Fortinet FortiAP आणि guest WiFi: Purple सह captive portal सेटअप

Purple आर्किटेक्चर ब्रीफिंगमध्ये आपले स्वागत आहे. आज आपण एंटरप्राइझ नेटवर्कसाठी एका महत्त्वपूर्ण इंटिग्रेशनमध्ये सखोल माहिती घेत आहोत: Fortinet इन्फ्रास्ट्रक्चरसह, विशेषत: FortiAP ॲक्सेस पॉइंट्स आणि FortiGate फायरवॉल्ससह Purple WiFi तैनात करणे. आपण एखादे आयटी मॅनेजर, नेटवर्क आर्किटेक्ट किंवा एखादे ठिकाण व्यवस्थापित करणारे CTO असल्यास - मग ते रिटेल चेन असो, स्टेडियम असो किंवा हॉस्पिटल असो - हे सत्र आपल्याला या दोन शक्तिशाली प्लॅटफॉर्म्सना एकत्रितपणे अखंडपणे काम करण्यासाठी एक कृतीयोग्य ब्ल्यूप्रिंट देण्यासाठी डिझाइन केले आहे. चला संदर्भ समजून घेऊया. Fortinet हे त्यांच्या मजबूत सुरक्षा संरचनेसाठी ओळखले जाते. FortiGate युनिफाइड थ्रेट मॅनेजमेंट अप्लायन्सेस सखोल, Layer 7 ट्रॅफिक तपासणी प्रदान करतात. तथापि, जेव्हा गेस्ट WiFi चा विचार केला जातो, तेव्हा आपल्याला केवळ सुरक्षितता नको असते - तर आपल्याला व्यावसायिक मूल्य हवे असते. आपल्याला डेमोग्राफिक डेटा कॅप्चर करायचा आहे, व्हिजिटरचे वर्तन समजून घ्यायचे आहे आणि मार्केटिंग रिटर्न ऑन इन्व्हेस्टमेंट वाढवायचे आहे. तिथेच Purple चे काम सुरू होते. Purple ला बाह्य Captive Portal म्हणून इंटिग्रेट करून, आपण गेस्ट आयडेंटिटी मॅनेजमेंट, GDPR संमती आणि सोशल लॉगइन्सचे कठीण काम Purple च्या क्लाउड RADIUS वर सोपवता, तर FortiGate ला त्याचे सर्वोत्तम काम करू देता: परिमिती सुरक्षित करणे. तर, हे प्रत्यक्षात पडद्यामागे कसे काम करते? चला तांत्रिक सखोल माहिती घेऊया. हे आर्किटेक्चर मानक RADIUS प्रोटोकॉल्स आणि HTTP रीडायरेक्शनवर अवलंबून असते. जेव्हा एखादा गेस्ट डिव्हाइस FortiAP द्वारे ब्रॉडकास्ट केलेल्या आपल्या ओपन गेस्ट SSID शी कनेक्ट होते, तेव्हा FortiGate त्या सुरुवातीच्या वेब विनंतीला अडवते. एक मूळ, स्थानिक पातळीवर स्टोअर केलेले पोर्टल पेज दाखवण्याऐवजी, FortiGate क्लायंटला Purple च्या क्लाउड-होस्ट केलेल्या स्प्लॅश पेजवर रीडायरेक्ट करते. आता, येथे एक महत्त्वपूर्ण संकल्पना आहे: Walled Garden. या प्री-ऑथेंटिकेशन टप्प्यादरम्यान, गेस्टकडे इंटरनेट ॲक्सेस नसतो. परंतु त्यांना पोर्टलचे ग्राफिक्स लोड करावे लागतात आणि लॉग इन करण्यासाठी त्यांना Facebook किंवा Google पर्यंत पोहोचण्याची आवश्यकता असू शकते. Walled Garden ही FortiGate वर कॉन्फिगर केलेली एक कडक अलाउलिस्ट आहे जी या विशिष्ट डोमेन्सच्या ट्रॅफिकला परवानगी देते. वापरकर्त्याने ऑथेंटिकेट केल्यानंतर, Purple