Ver transcrição do podcast
Bem-vindo ao Briefing Técnico da Purple. Hoje estamos a abordar um tema que surge constantemente nas nossas conversas com gestores de TI e arquitetos de rede em setores como a hotelaria, retalho e locais multi-inquilino: como integrar os pontos de acesso NETGEAR Insight e da série WAX com o Purple WiFi. Se gere um hotel, um parque de retalho, um centro de conferências ou um empreendimento de uso misto, este briefing é diretamente relevante para a sua próxima decisão de implementação.
Vamos enquadrar o cenário. A série WAX da NETGEAR - o WAX610, WAX620 e WAX630 - são pontos de acesso WiFi 6 geridos através da plataforma de nuvem Insight. Suportam até oito SSIDs separados por rádio, encriptação WPA3 e até seis gigabits de débito no WAX630. Têm alimentação PoE, são montáveis no teto e são geridos a partir de um painel único através do Insight Cloud Portal. Para um instalador de TI ou administrador de rede de PME, esta é uma plataforma genuinamente capaz a um preço bem abaixo do patamar da Cisco Meraki ou HPE Aruba.
A Purple é um overlay de nuvem agnóstico em termos de hardware. Posicionamo-nos no topo da sua infraestrutura existente e adicionamos a camada de experiência do cliente, a camada de captura de dados e a camada de analítica. Processámos 440 milhões de inícios de sessão em 2024 em 80.000 locais ativos. A integração com o NETGEAR Insight é limpa e está bem documentada, abrangendo quatro casos de utilização distintos que iremos analisar hoje.
Agora vamos entrar na análise técnica detalhada. Os quatro casos de utilização são: Guest WiFi com um Captive Portal da Purple, Staff WiFi seguro usando 802.1X, segmentação Multi-Inquilino usando a funcionalidade PPSK da NETGEAR e atribuição dinâmica de VLAN via RADIUS para Redes Baseadas em Identidade.
Caso de utilização um: Guest WiFi com um Captive Portal da Purple. Este é o ponto de partida mais comum. Cria um SSID de Guest dedicado no NETGEAR Insight e configura-o como uma rede aberta. A configuração fundamental está na secção do Captive Portal nas definições do SSID. Seleciona External Captive Portal e cola o URL da Splash Page que a Purple fornece.
Em seguida, configura o tipo de autenticação. Para a maioria das implementações da Purple, irá selecionar a autenticação RADIUS. A Purple fornece-lhe um endereço IP do servidor RADIUS principal, a porta 1812 para autenticação e a porta 1813 para accounting, bem como um segredo partilhado. Deve colá-los na configuração do NETGEAR Insight External Captive Portal. Também define um Identificador NAS - esta é uma string que identifica este ponto de acesso ou localização específica perante o servidor RADIUS. Utilize algo significativo, como o nome do seu local e o código de localização.
O walled garden é o elemento que mais complica o trabalho dos instaladores. Antes de um convidado se autenticar, o seu dispositivo necessita de conseguir aceder à splash page da Purple, aos servidores de autenticação e a quaisquer fornecedores de login social que tenha ativado. O NETGEAR Insight possui uma secção dedicada de Walled Garden na configuração do External Captive Portal onde deve adicionar estes URLs. A documentação de suporte da Purple fornece a lista exata de domínios a incluir na whitelist. Se errar este passo, os convidados verão uma página em branco em vez do seu portal personalizado.
Uma vez configurado, o fluxo funciona da seguinte forma: um convidado liga-se ao SSID Hotel Guest. O ponto de acesso intercepta o seu primeiro pedido HTTP e redireciona-o para a splash page da Purple. O convidado vê o seu portal personalizado, aceita os termos e, opcionalmente, fornece o seu endereço de email ou faz login através das redes sociais. O servidor RADIUS da Purple devolve uma mensagem Access-Accept ao ponto de acesso, e o acesso à internet é concedido ao convidado. A Purple recolhe os dados de consentimento, regista a sessão e esses dados fluem para o seu painel de analítica da Purple.
Segundo caso de uso: WiFi seguro para colaboradores utilizando 802.1X. É aqui que deixa de utilizar totalmente as palavras-passe partilhadas. Para redes de colaboradores, uma chave pré-partilhada é um risco - quando um funcionário sai, tem de alterar a palavra-passe para todos os outros. O 802.1X, definido na norma IEEE 802.1X, atribui a cada utilizador uma credencial individual. Quando estes saem, basta desativar a sua conta no seu diretório e o acesso é revogado instantaneamente.
