Fortinet FortiAP und Gäste-WiFi: Captive Portal-Einrichtung mit Purple

Willkommen zum Purple Architecture Briefing. Heute befassen wir uns mit einer kritischen Integration für Unternehmensnetzwerke: der Bereitstellung von Purple WiFi neben einer Fortinet-Infrastruktur, speziell FortiAP Access Points und FortiGate Firewalls. Wenn Sie IT-Manager, Netzwerkarchitekt oder CTO sind und einen Veranstaltungsort verwalten - sei es eine Einzelhandelskette, ein Stadion oder ein Krankenhaus - ist diese Sitzung darauf ausgelegt, Ihnen den direkt umsetzbaren Entwurf zu liefern, um diese beiden leistungsstarken Plattformen nahtlos miteinander zu verbinden. Lassen Sie uns den Kontext herstellen. Fortinet ist bekannt für seine robuste Sicherheitsarchitektur. FortiGate Unified Threat Management-Appliances bieten eine tiefgehende Layer-7-Verkehrsinspektion. Wenn es jedoch um Gäste-WiFi geht, wollen Sie nicht nur Sicherheit - Sie wollen geschäftlichen Mehrwert. Sie möchten demografische Daten erfassen, das Besucherverhalten verstehen und den Marketing-ROI steigern. Genau hier kommt Purple ins Spiel. Durch die Integration von Purple als externes Captive Portal verlagern Sie die anspruchsvolle Verwaltung von Gäste-Identitäten, GDPR-Einwilligungen und Social Logins in die Cloud-RADIUS von Purple, während die FortiGate das tut, was sie am besten kann: den Perimeter sichern. Wie genau funktioniert das also unter der Haube? Gehen wir ins technische Detail. Die Architektur basiert auf Standard-RADIUS-Protokollen und HTTP-Weiterleitungen. Wenn sich ein Geräte eines Gastes mit Ihrem offenen Gäste-SSID verbindet, das vom FortiAP ausgestrahlt wird, fängt die FortiGate diese erste Webanfrage ab. Anstatt eine einfache, lokal gespeicherte Portalseite bereitzustellen, leitet die FortiGate den Client auf die in der Cloud gehostete Splash Page von Purple weiter. Hier ist nun das entscheidende Konzept: der Walled Garden. Während dieser Vorauthentifizierungsphase hat der Gast keinen Internetzugang. Er muss jedoch die Portal-Grafiken laden und möglicherweise Facebook oder Google erreichen, um sich anzumelden. Der Walled Garden ist eine strikte Freigabeliste (Allowlist), die auf der FortiGate konfiguriert ist und den Datenverkehr zu diesen spezifischen Domains zulässt. Sobald sich der Benutzer authentifiziert, sendet die Plattform von Purple eine RADIUS Access-Accept-Nachricht zurück an die FortiGate. Die FortiGate legt dann den Schalter um, ändert den Sitzungsstatus auf authentifiziert und leitet den Benutzer in Ihre Post-Authentication-Firewall-Richtlinie weiter. Lassen Sie uns die RADIUS-Konfiguration genauer besprechen, denn hier kommt es auf Präzision an. Purple stellt Ihnen zwei Sätze von RADIUS-Anmeldedaten zur Verfügung: einen für die Authentifizierung auf Port 1812 und einen für das Accounting auf Port 1813. Beide müssen konfiguriert werden. Der Accounting-Server ist nicht optional. Über diesen Mechanismus meldet die FortiGate Sitzungsdaten - wie Dauer, verbrauchte Bandbreite und Sitzungsbeendigungsereignisse - an Purple zurück. Ohne genaue Accounting-Daten zeigt Ihr Purple-Analyse-Dashboard unvollständige oder ungenaue Besuchermetriken an. Stellen Sie Ihr Accounting-Interim-Intervall auf 120 Sekunden ein. Dies bietet ein ausgewogenes Verhältnis zwischen Echtzeittransparenz und Netzwerk-Overhead. Ein sehr häufiges Szenario betrifft den FortiAuthenticator. Viele Unternehmen nutzen den FortiAuthenticator für ihr Mitarbeiter-WiFi - unter Verwendung von 802.1X und PEAP, um Unternehmensgeräte gegenüber dem Active Directory zu authentifizieren. Die Frage ist immer: Kann ich meinen FortiAuthenticator für Mitarbeiter behalten und Purple für Gäste nutzen? Die Antwort lautet absolut ja, und die Faustregel lautet hier strenge Trennung. Sie behalten Ihre Mitarbeiter-SSID bei, die auf den FortiAuthenticator verweist. Sie erstellen eine völlig separate, offene SSID für Gäste, die auf das externe Captive Portal von Purple und das Cloud-RADIUS verweist. Das FortiGate leitet die Authentifizierungsanfragen basierend auf der SSID