Vai al contenuto principale
Italiano

Integrazione di Sophos Firewall e Access Point con Purple WiFi

Questa guida descrive in dettaglio l'integrazione tecnica di Sophos Firewall (XG/XGS) e degli access point Sophos AP6/APX con Purple WiFi. Copre il reindirizzamento del Captive Portal esterno, la configurazione dell'autenticazione e dell'accounting RADIUS, la configurazione del Walled Garden, l'802.1X per il WiFi del personale e l'assegnazione dinamica della VLAN tramite Sophos PPSK per una segregazione sicura della rete multi-tenant in contesti ricettivi, retail e del settore pubblico.

📖 9 minuti di lettura📝 2,208 parole🔧 2 esempi pratici4 domande di esercitazione📚 9 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuto al Purple Architecture Briefing. Oggi approfondiremo un'integrazione fondamentale per le reti aziendali: la distribuzione di Purple WiFi insieme all'infrastruttura Sophos, in particolare con gli access point Sophos AP6 e APX e i firewall Sophos XG e XGS. Se sei un IT manager, un network architect o un CTO che gestisce una sede, che si tratti di una catena di negozi, di uno stadio o di un ospedale, questa sessione è progettata per fornirti il piano d'azione concreto per far funzionare queste due potenti piattaforme in perfetta sinergia. Inquadriamo il contesto. Sophos è rinomata per la sua solida postura di sicurezza. I firewall Sophos offrono un'ispezione approfondita dei pacchetti e una sicurezza sincronizzata. Tuttavia, quando si parla di Guest WiFi, non si cerca solo la sicurezza. Si cerca il valore di business. Si desidera acquisire dati demografici, comprendere il comportamento dei visitatori e generare un ritorno sull'investimento di marketing. È qui che entra in gioco Purple. Integrando Purple come Captive Portal esterno, deleghi la gestione complessa dell'identità degli ospiti, del consenso GDPR e dei login social al cloud RADIUS di Purple, lasciando che il firewall Sophos faccia ciò che sa fare meglio: proteggere il perimetro. Quindi, come funziona concretamente sotto il cofano? Entriamo nel dettaglio tecnico. L'architettura si basa su protocolli RADIUS standard e sul reindirizzamento HTTP. Quando un utente della sede si associa al tuo SSID Guest WiFi aperto trasmesso dall'AP Sophos, il firewall Sophos intercetta la richiesta web iniziale. Invece di mostrare una pagina portale di base memorizzata localmente, il firewall reindirizza il client alla splash page ospitata sul cloud di Purple. Ora, ecco il concetto fondamentale: il Walled Garden. Durante questa fase di pre-autenticazione, l'utente non ha accesso a Internet. Tuttavia, deve caricare la grafica del portale e potrebbe dover raggiungere Facebook o Google per effettuare l'accesso. Il Walled Garden è una whitelist rigorosa configurata sul firewall Sophos che consente il traffico verso questi domini specifici. Una volta che l'utente si è autenticato, la piattaforma di Purple invia un messaggio RADIUS Access-Accept al firewall Sophos. Il firewall attiva quindi lo switch, modificando lo stato della sessione in autenticato, e inserisce l'utente nella policy del firewall post-autenticazione. Parliamo più in dettaglio della configurazione RADIUS, perché è qui che la precisione conta. Purple fornisce due set di credenziali RADIUS: uno per l'autenticazione sulla porta 1812 e uno per l'accounting sulla porta 1813. Entrambi devono essere configurati. Il server di accounting non è opzionale. È il meccanismo con cui il firewall Sophos segnala i dati di sessione a Purple, inclusi la durata, la larghezza di banda consumata e gli eventi di terminazione della sessione. Senza dati di accounting precisi, la dashboard di analisi di Purple mostrerà metriche dei visitatori incomplete o imprecise. Imposta l'intervallo provvisorio di accounting a 120 secondi. Questo garantisce un buon equilibrio tra visibilità in tempo reale e sovraccarico di rete. Parliamo ora di uno scenario che si presenta costantemente nelle implementazioni aziendali: il WiFi multi-tenant. Pensiamo a uno spazio di coworking, a un blocco residenziale in affitto o a uno studentato. Ci sono diversi gruppi distinti di utenti che hanno tutti bisogno di accedere al WiFi, ma che devono essere completamente isolati l'uno dall'altro a livello di rete. Trasmettere un SSID separato per ogni tenant non è fattibile. Crea congestione delle frequenze radio ed è un incubo operativo da gestire. La risposta è rappresentata dalle Sophos Private Pre-Shared Keys, o PPSK, combinate con l'assegnazione dinamica delle VLAN. Ecco come funziona. Si configura un singolo SSID sugli access point Sophos AP6. Successivamente, si rilascia una passphrase univoca a ciascun tenant o gruppo di utenti. Quando un dispositivo si connette e presenta la sua chiave univoca, l'AP Sophos autentica tale chiave tramite RADIUS. Il server RADIUS restituisce un attributo VLAN ID specifico nel messaggio Access-Accept. L'AP tagga dinamicamente il traffico dell'utente con quel VLAN ID, inserendolo nel segmento di rete dedicato. L'Identity-Based Networking in azione. Un solo SSID, più reti isolate, zero sovraccarico di frequenze radio dovuto a trasmissioni aggiuntive. Questa architettura presenta anche un notevole vantaggio in termini di conformità. In base ai requisiti PCI DSS, le reti WiFi per gli ospiti devono essere completamente isolate da qualsiasi segmento di rete che gestisca i dati dei titolari di carta. Posizionando l'SSID guest su una VLAN dedicata e applicando rigide policy di firewall sul Sophos Firewall per bloccare tutte le destinazioni dello spazio IP privato RFC 1918, si soddisfa questo requisito in modo pulito. Purple, che opera in 80.000 sedi attive e ha elaborato 440 milioni di accessi nel 2024, è certificata ISO 27001, conforme al GDPR e certificata Cyber Essentials, estendendo così la conformità anche al livello di identità. Passiamo ora alle raccomandazioni per l'implementazione. Quando si configura questo sistema, è necessario prendere una decisione cruciale in merito all'assegnazione degli IP: modalità NAT rispetto alla modalità Bridge. Se si sta implementando una piccola filiale di vendita al dettaglio con circa cinquanta o cento connessioni guest simultanee, la modalità NAT è perfettamente adeguata. L'AP Sophos distribuisce gli indirizzi DHCP agli ospiti da una sottorete interna dedicata e li traduce all'uscita del traffico. È semplice e richiede un'infrastruttura aggiuntiva minima. Ma se si sta implementando un ambiente ad alta densità, ad esempio un hotel con cinquecento camere, un centro congressi con più eventi simultanei o uno stadio, è necessario utilizzare la modalità Bridge. In modalità Bridge, l'AP Sophos immette il traffico guest direttamente su una VLAN dedicata, consentendo ai server DHCP aziendali principali di gestire il carico. In questo modo si evita che l'access point o il firewall diventino un collo di