Guía de integración de Fortinet FortiAP y Purple WiFi

Una referencia técnica definitiva para integrar la infraestructura de Fortinet FortiAP y FortiGate con Purple WiFi. Esta guía cubre la configuración del Captive Portal externo, la coexistencia de la autenticación RADIUS con FortiAuthenticator y el diseño de políticas de seguridad para implementaciones empresariales en entornos de hotelería, comercio minorista y sector público.

📖 7 min de lectura📝 1,552 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 9 definiciones clave

Escucha esta guía

Ver transcripción del podcast

Bienvenido al Purple Architecture Briefing. Hoy nos sumergiremos en una integración crítica para redes empresariales: el despliegue de Purple WiFi junto con la infraestructura de Fortinet, específicamente los puntos de acceso FortiAP y los firewalls FortiGate. Si usted es un gerente de TI, un arquitecto de redes o un CTO que administra un establecimiento —ya sea una cadena de retail, un estadio o un hospital— esta sesión está diseñada para brindarle el plan de acción para hacer que estas dos potentes plataformas funcionen juntas de manera óptima.

Pongamos el contexto. Fortinet es reconocido por su sólida postura de seguridad. Los dispositivos de gestión unificada de amenazas FortiGate proporcionan una inspección profunda de tráfico de Capa 7. Sin embargo, cuando se trata de WiFi para invitados, no solo busca seguridad, sino también valor comercial. Desea capturar datos demográficos, comprender el comportamiento de los visitantes e impulsar el retorno de inversión en marketing. Ahí es donde entra Purple. Al integrar Purple como un Captive Portal externo, usted delega la compleja tarea de la gestión de identidad de invitados, el consentimiento de GDPR y los inicios de sesión con redes sociales al RADIUS en la nube de Purple, mientras permite que el FortiGate haga lo que mejor sabe hacer: proteger el perímetro.

Entonces, ¿cómo funciona esto realmente bajo el capó? Entremos en el análisis técnico detallado.

La arquitectura se basa en protocolos RADIUS estándar y redirección HTTP. Cuando un dispositivo de invitado se asocia con su SSID de invitado abierto transmitido por el FortiAP, el FortiGate intercepta esa solicitud web inicial. En lugar de mostrar una página de portal básica almacenada localmente, el FortiGate redirige al cliente a la página de bienvenida alojada en la nube de Purple.

Ahora, aquí está el concepto crítico: el Walled Garden. Durante esta fase de preautenticación, el invitado no tiene acceso a internet. Pero necesita cargar los gráficos del portal y podría necesitar acceder a Facebook o Google para iniciar sesión. El Walled Garden es una lista de permitidos estricta configurada en el FortiGate que autoriza el tráfico hacia estos dominios específicos. Una vez que el usuario se autentica, la plataforma de Purple envía un mensaje RADIUS Access-Accept de vuelta al FortiGate. El FortiGate entonces realiza el cambio, modificando el estado de la sesión a autenticado, y coloca al usuario dentro de su política de firewall posterior a la autenticación.

Hablemos de la configuración de RADIUS con más detalle, porque aquí es donde la precisión importa. Purple le proporciona dos conjuntos de credenciales RADIUS: uno para la autenticación en el puerto 1812 y otro para la contabilidad en el puerto 1813. Ambos deben estar configurados. El servidor de contabilidad no es opcional. Es el mecanismo mediante el cual el FortiGate reporta los datos de la sesión de vuelta a Purple: duración, ancho de banda consumido y eventos de finalización de sesión. Sin datos de contabilidad precisos, su panel de analíticas de Purple mostrará métricas de visitantes incompletas o inexactas. Establezca su intervalo intermedio de contabilidad en 120 segundos. Esto proporciona un buen equilibrio entre la visibilidad en tiempo real y la sobrecarga de la red.

Un escenario muy común involucra a FortiAuthenticator. Muchas empresas utilizan FortiAuthenticator para el WiFi de su personal, empleando 802.1X y PEAP para autenticar los dispositivos corporativos contra Active Directory. La pregunta siempre es: ¿puedo mantener mi FortiAuthenticator para el personal y usar Purple para los invitados?

La respuesta es absolutamente sí, y la regla de oro aquí es la segregación estricta. Usted mantiene el SSID de su personal apuntando al FortiAuthenticator. Crea un SSID abierto y completamente separado para los invitados que apunte al Captive Portal externo de Purple y a la nube RADIUS. El FortiGate enruta las solicitudes de autenticación en función del SSID. La identidad del personal se queda de forma local con el FortiAuthenticator. La identidad de los invitados va a la nube de marketing de Purple. Cero cruces, máxima seguridad.

