Fortinet FortiAP y guest WiFi: configuración del Captive Portal con Purple

Bienvenido a la sesión informativa sobre la arquitectura de Purple. Hoy vamos a profundizar en una integración fundamental para las redes empresariales: el despliegue de Purple WiFi junto con la infraestructura de Fortinet, concretamente los puntos de acceso FortiAP y los cortafuegos FortiGate. Si es gestor de TI, arquitecto de red o CTO y gestiona un recinto -ya sea una cadena de retail, un estadio o un hospital- esta sesión está diseñada para ofrecerle el plan de acción necesario para que estas dos potentes plataformas funcionen juntas a la perfección. Pongámonos en contexto. Fortinet es reconocida por su sólida postura de seguridad. Los dispositivos de gestión unificada de amenazas FortiGate proporcionan una inspección profunda del tráfico de capa 7. Sin embargo, cuando se trata de WiFi para invitados, no solo busca seguridad, sino también valor empresarial. Quiere capturar datos demográficos, comprender el comportamiento de los visitantes e impulsar el retorno de la inversión en marketing. Ahí es donde entra Purple. Al integrar Purple como un Captive Portal externo, usted delega la compleja tarea de la gestión de identidades de invitados, el consentimiento de GDPR y los inicios de sesión sociales en el cloud RADIUS de Purple, mientras permite que FortiGate haga lo que mejor sabe hacer: proteger el perímetro. Entonces, ¿cómo funciona realmente esto por dentro? Entremos en el análisis técnico detallado. La arquitectura se basa en protocolos RADIUS estándar y redirección HTTP. Cuando un dispositivo invitado se asocia con su SSID de invitado abierto emitido por el FortiAP, el FortiGate intercepta esa petición web inicial. En lugar de mostrar una página de portal básica almacenada localmente, el FortiGate redirige al cliente a la página de inicio alojada en la nube de Purple. Ahora bien, este es el concepto crítico: el Walled Garden. Durante esta fase de autenticación previa, el invitado no tiene acceso a internet. Sin embargo, necesita cargar los gráficos del portal y puede que necesite acceder a Facebook o Google para iniciar sesión. El Walled Garden es una lista de permitidos estricta configurada en el FortiGate que autoriza el tráfico hacia estos dominios específicos. Una vez que el usuario se autentica, la plataforma de Purple envía un mensaje RADIUS Access-Accept de vuelta al FortiGate. A continuación, el FortiGate cambia el estado de la sesión a autenticado y da acceso al usuario a su política de cortafuegos posterior a la autenticación. Hablemos de la configuración de RADIUS con más detalle, porque aquí es donde la precisión importa. Purple le proporciona dos conjuntos de credenciales RADIUS: uno para la autenticación en el puerto 1812 y otro para la contabilidad en el puerto 1813. Ambos deben estar configurados. El servidor de contabilidad no es opcional. Es el mecanismo por el cual el FortiGate reporta los datos de la sesión de vuelta a Purple: duración, ancho de banda consumido y eventos de finalización de sesión. Sin datos de contabilidad precisos, su panel de análisis de Purple mostrará métricas de visitantes incompletas o inexactas. Establezca su intervalo intermedio de contabilidad en 120 segundos. Esto proporciona un buen equilibrio entre la visibilidad en tiempo real y la sobrecarga de la red. Un escenario muy habitual es el que implica a FortiAuthenticator. Muchas empresas utilizan FortiAuthenticator para el WiFi de su personal - usando 802.1X y PEAP para autenticar los dispositivos corporativos frente a Active Directory. La pregunta siempre es: ¿puedo mantener mi FortiAuthenticator para el personal y utilizar Purple para los invitados? La respuesta es absolutamente sí, y la regla de oro aquí es la segregación estricta. Mantienes tu SSID de personal apuntando a FortiAuthenticator. Creas un SSID de invitados completamente separado y abierto que apunte al Captive Portal externo de Purple y a su RADIUS en la nube. El FortiGate enruta las solicitudes de autenticación en función del