bottiglia DHCP durante i picchi di connessione. La modalità Bridge garantisce inoltre che la piattaforma Purple veda il vero indirizzo IP del client, il che è fondamentale per un'analisi accurata e per la risoluzione dei problemi. Parliamo ora della sequenza di configurazione passo-passo, perché in questo caso l'ordine è importante. Inizia nel portale Purple. Recupera le credenziali del tuo server RADIUS: gli indirizzi IP del server, i segreti condivisi, l'URL del Captive Portal e l'URL di reindirizzamento. Questi sono i quattro elementi informativi fondamentali di cui hai bisogno prima di toccare la configurazione di Sophos. Quindi, passa a Sophos Central o all'interfaccia di gestione del tuo firewall locale. Definisci innanzitutto i tuoi server RADIUS, autenticazione sulla porta 1812, accounting sulla porta 1813. Successivamente, configura il tuo Walled Garden sotto Hotspot Settings. Poi, crea il tuo SSID per gli ospiti, imposta la crittografia su Open, abilita il Captive Portal e inserisci l'URL del portale Purple. Infine, definisci le regole del firewall post-autenticazione. Nello specifico per il Walled Garden, devi consentire come minimo i seguenti domini: il dominio del portale Purple, in genere region1.purpleportal.net; venuewifi.com; e qualsiasi dominio di social login che i tuoi ospiti utilizzeranno, come facebook.com, accounts.google.com e i relativi domini CDN. Se utilizzi Microsoft Entra ID o Okta per la federazione delle identità, anche questi domini devono essere inclusi. Quali sono le insidie? Dove falliscono solitamente le implementazioni? Il problema principale, senza dubbio, è un Walled Garden incompleto. Se un ospite si connette e visualizza una schermata vuota o un timeout di connessione, quasi sempre significa che il firewall Sophos sta bloccando l'accesso ai file CSS di Purple, alle risorse JavaScript o alle API di social login prima dell'autenticazione. Devi assicurarti che ogni dominio richiesto sia esplicitamente consentito in quella policy di pre-autenticazione. Purple fornisce un elenco completo dei domini richiesti. Utilizzalo interamente. Inoltre, non dimenticare il DNS. Ai client non autenticati deve essere consentito di risolvere le query DNS, altrimenti il reindirizzamento semplicemente non funzionerà. Il dispositivo deve risolvere l'hostname del portale Purple prima ancora di poter tentare di caricare la pagina. La seconda insidia più comune riguarda gli errori di certificato. Assicurati che il tuo firewall Sophos presenti un certificato SSL valido e pubblicamente attendibile per l'interfaccia di reindirizzamento. Se utilizzi il certificato autofirmato predefinito, i moderni iPhone e i dispositivi Android mostreranno significativi avvisi di sicurezza e i tuoi ospiti abbandoneranno completamente la connessione. Questo è un problema particolarmente acuto negli ambienti hospitality, dove l'esperienza dell'ospite è fondamentale. La terza insidia è rappresentata dagli errori di timeout RADIUS. Se il portale si carica ma l'autenticazione fallisce costantemente, verifica che i segreti condivisi corrispondano esattamente tra la configurazione Sophos e il portale Purple. Anche la differenza di un singolo carattere farà fallire silenziosamente tutti i tentativi di autenticazione. Verifica inoltre che nessun firewall intermedio stia bloccando le porte UDP 1812 e 1813 tra la tua infrastruttura Sophos e i server cloud RADIUS di Purple. Concludiamo con una sessione di domande e risposte rapide basata sulle domande più comuni che riceviamo dai clienti. Domanda uno: l'utilizzo di Purple bypassa le policy di sicurezza del mio Sophos Firewall? Assolutamente no. Purple gestisce l'autenticazione e l'acquisizione dell'identità. Una volta autenticato, tutto il traffico degli ospiti passa attraverso la policy post-autenticazione del tuo Sophos Firewall. È proprio qui che si applica il filtraggio web, si blocca il traffico peer-to-peer e si modella la larghezza di banda. Pensala in questo modo: la pre-autenticazione è permissiva per consentire l'accesso; la post-autenticazione è restrittiva per proteggere la rete. Domanda due: devo distribuire server RADIUS locali? No. Purple fornisce RADIUS-as-a-Service. Configuri gli AP Sophos in modo che puntino direttamente agli indirizzi IP RADIUS cloud di Purple. Non è necessario distribuire e mantenere FreeRADIUS o Windows NPS per la rete ospiti. Domanda tre: posso utilizzare Purple sia con Sophos AP6 che con la serie precedente APX? Sì. L'approccio di integrazione è coerente in entrambe le generazioni di hardware. Tieni presente, tuttavia, che Sophos ha annunciato una data di fine ciclo di vita per la serie APX fissata al 31 dicembre 2027. Se stai pianificando una nuova implementazione, investi nella serie AP6, che supporta il Wi-Fi 6 e il Wi-Fi 6E. Domanda quattro: e per quanto riguarda la conformità al GDPR? Purple acquisisce il consenso esplicito a livello di portale, presentando i tuoi termini e condizioni e le informative sul trattamento dei dati prima dell'autenticazione. Questi dati di consenso sono memorizzati all'interno della piattaforma Purple e sono verificabili. Il ruolo del Sophos Firewall è puramente di applicazione delle regole di rete. Per riassumere i punti chiave del briefing di oggi. Primo: segrega assolutamente i tuoi SSID Staff e Guest. Staff su 802.1X con WPA2-Enterprise. Guest su Purple con un Captive Portal esterno. Secondo: configura meticolosamente il tuo Walled Garden. È il punto di errore più comune e l'elemento di configurazione pre-autenticazione più importante. Terzo: utilizza la modalità Bridge per qualsiasi implementazione ad alta densità per evitare colli di bottiglia DHCP e garantire un'accurata visibilità dell'IP del client. Quarto: configura sia i server di autenticazione che quelli di accounting RADIUS. L'accounting non è opzionale se desideri analisi significative. Quinto: sfrutta Sophos PPSK per ambienti multi-tenant per abilitare l'Identity-Based Networking con assegnazione dinamica della VLAN. Un unico SSID, più reti isolate. Sesto: applica rigorosamente le policy di sicurezza Sophos post-autenticazione. Il filtraggio web, il controllo delle applicazioni e il bandwidth shaping dovrebbero essere tutti applicati nella policy del firewall post-autenticazione. Eseguendo correttamente questa integrazione, trasformi il Guest WiFi da un centro di costo in una risorsa conforme, sicura e in grado di generare ricavi. La combinazione della profondità di sicurezza di Sophos e della marketing intelligence di Purple è davvero potente per qualsiasi operatore di location che desideri prendere sul serio la propria esperienza ospite e la propria strategia sui dati. Grazie per aver ascoltato il Purple Architecture Briefing. Se desideri discutere dei tuoi requisiti di implementazione specifici, visita purple.ai per parlare con il team delle soluzioni.

