Saltar al contenido principal
Español

Integración de Sophos Firewall y puntos de acceso con Purple WiFi

Esta guía detalla la integración técnica de Sophos Firewall (XG/XGS) y los puntos de acceso Sophos AP6/APX con Purple WiFi. Cubre la redirección de Captive Portal externo, la configuración de autenticación y contabilidad RADIUS, la configuración de Walled Garden, 802.1X para Staff WiFi y la asignación dinámica de VLAN mediante Sophos PPSK para la segregación segura de redes multi-inquilino en sectores de hostelería, retail y espacios públicos.

📖 9 min de lectura📝 2,208 palabras🔧 2 ejemplos prácticos4 preguntas de práctica📚 9 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Bienvenido a la sesión informativa sobre la arquitectura de Purple. Hoy analizaremos en detalle una integración fundamental para redes empresariales: el despliegue de Purple WiFi junto con la infraestructura de Sophos, específicamente los puntos de acceso Sophos AP6 y APX y los firewalls Sophos XG y XGS. Si eres responsable de TI, arquitecto de redes o director de tecnología y gestionas un espacio físico, ya sea una cadena de tiendas, un estadio o un hospital, esta sesión está diseñada para ofrecerte el plan de acción práctico para lograr que estas dos potentes plataformas funcionen juntas sin problemas. Pongámonos en contexto. Sophos es reconocido por su sólida postura de seguridad. Los dispositivos Sophos Firewall proporcionan inspección profunda de paquetes y seguridad sincronizada. Sin embargo, cuando se trata de WiFi para invitados, no solo buscas seguridad. Buscas valor empresarial. Quieres capturar datos demográficos, comprender el comportamiento de los visitantes e impulsar el retorno de la inversión en marketing. Ahí es donde entra Purple. Al integrar Purple como un Captive Portal externo, delegas el trabajo pesado de la gestión de identidades de invitados, el consentimiento del GDPR y los inicios de sesión sociales en el RADIUS en la nube de Purple, mientras dejas que el Sophos Firewall haga lo que mejor sabe hacer: proteger el perímetro. Entonces, ¿cómo funciona esto realmente a nivel técnico? Entremos en materia. La arquitectura se basa en protocolos RADIUS estándar y redireccionamiento HTTP. Cuando el usuario de un establecimiento se asocia con el SSID abierto de WiFi para invitados emitido por el punto de acceso de Sophos, el Sophos Firewall intercepta esa solicitud web inicial. En lugar de ofrecer una página de portal básica almacenada localmente, el firewall redirige al cliente a la página de bienvenida (splash page) alojada en la nube de Purple. Ahora bien, aquí está el concepto crítico: el Walled Garden. Durante esta fase de autenticación previa, el usuario no tiene acceso a internet. Sin embargo, necesita cargar los elementos gráficos del portal y es posible que deba acceder a Facebook o Google para iniciar sesión. El Walled Garden es una lista de permitidos estricta configurada en el Sophos Firewall que autoriza el tráfico hacia estos dominios específicos. Una vez que el usuario se autentica, la plataforma de Purple envía un mensaje RADIUS Access-Accept de vuelta al Sophos Firewall. A continuación, el firewall realiza el cambio, modificando el estado de la sesión a autenticado, y da acceso al usuario a la política de firewall posterior a la autenticación. Hablemos de la configuración de RADIUS con más detalle, porque aquí es donde la precisión importa. Purple te proporciona dos conjuntos de credenciales RADIUS: uno para la autenticación en el puerto 1812 y otro para la contabilidad (accounting) en el puerto 1813. Ambos deben estar configurados. El servidor de contabilidad no es opcional. Es el mecanismo mediante el cual el Sophos Firewall informa de los datos de la sesión a Purple, incluyendo la duración, el ancho de banda consumido y los eventos de finalización de la sesión. Sin datos de contabilidad precisos, tu panel de analítica de Purple mostrará métricas de visitantes incompletas o inexactas. Configura el intervalo intermedio de contabilidad en 120 segundos. Esto proporciona un buen equilibrio entre visibilidad en tiempo real y sobrecarga de red. Hablemos ahora de un escenario que surge constantemente en los despliegues empresariales: el WiFi multiinquilino. Piense en un espacio de coworking, un bloque de viviendas de alquiler de obra nueva o una residencia de estudiantes. Hay múltiples grupos de usuarios distintos que necesitan acceso a WiFi, pero que deben estar completamente aislados entre sí a nivel de red. Transmitir un SSID independiente para cada inquilino no es viable. Crea congestión de radiofrecuencia y gestionarlo es una pesadilla operativa. La solución son las claves precompartidas privadas de Sophos (PPSK), combinadas con la asignación dinámica de VLAN. Así es como funciona. Configura un único SSID en sus puntos de acceso Sophos AP6. A continuación, proporciona una contraseña única a cada inquilino o grupo de usuarios. Cuando un dispositivo se conecta y presenta su clave única, el punto de acceso de Sophos autentica esa clave a través de RADIUS. El servidor RADIUS devuelve un atributo de ID de VLAN específico en el mensaje Access-Accept. El punto de acceso etiqueta dinámicamente el tráfico del usuario con ese ID de VLAN, situándolo en su segmento de red dedicado. Redes basadas en la identidad en acción. Un SSID, múltiples redes aisladas, cero sobrecarga de radiofrecuencia por transmisiones adicionales. Esta arquitectura también ofrece una importante ventaja en materia de conformidad normativa. Según los requisitos de PCI DSS, las redes WiFi de invitados deben estar completamente aisladas de cualquier segmento de red que gestione datos de titulares de tarjetas. Al ubicar el SSID de invitados en una VLAN dedicada y aplicar políticas de cortafuegos estrictas en Sophos Firewall para bloquear todos los destinos de espacio de IP privada RFC 1918, cumplirá este requisito de forma limpia. Purple, que opera en 80.000 recintos en vivo y ha procesado 440 millones de inicios de sesión en 2024, cuenta con la certificación ISO 27001, cumple con el GDPR y tiene la certificación Cyber Essentials, por lo que la garantía de conformidad se extiende también a la capa de identidad. Pasemos ahora a las recomendaciones de implementación. Cuando configure esto, tendrá que tomar una decisión crucial en relación con la asignación de IP: el modo NAT frente al modo Bridge. Si va a realizar el despliegue en una pequeña sucursal comercial con un máximo de cincuenta a cien conexiones de invitados concurrentes, el modo NAT es perfectamente adecuado. El punto de acceso de Sophos asigna direcciones DHCP a los invitados desde una subred interna dedicada y las traduce a medida que sale el tráfico. Es sencillo y requiere una infraestructura adicional mínima. Pero si está desplegando en un entorno de alta densidad, por ejemplo, un hotel de quinientas habitaciones, un centro de conferencias con múltiples eventos simultáneos o un estadio, debe utilizar el modo Bridge. En el modo Bridge, el punto de acceso de Sophos redirige el tráfico de invitados directamente a una VLAN dedicada, lo que permite que sus servidores DHCP empresariales principales gestionen la carga. Esto evita que