SSID. La identidad del personal se queda en las instalaciones con FortiAuthenticator. La identidad de los invitados va a la nube de marketing de Purple. Cero cruces, máxima seguridad. Esta arquitectura también presenta una ventaja importante en términos de cumplimiento normativo. Bajo los requisitos de PCI-DSS, las redes WiFi de invitados deben estar completamente aisladas de cualquier segmento de red que gestione datos de titulares de tarjetas. Al colocar el SSID de invitados en una VLAN dedicada y aplicar políticas de firewall estrictas en el FortiGate para bloquear todos los destinos de espacio de IP privadas RFC 1918, cumples con este requisito de forma limpia. Pasemos ahora a las recomendaciones de implementación. Cuando estés configurando esto, tendrás que tomar una decisión crucial en relación con la asignación de IP: el modo NAT frente al modo Bridge. Si estás desplegando una pequeña sucursal minorista con quizás de cincuenta a cien conexiones de invitados concurrentes, el modo NAT es perfectamente adecuado. El FortiGate entrega direcciones DHCP a los invitados desde una subred interna dedicada y las traduce a medida que el tráfico sale del firewall. Es sencillo y requiere una infraestructura adicional mínima. Pero si estás desplegando un entorno de alta densidad - por ejemplo, un hotel de quinientas habitaciones, un centro de conferencias con múltiples eventos simultáneos o un estadio - debes utilizar el modo Bridge. En el modo Bridge, el FortiAP vierte el tráfico de invitados directamente en una VLAN dedicada, lo que permite que tus servidores DHCP empresariales principales gestionen la carga. Esto evita que el FortiGate se convierta en un cuello de botella de DHCP durante los picos de conexión. El modo Bridge también garantiza que la plataforma Purple vea la dirección IP real del cliente, lo cual es vital para obtener análisis precisos y para la resolución de problemas. Hablemos de la secuencia de configuración paso a paso, porque aquí el orden importa. Comienza en el portal de Purple. Recupera las credenciales de tu servidor RADIUS: las direcciones IP del servidor, los secretos compartidos, la URL del Captive Portal y la URL de redireccionamiento. Estos son los cuatro elementos de información críticos que necesitas antes de tocar la configuración de Fortinet. A continuación, ve al panel de control de FortiCloud o a tu interfaz de gestión de FortiGate. Define primero tus servidores RADIUS: autenticación en el puerto 1812, contabilidad en el 1813. Luego crea tu SSID de invitados, establece la autenticación en Abierta, habilita el Captive Portal externo e introduce la URL del portal de Purple y la URL de redireccionamiento. Configura tu Walled Garden. Y finalmente, define tu política de firewall postautenticación con tus perfiles UTM. ¿Y qué hay de los errores más comunes? ¿Dónde suelen fallar los despliegues? El problema número uno, sin duda alguna, es un Walled Garden incompleto. Si un invitado se conecta y se encuentra con una pantalla en blanco o un tiempo de espera de conexión agotado, casi siempre significa que el FortiGate está bloqueando el acceso a los archivos CSS, activos JavaScript o a las API de inicio de sesión social de Purple antes de la autenticación. Debe asegurarse de que todos los dominios requeridos estén explícitamente permitidos en esa política de preautenticación. Purple proporciona una lista completa de los dominios requeridos; utilícela en su totalidad. Además, no se olvide del DNS. Se debe permitir que los clientes no autenticados resuelvan consultas DNS, o de lo contrario la redirección simplemente no funcionará. El dispositivo necesita resolver el nombre de host del portal de Purple antes de poder intentar cargar la página. El segundo error más común son los errores de certificado. Asegúrese de que su FortiGate presenta un certificado SSL válido y de confianza pública para la interfaz de redirección. Si utiliza el certificado autofirmado predeterminado, los iPhones modernos y los dispositivos Android mostrarán importantes advertencias