Ver transcripción del podcast
Bienvenido a la sesión informativa sobre la arquitectura de Purple. Hoy analizaremos en detalle una integración fundamental para las redes empresariales: el despliegue de Purple WiFi junto con la infraestructura Sophos, concretamente los puntos de acceso Sophos AP6 y APX y los firewalls Sophos XG y XGS. Si es director de TI, arquitecto de redes o CTO que gestiona un espacio, ya sea una cadena de tiendas, un estadio o un hospital, esta sesión está diseñada para ofrecerle un plan de acción para que estas dos potentes plataformas funcionen juntas sin problemas.
Pongámonos en contexto. Sophos es conocida por su sólida postura de seguridad. Los dispositivos Sophos Firewall proporcionan inspección profunda de paquetes y seguridad sincronizada. Sin embargo, cuando se trata de WiFi para invitados, no solo se busca la seguridad. Se busca valor empresarial. Quiere capturar datos demográficos, comprender el comportamiento de los visitantes y potenciar el retorno de la inversión de marketing. Ahí es donde entra Purple. Al integrar Purple como un Captive Portal externo, descarga la pesada tarea de la gestión de identidades de invitados, el consentimiento del GDPR y los inicios de sesión sociales en el RADIUS en la nube de Purple, mientras deja que el Sophos Firewall haga lo que mejor sabe hacer: proteger el perímetro.
Entonces, ¿cómo funciona realmente esto por debajo? Entremos en el análisis técnico profundo.
La arquitectura se basa en protocolos RADIUS estándar y redireccionamiento HTTP. Cuando un usuario de un espacio se asocia con su SSID abierto de WiFi de invitados emitido por el punto de acceso de Sophos, el Sophos Firewall intercepta esa solicitud web inicial. En lugar de ofrecer una página de portal básica almacenada localmente, el firewall redirige al cliente a la página de inicio alojada en la nube de Purple.
Ahora, he aquí el concepto clave: el Walled Garden. Durante esta fase de autenticación previa, el usuario no tiene acceso a internet. Pero necesita cargar los gráficos del portal, y puede que necesite acceder a Facebook o Google para iniciar sesión. El Walled Garden es una lista de permitidos estricta configurada en el Sophos Firewall que permite el tráfico a estos dominios específicos. Una vez que el usuario se autentica, la plataforma de Purple envía un mensaje RADIUS Access-Accept de vuelta al Sophos Firewall. El firewall activa entonces el interruptor, cambiando el estado de la sesión a autenticado, y traslada al usuario a su política de firewall posterior a la autenticación.
Hablemos con más detalle de la configuración de RADIUS, porque aquí es donde la precisión importa. Purple le proporciona dos conjuntos de credenciales RADIUS: uno para la autenticación en el puerto 1812 y otro para la contabilidad (accounting) en el puerto 1813. Ambos deben estar configurados. El servidor de contabilidad no es opcional. Es el mecanismo mediante el cual Sophos Firewall notifica los datos de la sesión de vuelta a Purple, incluidos la duración, el ancho de banda consumido y los eventos de finalización de sesión. Sin datos de contabilidad precisos, su panel de análisis de Purple mostrará métricas de visitantes incompletas o inexactas. Establezca el intervalo intermedio de contabilidad en 120 segundos. Esto proporciona un buen equilibrio entre la visibilidad en tiempo real y la sobrecarga de la red.
Ahora hablemos de un escenario que surge constantemente en los despliegues empresariales: WiFi Multi-Tenant. Piense en un espacio de coworking, un bloque residencial de alquiler de obra nueva o una residencia de estudiantes. Tiene múltiples grupos distintos de usuarios que necesitan acceso a WiFi, pero deben estar completamente aislados entre sí a nivel de red. Difundir un SSID independiente para cada inquilino no es viable. Crea congestión de radiofrecuencia y es una pesadilla de gestión operativa.
La respuesta es Sophos Private Pre-Shared Keys, o PPSK, combinado con la asignación dinámica de VLAN. Así es como funciona. Configura un único SSID en sus puntos de acceso Sophos AP6. A continuación, emite una frase de contraseña única para cada inquilino o grupo de usuarios. Cuando un dispositivo se conecta y presenta su clave única, el AP de Sophos autentica esa clave a través de RADIUS. El servidor RADIUS devuelve un atributo de ID de VLAN específico en el mensaje Access-Accept. El AP etiqueta dinámicamente el tráfico del usuario con ese ID de VLAN, colocándolo en su segmento de red dedicado. Networking basado en la identidad en acción. Un SSID, múltiples redes aisladas, cero sobrecarga de radiofrecuencia por difusiones adicionales.
