Fortinet FortiAP और guest WiFi: Purple के साथ captive portal सेटअप

Purple आर्किटेक्चर ब्रीफिंग में आपका स्वागत है। आज हम एंटरप्राइज़ नेटवर्क के लिए एक महत्वपूर्ण एकीकरण के बारे में विस्तार से बात कर रहे हैं: Fortinet इंफ्रास्ट्रक्चर, विशेष रूप से FortiAP एक्सेस पॉइंट्स और FortiGate फायरवॉल के साथ Purple WiFi को डिप्लॉय करना। यदि आप एक IT मैनेजर, एक नेटवर्क आर्किटेक्ट, या किसी वेन्यू का प्रबंधन करने वाले CTO हैं - चाहे वह एक रिटेल चेन हो, एक स्टेडियम हो, या एक अस्पताल हो - तो यह सेशन आपको इन दोनों शक्तिशाली प्लेटफॉर्म्स को एक साथ सहजता से काम करने के लिए व्यावहारिक ब्लूप्रिंट देने के लिए डिज़ाइन किया गया है। आइए संदर्भ को समझते हैं। Fortinet अपनी मजबूत सुरक्षा व्यवस्था के लिए जाना जाता है। FortiGate यूनिफाइड थ्रेट मैनेजमेंट एप्लायंसेज डीप, लेयर 7 ट्रैफिक इंस्पेक्शन प्रदान करते हैं। हालांकि, जब गेस्ट WiFi की बात आती है, तो आप केवल सुरक्षा नहीं चाहते - आप व्यावसायिक मूल्य चाहते हैं। आप डेमोग्राफिक डेटा कैप्चर करना चाहते हैं, विज़िटर के व्यवहार को समझना चाहते हैं, और मार्केटिंग पर रिटर्न ऑन इन्वेस्टमेंट हासिल करना चाहते हैं। यही वह जगह है जहाँ Purple काम आता है। Purple को एक एक्सटर्नल Captive Portal के रूप में एकीकृत करके, आप गेस्ट आइडेंटिटी मैनेजमेंट, GDPR सहमति, और सोशल लॉगिन के भारी काम को Purple के क्लाउड RADIUS पर डाल देते हैं, जबकि FortiGate को वही करने देते हैं जो वह सबसे अच्छा करता है: पेरीमीटर को सुरक्षित रखना। तो, यह वास्तव में बैकएंड पर कैसे काम करता है? आइए इसके तकनीकी पहलुओं को गहराई से समझते हैं। यह आर्किटेक्चर स्टैंडर्ड RADIUS प्रोटोकॉल और HTTP रीडायरेक्शन पर निर्भर करता है। जब कोई गेस्ट डिवाइस FortiAP द्वारा ब्रॉडकास्ट किए गए आपके ओपन गेस्ट SSID से जुड़ता है, तो FortiGate उस शुरुआती वेब रिक्वेस्ट को इंटरसेप्ट करता है। एक बेसिक, स्थानीय रूप से संग्रहीत पोर्टल पेज परोसने के बजाय, FortiGate क्लाइंट को Purple के क्लाउड-होस्टेड स्प्लैश पेज पर रीडायरेक्ट करता है। अब, यहाँ एक महत्वपूर्ण कॉन्सेप्ट है: वॉल्ड गार्डन। इस प्री-ऑथेंटिकेशन फेज के दौरान, गेस्ट के पास इंटरनेट एक्सेस नहीं होता है। लेकिन उन्हें पोर्टल ग्राफिक्स लोड करने की आवश्यकता होती है, और उन्हें लॉग इन करने के लिए Facebook या Google तक पहुँचने की आवश्यकता हो सकती है। वॉल्ड गार्डन FortiGate पर कॉन्फ़िगर की गई एक सख्त अनुमति सूची है जो इन विशिष्ट डोमेन पर ट्रैफिक की अनुमति देती है। जैसे ही यूजर ऑथेंटिकेट करता है, Purple का प्लेटफॉर्म FortiGate को एक RADIUS Access-Accept संदेश वापस भेजता है। इसके बाद FortiGate सेशन स्टेट को ऑथेंटिकेटेड में बदल देता है, और यूजर को आपके पोस्ट-ऑथेंटिकेशन फायरवॉल पॉलिसी में भेज देता है। आइए RADIUS कॉन्फ़िगरेशन के बारे में अधिक विस्तार से बात करें, क्योंकि यहाँ सटीकता बहुत मायने रखती है। Purple आपको RADIUS क्रेडेंशियल्स के दो सेट प्रदान करता है: एक पोर्ट 1812 पर ऑथेंटिकेशन के लिए, और एक पोर्ट 1813 पर अकाउंटिंग के लिए। दोनों को कॉन्फ़िगर किया जाना चाहिए। अकाउंटिंग सर्वर वैकल्पिक नहीं है। यह वह मैकेनिज्म है जिसके द्वारा FortiGate सेशन डेटा को Purple को रिपोर्ट करता है - जैसे कि अवधि, उपयोग की गई बैंडविड्थ, और सेशन समाप्त होने के इवेंट्स। सटीक अकाउंटिंग डेटा के बिना, आपका Purple एनालिटिक्स डैशबोर्ड अधूरा या गलत विज़िटर मेट्रिक्स दिखाएगा। अपने अकाउंटिंग अंतरिम अंतराल को 120 सेकंड पर सेट करें। यह रीयल-टाइम विजिबिलिटी और नेटवर्क ओवरहेड के बीच एक अच्छा संतुलन प्रदान करता है।