SonicWall and guest WiFi: configuration du Captive Portal avec Purple

INTÉGRATION DE SONICWALL TZ ET SONICWAVE AVEC PURPLE WIFI Série de webinaires techniques de la plateforme intelligente Purple WiFi Durée : Environ 10 minutes Voix : Anglais britannique, ton de consultant senior - confiant, conversationnel, autoritaire --- SEGMENT 1 : INTRODUCTION ET CONTEXTE (environ 1 minute) Bienvenue dans la série de webinaires techniques de Purple. Aujourd'hui, nous abordons l'une des intégrations les plus techniques de l'espace WiFi d'entreprise : les pare-feux SonicWall TZ et les points d'accès SonicWave, déployés aux côtés de Purple pour l'authentification des invités, le contrôle d'accès du personnel et l'isolation réseau multi-locataires. Si vous êtes un ingénieur en sécurité informatique ou un MSP gérant des sites - hôtels, chaînes de magasins, centres de conférence ou développements mixtes - ce briefing est pour vous. Nous allons passer rapidement en revue l'architecture, les étapes de configuration et les points de vigilance lors des déploiements. SonicWall est un choix solide sur le marché des PME et des entreprises de taille intermédiaire. Les pare-feux de la série TZ sont largement déployés, et les AP SonicWave s'intègrent nativement via SonicOS et le Wireless Network Manager. Lorsque vous ajoutez Purple par-dessus, vous obtenez une couche WiFi invité gérée dans le cloud avec des portails de connexion personnalisés, une authentification basée sur RADIUS et une capture de données de première main - le tout sans remplacer votre infrastructure SonicWall existante. Passons à l'architecture. --- SEGMENT 2 : ANALYSE TECHNIQUE APPROFONDIE (environ 5 minutes) Il y a quatre cas d'usage distincts à couvrir ici, et chacun a un chemin de configuration différent. Le WiFi invité avec redirection vers le Captive Portal. Les exceptions de Walled Garden. Le WiFi sécurisé pour le personnel utilisant le 802.1X. Et l'isolation multi-locataires utilisant les clés pré-partagées privées de SonicWall - PPSK - avec routage VLAN dynamique. Commençons par le WiFi invité et le Captive Portal SonicWall. SonicOS utilise un mécanisme appelé Lightweight Hotspot Messaging - LHM - pour gérer les redirections vers un Captive Portal externe. Lorsqu'un invité se connecte à votre SSID invité et ouvre un navigateur, le SonicWall intercepte cette requête HTTP et la redirige vers l'URL du portail de connexion de Purple. L'invité s'authentifie sur la plateforme de Purple - via les réseaux sociaux, un e-mail ou un simple clic - et Purple renvoie une autorisation LHM au SonicWall sur le port TCP 4043. Le SonicWall ouvre ensuite l'accès internet pour l'adresse MAC de cet appareil. La configuration dans SonicOS 7.x fonctionne comme suit. Tout d'abord, naviguez vers Object, puis Match Objects, puis Zones. Modifiez la zone attribuée à votre WiFi invité - généralement un WLAN ou une zone personnalisée. Sous Guest Services, activez à la fois "Enable Guest Services" et "External Guest Authentication". Allez ensuite dans Configure, Guest Services, General. Définissez le Client Redirect Protocol sur HTTP. Saisissez le nom d'hôte du portail de Purple comme adresse du serveur web - c'est-à-dire portal.purple.ai. Définissez le chemin de redirection vers l'URL du portail de connexion spécifique à votre site, fournie par Purple dans le tableau de bord du site. Le port est 4043.Dans l'onglet Auth Pages, configurez l'URL de connexion sur l'URL du portail externe de Purple. Configurez l'URL de déconnexion si vous souhaitez gérer la fin de session. Dans l'onglet Advanced, activez "Allow unauthenticated users to access HTTPS sites" uniquement si vous devez prendre en charge les appareils HTTPS-first - mais sachez que cela affaiblit l'application de la redirection. Une fois enregistré, SonicOS crée automatiquement une politique NAT et une règle d'accès WAN-to-WAN autorisant le port TCP 4043. Ne supprimez pas ces règles générées automatiquement. Elles permettent de finaliser la liaison LHM. Passons maintenant à la configuration du Walled Garden. Avant qu'un visiteur ne s'authentifie, son appareil doit pouvoir accéder à certains domaines pour que la splash page fonctionne. La plateforme de Purple dépend de ses propres endpoints CDN et API. Les requêtes de détection de Captive Portal de l'OS - captive.apple.com pour les appareils iOS, connectivitycheck.gstatic.com pour Android, et msftconnecttest.com pour Windows - doivent toutes être placées sur liste blanche. Si vous proposez la connexion sociale, ajoutez accounts.google.com, oauth2.googleapis.com, apis.google.com et gstatic.com pour Google. Ajoutez www.facebook.com, graph.facebook.com, connect.facebook.net et le domaine CDN fbcdn.net si vous proposez la connexion Facebook. Dans SonicOS, ajoutez-les en tant qu'objets d'adresse FQDN sous Object, Match Objects, Addresses. Créez ensuite des règles