Passer au contenu principal
Français

Intégration de Sophos Firewall et des points d'accès avec Purple WiFi

Ce guide détaille l'intégration technique de Sophos Firewall (XG/XGS) et des points d'accès Sophos AP6/APX avec Purple WiFi. Il couvre la redirection vers un Captive Portal externe, la configuration de l'authentification et de la comptabilité RADIUS, la configuration du Walled Garden, le 802.1X pour le WiFi du personnel, et l'attribution dynamique de VLAN à l'aide de Sophos PPSK pour une ségrégation sécurisée des réseaux multi-locataires dans les secteurs de l'hôtellerie, du commerce de détail et des espaces publics.

📖 9 min de lecture📝 2,208 mots🔧 2 exemples concrets4 questions d'entraînement📚 9 définitions clés

Écouter ce guide

Voir la transcription du podcast
Bienvenue dans cette présentation de l'architecture Purple. Aujourd'hui, nous plongeons au cœur d'une intégration essentielle pour les réseaux d'entreprise : le déploiement de Purple WiFi aux côtés de l'infrastructure Sophos, plus précisément avec les points d'accès Sophos AP6 et APX et les pare-feu Sophos XG et XGS. Si vous êtes responsable informatique, architecte réseau ou CTO et que vous gérez un site — qu'il s'agisse d'une chaîne de magasins, d'un stade ou d'un hôpital —, cette session est conçue pour vous fournir le plan d'action concret permettant de faire fonctionner ces deux puissantes plateformes en parfaite synergie. Posons le contexte. Sophos est réputé pour sa posture de sécurité robuste. Les appliances Sophos Firewall offrent une inspection approfondie des paquets et une sécurité synchronisée. Cependant, lorsqu'il s'agit de WiFi invité, la sécurité ne suffit pas. Vous recherchez de la valeur commerciale. Vous voulez capturer des données démographiques, comprendre le comportement des visiteurs et générer un retour sur investissement marketing. C'est là que Purple intervient. En intégrant Purple en tant que Captive Portal externe, vous déléguez la gestion complexe de l'identité des invités, du consentement GDPR et des connexions via les réseaux sociaux au cloud RADIUS de Purple, tout en laissant le Sophos Firewall faire ce qu'il fait de mieux : sécuriser le périmètre. Alors, comment cela fonctionne-t-il concrètement en coulisses ? Passons à l'analyse technique approfondie. L'architecture repose sur les protocoles RADIUS standard et la redirection HTTP. Lorsqu'un utilisateur sur site s'associe à votre SSID WiFi invité ouvert diffusé par l'AP Sophos, le Sophos Firewall intercepte cette requête web initiale. Au lieu de proposer une page de portail basique stockée localement, le pare-feu redirige le client vers la splash page hébergée sur le cloud de Purple. Voici maintenant le concept clé : le Walled Garden (jardin de sécurité). Durant cette phase de pré-authentification, l'utilisateur n'a pas accès à Internet. Cependant, il doit pouvoir charger les éléments graphiques du portail et éventuellement accéder à Facebook ou Google pour s'authentifier. Le Walled Garden est une liste d'autorisation stricte configurée sur le Sophos Firewall qui permet le trafic vers ces domaines spécifiques. Une fois que l'utilisateur s'est authentifié, la plateforme de Purple renvoie un message RADIUS Access-Accept au Sophos Firewall. Le pare-feu bascule alors l'état de la session en "authentifié" et applique à l'utilisateur votre politique de pare-feu post-authentification. Arrêtons-nous plus en détail sur la configuration RADIUS, car c'est ici que la précision est de rigueur. Purple vous fournit deux ensembles d'identifiants RADIUS : un pour l'authentification sur le port 1812, et un pour l'accounting (comptabilité) sur le port 1813. Les deux doivent être configurés. Le serveur d'accounting n'est pas facultatif. C'est le mécanisme par lequel le Sophos Firewall transmet les données de session à Purple, notamment la durée, la bande passante consommée et les événements de fin de session. Sans données d'accounting précises, votre tableau de bord analytique Purple affichera des indicateurs de visite incomplets ou erronés. Définissez votre intervalle intermédiaire d'accounting sur 120 secondes. Cela offre un excellent équilibre entre visibilité en temps réel et charge réseau. Parlons maintenant d'un scénario récurrent dans les déploiements d'entreprise : le WiFi multi-locataire. Pensez à un espace de coworking, un immeuble résidentiel en location gérée ou une résidence étudiante. Vous avez plusieurs groupes distincts d'utilisateurs qui ont tous besoin d'un accès WiFi, mais ils doivent être complètement isolés les uns des autres au niveau du réseau. Diffuser un SSID distinct pour chaque locataire n'est pas viable. Cela crée une congestion des fréquences radio et représente un cauchemar opérationnel à gérer. La réponse réside dans les clés pré-partagées privées de Sophos, ou PPSK, combinées à l'attribution dynamique de VLAN. Voici comment cela fonctionne. Vous configurez un seul SSID sur vos points d'accès Sophos AP6. Vous attribuez ensuite un mot de passe unique à chaque locataire ou groupe d'utilisateurs. Lorsqu'un appareil se connecte et présente sa clé unique, le point d'accès Sophos authentifie cette clé via RADIUS. Le serveur RADIUS renvoie un attribut d'ID de VLAN spécifique dans le message Access-Accept. Le point d'accès étiquette dynamiquement le trafic de l'utilisateur avec cet ID de VLAN, le plaçant sur son segment de réseau dédié. C'est la mise en réseau basée sur l'identité en action. Un seul SSID, plusieurs réseaux isolés, et aucun encombrement des fréquences radio lié à des diffusions supplémentaires. Cette architecture présente également un avantage majeur en matière de conformité. Selon les exigences PCI DSS, les réseaux WiFi invités doivent être complètement isolés de tout segment de réseau qui traite les données des titulaires de cartes. En plaçant le SSID invité sur un VLAN dédié et en appliquant des règles de pare-feu strictes sur le Sophos Firewall pour bloquer toutes les destinations d'espace IP privé RFC 1918, vous répondez parfaitement à cette exigence. Purple, qui opère sur 80 000 sites actifs et a traité 440 millions de connexions en 2024, est certifié ISO 27001, conforme au GDPR et certifié Cyber Essentials, de sorte que la conformité s'étend également à la couche d'identité. Passons maintenant aux recommandations de mise en œuvre. Lors de cette configuration, vous devez prendre une décision cruciale concernant l'attribution des adresses IP : le mode NAT par rapport au mode Bridge. Si vous déployez une petite succursale de vente au détail avec peut-être cinquante à cent connexions d'invités simultanées, le mode NAT est parfaitement adéquat. Le point d'accès Sophos distribue des adresses DHCP aux invités à partir d'un sous-réseau interne dédié et les traduit à la sortie du trafic. C'est simple et cela nécessite une infrastructure supplémentaire minimale. Mais si vous déployez un environnement à haute densité, comme un hôtel de cinq cents chambres, un centre de conférence accueillant plusieurs événements simultanés ou un stade, vous devez utiliser le mode Bridge. En mode Bridge, le point d'accès Sophos redirige directement le trafic invité vers un VLAN dédié, permettant à vos serveurs DHCP d'entreprise principaux de gérer la