Vai al contenuto principale
Italiano

Integrazione di WatchGuard Firebox con Purple WiFi: Guida alla Configurazione e Installazione

Questa guida è un playbook di integrazione passo-passo per responsabili IT e architetti di rete che distribuiscono WatchGuard Firebox e Access Point con Purple. Copre il reindirizzamento del Captive Portal esterno per il Guest WiFi, l'autenticazione sicura 802.1X per lo Staff WiFi e la segmentazione multi-tenant tramite le WatchGuard Private Pre-Shared Keys (PPSK) con instradamento VLAN dinamico, offrendo un'architettura singola e unificata per tutti i livelli di accesso.

📖 8 minuti di lettura📝 1,854 parole🔧 2 esempi pratici3 domande di esercitazione📚 10 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuti al briefing sull'integrazione. Oggi parleremo dell'integrazione di WatchGuard Firebox e Access Point con Purple WiFi. Questo è un playbook tecnico per IT manager, network architect e direttori delle operazioni di sede che devono implementare un'infrastruttura wireless sicura e scalabile. Esamineremo i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e la segmentazione Multi-Tenant tramite le Private Pre-Shared Key di WatchGuard, o PPSK. Passiamo subito al contesto. Quando si gestisce una sede complessa, come uno stadio, un grande centro commerciale o un complesso residenziale, è necessario un controllo preciso su chi accede alla rete e su cosa può fare una volta connesso. È inoltre necessario acquisire dati di prima parte per generare ricavi di marketing. WatchGuard fornisce la piattaforma di sicurezza unificata e l'hardware. Purple fornisce l'overlay cloud, la gestione delle identità e l'analytics. Integrando le due soluzioni, si automatizza il controllo degli accessi basato sull'identità. Si elimina la necessità di gateway separati per ospiti e personale, riducendo le spese hardware e semplificando la gestione. Purple serve attualmente oltre 80.000 sedi attive e ha elaborato 440 milioni di accessi solo nel 2024, quindi la piattaforma è strutturata per gestire la scalabilità di qualsiasi sede vi troviate a gestire. Passiamo all'approfondimento tecnico. L'architettura si basa su protocolli RADIUS standard e reindirizzamento HTTP. Abbiamo tre livelli di accesso principali. Primo, Guest WiFi. Si tratta di un SSID aperto. L'AP WatchGuard intercetta le richieste HTTP e reindirizza l'utente alla splash page ospitata da Purple. Secondo, Staff WiFi. Si tratta di un SSID WPA3-Enterprise sicuro che utilizza 802.1X. I dispositivi si autenticano direttamente con i server RADIUS di Purple utilizzando EAP-TLS o PEAP. Terzo, Multi-Tenant WiFi. Questo utilizza WatchGuard PPSK. Più utenti si connettono a un singolo SSID, ma ognuno utilizza una password univoca. L'AP WatchGuard interroga il server RADIUS di Purple, che assegna dinamicamente una VLAN in base a quella specifica chiave. Quindi, come si configura il Captive Portal per il Guest WiFi? Il primo passo consiste nel configurare il server RADIUS in WatchGuard Cloud o nel Firebox Policy Manager. Si punta il server RADIUS primario all'indirizzo IP di Purple per la propria area geografica. L'autenticazione avviene sulla porta 1812, l'accounting sulla porta 1813. Si inserisce il shared secret fornito da Purple e, cosa fondamentale, ci si assicura che il NAS ID corrisponda all'indirizzo MAC del Firebox o dell'AP. Questo comunica a Purple da quale sede proviene la richiesta. Il secondo passo è il reindirizzamento del Captive Portal stesso. Nelle impostazioni dell'SSID, selezionare Third-Party Hosted Captive Portal con autenticazione RADIUS. Inserire l'URL della splash page di Purple e inserire il shared secret del portale. Si tratta di un segreto specifico generato nella dashboard Purple Analyze, utilizzato per creare un digest HMAC per convalidare le richieste di autenticazione. L'algoritmo HMAC-SHA1 garantisce che il messaggio di autenticazione riuscita proveniente da Purple sia autentico e non sia stato manomesso durante il transito. Il terzo passo, ed è qui che molte implementazioni si bloccano, è il Walled Garden. Se non si configura questo aspetto, il dispositivo non potrà caricare la splash page. È necessario consentire l'accesso a star dot mypurple dot com, api dot mypurple dot com e cdn dot mypurple dot com prima del login. Se si utilizzano login social come Microsoft Entra ID o Google Workspace, è necessario aggiungere anche i domini di questi identity provider. Pensate al Walled Garden come alla sala d'attesa prima dell'autenticazione. Senza di esso, l'ospite non può nemmeno raggiungere la porta d'ingresso. Ora, esaminiamo la segmentazione Multi-Tenant con WatchGuard PPSK. Se si gestisce un centro commerciale con 15 negozi, trasmettere 15 SSID diversi è un approccio inefficiente. Causa interferenze co-canale, intasa lo spazio aereo e crea un sovraccarico di gestione. PPSK risolve questo problema in modo elegante. Si trasmette un solo SSID, ad esempio Centre-Retail. Si abilita la Private