Purple WiFi सोबत WatchGuard Firebox इंटिग्रेशन: सेटअप आणि कॉन्फिगरेशन मार्गदर्शक

कार्यकारी सारांश

गुंतागुंतीच्या ठिकाणी सुरक्षित, स्केलेबल वायरलेस इन्फ्रास्ट्रक्चर तैनात करण्यासाठी तुमच्या सुरक्षा गेटवे आणि आयडेंटिटी प्रोव्हाइडरमध्ये अचूक इंटिग्रेशन आवश्यक आहे. हे मार्गदर्शक WatchGuard Firebox आणि WatchGuard ॲक्सेस पॉइंट्सचे Purple सोबतच्या इंटिग्रेशनचा तपशील देते, ज्यामध्ये तीन स्वतंत्र ॲक्सेस टियर्स समाविष्ट आहेत: Guest WiFi captive portal रिडायरेक्शन, IEEE 802.1X वापरून सुरक्षित Staff WiFi, आणि WatchGuard Private Pre-Shared Keys (PPSK) द्वारे मल्टी-टेनंट WiFi सेगमेंटेशन.

WatchGuard च्या युनिफाइड सुरक्षा प्लॅटफॉर्मला Purple च्या क्लाउड ओव्हरलेसह एकत्रित करून, तुम्ही आयडेंटिटी-बेस्ड ॲक्सेस कंट्रोल स्वयंचलित करता, तपशीलवार सुरक्षा धोरणे लागू करता आणि मोठ्या प्रमाणावर फर्स्ट-पार्टी डेटा गोळा करता. Purple ८०,०००+ थेट ठिकाणी कार्यरत आहे आणि २०२४ मध्ये ४४० दशलक्ष लॉगिन प्रक्रियेतून गेले आहेत (Purple अंतर्गत डेटा). हे इंटिग्रेशन डिझाइननुसार हार्डवेअर-अज्ञेयवादी (hardware-agnostic) आहे - Purple च्या समर्थित हार्डवेअर सूचीमध्ये WatchGuard हे Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme आणि Fortinet सोबत समाविष्ट आहे. एंटरप्राइझ WiFi सुरक्षा मानकांच्या विस्तृत दृश्यासाठी, आमचे Enterprise WiFi Security: A Complete Guide for 2026 पहा.

तांत्रिक आर्किटेक्चर

हे इंटिग्रेशन दोन मानक यंत्रणांचा वापर करून WatchGuard हार्डवेअरला Purple च्या क्लाउड सेवांशी जोडते: ऑथेंटिकेशन आणि अकाउंटिंगसाठी RADIUS (Remote Authentication Dial-In User Service), आणि captive portal वितरणासाठी HTTP रिडायरेक्शन. हे आर्किटेक्चर एकाच फिजिकल इन्फ्रास्ट्रक्चरवर तीन ॲक्सेस टियर्सना सपोर्ट करते.

तिन्ही टियर्स एकाच WatchGuard ॲक्सेस पॉइंट ताफ्यात एकाच वेळी चालू शकतात. WatchGuard Wi-Fi 6 मॉडेल्स - AP130, AP230W, AP330, AP332CR, AP430CR, आणि AP432 - फर्मवेअर v२.६ पासून PPSK ला सपोर्ट करतात.

Guest WiFi captive portal रिडायरेक्शन कॉन्फिगर करणे

WatchGuard captive portal इंटिग्रेशन अनऑथेंटिकेटेड HTTP विनंत्या Purple च्या होस्ट केलेल्या स्प्लॅश पेजवर रिडायरेक्ट करते. फर्स्ट-पार्टी डेटा गोळा करण्यासाठी आणि सेवा अटी लागू करण्यासाठी ही प्राथमिक यंत्रणा आहे.

पायरी १: RADIUS सर्व्हर कॉन्फिगरेशन

WatchGuard Cloud किंवा Firebox Policy Manager मध्ये, Purple ला RADIUS ऑथेंटिकेशन आणि अकाउंटिंग सर्व्हर म्हणून परिभाषित करा.

