SonicWall und Gäste-WiFi: Captive Portal Einrichtung mit Purple

SONICWALL TZ UND SONICWAVE INTEGRATION MIT PURPLE WIFI Purple WiFi Intelligence Platform - Technical Briefing Series Dauer: Ca. 10 Minuten Stimme: Britisches Englisch, Senior Consultant-Ton - selbstbewusst, locker, autoritär --- SEGMENT 1: EINFÜHRUNG UND KONTEXT (ca. 1 Minute) Willkommen zur Purple Technical Briefing Series. Heute befassen wir uns mit einer der technisch anspruchsvolleren Integrationen im Enterprise-WiFi-Bereich: SonicWall TZ Firewalls und SonicWave Access Points, bereitgestellt zusammen mit Purple für die Authentifizierung von Gästen, die Zugriffskontrolle von Mitarbeitern und die Isolierung von mandantenfähigen Netzwerken. Wenn Sie ein IT-Sicherheitsingenieur oder ein MSP sind, der Standorte verwaltet - Hotels, Einzelhandelsketten, Konferenzzentren oder gemischt genutzte Immobilien - dann ist dieses Briefing genau das Richtige für Sie. Wir werden zügig durch die Architektur, die Konfigurationsschritte und die Fallstricke bei der Bereitstellung gehen. SonicWall ist eine starke Wahl im KMU- und Mid-Market-Bereich. Die Firewalls der TZ-Serie sind weit verbreitet, und SonicWave APs lassen sich nativ über SonicOS und den Wireless Network Manager integrieren. Wenn Sie Purple hinzufügen, erhalten Sie eine Cloud-gesteuerte Guest-WiFi-Ebene mit gebrandeten Splash Pages, RADIUS-basierter Authentifizierung und First-Party-Datenerfassung - und das alles, ohne Ihre bestehende SonicWall-Infrastruktur ersetzen zu müssen. Lassen Sie uns auf die Architektur eingehen. --- SEGMENT 2: TECHNISCHER DEEP-DIVE (ca. 5 Minuten) Es gibt hier vier verschiedene Anwendungsfälle zu behandeln, und jeder hat einen anderen Konfigurationspfad: Guest-WiFi mit Captive Portal Weiterleitung, Walled Garden Ausnahmen, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Isolierung mittels SonicWall PPSK mit dynamischer VLAN-Steuerung. Beginnen wir mit dem Guest-WiFi und dem SonicWall Captive Portal. SonicOS verwendet einen Mechanismus namens Lightweight Hotspot Messaging - LHM - um externe Captive Portal Weiterleitungen zu handhaben. Wenn sich ein Gast mit Ihrer Guest-SSID verbindet und einen Browser öffnet, fängt die SonicWall diese HTTP-Anfrage ab und leitet sie an die Splash Page URL von Purple weiter. Der Gast authentifiziert sich auf der Plattform von Purple - via Social Login, E-Mail oder Click-Through - und Purple sendet eine LHM-Autorisierung auf TCP-Port 4043 an die SonicWall zurück. Die SonicWall gibt dann den Internetzugang für die MAC-Adresse dieses Geräts frei. Die Konfiguration in SonicOS 7.x sieht wie folgt aus: Navigieren Sie zuerst zu "Object", dann zu "Match Objects" und dann zu "Zones". Bearbeiten Sie die Zone, die Ihrem Guest-WiFi zugewiesen ist - in der Regel eine WLAN- oder benutzerdefinierte Zone. Aktivieren Sie unter "Guest Services" sowohl "Enable Guest Services" als auch "External Guest Authentication". Gehen Sie dann zu "Configure", "Guest Services", "General". Setzen Sie das "Client Redirect Protocol" auf HTTP. Tragen Sie den Portal-Hostnamen von Purple als Webserver-Adresse ein - das ist portal.purple.ai. Setzen Sie den Redirect-Pfad auf die spezifische Splash Page URL Ihres Standorts, die Purple im Standort-Dashboard bereitstellt. Der Port ist 4043.Legen Sie auf der Registerkarte "Auth Pages" die Login-URL auf die externe Portal-URL von Purple fest. Richten Sie die Logout-URL ein, wenn Sie die Beendigung von Sitzungen steuern möchten. Aktivieren Sie auf der Registerkarte "Advanced" die Option "Allow unauthenticated users to access HTTPS sites" nur