weiter. Die Mitarbeiteridentität verbleibt mit dem FortiAuthenticator vor Ort. Die Gästeidentität geht in die Purple Marketing-Cloud. Null Überschneidung, maximale Sicherheit. Diese Architektur hat auch einen erheblichen Compliance-Vorteil. Gemäß den PCI-DSS-Anforderungen müssen Gast-WiFi-Netzwerke vollständig von jedem Netzwerksegment isoliert sein, das Karteninhaberdaten verarbeitet. Indem Sie die Gäste-SSID in ein dediziertes VLAN legen und strenge Firewall-Richtlinien auf dem FortiGate erzwingen, um alle privaten RFC 1918-IP-Adressräume zu blockieren, erfüllen Sie diese Anforderung auf saubere Weise. Kommen wir nun zu den Implementierungsempfehlungen. Wenn Sie dies einrichten, müssen Sie eine wichtige Entscheidung bezüglich der IP-Zuweisung treffen: NAT-Modus im Vergleich zum Bridge-Modus. Wenn Sie eine kleine Einzelhandelsfiliale mit vielleicht fünfzig bis hundert gleichzeitigen Gästeverbindungen einrichten, ist der NAT-Modus völlig ausreichend. Das FortiGate verteilt DHCP-Adressen an Gäste aus einem dedizierten internen Subnetz und übersetzt diese, sobald der Datenverkehr die Firewall verlässt. Es ist einfach und erfordert eine minimale zusätzliche Infrastruktur. Wenn Sie jedoch eine Umgebung mit hoher Dichte bereitstellen - beispielsweise ein Hotel mit fünfhundert Zimmern, ein Konferenzzentrum mit mehreren gleichzeitigen Veranstaltungen oder ein Stadion -, müssen Sie den Bridge-Modus verwenden. Im Bridge-Modus leitet der FortiAP den Gästeverkehr direkt an ein dediziertes VLAN weiter, sodass Ihre Core-Enterprise-DHCP-Server die Last bewältigen können. Dies verhindert, dass das FortiGate bei Spitzenverbindungsereignissen zu einem DHCP-Engpass wird. Der Bridge-Modus stellt außerdem sicher, dass die Purple-Plattform die tatsächliche Client-IP-Adresse sieht, was für eine genaue Analyse und Fehlerbehebung von entscheidender Bedeutung ist. Lassen Sie uns über die schrittweise Konfigurationsreihenfolge sprechen, da die Reihenfolge hier eine Rolle spielt. Beginnen Sie im Purple-Portal. Rufen Sie Ihre RADIUS-Server-Anmeldedaten ab - die Server-IP-Adressen, Shared Secrets, die Captive Portal-URL und die Weiterleitungs-URL. Dies sind die vier kritischen Informationen, die Sie benötigen, bevor Sie die Fortinet-Konfiguration anpassen. Wechseln Sie dann zum FortiCloud-Dashboard oder Ihrer FortiGate-Verwaltungsoberfläche. Definieren Sie zuerst Ihre RADIUS-Server - Authentifizierung auf 1812, Accounting auf 1813. Erstellen Sie dann Ihre Gäste-SSID, stellen Sie die Authentifizierung auf "Open", aktivieren Sie das External Captive Portal und geben Sie die URL des Purple-Portals sowie die Weiterleitungs-URL ein. Konfigurieren Sie Ihren Walled Garden. Und definieren Sie schließlich Ihre Firewall-Richtlinie nach der Authentifizierung mit Ihren UTM-Profilen. Was sind die Fallstricke? Wo gehen Implementierungen normalerweise schief? Das Problem Nummer eins ist ohne Frage ein unvollständiger Walled Garden. Wenn ein Gast eine Verbindung herstellt und einen leeren Bildschirm oder ein Verbindungs-Timeout erhält, bedeutet dies fast immer, dass die FortiGate den Zugriff auf die CSS-Dateien, JavaScript-Assets von Purple oder die Social-Login-APIs vor der Authentifizierung blockiert. Sie müssen sicherstellen, dass jede erforderliche Domain in dieser Pre-Authentifizierungsrichtlinie explizit zugelassen ist. Purple stellt eine umfassende Liste der erforderlichen Domains zur Verfügung - nutzen Sie diese vollständig. Vergessen Sie auch DNS nicht. Nicht authentifizierten Clients muss es gestattet sein, DNS-Abfragen aufzulösen, da die Weiterleitung sonst einfach nicht funktioniert. Das Gerät muss den Hostnamen des Purple-Portals auflösen, bevor es überhaupt versuchen kann, die Seite zu laden. Der zweithäufigste Fallstrick sind Zertifikatsfehler. Stellen Sie sicher, dass Ihre FortiGate ein gültiges, öffentlich vertrauenswürdiges SSL-Zertifikat für die Weiterleitungsschnittstelle präsentiert. Wenn Sie das standardmäßige selbstsignierte Zertifikat verwenden, zeigen moderne iPhones und Android-Geräte erhebliche