Integração do NETGEAR Insight e Access Points Enterprise com a Purple WiFi

Bem-vindo ao Briefing Técnico da Purple. Hoje estamos a cobrir um tema que surge constantemente nas nossas conversas com gestores de TI e arquitetos de rede em setores como hotelaria, retalho e espaços multi-inquilino: como integrar os access points NETGEAR Insight e a gama WAX com a Purple WiFi. Se gere um hotel, um parque de retalho, um centro de conferências ou um empreendimento de uso misto, este briefing é diretamente relevante para a sua próxima decisão de implementação. Vamos enquadrar o cenário. A gama WAX da NETGEAR — os WAX610, WAX620 e WAX630 — são access points WiFi 6 geridos através da plataforma cloud Insight. Suportam até oito SSIDs separados por rádio, encriptação WPA3 e até seis gigabits de débito no WAX630. Têm alimentação PoE, são instaláveis no teto e geridos a partir de um painel de controlo centralizado através do Insight Cloud Portal. Para um instalador de TI ou administrador de rede de PME, esta é uma plataforma genuinamente capaz a um preço bem abaixo do nível da Cisco Meraki ou HPE Aruba. A Purple é uma camada cloud independente de hardware. Posicionamo-nos acima da sua infraestrutura existente e adicionamos a camada de experiência do visitante, a camada de captura de dados e a camada de analytics. Processámos 440 milhões de logins em 2024 em 80.000 locais ativos. A integração com o NETGEAR Insight é limpa e está bem documentada, cobrindo quatro casos de utilização distintos que iremos analisar hoje. Agora, vamos entrar na análise técnica detalhada. Os quatro casos de utilização são: Guest WiFi com um Captive Portal da Purple, Staff WiFi Seguro usando 802.1X, segmentação Multi-Inquilino usando a funcionalidade PPSK da NETGEAR e atribuição dinâmica de VLAN via RADIUS para Redes Baseadas em Identidade. Caso de utilização um: Guest WiFi com um Captive Portal da Purple. Este é o ponto de partida mais comum. Cria um SSID dedicado para Convidados no NETGEAR Insight e configura-o como uma rede aberta. A configuração fundamental está na secção do Captive Portal nas definições do SSID. Seleciona External Captive Portal e cola o URL da Splash Page fornecido pela Purple. De seguida, configura o tipo de autenticação. Para a maioria das implementações da Purple, irá selecionar a autenticação RADIUS. A Purple fornece-lhe um endereço IP do servidor RADIUS principal, a porta 1812 para autenticação e a porta 1813 para contabilização (accounting), bem como um segredo partilhado. Cola estes dados na configuração do External Captive Portal do NETGEAR Insight. Define também um NAS Identifier — uma string que identifica este access point ou localização específica perante o servidor RADIUS. Utilize algo identificativo, como o nome do seu espaço e o código de localização. O walled garden é o elemento que mais complica o trabalho dos instaladores. Antes de um convidado se autenticar, o seu dispositivo necessita de conseguir aceder à splash page da Purple, aos servidores de autenticação e a quaisquer fornecedores de login social que tenha ativado. O NETGEAR Insight possui uma secção dedicada ao Walled Garden na configuração do External Captive Portal, onde adiciona estes URLs. A documentação de suporte da Purple fornece a lista exata de domínios a incluir na whitelist. Se errar este passo, os convidados verão uma página em branco em vez do seu portal personalizado. Uma vez configurado, o fluxo funciona da seguinte forma: um convidado liga-se ao SSID Hotel Guest. O ponto de acesso intercepta o seu primeiro pedido HTTP e redireciona-o para a splash page da Purple. O convidado vê o seu portal personalizado, aceita os termos e, opcionalmente, faculta o seu endereço de email ou inicia sessão através das redes sociais. O servidor RADIUS da Purple envia uma mensagem de Access-Accept de volta para o ponto de acesso, sendo então concedido ao convidado o acesso à internet. A Purple regista os dados de consentimento, inicia a sessão e esses dados fluem diretamente para o seu painel de analítica da Purple. Segundo caso de utilização: WiFi seguro para colaboradores utilizando 802.1X. É aqui que deixa de utilizar totalmente as palavras-passe partilhadas. Para redes de colaboradores, uma chave pré-partilhada é um risco de segurança — quando um colaborador se demite, é necessário alterar a palavra-passe para todos. O 802.1X, definido na norma IEEE 802.1X, atribui a cada utilizador uma credencial individual. Quando estes saem, basta desativar a sua conta no seu diretório e o acesso é revogado instantaneamente. No NETGEAR Insight, configura um SSID de colaboradores separado com segurança WPA2 