SonicWall TZ and SonicWave Integration with Purple WiFi

INTEGRACIÓN DE SONICWALL TZ Y SONICWAVE CON PURPLE WIFI Purple WiFi Intelligence Platform - Serie de Sesiones Técnicas Informativas Duración: Aproximadamente 10 minutos Voz: Inglés británico, tono de consultor senior: seguro, conversacional, autoritario --- SEGMENTO 1: INTRODUCCIÓN Y CONTEXTO (aproximadamente 1 minuto) Bienvenido a la Serie de Sesiones Técnicas Informativas de Purple. Hoy cubriremos una de las integraciones técnicamente más complejas en el espacio de WiFi empresarial: los firewalls SonicWall TZ y los puntos de acceso SonicWave, implementados junto con Purple para la autenticación de invitados, el control de acceso del personal y el aislamiento de redes multi-tenant. Si usted es un ingeniero de seguridad de TI o un MSP que administra establecimientos (hoteles, cadenas de retail, centros de conferencias o desarrollos de uso mixto), esta sesión informativa es para usted. Avanzaremos rápidamente a través de la arquitectura, los pasos de configuración y los puntos donde las implementaciones suelen fallar. SonicWall es una opción sólida en el sector de PyMEs y mercado medio. Los firewalls de la serie TZ están ampliamente implementados y los AP SonicWave se integran de forma nativa a través de SonicOS y el Wireless Network Manager. Al añadir Purple, obtiene una capa de WiFi para invitados administrada en la nube con Captive Portals personalizados, autenticación basada en RADIUS y captura de datos de origen, todo sin necesidad de reemplazar su infraestructura SonicWall existente. Comencemos con la arquitectura. --- SEGMENTO 2: ANÁLISIS TÉCNICO DETALLADO (aproximadamente 5 minutos) Hay cuatro casos de uso distintos que cubrir aquí, y cada uno tiene una ruta de configuración diferente. WiFi para invitados con redirección de Captive Portal. Excepciones de Walled Garden. WiFi seguro para el personal mediante 802.1X. Y aislamiento multi-tenant mediante claves precompartidas privadas (PPSK) de SonicWall con direccionamiento dinámico de VLAN. Comencemos con el WiFi para invitados y el Captive Portal de SonicWall. SonicOS utiliza un mecanismo llamado Lightweight Hotspot Messaging (LHM) para manejar las redirecciones de Captive Portals externos. Cuando un invitado se conecta a su SSID de invitados y abre un navegador, el SonicWall intercepta esa solicitud HTTP y la redirige a la URL del Captive Portal de Purple. El invitado se autentica en la plataforma de Purple (a través de inicio de sesión social, correo electrónico o un clic de aceptación) y Purple envía una autorización LHM de vuelta al SonicWall en el puerto TCP 4043. Luego, el SonicWall habilita el acceso a Internet para la dirección MAC de ese dispositivo. La configuración en SonicOS 7.x funciona de la siguiente manera. Primero, navegue a Object, luego a Match Objects y después a Zones. Edite la zona asignada a su WiFi de invitados, que suele ser una WLAN o una zona personalizada. En Guest Services, habilite tanto "Enable Guest Services" como "External Guest Authentication". Luego vaya a Configure, Guest Services, General. Establezca el Client Redirect Protocol en HTTP. Ingrese el nombre de host del portal de Purple como la dirección del servidor web; esto es portal.purple.ai. Establezca la ruta de redirección a la URL del Captive Portal específica de su establecimiento, la cual Purple proporciona en el panel de control del establecimiento. El puerto es 4043. En la pestaña Auth Pages, establece la URL de inicio de sesión en la URL del portal externo de Purple. Establece la URL de cierre de sesión si deseas gestionar la terminación de la sesión. En la pestaña Advanced, habilita "Allow unauthenticated users to access HTTPS sites" solo si necesitas admitir dispositivos HTTPS-first, pero ten en cuenta que esto debilita la aplicación de la redirección. Una vez guardado, SonicOS crea automáticamente una política NAT y una regla de acceso WAN-to-WAN que permite TCP 4043. No elimines estas reglas generadas automáticamente. Son las que permiten que se complete el saludo de manos LHM. Ahora, la configuración del Walled Garden. Antes de que un invitado se autentique, su dispositivo necesita llegar a ciertos dominios para que la splash page funcione. La plataforma de Purple depende de sus propios endpoints de CDN y API. Las sondas de detección de Captive Portal del sistema operativo (captive.apple.com para dispositivos iOS, connectivitycheck.gstatic.com para Android y msftconnecttest.com para Windows) deben estar en la lista blanca. Si ofreces inicio de sesión social, agrega