Guida all'integrazione di Fortinet FortiAP e Purple WiFi

Un riferimento tecnico definitivo per l'integrazione dell'infrastruttura Fortinet FortiAP e FortiGate con Purple WiFi. Questa guida copre la configurazione del Captive Portal esterno, la coesistenza dell'autenticazione RADIUS con FortiAuthenticator e la progettazione delle policy di sicurezza per implementazioni aziendali in ambienti hospitality, retail e nel settore pubblico.

📖 7 minuti di lettura📝 1,552 parole🔧 2 esempi pratici❓ 3 domande di esercitazione📚 9 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

Benvenuto al Purple Architecture Briefing. Oggi approfondiremo un'integrazione fondamentale per le reti aziendali: la distribuzione di Purple WiFi insieme all'infrastruttura Fortinet, in particolare con gli access point FortiAP e i firewall FortiGate. Se sei un IT manager, un network architect o un CTO che gestisce una sede — che si tratti di una catena di negozi, di uno stadio o di un ospedale — questa sessione è progettata per fornirti il piano d'azione concreto per far funzionare queste due potenti piattaforme in perfetta sinergia.

Inquadriamo il contesto. Fortinet è rinomata per la sua solida postura di sicurezza. I dispositivi FortiGate Unified Threat Management offrono un'ispezione profonda del traffico a livello Layer 7. Tuttavia, quando si parla di guest WiFi, non si cerca solo la sicurezza, ma anche il valore di business. Desideri acquisire dati demografici, comprendere il comportamento dei visitatori e generare un ritorno sull'investimento di marketing. È qui che entra in gioco Purple. Integrando Purple come Captive Portal esterno, deleghi la gestione complessa dell'identità degli ospiti, del consenso GDPR e dei login social al cloud RADIUS di Purple, lasciando che il FortiGate faccia ciò che sa fare meglio: proteggere il perimetro.

Quindi, come funziona concretamente sotto il cofano? Entriamo nei dettagli tecnici.

L'architettura si basa su protocolli RADIUS standard e sul reindirizzamento HTTP. Quando un dispositivo ospite si associa al tuo SSID guest aperto trasmesso dal FortiAP, il FortiGate intercetta la richiesta web iniziale. Invece di mostrare una pagina portale di base memorizzata localmente, il FortiGate reindirizza il client alla splash page ospitata sul cloud di Purple.

Ora, ecco il concetto cruciale: il Walled Garden. Durante questa fase di pre-autenticazione, l'ospite non ha accesso a Internet. Tuttavia, deve poter caricare la grafica del portale e potrebbe dover raggiungere Facebook o Google per effettuare l'accesso. Il Walled Garden è una lista di elementi consentiti (allowlist) rigorosa, configurata sul FortiGate, che permette il traffico verso questi domini specifici. Una volta che l'utente si è autenticato, la piattaforma di Purple invia un messaggio RADIUS Access-Accept al FortiGate. Il FortiGate attiva quindi lo switch, modificando lo stato della sessione in autenticato, e inserisce l'utente nella policy del firewall post-autenticazione.

Parliamo più in dettaglio della configurazione RADIUS, perché è qui che la precisione è fondamentale. Purple fornisce due set di credenziali RADIUS: uno per l'autenticazione sulla porta 1812 e uno per l'accounting sulla porta 1813. Entrambi devono essere configurati. Il server di accounting non è opzionale. È il meccanismo attraverso il quale il FortiGate segnala i dati di sessione a Purple: durata, larghezza di banda consumata ed eventi di chiusura della sessione. Senza dati di accounting accurati, la dashboard di analisi di Purple mostrerà metriche sui visitatori incomplete o imprecise. Imposta l'intervallo provvisorio di accounting (accounting interim interval) a 120 secondi. Questo garantisce un buon equilibrio tra visibilità in tempo reale e sovraccarico di rete.

Un scenario molto comune coinvolge FortiAuthenticator. Molte aziende utilizzano FortiAuthenticator per il WiFi del personale, utilizzando 802.1X e PEAP per autenticare i dispositivi aziendali tramite Active Directory. La domanda è sempre la stessa: posso mantenere il mio FortiAuthenticator per il personale e utilizzare Purple per gli ospiti?

La risposta è assolutamente sì, e la regola d'oro in questo caso è una rigida segregazione. Si mantiene l'SSID del personale puntato su FortiAuthenticator. Si crea un SSID aperto e completamente separato per gli ospiti, puntato sul Captive Portal esterno e sul cloud RADIUS di Purple. Il FortiGate instrada le richieste di autenticazione in base all'SSID. L'identità del personale rimane on-premise con FortiAuthenticator. L'identità degli ospiti va sul cloud marketing di Purple. Zero incroci, massima sicurezza.