Enterprise. Isto indica ao ponto de acesso para utilizar a autenticação 802.1X em vez de uma chave pré-partilhada. Em seguida, configura as definições do servidor RADIUS ao nível da localização da rede. Aceda às definições de localização de rede, selecione RADIUS, ative a Autenticação de Acesso 802.1X e introduza o IP do seu servidor RADIUS, a porta e o segredo partilhado. O intervalo predefinido de nova autenticação é de 3.600 segundos — uma hora — o que representa um ponto de partida razoável para a maioria dos locais. O método EAP mais comum em implementações de PME é o PEAP-MSCHAPv2, que utiliza um certificado do lado do servidor para criar um túnel encriptado dentro do qual o utilizador se autentica com o seu nome de utilizador e palavra-passe do Active Directory. O EAP-TLS é mais seguro — utiliza certificados em ambos os lados — mas requer uma infraestrutura PKI e um MDM para instalar os certificados nos dispositivos. Um ponto fundamental: exija a validação de certificados em todos os dispositivos cliente. Configure os seus dispositivos Windows através de Objetos de Política de Grupo (GPO) e os seus dispositivos móveis através de perfis MDM para validar o certificado do servidor RADIUS. Se ignorar este passo, os dispositivos ficarão vulneráveis a ataques de pontos de acesso falsos, nos quais um atacante apresenta um certificado falso e captura as credenciais. Caso de uso três: NETGEAR PPSK for locais multi-inquilino. A Private Pre-Shared Key resolve um problema específico em parques comerciais, empreendimentos de uso misto e espaços de co-working. Tem múltiplos inquilinos a partilhar a mesma infraestrutura física de WiFi. Não quer executar SSIDs separados para cada inquilino - isso cria congestão de radiofrequência e complexidade de gestão. Mas também não pode dar a todos a mesma palavra-passe, porque senão o Inquilino A consegue ver o tráfego do Inquilino B. A PPSK resolve isto elegantemente. Cria um único SSID e cria múltiplas chaves pré-partilhadas no NETGEAR Insight em Wireless, Settings, Advanced, Multi PSK Settings. Cada chave está associada a uma VLAN específica. O Inquilino A recebe uma palavra-passe única de 16 caracteres que mapeia para a VLAN 30. O Inquilino B recebe uma palavra-passe diferente que mapeia para a VLAN 40. A equipa de gestão do local recebe uma terceira palavra-passe que mapeia para a VLAN 20, que tem acesso aos sistemas de gestão. Quando os dispositivos do Inquilino A se ligam usando a sua palavra-passe, o ponto de acesso coloca-os automaticamente na VLAN 30. Eles não conseguem ver qualquer tráfego na VLAN 40 ou VLAN 20. Do ponto de vista de um inquilino, eles apenas têm uma palavra-passe de WiFi. Do seu ponto de vista como administrador de rede, tem isolamento completo de tráfego entre inquilinos com zero hardware adicional. Existem duas limitações importantes a conhecer. Primeiro, a PPSK no NETGEAR Insight requer encriptação WPA2 Personal ou WPA2 Personal Mixed. Não funciona na banda de 6 GHz. Segundo, a PPSK não pode ser combinada com Captive Portal no mesmo SSID. Se precisar de ambos, necessita de dois SSIDs separados - o que não é problema, porque os pontos de acesso da série WAX suportam até oito. Caso de uso quatro: atribuição dinâmica de VLAN via RADIUS. Esta é a configuração mais sofisticada e aquela que serve de base à capacidade de Redes Baseadas em Identidade da Purple. Em vez de atribuir estaticamente uma VLAN a uma palavra-passe ou a um SSID, deixa que o servidor RADIUS decida qual VLAN atribuir com base em quem se está a autenticar. O mecanismo utiliza três atributos RADIUS padrão: Tunnel-Type, que deve ser definido com o valor 13 para VLAN; Tunnel-Medium-Type, que deve ser definido com o valor 6 para IEEE 802; e Tunnel-Private-Group-ID, que transporta o ID da VLAN como uma string. Quando um utilizador se autentica com sucesso, o servidor RADIUS devolve estes três atributos na mensagem Access-Accept. O ponto de acesso lê-os e coloca o cliente na VLAN especificada. Na prática, isto significa que pode ter um único SSID WPA2 Enterprise onde o gerente de um hotel se autentica e vai parar à VLAN 20 com acesso aos sistemas de gestão da propriedade, um recepcionista autentica-se e vai parar à VLAN 21 apenas com acesso ao sistema de check-in, e um prestador de serviços autentica-se e vai parar à VLAN 50 apenas com acesso à internet. Tudo a partir do mesmo SSID, tudo aplicado automaticamente pelo servidor RADIUS com base na pertença a grupos do Active Directory. Agora vamos falar sobre recomendações de implementação e armadilhas. A primeira armadilha é o walled garden. Toda a implementação de Captive Portal externa