Esta arquitectura también tiene un beneficio de cumplimiento significativo. Bajo los requisitos de PCI DSS, las redes WiFi de invitados deben estar completamente aisladas de cualquier segmento de red que maneje datos de titulares de tarjetas. Al colocar el SSID de invitados en una VLAN dedicada y aplicar políticas de firewall estrictas en el FortiGate para bloquear todos los destinos de espacio de IP privada RFC 1918, usted cumple con este requisito de manera limpia.

Ahora pasemos a las recomendaciones de implementación. Cuando esté configurando esto, tiene que tomar una decisión crucial con respecto a la asignación de IP: modo NAT frente a modo Bridge.

Si está implementando una sucursal minorista pequeña con tal vez de cincuenta a cien conexiones de invitados concurrentes, el modo NAT es perfectamente adecuado. El FortiGate entrega direcciones DHCP a los invitados desde una subred interna dedicada y las traduce a medida que el tráfico sale del firewall. Es simple y requiere una infraestructura adicional mínima.

Pero si está implementando un entorno de alta densidad, por ejemplo, un hotel de quinientas habitaciones, un centro de conferencias con múltiples eventos concurrentes o un estadio, debe usar el modo Bridge. En el modo Bridge, el FortiAP deja caer el tráfico de invitados directamente en una VLAN dedicada, lo que permite que sus servidores DHCP empresariales principales manejen la carga. Esto evita que el FortiGate se convierta en un cuello de botella de DHCP durante los eventos de conexión pico. El modo Bridge también garantiza que la plataforma Purple vea la dirección IP real del cliente, lo cual es vital para análisis precisos y resolución de problemas.

Hablemos de la secuencia de configuración paso a paso, porque el orden importa aquí.

Comience en el portal de Purple. Recupere sus credenciales del servidor RADIUS: las direcciones IP del servidor, los secretos compartidos, la URL del Captive Portal y la URL de redireccionamiento. Estos son los cuatro datos críticos que necesita antes de tocar la configuración de Fortinet.

Luego, vaya al panel de FortiCloud o a su interfaz de administración de FortiGate. Defina sus servidores RADIUS primero: autenticación en el 1812, contabilidad en el 1813. Luego cree su SSID de invitados, configure la autenticación en Abierto, habilite el Captive Portal externo e ingrese la URL del portal de Purple y la URL de redireccionamiento. Configure su Walled Garden. Y finalmente, defina su política de firewall posterior a la autenticación con sus perfiles UTM.¿Qué hay de los errores comunes? ¿Dónde suelen fallar las implementaciones?

El problema número uno, sin duda, es un Walled Garden incompleto. Si un invitado se conecta y obtiene una pantalla en blanco o un tiempo de espera de conexión agotado, casi siempre significa que el FortiGate está bloqueando el acceso a los archivos CSS de Purple, los recursos de JavaScript o las API de inicio de sesión social antes de la autenticación. Debe asegurarse de que cada dominio requerido esté explícitamente permitido en esa política de preautenticación. Purple proporciona una lista completa de los dominios requeridos; utilícela en su totalidad.

Además, no olvide el DNS. Se debe permitir que los clientes no autenticados resuelvan consultas DNS, o de lo contrario la redirección simplemente no funcionará. El dispositivo necesita resolver el nombre de host del portal de Purple antes de que pueda intentar cargar la página.

El segundo error más común son los errores de certificado. Asegúrese de que su FortiGate presente un certificado SSL válido y de confianza pública para la interfaz de redirección. Si utiliza el certificado autofirmado predeterminado, los iPhones modernos y los dispositivos Android mostrarán advertencias de seguridad importantes y sus invitados abandonarán la conexión por completo. Este es un problema particularmente grave en entornos de hospitalidad donde la experiencia del invitado es primordial.

El tercer error son los fallos por tiempo de espera de RADIUS. Si el portal se carga pero la autenticación falla constantemente, verifique que los secretos compartidos coincidan exactamente entre la configuración de su FortiGate y el portal de Purple. Incluso una diferencia de un solo carácter hará que todos los intentos de autenticación fallen de forma silenciosa. También verifique que ningún firewall intermedio esté bloqueando los puertos UDP 1812 y 1813 entre su infraestructura de Fortinet y los servidores RADIUS en la nube de Purple.

Concluyamos con una sesión de preguntas y respuestas rápidas basada en las dudas más comunes que escuchamos de los clientes.

Pregunta uno: ¿el uso de Purple elude mis políticas de seguridad de FortiGate? Absolutamente no. Purple se encarga de la autenticación y la captura de identidad. Una vez autenticado, todo el tráfico de los invitados fluye a través de la política de postautenticación de su FortiGate. Aquí es precisamente donde se aplica el filtrado web de FortiGuard, se bloquea el tráfico peer-to-peer y se perfila el ancho de banda. Piénselo de esta manera: la preautenticación es permisiva para permitir el inicio de sesión; la postautenticación es restrictiva para proteger la red.