No NETGEAR Insight, configura um SSID separado para os colaboradores com segurança WPA2 Enterprise. Isto indica ao ponto de acesso para utilizar a autenticação 802.1X em vez de uma chave pré-partilhada. Em seguida, configura as definições do servidor RADIUS ao nível do local da rede. Aceda às definições do local da rede, selecione RADIUS, ative a Autenticação de Acesso 802.1X e introduza o IP do seu servidor RADIUS, a porta e o segredo partilhado. O intervalo padrão de nova autenticação é de 3.600 segundos - uma hora - o que é um ponto de partida razoável para a maioria dos locais.
O método EAP mais comum em implementações PME é o PEAP-MSCHAPv2, que utiliza um certificado do lado do servidor para criar um túnel encriptado dentro do qual o utilizador se autentica com o seu nome de utilizador e palavra-passe do Active Directory. O EAP-TLS é mais seguro - utiliza certificados de ambos os lados - mas requer uma infraestrutura PKI e MDM para enviar os certificados para os dispositivos.
Um ponto crítico: force a validação de certificados em todos os dispositivos clientes. Configure os seus dispositivos Windows através de Group Policy Objects e os seus dispositivos móveis através de perfis MDM para validar o certificado do servidor RADIUS. Se ignorar este passo, os dispositivos ficam vulneráveis a ataques de pontos de acesso falsos (rogue access points), onde um atacante apresenta um certificado falso e recolhe as credenciais.Caso de uso três: NETGEAR PPSK para espaços multi-inquilino. A Private Pre-Shared Key resolve um problema específico em parques comerciais, empreendimentos de uso misto e espaços de co-working. Tem múltiplos inquilinos a partilhar a mesma infraestrutura física de WiFi. Não quer criar SSIDs separados para cada inquilino - isso cria congestão de radiofrequência e complexidade de gestão. Mas também não pode dar a todos a mesma palavra-passe, porque senão o Inquilino A pode ver o tráfego do Inquilino B.
A PPSK resolve isto de forma elegante. Cria um único SSID e cria múltiplas chaves pré-partilhadas no NETGEAR Insight em Wireless, Settings, Advanced, Multi PSK Settings. Cada chave está associada a uma VLAN específica. O Inquilino A recebe uma palavra-passe única de 16 caracteres que mapeia para a VLAN 30. O Inquilino B recebe uma palavra-passe diferente que mapeia para a VLAN 40. A equipa de gestão do espaço recebe uma terceira palavra-passe que mapeia para a VLAN 20, que tem acesso aos sistemas de gestão.
Quando os dispositivos do Inquilino A se ligam usando a sua palavra-passe, o ponto de acesso coloca-os automaticamente na VLAN 30. Não conseguem ver nenhum tráfego na VLAN 40 ou VLAN 20. Do ponto de vista do inquilino, eles apenas têm uma palavra-passe de WiFi. Do seu ponto de vista como administrador de rede, tem isolamento completo de tráfego entre inquilinos com zero hardware adicional.
Existem duas limitações importantes a conhecer. Primeiro, a PPSK no NETGEAR Insight requer encriptação WPA2 Personal ou WPA2 Personal Mixed. Não funciona na banda de 6 GHz. Segundo, a PPSK não pode ser combinada com Captive Portal no mesmo SSID. Se precisar de ambos, precisa de dois SSIDs separados - o que não é problema, porque os pontos de acesso da série WAX suportam até oito.
Caso de uso quatro: atribuição dinâmica de VLAN via RADIUS. Esta é a configuração mais sofisticada e aquela que serve de base à capacidade de Redes Baseadas em Identidade da Purple. Em vez de atribuir estaticamente uma VLAN a uma palavra-passe ou a um SSID, deixa o servidor RADIUS decidir qual VLAN atribuir com base em quem se está a autenticar.
O mecanismo utiliza três atributos RADIUS padrão: Tunnel-Type, que deve ser definido com o valor 13 para VLAN; Tunnel-Medium-Type, que deve ser definido com o valor 6 para IEEE 802; e Tunnel-Private-Group-ID, que transporta o ID da VLAN como uma string. Quando um utilizador se autentica com sucesso, o servidor RADIUS devolve estes três atributos na mensagem Access-Accept. O ponto de acesso lê-os e coloca o cliente na VLAN especificada.
Na prática, isto significa que pode ter um único SSID WPA2 Enterprise onde o gerente de um hotel se autentica e entra na VLAN 20 com acesso aos sistemas de gestão da propriedade, um funcionário da receção se autentica e entra na VLAN 21 com acesso apenas ao sistema de check-in, e um prestador de serviços se autentica e entra na VLAN 50 com acesso exclusivo à internet. Tudo a partir do mesmo SSID, tudo aplicado de forma automática pelo servidor RADIUS com base na pertença a grupos do Active Directory.
