Ver transcrição do podcast
CAPTIVE PORTAL FOR ARUBA: INTEGRATING PURPLE FOR ENTERPRISE GUEST WIFI
Uma Apresentação Técnica Purple — Aproximadamente 10 Minutos
[INTRODUÇÃO E CONTEXTO — aprox. 1 minuto]
Bem-vindo à série de Apresentações Técnicas Purple. Sou o seu anfitrião e hoje vamos abordar algo que surge em quase todas as conversas sobre implementação de redes sem fios empresariais: como configurar um Captive Portal na infraestrutura Aruba e, especificamente, como ligar esse portal à plataforma de inteligência de guest WiFi da Purple.
Se gere APs Aruba Instant ou se gere uma frota de pontos de acesso através do Aruba Central, este episódio é para si. Vamos avançar rapidamente - esta é uma sessão prática, não uma palestra - por isso vou assumir que domina o ecrã de configuração de WLAN e que compreende os conceitos básicos de autenticação RADIUS.
O problema central que estamos a resolver é este: o portal de convidados integrado da Aruba é funcional, mas é limitado. Não oferece a captura de dados de marketing, os fluxos de consentimento em conformidade com o GDPR ou as análises em tempo real que os espaços empresariais necessitam. Substituí-lo pelo Captive Portal externo da Purple é a decisão de arquitetura correta, e hoje vou guiá-lo exatamente sobre como o fazer.
[ANÁLISE TÉCNICA DETALHADA — aprox. 5 minutos]
Vamos começar pela arquitetura. Quando um convidado se liga ao seu SSID Aruba e abre um navegador, o AP intercetará esse pedido HTTP na porta TCP 80 e redirecionará para o URL do portal externo - neste caso, a splash page alojada na nuvem da Purple. O convidado autentica-se através do portal da Purple, que depois envia um RADIUS Access-Request para os servidores RADIUS da Purple na porta UDP 1812. Em caso de sucesso, o servidor RADIUS devolve uma mensagem Access-Accept e o AP concede ao cliente acesso total à Internet. Os registos de Accounting são enviados na porta UDP 1813 durante toda a sessão.
Esse é o fluxo fundamental. Agora vamos entrar na configuração.
Existem dois planos de gestão com os quais pode estar a trabalhar: o Aruba Instant, que é o modelo de controlador virtual local que executa o ArubaOS 8.x, e o Aruba Central, que é a plataforma de gestão na nuvem da HPE. Os passos de configuração são semelhantes em conceito, mas diferem no local onde encontra as definições.
Começando com o Aruba Instant no ArubaOS 8. Primeiro, configurará o seu servidor RADIUS. Navegue até Security, depois Authentication Server e clique em New. Precisará de quatro informações da plataforma da Purple: o endereço IP do servidor principal, a porta de autenticação - tipicamente 1812 - a porta de accounting - tipicamente 1813 - e o segredo partilhado. A Purple fornece estes dados no painel de configuração do seu espaço. Adicione um servidor secundário para resiliência; a Purple opera uma infraestrutura RADIUS multi-região, pelo que terá um backup geograficamente apropriado.
Em seguida, crie o perfil de Captive Portal Externo. Aceda a Security, depois Captive Portal, clique em New e defina o Type como External. Introduza o URL da splash page a partir da sua configuração de local Purple - este será um endpoint HTTPS alojado pela Purple. Defina a porta para 443, ative Use HTTPS e, fundamentalmente, defina o campo WISPr como Enabled. O WISPr - Wireless Internet Service Provider roaming - é o protocolo que permite aos dispositivos detetar automaticamente o captive portal e apresentá-lo corretamente, particularmente em dispositivos iOS e Android que utilizam a deteção de captive portal em segundo plano. Sem o WISPr ativado, alguns dispositivos não conseguirão acionar o portal automaticamente.
Agora, o SSID de Guest. Crie uma nova WLAN, defina o Primary Usage como Guest e, no separador Security, defina o Splash Page Type como External - RADIUS Server. Atribua o perfil de captive portal e o servidor RADIUS que acabou de criar. Defina o Reauth Interval para um valor sensato - 1440 minutos, que equivale a 24 horas, é uma escolha comum para ambientes de hotelaria. Ative a autenticação MAC se desejar que os convidados frequentes ignorem o portal em visitas subsequentes dentro desse período de tempo.
