WatchGuard Firebox Integration with Purple WiFi: Setup and Configuration Guide

Executive summary

La distribuzione di un'infrastruttura wireless sicura e scalabile in ambienti complessi richiede un'integrazione precisa tra il gateway di sicurezza e l'identity provider. Questa guida descrive in dettaglio l'integrazione di WatchGuard Firebox e degli Access Point WatchGuard con Purple, coprendo tre diversi livelli di accesso: il reindirizzamento del Guest WiFi tramite Captive Portal, lo Staff WiFi sicuro tramite IEEE 802.1X e la segmentazione WiFi multi-tenant tramite le Private Pre-Shared Keys (PPSK) di WatchGuard.

Combinando la piattaforma di sicurezza unificata di WatchGuard con l'overlay cloud di Purple, è possibile automatizzare il controllo degli accessi basato sull'identità, applicare criteri di sicurezza granulari e acquisire dati di prima parte su scala. Purple opera in oltre 80.000 sedi attive e ha elaborato 440 milioni di accessi nel 2024 (dati interni Purple). L'integrazione è indipendente dall'hardware per progettazione: WatchGuard si affianca a Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet nell'elenco degli hardware supportati da Purple. Per una panoramica più ampia sugli standard di sicurezza WiFi aziendali, consulta la nostra guida Sicurezza WiFi aziendale: una guida completa per il 2026 .

Technical architecture

L'integrazione collega l'hardware WatchGuard ai servizi cloud di Purple utilizzando due meccanismi standard: RADIUS (Remote Authentication Dial-In User Service) per l'autenticazione e l'accounting, e il reindirizzamento HTTP per la fornitura del Captive Portal. L'architettura supporta tre livelli di accesso su un'unica infrastruttura fisica.

Tutti e tre i livelli possono essere eseguiti contemporaneamente sulla stessa flotta di Access Point WatchGuard. I modelli WatchGuard Wi-Fi 6 (AP130, AP230W, AP330, AP332CR, AP430CR e AP432) supportano PPSK a partire dalla versione firmware v2.6.

Configuring Guest WiFi captive portal redirection

L'integrazione del Captive Portal di WatchGuard reindirizza le richieste HTTP non autenticate alla splash page ospitata di Purple. Questo è il meccanismo principale per acquisire dati di prima parte e applicare i termini di servizio.

Step 1: RADIUS server configuration

In WatchGuard Cloud o Firebox Policy Manager, definisci Purple come server di autenticazione e accounting RADIUS.

• Server RADIUS primario: imposta l'indirizzo IP RADIUS di Purple per la tua area geografica (disponibile nel portale Purple in Impostazioni > Integrazione hardware).
• Porta di autenticazione: 1812
• Porta di accounting: 1813
• Segreto condiviso: inserisci il segreto univoco fornito nel portale Purple.
• NAS ID: imposta questo valore sull'indirizzo MAC del Firebox o dell'AP utilizzando lo specificatore di formato %m. Questo identifica la sede per Purple e instrada i dati analitici all'account corretto.
• Intervallo di accounting: imposta su 10 minuti per garantire che i dati della sessione fluiscano alla dashboard analitica di Purple a intervalli regolari.

Step 2: SSID and captive portal settings

In WatchGuard Cloud, vai su Configura > Dispositivi > [Il tuo AP] > Configurazione dispositivo > SSID. Crea o modifica l'SSID Guest.

• Sicurezza: Open (nessuna password di pre-autenticazione).
• Tipo di Captive Portal: seleziona Captive Portal ospitato da terze parti con autenticazione RADIUS.
• URL della Splash Page: inserisci l'URL della splash page di Purple (ad es. https://wifi.mypurple.com/splash). Recuperalo da Purple > Analizza > Portali.
• Segreto condiviso: inserisci il segreto condiviso del portale dalla stessa pagina Portali di Analisi di Purple. Questo segreto genera il digest HMAC-SHA1 che WatchGuard utilizza per convalidare la risposta di autenticazione riuscita da Purple.

Step 3: Walled Garden configuration

Il Walled Garden definisce a quali domini un dispositivo può accedere prima del completamento dell'autenticazione. Senza questo, il dispositivo non può caricare la splash page di Purple. Aggiungi le seguenti voci a Siti web a cui gli utenti possono accedere prima dell'accesso:

• *.mypurple.com
• api.mypurple.com
• cdn.mypurple.com
• assets.mypurple.com

Se abiliti gli accessi social o federati tramite Microsoft Entra ID, Okta o Google Workspace, aggiungi i domini dell'identity provider pertinenti (ad es. login.microsoftonline.com, accounts.google.com). Per il contesto legale e di conformità sulle infrastrutture WiFi condivise, consulta la nostra guida sui Requisiti legali e di conformità per le infrastrutture WiFi condivise .

How the HMAC authentication flow works

La comprensione di questo flusso aiuta a diagnosticare rapidamente i problemi.