header_image.png

Executive summary

Se gestisci un'infrastruttura Sophos e hai la necessità di distribuire un sistema di Guest WiFi in grado di acquisire dati di prima parte, questa guida fornisce i passaggi esatti per la configurazione. Purple si integra con Sophos Firewall (serie XG e XGS) e con gli access point Sophos AP6/APX come Captive Portal esterno, delegando la gestione dell'identità degli ospiti, l'acquisizione del consenso GDPR e la gestione del social login al cloud RADIUS di Purple. Il tuo Sophos Firewall continua a eseguire la deep packet inspection e la gestione unificata delle minacce (UTM) su tutto il traffico. Il risultato: una rete conforme e segmentata in cui gli ospiti si autenticano tramite una splash page personalizzata con il brand Purple, il personale si connette tramite 802.1X con WPA2-Enterprise e gli ambienti multi-tenant utilizzano le Sophos Private Pre-Shared Keys (PPSK) per l'assegnazione dinamica delle VLAN. Purple opera in oltre 80.000 sedi attive e ha elaborato 440 milioni di accessi nel 2024 (dati interni Purple, 2024). È certificato ISO 27001, conforme al GDPR e certificato Cyber Essentials.

Approfondimento tecnico

Come funziona il reindirizzamento

L'integrazione utilizza protocolli RADIUS standard e il reindirizzamento HTTP. Quando un utente presente nella sede si associa all'SSID aperto del Guest WiFi su un access point Sophos AP6 o APX, il Sophos Firewall intercetta la prima richiesta HTTP proveniente da quel dispositivo non autenticato. Invece di mostrare una pagina di login memorizzata localmente, il firewall emette un reindirizzamento 302 all'URL della splash page ospitata sul cloud di Purple, solitamente nel formato https://region1.purpleportal.net/access/.

Durante questa fase di pre-autenticazione, il dispositivo si trova all'interno di un Walled Garden: una whitelist rigorosa di domini che i dispositivi non autenticati possono raggiungere. Questa whitelist deve includere le risorse del portale di Purple, eventuali provider di social login (Facebook, Google, LinkedIn) e tutti gli endpoint di federazione dell'identità utilizzati, come Microsoft Entra ID o Okta. Una volta che l'utente ha completato l'autenticazione sulla splash page di Purple, il cloud RADIUS di Purple invia un messaggio RADIUS Access-Accept al Sophos Firewall. Il firewall aggiorna lo stato della sessione come autenticato e applica la policy di sicurezza post-autenticazione.

Autenticazione e accounting RADIUS

Purple fornisce il servizio RADIUS-as-a-Service. Non è necessario distribuire FreeRADIUS, Windows NPS o qualsiasi altra infrastruttura RADIUS locale per la rete ospiti. Configura il Sophos Firewall in modo che punti direttamente agli indirizzi IP del cloud RADIUS di Purple.

