Sophos Firewall et WiFi invité : configuration du Captive Portal avec Purple

Bienvenue dans cette présentation de l'architecture de Purple. Aujourd'hui, nous plongeons au cœur d'une intégration essentielle pour les réseaux d'entreprise : le déploiement de Purple WiFi aux côtés de l'infrastructure Sophos, et plus particulièrement des points d'accès Sophos AP6 et APX et des firewalls Sophos XG et XGS. Si vous êtes responsable informatique, architecte réseau ou CTO et que vous gérez un site - qu'il s'agisse d'une chaîne de magasins, d'un stade ou d'un hôpital - cette session a pour but de vous fournir le plan d'action pour faire fonctionner ces deux puissantes plateformes de manière fluide. Analysons d'abord le contexte. Sophos est réputé pour sa posture de sécurité robuste. Les pare-feu Sophos Firewall offrent une inspection approfondie des paquets et une sécurité synchronisée. Cependant, lorsqu'il s'agit de WiFi invité, la sécurité seule ne suffit pas. Vous recherchez de la valeur métier. Vous voulez collecter des données démographiques, comprendre le comportement des visiteurs et générer un retour sur investissement marketing. C'est là que Purple intervient. En intégrant Purple comme un Captive Portal externe, vous déléguez la gestion complexe de l'identité des invités, du consentement GDPR et des connexions sociales au RADIUS cloud de Purple, tout en laissant le Sophos Firewall faire ce qu'il fait de mieux : sécuriser le périmètre. Alors, comment cela fonctionne-t-il concrètement sous le capot ? Entrons dans les détails techniques. L'architecture s'appuie sur les protocoles RADIUS standard et la redirection HTTP. Lorsqu'un utilisateur sur site s'associe au SSID Guest WiFi ouvert diffusé par l'AP Sophos, le Sophos Firewall intercepte cette requête web initiale. Au lieu de proposer une page de portail basique stockée localement, le firewall redirige le client vers la splash page hébergée sur le cloud de Purple. Voici maintenant le concept clé : le Walled Garden. Durant cette phase de pré-authentification, l'utilisateur n'a pas accès à Internet. Cependant, il doit pouvoir charger les éléments graphiques du portail, et éventuellement accéder à Facebook ou Google pour s'authentifier. Le Walled Garden est une liste d'autorisation stricte configurée sur le Sophos Firewall qui permet le trafic vers ces domaines spécifiques. Une fois que l'utilisateur s'est authentifié, la plateforme de Purple renvoie un message RADIUS Access-Accept au Sophos Firewall. Le firewall bascule alors l'état de la session en "authentifié" et applique à l'utilisateur vos règles de firewalling post-authentification. Parlons plus en détail de la configuration RADIUS, car c'est là que la précision est de rigueur. Purple vous fournit deux ensembles d'identifiants RADIUS : l'un pour l'authentification sur le port 1812, et l'autre pour l'accounting sur le port 1813. Les deux doivent être configurés. Le serveur d'accounting n'est pas optionnel. C'est le mécanisme par lequel le Sophos Firewall remonte les données de session à Purple, y compris la durée, la bande passante consommée et les événements de fin de session. Sans données d'accounting précises, votre tableau de bord analytique Purple affichera des indicateurs de fréquentation incomplets ou erronés. Définissez votre intervalle d'accounting intermédiaire à 120 secondes. Cela offre un bon équilibre entre visibilité en temps réel et charge réseau.Parlons maintenant d'un scénario récurrent dans les déploiements d'entreprise : le WiFi multi-locataire. Pensez à un espace de coworking, un immeuble résidentiel en location gérée ou une résidence étudiante. Vous avez plusieurs groupes d'utilisateurs distincts qui ont tous besoin d'un accès WiFi, mais qui doivent être complètement isolés les uns des autres au niveau du réseau. Diffuser un SSID distinct pour chaque locataire n'est pas viable. Cela crée une congestion des radiofréquences et représente un cauchemar opérationnel à gérer. La solution réside dans les clés pré-partagées privées de Sophos, ou PPSK, combinées à l'attribution dynamique de VLAN. Voici comment cela fonctionne. Vous configurez un seul SSID sur vos points d'accès Sophos AP6. Vous attribuez ensuite un mot de passe unique à chaque locataire ou groupe d'utilisateurs. Lorsqu'un appareil se connecte et présente sa clé unique, le point d'accès Sophos authentifie cette clé via RADIUS. Le serveur RADIUS renvoie un attribut d'ID de VLAN spécifique dans le message Access-Accept. Le point d'accès étiquette dynamiquement le trafic de l'utilisateur