SonicWall TZ and SonicWave Integration with Purple WiFi

INTEGRAZIONE DI SONICWALL TZ E SONICWAVE CON PURPLE WIFI Purple WiFi Intelligence Platform - Serie di Briefing Tecnici Durata: circa 10 minuti Voce: inglese britannico, tono da consulente senior - sicuro, colloquiale, autorevole --- SEGMENTO 1: INTRODUZIONE E CONTESTO (circa 1 minuto) Benvenuti alla serie di briefing tecnici di Purple. Oggi analizzeremo una delle integrazioni tecnicamente più complesse nel panorama del WiFi aziendale: i firewall SonicWall TZ e gli access point SonicWave, distribuiti insieme a Purple per l'autenticazione degli ospiti, il controllo degli accessi del personale e l'isolamento della rete multi-tenant. Se siete ingegneri della sicurezza IT o MSP che gestiscono strutture - come hotel, catene di vendita al dettaglio, centri congressi o complessi polifunzionali - questo briefing fa al caso vostro. Analizzeremo rapidamente l'architettura, i passaggi di configurazione e i punti critici in cui le implementazioni potrebbero riscontrare problemi. SonicWall rappresenta una scelta eccellente nel segmento delle PMI e del mercato medio. I firewall della serie TZ sono ampiamente diffusi e gli AP SonicWave si integrano nativamente tramite SonicOS e il Wireless Network Manager. Aggiungendo Purple, si ottiene un livello di guest WiFi gestito in cloud con Captive Portal personalizzati, autenticazione basata su RADIUS e acquisizione di dati di prima parte, il tutto senza dover sostituire l'infrastruttura SonicWall esistente. Entriamo nel vivo dell'architettura. --- SEGMENTO 2: APPROFONDIMENTO TECNICO (circa 5 minuti) Dobbiamo esaminare quattro casi d'uso distinti, ognuno dei quali presenta un percorso di configurazione differente. Guest WiFi con reindirizzamento al Captive Portal. Eccezioni Walled Garden. Staff WiFi sicuro tramite 802.1X. E isolamento multi-tenant tramite chiavi pre-condivise private (PPSK) di SonicWall con instradamento dinamico delle VLAN. Iniziamo con il Guest WiFi e il Captive Portal di SonicWall. SonicOS utilizza un meccanismo chiamato Lightweight Hotspot Messaging (LHM) per gestire i reindirizzamenti dei Captive Portal esterni. Quando un ospite si connette al vostro SSID guest e apre un browser, il SonicWall intercetta la richiesta HTTP e la reindirizza all'URL della pagina di accesso di Purple. L'ospite si autentica sulla piattaforma Purple - tramite social login, e-mail o un semplice clic - e Purple invia un'autorizzazione LHM al SonicWall sulla porta TCP 4043. Il SonicWall abilita quindi l'accesso a Internet per l'indirizzo MAC di quel dispositivo. La configurazione in SonicOS 7.x funziona in questo modo. Per prima cosa, andate su Object, poi su Match Objects e infine su Zones. Modificate la zona assegnata al vostro guest WiFi, solitamente una WLAN o una zona personalizzata. In Guest Services, abilitate sia "Enable Guest Services" che "External Guest Authentication". Successivamente, andate su Configure, Guest Services, General. Impostate il Client Redirect Protocol su HTTP. Inserite l'hostname del portale di Purple come indirizzo del server web (ovvero portal.purple.ai). Impostate il percorso di reindirizzamento sull'URL del Captive Portal specifico per la vostra sede, che Purple fornisce nella dashboard della sede. La porta è la 4043. Nella scheda Auth Pages, imposta l'URL di login sull'URL del portale esterno di Purple. Imposta l'URL di logout se desideri gestire la chiusura della sessione. Nella scheda Advanced, abilita "Allow unauthenticated users to access HTTPS sites" solo se hai la necessità di supportare dispositivi HTTPS-first, tenendo presente che ciò indebolisce l'applicazione del reindirizzamento. Una volta salvato, SonicOS crea automaticamente una policy NAT e una regola di accesso WAN-to-WAN che consente la porta TCP 4043. Non eliminare queste regole generate automaticamente, in quanto sono fondamentali per consentire il completamento dell'handshake LHM. Ora, passiamo alla configurazione del Walled Garden. Prima che un ospite si autentichi, il suo dispositivo deve poter raggiungere determinati domini per consentire il corretto funzionamento della splash page. La piattaforma di Purple dipende dalle proprie reti CDN e dagli endpoint API. I probe di rilevamento del Captive Portal del sistema operativo - captive.apple.com per i dispositivi iOS, connectivitycheck.gstatic.com per Android e msftconnecttest.com per Windows - devono essere tutti inseriti nella whitelist. Se offri il login tramite social, aggiungi accounts.google.com, oauth2.googleapis.com, apis.google.com e gstatic.com per Google. Aggiungi www.facebook.com, graph.facebook.com, connect.facebook.net e il dominio CDN fbcdn.net se offri il login tramite Facebook. In