SonicWall e guest WiFi: configurazione del captive portal con Purple

INTEGRAZIONE DI SONICWALL TZ E SONICWAVE CON PURPLE WIFI Purple WiFi Intelligence Platform - Serie di briefing tecnici Durata: circa 10 minuti Voce: inglese britannico, tono da consulente senior - fiducioso, colloquiale, autorevole --- SEGMENTO 1: INTRODUZIONE E CONTESTO (circa 1 minuto) Benvenuti alla serie di briefing tecnici di Purple. Oggi parleremo di una delle integrazioni tecnicamente più complesse nel settore del WiFi aziendale: i firewall SonicWall TZ e gli access point SonicWave, distribuiti insieme a Purple per l'autenticazione degli ospiti, il controllo degli accessi del personale e l'isolamento della rete multi-tenant. Se siete ingegneri della sicurezza informatica o MSP che gestiscono sedi - hotel, catene di negozi, centri congressi o complessi multiuso - questo briefing è per voi. Esamineremo rapidamente l'architettura, i passaggi di configurazione e i punti in cui le distribuzioni possono riscontrare problemi. SonicWall è una scelta forte nel settore delle PMI e del mercato medio. I firewall della serie TZ sono ampiamente distribuiti e gli AP SonicWave si integrano nativamente tramite SonicOS e il Wireless Network Manager. Quando si aggiunge Purple, si ottiene un livello di WiFi per gli ospiti gestito in cloud con splash page personalizzate, autenticazione basata su RADIUS e acquisizione di dati di prima parte - il tutto senza sostituire l'infrastruttura SonicWall esistente. Entriamo nel dettaglio dell'architettura. --- SEGMENTO 2: APPROFONDIMENTO TECNICO (circa 5 minuti) Ci sono quattro casi d'uso distinti da coprire qui, e ognuno ha un percorso di configurazione diverso. WiFi per gli ospiti con reindirizzamento al Captive Portal. Eccezioni Walled Garden. WiFi sicuro per il personale tramite 802.1X. E isolamento multi-tenant utilizzando le chiavi precondivise private di SonicWall - PPSK - con instradamento VLAN dinamico. Iniziamo con il WiFi per gli ospiti e il Captive Portal di SonicWall. SonicOS utilizza un meccanismo chiamato Lightweight Hotspot Messaging - LHM - per gestire i reindirizzamenti dei Captive Portal esterni. Quando un ospite si connette al SSID dell'ospite e apre un browser, il SonicWall intercetta la richiesta HTTP e la reindirizza all'URL della splash page di Purple. L'ospite si autentica sulla piattaforma di Purple - tramite social login, e-mail o un semplice clic - e Purple invia un'autorizzazione LHM al SonicWall sulla porta TCP 4043. Il SonicWall apre quindi l'accesso a Internet per l'indirizzo MAC di quel dispositivo. La configurazione in SonicOS 7.x funziona in questo modo. Innanzitutto, passare a Object, quindi Match Objects, infine Zones. Modificare la zona assegnata al WiFi dei propri ospiti - in genere una WLAN o una zona personalizzata. In Guest Services, abilitare sia "Enable Guest Services" che "External Guest Authentication". Quindi andare su Configure, Guest Services, General. Impostare il Client Redirect Protocol su HTTP. Inserire l'hostname del portale di Purple come indirizzo del server web - che è portal.purple.ai. Impostare il percorso di reindirizzamento sull'URL della splash page specifica della propria sede, fornito da Purple nel pannello di controllo della sede. La porta è 4043. Nella scheda Auth Pages, imposta l'URL di login sull'URL del portale esterno di Purple. Imposta l'URL di logout se desideri gestire la chiusura della sessione. Nella scheda Advanced, abilita "Allow unauthenticated users to access HTTPS sites" solo se hai la necessità di supportare dispositivi HTTPS-first - ma tieni presente che questo riduce l'efficacia del reindirizzamento. Una volta salvato, SonicOS crea automaticamente una regola NAT e una regola di accesso WAN-to-WAN che consente la porta TCP 4043. Non eliminare queste regole generate automaticamente. Sono fondamentali per consentire il completamento dell'handshake LHM. Ora, configurazione del Walled Garden. Prima che un ospite si autentichi, il suo dispositivo deve raggiungere determinati domini per consentire il corretto funzionamento della pagina di benvenuto. La piattaforma di Purple dipende dai propri endpoint CDN e API. I controlli di rilevamento del Captive Portal del sistema operativo - captive.apple.com per i dispositivi iOS, connectivitycheck.gstatic.com per Android e msftconnecttest.com per Windows - devono essere tutti inseriti nella whitelist. Se offri il login social, aggiungi accounts.google.com, oauth2.googleapis.com, apis.google.com e gstatic.com per Google. Aggiungi www.facebook.com, graph.facebook.com, connect.facebook.net e il dominio CDN fbcdn.net se offri il login con Facebook. In SonicOS, aggiungi