Ver transcripción del podcast
Bienvenido a la sesión informativa de arquitectura de Purple. Hoy nos sumergiremos en una integración crítica para las redes empresariales: el despliegue de Purple WiFi junto con la infraestructura de Sophos, específicamente los puntos de acceso Sophos AP6 y APX y los firewalls Sophos XG y XGS. Si eres gerente de TI, arquitecto de red o director de tecnología que gestiona un recinto (ya sea una cadena de retail, un estadio o un hospital), esta sesión está diseñada para ofrecerte el plan de acción concreto que hará que estas dos potentes plataformas funcionen juntas sin problemas.
Pongámonos en contexto. Sophos es reconocido por su robusta postura de seguridad. Los dispositivos Sophos Firewall proporcionan inspección profunda de paquetes y seguridad sincronizada. Sin embargo, cuando se trata de Guest WiFi, no solo buscas seguridad. Buscas valor empresarial. Quieres capturar datos demográficos, comprender el comportamiento de los visitantes y generar un retorno de inversión en marketing. Ahí es donde entra Purple. Al integrar Purple como un Captive Portal externo, delegas el trabajo pesado de la gestión de identidades de invitados, el consentimiento de GDPR y los inicios de sesión con redes sociales al RADIUS en la nube de Purple, mientras dejas que Sophos Firewall haga lo que mejor sabe hacer: asegurar el perímetro.
Entonces, ¿cómo funciona esto realmente bajo el cofre? Entremos al análisis técnico profundo.
La arquitectura se basa en protocolos RADIUS estándar y redireccionamiento HTTP. Cuando el usuario de un recinto se asocia con el SSID de tu Guest WiFi abierto transmitido por el AP de Sophos, Sophos Firewall intercepta esa solicitud web inicial. En lugar de ofrecer una página de portal básica y almacenada localmente, el firewall redirige al cliente a la página de bienvenida de Purple alojada en la nube.
Ahora, he aquí el concepto crítico: el Walled Garden. Durante esta fase de preautenticación, el usuario no tiene acceso a internet. Sin embargo, necesita cargar los gráficos del portal y es posible que requiera acceder a Facebook o Google para iniciar sesión. El Walled Garden es una lista de permitidos estricta configurada en Sophos Firewall que autoriza el tráfico a estos dominios específicos. Una vez que el usuario se autentica, la plataforma de Purple envía un mensaje RADIUS Access-Accept de vuelta al Sophos Firewall. El firewall entonces activa el cambio, modificando el estado de la sesión a autenticado, y ubica al usuario dentro de tu política de firewall posterior a la autenticación.
Hablemos de la configuración de RADIUS con más detalle, porque aquí es donde la precisión importa. Purple te proporciona dos conjuntos de credenciales RADIUS: uno para autenticación en el puerto 1812 y otro para contabilidad en el puerto 1813. Ambos deben configurarse. El servidor de contabilidad no es opcional. Es el mecanismo mediante el cual Sophos Firewall reporta los datos de la sesión de vuelta a Purple, incluyendo la duración, el ancho de banda consumido y los eventos de finalización de la sesión. Sin datos de contabilidad precisos, tu tablero de analíticas de Purple mostrará métricas de visitantes incompletas o inexactas. Establece tu intervalo provisional de contabilidad en 120 segundos. Esto proporciona un buen equilibrio entre la visibilidad en tiempo real y la sobrecarga de la red.
Ahora hablemos de un escenario que surge constantemente en los despliegues de gran empresa: el WiFi multiinquilino. Piense en un espacio de coworking, un bloque residencial de alquiler administrado o una residencia de estudiantes. Tiene múltiples grupos distintos de usuarios que necesitan acceso a WiFi, pero deben estar completamente aislados entre sí a nivel de red. Transmitir un SSID independiente para cada inquilino no es viable. Crea congestión de radiofrecuencia y es una pesadilla operativa de gestionar.
La respuesta es Sophos Private Pre-Shared Keys, o PPSK, combinado con la asignación dinámica de VLAN. Así es como funciona: se configura un único SSID en sus puntos de acceso Sophos AP6. Luego, se entrega una contraseña única a cada inquilino o grupo de usuarios. Cuando un dispositivo se conecta y presenta su clave única, el Sophos AP autentica esa clave a través de RADIUS. El servidor RADIUS devuelve un atributo de ID de VLAN específico en el mensaje Access-Accept. El AP etiqueta dinámicamente el tráfico del usuario con ese ID de VLAN, ubicándolo en su segmento de red dedicado. Redes basadas en la identidad en acción. Un SSID, múltiples redes aisladas, cero sobrecarga de radiofrecuencia por transmisiones adicionales.
