SonicWall y WiFi para invitados: configuración de captive portal con Purple

INTEGRACIÓN DE SONICWALL TZ Y SONICWAVE CON PURPLE WIFI Serie de Sesiones Técnicas de la Plataforma de Inteligencia de Purple WiFi Duración: Aproximadamente 10 minutos Clon de voz: Inglés del Reino Unido, tono de consultor senior: confiado, conversacional, con autoridad --- SEGMENTO 1: INTRODUCCIÓN Y CONTEXTO (aproximadamente 1 minuto) Bienvenido a la Serie de Sesiones Técnicas de Purple. Hoy cubriremos una de las integraciones técnicamente más complejas en el espacio de WiFi empresarial: los firewalls SonicWall TZ y los puntos de acceso SonicWave, implementados junto con Purple para la autenticación de invitados, el control de acceso del personal y el aislamiento de redes multiinquilino. Si es un ingeniero de seguridad de TI o un MSP que administra sedes - hoteles, cadenas de retail, centros de conferencias o desarrollos de uso mixto - esta sesión es para usted. Avanzaremos rápidamente a través de la arquitectura, los pasos de configuración y los puntos donde las implementaciones suelen fallar. SonicWall es una opción sólida en el espacio de PyMEs y mercado medio. Los firewalls de la serie TZ se implementan ampliamente, y los APs SonicWave se integran de forma nativa a través de SonicOS y el Wireless Network Manager. Al agregar Purple en la parte superior, obtiene una capa de WiFi para invitados administrada en la nube con páginas de inicio de sesión de marca, autenticación basada en RADIUS y captura de datos de origen - todo sin reemplazar su infraestructura de SonicWall existente. Entremos en la arquitectura. --- SEGMENTO 2: INMERSIÓN TÉCNICA PROFUNDA (aproximadamente 5 minutos) Hay cuatro casos de uso distintos que cubrir aquí, y cada uno tiene una ruta de configuración diferente. WiFi para invitados con redirección de Captive Portal. Excepciones de Walled Garden. WiFi seguro para el personal mediante 802.1X. Y aislamiento multiinquilino mediante claves precompartidas privadas de SonicWall - PPSK - con redirección dinámica de VLAN. Comencemos con el WiFi para invitados y el Captive Portal de SonicWall. SonicOS utiliza un mecanismo llamado Lightweight Hotspot Messaging - LHM - para manejar redirecciones de Captive Portal externos. Cuando un invitado se conecta a su SSID de invitados y abre un navegador, SonicWall intercepta esa solicitud HTTP y la redirige a la URL de la página de inicio de sesión de Purple. El invitado se autentica en la plataforma de Purple - a través de inicio de sesión social, correo electrónico o un clic - y Purple envía una autorización LHM de regreso a SonicWall en el puerto TCP 4043. SonicWall entonces abre el acceso a internet para la dirección MAC de ese dispositivo. La configuración en SonicOS 7.x funciona así. Primero, navegue a Object, luego a Match Objects, luego a Zones. Edite la zona asignada a su WiFi para invitados - normalmente una WLAN o zona personalizada. En Guest Services, habilite tanto "Enable Guest Services" como "External Guest Authentication". Luego vaya a Configure, Guest Services, General. Establezca el Client Redirect Protocol en HTTP. Ingrese el nombre de host del portal de Purple como la dirección del servidor web - que es portal.purple.ai. Establezca la ruta de redirección a la URL específica de la página de inicio de sesión de su sede, la cual Purple proporciona en el panel de control de la sede. El puerto es 4043. En la pestaña Auth Pages, configure la URL de inicio de sesión con la URL del portal externo de Purple. Configure la URL de cierre de sesión si desea gestionar la finalización de la sesión. En la pestaña Advanced, habilite "Allow unauthenticated users to access HTTPS sites" solo si necesita dar soporte a dispositivos que priorizan HTTPS - pero tenga en cuenta que esto debilita la aplicación del redireccionamiento. Una vez guardado, SonicOS crea automáticamente una política NAT y una regla de acceso de WAN-to-WAN que permite TCP 4043. No elimine estas reglas generadas automáticamente. Son las que permiten que se complete el saludo LHM. Ahora, la configuración de Walled Garden. Antes de que un usuario invitado se autentique, su dispositivo debe llegar a ciertos dominios para que la página de bienvenida funcione. La plataforma de Purple depende de sus propios endpoints CDN y API. Las sondas de detección de Captive Portal del sistema operativo - captive.apple.com para dispositivos iOS, connectivitycheck.gstatic.com para Android y msftconnecttest.com para Windows - deben estar en la lista de permitidos. Si ofrece inicio de sesión social, agregue accounts.google.com, oauth2.googleapis.com, apis.google.com y gstatic.com para Google. Agregue www.facebook.com, graph.facebook.com, connect.facebook.net y el dominio CDN fbcdn.net