WatchGuard Firebox Integration with Purple WiFi: Setup and Configuration Guide

Executive Summary

Die Bereitstellung einer sicheren, skalierbaren Wireless-Infrastruktur an komplexen Standorten erfordert eine präzise Integration zwischen Ihrem Security-Gateway und Ihrem Identity-Provider. Dieser Leitfaden beschreibt die Integration von WatchGuard Firebox und WatchGuard Access Points mit Purple und deckt drei verschiedene Zugriffsebenen ab: Guest WiFi Captive Portal-Weiterleitung, sicheres Staff WiFi mittels IEEE 802.1X und mandantenfähige WiFi-Segmentierung über WatchGuard Private Pre-Shared Keys (PPSK).

Durch die Kombination der einheitlichen Sicherheitsplattform von WatchGuard mit dem Cloud-Overlay von Purple automatisieren Sie die identitätsbasierte Zugriffskontrolle, setzen granulare Sicherheitsrichtlinien durch und erfassen First-Party-Daten in großem Umfang. Purple ist an über 80.000 Live-Standorten im Einsatz und verarbeitete im Jahr 2024 440 Millionen Logins (interne Daten von Purple). Die Integration ist herstellerunabhängig konzipiert – WatchGuard steht neben Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet auf der Liste der von Purple unterstützten Hardware. Für einen umfassenderen Überblick über Sicherheitsstandards für WiFi in Unternehmen lesen Sie unseren Leitfaden Enterprise WiFi Security: A Complete Guide for 2026 .

Technische Architektur

Die Integration verbindet WatchGuard-Hardware mit den Cloud-Diensten von Purple über zwei Standardmechanismen: RADIUS (Remote Authentication Dial-In User Service) für Authentifizierung und Accounting sowie HTTP-Weiterleitung für die Bereitstellung des Captive Portals. Die Architektur unterstützt drei Zugriffsebenen auf einer einzigen physischen Infrastruktur.

Alle drei Ebenen können gleichzeitig auf derselben WatchGuard Access Point-Flotte betrieben werden. Die Wi-Fi 6-Modelle von WatchGuard – AP130, AP230W, AP330, AP332CR, AP430CR und AP432 – unterstützen PPSK ab Firmware-Version v2.6.

Konfiguration der Captive Portal-Weiterleitung für Guest WiFi

Die Captive Portal-Integration von WatchGuard leitet nicht authentifizierte HTTP-Anfragen an die von Purple gehostete Splashpage weiter. Dies ist der primäre Mechanismus zur Erfassung von First-Party-Daten und zur Durchsetzung von Nutzungsbedingungen.

Schritt 1: RADIUS-Server-Konfiguration

Definieren Sie in der WatchGuard Cloud oder im Firebox Policy Manager Purple als RADIUS-Authentifizierungs- und Accounting-Server.

• Primärer RADIUS-Server: Stellen Sie dies auf die Purple RADIUS-IP-Adresse für Ihre Region ein (verfügbar im Purple-Portal unter Einstellungen > Hardware-Integration).
• Authentifizierungs-Port: 1812
• Accounting-Port: 1813
• Shared Secret: Geben Sie das eindeutige Secret ein, das im Purple-Portal bereitgestellt wird.
• NAS-ID: Stellen Sie dies auf die MAC-Adresse der Firebox oder des APs unter Verwendung des Formatbezeichners %m ein. Dies identifiziert den Standort für Purple und leitet die Analytics an das richtige Konto weiter.
• Accounting-Intervall: Auf 10 Minuten festlegen, um sicherzustellen, dass Sitzungsdaten in regelmäßigen Abständen an das Analytics-Dashboard von Purple übertragen werden.

Schritt 2: SSID- und Captive Portal-Einstellungen

Navigieren Sie in der WatchGuard Cloud zu Konfigurieren > Geräte > [Ihr AP] > Gerätekonfiguration > SSIDs. Erstellen oder bearbeiten Sie die Guest SSID.

• Sicherheit: Offen (kein Passwort vor der Authentifizierung).
• Captive Portal-Typ: Wählen Sie Von Drittanbietern gehostetes Captive Portal mit RADIUS-Authentifizierung.
• Splashpage-URL: Geben Sie die URL der Purple-Splashpage ein (z. B. https://wifi.mypurple.com/splash). Rufen Sie diese unter Purple > Analysieren > Portale ab.
• Shared Secret: Geben Sie das Shared Secret des Portals von derselben Seite „Purple > Analysieren > Portale“ ein. Dieses Secret generiert den HMAC-SHA1-Digest, den WatchGuard verwendet, um die erfolgreiche Authentifizierungsantwort von Purple zu validieren.