• प्राथमिक RADIUS सर्व्हर: तुमच्या प्रदेशासाठीच्या Purple RADIUS IP ॲड्रेसवर सेट करा (Purple पोर्टलमध्ये Settings > Hardware Integration अंतर्गत उपलब्ध).
• ऑथेंटिकेशन पोर्ट: १८१२
• अकाउंटिंग पोर्ट: १८१३
• शेअर्ड सिक्रेट: Purple पोर्टलमध्ये प्रदान केलेले युनिक सिक्रेट प्रविष्ट करा.
• NAS ID: %m फॉरमॅट स्पेसिफायर वापरून Firebox किंवा AP च्या MAC ॲड्रेसवर सेट करा. हे Purple ला ठिकाण (venue) ओळखण्यास मदत करते आणि ॲनालिटिक्स योग्य खात्याकडे पाठवते.
• अकाउंटिंग इंटरव्हल: सेशन डेटा नियमित अंतराने Purple च्या ॲनालिटिक्स डॅशबोर्डवर जात असल्याची खात्री करण्यासाठी १० मिनिटांवर सेट करा.

पायरी २: SSID आणि captive portal सेटिंग्ज

WatchGuard Cloud मध्ये, Configure > Devices > [Your AP] > Device Configuration > SSIDs वर जा. Guest SSID तयार करा किंवा संपादित करा.

• सुरक्षा: ओपन (कोणताही प्री-ऑथेंटिकेशन पासवर्ड नाही).
• Captive portal प्रकार: Third-Party Hosted Captive Portal with RADIUS Authentication निवडा.
• स्प्लॅश पेज URL: Purple स्प्लॅश पेज URL प्रविष्ट करा (उदा. https://wifi.mypurple.com/splash). हे Purple > Analyze > Portals वरून मिळवा.
• शेअर्ड सिक्रेट: त्याच Purple Analyze Portals पेजवरून पोर्टल शेअर्ड सिक्रेट प्रविष्ट करा. हे सिक्रेट HMAC-SHA1 digest व्युत्पन्न करते ज्याचा वापर WatchGuard हे Purple कडून आलेल्या ऑथेंटिकेशन यशस्वी प्रतिसादाचे व्हॅलिडेशन करण्यासाठी करते.

पायरी ३: Walled Garden कॉन्फिगरेशन

Walled Garden हे परिभाषित करते की ऑथेंटिकेशन पूर्ण होण्यापूर्वी डिव्हाइस कोणत्या डोमेन्सवर प्रवेश करू शकते. याशिवाय, डिव्हाइस Purple स्प्लॅश पेज लोड करू शकत नाही. Websites that users can access before login मध्ये खालील नोंदी जोडा:

• *.mypurple.com
• api.mypurple.com
• cdn.mypurple.com
• assets.mypurple.com

तुम्ही Microsoft Entra ID, Okta, किंवा Google Workspace द्वारे सोशल किंवा फेडरेटेड लॉगिन सक्षम केल्यास, संबंधित आयडेंटिटी प्रोव्हाइडर डोमेन्स जोडा (उदा. login.microsoftonline.com, accounts.google.com). शेअर्ड WiFi इन्फ्रास्ट्रक्चरवरील कायदेशीर आणि अनुपालन संदर्भासाठी, आमचे Legal and Compliance Requirements for Shared WiFi Infrastructure वरील मार्गदर्शक पहा.

HMAC ऑथेंटिकेशन फ्लो कसा कार्य करतो

हा फ्लो समजून घेतल्याने तुम्हाला त्रुटींचे त्वरित निदान करण्यात मदत होते.

१. गेस्ट डिव्हाइस ओपन SSID शी कनेक्ट होते आणि HTTP विनंती करते. २. WatchGuard AP विनंती अडवतो आणि ब्राउझरला Purple स्प्लॅश पेज URL वर रिडायरेक्ट करतो, ज्यामध्ये challenge पॅरामीटर (एक यादृच्छिक हेक्स स्ट्रिंग) आणि डिव्हाइसचा MAC ॲड्रेस जोडलेला असतो. ३. Purple स्प्लॅश पेज प्रदर्शित करते. पाहुणा लॉगिन फॉर्म पूर्ण करतो. ४. Purple पोर्टल शेअर्ड सिक्रेट आणि चॅलेंज मूल्याचा वापर करून HMAC-SHA1 digest व्युत्पन्न करते. ५. Purple ब्राउझरला पुन्हा WatchGuard AP च्या लॉगिन URL वर रिडायरेक्ट करते, ज्यामध्ये चॅलेंज आणि digest जोडलेले असते. ६. WatchGuard AP त्याच शेअर्ड सिक्रेटचा वापर करून digest व्हॅलिडेट करतो. ते जुळल्यास, APि इंटरनेट ॲक्सेस मंजूर करतो आणि Purple ला RADIUS Accounting Start पॅकेट पाठवतो.

