Fortinet FortiAP e WiFi per gli ospiti: configurazione del captive portal con Purple

Benvenuto al Purple Architecture Briefing. Oggi approfondiremo un'integrazione fondamentale per le reti aziendali: la distribuzione di Purple WiFi insieme all'infrastruttura Fortinet, in particolare agli access point FortiAP e ai firewall FortiGate. Se sei un IT manager, un progettista di rete o un CTO che gestisce una sede - che si tratti di una catena di negozi, di uno stadio o di un ospedale - questa sessione è pensata per fornirti il piano d'azione per far funzionare insieme queste due potenti piattaforme in modo ottimale. Inquadriamo il contesto. Fortinet è rinomata per la sua solida postura di sicurezza. I dispositivi FortiGate Unified Threat Management offrono un'ispezione approfondita del traffico a livello Layer 7. Tuttavia, quando si tratta di WiFi per gli ospiti, non si desidera solo la sicurezza - si desidera il valore aziendale. Si desidera acquisire dati demografici, comprendere il comportamento dei visitatori e guidare il ritorno sull'investimento di marketing. È qui che entra in gioco Purple. Integrando Purple come Captive Portal esterno, si delega il pesante lavoro di gestione delle identità degli ospiti, del consenso GDPR e dei login social al cloud RADIUS di Purple, lasciando che FortiGate faccia ciò che sa fare meglio: proteggere il perimetro. Quindi, come funziona effettivamente sotto il cofano? Entriamo nel dettaglio tecnico. L'architettura si basa sui protocolli standard RADIUS e sul reindirizzamento HTTP. Quando un dispositivo ospite si associa al tuo SSID ospite aperto trasmesso dal FortiAP, il FortiGate intercetta la richiesta web iniziale. Invece di proporre una pagina portale di base memorizzata localmente, il FortiGate reindirizza il client alla pagina iniziale ospitata sul cloud di Purple. Ora, ecco il concetto fondamentale: il Walled Garden. Durante questa fase di pre-autenticazione, l'ospite non ha accesso a Internet. Tuttavia, deve caricare gli elementi grafici del portale e potrebbe dover raggiungere Facebook o Google per accedere. Il Walled Garden è una whitelist rigorosa configurata sul FortiGate che consente il traffico verso questi domini specifici. Una volta che l'utente si è autenticato, la piattaforma di Purple invia un messaggio RADIUS Access-Accept al FortiGate. Il FortiGate quindi attiva l'interruttore, cambiando lo stato della sessione in autenticato, e inserisce l'utente nella policy del firewall post-autenticazione. Parliamo più in dettaglio della configurazione RADIUS, perché è qui che la precisione conta. Purple fornisce due set di credenziali RADIUS: uno per l'autenticazione sulla porta 1812 e uno per l'accounting sulla porta 1813. Entrambi devono essere configurati. Il server di accounting non è facoltativo. È il meccanismo attraverso il quale il FortiGate segnala i dati di sessione a Purple - durata, larghezza di banda consumata ed eventi di chiusura della sessione. Senza dati di accounting accurati, la dashboard analitica di Purple mostrerà metriche dei visitatori incomplete o imprecise. Imposta l'intervallo temporaneo di accounting a 120 secondi. Ciò garantisce un buon equilibrio tra visibilità in tempo reale e sovraccarico di rete. Uno scenario molto comune coinvolge FortiAuthenticator. Molte aziende utilizzano FortiAuthenticator per la propria WiFi aziendale - usando 802.1X e PEAP per autenticare i dispositivi aziendali con Active Directory. La domanda è sempre: posso tenere il mio FortiAuthenticator per il personale e usare Purple per gli ospiti? La risposta è assolutamente sì, e la regola d'oro in questo caso è la segregazione rigorosa. Si mantiene il proprio SSID per il personale che punta a FortiAuthenticator. Si crea un SSID completamente separato e aperto per gli ospiti che punta al Captive Portal esterno di Purple e al cloud RADIUS. Il FortiGate instrada le richieste di autenticazione in base all'SSID. L'identità del