Para o Aruba Central em AOS-8, o fluxo é essencialmente o mesmo, mas acedido através do assistente de WLAN em Devices, Config, WLANs. Defina o Security Level como Visitors, o Type como External Captive Portal e crie um novo perfil de captive portal com o URL de splash da Purple. Adicione os seus servidores RADIUS primário e secundário, ative o accounting e defina um intervalo de accounting de cinco minutos. Este intervalo é importante - garante que a plataforma de analytics da Purple recebe atualizações de sessão regulares para relatórios precisos de tempo de permanência e de envolvimento.
No AOS-10, que é a arquitetura cloud-first, existe uma diferença importante: o walled garden já não é configurado no separador WLAN Security. Em vez disso, é configurado através de Access Rules. Cria uma regra de pré-autenticação - chame-lhe Guest Logon - e adicione regras de permissão para cada domínio na whitelist do walled garden. Depois, atribua essa função como a Pre-Authentication Role no SSID.
Falando do walled garden - é aqui que a maioria das implementações falha. O walled garden é a lista de domínios a que os convidados não autenticados podem aceder antes de terem concluído o fluxo do portal. Sem estas entradas, o próprio portal não será carregado, porque o dispositivo do convidado não consegue aceder à CDN da Purple para transferir os recursos da splash page.
As entradas obrigatórias da Purple são: star ponto purple ponto ai, star ponto cloudfront ponto net e star ponto venuewifi ponto com. Se estiver a utilizar o início de sessão social - Google, Facebook, Apple, Microsoft - terá de adicionar os domínios de OAuth relevantes para cada fornecedor. O Google requer star ponto google ponto com, star ponto googleapis ponto com e star ponto gstatic ponto com. O Facebook requer star ponto facebook ponto com, star ponto fbcdn ponto net e connect ponto facebook ponto net. O início de sessão da Apple necessita de star ponto apple ponto com e appleid ponto apple ponto com. O Microsoft Entra ID requer star ponto microsoft ponto com e star ponto microsoftonline ponto com.
Uma coisa importante a destacar: em Aruba, pode ativar a Automatic URL Whitelisting no perfil do captive portal. Esta funcionalidade adiciona dinamicamente à lista branca os URLs que a página do portal referencia. É útil como recurso de segurança, mas recomendo configurar explicitamente o walled garden em vez de depender da lista branca automática em produção - é mais previsível e mais fácil de auditar.
Vamos falar especificamente sobre os parâmetros RADIUS. Os atributos-chave que a Purple utiliza são: NAS-IP-Address, que identifica o seu AP ou controlador; Called-Station-Id, que transporta o BSSID e o SSID no formato endereço-MAC:nome-SSID - a Purple utiliza isto para mapear sessões para locais e pontos de acesso específicos; e Calling-Station-Id, que é o endereço MAC do cliente. Do lado do accounting, o Acct-Session-Id fornece o identificador único de sessão, e o Acct-Status-Type transporta os eventos Start, Interim-Update e Stop. Certifique-se de que a sua configuração Aruba está a enviar os três tipos de eventos de accounting - algumas implementações apenas enviam Start e Stop, o que significa que as análises da Purple perdem os dados de sessão provisórios necessários para cálculos precisos de tempo de permanência.
[RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS — aprox. 2 minutos]
Deixe-me dar-lhe as recomendações práticas que daria a qualquer cliente que estivesse a implementar isto.
Primeiro: teste sempre com um dispositivo de teste dedicado antes de entrar em produção. Ligue-se ao SSID de convidados, abra um browser num URL HTTP - e não HTTPS - e verifique se o redirecionamento é acionado. Se for diretamente para HTTPS, o redirecionamento não funcionará porque o AP não consegue intercetar tráfego encriptado. Este é o motivo número um de chamadas para o suporte que recebemos.
Segundo: regras de firewall. A sua VLAN de gestão de APs ou o controlador necessita de acesso UDP de saída para os IPs do servidor RADIUS da Purple nas portas 1812 e 1813. Se tiver uma firewall stateful entre os seus APs e a internet, certifique-se de que esta permite estes fluxos UDP. O RADIUS não tem ligação (connectionless), pelo que algumas firewalls necessitam de regras explícitas em vez de dependerem da inspeção stateful.