el punto de acceso o el cortafuegos se conviertan en un cuello de botella de DHCP durante los picos de conexión. El modo Bridge también garantiza que la plataforma Purple vea la dirección IP real del cliente, lo cual es vital para realizar análisis precisos y resolver problemas. Hablemos de la secuencia de configuración paso a paso, porque el orden importa aquí. Comience en el portal de Purple. Recupere sus credenciales del servidor RADIUS: las direcciones IP del servidor, los secretos compartidos, la URL del Captive Portal y la URL de redirección. Estos son los cuatro elementos críticos de información que necesita antes de modificar la configuración de Sophos. A continuación, diríjase a Sophos Central o a la interfaz de gestión de su firewall local. Defina primero sus servidores RADIUS, autenticación en el puerto 1812, contabilidad (accounting) en el 1813. Luego, configure su Walled Garden en la sección Hotspot Settings. Después, cree su SSID de invitados, establezca el cifrado en Abierto (Open), habilite el Captive Portal e introduzca la URL del portal de Purple. Y por último, defina las reglas de firewall posteriores a la autenticación. Específicamente para el Walled Garden, debe permitir como mínimo los siguientes dominios: el dominio del portal de Purple, normalmente region1.purpleportal.net; venuewifi.com; y cualquier dominio de inicio de sesión social que vayan a utilizar sus invitados, como facebook.com, accounts.google.com y sus dominios CDN asociados. Si utiliza Microsoft Entra ID u Okta para la federación de identidades, esos dominios también deben incluirse. ¿Qué ocurre con los errores habituales? ¿Dónde suelen fallar las implementaciones? El problema número uno, sin duda, es un Walled Garden incompleto. Si un invitado se conecta y ve una pantalla en blanco o un tiempo de espera de conexión agotado, casi siempre significa que el Firewall de Sophos está bloqueando el acceso a los archivos CSS de Purple, a los recursos JavaScript o a las API de inicio de sesión social antes de la autenticación. Debe asegurarse de que todos los dominios requeridos estén explícitamente permitidos en esa política previa a la autenticación. Purple proporciona una lista completa de dominios requeridos. Utilícela en su totalidad. Además, no se olvide del DNS. Se debe permitir que los clientes no autenticados resuelvan consultas DNS, o de lo contrario la redirección sencillamente no funcionará. El dispositivo necesita resolver el nombre de host del portal de Purple antes de poder siquiera intentar cargar la página. El segundo error más común son los fallos de certificados. Asegúrese de que su Firewall de Sophos presente un certificado SSL válido y de confianza pública para la interfaz de redirección. Si utiliza el certificado autofirmado predeterminado, los iPhones modernos y los dispositivos Android mostrarán advertencias de seguridad graves y sus invitados abandonarán la conexión por completo. Este es un problema especialmente crítico en entornos de hostelería donde la experiencia del invitado es fundamental. El tercer error son los fallos por tiempo de espera de RADIUS. Si el portal se carga pero la autenticación falla sistemáticamente, verifique que los secretos compartidos coincidan exactamente entre su configuración de Sophos y el portal de Purple. Incluso una diferencia de un solo carácter hará que todos los intentos de autenticación fallen de forma silenciosa. Verifique también que ningún firewall intermedio esté bloqueando los puertos UDP 1812 y 1813 entre su infraestructura de Sophos y los servidores RADIUS en la nube de Purple. Terminemos con una sesión rápida de preguntas y respuestas basada en las dudas más comunes que recibimos de los clientes. Pregunta uno: ¿el uso de Purple elude mis políticas de seguridad de Sophos Firewall? En absoluto. Purple se encarga de la autenticación y del registro de la identidad. Una vez autenticado, todo el tráfico de invitados fluye a través de la política post-autenticación de su Sophos Firewall. Aquí es precisamente donde se aplica el filtrado web, se bloquea el tráfico de red entre pares (peer-to-peer) y se asigna el ancho de banda. Piénselo de esta manera: la pre-autenticación es permisiva para permitir el inicio de sesión; la post-autenticación es restrictiva para proteger la red. Pregunta dos: ¿necesito implementar servidores RADIUS locales? No. Purple ofrece RADIUS-as-a-Service. Solo tiene que configurar los AP de Sophos para que apunten directamente a las direcciones IP de RADIUS en la nube de Purple. No es necesario implementar ni mantener FreeRADIUS o Windows NPS para la red de invitados. Pregunta tres: ¿puedo usar Purple tanto con Sophos AP6 como con la serie APX anterior? Sí. El enfoque de integración es el mismo en ambas generaciones de hardware. Sin embargo, tenga en cuenta que Sophos ha anunciado que el fin de la vida útil de la serie APX será el 31 de diciembre de 2027. Si está planeando una nueva implementación, invierta en la serie AP6, que es compatible con Wi-Fi 6 y Wi-Fi 6E. Pregunta cuatro: ¿qué ocurre con el cumplimiento del GDPR? Purple registra el consentimiento explícito en el nivel de portal, mostrando sus términos y condiciones y los avisos de procesamiento de datos antes de la autenticación. Estos datos de consentimiento se almacenan dentro de la plataforma Purple y son auditables. El papel de Sophos Firewall es puramente la aplicación de políticas de red. Para resumir los puntos clave de la sesión informativa de hoy. Primero: segregue por completo sus SSID de personal y de invitados. El personal en 802.1X con WPA2-Enterprise. Los invitados en Purple con un Captive Portal externo. Segundo: configure meticulosamente su Walled Garden (entorno cerrado). Es el punto de fallo más común y el elemento de configuración de pre-autenticación más importante. Tercero: utilice el modo Bridge para cualquier implementación de alta densidad para evitar cuellos de botella de DHCP y garantizar una visibilidad precisa de la IP del cliente. Cuarto: configure tanto los servidores de autenticación RADIUS como los de contabilidad (accounting). El registro de actividad no es opcional si desea obtener análisis significativos. Quinto: aproveche Sophos PPSK para entornos multi-inquilino para habilitar redes basadas en la identidad con asignación dinámica de VLAN. Un SSID, múltiples redes aisladas. Sexto: aplique estrictamente las políticas de seguridad de Sophos en la post-autenticación. El filtrado web, el control de aplicaciones y la asignación de ancho de banda deben aplicarse en la política de firewall de post-autenticación. Al ejecutar esta integración correctamente, transforma el WiFi de invitados de un centro de costes a un activo seguro, conforme a la normativa y generador de ingresos. La combinación de la seguridad profunda de Sophos y la inteligencia de marketing de Purple es verdaderamente potente para cualquier operador de espacios que quiera tomarse en serio la experiencia de sus invitados y su estrategia de datos. Gracias por escuchar la Sesión Informativa de Arquitectura de Purple. Si desea analizar los requisitos específicos de su implementación, visite purple.ai para hablar con el equipo de soluciones.

