Sophos Firewall e guest WiFi: configurazione del Captive Portal con Purple

Benvenuto alla Purple Architecture Briefing. Oggi approfondiremo un'integrazione fondamentale per le reti aziendali: la distribuzione di Purple WiFi insieme all'infrastruttura Sophos, in particolare con gli access point Sophos AP6 e APX e i firewall Sophos XG e XGS. Se sei un IT manager, un progettista di rete o un CTO che gestisce una sede - che si tratti di una catena retail, di uno stadio o di un ospedale - questa sessione è pensata per offrirti il piano d'azione per far collaborare queste due potenti piattaforme in modo trasparente. Inquadriamo il contesto. Sophos è rinomata per la sua solida postura di sicurezza. I firewall Sophos garantiscono un'ispezione approfondita dei pacchetti e una sicurezza sincronizzata. Tuttavia, quando si tratta di Guest WiFi, non serve solo la sicurezza. Serve valore per il business. Vuoi acquisire dati demografici, comprendere il comportamento dei visitatori e generare un ritorno sull'investimento di marketing. È qui che entra in gioco Purple. Integrando Purple come Captive Portal esterno, deleghi la gestione dell'identità degli ospiti, il consenso GDPR e i login social al cloud RADIUS di Purple, lasciando che il firewall Sophos faccia ciò che sa fare meglio: proteggere il perimetro. Quindi, come funziona esattamente a livello tecnico? Addentriamoci nei dettagli dell'architettura. L'architettura si basa su protocolli RADIUS standard e sul reindirizzamento HTTP. Quando un utente della sede si associa alla tua rete Guest WiFi SSID aperta, trasmessa dall'AP Sophos, il firewall Sophos intercetta la richiesta web iniziale. Invece di mostrare una pagina portale di base memorizzata localmente, il firewall reindirizza il client alla splash page ospitata nel cloud di Purple. Ora, ecco il concetto fondamentale: il Walled Garden. Durante questa fase di pre-autenticazione, l'utente non ha accesso a Internet. Tuttavia, deve poter caricare la grafica del portale e potrebbe dover raggiungere Facebook o Google per effettuare l'accesso. Il Walled Garden è una lista di autorizzazione rigorosa configurata sul firewall Sophos che consente il traffico verso questi domini specifici. Una volta che l'utente si è autenticato, la piattaforma di Purple invia un messaggio RADIUS Access-Accept al firewall Sophos. Il firewall attiva quindi l'abilitazione, modificando lo stato della sessione in autenticato e inserendo l'utente nella policy del firewall post-autenticazione. Parliamo più in dettaglio della configurazione RADIUS, perché è qui che la precisione è fondamentale. Purple fornisce due set di credenziali RADIUS: uno per l'autenticazione sulla porta 1812 e uno per l'accounting sulla porta 1813. Entrambi devono essere configurati. Il server di accounting non è opzionale. È il meccanismo tramite il quale il firewall Sophos segnala i dati di sessione a Purple, inclusi durata, larghezza di banda consumata ed eventi di chiusura della sessione. Senza dati di accounting precisi, la dashboard di analisi di Purple mostrerà metriche dei visitatori incomplete o imprecise. Imposta l'intervallo provvisorio di accounting su 120 secondi. Questo garantisce un buon equilibrio tra visibilità in tempo reale e sovraccarico di rete. Ora parliamo di uno scenario che si presenta costantemente nelle distribuzioni enterprise: il WiFi Multi-Tenant. Pensate a uno spazio di coworking, a un complesso residenziale build-to-rent o a una residenza per studenti. Avete diversi gruppi distinti di utenti che hanno tutti bisogno di accedere al WiFi, ma devono essere completamente isolati l'uno dall'altro a livello di rete. Trasmettere un SSID separato per ogni tenant non è fattibile. Crea congestione di radiofrequenza ed è un incubo operativo da gestire. La risposta è Sophos Private Pre-Shared Keys, o PPSK, combinata con l'assegnazione dinamica della VLAN. Ecco come funziona. Configurate un singolo SSID sui vostri access point Sophos AP6. Successivamente, rilasciate una passphrase univoca a ciascun tenant o gruppo di utenti. Quando un dispositivo si connette e presenta la sua chiave univoca, l'AP Sophos autentica quella chiave tramite RADIUS. Il server RADIUS restituisce un attributo VLAN ID specifico nel messaggio Access-Accept. L'AP tagga dinamicamente il traffico dell'utente con quel VLAN ID, inserendolo