si ofrece inicio de sesión con Facebook. In SonicOS, agregue estos como objetos de dirección FQDN en Object, Match Objects, Addresses. Luego cree reglas de acceso en la zona de invitados que permitan a los dispositivos no autenticados llegar a estos FQDN. Use la resolución de DNS dinámico - SonicOS resuelve objetos FQDN a intervalos regulares - en lugar de entradas de IP estáticas, que variarán a medida que cambien los rangos de IP de CDN. Pasemos a Secure Staff WiFi con 802.1X. Aquí es donde los AP SonicWave y el servidor RADIUS de Purple trabajan juntos. El AP SonicWave actúa como el autenticador en el intercambio 802.1X. El suplicante es el dispositivo del personal. El servidor RADIUS de Purple es el servidor de autenticación. El método EAP que elija dependerá de su proveedor de identidad. Si utiliza Microsoft Entra ID o Okta, PEAP-MSCHAPv2 es la opción más común porque funciona con credenciales de usuario y contraseña. Si ha implementado certificados de dispositivo - que es el enfoque recomendado para dispositivos gestionados - use EAP-TLS. En Wireless Network Manager, navegue a Policies, Policy Hierarchy, seleccione su política de AP y haga clic en la pestaña 802.1X. Ingrese la dirección IP del servidor RADIUS de Purple - disponible en su panel de control de sede de Purple bajo la sección de configuración de RADIUS. El secreto compartido es generado por Purple y debe coincidir exactamente en ambos lados. Configure el puerto de autenticación en 1812 y el puerto de contabilidad en 1813. Para la configuración de EAP, seleccione el método que coincida con la configuración de su proveedor de identidad. Por el lado de Purple, cree una política de RADIUS para la autenticación del personal. Asocie el SSID del personal a una VLAN específica; por ejemplo, la VLAN 200 para el personal. El servidor RADIUS de Purple devuelve la asignación de VLAN utilizando tres atributos estándar: Tunnel-Type configurado como VLAN, Tunnel-Medium-Type configurado como 802 y Tunnel-Private-Group-ID configurado con el ID de la VLAN como una cadena de texto (por lo tanto, "200" para la VLAN 200). El firewall de SonicWall y el AP de SonicWave respetan estos atributos y colocan de forma automática el dispositivo autenticado del personal en la VLAN correcta. Ahora, el caso de uso más interesante desde el punto de vista arquitectónico: PPSK y el aislamiento multi-tenant. Las Private Pre-Shared Keys le permiten operar un solo SSID y asignar a cada inquilino, residente o grupo de usuarios una contraseña única. Cuando un dispositivo se conecta utilizando una PPSK específica, el AP de SonicWave envía esa clave al servidor RADIUS de Purple para su validación. Purple busca la clave, identifica al inquilino o grupo de usuarios asociado y devuelve la asignación de VLAN correspondiente a través del atributo Tunnel-Private-Group-ID. El SonicWall luego dirige ese dispositivo a la VLAN correcta, completamente aislado de otros inquilinos en el mismo SSID. Esto es Identity-Based Networking en la práctica. No está administrando SSIDs por inquilino. Está administrando identidades por inquilino. En un desarrollo de uso mixto con diez locales comerciales, un solo SSID se transmite por todo el edificio. Cada inquilino recibe su propia PPSK. Cada PPSK se asocia a una VLAN y subred dedicadas. Los dispositivos del Inquilino A nunca ven el tráfico del Inquilino B, aunque compartan los mismos puntos de acceso físicos. La configuración de PPSK en SonicOS requiere el modo PPSK basado en RADIUS en el SSID. En el Administrador de Redes Inalámbricas, edite el SSID, configure el modo de seguridad en WPA2-Enterprise con PPSK y apunte el servidor RADIUS a Purple. Purple autoriza la tabla de mapeo de PPSK a VLAN de forma centralizada. Cuando agrega un nuevo inquilino, crea una nueva PPSK en Purple, le asigna una VLAN y el cambio se propaga a todos los APs de SonicWave en ese sitio sin tocar la configuración del firewall. - SEGMENTO 3: RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES (aproximadamente 2 minutos) Permítame compartirle las tres cosas que fallan con más frecuencia en las implementaciones de SonicWall y Purple. Primero: el puerto LHM. El puerto TCP 4043 debe estar abierto desde la WAN hacia la interfaz WAN del SonicWall. Si su ISP o firewall ascendente bloquea este puerto, el saludo de autorización LHM nunca se completa y los invitados se quedan varados en el portal cautivo después de autenticarse. Ven un inicio de sesión exitoso del lado de Purple, pero el SonicWall nunca recibe la señal de autorización. Pruebe esto con una verificación por telnet o curl al puerto 4043 desde una IP externa antes de la puesta en marcha. Segundo: el tiempo de resolución de los objetos FQDN. SonicOS resuelve los