header_image.png

Resumen ejecutivo

Si gestiona una infraestructura Sophos y necesita desplegar un Guest WiFi que recopile datos de primera mano, esta guía le proporciona los pasos de configuración exactos. Purple se integra con Sophos Firewall (series XG y XGS) y los puntos de acceso Sophos AP6/APX como un Captive Portal externo, delegando la gestión de identidad de invitados, la captura del consentimiento de GDPR y el inicio de sesión con redes sociales en el RADIUS en la nube de Purple. Su Sophos Firewall continúa aplicando la inspección profunda de paquetes y la gestión unificada de amenazas en todo el tráfico. El resultado: una red segmentada y conforme a la normativa donde los invitados se autentican a través de una página de bienvenida personalizada de Purple, el personal se conecta mediante 802.1X con WPA2-Enterprise y los entornos multiinquilino utilizan claves previamente compartidas privadas (PPSK) de Sophos para la asignación dinámica de VLAN. Purple opera en más de 80.000 sedes activas y procesó 440 millones de inicios de sesión en 2024 (datos internos de Purple, 2024). Cuenta con la certificación ISO 27001, cumple con el GDPR y dispone de la certificación Cyber Essentials.

Análisis técnico detallado

Cómo funciona el redireccionamiento

La integración utiliza protocolos RADIUS estándar y redireccionamiento HTTP. Cuando el usuario de un establecimiento se asocia a su SSID de Guest WiFi abierto en un punto de acceso Sophos AP6 o APX, el Sophos Firewall intercepta la primera solicitud HTTP de ese dispositivo no autenticado. En lugar de mostrar una página de inicio de sesión almacenada localmente, el cortafuegos emite un redireccionamiento 302 a la URL de la página de bienvenida alojada en la nube de Purple, normalmente con el formato https://region1.purpleportal.net/access/.

Durante esta fase de autenticación previa, el dispositivo permanece dentro de un Walled Garden: una lista de permitidos estricta de dominios a los que los dispositivos no autenticados pueden acceder. Esta lista de permitidos debe incluir los recursos del portal de Purple, cualquier proveedor de inicio de sesión social (Facebook, Google, LinkedIn) y cualquier extremo de federación de identidades que utilice, como Microsoft Entra ID o Okta. Una vez que el usuario completa la autenticación en la página de bienvenida de Purple, el RADIUS en la nube de Purple envía un mensaje RADIUS Access-Accept al Sophos Firewall. El cortafuegos actualiza el estado de la sesión a autenticado y aplica su política de seguridad posterior a la autenticación.

Autenticación y contabilidad RADIUS

Purple ofrece RADIUS-as-a-Service. No necesita desplegar FreeRADIUS, Windows NPS ni ninguna infraestructura RADIUS local para la red de invitados. Configure el Sophos Firewall para que apunte directamente a las direcciones IP del RADIUS en la nube de Purple.