nel segmento di rete dedicato. L'Identity-Based Networking in azione. Un solo SSID, più reti isolate, zero sovraccarico di radiofrequenza da trasmissioni aggiuntive. Questa architettura presenta anche un notevole vantaggio in termini di conformità. In base ai requisiti PCI-DSS, le reti WiFi Guest devono essere completamente isolate da qualsiasi segmento di rete che gestisce i dati dei titolari di carta. Posizionando l'SSID guest su una VLAN dedicata e applicando rigide policy di firewall sul Sophos Firewall per bloccare tutte le destinazioni dello spazio IP privato RFC 1918, soddisferete questo requisito in modo pulito. Purple, che opera in 80.000 sedi attive e ha elaborato 440 milioni di accessi nel 2024, è certificata ISO 27001, conforme al GDPR e certificata Cyber Essentials, pertanto la conformità si estende anche al livello di identità. Ora passiamo ai consigli per l'implementazione. Quando configurate questo sistema, dovete prendere una decisione cruciale riguardo all'assegnazione degli IP: modalità NAT rispetto alla modalità Bridge. Se state distribuendo una piccola filiale di vendita al dettaglio con circa cinquanta o cento connessioni guest simultanee, la modalità NAT è perfettamente adeguata. L'AP Sophos distribuisce indirizzi DHCP ai guest da una sottorete interna dedicata e li traduce all'uscita del traffico. È semplice e richiede un'infrastruttura aggiuntiva minima. Ma se state distribuendo un ambiente ad alta densità, ad esempio un hotel da cinquecento camere, un centro congressi con più eventi simultanei o uno stadio, dovete utilizzare la modalità Bridge. In modalità Bridge, l'AP Sophos immette il traffico guest direttamente su una VLAN dedicata, consentendo ai server DHCP aziendali principali di gestire il carico. In questo modo si evita che l'access point o il firewall diventino un collo di bottiglia DHCP durante i picchi di connessione. La modalità Bridge garantisce inoltre che la piattaforma Purple veda il vero indirizzo IP del client, il che è fondamentale per analisi e risoluzione dei problemi accurate. Parliamo della sequenza di configurazione passo dopo passo, perché qui l'ordine è importante. Inizia nel portale Purple. Recupera le credenziali del tuo server RADIUS: gli indirizzi IP del server, i segreti condivisi, l'URL del captive portal e l'URL di reindirizzamento. Queste sono le quattro informazioni fondamentali di cui hai bisogno prima di toccare la configurazione Sophos. Quindi, passa a Sophos Central o all'interfaccia di gestione del firewall locale. Definisci innanzitutto i tuoi server RADIUS, autenticazione sulla porta 1812, accounting sulla 1813. Successivamente, configura il tuo Walled Garden nelle impostazioni dell'Hotspot. Poi, crea il tuo SSID per gli ospiti, imposta la crittografia su Open, abilita il Captive Portal e inserisci l'URL del portale Purple. Infine, definisci le regole del firewall post-autenticazione. Per quanto riguarda nello specifico il Walled Garden, devi consentire come minimo i seguenti domini: il dominio del portale Purple, solitamente region1.purpleportal.net; venuewifi.com; e tutti i domini di login social che i tuoi ospiti utilizzeranno, come facebook.com, accounts.google.com e i relativi domini CDN. Se utilizzi Microsoft Entra ID o Okta per la federazione delle identità, anche questi domini devono essere inclusi. Quali sono le insidie? Dove falliscono solitamente le distribuzioni? Il problema numero uno, senza dubbio, è un Walled Garden incompleto. Se un ospite si connette e visualizza una schermata vuota o un timeout di connessione, significa quasi sempre che il firewall Sophos sta bloccando l'accesso ai file CSS di Purple, alle risorse JavaScript o alle API di social login prima dell'autenticazione. Devi assicurarti che ogni dominio richiesto sia esplicitamente consentito in quella policy di pre-autenticazione. Purple fornisce un elenco completo dei domini richiesti. Usalo per intero. Inoltre, non dimenticare il DNS. Ai client non autenticati deve essere consentito di risolvere le query DNS, altrimenti il reindirizzamento semplicemente non funzionerà. Il dispositivo deve risolvere l'hostname del portale Purple prima ancora di poter tentare di caricare la pagina. La seconda insidia più comune riguarda gli errori dei certificati. Assicurati che il tuo firewall Sophos presenti un