Pre-Shared Key nelle impostazioni dell'SSID WatchGuard, il che richiede la versione del firmware 2.6 o successiva sui propri Access Point WatchGuard. In Purple, si creano chiavi univoche, una per ogni tenant. Per isolare il traffico, si utilizza il Dynamic VLAN Assignment. In WatchGuard Cloud, si imposta la VLAN su Dynamic VLAN assegnata da RADIUS. Quando un negozio connette un dispositivo utilizzando la propria chiave specifica, l'AP invia un Access-Request al server RADIUS di Purple. Purple convalida la chiave e restituisce un pacchetto Access-Accept con tre attributi IETF RADIUS fondamentali. Tunnel-Type, che è l'attributo 64, impostato su VLAN. Tunnel-Medium-Type, attributo 65, impostato su 802. E Tunnel-Private-Group-ID, attributo 81, impostato sull'ID della VLAN assegnata, ad esempio VLAN 100 per il Tenant Retail A. L'AP WatchGuard inserisce quindi quel dispositivo nella VLAN 100, completamente isolato dagli altri tenant. Questa è l'Identity-Based Networking all'atto pratico. Parliamo di raccomandazioni per l'implementazione e di errori comuni. In primo luogo, i timeout di sessione. Configurare timeout di sessione rigorosi sia in Purple che in WatchGuard per forzare la riautenticazione. In questo modo i dati di analytics rimangono accurati e si garantisce che le sessioni inattive non consumino larghezza di banda. Impostare gli intervalli di RADIUS Interim-Update a 10 minuti. In secondo luogo, il firmware. È necessario assicurarsi che gli Access Point WatchGuard eseguano la versione del firmware 2.6 o successiva per supportare PPSK. Le versioni precedenti del firmware non supportano questa funzione. Terzo, la randomizzazione del MAC. I dispositivi moderni randomizzano i propri indirizzi MAC per impostazione predefinita. Per la rete Staff WiFi sicura, istruire il personale a disattivare questa funzione per quello specifico SSID per garantire un'autenticazione 802.1X stabile. La randomizzazione del MAC può causare errori di autenticazione e dati di analytics incoerenti. Cosa succede quando qualcosa va storto? Se il Captive Portal non si carica, controllare prima il Walled Garden. Se il dispositivo non riesce a risolvere il DNS o a raggiungere i server Purple, mostrerà un errore di timeout anziché la splash page. Se l'instradamento della VLAN non va a buon fine e il client riceve un IP dalla VLAN errata, controllare i log RADIUS nel portale Purple. Assicurarsi che l'attributo Tunnel-Private-Group-ID sia formattato correttamente come stringa e corrisponda a una VLAN effettivamente esistente sullo switch port connesso all'AP. Se si visualizzano errori di digest HMAC nei log di WatchGuard, significa che la Shared Secret del Captive Portal non corrisponde tra WatchGuard e Purple. Deve essere identica in entrambi i sistemi, carattere per carattere. È il momento di una sessione rapida di domande e risposte. Domanda: Posso utilizzare PPSK e il Captive Portal sullo stesso SSID? Risposta: No. WatchGuard non supporta l'esecuzione simultanea di VLAN dinamiche tramite PPSK e un Captive Portal sullo stesso SSID. È necessario un SSID per il portale e un SSID separato per PPSK. Pianifica l'architettura del tuo SSID di conseguenza. Domanda: Cosa succede se il server RADIUS non restituisce un ID VLAN per un utente PPSK? Risposta: In WatchGuard Cloud, è possibile configurare un'opzione di fallback per i client non assegnati (Unassigned Clients). Puoi indirizzarli su una VLAN non taggata o su una specifica VLAN di quarantena isolata per garantire che non accedano alla rete aziendale. Configura sempre questo fallback per evitare accessi accidentali. In sintesi, l'integrazione di WatchGuard Firebox con Purple offre una piattaforma unificata per la sicurezza, l'identità e l'analisi su reti Guest, Staff e Multi-Tenant. Utilizza il reindirizzamento del captive portal esterno per gli ospiti, l'802.1X per il personale e il PPSK con VLAN dinamiche per gli ambienti multi-tenant. Il ROI è evidente. Riduci i costi hardware consolidando i gateway, semplifichi la gestione tramite un'unica piattaforma cloud e generi entrate acquisendo dati di prima parte attraverso il captive portal di Purple. I passaggi successivi consistono nel verificare l'attuale architettura degli SSID, assicurarsi che il firmware WatchGuard sia alla versione 2.6 o successiva e iniziare a configurare le impostazioni RADIUS nel portale Purple. Grazie per l'attenzione.

header_image.png

Sintesi esecutiva

La distribuzione di un'infrastruttura wireless sicura e scalabile in sedi complesse richiede un'integrazione precisa tra il gateway di sicurezza e l'identity provider. Questa guida descrive in dettaglio l'integrazione di WatchGuard Firebox e dei WatchGuard Access Point con Purple, coprendo tre distinti livelli di accesso: il reindirizzamento al Captive Portal per il Guest WiFi , il WiFi aziendale sicuro per il personale tramite IEEE 802.1X e la segmentazione WiFi multi-tenant tramite le WatchGuard Private Pre-Shared Keys (PPSK).

