Podcast-Transkript ansehen
Willkommen zum Purple-Architektur-Briefing. Heute befassen wir uns mit einer kritischen Integration für Unternehmensnetzwerke: der Bereitstellung von Purple WiFi anstelle von Sophos-Infrastrukturen, insbesondere Sophos AP6 und APX Access Points sowie Sophos XG und XGS Firewalls. Wenn Sie ein IT-Manager, Netzwerkarchitekt oder ein CTO sind, der einen Veranstaltungsort verwaltet - sei es eine Einzelhandelskette, ein Stadion oder ein Krankenhaus -, liefert Ihnen diese Sitzung den umsetzbaren Plan, um diese beiden leistungsstarken Plattformen nahtlos miteinander zu verbinden.
Betrachten wir den Kontext. Sophos ist bekannt für seine robuste Sicherheitsarchitektur. Sophos Firewall-Appliances bieten Deep Packet Inspection und synchronisierte Sicherheit. Wenn es jedoch um Guest WiFi geht, wollen Sie nicht nur Sicherheit. Sie wollen geschäftlichen Mehrwert. Sie möchten demografische Daten erfassen, das Besucherverhalten verstehen und den Marketing-ROI steigern. Genau hier kommt Purple ins Spiel. Durch die Integration von Purple als externes Captive Portal verlagern Sie die komplexe Verwaltung von Gäste-Identitäten, die GDPR-Einwilligung und Social Logins auf die Cloud-RADIUS-Plattform von Purple, während die Sophos Firewall das tut, was sie am besten kann: den Perimeter sichern.
Wie genau funktioniert das also unter der Haube? Gehen wir ins technische Detail.
Die Architektur basiert auf standardmäßigen RADIUS-Protokollen und HTTP-Weiterleitungen. Wenn sich ein Besucher am Veranstaltungsort mit Ihrer offenen Guest WiFi SSID verbindet, die vom Sophos AP ausgestrahlt wird, fängt die Sophos Firewall diese erste Webanfrage ab. Anstatt eine einfache, lokal gespeicherte Portalseite anzuzeigen, leitet die Firewall den Client auf die in der Cloud gehostete Splash Page von Purple weiter.
Hier ist das entscheidende Konzept: der Walled Garden. Während dieser Phase vor der Authentifizierung hat der Benutzer noch keinen Internetzugang. Aber er muss die Portal-Grafiken laden und möchte sich möglicherweise über Facebook oder Google anmelden. Der Walled Garden ist eine strikte Allowlist, die auf der Sophos Firewall konfiguriert ist und den Datenverkehr zu diesen spezifischen Domains erlaubt. Sobald sich der Benutzer authentifiziert hat, sendet die Plattform von Purple eine RADIUS Access-Accept-Nachricht an die Sophos Firewall zurück. Die Firewall schaltet daraufhin den Sitzungsstatus auf "authentifiziert" um und leitet den Benutzer in Ihre Firewall-Richtlinie nach der Authentifizierung weiter.
Lassen Sie uns die RADIUS-Konfiguration genauer betrachten, denn hier kommt es auf Präzision an. Purple stellt Ihnen zwei Sätze von RADIUS-Zugangsdaten zur Verfügung: einen für die Authentifizierung auf Port 1812 und einen für das Accounting auf Port 1813. Beide müssen konfiguriert werden. Der Accounting-Server ist nicht optional. Über diesen Mechanismus meldet die Sophos Firewall die Sitzungsdaten an Purple zurück, einschließlich Dauer, verbrauchter Bandbreite und Beendigungsereignissen der Sitzung. Ohne genaue Accounting-Daten zeigt Ihr Purple Analytics-Dashboard unvollständige oder ungenaue Besucherkennzahlen an. Stellen Sie Ihr Abrechnungs-Intervall (accounting interim interval) auf 120 Sekunden ein. Dies bietet ein gutes Gleichgewicht zwischen Echtzeit-Sichtbarkeit und Netzwerk-Overhead.