Sono richieste due funzioni RADIUS:

Funzione Protocollo Porta Scopo
Autenticazione UDP 1812 Convalida le credenziali degli ospiti e restituisce Access-Accept o Access-Reject
Accounting UDP 1813 Segnala l'avvio della sessione, gli aggiornamenti intermedi e l'arresto della sessione a Purple
L'accounting non è opzionale. È il meccanismo attraverso il quale il Sophos Firewall segnala a Purple la durata della sessione, la larghezza di banda consumata e gli eventi di terminazione della sessione. Senza i dati di accounting, la tua dashboard di WiFi Analytics mostrerà metriche dei visitatori incomplete. Imposta l'intervallo provvisorio di accounting (accounting interim interval) a 120 secondi per un buon equilibrio tra visibilità in tempo reale e sovraccarico di rete.

Il segreto condiviso RADIUS deve corrispondere esattamente tra la configurazione Sophos e il portale Purple. Una differenza di un singolo carattere causa errori di autenticazione invisibili.

Configurazione del Walled Garden

Il Walled Garden è l'elemento di configurazione pre-autenticazione più importante e la causa più comune di errori di implementazione. Configuralo in Wireless > Hotspot Settings sul Sophos Firewall.

È necessario consentire come minimo i seguenti domini:

Categoria Domini da consentire
Core Purple region1.purpleportal.net, venuewifi.com, cloudfront.net
Pagamenti (se applicabile) stripe.com
Widget meteo (se utilizzato) openweathermap.org
Accesso con Facebook facebook.com, fbcdn.net, connect.facebook.net, akamaihd.net
Accesso con Google accounts.google.com, googleapis.com, gstatic.com
Accesso con LinkedIn linkedin.com, licdn.net, licdn.com
Microsoft Entra ID login.microsoftonline.com, login.microsoft.com

Consenti sempre la risoluzione DNS (porta UDP 53) per i client non autenticati. Senza DNS, i dispositivi non possono risolvere l'hostname del portale Purple e il reindirizzamento fallisce prima ancora di iniziare.

802.1X per il WiFi del personale

Per il WiFi del personale, utilizza 802.1X (controllo dell'accesso alla rete basato su porta IEEE 802.1X) con WPA2-Enterprise o WPA3-Enterprise. Configura il Sophos AP per utilizzare EAP-TLS (basato su certificato) o PEAP-MSCHAPv2 (nome utente/password) rispetto al tuo server RADIUS interno o a un provider di identità cloud come Microsoft Entra ID.

Il server RADIUS restituisce gli attributi di assegnazione VLAN per posizionare i dispositivi del personale autenticati sulla VLAN interna corretta. Questo è lo stesso meccanismo di VLAN dinamica descritto di seguito per PPSK, applicato all'autenticazione enterprise.

Mantieni l'SSID e la VLAN del WiFi del personale completamente separati dall'SSID e dalla VLAN del Guest WiFi. Non collegare mai il traffico guest alle sottoreti di gestione o aziendali. Questa separazione è un requisito PCI DSS se un qualsiasi segmento di rete gestisce dati di titolari di carta.

Sophos PPSK e assegnazione dinamica della VLAN per ambienti multi-tenant

Negli ambienti multi-tenant (spazi di coworking, complessi residenziali build-to-rent, alloggi per studenti o concessioni commerciali) è necessario isolare i diversi gruppi di utenti a livello di rete senza trasmettere un SSID separato per ciascun tenant. La trasmissione di più SSID aumenta il sovraccarico delle frequenze radio e complica la gestione.

I punti di accesso Sophos AP6 supportano la tecnologia PPSK (Private Pre-Shared Key), nota anche come Identity PSK o PSK per utente. La tecnologia PPSK consente a un singolo SSID di accettare più passphrase univoche, ciascuna mappata su una VLAN specifica tramite attributi RADIUS.

Il flusso di assegnazione dinamica della VLAN funziona come segue:

  1. Un residente o un membro si connette al singolo SSID condiviso e inserisce la propria PPSK univoca.
  2. L'AP Sophos invia una richiesta RADIUS Access-Request al server RADIUS configurato, includendo la PPSK come credenziale.
  3. Il server RADIUS convalida la PPSK e restituisce un messaggio di Access-Accept con i seguenti attributi VLAN:
    • Tunnel-Type = VLAN (valore 13)
    • Tunnel-Medium-Type = IEEE-802 (valore 6)
    • Tunnel-Private-Group-ID = `` (ad es., 100)
  4. L'AP Sophos tagga il traffico del dispositivo con l'ID VLAN restituito, inserendolo nel segmento di rete isolato corretto.

Questo è l'Identity-Based Networking: un unico SSID, più VLAN isolate, guidate dalla credenziale univoca dell'utente.

ppsk_vlan_diagram.png

architecture_overview.png

Guida all'implementazione

Passaggio 1: Recuperare le credenziali Purple

Accedere al portale Purple. Passare a Management > Locations > [La tua sede] > Hardware > Add Hardware. Selezionare Sophos come tipo di hardware. Il portale mostrerà:

  • Indirizzi IP del server RADIUS primario e secondario
  • Shared secret RADIUS
  • URL del Captive Portal (ad es., https://region1.purpleportal.net/access/)
  • URL di reindirizzamento (ad es., https://region1.purpleportal.net/access/?res=success)
  • Elenco completo dei domini Walled Garden

Prendere nota di tutti e quattro i valori prima di procedere.

Passaggio 2: Configurare i server RADIUS su Sophos Firewall

Passare a Authentication > Servers su Sophos Firewall (oppure a Sophos Central > Wireless > SSIDs > [SSID] > Advanced Settings per le configurazioni gestite da AP).

