Aruba ClearPass vs. Purple WiFi: Comparando Funcionalidades e Co-implementação

Fale em inglês britânico com um tom confiante, autoritário e conversacional. Você é um consultor sénior de redes a fazer uma apresentação a um cliente. Ritmo medido, dicção clara, profissional mas não rígido. Pausas naturais ocasionais para dar ênfase: Bem-vindo a esta apresentação técnica da Purple. Sou o seu anfitrião e hoje vamos abordar uma questão que surge em quase todos os projetos de redes sem fios empresariais em que trabalhamos: quando já tem o Aruba ClearPass implementado, onde se enquadra o Purple WiFi e como funcionam os dois sistemas em conjunto? [pausa média] Esta não é uma discussão teórica. Se é um gestor de TI, um arquiteto de rede ou um engenheiro de segurança num grupo hoteleiro, numa cadeia de retalho ou num operador de estádios, esta é uma decisão que poderá ter de tomar este trimestre. Por isso, vamos a isso. [pausa média] Introdução e contexto. [pausa curta] Primeiro, vamos esclarecer o que cada plataforma foi realmente concebida para fazer. O Aruba ClearPass Policy Manager é uma plataforma de Network Access Control (Controlo de Acesso à Rede). O seu trabalho é autenticar dispositivos e utilizadores, avaliar a postura do endpoint e aplicar políticas de acesso em toda a sua rede. Trata do 802.1X, que é a norma IEEE para controlo de acesso à rede baseado em portas, utilizando métodos EAP como EAP-TLS com certificados e PEAP com nome de utilizador e palavra-passe. Integra-se com o Microsoft Entra ID, Okta e outros fornecedores de identidade. Perfila dispositivos, verifica se estão em conformidade com a sua política de segurança e atribui-lhes a função de rede correta. Para dispositivos corporativos, o ClearPass é excelente. Foi construído exatamente para este caso de utilização. [pausa média] O Purple WiFi é um animal totalmente diferente. O Purple é uma plataforma de inteligência de WiFi para convidados baseada na nuvem. O seu trabalho é autenticar os visitantes através de um Captive Portal personalizado, capturar dados primários com fluxos de consentimento em conformidade com o GDPR e alimentar esses dados no seu ecossistema de marketing e análise de dados. O Purple opera em mais de 80.000 locais em todo o mundo e processou 440 milhões de inícios de sessão apenas em 2024. Integra-se com mais de 400 conectores, incluindo CRMs e plataformas de automação de marketing. Para redes de convidados, o Purple é o especialista. [pausa média] O problema que a maioria das organizações enfrenta é tentar usar uma única plataforma para fazer ambos os trabalhos. Ou pedem ao ClearPass para gerir o seu portal de convidados, o que ele consegue fazer mas não de forma elegante, ou implementam o Purple sem pensar em como este se posiciona ao lado do seu investimento em NAC existente. A resposta certa é uma arquitetura de co-implementação onde cada plataforma faz o que faz melhor. [pausa média] Aprofundamento técnico. [pausa curta] Deixe-me guiar-lhe pela arquitetura. Numa co-implementação, o seu Aruba Mobility Controller ou pontos de acesso Aruba Instant transmitem múltiplos SSIDs. Normalmente três: um para dispositivos corporativos, um para convidados e um para IoT. Para saber mais sobre este padrão de design de SSID, a Purple publicou um guia detalhado chamado "Three SSIDs to rule them all", que recomendo a leitura em conjunto com esta apresentação. [pausa média] O SSID corporativo utiliza 802.1X com EAP-TLS. Os dispositivos autenticam-se utilizando certificados provisionados através do ClearPass Onboard, que é o módulo integrado de registo de certificados e provisionamento de dispositivos do ClearPass. O ClearPass verifica o estado do dispositivo, valida o certificado, consulta o Active Directory ou o Microsoft Entra ID, e atribui o dispositivo à VLAN adequada. Tipicamente, a VLAN 10 para o tráfego corporativo. Todo este fluxo permanece dentro do ClearPass. A Purple não está envolvida. [medium pause] O SSID de convidados é onde ocorre a integração. Quando um visitante se liga ao SSID de convidados, o controlador Aruba intercepta o tráfego HTTP e redireciona o browser para o Captive Portal da Purple. O visitante autentica-se através da Purple, talvez utilizando o login social via Google, um formulário de email personalizado ou OpenRoaming, onde a Purple atua como um fornecedor de identidade gratuito ao abrigo da licença Connect. Assim que a Purple