de seguridad, y sus invitados abandonarán la conexión por completo. Este es un problema especialmente grave en entornos hoteleros donde la experiencia del invitado es fundamental. El tercer error son los errores de tiempo de espera de RADIUS. Si el portal se carga pero la autenticación falla constantemente, verifique que los secretos compartidos coincidan exactamente entre la configuración de su FortiGate y el portal de Purple. Incluso una diferencia de un solo carácter hará que todos los intentos de autenticación fallen de forma silenciosa. Verifique también que ningún firewall intermedio esté bloqueando los puertos UDP 1812 y 1813 entre su infraestructura Fortinet y los servidores RADIUS en la nube de Purple. Concluyamos con una sesión rápida de preguntas y respuestas basada en las dudas más frecuentes que recibimos de los clientes. Pregunta uno: ¿el uso de Purple elude mis políticas de seguridad de FortiGate? En absoluto. Purple se encarga de la autenticación y la captura de identidad. Una vez autenticado, todo el tráfico de invitados fluye a través de la política de postautenticación de su FortiGate. Aquí es precisamente donde se aplica FortiGuard Web Filtering, se bloquea el tráfico de igual a igual (P2P) y se limita el ancho de banda. Piénselo de esta manera: la preautenticación es permisiva para permitir el inicio de sesión; la postautenticación es restrictiva para proteger la red. Pregunta dos: ¿necesito desplegar servidores RADIUS locales? No. Purple ofrece RADIUS-as-a-Service. Configura el FortiGate para que apunte directamente a las direcciones IP de RADIUS en la nube de Purple. No es necesario desplegar ni mantener FreeRADIUS, Windows NPS ni ninguna otra infraestructura RADIUS local para la red de invitados. Pregunta tres: ¿puede Purple funcionar con FortiWLM? Sí. El enfoque de integración es el mismo: configure la URL del Captive Portal externo, las credenciales del servidor RADIUS y el walled garden dentro del controlador FortiWLM, siguiendo la misma secuencia lógica que la configuración de FortiGate. Pregunta cuatro: ¿qué ocurre con el cumplimiento del GDPR? Purple captura el consentimiento explícito a nivel de portal, presentando sus términos y condiciones y avisos de procesamiento de datos antes de la autenticación. Estos datos de consentimiento se almacenan dentro de la plataforma Purple y son auditables. El papel de FortiGate es puramente de aplicación de políticas de red - no necesita gestionar los datos de consentimiento directamente. Para resumir los puntos clave de la sesión de hoy. Primero: segregue absolutamente las SSID de su personal y de sus invitados. El personal en FortiAuthenticator con 802.1X. Los invitados en Purple con un portal cautivo externo. Segundo: configure meticulosamente su Walled Garden. Es el punto de fallo más común y el elemento de configuración de preautenticación más importante. Tercero: utilice el modo Bridge para cualquier despliegue de alta densidad para evitar cuellos de botella de DHCP y garantizar una visibilidad precisa de la IP del cliente. Cuarto: configure tanto los servidores de autenticación como los de contabilidad (accounting) de RADIUS. La contabilidad no es opcional si desea obtener análisis significativos. Quinto: aproveche las funciones UTM de Fortinet tras la autenticación. El filtrado web, el control de aplicaciones y la limitación del ancho de banda deben aplicarse en la política de firewall posterior a la autenticación. Al ejecutar esta integración correctamente, transforma el WiFi de invitados de un centro de costes en un activo seguro, conforme a las normativas y generador de ingresos. La combinación de la profundidad de seguridad de Fortinet y la inteligencia de marketing de Purple es verdaderamente potente para cualquier operador de recintos que quiera tomarse en serio su experiencia de invitados y su estrategia de datos. Gracias por escuchar el Purple Architecture Briefing. Si desea analizar sus requisitos específicos de despliegue, visite purple.ai para hablar con el equipo de soluciones.