Questa architettura offre anche un notevole vantaggio in termini di conformità. Secondo i requisiti PCI DSS, le reti WiFi degli ospiti devono essere completamente isolate da qualsiasi segmento di rete che gestisce i dati dei titolari di carta. Posizionando l'SSID degli ospiti su una VLAN dedicata e applicando rigide policy firewall sul FortiGate per bloccare tutte le destinazioni dello spazio IP privato RFC 1918, si soddisfa questo requisito in modo pulito.

Passiamo ora alle raccomandazioni di implementazione. Quando si configura questo sistema, è necessario prendere una decisione cruciale riguardo all'assegnazione degli IP: modalità NAT rispetto alla modalità Bridge.

Se si sta implementando una piccola filiale retail con circa cinquanta o cento connessioni ospiti simultanee, la modalità NAT è perfettamente adeguata. Il FortiGate distribuisce gli indirizzi DHCP agli ospiti da una sottorete interna dedicata e li traduce quando il traffico esce dal firewall. È semplice e richiede un'infrastruttura aggiuntiva minima.

Ma se si sta implementando un ambiente ad alta densità, come un hotel da cinquecento camere, un centro congressi con più eventi simultanei o uno stadio, è necessario utilizzare la modalità Bridge. In modalità Bridge, il FortiAP immette il traffico degli ospiti direttamente su una VLAN dedicata, consentendo ai server DHCP aziendali principali di gestire il carico. Ciò evita che il FortiGate diventi un collo di bottiglia per il DHCP durante i picchi di connessione. La modalità Bridge garantisce inoltre che la piattaforma Purple veda il vero indirizzo IP del client, il che è fondamentale per analisi e risoluzione dei problemi accurate.

Parliamo ora della sequenza di configurazione passo-passo, perché qui l'ordine è importante.

Iniziare dal portale Purple. Recuperare le credenziali del server RADIUS: gli indirizzi IP del server, i segreti condivisi, l'URL del Captive Portal e l'URL di reindirizzamento. Queste sono le quattro informazioni critiche necessarie prima di toccare la configurazione Fortinet.

Quindi, passare alla dashboard di FortiCloud o all'interfaccia di gestione del FortiGate. Definire prima i server RADIUS: autenticazione sulla porta 1812, accounting sulla 1813. Successivamente, creare l'SSID per gli ospiti, impostare l'autenticazione su Open, abilitare il Captive Portal esterno e inserire l'URL del portale Purple e l'URL di reindirizzamento. Configurare il Walled Garden. Infine, definire la policy del firewall post-autenticazione con i profili UTM.

Quali sono le insidie? Dove falliscono solitamente le implementazioni?

Il problema principale, senza dubbio, è un Walled Garden incompleto. Se un ospite si connette e visualizza una schermata vuota o un timeout di connessione, quasi sempre significa che il FortiGate sta bloccando l'accesso ai file CSS di Purple, alle risorse JavaScript o alle API di social login prima dell'autenticazione. È necessario assicurarsi che ogni dominio richiesto sia esplicitamente consentito in tale policy di pre-autenticazione. Purple fornisce un elenco completo dei domini richiesti: utilizzatelo interamente.

Inoltre, non dimenticate il DNS. Ai client non autenticati deve essere consentito di risolvere le query DNS, altrimenti il reindirizzamento semplicemente non funzionerà. Il dispositivo deve risolvere l'hostname del Captive Portal di Purple prima ancora di poter tentare di caricare la pagina.

La seconda insidia più comune riguarda gli errori di certificato. Assicuratevi che il vostro FortiGate presenti un certificato SSL valido e pubblicamente attendibile per l'interfaccia di reindirizzamento. Se utilizzate il certificato autofirmato predefinito, gli iPhone moderni e i dispositivi Android mostreranno significativi avvisi di sicurezza e i vostri ospiti abbandoneranno completamente la connessione. Questo è un problema particolarmente acuto nei settori dell'ospitalità, dove l'esperienza dell'ospite è fondamentale.

La terza insidia è rappresentata dagli errori di timeout RADIUS. Se il portale si carica ma l'autenticazione fallisce costantemente, verificate che i segreti condivisi corrispondano esattamente tra la configurazione del FortiGate e il portale Purple. Anche la differenza di un singolo carattere causerà il fallimento silenzioso di tutti i tentativi di autenticazione. Verificate inoltre che nessun firewall intermedio blocchi le porte UDP 1812 e 1813 tra la vostra infrastruttura Fortinet e i server RADIUS in cloud di Purple.

Concludiamo con una sessione di domande e risposte rapide basata sulle domande più comuni che riceviamo dai clienti.

