Três SSIDs para controlar todos: guia de configuração de WiFi para convidados, Passpoint e IoT

Bem-vindo à série de briefings técnicos da Purple. Hoje estamos abordando o design de WiFi de três SSIDs - uma arquitetura de rede que consolida o acesso de convidados, o onboarding automatizado seguro e o gerenciamento de dispositivos IoT sob três redes sem fio personalizadas. Se você opera WiFi em um hotel, rede de varejo, estádio ou centro de convenções, este é o design que você deve implantar em 2025 e nos anos seguintes. [medium pause] Deixe-me contextualizar primeiro. A maioria dos locais que encontramos ainda opera com duas SSIDs na melhor das hipóteses - uma rede de convidados e algo vagamente chamado de rede de funcionários. O problema é que essas duas redes acabam carregando tudo. Terminais de cartão ficam no mesmo segmento que os smartphones dos convidados. Prestadores de serviços se conectam ao mesmo SSID que sua sinalização digital. Sensores de IoT compartilham largura de banda com visitantes transmitindo vídeo. Isso não é uma postura de segurança. Isso é um risco. O design de três SSIDs resolve isso oferecendo a cada classe de dispositivo e usuário sua própria rede dedicada, sua própria VLAN e seu próprio método de autenticação. Três SSIDs. Três VLANs. Uma arquitetura de segurança coerente. [medium pause] Vamos examinar cada uma delas. O SSID número um é o seu WiFi de convidados aberto. Esta é a rede tradicional com Captive Portal - aquela que seus visitantes veem quando abrem o telefone e se conectam. Ela é aberta, ou seja, sem chave pré-compartilhada, porque você quer fricção zero no momento da conexão. A autenticação ocorre na camada do portal. O visitante se conecta, é redirecionado para uma splash page, aceita seus termos de serviço e, opcionalmente, fornece um endereço de e-mail ou número de telefone. Esse é o seu opt-in de escolha consciente para conformidade com a GDPR. A plataforma da Purple lida com isso nativamente - o portal captura dados primários (first-party data), registra o carimbo de data/hora do consentimento e mapeia a sessão para a VLAN 10, que é o seu segmento de convidados. A VLAN 10 tem apenas acesso à internet. Ela não consegue acessar seus sistemas de PDV, seus servidores de back-office ou qualquer outro recurso interno. Regras de firewall impõem isso na borda. Do ponto de vista de conformidade, este SSID faz o trabalho pesado. A GDPR exige que você registre o consentimento, a base legal para o processamento e o carimbo de data/hora. A Purple registra tudo isso automaticamente. Se você está em um local que se enquadra no PCI DSS - um hotel com terminais de pagamento no quarto, por exemplo - o SSID de convidados deve ser completamente isolado de qualquer ambiente de dados de portadores de cartão. A segmentação de VLAN com uma política de firewall inter-VLAN atinge esse objetivo. [medium pause] O SSID número dois é a sua rede Passpoint, também conhecida como Hotspot 2.0. É aqui que o design fica genuinamente interessante. O Passpoint é um padrão IEEE 802.11u que permite que um dispositivo descubra, autentique e se conecte automaticamente a uma rede WiFi sem qualquer interação do usuário. Sem portal. Sem solicitação de senha. O dispositivo negocia a autenticação em segundo plano usando EAP - Extensible Authentication Protocol - e se conecta criptografado desde o primeiro pacote. Como um dispositivo sabe como se conectar? Ele possui um perfil Passpoint instalado. Com a Purple, esse perfil é entregue através do aplicativo Purple ou por meio de um SDK que você incorpora em seu próprio aplicativo de marca. Quando um visitante que retorna entra em seu local, o dispositivo dele vê o seu SSID de Passpoint transmitindo uma resposta ANQP, faz a correspondência com o perfil instalado e se conecta automaticamente. Todo o processo leva menos de dois segundos. O usuário nunca toca no telefone. O fluxo de autenticação usa EAP-TLS ou EAP-TTLS com PEAP, dependendo da sua configuração. O dispositivo apresenta uma credencial ao seu servidor RADIUS - a Purple atua como esse servidor