charge. Cela évite que le point d'accès ou le pare-feu ne devienne un goulot d'étranglement DHCP lors des pics de connexion. Le mode Bridge garantit également que la plateforme Purple voit la véritable adresse IP du client, ce qui est essentiel pour des analyses et un dépannage précis. Parlons de la séquence de configuration étape par étape, car l'ordre est ici crucial. Commencez dans le portail Purple. Récupérez vos identifiants de serveur RADIUS : les adresses IP du serveur, les secrets partagés, l'URL du Captive Portal et l'URL de redirection. Ce sont les quatre informations critiques dont vous avez besoin avant de toucher à la configuration Sophos. Ensuite, rendez-vous sur Sophos Central ou sur votre interface locale de gestion du pare-feu. Définissez d'abord vos serveurs RADIUS, l'authentification sur le port 1812, la comptabilisation (accounting) sur le port 1813. Configurez ensuite votre Walled Garden dans les paramètres du Hotspot. Créez ensuite votre SSID invité, définissez le chiffrement sur Ouvert (Open), activez le Captive Portal et saisissez l'URL du portail Purple. Enfin, définissez vos règles de pare-feu post-authentification. Pour le Walled Garden spécifiquement, vous devez autoriser au minimum les domaines suivants : le domaine du portail Purple, généralement region1.purpleportal.net ; venuewifi.com ; et tous les domaines de connexion sociale que vos invités utiliseront, tels que facebook.com, accounts.google.com et leurs domaines CDN associés. Si vous utilisez Microsoft Entra ID ou Okta pour la fédération d'identité, ces domaines doivent également être inclus. Qu'en est-il des pièges ? Où les déploiements échouent-ils généralement ? Le problème numéro un, sans aucun doute, est un Walled Garden incomplet. Si un invité se connecte et obtient un écran vide ou un délai d'attente dépassé, cela signifie presque toujours que le pare-feu Sophos bloque l'accès aux fichiers CSS de Purple, aux ressources JavaScript ou aux API de connexion sociale avant l'authentification. Vous devez vous assurer que chaque domaine requis est explicitement autorisé dans cette politique de pré-authentification. Purple fournit une liste complète des domaines requis. Utilisez-la dans son intégralité. De plus, n'oubliez pas le DNS. Les clients non authentifiés doivent être autorisés à résoudre les requêtes DNS, sinon la redirection ne fonctionnera tout simplement pas. L'appareil doit résoudre le nom d'hôte du portail Purple avant même de pouvoir tenter de charger la page. Le deuxième piège le plus courant concerne les erreurs de certificat. Assurez-vous que votre pare-feu Sophos présente un certificat SSL valide et publiquement approuvé pour l'interface de redirection. Si vous utilisez le certificat auto-signé par défaut, les iPhones modernes et les appareils Android afficheront d'importants avertissements de sécurité, et vos invités abandonneront complètement la connexion. C'est un problème particulièrement aigu dans les environnements hôteliers où l'expérience client est primordiale. Le troisième piège concerne les erreurs de délai d'attente RADIUS. Si le portail se charge mais que l'authentification échoue systématiquement, vérifiez que les secrets partagés correspondent exactement entre votre configuration Sophos et le portail Purple. Une différence d'un seul caractère entraînera l'échec silencieux de toutes les tentatives d'authentification. Vérifiez également qu'aucun pare-feu intermédiaire ne bloque les ports UDP 1812 et 1813 entre votre infrastructure Sophos et les serveurs RADIUS cloud de Purple. Terminons par une session rapide de questions-réponses basée sur les questions les plus fréquemment posées par nos clients. Question une : l'utilisation de Purple contourne-t-elle les politiques de sécurité de mon Sophos Firewall ? Absolument pas. Purple gère l'authentification et la capture d'identité. Une fois authentifié, tout le trafic invité passe par la politique post-authentification de votre Sophos Firewall. C'est précisément là que vous appliquez le filtrage web, bloquez le trafic peer-to-peer et limitez la bande passante. Voyez les choses ainsi : la pré-authentification est permissive pour permettre la connexion ; la post-authentification est restrictive pour protéger le réseau. Question deux : dois-je déployer des serveurs RADIUS locaux ? Non. Purple fournit un service RADIUS-as-a-Service. Vous configurez les AP Sophos pour qu'ils pointent directement vers les adresses IP du RADIUS cloud de Purple. Il n'est pas nécessaire de déployer et de maintenir FreeRADIUS ou Windows NPS pour le réseau invité. Question trois : puis-je utiliser Purple à la fois avec les AP Sophos AP6 et l'ancienne série APX ? Oui. L'approche d'intégration est cohérente sur les deux générations de matériel. Notez cependant que Sophos a annoncé une date de fin de vie pour la série APX fixée au 31 décembre 2027. Si vous planifiez un nouveau déploiement, investissez dans la série AP6, qui prend en charge le Wi-Fi 6 et le Wi-Fi 6E. Question quatre : qu'en est-il de la conformité GDPR ? Purple capture un consentement explicite au niveau du portail, en présentant vos conditions générales et vos avis de traitement des données avant l'authentification. Ces données de consentement sont stockées au sein de la plateforme Purple et sont auditables. Le rôle du Sophos Firewall est purement l'application des règles réseau. Pour résumer les points clés de la présentation d'aujourd'hui. Premièrement : séparez absolument vos SSIDs personnel et invité. Le personnel sur du 802.1X avec WPA2-Enterprise. Les invités sur Purple avec un Captive Portal externe. Deuxièmement : configurez méticuleusement votre Walled Garden. C'est le point de défaillance le plus courant et l'élément de configuration de pré-authentification le plus important. Troisièmement : utilisez le mode Bridge pour tout déploiement à haute densité afin d'éviter les goulots d'étranglement DHCP et de garantir une visibilité précise de l'adresse IP du client. Quatrièmement : configurez à la fois les serveurs d'authentification et de comptabilité (accounting) RADIUS. La comptabilité n'est pas facultative si vous souhaitez obtenir des analyses significatives. Cinquièmement : exploitez Sophos PPSK pour les environnements multi-locataires afin de permettre un réseau basé sur l'identité avec attribution dynamique de VLAN. Un seul SSID, plusieurs réseaux isolés. Sixièmement : appliquez strictement les politiques de sécurité Sophos après l'authentification. Le filtrage web, le contrôle des applications et la limitation de la bande passante doivent tous être appliqués dans la politique de pare-feu post-authentification. En exécutant correctement cette intégration, vous transformez le WiFi invité d'un centre de coûts en un actif conforme, sécurisé et générateur de revenus. L'association de la profondeur de sécurité de Sophos et de l'intelligence marketing de Purple est véritablement puissante pour tout exploitant de site qui souhaite prendre au sérieux l'expérience de ses invités et sa stratégie de données. Merci d'avoir écouté ce briefing sur l'architecture Purple. Si vous souhaitez discuter de vos besoins de déploiement spécifiques, visitez purple.ai pour vous entretenir avec l'équipe des solutions.