certificato SSL valido e pubblicamente attendibile per l'interfaccia di reindirizzamento. Se utilizzi il certificato autofirmato predefinito, i moderni iPhone e dispositivi Android mostreranno avvisi di sicurezza significativi e i tuoi ospiti abbandoneranno del tutto la connessione. Questo è un problema particolarmente acuto negli ambienti di hospitality, dove l'esperienza degli ospiti è fondamentale. La terza insidia riguarda gli errori di timeout RADIUS. Se il portale si carica ma l'autenticazione fallisce costantemente, verifica che i segreti condivisi corrispondano esattamente tra la configurazione Sophos e il portale Purple. Anche una sola differenza di carattere causerà il fallimento silenzioso di tutti i tentativi di autenticazione. Verifica inoltre che nessun firewall intermedio blocchi le porte UDP 1812 e 1813 tra la tua infrastruttura Sophos e i server cloud RADIUS di Purple. Concludiamo con una sessione di domande e risposte rapide basata sulle domande più comuni che riceviamo dai clienti. Domanda uno: l'utilizzo di Purple aggira le policy di sicurezza del mio Sophos Firewall? Assolutamente no. Purple gestisce l'autenticazione e l'acquisizione dell'identità. Una volta autenticato, tutto il traffico degli ospiti passa attraverso la policy post-autenticazione del tuo Sophos Firewall. Questo è esattamente il punto in cui applichi il web filtering, blocchi il traffico peer-to-peer e modelli la larghezza di banda. Pensala in questo modo: la pre-autenticazione è permissiva per consentire l'accesso; la post-autenticazione è punitiva per proteggere la rete. Domanda due: devo implementare server RADIUS locali? No. Purple fornisce il RADIUS-as-a-Service. Configuri gli AP Sophos per puntare direttamente agli indirizzi IP del cloud RADIUS di Purple. Non è necessario implementare e mantenere FreeRADIUS o Windows NPS per la rete ospiti. Domanda tre: posso usare Purple sia con Sophos AP6 che con la serie precedente APX? Sì. L'approccio di integrazione è coerente tra entrambe le generazioni di hardware. Tieni presente, tuttavia, che Sophos ha annunciato una data di fine ciclo di vita per la serie APX fissata al 31 dicembre 2027. Se stai pianificando una nuova implementazione, investi nella serie AP6, che supporta il WiFi 6 e il WiFi 6E. Domanda quattro: per quanto riguarda la conformità al GDPR? Purple acquisisce il consenso esplicito a livello di portale, presentando i tuoi termini e condizioni e le informative sul trattamento dei dati prima dell'autenticazione. Questi dati di consenso sono memorizzati all'interno della piattaforma Purple e sono verificabili. Il ruolo del Sophos Firewall è puramente di applicazione delle regole di rete. Per riassumere i punti chiave del briefing di oggi. Primo: segrega assolutamente i tuoi SSID per lo Staff e per gli Ospiti. Staff su 802.1X con WPA2-Enterprise. Ospiti su Purple con un Captive Portal esterno. Secondo: configura meticolosamente il tuo Walled Garden. È il punto di errore più comune e l'elemento di configurazione pre-autenticazione più importante. Terzo: utilizza la modalità Bridge per qualsiasi implementazione ad alta densità per evitare colli di bottiglia DHCP e garantire un'accurata visibilità dell'IP del client. Quarto: configura sia i server di autenticazione che quelli di accounting RADIUS. L'accounting non è opzionale se desideri analisi significative. Quinto: sfrutta Sophos PPSK per ambienti multi-tenant per abilitare l'Identity-Based Networking con assegnazione dinamica della VLAN. Un unico SSID, molteplici reti isolate. Sesto: applica le policy di sicurezza Sophos rigorosamente dopo l'autenticazione. Il web filtering, il controllo delle applicazioni e il bandwidth shaping dovrebbero essere tutti applicati nella policy del firewall post-autenticazione. Eseguendo correttamente questa integrazione, trasformi il Guest WiFi da centro di costo in un asset conforme, sicuro e in grado di generare ricavi. La combinazione della profondità di sicurezza di Sophos e della marketing intelligence di Purple è davvero potente per qualsiasi gestore di sedi che desideri prendere sul serio la propria esperienza ospiti e la strategia dei dati. Grazie per aver ascoltato il Purple Architecture Briefing. Se desideri discutere i tuoi requisiti di implementazione specifici, visita purple.ai per parlare con il team delle soluzioni.