Três SSIDs para governar todos: guia de configuração de WiFi para convidados, Passpoint e IoT

Bem-vindo à série de briefings técnicos da Purple. Hoje estamos a abordar o design de WiFi com três SSIDs - uma arquitetura de rede que consolida o acesso de convidados, o onboarding automatizado seguro e a gestão de dispositivos IoT sob três redes sem fios personalizadas. Se gere WiFi num hotel, num espaço de retalho, num estádio ou num centro de conferências, este é o design que deve implementar em 2025 e no futuro. [medium pause] Deixe-me primeiro contextualizar. A maioria dos locais que encontramos ainda funciona, na melhor das hipóteses, com dois SSIDs - uma rede de convidados e algo vagamente chamado de rede de funcionários. O problema é que essas duas redes acabam por suportar tudo. Os terminais de pagamento situam-se no mesmo segmento que os smartphones dos convidados. Os prestadores de serviços ligam-se ao mesmo SSID que a sua sinalização digital. Os sensores IoT partilham largura de banda com visitantes a transmitir vídeo. Isso não é uma postura de segurança. É um risco. O design de três SSIDs resolve isto ao dar a cada classe de dispositivo e utilizador a sua própria rede dedicada, a sua própria VLAN e o seu próprio método de autenticação. Três SSIDs. Três VLANs. Uma arquitetura de segurança coerente. [medium pause] Vamos analisar cada um deles. O SSID número um é o seu WiFi de Convidados aberto. Esta é a tradicional rede de Captive Portal - aquela que os seus visitantes veem quando abrem o telemóvel e se ligam. É aberta, o que significa que não há chave pré-partilhada, porque deseja zero fricção no momento da ligação. A autenticação acontece na camada do portal. O visitante liga-se, é redirecionado para uma página de boas-vindas, aceita os termos de serviço e, opcionalmente, fornece um endereço de e-mail ou número de telefone. Esse é o seu opt-in de escolha consciente para conformidade com o GDPR. A plataforma da Purple lida com isto de forma nativa - o portal recolhe dados primários, regista o carimbo de data/hora (timestamp) do consentimento e mapeia a sessão para a VLAN 10, que é o seu segmento de convidados. A VLAN 10 obtém apenas acesso à Internet. Não consegue aceder aos seus sistemas POS, aos seus servidores de back-office ou a qualquer outro recurso interno. As regras de firewall impõem isso na periferia. Do ponto de vista da conformidade, este SSID faz o trabalho pesado. O GDPR exige que registe o consentimento, a base legal para o processamento e o carimbo de data/hora. A Purple regista tudo isso de forma automática. Se estiver num local abrangido pelo PCI DSS - um hotel com terminais de pagamento no quarto, por exemplo - o SSID de convidados deve estar completamente isolado de qualquer ambiente de dados de titulares de cartões. A segmentação de VLAN com uma política de firewall inter-VLAN consegue isso. [medium pause] O SSID número dois é a sua rede Passpoint, também conhecida como Hotspot 2.0. É aqui que o design se torna genuinamente interessante. O Passpoint é um padrão IEEE 802.11u que permite que um dispositivo descubra, autentique e se ligue automaticamente a uma rede WiFi sem qualquer interação do utilizador. Sem portal. Sem solicitação de palavra-passe. O dispositivo negoceia a autenticação em segundo plano usando EAP - Extensible Authentication Protocol - e liga-se de forma encriptada a partir do primeiro pacote. Como é que um dispositivo sabe que se deve ligar? Tem um perfil Passpoint instalado. Com a Purple, esse perfil é entregue através da app Purple ou através de um SDK que incorpora na sua própria app de marca. Quando um visitante que regressa entra no seu espaço, o seu dispositivo vê o seu SSID Passpoint a transmitir uma resposta ANQP, compara-a com o perfil instalado e liga-se automaticamente. Todo o processo demora menos de dois segundos. O utilizador nunca toca no telemóvel. O fluxo de autenticação utiliza EAP-TLS ou EAP-TTLS com PEAP, dependendo da sua configuração. O dispositivo apresenta uma credencial ao seu servidor RADIUS - a Purple funciona como esse