एक बहुत ही सामान्य परिदृश्य में FortiAuthenticator शामिल है। कई उद्यम अपने कर्मचारियों के WiFi के लिए FortiAuthenticator का उपयोग करते हैं - कॉर्पोरेट उपकरणों को Active Directory के खिलाफ प्रमाणित करने के लिए 802.1X और PEAP का उपयोग करते हैं। प्रश्न हमेशा यह होता है: क्या मैं कर्मचारियों के लिए अपना FortiAuthenticator रख सकता हूँ और मेहमानों के लिए Purple का उपयोग कर सकता हूँ? इसका उत्तर पूरी तरह से हाँ है, और यहाँ का नियम सख्त अलगाव है। आप FortiAuthenticator की ओर इशारा करते हुए अपने कर्मचारी SSID को बनाए रखते हैं। आप मेहमानों के लिए Purple के बाहरी Captive Portal और क्लाउड RADIUS की ओर इशारा करते हुए एक पूरी तरह से अलग, खुला SSID बनाते हैं। FortiGate, SSID के आधार पर प्रमाणीकरण अनुरोधों को रूट करता है। कर्मचारी की पहचान FortiAuthenticator के साथ ऑन-प्रिमाइसेस रहती है। अतिथि की पहचान Purple मार्केटिंग क्लाउड पर जाती है। शून्य क्रॉसओवर, अधिकतम सुरक्षा। इस आर्किटेक्चर का एक महत्वपूर्ण अनुपालन लाभ भी है। PCI-DSS आवश्यकताओं के तहत, अतिथि WiFi नेटवर्क को कार्डधारक डेटा को संभालने वाले किसी भी नेटवर्क सेगमेंट से पूरी तरह से अलग किया जाना चाहिए। अतिथि SSID को एक समर्पित VLAN पर रखकर और सभी RFC 1918 निजी IP स्पेस गंतव्यों को ब्लॉक करने के लिए FortiGate पर सख्त फ़ायरवॉल नीतियां लागू करके, आप इस आवश्यकता को आसानी से पूरा करते हैं। अब आइए कार्यान्वयन सिफारिशों पर आगे बढ़ें। जब आप इसे सेट कर रहे होते हैं, तो आपको IP असाइनमेंट के संबंध में एक महत्वपूर्ण निर्णय लेना होता है: NAT मोड बनाम Bridge मोड। यदि आप लगभग पचास से सौ समवर्ती अतिथि कनेक्शनों के साथ एक छोटा रिटेल स्टोर तैनात कर रहे हैं, तो NAT मोड पूरी तरह से पर्याप्त है। FortiGate एक समर्पित आंतरिक सबनेट से मेहमानों को DHCP पते सौंपता है और ट्रैफ़िक के फ़ायरवॉल से बाहर निकलने पर उनका अनुवाद करता है। यह सरल है और इसके लिए न्यूनतम अतिरिक्त बुनियादी ढांचे की आवश्यकता होती है। लेकिन यदि आप एक उच्च-घनत्व वाले वातावरण को तैनात कर रहे हैं - मान लीजिए, पांच सौ कमरों का होटल, कई समवर्ती कार्यक्रमों वाला एक सम्मेलन केंद्र, या एक स्टेडियम - तो आपको Bridge मोड का उपयोग करना चाहिए। Bridge मोड में, FortiAP अतिथि ट्रैफ़िक को सीधे एक समर्पित VLAN पर छोड़ देता है, जिससे आपके मुख्य उद्यम DHCP सर्वर लोड को संभाल सकते हैं। यह चरम कनेक्शन इवेंट्स के दौरान FortiGate को DHCP अड़चन बनने से रोकता है। Bridge मोड यह भी सुनिश्चित करता है कि Purple प्लेटफ़ॉर्म वास्तविक क्लाइंट IP पता देखता है, जो सटीक एनालिटिक्स और समस्या निवारण के लिए महत्वपूर्ण है। आइए चरण-दर-चरण कॉन्फ़िगरेशन अनुक्रम