objetos de dirección FQDN al arrancar y luego en un intervalo configurable. Si agrega un nuevo dominio al walled garden y la resolución aún no se ha actualizado, los dispositivos no autenticados no podrán acceder a él. Fuerce una actualización manual después de agregar nuevos objetos FQDN o configure el intervalo de actualización de DNS en 60 segundos en implementaciones de alto tráfico. Tercero: Configuración de la subinterfaz VLAN. La asignación dinámica de VLAN a través de RADIUS sólo funciona si las VLAN de destino existen como subinterfaces en el SonicWall antes de que el primer dispositivo se autentique. Si una respuesta RADIUS devuelve el Tunnel-Private-Group-ID 110 pero la VLAN 110 no existe como subinterfaz en el SonicWall, el dispositivo se desconecta o vuelve a la VLAN predeterminada. Cree y pruebe todas las subinterfaces VLAN antes de habilitar la asignación de VLAN por RADIUS. Para los MSP que administran múltiples sedes, el panel en la nube de Purple le permite administrar las políticas RADIUS, las tablas PPSK y las configuraciones de la splash page de forma centralizada. Puede aplicar cambios de configuración en todas las sedes desde una sola interfaz. Esa es la ventaja operativa de un enfoque de superposición en la nube - el hardware de SonicWall permanece en su lugar y Purple maneja la capa de identidad y políticas por encima de este. - SEGMENTO 4: PREGUNTAS Y RESPUESTAS RÁPIDAS (aproximadamente 1 minuto) Algunas preguntas que surgen con regularidad. "¿Puedo usar AP SonicWave en modo autónomo con Purple?" Sí, pero perderá algunas funcionalidades. En el modo autónomo, los AP SonicWave administran su propia configuración RADIUS de manera local. De igual manera puede apuntarlos al servidor RADIUS de Purple para 802.1X. Pero para PPSK con asignación dinámica de VLAN, necesita el SonicWall TZ como proxy RADIUS o el Wireless Network Manager que administre la política del AP de forma centralizada. "¿Purple es compatible con WPA3 en SonicWave?" El soporte de WPA3 en SonicWave depende de la versión de firmware y del modelo de AP. Los AP de la serie SonicWave 600 son compatibles con WPA3. Para los casos de uso de Captive Portal, WPA3 con Opportunistic Wireless Encryption es compatible con el flujo de redireccionamiento LHM de Purple, pero realice pruebas en su versión de firmware específica antes de implementarlo a gran escala. "¿Cómo maneja Purple el GDPR para los datos de los visitantes recopilados a través de la splash page?" Purple cuenta con la certificación ISO 27001, cumple con el GDPR y tiene la certificación Cyber Essentials. El consentimiento se obtiene en la splash page con casillas de verificación de aceptación configurables. Purple almacena los datos de origen de acuerdo con su política de retención de datos. Los visitantes pueden acceder a sus datos y eliminarlos a través del portal de autoservicio de Purple. "¿Qué atributos RADIUS devuelve Purple para la asignación dinámica de VLAN?" Tres atributos: Tunnel-Type con valor VLAN, Tunnel-Medium-Type con valor 802 y Tunnel-Private-Group-ID con el ID de VLAN como una cadena. Estos son los atributos estándar RFC 2868 compatibles con SonicOS y SonicWave. - SEGMENTO 5: RESUMEN Y PRÓXIMOS PASOS (aproximadamente 1 minuto) En resumen. Los firewalls SonicWall TZ y los AP SonicWave se integran con Purple a través de dos mecanismos principales: LHM para el redireccionamiento del Captive Portal de visitantes, y RADIUS para la autenticación del personal 802.1X y el aislamiento multiinquilino basado en PPSK. Los pasos clave de configuración son: habilitar la autenticación de invitados externos en la zona de visitantes, configurar la URL del portal de Purple en el puerto 4043, crear sus objetos FQDN de walled garden, configurar RADIUS en la política de AP SonicWave en el Wireless Network Manager y crear sus subinterfaces VLAN en el SonicWall antes de habilitar la asignación dinámica de VLAN. Para implementaciones multi-inquilino, PPSK con direccionamiento VLAN basado en RADIUS es la arquitectura ideal. Un SSID, un conjunto de AP, aislamiento completo de inquilinos a través de la asignación de VLAN basada en la identidad. Si está planeando una implementación o revisando una existente, el equipo técnico de Purple puede proporcionarle archivos de configuración de RADIUS específicos para cada recinto y listas de dominios de walled garden. La plataforma Purple soporta 80,000 recintos activos y ha procesado 440 millones de inicios de sesión en 2024 - los patrones de integración que hemos cubierto hoy están probados a escala. Gracias por escuchar. La guía escrita completa con tablas de configuración paso a paso y diagramas de arquitectura de Mermaid está disponible en el sitio web de Purple. --- FIN DEL GUION