Combinando la piattaforma di sicurezza unificata di WatchGuard con l'overlay cloud di Purple, è possibile automatizzare il controllo degli accessi basato sull'identità, applicare policy di sicurezza granulari e acquisire dati di prima parte su scala. Purple opera in oltre 80.000 sedi attive e ha gestito 440 milioni di accessi nel 2024 (dati interni Purple). L'integrazione è progettata per essere indipendente dall'hardware: WatchGuard si affianca a Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet nell'elenco degli hardware supportati da Purple. Per una panoramica più ampia sugli standard di sicurezza WiFi aziendali, consulta la nostra guida Enterprise WiFi Security: A Complete Guide for 2026 .

architecture_overview.png

Architettura tecnica

L'integrazione collega l'hardware WatchGuard ai servizi cloud di Purple utilizzando due meccanismi standard: RADIUS (Remote Authentication Dial-In User Service) per l'autenticazione e l'accounting, e il reindirizzamento HTTP per l'erogazione del Captive Portal. L'architettura supporta tre livelli di accesso su un'unica infrastruttura fisica.

Livello di Accesso Tipo di SSID Metodo di Autenticazione Ruolo di Purple
Guest WiFi Aperto Captive Portal esterno + accounting RADIUS Splash page, acquisizione dati, analytics
Staff WiFi WPA3-Enterprise 802.1X (EAP-TLS o PEAP) Server RADIUS, proxy dell'identity provider
Multi-Tenant WiFi WPA2/WPA3 Personal + PPSK PPSK convalidata tramite RADIUS Gestione delle chiavi, assegnazione dinamica della VLAN

Tutti e tre i livelli possono essere eseguiti simultaneamente sulla stessa flotta di Access Point WatchGuard. I modelli WatchGuard Wi-Fi 6 (AP130, AP230W, AP330, AP332CR, AP430CR e AP432) supportano la tecnologia PPSK a partire dalla versione firmware v2.6.

Configurazione del reindirizzamento al Captive Portal per il Guest WiFi

L'integrazione del Captive Portal di WatchGuard reindirizza le richieste HTTP non autenticate alla splash page ospitata da Purple. Questo è il meccanismo principale per acquisire dati di prima parte e applicare i termini di servizio.

Passaggio 1: Configurazione del server RADIUS

In WatchGuard Cloud o Firebox Policy Manager, definisci Purple come server di autenticazione e accounting RADIUS.

  • Server RADIUS primario: Imposta l'indirizzo IP RADIUS di Purple per la tua area geografica (disponibile nel portale Purple in Impostazioni > Integrazione Hardware).
  • Porta di autenticazione: 1812
  • Porta di accounting: 1813
  • Shared secret: Inserisci la chiave segreta univoca fornita nel portale Purple.
  • NAS ID: Imposta questo valore sull'indirizzo MAC del Firebox o dell'AP utilizzando il formato %m. Questo identifica la sede all'interno di Purple e indirizza i dati analitici all'account corretto.
  • Intervallo di accounting: Imposta a 10 minuti per garantire che i dati di sessione vengano inviati alla dashboard di analytics di Purple a intervalli regolari.

Passaggio 2: Impostazioni SSID e Captive Portal

In WatchGuard Cloud, naviga su Configura > Dispositivi > [Tuo AP] > Configurazione Dispositivo > SSID. Crea o modifica l'SSID Guest.

  • Sicurezza: Aperta (nessuna password di pre-autenticazione).
  • Tipo di Captive Portal: Seleziona Captive Portal ospitato da terze parti con autenticazione RADIUS.
  • URL della Splash Page: Inserisci l'URL della splash page di Purple (ad es. https://wifi.mypurple.com/splash). Recuperalo da Purple > Analizza > Portali.
  • Shared secret: Inserisci la chiave segreta del portale presente nella stessa pagina dei Portali di Analisi di Purple. Questa chiave genera il digest HMAC-SHA1 che WatchGuard utilizza per convalidare la risposta di autenticazione riuscita da parte di Purple.

