Ver transcrição do podcast
ROTEIRO DE PODCAST: Integração de Access Points EnGenius Cloud com a Purple WiFi
Plataforma de Inteligência Purple WiFi - Série de Briefing Técnico
Duração: Aproximadamente 10 minutos
Voz: Inglês do Reino Unido, tom de consultor sénior - confiante, conversacional, autoritário
[INTRODUÇÃO - 1 MINUTO]
Bem-vindo à Série de Briefing Técnico da Purple. Hoje vamos abordar algo que surge regularmente em implementações empresariais: a integração de access points EnGenius Cloud com a plataforma de guest WiFi da Purple.
Se gere um parque EnGenius, quer sejam access points da série ECW num hotel, numa cadeia de retalho ou num edifício de escritórios multi-inquilino, e deseja adicionar um Captive Portal personalizado, recolher dados de visitantes primários (first-party) e impor uma segmentação de rede adequada, este briefing é para si.
Nos próximos dez minutos, quero guiar-se pelas quatro principais áreas de configuração: redirecionamento de Captive Portal de convidados, configuração de walled garden, WiFi seguro para colaboradores utilizando 802.1X e isolamento multi-inquilino utilizando EnGenius MyPSK com atribuição dinâmica de VLAN. No final, terá uma imagem clara de exatamente o que configurar, em que ordem e onde estão as armadilhas comuns.
Vamos a isso.
[APROFUNDAMENTO TÉCNICO - 5 MINUTOS]
Vamos começar com o Captive Portal de convidados, o ponto de partida mais comum para qualquer operador de espaço.
O EnGenius Cloud suporta páginas de portal (splash pages) externas nativamente. Isso significa que, em vez de alojar uma página de login básica no próprio access point, redireciona os convidados não autenticados para o portal alojado na cloud da Purple. É aqui que vivem a imagem de marca, a recolha de dados, a gestão de consentimento e a análise de dados.
Eis a sequência de configuração no EnGenius Cloud. Inicie sessão no seu painel de controlo do EnGenius Cloud e navegue até Configure, depois SSID. Selecione o seu SSID de convidados. No separador Wireless, defina o tipo de segurança para Open ou WPA2 PSK, dependendo da sua preferência. Open é o padrão para a maioria das implementações de guest WiFi. Em seguida, mude para o separador Captive Portal. Ative o Captive Portal e defina o Authentication Type para Custom RADIUS. Esta é a definição principal. Indica ao access point para encaminhar os pedidos de autenticação para um servidor RADIUS externo, que neste caso é o endpoint RADIUS na cloud da Purple.
Agora introduza os detalhes de RADIUS da Purple. O IP do servidor RADIUS principal é fornecido no seu painel de controlo Purple em Hardware Configuration. A porta de autenticação é UDP 1812. A porta de accounting é UDP 1813. Introduza o segredo partilhado (shared secret). A Purple gera-o para si, e este deve ter pelo menos 22 carateres misturando maiúsculas e minúsculas, números e símbolos. Defina o identificador NAS para corresponder ao nome do seu espaço ou a um identificador único que tenha definido na Purple.
Em seguida, aceda ao separador Splash Page. Selecione External Splash Page URL e introduza o URL do portal Purple. Este é o URL que a Purple fornece para o seu local específico. Quando um convidado se liga ao SSID e abre um navegador, o ponto de acesso intercepta o pedido e redireciona-o para este URL, transmitindo parâmetros que incluem o endereço MAC do cliente, o endereço MAC do AP e o URL original que o convidado estava a tentar aceder.
Agora o walled garden. Esta é a lista de domínios e endereços IP que os convidados podem aceder antes de se autenticarem. Sem ela, o próprio portal Purple não consegue carregar, porque o navegador do convidado não consegue aceder aos servidores da Purple. No EnGenius Cloud, o walled garden encontra-se em Captive Portal, depois Advanced Settings e, em seguida, Walled Garden. Tem de adicionar o domínio do portal Purple, os endpoints CDN da Purple e os endpoints de teste de captive portal do sistema operativo. Para dispositivos Apple, é captive.apple.com. Para Android, connectivitycheck.gstatic.com. Para Windows, msftconnecttest.com. Se falhar algum destes, os convidados nessas plataformas não verão o portal.
Se estiver a oferecer login social através do Google ou Facebook, também precisa de colocar na lista de permissões os endpoints OAuth desses fornecedores. O Google exige, no mínimo, accounts.google.com, oauth2.googleapis.com e apis.google.com. O Facebook exige www.facebook.com, graph.facebook.com e connect.facebook.net. A documentação de suporte da Purple fornece uma lista de walled garden atualizada para cada método de autenticação. Utilize-a como referência, pois estes domínios sofrem alterações.