1. Il dispositivo ospite si connette all'SSID aperto ed effettua una richiesta HTTP.
2. L'AP WatchGuard intercetta la richiesta e reindirizza il browser all'URL della splash page di Purple, aggiungendo un parametro challenge (una stringa esadecimale casuale) e l'indirizzo MAC del dispositivo.
3. Purple mostra la splash page. L'ospite compila il modulo di accesso.
4. Purple genera un digest HMAC-SHA1 utilizzando il segreto condiviso del portale e il valore challenge.
5. Purple reindirizza il browser all'URL di accesso dell'AP WatchGuard, aggiungendo il challenge e il digest.
6. L'AP WatchGuard convalida il digest utilizzando lo stesso segreto condiviso. Se corrisponde, l'AP concede l'accesso a Internet e invia un pacchetto RADIUS Accounting Start a Purple.

Secure Staff WiFi with 802.1X

Per lo Staff WiFi, il Captive Portal viene sostituito con lo standard IEEE 802.1X, lo standard aziendale per il controllo degli accessi alla rete basato su porte. Ogni membro del personale si autentica con credenziali univoche o un certificato, elimeliminando il rischio di password condivise.

In WatchGuard Cloud, configura lo Staff SSID con sicurezza WPA3 Enterprise e reindirizza l'Authentication Domain al server RADIUS di Purple. Purple funge da server RADIUS e può fungere da proxy per le richieste di autenticazione verso Microsoft Entra ID, Okta o Google Workspace tramite SAML o LDAP.

Per l'autenticazione basata su certificati (EAP-TLS), distribuisci i certificati client tramite il tuo MDM ai dispositivi gestiti. Per l'autenticazione basata su credenziali (PEAP-MSCHAPv2), gli utenti si autenticano con le proprie credenziali di directory. Purple convalida la richiesta rispetto all'identity provider configurato e restituisce un RADIUS Access-Accept o Access-Reject all'AP WatchGuard.

Per una guida dettagliata sulla configurazione di 802.1X sui vari tipi di dispositivi, consulta la nostra guida su Autenticazione 802.1X: proteggere l'accesso alla rete sui dispositivi moderni .

Nota importante sulla randomizzazione MAC: I dispositivi moderni iOS e Android randomizzano i propri indirizzi MAC per impostazione predefinita. Per il WiFi Staff 802.1X, istruisci il personale a disabilitare la randomizzazione MAC per lo Staff SSID. I MAC randomizzati causano log di autenticazione incoerenti e interrompono l'applicazione delle policy basate su MAC.

WiFi Multi-Tenant con WatchGuard PPSK

La trasmissione di un SSID separato per ciascun tenant in un centro commerciale, spazio di coworking o sviluppo Build-to-Rent (BTR) causa interferenze co-canale e intasa l'ambiente RF. WatchGuard PPSK (Private Pre-Shared Key) - introdotto nel firmware AP v2.6 - risolve questo problema assegnando una password univoca a ciascun utente o tenant su un singolo SSID.

Passaggio 1: Abilita PPSK sull'SSID

In WatchGuard Cloud, modifica l'SSID di destinazione (ad es., Venue-WiFi).

• Sicurezza: WPA2 Personal o WPA3 Personal.
• Autenticazione: Abilita Private Pre-Shared Key (PPSK).
• Server RADIUS: Reindirizza al server RADIUS di Purple. Purple gestisce l'archivio delle credenziali PPSK e restituisce gli attributi VLAN al momento dell'autenticazione.

Passaggio 2: Configura l'assegnazione dinamica della VLAN

Per isolare il traffico dei tenant, l'AP WatchGuard assegna una VLAN specifica in base al PPSK utilizzato.

• Impostazione VLAN: Seleziona Dynamic VLAN assigned by RADIUS.
• Fallback client non assegnati: Seleziona una VLAN di quarantena isolata (ad es., VLAN 999) per garantire che i dispositivi che non superano la convalida RADIUS non possano accedere alla rete aziendale.

Requisiti per le VLAN dinamiche sugli Access Point WatchGuard:

• Firmware AP v2.2 o superiore.
• Il NAT deve essere disabilitato sull'SSID.
• Le VLAN dinamiche e il Captive Portal non possono essere eseguiti contemporaneamente sullo stesso SSID.
• La porta dello switch collegata all'AP deve essere configurata come porta trunk che trasporta tutte le VLAN pertinenti.

Passaggio 3: Attributi RADIUS per l'instradamento VLAN

Quando un utente si connette utilizzando un PPSK, l'AP WatchGuard invia una richiesta RADIUS Access-Request a Purple. Purple convalida la chiave e restituisce un pacchetto Access-Accept contenente tre attributi RADIUS IETF:

L'AP WatchGuard legge l'attributo 81 e inserisce il client nella VLAN corrispondente. In Purple, mappi ogni credenziale PPSK a un ID VLAN e a un ruolo specifici. Questo è il meccanismo alla base delle reti basate sull'identità (Identity-Based Networks): la credenziale determina il segmento di rete, non l'SSID.