Pregunta dos: ¿necesito implementar servidores RADIUS locales? No. Purple ofrece RADIUS como servicio (SaaS). Configura el FortiGate para que apunte directamente a las direcciones IP de RADIUS en la nube de Purple. No es necesario implementar ni mantener FreeRADIUS, Windows NPS ni ninguna otra infraestructura RADIUS local para la red de invitados.

Pregunta tres: ¿puede funcionar Purple con FortiWLM? Sí. El enfoque de integración es el mismo: configure la URL del Captive Portal externo, las credenciales del servidor RADIUS y el walled garden dentro del controlador FortiWLM, siguiendo la misma secuencia lógica que la configuración de FortiGate.

Pregunta cuatro: ¿qué pasa con el cumplimiento de GDPR? Purple captura el consentimiento explícito a nivel de portal, presentando sus términos y condiciones y avisos de procesamiento de datos antes de la autenticación. Estos datos de consentimiento se almacenan dentro de la plataforma de Purple y son auditables. El rol de FortiGate es puramente de aplicación de red; no necesita manejar los datos de consentimiento directamente.

Para resumir los puntos clave de la sesión de hoy.

Primero: segregue sus SSID de personal y de invitados de forma absoluta. El personal en FortiAuthenticator con 802.1X. Los invitados en Purple con Captive Portal externo.

Segundo: configure meticulosamente su Walled Garden. Es el punto de falla más común y el elemento de configuración de preautenticación más importante.

Tercero: use el modo Bridge para cualquier implementación de alta densidad para evitar cuellos de botella de DHCP y garantizar una visibilidad precisa de la IP del cliente.

Cuarto: configure tanto los servidores de autenticación como los de contabilidad RADIUS. La contabilidad no es opcional si desea análisis significativos.

Quinto: aproveche las funciones UTM de Fortinet después de la autenticación. El filtrado web, el control de aplicaciones y el modelado de ancho de banda deben aplicarse en la política de firewall posterior a la autenticación.

Al ejecutar esta integración correctamente, transforma el WiFi de invitados de un centro de costos en un activo seguro, que cumple con las normas y genera ingresos. La combinación de la profundidad de seguridad de Fortinet y la inteligencia de marketing de Purple es verdaderamente poderosa para cualquier operador de instalaciones que desee tomarse en serio su estrategia de datos y experiencia de invitados.

Gracias por escuchar el Purple Architecture Briefing. Si desea analizar sus requisitos de implementación específicos, visite purple.ai para hablar con el equipo de soluciones.

Puntos clave

✓Desacople la autenticación de invitados de la seguridad de la red principal utilizando el RADIUS en la nube de Purple: FortiGate aplica la política, Purple gestiona la identidad.
✓Mantenga una segregación absoluta de SSID y VLAN entre el personal (FortiAuthenticator, 802.1X) y los invitados (Captive Portal externo de Purple).
✓Un Walled Garden configurado meticulosamente es el paso más crítico: las listas de permitidos de dominios de preautenticación incompletas causan la mayoría de las fallas del Captive Portal.
✓Configure los servidores de autenticación RADIUS (Puerto 1812) y de contabilidad (Puerto 1813); los datos de contabilidad son esenciales para la analítica de Purple.
✓Utilice el modo Bridge para implementaciones de alta densidad para descargar DHCP, evitar cuellos de botella en FortiGate y mejorar la visibilidad de la IP del cliente.
✓Aplique las políticas UTM de Fortinet (filtrado web de FortiGuard, control de aplicaciones, modelado de tráfico) estrictamente en la política de firewall posterior a la autenticación.
✓Utilice un certificado SSL de confianza pública en la interfaz de redirección de FortiGate para evitar advertencias de certificados orientadas a los invitados que aumentan el abandono del portal.

Resumen Ejecutivo

Para los equipos de TI empresariales que operan infraestructura Fortinet, integrar portales cautivos externos para el acceso de invitados manteniendo al mismo tiempo posturas de seguridad estrictas es un requisito común. La integración entre los puntos de acceso Fortinet FortiAP, los dispositivos de Gestión Unificada de Amenazas (UTM) FortiGate y la plataforma Purple WiFi permite a las organizaciones desacoplar la autenticación de invitados de la seguridad de la red central. Esta guía proporciona a los arquitectos técnicos y gerentes de TI el plano definitivo para implementar Purple como un Captive Portal externo dentro de un entorno Fortinet. Al delegar la gestión de identidad de invitados al RADIUS en la nube de Purple, los equipos de red pueden aprovechar las robustas políticas de seguridad de Capa 7 de Fortinet para la inspección de tráfico, al mismo tiempo que capturan datos demográficos de primera mano para impulsar el valor empresarial. Ya sea que se implemente en una red de retail distribuida o en un estadio de alta densidad, esta arquitectura garantiza el cumplimiento de PCI DSS y GDPR, al tiempo que ofrece una experiencia de Guest WiFi fluida.

