WatchGuard Wi-Fi Cloud AP e guest WiFi: configurazione del Captive Portal con Purple

Benvenuti al briefing sull'integrazione. Oggi parleremo dell'integrazione tra WatchGuard Firebox e Access Point con Purple WiFi. Questo è un manuale tecnico per responsabili IT, architetti di rete e direttori operativi di sedi che devono implementare un'infrastruttura wireless sicura e scalabile. Esamineremo i Captive Portal per Guest WiFi, la rete WiFi sicura per il personale tramite 802.1X e la segmentazione Multi-Tenant che utilizza le chiavi precondivise private di WatchGuard, o PPSK. Entriamo subito nel contesto. Quando si gestisce una sede complessa, come uno stadio, un grande centro commerciale o un complesso multiresidenziale, è necessario un controllo preciso su chi accede alla rete e su cosa può fare una volta connesso. È inoltre necessario raccogliere dati di prima parte per generare entrate di marketing. WatchGuard fornisce la piattaforma di sicurezza unificata e l'hardware. Purple fornisce l'overlay cloud, la gestione delle identità e l'analisi dei dati. Integrando i due sistemi, si automatizza il controllo degli accessi basato sull'identità. Si elimina la necessità di gateway separati per ospiti e personale, riducendo le spese hardware e semplificando la gestione. Purple attualmente serve oltre 80.000 sedi attive e ha elaborato 440 milioni di accessi solo nel 2024, il che significa che la piattaforma è costruita per gestire le dimensioni di qualsiasi struttura vi troviate a gestire. Passiamo all'approfondimento tecnico. L'architettura si affida a protocolli RADIUS standard e al reindirizzamento HTTP. Abbiamo tre livelli di accesso principali. Primo, il Guest WiFi. Si tratta di un SSID aperto. L'AP WatchGuard intercetta le richieste HTTP e reindirizza l'utente alla splash page ospitata da Purple. Secondo, il WiFi per il personale. Si tratta di un SSID WPA3-Enterprise sicuro che utilizza 802.1X. I dispositivi si autenticano direttamente con i server RADIUS di Purple utilizzando EAP-TLS o PEAP. Terzo, il WiFi Multi-Tenant. Questo utilizza WatchGuard PPSK. Più utenti si connettono a un singolo SSID, ma ognuno utilizza una password univoca. L'AP WatchGuard interroga il server RADIUS di Purple, che assegna dinamicamente una VLAN in base a quella specifica chiave. Quindi, come si configura il Captive Portal per il Guest WiFi? Il primo passo consiste nel configurare il server RADIUS in WatchGuard Cloud o nel Firebox Policy Manager. Si punta il server RADIUS primario all'indirizzo IP di Purple per la propria area geografica. L'autenticazione avviene sulla porta 1812, l'accounting sulla porta 1813. Si inserisce il segreto condiviso fornito da Purple e, cosa fondamentale, si verifica che il NAS ID corrisponda all'indirizzo MAC del Firebox o dell'AP. Questo comunica a Purple da quale sede proviene la richiesta. Il secondo passo è il reindirizzamento del Captive Portal stesso. Nelle impostazioni dell'SSID, selezionare Third-Party Hosted Captive Portal con RADIUS Authentication. Inserire l'URL della splash page di Purple e il segreto condiviso del portale. Si tratta di un segreto specifico generato nella dashboard Purple Analyze, utilizzato per creare un digest HMAC per convalidare le richieste di autenticazione. L'algoritmo HMAC-SHA1 garantisce che il messaggio di autenticazione andata a buon fine inviato da Purple sia autentico e non sia stato manomesso durante il transito. Il terzo passaggio, ed è qui che molti sistemi riscontrano problemi, riguarda il Walled Garden. Se non configuri questa opzione, il dispositivo non potrà caricare la pagina di benvenuto. Devi consentire l'accesso a star punto mypurple punto com, api punto mypurple punto com e cdn punto mypurple punto com prima del login. Se utilizzi login social come Microsoft Entra ID o Google Workspace, devi aggiungere anche i domini di questi provider di identità. Pensa al Walled Garden come a una sala d'attesa pre-autenticazione. Senza di esso, l'ospite non può nemmeno raggiungere la porta d'ingresso. Ora, esaminiamo la segmentazione multi-tenant con WatchGuard PPSK. Se gestisci un centro commerciale con 15 negozi, trasmettere 15 SSID diversi è una scelta inefficiente. Causa interferenze di canale, sovraccarica lo spazio aereo e crea un sovraccarico di gestione. PPSK risolve questo problema in modo elegante. Trasmetti un unico