Sprechen wir nun über ein Szenario, das in Enterprise-Bereitstellungen ständig vorkommt: Multi-Tenant WiFi. Denken Sie an einen Coworking-Bereich, einen Build-to-Rent-Wohnblock oder ein Studentenwohnheim. Sie haben mehrere verschiedene Benutzergruppen, die alle WiFi-Zugang benötigen, aber auf Netzwerkebene vollständig voneinander isoliert sein müssen. Die Ausstrahlung einer separaten SSID für jeden Mieter ist nicht praktikabel. Dies führt zu einer Überlastung der Funkfrequenzen und ist administrativ ein Albtraum.
Die Lösung sind Sophos Private Pre-Shared Keys, oder PPSK, kombiniert mit einer dynamischen VLAN-Zuweisung. Und so funktioniert es: Sie konfigurieren eine einzige SSID auf Ihren Sophos AP6 Access Points. Anschließend weisen Sie jedem Mieter oder jeder Benutzergruppe ein eindeutiges Kennwort zu. Wenn sich ein Gerät verbindet und seinen eindeutigen Schlüssel eingibt, authentifiziert der Sophos AP diesen Schlüssel über RADIUS. Der RADIUS-Server gibt ein bestimmtes VLAN-ID-Attribut in der Access-Accept-Nachricht zurück. Der AP versieht den Datenverkehr des Benutzers dynamisch mit dieser VLAN-ID und platziert ihn in seinem dedizierten Netzwerksegment. Identitätsbasiertes Networking in der Praxis. Eine SSID, mehrere isolierte Netzwerke, kein zusätzlicher Funkfrequenz-Overhead durch weitere Broadcasts.
Diese Architektur bietet auch einen erheblichen Compliance-Vorteil. Gemäß den PCI-DSS-Anforderungen müssen Guest WiFi-Netzwerke vollständig von allen Netzwerksegmenten isoliert sein, die Karteninhaberdaten verarbeiten. Indem Sie die Guest-SSID auf ein dediziertes VLAN legen und auf der Sophos Firewall strenge Firewall-Richtlinien zur Blockierung aller privaten RFC-1918-IP-Adressräume durchsetzen, erfüllen Sie diese Anforderung auf saubere Weise. Purple, das an über 80.000 Live-Standorten betrieben wird und im Jahr 2024 440 Millionen Logins verarbeitet hat, ist ISO 27001 zertifiziert, GDPR-konform und Cyber Essentials zertifiziert - die Compliance-Vorteile erstrecken sich also auch auf die Identitätsebene.
Kommen wir nun zu den Empfehlungen für die Implementierung. Wenn Sie dies einrichten, müssen Sie eine wichtige Entscheidung bezüglich der IP-Zuweisung treffen: NAT-Modus im Vergleich zum Bridge-Modus.
Wenn Sie eine kleine Einzelhandelsfiliale mit vielleicht fünfzig bis einhundert gleichzeitigen Gastverbindungen einrichten, ist der NAT-Modus völlig ausreichend. Der Sophos AP vergibt DHCP-Adressen an Gäste aus einem dedizierten internen Subnetz und übersetzt diese beim Verlassen des Datenverkehrs. Das ist einfach und erfordert nur minimale zusätzliche Infrastruktur.
Wenn Sie jedoch eine Umgebung mit hoher Dichte bereitstellen, beispielsweise ein Hotel mit fünfhundert Zimmern, ein Konferenzzentrum mit mehreren parallelen Veranstaltungen oder ein Stadion, müssen Sie den Bridge-Modus verwenden. Im Bridge-Modus leitet der Sophos AP den Gastdatenverkehr direkt an ein dediziertes VLAN weiter, sodass Ihre Core-Enterprise-DHCP-Server die Last bewältigen können. Dies verhindert, dass der Access Point oder die Firewall bei Spitzenzeiten der Verbindungen zu einem DHCP-Engpass wird. Der Bridge-Modus stellt außerdem sicher, dass die Purple-Plattform die tatsächliche Client-IP-Adresse sieht, was für genaue Analysen und Fehlerbehebung von entscheidender Bedeutung ist.
Lassen Sie uns über die schrittweise Konfigurationsreihenfolge sprechen, da die Reihenfolge hier eine wichtige Rolle spielt.