Se requieren dos funciones RADIUS:

Función Protocolo Puerto Propósito
Autenticación UDP 1812 Valida las credenciales de los invitados y devuelve Access-Accept o Access-Reject
Contabilidad UDP 1813 Informa del inicio de la sesión, las actualizaciones provisionales y el final de la sesión a Purple

El accounting no es opcional. Es el mecanismo mediante el cual Sophos Firewall reporta la duración de la sesión, el ancho de banda consumido y los eventos de finalización de sesión a Purple. Sin los datos de accounting, tu panel de WiFi Analytics mostrará métricas de visitantes incompletas. Establece el intervalo provisional de accounting en 120 segundos para lograr un buen equilibrio entre la visibilidad en tiempo real y la sobrecarga de la red.

La clave secreta compartida de RADIUS debe coincidir exactamente entre tu configuración de Sophos y el portal de Purple. Una diferencia de un solo carácter provoca fallos de autenticación silenciosos.

Configuración del Walled Garden

El Walled Garden es el elemento de configuración previo a la autenticación más importante y la fuente más común de fallos de despliegue. Configúralo en Wireless > Hotspot Settings en tu Sophos Firewall.

Debes permitir los siguientes dominios como mínimo:

Categoría Dominios a permitir
Núcleo de Purple region1.purpleportal.net, venuewifi.com, cloudfront.net
Pago (si aplica) stripe.com
Widget del tiempo (si se usa) openweathermap.org
Inicio de sesión con Facebook facebook.com, fbcdn.net, connect.facebook.net, akamaihd.net
Inicio de sesión con Google accounts.google.com, googleapis.com, gstatic.com
Inicio de sesión con LinkedIn linkedin.com, licdn.net, licdn.com
Microsoft Entra ID login.microsoftonline.com, login.microsoft.com

Permite siempre la resolución DNS (puerto UDP 53) para clientes no autenticados. Sin DNS, los dispositivos no pueden resolver el nombre de host del portal de Purple y la redirección falla antes de comenzar.

802.1X para Staff WiFi

Para el Staff WiFi, utiliza 802.1X (control de acceso a la red basado en puertos IEEE 802.1X) con WPA2-Enterprise o WPA3-Enterprise. Configura el AP de Sophos para usar EAP-TLS (basado en certificados) o PEAP-MSCHAPv2 (usuario/contraseña) contra tu servidor RADIUS interno o un proveedor de identidad en la nube como Microsoft Entra ID.

El servidor RADIUS devuelve atributos de asignación de VLAN para ubicar los dispositivos del personal autenticados en la VLAN interna correcta. Este es el mismo mecanismo de VLAN dinámica que se describe a continuación para PPSK, aplicado a la autenticación empresarial.

Mantén el SSID y la VLAN de Staff WiFi completamente separados del SSID y la VLAN de Guest WiFi. Nunca conectes el tráfico de invitados mediante puente (bridge) a las subredes de gestión o corporativas. Esta separación es un requisito de PCI DSS si algún segmento de la red maneja datos de titulares de tarjetas.

Sophos PPSK y asignación dinámica de VLAN para entornos multi-inquilino

En entornos multi-inquilino (espacios de coworking, bloques residenciales de alquiler, alojamiento para estudiantes o concesiones minoristas) es necesario aislar a los diferentes grupos de usuarios a nivel de red sin emitir un SSID independiente para cada inquilino. Emitir múltiples SSIDs aumenta la sobrecarga de radiofrecuencia y complica la gestión.

Los puntos de acceso Sophos AP6 admiten PPSK (Private Pre-Shared Key), también conocido como Identity PSK o PSK por usuario. PPSK permite que un único SSID acepte múltiples contraseñas únicas, cada una de ellas asignada a una VLAN específica a través de atributos RADIUS.

El flujo de asignación dinámica de VLAN funciona de la siguiente manera:

  1. Un residente o miembro se conecta al SSID compartido único e introduce su PPSK único.
  2. El AP de Sophos envía una solicitud RADIUS Access-Request al servidor RADIUS configurado, incluyendo el PPSK como credencial.
  3. El servidor RADIUS valida el PPSK y devuelve un Access-Accept con los siguientes atributos de VLAN:
    • Tunnel-Type = VLAN (valor 13)
    • Tunnel-Medium-Type = IEEE-802 (valor 6)
    • Tunnel-Private-Group-ID = `` (p. ej., 100)
  4. El AP de Sophos etiqueta el tráfico del dispositivo con el VLAN ID devuelto, ubicándolo en el segmento de red aislado correcto.

Esto es Identity-Based Networking (Redes Basadas en la Identidad): un SSID, múltiples VLAN aisladas, impulsadas por la credencial única del usuario.

ppsk_vlan_diagram.png

architecture_overview.png

Guía de implementación

Paso 1: Recuperar las credenciales de Purple

Inicie sesión en el portal de Purple. Vaya a Administración > Ubicaciones > [Su local] > Hardware > Añadir hardware. Seleccione Sophos como tipo de hardware. El portal mostrará:

  • Direcciones IP de los servidores RADIUS principal y secundario
  • Secreto compartido de RADIUS
  • URL del Captive Portal (p. ej., https://region1.purpleportal.net/access/)
  • URL de redirección (p. ej., https://region1.purpleportal.net/access/?res=success)
  • Lista completa de dominios del Walled Garden

Tome nota de los cuatro valores antes de continuar.

