SonicWall y WiFi para invitados: configuración de Captive Portal con Purple

INTEGRACIÓN DE SONICWALL TZ Y SONICWAVE CON PURPLE WIFI Serie de informes técnicos de la Plataforma de Inteligencia Purple WiFi Duración: Aproximadamente 10 minutos Voz: Inglés del Reino Unido, tono de consultor senior: seguro, coloquial, autoritario --- SEGMENTO 1: INTRODUCCIÓN Y CONTEXTO (aproximadamente 1 minuto) Le damos la bienvenida a la serie de informes técnicos de Purple. Hoy abordaremos una de las integraciones técnicamente más complejas en el sector de la WiFi empresarial: los cortafuegos SonicWall TZ y los puntos de acceso SonicWave, desplegados junto con Purple para la autenticación de invitados, el control de acceso del personal y el aislamiento de redes multiinquilino. Si es usted un ingeniero de seguridad de TI o un MSP que gestiona recintos - hoteles, cadenas de tiendas, centros de conferencias o desarrollos de uso mixto - este informe es para usted. Vamos a avanzar rápidamente por la arquitectura, los pasos de configuración y los puntos donde suelen fallar los despliegues. SonicWall es una opción sólida en el sector de las pymes y el mercado medio. Los cortafuegos de la serie TZ se despliegan ampliamente y los AP SonicWave se integran de forma nativa a través de SonicOS y el Wireless Network Manager. Al añadir Purple encima, obtiene una capa de WiFi para invitados gestionada en la nube con portales cautivos personalizados, autenticación basada en RADIUS y captura de datos de primera mano, todo ello sin tener que sustituir su infraestructura de SonicWall existente. Pasemos a analizar la arquitectura. --- SEGMENTO 2: ANÁLISIS TÉCNICO DETALLADO (aproximadamente 5 minutos) Hay cuatro casos de uso distintos que cubrir aquí, y cada uno tiene una ruta de configuración diferente. WiFi para invitados con redirección al Captive Portal. Excepciones de Walled Garden. WiFi seguro para el personal mediante 802.1X. Y aislamiento multiinquilino mediante claves precompartidas privadas de SonicWall - PPSK - con redirección dinámica de VLAN. Comencemos con la WiFi para invitados y el Captive Portal de SonicWall. SonicOS utiliza un mecanismo llamado Lightweight Hotspot Messaging - LHM - para gestionar las redirecciones a portales cautivos externos. Cuando un invitado se conecta a su SSID de invitados y abre un navegador, SonicWall intercepta esa solicitud HTTP y la redirige a la URL del portal de Purple. El invitado se autentica en la plataforma de Purple - a través de inicio de sesión social, correo electrónico o un clic - y Purple envía una autorización LHM de vuelta a SonicWall en el puerto TCP 4043. A continuación, SonicWall abre el acceso a internet para la dirección MAC de ese dispositivo. La configuración en SonicOS 7.x funciona de la siguiente manera. En primer lugar, navegue a Object, luego a Match Objects y después a Zones. Edite la zona asignada a su WiFi de invitados - normalmente una WLAN o una zona personalizada. En Guest Services, active tanto "Enable Guest Services" como "External Guest Authentication". A continuación, vaya a Configure, Guest Services, General. Establezca el Client Redirect Protocol en HTTP. Introduzca el nombre de host del portal de Purple como dirección del servidor web - que es portal.purple.ai. Establezca la ruta de redirección a la URL del portal cautivo específica de su recinto, que Purple proporciona en el panel de control del recinto. El puerto es 4043. En la pestaña Auth Pages, configure la URL de inicio de sesión con la URL del portal externo de Purple. Configure la URL de cierre de sesión si desea gestionar la finalización de la sesión. En la pestaña Advanced, habilite "Allow unauthenticated users to access HTTPS sites" solo si necesita dar soporte a dispositivos que priorizan HTTPS - pero tenga en cuenta que esto debilita la aplicación del redireccionamiento. Una vez guardado, SonicOS crea automáticamente una política NAT y una regla de acceso WAN-to-WAN que permite TCP 4043. No elimine estas reglas generadas automáticamente. Son las que permiten que se complete el saludo de manos LHM. Ahora, la configuración de Walled Garden. Antes de que un invitado se autentique, su dispositivo debe llegar a ciertos dominios para que la página de bienvenida funcione. La plataforma de Purple depende de su propia CDN y endpoints de API. Las sondas de detección de Captive Portal de los sistemas operativos - captive.apple.com para dispositivos iOS, connectivitycheck.gstatic.com para Android y msftconnecttest.com para Windows - deben estar todas en la lista blanca. Si ofrece inicio de sesión social, añada accounts.google.com, oauth2.googleapis.com, apis.google.com y gstatic.com para Google. Añada www.facebook.com, graph.facebook.com, connect.facebook.net y el dominio CDN fbcdn.net si ofrece