d'accès dans la zone invité qui permettent aux appareils non authentifiés d'atteindre ces FQDN. Utilisez la résolution DNS dynamique - SonicOS résout les objets FQDN à intervalles réguliers - plutôt que des entrées IP statiques, qui vont dériver à mesure que les plages IP du CDN changent. Passons maintenant à la sécurisation du WiFi personnel avec 802.1X. C'est ici que les points d'accès SonicWave et le serveur RADIUS de Purple fonctionnent ensemble. Le point d'accès SonicWave agit comme l'authentificateur dans l'échange 802.1X. Le demandeur est l'appareil de l'employé. Le serveur RADIUS de Purple est le serveur d'authentification. La méthode EAP que vous choisissez dépend de votre fournisseur d'identité. Si vous utilisez Microsoft Entra ID ou Okta, PEAP-MSCHAPv2 est le choix le plus courant car il fonctionne avec des identifiants (nom d'utilisateur et mot de passe). Si vous avez déployé des certificats d'appareil - ce qui est l'approche recommandée pour les appareils gérés - utilisez EAP-TLS. Dans le Wireless Network Manager, accédez à Policies, Policy Hierarchy, sélectionnez votre politique de point d'accès et cliquez sur l'onglet 802.1X. Saisissez l'adresse IP du serveur RADIUS de Purple - disponible dans votre tableau de bord d'établissement Purple sous la section des paramètres RADIUS. Le secret partagé est généré par Purple et doit correspondre exactement des deux côtés. Définissez le port d'authentification sur 1812 et le port de comptabilité sur 1813. Pour les paramètres EAP, sélectionnez la méthode qui correspond à la configuration de votre fournisseur d'identité. Du côté de Purple, créez une politique RADIUS pour l'authentification du personnel. Associez le SSID du personnel à un VLAN spécifique - par exemple, le VLAN 200 pour le personnel. Le serveur RADIUS de Purple renvoie l'attribution du VLAN à l'aide de trois attributs standard : Tunnel-Type défini sur VLAN, Tunnel-Medium-Type défini sur 802, et Tunnel-Private-Group-ID défini sur l'ID du VLAN sous forme de chaîne - donc "200" pour le VLAN 200. Le pare-feu SonicWall et l'AP SonicWave respectent ces attributs et placent automatiquement l'appareil authentifié du personnel dans le bon VLAN. Passons maintenant au cas d'utilisation le plus intéressant sur le plan architectural : le PPSK et l'isolation multi-locataires. Les Private Pre-Shared Keys vous permettent d'exécuter un seul SSID et d'attribuer à chaque locataire, résident ou groupe d'utilisateurs une phrase de passe unique. Lorsqu'un appareil se connecte à l'aide d'un PPSK spécifique, l'AP SonicWave envoie cette clé au serveur RADIUS de Purple pour validation. Purple recherche la clé, identifie le locataire ou le groupe d'utilisateurs associé et renvoie l'attribution de VLAN appropriée via l'attribut Tunnel-Private-Group-ID. Le SonicWall oriente ensuite cet appareil vers le bon VLAN - complètement isolé des autres locataires sur le même SSID. C'est la mise en réseau basée sur l'identité en pratique. Vous ne gérez pas les SSIDs par locataire. Vous gérez les identités par locataire. Dans un développement à usage mixte comprenant dix unités commerciales, un seul SSID diffuse dans tout le bâtiment. Chaque locataire obtient son propre PPSK. Chaque PPSK est associé à un VLAN et à un sous-réseau dédiés. Les appareils du locataire A ne voient jamais le trafic du locataire B, même s'ils partagent les mêmes points d'accès physiques. La configuration PPSK dans SonicOS nécessite le mode PPSK basé sur RADIUS sur le SSID. Dans le Wireless Network Manager, modifiez le SSID, définissez le mode de sécurité sur WPA2-Enterprise avec PPSK et pointez le serveur RADIUS vers Purple. Purple autorise la table de mappage PPSK-vers-VLAN de manière centralisée. Lorsque vous ajoutez un nouveau locataire, vous créez un nouveau PPSK dans Purple, lui attribuez un VLAN, et le changement se propage à tous les AP SonicWave de ce site sans toucher à la configuration du pare-feu. --- SEGMENT 3 : RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER (environ 2 minutes) Permettez-moi de vous présenter les trois problèmes les plus fréquents lors des déploiements SonicWall et Purple. Premièrement : le port LHM. Le port TCP 4043 doit être ouvert depuis le WAN vers l'interface WAN du SonicWall. Si votre FAI ou votre pare-feu en amont bloque ce port, la négociation d'autorisation LHM ne se termine jamais et les invités restent bloqués sur la page de connexion après s'être authentifiés. Ils voient une connexion réussie du côté de Purple, mais le SonicWall ne reçoit jamais le signal d'autorisation. Testez cela avec une vérification telnet ou curl sur le port 4043 depuis une IP externe avant la mise en service. Deuxièmement : le timing de résolution des objets FQDN. SonicOS résout les objets d'adresse FQDN au démarrage, puis à un intervalle configurable. Si vous ajoutez un nouveau domaine de walled garden et que