Fortinet FortiAP y WiFi de invitados: configuración de Captive Portal con Purple

Bienvenido a la sesión informativa de arquitectura de Purple. Hoy analizaremos una integración fundamental para las redes empresariales: la implementación de Purple WiFi junto con la infraestructura de Fortinet, específicamente los puntos de acceso FortiAP y los firewalls FortiGate. Si eres gerente de TI, arquitecto de redes o CTO que administra un establecimiento - ya sea una cadena de tiendas de autoservicio, un estadio o un hospital - esta sesión está diseñada para ofrecerte el plan de acción para lograr que estas dos potentes plataformas funcionen juntas sin problemas. Pongámonos en contexto. Fortinet es reconocido por su sólida postura de seguridad. Los dispositivos de gestión unificada de amenazas FortiGate proporcionan una inspección profunda del tráfico de Capa 7. Sin embargo, cuando se trata de WiFi para invitados, no solo buscas seguridad - buscas valor para el negocio. Deseas capturar datos demográficos, comprender el comportamiento de los visitantes e impulsar el retorno de inversión en marketing. Ahí es donde entra Purple. Al integrar Purple como un Captive Portal externo, delegas el trabajo pesado de la gestión de identidad de los invitados, el consentimiento de GDPR y los inicios de sesión con redes sociales al RADIUS en la nube de Purple, mientras permites que el FortiGate haga lo que mejor sabe hacer: proteger el perímetro. Entonces, ¿cómo funciona realmente esto por debajo? Entremos en los detalles técnicos. La arquitectura se basa en protocolos RADIUS estándar y redirección HTTP. Cuando un dispositivo invitado se asocia con el SSID para invitados abierto transmitido por el FortiAP, el FortiGate intercepta esa solicitud web inicial. En lugar de mostrar una página de portal básica almacenada localmente, el FortiGate redirige al cliente a la página de bienvenida alojada en la nube de Purple. Ahora, aquí está el concepto crítico: el Walled Garden. Durante esta fase de autenticación previa, el invitado no tiene acceso a internet. Pero necesita cargar los gráficos del portal, y podría necesitar acceder a Facebook o Google para iniciar sesión. El Walled Garden es una lista de permitidos estricta configurada en el FortiGate que autoriza el tráfico hacia estos dominios específicos. Una vez que el usuario se autentica, la plataforma de Purple envía un mensaje RADIUS Access-Accept de vuelta al FortiGate. El FortiGate entonces realiza el cambio, modificando el estado de la sesión a autenticado, y coloca al usuario en tu política de firewall posterior a la autenticación. Hablemos de la configuración de RADIUS con más detalle, porque aquí es donde la precisión importa. Purple te proporciona dos conjuntos de credenciales RADIUS: uno para la autenticación en el puerto 1812 y otro para la contabilidad en el puerto 1813. Ambos deben configurarse. El servidor de contabilidad no es opcional. Es el mecanismo mediante el cual el FortiGate reporta los datos de la sesión de vuelta a Purple: duración, ancho de banda consumido y eventos de finalización de sesión. Sin datos de contabilidad precisos, tu tablero de análisis de Purple mostrará métricas de visitantes incompletas o inexactas. Establece el intervalo intermedio de contabilidad en 120 segundos. Esto proporciona un buen equilibrio entre la visibilidad en tiempo real y la sobrecarga de la red. Un escenario muy común involucra a FortiAuthenticator. Muchas empresas utilizan FortiAuthenticator para su WiFi de personal - utilizando 802.1X y PEAP para autenticar dispositivos corporativos contra Active Directory. La pregunta siempre es: ¿puedo mantener mi FortiAuthenticator para el personal y utilizar Purple para los invitados? La respuesta es absolutamente sí, y la regla de oro aquí es la segregación estricta. Mantienes tu SSID de personal apuntando a FortiAuthenticator. Creas un SSID abierto, completamente separado, para invitados apuntando al Captive Portal externo de Purple y a la nube RADIUS. El FortiGate enruta