Guía de integración de Fortinet FortiAP y Purple WiFi

Una referencia técnica definitiva para integrar la infraestructura Fortinet FortiAP y FortiGate con Purple WiFi. Esta guía cubre la configuración del Captive Portal externo, la coexistencia de la autenticación RADIUS con FortiAuthenticator y el diseño de políticas de seguridad para despliegues empresariales en entornos de hostelería, comercio minorista y sector público.

📖 7 min de lectura📝 1,552 palabras🔧 2 ejemplos prácticos❓ 3 preguntas de práctica📚 9 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

Bienvenido al informe de arquitectura de Purple. Hoy nos sumergimos en una integración crítica para las redes empresariales: el despliegue de Purple WiFi junto con la infraestructura de Fortinet, específicamente los puntos de acceso FortiAP y los firewalls FortiGate. Si es un administrador de TI, un arquitecto de redes o un CTO que gestiona un establecimiento —ya sea una cadena de tiendas, un estadio o un hospital—, esta sesión está diseñada para ofrecerle el plan de acción para que estas dos potentes plataformas funcionen juntas a la perfección.

Pongámonos en contexto. Fortinet es conocida por su sólida postura de seguridad. Los dispositivos de Gestión Unificada de Amenazas FortiGate proporcionan una inspección profunda del tráfico de Capa 7. Sin embargo, cuando se trata de WiFi para invitados, no solo busca seguridad, sino también valor empresarial. Quiere capturar datos demográficos, comprender el comportamiento de los visitantes e impulsar el retorno de la inversión en marketing. Ahí es donde entra Purple. Al integrar Purple como un Captive Portal externo, delega el trabajo pesado de la gestión de identidades de invitados, el consentimiento de GDPR y los inicios de sesión sociales en el RADIUS en la nube de Purple, mientras permite que el FortiGate haga lo que mejor sabe hacer: proteger el perímetro.

Entonces, ¿cómo funciona esto realmente bajo el capó? Entremos en el análisis técnico detallado.

La arquitectura se basa en los protocolos RADIUS estándar y la redirección HTTP. Cuando un dispositivo de invitado se asocia con su SSID de invitado abierto transmitido por el FortiAP, el FortiGate intercepta esa solicitud web inicial. En lugar de servir una página de portal básica almacenada localmente, el FortiGate redirige al cliente a la página de inicio de Purple alojada en la nube.

Ahora, aquí está el concepto crítico: el Walled Garden. Durante esta fase de preautenticación, el invitado no tiene acceso a Internet. Pero necesita cargar los gráficos del portal, y es posible que necesite acceder a Facebook o Google para iniciar sesión. El Walled Garden es una lista estricta de permitidos configurada en el FortiGate que autoriza el tráfico a estos dominios específicos. Una vez que el usuario se autentica, la plataforma de Purple envía un mensaje RADIUS Access-Accept de vuelta al FortiGate. El FortiGate entonces cambia el estado de la sesión a autenticado y dirige al usuario a su política de firewall de postautenticación.

Hablemos de la configuración de RADIUS con más detalle, porque aquí es donde la precisión importa. Purple le proporciona dos conjuntos de credenciales RADIUS: uno para la autenticación en el puerto 1812 y otro para la contabilidad en el puerto 1813. Ambos deben estar configurados. El servidor de contabilidad no es opcional. Es el mecanismo por el cual el FortiGate reporta los datos de la sesión a Purple: duración, ancho de banda consumido y eventos de finalización de sesión. Sin datos de contabilidad precisos, su panel de analítica de Purple mostrará métricas de visitantes incompletas o inexactas. Establezca su intervalo intermedio de contabilidad en 120 segundos. Esto proporciona un buen equilibrio entre la visibilidad en tiempo real y la sobrecarga de la red.

Un escenario muy común involucra a FortiAuthenticator. Muchas empresas utilizan FortiAuthenticator para el WiFi de su personal, utilizando 802.1X y PEAP para autenticar los dispositivos corporativos contra Active Directory. La pregunta siempre es: ¿puedo mantener mi FortiAuthenticator para el personal y usar Purple para los invitados?

La respuesta es absolutamente sí, y la regla de oro aquí es la segregación estricta. Mantiene su SSID de personal apuntando al FortiAuthenticator. Crea un SSID abierto completamente independiente para los invitados que apunte al Captive Portal externo y al RADIUS en la nube de Purple. El FortiGate enruta las solicitudes de autenticación en función del SSID. La identidad del personal se queda en el entorno local con el FortiAuthenticator. La identidad de los invitados va a la nube de marketing de Purple. Cero cruces, máxima seguridad.