dann, wenn Sie reine HTTPS-Geräte unterstützen müssen - beachten Sie jedoch, dass dies die Erzwingung der Weiterleitung abschwächt. Nach dem Speichern erstellt SonicOS automatisch eine NAT-Richtlinie und eine WAN-zu-WAN-Zugriffsregel, die TCP 4043 zulassen. Löschen Sie diese automatisch generierten Regeln nicht. Sie ermöglichen den Abschluss des LHM-Handshakes. Als Nächstes folgt die Konfiguration des Walled Garden. Bevor sich ein Gast authentifiziert, muss sein Gerät bestimmte Domains erreichen können, damit die Splash Page funktioniert. Die Plattform von Purple hängt von eigenen CDN- und API-Endpunkten ab. Die Sonden zur Erkennung des Captive Portal des Betriebssystems - captive.apple.com für iOS-Geräte, connectivitycheck.gstatic.com für Android und msftconnecttest.com für Windows - müssen alle auf die Whitelist gesetzt werden. Wenn Sie Social-Login anbieten, fügen Sie accounts.google.com, oauth2.googleapis.com, apis.google.com und gstatic.com für Google hinzu. Fügen Sie www.facebook.com, graph.facebook.com, connect.facebook.net und die CDN-Domain fbcdn.net hinzu, wenn Sie das Login über Facebook anbieten. Fügen Sie diese in SonicOS als FQDN-Adressobjekte unter "Object", "Match Objects", "Addresses" hinzu. Erstellen Sie dann Zugriffsregeln in der Gastzone, die es nicht authentifizierten Geräten ermöglichen, diese FQDNs zu erreichen. Verwenden Sie die dynamische DNS-Auflösung - SonicOS löst FQDN-Objekte in regelmäßigen Abständen auf - anstelle von statischen IP-Einträgen, die sich ändern, wenn sich die CDN-IP-Bereiche verschieben. Weiter geht es mit dem sicheren Mitarbeiter-WiFi über 802.1X. Hier arbeiten SonicWave APs und der RADIUS-Server von Purple zusammen. Der SonicWave AP fungiert als Authentifikator im 802.1X-Austausch. Der Supplikant ist das Gerät des Mitarbeiters. Der RADIUS-Server von Purple ist der Authentifizierungsserver. Die von Ihnen gewählte EAP-Methode hängt von Ihrem Identitätsanbieter ab. Wenn Sie Microsoft Entra ID oder Okta verwenden, ist PEAP-MSCHAPv2 die am häufigsten gewählte Methode, da sie mit Benutzernamen und Passwörtern funktioniert. Wenn Sie Gerätezertifikate bereitgestellt haben - was der empfohlene Ansatz für verwaltete Geräte ist - verwenden Sie EAP-TLS. Navigieren Sie im Wireless Network Manager zu "Policies", "Policy Hierarchy", wählen Sie Ihre AP-Richtlinie aus und klicken Sie auf die Registerkarte "802.1X". Geben Sie die IP-Adresse des RADIUS-Servers von Purple ein - diese finden Sie in Ihrem Purple-Dashboard unter dem Abschnitt für RADIUS-Einstellungen. Das Shared Secret wird von Purple generiert und muss auf beiden Seiten exakt übereinstimmen. Stellen Sie den Authentifizierungsport auf 1812 und den Accounting-Port auf 1813 ein. Wählen Sie für die EAP-Einstellungen die Methode aus, die der Konfiguration Ihres Identitätsanbieters entspricht. Erstellen Sie auf der Purple-Seite eine RADIUS-Richtlinie für die Authentifizierung von Mitarbeitern. Weisen Sie die Mitarbeiter-SSID einem bestimmten VLAN zu - beispielsweise VLAN 200 für Mitarbeiter. Der RADIUS-Server von Purple gibt die VLAN-Zuweisung über drei Standardattribute zurück: Tunnel-Type auf VLAN gesetzt, Tunnel-Medium-Type auf 802 gesetzt und Tunnel-Private-Group-ID auf die VLAN-ID als String gesetzt - also "200" für VLAN 200. Die SonicWall-Firewall und der SonicWave AP berücksichtigen diese Attribute und verschieben das authentifizierte Mitarbeitergerät automatisch in das richtige VLAN. Kommen wir nun zum architektonisch interessantesten Anwendungsfall: PPSK und Mandantenisolierung. Mit Private Pre-Shared Keys können Sie eine