avec cet ID de VLAN, le plaçant sur son segment de réseau dédié. C'est le réseau basé sur l'identité en action. Un seul SSID, plusieurs réseaux isolés, et zéro surcharge de radiofréquences liée à des diffusions supplémentaires. Cette architecture présente également un avantage de conformité important. Selon les exigences PCI-DSS, les réseaux WiFi invités doivent être complètement isolés de tout segment de réseau qui traite les données des titulaires de cartes. En plaçant le SSID invité sur un VLAN dédié et en appliquant des règles de pare-feu strictes sur le Sophos Firewall pour bloquer toutes les destinations de l'espace IP privé RFC 1918, vous répondez proprement à cette exigence. Purple, qui opère sur 80 000 sites actifs et a traité 440 millions de connexions en 2024, est certifié ISO 27001, conforme au GDPR et certifié Cyber Essentials, de sorte que l'aspect conformité s'étend également à la couche d'identité. Passons maintenant aux recommandations d'implémentation. Lors de cette configuration, vous devez prendre une décision cruciale concernant l'attribution des adresses IP : le mode NAT par rapport au mode Bridge. Si vous déployez une petite succursale de vente au détail avec peut-être cinquante à cent connexions d'invités simultanées, le mode NAT est parfaitement adéquat. Le point d'accès Sophos distribue des adresses DHCP aux invités à partir d'un sous-réseau interne dédié et les traduit lors de la sortie du trafic. C'est simple et cela nécessite une infrastructure supplémentaire minimale. Mais si vous déployez un environnement à haute densité, par exemple un hôtel de cinq cents chambres, un centre de conférence accueillant plusieurs événements simultanés ou un stade, vous devez utiliser le mode Bridge. En mode Bridge, le point d'accès Sophos achemine directement le trafic invité sur un VLAN dédié, permettant à vos serveurs DHCP d'entreprise principaux de gérer la charge. Cela évite que le point d'accès ou le pare-feu ne devienne un goulot d'étranglement DHCP lors des pics de connexion. Le mode Bridge garantit également que la plateforme Purple voit la véritable adresse IP du client, ce qui est essentiel pour des analyses et un dépannage précis. Parlons de la séquence de configuration étape par étape, car l'ordre a son importance ici. Commencez par le portail Purple. Récupérez vos identifiants de serveur RADIUS : les adresses IP du serveur, les secrets partagés, l'URL du Captive Portal et l'URL de redirection. Ce sont les quatre informations essentielles dont vous avez besoin avant de configurer Sophos. Ensuite, accédez à Sophos Central ou à l'interface de gestion de votre pare-feu local. Définissez d'abord vos serveurs RADIUS, avec l'authentification sur le port 1812 et la comptabilisation sur le port 1813. Configurez ensuite votre Walled Garden dans les paramètres du Hotspot. Créez ensuite votre SSID invité, configurez le chiffrement sur Open, activez le Captive Portal et saisissez l'URL du portail Purple. Enfin, définissez vos règles de pare-feu post-authentification. Pour le Walled Garden en particulier, vous devez autoriser au minimum les domaines suivants : le domaine du portail Purple, généralement region1.purpleportal.net ; venuewifi.com ; et tous les domaines de connexion sociale que vos invités utiliseront, tels que facebook.com, accounts.google.com et leurs domaines CDN associés. Si vous utilisez Microsoft Entra ID ou Okta pour la fédération d'identités, ces domaines doivent également être inclus. Quels sont les pièges à éviter ? Où les déploiements échouent-ils généralement ? Le problème numéro un, sans aucun doute, est un Walled Garden incomplet. Si un invité se connecte et obtient un écran vide ou un délai d'attente dépassé, cela signifie presque toujours que le pare-feu Sophos bloque l'accès aux fichiers CSS de Purple, aux actifs JavaScript ou aux API de connexion sociale avant l'authentification. Vous devez vous assurer que chaque domaine requis est explicitement autorisé dans cette politique de pré-authentification. Purple fournit une liste complète des domaines requis. Utilisez-la dans son intégralité. De plus, n'oubliez pas le DNS. Les clients non authentifiés doivent être autorisés à résoudre les requêtes DNS, sinon la redirection ne fonctionnera tout simplement pas. L'appareil doit résoudre le nom d'hôte du portail Purple avant même de pouvoir tenter de charger la page. Le deuxième piège le plus courant concerne les erreurs de certificat. Assurez-vous que votre pare-feu Sophos présente un certificat SSL valide et de confiance