  1. Fare clic su Add per creare una nuova voce di server RADIUS.
  2. Impostare Server IP sull'indirizzo IP del server RADIUS Purple primario.
  3. Impostare Authentication port su 1812.
  4. Impostare Accounting port su 1813.
  5. Inserire lo Shared secret ottenuto dal portale Purple.
  6. Ripetere la procedura per il server RADIUS Purple secondario.

Per i Sophos AP6 gestiti tramite Sophos Central, configurare il server RADIUS nella sezione Advanced Settings > Backend authentication dell'SSID.

Passaggio 3: Configurare il Walled Garden

Passare a Wireless > Hotspot Settings su Sophos Firewall.

  1. Sotto Walled garden, fare clic su Add new item.
  2. Aggiungere ciascun dominio presente nell'elenco fornito da Purple.
  3. Assicurarsi che il protocollo DNS (porta UDP 53) sia consentito per i client non autenticati tramite una regola firewall di pre-autenticazione.
  4. Fare clic su Apply.

Passaggio 4: Creare l'SSID guest

Passare a Wireless > Wireless Settings > SSIDs (o Sophos Central > Wireless > SSIDs).

  1. Fare clic su Add SSID.
  2. Impostare Encryption mode su Open (nessuna chiave precondivisa).
  3. In Advanced Settings > Captive portal, abilitare il Captive Portal.
  4. Selezionare Backend authentication come tipo di autenticazione.
  5. Inserire l'IP del server RADIUS Purple, la porta 1812 e la chiave segreta condivisa (shared secret).
  6. Impostare l'Redirect URL sull'URL della splash page di Purple.
  7. Assegnare l'SSID a una VLAN guest dedicata (es. VLAN 100).
  8. Abilitare Client isolation per impedire il traffico tra dispositivi guest.

Passaggio 5: Creare le regole del firewall post-autenticazione

Passare a Rules and policies > Firewall rules.

  1. Creare una regola che consenta il traffico dalla VLAN guest alla zona WAN.
  2. Applicare il filtraggio web per bloccare le categorie dannose.
  3. Applicare il traffic shaping per limitare la larghezza di banda per utente (consigliato: 10 Mbps in download, 5 Mbps in upload per le reti guest).
  4. Bloccare esplicitamente tutto il traffico dalla VLAN guest a qualsiasi VLAN interna contenente sistemi POS, PMS o risorse aziendali.

Passaggio 6: Configurare il PPSK per ambienti multi-tenant (opzionale)

  1. In Sophos Central, creare un SSID WPA2-Personal.
  2. Abilitare RADIUS VLAN assignment nelle impostazioni avanzate dell'SSID.
  3. Configurare il server RADIUS per accettare le credenziali PPSK e restituire gli attributi VLAN appropriati per gruppo di utenti.
  4. Rilasciare PPSK univoci a ciascun gruppo di tenant tramite il portale Purple o l'interfaccia di gestione RADIUS.

Best practice

Segregare il traffico a Livello 2 e Livello 3. Posizionare sempre il WiFi guest su una VLAN dedicata. Creare regole firewall esplicite per bloccare tutto il traffico dalla VLAN guest verso lo spazio di indirizzamento RFC 1918 sui segmenti interni. Ciò soddisfa i requisiti di segmentazione della rete PCI DSS e impedisce i movimenti laterali in caso di compromissione di un dispositivo guest.

Utilizzare la modalità Bridge per implementazioni ad alta densità. In ambienti con più di 200 connessioni guest simultanee (hotel, stadi, centri congressi), configurare l'SSID guest in modalità Bridge. In questo modo il traffico viene instradato su una VLAN gestita da server DHCP aziendali, evitando che l'AP Sophos o il firewall diventino un collo di bottiglia per il DHCP. Un hotel da 500 camere al 70% di occupazione con due dispositivi per ospite genera circa 700 lease DHCP simultanei. Il DHCP aziendale gestisce questo carico; il DHCP integrato nell'AP no.

Utilizzare un certificato SSL pubblicamente attendibile. Configurare il Sophos Firewall per presentare un certificato firmato da una CA pubblica per l'interfaccia di reindirizzamento. I certificati autofirmati generano avvisi di sicurezza del browser su iOS e Android, aumentando i tassi di abbandono del portale. Questo è particolarmente importante negli ambienti del settore hospitality , dove l'esperienza degli ospiti influisce direttamente sui punteggi delle recensioni. Configura sia l'autenticazione che l'accounting RADIUS. L'autenticazione (porta 1812) concede l'accesso. L'accounting (porta 1813) traccia l'utilizzo. Entrambi sono necessari per il corretto funzionamento degli analytics di Purple. I dati di accounting alimentano le metriche sulla durata delle sessioni, i report sulla larghezza di banda e l'identificazione dei visitatori ricorrenti nella dashboard di Purple.

Pianifica il tuo Walled Garden prima del go-live. Testa il portale su almeno un dispositivo iOS e un dispositivo Android prima di distribuirlo in produzione. Le due piattaforme hanno meccanismi di rilevamento del Captive Portal diversi e potrebbero comportarsi in modo differente con configurazioni incomplete del Walled Garden. Utilizza un packet capture sul firewall Sophos per identificare eventuali domini bloccati durante la fase di pre-autenticazione.

Applica Sophos Synchronized Security post-autenticazione. Gli access point Sophos AP6 supportano Synchronized Security, che si integra con Sophos Endpoint Protection. Se un dispositivo ospite viene identificato come compromesso (stato Security Heartbeat rosso), l'AP può limitare automaticamente tale dispositivo al Walled Garden, isolandolo da internet senza intervento manuale. Questo è un controllo di sicurezza significativo per gli ambienti healthcare e retail .