Passaggio 3: Configurazione del Walled Garden

Il Walled Garden definisce a quali domini un dispositivo può accedere prima del completamento dell'autenticazione. Senza questo passaggio, il dispositivo non può caricare la splash page di Purple. Aggiungi le seguenti voci a Siti web a cui gli utenti possono accedere prima del login:

  • *.mypurple.com
  • api.mypurple.com
  • cdn.mypurple.com
  • assets.mypurple.com

Se abiliti gli accessi social o federati tramite Microsoft Entra ID, Okta o Google Workspace, aggiungi i domini dei relativi identity provider (ad es. login.microsoftonline.com, accounts.google.com). Per il contesto legale e di conformità sulle infrastrutture WiFi condivise, consulta la nostra guida sui Requisiti legali e di conformità per le infrastrutture WiFi condivise .

Come funziona il flusso di autenticazione HMAC

Comprendere questo flusso aiuta a diagnosticare rapidamente eventuali errori.

  1. Il dispositivo ospite si connette all'SSID aperto ed effettua una richiesta HTTP.
  2. L'AP WatchGuard intercetta la richiesta e reindirizza il browser all'URL della splash page di Purple, aggiungendo un parametro challenge (una stringa esadecimale casuale) e l'indirizzo MAC del dispositivo.
  3. Purple mostra la splash page. L'ospite compila il modulo di login.
  4. Purple genera un digest HMAC-SHA1 utilizzando la chiave segreta del portale e il valore di challenge.
  5. Purple reindirizza il browser all'URL di login dell'AP WatchGuard, aggiungendo la challenge e il digest.
  6. L'AP WatchGuard convalida il digest utilizzando la stessa chiave segreta. Se corrisponde, l'AP concede l'accesso a Internet e invia un pacchetto di RADIUS Accounting Start a Purple.

WiFi aziendale sicuro per il personale con 802.1X

Per il WiFi del personale, il Captive Portal viene sostituito con lo standard IEEE 802.1X, lo standard aziendale per il controllo degli accessi alla rete basato su porta. Ogni membro del personale si autentica con credenziali univoche o con un certificato, eliminandoeliminando il rischio associato alle password condivise.

In WatchGuard Cloud, configura lo SSID Staff con sicurezza WPA3 Enterprise e punta il Dominio di autenticazione al server RADIUS di Purple. Purple funge da server RADIUS e può fungere da proxy per le richieste di autenticazione verso Microsoft Entra ID, Okta o Google Workspace tramite SAML o LDAP.

Per l'autenticazione basata su certificati (EAP-TLS), distribuisci i certificati client tramite il tuo MDM ai dispositivi gestiti. Per l'autenticazione basata su credenziali (PEAP-MSCHAPv2), gli utenti si autenticano con le proprie credenziali di directory. Purple convalida la richiesta rispetto all'identity provider configurato e restituisce un messaggio di RADIUS Access-Accept o Access-Reject all'AP WatchGuard.

Per una guida dettagliata sulla configurazione di 802.1X su diversi tipi di dispositivi, consulta la nostra guida su Autenticazione 802.1X: proteggere l'accesso alla rete sui dispositivi moderni .

Nota importante sulla randomizzazione MAC: I dispositivi iOS e Android moderni randomizzano i propri indirizzi MAC per impostazione predefinita. Per il WiFi Staff 802.1X, istruisci il personale a disabilitare la randomizzazione MAC per lo SSID Staff. I MAC randomizzati causano log di autenticazione incoerenti e interrompono l'applicazione delle policy basate su MAC.

WiFi Multi-Tenant con WatchGuard PPSK

La trasmissione di uno SSID separato per ciascun tenant in un centro commerciale, spazio di coworking o sviluppo Build-to-Rent (BTR) causa interferenze co-canale e intasa l'ambiente RF. WatchGuard PPSK (Private Pre-Shared Key) - introdotto nel firmware AP v2.6 - risolve questo problema assegnando una password univoca a ciascun utente o tenant su un singolo SSID.

ppsk_vlan_segmentation_chart.png

Passaggio 1: Abilita PPSK sullo SSID

In WatchGuard Cloud, modifica lo SSID di destinazione (ad es. Venue-WiFi).

  • Sicurezza: WPA2 Personal o WPA3 Personal.
  • Autenticazione: Abilita Private Pre-Shared Key (PPSK).
  • Server RADIUS: Punta al server RADIUS di Purple. Purple gestisce l'archivio delle credenziali PPSK e restituisce gli attributi VLAN al momento dell'autenticazione.

Passaggio 2: Configura l'assegnazione dinamica della VLAN

Per isolare il traffico dei tenant, l'AP WatchGuard assegna una VLAN specifica in base alla PPSK utilizzata.

  • Impostazione VLAN: Seleziona VLAN dinamica assegnata da RADIUS.
  • Fallback per client non assegnati: Seleziona una VLAN di quarantena isolata (ad es. VLAN 999) per garantire che i dispositivi che non superano la convalida RADIUS non possano accedere alla rete aziendale.