falha no walled garden pelo menos uma vez. O sintoma consiste em os convidados ligarem-se ao SSID mas visualizarem um erro de navegador em vez da splash page. A correção é metódica: abra a documentação de suporte da Purple, copie todos os domínios na lista de walled garden e cole-os na secção Walled Garden do NETGEAR Insight. Teste com um dispositivo que não tenha credenciais em cache. A segunda armadilha é a acessibilidade RADIUS. O ponto de acesso NETGEAR precisa de alcançar o seu servidor RADIUS. O RADIUS utiliza a porta UDP 1812 para autenticação e a porta UDP 1813 para contabilização (accounting). Abra essas portas do IP de gestão do ponto de acesso para o IP do servidor RADIUS. Teste com uma ferramenta de teste RADIUS antes de entrar em produção. A terceira armadilha é o conflito entre PPSK e Captive Portal. O NETGEAR Insight não permite PPSK e Captive Portal no mesmo SSID. Se precisar de ambos, crie dois SSIDs. Dê-lhes nomes claros - um para utilizadores PPSK e outro para os convidados do Captive Portal. A quarta armadilha é a validação de certificados em clientes 802.1X. Cada dispositivo Windows precisa de um Group Policy Object que especifique a Autoridade de Certificação fidedigna e o nome do servidor RADIUS esperado. Cada dispositivo móvel precisa de um perfil MDM com as mesmas configurações. Sem isto, um utilizador poderia, sem saber, autenticar-se num ponto de acesso não autorizado e entregar as suas credenciais de Active Directory. Agora, uma sessão rápida de perguntas e respostas. Pergunta um: Posso utilizar a Purple com o NETGEAR Insight sem um servidor RADIUS? Sim, para implementações de Captive Portal de convidados, pode utilizar o modo de autenticação web da Purple em vez do RADIUS. O ponto de acesso redireciona para a splash page via HTTP, e a Purple lida com a autenticação através de uma sessão web. O RADIUS oferece-lhe mais controlo e melhores dados de contabilização, mas não é obrigatório para implementações básicas de portal de convidados. Pergunta dois: Quantas chaves PPSK posso criar no NETGEAR Insight? O NETGEAR Insight suporta até 64 chaves PPSK por SSID em pontos de acesso da série WAX. Para a maioria dos locais multi-inquilino, isto é mais do que suficiente. Se tiver mais de 64 inquilinos, precisará de migrar para uma solução de VLAN dinâmica baseada em RADIUS. Pergunta três: O NETGEAR Insight suporta WPA3 Enterprise para 802.1X? Sim, os pontos de acesso da série WAX suportam WPA3 Enterprise. Para a maioria das implementações em PMEs, o WPA2 Enterprise é suficiente e tem maior compatibilidade com dispositivos clientes. Vale a pena considerar o WPA3 Enterprise para ambientes que lidam com dados sensíveis, como serviços de saúde ou financeiros. Pergunta quatro: O que acontece se o servidor RADIUS da Purple estiver inacessível? O NETGEAR Insight suporta uma opção de failsafe na configuração do Captive Portal externo. Se ativar o failsafe, é concedido acesso à internet aos convidados por um curto período, mesmo que os servidores do Captive Portal estejam inacessíveis. A Purple mantém 99,999% de tempo de atividade em toda a nossa infraestrutura, mas ativar o failsafe é uma boa prática para qualquer implementação em produção. Para resumir as principais conclusões do briefing de hoje. Os pontos de acesso da série NETGEAR WAX integram-se com a Purple através do mecanismo de Captive Portal externo no NETGEAR Insight. Configura o URL da página de splash, as credenciais do servidor RADIUS e os domínios de walled garden no Portal Cloud Insight. Para redes de colaboradores, utilize WPA2 Enterprise com 802.1X e force a validação de certificados em cada dispositivo cliente. Para locais com múltiplos inquilinos, a funcionalidade PPSK da NETGEAR oferece isolamento de VLAN por inquilino a partir de um único SSID com até 64 chaves exclusivas. Para as implementações mais sofisticadas, a atribuição dinâmica de VLAN através de atributos RADIUS proporciona-lhe uma segmentação de rede baseada na identidade que se adapta a quem se está a ligar, e não apenas a partir de onde se está a ligar. Se está a planear uma implementação da NETGEAR com a Purple, o passo seguinte consiste em solicitar as suas credenciais RADIUS da Purple e a lista de domínios de walled garden à equipa de suporte da Purple, bem como testar o redirecionamento do Captive Portal num SSID de teste antes de avançar para a produção. A configuração demora menos de 30 minutos depois de ter essas credenciais em mãos. Obrigado por ouvir o Briefing Técnico da Purple. Para aceder ao guia escrito completo, incluindo detalhes de configuração passo a passo e exemplos práticos, visite purple.ai.