Paso 2: Configurar los servidores RADIUS en Sophos Firewall

Vaya a Autenticación > Servidores en Sophos Firewall (o a Sophos Central > Wireless > SSIDs > [SSID] > Configuración avanzada para configuraciones gestionadas por AP).

  1. Haga clic en Añadir para crear una nueva entrada de servidor RADIUS.
  2. Establezca la IP del servidor en la dirección IP del RADIUS principal de Purple.
  3. Establezca el Puerto de autenticación en 1812.
  4. Establezca el Puerto de contabilidad en 1813.
  5. Introduzca el Secreto compartido obtenido del portal de Purple.
  6. Repita el proceso para el servidor RADIUS secundario de Purple.

Para los Sophos AP6 gestionados a través de Sophos Central, configure el servidor RADIUS en la sección Configuración avanzada > Autenticación de backend del SSID.

Paso 3: Configurar el Walled Garden

Vaya a Wireless > Configuración de punto de acceso en Sophos Firewall.

  1. En Walled garden, haga clic en Añadir nuevo elemento.
  2. Añada cada dominio de la lista facilitada por Purple.
  3. Asegúrese de que el DNS (puerto UDP 53) está permitido para clientes no autenticados mediante una regla de firewall de preautenticación.
  4. Haga clic en Aplicar.

Paso 4: Crear el SSID de invitados

Vaya a Wireless > Wireless Settings > SSIDs (o Sophos Central > Wireless > SSIDs).

  1. Haga clic en Add SSID.
  2. Establezca el Encryption mode en Open (sin clave precompartida).
  3. En Advanced Settings > Captive portal, active el Captive Portal.
  4. Seleccione Backend authentication como tipo de autenticación.
  5. Introduzca la IP del servidor RADIUS de Purple, el puerto 1812 y el secreto compartido.
  6. Establezca la Redirect URL con la URL de la página de inicio de Purple.
  7. Asigne el SSID a una VLAN dedicada para invitados (por ejemplo, VLAN 100).
  8. Active Client isolation para evitar el tráfico de invitado a invitado.

Paso 5: Crear reglas de firewall posteriores a la autenticación

Vaya a Rules and policies > Firewall rules.

  1. Cree una regla que permita el tráfico desde la VLAN de invitados hacia la zona WAN.
  2. Aplique filtrado web para bloquear categorías maliciosas.
  3. Aplique limitación de tráfico para restringir el ancho de banda por usuario (recomendado: 10 Mbps de bajada, 5 Mbps de subida para redes de invitados).
  4. Bloquee explícitamente todo el tráfico desde la VLAN de invitados hacia cualquier VLAN interna que contenga sistemas POS, PMS o recursos corporativos.

Paso 6: Configurar PPSK para entornos multiinquilino (opcional)

  1. En Sophos Central, cree un SSID WPA2-Personal.
  2. Active RADIUS VLAN assignment en la configuración avanzada del SSID.
  3. Configure el servidor RADIUS para aceptar credenciales PPSK y devolver los atributos de VLAN adecuados por grupo de usuarios.
  4. Emita PPSK únicas para cada grupo de inquilinos a través del portal de Purple o de su interfaz de gestión RADIUS.

Buenas prácticas

Segregue el tráfico en Capa 2 y Capa 3. Coloque siempre el WiFi de invitados en una VLAN dedicada. Cree reglas de firewall explícitas para bloquear todo el tráfico desde la VLAN de invitados hacia el espacio de direcciones RFC 1918 en los segmentos internos. Esto cumple con los requisitos de segmentación de red de PCI DSS y evita el movimiento lateral en caso de que un dispositivo de invitado se vea comprometido.

Utilice el modo Bridge para despliegues de alta densidad. En entornos con más de 200 conexiones de invitados simultáneas (hoteles, estadios, centros de conferencias), configure el SSID de invitados en modo Bridge. Esto redirige el tráfico a una VLAN gestionada por servidores DHCP empresariales, evitando que el punto de acceso de Sophos o el firewall se conviertan en un cuello de botella para el DHCP. Un hotel de 500 habitaciones al 70 % de ocupación con dos dispositivos por invitado genera aproximadamente 700 concesiones de DHCP simultáneas. El DHCP empresarial gestiona esto; el DHCP integrado del punto de acceso, no.

Utilice un certificado SSL de confianza pública. Configure el Firewall de Sophos para presentar un certificado firmado por una CA pública para la interfaz de redirección. Los certificados autofirmados generan advertencias de seguridad del navegador en iOS y Android, lo que aumenta las tasas de abandono del portal. Esto es especialmente importante en entornos de hostelería , donde la experiencia del invitado afecta directamente a las puntuaciones de las reseñas. Configure tanto la autenticación RADIUS como el accounting. La autenticación (puerto 1812) concede el acceso. El accounting (puerto 1813) realiza el seguimiento del uso. Ambos son necesarios para que las analíticas de Purple funcionen correctamente. Los datos de accounting impulsan las métricas de duración de las sesiones, los informes de ancho de banda y la identificación de visitantes recurrentes en el panel de Purple.

Planifique su Walled Garden antes de la puesta en marcha. Pruebe el portal en al menos un dispositivo iOS y un dispositivo Android antes de implementarlo en producción. Ambas plataformas tienen diferentes mecanismos de detección de Captive Portal y pueden comportarse de manera distinta ante configuraciones incompletas del Walled Garden. Utilice una captura de paquetes en el Sophos Firewall para identificar cualquier dominio bloqueado durante la fase de preautenticación.