के बारे में बात करें, क्योंकि यहाँ क्रम मायने रखता है। Purple पोर्टल से शुरुआत करें। अपने RADIUS सर्वर क्रेडेंशियल पुनः प्राप्त करें - सर्वर IP पते, साझा रहस्य, Captive Portal URL, और रीडायरेक्ट URL। Fortinet कॉन्फ़िगरेशन को छूने से पहले ये चार महत्वपूर्ण जानकारियां हैं जिनकी आपको आवश्यकता होगी। फिर, FortiCloud डैशबोर्ड या अपने FortiGate प्रबंधन इंटरफ़ेस पर जाएं। पहले अपने RADIUS सर्वर को परिभाषित करें - 1812 पर प्रमाणीकरण, 1813 पर अकाउंटिंग। फिर अपना अतिथि SSID बनाएं, प्रमाणीकरण को Open पर सेट करें, बाहरी Captive Portal सक्षम करें, और Purple पोर्टल URL और रीडायरेक्ट URL दर्ज करें। अपने Walled Garden को कॉन्फ़िगर करें। और अंत में, अपने UTM प्रोफाइल के साथ अपनी पोस्ट-ऑथेंटिकेशन फ़ायरवॉल नीति को परिभाषित करें।नुकसान के बारे में क्या? तैनाती आमतौर पर कहाँ गलत होती है? बिना किसी संदेह के, नंबर एक समस्या एक अपूर्ण Walled Garden है। यदि कोई अतिथि कनेक्ट होता है और उसे खाली स्क्रीन या कनेक्शन टाइमआउट मिलता है, तो इसका लगभग हमेशा यह अर्थ होता है कि FortiGate प्रमाणीकरण से पहले Purple की CSS फ़ाइलों, JavaScript संपत्तियों, या सोशल लॉगिन APIs तक पहुँच को ब्लॉक कर रहा है। आपको यह सुनिश्चित करना होगा कि उस प्री-प्रमाणीकरण नीति में प्रत्येक आवश्यक डोमेन को स्पष्ट रूप से अनुमति दी गई है। Purple आवश्यक डोमेन की एक व्यापक सूची प्रदान करता है - इसका पूर्ण रूप से उपयोग करें। इसके अलावा, DNS को न भूलें। अप्रमाणित क्लाइंट्स को DNS प्रश्नों को हल करने की अनुमति दी जानी चाहिए, अन्यथा रीडायरेक्ट केवल काम नहीं करेगा। पेज लोड करने का प्रयास करने से पहले डिवाइस को Purple पोर्टल होस्टनाम को हल करना होगा। दूसरा सबसे आम नुकसान प्रमाणपत्र त्रुटियां (certificate errors) हैं। सुनिश्चित करें कि आपका FortiGate रीडायरेक्शन इंटरफ़ेस के लिए एक वैध, सार्वजनिक रूप से विश्वसनीय SSL प्रमाणपत्र प्रस्तुत कर रहा है। यदि आप डिफ़ॉल्ट सेल्फ-साइंड प्रमाणपत्र का उपयोग करते हैं, तो आधुनिक iPhones और Android डिवाइस महत्वपूर्ण सुरक्षा चेतावनियां देंगे, और आपके अतिथि कनेक्शन को पूरी तरह से छोड़ देंगे। यह आतिथ्य (hospitality) परिवेशों में एक विशेष रूप से गंभीर समस्या है जहां अतिथि का अनुभव सर्वोपरि है। तीसरा नुकसान RADIUS टाइमआउट त्रुटियां हैं। यदि पोर्टल लोड होता है लेकिन प्रमाणीकरण लगातार विफल रहता है, तो सत्यापित करें कि आपके FortiGate कॉन्फ़िगरेशन और Purple पोर्टल के बीच साझा रहस्य (shared secrets) बिल्कुल मेल खाते हैं। एक भी अक्षर का अंतर सभी प्रमाणीकरण प्रयासों को चुपचाप विफल कर देगा। यह भी सत्यापित करें कि कोई मध्यवर्ती फ़ायरवॉल आपके Fortinet इन्फ्रास्ट्रक्चर और Purple के क्लाउड RADIUS सर्वरों के बीच UDP पोर्ट 1812 और 1813 को ब्लॉक नहीं कर रहा है। आइए ग्राहकों से सुनी जाने वाली सबसे आम समस्याओं के आधार पर एक त्वरित प्रश्न और उत्तर सत्र के साथ समाप्त करें। प्रश्न एक: क्या Purple का उपयोग करने से मेरी FortiGate सुरक्षा नीतियां बायपास हो जाती हैं? बिल्कुल नहीं। Purple प्रमाणीकरण और पहचान कैप्चर को संभालता है। एक बार प्रमाणित