Esta arquitectura también tiene un beneficio de cumplimiento normativo muy importante. Bajo los requisitos de PCI-DSS, las redes de WiFi para invitados deben estar completamente aisladas de cualquier segmento de red que maneje datos de titulares de tarjetas. Al colocar el SSID de invitados en una VLAN dedicada y aplicar políticas de firewall estrictas en el Sophos Firewall para bloquear todos los destinos de espacio de IP privada RFC 1918, se cumple con este requisito de forma limpia. Purple, que opera en 80,000 establecimientos activos y procesó 440 millones de inicios de sesión en 2024, cuenta con la certificación ISO 27001, cumple con el GDPR y tiene la certificación Cyber Essentials, por lo que la historia de cumplimiento también se extiende a la capa de identidad.
Ahora pasemos a las recomendaciones de implementación. Cuando configure esto, tendrá que tomar una decisión crucial con respecto a la asignación de IP: modo NAT frente a modo Bridge.
Si está desplegando una sucursal comercial pequeña con tal vez entre cincuenta y cien conexiones de invitados concurrentes, el modo NAT es perfectamente adecuado. El Sophos AP entrega direcciones DHCP a los invitados desde una subred interna dedicada y las traduce a medida que sale el tráfico. Es simple y requiere una infraestructura adicional mínima.
Pero si está desplegando un entorno de alta densidad, por ejemplo, un hotel de quinientas habitaciones, un centro de conferencias con múltiples eventos simultáneos o un estadio, debe utilizar el modo Bridge. En el modo Bridge, el Sophos AP envía el tráfico de invitados directamente a una VLAN dedicada, lo que permite que sus servidores DHCP empresariales principales manejen la carga. Esto evita que el punto de acceso o el firewall se conviertan en un cuello de botella de DHCP durante los picos de conexión. El modo Bridge también garantiza que la plataforma Purple vea la dirección IP real del cliente, lo cual es vital para análisis y resolución de problemas precisos.
Hablemos de la secuencia de configuración paso a paso, porque aquí el orden importa.
Comience en el portal de Purple. Recupere sus credenciales del servidor RADIUS: las direcciones IP del servidor, los secretos compartidos, la URL del captive portal y la URL de redireccionamiento. Estos son los cuatro elementos críticos de información que necesita antes de modificar la configuración de Sophos.
Luego, diríjase a Sophos Central o a la interfaz de administración de su firewall local. Defina primero sus servidores RADIUS, la autenticación en el puerto 1812 y la contabilidad en el 1813. Después, configure su Walled Garden en los ajustes de Hotspot. A continuación, cree su SSID de invitados, establezca el cifrado en Open, habilite el Captive Portal e ingrese la URL del portal de Purple. Y finalmente, defina sus reglas de firewall posteriores a la autenticación.
Específicamente para el Walled Garden, debe permitir como mínimo los siguientes dominios: el dominio del portal de Purple, que normalmente es region1.purpleportal.net; venuewifi.com; y cualquier dominio de inicio de sesión social que utilicen sus invitados, como facebook.com, accounts.google.com y sus dominios CDN asociados. Si utiliza Microsoft Entra ID u Okta para la federación de identidades, esos dominios también deben incluirse.
¿Qué pasa con los errores comunes? ¿Dónde suelen fallar las implementaciones?
El problema número uno, sin duda, es un Walled Garden incompleto. Si un invitado se conecta y obtiene una pantalla en blanco o un tiempo de espera agotado en la conexión, casi siempre significa que el firewall de Sophos está bloqueando el acceso a los archivos CSS de Purple, a los activos de JavaScript o a las API de inicio de sesión social antes de la autenticación. Debe asegurarse de que cada dominio requerido esté explícitamente permitido en esa política de preautenticación. Purple proporciona una lista completa de los dominios requeridos. Utilícela en su totalidad.
Además, no olvide el DNS. Los clientes no autenticados deben tener permitido resolver consultas DNS, o de lo contrario el redireccionamiento simplemente no funcionará. El dispositivo necesita resolver el nombre de host del portal de Purple antes de poder intentar cargar la página.