Domanda uno: l'utilizzo di Purple aggira le policy di sicurezza del mio FortiGate? Assolutamente no. Purple gestisce l'autenticazione e l'acquisizione dell'identità. Una volta autenticato, tutto il traffico degli ospiti fluisce attraverso la policy post-autenticazione del FortiGate. Questo è esattamente il punto in cui applicare il Web Filtering di FortiGuard, bloccare il traffico peer-to-peer e limitare la larghezza di banda. Pensatela in questo modo: la pre-autenticazione è permissiva per consentire l'accesso; la post-autenticazione è restrittiva per proteggere la rete.

Domanda due: devo implementare server RADIUS locali? No. Purple fornisce il RADIUS-as-a-Service. Configurate il FortiGate per puntare direttamente agli indirizzi IP RADIUS in cloud di Purple. Non è necessario implementare e mantenere FreeRADIUS, Windows NPS o qualsiasi altra infrastruttura RADIUS locale per la rete ospiti.

Domanda tre: Purple può funzionare con FortiWLM? Sì. L'approccio di integrazione è coerente: configurate l'URL del Captive Portal esterno, le credenziali del server RADIUS e il walled garden all'interno del controller FortiWLM, seguendo la stessa sequenza logica della configurazione del FortiGate.
Quarta domanda: cosa ne pensiamo della conformità al GDPR? Purple acquisisce il consenso esplicito a livello di portale, presentando i termini e le condizioni e le informative sul trattamento dei dati prima dell'autenticazione. Questi dati sul consenso vengono memorizzati all'interno della piattaforma Purple e sono verificabili. Il ruolo del FortiGate è puramente di applicazione delle regole di rete: non deve gestire direttamente i dati sul consenso.

Per riassumere i punti chiave del briefing di oggi.

Primo: segregate assolutamente gli SSID del personale e degli ospiti. Il personale su FortiAuthenticator con 802.1X. Gli ospiti su Purple con Captive Portal esterno.

Secondo: configurate meticolosamente il vostro Walled Garden. È il punto di errore più comune e l'elemento di configurazione pre-autenticazione più importante.

Terzo: utilizzate la modalità Bridge per qualsiasi implementazione ad alta densità per evitare colli di bottiglia DHCP e garantire un'accurata visibilità dell'IP del client.

Quarto: configurate sia i server di autenticazione che quelli di accounting RADIUS. L'accounting non è opzionale se desiderate analisi significative.

Quinto: sfruttate le funzionalità UTM di Fortinet post-autenticazione. Il filtraggio web, il controllo delle applicazioni e la gestione della larghezza di banda dovrebbero essere applicati tutti nella policy del firewall post-autenticazione.

Eseguendo correttamente questa integrazione, trasformerete il WiFi ospiti da un centro di costo a una risorsa conforme, sicura e in grado di generare ricavi. La combinazione della profondità di sicurezza di Fortinet e dell'intelligenza di marketing di Purple è davvero potente per qualsiasi operatore di sede che desideri prendere sul serio l'esperienza degli ospiti e la strategia dei dati.

Grazie per aver ascoltato il Purple Architecture Briefing. Se desiderate discutere dei vostri requisiti di implementazione specifici, visitate purple.ai per parlare con il team delle soluzioni.

Punti chiave

✓Disaccoppia l'autenticazione degli ospiti dalla sicurezza della rete centrale utilizzando il RADIUS cloud di Purple: FortiGate applica le policy, Purple gestisce l'identità.
✓Mantieni un'assoluta segregazione di SSID e VLAN tra il personale (FortiAuthenticator, 802.1X) e gli ospiti (Captive Portal esterno di Purple).
✓Un Walled Garden configurato meticolosamente è il passaggio singolo più critico: le whitelist incomplete dei domini di pre-autenticazione causano la maggior parte dei guasti del Captive Portal.
✓Configura sia i server di autenticazione RADIUS (porta 1812) che quelli di accounting (porta 1813): i dati di accounting sono essenziali per la Purple analytics.
✓Utilizza la modalità Bridge per implementazioni ad alta densità per scaricare il DHCP, prevenire i colli di bottiglia di FortiGate e migliorare la visibilità dell'IP del client.
✓Applica le policy UTM di Fortinet (FortiGuard Web Filtering, Application Control, Traffic Shaping) rigorosamente nella policy del firewall post-autenticazione.
✓Utilizza un certificato SSL pubblicamente attendibile sull'interfaccia di reindirizzamento FortiGate per prevenire avvisi di certificato rivolti agli ospiti che aumentano l'abbandono del portale.