Inmersión Técnica Profunda

La integración arquitectónica entre Fortinet y Purple se basa en protocolos RADIUS estándar y mecanismos de redirección HTTP. Cuando un dispositivo de invitado se asocia con el SSID abierto designado transmitido por un FortiAP, el FortiGate intercepta la solicitud HTTP/HTTPS inicial. En lugar de servir un portal cautivo local, el FortiGate se configura para redireccionar al cliente a la página de bienvenida alojada en la nube de Purple.

Durante esta fase de preautenticación, el FortiGate aplica un walled garden (jardín amurallado): una lista de permitidos estricta de direcciones IP y dominios que permite al dispositivo del cliente cargar los recursos del Captive Portal, realizar inicios de sesión sociales y acceder a servicios esenciales (como DNS) sin otorgar acceso total a internet. Una vez que el usuario se autentica en el portal de Purple, la plataforma Purple se comunica de vuelta con el FortiGate a través de mensajes RADIUS Access-Accept. Luego, el FortiGate realiza la transición del estado de la sesión del cliente de no autenticado a autenticado, aplicando las políticas de firewall postautenticación correspondientes.

Coexistencia de RADIUS: Purple y FortiAuthenticator

Un desafío arquitectónico frecuente en los entornos Fortinet es gestionar el acceso de invitados junto con la autenticación del personal cuando ya se ha implementado un FortiAuthenticator (FAC) para la identidad corporativa. El enfoque recomendado es la segregación absoluta de SSID. Los dispositivos del personal se conectan a un SSID seguro utilizando IEEE 802.1X (normalmente PEAP o EAP-TLS) autenticado directamente contra el FortiAuthenticator. Por el contrario, los dispositivos de los invitados se conectan a un SSID abierto configurado para la redirección a un Captive Portal externo, autenticándose contra la infraestructura RADIUS en la nube de Purple.

Esta separación garantiza que los datos de identidad de los invitados, cruciales para WiFi Analytics , se gestionen por completo dentro de la plataforma Purple, mientras que las credenciales corporativas de Active Directory se siguen procesando de forma segura mediante el FortiAuthenticator de forma local. El FortiGate maneja el enrutamiento y la aplicación de políticas para ambos flujos de tráfico de manera independiente, lo que garantiza un cruce cero entre la VLAN de invitados y la VLAN corporativa. Esta arquitectura también cumple con los requisitos de PCI DSS para la segmentación de red, ya que el tráfico de invitados está aislado física y lógicamente de cualquier infraestructura de procesamiento de pagos.

Guía de Implementación

La implementación de la integración de FortiAP con Purple requiere una configuración coordinada tanto en el portal de Purple como en la infraestructura de Fortinet. Los siguientes pasos describen la ruta crítica para una implementación exitosa utilizando la gestión de AP de FortiCloud.

Paso 1: Configuración de Red y RADIUS

Comience por definir la red dentro del panel de control de FortiCloud. Navegue a Configure > My RADIUS Server y defina tanto el servidor de autenticación (Puerto 1812) como el servidor de contabilidad (Puerto 1813) utilizando las credenciales proporcionadas en el portal de Purple. Ambos servidores deben estar configurados; la contabilidad no es opcional. Purple depende de los datos de contabilidad de RADIUS para alimentar el panel de WiFi Analytics con métricas de duración de la sesión, consumo de ancho de banda y frecuencia de visitantes. Establezca el intervalo interino de contabilidad en 120 segundos para obtener visibilidad en tiempo real.

Paso 2: Definición de SSID y Captive Portal

Cree un nuevo SSID dedicado al acceso de invitados. Establezca el método de autenticación en Open y habilite la función Captive Portal, seleccionando la opción de portal externo o personalizado. Debe ingresar la URL de acceso única y la URL de redirección proporcionadas por la pantalla de configuración del portal de Purple.