802.1X सह सुरक्षित Staff WiFi

Staff WiFi साठी, तुम्ही captive portal च्या जागी IEEE 802.1X वापरता - जे पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठी एंटरप्राइझ मानक आहे. प्रत्येक स्टाफ सदस्य युनिक क्रेडेंशियल्स किंवा सर्टिफिकेटसह ऑथेंटिकेट करतो, ज्यामुशेअर्ड-पासवर्डचा धोका दूर करणे.

WatchGuard Cloud मध्ये, Staff SSID ला WPA3 Enterprise सुरक्षेसह कॉन्फिगर करा आणि Authentication Domain ला Purple च्या RADIUS सर्व्हरवर निर्देशित करा. Purple हे RADIUS सर्व्हर म्हणून काम करते आणि SAML किंवा LDAP द्वारे Microsoft Entra ID, Okta, किंवा Google Workspace कडे ऑथेंटिकेशन विनंत्या प्रॉक्सी करू शकते.

प्रमाणपत्र-आधारित ऑथेंटिकेशन (EAP-TLS) साठी, तुमच्या MDM द्वारे व्यवस्थापित डिव्हाइसेसवर क्लायंट प्रमाणपत्रे तैनात करा. क्रेडेंशियल-आधारित ऑथेंटिकेशन (PEAP-MSCHAPv2) साठी, युजर्स त्यांच्या डिरेक्टरी क्रेडेंशियल्ससह ऑथेंटिकेट करतात. Purple कॉन्फिगर केलेल्या आयडेंटिटी प्रोव्हाइडरच्या विरूद्ध विनंतीची पडताळणी करते आणि WatchGuard AP ला RADIUS Access-Accept किंवा Access-Reject परत पाठवते.

डिव्हाइस प्रकारांमधील 802.1X कॉन्फिगरेशनच्या तपशीलवार माहितीसाठी, आमचे 802.1X authentication: securing network access on modern devices वरील मार्गदर्शक पहा.

MAC रँडमायझेशनवर महत्त्वाची नोंद: आधुनिक iOS आणि Android डिव्हाइसेस डीफॉल्टनुसार त्यांचे MAC पत्ते रँडमाइज करतात. 802.1X Staff WiFi साठी, कर्मचाऱ्यांना Staff SSID साठी MAC रँडमायझेशन बंद करण्यास सांगा. रँडमाइज्ड MAC मुळे विसंगत ऑथेंटिकेशन लॉग तयार होतात आणि MAC-आधारित पॉलिसी अंमलबजावणीमध्ये अडथळा येतो.

WatchGuard PPSK सह मल्टी-टेनंट WiFi

रिटेल सेंटर, कोवर्किंग स्पेस किंवा बिल्ड-टू-रेंट (BTR) डेव्हलपमेंटमध्ये प्रत्येक टेनंटसाठी स्वतंत्र SSID ब्रॉडकास्ट केल्याने को-चॅनेल इंटरफेरन्स होतो आणि RF वातावरण विस्कळीत होते. WatchGuard PPSK (Private Pre-Shared Key) - जे AP फर्मवेअर v2.6 मध्ये सादर केले गेले आहे - एकाच SSID वर प्रत्येक युजर किंवा टेनंटला एक युनिक पासवर्ड देऊन ही समस्या सोडवते.

पायरी १: SSID वर PPSK सक्षम करा

WatchGuard Cloud मध्ये, लक्ष्य SSID (उदा. Venue-WiFi) संपादित करा.

• Security: WPA2 Personal किंवा WPA3 Personal.
• Authentication: Private Pre-Shared Key (PPSK) सक्षम करा.
• RADIUS server: Purple च्या RADIUS सर्व्हरवर निर्देशित करा. Purple हे PPSK क्रेडेंशियल स्टोअर व्यवस्थापित करते आणि ऑथेंटिकेशनवर VLAN ॲट्रिब्युट्स परत पाठवते.

पायरी २: डायनॅमिक VLAN असाइनमेंट कॉन्फिगर करा

टेनंट ट्रॅफिक वेगळे करण्यासाठी, WatchGuard AP वापरलेल्या PPSK च्या आधारे विशिष्ट VLAN असाइन करते.

• VLAN setting: Dynamic VLAN assigned by RADIUS निवडा.
• Unassigned clients fallback: एक वेगळे क्वारंटाईन VLAN (उदा. VLAN 999) निवडा जेणेकरून RADIUS व्हॅलिडेशनमध्ये अयशस्वी झालेले डिव्हाइसेस कॉर्पोरेट नेटवर्कमध्ये प्रवेश करू शकणार नाहीत.