SSID, ad esempio Centre-Retail. Abilita la Private Pre-Shared Key nelle impostazioni SSID di WatchGuard, il che richiede la versione del firmware 2.6 o successiva sui tuoi Access Point WatchGuard. In Purple, crei chiavi univoche, una per ciascun tenant. Per isolare il traffico, utilizzi l'assegnazione Dynamic VLAN. In WatchGuard Cloud, imposti la VLAN su Dynamic VLAN assegnata da RADIUS. Quando un negozio connette un dispositivo utilizzando la sua chiave specifica, l'AP invia un Access-Request al server RADIUS di Purple. Purple valida la chiave e invia un pacchetto Access-Accept contenente tre attributi IETF RADIUS fondamentali. Tunnel-Type, che è l'attributo 64, impostato su VLAN. Tunnel-Medium-Type, attributo 65, impostato su 802. E Tunnel-Private-Group-ID, attributo 81, impostato sull'ID VLAN assegnato, ad esempio VLAN 100 per il tenant Retail A. L'AP WatchGuard inserisce quindi il dispositivo nella VLAN 100, completamente isolato dagli altri tenant. Questo è il networking basato sull'identità in pratica. Discutiamo ora le raccomandazioni di implementazione e gli errori comuni. In primo luogo, i timeout di sessione. Configura timeout di sessione rigorosi sia in Purple che in WatchGuard per forzare la ri-autenticazione. In questo modo mantieni i dati di analisi accurati e ti assicuri che le sessioni inattive non consumino larghezza di banda. Imposta gli intervalli RADIUS Interim-Update a 10 minuti. In secondo luogo, il firmware. Devi assicurarti che i tuoi Access Point WatchGuard eseguano la versione firmware 2.6 o successiva per supportare PPSK. Le versioni firmware precedenti non supportano questa funzione. In terzo luogo, la randomizzazione MAC. I dispositivi moderni randomizzano i propri indirizzi MAC per impostazione predefinita. Per la tua rete WiFi aziendale sicura, istruisci il personale a disattivare questa funzione per quello specifico SSID al fine di garantire un'autenticazione 802.1X stabile. La randomizzazione MAC può causare errori di autenticazione e dati di analisi incoerenti. Cosa succede quando le cose vanno storte? Se il Captive Portal non si carica, controlla prima il Walled Garden. Se il dispositivo non riesce a risolvere il DNS o a raggiungere i server Purple, mostrerà un errore di timeout invece della splash page. Se il reindirizzamento VLAN fallisce e il client riceve un IP dalla VLAN errata, controlla i log RADIUS nel portale Purple. Assicurati che l'attributo Tunnel-Private-Group-ID sia formattato correttamente come stringa e corrisponda a una VLAN effettivamente esistente sulla porta dello switch collegata all'AP. Se noti errori di digest HMAC nei log WatchGuard, il tuo Captive Portal Shared Secret non corrisponde tra WatchGuard e Purple. Deve essere identico in entrambi i sistemi, carattere per carattere. È il momento di una sessione di domande e risposte rapide. Domanda: Posso usare PPSK e il Captive Portal sullo stesso SSID? Risposta: No. WatchGuard non supporta l'esecuzione simultanea di VLAN dinamiche tramite PPSK e un Captive Portal sullo stesso SSID. È necessario un SSID per il portale e un SSID separato per PPSK. Pianifica la tua architettura SSID di conseguenza. Domanda: Cosa succede se il server RADIUS non restituisce un ID VLAN per un utente PPSK? Risposta: In WatchGuard Cloud, configuri un'opzione di fallback per i client non assegnati (Unassigned Clients). Puoi inserirli in una VLAN non taggata o in una specifica VLAN di quarantena isolata per garantire che non ottengano l'accesso alla rete aziendale. Configura sempre questo fallback per evitare accessi accidentali. In sintesi, l'integrazione di WatchGuard Firebox con Purple offre una piattaforma unificata per la sicurezza, l'identità e l'analisi su reti Guest, Staff e Multi-Tenant. Utilizzi il reindirizzamento del Captive Portal esterno per gli ospiti, l802.1X per il personale e PPSK con VLAN dinamiche per gli ambienti multi-tenant. Il ROI è chiaro. Riduci i costi hardware consolidando i gateway, semplifichi la gestione attraverso un'unica piattaforma cloud e generi entrate catturando dati di prima parte attraverso il Captive Portal di Purple. I passaggi successivi consistono nel verificare l'attuale architettura SSID, assicurarsi che il firmware WatchGuard sia alla versione 2.6 o superiore e iniziare a configurare le impostazioni RADIUS nel portale Purple. Grazie per l'attenzione.