Alta Labs AP e guest WiFi: configuração do captive portal com a Purple

GUIÃO DE PODCAST: Integração da Alta Labs com o Purple WiFi: Configuração e Configuração de Captive Portal Purple WiFi Intelligence Platform - Série de Briefing Técnico Duração: Aproximadamente 10 minutos Voz: Inglês britânico, tom de consultor sénior - confiante, conversacional, autoritário --- [INTRODUÇÃO - 1 MINUTO] Bem-vindo à Série de Briefing Técnico da Purple. Sou o vosso anfitrião e hoje vamos detalhar a integração entre os pontos de acesso Alta Labs e a plataforma de inteligência Purple WiFi. Se é um gestor de TI, arquiteto de rede ou diretor de operações de instalações que procura implementar uma solução de WiFi para convidados robusta e escalável, este briefing é para si. Vamos cobrir a configuração específica para o Alta Labs AP6 e AP6 Pro, como configurar o redirecionamento externo do captive portal e as configurações críticas de walled garden necessárias para que os logins sociais funcionem realmente no mundo real. Também vamos mergulhar no AltaPass - a implementação de Private Pre-Shared Keys, ou PPSK, da Alta Labs - e como pode utilizá-lo para segmentar ambientes multi-tenant sem destruir o seu desempenho de RF com o excesso de SSIDs. Vamos a isso. --- [MERGULHO TÉCNICO PROFUNDO - 5 MINUTOS] A integração entre a Alta Labs e a Purple baseia-se em dois conceitos fundamentais de rede: redirecionamento HTTP para o captive portal e RADIUS para autenticação e faturação. Quando um convidado entra nas suas instalações - por exemplo, uma loja de retalho ou o lobby de um hotel - e se liga à sua rede de convidados aberta ou WPA3-OWE, o AP da Alta Labs funciona como o guardião. Este intercetará os pedidos HTTP iniciais do cliente e redireciona-os para a sua página de splash personalizada da Purple. Para configurar isto na plataforma Alta Labs Cloud Management, navegue até às suas definições de WiFi, selecione o seu SSID de convidados e, nas Definições Avançadas, defina o tipo de rede como Guest. Isto é crucial porque aplica automaticamente o isolamento de clientes, impedindo que os dispositivos comuniquem lateralmente através da rede. Em seguida, na secção Hotspot, selecione External e introduza o URL de redirecionamento da Purple fornecido nas definições das suas instalações, juntamente com o seu Segredo de Autorização. Mas é aqui que a maioria das implementações encontra um obstáculo: o walled garden. O walled garden é a lista de domínios e endereços IP aos quais um dispositivo tem permissão de aceder antes de ser autenticado. Se pretende que os convidados iniciem sessão utilizando o Google, Facebook ou Apple, os dispositivos deles precisam de aceder a esses servidores OAuth enquanto ainda estão no estado pré-autenticado. Deve colocar explicitamente na whitelist os domínios de infraestrutura da Purple - como region1.purpleportal.net e cloudfront.net. Depois, precisa de adicionar as sondas de captive portal do sistema operativo: captive.apple.com para iOS e connectivitycheck.gstatic.com para Android. Se bloquear estas sondas, o telemóvel não sabe que está atrás de um captive portal e a página de splash nunca aparece.Finalmente, adiciona os domínios de início de sessão social. Para o Google, são accounts.google.com, oauth2.googleapis.com e gstatic.com. Para o Facebook, são facebook.com, graph.facebook.com e os domínios fbcdn.net. Uma lista de permissões de IP estático não funcionará aqui porque estes fornecedores utilizam redes de distribuição de conteúdos dinâmicos. Deve utilizar nomes de domínio e garantir que o seu controlador realiza a resolução dinâmica de DNS. Assim que o utilizador conclui o início de sessão no splash page da Purple, o servidor RADIUS da Purple envia uma mensagem de Access-Accept de volta para o AP da Alta Labs. O AP remove então a restrição do walled garden e concede ao dispositivo acesso total à internet. É um fluxo simples e seguro que recolhe dados primários enquanto mantém a integridade da rede. Agora, vamos falar sobre a segmentação multi-tenant. Em ambientes como escritórios