Aplique Sophos Synchronized Security tras la autenticación. Los puntos de acceso Sophos AP6 son compatibles con Synchronized Security, que se integra con Sophos Endpoint Protection. Si un dispositivo invitado se identifica como comprometido (estado de Security Heartbeat en rojo), el punto de acceso puede restringir automáticamente ese dispositivo al Walled Garden, aislándolo de internet sin intervención manual. Este es un control de seguridad significativo para entornos de salud y comercio minorista .

Para un contexto de seguridad de WiFi empresarial más amplio, consulte nuestra guía sobre Seguridad WiFi Empresarial: Una Guía Completa para 2026 .

Resolución de problemas y mitigación de riesgos

Síntoma: La página del portal no se carga (pantalla en blanco o tiempo de espera agotado) Causa: Walled Garden incompleto. El Sophos Firewall está bloqueando el acceso a los recursos CSS/JS de Purple o a las API de inicio de sesión social antes de la autenticación. Solución: Habilite la captura de paquetes en el Sophos Firewall para la VLAN de invitados. Identifique los dominios bloqueados. Agréguelos al Walled Garden. Verifique que se permita el DNS antes de la autenticación.

Síntoma: El portal se carga pero la autenticación siempre falla Causa: Discrepancia en el secreto compartido de RADIUS, o los puertos UDP 1812/1813 están bloqueados. Solución: Verifique el secreto compartido carácter por carácter tanto en la configuración de Sophos como en el portal de Purple. Utilice nmap -sU -p 1812,1813 desde la CLI de Sophos para confirmar la accesibilidad UDP.

Síntoma: Las analíticas muestran una duración de sesión de cero y no hay datos de ancho de banda Causa: El accounting de RADIUS no está configurado o está bloqueado. Solución: Verifique que el servidor de accounting esté configurado en el puerto 1813 con el secreto compartido correcto. Compruebe que ninguna lista de control de acceso (ACL) intermedia bloquee el puerto UDP 1813 de salida.

Síntoma: Advertencia de certificado en los dispositivos de los invitados Causa: El Sophos Firewall está utilizando un certificado autofirmado para la interfaz de redirección. Solución: Cargue un certificado firmado por una CA pública (Let's Encrypt, DigiCert o similar) en el Sophos Firewall y asígnelo como el certificado de la página de inicio de sesión en Wireless > Hotspot Settings.

Síntoma: Los usuarios de PPSK aterrizan en la VLAN incorrecta Causa: Los atributos de VLAN de RADIUS no están configurados correctamente, o el AP de Sophos no acepta la asignación dinámica de VLAN. Fix: Verify the RADIUS server returns Tunnel-Type = 13, Tunnel-Medium-Type = 6, and Tunnel-Private-Group-ID = . Confirm RADIUS VLAN assignment is enabled on the SSID in Sophos Central.

ROI and business impact

Deploying Purple on Sophos infrastructure converts Guest WiFi from a utility cost into a first-party data asset. The business case is straightforward.

A 200-room hotel running at 70% occupancy with an average stay of 1.8 nights will generate roughly 50,000 verified guest profiles per year through Purple's conscious-choice opt-in portal. Each profile includes name, email address, demographic data, and visit history. This data feeds directly into email marketing campaigns, driving measurable increases in direct bookings and Food and Beverage revenue.

For retail environments, Purple's analytics identify dwell time, repeat visit frequency, and peak footfall periods. A retail chain with 50 locations can use this data to optimise staffing, adjust promotional timing, and measure the impact of in-store events on visit frequency.

For public-sector and transport operators, Purple provides auditable GDPR consent records and supports compliance with the UK's Network and Information Systems (NIS) regulations for operators of essential services.

Purple's 99.999% uptime SLA ensures the guest authentication service does not become a single point of failure for your network. The cloud RADIUS architecture means there is no on-premises authentication server to maintain, patch, or replace.

For related integration guidance, see the Alta Labs Integration with Purple WiFi: Setup and Captive Portal Configuration guide.

Definiciones clave

Captive portal

Una página web que intercepta la solicitud HTTP inicial de un usuario y requiere de su interacción (autenticación, consentimiento o pago) antes de concederle acceso a internet.

La interfaz principal para WiFi de invitados. Purple aloja el captive portal en la nube; Sophos Firewall redirige a los clientes no autenticados hacia él.

Walled Garden

Una lista de permitidos estricta de dominios y direcciones IP a la que los dispositivos no autenticados pueden acceder antes de completar la autenticación en el portal.

Debe incluir los dominios del portal de Purple, los proveedores de inicio de sesión social y cualquier endpoint de federación de identidad. Un Walled Garden incompleto es la causa más común de fallos en la carga del portal.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona autenticación, autorización y contabilidad centralizadas para los usuarios que se conectan a una red. Utiliza el puerto UDP 1812 para la autenticación y el 1813 para la contabilidad.

Purple proporciona RADIUS-as-a-Service. El Sophos Firewall y los AP se comunican con el RADIUS en la nube de Purple para autenticar a los invitados y registrar los datos de la sesión.

RADIUS accounting

El componente de RADIUS que realiza el seguimiento de las métricas de uso de la red, incluyendo la hora de inicio de la sesión, la duración, los bytes transferidos y el motivo de finalización de la sesión.

Esencial para Purple WiFi Analytics. Sin los datos de contabilidad en el puerto 1813, las métricas de duración de la sesión y del ancho de banda no estarán disponibles en el panel de control de Purple.

PPSK (Private Pre-Shared Key)

Una función de seguridad WiFi que permite que un único SSID acepte múltiples contraseñas únicas, cada una de las cuales suele estar asignada a una VLAN o directiva específica a través de RADIUS.