Executive Summary

Per i team IT aziendali che gestiscono infrastrutture Fortinet, l'integrazione di Captive Portal esterni per l'accesso degli ospiti, mantenendo al contempo rigidi profili di sicurezza, rappresenta un requisito comune. L'integrazione tra gli access point Fortinet FortiAP, i dispositivi FortiGate Unified Threat Management (UTM) e la piattaforma Purple WiFi consente alle organizzazioni di disaccoppiare l'autenticazione degli ospiti dalla sicurezza della rete centrale. Questa guida fornisce ad architetti tecnici e IT manager il modello definitivo per implementare Purple come Captive Portal esterno all'interno di un ambiente Fortinet. Delegando la gestione dell'identità degli ospiti al cloud RADIUS di Purple, i team di rete possono sfruttare le solide policy di sicurezza Layer 7 di Fortinet per l'ispezione del traffico, acquisendo contemporaneamente dati demografici di prima parte per generare valore aziendale. Sia che venga implementata in una rete retail distribuita o in uno stadio ad alta densità, questa architettura garantisce la conformità con PCI DSS e GDPR, offrendo al contempo un'esperienza Guest WiFi fluida.

Technical Deep-Dive

L'integrazione architetturale tra Fortinet e Purple si basa su protocolli RADIUS standard e meccanismi di reindirizzamento HTTP. Quando un dispositivo ospite si associa all'SSID aperto designato trasmesso da un FortiAP, il FortiGate intercetta la richiesta HTTP/HTTPS iniziale. Invece di servire un Captive Portal locale, il FortiGate è configurato per reindirizzare il client alla splash page ospitata nel cloud di Purple.

Durante questa fase di pre-autenticazione, il FortiGate applica un walled garden — una whitelist rigorosa di indirizzi IP e domini che consente al dispositivo client di caricare le risorse del Captive Portal, eseguire login social e accedere ai servizi essenziali (come il DNS) senza concedere l'accesso completo a Internet. Una volta che l'utente si autentica sul portale Purple, la piattaforma Purple comunica con il FortiGate tramite messaggi RADIUS Access-Accept. Il FortiGate fa quindi passare lo stato della sessione del client da non autenticato ad autenticato, applicando le policy firewall post-autenticazione appropriate.

RADIUS Coexistence: Purple and FortiAuthenticator

Una sfida architetturale frequente negli ambienti Fortinet è la gestione dell'accesso guest insieme all'autenticazione del personale quando un FortiAuthenticator (FAC) è già distribuito per l'identità aziendale. L'approccio consigliato è la segregazione assoluta degli SSID. I dispositivi del personale si connettono a un SSID sicuro utilizzando lo standard IEEE 802.1X — tipicamente PEAP o EAP-TLS — autenticandosi direttamente tramite il FortiAuthenticator. Al contrario, i dispositivi guest si connettono a un SSID aperto configurato per il reindirizzamento a un Captive Portal esterno, autenticandosi tramite l'infrastruttura cloud RADIUS di Purple.

Questa separazione garantisce che i dati di identità dei guest — fondamentali per la WiFi Analytics — siano gestiti interamente all'interno della piattaforma Purple, mentre le credenziali Active Directory aziendali rimangono elaborate in modo sicuro dal FortiAuthenticator on-premise. Il FortiGate gestisce il routing e l'applicazione delle policy per entrambi i flussi di traffico in modo indipendente, garantendo zero crossover tra la VLAN guest e la VLAN aziendale. Questa architettura soddisfa inoltre i requisiti PCI DSS per la segmentazione della rete, poiché il traffico guest è isolato fisicamente e logicamente da qualsiasi infrastruttura di elaborazione dei pagamenti.

Guida all'implementazione

La distribuzione dell'integrazione FortiAP Purple richiede una configurazione coordinata sia sul portale Purple che sull'infrastruttura Fortinet. I passaggi seguenti delineano il percorso critico per una distribuzione di successo utilizzando la gestione AP di FortiCloud.

Passaggio 1: Configurazione di rete e RADIUS

Inizia definendo la rete all'interno della Dashboard di FortiCloud. Vai su Configure > My RADIUS Server e definisci sia il server di autenticazione (Porta 1812) che il server di accounting (Porta 1813) utilizzando le credenziali fornite nel portale Purple. Entrambi i server devono essere configurati — l'accounting non è opzionale. Purple si affida ai dati di accounting RADIUS per popolare la dashboard di WiFi Analytics con le metriche sulla durata della sessione, il consumo di banda e la frequenza dei visitatori. Imposta l'intervallo provvisorio di accounting (accounting interim interval) a 120 secondi per una visibilità in tempo reale.

Passaggio 2: Definizione di SSID e Captive Portal

Crea un nuovo SSID dedicato all'accesso guest. Imposta il metodo di autenticazione su Open e abilita la funzionalità Captive Portal, selezionando l'opzione del portale esterno o personalizzato. È necessario inserire l'URL di accesso (Access URL) e l'URL di reindirizzamento (Redirect URL) univoci forniti nella schermata di configurazione del portale Purple.