publique pour l'interface de redirection. Si vous utilisez le certificat auto-signé par défaut, les iPhones et appareils Android modernes afficheront des avertissements de sécurité importants, et vos invités abandonneront complètement la connexion. C'est un problème particulièrement aigu dans les environnements hôteliers où l'expérience client est primordiale. Le troisième piège concerne les erreurs de délai d'attente RADIUS. Si le portail se charge mais que l'authentification échoue systématiquement, vérifiez que les secrets partagés correspondent exactement entre votre configuration Sophos et le portail Purple. Une différence d'un seul caractère entraînera l'échec silencieux de toutes les tentatives d'authentification. Vérifiez également qu'aucun pare-feu intermédiaire ne bloque les ports UDP 1812 et 1813 entre votre infrastructure Sophos et les serveurs RADIUS cloud de Purple. Terminons par une session rapide de questions et réponses basée sur les questions les plus fréquentes de nos clients. Question une : l'utilisation de Purple contourne-t-elle les politiques de sécurité de mon Sophos Firewall ? Absolument pas. Purple gère l'authentification et la capture d'identité. Une fois authentifié, tout le trafic invité passe par la politique post-authentification de votre Sophos Firewall. C'est précisément là que vous appliquez le filtrage web, bloquez le trafic pair-à-pair et limitez la bande passante. Voyez les choses ainsi : la pré-authentification est permissive pour permettre la connexion ; la post-authentification est punitive pour protéger le réseau. Question deux : dois-je déployer des serveurs RADIUS locaux ? Non. Purple fournit un RADIUS-as-a-Service. Vous configurez les AP Sophos pour qu'ils pointent directement vers les adresses IP du cloud RADIUS de Purple. Il n'est pas nécessaire de déployer et de maintenir FreeRADIUS ou Windows NPS pour le réseau invité. Question trois : puis-je utiliser Purple à la fois avec la série Sophos AP6 et la série plus ancienne APX ? Oui. L'approche d'intégration est cohérente sur les deux générations de matériel. Notez cependant que Sophos a annoncé une date de fin de vie pour la série APX au 31 décembre 2027. Si vous planifiez un nouveau déploiement, investissez dans la série AP6, qui prend en charge le WiFi 6 et le WiFi 6E. Question quatre : qu'en est-il de la conformité GDPR ? Purple capture un consentement explicite au niveau du portail, présentant vos conditions générales et vos avis de traitement des données avant l'authentification. Ces données de consentement sont stockées au sein de la plateforme Purple et sont auditables. Le rôle du Sophos Firewall est purement l'application des règles réseau. Pour résumer les points clés de la réunion d'aujourd'hui. Premièrement : séparez absolument vos SSID collaborateurs et invités. Les collaborateurs sur 802.1X avec WPA2-Enterprise. Les invités sur Purple avec un Captive Portal externe. Deuxièmement : configurez méticuleusement votre Walled Garden. C'est le point de défaillance le plus courant et l'élément de configuration pré-authentification le plus important. Troisièmement : utilisez le mode Bridge pour tout déploiement à haute densité afin d'éviter les goulots d'étranglement DHCP et de garantir une visibilité précise des adresses IP des clients. Quatrièmement : configurez à la fois les serveurs d'authentification et de comptabilisation RADIUS. La comptabilisation n'est pas facultative si vous souhaitez obtenir des analyses significatives. Cinquièmement : exploitez les PPSK Sophos pour les environnements multi-locataires afin de permettre un réseau basé sur l'identité avec affectation dynamique de VLAN. Un seul SSID, plusieurs réseaux isolés. Sixièmement : appliquez les politiques de sécurité Sophos strictement après l'authentification. Le filtrage web, le contrôle des applications et la limitation de la bande passante doivent tous être appliqués dans la politique de pare-feu post-authentification. En réalisant correctement cette intégration, vous transformez le WiFi invité d'un centre de coûts en un actif conforme, sécurisé et générateur de revenus. L'association de la profondeur de sécurité de Sophos et de l'intelligence marketing de Purple est véritablement puissante pour tout exploitant de site qui souhaite prendre au sérieux son expérience client et sa stratégie de données. Merci d'avoir écouté ce briefing sur l'architecture Purple. Si vous souhaitez discuter de vos besoins de déploiement spécifiques, visitez purple.ai pour parler avec l'équipe chargée des solutions.