header_image.png

Résumé exécutif

Si vous gérez une infrastructure Sophos et devez déployer un Guest WiFi qui collecte des données de première main, ce guide vous fournit les étapes de configuration exactes. Purple s'intègre à Sophos Firewall (séries XG et XGS) et aux points d'accès Sophos AP6/APX en tant que Captive Portal externe, déléguant la gestion de l'identité des invités, la collecte du consentement GDPR et la gestion de la connexion sociale au cloud RADIUS de Purple. Votre Sophos Firewall continue d'appliquer l'inspection approfondie des paquets et la gestion unifiée des menaces sur l'ensemble du trafic. Le résultat : un réseau segmenté et conforme où les invités s'authentifient via une page de connexion Purple personnalisée, le personnel se connecte via 802.1X avec WPA2-Enterprise, et les environnements multi-locataires utilisent les clés pré-partagées privées (PPSK) de Sophos pour l'attribution dynamique de VLAN. Purple fonctionne sur plus de 80 000 sites actifs et a traité 440 millions de connexions en 2024 (données internes de Purple, 2024). La solution est certifiée ISO 27001, conforme au GDPR et certifiée Cyber Essentials.

Analyse technique approfondie

Fonctionnement de la redirection

L'intégration utilise les protocoles RADIUS standard et la redirection HTTP. Lorsqu'un utilisateur sur site s'associe à votre SSID Guest WiFi ouvert sur un point d'accès Sophos AP6 ou APX, le Sophos Firewall intercepte la première requête HTTP de cet appareil non authentifié. Plutôt que de servir une page de connexion stockée localement, le pare-feu émet une redirection 302 vers l'URL de la page de connexion hébergée dans le cloud de Purple - généralement au format https://region1.purpleportal.net/access/.

Durant cette phase de pré-authentification, l'appareil se trouve dans un Walled Garden (jardin de sécurité) : une liste d'autorisation stricte de domaines que les appareils non authentifiés peuvent atteindre. Cette liste d'autorisation doit inclure les ressources du portail de Purple, tous les fournisseurs de connexion sociale (Facebook, Google, LinkedIn) et tous les points de terminaison de fédération d'identité que vous utilisez, tels que Microsoft Entra ID ou Okta. Une fois que l'utilisateur a terminé l'authentification sur la page de connexion Purple, le cloud RADIUS de Purple envoie un message RADIUS Access-Accept au Sophos Firewall. Le pare-feu met à jour l'état de la session en "authentifié" et applique votre politique de sécurité post-authentification.

Authentification et comptabilisation RADIUS

Purple fournit un service RADIUS-as-a-Service. Vous n'avez pas besoin de déployer FreeRADIUS, Windows NPS ou toute autre infrastructure RADIUS locale pour le réseau invité. Configurez le Sophos Firewall pour qu'il pointe directement vers les adresses IP du cloud RADIUS de Purple.