La configurazione del Walled Garden è il passaggio più delicato dell'intera distribuzione. È necessario inserire l'elenco completo dei domini richiesti da Purple per garantire che i provider di login social (Facebook, Google, X) e le risorse essenziali del portale vengano caricati correttamente prima dell'autenticazione. La mancata configurazione accurata del walled garden comporterà un flusso di autenticazione interrotto, poiché il dispositivo client non sarà in grado di raggiungere le risorse esterne necessarie. Assicurati inoltre che il traffico DNS (porta UDP 53) sia esplicitamente consentito nella policy di pre-autenticazione.

Step 3: IP Assignment — NAT vs Bridge Mode

Quando si definisce l'SSID, è necessario scegliere tra la modalità NAT e la modalità Bridge per l'assegnazione degli IP.

In modalità NAT, il FortiGate fornisce indirizzi DHCP ai dispositivi guest da una sottorete interna dedicata, traducendo tali indirizzi quando il traffico esce dal firewall. Questa opzione è adatta per implementazioni più semplici o ambienti di filiali Retail più piccoli in cui il FortiGate gestisce l'intera sottorete guest.

In modalità Bridge, il FortiAP convoglia il traffico guest direttamente su una VLAN specifica, consentendo a un server DHCP esterno di assegnare gli indirizzi IP. La modalità Bridge è fortemente raccomandata per ambienti ad alta densità come strutture Hospitality o hub di Transport , poiché offre una maggiore flessibilità per la gestione degli indirizzi IP, previene i colli di bottiglia DHCP sul FortiGate e consente alla piattaforma Purple di vedere l'indirizzo IP reale del client per analisi e risoluzione dei problemi più dettagliate.

Step 4: Post-Authentication Firewall Policy

Una volta completata l'autenticazione, il FortiGate deve applicare una policy di firewall post-autenticazione dedicata alla VLAN guest. Questa policy deve fare riferimento ai profili FortiGuard Web Filtering e Application Control per applicare restrizioni sui contenuti e bloccare il traffico peer-to-peer. Applicare un profilo Traffic Shaper per imporre limiti di larghezza di banda, impedendo a un singolo ospite di saturare l'uplink della struttura. Assicurarsi che la policy blocchi esplicitamente tutte le destinazioni dello spazio IP privato RFC 1918 per impedire agli ospiti di sondare le risorse di rete interne.

Best Practices

Durante la progettazione di questa integrazione, attenersi alle seguenti raccomandazioni standard del settore per garantire stabilità, sicurezza e conformità.

La segregazione della VLAN è obbligatoria: Non distribuire mai il WiFi guest sulla stessa VLAN delle risorse aziendali o dei sistemi point-of-sale. È necessario applicare un tagging VLAN rigoroso a livello di porta dello switch per mantenere la conformità PCI DSS. Il FortiGate deve applicare policy di firewall restrittive alla VLAN guest, bloccando tutte le destinazioni dello spazio IP privato RFC 1918 per impedire movimenti laterali.

Ottimizzare i timer di sessione: Configurare in modo appropriato il tempo di lease DHCP e gli intervalli provvisori di accounting RADIUS. Un tempo di lease DHCP di 3600 secondi combinato con un intervallo provvisorio di accounting di 120 secondi offre un equilibrio ottimale tra la conservazione degli indirizzi IP e una reportistica analitica accurata in tempo reale all'interno della dashboard Purple.

Sfrutta le funzionalità UTM di Fortinet post-autenticazione: il vantaggio principale di questa integrazione è la possibilità di applicare le funzionalità di sicurezza avanzate di Fortinet al traffico degli ospiti dopo l'autenticazione. Configura la policy del firewall post-autenticazione per utilizzare FortiGuard Web Filtering e Application Control. Ciò riduce il rischio che gli ospiti utilizzino la larghezza di banda della struttura per attività dannose, torrenting o accesso a contenuti inappropriati, proteggendo così la reputazione dell'IP pubblico della struttura e il contratto di servizio internet.

Usa certificati pubblici: assicurati che il FortiGate presenti un certificato SSL/TLS valido e pubblicamente attendibile sull'interfaccia di reindirizzamento. I certificati autofirmati attivano avvisi di sicurezza sui moderni dispositivi iOS e Android, aumentando significativamente i tassi di abbandono del portale da parte degli ospiti.

Risoluzione dei problemi e mitigazione dei rischi

Anche con una configurazione meticolosa, le distribuzioni possono incontrare ostacoli. La comprensione delle modalità di errore più comuni accelera notevolmente la risoluzione.