चा प्लॅटफॉर्म FortiGate कडे परत RADIUS Access-Accept संदेश पाठवतो. त्यानंतर FortiGate स्विच फ्लिप करते, सेशनची स्थिती ऑथेंटिकेटेड मध्ये बदलते आणि वापरकर्त्याला आपल्या पोस्ट-ऑथेंटिकेशन फायरवॉल पॉलिसीमध्ये पाठवते. चला RADIUS कॉन्फिगरेशनबद्दल अधिक तपशिलवार बोलूया, कारण येथे अचूकतेला महत्त्व आहे. Purple आपल्याला RADIUS क्रेडेंशियल्सचे दोन संच प्रदान करते: एक पोर्ट 1812 वरील ऑथेंटिकेशनसाठी आणि एक पोर्ट 1813 वरील अकाउंटिंगसाठी. दोन्ही कॉन्फिगर करणे आवश्यक आहे. अकाउंटिंग सर्व्हर हा पर्यायी नाही. हे असे मेकॅनिझम आहे ज्याद्वारे FortiGate सेशन डेटा - कालावधी, वापरलेली बँडविड्थ आणि सेशन संपल्याच्या घटना - Purple कडे परत रिपोर्ट करते. अचूक अकाउंटिंग डेटाशिवाय, आपले Purple ॲनालिटिक्स डॅशबोर्ड अपूर्ण किंवा चुकीचे व्हिजिटर मेट्रिक्स दर्शवेल. आपले अकाउंटिंग अंतरिम इंटरव्हल 120 सेकंदांवर सेट करा. हे रिअल-टाइम व्हिजिटिबिलिटी आणि नेटवर्क ओव्हरहेड दरम्यान एक चांगला समतोल प्रदान करते. एक अतिशय सामान्य परिस्थिती FortiAuthenticator शी संबंधित आहे. अनेक संस्था त्यांच्या कर्मचाऱ्यांच्या WiFi साठी FortiAuthenticator चा वापर करतात - जेथे कॉर्पोरेट उपकरणांना Active Directory विरुद्ध ऑथेंटिकेट करण्यासाठी 802.1X आणि PEAP चा वापर केला जातो. प्रश्न नेहमी हाच असतो: मी कर्मचाऱ्यांसाठी माझे FortiAuthenticator ठेवून पाहुण्यांसाठी (guests) Purple चा वापर करू शकतो का? याचे उत्तर नक्कीच होय असे आहे, आणि येथील मुख्य नियम म्हणजे काटेकोर अलगीकरण (strict segregation) हा आहे. तुम्ही तुमचा कर्मचाऱ्यांचा SSID हा FortiAuthenticator कडे निर्देशित करणाराच ठेवता. तुम्ही पाहुण्यांसाठी पूर्णपणे वेगळा, ओपन SSID तयार करता जो Purple च्या बाह्य captive portal आणि क्लाउड RADIUS कडे निर्देशित करतो. FortiGate हा SSID च्या आधारावर ऑथेंटिकेशन विनंत्या मार्गस्थ (route) करतो. कर्मचाऱ्यांची ओळख FortiAuthenticator सह ऑन-प्रिमाइसेसच राहते. पाहुण्यांची ओळख Purple च्या मार्केटिंग क्लाउडकडे जाते. शून्य ओव्हरलॅप, कमाल सुरक्षा. या आर्किटेक्चरचा एक महत्त्वपूर्ण अनुपालन (compliance) फायदा देखील आहे. PCI-DSS च्या आवश्यकतांनुसार, पाहुण्यांचे WiFi नेटवर्क हे कार्डधारक डेटा हाताळणाऱ्या कोणत्याही नेटवर्क सेगमेंटपासून पूर्णपणे वेगळे असले पाहिजे. पाहुण्यांचा SSID एका समर्पित VLAN वर ठेवून आणि सर्व RFC 1918 खाजगी IP स्पेस डेस्टिनेशन ब्लॉक करण्यासाठी FortiGate वर कडक फायरवॉल पॉलिसी लागू करून, तुम्ही ही