WatchGuard Wi-Fi Cloud AP et WiFi invité : configuration du captive portal avec Purple

Bienvenue dans cette présentation de l'intégration. Aujourd'hui, nous couvrons l'intégration de WatchGuard Firebox et des points d'accès avec Purple WiFi. Il s'agit d'un guide technique destiné aux directeurs informatiques, aux architectes réseau et aux directeurs des opérations de site qui doivent déployer une infrastructure sans fil sécurisée et évolutive. Nous aborderons les Captive Portals pour le WiFi Invités, le WiFi Personnel sécurisé via 802.1X, et la segmentation multi-locataire utilisant les clés pré-partagées privées WatchGuard, ou PPSK. Entrons directement dans le vif du sujet. Lorsque vous gérez un site complexe, comme un stade, un grand centre commercial ou une résidence collective, vous devez contrôler précisément qui accède au réseau et ce qu'ils peuvent faire une fois connectés. Vous devez également capturer des données de première partie pour générer des revenus marketing. WatchGuard fournit la plateforme de sécurité unifiée et le matériel. Purple fournit la couche cloud, la gestion des identités et les analyses. En intégrant les deux, vous automatisez le contrôle d'accès basé sur l'identité. Vous éliminez le besoin de passerelles distinctes pour les invités et le personnel, ce qui réduit les dépenses matérielles et simplifie la gestion. Purple dessert actuellement plus de 80 000 sites actifs et a traité 440 millions de connexions rien qu'en 2024 - la plateforme est donc conçue pour gérer l'envergure de n'importe quel site que vous êtes susceptible de gérer. Passons maintenant aux détails techniques. L'architecture s'appuie sur les protocoles RADIUS standard et la redirection HTTP. Nous disposons de trois niveaux d'accès principaux. Premièrement, le WiFi Invités. Il s'agit d'un SSID ouvert. L'AP WatchGuard intercepte les requêtes HTTP et redirige l'utilisateur vers la page d'accueil hébergée de Purple. Deuxièmement, le WiFi Personnel. Il s'agit d'un SSID WPA3-Enterprise sécurisé utilisant le 802.1X. Les appareils s'authentifient directement auprès des serveurs RADIUS de Purple via EAP-TLS ou PEAP. Troisièmement, le WiFi multi-locataire. Celui-ci utilise le PPSK de WatchGuard. Plusieurs utilisateurs se connectent à un seul SSID, mais chacun utilise un mot de passe unique. L'AP WatchGuard interroge le serveur RADIUS de Purple, qui attribue ensuite de manière dynamique un VLAN en fonction de cette clé spécifique. Alors, comment configurer le Captive Portal pour le WiFi Invités ? La première étape consiste à configurer le serveur RADIUS dans WatchGuard Cloud ou dans le Firebox Policy Manager. Vous pointez le serveur RADIUS principal vers l'adresse IP de Purple pour votre région. L'authentification se fait sur le port 1812, et l'accounting sur le port 1813. Vous saisissez le secret partagé fourni par Purple et, point crucial, vous vous assurez que l'identifiant NAS correspond à l'adresse MAC du Firebox ou de l'AP. Cela indique à Purple de quel site provient la demande. La deuxième étape est la redirection du Captive Portal elle-même. Dans les paramètres du SSID, vous sélectionnez Captive Portal tiers hébergé avec authentification RADIUS. Vous saisissez l'URL de la page d'accueil de Purple, puis le secret partagé du portail. Il s'agit d'un secret spécifique généré dans le tableau de bord Purple Analyze, utilisé pour créer un condensé HMAC afin de valider les demandes d'authentification. L'algorithme HMAC-SHA1 garantit que le message de réussite d'authentification provenant de Purple est authentique et n'a pas été altéré en cours de route. La troisième étape, et c'est là que de nombreux déploiements échouent, concerne le Walled Garden. Si vous ne le configurez pas, l'appareil ne peut pas charger la page d'accueil. Vous devez autoriser l'accès à star point mypurple point com, api point mypurple point com, et cdn point mypurple point com avant la connexion. Si vous utilisez des connexions via des réseaux sociaux comme Microsoft Entra ID ou Google Workspace, vous devez également ajouter les domaines de ces fournisseurs d'identité. Considérez le Walled Garden comme un hall d'entrée avant authentification. Sans lui, l'invité ne peut même pas atteindre la porte d'entrée. Examinons maintenant la segmentation multi-locataires avec le PPSK de WatchGuard. Si vous gérez un centre commercial de 15 boutiques, diffuser 15 SSIDs différents est une mauvaise approche. Cela provoque des interférences de co-canal, encombre l'espace aérien et crée une surcharge de gestion. Le PPSK résout ce problème avec élégance. Vous diffusez un seul SSID, par exemple Centre-Retail. Vous activez la clé pré-partagée privée dans les paramètres