Il Captive Portal non si carica: se un ospite si connette ma la splash page non viene visualizzata, la causa più comune è un walled garden incompleto. Verifica che tutti i domini richiesti per Purple e gli eventuali provider di social login configurati siano esplicitamente consentiti nella policy di pre-autenticazione. Assicurati che la risoluzione DNS funzioni correttamente per i client non autenticati; se il client non riesce a risolvere l'URL del portale Purple, il reindirizzamento fallirà completamente.

Timeout RADIUS: se il portale si carica ma l'autenticazione fallisce costantemente, esamina il percorso di comunicazione RADIUS. Verifica che l'indirizzo IP esterno del FortiGate sia registrato correttamente all'interno della configurazione del router del portale Purple. Assicurati che i shared secret corrispondano esattamente (un singolo carattere non corrispondente causerà errori di autenticazione invisibili) e che nessun firewall intermedio blocchi le porte UDP 1812 e 1813 tra l'infrastruttura Fortinet e i server RADIUS cloud di Purple.

Errori di certificato: i moderni sistemi operativi mobili sono estremamente sensibili alle anomalie dei certificati SSL/TLS durante l'intercettazione del captive portal. Assicurati che il FortiGate presenti un certificato valido e pubblicamente attendibile per l'interfaccia di reindirizzamento, anziché un certificato predefinito autofirmato. Ciò evita allarmanti avvisi di sicurezza che scoraggiano gli ospiti dal completare il flusso di autenticazione.

Lacune nella rendicontazione delle sessioni: se la dashboard analitica di Purple mostra dati di sessione incompleti o metriche sulla larghezza di banda mancanti, verifica che il server di accounting RADIUS (porta 1813) sia configurato correttamente e che l'intervallo provvisorio di accounting sia impostato. I dati di accounting vengono inviati separatamente dall'autenticazione e richiedono una propria definizione di server.

ROI e impatto aziendale

L'integrazione di Fortinet e Purple trasforma un centro di costo standard — il guest WiFi — in un asset aziendale misurabile. Utilizzando il Captive Portal di Purple, le location acquisiscono dati demografici verificati e informazioni di contatto, consentendo campagne di marketing mirate, la crescita dei programmi di fidelizzazione e il re-engagement post-visita. Per le strutture che operano nei settori del Retail o dell' Hospitality , questi dati di prima parte sono sempre più preziosi, poiché la deprecazione dei cookie di terze parti limita i canali di marketing digitale tradizionali.

Per i team IT, delegare l'autenticazione degli ospiti al cloud RADIUS di Purple riduce significativamente il sovraccarico amministrativo associato alla gestione dei database utenti locali, alla stampa di voucher cartacei o alla manutenzione dell'infrastruttura RADIUS on-premise. La combinazione del provisioning fluido di Purple e della robusta ispezione del traffico di Fortinet garantisce che la struttura offra un'esperienza internet sicura e ad alte prestazioni, generando al contempo business intelligence fruibile attraverso i WiFi Analytics . Questa architettura è altamente scalabile e supporta qualsiasi scenario, dal singolo boutique hotel a un campus aziendale distribuito, offrendo un ROI costante sia attraverso l'abilitazione del marketing sia tramite l'efficienza operativa.

Definizioni chiave

External Captive Portal

Una configurazione in cui l'hardware di rete (FortiGate/FortiAP) reindirizza il traffico degli utenti non autenticati a una splash page ospitata su un server cloud di terze parti (Purple), anziché mostrare una pagina memorizzata localmente sul dispositivo.

I team IT utilizzano questa soluzione per delegare la progettazione del portale, la manutenzione delle API di social login e l'acquisizione del consenso GDPR a una piattaforma specializzata, riducendo il sovraccarico operativo per il team di rete.

Walled Garden

Una lista di autorizzazione esplicita (allowlist) di indirizzi IP, domini e sottoreti a cui un dispositivo client può accedere prima di autenticarsi con successo sulla rete.

Fondamentale per consentire ai dispositivi di caricare la grafica del Captive Portal, elaborare i login tramite social media e risolvere le query DNS prima di avere pieno accesso a Internet. Se configurato in modo errato, rappresenta la causa più comune di malfunzionamento del Captive Portal.

RADIUS Accounting

Il meccanismo di protocollo che utilizza la porta UDP 1813 per tracciare la durata della sessione di un utente, il consumo di larghezza di banda e i volumi di trasferimento dati, segnalando questi dati al server RADIUS.

Purple si affida a dati di accounting accurati provenienti dall'hardware Fortinet per popolare i cruscotti di analisi e applicare limiti di tempo o di dati alle sessioni degli ospiti. Deve essere configurato separatamente dall'autenticazione.

FortiAuthenticator (FAC)

Il dispositivo dedicato di Fortinet per la gestione delle identità e degli accessi, utilizzato per l'autenticazione di rete 802.1X del personale interno, il single sign-on e la gestione dei certificati.