La configuración del Walled Garden es el paso más sensible de toda la implementación. Debe ingresar la lista completa de dominios requeridos por Purple para garantizar que los proveedores de inicio de sesión social (Facebook, Google, X) y los recursos esenciales del portal se carguen correctamente antes de la autenticación. Si no se configura el walled garden con precisión, se producirá un flujo de autenticación roto, ya que el dispositivo cliente no podrá acceder a los recursos externos necesarios. Asegúrese también de que el tráfico DNS (puerto UDP 53) esté explícitamente permitido en la política de preautenticación.### Paso 3: Asignación de IP — Modo NAT vs. Modo Bridge

Al definir el SSID, debe elegir entre el modo NAT y el modo Bridge para la asignación de IP.

En el modo NAT, el FortiGate proporciona direcciones DHCP a los dispositivos de los invitados desde una subred interna dedicada, traduciendo esas direcciones a medida que el tráfico sale del firewall. Esto es adecuado para implementaciones más sencillas o entornos de sucursales de Retail más pequeños donde el FortiGate gestiona toda la subred de invitados.

En el modo Bridge, el FortiAP conecta el tráfico de invitados directamente a una VLAN específica, lo que permite que un servidor DHCP externo asigne las direcciones IP. El modo Bridge se recomienda encarecidamente para entornos de alta densidad, como propiedades de Hospitality o centros de Transport , ya que proporciona una mayor flexibilidad para la gestión de direcciones IP, evita cuellos de botella de DHCP en el FortiGate y permite que la plataforma Purple vea la dirección IP real del cliente para obtener análisis y resolución de problemas más detallados.

Paso 4: Política de Firewall Post-Autenticación

Una vez completada la autenticación, el FortiGate debe aplicar una política de firewall post-autenticación dedicada a la VLAN de invitados. Esta política debe hacer referencia a los perfiles de FortiGuard Web Filtering y Application Control para aplicar restricciones de contenido y bloquear el tráfico peer-to-peer. Aplique un perfil de Traffic Shaper para imponer límites de ancho de banda, evitando que un solo invitado sature el enlace de subida del establecimiento. Asegúrese de que la política bloquee explícitamente todos los destinos de espacio de direcciones IP privadas RFC 1918 para evitar que los invitados exploren los recursos de la red interna.

Mejores Prácticas

Al diseñar esta integración, siga las siguientes recomendaciones estándar de la industria para garantizar la estabilidad, la seguridad y el cumplimiento.

La segregación de VLAN es obligatoria: Nunca implemente WiFi de invitados en la misma VLAN que los activos corporativos o los sistemas de punto de venta. Se debe aplicar un etiquetado de VLAN estricto a nivel de puerto del switch para mantener el cumplimiento de PCI DSS. El FortiGate debe aplicar políticas de firewall agresivas a la VLAN de invitados, bloqueando todos los destinos de espacio de direcciones IP privadas RFC 1918 para evitar el movimiento lateral.

Optimice los temporizadores de sesión: Configure el tiempo de concesión de DHCP y los intervalos intermedios de contabilidad RADIUS de manera adecuada. Un tiempo de concesión de DHCP de 3600 segundos combinado con un intervalo intermedio de contabilidad de 120 segundos proporciona un equilibrio óptimo entre la conservación de direcciones IP y los informes analíticos precisos en tiempo real dentro del panel de Purple.

Aproveche las funciones de Fortinet UTM después de la autenticación: La principal ventaja de esta integración es la capacidad de aplicar las funciones de seguridad avanzada de Fortinet al tráfico de invitados después de la autenticación. Configure la política de firewall posterior a la autenticación para utilizar FortiGuard Web Filtering y Application Control. Esto mitiga el riesgo de que los invitados utilicen el ancho de banda del establecimiento para actividades maliciosas, descargas de torrents o acceso a contenido inapropiado, protegiendo así la reputación de la IP pública del establecimiento y el acuerdo de servicio de internet.

Utilice certificados públicos: Asegúrese de que el FortiGate presente un certificado SSL/TLS válido y de confianza pública en la interfaz de redirección. Los certificados autofirmados activan advertencias de seguridad en dispositivos modernos con iOS y Android, lo que aumenta significativamente las tasas de abandono de los invitados en el portal.

Resolución de problemas y mitigación de riesgos

Incluso con una configuración meticulosa, las implementaciones pueden encontrar fricciones. Comprender los modos de falla comunes acelera significativamente la resolución.

El Captive Portal no se carga: Si un invitado se conecta pero la página de bienvenida no aparece, el culpable más común es un walled garden incompleto. Verifique que todos los dominios requeridos para Purple y cualquier proveedor de inicio de sesión social configurado estén explícitamente permitidos en la política de preautenticación. Asegúrese de que la resolución de DNS funcione correctamente para los clientes no autenticados; si el cliente no puede resolver la URL del portal de Purple, la redirección fallará por completo.