du SSID de WatchGuard, ce qui nécessite la version 2.6 ou supérieure du firmware sur vos points d'accès WatchGuard. Dans Purple, vous créez des clés uniques, une par locataire. Pour isoler le trafic, vous utilisez l'attribution dynamique de VLAN. Dans WatchGuard Cloud, vous définissez le VLAN sur VLAN dynamique attribué par RADIUS. Lorsqu'une boutique connecte un appareil à l'aide de sa clé spécifique, le point d'accès envoie une demande d'accès (Access-Request) au serveur RADIUS de Purple. Purple valide la clé et renvoie un paquet d'acceptation d'accès (Access-Accept) contenant trois attributs RADIUS IETF essentiels : Tunnel-Type (attribut 64) défini sur VLAN, Tunnel-Medium-Type (attribut 65) défini sur 802, et Tunnel-Private-Group-ID (attribut 81) défini sur l'ID du VLAN attribué, par exemple le VLAN 100 pour le locataire Retail A. Le point d'accès WatchGuard place ensuite cet appareil sur le VLAN 100, complètement isolé des autres locataires. C'est la mise en réseau basée sur l'identité en pratique. Abordons les recommandations d'implémentation et les pièges courants. Premièrement, les délais d'expiration des sessions. Configurez des délais d'expiration de session stricts dans Purple et WatchGuard pour forcer la réauthentification. Cela permet de maintenir la précision de vos analyses et d'éviter que les sessions obsolètes ne consomment de la bande passante. Définissez vos intervalles RADIUS Interim-Update sur 10 minutes. Deuxièmement, le firmware. Vous devez vous assurer que vos points d'accès WatchGuard exécutent la version de firmware 2.6 ou supérieure pour prendre en charge le PPSK. Les versions antérieures du firmware ne prennent pas en charge cette fonctionnalité. Troisièmement, la randomisation des adresses MAC. Les appareils modernes randomisent leurs adresses MAC par défaut. Pour votre réseau WiFi sécurisé destiné au personnel, demandez à vos collaborateurs de désactiver cette fonctionnalité pour ce SSID spécifique afin de garantir une authentification 802.1X stable. La randomisation des adresses MAC peut provoquer des échecs d'authentification et des données analytiques incohérentes. Que se passe-t-il lorsque les choses tournent mal ? Si le Captive Portal ne se charge pas, vérifiez d'abord le Walled Garden. Si l'appareil ne peut pas résoudre le DNS ou joindre les serveurs Purple, il affichera une erreur de timeout plutôt que la page de splash. Si le routage VLAN échoue et que le client reçoit une IP du mauvais VLAN, vérifiez les journaux RADIUS dans le portail Purple. Assurez-vous que l'attribut Tunnel-Private-Group-ID est correctement formaté en tant que chaîne de caractères et correspond à un VLAN qui existe réellement sur le port du commutateur connecté à l'AP. Si vous constatez des erreurs de digest HMAC dans les journaux WatchGuard, votre clé secrète partagée de Captive Portal ne correspond pas entre WatchGuard et Purple. Elle doit être identique dans les deux systèmes, caractère pour caractère. Place à une session rapide de questions-réponses. Question : Puis-je utiliser le PPSK et le Captive Portal sur le même SSID ? Réponse : Non. WatchGuard ne prend pas en charge l'exécution de VLAN dynamiques via PPSK et un Captive Portal sur le même SSID simultanément. Vous avez besoin d'un SSID pour le portail et d'un SSID distinct pour le PPSK. Planifiez votre architecture SSID en conséquence. Question : Que se passe-t-il si le serveur RADIUS ne renvoie pas d'identifiant VLAN pour un utilisateur PPSK ? Réponse : Dans WatchGuard Cloud, vous configurez une option de secours pour les clients non attribués. Vous pouvez les basculer sur un VLAN non étiqueté ou sur un VLAN de quarantaine isolé spécifique pour vous assurer qu'ils n'accèdent pas au réseau de l'entreprise. Configurez toujours cette option de secours pour éviter tout accès accidentel. En résumé, l'intégration de WatchGuard Firebox avec Purple vous offre une plateforme unifiée pour la sécurité, l'identité et l'analyse sur les réseaux Guest, Staff et Multi-Tenant. Vous utilisez la redirection de Captive Portal externe pour les invités, le 802.1X pour le personnel et le PPSK avec VLAN dynamiques pour les environnements multi-locataires. Le ROI est évident. Vous réduisez les coûts matériels en consolidant les passerelles, vous simplifiez la gestion grâce à une plateforme SaaS unique et vous générez des revenus en capturant des données de première main grâce au Captive Portal de Purple. Vos prochaines étapes consistent à examiner votre architecture SSID actuelle, à vous assurer que le firmware de votre WatchGuard est en version 2.6 ou supérieure, et à commencer à configurer vos paramètres RADIUS dans le portail Purple. Merci pour votre attention.