I responsabili IT devono spesso garantire che l'implementazione di Purple per gli ospiti non interrompa l'infrastruttura FAC esistente utilizzata dai dipendenti aziendali. La soluzione è sempre la segregazione degli SSID.

Bridge Mode SSID

Una configurazione wireless in cui l'access point funge da bridge trasparente di livello 2, instradando il traffico dei client direttamente su una VLAN specifica della rete cablata anziché eseguire il NAT.

Preferito nelle implementazioni aziendali in quanto consente ai server DHCP core esistenti di gestire gli indirizzi IP, evita i colli di bottiglia DHCP su FortiGate ed espone i veri IP dei client alla piattaforma di analisi Purple.

Post-Authentication Policy

Le regole del firewall e i profili Unified Threat Management (UTM) applicati al traffico di un utente solo dopo che si è autenticato con successo tramite il Captive Portal.

In questa fase i progettisti di rete applicano il filtraggio web, il controllo delle applicazioni e la limitazione della larghezza di banda per proteggere la rete della struttura da attività dannose degli ospiti. Purple gestisce l'identità; FortiGate gestisce l'applicazione delle regole.

IEEE 802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porte, che fornisce un framework per l'autenticazione dei dispositivi che desiderano connettersi a una LAN o WLAN utilizzando metodi EAP come PEAP o EAP-TLS.

Utilizzato per l'accesso sicuro del personale tramite FortiAuthenticator, distinto dall'autenticazione aperta basata su portale utilizzata per gli ospiti tramite Purple. I due metodi di autenticazione coesistono su SSID separati.

RADIUS-as-a-Service

Un'infrastruttura RADIUS ospitata in cloud fornita da Purple, che elimina la necessità per le strutture di implementare e mantenere server RADIUS locali come FreeRADIUS o Windows NPS.

Riduce i costi infrastrutturali per i team IT garantendo al contempo un'elevata disponibilità e un'integrazione fluida con la piattaforma del Captive Portal. Particolarmente prezioso per implementazioni distribuite nel settore retail o hospitality.

FortiGuard

Il servizio in abbonamento di Fortinet per la threat intelligence e il filtraggio dei contenuti basato su cloud, che fornisce filtraggio web in tempo reale, controllo delle applicazioni e firme per la prevenzione delle intrusioni ai dispositivi FortiGate.

Applicato tramite policy firewall post-autenticazione per ispezionare e controllare il traffico Internet degli ospiti dopo che Purple ha autenticato l'utente, proteggendo la rete della struttura e la reputazione dell'IP.

Esempi pratici

Un hotel da 200 camere utilizza attualmente un FortiGate 100F e FortiAP. Utilizzano FortiAuthenticator per l'autenticazione 802.1X del personale. Desiderano implementare Purple WiFi per gli ospiti per acquisire dati di marketing, ma il Direttore IT teme che il portale ospiti possa interferire con il flusso di autenticazione esistente del personale.

Implementare una segregazione assoluta degli SSID. Mantenere l'SSID Staff_WiFi esistente configurato per WPA2-Enterprise, che punta al server RADIUS FortiAuthenticator sulla porta 1812. Creare un nuovo SSID Guest_WiFi separato, configurato come rete aperta con Captive Portal esterno abilitato. Configurare l'URL del Captive Portal in modo che punti alla splash page di Purple e configurare le impostazioni RADIUS per questo specifico SSID in modo che puntino ai server RADIUS cloud di Purple (porta 1812 per l'autenticazione, porta 1813 per l'accounting). Mappare l'SSID Guest su una VLAN isolata con una policy firewall dedicata. Il FortiGate instrada le richieste di autenticazione in base all'SSID di origine, garantendo zero interferenze tra i due sistemi di autenticazione.

Commento dell'esaminatore: Questo approccio sfrutta la capacità del FortiGate di definire i parametri di autenticazione per singolo SSID. Risolve elegantemente il requisito di coesistenza senza richiedere complessi proxy RADIUS o regole di inoltro condizionale su FortiAuthenticator. L'aspetto chiave è che il FortiGate funge da punto di applicazione della policy di traffico per entrambi gli SSID, mentre la verifica dell'identità è delegata alla piattaforma appropriata per ciascun tipo di utente.

Una catena retail sta distribuendo FortiCloud AP in 50 sedi. Desiderano utilizzare Purple WiFi per la guest analytics. Durante i test nel primo sito, l'ospite si connette al WiFi, ma il suo dispositivo mostra una pagina vuota o un errore di timeout della connessione invece della splash page di Purple.