El segundo error más común son los errores de certificado. Asegúrese de que su firewall de Sophos presente un certificado SSL válido y de confianza pública para la interfaz de redireccionamiento. Si utiliza el certificado autofirmado predeterminado, los iPhones y dispositivos Android modernos generarán advertencias de seguridad significativas y sus invitados abandonarán la conexión por completo. Este es un problema particularmente grave en entornos de hotelería donde la experiencia del invitado es fundamental.
El tercer error son los fallos de tiempo de espera de RADIUS. Si el portal se carga pero la autenticación falla constantemente, verifique que los secretos compartidos coincidan exactamente entre su configuración de Sophos y el portal de Purple. Incluso una diferencia de un solo carácter hará que todos los intentos de autenticación fallen de forma silenciosa. También verifique que ningún firewall intermedio esté bloqueando los puertos UDP 1812 y 1813 entre su infraestructura de Sophos y los servidores RADIUS en la nube de Purple.
Terminemos con una sesión de preguntas y respuestas rápidas basada en las dudas más comunes que escuchamos de los clientes.
Pregunta uno: ¿el uso de Purple elude las políticas de seguridad de mi Sophos Firewall? Absolutamente no. Purple se encarga de la autenticación y la captura de identidad. Una vez autenticado, todo el tráfico de invitados fluye a través de la política posterior a la autenticación de su Sophos Firewall. Aquí es precisamente donde se aplica el filtrado web, se bloquea el tráfico de punto a punto y se perfila el ancho de banda. Piénselo de esta manera: la preautenticación es permisiva para permitir el inicio de sesión; la postautenticación es punitiva para proteger la red.
Pregunta dos: ¿necesito desplegar servidores RADIUS locales? No. Purple ofrece RADIUS-as-a-Service. Solo debe configurar los AP de Sophos para que apunten directamente a las direcciones IP de cloud RADIUS de Purple. No es necesario desplegar ni mantener FreeRADIUS o Windows NPS para la red de invitados.
Pregunta tres: ¿puedo usar Purple tanto con Sophos AP6 como con la serie anterior APX? Sí. El enfoque de integración es el mismo en ambas generaciones de hardware. Tenga en cuenta, sin embargo, que Sophos ha anunciado que el fin de vida útil para la serie APX será el 31 de diciembre de 2027. Si está planeando un nuevo despliegue, invierta en la serie AP6, que es compatible con WiFi 6 y WiFi 6E.
Pregunta cuatro: ¿qué pasa con el cumplimiento de GDPR? Purple captura el consentimiento explícito a nivel de portal, presentando sus términos y condiciones y avisos de procesamiento de datos antes de la autenticación. Estos datos de consentimiento se almacenan dentro de la plataforma Purple y son auditables. El papel de Sophos Firewall es puramente de aplicación de red.
Para resumir los puntos clave de la sesión de hoy.
Primero: segregue por completo sus SSID de personal y de invitados. El personal en 802.1X con WPA2-Enterprise. Los invitados en Purple con un Captive Portal externo.
Segundo: configure meticulosamente su Walled Garden. Es el punto de falla más común y el elemento de configuración de preautenticación más importante.
Tercero: use el modo Bridge para cualquier despliegue de alta densidad para evitar cuellos de botella de DHCP y garantizar una visibilidad precisa de la IP del cliente.
Cuarto: configure los servidores de autenticación y contabilidad de RADIUS. La contabilidad no es opcional si desea obtener análisis significativos.
Quinto: aproveche Sophos PPSK para entornos multiinquilino para habilitar redes basadas en identidad con asignación dinámica de VLAN. Un SSID, múltiples redes aisladas.
Sexto: aplique las políticas de seguridad de Sophos estrictamente después de la autenticación. El filtrado web, el control de aplicaciones y el perfilado de ancho de banda deben aplicarse en la política de firewall posterior a la autenticación.
Al ejecutar esta integración correctamente, transforma el WiFi de invitados de un centro de costos a un activo seguro, compatible y generador de ingresos. La combinación de la profundidad de seguridad de Sophos y la inteligencia de marketing de Purple es verdaderamente potente para cualquier operador de establecimiento que quiera tomarse en serio su estrategia de datos y experiencia de usuario.
Gracias por escuchar el Purple Architecture Briefing. Si desea analizar sus requisitos de despliegue específicos, visite purple.ai para hablar con el equipo de soluciones.