inteligentes, alojamento de estudantes ou unidades multi-residenciais, é frequente precisar de fornecer redes seguras e isoladas para diferentes grupos. Historicamente, as equipas de TI transmitiam um SSID separado para cada inquilino. Essa é uma prática terrível. Causa uma sobrecarga de gestão massiva e destrói o desempenho sem fios devido à sobrecarga de tráfego das tramas de sinalização (beacon frames). A Alta Labs resolve isto com o AltaPass, a sua versão de Private Pre-Shared Keys. Com o AltaPass, transmite um único SSID - vamos chamar-lhe BuildingWiFi. Mas gera palavras-passe exclusivas para diferentes utilizadores ou dispositivos. Quando o Inquilino A introduz a sua palavra-passe específica, o AP atribui-o dinamicamente à VLAN 101 com um limite de largura de banda de 100 Megabits. Quando a equipa de gestão introduz a sua palavra-passe no mesmo SSID, é colocada na VLAN 200 com largura de banda ilimitada. Pode até criar uma palavra-passe para dispositivos IoT, como termóstatos inteligentes, que os atribui a uma VLAN isolada e ignora completamente o Captive Portal. Um SSID. Palavras-passe ilimitadas. Isolamento completo. Isto é Network Baseado em Identidade na periferia, e é uma solução genuinamente elegante para um problema que afeta as implementações multi-tenant há anos. Deixe-me dar-lhe um exemplo concreto de como isto funciona na prática. Considere um complexo de apartamentos com 72 unidades - um tipo de implementação no mundo real para o qual a Alta Labs tem sido amplamente utilizada. Em vez de transmitir 72 SSIDs separados, o administrador de rede cria um único SSID e gera uma palavra-passe exclusiva para cada unidade. Cada palavra-passe mapeia para uma VLAN e sub-rede dedicadas. Os residentes no plano básico obtêm 100 Megabits. Os residentes que pagaram pelo plano premium obtêm 300 Megabits. A equipa de gestão do edifício obtém acesso sem restrições. O sistema de automação do edifício - fechaduras de portas, AVAC, elevadores - obtém a sua própria VLAN isolada com inspeção profunda de pacotes ativada. Tudo a partir de um SSID. O ambiente de RF é mais limpo, o desempenho é superior e a gestão é drasticamente mais simples. Agora, passemos à configuração 802.1X para WiFi seguro dos funcionários. Para a rede de funcionários, não deve utilizar de todo uma chave pré-partilhada. Deve utilizar WPA2 ou WPA3 Enterprise com autenticação 802.1X. Na plataforma Alta Labs, configura isto selecionando o seu SSID de funcionários, definindo o modo de segurança para WPA2-Enterprise ou WPA3-Enterprise e apontando o AP para o seu servidor RADIUS. Se estiver a integrar com o produto SecurePass da Purple, a Purple funciona como o intermediário RADIUS, ligando-se ao seu fornecedor de identidade - seja o Microsoft Entra ID, Okta ou Google Workspace - e devolvendo a atribuição de VLAN apropriada na mensagem Access-Accept. O AP da Alta Labs lê o atributo Tunnel-Private-Group-Id da resposta RADIUS e coloca o dispositivo na VLAN correta automaticamente. Uma nota importante sobre a atribuição dinâmica de VLAN com a Alta Labs: ao configurar VLANs atribuídas por RADIUS, defina a VLAN predefinida no SSID para VLAN 1 ou deixe-a não etiquetada. Existe um comportamento conhecido em que, se a VLAN predefinida for definida para um valor específico, o AP pode substituir a VLAN atribuída por RADIUS pela predefinição configurada. Definir a predefinição para VLAN 1 garante que a atribuição de RADIUS tem precedência. - [RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS - 2 MINUTOS] Ao implementar isto, existem algumas recomendações fundamentais que quero destacar. Primeiro, teste sempre o fluxo do seu Captive Portal com um dispositivo novo. Não utilize o seu próprio telemóvel se já se tiver ligado à rede durante os testes. O seu dispositivo lembra-se da autorização do endereço MAC ou tem entradas DNS em cache, o que irá mascarar falhas no Walled Garden. Pegue num tablet que nunca tenha acedido à rede, ligue-o e verifique se o assistente de Captive Portal do sistema operativo é iniciado automaticamente. Segundo, tenha cuidado