SonicOS, aggiungi questi elementi come oggetti indirizzo FQDN in Object, Match Objects, Addresses. Successivamente, crea regole di accesso nella zona ospiti che consentano ai dispositivi non autenticati di raggiungere questi FQDN. Utilizza la risoluzione DNS dinamica (SonicOS risolve gli oggetti FQDN a intervalli regolari) anziché inserire IP statici, che potrebbero variare con il variare degli intervalli IP delle CDN. Passiamo ora a Secure Staff WiFi con 802.1X. In questo scenario, gli AP SonicWave e il server RADIUS di Purple lavorano in sinergia. L'AP SonicWave funge da autenticatore nello scambio 802.1X. Il supplicant è il dispositivo del dipendente. Il server RADIUS di Purple funge da server di autenticazione. Il metodo EAP da scegliere dipende dall'identity provider in uso. Se utilizzi Microsoft Entra ID o Okta, PEAP-MSCHAPv2 rappresenta la scelta più comune poiché supporta le credenziali composte da nome utente e password. Se hai distribuito certificati di dispositivo (l'approccio consigliato per i dispositivi gestiti), utilizza invece EAP-TLS. In Wireless Network Manager, naviga su Policies, Policy Hierarchy, seleziona la policy del tuo AP e fai clic sulla scheda 802.1X. Inserisci l'indirizzo IP del server RADIUS di Purple, reperibile nella dashboard della tua sede Purple sotto la sezione delle impostazioni RADIUS. La chiave condivisa (shared secret) è generata da Purple e deve corrispondere esattamente su entrambi i lati. Imposta la porta di autenticazione su 1812 e la porta di accounting su 1813. Per le impostazioni EAP, seleziona il metodo corrispondente alla configurazione del tuo identity provider. Sul lato Purple, crea una policy RADIUS per l'autenticazione del personale. Associa l'SSID del personale a una VLAN specifica, ad esempio la VLAN 200 per il personale. Il server RADIUS di Purple restituisce l'assegnazione della VLAN utilizzando tre attributi standard: Tunnel-Type impostato su VLAN, Tunnel-Medium-Type impostato su 802 e Tunnel-Private-Group-ID impostato sull'ID della VLAN come stringa (quindi "200" per la VLAN 200). Il firewall SonicWall e l'AP SonicWave rispettano questi attributi e inseriscono automaticamente il dispositivo del personale autenticato nella VLAN corretta. Ora, il caso d'uso più interessante dal punto di vista dell'architettura: PPSK e isolamento multi-tenant. Le Private Pre-Shared Keys consentono di gestire un singolo SSID e assegnare a ciascun tenant, residente o gruppo di utenti una passphrase univoca. Quando un dispositivo si connette utilizzando una PPSK specifica, l'AP SonicWave invia tale chiave al server RADIUS di Purple per la convalida. Purple cerca la chiave, identifica il tenant o il gruppo di utenti associato e restituisce l'assegnazione della VLAN appropriata tramite l'attributo Tunnel-Private-Group-ID. Il SonicWall indirizza quindi quel dispositivo nella VLAN corretta, completamente isolato dagli altri tenant sullo stesso SSID. Questo è l'Identity-Based Networking in pratica. Non stai gestendo gli SSID per tenant. Stai gestendo le identità per tenant. In uno sviluppo a uso misto con dieci unità commerciali, un singolo SSID trasmette in tutto l'edificio. Ogni tenant riceve la propria PPSK. Ogni PPSK è mappata su una VLAN e una sottorete dedicate. I dispositivi del Tenant A non vedono mai il traffico del Tenant B, anche se condividono gli stessi access point fisici. La configurazione PPSK in SonicOS richiede la modalità PPSK basata su RADIUS sull'SSID. Nel Wireless Network Manager, modifica l'SSID, imposta la modalità di sicurezza su WPA2-Enterprise con PPSK e punta il server RADIUS su Purple. Purple gestisce la tabella di mappatura da PPSK a VLAN in modo centralizzato. Quando aggiungi un nuovo tenant, crei una nuova PPSK in Purple, le assegni una VLAN e la modifica si propaga a tutti gli AP SonicWave in quella sede senza toccare la configurazione del firewall. --- SEGMENTO 3: RACCOMANDAZIONI DI IMPLEMENTAZIONE E ERRORI COMUNI (circa 2 minuti) Permettetemi di indicarvi i tre problemi che si verificano più comunemente nelle distribuzioni SonicWall e Purple. Primo: la porta LHM. La porta TCP 4043 deve essere aperta dalla WAN verso l'interfaccia WAN del SonicWall. Se l'ISP o il firewall a monte bloccano questa porta, l'handshake di autorizzazione LHM non viene mai completato e gli ospiti rimangono bloccati sulla splash page dopo l'autenticazione. Vedono un login riuscito sul lato di Purple, ma il SonicWall non riceve mai il segnale di autorizzazione. Verifica questo aspetto con un test telnet o curl sulla porta 4043 da un IP esterno prima della messa in servizio. Secondo: i tempi di risoluzione degli oggetti FQDN. SonicOS risolve gli oggetti indirizzo FQDN all'avvio e successivamente a un