Deux fonctions RADIUS sont requises :

Fonction Protocole Port Objectif
Authentification UDP 1812 Valide les identifiants des invités et renvoie un Access-Accept ou un Access-Reject
Comptabilisation UDP 1813 Signale le début de session, les mises à jour intermédiaires et la fin de session à Purple

L'accounting n'est pas facultatif. C'est le mécanisme par lequel le pare-feu Sophos signale la durée de la session, la bande passante consommée et les événements de fin de session à Purple. Sans données d'accounting, votre tableau de bord WiFi Analytics affichera des indicateurs de visiteurs incomplets. Définissez l'intervalle intermédiaire d'accounting sur 120 secondes pour obtenir un bon équilibre entre visibilité en temps réel et surcharge réseau.

Le secret partagé RADIUS doit correspondre exactement entre votre configuration Sophos et le portail Purple. Une différence d'un seul caractère entraîne des échecs d'authentification silencieux.

Configuration du Walled Garden

Le Walled Garden est l'élément de configuration de pré-authentification le plus important et la cause la plus fréquente d'échecs de déploiement. Configurez-le sous Wireless > Hotspot Settings sur le pare-feu Sophos.

Vous devez autoriser au minimum les domaines suivants :

Catégorie Domaines à autoriser
Cœur Purple region1.purpleportal.net, venuewifi.com, cloudfront.net
Paiement (le cas échéant) stripe.com
Widget météo (si utilisé) openweathermap.org
Connexion Facebook facebook.com, fbcdn.net, connect.facebook.net, akamaihd.net
Connexion Google accounts.google.com, googleapis.com, gstatic.com
Connexion LinkedIn linkedin.com, licdn.net, licdn.com
Microsoft Entra ID login.microsoftonline.com, login.microsoft.com

Autorisez toujours la résolution DNS (port UDP 53) pour les clients non authentifiés. Sans DNS, les appareils ne peuvent pas résoudre le nom d'hôte du portail Purple et la redirection échoue avant même de commencer.

802.1X pour le WiFi du personnel

Pour le WiFi du personnel, utilisez le protocole 802.1X (contrôle d'accès réseau basé sur les ports IEEE 802.1X) avec WPA2-Enterprise ou WPA3-Enterprise. Configurez l'AP Sophos pour utiliser EAP-TLS (basé sur certificat) ou PEAP-MSCHAPv2 (nom d'utilisateur/mot de passe) par rapport à votre serveur RADIUS interne ou à un fournisseur d'identité cloud tel que Microsoft Entra ID.

Le serveur RADIUS renvoie des attributs d'attribution de VLAN pour placer les appareils authentifiés du personnel sur le bon VLAN interne. Il s'agit du même mécanisme de VLAN dynamique décrit ci-dessous pour le PPSK, appliqué à l'authentification d'entreprise.

Séparez complètement l'SSID et le VLAN du WiFi du personnel de l'SSID et du VLAN du WiFi invité. Ne pontez jamais le trafic invité sur les sous-réseaux de gestion ou d'entreprise. Cette séparation est une exigence PCI DSS si un segment de réseau gère des données de titulaires de cartes.

PPSK Sophos et attribution dynamique de VLAN pour les environnements multi-locataires

Dans les environnements multi-locataires (espaces de coworking, immeubles résidentiels locatifs, logements étudiants ou concessions commerciales), vous devez isoler les différents groupes d'utilisateurs au niveau du réseau sans diffuser un SSID distinct pour chaque locataire. La diffusion de plusieurs SSIDs augmente la surcharge des fréquences radio et complique la gestion.

Les points d'accès Sophos AP6 prennent en charge le PPSK (Private Pre-Shared Key), également appelé Identity PSK ou PSK par utilisateur. Le PPSK permet à un seul SSID d'accepter plusieurs clés de sécurité uniques, chacune étant associée à un VLAN spécifique via des attributs RADIUS.

Le flux d'attribution dynamique de VLAN fonctionne comme suit :

  1. Un résident ou un membre se connecte au SSID partagé unique et saisit son PPSK unique.
  2. Le point d'accès Sophos envoie une requête RADIUS Access-Request au serveur RADIUS configuré, incluant le PPSK comme identifiant.
  3. Le serveur RADIUS valide le PPSK et renvoie un Access-Accept avec les attributs VLAN suivants :
    • Tunnel-Type = VLAN (valeur 13)
    • Tunnel-Medium-Type = IEEE-802 (valeur 6)
    • Tunnel-Private-Group-ID = `` (par ex., 100)
  4. Le point d'accès Sophos étiquette le trafic de l'appareil avec l'ID de VLAN renvoyé, le plaçant sur le segment de réseau isolé approprié.

C'est le principe de l'Identity-Based Networking : un seul SSID, plusieurs VLAN isolés, le tout géré par l'identifiant unique de l'utilisateur.

ppsk_vlan_diagram.png

architecture_overview.png

Guide d'implémentation

Étape 1 : Récupérer les identifiants Purple

Connectez-vous au portail Purple. Accédez à Management > Locations > [Votre site] > Hardware > Add Hardware. Sélectionnez Sophos comme type de matériel. Le portail affiche :

  • Les adresses IP des serveurs RADIUS principal et secondaire
  • Le secret partagé RADIUS
  • L'URL du Captive Portal (par ex., https://region1.purpleportal.net/access/)
  • L'URL de redirection (par ex., https://region1.purpleportal.net/access/?res=success)
  • La liste complète des domaines du Walled Garden

Notez ces quatre valeurs avant de continuer.

Étape 2 : Configurer les serveurs RADIUS sur le pare-feu Sophos

Accédez à Authentication > Servers sur le pare-feu Sophos (ou Sophos Central > Wireless > SSIDs > [SSID] > Advanced Settings pour les configurations gérées par point d'accès).

  1. Cliquez sur Add pour créer une nouvelle entrée de serveur RADIUS.
  2. Définissez l'Server IP sur l'adresse IP RADIUS Purple principale.
  3. Définissez le Authentication port sur 1812.
  4. Définissez le Accounting port sur 1813.
  5. Saisissez le Shared secret provenant du portail Purple.
  6. Répétez l'opération pour le serveur RADIUS Purple secondaire.