Tiempos de espera de RADIUS: Si el portal se carga pero la autenticación falla constantemente, investigue la ruta de comunicación de RADIUS. Verifique que la dirección IP externa del FortiGate esté registrada correctamente dentro de la configuración del router en el portal de Purple. Asegúrese de que los secretos compartidos coincidan exactamente (un solo carácter de diferencia provocará fallas de autenticación silenciosas) y de que ningún firewall intermedio esté bloqueando los puertos UDP 1812 y 1813 entre la infraestructura de Fortinet y los servidores RADIUS en la nube de Purple.

Errores de certificado: Los sistemas operativos móviles modernos son muy sensibles a las anomalías de los certificados SSL/TLS durante la intercepción del captive portal. Asegúrese de que el FortiGate presente un certificado válido y de confianza pública para la interfaz de redirección, en lugar de un certificado predeterminado autofirmado. Esto evita alarmantes advertencias de seguridad que disuaden a los invitados de completar el flujo de autenticación.

Brechas en el registro de sesiones: Si el panel de analíticas de Purple muestra datos de sesión incompletos o métricas de ancho de banda faltantes, verifique que el servidor de contabilidad RADIUS (puerto 1813) esté configurado correctamente y que el intervalo intermedio de contabilidad esté establecido. Los datos de contabilidad se envían por separado de la autenticación y requieren su propia definición de servidor.

ROI e impacto comercial

La integración de Fortinet y Purple transforma un centro de costos estándar — el WiFi para invitados — en un activo empresarial medible. Al utilizar el Captive Portal de Purple, los establecimientos capturan datos demográficos verificados e información de contacto, lo que permite campañas de marketing dirigidas, el crecimiento de programas de lealtad y el re-engagement posterior a la visita. Para los establecimientos que operan en los sectores de Retail o Hospitality , estos datos de primera mano son cada vez más valiosos a medida que la desaparición de las cookies de terceros limita los canales de marketing digital tradicionales.

Para las operaciones de TI, delegar la autenticación de invitados al RADIUS en la nube de Purple reduce significativamente la carga administrativa asociada con la gestión de bases de datos de usuarios locales, la impresión de cupones físicos o el mantenimiento de infraestructura RADIUS on-premise. La combinación del onboarding fluido de Purple y la robusta inspección de tráfico de Fortinet garantiza que el establecimiento ofrezca una experiencia de internet segura y de alto rendimiento, al mismo tiempo que genera inteligencia empresarial accionable a través de WiFi Analytics . Esta arquitectura es altamente escalable, soportando desde un único hotel boutique hasta un campus empresarial distribuido, ofreciendo un ROI constante tanto a través de la habilitación de marketing como de la eficiencia operativa.

Definiciones clave

External Captive Portal

Una configuración en la que el hardware de red (FortiGate/FortiAP) redirige el tráfico de usuarios no autenticados a una página de bienvenida (splash page) alojada en un servidor en la nube de un tercero (Purple), en lugar de servir una página almacenada localmente en el dispositivo.

Los equipos de TI utilizan esto para delegar el diseño del portal, el mantenimiento de la API de inicio de sesión social y la captura de consentimiento de GDPR a una plataforma especializada, reduciendo la carga operativa del equipo de red.

Walled Garden

Una lista de permitidos explícita de direcciones IP, dominios y subredes a las que un dispositivo cliente tiene permitido acceder antes de autenticarse con éxito en la red.

Es crucial para permitir que los dispositivos carguen los gráficos del Captive Portal, procesen los inicios de sesión de redes sociales y resuelvan consultas DNS antes de tener acceso completo a Internet. Es la causa más común de fallas en el Captive Portal cuando está mal configurado.

RADIUS Accounting

El mecanismo de protocolo que utiliza el puerto UDP 1813 para rastrear la duración de la sesión de un usuario, el consumo de ancho de banda y los volúmenes de transferencia de datos, reportando estos datos de vuelta al servidor RADIUS.

Purple depende de datos de contabilidad precisos del hardware de Fortinet para alimentar los tableros de analítica y aplicar límites de tiempo o datos en las sesiones de invitados. Debe configurarse por separado de la autenticación.

FortiAuthenticator (FAC)

El dispositivo dedicado de gestión de identidades y accesos de Fortinet, utilizado para la autenticación de red 802.1X del personal interno, el inicio de sesión único y la gestión de certificados.

Los administradores de TI con frecuencia necesitan asegurarse de que la implementación de Purple para invitados no interrumpa la infraestructura FAC existente utilizada por los empleados corporativos. La respuesta siempre es la segregación de SSID.

Bridge Mode SSID

Una configuración inalámbrica en la que el punto de acceso actúa como un puente transparente de capa 2, pasando el tráfico del cliente directamente a una VLAN específica en la red cableada en lugar de realizar NAT.