होने के बाद, सभी अतिथि ट्रैफ़िक आपके FortiGate की पोस्ट-प्रमाणीकरण नीति के माध्यम से प्रवाहित होते हैं। यह बिल्कुल वही जगह है जहाँ आप FortiGuard वेब फ़िल्टरिंग लागू करते हैं, पीयर-टू-पीयर ट्रैफ़िक को ब्लॉक करते हैं, और बैंडविड्थ को आकार देते हैं। इसे इस तरह सोचें: लॉगिन की अनुमति देने के लिए प्री-प्रमाणीकरण अनुमेय है; नेटवर्क की सुरक्षा के लिए पोस्ट-प्रमाणीकरण दंडात्मक है। प्रश्न दो: क्या मुझे स्थानीय RADIUS सर्वर तैनात करने की आवश्यकता है? नहीं। Purple RADIUS-as-a-Service प्रदान करता है। आप FortiGate को सीधे Purple के क्लाउड RADIUS IP पतों पर इंगित करने के लिए कॉन्फ़िगर करते हैं। अतिथि नेटवर्क के लिए FreeRADIUS, Windows NPS, या किसी अन्य स्थानीय RADIUS इन्फ्रास्ट्रक्चर को तैनात करने और बनाए रखने की कोई आवश्यकता नहीं है। प्रश्न तीन: क्या Purple, FortiWLM के साथ काम कर सकता है? हाँ। एकीकरण का दृष्टिकोण सुसंगत है - FortiWLM कंट्रोलर के भीतर बाहरी Captive Portal URL, RADIUS सर्वर क्रेडेंशियल और walled garden को कॉन्फ़िगर करें, ठीक उसी तार्किक अनुक्रम का पालन करते हुए जैसा कि FortiGate कॉन्फ़िगरेशन में किया गया है।चौथा प्रश्न: GDPR अनुपालन के बारे में क्या? Purple पोर्टल स्तर पर स्पष्ट सहमति कैप्चर करता है, प्रमाणीकरण से पहले आपके नियम और शर्तें और डेटा प्रोसेसिंग नोटिस प्रस्तुत करता है। यह सहमति डेटा Purple प्लेटफॉर्म के भीतर संग्रहीत किया जाता है और यह ऑडिट योग्य है। FortiGate की भूमिका पूरी तरह से नेटवर्क प्रवर्तन है - इसे सीधे सहमति डेटा को संभालने की आवश्यकता नहीं है। आज की ब्रीफिंग के मुख्य निष्कर्षों को संक्षेप में प्रस्तुत करने के लिए। पहला: अपने स्टाफ और गेस्ट SSIDs को पूरी तरह से अलग करें। 802.1X के साथ FortiAuthenticator पर स्टाफ। बाहरी कैप्टिव पोर्टल के साथ Purple पर गेस्ट। दूसरा: अपने Walled Garden को सावधानीपूर्वक कॉन्फ़िगर करें। यह सबसे आम विफलता बिंदु और सबसे महत्वपूर्ण प्री-ऑथेंटिकेशन कॉन्फ़िगरेशन तत्व है। तीसरा: DHCP बाधाओं से बचने और सटीक क्लाइंट IP दृश्यता सुनिश्चित करने के लिए किसी भी उच्च-घनत्व (high-density) परिनियोजन के लिए Bridge mode का उपयोग करें। चौथा: RADIUS प्रमाणीकरण और अकाउंटिंग सर्वर दोनों को कॉन्फ़िगर करें। यदि आप सार्थक एनालिटिक्स चाहते हैं तो अकाउंटिंग वैकल्पिक नहीं है। पांचवां: प्रमाणीकरण के बाद Fortinet के UTM फीचर्स का लाभ उठाएं। Web filtering, एप्लिकेशन नियंत्रण और बैंडविड्थ शेपिंग सभी को पोस्ट-ऑथेंटिकेशन फ़ायरवॉल नीति में लागू किया जाना चाहिए। इस एकीकरण को सही ढंग से निष्पादित करके, आप गेस्ट WiFi को एक लागत केंद्र से एक अनुपालन, सुरक्षित और राजस्व उत्पन्न करने वाली संपत्ति में बदल देते हैं। Fortinet की सुरक्षा गहराई और Purple की मार्केटिंग इंटेलिजेंस का संयोजन किसी भी वेन्यू ऑपरेटर के लिए वास्तव में शक्तिशाली है जो अपने गेस्ट अनुभव और डेटा रणनीति को गंभीरता से लेना चाहता है। Purple आर्किटेक्चर ब्रीफिंग को सुनने के लिए धन्यवाद। यदि आप अपनी विशिष्ट परिनियोजन आवश्यकताओं पर चर्चा करना चाहते हैं, तो समाधान टीम से बात करने के लिए purple.ai पर जाएं।