Ver transcrição do podcast
Bem-vindo ao briefing. Hoje, estamos a analisar a integração do Arista Cognitive Wi-Fi com a plataforma Purple. Este é um briefing para consultores seniores, direcionado especificamente para arquitetos de rede empresariais e administradores de sistemas cloud que precisam de implementar isto corretamente, à primeira.
Vamos enquadrar o cenário. O Arista Cognitive Wi-Fi, gerido através da plataforma CloudVision Cognitive Unified Edge, é uma infraestrutura sem fios gerida na cloud que suporta implementações de redes de convidados e funcionários de nível empresarial. A Purple é um overlay na cloud agnóstico em relação ao hardware que fornece o portal de convidados, a captura de identidade, a autenticação RADIUS e a camada de análise. Quando combina os dois, obtém uma arquitetura de WiFi de convidados completa, em conformidade e comercialmente valiosa. Vamos entrar na parte mecânica.
A primeira coisa a entender é o fluxo de integração do Captive Portal. Quando um dispositivo de convidado se associa ao SSID de convidado aberto num ponto de acesso Arista, o AP coloca imediatamente esse dispositivo numa VLAN de pré-autenticação. Neste estado, o dispositivo tem um endereço IP atribuído por DHCP, mas o seu tráfego DNS e HTTP é fortemente restrito. O sistema operativo do dispositivo, seja iOS, Android ou Windows, realiza uma verificação de deteção de Captive Portal. O iOS envia um pedido HTTP para captive.apple.com. O Android verifica connectivitycheck.gstatic.com. O AP Arista intercepta este pedido e devolve um redirecionamento 302, apontando o dispositivo para o URL da splash page da Purple.
Agora, é aqui que a maioria das implementações falha. Para que esse redirecionamento funcione, e para que a splash page seja efetivamente renderizada, precisa de configurar o Walled Garden corretamente no Arista CV-CUE. O Walled Garden é uma lista de permissões explícita. No estado de pré-autenticação, todo o tráfego é bloqueado por predefinição. Deve adicionar à lista de permissões todos os domínios necessários para carregar o portal. No mínimo, isso significa os domínios principais da Purple: region1.purpleportal.net, venuewifi.com e cloudfront.net. Se estiver a oferecer autenticação social via Google Workspace, deve adicionar accounts.google.com e as gamas de CDN associadas. Para o Facebook, precisa de facebook.com, fbcdn.net e akamaihd.net. Se falhar qualquer um destes, o convidado verá um ecrã em branco ou um botão de login a rodar continuamente. Eles desistem, e perde a oportunidade de captura de dados.
Deixe-me orientá-lo na configuração de RADIUS no CV-CUE. Navegue até Configure, depois Network Profiles e depois RADIUS. Clique em Add RADIUS Server. Introduza o endereço IP do servidor RADIUS principal da Purple, defina a Authentication Port para 1812, a Accounting Port para 1813 e introduza o segredo partilhado fornecido pela Purple. Repita este processo para o servidor secundário. Esta redundância é crítica. Se o servidor principal estiver inacessível, o secundário assume o controlo sem interromper o acesso do convidado.Assim que os perfis RADIUS estiverem guardados, vá a Configure, depois WiFi, depois SSID, e clique em Add New SSID. Atribua um nome ao seu SSID, defina o tipo para Guest e, no separador Security, defina o nível de segurança para Open. Isto é o correto para uma implementação de Captive Portal. No separador Captive Portal, ative a caixa de seleção Captive Portal, selecione Third-Party Hosted no menu suspenso Cloud Hosted e selecione a caixa With RADIUS Authentication. Cole o URL da Splash Page da Purple no campo Splash Page URL. Normalmente, este está no formato https://region1.purpleportal.net/access/. Introduza o segredo partilhado. Em seguida, na secção Websites que os utilizadores podem aceder antes de iniciar sessão, adicione os seus domínios Walled Garden. Defina o formato do Called Station ID para percent-m, que envia o endereço MAC no formato esperado pela Purple. Defina o Accounting Interval para 2 minutos. Desmarque a caixa de seleção HTTPS Redirection. Guarde o SSID. Este será propagado para os seus APs Arista em poucos minutos.