personale rimane on-premises con FortiAuthenticator. L'identità degli ospiti va sul cloud marketing di Purple. Zero incroci, massima sicurezza. Questa architettura presenta anche un notevole vantaggio in termini di conformità. In base ai requisiti PCI-DSS, le reti WiFi per gli ospiti devono essere completamente isolate da qualsiasi segmento di rete che gestisce i dati dei titolari di carta. Posizionando l'SSID degli ospiti su una VLAN dedicata e applicando rigide policy di firewall sul FortiGate per bloccare tutte le destinazioni dello spazio IP privato RFC 1918, si soddisfa questo requisito in modo pulito. Passiamo ora alle raccomandazioni di implementazione. Quando si configura questo scenario, si deve prendere una decisione cruciale riguardo all'assegnazione degli IP: modalità NAT rispetto alla modalità Bridge. Se si sta implementando una piccola filiale retail con forse da cinquanta a cento connessioni ospiti simultanee, la modalità NAT è perfettamente adeguata. Il FortiGate assegna gli indirizzi DHCP agli ospiti da una sottorete interna dedicata e li traduce quando il traffico esce dal firewall. È semplice e richiede un'infrastruttura aggiuntiva minima. Ma se si sta implementando un ambiente ad alta densità - ad esempio, un hotel da cinquecento camere, un centro congressi con più eventi simultanei o uno stadio - è necessario utilizzare la modalità Bridge. In modalità Bridge, il FortiAP instrada il traffico degli ospiti direttamente su una VLAN dedicata, consentendo ai server DHCP aziendali principali di gestire il carico. Ciò evita che il FortiGate diventi un collo di bottiglia per il DHCP durante i picchi di connessione. La modalità Bridge garantisce inoltre che la piattaforma Purple veda l'indirizzo IP reale del client, il che è fondamentale per un'analisi accurata e per la risoluzione dei problemi. Parliamo della sequenza di configurazione passo dopo passo, perché qui l'ordine è importante. Iniziare dal portale Purple. Recuperare le credenziali del server RADIUS - gli indirizzi IP del server, i segreti condivisi, l'URL del Captive Portal e l'URL di reindirizzamento. Queste sono le quattro informazioni fondamentali necessarie prima di toccare la configurazione Fortinet. Quindi, passare alla dashboard FortiCloud o all'interfaccia di gestione del FortiGate. Definire prima i server RADIUS - autenticazione sulla porta 1812, accounting sulla 1813. Successivamente, creare l'SSID per gli ospiti, impostare l'autenticazione su Open, abilitare il Captive Portal esterno e inserire l'URL del portale Purple e l'URL di reindirizzamento. Configurare il Walled Garden. Infine, definire la policy di firewall post-autenticazione con i profili UTM.Quali sono le trappole più comuni? Dove falliscono solitamente le implementazioni? Il problema numero uno, senza dubbio, è un Walled Garden incompleto. Se un ospite si connette e visualizza una schermata vuota o un timeout di connessione, quasi sempre significa che il FortiGate sta bloccando l'accesso ai file CSS di Purple, agli asset JavaScript o alle API di social login prima dell'autenticazione. È necessario assicurarsi che ogni dominio richiesto sia esplicitamente consentito in tale policy di pre-autenticazione. Purple fornisce un elenco completo dei domini richiesti - si prega di utilizzarlo per intero. Inoltre, non dimenticare il DNS. Ai client non autenticati deve essere consentito di risolvere le query DNS, altrimenti il reindirizzamento semplicemente non funzionerà. Il dispositivo deve risolvere l'hostname del portale Purple prima ancora di poter tentare di caricare la pagina. Il secondo errore più comune riguarda i certificati. Assicurati che il tuo FortiGate presenti un certificato SSL valido e pubblicamente attendibile per l'interfaccia di reindirizzamento. Se utilizzi il certificato autofirmato predefinito, i moderni iPhone e dispositivi Android mostreranno significativi avvisi di sicurezza e i tuoi ospiti abbandoneranno