Esta arquitectura también tiene un beneficio de cumplimiento significativo. Bajo los requisitos de PCI DSS, las redes WiFi de invitados deben estar completamente aisladas de cualquier segmento de red que maneje datos de titulares de tarjetas. Al colocar el SSID de invitados en una VLAN dedicada y aplicar políticas de firewall estrictas en el FortiGate para bloquear todos los destinos de espacio de direcciones IP privadas RFC 1918, cumple con este requisito de manera limpia.

Pasemos ahora a las recomendaciones de implementación. Cuando configure esto, debe tomar una decisión crucial con respecto a la asignación de IP: modo NAT frente a modo Bridge.

Si está desplegando una sucursal minorista pequeña con quizás de cincuenta a cien conexiones simultáneas de invitados, el modo NAT es perfectamente adecuado. El FortiGate entrega direcciones DHCP a los invitados desde una subred interna dedicada y las traduce a medida que el tráfico sale del firewall. Es simple y requiere una infraestructura adicional mínima.

Pero si está realizando un despliegue en un entorno de alta densidad —por ejemplo, un hotel de quinientas habitaciones, un centro de conferencias con múltiples eventos simultáneos o un estadio— debe utilizar el modo Bridge. En el modo Bridge, el FortiAP dirige el tráfico de invitados directamente a una VLAN dedicada, lo que permite que sus servidores DHCP empresariales principales gestionen la carga. Esto evita que el FortiGate se convierta en un cuello de botella de DHCP durante los picos de conexión. El modo Bridge también garantiza que la plataforma Purple vea la dirección IP real del cliente, lo cual es vital para una analítica y resolución de problemas precisas.

Hablemos de la secuencia de configuración paso a paso, porque el orden importa aquí.

Comience en el portal de Purple. Recupere sus credenciales de servidor RADIUS: las direcciones IP del servidor, los secretos compartidos, la URL del Captive Portal y la URL de redirección. Estas son las cuatro piezas de información críticas que necesita antes de tocar la configuración de Fortinet.

A continuación, vaya al panel de FortiCloud o a la interfaz de gestión de su FortiGate. Defina primero sus servidores RADIUS: autenticación en el 1812, contabilidad en el 1813. Luego cree su SSID de invitados, establezca la autenticación en Abierta, habilite el Captive Portal externo e introduzca la URL del portal de Purple y la URL de redirección. Configure su Walled Garden. Y finalmente, defina su política de firewall de postautenticación con sus perfiles UTM.

¿Qué pasa con los errores comunes? ¿Dónde suelen fallar los despliegues?

El problema número uno, sin duda, es un Walled Garden incompleto. Si un invitado se conecta y obtiene una pantalla en blanco o un tiempo de espera de conexión, casi siempre significa que el FortiGate está bloqueando el acceso a los archivos CSS de Purple, a los recursos de JavaScript o a las API de inicio de sesión social antes de la autenticación. Debe asegurarse de que cada dominio requerido esté explícitamente permitido en esa política de preautenticación. Purple proporciona una lista completa de dominios requeridos; utilícela en su totalidad.

Además, no olvide el DNS. Se debe permitir que los clientes no autenticados resuelvan consultas DNS, o la redirección simplemente no funcionará. El dispositivo necesita resolver el nombre de host del portal de Purple antes de poder intentar cargar la página.

El segundo error más común son los errores de certificado. Asegúrese de que su FortiGate presente un certificado SSL válido y de confianza pública para la interfaz de redirección. Si utiliza el certificado autofirmado predeterminado, los iPhones y dispositivos Android modernos mostrarán advertencias de seguridad importantes y sus invitados abandonarán la conexión por completo. Este es un problema especialmente grave en entornos de hostelería donde la experiencia del huésped es primordial.

El tercer error común son los errores de tiempo de espera de RADIUS. Si el portal se carga pero la autenticación falla constantemente, verifique que los secretos compartidos coincidan exactamente entre la configuración de su FortiGate y el portal de Purple. Incluso una diferencia de un solo carácter hará que todos los intentos de autenticación fallen silenciosamente. Verifique también que ningún firewall intermedio esté bloqueando los puertos UDP 1812 y 1813 entre su infraestructura Fortinet y los servidores RADIUS en la nube de Purple.

Terminemos con una sesión de preguntas y respuestas rápidas basada en las dudas más comunes que escuchamos de los clientes.

Pregunta uno: ¿el uso de Purple elude mis políticas de seguridad de FortiGate? Absolutamente no. Purple gestiona la autenticación y la captura de identidad. Una vez autenticado, todo el tráfico de invitados fluye a través de la política de postautenticación de su FortiGate. Aquí es precisamente donde aplica el filtrado web de FortiGuard, bloquea el tráfico peer-to-peer y regula el ancho de banda. Piénselo de esta manera: la preautenticación es permisiva para permitir el inicio de sesión; la postautenticación es punitiva para proteger la red.