las solicitudes de autenticación en función del SSID. La identidad del personal se queda de forma local con FortiAuthenticator. La identidad de los invitados va a la nube de marketing de Purple. Cero cruces, máxima seguridad. Esta arquitectura también tiene un beneficio de cumplimiento significativo. Bajo los requisitos de PCI-DSS, las redes WiFi de invitados deben estar completamente aisladas de cualquier segmento de red que maneje datos de tarjetahabientes. Al colocar el SSID de invitados en una VLAN dedicada y aplicar políticas de firewall estrictas en el FortiGate para bloquear todos los destinos de espacio de IP privadas RFC 1918, cumples con este requisito de forma limpia. Ahora pasemos a las recomendaciones de implementación. Cuando estés configurando esto, tienes que tomar una decisión crucial con respecto a la asignación de IP: modo NAT frente a modo Bridge. Si estás implementando una sucursal minorista pequeña con quizás cincuenta a cien conexiones de invitados concurrentes, el modo NAT es perfectamente adecuado. El FortiGate entrega direcciones DHCP a los invitados desde una subred interna dedicada y las traduce a medida que el tráfico sale del firewall. Es simple y requiere una infraestructura adicional mínima. Pero si estás implementando un entorno de alta densidad - por ejemplo, un hotel de quinientas habitaciones, un centro de conferencias con múltiples eventos concurrentes o un estadio - debes usar el modo Bridge. En el modo Bridge, el FortiAP deja caer el tráfico de invitados directamente en una VLAN dedicada, lo que permite que tus servidores DHCP empresariales principales manejen la carga. Esto evita que el FortiGate se convierta en un cuello de botella de DHCP durante los eventos de conexión pico. El modo Bridge también garantiza que la plataforma Purple vea la dirección IP real del cliente, lo cual es vital para análisis precisos y resolución de problemas. Hablemos de la secuencia de configuración paso a paso, porque el orden importa aquí. Comienza en el portal de Purple. Recupera las credenciales de tu servidor RADIUS - las direcciones IP del servidor, los secretos compartidos, la URL del Captive Portal y la URL de redirección. Estos son los cuatro elementos de información críticos que necesitas antes de tocar la configuración de Fortinet. Luego, ve al tablero de FortiCloud o a tu interfaz de administración de FortiGate. Define primero tus servidores RADIUS - autenticación en 1812, contabilidad en 1813. Luego crea tu SSID de invitados, establece la autenticación en Open, habilita el Captive Portal externo e ingresa la URL del portal de Purple y la URL de redirección. Configura tu Walled Garden. Y finalmente, define tu política de firewall posterior a la autenticación con tus perfiles UTM. ¿Qué hay de las dificultades? ¿En qué suelen fallar las implementaciones? El problema número uno, sin duda, es un Walled Garden incompleto. Si un huésped se conecta y obtiene una pantalla en blanco o un tiempo de espera agotado, casi siempre significa que el FortiGate está bloqueando el acceso a los archivos CSS, recursos JavaScript o las API de inicio de sesión de redes sociales de Purple antes de la autenticación. Debe asegurarse de que cada dominio requerido esté explícitamente permitido en esa política de preautenticación. Purple proporciona una lista completa de los dominios requeridos; utilícela en su totalidad. Además, no olvide el DNS. Los clientes no autenticados deben tener permitido resolver consultas de DNS, o de lo contrario la redirección simplemente no funcionará. El dispositivo necesita resolver el nombre de host del portal de Purple antes de que pueda intentar cargar la página. El segundo error más común son los errores de certificado. Asegúrese de que su FortiGate presente un certificado SSL válido y de confianza pública para la interfaz de redirección. Si utiliza el certificado autofirmado predeterminado, los iPhones y dispositivos Android modernos mostrarán advertencias de seguridad significativas y sus huéspedes