Esta arquitectura también tiene un beneficio de cumplimiento normativo muy importante. Bajo los requisitos de PCI-DSS, las redes WiFi para invitados deben estar completamente aisladas de cualquier segmento de red que maneje datos de titulares de tarjetas. Al colocar el SSID de invitados en una VLAN dedicada y aplicar políticas de firewall estrictas en Sophos Firewall para bloquear todos los destinos de espacio de IP privada RFC 1918, cumple este requisito de forma limpia. Purple, que opera en más de 80.000 sedes activas y ha procesado 440 millones de inicios de sesión en 2024, cuenta con la certificación ISO 27001, cumple con el GDPR y cuenta con la certificación Cyber Essentials, por lo que las ventajas de cumplimiento se extienden también a la capa de identidad.
Pasemos ahora a las recomendaciones de implementación. Al configurar esto, debe tomar una decisión crucial con respecto a la asignación de IP: modo NAT frente a modo Bridge.
Si está desplegando una sucursal comercial pequeña con unas cincuenta a cien conexiones de invitados concurrentes, el modo NAT es perfectamente adecuado. El AP de Sophos entrega direcciones DHCP a los invitados desde una subred interna dedicada y las traduce a medida que el tráfico sale. Es sencillo y requiere una infraestructura adicional mínima.
Pero si está desplegando un entorno de alta densidad, por ejemplo, un hotel de quinientas habitaciones, un centro de conferencias con múltiples eventos simultáneos o un estadio, debe utilizar el modo Bridge. En el modo Bridge, el AP de Sophos vierte el tráfico de invitados directamente en una VLAN dedicada, permitiendo que sus servidores DHCP empresariales principales gestionen la carga. Esto evita que el punto de acceso o el firewall se conviertan en un cuello de botella de DHCP durante los picos de conexión. El modo Bridge también garantiza que la plataforma Purple vea la dirección IP real del cliente, lo que es vital para realizar análisis y resolver problemas de forma precisa.
Hablemos de la secuencia de configuración paso a paso, porque el orden importa aquí.
Empiece en el portal de Purple. Recupere sus credenciales de servidor RADIUS: las direcciones IP del servidor, los secretos compartidos, la URL del Captive Portal y la URL de redirección. Estos son los cuatro elementos de información fundamentales que necesita antes de modificar la configuración de Sophos.
A continuación, acceda a Sophos Central o a su interfaz local de gestión del firewall. Defina primero sus servidores RADIUS: autenticación en el puerto 1812 y contabilidad en el 1813. Después, configure su Walled Garden en la sección Hotspot Settings. Luego, cree su SSID de invitados, configure el cifrado como Open, active el Captive Portal e introduzca la URL del portal de Purple. Por último, defina sus reglas de firewall de posautenticación.
Específicamente para el Walled Garden, debe permitir como mínimo los siguientes dominios: el dominio del portal de Purple, normalmente region1.purpleportal.net; venuewifi.com; y cualquier dominio de inicio de sesión social que vayan a utilizar sus invitados, como facebook.com, accounts.google.com y sus dominios CDN asociados. Si utiliza Microsoft Entra ID o Okta para la federación de identidades, esos dominios también deben incluirse.
¿Qué hay de los posibles problemas? ¿En qué suelen fallar las implementaciones?
El problema número uno, sin duda alguna, es un Walled Garden incompleto. Si un invitado se conecta y se encuentra con una pantalla en blanco o un tiempo de espera de conexión agotado, casi siempre significa que el firewall de Sophos está bloqueando el acceso a los archivos CSS de Purple, a los recursos de JavaScript o a las API de inicio de sesión social antes de la autenticación. Debe asegurarse de que todos los dominios requeridos estén explícitamente permitidos en esa política de preautenticación. Purple proporciona una lista exhaustiva de los dominios necesarios. Utilícela al completo.
Además, no olvide el DNS. Se debe permitir que los clientes no autenticados resuelvan consultas DNS, o de lo contrario la redirección sencillamente no funcionará. El dispositivo necesita resolver el nombre de host del portal de Purple antes de poder intentar cargar la página.