Pregunta dos: ¿necesito desplegar servidores RADIUS locales? No. Purple proporciona RADIUS-as-a-Service. Configura el FortiGate para que apunte directamente a las direcciones IP de RADIUS en la nube de Purple. No es necesario desplegar y mantener FreeRADIUS, Windows NPS ni ninguna otra infraestructura RADIUS local para la red de invitados.

Pregunta tres: ¿puede funcionar Purple con FortiWLM? Sí. El enfoque de integración es coherente: configure la URL del Captive Portal externo, las credenciales del servidor RADIUS y el walled garden dentro del controlador FortiWLM, siguiendo la misma secuencia lógica que la configuración de FortiGate.

Pregunta cuatro: ¿qué pasa con el cumplimiento de GDPR? Purple captura el consentimiento explícito a nivel de portal, presentando sus términos y condiciones y avisos de procesamiento de datos antes de la autenticación. Estos datos de consentimiento se almacenan dentro de la plataforma Purple y son auditables. El papel de FortiGate es puramente de aplicación de red; no necesita manejar los datos de consentimiento directamente.

Para resumir los puntos clave del informe de hoy.

Primero: segregate sus SSID de personal y de invitados de forma absoluta. El personal en FortiAuthenticator con 802.1X. Los invitados en Purple con Captive Portal externo.

Segundo: configure meticulosamente su Walled Garden. Es el punto de fallo más común y el elemento de configuración de preautenticación más importante.

Tercero: utilice el modo Bridge para cualquier despliegue de alta densidad para evitar cuellos de botella de DHCP y garantizar una visibilidad precisa de la IP del cliente.

Cuarto: configure tanto el servidor de autenticación RADIUS como el de contabilidad. La contabilidad no es opcional si desea obtener analíticas significativas.

Quinto: aproveche las funciones UTM de Fortinet después de la autenticación. El filtrado web, el control de aplicaciones y la regulación de tráfico deben aplicarse en la política de firewall de postautenticación.

Al ejecutar esta integración correctamente, transforma el WiFi de invitados de un centro de costes en un activo seguro, conforme a las normativas y generador de ingresos. La combinación de la profundidad de seguridad de Fortinet y la inteligencia de marketing de Purple es realmente potente para cualquier operador de establecimientos que quiera tomarse en serio la experiencia de sus invitados y su estrategia de datos.

Gracias por escuchar el informe de arquitectura de Purple. Si desea analizar sus requisitos de despliegue específicos, visite purple.ai para hablar con el equipo de soluciones.

Conclusiones clave

✓Desvincule la autenticación de invitados de la seguridad de la red principal utilizando el RADIUS en la nube de Purple: FortiGate aplica la política, Purple gestiona la identidad.
✓Mantenga una segregación absoluta de SSID y VLAN entre el personal (FortiAuthenticator, 802.1X) y los invitados (Captive Portal externo de Purple).
✓Un Walled Garden configurado meticulosamente es el paso más crítico: las listas de permitidos de dominios de preautenticación incompletas causan la mayoría de los fallos del Captive Portal.
✓Configure tanto el servidor de autenticación RADIUS (puerto 1812) como el de contabilidad (puerto 1813); los datos de contabilidad son esenciales para la analítica de Purple.
✓Utilice el modo Bridge para despliegues de alta densidad para liberar la carga de DHCP, evitar cuellos de botella en FortiGate y mejorar la visibilidad de la IP del cliente.
✓Aplique las políticas UTM de Fortinet (filtrado web de FortiGuard, control de aplicaciones, regulación de tráfico) estrictamente en la política de firewall de postautenticación.
✓Utilice un certificado SSL de confianza pública en la interfaz de redirección de FortiGate para evitar advertencias de certificados de cara al invitado que aumenten el abandono del portal.

Resumen Ejecutivo

Para los equipos de TI de empresas que utilizan la infraestructura de Fortinet, la integración de Captive Portals externos para el acceso de invitados, manteniendo al mismo tiempo una postura de seguridad estricta, es un requisito habitual. La integración entre los puntos de acceso Fortinet FortiAP, los dispositivos de gestión unificada de amenazas (UTM) FortiGate y la plataforma Purple WiFi permite a las organizaciones desvincular la autenticación de invitados de la seguridad de la red principal. Esta guía proporciona a los arquitectos técnicos y a los responsables de TI el plan definitivo para implementar Purple como un Captive Portal externo dentro de un entorno Fortinet. Al delegar la gestión de la identidad de los invitados en el RADIUS en la nube de Purple, los equipos de red pueden aprovechar las sólidas políticas de seguridad de Capa 7 de Fortinet para la inspección del tráfico, al tiempo que capturan datos demográficos de primera mano para impulsar el valor empresarial. Ya sea que se implemente en una red de tiendas distribuidas o en un estadio de alta densidad, esta arquitectura garantiza el cumplimiento de PCI DSS y GDPR, al tiempo que ofrece una experiencia de Guest WiFi fluida.