servidor RADIUS na nuvem - e o servidor devolve um RADIUS Access-Accept com um atributo de atribuição de VLAN. Esse atributo indica ao ponto de acesso em que VLAN deve colocar essa sessão. Assim, um utilizador de uma app de fidelização pode aceder à VLAN 20, que tem acesso à sua plataforma de fidelização e a conteúdos mais ricos. Um membro da equipa que utilize o mesmo SSID Passpoint com uma credencial diferente acede à VLAN 30, que tem acesso aos sistemas internos. Um único SSID. Atribuição dinâmica de VLAN. Política aplicada por identidade. [medium pause] O SSID número três é a sua rede xPSK. xPSK é um termo genérico que abrange iPSK, PPSK, DPSK e MPSK - todas variações do mesmo conceito de chaves pré-partilhadas por dispositivo ou por grupo. A ideia é simples: em vez de uma única palavra-passe partilhada para os seus dispositivos IoT e prestadores de serviços, cada dispositivo ou grupo recebe a sua própria chave exclusiva. Essa chave mapeia para uma VLAN específica. Quando um terminal de pagamento se liga com a sua chave, acede à VLAN 40, que é a sua rede de pagamentos no âmbito do PCI. Quando um reprodutor de sinalização digital se liga com a sua chave, acede à VLAN 50, que tem acesso ao seu servidor de gestão de conteúdos, mas a mais nada. Quando um prestador de serviços se liga com uma chave temporária, acede à VLAN 60, que tem acesso à Internet e a nada interno. Quando revoga a chave desse prestador de serviços, este é desligado da rede imediatamente. Não é necessária qualquer alteração de palavra-passe em todos os dispositivos. O mecanismo por trás do xPSK varia consoante o fabricante. Na Cisco Meraki, chama-se iPSK - Identity PSK - e funciona via RADIUS. Na HPE Aruba, o equivalente é o MPSK, também gerido por RADIUS. A Ruckus chama-lhe DPSK - Dynamic PSK. A Juniper Mist utiliza PPSK com atribuição dinâmica de VLAN através do painel de controlo na nuvem da Mist. A Ubiquiti UniFi suporta o Network Access Control com atribuição de VLAN por cliente em versões de firmware recentes. A Purple integra-se com todas estas cinco plataformas como fornecedor de RADIUS na nuvem. [medium pause] Agora vamos falar sobre a sequência de implementação. A ordem é importante. Comece com a conceção da sua VLAN antes de tocar na configuração sem fios. Defina as suas VLANs primeiro na camada do switch. Configure a sua política de encaminhamento inter-VLAN e bloqueie-a na firewall antes de qualquer dispositivo se ligar. Este é o erro mais comum que vemos: as equipas configuram primeiro a rede sem fios e depois tentam adaptar a segmentação da VLAN. Faça-o ao contrário. Segundo, configure o seu servidor RADIUS. Na plataforma da Purple, navegue até à secção de configuração RADIUS, gere as credenciais do seu servidor e tome nota dos endereços IP primário e secundário, da porta de autenticação - normalmente 1812 - e do segredo partilhado. Terceiro, crie os seus SSIDs. Para o SSID de convidados, defina a segurança como aberta, ative o redirecionamento de Captive Portal e aponte o URL de redirecionamento para o seu portal Purple. Para o SSID Passpoint, ative o 802.11u e configure os seus elementos ANQP - o seu NAI Realm, o seu Roaming Consortium OI se estiver a participar no OpenRoaming, e as informações do seu local. Defina WPA2-Enterprise ou WPA3-Enterprise como o tipo de segurança. Para o SSID xPSK, configure as definições MPSK ou DPSK específicas do fornecedor e aponte a autenticação para o endpoint RADIUS da Purple. Quarto, configure o seu walled garden para o SSID de convidados. Inclua os domínios de portal da Purple, o seu resolvedor de DNS e os endpoints de deteção de Captive Portal que o iOS e o Android utilizam - o captivedetect.apple.com da Apple e o connectivitycheck.gstatic.com do Google. [medium pause] Dois exemplos do mundo real. Um hotel de 350 quartos no centro de Londres implementou esta arquitetura em 28 pontos de acesso com hardware HPE Aruba. Antes da implementação, os terminais de pagamento partilhavam um segmento de rede com dispositivos de convidados - uma falha de conformidade PCI. A reestruturação