Pour les Sophos AP6 gérés via Sophos Central, configurez le serveur RADIUS dans la section Advanced Settings > Backend authentication du SSID.

Étape 3 : Configurer le Walled Garden

Accédez à Wireless > Hotspot Settings sur le pare-feu Sophos.

  1. Sous Walled garden, cliquez sur Add new item.
  2. Ajoutez chaque domaine de la liste fournie par Purple.
  3. Assurez-vous que le DNS (port UDP 53) est autorisé pour les clients non authentifiés via une règle de pare-feu de pré-authentification.
  4. Cliquez sur Apply.

Étape 4 : Créer le SSID invité

Accédez à Wireless > Wireless Settings > SSIDs (ou Sophos Central > Wireless > SSIDs).

  1. Cliquez sur Add SSID.
  2. Définissez le Encryption mode sur Open (pas de clé pré-partagée).
  3. Sous Advanced Settings > Captive portal, activez le Captive Portal.
  4. Sélectionnez Backend authentication comme type d'authentification.
  5. Saisissez l'adresse IP du serveur RADIUS Purple, le port 1812 et le secret partagé.
  6. Définissez l'Redirect URL sur l'URL de la splash page Purple.
  7. Attribuez le SSID à un VLAN invité dédié (par exemple, VLAN 100).
  8. Activez le Client isolation pour empêcher le trafic d'invité à invité.

Étape 5 : Créer des règles de pare-feu post-authentification

Accédez à Rules and policies > Firewall rules.

  1. Créez une règle autorisant le trafic du VLAN invité vers la zone WAN.
  2. Appliquez un filtrage web pour bloquer les catégories malveillantes.
  3. Appliquez une limitation de trafic pour restreindre la bande passante par utilisateur (recommandé : 10 Mbps en descente, 5 Mbps en montée pour les réseaux invités).
  4. Bloquez explicitement tout le trafic du VLAN invité vers tout VLAN interne contenant des systèmes POS, PMS ou des ressources d'entreprise.

Étape 6 : Configurer le PPSK pour les environnements multi-locataires (facultatif)

  1. Dans Sophos Central, créez un SSID WPA2-Personal.
  2. Activez le RADIUS VLAN assignment sous les paramètres avancés du SSID.
  3. Configurez le serveur RADIUS pour accepter les identifiants PPSK et renvoyer les attributs VLAN appropriés par groupe d'utilisateurs.
  4. Distribuez des PPSK uniques à chaque groupe de locataires via le portail Purple ou votre interface de gestion RADIUS.

Bonnes pratiques

Séparez le trafic aux Couches 2 et 3. Placez toujours le WiFi invité sur un VLAN dédié. Créez des règles de pare-feu explicites pour bloquer tout le trafic du VLAN invité vers l'espace d'adressage RFC 1918 sur les segments internes. Cela répond aux exigences de segmentation réseau PCI DSS et empêche tout mouvement latéral si un appareil invité est compromis.

Utilisez le mode Bridge pour les déploiements à haute densité. Dans les environnements comptant plus de 200 connexions d'invités simultanées (hôtels, stades, centres de conférence), configurez le SSID invité en mode Bridge. Cela redirige le trafic vers un VLAN géré par des serveurs DHCP d'entreprise, évitant ainsi que l'AP Sophos ou le pare-feu ne devienne un goulot d'étranglement DHCP. Un hôtel de 500 chambres occupé à 70 % avec deux appareils par invité génère environ 700 baux DHCP simultanés. Le DHCP d'entreprise gère cela ; le DHCP intégré de l'AP ne le fait pas.

Utilisez un certificat SSL de confiance publique. Configurez le pare-feu Sophos pour présenter un certificat signé par une autorité de certification (CA) publique pour l'interface de redirection. Les certificats auto-signés génèrent des avertissements de sécurité du navigateur sur iOS et Android, augmentant ainsi les taux d'abandon du portail. Cela est particulièrement important dans les environnements du secteur de l' hôtellerie où l'expérience client affecte directement les notes d'évaluation.Configurez à la fois l'authentification et l'accounting RADIUS. L'authentification (port 1812) accorde l'accès. L'accounting (port 1813) suit l'utilisation. Les deux sont requis pour que les analyses de Purple fonctionnent correctement. Les données d'accounting alimentent les indicateurs de durée de session, les rapports de bande passante et l'identification des visiteurs récurrents dans le tableau de bord Purple.

Planifiez votre Walled Garden avant la mise en service. Testez le portail sur au moins un appareil iOS et un appareil Android avant de le déployer en production. Les deux plateformes ont des mécanismes de détection de Captive Portal différents et peuvent se comporter différemment avec des configurations de Walled Garden incomplètes. Utilisez une capture de paquets sur le pare-feu Sophos pour identifier les domaines bloqués pendant la phase de pré-authentification.

Appliquez la sécurité synchronisée Sophos post-authentification. Les points d'accès Sophos AP6 prennent en charge la sécurité synchronisée, qui s'intègre à Sophos Endpoint Protection. Si un appareil invité est identifié comme compromis (statut Security Heartbeat rouge), le point d'accès peut automatiquement restreindre cet appareil au Walled Garden, l'isolant d'Internet sans intervention manuelle. Il s'agit d'un contrôle de sécurité significatif pour les environnements de la santé et du commerce de détail .

Pour un contexte plus large sur la sécurité WiFi en entreprise, consultez notre guide sur la Sécurité WiFi d'entreprise : Un guide complet pour 2026 .

Dépannage et atténuation des risques

Symptôme : La page du portail ne se charge pas (écran blanc ou expiration du délai) Cause : Walled Garden incomplet. Le pare-feu Sophos bloque l'accès aux ressources CSS/JS de Purple ou aux API de connexion sociale avant l'authentification. Solution : Activez la capture de paquets sur le pare-feu Sophos pour le VLAN invité. Identifiez les domaines bloqués. Ajoutez-les au Walled Garden. Vérifiez que le DNS est autorisé avant l'authentification.