Análisis Técnico Detallado

La integración arquitectónica entre Fortinet y Purple se basa en protocolos RADIUS estándar y mecanismos de redirección HTTP. Cuando un dispositivo de invitado se asocia con el SSID abierto designado y transmitido por un FortiAP, el FortiGate intercepta la solicitud HTTP/HTTPS inicial. En lugar de ofrecer un Captive Portal local, el FortiGate está configurado para redirigir al cliente a la página de inicio alojada en la nube de Purple.

Durante esta fase de preautenticación, el FortiGate aplica un walled garden (un entorno controlado): una lista estricta de direcciones IP y dominios permitidos que autoriza al dispositivo cliente a cargar los recursos del Captive Portal, realizar inicios de sesión sociales y acceder a servicios esenciales (como DNS) sin conceder acceso total a Internet. Una vez que el usuario se autentica en el portal de Purple, la plataforma Purple se comunica de vuelta con el FortiGate a través de mensajes RADIUS Access-Accept. A continuación, el FortiGate cambia el estado de la sesión del cliente de no autenticado a autenticado, aplicando las políticas de firewall postautenticación correspondientes.

Coexistencia de RADIUS: Purple y FortiAuthenticator

Un desafío arquitectónico frecuente en los entornos Fortinet es la gestión del acceso de invitados junto con la autenticación del personal cuando ya se ha implementado un FortiAuthenticator (FAC) para la identidad corporativa. El enfoque recomendado es la segregación absoluta de SSID. Los dispositivos del personal se conectan a un SSID seguro mediante IEEE 802.1X (normalmente PEAP o EAP-TLS) autenticado directamente contra el FortiAuthenticator. Por el contrario, los dispositivos de los invitados se conectan a un SSID abierto configurado para la redirección a un Captive Portal externo, autenticándose contra la infraestructura RADIUS en la nube de Purple.

Esta separación garantiza que los datos de identidad de los invitados, cruciales para WiFi Analytics , se gestionen por completo dentro de la plataforma Purple, mientras que las credenciales de Active Directory corporativas se siguen procesando de forma segura en el FortiAuthenticator local. El FortiGate gestiona el enrutamiento y la aplicación de políticas para ambos flujos de tráfico de forma independiente, lo que garantiza que no haya cruce entre la VLAN de invitados y la VLAN corporativa. Esta arquitectura también cumple con los requisitos de PCI DSS para la segmentación de red, ya que el tráfico de invitados está aislado física y lógicamente de cualquier infraestructura de procesamiento de pagos.

Guía de Implementación

La implementación de la integración de FortiAP con Purple requiere una configuración coordinada tanto en el portal de Purple como en la infraestructura de Fortinet. Los siguientes pasos describen la ruta crítica para una implementación exitosa utilizando la gestión de AP de FortiCloud.

Paso 1: Configuración de Red y RADIUS

Comience por definir la red dentro del panel de control de FortiCloud. Vaya a Configurar > Mi servidor RADIUS y defina tanto el servidor de autenticación (Puerto 1812) como el servidor de contabilidad (Puerto 1813) utilizando las credenciales proporcionadas en el portal de Purple. Ambos servidores deben estar configurados; la contabilidad no es opcional. Purple se basa en los datos de contabilidad de RADIUS para nutrir el panel de WiFi Analytics con métricas de duración de la sesión, consumo de ancho de banda y frecuencia de visitas. Establezca el intervalo intermedio de contabilidad en 120 segundos para obtener visibilidad en tiempo real.

Paso 2: Definición de SSID y Captive Portal

Cree un nuevo SSID dedicado al acceso de invitados. Establezca el método de autenticación en Abierto y habilite la función de Captive Portal, seleccionando la opción de portal externo o personalizado. Debe introducir la URL de acceso única y la URL de redirección proporcionadas en la pantalla de configuración del portal de Purple.

La configuración del Walled Garden es el paso más delicado de toda la implementación. Debe introducir la lista completa de dominios requeridos por Purple para garantizar que los proveedores de inicio de sesión social (Facebook, Google, X) y los recursos esenciales del portal se carguen correctamente antes de la autenticación. Si no se configura el walled garden con precisión, el flujo de autenticación fallará, ya que el dispositivo cliente no podrá acceder a los recursos externos necesarios. Asegúrese también de que el tráfico DNS (puerto UDP 53) esté explícitamente permitido en la política de preautenticación.