abandonarán la conexión por completo. Este es un problema particularmente agudo en entornos de hospitalidad donde la experiencia del huésped es primordial. La tercera dificultad son los errores de tiempo de espera de RADIUS. Si el portal se carga pero la autenticación falla constantemente, verifique que los secretos compartidos coincidan exactamente entre su configuración de FortiGate y el portal de Purple. Incluso una diferencia de un solo carácter hará que todos los intentos de autenticación fallen de forma silenciosa. También verifique que ningún firewall intermedio esté bloqueando los puertos UDP 1812 y 1813 entre su infraestructura de Fortinet y los servidores RADIUS en la nube de Purple. Terminemos con una sesión de preguntas y respuestas rápidas basada en las dudas más comunes que escuchamos de los clientes. Pregunta uno: ¿el uso de Purple elude mis políticas de seguridad de FortiGate? Absolutamente no. Purple se encarga de la autenticación y la captura de identidad. Una vez autenticado, todo el tráfico de huéspedes fluye a través de la política de postautenticación de su FortiGate. Aquí es precisamente donde se aplica el filtrado web de FortiGuard, se bloquea el tráfico de igual a igual (P2P) y se define el ancho de banda. Piénselo de esta manera: la preautenticación es permisiva para permitir el inicio de sesión; la postautenticación es restrictiva para proteger la red. Pregunta dos: ¿necesito implementar servidores RADIUS locales? No. Purple proporciona RADIUS-as-a-Service. Configura el FortiGate para que apunte directamente a las direcciones IP de RADIUS en la nube de Purple. No es necesario implementar ni mantener FreeRADIUS, Windows NPS ni ninguna otra infraestructura RADIUS local para la red de huéspedes. Pregunta tres: ¿puede Purple funcionar con FortiWLM? Sí. El enfoque de integración es el mismo: configure la URL del Captive Portal externo, las credenciales del servidor RADIUS y el walled garden dentro del controlador FortiWLM, siguiendo la misma secuencia lógica que la configuración de FortiGate. Pregunta cuatro: ¿qué pasa con el cumplimiento de GDPR? Purple recopila el consentimiento explícito a nivel de portal, presentando sus términos y condiciones y avisos de procesamiento de datos antes de la autenticación. Estos datos de consentimiento se almacenan dentro de la plataforma Purple y son auditables. El rol de FortiGate es puramente de aplicación de políticas de red - no necesita manejar datos de consentimiento directamente. Para resumir los puntos clave de la sesión de hoy. Primero: segregue absolutamente las SSID de su personal y de sus invitados. El personal en FortiAuthenticator con 802.1X. Los invitados en Purple con un Captive Portal externo. Segundo: configure meticulosamente su Walled Garden. Es el punto de falla más común y el elemento de configuración previo a la autenticación más importante. Tercero: utilice el Bridge mode para cualquier implementación de alta densidad para evitar cuellos de botella de DHCP y garantizar una visibilidad precisa de la IP del cliente. Cuarto: configure los servidores de autenticación y accounting de RADIUS. El accounting no es opcional si desea análisis significativos. Quinto: aproveche las funciones UTM de Fortinet después de la autenticación. El filtrado web, el control de aplicaciones y la regulación de ancho de banda deben aplicarse en la política de firewall posterior a la autenticación. Al ejecutar esta integración correctamente, transforma el WiFi de invitados de un centro de costos a un activo seguro, en cumplimiento y que genera ingresos. La combinación de la profundidad de seguridad de Fortinet y la inteligencia de marketing de Purple es verdaderamente poderosa para cualquier operador de recintos que quiera tomarse en serio la experiencia de sus invitados y su estrategia de datos. Gracias por escuchar la Sesión Informativa de Arquitectura de Purple. Si desea analizar sus requisitos específicos de implementación, visite purple.ai para hablar con el equipo de soluciones.