Per un contesto più ampio sulla sicurezza WiFi aziendale, consulta la nostra guida su Enterprise WiFi Security: A Complete Guide for 2026 .

Risoluzione dei problemi e mitigazione dei rischi

Sintomo: La pagina del portale non si carica (schermata vuota o timeout) Causa: Walled Garden incompleto. Il firewall Sophos blocca l'accesso agli asset CSS/JS di Purple o alle API di social login prima dell'autenticazione. Risoluzione: Abilita il packet capture sul firewall Sophos per la VLAN ospiti. Identifica i domini bloccati. Aggiungili al Walled Garden. Verifica che il DNS sia consentito prima dell'autenticazione.

Sintomo: Il portale si carica ma l'autenticazione fallisce sempre Causa: Mancata corrispondenza del segreto condiviso RADIUS, oppure le porte UDP 1812/1813 sono bloccate. Risoluzione: Verifica il segreto condiviso carattere per carattere sia nella configurazione Sophos che nel portale Purple. Usa nmap -sU -p 1812,1813 dalla CLI di Sophos per confermare la raggiungibilità UDP.

Sintomo: Gli analytics mostrano una durata della sessione pari a zero e nessun dato sulla larghezza di banda Causa: L'accounting RADIUS non è configurato o è bloccato. Risoluzione: Verifica che il server di accounting sia configurato sulla porta 1813 con il segreto condiviso corretto. Controlla che nessuna ACL intermedia blocchi la porta UDP 1813 in uscita.

Sintomo: Avviso di certificato sui dispositivi ospiti Causa: Il firewall Sophos utilizza un certificato autofirmato per l'interfaccia di reindirizzamento. Risoluzione: Carica un certificato firmato da una CA pubblica (Let's Encrypt, DigiCert o simile) sul firewall Sophos e assegnalo come certificato della pagina di login in Wireless > Hotspot Settings.

Sintomo: Gli utenti PPSK finiscono sulla VLAN errata Causa: Gli attributi VLAN di RADIUS non sono configurati correttamente, oppure l'AP Sophos non accetta l'assegnazione dinamica della VLAN. Risoluzione: verificare che il server RADIUS restituisca Tunnel-Type = 13, Tunnel-Medium-Type = 6 e Tunnel-Private-Group-ID = . Confermare che l'assegnazione VLAN RADIUS sia abilitata sull'SSID in Sophos Central.

ROI e impatto aziendale

L'implementazione di Purple sull'infrastruttura Sophos trasforma il WiFi per gli ospiti da un costo di utilità a un asset di dati proprietari. Il caso aziendale è semplice.

Un hotel di 200 camere con un'occupazione del 70% e un soggiorno medio di 1,8 notti genererà circa 50.000 profili di ospiti verificati all'anno attraverso il portale di opt-in a scelta consapevole di Purple. Ogni profilo include nome, indirizzo email, dati demografici e cronologia delle visite. Questi dati alimentano direttamente le campagne di email marketing, determinando aumenti misurabili delle prenotazioni dirette e dei ricavi Food and Beverage.

Per gli ambienti retail , l'analisi di Purple identifica il tempo di permanenza, la frequenza delle visite ripetute e i periodi di picco dell'affluenza. Una catena di vendita al dettaglio con 50 punti vendita può utilizzare questi dati per ottimizzare il personale, regolare la tempistica delle promozioni e misurare l'impatto degli eventi in negozio sulla frequenza delle visite.

Per gli operatori del settore pubblico e dei trasporti , Purple fornisce registri di consenso GDPR verificabili e supporta la conformità con le normative NIS (Network and Information Systems) del Regno Unito per gli operatori di servizi essenziali.

L'SLA di uptime del 99,999% di Purple garantisce che il servizio di autenticazione degli ospiti non diventi un singolo punto di vulnerabilità per la rete. L'architettura cloud RADIUS significa che non vi è alcun server di autenticazione on-premises da mantenere, aggiornare o sostituire.

Per una guida all'integrazione correlata, consultare la guida Integrazione di Alta Labs con Purple WiFi: configurazione e configurazione del Captive Portal .

Definizioni chiave

Captive portal

Una pagina web che intercetta la richiesta HTTP iniziale di un utente e richiede un'interazione (autenticazione, consenso o pagamento) prima di concedere l'accesso a Internet.

L'interfaccia principale per il Guest WiFi. Purple ospita il captive portal nel cloud; il Sophos Firewall reindirizza ad esso i client non autenticati.

Walled Garden

Una lista di autorizzazione (allowlist) rigorosa di domini e indirizzi IP a cui i dispositivi non autenticati possono accedere prima di completare l'autenticazione sul portale.

Deve includere i domini del portale di Purple, i provider di social login e tutti gli endpoint di federazione delle identità. Un Walled Garden incompleto è la causa più comune di mancato caricamento del portale.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che fornisce autenticazione, autorizzazione e contabilità centralizzate per gli utenti che si connettono a una rete. Utilizza la porta UDP 1812 per l'autenticazione e la porta 1813 per l'accounting.

Purple fornisce il servizio RADIUS-as-a-Service. Il Sophos Firewall e gli AP comunicano con il cloud RADIUS di Purple per autenticare gli ospiti e segnalare i dati di sessione.

RADIUS accounting

La componente di RADIUS che traccia le metriche di utilizzo della rete, inclusi l'ora di inizio della sessione, la durata, i byte trasferiti e il motivo della chiusura della sessione.