Paso 3: Asignación de IP — Modo NAT frente a Modo Bridge

Al definir el SSID, debe elegir entre el modo NAT y el modo Bridge para la asignación de IP.

En el modo NAT, el FortiGate proporciona direcciones DHCP a los dispositivos de los invitados desde una subred interna dedicada, traduciendo esas direcciones a medida que el tráfico sale del firewall. Esto es adecuado para implementaciones más sencillas o para entornos de menor tamaño en el sector Retail entornos de sucursales donde el FortiGate gestiona toda la subred de invitados.

En el modo Bridge, el FortiAP desvía el tráfico de invitados directamente a una VLAN específica, lo que permite que un servidor DHCP externo asigne las direcciones IP. El modo Bridge se recomienda encarecidamente para entornos de alta densidad, como propiedades de Hospitality o centros de Transport , ya que proporciona una mayor flexibilidad para la gestión de direcciones IP, evita cuellos de botella de DHCP en el FortiGate y permite que la plataforma Purple vea la dirección IP real del cliente para obtener análisis y resolución de problemas más detallados.

Paso 4: Política de firewall posterior a la autenticación

Una vez completada la autenticación, el FortiGate debe aplicar una política de firewall dedicada posterior a la autenticación a la VLAN de invitados. Esta política debe hacer referencia a los perfiles de FortiGuard Web Filtering y Application Control para aplicar restricciones de contenido y bloquear el tráfico peer-to-peer. Aplique un perfil de Traffic Shaper para imponer límites de ancho de banda, evitando que un solo invitado sature el enlace ascendente del establecimiento. Asegúrese de que la política bloquee explícitamente todos los destinos de espacio de direcciones IP privadas RFC 1918 para evitar que los invitados sondeen los recursos de la red interna.

Buenas prácticas

Al diseñar esta integración, siga las siguientes recomendaciones estándar del sector para garantizar la estabilidad, la seguridad y el cumplimiento.

La segregación de VLAN es obligatoria: Nunca despliegue WiFi de invitados en la misma VLAN que los activos corporativos o los sistemas de punto de venta. Se debe aplicar un etiquetado de VLAN estricto a nivel de puerto de switch para mantener el cumplimiento de PCI DSS. El FortiGate debe aplicar políticas de firewall agresivas a la VLAN de invitados, bloqueando todos los destinos de espacio de direcciones IP privadas RFC 1918 para evitar el movimiento lateral.

Optimice los temporizadores de sesión: Configure el tiempo de concesión de DHCP y los intervalos intermedios de contabilidad RADIUS de forma adecuada. Un tiempo de concesión de DHCP de 3600 segundos combinado con un intervalo intermedio de contabilidad de 120 segundos proporciona un equilibrio óptimo entre la conservación de direcciones IP y la generación de informes analíticos precisos en tiempo real dentro del panel de Purple.

Aproveche las funciones UTM de Fortinet después de la autenticación: La principal ventaja de esta integración es la capacidad de aplicar las funciones de seguridad avanzada de Fortinet al tráfico de invitados después de la autenticación. Configure la política de firewall posterior a la autenticación para utilizar FortiGuard Web Filtering y Application Control. Esto mitiga el riesgo de que los invitados utilicen el ancho de banda del establecimiento para actividades maliciosas, descargas torrent o acceso a contenido inapropiado, protegiendo así la reputación de la IP pública del establecimiento y el acuerdo de servicio de internet.

Utilice certificados públicos: Asegúrese de que el FortiGate presente un certificado SSL/TLS válido y de confianza pública en la interfaz de redirección. Los certificados autofirmados provocan advertencias de seguridad en los dispositivos iOS y Android modernos, lo que aumenta significativamente las tasas de abandono de los invitados en el portal.

Resolución de problemas y mitigación de riesgos

Incluso con una configuración meticulosa, los despliegues pueden encontrar dificultades. Comprender los modos de fallo comunes acelera significativamente la resolución.

El Captive Portal no se carga: Si un invitado se conecta pero la página de bienvenida no aparece, el culpable más común es un walled garden incompleto. Verifique que todos los dominios requeridos para Purple y cualquier proveedor de inicio de sesión social configurado estén explícitamente permitidos en la política de preautenticación. Asegúrese de que la resolución DNS funcione correctamente para los clientes no autenticados; si el cliente no puede resolver la URL del portal de Purple, la redirección fallará por completo.