RADIUS na nuvem - e o servidor retorna um RADIUS Access-Accept com um atributo de atribuição de VLAN. Esse atributo informa ao ponto de acesso em qual VLAN colocar essa sessão. Assim, um usuário de um aplicativo de fidelidade pode parar na VLAN 20, que tem acesso à sua plataforma de fidelidade e a conteúdos mais ricos. Um membro da equipe que usa o mesmo SSID de Passpoint com uma credencial diferente para na VLAN 30, que tem acesso aos sistemas internos. Um único SSID. Atribuição dinâmica de VLAN. Política aplicada por identidade. [medium pause] O SSID número três é a sua rede xPSK. xPSK é um termo genérico que abrange iPSK, PPSK, DPSK e MPSK - todas variações do mesmo conceito de chaves pré-compartilhadas por dispositivo ou por grupo. A ideia é simples: em vez de uma senha compartilhada para seus dispositivos IoT e prestadores de serviços, cada dispositivo ou grupo recebe sua própria chave exclusiva. Essa chave é mapeada para uma VLAN específica. Quando um terminal de cartão se conecta com sua chave, ele vai para a VLAN 40, que é a sua rede de pagamento no escopo PCI. Quando um player de sinalização digital se conecta com sua chave, ele vai para a VLAN 50, que tem acesso ao seu servidor de gerenciamento de conteúdo, mas a nada mais. Quando um prestador de serviços se conecta com uma chave temporária, ele vai para a VLAN 60, que tem acesso à internet e a nada interno. Quando você revoga a chave desse prestador de serviços, ele é desconectado da rede imediatamente. Nenhuma alteração de senha é necessária em todos os dispositivos. O mecanismo por trás do xPSK varia de acordo com o fornecedor. Na Cisco Meraki, é chamado de iPSK - Identity PSK - e funciona via RADIUS. Na HPE Aruba, o equivalente é o MPSK, também controlado por RADIUS. A Ruckus chama de DPSK - Dynamic PSK. A Juniper Mist usa PPSK com atribuição dinâmica de VLAN através do painel de nuvem da Mist. A Ubiquiti UniFi oferece suporte ao Network Access Control com atribuição de VLAN por cliente em versões de firmware recentes. A Purple se integra a todas essas cinco plataformas como um provedor de RADIUS em nuvem. [medium pause] Agora vamos falar sobre a sequência de implementação. A ordem importa. Comece com o design da sua VLAN antes de tocar na configuração do sem fio. Defina suas VLANs na camada de switch primeiro. Configure sua política de roteamento inter-VLAN e bloqueie-a no firewall antes que qualquer dispositivo se conecte. Este é o erro mais comum que vemos: as equipes configuram o sem fio primeiro e depois tentam readequar a segmentação de VLAN. Faça o contrário. Segundo, configure seu servidor RADIUS. Na plataforma da Purple, navegue até a seção de configuração do RADIUS, gere suas credenciais de servidor e anote os endereços IP primário e secundário, a porta de autenticação - normalmente 1812 - e o segredo compartilhado (shared secret). Terceiro, crie seus SSIDs. Para o SSID de convidados (guest), defina a segurança como aberta, ative o redirecionamento do Captive Portal e aponte a URL de redirecionamento para o seu portal da Purple. Para o SSID Passpoint, ative o 802.11u e configure seus elementos ANQP - seu NAI Realm, seu Roaming Consortium OI se estiver participando do OpenRoaming, e as informações do seu local (venue). Defina WPA2-Enterprise ou WPA3-Enterprise como o tipo de segurança. Para o SSID xPSK, configure as definições de MPSK ou DPSK específicas do fabricante e aponte a autenticação para o endpoint RADIUS da Purple. Quarto, configure seu jardim murado (walled garden) para o SSID de convidados. Inclua os domínios de portal da Purple, seu resolvedor de DNS e os endpoints de detecção de Captive Portal que o iOS e o Android utilizam - captivedetect.apple.com da Apple e connectivitycheck.gstatic.com do Google. [medium pause] Dois exemplos do mundo real. Um hotel de 350 quartos no centro de Londres implantou essa arquitetura em 28 pontos de acesso executando hardware HPE Aruba. Antes da implantação, os terminais de cartão compartilhavam um segmento de rede com dispositivos de convidados - uma falha de conformidade PCI. O