WatchGuard Wi-Fi Cloud AP und Gäste-WiFi: Captive Portal-Einrichtung mit Purple

Willkommen zum Integrations-Briefing. Heute befassen wir uns mit der Integration von WatchGuard Firebox und Access Points mit Purple WiFi. Dies ist ein technisches Handbuch für IT-Manager, Netzwerkarchitekten und Betreiber von Veranstaltungsorten, die eine sichere, skalierbare drahtlose Infrastruktur bereitstellen müssen. Wir werden uns mit Captive Portals für Guest WiFi, sicherem Mitarbeiter-WiFi über 802.1X und mandantenfähiger Segmentierung mit WatchGuard Private Pre-Shared Keys - oder PPSK - befassen. Lassen Sie uns direkt in den Kontext einsteigen. Wenn Sie einen komplexen Veranstaltungsort verwalten - beispielsweise ein Stadion, ein großes Einkaufszentrum oder ein Mehrfamilienhaus - benötigen Sie eine präzise Kontrolle darüber, wer auf das Netzwerk zugreift und was diese Personen nach der Verbindung tun können. Außerdem müssen Sie First-Party-Daten erfassen, um Marketing-Umsätze zu generieren. WatchGuard bietet die einheitliche Sicherheitsplattform und die Hardware. Purple bietet das Cloud-Overlay, das Identitätsmanagement und die Analysen. Durch die Integration der beiden Komponenten automatisieren Sie die identitätsbasierte Zugriffskontrolle. Sie müssen keine separaten Gateways für Gäste und Mitarbeiter mehr betreiben, was die Hardwarekosten senkt und die Verwaltung vereinfacht. Purple bedient derzeit über 80.000 Live-Veranstaltungsorte und hat allein im Jahr 2024 über 440 Millionen Logins verarbeitet - die Plattform ist also für die Skalierung jedes Veranstaltungsorts ausgelegt, den Sie verwalten. Kommen wir nun zu den technischen Details. Die Architektur basiert auf Standard-RADIUS-Protokollen und HTTP-Weiterleitung. Wir haben drei Haupt-Zugriffsebenen. Erstens: Guest WiFi. Dies ist eine offene SSID. Der WatchGuard AP fängt HTTP-Anfragen ab und leitet den Benutzer auf die von Purple gehostete Splash Page weiter. Zweitens: Mitarbeiter-WiFi. Dies ist eine sichere WPA3-Enterprise-SSID mit 802.1X. Geräte authentifizieren sich direkt an den RADIUS-Servern von Purple mittels EAP-TLS oder PEAP. Drittens: Mandantenfähiges WiFi. Dieses nutzt WatchGuard PPSK. Mehrere Benutzer verbinden sich mit einer einzigen SSID, verwenden jedoch jeweils ein eindeutiges Passwort. Der WatchGuard AP fragt den RADIUS-Server von Purple ab, der dann basierend auf diesem spezifischen Schlüssel dynamisch ein VLAN zuweist. Wie konfigurieren wir also das Guest WiFi Captive Portal? Schritt eins ist die Einrichtung des RADIUS-Servers in der WatchGuard Cloud oder im Firebox Policy Manager. Sie verweisen mit dem primären RADIUS-Server auf die IP-Adresse von Purple für Ihre Region. Die Authentifizierung erfolgt über Port 1812, das Accounting über Port 1813. Sie geben das von Purple bereitgestellte Shared Secret ein und stellen vor allem sicher, dass die NAS-ID mit der MAC-Adresse der Firebox oder des AP übereinstimmt. Dadurch erfährt Purple, von welchem Veranstaltungsort die Anfrage stammt. Schritt zwei ist die eigentliche Weiterleitung zum Captive Portal. In den SSID-Einstellungen wählen Sie "Third-Party Hosted Captive Portal mit RADIUS-Authentifizierung". Sie geben die URL der Splash Page von Purple und das Shared Secret des Portals ein. Dies ist ein spezifisches Geheimnis, das im Purple Analyze Dashboard generiert wird und zur Erstellung eines HMAC-Digests zur Validierung von Authentifizierungsanfragen verwendet wird. Der HMAC-SHA1-Algorithmus stellt sicher, dass die Erfolgsmeldung der Authentifizierung von Purple echt ist und während der Übertragung nicht manipuliert wurde. Schritt drei, und hier stolpern viele Bereitstellungen, ist das Walled Garden. Wenn Sie dies nicht konfigurieren, kann das Gerät die Splash Page nicht laden. Sie müssen vor dem Login den Zugriff auf star dot mypurple dot com, api dot mypurple dot com und cdn dot mypurple dot com zulassen. Wenn Sie Social Logins wie Microsoft Entra ID oder Google Workspace verwenden, müssen Sie auch diese Identity-Provider-Domains hinzufügen. Stellen Sie sich das Walled Garden wie eine Lobby vor der Authentifizierung vor. Ohne dieses kann der Gast nicht einmal die Eingangstür erreichen. Sehen wir uns nun die Multi-Tenant-Segmentierung mit WatchGuard PPSK an. Wenn Sie ein Einkaufszentrum mit 15 Geschäften verwalten, ist das Ausstrahlen von 15 verschiedenen SSIDs ein schlechter Ansatz. Dies verursacht Co-Kanal-Interferenzen, überlastet den Luftraum und verursacht einen hohen Verwaltungsaufwand. PPSK löst dies auf elegante Weise. Sie strahlen eine einzige SSID aus, beispielsweise "Centre-Retail". Sie aktivieren