Tiempos de espera de RADIUS: Si el portal se carga pero la autenticación falla constantemente, investigue la ruta de comunicación de RADIUS. Verifique que la dirección IP externa del FortiGate esté correctamente registrada en la configuración del router del portal de Purple. Asegúrese de que los secretos compartidos coincidan exactamente (un solo carácter que no coincida provocará fallos de autenticación silenciosos) y de que ningún firewall intermedio esté bloqueando los puertos UDP 1812 y 1813 entre la infraestructura de Fortinet y los servidores RADIUS en la nube de Purple.

Errores de certificado: Los sistemas operativos móviles modernos son muy sensibles a las anomalías de los certificados SSL/TLS durante la intercepción del Captive Portal. Asegúrese de que el FortiGate presente un certificado válido y de confianza pública para la interfaz de redirección, en lugar de un certificado predeterminado autofirmado. Esto evita alarmantes advertencias de seguridad que disuaden a los invitados de completar el flujo de autenticación.

Brechas en la contabilidad de sesiones: Si el panel de análisis de Purple muestra datos de sesión incompletos o métricas de ancho de banda faltantes, verifique que el servidor de contabilidad RADIUS (puerto 1813) esté configurado correctamente y que el intervalo intermedio de contabilidad esté establecido. Los datos de contabilidad se envían por separado de la autenticación y requieren su propia definición de servidor.

ROI e impacto empresarial

La integración de Fortinet y Purple transforma un centro de costes estándar (el WiFi de invitados) en un activo empresarial medible. Al utilizar el Captive Portal de Purple, los establecimientos capturan datos demográficos y de contacto verificados, lo que permite realizar campañas de marketing dirigidas, aumentar los programas de fidelización y volver a interactuar con los clientes tras la visita. Para los establecimientos que operan en los sectores de Retail o Hospitality , estos datos de origen son cada vez más valiosos a medida que la desaparición de las cookies de terceros limita los canales de marketing digital tradicionales.

Para las operaciones de TI, delegar la autenticación de invitados en el RADIUS en la nube de Purple reduce significativamente la sobrecarga administrativa asociada con la gestión de bases de datos de usuarios locales, la impresión de cupones físicos o el mantenimiento de la infraestructura RADIUS local. La combinación de la incorporación fluida de Purple y la sólida inspección de tráfico de Fortinet garantiza que el establecimiento ofrezca una experiencia de internet segura y de alto rendimiento, al tiempo que genera inteligencia empresarial procesable a través de WiFi Analytics . Esta arquitectura es altamente escalable y admite desde un único hotel boutique a un campus empresarial distribuido, ofreciendo un ROI constante tanto a través de la habilitación de marketing como de la eficiencia operativa.

Definiciones clave

Captive Portal externo

Una configuración en la que el hardware de red (FortiGate/FortiAP) redirige el tráfico de usuarios no autenticados a una página de inicio alojada en un servidor en la nube de un tercero (Purple), en lugar de servir una página almacenada localmente en el dispositivo.

Los equipos de TI utilizan esto para delegar el diseño del portal, el mantenimiento de las API de inicio de sesión social y la captura del consentimiento de GDPR a una plataforma especializada, reduciendo la sobrecarga operativa del equipo de redes.

Walled Garden

Una lista explícita de direcciones IP, dominios y subredes permitidos a los que un dispositivo cliente puede acceder antes de autenticarse correctamente en la red.

Crucial para permitir que los dispositivos carguen los gráficos del Captive Portal, procesen los inicios de sesión de redes sociales y resuelvan consultas DNS antes de tener acceso completo a Internet. La fuente más común de fallos del Captive Portal cuando está mal configurado.

Contabilidad RADIUS

El mecanismo de protocolo que utiliza el puerto UDP 1813 para realizar el seguimiento de la duración de la sesión de un usuario, el consumo de ancho de banda y los volúmenes de transferencia de datos, reportando estos datos de vuelta al servidor RADIUS.

Purple depende de datos de contabilidad precisos del hardware de Fortinet para poblar los paneles de analítica y aplicar límites de tiempo o datos en las sesiones de invitados. Debe configurarse por separado de la autenticación.

FortiAuthenticator (FAC)

El dispositivo dedicado de gestión de identidades y accesos de Fortinet, utilizado para la autenticación de red interna del personal mediante 802.1X, inicio de sesión único y gestión de certificados.

Los administradores de TI a menudo necesitan asegurarse de que el despliegue de Purple para invitados no interrumpa la infraestructura FAC existente utilizada por los empleados corporativos. La respuesta es siempre la segregación de SSID.

SSID en modo Bridge

Una configuración inalámbrica en la que el punto de acceso actúa como un puente transparente de capa 2, pasando el tráfico del cliente directamente a una VLAN específica en la red cableada en lugar de realizar NAT.