questi elementi come oggetti indirizzo FQDN in Object, Match Objects, Addresses. Quindi crea regole di accesso nella zona ospiti che consentano ai dispositivi non autenticati di raggiungere questi FQDN. Utilizza la risoluzione DNS dinamica - SonicOS risolve gli oggetti FQDN a intervalli regolari - anziché inserimenti IP statici, che tendono a variare con il mutare degli intervalli IP delle CDN. Passiamo ora al Secure Staff WiFi con 802.1X. In questo scenario, gli AP SonicWave e il server RADIUS di Purple lavorano insieme. L'AP SonicWave funge da autenticatore nello scambio 802.1X. Il richiedente (supplicant) è il dispositivo del personale. Il server RADIUS di Purple è il server di autenticazione. Il metodo EAP scelto dipende dal provider di identità utilizzato. Se utilizzi Microsoft Entra ID o Okta, PEAP-MSCHAPv2 rappresenta la scelta più comune poiché funziona con credenziali nome utente e password. Se hai implementato i certificati di dispositivo - che è l'approccio consigliato per i dispositivi gestiti - utilizza EAP-TLS. Nel Wireless Network Manager, naviga su Policies, Policy Hierarchy, seleziona la policy del tuo AP e fai clic sulla scheda 802.1X. Inserisci l'indirizzo IP del server RADIUS di Purple - disponibile nella dashboard della tua sede Purple sotto la sezione delle impostazioni RADIUS. La chiave segreta condivisa è generata da Purple e deve corrispondere esattamente su entrambi i lati. Imposta la porta di autenticazione su 1812 e la porta di accounting su 1813. Per le impostazioni EAP, seleziona il metodo corrispondente alla configurazione del tuo provider di identità. Lato Purple, crea una policy RADIUS per l'autenticazione del personale. Associa l'SSID del personale a una VLAN specifica - ad esempio, VLAN 200 per il personale. Il server RADIUS di Purple restituisce l'assegnazione della VLAN utilizzando tre attributi standard: Tunnel-Type impostato su VLAN, Tunnel-Medium-Type impostato su 802 e Tunnel-Private-Group-ID impostato sull'ID della VLAN come stringa - quindi "200" per VLAN 200. Il firewall SonicWall e l'AP SonicWave rispettano questi attributi e posizionano automaticamente il dispositivo del personale autenticato nella VLAN corretta. Ora, il caso d'uso più interessante dal punto di vista architetturale: PPSK e isolamento multi-tenant. Le Private Pre-Shared Keys ti consentono di gestire un singolo SSID e di assegnare a ciascun tenant, residente o gruppo di utenti una passphrase univoca. Quando un dispositivo si connette utilizzando una specifica PPSK, l'AP SonicWave invia tale chiave al server RADIUS di Purple per la convalida. Purple cerca la chiave, identifica il tenant o il gruppo di utenti associato e restituisce l'assegnazione della VLAN appropriata tramite l'attributo Tunnel-Private-Group-ID. SonicWall indirizza quindi quel dispositivo nella VLAN corretta - completamente isolato dagli altri tenant sullo stesso SSID. Questo è l'Identity-Based Networking in pratica. Non stai gestendo SSID per tenant. Stai gestendo identità per tenant. In un complesso a uso misto con dieci unità commerciali, un unico SSID trasmette in tutto l'edificio. Ogni tenant riceve la propria PPSK. Ciascuna PPSK è mappata su una VLAN e una sottorete dedicate. I dispositivi del Tenant A non vedono mai il traffico del Tenant B, anche se condividono gli stessi access point fisici. La configurazione PPSK in SonicOS richiede la modalità PPSK basata su RADIUS sull'SSID. Nel Wireless Network Manager, modifica l'SSID, imposta la modalità di sicurezza su WPA2-Enterprise con PPSK e indirizza il server RADIUS verso Purple. Purple autorizza centralmente la tabella di mappatura da PPSK a VLAN. Quando aggiungi un nuovo tenant, crei una nuova PPSK in Purple, le assegni una VLAN e la modifica si propaga a tutti gli AP SonicWave in quella sede senza toccare la configurazione del firewall. --- SEGMENTO 3: RACCOMANDAZIONI DI IMPLEMENTAZIONE ED ERRORI COMUNI (circa 2 minuti) Lascia che ti illustri le tre cose che più comunemente vanno storte nelle implementazioni SonicWall e Purple. Primo: la porta LHM. La porta TCP 4043 deve essere aperta dalla WAN verso l'interfaccia WAN di SonicWall. Se il tuo ISP o il firewall a monte bloccano questa porta, l'handshake di autorizzazione LHM non viene mai completato e gli ospiti rimangono bloccati sulla splash page dopo l'autenticazione. Vedono un login riuscito sul lato di Purple, ma SonicWall non riceve mai il segnale di autorizzazione. Verifica questo aspetto con un controllo telnet o curl sulla porta 4043 da un IP esterno prima della messa in servizio. Secondo: i tempi di risoluzione degli oggetti FQDN. SonicOS risolve gli oggetti indirizzo FQDN