einzige SSID betreiben und jedem Mandanten, Bewohner oder jeder Benutzergruppe eine eindeutige Passphrase zuweisen. Wenn sich ein Gerät mit einem bestimmten PPSK verbindet, sendet der SonicWave AP diesen Schlüssel zur Validierung an den RADIUS-Server von Purple. Purple sucht nach dem Schlüssel, identifiziert den zugehörigen Mandanten oder die Benutzergruppe und gibt die entsprechende VLAN-Zuweisung über das Attribut Tunnel-Private-Group-ID zurück. Die SonicWall leitet dieses Gerät dann in das richtige VLAN - vollständig isoliert von anderen Mandanten auf derselben SSID. Das ist identitätsbasiertes Networking in der Praxis. Sie verwalten nicht die SSIDs pro Mandant. Sie verwalten die Identitäten pro Mandant. In einem gemischt genutzten Objekt mit zehn Einzelhandelsgeschäften strahlt eine einzige SSID im gesamten Gebäude aus. Jeder Mandant erhält sein eigenes PPSK. Jedes PPSK wird einem dedizierten VLAN und Subnetz zugewiesen. Die Geräte von Mandant A sehen niemals den Datenverkehr von Mandant B, obwohl sie dieselben physischen Access Points nutzen. Die PPSK-Konfiguration in SonicOS erfordert den RADIUS-basierten PPSK-Modus auf der SSID. Bearbeiten Sie im Wireless Network Manager die SSID, stellen Sie den Sicherheitsmodus auf WPA2-Enterprise mit PPSK ein und weisen Sie den RADIUS-Server auf Purple hin. Purple autorisiert die PPSK-zu-VLAN-Zuordnungstabelle zentral. Wenn Sie einen neuen Mandanten hinzufügen, erstellen Sie ein neues PPSK in Purple, weisen ihm ein VLAN zu, und die Änderung wird auf alle SonicWave APs an diesem Standort übertragen, ohne dass die Firewall-Konfiguration angepasst werden muss. --- SEGMENT 3: IMPLEMENTIERUNGSEMPFEHLUNGEN UND FEHLERQUELLEN (ca. 2 Minuten) Ich möchte Ihnen die drei häufigsten Fehlerquellen bei Implementierungen von SonicWall und Purple vorstellen. Erstens: Der LHM-Port. TCP 4043 muss vom WAN zur WAN-Schnittstelle der SonicWall geöffnet sein. Wenn Ihr ISP oder eine vorgeschaltete Firewall diesen Port blockiert, wird der LHM-Autorisierungs-Handshake nie abgeschlossen, und Gäste bleiben nach der Authentifizierung auf der Portalseite hängen. Sie sehen einen erfolgreichen Login auf der Purple-Seite, aber die SonicWall erhält das Autorisierungssignal nie. Testen Sie dies vor der Live-Schaltung mit einer Telnet- oder Curl-Abfrage an Port 4043 von einer externen IP-Adresse aus. Zweitens: Das Timing der FQDN-Objekt-Auflösung. SonicOS löst FQDN-Adressobjekte beim Booten und danach in einem konfigurierbaren Intervall auf. Wenn Sie eine neue Walled-Garden-Domain hinzufügen und die Auflösung noch nicht aktualisiert wurde, können nicht authentifizierte Geräte sie nicht erreichen. Erzwingen Sie nach dem Hinzufügen neuer FQDN-Objekte eine manuelle Aktualisierung oder stellen Sie das DNS-Aktualisierungsintervall in Umgebungen mit hohem Datenverkehr auf 60 Sekunden ein. Drittens: VLAN-Sub-Interface-Konfiguration. Die dynamische VLAN-Zuweisung via RADIUS funktioniert nur, wenn die Ziel-VLANs bereits vor der ersten Geräteauthentifizierung als Sub-Interfaces auf der SonicWall existieren. Wenn eine RADIUS-Antwort Tunnel-Private-Group-ID 110 zurückgibt, aber VLAN 110 nicht als Sub-Interface auf der SonicWall existiert, wird die Verbindung des Geräts entweder getrennt oder es fällt auf das Standard-VLAN zurück. Erstellen und testen Sie alle VLAN-Sub-Interfaces, bevor Sie die RADIUS VLAN-Zuweisung aktivieren. Für MSPs, die mehrere Standorte verwalten, ermöglicht das Cloud-Dashboard von Purple die zentrale Verwaltung von RADIUS-Richtlinien, PPSK-Tabellen und Splash-Page-Konfigurationen. Sie können