Preferido en despliegues empresariales, ya que permite que los servidores DHCP principales existentes gestionen las direcciones IP, evita los cuellos de botella de DHCP en FortiGate y expone las IP reales de los clientes a la plataforma de analítica de Purple.

Política de postautenticación

Las reglas de firewall y los perfiles de Gestión Unificada de Amenazas (UTM) aplicados al tráfico de un usuario solo después de que se haya autenticado correctamente a través del Captive Portal.

Aquí es donde los arquitectos de red aplican el filtrado web, el control de aplicaciones y la regulación del ancho de banda para proteger la red del establecimiento frente a actividades maliciosas de los invitados. Purple gestiona la identidad; FortiGate gestiona la aplicación de políticas.

IEEE 802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos, que proporciona un marco para autenticar dispositivos que desean conectarse a una LAN o WLAN utilizando métodos EAP como PEAP o EAP-TLS.

Utilizado para el acceso seguro del personal a través de FortiAuthenticator, a diferencia de la autenticación abierta basada en portal utilizada para los invitados a través de Purple. Los dos métodos de autenticación coexisten en SSID separados.

RADIUS-as-a-Service

Una infraestructura RADIUS alojada en la nube proporcionada por Purple, que elimina la necesidad de que los establecimientos desplieguen y mantengan servidores RADIUS locales como FreeRADIUS o Windows NPS.

Reduce la sobrecarga de infraestructura para los equipos de TI al tiempo que garantiza una alta disponibilidad y una integración perfecta con la plataforma del Captive Portal. Especialmente valioso para despliegues distribuidos de comercio minorista u hostelería.

FortiGuard

El servicio de suscripción de filtrado de contenido e inteligencia de amenazas basado en la nube de Fortinet, que proporciona filtrado web en tiempo real, control de aplicaciones y firmas de prevención de intrusiones a los dispositivos FortiGate.

Se aplica a través de políticas de firewall de postautenticación para inspeccionar y controlar el tráfico de Internet de los invitados después de que Purple haya autenticado al usuario, protegiendo la red del establecimiento y la reputación de la IP.

Ejemplos prácticos

Un hotel de 200 habitaciones utiliza actualmente un FortiGate 100F y FortiAPs. Utilizan FortiAuthenticator para la autenticación 802.1X del personal. Quieren implementar Purple WiFi para que los huéspedes capturen datos de marketing, pero al director de TI le preocupa que el portal de invitados interfiera con el flujo de autenticación existente del personal.

Desplegar una segregación absoluta de SSID. Mantener el SSID Staff_WiFi existente configurado para WPA2-Enterprise, apuntando al servidor RADIUS de FortiAuthenticator en el puerto 1812. Crear un nuevo SSID Guest_WiFi independiente configurado como una red abierta con el Captive Portal externo habilitado. Configurar la URL del Captive Portal para que apunte a la página de inicio de Purple, y configurar los parámetros RADIUS para este SSID específico para que apunten a los servidores RADIUS en la nube de Purple (puerto 1812 para autenticación, puerto 1813 para contabilidad). Mapear el SSID de invitados a una VLAN aislada con una política de firewall dedicada. El FortiGate enruta las solicitudes de autenticación en función del SSID de origen, garantizando una interferencia cero entre los dos sistemas de autenticación.

Comentario del examinador: Este enfoque aprovecha la capacidad de FortiGate para definir parámetros de autenticación por SSID. Resuelve elegantemente el requisito de coexistencia sin necesidad de un proxy RADIUS complejo o reglas de reenvío condicional en el FortiAuthenticator. La clave es que el FortiGate actúa como el punto de aplicación de la política de tráfico para ambos SSID, mientras que la verificación de la identidad se delega en la plataforma adecuada para cada tipo de usuario.

Una cadena de tiendas está desplegando FortiCloud APs en 50 ubicaciones. Quieren utilizar Purple WiFi para la analítica de invitados. Durante las pruebas en el primer sitio, el invitado se conecta al WiFi, pero su dispositivo muestra una página en blanco o un error de tiempo de espera de conexión en lugar de la página de inicio de Purple.

El equipo de TI debe auditar y actualizar la configuración del Walled Garden en los ajustes del SSID de FortiCloud AP. El FortiAP está bloqueando actualmente las solicitudes HTTP/HTTPS del cliente a los recursos del portal de Purple antes de la autenticación. El equipo debe introducir la lista completa de los dominios requeridos por Purple —incluyendo los endpoints de CDN y los dominios de los proveedores de inicio de sesión social— en la lista de permitidos del Walled Garden. También deben verificar que la política de preautenticación permite explícitamente el tráfico DNS en el puerto UDP 53, para que el dispositivo cliente pueda resolver el nombre de host del portal. Una vez corregido en el primer sitio, esta configuración debe convertirse en plantilla y aplicarse de forma coherente en las 50 ubicaciones.