intervallo configurabile. Se aggiungi un nuovo dominio walled garden e la risoluzione non è ancora stata aggiornata, i dispositivi non autenticati non possono raggiungerlo. Forza un aggiornamento manuale dopo aver aggiunto nuovi oggetti FQDN o imposta l'intervallo di aggiornamento DNS su 60 secondi in implementazioni ad alto traffico. Terzo: configurazione delle sottointerfacce VLAN. L'assegnazione dinamica delle VLAN tramite RADIUS funziona solo se le VLAN di destinazione esistono come sottointerfacce sul SonicWall prima dell'autenticazione del primo dispositivo. Se una risposta RADIUS restituisce Tunnel-Private-Group-ID 110 ma la VLAN 110 non esiste come sottointerfaccia sul SonicWall, il dispositivo viene scartato o reindirizzato alla VLAN predefinita. Configura e testa tutte le sottointerfacce VLAN prima di abilitare l'assegnazione VLAN tramite RADIUS. Per gli MSP che gestiscono più sedi, la dashboard cloud di Purple consente di gestire centralmente le policy RADIUS, le tabelle PPSK e le configurazioni della splash page. È possibile applicare le modifiche di configurazione a tutte le sedi da un'unica interfaccia. Questo è il vantaggio operativo di un approccio basato su overlay cloud: l'hardware SonicWall rimane in sede e Purple gestisce il livello di identità e policy sovrastante. --- SEGMENTO 4: DOMANDE E RISPOSTE RAPIDE (circa 1 minuto) Alcune domande che sorgono frequentemente. "Posso utilizzare gli AP SonicWave in modalità standalone con Purple?" Sì, ma si perdono alcune funzionalità. In modalità standalone, gli AP SonicWave gestiscono la propria configurazione RADIUS localmente. È comunque possibile indirizzarli al server RADIUS di Purple per l'autenticazione 802.1X. Tuttavia, per il PPSK con assegnazione dinamica delle VLAN, è necessario il SonicWall TZ come proxy RADIUS o il Wireless Network Manager che gestisce la policy degli AP a livello centrale. "Purple supporta il WPA3 su SonicWave?" Il supporto WPA3 su SonicWave dipende dalla versione del firmware e dal modello di AP. Gli AP della serie SonicWave 600 supportano il WPA3. Per i casi d'uso con Captive Portal, il WPA3 con Opportunistic Wireless Encryption è compatibile con il flusso di reindirizzamento LHM di Purple, ma si consiglia di effettuare dei test sulla versione specifica del firmware prima di procedere con la distribuzione su larga scala. "In che modo Purple gestisce il GDPR per i dati degli ospiti raccolti tramite la splash page?" Purple è certificato ISO 27001, conforme al GDPR e certificato Cyber Essentials. Il consenso viene acquisito sulla splash page tramite caselle di controllo di opt-in configurabili. Purple memorizza i dati di prima parte in conformità con la policy di conservazione dei dati. Gli ospiti possono accedere ai propri dati ed eliminarli tramite il portale self-service di Purple. "Quali attributi RADIUS restituisce Purple per l'assegnazione dinamica delle VLAN?" Tre attributi: Tunnel-Type con valore VLAN, Tunnel-Medium-Type con valore 802 e Tunnel-Private-Group-ID con l'ID della VLAN come stringa. Questi sono gli attributi standard RFC 2868 supportati da SonicOS e SonicWave. --- SEGMENTO 5: RIEPILOGO E PROSSIMI PASSI (circa 1 minuto) Per riassumere. I firewall SonicWall TZ e gli AP SonicWave si integrano con Purple tramite due meccanismi principali: LHM per il reindirizzamento al Captive Portal degli ospiti, e RADIUS per l'autenticazione del personale tramite 802.1X e l'isolamento multi-tenant basato su PPSK. I passaggi chiave per la configurazione sono: abilitare l'autenticazione degli ospiti esterna (External Guest Authentication) sulla zona ospiti, configurare l'URL del portale Purple sulla porta 4043, creare gli oggetti FQDN del walled garden, configurare il RADIUS sulla policy degli AP SonicWave in Wireless Network Manager e creare le sottointerfacce VLAN sul SonicWall prima di abilitare l'assegnazione dinamica delle VLAN. Per le distribuzioni multi-tenant, la tecnologia PPSK con steering VLAN basato su RADIUS rappresenta l'architettura ideale. Un solo SSID, un solo set di AP e un isolamento completo dei tenant tramite l'assegnazione di VLAN basata sull'identità. Se stai pianificando una distribuzione o ne stai esaminando una esistente, il team tecnico di Purple può fornire file di configurazione RADIUS specifici per la tua sede ed elenchi di domini per walled garden. La piattaforma Purple supporta 80.000 sedi attive e ha gestito 440 milioni di accessi nel 2024: i modelli di integrazione trattati oggi sono ampiamente testati su scala globale. Grazie per l'attenzione. La guida scritta completa, contenente le tabelle di configurazione passo-passo e i diagrammi di architettura Mermaid, è disponibile sul sito web di Purple. --- FINE DELLO SCRIPT