WatchGuard ॲक्सेस पॉइंट्सवर डायनॅमिक VLAN साठी आवश्यकता:

• AP फर्मवेअर v2.2 किंवा उच्च.
• NAT must be disabled on the SSID.
• डायनॅमिक VLAN आणि Captive Portal एकाच वेळी एकाच SSID वर चालू शकत नाहीत.
• AP शी कनेक्ट केलेला स्विच पोर्ट सर्व संबंधित VLAN वाहून नेणारा ट्रंक पोर्ट म्हणून कॉन्फिगर केलेला असणे आवश्यक आहे.

पायरी ३: VLAN स्टीयरिंगसाठी RADIUS ॲट्रिब्युट्स

जेव्हा एखादा युजर PPSK वापरून कनेक्ट करतो, तेव्हा WatchGuard AP Purple ला RADIUS Access-Request पाठवते. Purple की ची पडताळणी करते आणि तीन IETF RADIUS ॲट्रिब्युट्स असलेले Access-Accept पॅकेट परत पाठवते:

WatchGuard AP ॲट्रिब्युट 81 वाचते आणि क्लायंटला संबंधित VLAN वर ठेवते. Purple मध्ये, तुम्ही प्रत्येक PPSK क्रेडेंशियल एका विशिष्ट VLAN ID आणि रोलशी मॅप करता. आयडेंटिटी-आधारित नेटवर्कमागील हीच यंत्रणा आहे - क्रेडेंशियल नेटवर्क सेगमेंट ठरवते, SSID नाही.

अंमलबजावणीच्या सर्वोत्तम पद्धती

या शिफारसी हॉस्पिटॅलिटी , रिटेल , हेल्थकेअर , आणि ट्रान्सपोर्ट उपयोजनांना लागू होतात.

सेशन टाईमआउट्स: नियमित अंतराने पुन्हा ऑथेंटिकेशन सक्तीचे करण्यासाठी Purple आणि WatchGuard दोन्हीमध्ये सेशन टाईमआउट्स कॉन्फिगर करा. यामुळे ॲनालिटिक्स अचूक राहते आणि जुने सेशन्स बँडविड्थ वापरण्यापासून रोखतात. RADIUS Interim-Update (Acct-Interim-Interval) ६०० सेकंद (१० मिनिटे) वर सेट करा.

फर्मवेअर व्यवस्थापन: PPSK सपोर्टसाठी WatchGuard ॲक्सेस पॉइंट्स फर्मवेअर v2.6 किंवा उच्च आवृत्तीवर चालत असल्याची खात्री करा. कव्हरेजमधील व्यत्यय टाळण्यासाठी गर्दी नसलेल्या वेळेत फर्मवेअर अपग्रेड शेड्यूल करण्यासाठी WatchGuard Cloud वापरा.

PCI DSS अनुपालन: कार्ड पेमेंट प्रक्रियेसाठी रिटेल वातावरणात, PPSK वापरून POS डिव्हाइसेसना समर्पित VLAN (उदा. VLAN 200) वर वेगळे करा. Guest WiFi VLAN ला POS VLAN चा कोणताही मार्ग नसल्याची खात्री करा. हे PCI DSS नेटवर्क सेगमेंटेशन आवश्यकतांना समर्थन देते.

GDPR आणि डेटा संकलन: Purple चे Captive Portal जाणीवपूर्वक निवडलेल्या ऑप्ट-इन्सचा वापर करते, ज्यामुळे डेटा संकलन GDPR आवश्यकता पूर्ण करते याची खात्री होते. Purple हे ISO 27001, GDPR, CCPA, आणि Cyber Essentials प्रमाणित आहे. डेटा कॅप्चर सुरू होण्यापूर्वी तुमच्या स्प्लॅश पेजमध्ये स्पष्ट गोपनीयता सूचना आणि सेवा अटींची लिंक समाविष्ट असल्याची खात्री करा.

त्रुटी निवारण आणि जोखीम कमी करणे

Captive Portal लोड होण्यात अयशस्वी: तपासण्यासाठी पहिली जागा म्हणजे Walled Garden. जर डिव्हाइस DNS रिझॉल्व्ह करू शकत नसेल किंवा ऑथेंटिकेशनपूर्वी Purple च्या सर्व्हरपर्यंत पोहोचू शकत नसेल, तर ब्राउझर स्प्लॅश पेजऐवजी टाईमआउट एरर दाखवतो. सर्व Purple डोमेन्स Walled Garden च्या सूचीमध्ये असल्याची आणि WatchGuard DNS सेटिंग्ज ऑथेंटिकेशनपूर्वी रिझोल्यूशनला अनुमती देतात याची खात्री करा.

