WatchGuard Wi-Fi Cloud AP and guest WiFi: setup de Captive Portal con Purple

Bienvenido a la sesión informativa de integración. Hoy abordaremos la integración de WatchGuard Firebox y Access Point con Purple WiFi. Este es un manual técnico para responsables de TI, arquitectos de red y directores de operaciones de recintos que necesitan implementar una infraestructura inalámbrica segura y escalable. Veremos portales cautivos para WiFi de invitados, WiFi seguro para el personal mediante 802.1X y segmentación multiinquilino mediante claves privadas precompartidas de WatchGuard, o PPSK. Entremos directamente en contexto. Cuando se gestiona un recinto complejo, como un estadio, un gran centro comercial o un edificio de viviendas múltiples, se necesita un control preciso sobre quién accede a la red y qué puede hacer una vez conectado. También es necesario recopilar datos de origen para impulsar los ingresos de marketing. WatchGuard proporciona la plataforma de seguridad unificada y el hardware. Purple proporciona la capa en la nube, la gestión de identidades y la analítica. Al integrar ambos, se automatiza el control de acceso basado en la identidad. Se elimina la necesidad de pasarelas independientes para invitados y personal, lo que reduce el gasto en hardware y simplifica la gestión. Purple presta servicio actualmente a más de 80.000 recintos activos y ha procesado 440 millones de inicios de sesión solo en 2024, por lo que la plataforma está diseñada para soportar la escala de cualquier recinto que deba gestionar. Pasemos al análisis técnico detallado. La arquitectura se basa en protocolos RADIUS estándar y redirección HTTP. Disponemos de tres niveles de acceso principales. Primero, WiFi de invitados. Se trata de un SSID abierto. El AP de WatchGuard intercepta las solicitudes HTTP y redirige al usuario a la página de inicio alojada en Purple. Segundo, WiFi para el personal. Se trata de un SSID seguro WPA3-Enterprise que utiliza 802.1X. Los dispositivos se autentican directamente contra los servidores RADIUS de Purple utilizando EAP-TLS o PEAP. Tercero, WiFi multiinquilino. Utiliza WatchGuard PPSK. Varios usuarios se conectan a un único SSID, pero cada uno utiliza una contraseña exclusiva. El AP de WatchGuard consulta al servidor RADIUS de Purple, que luego asigna dinámicamente una VLAN basada en esa clave específica. Por lo tanto, ¿cómo configuramos el portal cautivo de WiFi de invitados? El primer paso es configurar el servidor RADIUS en WatchGuard Cloud o en el Firebox Policy Manager. Apunte el servidor RADIUS principal a la dirección IP de Purple para su región. La autenticación se realiza en el puerto 1812, la contabilidad en el puerto 1813. Introduzca el secreto compartido proporcionado por Purple y, fundamentalmente, asegúrese de que el NAS ID coincida con la dirección MAC del Firebox o AP. Esto indica a Purple de qué recinto procede la solicitud. El segundo paso es la propia redirección del portal cautivo. En la configuración del SSID, seleccione Portal cautivo alojado por terceros con autenticación RADIUS. Introduzca la URL de la página de inicio de Purple e introduzca el secreto compartido del portal. Este es un secreto específico generado en el panel de control de Purple Analyze, y se utiliza para crear un resumen HMAC para validar las solicitudes de autenticación. El algoritmo HMAC-SHA1 garantiza que el mensaje de autenticación correcta de Purple es genuino y no ha sido alterado en tránsito. El tercer paso, y aquí es donde fallan muchas implementaciones, es el Walled Garden. Si no configura esto, el dispositivo no podrá cargar la página de bienvenida. Debe permitir el acceso a star dot mypurple dot com, api dot mypurple dot com y cdn dot mypurple dot com antes de iniciar sesión. Si utiliza inicios de sesión social como Microsoft Entra ID o Google Workspace, también debe añadir los dominios de esos proveedores de identidad. Piense en el Walled Garden como la zona de espera de preautenticación. Sin él, el invitado ni siquiera puede llegar a la puerta principal. Ahora, veamos la segmentación Multi-Tenant con WatchGuard PPSK. Si gestiona un centro comercial con 15 tiendas, emitir 15 SSIDs diferentes es un enfoque ineficaz. Provoca interferencias de canal adyacente, satura el espacio radioeléctrico y crea una sobrecarga de gestión. PPSK resuelve esto de forma elegante. Emite un único SSID, por ejemplo, Centre-Retail. Active