Requisiti per le VLAN dinamiche sugli Access Point WatchGuard:

  • Firmware AP v2.2 o superiore.
  • Il NAT deve essere disabilitato sullo SSID.
  • Le VLAN dinamiche e il Captive Portal non possono essere eseguiti contemporaneamente sullo stesso SSID.
  • La porta dello switch collegata all'AP deve essere configurata come porta trunk che trasporta tutte le VLAN pertinenti.

Passaggio 3: Attributi RADIUS per l'instradamento VLAN

Quando un utente si connette utilizzando una PPSK, l'AP WatchGuard invia una richiesta RADIUS Access-Request a Purple. Purple convalida la chiave e restituisce un pacchetto Access-Accept contenente tre attributi RADIUS IETF:

Attributo RADIUS Numero Attributo Valore
Tunnel-Type 64 13 (VLAN)
Tunnel-Medium-Type 65 6 (802)
Tunnel-Private-Group-ID 81 ID VLAN (ad es. "100")

L'AP WatchGuard legge l'attributo 81 e inserisce il client nella VLAN corrispondente. In Purple, mappi ogni credenziale PPSK a un ID VLAN e a un ruolo specifici. Questo è il meccanismo alla base delle reti basate sull'identità (Identity-Based Networks): è la credenziale a determinare il segmento di rete, non lo SSID.

Best practice di implementazione

Queste raccomandazioni si applicano alle distribuzioni nei settori hospitality , retail , healthcare e transport .

Timeout di sessione: Configura i timeout di sessione sia in Purple che in WatchGuard per forzare la riautenticazione a intervalli regolari. Ciò mantiene accurati i dati analitici ed evita che le sessioni inattive consumino larghezza di banda. Imposta RADIUS Interim-Update (Acct-Interim-Interval) a 600 secondi (10 minuti).

Gestione del firmware: Assicurati che gli Access Point WatchGuard eseguano il firmware v2.6 o superiore per il supporto PPSK. Utilizza WatchGuard Cloud per pianificare gli aggiornamenti del firmware durante le ore non di punta per evitare interruzioni della copertura.

Conformità PCI DSS: Per gli ambienti retail che elaborano pagamenti con carta, isola i dispositivi POS su una VLAN dedicata (ad es. VLAN 200) utilizzando PPSK. Assicurati che la VLAN del WiFi ospiti non abbia rotte verso la VLAN POS. Questo supporta i requisiti di segmentazione della rete PCI DSS.

GDPR e raccolta dati: Il Captive Portal di Purple utilizza opt-in basati su una scelta consapevole, garantendo che la raccolta dei dati soddisfi i requisiti GDPR. Purple è certificato ISO 27001, GDPR, CCPA e Cyber Essentials. Assicurati che la tua splash page includa un'informativa sulla privacy chiara e un link ai termini di servizio prima dell'inizio dell'acquisizione dei dati.

Risoluzione dei problemi e mitigazione dei rischi

Mancato caricamento del Captive Portal: Il Walled Garden è il primo elemento da controllare. Se il dispositivo non riesce a risolvere il DNS o a raggiungere i server di Purple prima dell'autenticazione, il browser mostra un errore di timeout anziché la splash page. Verifica che tutti i domini Purple siano inclusi nell'elenco del Walled Garden e che le impostazioni DNS di WatchGuard consentano la risoluzione pre-autenticazione.

Errori di convalida del digest HMAC: Se i log di WatchGuard mostrano errori di autenticazione con errori HMAC, il Captive Portal Shared Secret non corrisponde tra WatchGuard e Purple. Deve essere identico in entrambi i sistemi. Rigenera il segreto in Purple e reinseriscilo in WatchGuard Cloud.

Mancato instradamento VLAN: Se un utente PPSK riceve un IP dalla VLAN errata, controlla i log RADIUS nel portale Purple. Verifica che Purple restituisca tutti e tre gli attributi RADIUS IETF. Assicurati che il valore Tunnel-Private-Group-ID sia formattato come stringa e corrisponda a un ID VLAN configurato sulla porta trunk dello switch.

Conflitto tra PPSK e Captive Portal: WatchGuard non supporta le VLAN dinamiche e il Captive Portal sullo stesso SSID. Se hai bisogno di entrambi, utilizza due SSID: uno per il Captive Portal ospiti e unoe per l'accesso multi-tenant PPSK.

Errori di autenticazione 802.1X: Utilizzare lo strumento di acquisizione dei pacchetti disponibile nel firmware WatchGuard AP v2.5 e versioni successive per acquisire il traffico tra l'AP e il server RADIUS. Cercare i pacchetti RADIUS Access-Reject e il codice del motivo nell'attributo del messaggio di risposta.