Es el preferido en implementaciones empresariales, ya que permite que los servidores DHCP principales existentes gestionen las direcciones IP, evita los cuellos de botella de DHCP en FortiGate y expone las IP reales de los clientes a la plataforma de analítica de Purple.

Post-Authentication Policy

Las reglas de firewall y los perfiles de Gestión Unificada de Amenazas (UTM) aplicados al tráfico de un usuario únicamente después de que se ha autenticado con éxito a través del Captive Portal.

Aquí es donde los arquitectos de red aplican filtrado web, control de aplicaciones y modelado de ancho de banda para proteger la red del establecimiento contra actividades maliciosas de los invitados. Purple gestiona la identidad; FortiGate se encarga de la aplicación de políticas.

IEEE 802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos, que proporciona un marco para autenticar dispositivos que desean conectarse a una LAN o WLAN utilizando métodos EAP como PEAP o EAP-TLS.

Se utiliza para el acceso seguro del personal a través de FortiAuthenticator, a diferencia de la autenticación abierta basada en portal que se utiliza para los invitados a través de Purple. Ambos métodos de autenticación coexisten en SSIDs separados.

RADIUS-as-a-Service

Una infraestructura RADIUS alojada en la nube y proporcionada por Purple, que elimina la necesidad de que los establecimientos implementen y mantengan servidores RADIUS locales como FreeRADIUS o Windows NPS.

Reduce la carga de infraestructura para los equipos de TI al tiempo que garantiza una alta disponibilidad y una integración perfecta con la plataforma de Captive Portal. Es particularmente valioso para implementaciones distribuidas de retail o sector hotelero.

FortiGuard

El servicio de suscripción de filtrado de contenido e inteligencia de amenazas basado en la nube de Fortinet, que proporciona filtrado web en tiempo real, control de aplicaciones y firmas de prevención de intrusiones a los dispositivos FortiGate.

Se aplica a través de políticas de firewall posteriores a la autenticación para inspeccionar y controlar el tráfico de Internet de los invitados después de que Purple ha autenticado al usuario, protegiendo la red del establecimiento y la reputación de la IP.

Ejemplos resueltos

Un hotel de 200 habitaciones utiliza actualmente un FortiGate 100F y FortiAPs. Utilizan FortiAuthenticator para la autenticación 802.1X del personal. Quieren implementar Purple WiFi para que los huéspedes capturen datos de marketing, pero al Director de TI le preocupa que el portal de huéspedes interfiera con el flujo de autenticación existente del personal.

Implemente una segregación absoluta de SSID. Mantenga el SSID Staff_WiFi existente configurado para WPA2-Enterprise, apuntando al servidor RADIUS de FortiAuthenticator en el puerto 1812. Cree un nuevo SSID Guest_WiFi independiente, configurado como una red abierta con el Captive Portal externo habilitado. Configure la URL del Captive Portal para que apunte a la página de inicio de Purple, y configure los ajustes de RADIUS para este SSID específico para que apunten a los servidores RADIUS en la nube de Purple (puerto 1812 para autenticación, puerto 1813 para contabilidad). Asocie el SSID de invitados a una VLAN aislada con una política de firewall dedicada. El FortiGate enruta las solicitudes de autenticación en función del SSID de origen, lo que garantiza una interferencia cero entre los dos sistemas de autenticación.

Comentario del examinador: Este enfoque aprovecha la capacidad de FortiGate para definir parámetros de autenticación por SSID. Resuelve de manera elegante el requisito de coexistencia sin necesidad de un proxy RADIUS complejo o reglas de reenvío condicional en el FortiAuthenticator. La clave es que el FortiGate actúa como el punto de aplicación de la política de tráfico para ambos SSIDs, mientras que la verificación de identidad se delega a la plataforma adecuada para cada tipo de usuario.

Una cadena de tiendas minoristas está implementando FortiCloud APs en 50 ubicaciones. Quieren utilizar Purple WiFi para el análisis de datos de invitados. Durante las pruebas en el primer sitio, el invitado se conecta al WiFi, pero su dispositivo muestra una página en blanco o un error de tiempo de espera de conexión en lugar de la página de inicio de Purple.

El equipo de TI debe auditar y actualizar la configuración del Walled Garden en los ajustes del SSID de FortiCloud AP. El FortiAP está bloqueando actualmente las solicitudes HTTP/HTTPS del cliente a los recursos del portal de Purple antes de la autenticación. El equipo debe ingresar la lista completa de los dominios requeridos por Purple —incluyendo los endpoints de CDN y los dominios de proveedores de inicio de sesión social— en la lista de permitidos del Walled Garden. También deben verificar que la política de preautenticación permita explícitamente el tráfico DNS en el puerto UDP 53, para que el dispositivo cliente pueda resolver el nombre de host del portal. Una vez corregido en el primer sitio, esta configuración debe convertirse en plantilla y aplicarse de manera uniforme en las 50 ubicaciones.