Agora vamos passar para o WiFi seguro do pessoal utilizando 802.1X.
Este é um SSID separado. O tipo de segurança aqui é WPA2 Enterprise ou WPA3 Enterprise. No EnGenius Cloud, no separador SSID Wireless, selecione WPA2 Enterprise e escolha Custom RADIUS. Introduza os mesmos dados do servidor RADIUS. O endpoint RADIUS da Purple, porta 1812, e o segredo partilhado. A diferença em relação à configuração de convidados é que aqui não existe captive portal. Os dispositivos dos funcionários autenticam-se silenciosamente utilizando o protocolo IEEE 802.1X. O dispositivo apresenta um certificado ou nome de utilizador e palavra-passe ao servidor RADIUS, que os valida e devolve uma mensagem Access-Accept juntamente com atributos de atribuição de VLAN.
Os atributos RADIUS que geram a atribuição dinâmica de VLAN são Tunnel-Type definido como VLAN, Tunnel-Medium-Type definido como 802 e Tunnel-Private-Group-ID definido como o número da VLAN. Portanto, se a VLAN dos seus funcionários for a VLAN 20, o servidor RADIUS devolve o Tunnel-Private-Group-ID com o valor 20. O ponto de acesso EnGenius lê este atributo e coloca o dispositivo autenticado na VLAN 20 automaticamente. Isto significa que pode ter um único SSID a servir várias funções de funcionários, finanças, operações, TI, subempreiteiros, cada um a entrar numa VLAN diferente com base na sua pertença a um grupo de diretório, tudo sem qualquer configuração manual de VLAN por dispositivo.
Para o método EAP, o PEAP-MSCHAPv2 é a escolha mais comum para ambientes que utilizam Active Directory ou Microsoft Entra ID. Exige um certificado no lado do servidor no servidor RADIUS e credenciais de utilizador e palavra-passe no cliente. O EAP-TLS é mais seguro. Utiliza certificados em ambos os lados. Mas requer uma infraestrutura PKI e implementação de MDM para distribuir certificados pelos dispositivos. Para a maioria dos operadores de locais, o PEAP-MSCHAPv2 com validação estrita de certificados imposta através de Política de Grupo ou MDM é a escolha prática.
Agora, a parte tecnicamente mais interessante: EnGenius MyPSK e isolamento multi-tenant.
O MyPSK, também designado PPSK ou Private Pre-Shared Key, resolve um problema específico em ambientes multi-tenant. Num empreendimento de arrendamento residencial, num escritório partilhado ou numa residência de estudantes, pretende que cada inquilino ou residente tenha a sua própria palavra-passe de WiFi única. Mas não quer criar um SSID separado para cada inquilino. Isso cria congestionamento de radiofrequência e sobrecarga de gestão.
O MyPSK permite criar até 500 chaves pré-partilhadas exclusivas por SSID. Cada chave está associada a uma VLAN específica. Quando um residente se liga utilizando a sua chave exclusiva, o ponto de acesso coloca-o automaticamente na sua VLAN designada. O tráfego do Inquilino A nunca toca no segmento de rede do Inquilino B. A encriptação também é por utilizador. Cada chave gera uma Pairwise Master Key única, pelo que um inquilino não consegue decifrar o tráfego aéreo de outro inquilino, embora partilhem o mesmo SSID.
Na EnGenius Cloud, configura o MyPSK nas definições de segurança do SSID. Selecione WPA2 PSK ou WPA3 Personal e, em seguida, ative o MyPSK. Pode então criar PSKs individualmente ou gerar automaticamente lotes de até 50 de cada vez. Para cada PSK, atribui um ID de VLAN e, opcionalmente, define uma data de expiração. Quando um contrato de arrendamento termina ou um estudante se licencia, basta expirar ou eliminar a sua PSK. O acesso é revogado imediatamente sem afetar qualquer outro inquilino.
Para a integração com a Purple num ambiente MyPSK, os inquilinos virados para hóspedes continuam a poder ser direcionados através de um Captive Portal na sua VLAN. Os inquilinos operacionais e de pessoal ignoram totalmente o portal. A segmentação de VLAN garante que os dados analíticos da Purple são corretamente atribuídos por segmento de rede.
[IMPLEMENTATION RECOMMENDATIONS AND PITFALLS - 2 MINUTES]
Permita-me que lhe apresente a sequência de implementação que recomendo para uma primeira implementação limpa.