HMAC डायजेस्ट व्हॅलिडेशन एरर्स: जर WatchGuard लॉग्स HMAC एरर्ससह ऑथेंटिकेशन अपयश दाखवत असतील, तर Captive Portal Shared Secret हे WatchGuard आणि Purple दरम्यान जुळत नाही. ते दोन्ही सिस्टीममध्ये सारखेच असणे आवश्यक आहे. Purple मध्ये सिक्रेट पुन्हा जनरेट करा आणि WatchGuard Cloud मध्ये पुन्हा प्रविष्ट करा.

VLAN स्टीयरिंग अयशस्वी: जर PPSK युजरला चुकीच्या VLAN कडून IP मिळाला, तर Purple पोर्टल मधील RADIUS लॉग्स तपासा. Purple तिन्ही IETF RADIUS ॲट्रिब्युट्स परत पाठवत असल्याची खात्री करा. Tunnel-Private-Group-ID व्हॅल्यू स्ट्रिंग म्हणून फॉरमॅट केली असल्याची आणि स्विच ट्रंक पोर्टवर कॉन्फिगर केलेल्या VLAN ID शी जुळत असल्याची खात्री करा.

PPSK आणि Captive Portal संघर्ष: WatchGuard एकाच SSID वर डायनॅमिक VLAN आणि Captive Portal ला सपोर्ट करत नाही. जर तुम्हाला दोन्ही हवे असतील, तर दोन SSID वापरा: एक गेस्ट Captive Portal साठी आणि एकPPSK multi-tenant access साठी e.

802.1X ऑथेंटिकेशन अयशस्वी: AP आणि RADIUS सर्व्हरमधील ट्रॅफिक कॅप्चर करण्यासाठी WatchGuard AP फर्मवेअर v2.5 आणि त्यावरील आवृत्तीमध्ये उपलब्ध असलेले पॅकेट कॅप्चर टूल वापरा. RADIUS Access-Reject पॅकेट्स आणि रिप्लाय मेसेज ॲट्रिब्युटमधील कारण कोड शोधा.

ROI आणि व्यावसायिक प्रभाव

WatchGuard आणि Purple इंटिग्रेशन सुरक्षा आणि ॲनालिटिक्स एकाच आर्किटेक्चरमध्ये एकत्रित करते. हे इंटिग्रेशन वापरणारे २०० खोल्यांचे हॉटेल स्वतंत्र गेस्ट आणि स्टाफ गेटवेची आवश्यकता दूर करते, ज्यामुळे मल्टी-गेटवे डिप्लॉयमेंटच्या तुलनेत हार्डवेअर खर्चात अंदाजे ३०% घट होते (Purple अंतर्गत डेटा). Guest WiFi Captive Portal फर्स्ट-पार्टी डेटा कॅप्चर करते - ईमेल पत्ते, लोकसंख्याशास्त्रीय माहिती आणि भेटींची वारंवारता - जे Purple च्या Engage प्लॅनद्वारे थेट मार्केटिंग महसूल वाढवते.

मल्टी-भाडेकरू (multi-tenant) ठिकाणांसाठी, PPSK एकाधिक SSIDs व्यवस्थापित करण्याचा ऑपरेशनल ओव्हरहेड दूर करते. एकाच SSID वर १५ शॉप युनिट्स व्यवस्थापित करणारे रिटेल सेंटर AP रेडिओ वापर कमी करते आणि नेटवर्क ऑडिट सुलभ करते. Purple कडून मिळणारे WiFi Analytics ठिकाण ऑपरेटरना ड्वेल टाइम, फूटफॉल आणि पुन्हा भेट देण्याचा डेटा प्रदान करते - हे असे मेट्रिक्स आहेत जे फायनान्स टीम्सना इन्फ्रास्ट्रक्चर गुंतवणुकीचे समर्थन करतात.

Purple ९९.९९९% अपटाइम राखते (Purple अंतर्गत डेटा), ज्यामुळे स्टेडियम आणि कॉन्फरन्स सेंटर्ससारख्या उच्च-घनतेच्या ठिकाणी गर्दीच्या काळातही Guest WiFi Captive Portal उपलब्ध राहते याची खात्री होते.