Comentario del examinador: Las configuraciones incorrectas del Walled Garden son la causa más frecuente de fallas en el Captive Portal en todos los proveedores de hardware. La solución identifica correctamente que el tráfico de preautenticación debe permitirse explícitamente. Si el dispositivo no puede acceder al CSS, JavaScript o a las APIs de inicio de sesión social del portal, el flujo de autenticación no puede iniciarse. Crear una plantilla con la solución para todos los sitios evita que el mismo problema se repita a gran escala.

Preguntas de práctica

Q1. Tu implementación requiere que los invitados se autentiquen a través de una página de inicio de Purple. Has configurado el SSID, los servidores RADIUS y la URL de redirección. Sin embargo, al conectarse, los dispositivos de los invitados informan de inmediato que no hay conexión a Internet y el portal no se abre automáticamente. ¿Cuál es la omisión de configuración más probable?

Sugerencia: Considera qué acceso a la red requiere un dispositivo antes de haberse autenticado completamente en la red.

Ver respuesta modelo

Es probable que el Walled Garden (lista de permitidos previa a la autenticación) esté incompleto o falte por completo. El dispositivo necesita permiso explícito para acceder a los dominios del portal de Purple, a las API de inicio de sesión social (Facebook, Google) y para realizar la resolución DNS antes de que el FortiGate otorgue acceso completo. Sin esto, el asistente de Captive Portal del dispositivo no puede acceder a la URL de destino para activar la ventana emergente. Además, verifica que el tráfico DNS en el puerto UDP 53 esté permitido en la política de preautenticación.

Q2. Una implementación en un estadio prevé 15,000 conexiones de invitados simultáneas durante los eventos. El diseño actual propone utilizar el FortiGate en modo NAT para proporcionar DHCP al SSID de invitados desde una única subred /20. ¿Por qué esta decisión arquitectónica podría generar problemas operativos y cuál es la alternativa recomendada?

Sugerencia: Considera la sobrecarga de procesamiento en el firewall FortiGate y las implicaciones de la rotación de concesiones DHCP a gran escala.

Ver respuesta modelo

El uso del modo NAT coloca toda la carga de procesamiento de DHCP en el FortiGate, el cual puede tener dificultades con la rápida rotación de concesiones de 15,000 dispositivos transitorios que se conectan y desconectan a lo largo de un evento. Una única subred /20 proporciona solo 4,094 direcciones útiles, lo que puede ser insuficiente para las conexiones simultáneas pico. Además, el modo NAT oculta la IP real del cliente de la plataforma Purple, lo que limita la profundidad analítica. El enfoque recomendado es el modo Bridge, enviando el tráfico de invitados a una VLAN dedicada administrada por una infraestructura DHCP empresarial externa robusta con pools de direcciones del tamaño adecuado.

Q3. El CISO exige que el tráfico de WiFi de invitados no consuma más del 20% del ancho de banda total de Internet del recinto, y se debe evitar que los invitados accedan a redes de intercambio de archivos peer-to-peer. ¿En qué parte de la arquitectura Fortinet-Purple se aplica esta política y qué funciones específicas de Fortinet se requieren?

Sugerencia: Determina qué componente maneja la inspección de tráfico y la aplicación de políticas después de que Purple haya verificado la identidad del usuario.

Ver respuesta modelo

Esta política se aplica en el dispositivo UTM FortiGate a través de la política de firewall posterior a la autenticación (Post-Authentication Firewall Policy) aplicada a la VLAN de invitados. Mientras que Purple se encarga de la autenticación y la captura de identidad, el FortiGate sigue siendo responsable de la inspección y aplicación del tráfico de Capa 7. El equipo de red debe configurar un perfil de FortiGuard Application Control para bloquear las categorías P2P (BitTorrent, eDonkey, etc.) y aplicar un perfil de Traffic Shaper a la política de invitados para hacer cumplir el límite del 20% de ancho de banda. Ambos perfiles deben estar referenciados en la política de firewall posterior a la autenticación, no en la política de walled garden previa a la autenticación.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

Integración de Access Points Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los access points de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección de Captive Portal externo, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves privadas precompartidas (PPSK) para despliegues multi-inquilino seguros.

Grandstream GWN Access Points Integration with Purple WiFi

Esta guía de referencia técnica autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración del walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multi-tenant, proporcionando una guía paso a paso y práctica para MSPs y equipos de TI que despliegan WiFi para invitados y personal a gran escala.