inicio de sesión con Facebook. En SonicOS, añada estos como objetos de dirección FQDN en Object, Match Objects, Addresses. A continuación, cree reglas de acceso en la zona de invitados que permitan a los dispositivos no autenticados llegar a estos FQDN. Utilice la resolución DNS dinámica - SonicOS resuelve los objetos FQDN a intervalos regulares - en lugar de entradas de IP estáticas, que variarán a medida que cambien los rangos de IP de la CDN. Pasemos al WiFi seguro para el personal con 802.1X. Aquí es donde los AP SonicWave y el servidor RADIUS de Purple trabajan juntos. El AP SonicWave actúa como autenticador en el intercambio 802.1X. El suplicante es el dispositivo del personal. El servidor RADIUS de Purple es el servidor de autenticación. El método EAP que elija dependerá de su proveedor de identidad. Si utiliza Microsoft Entra ID o Okta, PEAP-MSCHAPv2 es la opción más común porque funciona con credenciales de usuario y contraseña. Si ha implementado certificados de dispositivo - que es el enfoque recomendado para dispositivos gestionados - utilice EAP-TLS. En el Wireless Network Manager, navegue a Policies, Policy Hierarchy, seleccione su política de AP y haga clic en la pestaña 802.1X. Introduzca la dirección IP del servidor RADIUS de Purple - disponible en su panel de control de sede de Purple bajo la sección de configuración de RADIUS. El secreto compartido es generado por Purple y debe coincidir exactamente en ambos lados. Configure el puerto de autenticación en 1812 y el puerto de contabilidad en 1813. Para la configuración de EAP, seleccione el método que coincida con la configuración de su proveedor de identidad. En el lado de Purple, cree una política RADIUS para la autenticación del personal. Asocie el SSID del personal a una VLAN específica - por ejemplo, la VLAN 200 para el personal. El servidor RADIUS de Purple devuelve la asignación de VLAN utilizando tres atributos estándar: Tunnel-Type establecido en VLAN, Tunnel-Medium-Type establecido en 802 y Tunnel-Private-Group-ID establecido en el ID de la VLAN como una cadena - por lo tanto "200" para la VLAN 200. El cortafuegos SonicWall y el AP SonicWave respetan estos atributos y colocan el dispositivo del personal autenticado en la VLAN correcta de forma automática. Ahora, el caso de uso más interesante desde el punto de vista de la arquitectura: PPSK y el aislamiento de múltiples inquilinos. Las claves privadas precompartidas (PPSK) le permiten ejecutar un único SSID y asignar a cada inquilino, residente o grupo de usuarios una contraseña única. Cuando un dispositivo se conecta utilizando una PPSK específica, el AP SonicWave envía esa clave al servidor RADIUS de Purple para su validación. Purple busca la clave, identifica al inquilino o grupo de usuarios asociado y devuelve la asignación de VLAN correspondiente a través del atributo Tunnel-Private-Group-ID. A continuación, el SonicWall dirige ese dispositivo a la VLAN correcta - completamente aislado de otros inquilinos en el mismo SSID. Esto es Identity-Based Networking en la práctica. No está gestionando SSIDs por inquilino. Está gestionando identidades por inquilino. En un desarrollo de uso mixto con diez locales comerciales, un SSID se transmite por todo el edificio. Cada inquilino obtiene su propia PPSK. Cada PPSK se asocia a una VLAN y subred dedicadas. Los dispositivos del Inquilino A nunca ven el tráfico del Inquilino B, aunque compartan los mismos puntos de acceso físicos. La configuración de PPSK en SonicOS requiere el modo PPSK basado en RADIUS en el SSID. En el Wireless Network Manager, edite el SSID, establezca el modo de seguridad en WPA2-Enterprise con PPSK y apunte el servidor RADIUS a Purple. Purple autoriza la tabla de asignación de PPSK a VLAN de forma centralizada. Cuando añade un nuevo inquilino, crea una nueva PPSK en Purple, le asigna una VLAN y el cambio se propaga a todos los APs SonicWave de ese recinto sin necesidad de tocar la configuración del cortafuegos. --- SEGMENT 3: IMPLEMENTATION RECOMMENDATIONS AND PITFALLS (approximately 2 minutes) Permítame indicarle las tres cosas que suelen fallar con más frecuencia en los despliegues de SonicWall y Purple. Primero: el puerto LHM. El puerto TCP 4043 debe estar abierto desde la WAN hacia la interfaz WAN de SonicWall. Si su ISP o el cortafuegos ascendente bloquean este puerto, el saludo de autorización LHM nunca se completa y los invitados se quedan atascados en la página de inicio después de autenticarse. Ven un inicio de sesión correcto en el lado de Purple, pero SonicWall nunca recibe la señal de autorización. Pruebe esto con una comprobación de telnet o curl al puerto 4043 desde una IP externa antes de la puesta en marcha. Segundo: el tiempo de resolución de objetos FQDN. SonicOS resuelve los objetos de