Schritt 3: Walled-Garden-Konfiguration

Der Walled Garden definiert, auf welche Domänen ein Gerät zugreifen kann, bevor die Authentifizierung abgeschlossen ist. Ohne dies kann das Gerät die Purple-Splashpage nicht laden. Fügen Sie die folgenden Einträge zu Websites, auf die Benutzer vor dem Login zugreifen können hinzu:

• *.mypurple.com
• api.mypurple.com
• cdn.mypurple.com
• assets.mypurple.com

Wenn Sie Social- oder Verbund-Logins über Microsoft Entra ID, Okta, oder Google Workspace aktivieren, fügen Sie die entsprechenden Domänen der Identity-Provider hinzu (z. B. login.microsoftonline.com, accounts.google.com). Rechtliche und Compliance-Hintergründe zu gemeinsam genutzten WiFi-Infrastrukturen finden Sie in unserem Leitfaden Rechtliche und Compliance-Anforderungen für gemeinsam genutzte WiFi-Infrastrukturen .

So funktioniert der HMAC-Authentifizierungsablauf

Das Verständnis dieses Ablaufs hilft Ihnen, Fehler schnell zu diagnostizieren.

1. Das Gastgerät verbindet sich mit der offenen SSID und stellt eine HTTP-Anfrage.
2. Der WatchGuard AP fängt die Anfrage ab und leitet den Browser an die URL der Purple-Splashpage weiter, wobei ein challenge-Parameter (eine zufällige Hex-Zeichenfolge) und die MAC-Adresse des Geräts angehängt werden.
3. Purple zeigt die Splashpage an. Der Gast füllt das Anmeldeformular aus.
4. Purple generiert einen HMAC-SHA1-Digest unter Verwendung des Shared Secrets des Portals und des Challenge-Werts.
5. Purple leitet den Browser zurück zur Login-URL des WatchGuard APs und hängt die Challenge und den Digest an.
6. Der WatchGuard AP validiert den Digest mit demselben Shared Secret. Wenn er übereinstimmt, gewährt der AP Internetzugang und sendet ein RADIUS-Accounting-Start-Paket an Purple.

Sicheres Staff WiFi mit 802.1X

Für Staff WiFi ersetzen Sie das Captive Portal durch IEEE 802.1X – den Unternehmensstandard für die portbasierte Netzwerkzugriffskontrolle. Jedes Teammitglied authentifiziert sich mit eindeutigen Anmeldedaten oder einem Zertifikat, wodurchEliminierung des Risikos gemeinsam genutzter Passwörter.

Konfigurieren Sie in der WatchGuard Cloud die Staff SSID mit WPA3 Enterprise-Sicherheit und verweisen Sie die Authentication Domain auf den RADIUS-Server von Purple. Purple fungiert als RADIUS-Server und kann Authentifizierungsanfragen über SAML oder LDAP an Microsoft Entra ID, Okta oder Google Workspace weiterleiten.

Stellen Sie für die zertifikatsbasierte Authentifizierung (EAP-TLS) Client-Zertifikate über Ihr MDM auf verwalteten Geräten bereit. Bei der anmeldedatenbasierten Authentifizierung (PEAP-MSCHAPv2) authentifizieren sich Benutzer mit ihren Verzeichnis-Anmeldedaten. Purple validiert die Anfrage gegenüber dem konfigurierten Identitätsanbieter und gibt ein RADIUS Access-Accept oder Access-Reject an den WatchGuard AP zurück.

Eine detaillierte Anleitung zur 802.1X-Konfiguration für verschiedene Gerätetypen finden Sie in unserem Leitfaden 802.1X-Authentifizierung: Sicherung des Netzwerkzugriffs auf modernen Geräten .

Wichtiger Hinweis zur MAC-Randomisierung: Moderne iOS- und Android-Geräte randomisieren standardmäßig ihre MAC-Adressen. Weisen Sie Ihre Mitarbeiter für das 802.1X Staff WiFi an, die MAC-Randomisierung für die Staff SSID zu deaktivieren. Randomisierte MACs führen zu inkonsistenten Authentifizierungsprotokollen und verhindern die Durchsetzung von MAC-basierten Richtlinien.