ROI e impatto aziendale

L'integrazione tra WatchGuard e Purple consolida la sicurezza e l'analisi in un'unica architettura. Un hotel di 200 camere che utilizza questa integrazione elimina la necessità di gateway separati per ospiti e personale, riducendo la spesa per l'hardware di circa il 30% rispetto a una distribuzione multi-gateway (dati interni Purple). Il Captive Portal per Guest WiFi acquisisce dati di prima parte - indirizzi e-mail, informazioni demografiche e frequenza delle visite - che generano ricavi da marketing diretto attraverso il piano Engage di Purple.

Per le sedi multi-tenant, il PPSK elimina i costi operativi di gestione di più SSID. Un centro commerciale che gestisce 15 unità di negozi su un unico SSID riduce l'utilizzo della radio AP e semplifica gli audit di rete. WiFi Analytics di Purple fornisce ai gestori delle sedi dati sul tempo di permanenza, sull'affluenza e sulle visite ripetute - metriche che giustificano l'investimento infrastrutturale ai team finanziari.

Purple mantiene un uptime del 99,999% (dati interni Purple), garantendo che il Captive Portal per Guest WiFi rimanga disponibile anche nei periodi di punta in sedi ad alta densità come stadi e centri congressi.

Definizioni chiave

PPSK (Private Pre-Shared Key)

Una funzionalità di sicurezza che assegna una password univoca a ciascun utente o dispositivo su un SSID WPA2/WPA3 Personal. Introdotta nel firmware AP WatchGuard v2.6.

Utilizzato in ambienti multi-tenant - centri commerciali, spazi di coworking, complessi BTR - per segmentare gli utenti senza richiedere la configurazione del supplicant 802.1X sui dispositivi client.

Dynamic VLAN steering

Il processo di assegnazione di un dispositivo di rete a una Virtual LAN specifica in base agli attributi RADIUS (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) restituiti durante l'autenticazione.

Il meccanismo che isola il traffico di tenant, staff e ospiti sullo stesso access point fisico. Richiede il firmware AP v2.2 o superiore sull'hardware WatchGuard.

Walled Garden

Un elenco di indirizzi IP o domini a cui un utente non autenticato è autorizzato ad accedere prima di completare l'autenticazione del Captive Portal.

Necessario per consentire ai dispositivi degli ospiti di caricare la splash page di Purple e completare i login federati (Microsoft Entra ID, Google Workspace) prima che venga concesso l'accesso completo a Internet.

HMAC digest

Un hash crittografico (HMAC-SHA1) utilizzato per verificare l'integrità e l'autenticità del messaggio di successo dell'autenticazione proveniente dal Captive Portal.

WatchGuard convalida l'HMAC digest utilizzando il Captive Portal Shared Secret. Una mancata corrispondenza tra il segreto in WatchGuard e in Purple causa errori di autenticazione.

RADIUS accounting

Il componente del protocollo RADIUS che traccia l'utilizzo della rete, inclusi l'inizio della sessione, la durata della sessione e il volume di dati trasferiti.

Purple si affida ai pacchetti di RADIUS Accounting provenienti dal WatchGuard Firebox per popolare la dashboard di analisi e applicare i limiti di tempo delle sessioni. Funziona sulla porta 1813.

Captive portal

Una pagina web a cui un dispositivo viene reindirizzato prima di ottenere l'accesso a una rete pubblica. WatchGuard intercetta le richieste HTTP e le reindirizza all'URL del portale esterno configurato.

Il meccanismo principale per l'acquisizione di dati di prima parte e l'applicazione dei termini di servizio sulle reti Guest WiFi. Purple ospita la splash page e gestisce i dati.

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porte. Richiede che ciascun dispositivo si autentichi con credenziali univoche o un certificato prima che venga concesso l'accesso alla rete.

Lo standard aziendale per la sicurezza dello Staff WiFi. Elimina il rischio di password condivise di WPA2 Personal. Richiede un server RADIUS (Purple) e un supplicant sul dispositivo client.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Un metodo di autenticazione 802.1X altamente sicuro che richiede sia un certificato client che un certificato server per la mutua autenticazione.

Utilizzato in ambienti ad alta sicurezza in cui i dispositivi sono gestiti da un MDM. Garantisce che solo i dispositivi di proprietà aziendale con certificati validi possano connettersi all'SSID dello Staff WiFi.

NAS ID (Network Access Server Identifier)

Una stringa inviata nei pacchetti RADIUS che identifica il dispositivo di rete (AP o Firebox) che effettua la richiesta di autenticazione.

Purple utilizza il NAS ID per identificare da quale sede proviene una richiesta RADIUS. In genere viene impostato sull'indirizzo MAC dell'AP utilizzando l'identificatore di formato %m in WatchGuard.

Identity-Based Networking

Un'architettura di rete in cui le policy di accesso, le assegnazioni delle VLAN e i controlli di sicurezza sono determinati dall'identità dell'utente anziché dalla sua porta fisica o dall'SSID.