आवश्यकता अगदी सहज पूर्ण करता. आता आपण अंमलबजावणीच्या शिफारशींकडे वळूया. जेव्हा तुम्ही हे सेटअप करत असाल, तेव्हा तुम्हाला IP असाइनमेंटबाबत एक महत्त्वाचा निर्णय घ्यावा लागेल: NAT mode विरुद्ध Bridge mode. जर तुम्ही एखादी लहान रिटेल शाखा तैनात करत असाल जिथे साधारणपणे पन्नास ते शंभर एकाच वेळी असणारे पाहुण्यांचे कनेक्शन असतील, तर NAT mode पूर्णपणे पुरेसा आहे. FortiGate एका समर्पित अंतर्गत सबनेटमधून पाहुण्यांना DHCP पत्ते देतो आणि ट्रॅफिक फायरवॉलमधून बाहेर पडताना त्यांचे भाषांतर (translate) करतो. हे सोपे आहे आणि यासाठी किमान अतिरिक्त पायाभूत सुविधांची आवश्यकता असते. परंतु जर तुम्ही उच्च-घनता (high-density) असलेले वातावरण तैनात करत असाल - समजा, पाचशे खोल्यांचे हॉटेल, एकाच वेळी अनेक कार्यक्रम असणारे कॉन्फरन्स सेंटर किंवा स्टेडियम - तर तुम्ही नक्कीच Bridge mode चा वापर केला पाहिजे. Bridge mode मध्ये, FortiAP पाहुण्यांचे ट्रॅफिक थेट एका समर्पित VLAN वर सोडते, ज्यामुळे तुमचे मुख्य एंटरप्राइझ DHCP सर्व्हर लोड हाताळू शकतात. हे पीक कनेक्शन इव्हेंट्स दरम्यान FortiGate ला DHCP बॉटलनेक बनण्यापासून रोखते. Bridge mode हे देखील सुनिश्चित करते की Purple प्लॅटफॉर्मला खरा क्लायंट IP पत्ता दिसेल, जो अचूक विश्लेषण आणि ट्रबलशूटिंगसाठी अत्यंत आवश्यक आहे. आता पायरी-बाय-पायरी कॉन्फिगरेशन क्रमाबद्दल बोलूया, कारण येथे क्रमाला खूप महत्त्व आहे. सर्वप्रथम Purple पोर्टलवरून सुरुवात करा. तुमचे RADIUS सर्व्हर क्रेडेंशियल्स मिळवा - सर्व्हर IP पत्ते, शेअर्ड सिक्रेट्स, captive portal URL आणि रिडायरेक्ट URL. Fortinet कॉन्फिगरेशनला हात लावण्यापूर्वी तुम्हाला आवश्यक असणारी ही चार अत्यंत महत्त्वाची माहितीची साधने आहेत. त्यानंतर, FortiCloud डॅशबोर्ड किंवा तुमच्या FortiGate मॅनेजमेंट इंटरफेसवर जा. प्रथम तुमचे RADIUS सर्व्हर परिभाषित करा - 1812 वर ऑथेंटिकेशन, 1813 वर अकाउंटिंग. त्यानंतर तुमचा पाहुण्यांचा SSID तयार करा, ऑथेंटिकेशन 'Open' वर सेट करा, External Captive Portal सक्षम करा आणि Purple पोर्टल URL व रिडायरेक्ट URL प्रविष्ट करा. तुमचे Walled Garden कॉन्फिगर करा. आणि शेवटी, तुमच्या UTM प्रोफाइल्ससह तुमची पोस्ट-ऑथेंटिकेशन फायरवॉल पॉलिसी परिभाषित करा.