Starten Sie im Purple-Portal. Rufen Sie Ihre RADIUS-Server-Zugangsdaten ab: die Server-IP-Adressen, die Shared Secrets, die Captive Portal-URL und die Weiterleitungs-URL. Dies sind die vier entscheidenden Informationen, die Sie benötigen, bevor Sie die Sophos-Konfiguration anpassen.
Wechseln Sie dann zu Sophos Central oder Ihrer lokalen Firewall-Verwaltungsoberfläche. Definieren Sie zuerst Ihre RADIUS-Server, Authentifizierung auf 1812, Accounting auf 1813. Konfigurieren Sie anschließend Ihren Walled Garden unter den Hotspot-Einstellungen. Erstellen Sie als Nächstes Ihre Gäste-SSID, stellen Sie die Verschlüsselung auf „Open“, aktivieren Sie das Captive Portal und geben Sie die Purple-Portal-URL ein. Definieren Sie schließlich Ihre Firewall-Regeln nach der Authentifizierung.
Speziell für den Walled Garden müssen Sie mindestens die folgenden Domains zulassen: die Purple-Portal-Domain, in der Regel region1.purpleportal.net, venuewifi.com sowie alle Social-Login-Domains, die Ihre Gäste verwenden werden, wie facebook.com, accounts.google.com und die zugehörigen CDN-Domains. Wenn Sie Microsoft Entra ID oder Okta zur Identitätsföderation nutzen, müssen diese Domains ebenfalls einbezogen werden.
Welche Fallstricke gibt es? Wo laufen Bereitstellungen normalerweise schief?
Das Problem Nummer eins ist ohne Frage ein unvollständiger Walled Garden. Wenn sich ein Gast verbindet und einen leeren Bildschirm oder ein Verbindungs-Timeout erhält, bedeutet dies fast immer, dass die Sophos-Firewall den Zugriff auf die CSS-Dateien, JavaScript-Assets von Purple oder die Social-Login-APIs vor der Authentifizierung blockiert. Sie müssen sicherstellen, dass jede erforderliche Domain in dieser Pre-Authentication-Richtlinie explizit zugelassen ist. Purple stellt eine umfassende Liste der erforderlichen Domains zur Verfügung. Nutzen Sie diese vollständig.
Vergessen Sie auch DNS nicht. Nicht authentifizierten Clients muss es gestattet sein, DNS-Abfragen aufzulösen, da die Weiterleitung sonst schlichtweg nicht funktioniert. Das Gerät muss den Hostnamen des Purple-Portals auflösen können, bevor es überhaupt versuchen kann, die Seite zu laden.
Der zweithäufigste Fallstrick sind Zertifikatsfehler. Stellen Sie sicher, dass Ihre Sophos-Firewall ein gültiges, öffentlich vertrauenswürdiges SSL-Zertifikat für die Weiterleitungsschnittstelle vorweist. Wenn Sie das standardmäßige selbstsignierte Zertifikat verwenden, zeigen moderne iPhones und Android-Geräte erhebliche Sicherheitswarnungen an, und Ihre Gäste werden die Verbindung komplett abbrechen. Dies ist ein besonders akutes Problem im Hotel- und Gastgewerbe, wo das Gästeerlebnis an erster Stelle steht.
Der dritte Fallstrick sind RADIUS-Timeout-Fehler. Wenn das Portal geladen wird, die Authentifizierung jedoch konsequent fehlschlägt, überprüfen Sie, ob die Shared Secrets zwischen Ihrer Sophos-Konfiguration und dem Purple-Portal exakt übereinstimmen. Schon ein Unterschied von einem einzigen Zeichen führt dazu, dass alle Authentifizierungsversuche lautlos fehlschlagen. Überprüfen Sie auch, ob keine zwischengeschaltete Firewall die UDP-Ports 1812 und 1813 zwischen Ihrer Sophos-Infrastruktur und den Cloud-RADIUS-Servern von Purple blockiert.