Agora vamos falar sobre o que acontece depois de o convidado submeter os seus dados no portal Purple. A Purple funciona como o servidor RADIUS. Valida a identidade, capta o consentimento e envia uma mensagem RADIUS Access-Accept de volta para o AP Arista. Mas aqui está a parte crítica: essa mensagem Access-Accept contém atributos de Alteração de Autorização, definidos na RFC 3576. Estes atributos instruem o AP Arista a transitar dinamicamente esse cliente específico do estado restrito de pré-autenticação para a VLAN pós-autenticação com acesso total à Internet. Em simultâneo, o AP envia uma mensagem RADIUS Accounting-Start para a Purple na porta 1813. Isto inicia o temporizador da sessão e fornece dados de duração da sessão ao painel de análise da Purple.
Passemos para o caso de utilização mais avançado: WiFi Multi-Tenant utilizando Arista Private Pre-Shared Keys, ou PPSK. Esta é a arquitetura ideal para espaços de coworking, centros comerciais, edifícios residenciais ou qualquer ambiente onde tenha múltiplos grupos de utilizadores distintos que necessitam de um isolamento de rede rigoroso.
O problema com as abordagens tradicionais é que a transmissão de um SSID separado para cada tenant cria um overhead de RF massivo. Cada SSID requer tramas de beacon. Num ambiente denso com 20 tenants, isso traduz-se em 20 SSIDs a consumir tempo de antena. O PPSK resolve isto de forma elegante. Transmite um único SSID. Mas no portal Purple, é atribuída a cada tenant uma frase-passe exclusiva. Quando um utilizador se liga, o AP Arista autentica essa frase-passe no servidor RADIUS da Purple. A Purple procura a frase-passe, identifica o tenant associado e devolve uma mensagem Access-Accept. Mas, fundamentalmente, anexa três atributos RADIUS: Tunnel-Type, definido para VLAN; Tunnel-Medium-Type, definido para 802; e Tunnel-Private-Group-ID, definido para o ID de VLAN específico do tenant. O AP Arista lê estes atributos e direciona dinamicamente o cliente para a VLAN correta. O Tenant A, utilizando a sua frase-passe, vai para a VLAN 100. O Tenant B vai para a VLAN 200. Estão completamente isolados na Camada 2. Não conseguem ver os dispositivos, impressoras ou servidores uns dos outros.
Isto é Identity-Based Networking na prática. A identidade da frase de passe determina o segmento de rede. É gerida centralmente através do Purple, por isso, quando um inquilino sai, revoga a sua frase de passe no portal Purple e o acesso é imediatamente terminado. Não são necessárias alterações na infraestrutura Arista.
Agora, vamos abordar o WiFi seguro para colaboradores utilizando IEEE 802.1X. Para o SSID dos seus colaboradores, não deve utilizar uma frase de passe partilhada. Deve utilizar 802.1X com EAP, Extensible Authentication Protocol. No CV-CUE, crie um novo SSID corporativo. No separador Segurança, selecione WPA2-Enterprise ou WPA3-Enterprise. Selecione o seu perfil RADIUS, que deve apontar para o seu fornecedor de identidade corporativo, como o Microsoft Entra ID ou Okta. Quando um colaborador se liga, o seu dispositivo apresenta credenciais ao AP Arista, que as reencaminha para o servidor RADIUS via EAP. O fornecedor de identidade valida as credenciais e devolve um Access-Accept. Para autenticação baseada em certificados utilizando EAP-TLS, o dispositivo apresenta um certificado de cliente em vez de um nome de utilizador e palavra-passe, eliminando completamente o roubo de credenciais como vetor de ataque.
Permita-me abordar a integração do Arista Cloud WIPS. O Wireless Intrusion Prevention System da Arista funciona em segundo plano, procurando pontos de acesso fraudulentos e clientes não autorizados. No CV-CUE, navegue para Configurar, depois WIPS e depois Prevenção Automática de Intrusões. Pode configurar o nível de prevenção desde Degradado até Bloqueado. Para implementações empresariais, recomendamos o nível Interromper como ponto de partida, que interrompe as comunicações não autorizadas sem as bloquear completamente, reduzindo o risco de falsos positivos. Deve também configurar a monitorização de VLAN em Configurar, depois Dispositivo, depois Ponto de Acesso, selecionando o separador Segurança. Ative a Monitorização de VLAN de SSID para que os APs monitorizem ativamente as suas VLANs atribuídas à procura de atividade fraudulenta.