धोक्याच्या बाबींबद्दल काय? सामान्यतः डिप्लॉयमेंट्स कुठे चुकतात? नंबर एक समस्या, निःसंशयपणे, अपूर्ण Walled Garden ही आहे. जर एखादा अतिथी कनेक्ट झाला आणि त्याला रिकामी स्क्रीन किंवा कनेक्शन टाईमआउट दिसला, तर याचा अर्थ असा होतो की FortiGate ऑथेंटिकेशनपूर्वी Purple च्या CSS फाइल्स, JavaScript ॲसेट्स किंवा सोशल लॉगिन APIs चा ॲक्सेस ब्लॉक करत आहे. तुम्ही हे सुनिश्चित केले पाहिजे की प्रत्येक आवश्यक डोमेनला त्या प्री-ऑथेंटिकेशन पॉलिसीमध्ये स्पष्टपणे परवानगी दिली आहे. Purple आवश्यक डोमेनची एक व्यापक सूची प्रदान करते - ती पूर्णपणे वापरा. तसेच, DNS विसरू नका. अनऑथेंटिकेटेड क्लायंट्सना DNS क्वेरी सोडवण्याची परवानगी दिली पाहिजे, अन्यथा रिडायरेक्ट कार्य करणार नाही. पेज लोड करण्याचा प्रयत्न करण्यापूर्वी डिव्हाइसला Purple पोर्टल होस्टनेम रिझॉल्व्ह करणे आवश्यक आहे. दुसरी सर्वात सामान्य चूक म्हणजे सर्टिफिकेट एरर्स. रिडायरेक्शन इंटरफेससाठी तुमचे FortiGate एक वैध, सार्वजनिकरित्या विश्वसनीय SSL सर्टिफिकेट सादर करत असल्याची खात्री करा. आपण डीफॉल्ट सेल्फ-साइन केलेले सर्टिफिकेट वापरल्यास, आधुनिक iPhones आणि Android डिव्हाइसेस मोठ्या प्रमाणावर सुरक्षा चेतावणी दर्शवतील आणि तुमचे अतिथी कनेक्शन पूर्णपणे सोडून देतील. हॉस्पिटॅलिटी वातावरणात ही एक विशेषतः गंभीर समस्या आहे जिथे अतिथींचा अनुभव सर्वोपरि असतो. तिसरी चूक म्हणजे RADIUS टाईमआउट एरर्स. जर पोर्टल लोड झाले परंतु ऑथेंटिकेशन सतत अयशस्वी होत राहिले, तर तुमच्या FortiGate कॉन्फिगरेशन आणि Purple पोर्टल मधील शेअर केलेले सिक्रेट्स तंतोतंत जुळत असल्याची खात्री करा. अगदी एका अक्षराचा फरक देखील सर्व ऑथेंटिकेशन प्रयत्न शांतपणे अयशस्वी करेल. तसेच तुमच्या Fortinet इन्फ्रास्ट्रक्चर आणि Purple च्या क्लाउड RADIUS सर्व्हरमधील UDP पोर्ट्स 1812 आणि 1813 ला कोणताही इंटरमीडिएट फायरवॉल ब्लॉक करत नाही याची खात्री करा. आम्हाला क्लायंटकडून वारंवार विचारल्या जाणाऱ्या सामान्य प्रश्नांवर आधारित रॅपिड-फायर प्रश्न आणि उत्तर सत्रासह समारोप करूया. प्रश्न एक: Purple वापरल्याने माझ्या FortiGate सुरक्षा धोरणांना बायपास केले जाते का? अजिबात नाही. Purple ऑथेंटिकेशन आणि आयडेंटिटी कॅप्चर हाताळते. एकदा ऑथेंटिकेट झाल्यानंतर, सर्व अतिथी ट्रॅफिक तुमच्या FortiGate च्या पोस्ट-ऑथेंटिकेशन पॉलिसीमधून जाते. नेमके इथेच तुम्ही FortiGuard वेब फिल्टरिंग लागू करता, पीअर-टू-पीअर ट्रॅफिक ब्लॉक करता आणि बँडविड्थ नियंत्रित करता. याचा विचार या प्रकारे करा: लॉगिनला परवानगी देण्यासाठी प्री-ऑथेंटिकेशन शिथिल असते; नेटवर्कचे रक्षण करण्यासाठी पोस्ट-ऑथेंटिकेशन कठोर असते. प्रश्न दोन: मला स्थानिक RADIUS सर्व्हर डिप्लॉय करण्याची आवश्यकता आहे का? नाही. Purple हे RADIUS-as-a-Service प्रदान