La combinazione di WatchGuard PPSK, Purple RADIUS e instradamento VLAN dinamico offre l'Identity-Based Networking: la credenziale determina automaticamente il segmento di rete.

Esempi pratici

Una struttura Premier Inn da 200 camere deve fornire un Guest WiFi per gli ospiti, uno Staff WiFi sicuro per i team di front-of-house e back-office e una rete separata per i dispositivi IoT (smart TV, serrature elettroniche). Dispongono di access point WatchGuard AP330 gestiti tramite WatchGuard Cloud e di un gateway Firebox T85. Come dovrebbero progettare le tre reti?

Configurare tre SSID sulla flotta di WatchGuard AP330. SSID 1: 'Premier-Guest' - SSID aperto con reindirizzamento del Captive Portal esterno verso Purple. Configurare il Firebox T85 come client RADIUS puntando ai server di Purple (porta 1812/1813). Aggiungere i domini Walled Garden di Purple. Gli ospiti si autenticano tramite la splash page di Purple utilizzando e-mail, social login o un codice camera. SSID 2: 'Premier-Staff' - SSID WPA3-Enterprise con autenticazione 802.1X. Puntare il dominio di autenticazione al server RADIUS di Purple, che inoltra le credenziali come proxy al tenant Microsoft Entra ID della struttura. Lo staff si autentica con le proprie credenziali aziendali. SSID 3: 'Premier-IoT' - SSID WPA2 Personal con PSK statica, inserito in una VLAN dedicata (es. VLAN 50) con regole di firewall che bloccano l'accesso alle VLAN dello staff e degli ospiti. Il Firebox T85 applica le policy di routing inter-VLAN. Tutti e tre gli SSID trasmettono sullo stesso hardware AP, riducendo i costi di infrastruttura.

Commento dell'esaminatore: Questa architettura segue il principio del privilegio minimo. Ogni livello di accesso ha l'accesso di rete minimo richiesto per la sua funzione. L'SSID IoT utilizza una PSK statica anziché PPSK perché i dispositivi IoT in genere non supportano la rotazione dinamica delle credenziali. La decisione chiave è l'utilizzo di Purple come server RADIUS sia per il livello ospiti che per quello dello staff, centralizzando la gestione delle identità e l'analisi in un'unica piattaforma.

Un centro commerciale che gestisce 12 unità commerciali desidera fornire a ciascun tenant un accesso WiFi isolato utilizzando un unico SSID. Il centro deve inoltre garantire che una credenziale compromessa di un tenant non esponga il traffico degli altri tenant. Utilizzano access point WatchGuard AP230W con firmware v2.6.

Configurare un SSID: 'Centre-Retail' con WPA2 Personal e PPSK abilitato. In Purple, creare 12 credenziali PPSK univoche, una per tenant. Associare ciascuna credenziale a una VLAN dedicata (es. VLAN 101 per il Tenant 1, VLAN 102 per il Tenant 2 e così via). In WatchGuard Cloud, impostare la VLAN dell'SSID su 'Dynamic VLAN assigned by RADIUS' con fallback su una VLAN di quarantena (VLAN 999). Configurare le porte dello switch collegate all'AP230W come porte trunk che trasportano le VLAN 101-112 e 999. Quando il dispositivo di un tenant si connette utilizzando la propria PPSK, l'AP interroga il RADIUS di Purple, riceve l'attributo Tunnel-Private-Group-ID e inserisce il dispositivo nella VLAN corretta. Una credenziale compromessa per il Tenant 3 espone solo la VLAN 103 - tutti gli altri tenant rimangono isolati.

Commento dell'esaminatore: La tecnologia PPSK fornisce l'isolamento per singola credenziale senza la complessità della gestione dei certificati 802.1X. La decisione di progettazione critica è la VLAN di fallback. Senza una VLAN di quarantena configurata, un dispositivo che non supera la convalida RADIUS potrebbe essere inserito nella VLAN non taggata predefinita, ottenendo potenzialmente l'accesso all'infrastruttura di gestione. Configurare sempre il fallback in modo esplicito.

Domande di esercitazione

Q1. Un responsabile IT di un hotel segnala che gli ospiti si connettono al WiFi ma la splash page di Purple non appare mai. Il browser mostra un errore di timeout della connessione. La configurazione di WatchGuard Cloud mostra l'URL della splash page di Purple e il segreto condiviso corretti. Qual è la causa più probabile e come si risolve?

Suggerimento: Considera cosa deve accadere prima che il dispositivo venga autenticato. Quali domini deve raggiungere il dispositivo per caricare la splash page?

Visualizza risposta modello

Il Walled Garden è mancante o incompleto. Il WatchGuard Firebox sta bloccando la richiesta HTTP iniziale del dispositivo verso i server di Purple prima del completamento dell'autenticazione. Aggiungere i domini Purple richiesti all'elenco 'Websites that users can access before login': *.mypurple.com, api.mypurple.com e cdn.mypurple.com. Se gli ospiti utilizzano i social login, aggiungere anche i domini dei provider di identità pertinenti (es. login.microsoftonline.com per Entra ID).