Multi-Tenant WiFi mit WatchGuard PPSK

Das Ausstrahlen einer separaten SSID pro Mieter in einem Einkaufszentrum, Coworking-Space oder einer Build-to-Rent-Entwicklung (BTR) verursacht Co-Kanal-Interferenzen und überlastet die HF-Umgebung. WatchGuard PPSK (Private Pre-Shared Key) – eingeführt in der AP-Firmware v2.6 – löst dieses Problem, indem jedem Benutzer oder Mieter auf einer einzigen SSID ein eindeutiges Passwort zugewiesen wird.

Schritt 1: PPSK auf der SSID aktivieren

Bearbeiten Sie in der WatchGuard Cloud die Ziel-SSID (z. B. Venue-WiFi).

• Sicherheit: WPA2 Personal oder WPA3 Personal.
• Authentifizierung: Aktivieren Sie Private Pre-Shared Key (PPSK).
• RADIUS-Server: Verweisen Sie auf den RADIUS-Server von Purple. Purple verwaltet den PPSK-Anmeldedatenspeicher und gibt bei der Authentifizierung VLAN-Attribute zurück.

Schritt 2: Dynamische VLAN-Zuweisung konfigurieren

Um den Datenverkehr der Mieter zu isolieren, weist der WatchGuard AP basierend auf dem verwendeten PPSK ein bestimmtes VLAN zu.

• VLAN-Einstellung: Wählen Sie Dynamic VLAN assigned by RADIUS.
• Fallback für nicht zugewiesene Clients: Wählen Sie ein isoliertes Quarantäne-VLAN (z. B. VLAN 999), um sicherzustellen, dass Geräte, bei denen die RADIUS-Validierung fehlschlägt, nicht auf das Unternehmensnetzwerk zugreifen können.

Anforderungen für dynamische VLANs auf WatchGuard Access Points:

• AP-Firmware v2.2 oder höher.
• NAT muss auf der SSID deaktiviert sein.
• Dynamische VLANs und Captive Portal können nicht gleichzeitig auf derselben SSID ausgeführt werden.
• Der mit dem AP verbundene Switch-Port muss als Trunk-Port konfiguriert sein, der alle relevanten VLANs überträgt.

Schritt 3: RADIUS-Attribute für VLAN-Steuerung

Wenn sich ein Benutzer über ein PPSK verbindet, sendet der WatchGuard AP eine RADIUS-Access-Request an Purple. Purple validiert den Schlüssel und gibt ein Access-Accept-Paket zurück, das drei IETF-RADIUS-Attribute enthält:

Der WatchGuard AP liest das Attribut 81 und weist den Client dem entsprechenden VLAN zu. In Purple ordnen Sie jeden PPSK-Anmeldedatensatz einer bestimmten VLAN-ID und Rolle zu. Dies ist der Mechanismus hinter identitätsbasierten Netzwerken (Identity-Based Networks) – die Anmeldedaten bestimmen das Netzwerksegment, nicht die SSID.

Best Practices für die Implementierung

Diese Empfehlungen gelten für Bereitstellungen im Gastgewerbe , Einzelhandel , Gesundheitswesen und Transportwesen .

Sitzungs-Timeouts: Konfigurieren Sie Sitzungs-Timeouts sowohl in Purple als auch in WatchGuard, um eine erneute Authentifizierung in regelmäßigen Abständen zu erzwingen. Dies sorgt für präzise Analysen und verhindert, dass inaktive Sitzungen Bandbreite verbrauchen. Stellen Sie das RADIUS Interim-Update (Acct-Interim-Interval) auf 600 Sekunden (10 Minuten) ein.

Firmware-Management: Stellen Sie sicher, dass auf den WatchGuard Access Points die Firmware v2.6 oder höher ausgeführt wird, um PPSK zu unterstützen. Nutzen Sie die WatchGuard Cloud, um Firmware-Upgrades außerhalb der Spitzenzeiten zu planen, um Abdeckungslücken zu vermeiden.

PCI-DSS-Konformität: Isolieren Sie in Einzelhandelsumgebungen, in denen Kartenzahlungen verarbeitet werden, POS-Geräte mithilfe von PPSK in einem dedizierten VLAN (z. B. VLAN 200). Stellen Sie sicher, dass das Guest WiFi-VLAN keine Route zum POS-VLAN hat. Dies unterstützt die Anforderungen zur PCI-DSS-Netzwerksegmentierung.