Essenziale per la WiFi Analytics di Purple. Senza i dati di accounting sulla porta 1813, le metriche sulla durata della sessione e sulla larghezza di banda non sono disponibili nella dashboard di Purple.

PPSK (Private Pre-Shared Key)

Una funzionalità di sicurezza WiFi che consente a un singolo SSID di accettare più passphrase univoche, ciascuna tipicamente mappata su una VLAN o policy specifica tramite RADIUS.

Utilizzato nelle distribuzioni WiFi multi-tenant per fornire l'isolamento della rete per singolo utente o per gruppo senza trasmettere più SSID. Sophos AP6 supporta PPSK con assegnazione VLAN dinamica.

Assegnazione VLAN dinamica

Un processo in cui il server RADIUS indica all'access point di inserire un utente autenticato in una VLAN specifica restituendo gli attributi Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID nel messaggio Access-Accept.

Abilita le reti basate sull'identità (Identity-Based Networks). Gli utenti vengono inseriti nel segmento di rete corretto in base alle loro credenziali, indipendentemente dall'AP fisico a cui si connettono.

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta. Fornisce un framework di autenticazione per i dispositivi che si connettono a una LAN o WLAN, richiedendo un supplicant (client), un authenticator (AP o switch) e un server di autenticazione (RADIUS).

Lo standard aziendale per il Staff WiFi. Sophos AP6 supporta lo standard 802.1X con WPA2-Enterprise e WPA3-Enterprise, utilizzando EAP-TLS o PEAP-MSCHAPv2.

Bridge mode

Una configurazione di rete in cui l'access point trasmette il traffico del client wireless direttamente sulla LAN cablata come frame VLAN taggati, senza eseguire NAT o DHCP locale.

Consigliata per distribuzioni ad alta densità. Delega il DHCP ai server aziendali e garantisce che Purple riceva l'indirizzo IP reale del client per analisi accurate.

Dati di prima parte

Informazioni raccolte direttamente dagli utenti attraverso i propri canali, di proprietà dell'utente stesso, non condivise con o provenienti da terze parti.

Il valore aziendale principale di Purple Guest WiFi. Acquisiti tramite opt-in basati su una scelta consapevole nel captive portal, questi dati sono conformi al GDPR e indipendenti dai cookie di terze parti.

Esempi pratici

Un hotel da 300 camere ha distribuito access point Sophos AP6 gestiti tramite Sophos Central. Richiedono che gli ospiti si autentichino tramite una splash page personalizzata con il brand Purple e che la rete ospiti sia completamente isolata dal sistema di gestione della proprietà (PMS) sulla VLAN 20 per mantenere la conformità PCI DSS. L'hotel prevede fino a 600 connessioni ospiti simultanee nei periodi di picco.

  1. In Sophos Central, creare un SSID dedicato agli ospiti denominato "Hotel Guest WiFi" con crittografia aperta. 2. Assegnare l'SSID alla VLAN 100 in modalità Bridge per gestire il carico DHCP di 600 dispositivi tramite il server DHCP della rete principale. 3. Abilitare il Captive Portal in Impostazioni avanzate e selezionare l'autenticazione Backend. 4. Inserire l'IP del server RADIUS Purple sulla porta 1812 e il segreto condiviso dal portale Purple. 5. Configurare il Walled Garden per consentire region1.purpleportal.net, venuewifi.com e tutti i domini di login social. 6. Sul Sophos Firewall, creare una regola di firewall che consenta il traffico dalla VLAN 100 alla zona WAN con filtro web applicato. 7. Creare una regola di blocco esplicito (DENY) per tutto il traffico dalla VLAN 100 alla VLAN 20 (rete PMS). 8. Configurare l'accounting RADIUS sulla porta 1813 con un intervallo provvisorio di 120 secondi. 9. Caricare un certificato SSL pubblicamente attendibile sul Sophos Firewall per l'interfaccia di reindirizzamento. 10. Testare su iOS e Android prima del lancio effettivo.
Commento dell'esaminatore: La modalità Bridge è essenziale in questo caso. Con 600 connessioni simultanee, il DHCP integrato dell'AP verrebbe sovraccaricato. La regola di blocco esplicito (DENY) dalla VLAN 100 alla VLAN 20 soddisfa i requisiti di segmentazione della rete PCI DSS. Il certificato pubblicamente attendibile impedisce a iOS 14+ e Android 10+ di visualizzare avvisi di sicurezza che aumenterebbero l'abbandono del portale. La configurazione dell'accounting non è negoziabile per il corretto funzionamento degli analytics di Purple.

Un operatore di spazi di coworking gestisce 15 aziende clienti dislocate su tre piani. Ogni azienda richiede il proprio segmento di rete isolato. Attualmente trasmettono 15 SSID separati, causando una significativa congestione RF. Desiderano consolidare il tutto in un unico SSID utilizzando access point Sophos AP6, mantenendo al contempo un rigoroso isolamento di Livello 2 tra i clienti.