Best practice di implementazione

Queste raccomandazioni si applicano alle distribuzioni nei settori hospitality , retail , healthcare e transport .

Timeout di sessione: Configura i timeout di sessione sia in Purple che in WatchGuard per forzare la riautenticazione a intervalli regolari. Questo mantiene accurati i dati analitici ed evita che le sessioni inattive consumino larghezza di banda. Imposta RADIUS Interim-Update (Acct-Interim-Interval) su 600 secondi (10 minuti).

Gestione del firmware: Assicurati che gli Access Point WatchGuard eseguano la versione firmware v2.6 o superiore per il supporto PPSK. Utilizza WatchGuard Cloud per pianificare gli aggiornamenti del firmware durante le ore non di punta per evitare interruzioni della copertura.

Conformità PCI DSS: Per gli ambienti retail che elaborano pagamenti con carta, isola i dispositivi POS su una VLAN dedicata (ad es., VLAN 200) utilizzando PPSK. Assicurati che la VLAN del WiFi Guest non abbia rotte verso la VLAN del POS. Questo supporta i requisiti di segmentazione della rete PCI DSS.

GDPR e raccolta dati: Il Captive Portal di Purple utilizza opt-in basati su una scelta consapevole, garantendo che la raccolta dei dati soddisfi i requisiti GDPR. Purple è certificata ISO 27001, GDPR, CCPA e Cyber Essentials. Assicurati che la tua splash page includa un'informativa sulla privacy chiara e un link ai termini di servizio prima dell'inizio dell'acquisizione dei dati.

Risoluzione dei problemi e mitigazione dei rischi

Il Captive Portal non si carica: Il Walled Garden è il primo elemento da controllare. Se il dispositivo non riesce a risolvere il DNS o a raggiungere i server di Purple prima dell'autenticazione, il browser mostrerà un errore di timeout anziché la splash page. Verifica che tutti i domini Purple siano inclusi nell'elenco del Walled Garden e che le impostazioni DNS di WatchGuard consentano la risoluzione pre-autenticazione.

Errori di convalida del digest HMAC: Se i log di WatchGuard mostrano errori di autenticazione con errori HMAC, il Captive Portal Shared Secret non corrisponde tra WatchGuard e Purple. Deve essere identico in entrambi i sistemi. Rigenera il segreto in Purple e reinseriscilo in WatchGuard Cloud.

L'instradamento VLAN non riesce: Se un utente PPSK riceve un IP dalla VLAN errata, controlla i log RADIUS nel portale Purple. Verifica che Purple restituisca tutti e tre gli attributi RADIUS IETF. Assicurati che il valore Tunnel-Private-Group-ID sia formattato come stringa e corrisponda a un ID VLAN configurato sulla porta trunk dello switch.

Conflitto tra PPSK e Captive Portal: WatchGuard non supporta le VLAN dinamiche e il Captive Portal sullo stesso SSID. Se hai bisogno di entrambi, utilizza due SSID: uno per il Captive Portal degli ospiti e unoe per l'accesso multi-tenant PPSK.

Errori di autenticazione 802.1X: utilizzare lo strumento di acquisizione dei pacchetti disponibile nel firmware WatchGuard AP v2.5 e versioni successive per acquisire il traffico tra l'AP e il server RADIUS. Cercare i pacchetti RADIUS Access-Reject e il codice del motivo nell'attributo del messaggio di risposta.

ROI e impatto sul business

L'integrazione tra WatchGuard e Purple consolida la sicurezza e l'analisi in un'unica architettura. Un hotel da 200 camere che utilizza questa integrazione elimina la necessità di gateway separati per ospiti e personale, riducendo la spesa per l'hardware di circa il 30% rispetto a un'implementazione multi-gateway (dati interni Purple). Il Captive Portal Guest WiFi acquisisce dati di prima parte (indirizzi e-mail, informazioni demografiche e frequenza delle visite) che generano entrate da marketing diretto attraverso il piano Engage di Purple.

Per le sedi multi-tenant, il PPSK elimina il sovraccarico operativo derivante dalla gestione di più SSID. Un centro commerciale che gestisce 15 unità commerciali su un unico SSID riduce l'utilizzo della radio AP e semplifica gli audit di rete. WiFi Analytics di Purple fornisce ai gestori delle sedi dati sul tempo di permanenza, sul flusso di visitatori e sulle visite ripetute: metriche che giustificano l'investimento infrastrutturale ai team finanziari.

Purple garantisce un uptime del 99,999% (dati interni Purple), assicurando che il Captive Portal Guest WiFi rimanga disponibile anche nei periodi di punta in sedi ad alta densità come stadi e centri congressi.