Symptôme : Le portail se charge mais l'authentification échoue toujours Cause : Incohérence de la clé secrète partagée RADIUS, ou les ports UDP 1812/1813 sont bloqués. Solution : Vérifiez la clé secrète partagée caractère par caractère dans la configuration Sophos et dans le portail Purple. Utilisez nmap -sU -p 1812,1813 depuis l'interface CLI de Sophos pour confirmer l'accessibilité UDP.

Symptôme : Les analyses affichent une durée de session nulle et aucune donnée de bande passante Cause : L'accounting RADIUS n'est pas configuré ou est bloqué. Solution : Vérifiez que le serveur d'accounting est configuré sur le port 1813 avec la clé secrète partagée correcte. Vérifiez qu'aucune ACL intermédiaire ne bloque le port UDP 1813 sortant.

Symptôme : Avertissement de certificat sur les appareils invités Cause : Le pare-feu Sophos utilise un certificat auto-signé pour l'interface de redirection. Solution : Téléversez un certificat signé par une autorité de certification publique (Let's Encrypt, DigiCert ou similaire) sur le pare-feu Sophos et attribuez-le comme certificat de page de connexion sous Wireless > Hotspot Settings.

Symptôme : Les utilisateurs PPSK arrivent sur le mauvais VLAN Cause : Les attributs VLAN RADIUS ne sont pas configurés correctement, ou le point d'accès Sophos n'accepte pas l'attribution dynamique de VLAN. Correctif : Vérifiez que le serveur RADIUS renvoie Tunnel-Type = 13, Tunnel-Medium-Type = 6 et Tunnel-Private-Group-ID = . Confirmez que l'attribution de VLAN RADIUS est activée sur l'SSID dans Sophos Central.

ROI et impact commercial

Le déploiement de Purple sur l'infrastructure Sophos transforme le WiFi invité, d'un simple coût d'infrastructure en un actif de données de premier niveau. L'intérêt commercial est évident.

Un hôtel de 200 chambres fonctionnant à un taux d'occupation de 70 % avec un séjour moyen de 1,8 nuit générera environ 50 000 profils d'invités vérifiés par an grâce au Captive Portal d'opt-in par choix conscient de Purple. Chaque profil comprend le nom, l'adresse e-mail, les données démographiques et l'historique des visites. Ces données alimentent directement les campagnes d'e-mail marketing, entraînant une augmentation mesurable des réservations directes et des revenus de la restauration.

Pour les environnements de commerce de détail , les analyses de Purple identifient le temps de séjour, la fréquence des visites répétées et les périodes de pointe de fréquentation. Une chaîne de magasins comptant 50 points de vente peut utiliser ces données pour optimiser la dotation en personnel, ajuster le calendrier des promotions et mesurer l'impact des événements en magasin sur la fréquence des visites.

Pour les opérateurs du secteur public et des transports , Purple fournit des enregistrements de consentement GDPR vérifiables et soutient la conformité avec les réglementations britanniques sur les réseaux et les systèmes d'information (NIS) pour les opérateurs de services essentiels.

Le SLA de disponibilité de 99,999 % de Purple garantit que le service d'authentification des invités ne devienne pas un point de défaillance unique pour votre réseau. L'architecture RADIUS cloud signifie qu'il n'y a aucun serveur d'authentification sur site à maintenir, à corriger ou à remplacer.

Pour obtenir des conseils d'intégration connexes, consultez le guide Intégration d'Alta Labs avec Purple WiFi : Configuration et paramétrage du Captive Portal .

Définitions clés

Captive Portal

Une page web qui intercepte la requête HTTP initiale d'un utilisateur et nécessite une interaction (authentification, consentement ou paiement) avant d'autoriser l'accès à Internet.

L'interface principale pour le WiFi invité. Purple héberge le captive portal dans le cloud ; le pare-feu Sophos y redirige les clients non authentifiés.

Walled Garden

Une liste d'autorisation stricte de domaines et d'adresses IP auxquels les appareils non authentifiés peuvent accéder avant de finaliser l'authentification sur le portail.

Doit inclure les domaines du portail de Purple, les fournisseurs de connexion sociale et tous les points de terminaison de fédération d'identité. Un Walled Garden incomplet est la cause la plus fréquente des échecs de chargement du portail.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau qui fournit une authentification, une autorisation et une comptabilisation centralisées pour les utilisateurs se connectant à un réseau. Utilise le port UDP 1812 pour l'authentification et 1813 pour la comptabilisation.

Purple fournit le RADIUS-as-a-Service. Le pare-feu Sophos et les points d'accès communiquent avec le RADIUS cloud de Purple pour authentifier les invités et transmettre les données de session.

Comptabilisation RADIUS

Le composant de RADIUS qui suit les indicateurs d'utilisation du réseau, y compris l'heure de début de la session, la durée, les octets transférés et le motif de fin de session.

Essentiel pour le WiFi Analytics de Purple. Sans données de comptabilisation sur le port 1813, les indicateurs de durée de session et de bande passante ne sont pas disponibles dans le tableau de bord Purple.

PPSK (Private Pre-Shared Key)

Une fonctionnalité de sécurité WiFi qui permet à un seul SSID d'accepter plusieurs phrases de passe uniques, chacune étant généralement associée à un VLAN ou à une politique spécifique via RADIUS.

Utilisé dans les déploiements WiFi multi-locataires pour assurer l'isolation du réseau par utilisateur ou par groupe sans diffuser plusieurs SSID. Le point d'accès Sophos AP6 prend en charge le PPSK avec attribution dynamique de VLAN.