Utilizado en despliegues de WiFi multiinquilino para proporcionar aislamiento de red por usuario o por grupo sin transmitir múltiples SSIDs. Sophos AP6 es compatible con PPSK con asignación dinámica de VLAN.

Dynamic VLAN assignment

Un proceso en el que el servidor RADIUS indica al punto de acceso que ubique a un usuario autenticado en una VLAN específica devolviendo los atributos Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-ID en el mensaje Access-Accept.

Permite crear redes basadas en la identidad. Los usuarios son ubicados en el segmento de red correcto según sus credenciales, independientemente del AP físico al que se conecten.

802.1X

Un estándar IEEE para el control de acceso a redes basado en puertos. Proporciona un marco de autenticación para los dispositivos que se conectan a una LAN o WLAN, requiriendo un suplicante (cliente), un autenticador (AP o switch) y un servidor de autenticación (RADIUS).

El estándar empresarial para WiFi del personal. Sophos AP6 es compatible con 802.1X con WPA2-Enterprise y WPA3-Enterprise, utilizando EAP-TLS o PEAP-MSCHAPv2.

Bridge mode

Una configuración de red en la que el punto de acceso transmite el tráfico del cliente inalámbrico directamente a la LAN cableada como tramas VLAN etiquetadas, sin realizar NAT ni DHCP local.

Recomendado para despliegues de alta densidad. Descarga el DHCP a los servidores de la empresa y garantiza que Purple reciba la dirección IP real del cliente para ofrecer analíticas precisas.

First-party data

Información recopilada directamente de los usuarios a través de sus propios canales, de su propiedad, que no se comparte con terceros ni procede de ellos.

El valor empresarial principal de Purple Guest WiFi. Recopilados a través de opciones de consentimiento consciente en el captive portal, estos datos cumplen con el GDPR y son independientes de las cookies de terceros.

Ejemplos prácticos

Un hotel de 300 habitaciones ha desplegado puntos de acceso Sophos AP6 gestionados a través de Sophos Central. Necesitan que los huéspedes se autentiquen a través de una página de bienvenida personalizada de Purple y requieren que la red de invitados esté completamente aislada del sistema de gestión de la propiedad (PMS) en la VLAN 20 para mantener el cumplimiento de PCI DSS. El hotel prevé hasta 600 conexiones simultáneas de invitados durante los periodos de máxima afluencia.

  1. En Sophos Central, cree un SSID dedicado para invitados llamado "Hotel Guest WiFi" con encriptación abierta. 2. Asigne el SSID a la VLAN 100 en modo Bridge para gestionar la carga DHCP de 600 dispositivos a través del servidor DHCP de la red central. 3. Active el Captive Portal en la configuración avanzada y seleccione Autenticación backend. 4. Introduzca la IP del servidor RADIUS de Purple en el puerto 1812 y la clave secreta compartida del portal de Purple. 5. Configure el Walled Garden para permitir region1.purpleportal.net, venuewifi.com y todos los dominios de inicio de sesión social. 6. En el Sophos Firewall, cree una regla de firewall que permita el tráfico de la VLAN 100 a la zona WAN con filtrado web aplicado. 7. Cree una regla de DENEGACIÓN explícita que bloquee todo el tráfico de la VLAN 100 a la VLAN 20 (red PMS). 8. Configure la contabilidad RADIUS en el puerto 1813 con un intervalo intermedio de 120 segundos. 9. Cargue un certificado SSL de confianza pública en el Sophos Firewall para la interfaz de redirección. 10. Realice pruebas tanto en iOS como en Android antes de la puesta en marcha.
Comentario del examinador: El modo Bridge es esencial en este caso. Con 600 conexiones simultáneas, el DHCP integrado del AP se vería desbordado. La regla de DENEGACIÓN explícita de la VLAN 100 a la VLAN 20 cumple con los requisitos de segmentación de red de PCI DSS. El certificado de confianza pública evita que iOS 14+ y Android 10+ muestren advertencias de seguridad que aumentarían la tasa de abandono del portal. Configurar la contabilidad es indispensable para que las analíticas de Purple funcionen.

Un operador de espacio de coworking gestiona 15 empresas inquilinas en tres plantas. Cada empresa requiere su propio segmento de red aislado. Actualmente transmiten 15 SSIDs independientes, lo que provoca una congestión de RF significativa. Desean consolidar la red en un único SSID utilizando puntos de acceso Sophos AP6, manteniendo un aislamiento estricto de Capa 2 entre los inquilinos.

  1. Asigne una VLAN única a cada empresa inquilina (por ejemplo, VLANs 200-214). 2. En Sophos Central, cree un único SSID WPA2-Personal llamado "CoWork WiFi". 3. Active la asignación de VLAN por RADIUS en el SSID. 4. Configure el servidor RADIUS (el RADIUS en la nube de Purple o un directorio integrado) para almacenar una PPSK única por inquilino y devolver los atributos de VLAN correspondientes en la autenticación. 5. Entregue a cada empresa inquilina su PPSK única a través del portal de Purple. 6. En el Sophos Firewall, configure reglas de firewall inter-VLAN para bloquear todo el tráfico entre las VLAN de los inquilinos. Permita que cada VLAN acceda únicamente a Internet. 7. Para los inquilinos que requieran servicios compartidos (por ejemplo, una impresora compartida), cree reglas de permiso explícitas solo para esos recursos específicos.
Comentario del examinador: Consolidar 15 SSIDs en uno solo elimina la sobrecarga de RF de las 15 tramas de baliza (beacon frames) por AP por segundo. PPSK con asignación dinámica de VLAN proporciona el mismo aislamiento que los SSIDs independientes en la capa de red. El riesgo clave es la disponibilidad del servidor RADIUS: si el servidor RADIUS no está accesible, ningún inquilino podrá conectarse. Implemente un servidor RADIUS secundario de Purple y configúrelo como alternativa (fallback) en Sophos Central para mitigar esto.

