WatchGuard Wi-Fi Cloud AP y guest WiFi: configuración de Captive Portal con Purple

Bienvenido a la sesión informativa de integración. Hoy hablaremos de la integración de WatchGuard Firebox y Access Point con Purple WiFi. Este es un manual técnico para gerentes de TI, arquitectos de red y directores de operaciones de recintos que necesitan implementar una infraestructura inalámbrica segura y escalable. Analizaremos los portales cautivos de Guest WiFi, el Staff WiFi seguro mediante 802.1X y la segmentación Multi-Tenant utilizando WatchGuard Private Pre-Shared Keys, o PPSK. Pasemos directamente al contexto. Cuando gestiona un recinto complejo, por ejemplo, un estadio, un gran centro comercial o una unidad multifamiliar, necesita un control preciso sobre quién accede a la red y qué puede hacer una vez conectado. También necesita capturar datos de origen para impulsar los ingresos de marketing. WatchGuard proporciona la plataforma de seguridad unificada y el hardware. Purple proporciona la superposición en la nube, la gestión de identidades y la analítica. Al integrar ambos, automatiza el control de acceso basado en la identidad. Elimina la necesidad de gateways independientes para invitados y personal, lo que reduce el gasto en hardware y simplifica la gestión. Purple actualmente da servicio a más de 80,000 recintos activos y ha procesado 440 millones de inicios de sesión solo en 2024, por lo que la plataforma está diseñada para soportar la escala de cualquier recinto que deba gestionar. Pasemos al análisis técnico profundo. La arquitectura se basa en protocolos RADIUS estándar y redirección HTTP. Tenemos tres niveles de acceso principales. Primero, Guest WiFi. Este es un SSID abierto. El AP de WatchGuard intercepta las solicitudes HTTP y redirige al usuario a la página de bienvenida alojada de Purple. Segundo, Staff WiFi. Este es un SSID seguro WPA3-Enterprise que utiliza 802.1X. Los dispositivos se autentican directamente contra los servidores RADIUS de Purple utilizando EAP-TLS o PEAP. Tercero, Multi-Tenant WiFi. Esto utiliza WatchGuard PPSK. Varios usuarios se conectan a un único SSID, pero cada uno utiliza una contraseña única. El AP de WatchGuard consulta al servidor RADIUS de Purple, que luego asigna dinámicamente una VLAN basada en esa clave específica. Entonces, ¿cómo configuramos el portal cautivo de Guest WiFi? El primer paso es configurar el servidor RADIUS en WatchGuard Cloud o en el Firebox Policy Manager. Apunte el servidor RADIUS primario a la dirección IP de Purple para su región. La autenticación se realiza en el puerto 1812, la contabilidad en el puerto 1813. Introduzca el secreto compartido proporcionado por Purple y, fundamentalmente, asegúrese de que el NAS ID coincida con la dirección MAC del Firebox o AP. Esto le indica a Purple de qué recinto procede la solicitud. El segundo paso es la redirección del propio Captive Portal. En la configuración del SSID, seleccione Third-Party Hosted Captive Portal con autenticación RADIUS. Introduzca la URL de la página de bienvenida de Purple e introduzca el secreto compartido del portal. Este es un secreto específico generado en el panel de control de Purple Analyze, y se utiliza para crear un resumen HMAC para validar las solicitudes de autenticación. El algoritmo HMAC-SHA1 garantiza que el mensaje de éxito de autenticación de Purple es genuino y no ha sido alterado en tránsito. El paso tres, y aquí es donde se complican muchas implementaciones, es el Walled Garden. Si no configura esto, el dispositivo no podrá cargar la página de bienvenida. Debe permitir el acceso a star punto mypurple punto com, api punto mypurple punto com y cdn punto mypurple punto com antes de iniciar sesión. Si utiliza inicios de sesión social como Microsoft Entra ID o Google Workspace, también debe agregar esos dominios de proveedor de identidad. Piense en el Walled Garden como la antesala previa a la autenticación. Sin él, el invitado ni siquiera puede llegar a la puerta principal. Ahora, veamos la segmentación multi-inquilino con WatchGuard PPSK. Si administra un centro comercial con 15 tiendas, transmitir 15 SSIDs diferentes es una mala estrategia. Esto causa interferencia de canal compartido, satura el espacio radioeléctrico y crea una sobrecarga de administración. PPSK resuelve esto de manera elegante. Transmite un solo SSID, por ejemplo, Centre-Retail. Habilita la Clave Privada Precompartida en la