Attribution dynamique de VLAN

Un processus par lequel le serveur RADIUS indique au point d'accès de placer un utilisateur authentifié sur un VLAN spécifique en renvoyant les attributs Tunnel-Type, Tunnel-Medium-Type et Tunnel-Private-Group-ID dans le message Access-Accept.

Permet de créer des réseaux basés sur l'identité. Les utilisateurs sont placés dans le bon segment de réseau en fonction de leurs identifiants, quel que soit le point d'accès physique auquel ils se connectent.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports. Fournit un cadre d'authentification pour les appareils se connectant à un réseau local (LAN) ou sans fil (WLAN), nécessitant un suppliant (client), un authentificateur (point d'accès ou commutateur) et un serveur d'authentification (RADIUS).

La norme d'entreprise pour le WiFi du personnel. Le Sophos AP6 prend en charge le 802.1X avec WPA2-Enterprise et WPA3-Enterprise, en utilisant EAP-TLS ou PEAP-MSCHAPv2.

Mode pont

Une configuration réseau dans laquelle le point d'accès transmet directement le trafic du client sans fil vers le réseau local câblé sous forme de trames VLAN balisées, sans effectuer de NAT ou de DHCP local.

Recommandé pour les déploiements à haute densité. Délègue le DHCP aux serveurs de l'entreprise et garantit que Purple reçoit la véritable adresse IP du client pour des analyses précises.

Données de première main

Informations collectées directement auprès des utilisateurs via vos propres canaux, qui vous appartiennent et ne sont ni partagées avec des tiers ni issues de sources tierces.

La valeur commerciale principale de Purple Guest WiFi. Capturées grâce à des consentements explicites sur le captive portal, ces données sont conformes au GDPR et indépendantes des cookies tiers.

Exemples concrets

Un hôtel de 300 chambres a déployé des points d'accès Sophos AP6 gérés via Sophos Central. Ils ont besoin que les clients s'authentifient via une page de démarrage personnalisée Purple et exigent que le réseau invité soit complètement isolé du système de gestion de propriété (PMS) sur le VLAN 20 afin de maintenir la conformité PCI DSS. L'hôtel prévoit jusqu'à 600 connexions d'invités simultanées pendant les périodes de pointe.

  1. Dans Sophos Central, créez un SSID invité dédié nommé « Hotel Guest WiFi » avec un chiffrement ouvert. 2. Attribuez le SSID au VLAN 100 en mode Bridge pour gérer la charge DHCP de 600 appareils via le serveur DHCP du réseau central. 3. Activez le Captive Portal sous les paramètres avancés et sélectionnez l'authentification Backend. 4. Saisissez l'adresse IP du serveur RADIUS Purple sur le port 1812 et le secret partagé du portail Purple. 5. Configurez le Walled Garden pour autoriser region1.purpleportal.net, venuewifi.com et tous les domaines de connexion sociale. 6. Sur le Sophos Firewall, créez une règle de pare-feu autorisant le VLAN 100 vers la zone WAN avec filtrage web appliqué. 7. Créez une règle de refus explicite (DENY) bloquant tout le trafic du VLAN 100 vers le VLAN 20 (réseau PMS). 8. Configurez la comptabilité RADIUS sur le port 1813 avec un intervalle intermédiaire de 120 secondes. 9. Téléchargez un certificat SSL publiquement approuvé sur le Sophos Firewall pour l'interface de redirection. 10. Testez sur iOS et Android avant la mise en service.
Commentaire de l'examinateur : Le mode Bridge est essentiel ici. Avec 600 connexions simultanées, le DHCP embarqué du point d'accès serait saturé. La règle de refus explicite du VLAN 100 vers le VLAN 20 répond aux exigences de segmentation réseau de la norme PCI DSS. Le certificat publiquement approuvé empêche iOS 14+ et Android 10+ d'afficher des avertissements de sécurité qui augmenteraient l'abandon du portail. La configuration de la comptabilité est indispensable pour le bon fonctionnement des analyses de Purple.

Un opérateur d'espace de coworking gère 15 entreprises locataires réparties sur trois étages. Chaque entreprise a besoin de son propre segment de réseau isolé. Ils diffusent actuellement 15 SSIDs distincts, ce qui provoque une congestion RF importante. Ils souhaitent se regrouper sur un seul SSID en utilisant des points d'accès Sophos AP6 tout en maintenant une isolation stricte de couche 2 entre les locataires.

  1. Attribuez un VLAN unique à chaque entreprise locataire (par exemple, les VLANs 200-214). 2. Dans Sophos Central, créez un seul SSID WPA2-Personal nommé « CoWork WiFi ». 3. Activez l'attribution de VLAN RADIUS sur le SSID. 4. Configurez le serveur RADIUS (le RADIUS cloud de Purple ou un annuaire intégré) pour stocker une clé PPSK unique par locataire et renvoyer les attributs VLAN appropriés lors de l'authentification. 5. Distribuez à chaque entreprise locataire sa clé PPSK unique via le portail Purple. 6. Sur le Sophos Firewall, configurez des règles de pare-feu inter-VLAN pour bloquer tout le trafic entre les VLANs des locataires. Autorisez chaque VLAN à accéder uniquement à Internet. 7. Pour les locataires nécessitant des services partagés (par exemple, une imprimante partagée), créez des règles d'autorisation explicites uniquement pour ces ressources spécifiques.
Commentaire de l'examinateur : La consolidation de 15 SSIDs en un seul élimine la surcharge RF de 15 trames de balise (beacon frames) par point d'accès et par seconde. Le PPSK avec attribution dynamique de VLAN offre la même isolation que des SSIDs distincts au niveau de la couche réseau. Le risque principal réside dans la disponibilité du serveur RADIUS : si le serveur RADIUS est injoignable, aucun locataire ne peut se connecter. Déployez un serveur RADIUS Purple secondaire et configurez-le comme solution de secours dans Sophos Central pour atténuer ce risque.