Preguntas de práctica

Q1. Una cadena de tiendas ha desplegado puntos de acceso Sophos AP6 en 50 establecimientos. Los compradores informan de que la página de inicio de Purple tarda más de 30 segundos en cargarse o se agota el tiempo de espera por completo. El equipo de TI ha confirmado que la autenticación RADIUS está configurada correctamente. ¿Cuál es la causa más probable y cómo se resuelve?

Sugerencia: Considera qué ocurre antes de que el usuario llegue al paso de autenticación.

Ver respuesta modelo

El Walled Garden está incompleto. El Sophos Firewall está bloqueando el acceso a los recursos CSS y JavaScript de Purple, o a los dominios CDN de inicio de sesión social, antes de la autenticación. Habilite una captura de paquetes en el Sophos Firewall para la VLAN de invitados y filtre el tráfico bloqueado de clientes no autenticados. Identifique los dominios bloqueados y añádalos al Walled Garden en Wireless > Hotspot Settings. Verifique también que el DNS (puerto UDP 53) esté permitido antes de la autenticación. Sin resolución DNS, el dispositivo no puede resolver el nombre de host del portal de Purple y la redirección falla de inmediato.

Q2. Está diseñando un despliegue de Guest WiFi para un estadio de 5000 asientos utilizando puntos de acceso Sophos AP6. El recinto prevé 4000 conexiones de aficionados simultáneas durante los eventos. ¿Debería configurar el SSID de invitados en modo NAT o en modo Bridge? Justifique su decisión.

Sugerencia: Considera la carga de DHCP generada por 4000 conexiones simultáneas.

Ver respuesta modelo

Modo Bridge. Con 4000 conexiones simultáneas, el modo NAT saturaría el servidor DHCP integrado de los puntos de acceso Sophos o del firewall. En el modo Bridge, los puntos de acceso envían el tráfico de invitados directamente a una VLAN dedicada, y los servidores DHCP empresariales gestionan la asignación de direcciones IP. Esto evita el agotamiento de DHCP y garantiza que la plataforma Purple reciba la dirección IP real del cliente para obtener análisis precisos. El modo Bridge también proporciona un rendimiento de datos superior al modo NAT, lo cual es importante para un entorno de eventos de alta densidad. Configure un alcance DHCP en la red principal con suficientes direcciones para el pico de carga previsto, más un margen de seguridad del 20%.

Q3. Su panel de control de Purple Analytics muestra el número correcto de inicios de sesión, pero todas las duraciones de sesión se reportan como cero minutos y no se realiza un seguimiento del uso del ancho de banda. El portal de invitados funciona correctamente y los invitados pueden navegar por Internet. ¿Qué elemento de configuración falta?

Sugerencia: La autenticación concede el acceso. ¿Qué realiza el seguimiento del uso una vez concedido el acceso?

Ver respuesta modelo

El direccionamiento de cuentas RADIUS (RADIUS accounting) no está configurado o está siendo bloqueado. La autenticación en el puerto 1812 concede acceso a Internet, pero el direccionamiento de cuentas en el puerto 1813 es el mecanismo que reporta la duración de la sesión y los datos de ancho de banda a Purple. Compruebe la configuración del Sophos Firewall para confirmar que el servidor de contabilidad está configurado con la IP de RADIUS de Purple en el puerto 1813 con el secreto compartido correcto. A continuación, verifique que el puerto UDP 1813 no esté bloqueado por ninguna regla de firewall o ACL intermedia entre el Sophos Firewall y los servidores RADIUS en la nube de Purple. Utilice una captura de paquetes para confirmar que los paquetes de contabilidad están saliendo del Sophos Firewall y recibiendo respuestas.

Q4. Un operador de espacio de coworking quiere utilizar Sophos PPSK para dar a cada una de sus 20 empresas inquilinas un segmento de red aislado. Tras la configuración, todos los usuarios de PPSK se conectan correctamente, pero todos acaban en la misma VLAN, independientemente de la PPSK que utilicen. ¿Cuál es la causa más probable?

Sugerencia: Piense en lo que debe devolver el servidor RADIUS y en lo que debe aceptar el punto de acceso.

Ver respuesta modelo

Hay dos causas probables. En primer lugar, el servidor RADIUS no está devolviendo los atributos de VLAN correctos en el mensaje Access-Accept. Verifique que el servidor RADIUS devuelva Tunnel-Type = 13 (VLAN), Tunnel-Medium-Type = 6 (IEEE-802) y Tunnel-Private-Group-ID = el ID de VLAN correcto para cada PPSK. En segundo lugar, es posible que la asignación de VLAN por RADIUS no esté habilitada en el SSID en Sophos Central. Vaya a Advanced Settings del SSID y confirme que la opción de asignación de VLAN por RADIUS está activada. Utilice un registro de depuración de RADIUS o una captura de paquetes para inspeccionar los mensajes Access-Accept y confirmar que los atributos de VLAN están presentes y formateados correctamente.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para captive portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK.

Leer la guía →

Integración de puntos de acceso Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para despliegues multiinquilino seguros.

Leer la guía →

Integración de los puntos de acceso Grandstream GWN con Purple WiFi

Esta guía técnica de referencia autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multiinquilino, proporcionando una guía práctica paso a paso para MSP e instalaciones de TI que desplieguen WiFi para invitados y personal a gran escala.

Leer la guía →