Comece com a sua arquitetura de VLAN antes de tocar na configuração de WiFi. Defina a VLAN 10 para convidados, a VLAN 20 para funcionários, a VLAN 30 para inquilinos ou qualquer numeração que se adapte ao seu esquema existente. Configure primeiro estas VLANs nos seus switches ECS, com as atribuições de porta de trunk e acesso adequadas. Os pontos de acesso precisam de receber tráfego etiquetado na porta de uplink para cada VLAN que planeia utilizar.
Depois, configure os SSIDs no EnGenius Cloud nesta ordem: o SSID de convidados primeiro, porque é o mais simples. Valide o redirecionamento do Captive Portal para a Purple antes de prosseguir. Depois, configure o SSID dos colaboradores com 802.1X. Teste com um dispositivo conhecido antes de implementar em toda a infraestrutura. Finalmente, configure o MyPSK se necessitar de isolamento multi-tenant.
Os erros mais comuns. Primeiro, o walled garden. Esta é a principal causa de falhas na implementação de Captive Portals. Se os convidados não conseguirem aceder ao portal, verifique primeiro o walled garden. Segundo, a divergência no segredo partilhado de RADIUS. O segredo partilhado deve ser idêntico na configuração do EnGenius Cloud e na configuração do servidor RADIUS da Purple. A diferença de um único caráter faz com que todas as autenticações falhem silenciosamente. Terceiro, a configuração de trunk de VLAN no switch. Se a porta do switch ECS que liga ao ponto de acesso não estiver configurada como trunk transportando todas as VLANs necessárias, a atribuição dinâmica de VLAN irá falhar. Quarto, a validação de certificados nos clientes 802.1X. Se os dispositivos dos colaboradores não estiverem configurados para validar o certificado do servidor RADIUS, ficam vulneráveis ao roubo de credenciais através de pontos de acesso falsificados. Imponha isto através de Política de Grupo para Windows e perfis de MDM para tudo o resto.
[PERGUNTAS E RESPOSTAS RÁPIDAS - 1 MINUTO]
Algumas perguntas que ouço regularmente sobre implementações da EnGenius e da Purple.
Posso usar o EnGenius Cloud RADIUS em vez do RADIUS da Purple? Sim, para autenticação interna. Mas para WiFi de convidados com as análises e o portal da Purple, precisa de apontar para o endpoint de RADIUS da Purple. Ambos podem coexistir em diferentes SSIDs.
O MyPSK funciona com WPA3? Sim. A EnGenius suporta WPA3 e o modo misto WPA2/WPA3 com MyPSK, para que os dispositivos compatíveis com WPA3 obtenham autenticação SAE enquanto os dispositivos mais antigos recorrem ao WPA2 PSK, tudo utilizando a mesma chave por utilizador.
A Purple suporta RADIUS accounting para dados de sessão? Sim. Ative o servidor de accounting na configuração RADIUS do EnGenius Cloud, apontando para o endpoint de accounting da Purple em UDP 1813. Isto envia a duração da sessão e o volume de dados para a ferramenta de análise da Purple.
[RESUMO E PRÓXIMOS PASSOS - 1 MINUTO]
Para resumir. Os pontos de acesso EnGenius Cloud integram-se de forma limpa com a plataforma de WiFi de convidados da Purple através de quatro camadas de configuração. O redirecionamento do Captive Portal de convidados utiliza RADIUS Personalizado e um URL de splash page externa a apontar para a Purple. A lista de permissões do walled garden garante que o portal carrega antes da autenticação. O WiFi dos colaboradores utiliza WPA2 Enterprise com 802.1X e atribuição dinâmica de VLAN através de atributos RADIUS. E o isolamento multi-tenant utiliza o EnGenius MyPSK para atribuir chaves únicas por utilizador associadas a VLANs específicas, com datas de expiração opcionais para acesso limitado no tempo.
A Purple opera em 80.000 locais e processou 440 milhões de inícios de sessão apenas em 2024. A plataforma possui certificação ISO 27001, está em conformidade com o GDPR e é agnóstica em termos de hardware, que é exatamente a razão pela qual funciona de forma limpa com a EnGenius em conjunto com a Cisco Meraki, HPE Aruba, Ruckus e o resto do ecossistema de hardware empresarial.
Se está pronto para implementar, comece com o guia de configuração de walled garden na documentação de suporte da Purple e, em seguida, configure o SSID no EnGenius Cloud. O guia passo a passo completo está disponível em purple.ai. Obrigado por ouvir.