Agora, falemos sobre recomendações de implementação e armadilhas. A primeira armadilha é o walled garden. Toda a implementação de Captive Portal externa falha no walled garden pelo menos uma vez. O sintoma é os convidados ligarem-se ao SSID mas verem um erro no browser em vez da splash page. A correção é metódica: abra a documentação de suporte da Purple, copie todos os domínios na lista de walled garden e cole-os na secção Walled Garden do NETGEAR Insight. Teste com um dispositivo que não tenha credenciais em cache.
A segunda armadilha é a acessibilidade RADIUS. O ponto de acesso NETGEAR precisa de alcançar o seu servidor RADIUS. O RADIUS utiliza a porta UDP 1812 para autenticação e a porta UDP 1813 para accounting. Abra essas portas desde o IP de gestão do ponto de acesso até ao IP do servidor RADIUS. Teste com uma ferramenta de teste RADIUS antes de entrar em produção.
A terceira armadilha é o conflito entre PPSK e Captive Portal. O NETGEAR Insight não permite PPSK e Captive Portal no mesmo SSID. Se precisar de ambos, crie dois SSIDs. Dê-lhes nomes claros - um para clientes PPSK e outro para os convidados do Captive Portal.
A quarta armadilha é a validação de certificados em clientes 802.1X. Todo o dispositivo Windows precisa de um Group Policy Object que especifique a Autoridade de Certificação fidedigna e o nome do servidor RADIUS esperado. Todo o dispositivo móvel precisa de um perfil MDM com as mesmas definições. Sem isto, um utilizador pode autenticar-se inadvertidamente num ponto de acesso não autorizado e entregar as suas credenciais de Active Directory.
Agora, uma sessão de perguntas e respostas rápidas. Pergunta um: Posso utilizar a Purple com o NETGEAR Insight sem um servidor RADIUS? Sim, para implementações de Captive Portal de convidados, pode utilizar o modo de autenticação web da Purple em vez do RADIUS. O ponto de acesso redireciona para a splash page via HTTP, e a Purple lida com a autenticação através de uma sessão web. O RADIUS oferece-lhe mais controlo e melhores dados de accounting, mas não é obrigatório para implementações básicas de portal de convidados.
Pergunta dois: Quantas chaves PPSK posso criar no NETGEAR Insight? O NETGEAR Insight suporta até 64 chaves PPSK por SSID em pontos de acesso da série WAX. Para a maioria dos espaços multi-inquilino, isto é mais do que suficiente. Se tiver mais de 64 inquilinos, terá de passar para uma solução de VLAN dinâmica baseada em RADIUS.
Pergunta três: O NETGEAR Insight suporta WPA3 Enterprise para 802.1X? Sim, os pontos de acesso da série WAX suportam WPA3 Enterprise. Para a maioria das implementações em PMEs, o WPA2 Enterprise é suficiente e tem uma maior compatibilidade com dispositivos cliente. Vale a pena considerar o WPA3 Enterprise para ambientes que lidam com dados sensíveis, como serviços de saúde ou financeiros.Pergunta quatro: O que acontece se o servidor Purple RADIUS estiver inacessível? O NETGEAR Insight suporta uma opção de failsafe na configuração do External Captive Portal. Se ativar o failsafe, é concedido acesso à internet aos convidados por um curto período, mesmo que os servidores do captive portal estejam inacessíveis. A Purple mantém 99,999% de uptime em toda a nossa infraestrutura, mas a ativação do failsafe é uma boa prática para qualquer implementação em produção.
Para resumir as principais conclusões do briefing de hoje. Os pontos de acesso NETGEAR WAX series integram-se com a Purple através do mecanismo de External Captive Portal no NETGEAR Insight. Configura o URL da splash page, as credenciais do servidor RADIUS e os domínios de walled garden no Insight Cloud Portal. Para redes de colaboradores, utilize WPA2 Enterprise com 802.1X e imponha a validação de certificados em todos os dispositivos cliente. Para locais multi-tenant, a funcionalidade PPSK da NETGEAR oferece isolamento de VLAN por cliente a partir de um único SSID com até 64 chaves exclusivas. Para as implementações mais sofisticadas, a atribuição dinâmica de VLAN através de atributos RADIUS oferece uma segmentação de rede baseada na identidade que se adapta a quem se está a ligar, e não apenas a partir de onde se está a ligar.
Se está a planear uma implementação NETGEAR com a Purple, o próximo passo consiste em solicitar as suas credenciais Purple RADIUS e a lista de domínios de walled garden à equipa de suporte da Purple, e testar o redirecionamento do captive portal num SSID de teste antes de avançar para a produção. A configuração demora menos de 30 minutos assim que tiver essas credenciais em mãos.
Obrigado por ouvir o Briefing Técnico da Purple. Para obter o guia escrito completo, incluindo detalhes de configuração passo a passo e exemplos práticos, visite purple.ai.