Q2. Si sta configurando l'instradamento VLAN basato su PPSK per uno spazio di coworking con 8 membri. L'autenticazione RADIUS va a buon fine (i log di WatchGuard mostrano Access-Accept), ma ogni dispositivo dei membri riceve un indirizzo IP dalla VLAN 1 (la VLAN di gestione predefinita) invece che dalla VLAN del tenant assegnata. Come si diagnostica e si risolve questo problema?

Suggerimento: L'autenticazione è andata a buon fine, quindi la credenziale è valida. Il problema risiede nella fase di assegnazione della VLAN. Di cosa ha bisogno WatchGuard dal server RADIUS per assegnare una VLAN?

Visualizza risposta modello

Il pacchetto RADIUS Access-Accept proveniente da Purple non contiene o formatta in modo errato gli attributi VLAN. Acquisire il traffico RADIUS sull'AP utilizzando lo strumento di acquisizione pacchetti di WatchGuard e ispezionare il pacchetto Access-Accept. Verificare che Purple restituisca tutti e tre gli attributi IETF: Tunnel-Type (attributo 64, valore 13), Tunnel-Medium-Type (attributo 65, valore 6) e Tunnel-Private-Group-ID (attributo 81, impostato sull'ID della VLAN come stringa, ad es. '101'). Confermare inoltre che la porta dello switch collegata all'AP sia configurata come porta trunk che trasporta le VLAN pertinenti e che l'impostazione della VLAN dell'SSID in WatchGuard Cloud sia impostata su 'Dynamic VLAN assigned by RADIUS' anziché su un ID VLAN statico.

Q3. Un gestore di una sede desidera eseguire un Captive Portal per Guest WiFi (splash page di Purple) e una rete PPSK multi-tenant per 6 unità commerciali sullo stesso access point WatchGuard AP330. Pianifica di configurare entrambe le funzionalità su un unico SSID per semplificare l'ambiente RF. È possibile? In caso contrario, qual è l'architettura corretta?

Suggerimento: Verificare i requisiti delle VLAN dinamiche di WatchGuard. Esistono conflitti tra le funzionalità?

Visualizza risposta modello

Questo non è possibile su un singolo SSID. WatchGuard non supporta contemporaneamente le VLAN dinamiche (richieste per PPSK) e il Captive Portal sullo stesso SSID. L'architettura corretta prevede l'utilizzo di due SSID: SSID 1 ('Venue-Guest') configurato come SSID aperto con reindirizzamento del Captive Portal esterno a Purple per gli ospiti pubblici. SSID 2 ('Venue-Retail') configurato con WPA2 Personal, PPSK abilitato e assegnazione dinamica della VLAN per i 6 tenant commerciali. Entrambi gli SSID trasmettono dallo stesso hardware AP330, pertanto l'impatto RF è limitato a un beacon SSID aggiuntivo. Se la porta dello switch collegata all'AP deve essere una porta trunk che trasporta tutte le VLAN pertinenti per entrambi gli SSID.

Continua a leggere questa serie

Integrazione di CommScope Ruckus con Purple WiFi: Guida alla Configurazione e all'Installazione

Questa guida di riferimento tecnico fornisce un manuale di configurazione autorevole per l'integrazione delle architetture CommScope Ruckus con Purple WiFi. Dettaglia passo dopo passo le implementazioni per i Captive Portal per Guest WiFi, il WiFi aziendale sicuro per il personale tramite 802.1X e l'isolamento di rete Multi-Tenant utilizzando Ruckus Dynamic PSK.

Leggi la guida →

Integrazione degli Access Point Allied Telesis con Purple WiFi

Questa guida fornisce un playbook di configurazione completo per integrare gli access point Allied Telesis serie TQ con Purple WiFi. Copre il reindirizzamento al Captive Portal esterno, l'autenticazione RADIUS 802.1X e lo steering dinamico delle VLAN utilizzando le chiavi PPSK (Private Pre-Shared Keys) per implementazioni multi-tenant sicure.

Leggi la guida →

Integrazione degli Access Point Grandstream GWN con Purple WiFi

Questa guida tecnica di riferimento dettagliata spiega come integrare gli access point Grandstream GWN con la piattaforma di Guest WiFi e analytics di Purple. Copre la configurazione del Captive Portal Grandstream, le impostazioni RADIUS AAA, la configurazione del walled garden, l'autenticazione sicura del personale tramite 802.1X con instradamento VLAN dinamico e la segmentazione PPSK multi-tenant, offrendo una guida pratica e passo dopo passo per MSP e team IT che implementano WiFi per ospiti e personale su larga scala.

Leggi la guida →