all'avvio e successivamente a intervalli configurabili. Se aggiungi un nuovo dominio walled garden e la risoluzione non è ancora stata aggiornata, i dispositivi non autenticati non possono raggiungerlo. Forza un aggiornamento manuale dopo aver aggiunto nuovi oggetti FQDN o imposta l'intervallo di aggiornamento DNS su 60 secondi in implementazioni ad alto traffico. Terzo: configurazione delle sottointerfacce VLAN. L'assegnazione dinamica delle VLAN tramite RADIUS funziona solo se le VLAN di destinazione esistono come sottointerfacce su SonicWall prima che il primo dispositivo si autentichi. Se una risposta RADIUS restituisce Tunnel-Private-Group-ID 110 ma la VLAN 110 non esiste come sottointerfaccia su SonicWall, il dispositivo viene disconnesso o reindirizzato alla VLAN predefinita. Configura e testa tutte le sottointerfacce VLAN prima di abilitare l'assegnazione delle VLAN tramite RADIUS. Per gli MSP che gestiscono più sedi, la dashboard cloud di Purple consente di gestire centralmente le policy RADIUS, le tabelle PPSK e le configurazioni delle splash page. È possibile inviare le modifiche di configurazione a tutte le sedi da un'unica interfaccia. Questo è il vantaggio operativo di un approccio con overlay cloud - l'hardware SonicWall rimane in sede e Purple gestisce il livello di identità e policy superiore. - SEGMENTO 4: DOMANDE E RISPOSTE RAPIDE (circa 1 minuto) Alcune domande che sorgono regolarmente. "Posso utilizzare gli AP SonicWave in modalità standalone con Purple?" Sì, ma si perdono alcune funzionalità. In modalità standalone, gli AP SonicWave gestiscono la propria configurazione RADIUS localmente. È comunque possibile puntarli verso il server RADIUS di Purple per l'802.1X. Ma per PPSK con assegnazione dinamica delle VLAN, è necessario il SonicWall TZ come proxy RADIUS o il Wireless Network Manager per gestire centralmente la policy degli AP. "Purple supporta WPA3 su SonicWave?" Il supporto WPA3 su SonicWave dipende dalla versione del firmware e dal modello di AP. Gli AP della serie SonicWave 600 supportano WPA3. Per i casi d'uso del Captive Portal, WPA3 con Opportunistic Wireless Encryption è compatibile con il flusso di reindirizzamento LHM di Purple, ma si consiglia di effettuare test sulla versione specifica del firmware prima di procedere con la distribuzione su larga scala. "In che modo Purple gestisce il GDPR per i dati degli ospiti raccolti tramite la splash page?" Purple è certificato ISO 27001, conforme al GDPR e certificato Cyber Essentials. Il consenso viene acquisito sulla splash page tramite caselle di controllo opt-in configurabili. Purple memorizza i dati di prima parte in linea con la tua policy di conservazione dei dati. Gli ospiti possono accedere e cancellare i propri dati tramite il portale self-service di Purple. "Quali attributi RADIUS restituisce Purple per l'assegnazione dinamica delle VLAN?" Tre attributi: Tunnel-Type con valore VLAN, Tunnel-Medium-Type con valore 802 e Tunnel-Private-Group-ID con l'ID della VLAN come stringa. Questi sono gli attributi standard RFC 2868 supportati da SonicOS e SonicWave. - SEGMENTO 5: RIEPILOGO E PROSSIMI PASSI (circa 1 minuto) Per riassumere. I firewall SonicWall TZ e gli AP SonicWave si integrano con Purple tramite due meccanismi principali: LHM per il reindirizzamento del Captive Portal degli ospiti, e RADIUS per l'autenticazione del personale 802.1X e l'isolamento multi-tenant basato su PPSK. I passaggi chiave per la configurazione sono: abilitare l'autenticazione degli ospiti esterni (External Guest Authentication) sulla zona ospiti, configurare l'URL del portale Purple sulla porta 4043, creare gli oggetti FQDN per il walled garden, configurare RADIUS sulla policy degli AP SonicWave in Wireless Network Manager e creare le sottointerfacce VLAN su SonicWall prima di abilitare l'assegnazione dinamica delle VLAN. Per le distribuzioni multi-tenant, la tecnologia PPSK con indirizzamento VLAN basato su RADIUS è l'architettura da utilizzare. Un unico SSID, un unico set di AP, isolamento completo dei tenant tramite assegnazione VLAN basata sull'identità. Se stai pianificando una distribuzione o ne stai esaminando una esistente, il team tecnico di Purple può fornire file di configurazione RADIUS specifici per la sede ed elenchi di domini walled garden. La piattaforma Purple supporta 80.000 sedi attive e ha elaborato 440 milioni di accessi nel 2024 - i pattern di integrazione trattati oggi sono collaudati su scala globale. Grazie per l'attenzione. La guida scritta completa con tabelle di configurazione passo-passo e diagrammi di architettura Mermaid è disponibile sul sito web di Purple. --- FINE DELLO SCRIPT