करते. तुम्ही FortiGate ला थेट Purple च्या क्लाउड RADIUS IP ॲड्रेसवर पॉइंट करण्यासाठी कॉन्फिगर करता. अतिथी नेटवर्कसाठी FreeRADIUS, Windows NPS किंवा इतर कोणतेही स्थानिक RADIUS इन्फ्रास्ट्रक्चर डिप्लॉय करण्याची आणि देखरेख करण्याची आवश्यकता नाही. प्रश्न तीन: Purple हे FortiWLM सह कार्य करू शकते का? होय. इंटिग्रेशन दृष्टिकोन सुसंगत आहे - FortiGate कॉन्फिगरेशनप्रमाणेच समान लॉजिकल सीक्वेन्सचे अनुसरण करून FortiWLM कंट्रोलरमध्ये एक्सटर्नल Captive Portal URL, RADIUS सर्व्हर क्रेडेंशियल्स आणि walled garden कॉन्फिगर करा. प्रश्न चौथा: GDPR अनुपालनाचे काय? Purple पोर्टल स्तरावर स्पष्ट संमती घेते, प्रमाणीकरणापूर्वी तुमच्या अटी आणि शर्ती आणि डेटा प्रक्रिया सूचना सादर करते. हा संमती डेटा Purple प्लॅटफॉर्मवर संग्रहित केला जातो आणि त्याचे ऑडिट केले जाऊ शकते. FortiGate ची भूमिका केवळ नेटवर्क अंमलबजावणीची आहे - त्याला थेट संमती डेटा हाताळण्याची आवश्यकता नाही. आजच्या ब्रीफिंगमधील मुख्य मुद्दे थोडक्यात सांगायचे तर. पहिले: तुमचे कर्मचारी आणि अतिथी SSIDs पूर्णपणे वेगळे करा. FortiAuthenticator वर 802.1X सह कर्मचारी. बाह्य captive portal सह Purple वर अतिथी. दुसरे: तुमचे Walled Garden काळजीपूर्वक कॉन्फिगर करा. हा सर्वात सामान्य बिघाड होणारा बिंदू आहे आणि सर्वात महत्त्वाचा पूर्व-प्रमाणीकरण कॉन्फिगरेशन घटक आहे. तिसरे: DHCP अडथळे टाळण्यासाठी आणि अचूक क्लायंट IP दृश्यमानता सुनिश्चित करण्यासाठी कोणत्याही हाय-डेन्सिटी डिप्लॉयमेंटसाठी Bridge मोड वापरा. चौथे: RADIUS प्रमाणीकरण आणि अकाउंटिंग सर्व्हर दोन्ही कॉन्फिगर करा. तुम्हाला अर्थपूर्ण विश्लेषण हवे असल्यास अकाउंटिंग ऐच्छिक नाही. पाचवे: प्रमाणीकरणानंतर Fortinet च्या UTM वैशिष्ट्यांचा लाभ घ्या. वेब फिल्टरिंग, ॲप्लिकेशन नियंत्रण आणि बँडविड्थ शेपिंग हे सर्व प्रमाणीकरणानंतरच्या फायरवॉल पॉलिसीमध्ये लागू केले पाहिजेत. हे इंटिग्रेशन योग्यरित्या अंमलात आणून, तुम्ही अतिथी WiFi ला खर्चाच्या केंद्रातून सुसंगत, सुरक्षित आणि महसूल देणाऱ्या मालमत्तेत रूपांतरित करता. Fortinet ची सुरक्षा खोली आणि Purple ची मार्केटिंग इंटेलिजन्स यांचे संयोजन कोणत्याही ठिकाणच्या ऑपरेटरसाठी खरोखरच शक्तिशाली आहे ज्यांना त्यांचा अतिथी अनुभव आणि डेटा धोरण गांभीर्याने घ्यायचे आहे. Purple आर्किटेक्चर ब्रीफिंग ऐकल्याबद्दल धन्यवाद. जर तुम्हाला तुमच्या विशिष्ट डिप्लॉयमेंट आवश्यकतांवर चर्चा करायची असेल, तर सोल्यूशन्स टीमशी बोलण्यासाठी purple.ai ला भेट द्या.