GDPR und Datenerfassung: Das Captive Portal von Purple verwendet Opt-ins auf Basis einer bewussten Entscheidung, um sicherzustellen, dass die Datenerfassung den GDPR-Anforderungen entspricht. Purple ist nach ISO 27001, GDPR, CCPA und Cyber Essentials zertifiziert. Stellen Sie sicher, dass Ihre Splash-Page einen klaren Datenschutzhinweis und einen Link zu den Nutzungsbedingungen enthält, bevor die Datenerfassung beginnt.

Fehlerbehebung und Risikominderung

Captive Portal lädt nicht: Der Walled Garden ist die erste Anlaufstelle für die Überprüfung. Wenn das Gerät vor der Authentifizierung keine DNS-Auflösung durchführen oder die Server von Purple nicht erreichen kann, zeigt der Browser anstelle der Splash-Page einen Timeout-Fehler an. Überprüfen Sie, ob alle Purple-Domains in der Walled-Garden-Liste enthalten sind und ob die WatchGuard-DNS-Einstellungen die Auflösung vor der Authentifizierung zulassen.

HMAC-Digest-Validierungsfehler: Wenn die WatchGuard-Protokolle Authentifizierungsfehler mit HMAC-Fehlern aufweisen, stimmt das Captive Portal Shared Secret zwischen WatchGuard und Purple nicht überein. Es muss in beiden Systemen identisch sein. Generieren Sie das Secret in Purple neu und geben Sie es erneut in der WatchGuard Cloud ein.

VLAN-Steuerung schlägt fehl: Wenn ein PPSK-Benutzer eine IP aus dem falschen VLAN erhält, überprüfen Sie die RADIUS-Protokolle im Purple-Portal. Stellen Sie sicher, dass Purple alle drei IETF-RADIUS-Attribute zurückgibt. Vergewissern Sie sich, dass der Wert für Tunnel-Private-Group-ID als String formatiert ist und mit einer auf dem Switch-Trunk-Port konfigurierten VLAN-ID übereinstimmt.

Konflikt zwischen PPSK und Captive Portal: WatchGuard unterstützt keine dynamischen VLANs und Captive Portal auf derselben SSID. Wenn Sie beides benötigen, verwenden Sie zwei SSIDs: eine für das Guest Captive Portal und einee für den PPSK-Multi-Tenant-Zugriff.

802.1X-Authentifizierungsfehler: Verwenden Sie das in der WatchGuard-AP-Firmware v2.5 und höher verfügbare Paket-Erfassungstool, um den Datenverkehr zwischen dem AP und dem RADIUS-Server zu erfassen. Suchen Sie nach RADIUS-Access-Reject-Paketen und dem Ursachencode im Reply-Message-Attribut.

ROI und geschäftliche Auswirkungen

Die Integration von WatchGuard und Purple konsolidiert Sicherheit und Analysen in einer einzigen Architektur. Ein Hotel mit 200 Zimmern, das diese Integration nutzt, macht separate Gateways für Gäste und Mitarbeiter überflüssig und reduziert die Hardwareausgaben im Vergleich zu einer Multi-Gateway-Bereitstellung um ca. 30 % (interne Daten von Purple). Das Guest WiFi Captive Portal erfasst First-Party-Daten – E-Mail-Adressen, demografische Informationen und die Besuchshäufigkeit –, die über den Engage-Tarif von Purple direkte Marketingeinnahmen generieren.

Für Multi-Tenant-Standorte eliminiert PPSK den betrieblichen Aufwand für die Verwaltung mehrerer SSIDs. Ein Einkaufszentrum, das 15 Ladeneinheiten über eine einzige SSID verwaltet, reduziert die AP-Funkfrequenznutzung und vereinfacht Netzwerk-Audits. WiFi Analytics von Purple liefert Standortbetreibern Daten zu Verweildauer, Besucherzahlen und wiederholten Besuchen – Kennzahlen, die die Infrastrukturinvestition gegenüber den Finanzteams rechtfertigen.

Purple gewährleistet eine Betriebszeit von 99,999 % (interne Daten von Purple) und stellt sicher, dass das Guest WiFi Captive Portal auch in Spitzenzeiten an stark frequentierten Standorten wie Stadien und Konferenzzentren verfügbar bleibt.