para três SSIDs moveu os terminais de pagamento para uma VLAN dedicada, com regras de firewall que permitiam apenas tráfego HTTPS de saída para o processador de pagamentos. A auditoria PCI foi aprovada no ciclo seguinte. O registo de dados de convidados aumentou 34% nos primeiros três meses porque a experiência do portal foi mais rápida e o fluxo de aceitação foi mais simples. Uma cadeia de retalho com 80 lojas em todo o Reino Unido reduziu o número de SSIDs por loja de uma média de 4,2 para três. Os terminais EPOS e a sinalização digital foram movidos para o SSID xPSK com chaves por dispositivo geridas centralmente através da Purple. O pessoal foi movido para um SSID Passpoint utilizando as suas credenciais Microsoft Entra ID via EAP-TTLS. A equipa de TI reportou uma redução de 60% nos pedidos de suporte relacionados com WiFi no primeiro trimestre após o lançamento. [medium pause] Alguns erros de implementação a evitar. Configuração do tempo limite do RADIUS: se os seus pontos de acesso não conseguirem contactar o servidor RADIUS da Purple dentro do tempo limite configurado, rejeitarão a ligação. Configure sempre os endereços do servidor RADIUS primário e secundário. Etiquetagem de VLAN em portas trunk: cada porta de uplink do ponto de acesso deve ser configurada como trunk, transportando todas as VLANs que os seus SSIDs utilizam. Um erro comum é configurar a VLAN no controlador, mas esquecer-se de a adicionar ao trunk na porta do switch. Configuração de ANQP Passpoint: a lista NAI Realm deve coincidir exatamente com a que consta do perfil Passpoint instalado no dispositivo. Uma divergência fará com que os dispositivos ignorem a sua rede durante a deteção. Teste com um dispositivo de bom funcionamento conhecido antes de implementar em produção. Rotação de chaves xPSK: as chaves de prestadores de serviços devem ter uma data de expiração definida no aprovisionamento. O painel da Purple permite-lhe revogar chaves individuais sem afetar qualquer outro dispositivo na rede. [medium pause] Perguntas rápidas. Posso executar os três SSIDs no mesmo access point? Sim. Mantenha a contagem total de SSIDs por access point em seis ou menos para minimizar a sobrecarga de beacons. O Passpoint requer uma aplicação específica? Com a Purple, requer a aplicação Purple ou um SDK integrado na sua própria aplicação de marca. O SDK lida com o aprovisionamento de perfis silenciosamente em segundo plano. O xPSK está em conformidade com o PCI para terminais de cartões? Sim, desde que a VLAN que transporta o tráfego dos dispositivos de pagamento esteja devidamente segmentada e as regras de firewall restrinjam o tráfego apenas ao que o processador de pagamentos exige. O que acontece se um portal de SSID de convidados falhar? Configure um redirecionamento de contingência ou uma splash page local no controlador do access point. A plataforma da Purple funciona com 99,999% de tempo de atividade, mas uma configuração de prevenção dupla é sempre uma boa prática. [medium pause] Em resumo. O design de três SSIDs oferece-lhe uma rede de convidados com um Captive Portal em conformidade para captação de dados, uma rede Passpoint para integração segura e automatizada através da aplicação Purple ou SDK com atribuição dinâmica de VLAN, e uma rede xPSK que consolida dispositivos IoT, terminais de cartões, sinalização digital, prestadores de serviços e BYOD sob chaves por dispositivo mapeadas para VLANs específicas. O resultado é uma postura de segurança mais limpa, uma melhor experiência para o visitante e uma rede genuinamente gerível em escala. Comece com o design da sua VLAN, configure o RADIUS, crie os seus SSIDs e defina o seu walled garden. A equipa de integração da Purple pode orientá-lo na configuração para a sua plataforma de hardware específica. O guia escrito completo está disponível em purple.ai. Procure por "three SSIDs to rule them all" para obter a referência de configuração passo a passo com detalhes específicos de fabricantes para Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e Ubiquiti UniFi. Obrigado por ouvir.