Terceiro: confiança no certificado. Quando configura o URL da splash page como HTTPS, o AP necessita de confiar no certificado apresentado pelo servidor do portal da Purple. No Aruba Central, poderá ser necessário importar um certificado de CA fidedigna nas definições globais antes que o redirecionamento do portal funcione corretamente através de HTTPS. A Purple utiliza certificados de uma CA amplamente fidedigna, mas vale a pena verificar isto no seu ambiente.
Quarto: segmentação de VLAN. O seu SSID de convidados deve estar numa VLAN dedicada que esteja isolada da sua rede corporativa. Isto é tanto um requisito de segurança - o PCI-DSS requer segmentação de rede para ambientes de dados de titulares de cartões - como uma necessidade prática para a funcionalidade do Captive Portal. A VLAN de convidados deve ter acesso à internet, mas nenhuma rota para recursos internos.
Quinto: a definição WISPr. Mencionei isto anteriormente, mas vale a pena repetir. Ative o WISPr. Sem ele, os dispositivos iOS em particular não detetarão automaticamente o Captive Portal, e os convidados terão uma experiência confusa onde parecem estar ligados mas não têm acesso à internet.
[RAPID-FIRE Q&A - aprox. 1 minuto]
Deixe-me responder rapidamente às perguntas que recebo com mais frequência.
Posso utilizar o Aruba Instant On - o produto para pequenas empresas - com a Purple? Sim, com algumas limitações. O Instant On suporta portais cativos externos, mas a interface de configuração é mais limitada do que o Aruba Central completo. A Purple tem um guia de integração dedicado para o Instant On.
A Purple suporta RadSec para RADIUS encriptado? Sim. A Purple suporta RADIUS sobre TLS - RadSec - para implementações onde o tráfego RADIUS atravessa redes não confiáveis. Isto é cada vez mais relevante para implementações geridas na nuvem, onde a troca de RADIUS cruza a internet pública.
O que acontece se o portal da Purple estiver inacessível? Pode configurar a definição Captive Portal Failure para Deny Internet - que é a predefinição segura - ou Allow Internet, que fornece um modo de acesso aberto de recurso. Para a maioria dos locais empresariais, Deny Internet é a escolha certa.
Posso executar múltiplos SSIDs com diferentes locais Purple na mesma infraestrutura Aruba? Absolutamente. Cada SSID recebe o seu próprio perfil de Captive Portal a apontar para um URL de local Purple diferente. O atributo RADIUS Called-Station-Id transporta o nome do SSID, que a Purple utiliza para encaminhar a sessão para a configuração correta do local.
[RESUMO E PRÓXIMOS PASSOS - aprox. 1 minuto]
Deixe-me resumir tudo. Implementar a Purple como um Captive Portal externo em infraestrutura Aruba é um caminho de integração amplamente testado. Os passos principais são: configurar os seus servidores RADIUS com as credenciais da Purple, criar um perfil de Captive Portal externo a apontar para o URL do splash da Purple com WISPr ativado, criar o seu SSID de convidados com o tipo de splash External RADIUS Server e configurar o seu walled garden com os domínios principais da Purple e quaisquer domínios de fornecedores de login social que esteja a ativar.
A diferença do AOS-10 a reter é que a configuração do walled garden passa para as Access Rules em vez do separador WLAN Security.
Do ponto de vista empresarial, substituir o portal local básico da Aruba pela Purple oferece-lhe uma captura de dados em conformidade com o GDPR, análises de localização em tempo real, relatórios demográficos e automação de marketing - tudo a partir da mesma infraestrutura WiFi que já possui.
Para os seus próximos passos: obtenha as credenciais RADIUS do seu local Purple a partir do painel da Purple, siga a lista de verificação de configuração no guia escrito complementar e teste com um dispositivo dedicado antes de lançar para produção. Se estiver a implementar em vários locais, a consola de gestão multi-site da Purple permite-lhe gerir configurações de portais cativos, branding e análises em todo o seu património a partir de um único painel.
Obrigado por ouvir. O guia escrito completo, as tabelas de configuração e as listas de referência de walled garden estão disponíveis em purple dot ai. Até à próxima.
[FIM DO SCRIPT]