redesenho com três SSIDs moveu os terminais de cartão para uma VLAN dedicada com regras de firewall que permitiam apenas tráfego HTTPS de saída para o processador de pagamentos. A auditoria PCI passou no ciclo seguinte. A captura de dados de convidados aumentou em 34% nos primeiros três meses porque a experiência do portal foi mais rápida e o fluxo de opt-in foi mais limpo. Uma rede de varejo com 80 lojas em todo o Reino Unido reduziu o número de SSIDs por loja de uma média de 4,2 para três. Os terminais EPOS e a sinalização digital foram movidos para o SSID xPSK com chaves por dispositivo gerenciadas centralmente através da Purple. A equipe técnica foi movida para um SSID Passpoint usando suas credenciais do Microsoft Entra ID via EAP-TTLS. A equipe de TI relatou uma redução de 60% nos chamados de suporte relacionados a WiFi no primeiro trimestre após a implantação. [medium pause] Alguns erros comuns de implementação que devem ser evitados. Configuração de timeout do RADIUS: se seus pontos de acesso não conseguirem alcançar o servidor RADIUS da Purple dentro do timeout configurado, eles negarão a conexão. Sempre configure ambos os endereços de servidor RADIUS primário e secundário. Marcação de VLAN (VLAN tagging) em portas trunk: cada porta de uplink do ponto de acesso deve ser configurada como trunk transportando todas as VLANs que seus SSIDs utilizam. Um erro comum é configurar a VLAN na controladora, mas esquecer de adicioná-la ao trunk na porta do switch. Configuração ANQP do Passpoint: a lista de NAI Realm deve corresponder exatamente ao que está no perfil Passpoint instalado no dispositivo. Uma divergência fará com que os dispositivos ignorem sua rede durante a descoberta. Teste com um dispositivo sabidamente funcional antes de implantar em produção. Rotação de chaves xPSK: as chaves de prestadores de serviço devem ter uma data de expiração definida no provisionamento. O painel da Purple permite revogar chaves individuais sem afetar nenhum outro dispositivo na rede. [medium pause] Perguntas rápidas. Posso executar todos os três SSIDs no mesmo ponto de acesso? Sim. Mantenha a contagem total de SSIDs por ponto de acesso em seis ou menos para minimizar a sobrecarga de beacons. O Passpoint exige um aplicativo específico? Com a Purple, ele exige o aplicativo Purple ou um SDK integrado ao seu próprio aplicativo de marca. O SDK gerencia o provisionamento de perfis silenciosamente em segundo plano. O xPSK é compatível com PCI para terminais de cartão? Sim, desde que a VLAN que transporta o tráfego dos dispositivos de pagamento esteja devidamente segmentada e as regras de firewall restrinjam o tráfego apenas ao exigido pelo processador de pagamentos. O que acontece se o portal de um SSID de convidados ficar indisponível? Configure um redirecionamento de contingência ou uma splash page local na controladora do ponto de acesso. A plataforma da Purple opera com 99,999% de uptime, mas uma configuração de segurança redundante é sempre uma boa prática. [medium pause] Resumindo. O design de três SSIDs oferece uma rede de convidados com um Captive Portal em conformidade para captura de dados, uma rede Passpoint para integração segura e automatizada via aplicativo Purple ou SDK com atribuição dinâmica de VLAN, e uma rede xPSK que consolida dispositivos IoT, terminais de cartão, sinalização digital, prestadores de serviço e BYOD sob chaves por dispositivo mapeadas para VLANs específicas. O resultado é uma postura de segurança mais limpa, uma melhor experiência para os visitantes e uma rede que é genuinamente gerenciável em escala. Comece com o design de sua VLAN, configure o RADIUS, crie seus SSIDs e defina seu walled garden. A equipe de integração da Purple pode orientá-lo na configuração para sua plataforma de hardware específica. O guia escrito completo está disponível em purple.ai. Pesquise por "three SSIDs to rule them all" para obter a referência de configuração passo a passo com detalhes específicos de fornecedores para Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e Ubiquiti UniFi. Obrigado por ouvir.