dirección FQDN al arrancar y luego en un intervalo configurable. Si añade un nuevo dominio de portal cautivo (walled garden) y la resolución aún no se ha actualizado, los dispositivos no autenticados no podrán acceder a él. Fuerce una actualización manual después de añadir nuevos objetos FQDN, o establezca el intervalo de actualización de DNS en 60 segundos en despliegues con mucho tráfico. Tercero: configuración de subinterfaces VLAN. La asignación dinámica de VLAN a través de RADIUS solo funciona si las VLAN de destino existen como subinterfaces en el SonicWall antes de que el primer dispositivo se autentique. Si una respuesta de RADIUS devuelve Tunnel-Private-Group-ID 110 pero la VLAN 110 no existe como subinterfaz en el SonicWall, el dispositivo se desconecta o vuelve a la VLAN por defecto. Cree y pruebe todas las subinterfaces VLAN antes de habilitar la asignación de VLAN por RADIUS. Para los MSP que gestionan múltiples sedes, el panel de control en la nube de Purple le permite gestionar políticas de RADIUS, tablas de PPSK y configuraciones de portales cautivos de forma centralizada. Puede aplicar cambios de configuración a todas las sedes desde una única interfaz. Esa es la ventaja operativa de un enfoque de capa de red en la nube: el hardware de SonicWall permanece en su lugar y Purple gestiona la capa de identidad y políticas por encima de este. - SEGMENTO 4: PREGUNTAS Y RESPUESTAS RÁPIDAS (aproximadamente 1 minuto) Algunas preguntas que surgen con regularidad. ¿Puedo utilizar AP SonicWave en modo autónomo con Purple? Sí, pero perderá algunas funcionalidades. En modo autónomo, los AP SonicWave gestionan su propia configuración de RADIUS de forma local. Aún puede apuntar al servidor RADIUS de Purple para 802.1X. Sin embargo, para PPSK con asignación dinámica de VLAN, necesita el SonicWall TZ como proxy RADIUS o el Wireless Network Manager que gestione la política de AP de forma centralizada. ¿Es compatible Purple con WPA3 en SonicWave? La compatibilidad con WPA3 en SonicWave depende de la versión de firmware y del modelo de AP. Los AP de la serie SonicWave 600 son compatibles con WPA3. Para casos de uso de Captive Portal, WPA3 con cifrado inalámbrico oportunista es compatible con el flujo de redireccionamiento LHM de Purple, pero realice pruebas en su versión de firmware específica antes de implementarlo a gran escala. ¿Cómo gestiona Purple el GDPR para los datos de los invitados recopilados a través de la página de inicio? Purple cuenta con la certificación ISO 27001, cumple con el GDPR y tiene la certificación Cyber Essentials. El consentimiento se registra en la página de inicio con casillas de verificación de aceptación voluntaria configurables. Purple almacena los datos de origen de acuerdo con su política de retención de datos. Los invitados pueden acceder a sus datos y eliminarlos a través del portal de autoservicio de Purple. ¿Qué atributos de RADIUS devuelve Purple para la asignación dinámica de VLAN? Tres atributos: Tunnel-Type con valor VLAN, Tunnel-Medium-Type con valor 802 y Tunnel-Private-Group-ID con el ID de VLAN como una cadena. Estos son los atributos estándar RFC 2868 compatibles con SonicOS y SonicWave. - SEGMENTO 5: RESUMEN Y PRÓXIMOS PASOS (aproximadamente 1 minuto) En resumen. Los firewalls SonicWall TZ y los AP SonicWave se integran con Purple a través de dos mecanismos principales: LHM para el redireccionamiento del Captive Portal de invitados, y RADIUS para la autenticación del personal mediante 802.1X y el aislamiento multi-inquilino basado en PPSK. Los pasos clave de configuración son: habilitar la autenticación de invitados externos en la zona de invitados, configurar la URL del portal de Purple en el puerto 4043, crear sus objetos FQDN de walled garden, configurar RADIUS en la política de AP de SonicWave en el Wireless Network Manager y crear sus subinterfaces VLAN en el SonicWall antes de habilitar la asignación dinámica de VLAN. Para despliegues multi-inquilino, PPSK con redireccionamiento VLAN basado en RADIUS es la arquitectura recomendada. Un SSID, un conjunto de APs, y un aislamiento total de los inquilinos mediante la asignación de VLAN basada en la identidad. Si está planificando un despliegue o revisando uno existente, el equipo técnico de Purple puede proporcionarle archivos de configuración RADIUS específicos para el recinto y listas de dominios para el walled garden. La plataforma Purple da soporte a 80.000 recintos activos y ha procesado 440 millones de inicios de sesión en 2024 - los patrones de integración que hemos tratado hoy están probados a gran escala. Gracias por su atención. La guía escrita completa con tablas de configuración paso a paso y diagramas de arquitectura de Mermaid está disponible en el sitio web de Purple. --- FIN DEL GUION