HPE Aruba Instant e WiFi de convidados: configuração do Captive Portal com a Purple

Bem-vindo a este briefing técnico sobre a integração do HPE Aruba ClearPass com a plataforma Purple WiFi. Sou o seu anfitrião e hoje vamos analisar em detalhe a arquitetura, as estratégias de implementação e os benefícios operacionais de combinar o robusto controlo de acesso à rede do ClearPass Policy Manager com as capacidades líderes de mercado da Purple em guest WiFi e análise de dados. Para gestores de TI, arquitetos de rede e CTOs que gerem espaços de grande escala - seja uma vasta cadeia de retalho, um estádio de alta densidade ou um complexo campus de saúde - disponibilizar um acesso sem fios seguro, segmentado e enriquecido com dados analíticos é fundamental. O ClearPass é excecional na aplicação de políticas baseadas no contexto e na autenticação 802.1X para dispositivos corporativos. No entanto, no que toca à ativação de convidados, Captive Portals e extração de dados analíticos de marketing acionáveis a partir dos visitantes, a Purple é a líder incontestável. A questão central que vamos responder hoje é: Como configurar o ClearPass para utilizar a Purple como Captive Portal, mantendo o ClearPass para NAC e atribuição dinâmica de VLAN baseada em funções? Vamos a isso. Primeiro, vamos estabelecer a arquitetura. Globalmente, a integração baseia-se em protocolos RADIUS padrão e em mecanismos de redirecionamento HTTP. Os seus controladores Aruba Mobility ou Instant Access Points transmitem o SSID de convidado. Quando um dispositivo não autenticado se liga, o controlador intercepta o tráfego HTTP e redireciona o browser do utilizador para o Captive Portal da Purple. Este redirecionamento é a primeira peça crítica a acertar. Agora, o utilizador autentica-se através da Purple. Pode ser um login social via Facebook ou Google, um formulário personalizado de e-mail e palavra-passe ou até mesmo OpenRoaming, onde a Purple atua como um fornecedor de identidade gratuito sob a licença Connect. Assim que a Purple valida o utilizador, envia uma mensagem RADIUS Access-Accept de volta através da cadeia para o controlador, que então concede o acesso à rede. Mas é aqui que o ClearPass se torna essencial. Em vez de o controlador Aruba comunicar diretamente com os servidores RADIUS da Purple, insere o ClearPass como um proxy RADIUS no meio. O controlador envia todos os pedidos RADIUS para o ClearPass. O ClearPass avalia o pedido e, se corresponder à sua política de encaminhamento de serviço de convidados, encaminha-o para os servidores RADIUS na nuvem da Purple. A Purple responde, e o ClearPass transmite essa resposta de volta ao controlador, mas, crucialmente, pode anexar os seus próprios atributos de política antes de o fazer. Esta arquitetura proxy oferece-lhe o melhor de dois mundos. O ClearPass mantém um registo de auditoria completo de cada evento de autenticação na sua rede, tanto corporativa como de convidados. Obtém uma interface única para operações de segurança. E a Purple gere a experiência do utilizador e os dados analíticos sem que tenha de substituir o seu investimento existente em NAC. Vamos falar sobre atribuição dinâmica de VLAN, porque é aqui que as coisas se tornam realmente poderosas - e onde a maioria das implementações enfrenta problemas se não houver cuidado. O ClearPass utiliza um conceito chamado Perfis de Atribuição e Perfis de Aplicação (Enforcement Profiles). Quando chega um pedido de autenticação, o ClearPass avalia o contexto: quem é o utilizador, qual o dispositivo que está a utilizar, que horas são e a partir de que localização se está a ligar. Com base nestes fatores, atribui um Perfil (Role). Para um convidado normal, poderá ser ROLE_GUEST. Para um VIP, poderá ser ROLE_VIP. Para um prestador de serviços, ROLE_CONTRACTOR. Este Perfil é depois mapeado para um Perfil de Aplicação, que define os atributos RADIUS específicos a devolver ao controlador Aruba. O atributo mais importante aqui é o Aruba-User-Role Vendor-Specific Attribute, ou VSA. Este atributo indica ao controlador exatamente em que perfil deve colocar o utilizador do lado da rede sem fios. No controlador Aruba, cada perfil é mapeado para uma VLAN específica e para um conjunto de políticas de firewall. Assim, ROLE_GUEST é mapeado para a VLAN 20, com acesso exclusivo à internet e um limite de largura de banda de 10 megabits por segundo. ROLE_VIP é mapeado para a VLAN 40, com um limite de 50 megabits. ROLE_IOT é mapeado para a VLAN 30, um segmento totalmente isolado sem acesso à internet, apenas com conectividade local para dispositivos inteligentes. Esta segmentação não é apenas uma boa prática - é um requisito de conformidade. Sob a norma PCI-DSS, qualquer rede que toque em dados de titulares de cartões deve ser isolada das redes de convidados. Ao abrigo do GDPR, é necessário ser capaz de demonstrar que os dados pessoais recolhidos através do portal de convidados são tratados de forma adequada e que o tráfego de convidados não pode atravessar a sua infraestrutura corporativa. Agora, permita-me apresentar um cenário do mundo real: uma grande cadeia hoteleira com 500 quartos em várias propriedades. Têm controladores Aruba em cada local, o ClearPass implementado centralmente e querem disponibilizar a Purple para WiFi de convidados. A implementação é estruturada da seguinte forma. Dois SSIDs por local: Hotel_Corp e Hotel_Guest. O Hotel_Corp utiliza 802.1X com certificados, autenticados contra o Active Directory através do ClearPass. O Hotel_Guest