OpenWrt e WiFi de convidados: configuração do Captive Portal com a Purple

[0:00 - 1:00] Introdução e Contexto Bem-vindo ao Purple Technical Briefing. Eu sou o seu anfitrião e, nos próximos dez minutos, vamos detalhar a integração do firmware personalizado OpenWrt com o Purple WiFi. Se você é um gerente de TI, arquiteto de rede ou CTO implantando firmware personalizado em ambientes de hotelaria, varejo ou setor público, este briefing é para você. Vamos direto ao ponto, deixando de lado a teoria acadêmica, para fornecer o manual exato para configurar o CoovaChilli, proteger redes corporativas com 802.1X e segmentar ambientes multi-tenant usando Private Pre-Shared Keys. Por que isso é importante? Porque implantar um firmware personalizado como o OpenWrt oferece uma flexibilidade incrível e independência de hardware. Mas sem uma camada de controle de acesso estruturada e orientada por identidade, essa flexibilidade se torna um risco de segurança. Você precisa capturar dados primários com segurança, garantir a conformidade com a GDPR e segmentar seu tráfego de forma confiável. Vamos entrar na análise técnica detalhada. [1:00 - 6:00] Análise Técnica Detalhada O núcleo da integração com o OpenWrt depende do CoovaChilli. O CoovaChilli é o controlador de acesso de código aberto que intercepta o tráfego de clientes não autenticados e o redireciona para o Captive Portal da Purple. Quando um visitante se conecta ao seu SSID aberto, o CoovaChilli atua como o guardião. Ele atribui um endereço IP por meio de seu próprio servidor DHCP interno, em execução na interface tun0, e bloqueia todo o tráfego, exceto o que você permitir explicitamente no walled garden. Quando o visitante tenta navegar, o CoovaChilli intercepta a solicitação HTTP e emite um redirecionamento para a página de splash da Purple. É aqui que a configuração do walled garden é crítica. No seu arquivo chilli.conf, você deve definir o parâmetro HS_UAMDOMAINS. Esta é uma lista de domínios separada por vírgulas que os visitantes podem acessar antes de se autenticarem. Você deve incluir splash.purple.ai, api.purple.ai e os vários domínios de CDN que usamos para fornecer os recursos do portal. Se você esquecer de um domínio, o portal falhará ao carregar ou os botões de login social não funcionarão. É simples assim. Assim que o visitante se autentica no portal Purple, o servidor RADIUS na nuvem da Purple envia uma mensagem Access-Accept de volta para o CoovaChilli na porta UDP 1812. O CoovaChilli então autoriza o endereço MAC, abre as regras de firewall para aquela sessão e começa a enviar dados de tarifação na porta UDP 1813. A tarifação não é opcional. É assim que a Purple rastreia a duração da sessão e o uso de dados para o seu painel de analytics. Agora, vamos falar sobre o WiFi de funcionários. Você não usa o CoovaChilli para funcionários. Para redes de funcionários, você usa o hostapd com WPA2 ou WPA3-Enterprise. Esta é a autenticação padrão 802.1X. O ponto de acesso atua como o autenticador, encaminhando mensagens EAP para o seu servidor RADIUS. Para dispositivos corporativos, você deve implantar EAP-TLS, que usa certificados digitais em vez de senhas. Isso elimina completamente o roubo de credenciais. Você configura o hostapd.conf para apontar para o seu servidor RADIUS, e o servidor RADIUS determina a atribuição de VLAN para aquele usuário específico.Isso nos leva a um dos recursos mais poderosos nas implantações modernas do OpenWrt: Chaves Privadas Pré-Compartilhadas, ou PPSK. Em um ambiente de múltiplos inquilinos - por exemplo, um imóvel para aluguel ou um espaço de coworking - você não quer cinquenta SSIDs diferentes transmitindo. Isso arruína a eficiência do seu tempo de transmissão. Em vez disso, você transmite apenas um SSID. Quando um dispositivo se conecta, o hostapd envia o endereço MAC para o servidor