Private Pre-Shared Key en la configuración del SSID de WatchGuard, lo que requiere la versión de firmware 2.6 o superior en sus puntos de acceso WatchGuard. En Purple, crea claves únicas, una por cliente (tenant). Para aislar el tráfico, se utiliza Dynamic VLAN Assignment. En WatchGuard Cloud, configure la VLAN como Dynamic VLAN asignada por RADIUS. Cuando una tienda conecta un dispositivo utilizando su clave específica, el AP envía un Access-Request al servidor RADIUS de Purple. Purple valida la clave y devuelve un paquete Access-Accept con tres atributos IETF RADIUS vitales: Tunnel-Type, que es el atributo 64, configurado como VLAN; Tunnel-Medium-Type, atributo 65, configurado como 802; y Tunnel-Private-Group-ID, atributo 81, configurado con el ID de VLAN asignado, por ejemplo, VLAN 100 para el Tenant A de Retail. El AP de WatchGuard coloca entonces ese dispositivo en la VLAN 100, completamente aislado de los demás inquilinos. Esto es Identity-Based Networking en la práctica. Analicemos las recomendaciones de implementación y los errores comunes. En primer lugar, los tiempos de espera de sesión. Configure tiempos de espera de sesión estrictos tanto en Purple como en WatchGuard para forzar la reautenticación. Esto mantiene la precisión de sus análisis y garantiza que las sesiones inactivas no consuman ancho de banda. Establezca los intervalos de RADIUS Interim-Update en 10 minutos. En segundo lugar, el firmware. Debe asegurarse de que sus puntos de acceso WatchGuard ejecuten la versión de firmware 2.6 o superior para admitir PPSK. Las versiones de firmware anteriores no admiten esta función. En tercer lugar, la aleatorización de direcciones MAC. Los dispositivos modernos aleatorizan sus direcciones MAC de forma predeterminada. Para su red WiFi de personal segura, indique a sus empleados que desactiven esta función para ese SSID específico para garantizar una autenticación 802.1X estable. La aleatorización de MAC puede provocar fallos de autenticación y datos analíticos incoherentes. ¿Qué ocurre cuando las cosas van mal? Si el Captive Portal no se carga, compruebe primero el Walled Garden. Si el dispositivo no puede resolver el DNS o comunicarse con los servidores de Purple, mostrará un error de tiempo de espera en lugar de la página de inicio. Si la redirección de VLAN falla y el cliente recibe una IP de la VLAN incorrecta, compruebe los registros de RADIUS en el portal de Purple. Asegúrese de que el atributo Tunnel-Private-Group-ID tenga el formato correcto como cadena de texto y coincida con una VLAN que realmente exista en el puerto del switch conectado al AP. Si ve errores de resumen HMAC en los registros de WatchGuard, su secreto compartido del Captive Portal no coincide entre WatchGuard y Purple. Debe ser idéntico en ambos sistemas, carácter por carácter. Es hora de una sesión rápida de preguntas y respuestas. Pregunta: ¿Puedo usar PPSK y el Captive Portal en el mismo SSID? Respuesta: No. WatchGuard no admite la ejecución simultánea de VLAN dinámicas a través de PPSK y un Captive Portal en el mismo SSID. Necesita un SSID para el portal y un SSID independiente para PPSK. Planifique su arquitectura de SSID en consecuencia. Pregunta: ¿Qué ocurre si el servidor RADIUS no devuelve un ID de VLAN para un usuario de PPSK? Respuesta: En WatchGuard Cloud, puede configurar una opción de reserva para clientes no asignados. Puede redirigirlos a una VLAN sin etiquetar o a una VLAN de cuarentena aislada específica para asegurarse de que no obtengan acceso a la red corporativa. Configure siempre esta opción de reserva para evitar accesos accidentales. En resumen, la integración de WatchGuard Firebox con Purple le ofrece una plataforma unificada de seguridad, identidad y análisis en redes de invitados, empleados y multiinquilino. Utilice la redirección externa del Captive Portal para invitados, 802.1X para empleados y PPSK con VLAN dinámicas para entornos multiinquilino. El ROI es claro. Reduce los costes de hardware al consolidar las puertas de enlace, simplifica la gestión a través de una única plataforma en la nube y genera ingresos al capturar datos de origen a través del Captive Portal de Purple. Sus próximos pasos son revisar su arquitectura de SSID actual, asegurarse de que el firmware de su WatchGuard esté en la versión 2.6 o superior y comenzar a configurar sus ajustes de RADIUS en el portal de Purple. Gracias por su atención.