El segundo error más común son los fallos de certificados. Asegúrese de que su firewall de Sophos presente un certificado SSL válido y de confianza pública para la interfaz de redirección. Si utiliza el certificado autofirmado predeterminado, los iPhones y dispositivos Android modernos mostrarán advertencias de seguridad graves y sus invitados abandonarán la conexión por completo. Este es un problema especialmente crítico en entornos de hostelería, donde la experiencia del invitado es primordial.
El tercer error son los fallos por tiempo de espera de RADIUS. Si el portal se carga pero la autenticación falla constantemente, verifique que los secretos compartidos coincidan exactamente entre su configuración de Sophos y el portal de Purple. Incluso una diferencia de un solo carácter hará que todos los intentos de autenticación fallen de forma silenciosa. Compruebe también que ningún firewall intermedio esté bloqueando los puertos UDP 1812 y 1813 entre su infraestructura de Sophos y los servidores RADIUS en la nube de Purple.
Terminemos con una sesión rápida de preguntas y respuestas basada en las dudas más comunes que nos plantean los clientes.Pregunta uno: ¿el uso de Purple elude las políticas de seguridad de mi Sophos Firewall? En absoluto. Purple se encarga de la autenticación y la captura de identidad. Una vez autenticado, todo el tráfico de invitados fluye a través de la política post-autenticación de su Sophos Firewall. Aquí es precisamente donde se aplica el filtrado web, se bloquea el tráfico de punto a punto y se perfila el ancho de banda. Piénselo de esta manera: la pre-autenticación es permisiva para permitir el inicio de sesión; la post-autenticación es punitiva para proteger la red.
Pregunta dos: ¿necesito desplegar servidores RADIUS locales? No. Purple proporciona RADIUS-as-a-Service. Solo tiene que configurar los puntos de acceso de Sophos para que apunten directamente a las direcciones IP de cloud RADIUS de Purple. No es necesario desplegar ni mantener FreeRADIUS o Windows NPS para la red de invitados.
Pregunta tres: ¿puedo usar Purple tanto con Sophos AP6 como con la serie APX anterior? Sí. El enfoque de integración es el mismo en ambas generaciones de hardware. Tenga en cuenta, sin embargo, que Sophos ha anunciado una fecha de fin de vida útil para la serie APX el 31 de diciembre de 2027. Si está planeando un nuevo despliegue, invierta en la serie AP6, que es compatible con WiFi 6 y WiFi 6E.
Pregunta cuatro: ¿qué ocurre con el cumplimiento del GDPR? Purple captura el consentimiento explícito en el propio portal, presentando sus términos y condiciones y avisos de procesamiento de datos antes de la autenticación. Estos datos de consentimiento se almacenan dentro de la plataforma Purple y son auditables. El papel de Sophos Firewall es puramente de aplicación de red.
Para resumir los puntos clave de la sesión de hoy.
Primero: segregue su SSID de personal y de invitados por completo. Personal en 802.1X con WPA2-Enterprise. Invitados en Purple con un Captive Portal externo.
Segundo: configure meticulosamente su Walled Garden. Es el punto de fallo más común y el elemento de configuración de pre-autenticación más importante.
Tercero: utilice el modo Bridge para cualquier despliegue de alta densidad con el fin de evitar cuellos de botella de DHCP y garantizar una visibilidad precisa de las IP de los clientes.
Cuarto: configure los servidores de autenticación y accounting de RADIUS. El accounting no es opcional si desea análisis significativos.
Quinto: aproveche Sophos PPSK para entornos multi-inquilino para habilitar redes basadas en identidad con asignación dinámica de VLAN. Un SSID, múltiples redes aisladas.
Sexto: aplique las políticas de seguridad de Sophos estrictamente después de la autenticación. El filtrado web, el control de aplicaciones y el perfilado de ancho de banda deben aplicarse en la política de firewall de post-autenticación.
Al ejecutar esta integración correctamente, transforma el WiFi de invitados de un centro de costes a un activo seguro, conforme a las normativas y generador de ingresos. La combinación de la profundidad de seguridad de Sophos y la inteligencia de marketing de Purple es verdaderamente potente para cualquier operador de recintos que quiera tomarse en serio la experiencia de sus invitados y su estrategia de datos.
Gracias por escuchar el Purple Architecture Briefing. Si desea analizar los requisitos específicos de su despliegue, visite purple.ai para hablar con el equipo de soluciones.