  1. Assegnare una VLAN univoca a ciascuna azienda cliente (es. VLAN 200-214). 2. In Sophos Central, creare un singolo SSID WPA2-Personal denominato "CoWork WiFi". 3. Abilitare l'assegnazione della VLAN RADIUS sull'SSID. 4. Configurare il server RADIUS (il cloud RADIUS di Purple o una directory integrata) per memorizzare una PPSK univoca per cliente e restituire gli attributi VLAN appropriati all'autenticazione. 5. Rilasciare a ciascuna azienda cliente la propria PPSK univoca tramite il portale Purple. 6. Sul Sophos Firewall, configurare regole di firewall inter-VLAN per bloccare tutto il traffico tra le VLAN dei clienti. Consentire a ciascuna VLAN l'accesso solo a Internet. 7. Per i clienti che richiedono servizi condivisi (es. una stampante condivisa), creare regole di autorizzazione esplicite solo per quelle risorse specifiche.
Commento dell'esaminatore: Il consolidamento da 15 SSID a uno solo elimina il sovraccarico RF di 15 beacon frame per AP al secondo. La tecnologia PPSK con assegnazione dinamica della VLAN fornisce lo stesso isolamento di SSID separati a livello di rete. Il rischio principale è la disponibilità del server RADIUS: se il server RADIUS non è raggiungibile, nessun cliente può connettersi. Per mitigare questo problema, distribuire un server RADIUS Purple secondario e configurarlo come fallback in Sophos Central.

Domande di esercitazione

Q1. Una catena di negozi ha distribuito access point Sophos AP6 in 50 punti vendita. Gli acquirenti segnalano che la splash page di Purple impiega più di 30 secondi a caricarsi o va del tutto in timeout. Il team IT ha confermato che l'autenticazione RADIUS è configurata correttamente. Qual è la causa più probabile e come si risolve?

Suggerimento: Considera cosa accade prima che l'utente raggiunga la fase di autenticazione.

Visualizza risposta modello

Il Walled Garden è incompleto. Il Sophos Firewall blocca l'accesso alle risorse CSS e JavaScript di Purple, o ai domini CDN dei social login, prima dell'autenticazione. Abilita un packet capture sul Sophos Firewall per la VLAN guest e filtra il traffico bloccato dai client non autenticati. Identifica i domini bloccati e aggiungili al Walled Garden in Wireless > Hotspot Settings. Verifica inoltre che il DNS (porta UDP 53) sia consentito prima dell'autenticazione. Senza la risoluzione DNS, il dispositivo non può risolvere l'hostname del portale Purple e il reindirizzamento fallisce immediatamente.

Q2. Stai progettando una distribuzione Guest WiFi per uno stadio da 5.000 posti utilizzando access point Sophos AP6. La struttura prevede 4.000 connessioni simultanee di tifosi durante gli eventi. Dovresti configurare l'SSID guest in modalità NAT o in modalità Bridge? Giustifica la tua decisione.

Suggerimento: Considera il carico DHCP generato da 4.000 connessioni simultanee.

Visualizza risposta modello

Modalità Bridge. Con 4.000 connessioni simultanee, la modalità NAT sovraccaricherebbe il server DHCP integrato degli AP Sophos o del firewall. In modalità Bridge, gli AP instradano il traffico guest direttamente su una VLAN dedicata e i server DHCP aziendali gestiscono l'assegnazione degli indirizzi IP. Questo previene l'esaurimento del DHCP e garantisce che la piattaforma Purple riceva l'indirizzo IP reale del client per analisi accurate. La modalità Bridge offre inoltre un throughput più elevato rispetto alla modalità NAT, il che è fondamentale per un ambiente di eventi ad alta densità. Configura uno scope DHCP sulla rete principale con indirizzi sufficienti per il carico di picco previsto, più un margine del 20%.

Q3. La tua dashboard di Purple Analytics mostra il numero corretto di accessi, ma tutte le durate delle sessioni sono riportate come zero minuti e l'utilizzo della larghezza di banda non viene tracciato. Il Captive Portal funziona correttamente e gli ospiti possono navigare in internet. Quale elemento di configurazione manca?

Suggerimento: L'autenticazione concede l'accesso. Cosa traccia l'utilizzo dopo che l'accesso è stato concesso?

Visualizza risposta modello

L'accounting RADIUS non è configurato o viene bloccato. L'autenticazione sulla porta 1812 concede l'accesso a Internet, ma l'accounting sulla porta 1813 è il meccanismo che segnala la durata della sessione e i dati sulla larghezza di banda a Purple. Controlla la configurazione del Sophos Firewall per confermare che il server di accounting sia impostato sull'IP RADIUS di Purple sulla porta 1813 con il secret condiviso corretto. Verifica poi che la porta UDP 1813 non sia bloccata da alcuna ACL intermedia o regola del firewall tra il Sophos Firewall e i server RADIUS cloud di Purple. Utilizza un packet capture per confermare che i pacchetti di accounting escano dal Sophos Firewall e ricevano risposte.

Q4. Un operatore di spazi di coworking desidera utilizzare Sophos PPSK per fornire a ciascuna delle sue 20 aziende clienti un segmento di rete isolato. Dopo la configurazione, tutti gli utenti PPSK si connettono correttamente ma finiscono tutti sulla stessa VLAN, indipendentemente dal PPSK utilizzato. Qual è la causa più probabile?

Suggerimento: Pensa a cosa deve restituire il server RADIUS e a cosa deve accettare l'AP.

Visualizza risposta modello

Ci sono due cause probabili. Primo, il server RADIUS non restituisce gli attributi VLAN corretti nel messaggio Access-Accept. Verifica che il server RADIUS restituisca Tunnel-Type = 13 (VLAN), Tunnel-Medium-Type = 6 (IEEE-802) e Tunnel-Private-Group-ID = l'ID VLAN corretto per ciascun PPSK. Secondo, l'assegnazione della VLAN RADIUS potrebbe non essere abilitata sull'SSID in Sophos Central. Vai su Advanced Settings dell'SSID e conferma che l'assegnazione VLAN RADIUS sia attivata. Utilizza un log di debug RADIUS o un packet capture per ispezionare i messaggi Access-Accept e confermare che gli attributi VLAN siano presenti e formattati correttamente.

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Leggi la guida →

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Leggi la guida →

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.

Leggi la guida →