com o excesso de permissões na lista de permissões. Vejo engenheiros ficarem frustrados com erros de login social e simplesmente adicionarem domínios wildcard inteiros ou blocos de IP massivos à lista de permissões. Isto cria uma vulnerabilidade de segurança onde utilizadores experientes podem contornar completamente o seu Captive Portal. Limite-se aos domínios específicos necessários para o fluxo OAuth. Terceiro, ao implementar AltaPass PPSK com VLANs dinâmicas, certifique-se de que toda a sua infraestrutura de switching está configurada corretamente. As portas do switch que se ligam aos seus APs Alta Labs devem ser configuradas como trunks, permitindo que todas as VLANs etiquetadas passem para o gateway. Se o AP etiquetar o tráfego para a VLAN 101, mas a porta do switch estiver definida para o modo de acesso na VLAN 1, o tráfego cai e o cliente não obtém endereço IP. Quarto, implemente uma revisão trimestral da sua configuração de Walled Garden. Os fornecedores de OAuth e as redes de distribuição de conteúdos alteram as suas estruturas de domínio. A Apple atualizou os seus domínios de Sign In duas vezes em 2023. Um Walled Garden que estava correto na implementação ficará desatualizado sem uma manutenção ativa. - [PERGUNTAS E RESPOSTAS RÁPIDAS - 1 MINUTO] Vamos analisar um par de perguntas rápidas que ouvimos no terreno. Pergunta um: Posso utilizar WPA3 com o Captive Portal da Purple em hardware Alta Labs? Sim. Deve utilizar WPA3-OWE, que significa Opportunistic Wireless Encryption. Isto encripta os dados por rádio, protegendo a privacidade dos convidados, enquanto continua a funcionar como uma rede aberta que aciona o redirecionamento para o Captive Portal. É a escolha certa para qualquer nova implementação de guest WiFi em 2026. Pergunta dois: Que portas preciso de abrir no meu firewall para o tráfego RADIUS? Os servidores RADIUS da Purple comunicam através da porta UDP 1812 para autenticação e da porta UDP 1813 para contabilidade. Certifique-se de que o seu firewall de extremidade permite tráfego de saída nestas portas a partir dos APs da Alta Labs para a infraestrutura Purple. Pergunta três: Posso utilizar o AltaPass PPSK juntamente com o Captive Portal da Purple no mesmo SSID? Sim, e esta é, na verdade, uma configuração muito útil. Pode criar uma palavra-passe AltaPass que ignora o Captive Portal para dispositivos conhecidos - como os seus terminais de ponto de venda ou sinalização digital - enquanto as ligações padrão ao mesmo SSID continuam a passar pela splash page da Purple. Isto dá-lhe um SSID único e limpo que gere tanto dispositivos autenticados como utilizadores convidados. --- [RESUMO E PRÓXIMOS PASSOS - 1 MINUTO] Para concluir: A integração da Alta Labs com o Purple WiFi oferece-lhe uma plataforma segura e escalável para capturar dados primários e proporcionar uma experiência de convidado de marca. Lembre-se dos três pilares para uma implementação bem-sucedida. Primeiro, configure o redirecionamento de hotspot externo e as definições de RADIUS com precisão na plataforma Alta Labs Cloud Management. Segundo, defina meticulosamente os seus domínios de walled garden para garantir que as sondagens do SO e os logins sociais funcionem corretamente. E terceiro, aproveite o AltaPass PPSK para implementar Redes Baseadas em Identidade, segmentando o seu tráfego sem poluir o seu espaço radioelétrico com SSIDs desnecessários. A Purple opera em 80.000 locais ativos e processou 440 milhões de logins em 2024. A plataforma é certificada pela ISO 27001, em conformidade com o GDPR, e concebida para escalar desde um único hotel boutique até a uma rede nacional de retalho. Ao associar isso ao desempenho e flexibilidade do hardware da Alta Labs, obtém uma stack de WiFi empresarial convincente. Se seguir este guião, irá proporcionar uma experiência de WiFi fluida e em conformidade, com a qual a sua equipa de marketing e a sua equipa de segurança ficarão satisfeitas. Obrigado por ouvir a Purple Technical Briefing Series. Até à próxima, mantenha as suas redes seguras e os seus dados acionáveis.