Agora, alguns erros de implementação a evitar. Primeiro, a exaustão do pool de DHCP. Em ambientes com muito movimento, como lojas de retalho ou estádios, os dispositivos ligam-se brevemente e afastam-se. Se o seu limite de tempo de inatividade estiver definido com um valor demasiado elevado, essas sessões permanecem ativas, retendo endereços IP. Defina o limite de tempo de inatividade no CV-CUE para 10 minutos para retalho e até 5 minutos para recintos de eventos. Isto recupera agressivamente os IPs e evita que o pool se esgote.
Segundo, a aleatorização de endereços MAC. Desde o iOS 14 e Android 10, os dispositivos aleatorizam o seu endereço MAC por SSID por predefinição. Isto quebra qualquer arquitetura que dependa de endereços MAC para identificar visitantes recorrentes. A resposta correta é mudar o seu modelo de identidade para credenciais autenticadas - o endereço de email ou início de sessão social capturado através do portal Purple. Para uma nova ligação sem interrupções e sem um portal, o caminho de migração a longo prazo é para Passpoint, também conhecido como Hotspot 2.0, que utiliza autenticação baseada em certificados e elimina completamente o Captive Portal.
Terceiro, o redirecionamento HTTPS. Ao configurar o Captive Portal no CV-CUE, certifique-se de que a caixa de seleção de Redirecionamento HTTPS está desmarcada. O Purple gere a sessão HTTPS de forma independente. Ativar o redirecionamento HTTPS do lado da Arista pode causar erros de incompatibilidade de certificado que impedem o portal de carregar.
Vamos fazer uma ronda rápida de perguntas e respostas sobre cenários comuns.
Pergunta: A página de portal de um convidado mostra um ecrã em branco. Onde deve olhar primeiro? Resposta: No Walled Garden. A ausência de um domínio é quase sempre a causa. Verifique se todos os domínios Purple e os domínios CDN do Identity Provider relevantes estão na lista de permissões no CV-CUE.
Pergunta: Os utilizadores PPSK estão todos a ir para a VLAN predefinida. O que está errado? Resposta: O servidor RADIUS do Purple não está a retornar o atributo Tunnel-Private-Group-ID. Verifique a resposta RADIUS nos registos de resolução de problemas do CV-CUE e verifique o mapeamento de VLAN no portal Purple.
Pergunta: Os dados de monitorização de RADIUS no Purple estão a mostrar sessões de zero segundos. Qual é o problema? Resposta: A porta de monitorização (Accounting Port) está provavelmente mal configurada ou bloqueada. Verifique se a porta 1813 está aberta na firewall entre os APs Arista e os servidores RADIUS do Purple, e se o intervalo de monitorização está definido para 2 minutos nas definições de SSID.
Para resumir as principais conclusões desta sessão. Um: o Walled Garden é uma lista de permissões explícita. Mantenha-a como uma tarefa operacional recorrente, não como uma configuração única. Dois: o RADIUS Change of Authorization é o mecanismo que concede o acesso. Sem ele, o portal conclui mas o convidado permanece bloqueado. Três: o Arista PPSK com RADIUS Purple permite o encaminhamento dinâmico de VLAN para isolamento de múltiplos inquilinos num único SSID, eliminando a sobrecarga de beacons. Quatro: ative sempre o Isolamento de Clientes nos SSIDs de Convidados para evitar o movimento lateral. Cinco: a aleatorização de endereços MAC exige uma mudança para a autenticação baseada em identidade para uma análise de dados precisa. Seis: uma integração adequada cumpre os requisitos de consentimento do GDPR e recolhe dados primários que impulsionam diretamente o ROI de marketing.
Os seus próximos passos: obtenha os endereços IP do servidor RADIUS Purple e os segredos partilhados a partir da página de configuração de hardware do portal Purple. Configure os perfis RADIUS no CV-CUE. Construa a sua lista de domínios para o Walled Garden. Implemente o seu SSID de Convidados. Teste todo o fluxo de autenticação a partir de um dispositivo móvel antes de avançar para a produção. E se estiver a implementar ambientes multi-tenant, mapeie os IDs de VLAN de inquilino no Purple antes de configurar as palavras-passe PPSK.
Isto conclui esta sessão técnica. Obrigado por nos ouvir.