accounts.google.com, oauth2.googleapis.com, apis.google.com y gstatic.com para Google. Agrega www.facebook.com, graph.facebook.com, connect.facebook.net y el dominio de CDN fbcdn.net si ofreces inicio de sesión con Facebook. En SonicOS, agrégalos como objetos de dirección FQDN en Object, Match Objects, Addresses. Luego, crea reglas de acceso en la zona de invitados que permitan a los dispositivos no autenticados llegar a estos FQDN. Utiliza la resolución DNS dinámica (SonicOS resuelve los objetos FQDN a intervalos regulares) en lugar de entradas de IP estáticas, las cuales variarán a medida que cambien los rangos de IP de la CDN. Pasemos a Secure Staff WiFi con 802.1X. Aquí es donde los AP SonicWave y el servidor RADIUS de Purple trabajan juntos. El AP SonicWave actúa como el autenticador en el intercambio 802.1X. El suplicante es el dispositivo del personal. El servidor RADIUS de Purple es el servidor de autenticación. El método EAP que elijas dependerá de tu proveedor de identidad. Si utilizas Microsoft Entra ID u Okta, PEAP-MSCHAPv2 es la opción más común porque funciona con credenciales de usuario y contraseña. Si has implementado certificados de dispositivo (que es el enfoque recomendado para dispositivos administrados), utiliza EAP-TLS. En el Wireless Network Manager, navega a Policies, Policy Hierarchy, selecciona tu política de AP y haz clic en la pestaña 802.1X. Ingresa la dirección IP del servidor RADIUS de Purple, disponible en tu panel de control de Purple bajo la sección de configuración de RADIUS. El secreto compartido es generado por Purple y debe coincidir exactamente en ambos lados. Establece el puerto de autenticación en 1812 y el puerto de contabilidad en 1813. Para la configuración de EAP, selecciona el método que coincida con la configuración de tu proveedor de identidad. On the Purple side, create a RADIUS policy for staff authentication. Map the staff SSID to a specific VLAN - for example, VLAN 200 for staff. Purple's RADIUS server returns the VLAN assignment using three standard attributes: Tunnel-Type set to VLAN, Tunnel-Medium-Type set to 802, and Tunnel-Private-Group-ID set to the VLAN ID as a string - so "200" for VLAN 200. The SonicWall firewall and SonicWave AP honour these attributes and place the authenticated staff device into the correct VLAN automatically. Now, the most architecturally interesting use case: PPSK and multi-tenant isolation. Private Pre-Shared Keys allow you to run a single SSID and assign each tenant, resident, or user group a unique passphrase. When a device connects using a specific PPSK, the SonicWave AP sends that key to Purple's RADIUS server for validation. Purple looks up the key, identifies the associated tenant or user group, and returns the appropriate VLAN assignment via the Tunnel-Private-Group-ID attribute. The SonicWall then steers that device into the correct VLAN - completely isolated from other tenants on the same SSID. This is Identity-Based Networking in practice. You are not managing SSIDs per tenant. You are managing identities per tenant. In a mixed-use development with ten retail units, one SSID broadcasts across the entire building. Each tenant gets their own PPSK. Each PPSK maps to a dedicated VLAN and subnet. Tenant A's devices never see Tenant B's traffic, even though they are sharing the same physical access points. The PPSK configuration in SonicOS requires RADIUS-based PPSK mode on the SSID. In the Wireless Network Manager, edit the SSID, set the security mode to WPA2-Enterprise with PPSK, and point the RADIUS server at Purple. Purple manages the PPSK-to-VLAN mapping table centrally. When you add a new tenant, you create a new PPSK in Purple, assign it a VLAN, and the change propagates to all SonicWave APs in that venue without touching the firewall configuration. --- SEGMENT 3: IMPLEMENTATION RECOMMENDATIONS AND PITFALLS (approximately 2 minutes) Let me give you the three things that most commonly go wrong in SonicWall and Purple deployments. First: the LHM port. TCP 4043 must be open from the WAN to the SonicWall's WAN interface. If your ISP or upstream firewall blocks this port, the LHM authorisation handshake never completes, and guests get stuck on the splash page after authenticating. They see a successful login on Purple's side, but the SonicWall never receives the authorisation signal. Test this with a telnet or curl check to port 4043 from an external IP before go-live. Second: FQDN object resolution timing. SonicOS resolves FQDN address objects at boot and then at a configurable interval. If