Lassen Sie uns mit einer kurzen Fragerunde abschließen, die auf den am häufigsten von Kunden gestellten Fragen basiert.Frage eins: Umgeht die Nutzung von Purple die Sicherheitsrichtlinien meiner Sophos Firewall? Absolut nicht. Purple übernimmt die Authentifizierung und die Identitätserfassung. Nach der Authentifizierung läuft der gesamte Gastdatenverkehr über die Post-Authentifizierungsrichtlinie Ihrer Sophos Firewall. Genau hier wenden Sie Web-Filtering an, blockieren Peer-to-Peer-Datenverkehr und steuern die Bandbreite. Man kann es sich so vorstellen: Die Pre-Authentifizierung ist freizügig, um die Anmeldung zu ermöglichen - die Post-Authentifizierung ist restriktiv, um das Netzwerk zu schützen.
Frage zwei: Muss ich lokale RADIUS-Server bereitstellen? Nein. Purple bietet RADIUS-as-a-Service. Sie konfigurieren die Sophos APs so, dass sie direkt auf die Cloud-RADIUS-IP-Adressen von Purple verweisen. Es ist nicht erforderlich, FreeRADIUS oder Windows NPS für das Gastnetzwerk bereitzustellen und zu warten.
Frage drei: Kann ich Purple sowohl mit Sophos AP6 als auch mit der älteren APX-Serie nutzen? Ja. Der Integrationsansatz ist über beide Hardwaregenerationen hinweg konsistent. Bitte beachten Sie jedoch, dass Sophos das End-of-Life-Datum für die APX-Serie für den 31. Dezember 2027 angekündigt hat. Wenn Sie eine Neuinstallation planen, investieren Sie in die AP6-Serie, die WiFi 6 und WiFi 6E unterstützt.
Frage vier: Wie sieht es mit der GDPR-Konformität aus? Purple erfasst die ausdrückliche Einwilligung direkt auf der Portalebene und präsentiert Ihre Allgemeinen Geschäftsbedingungen sowie Datenschutzhinweise vor der Authentifizierung. Diese Einwilligungsdaten werden auf der Purple-Plattform gespeichert und sind auditierbar. Die Rolle der Sophos Firewall beschränkt sich rein auf die Netzwerkdurchsetzung.
Zusammenfassend die wichtigsten Kernpunkte des heutigen Briefings.
Erstens: Trennen Sie Ihre Mitarbeiter- und Gäste-SSIDs absolut voneinander. Mitarbeiter über 802.1X mit WPA2-Enterprise. Gäste über Purple mit einem externen Captive Portal.
Zweitens: Konfigurieren Sie Ihren Walled Garden akribisch. Er ist die häufigste Fehlerquelle und das wichtigste Element der Pre-Authentifizierungs-Konfiguration.
Drittens: Nutzen Sie den Bridge-Modus für alle High-Density-Bereitstellungen, um DHCP-Engpässe zu vermeiden und eine genaue Sichtbarkeit der Client-IPs zu gewährleisten.
Viertens: Konfigurieren Sie sowohl RADIUS-Authentifizierungs- als auch Accounting-Server. Accounting ist nicht optional, wenn Sie aussagekräftige Analysen wünschen.
Fünftens: Nutzen Sie Sophos PPSK für Mandanten-Umgebungen, um Identity-Based Networking mit dynamischer VLAN-Zuweisung zu ermöglichen. Eine SSID, mehrere isolierte Netzwerke.
Sechstens: Wenden Sie Sophos-Sicherheitsrichtlinien strikt nach der Authentifizierung an. Web-Filtering, Anwendungssteuerung und Bandbreitenbegrenzung sollten alle in der Post-Authentifizierungs-Firewall-Richtlinie angewendet werden.
Durch die korrekte Umsetzung dieser Integration verwandeln Sie das Gäste-WiFi von einem Kostenfaktor in ein konformes, sicheres und umsatzgenerierendes Asset. Die Kombination aus der tiefgehenden Sicherheit von Sophos und der Marketing-Intelligence von Purple ist für jeden Betreiber, der seine Gäste-Experience und Datenstrategie ernst nimmt, eine enorm starke Lösung.
Vielen Dank für Ihr Interesse an diesem Purple Architecture Briefing. Wenn Sie Ihre spezifischen Anforderungen besprechen möchten, besuchen Sie purple.ai, um mit unserem Solutions-Team zu sprechen.