valida o visitante, envia uma mensagem RADIUS Access-Accept de volta ao controlador, que concede o acesso à internet. [medium pause] Agora, a decisão de arquitetura fundamental é se insere o ClearPass como um proxy RADIUS entre o controlador e a Purple, ou se o controlador comunica diretamente com os servidores RADIUS da Purple. Para a maioria das implementações empresariais, o modelo de proxy é a escolha certa. Eis porquê. [medium pause] Com o ClearPass a funcionar como proxy RADIUS, todos os eventos de autenticação na sua rede, tanto corporativos como de convidados, fluem através do ClearPass. Obtém um registo de auditoria único. A sua equipa de operações de segurança vê tudo num único local. O ClearPass pode anexar os seus próprios atributos de política antes de devolver a resposta ao controlador, permitindo a atribuição dinâmica de VLAN com base na função. E mantém a capacidade de aplicar políticas adicionais às sessões de convidados, tais como limites de largura de banda ou restrições de acesso baseadas no tempo. Fale em inglês britânico com um tom confiante, autoritário e conversacional. É um consultor de rede sénior a informar um cliente. Ritmo pausado, dicção clara, profissional mas não rígido: A configuração do proxy no ClearPass é simples. Cria uma Política de Encaminhamento RADIUS que corresponde ao SSID de convidados através do identificador NAS ou ID da estação chamada. Os pedidos que correspondem a essa política são encaminhados para os servidores RADIUS na cloud da Purple. A Purple responde, o ClearPass anexa o atributo específico do fabricante Aruba-User-Role, e o controlador coloca o convidado na VLAN 20 com acesso exclusivo à internet. [medium pause] Para os dispositivos IoT, o terceiro SSID utiliza bypass de autenticação MAC. O ClearPass traça o perfil do dispositivo utilizando o seu OUI — os primeiros seis carateres do endereço MAC que identificam o fabricante — e atribui-o à ROLE_IOT, que mapeia para a VLAN 30. Esta VLAN não tem acesso à internet, apenas conectividade local. Os seus ecrãs inteligentes, termostatos e fechaduras eletrónicas ficam completamente isolados do tráfego corporativo e de convidados. [medium pause] Vamos falar sobre conformidade, porque é aqui que a arquitetura justifica o investimento. Sob o PCI DSS, qualquer segmento de rede que toque em dados de titulares de cartões deve ser isolado das redes de convidados. A segmentação por VLAN nesta arquitetura cumpre esse requisito. No âmbito do GDPR, o Captive Portal da Purple gere a recolha de consentimento com opt-ins de escolha consciente, o que significa que os visitantes escolhem ativamente partilhar os seus dados em vez de estes serem recolhidos por defeito. A Purple é certificada pela ISO 27001, em conformidade com o GDPR, e possui a certificação Cyber Essentials. O ClearPass fornece o registo de auditoria de que a sua equipa de segurança necessita para relatórios de conformidade. [medium pause] Recomendações de implementação e armadilhas. [short pause] Deixe-me dar-lhe as cinco coisas que mais frequentemente correm mal nesta implementação e como as evitar. [medium pause] Número um: o walled garden (jardim murado). Antes de um visitante se autenticar, o controlador Aruba apenas permite o tráfego para uma lista predefinida de destinos. Se os domínios do portal da Purple, os seus endpoints de CDN e os domínios do fornecedor de login social não estiverem nessa lista, o portal não irá carregar. Precisa de incluir star dot purple dot ai, star dot cloudfront dot net e os domínios OAuth para os fornecedores de login social que estiver a ativar. A Google, o Facebook, a Apple e o Microsoft Entra ID têm todos os seus próprios conjuntos de domínios. Trate o walled garden como uma configuração viva, porque os fornecedores de login social alteram periodicamente os seus domínios de CDN. [medium pause] Número dois: tempos de limite (timeouts) de RADIUS. O timeout de RADIUS por defeito na maioria dos controladores Aruba é de três segundos. Numa arquitetura de proxy, o pedido viaja do ponto de acesso para o controlador, para o ClearPass, através da internet para o RADIUS na cloud da Purple e regressa. Numa rede congestionada, essa viagem de ida e volta pode exceder os três segundos. Defina o seu timeout para pelo menos dez segundos e configure a lógica de repetição com pelo menos duas tentativas. [medium pause] Número três: incompatibilidades de segredo