configuración del SSID de WatchGuard, lo que requiere la versión de firmware 2.6 o superior en sus Access Points de WatchGuard. En Purple, usted crea claves únicas, una por inquilino. Para aislar el tráfico, utiliza la asignación dinámica de VLAN (Dynamic VLAN Assignment). En WatchGuard Cloud, configura la VLAN como VLAN dinámica asignada por RADIUS. Cuando una tienda conecta un dispositivo utilizando su clave específica, el AP envía un Access-Request al servidor RADIUS de Purple. Purple valida la clave y devuelve un paquete Access-Accept con tres atributos RADIUS de la IETF vitales. Tunnel-Type, que es el atributo 64, establecido en VLAN. Tunnel-Medium-Type, atributo 65, establecido en 802. Y Tunnel-Private-Group-ID, atributo 81, establecido en el ID de VLAN asignado, por ejemplo, VLAN 100 para el Inquilino Comercial A. El AP de WatchGuard luego coloca ese dispositivo en la VLAN 100, completamente aislado de los otros inquilinos. Esto es Networking Basado en la Identidad en la práctica. Analicemos las recomendaciones de implementación y los errores comunes. Primero, los tiempos de espera de sesión. Configure tiempos de espera de sesión estrictos tanto en Purple como en WatchGuard para forzar la reautenticación. Esto mantiene la precisión de sus análisis y garantiza que las sesiones inactivas no consuman ancho de banda. Establezca los intervalos de Interim-Update de RADIUS en 10 minutos. Segundo, el firmware. Debe asegurarse de que sus Access Points de WatchGuard ejecuten la versión de firmware 2.6 o superior para admitir PPSK. Las versiones de firmware anteriores no admiten esta función. Tercero, la aleatorización de direcciones MAC. Los dispositivos modernos aleatorizan sus direcciones MAC de forma predeterminada. Para su red WiFi segura para el personal, capacite a sus empleados para que desactiven esta función para ese SSID específico a fin de garantizar una autenticación 802.1X estable. La aleatorización de MAC puede causar fallas de autenticación y datos analíticos inconsistentes. ¿Qué pasa cuando las cosas salen mal? Si el Captive Portal no se carga, revise el Walled Garden primero. Si el dispositivo no puede resolver el DNS o comunicarse con los servidores de Purple, mostrará un error de tiempo de espera en lugar de la página de bienvenida. Si el direccionamiento de VLAN falla y el cliente recibe una IP de la VLAN incorrecta, revise los registros de RADIUS en el portal de Purple. Asegúrese de que el atributo Tunnel-Private-Group-ID esté formateado correctamente como una cadena y coincida con una VLAN que realmente exista en el puerto del switch conectado al AP. Si observa errores de hash HMAC en los registros de WatchGuard, su Shared Secret del Captive Portal no coincide entre WatchGuard y Purple. Debe ser idéntico en ambos sistemas, carácter por carácter. Es hora de una sesión rápida de preguntas y respuestas. Pregunta: ¿Puedo usar PPSK y el Captive Portal en el mismo SSID? Respuesta: No. WatchGuard no admite la ejecución de VLAN dinámicas a través de PPSK y un Captive Portal en el mismo SSID simultáneamente. Necesita un SSID para el portal y un SSID independiente para PPSK. Planifique su arquitectura de SSID en consecuencia. Pregunta: ¿Qué pasa si el servidor RADIUS no devuelve un ID de VLAN para un usuario de PPSK? Respuesta: En WatchGuard Cloud, puede configurar una opción de respaldo para clientes no asignados. Puede redirigirlos a una VLAN sin etiquetar o a una VLAN de cuarentena aislada específica para asegurarse de que no obtengan acceso a la red corporativa. Configure siempre esta opción de respaldo para evitar accesos accidentales. En resumen, la integración de WatchGuard Firebox con Purple le ofrece una plataforma unificada para seguridad, identidad y análisis en redes de invitados, personal y multi-inquilino. Utilice la redirección externa del Captive Portal para invitados, 802.1X para el personal y PPSK con VLAN dinámicas para entornos multi-inquilino. El ROI es claro. Reduce los costos de hardware al consolidar las puertas de enlace, simplifica la gestión a través de una única plataforma en la nube y genera ingresos al capturar datos de primera mano a través del Captive Portal de Purple. Sus siguientes pasos son revisar su arquitectura de SSID actual, asegurarse de que el firmware de su WatchGuard esté en la versión 2.6 o superior y comenzar a configurar sus ajustes de RADIUS en el portal de Purple. Gracias por su atención.