Private Pre-Shared Key in den WatchGuard SSID-Einstellungen, was die Firmware-Version 2.6 oder höher auf Ihren WatchGuard Access Points erfordert. In Purple erstellen Sie eindeutige Schlüssel, einen pro Mandant. Um den Datenverkehr zu isolieren, verwenden Sie die dynamische VLAN-Zuweisung. In WatchGuard Cloud stellen Sie das VLAN auf "Dynamic VLAN assigned by RADIUS". Wenn ein Geschäft ein Gerät mit seinem spezifischen Schlüssel verbindet, sendet der AP ein Access-Request an den RADIUS-Server von Purple. Purple validiert den Schlüssel und sendet ein Access-Accept-Paket mit drei wichtigen IETF RADIUS-Attributen zurück. Tunnel-Type (Attribut 64), eingestellt auf VLAN. Tunnel-Medium-Type (Attribut 65), eingestellt auf 802. Und Tunnel-Private-Group-ID (Attribut 81), eingestellt auf die zugewiesene VLAN-ID, beispielsweise VLAN 100 für Einzelhandels-Mandant A. Der WatchGuard AP platziert dieses Gerät dann in VLAN 100, völlig isoliert von den anderen Mandanten. Dies ist Identity-Based Networking in der Praxis. Lassen Sie uns über Implementierungsempfehlungen und häufige Fehler sprechen. Erstens: Session-Timeouts. Konfigurieren Sie strikte Session-Timeouts sowohl in Purple als auch in WatchGuard, um eine erneute Authentifizierung zu erzwingen. Dies hält Ihre Analysen präzise und stellt sicher, dass veraltete Sitzungen keine Bandbreite verbrauchen. Stellen Sie Ihre RADIUS Interim-Update-Intervalle auf 10 Minuten ein. Zweitens: Firmware. Sie müssen sicherstellen, dass auf Ihren WatchGuard Access Points die Firmware-Version 2.6 oder höher ausgeführt wird, um PPSK zu unterstützen. Ältere Firmware-Versionen unterstützen diese Funktion nicht. Drittens: MAC-Randomisierung. Moderne Geräte randomisieren standardmäßig ihre MAC-Adressen. Für Ihr sicheres Mitarbeiter-WiFi-Netzwerk sollten Sie Ihre Mitarbeiter anweisen, diese Funktion für diese spezifische SSID zu deaktivieren, um eine stabile 802.1X-Authentifizierung zu gewährleisten. Die MAC-Randomisierung kann zu Authentifizierungsfehlern und unkonsistenten Analysedaten führen. Was passiert, wenn etwas schiefgeht? Wenn das Captive Portal nicht geladen werden kann, überprüfen Sie zuerst den Walled Garden. Wenn das Gerät DNS nicht auflösen oder die Purple-Server nicht erreichen kann, wird anstelle der Splash-Page ein Timeout-Fehler angezeigt. Wenn das VLAN-Steering fehlschlägt und der Client eine IP aus dem falschen VLAN erhält, überprüfen Sie die RADIUS-Protokolle im Purple Hub. Stellen Sie sicher, dass das Attribut Tunnel-Private-Group-ID korrekt als String formatiert ist und mit einem VLAN übereinstimmt, das tatsächlich auf dem mit dem AP verbundenen Switch-Port existiert. Wenn Sie HMAC-Digest-Fehler in den WatchGuard-Protokollen sehen, stimmt Ihr Captive Portal Shared Secret zwischen WatchGuard und Purple nicht überein. Es muss in beiden Systemen Zeichen für Zeichen identisch sein. Zeit für eine schnelle Fragerunde. Frage: Kann ich PPSK und das Captive Portal auf derselben SSID verwenden? Antwort: Nein. WatchGuard unterstützt die gleichzeitige Ausführung von Dynamic VLANs über PPSK und eines Captive Portals auf derselben SSID nicht. Sie benötigen eine SSID für das Portal und eine separate SSID für PPSK. Planen Sie Ihre SSID-Architektur entsprechend. Frage: Was passiert, wenn der RADIUS-Server keine VLAN-ID für einen PPSK-Benutzer zurückgibt? Antwort: In WatchGuard Cloud konfigurieren Sie eine Fallback-Option für nicht zugewiesene Clients. Sie können diese in ein ungetaggtes VLAN oder ein bestimmtes isoliertes Quarantäne-VLAN verschieben, um sicherzustellen, dass sie keinen Zugriff auf das Unternehmensnetzwerk erhalten. Konfigurieren Sie diesen Fallback immer, um unbeabsichtigten Zugriff zu vermeiden. Zusammenfassend lässt sich sagen, dass die Integration von WatchGuard Firebox mit Purple Ihnen eine einheitliche Plattform für Sicherheit, Identität und Analysen in Guest-, Mitarbeiter- und Multi-Tenant-Netzwerken bietet. Sie nutzen die externe Captive Portal-Weiterleitung für Gäste, 802.1X für Mitarbeiter und PPSK mit dynamischen VLANs für Multi-Tenant-Umgebungen. Der ROI ist eindeutig. Sie senken die Hardwarekosten durch die Konsolidierung von Gateways, vereinfachen die Verwaltung über eine einzige Cloud-Plattform und steigern den Umsatz, indem Sie First-Party-Daten über das Purple Captive Portal erfassen. Ihre nächsten Schritte bestehen darin, Ihre aktuelle SSID-Architektur zu überprüfen, sicherzustellen, dass Ihre WatchGuard-Firmware auf Version 2.6 oder höher ist, und mit der Konfiguration Ihrer RADIUS-Einstellungen im Purple Hub zu beginnen. Vielen Dank für Ihre Aufmerksamkeit.