RADIUS. O servidor RADIUS responde com uma senha específica e um ID de VLAN específico para aquele dispositivo, usando o atributo Tunnel-Password. Isso significa que o funcionário do varejo na loja A é direcionado para a VLAN 10, enquanto o participante do evento no salão principal é direcionado para a VLAN 30, todos se conectando exatamente ao mesmo SSID. É elegante, escala e impõe o acesso com privilégio mínimo na borda. [6:00 - 8:00] Recomendações de Implantação e Armadilhas Vamos discutir a implantação. Ao implantar o OpenWrt com a Purple, seu primeiro passo é sempre recuperar suas credenciais RADIUS no portal Purple. Você precisa dos endereços IP RADIUS primário e secundário, do segredo compartilhado e da URL do portal. Na sua configuração do OpenWrt, você definirá sua interface de rede de convidados - normalmente eth1 ou wlan0 - e vinculará o CoovaChilli a ela. Certifique-se de que o HS_RADSECRET no seu chilli.conf corresponda exatamente ao que está no portal Purple. Uma divergência de um único caractere causará falhas silenciosas de autenticação. A maior armadilha que vemos é a resolução de DNS pré-autenticação. O CoovaChilli intercepta as solicitações de DNS. Se o seu firewall upstream bloquear o roteador OpenWrt de resolver o DNS externo, o redirecionamento do Captive Portal falhará. Certifique-se de que seu roteador OpenWrt tenha acesso DNS irrestrito a resolvedores públicos como o Google ou o OpenDNS. Outro problema comum são os mecanismos de detecção de Captive Portal integrados ao iOS e Android. Os dispositivos Apple acessam o captive.apple.com para verificar a conectividade com a internet. Se você colocar o captive.apple.com na lista de permissões (walled garden), o dispositivo pensará que tem acesso à internet e não exibirá o assistente de rede cativa. Se você deseja o pop-up automático, mantenha os domínios da Apple fora do seu walled garden. [8:00 - 9:00] Perguntas e Respostas Rápidas Vamos fazer uma rodada rápida de perguntas e respostas. Pergunta um: Posso executar o CoovaChilli e o hostapd 802.1X no mesmo ponto de acesso OpenWrt? Sim. Você vincula o CoovaChilli à sua interface de SSID de convidados e configura o hostapd com 802.1X na sua interface de SSID de funcionários. Eles operam de forma independente. Pergunta dois: A Purple oferece suporte à atribuição dinâmica de VLAN com o OpenWrt? Sim. Os servidores RADIUS da Purple podem retornar atributos RADIUS padrão, incluindo Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID, instruindo o OpenWrt a direcionar o usuário autenticado para uma VLAN específica. Pergunta três: O que acontece se o roteador OpenWrt perder a conexão com o servidor RADIUS da Purple? O CoovaChilli falhará ao autenticar novas sessões. As sessões autorizadas existentes permanecerão ativas até que o tempo limite da sessão expire. Sempre configure o servidor RADIUS secundário da Purple para garantir alta disponibilidade. [9:00 - 10:00] Resumo e Próximos Passos Para resumir: O OpenWrt oferece uma plataforma robusta e independente de hardware para WiFi corporativo. Ao integrar o CoovaChilli para acesso de visitantes e o hostapd para PPSK seguro de funcionários e multi-tenant, você constrói uma Rede Baseada em Identidade. A Purple simplifica a complexidade da infraestrutura RADIUS, fornecendo um portal gerenciado na nuvem que captura dados primários e garante a conformidade. Seu próximo passo é auditar suas implantações atuais de firmware personalizado. Certifique-se de que seus walled gardens estejam totalmente configurados, verifique seus intervalos de accounting do RADIUS e comece a planejar sua migração de PSKs compartilhadas para a segmentação dinâmica de PPSK. Obrigado por ouvir o Briefing Técnico da Purple. Para saber mais sobre como a Purple pode proteger e monetizar seu WiFi de visitantes, visite purple.ai. Até a próxima.