Comentario del examinador: Las configuraciones incorrectas del Walled Garden son la causa más frecuente de fallos en el Captive Portal en todos los proveedores de hardware. La solución identifica correctamente que el tráfico de preautenticación debe permitirse explícitamente. Si el dispositivo no puede acceder al CSS, JavaScript o a las API de inicio de sesión social del portal, el flujo de autenticación no puede iniciarse. Crear una plantilla con la solución para todos los sitios evita que el mismo problema se repita a gran escala.

Preguntas de práctica

Q1. Su despliegue requiere que los invitados se autentiquen a través de una página de inicio de Purple. Ha configurado el SSID, los servidores RADIUS y la URL de redirección. Sin embargo, al conectarse, los dispositivos de los invitados informan inmediatamente de que no hay conexión a Internet y el portal no aparece automáticamente. ¿Cuál es la omisión de configuración más probable?

Sugerencia: Considere qué acceso a la red requiere un dispositivo antes de haberse autenticado completamente en la red.

Ver respuesta modelo

Es probable que el Walled Garden (lista de permitidos de preautenticación) esté incompleto o falte por completo. El dispositivo necesita permiso explícito para acceder a los dominios del portal de Purple, a las API de inicio de sesión social (Facebook, Google) y realizar la resolución DNS antes de que el FortiGate conceda acceso completo. Sin esto, el asistente de Captive Portal del dispositivo no puede llegar a la URL de destino para activar la ventana emergente. Además, verifique que el tráfico DNS en el puerto UDP 53 esté permitido en la política de preautenticación.

Q2. Un despliegue en un estadio prevé 15.000 conexiones simultáneas de invitados durante los eventos. El diseño actual propone utilizar el FortiGate en modo NAT para proporcionar DHCP al SSID de invitados desde una única subred /20. ¿Por qué podría esta decisión de arquitectura crear problemas operativos y cuál es la alternativa recomendada?

Sugerencia: Considere la sobrecarga de procesamiento en el firewall FortiGate y las implicaciones de la rotación de concesiones DHCP a gran escala.

Ver respuesta modelo

El uso del modo NAT coloca toda la carga de procesamiento DHCP en el FortiGate, que puede tener dificultades con la rápida rotación de concesiones de 15.000 dispositivos transitorios que se conectan y desconectan a lo largo de un evento. Una única subred /20 proporciona solo 4.094 direcciones útiles, lo que puede ser insuficiente para los picos de conexiones simultáneas. Además, el modo NAT oculta la IP real del cliente a la plataforma Purple, lo que limita la profundidad analítica. El enfoque recomendado es el modo Bridge, que dirige el tráfico de invitados a una VLAN dedicada gestionada por una infraestructura DHCP empresarial externa robusta con grupos de direcciones del tamaño adecuado.

Q3. El CISO exige que el tráfico WiFi de invitados no consuma más del 20% del ancho de banda total de Internet del establecimiento, y se debe evitar que los invitados accedan a redes de intercambio de archivos peer-to-peer. ¿En qué parte de la arquitectura Fortinet-Purple se aplica esta política y qué funciones específicas de Fortinet se requieren?

Sugerencia: Determine qué componente gestiona la inspección de tráfico y la aplicación de políticas después de que Purple haya verificado la identidad del usuario.

Ver respuesta modelo

Esta política se aplica en el dispositivo UTM FortiGate a través de la política de firewall de postautenticación aplicada a la VLAN de invitados. Mientras que Purple gestiona la autenticación y la captura de identidad, el FortiGate sigue siendo responsable de la inspección y aplicación del tráfico de Capa 7. El equipo de red debe configurar un perfil de control de aplicaciones de FortiGuard para bloquear las categorías P2P (BitTorrent, eDonkey, etc.) y aplicar un perfil de regulador de tráfico (Traffic Shaper) a la política de invitados para imponer el límite del 20% de ancho de banda. Ambos perfiles deben estar referenciados en la política de firewall de postautenticación, no en la política de Walled Garden de preautenticación.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para captive portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK.

Integración de puntos de acceso Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para despliegues multiinquilino seguros.

Integración de los puntos de acceso Grandstream GWN con Purple WiFi

Esta guía técnica de referencia autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multiinquilino, proporcionando una guía práctica paso a paso para MSP e instalaciones de TI que desplieguen WiFi para invitados y personal a gran escala.