completamente la connessione. Questo è un problema particolarmente acuto negli ambienti di hospitality, dove l'esperienza degli ospiti è fondamentale. La terza trappola è rappresentata dagli errori di timeout RADIUS. Se il portale si carica ma l'autenticazione fallisce costantemente, verifica che i segreti condivisi corrispondano esattamente tra la configurazione del tuo FortiGate e il portale Purple. Anche una sola differenza di carattere causerà il fallimento silenzioso di tutti i tentativi di autenticazione. Verifica inoltre che nessun firewall intermedio blocchi le porte UDP 1812 e 1813 tra la tua infrastruttura Fortinet e i server cloud RADIUS di Purple. Concludiamo con una sessione di domande e risposte rapide basata sulle domande più comuni che riceviamo dai clienti. Domanda uno: l'utilizzo di Purple bypassa le policy di sicurezza del mio FortiGate? Assolutamente no. Purple gestisce l'autenticazione e l'acquisizione dell'identità. Una volta autenticato, tutto il traffico degli ospiti fluisce attraverso la policy post-autenticazione del tuo FortiGate. Questo è esattamente il punto in cui applichi il filtraggio web FortiGuard, blocchi il traffico peer-to-peer e gestisci la larghezza di banda. Pensala in questo modo: la pre-autenticazione è permissiva per consentire l'accesso; la post-autenticazione è restrittiva per proteggere la rete. Domanda due: devo implementare server RADIUS locali? No. Purple fornisce il RADIUS-as-a-Service. Configura il FortiGate in modo che punti direttamente agli indirizzi IP cloud RADIUS di Purple. Non è necessario distribuire e mantenere FreeRADIUS, Windows NPS o qualsiasi altra infrastruttura RADIUS locale per la rete WiFi ospiti. Domanda tre: Purple può funzionare con FortiWLM? Sì. L'approccio di integrazione è coerente - configura l'URL del Captive Portal esterno, le credenziali del server RADIUS e il walled garden all'interno del controller FortiWLM, seguendo la stessa sequenza logica della configurazione del FortiGate.Quarta domanda: e per quanto riguarda la conformità al GDPR? Purple acquisisce il consenso esplicito a livello di portale, presentando i tuoi termini e condizioni e le informative sul trattamento dei dati prima dell'autenticazione. Questi dati di consenso sono memorizzati all'interno della piattaforma Purple e sono verificabili. Il ruolo di FortiGate è puramente di applicazione delle regole di rete - non ha bisogno di gestire direttamente i dati di consenso. Per riassumere i punti chiave del briefing di oggi. Primo: segrega assolutamente gli SSID del personale e degli ospiti. Personale su FortiAuthenticator con 802.1X. Ospiti su Purple con Captive Portal esterno. Secondo: configura meticolosamente il tuo Walled Garden. È il punto di guasto più comune e l'elemento di configurazione pre-autenticazione più importante. Terzo: usa la modalità Bridge per qualsiasi implementazione ad alta densità per evitare colli di bottiglia DHCP e garantire un'accurata visibilità dell'IP del client. Quarto: configura sia i server di autenticazione che di accounting RADIUS. L'accounting non è opzionale se desideri analisi significative. Quinto: sfrutta le funzionalità UTM di Fortinet post-autenticazione. Il filtraggio web, il controllo delle applicazioni e lo shaping della banda dovrebbero essere tutti applicati nella policy del firewall post-autenticazione. Eseguendo correttamente questa integrazione, trasformerai il WiFi per gli ospiti da un centro di costo a una risorsa conforme, sicura e in grado di generare ricavi. La combinazione della profondità di sicurezza di Fortinet e della marketing intelligence di Purple è davvero potente per qualsiasi gestore di sedi che voglia prendere sul serio la propria guest experience e la propria strategia dei dati. Grazie per aver ascoltato il Purple Architecture Briefing. Se desideri discutere i tuoi requisiti di implementazione specifici, visita purple.ai per parlare con il team delle soluzioni.