partilhado (shared secrets). O segredo partilhado entre o controlador Aruba e o ClearPass deve coincidir exatamente. O segredo partilhado entre o ClearPass e os servidores RADIUS da Purple também deve coincidir exatamente. Uma diferença de um único caráter causa falhas de autenticação silenciosas, sem qualquer mensagem de erro útil para o visitante. Verifique sempre estes caracteres um a um. [medium pause] Número quatro: sensibilidade a maiúsculas e minúsculas nos nomes das funções (roles). O atributo Aruba-User-Role devolvido pelo ClearPass deve coincidir exatamente com o nome da função definido no controlador Aruba, incluindo maiúsculas. Se o ClearPass devolver guest-authenticated mas o controlador tiver Guest-Authenticated definido, o visitante reverte para a função de início de sessão predefinida sem acesso à internet. [medium pause] Número cinco: RADIUS accounting. Muitas implementações configuram o proxy de autenticação corretamente, mas esquecem-se de fazer o proxy de accounting também. A Purple utiliza dados de RADIUS accounting para monitorizar a duração da sessão, o consumo de dados e para alimentar os seus dashboards de análise. Se o accounting não estiver a fluir para a Purple, as suas análises de fluxo de visitantes (footfall) e os relatórios de tempo de permanência ficarão incompletos. [medium pause] Perguntas rápidas. [short pause] Posso executar isto no Aruba Instant em vez de num Mobility Controller completo? Sim. O Aruba Instant suporta servidores RADIUS externos e redirecionamento de captive portal. A configuração difere ligeiramente, mas os princípios são idênticos. [medium pause] A Purple suporta Change of Authorisation? Sim. O CoA permite que o controlador atualize dinamicamente a sessão de um visitante sem exigir que este se volte a ligar. Isto é útil para acessos com limite de tempo ou atualizações de tarifário. [medium pause] Isto funciona com WPA3? Sim. Tanto o WPA3-SAE para redes pessoais como o WPA3-Enterprise para 802.1X são suportados. Para redes de convidados que utilizam captive portals, o WPA3-SAE ou um SSID aberto com Opportunistic Wireless Encryption são as escolhas típicas. [medium pause] Posso utilizar um único SSID tanto para funcionários como para convidados? Pode, mas adiciona complexidade. O ClearPass lida tanto com a autenticação 802.1X como com a autenticação MAC no mesmo SSID, utilizando regras de serviço para diferenciar os tipos de tráfego e encaminhar em conformidade. Para a maioria dos locais, SSIDs separados são a escolha mais limpa. [medium pause] Resumo e próximos passos. [short pause] O ClearPass e a Purple são complementares, não concorrentes. O ClearPass é o seu motor de políticas para dispositivos corporativos: 802.1X, postura de endpoint, gestão de certificados e registo de auditoria unificado. A Purple é a sua plataforma de inteligência de convidados: captive portal personalizado, captura de dados em conformidade com o GDPR, análise de fluxo de visitantes (footfall) e automação de marketing. [medium pause] A arquitetura de co-implementação utiliza o ClearPass como um proxy RADIUS. Todos os pedidos de autenticação fluem através do ClearPass. Os pedidos de convidados são encaminhados para o RADIUS na cloud da Purple. Os pedidos corporativos são tratados localmente pelo ClearPass. O controlador Aruba aplica as políticas resultantes através de atribuição dinâmica de VLAN. [medium pause] Os três elementos de configuração que deve garantir que estão corretos são: o walled garden, os timeouts de RADIUS e a consistência dos nomes das funções. Garanta a correta configuração destes elementos e terá uma implementação de WiFi de convidados em conformidade e comercialmente valiosa, sem comprometer a postura de segurança corporativa. [medium pause] Para os seus próximos passos: obtenha as credenciais de RADIUS do seu local no dashboard da Purple, reveja a lista de referência do walled garden no guia escrito fornecido e teste todo o fluxo de autenticação com um dispositivo de teste dedicado antes de avançar para produção. Se estiver a fazer a implementação em vários locais, a consola de gestão multi-site da Purple permite-lhe gerir configurações de captive portal, personalização de marca e análises de todo o seu património a partir de uma única interface. [medium pause] Obrigado por ouvir. Visite purple dot ai para falar com um arquiteto de soluções sobre a sua implementação específica.