la résolution n'a pas encore été actualisée, les appareils non authentifiés ne peuvent pas l'atteindre. Forcez une actualisation manuelle après avoir ajouté de nouveaux objets FQDN, ou définissez l'intervalle d'actualisation DNS sur 60 secondes dans les déploiements à fort trafic. Troisièmement : configuration de la sous-interface VLAN. L'attribution dynamique de VLAN via RADIUS ne fonctionne que si les VLAN cibles existent en tant que sous-interfaces sur le SonicWall avant la première authentification de l'appareil. Si une réponse RADIUS renvoie Tunnel-Private-Group-ID 110 mais que le VLAN 110 n'existe pas en tant que sous-interface sur le SonicWall, l'appareil est soit déconnecté, soit redirigé vers le VLAN par défaut. Créez et testez toutes les sous-interfaces VLAN avant d'activer l'attribution de VLAN RADIUS. Pour les MSP gérant plusieurs sites, le tableau de bord cloud de Purple vous permet de gérer de manière centralisée les politiques RADIUS, les tables PPSK et les configurations de portails captifs. Vous pouvez déployer les modifications de configuration sur tous les sites à partir d'une interface unique. C'est l'avantage opérationnel d'une approche de superposition cloud - le matériel SonicWall reste en place et Purple gère la couche d'identité et de politique au-dessus. - - - SEGMENT 4 : QUESTIONS-RÉPONSES RAPIDES (environ 1 minute) Quelques questions qui reviennent régulièrement. "Puis-je utiliser des points d'accès SonicWave en mode autonome avec Purple ?" Oui, mais vous perdez certaines fonctionnalités. En mode autonome, les points d'accès SonicWave gèrent leur propre configuration RADIUS localement. Vous pouvez toujours les pointer vers le serveur RADIUS de Purple pour le 802.1X. Mais pour le PPSK avec attribution dynamique de VLAN, vous avez besoin du SonicWall TZ comme proxy RADIUS ou du Wireless Network Manager gérant la politique des points d'accès de manière centralisée. "Est-ce que Purple prend en charge le WPA3 sur SonicWave ?" La prise en charge du WPA3 sur SonicWave dépend de la version du firmware et du modèle de point d'accès. Les points d'accès de la série SonicWave 600 prennent en charge le WPA3. Pour les cas d'utilisation de Captive Portal, le WPA3 avec Opportunistic Wireless Encryption est compatible avec le flux de redirection LHM de Purple, mais testez-le sur votre version spécifique de firmware avant de le déployer à grande échelle. "Comment Purple gère-t-il le GDPR pour les données des invités collectées via le portail captif ?" Purple est certifié ISO 27001, conforme au GDPR et certifié Cyber Essentials. Le consentement est recueilli sur le portail captif avec des cases à cocher d'acceptation configurables. Purple stocke les données de première partie conformément à votre politique de rétention des données. Les invités peuvent accéder à leurs données et les supprimer via le portail en libre-service de Purple. "Quels attributs RADIUS Purple renvoie-t-il pour l'attribution dynamique de VLAN ?" Trois attributs : Tunnel-Type avec la valeur VLAN, Tunnel-Medium-Type avec la valeur 802, et Tunnel-Private-Group-ID avec l'ID du VLAN sous forme de chaîne de caractères. Ce sont les attributs standard RFC 2868 pris en charge par SonicOS et SonicWave. - - - SEGMENT 5 : RÉSUMÉ ET PROCHAINES ÉTAPES (environ 1 minute) Pour résumer. Les pare-feu SonicWall TZ et les points d'accès SonicWave s'intègrent à Purple via deux mécanismes principaux : LHM pour la redirection vers le Captive Portal des invités, et RADIUS pour l'authentification du personnel en 802.1X et l'isolation multi-locataire basée sur PPSK. Les principales étapes de configuration sont : activer l'authentification externe des invités sur la zone des invités, configurer l'URL du portail Purple sur le port 4043, créer vos objets FQDN de walled garden, configurer RADIUS sur la politique des points d'accès SonicWave dans le Wireless Network Manager, et créer vos sous-interfaces VLAN sur le SonicWall avant d'activer l'attribution dynamique de VLAN. Pour les déploiements multi-locataires, le PPSK avec guidage VLAN basé sur RADIUS est l'architecture à privilégier. Un seul SSID, un seul ensemble d'APs, et une isolation complète des locataires via l'attribution de VLAN basée sur l'identité. Si vous planifiez un déploiement ou révisez une installation existante, l'équipe technique de Purple peut vous fournir des fichiers de configuration RADIUS spécifiques au site et des listes de domaines de walled garden. La plateforme Purple prend en charge 80 000 sites actifs et a traité 440 millions de connexions en 2024 - les modèles d'intégration que nous avons abordés aujourd'hui ont fait leurs preuves à grande échelle. Merci pour votre écoute. Le guide écrit complet, comprenant les tableaux de configuration étape par étape et les diagrammes d'architecture Mermaid, est disponible sur le site web de Purple. --- FIN DU SCRIPT