you add a new walled garden domain and the resolution has not refreshed yet, unauthenticated devices cannot reach it. Force a manual refresh after adding new FQDN objects, or set the DNS refresh interval to 60 seconds in high-traffic deployments. Tercero: Configuración de subinterfaces VLAN. La asignación dinámica de VLAN a través de RADIUS solo funciona si las VLAN de destino existen como subinterfaces en el SonicWall antes de que el primer dispositivo se autentique. Si una respuesta de RADIUS devuelve Tunnel-Private-Group-ID 110 pero la VLAN 110 no existe como subinterfaz en el SonicWall, el dispositivo se desconecta o recurre a la VLAN predeterminada. Cree y pruebe todas las subinterfaces VLAN antes de habilitar la asignación de VLAN por RADIUS. Para los MSP que gestionan múltiples sedes, el panel en la nube de Purple le permite administrar de forma centralizada las políticas de RADIUS, las tablas PPSK y las configuraciones de la Captive Portal. Puede aplicar cambios de configuración a todas las sedes desde una sola interfaz. Esa es la ventaja operativa de un enfoque de superposición en la nube: el hardware de SonicWall permanece en su lugar y Purple se encarga de la capa de identidad y políticas por encima de este. --- SEGMENTO 4: PREGUNTAS Y RESPUESTAS RÁPIDAS (aproximadamente 1 minuto) Algunas preguntas que surgen con frecuencia. "¿Puedo usar los AP SonicWave en modo independiente con Purple?" Sí, pero perderá algunas funciones. En modo independiente, los AP SonicWave gestionan su propia configuración de RADIUS de forma local. Aún puede apuntarlos al servidor RADIUS de Purple para 802.1X. Pero para PPSK con asignación dinámica de VLAN, necesita el SonicWall TZ como proxy RADIUS o el Wireless Network Manager para administrar la política de AP de forma centralizada. "¿Soporta Purple WPA3 en SonicWave?" El soporte de WPA3 en SonicWave depende de la versión de firmware y del modelo de AP. Los AP de la serie SonicWave 600 soportan WPA3. Para casos de uso de Captive Portal, WPA3 con Opportunistic Wireless Encryption es compatible con el flujo de redirección LHM de Purple, pero realice pruebas en su versión de firmware específica antes de implementarlo a gran escala. "¿Cómo maneja Purple el GDPR para los datos de invitados recopilados a través de la Captive Portal?" Purple cuenta con la certificación ISO 27001, cumple con el GDPR y tiene la certificación Cyber Essentials. El consentimiento se captura en la Captive Portal con casillas de verificación de aceptación configurables. Purple almacena datos de origen de acuerdo con su política de retención de datos. Los invitados pueden acceder a sus datos y eliminarlos a través del portal de autoservicio de Purple. "¿Qué atributos de RADIUS devuelve Purple para la asignación dinámica de VLAN?" Tres atributos: Tunnel-Type con valor VLAN, Tunnel-Medium-Type con valor 802 y Tunnel-Private-Group-ID con el ID de VLAN como una cadena de texto. Estos son los atributos estándar de la norma RFC 2868 compatibles con SonicOS y SonicWave. --- SEGMENTO 5: RESUMEN Y PRÓXIMOS PASOS (aproximadamente 1 minuto) En resumen. Los firewalls SonicWall TZ y los AP SonicWave se integran con Purple a través de dos mecanismos principales: LHM para la redirección de la Captive Portal de invitados, y RADIUS para la autenticación de personal 802.1X y el aislamiento multi-tenant basado en PPSK. Los pasos clave de configuración son: habilitar la autenticación externa de invitados en la zona de invitados, configurar la URL del portal de Purple en el puerto 4043, crear sus objetos FQDN de walled garden, configurar RADIUS en la política de AP de SonicWave en el Wireless Network Manager y crear sus subinterfaces VLAN en el SonicWall antes de habilitar la asignación dinámica de VLAN. Para despliegues multi-inquilino, PPSK con direccionamiento VLAN basado en RADIUS es la arquitectura a utilizar. Un SSID, un conjunto de APs, aislamiento completo de inquilinos mediante asignación de VLAN basada en identidad. Si está planeando un despliegue o revisando uno existente, el equipo técnico de Purple puede proporcionar archivos de configuración RADIUS específicos para el recinto y listas de dominios de walled garden. La plataforma Purple soporta 80,000 recintos activos y ha procesado 440 millones de inicios de sesión en 2024; los patrones de integración que hemos cubierto hoy están probados a escala. Gracias por escuchar. La guía escrita completa con tablas de configuración paso a paso y diagramas de arquitectura de Mermaid está disponible en el sitio web de Purple. --- FIN DEL GUION