Il team IT deve verificare e aggiornare la configurazione del Walled Garden nelle impostazioni dell'SSID del FortiCloud AP. Il FortiAP sta attualmente bloccando le richieste HTTP/HTTPS del client verso le risorse del portale Purple prima dell'autenticazione. Il team deve inserire l'elenco completo dei domini richiesti da Purple — inclusi gli endpoint CDN e i domini dei provider di social login — nella whitelist del Walled Garden. Deve inoltre verificare che la policy di pre-autenticazione consenta esplicitamente il traffico DNS sulla porta UDP 53, in modo che il dispositivo client possa risolvere l'hostname del portale. Una volta corretto nel primo sito, questa configurazione dovrebbe essere trasformata in un modello e applicata in modo coerente in tutte le 50 sedi.

Commento dell'esaminatore: Le configurazioni errate del Walled Garden sono la causa più frequente in assoluto di malfunzionamento del Captive Portal su tutti i vendor hardware. La soluzione identifica correttamente che il traffico di pre-autenticazione deve essere esplicitamente consentito. Se il dispositivo non può raggiungere i CSS, i JavaScript o le API di social login del portale, il flusso di autenticazione non può avviarsi. Creare un modello per la correzione su tutti i siti previene il ripetersi dello stesso problema su larga scala.

Domande di esercitazione

Q1. La tua implementazione richiede che gli ospiti si autentichino tramite una splash page di Purple. Hai configurato l'SSID, i server RADIUS e l'URL di reindirizzamento. Tuttavia, al momento della connessione, i dispositivi degli ospiti segnalano immediatamente Nessuna Connessione Internet e il Captive Portal non si apre automaticamente. Qual è l'omissione di configurazione più probabile?

Suggerimento: Considera quale tipo di accesso alla rete richiede un dispositivo prima di essersi autenticato completamente sulla rete.

Visualizza risposta modello

Il Walled Garden (allowlist di pre-autenticazione) è probabilmente incompleto o del tutto assente. Il dispositivo ha bisogno dell'autorizzazione esplicita per raggiungere i domini del portale di Purple, le API di login social (Facebook, Google) ed effettuare la risoluzione DNS prima che il FortiGate conceda l'accesso completo. Senza questo, il Captive Portal Assistant del dispositivo non può raggiungere l'URL di destinazione per attivare il pop-up. Inoltre, verifica che il traffico DNS sulla porta UDP 53 sia consentito nella policy di pre-autenticazione.

Q2. Un'installazione all'interno di uno stadio prevede 15.000 connessioni guest simultanee durante gli eventi. Il design attuale propone l'uso del FortiGate in modalità NAT per fornire il DHCP all'SSID guest da una singola subnet /20. Perché questa decisione architetturale potrebbe creare problemi operativi e qual è l'alternativa consigliata?

Suggerimento: Considera il sovraccarico di elaborazione sul firewall FortiGate e le implicazioni del churn dei lease DHCP su larga scala.

Visualizza risposta modello

L'uso della modalità NAT sposta l'intero carico di elaborazione DHCP sul FortiGate, che potrebbe avere difficoltà con il rapido churn dei lease di 15.000 dispositivi transitori che si connettono e si disconnettono durante un evento. Una singola subnet /20 fornisce solo 4.094 indirizzi utilizzabili, il che potrebbe essere insufficiente per le connessioni simultanee di picco. Inoltre, la modalità NAT nasconde l'IP reale del client alla piattaforma Purple, limitando la profondità analitica. L'approccio consigliato è la modalità Bridge, che instrada il traffico guest su una VLAN dedicata gestita da un'infrastruttura DHCP aziendale esterna robusta con pool di indirizzi opportunamente dimensionati.

Q3. Il CISO impone che il traffico WiFi degli ospiti non consumi più del 20% della larghezza di banda internet totale della struttura e che agli ospiti sia impedito l'accesso alle reti di condivisione file peer-to-peer. In quale punto dell'architettura Fortinet-Purple viene applicata questa policy e quali funzionalità Fortinet specifiche sono richieste?

Suggerimento: Determina quale componente gestisce l'ispezione del traffico e l'applicazione delle policy dopo che l'identità dell'utente è stata verificata da Purple.

Visualizza risposta modello

Questa policy viene applicata sull'appliance FortiGate UTM tramite la Post-Authentication Firewall Policy applicata alla VLAN guest. Mentre Purple gestisce l'autenticazione e l'acquisizione dell'identità, il FortiGate rimane responsabile dell'ispezione e dell'applicazione del traffico a livello Layer 7. Il team di rete deve configurare un profilo FortiGuard Application Control per bloccare le categorie P2P (BitTorrent, eDonkey, ecc.) e applicare un profilo Traffic Shaper alla policy guest per imporre il limite del 20% di larghezza di banda. Entrambi i profili devono essere referenziati nella policy del firewall post-autenticazione, non nella policy del walled garden di pre-autenticazione.

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.