Questions d'entraînement

Q1. Une chaîne de magasins a déployé des points d'accès Sophos AP6 dans 50 boutiques. Les clients signalent que la page de connexion Purple met plus de 30 secondes à se charger ou expire complètement. L'équipe informatique a confirmé que l'authentification RADIUS est correctement configurée. Quelle est la cause la plus probable et comment la résoudre ?

Conseil : Considérez ce qui se passe avant que l'utilisateur n'atteigne l'étape d'authentification.

Voir la réponse type

Le Walled Garden est incomplet. Le pare-feu Sophos bloque l'accès aux ressources CSS et JavaScript de Purple, ou aux domaines CDN de connexion sociale, avant l'authentification. Activez une capture de paquets sur le pare-feu Sophos pour le VLAN invité et filtrez le trafic bloqué provenant de clients non authentifiés. Identifiez les domaines bloqués et ajoutez-les au Walled Garden sous Wireless > Hotspot Settings. Vérifiez également que le DNS (port UDP 53) est autorisé avant l'authentification. Sans résolution DNS, l'appareil ne peut pas résoudre le nom d'hôte du Captive Portal Purple et la redirection échoue immédiatement.

Q2. Vous concevez un déploiement WiFi invité pour un stade de 5 000 places à l'aide de points d'accès Sophos AP6. Le site prévoit 4 000 connexions simultanées de supporters pendant les événements. Devez-vous configurer le SSID invité en mode NAT ou en mode Bridge ? Justifiez votre décision.

Conseil : Considérez la charge DHCP générée par 4 000 connexions simultanées.

Voir la réponse type

Mode Bridge. Avec 4 000 connexions simultanées, le mode NAT surchargerait le serveur DHCP intégré des AP Sophos ou le pare-feu. En mode Bridge, les AP redirigent directement le trafic invité vers un VLAN dédié, et les serveurs DHCP d'entreprise gèrent l'attribution des adresses IP. Cela évite l'épuisement du DHCP et garantit que la plateforme Purple reçoit la véritable adresse IP du client pour des analyses précises. Le mode Bridge offre également un débit plus élevé que le mode NAT, ce qui est important pour un environnement événementiel à haute densité. Configurez une plage DHCP sur le réseau central avec suffisamment d'adresses pour la charge de pointe attendue, plus une marge de sécurité de 20 %.

Q3. Votre tableau de bord Purple Analytics affiche le bon nombre de connexions, mais toutes les durées de session sont signalées comme étant de zéro minute et l'utilisation de la bande passante n'est pas suivie. Le portail invité fonctionne correctement et les invités peuvent naviguer sur Internet. Quel élément de configuration est manquant ?

Conseil : L'authentification accorde l'accès. Qu'est-ce qui suit l'utilisation une fois l'accès accordé ?

Voir la réponse type

La comptabilité RADIUS (accounting) n'est pas configurée ou est bloquée. L'authentification sur le port 1812 accorde l'accès à Internet, mais la comptabilité sur le port 1813 est le mécanisme qui renvoie la durée de la session et les données de bande passante à Purple. Vérifiez la configuration du pare-feu Sophos pour confirmer que le serveur de comptabilité est configuré sur l'IP RADIUS de Purple sur le port 1813 avec le secret partagé correct. Vérifiez ensuite que le port UDP 1813 n'est pas bloqué par une règle ACL ou de pare-feu intermédiaire entre le pare-feu Sophos et les serveurs RADIUS cloud de Purple. Utilisez une capture de paquets pour confirmer que les paquets de comptabilité quittent le pare-feu Sophos et reçoivent des réponses.

Q4. Un opérateur d'espace de coworking souhaite utiliser Sophos PPSK pour attribuer à chacune de ses 20 entreprises locataires un segment de réseau isolé. Après la configuration, tous les utilisateurs PPSK se connectent avec succès mais se retrouvent tous sur le même VLAN, quel que soit le PPSK qu'ils utilisent. Quelle est la cause la plus probable ?

Conseil : Pensez à ce que le serveur RADIUS doit renvoyer et à ce que l'AP doit accepter.

Voir la réponse type

Il y a deux causes probables. Premièrement, le serveur RADIUS ne renvoie pas les attributs VLAN corrects dans le message Access-Accept. Vérifiez que le serveur RADIUS renvoie Tunnel-Type = 13 (VLAN), Tunnel-Medium-Type = 6 (IEEE-802) et Tunnel-Private-Group-ID = l'ID VLAN correct pour chaque PPSK. Deuxièmement, l'attribution de VLAN RADIUS n'est peut-être pas activée sur le SSID dans Sophos Central. Accédez aux paramètres avancés du SSID et confirmez que l'attribution de VLAN RADIUS est activée. Utilisez un journal de débogage RADIUS ou une capture de paquets pour inspecter les messages Access-Accept et confirmer que les attributs VLAN sont présents et correctement formatés.

Continuer la lecture de cette série

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Lire le guide →

Intégration des points d'accès Allied Telesis avec Purple WiFi

Ce guide fournit un manuel de configuration complet pour l'intégration des points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il traite de la redirection vers le Captive Portal externe, de l'authentification RADIUS 802.1X et de l'orientation VLAN dynamique à l'aide de clés prépartagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

Lire le guide →

Intégration des points d'accès Grandstream GWN avec Purple WiFi

Ce guide de référence technique officiel détaille comment intégrer les points d'accès Grandstream GWN avec le Guest WiFi de Purple et sa plateforme d'analyse. Il couvre la configuration du Captive Portal Grandstream, les paramètres RADIUS AAA, la configuration du walled garden, l'authentification sécurisée du personnel en 802.1X avec routage dynamique des VLAN, et la segmentation PPSK multi-tenant - offrant ainsi des instructions étape par étape directement exploitables pour les MSP et les équipes informatiques déployant du WiFi invités et personnel à grande échelle.

Lire le guide →