é um SSID aberto que aciona o Captive Portal da Purple. No ClearPass, criam dois Serviços. O Serviço Um corresponde ao Hotel_Corp e gere a autenticação 802.1X localmente. O Serviço Dois corresponde ao Hotel_Guest e utiliza uma Política de Encaminhamento RADIUS para encaminhar os pedidos para a Purple por proxy. A Política de Aplicação (Enforcement Policy) para o Serviço Dois devolve o Aruba-User-Role de guest-authenticated, que é mapeado para a VLAN 20 no controlador. Para dispositivos IoT - televisões inteligentes, termostatos, fechaduras de portas - utilizam um terceiro SSID, Hotel_IoT, com autenticação baseada em MAC. O ClearPass cria o perfil do dispositivo utilizando o seu OUI e atribui o ROLE_IOT, colocando-o na VLAN 30. O resultado? O pessoal obtém acesso corporativo total. Os convidados obtêm uma experiência de portal personalizada e cativante, com início de sessão social e opções de subscrição de marketing. Os dispositivos IoT estão isolados. E a equipa de TI tem total visibilidade sobre os três tipos de utilizadores no Access Tracker do ClearPass. Agora vamos falar sobre as armadilhas, porque existem várias que o podem surpreender se não estiver preparado. Número um: o walled garden. Esta é a fonte mais comum de falhas no Captive Portal. Antes de um dispositivo ser autenticado, o controlador Aruba apenas permite o tráfego para uma lista predefinida de destinos - o walled garden. Se o URL do portal da Purple, os seus endpoints de API de backend e os domínios do fornecedor de login social não estiverem nessa lista, o portal simplesmente não irá carregar. É necessário manter esta lista de forma proativa. Os fornecedores de login social como o Facebook e a Google alteram regularmente as suas gamas de IP e domínios de CDN. Trate o walled garden como uma configuração ativa. Número dois: tempos de limite de RADIUS. O tempo limite de RADIUS padrão na maioria dos controladores Aruba é de três segundos. Numa arquitetura de proxy, o pedido viaja do AP para o controlador, para o ClearPass, através da internet para o RADIUS na nuvem da Purple e de volta. Numa rede congestionada, essa viagem de ida e volta pode facilmente exceder os três segundos. Aumente o seu tempo limite para pelo menos dez segundos e configure a lógica de repetição. Número três: incompatibilidades de segredo partilhado. Isto causa falhas silenciosas que são notoriamente difíceis de diagnosticar. O segredo partilhado entre o controlador Aruba e o ClearPass deve coincidir exatamente. O segredo partilhado entre o ClearPass e os servidores RADIUS da Purple também deve coincidir exatamente. Uma diferença de um único caractere fará com que a autenticação falhe sem qualquer mensagem de erro útil para o utilizador final. Verifique sempre estes valores duas vezes. Número quatro: sensibilidade a maiúsculas e minúsculas no nome da função. O VSA Aruba-User-Role devolvido pelo ClearPass deve coincidir exatamente - incluindo maiúsculas - com o nome da função definida no controlador Aruba. Se o ClearPass devolver guest-authenticated mas o controlador tiver Guest-Authenticated definido, o utilizador voltará à função padrão, que normalmente é a função de início de sessão sem acesso à internet. Número cinco: faturação RADIUS. Muitas implementações configuram o proxying de autenticação corretamente, mas esquecem-se de fazer o proxying de faturação também. A Purple utiliza dados de faturação RADIUS para monitorizar a duração da sessão, a utilização de dados e para preencher os seus painéis de analítica. Se a faturação não estiver a fluir para a Purple, a sua analítica estará incompleta. Passemos para a secção de perguntas rápidas. Posso utilizar um único SSID tanto para colaboradores como para convidados? Sim, pode. Configure o ClearPass para lidar com 802.1X e MAC-Auth no mesmo SSID. Utilize Regras de Serviço para diferenciar o tipo de tráfego e encaminhar em conformidade. É mais complexo de gerir, mas reduz a proliferação de SSID. A Purple suporta Change of Authorisation? Sim. O CoA permite que o controlador atualize dinamicamente a sessão de um utilizador sem exigir que este se volte a ligar. Isto é útil para acessos com limite de tempo ou atualizações de escalão. Posso utilizar esta integração com o Aruba Instant em vez de um Mobility Controller completo? Sim, o Aruba Instant suporta servidores RADIUS externos e redirecionamento de Captive Portal. A configuração é ligeiramente diferente, mas os princípios são idênticos. Esta integração funciona com WPA3? Sim. O WPA3-SAE para redes pessoais e o WPA3-Enterprise para 802.1X são ambos suportados. Para redes de convidados que utilizam Captive Portals, o WPA3-SAE ou um SSID aberto com Opportunistic Wireless Encryption são as escolhas típicas. Para resumir o briefing de hoje. A integração do ClearPass e da Purple é uma arquitetura de proxy RADIUS. O ClearPass continua a ser o seu ponto central de decisão de políticas para todo o acesso à rede. A Purple lida com a experiência voltada para o convidado e com a análise de dados. O controlador Aruba aplica as políticas resultantes através da atribuição dinâmica de VLAN. Os três elementos de configuração mais críticos são o walled garden, os timeouts RADIUS e a consistência dos nomes de funções. Acerte nestes pontos e terá uma implementação de WiFi de convidados robusta, em conformidade e comercialmente valiosa. Obrigado por ouvir. Se quiser explorar isto mais a fundo, visite purple.ai para falar com um arquiteto de soluções sobre a sua implementação específica.