Konfigurationsänderungen von einer einzigen Benutzeroberfläche aus an alle Standorte übertragen. Das ist der betriebliche Vorteil eines Cloud-Overlay-Ansatzes - die SonicWall-Hardware bleibt vor Ort, und Purple übernimmt die Identitäts- und Richtlinienebene darüber. - SEGMENT 4: SCHNELLE FRAGEN & ANTWORTEN (ca. 1 Minute) Einige Fragen, die regelmäßig auftauchen. "Kann ich SonicWave APs im Standalone-Modus mit Purple nutzen?" Ja, aber Sie verlieren einige Funktionen. Im Standalone-Modus verwalten SonicWave APs ihre eigene RADIUS-Konfiguration lokal. Sie können sie weiterhin auf den RADIUS-Server von Purple für 802.1X ausrichten. Für PPSK mit dynamischer VLAN-Zuweisung benötigen Sie jedoch die SonicWall TZ als RADIUS-Proxy oder den Wireless Network Manager, der die AP-Richtlinie zentral verwaltet. "Unterstützt Purple WPA3 auf SonicWave?" Die WPA3-Unterstützung auf SonicWave hängt von der Firmware-Version und dem AP-Modell ab. APs der SonicWave 600-Serie unterstützen WPA3. Für Captive Portal-Anwendungsfälle ist WPA3 mit Opportunistic Wireless Encryption mit dem LHM-Redirect-Flow von Purple kompatibel, aber testen Sie dies auf Ihrer spezifischen Firmware-Version, bevor Sie es im großen Stil bereitstellen. "Wie handhabt Purple die GDPR für Gästedaten, die über die Splash-Page erfasst werden?" Purple ist ISO 27001 zertifiziert, GDPR-konform und Cyber Essentials zertifiziert. Die Einwilligung wird auf der Splash-Page mit konfigurierbaren Opt-In-Kontrollkästchen erfasst. Purple speichert First-Party-Daten in Übereinstimmung mit Ihren Richtlinien zur Datenaufbewahrung. Gäste können über das Self-Service-Portal von Purple auf ihre Daten zugreifen und diese löschen. "Welche RADIUS-Attribute gibt Purple für die dynamische VLAN-Zuweisung zurück?" Drei Attribute: Tunnel-Type mit dem Wert VLAN, Tunnel-Medium-Type mit dem Wert 802 und Tunnel-Private-Group-ID mit der VLAN-ID als String. Dies sind die standardmäßigen RFC 2868-Attribute, die von SonicOS und SonicWave unterstützt werden. - SEGMENT 5: ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE (ca. 1 Minute) Zusammenfassend lässt sich sagen, dass SonicWall TZ Firewalls und SonicWave APs über zwei Hauptmechanismen mit Purple integriert werden: LHM für die Captive Portal-Weiterleitung von Gästen und RADIUS für die 802.1X-Mitarbeiterauthentifizierung sowie die PPSK-basierte Mandantenisolierung. Die wichtigsten Konfigurationsschritte sind: Aktivieren Sie die externe Gästeauthentifizierung in der Gästezone, konfigurieren Sie die Purple-Portal-URL auf Port 4043, erstellen Sie Ihre Walled-Garden-FQDN-Objekte, konfigurieren Sie RADIUS in der SonicWave AP-Richtlinie im Wireless Network Manager und erstellen Sie Ihre VLAN-Sub-Interfaces auf der SonicWall, bevor Sie die dynamische VLAN-Zuweisung aktivieren. Für Multi-Tenant-Bereitstellungen ist PPSK mit RADIUS-basiertem VLAN-Steering die zu verwendende Architektur. Eine SSID, ein Satz von APs, vollständige Mandantenisolierung durch identitätsbasierte VLAN-Zuweisung. Wenn Sie eine Bereitstellung planen oder eine bestehende überprüfen, kann das technische Team von Purple standortspezifische RADIUS-Konfigurationsdateien und Walled-Garden-Domainlisten bereitstellen. Die Purple-Plattform unterstützt 80.000 Live-Standorte und hat im Jahr 2024 440 Millionen Logins verarbeitet - die heute behandelten Integrationsmuster haben sich im großen Maßstab bewährt. Vielen Dank fürs Zuhören. Der vollständige schriftliche Leitfaden mit Schritt-für-Schritt-Konfigurationstabellen und Mermaid-Architekturdiagrammen ist auf der Purple-Website verfügbar. --- ENDE DES SKRIPTS