Sicherheitswarnungen an, und Ihre Gäste werden die Verbindung ganz abbrechen. Dies ist ein besonders akutes Problem im Gastgewerbe, wo das Gasterlebnis an erster Stelle steht. Der dritte Fallstrick sind RADIUS-Timeout-Fehler. Wenn das Portal geladen wird, aber die Authentifizierung ständig fehlschlägt, überprüfen Sie, ob die Shared Secrets zwischen Ihrer FortiGate-Konfiguration und dem Purple-Portal exakt übereinstimmen. Selbst ein Unterschied von einem einzigen Zeichen führt dazu, dass alle Authentifizierungsversuche geräuschlos fehlschlagen. Überprüfen Sie auch, dass keine zwischengeschaltete Firewall die UDP-Ports 1812 und 1813 zwischen Ihrer Fortinet-Infrastruktur und den Cloud-RADIUS-Servern von Purple blockiert. Lassen Sie uns mit einer kurzen Fragerunde abschließen, die auf den am häufigsten von Kunden gestellten Fragen basiert. Frage eins: Umgeht die Nutzung von Purple meine FortiGate-Sicherheitsrichtlinien? Absolut nicht. Purple übernimmt die Authentifizierung und die Identitätserfassung. Nach der Authentifizierung fließt der gesamte Gast-Traffic durch die Post-Authentifizierungsrichtlinie Ihrer FortiGate. Genau hier wenden Sie FortiGuard Web Filtering an, blockieren Peer-to-Peer-Traffic und drosseln die Bandbreite. Betrachten Sie es so: Die Pre-Authentifizierung ist freizügig, um die Anmeldung zu ermöglichen; die Post-Authentifizierung ist restriktiv, um das Netzwerk zu schützen. Frage zweit: Muss ich lokale RADIUS-Server bereitstellen? Nein. Purple bietet RADIUS-as-a-Service. Sie konfigurieren die FortiGate so, dass sie direkt auf die Cloud-RADIUS-IP-Adressen von Purple verweist. Es ist nicht erforderlich, FreeRADIUS, Windows NPS oder eine andere lokale RADIUS-Infrastruktur für das Gast-WiFi bereitzustellen und zu warten. Frage drei: Kann Purple mit FortiWLM verwendet werden? Ja. Der Integrationsansatz ist konsistent - konfigurieren Sie die externe Captive Portal-URL, die RADIUS-Server-Zugangsdaten und den Walled Garden im FortiWLM-Controller, indem Sie derselben logischen Sequenz wie bei der FortiGate-Konfiguration folgen.Frage vier: Wie sieht es mit der GDPR-Konformität aus? Purple erfasst die ausdrückliche Einwilligung direkt auf Portal-Ebene und stellt Ihre Allgemeinen Geschäftsbedingungen sowie Datenschutzhinweise vor der Authentifizierung dar. Diese Einwilligungsdaten werden auf der Purple-Plattform gespeichert und sind prüfbar. Die Rolle der FortiGate beschränkt sich rein auf die Netzwerkdurchsetzung - sie muss keine Einwilligungsdaten direkt verarbeiten. Zusammenfassend die wichtigsten Erkenntnisse aus dem heutigen Briefing: Erstens: Trennen Sie Ihre Mitarbeiter- und Gäste-SSIDs absolut strikt. Mitarbeiter auf FortiAuthenticator mit 802.1X. Gäste auf Purple mit externem Captive Portal. Zweitens: Konfigurieren Sie Ihren Walled Garden akribisch. Er ist die häufigste Fehlerquelle und das wichtigste Konfigurationselement vor der Authentifizierung. Drittens: Verwenden Sie den Bridge-Modus für alle High-Density-Bereitstellungen, um DHCP-Engpässe zu vermeiden und eine genaue Client-IP-Sichtbarkeit zu gewährleisten. Viertens: Konfigurieren Sie sowohl RADIUS-Authentifizierungs- als auch Accounting-Server. Accounting ist nicht optional, wenn Sie aussagekräftige Analysen wünschen. Fünftens: Nutzen Sie nach der Authentifizierung die UTM-Funktionen von Fortinet. Web-Filterung, Anwendungssteuerung und Bandbreitenbegrenzung sollten alle in der Firewall-Richtlinie nach der Authentifizierung angewendet werden. Durch die korrekte Umsetzung dieser Integration verwandeln Sie Ihr Gäste-WiFi von einem Kostenfaktor in eine konforme, sichere und umsatzgenerierende Ressource. Die Kombination aus der Sicherheitstiefe von Fortinet und der Marketing-Intelligence von Purple ist für jeden Standortbetreiber, der seine Gästeerfahrung und Datenstrategie ernst nimmt, absolut leistungsstark. Vielen Dank für Ihre Aufmerksamkeit beim Purple Architecture Briefing. Wenn Sie Ihre spezifischen Bereitstellungsanforderungen besprechen möchten, besuchen Sie purple.ai, um mit dem Solutions-Team zu sprechen.