atribuição dinâmica de VLAN com o Alta Labs: ao configurar VLANs atribuídas por RADIUS, defina a VLAN padrão no SSID como VLAN 1 ou deixe-a não marcada (untagged). Existe um comportamento conhecido em que, se a VLAN padrão for definida para um valor específico, o AP pode substituir a VLAN atribuída pelo RADIUS pelo padrão configurado. Definir o padrão como VLAN 1 garante que a atribuição do RADIUS tenha precedência. --- [RECOMENDAÇÕES DE IMPLANTAÇÃO E ARMADILHAS - 2 MINUTOS] Quando você estiver implementando isso, há algumas recomendações importantes que quero destacar. Primeiro, sempre teste o fluxo do seu captive portal com um dispositivo novo. Não use seu próprio telefone se você já se conectou à rede durante os testes. Seu dispositivo lembra a autorização do endereço MAC ou possui entradas de DNS em cache, o que mascarará falhas de walled garden. Pegue um tablet que nunca viu a rede, conecte-o e verifique se o assistente de captive portal do sistema operacional é iniciado automaticamente. Segundo, cuidado com o excesso de liberação na lista de permissões (over-whitelisting). Vejo engenheiros ficarem frustrados com erros de login social e simplesmente liberarem domínios curinga inteiros ou blocos massivos de IP. Isso cria uma vulnerabilidade de segurança onde usuários experientes podem burlar completamente o seu captive portal. Limite-se aos domínios específicos exigidos para o fluxo de OAuth. Terceiro, ao implantar o AltaPass PPSK com VLANs dinâmicas, certifique-se de que toda a sua infraestrutura de switches esteja configurada corretamente. As portas do switch que se conectam aos seus APs Alta Labs devem ser configuradas como trunks, permitindo que todas as VLANs marcadas (tagged) passem para o gateway. Se o AP marcar o tráfego para a VLAN 101, mas a porta do switch estiver definida para o modo de acesso na VLAN 1, o tráfego será descartado e o cliente não receberá um endereço IP. Quarto, implemente uma revisão trimestral da sua configuração de walled garden. Os provedores de OAuth e as redes de distribuição de conteúdo alteram suas estruturas de domínio. A Apple atualizou seus domínios do Sign In duas vezes em 2023. Um walled garden que estava correto na implantação perderá o alinhamento sem uma manutenção ativa. --- [PERGUNTAS E RESPOSTAS RÁPIDAS - 1 MINUTO] Vamos passar por algumas perguntas rápidas que ouvimos em campo. Pergunta um: Posso usar WPA3 com o captive portal do Purple no hardware Alta Labs? Sim. Você deve usar WPA3-OWE, que significa Opportunistic Wireless Encryption. Isso criptografa os dados pelo ar, protegendo a privacidade dos visitantes, enquanto ainda funciona como uma rede aberta que aciona o redirecionamento do captive portal. É a escolha certa para qualquer nova implantação de WiFi de visitantes em 2026. Pergunta dois: Quais portas preciso abrir no meu firewall para o tráfego RADIUS? Os servidores RADIUS do Purple se comunicam pela porta UDP 1812 para autenticação e porta UDP 1813 para tarifação (accounting). Certifique-se de que seu firewall de borda permita o tráfego de saída nessas portas dos APs Alta Labs para a infraestrutura do Purple. Pergunta três: Can I use AltaPass PPSK alongside the Purple captive portal on the same SSID? Sim, e esta é realmente uma configuração muito útil. Você pode criar uma senha AltaPass que ignora o captive portal para dispositivos conhecidos - como seus terminais de ponto de venda ou sinalização digital - enquanto as conexões padrão para o mesmo SSID ainda passam pela splash page do Purple. Isso oferece um único SSID limpo que lida tanto com dispositivos autenticados quanto com usuários visitantes. --- [RESUMO E PRÓXIMOS PASSOS - 1 MINUTO] Para encerrar: A integração do Alta Labs com o Purple WiFi oferece uma plataforma segura e escalável para capturar dados primários e entregar uma experiência de visitante personalizada. Lembre-se dos três pilares de uma implantação bem-sucedida. Primeiro, configure o redirecionamento de hotspot externo e as configurações de RADIUS com precisão na plataforma Alta Labs Cloud Management. Segundo, defina meticulosamente os domínios do seu walled garden para garantir que os testes do sistema operacional e os logins sociais funcionem corretamente. E terceiro, aproveite o AltaPass PPSK para implementar Redes Baseadas em Identidade (Identity-Based Networking), segmentando seu tráfego sem poluir seu espaço aéreo com SSIDs desnecessários. O Purple opera em 80.000 locais ativos e processou 440 milhões de logins em 2024. A plataforma possui certificação ISO 27001, está em conformidade com o GDPR e foi desenvolvida para escalar de um único hotel boutique a uma rede de varejo nacional. Quando você combina isso com o desempenho e a flexibilidade do hardware Alta Labs, você tem uma pilha de WiFi corporativo robusta. Se você seguir este manual, entregará uma experiência de WiFi integrada e em conformidade com as regulamentações, que deixará tanto sua equipe de marketing quanto sua equipe de segurança satisfeitas. Obrigado por ouvir a Série de Briefing Técnico do Purple. Até a próxima, mantenha suas redes seguras e seus dados acionáveis.