Sophos Firewall आणि guest WiFi: Purple सोबत captive portal सेटअप

Purple आर्किटेक्चर ब्रीफिंगमध्ये आपले स्वागत आहे. आज आपण एंटरप्राइझ नेटवर्क्ससाठी एका महत्त्वपूर्ण इंटिग्रेशनचा सखोल अभ्यास करत आहोत: Sophos इन्फ्रास्ट्रक्चरसोबत, विशेषतः Sophos AP6 आणि APX ऍक्सेस पॉइंट्स आणि Sophos XG आणि XGS फायरवॉल्स सोबत Purple WiFi डिप्लॉय करणे. आपण जर आयटी मॅनेजर, नेटवर्क आर्किटेक्ट किंवा एखादे वेन्यू व्यवस्थापित करणारे CTO असाल - मग ते रिटेल चेन असो, स्टेडियम असो किंवा हॉस्पिटल असो - हे सेशन आपल्याला या दोन शक्तिशाली प्लॅटफॉर्म्सना एकत्र उत्कृष्टपणे काम करण्यासाठी एक ॲक्शन करण्यायोग्य ब्ल्यूप्रिंट देण्यासाठी डिझाइन केले आहे. चला, पार्श्वभूमी समजून घेऊया. Sophos त्याच्या मजबूत सुरक्षा संरचनेसाठी ओळखले जाते. Sophos Firewall अप्लायन्सेस डीप पॅकेट इन्स्पेक्शन आणि सिंक्रोनाइझ्ड सिक्युरिटी प्रदान करतात. तथापि, जेव्हा Guest WiFi चा विचार येतो, तेव्हा आपल्याला फक्त सुरक्षा नको असते. आपल्याला बिझनेस व्हॅल्यू हवी असते. आपल्याला डेमोग्राफिक डेटा कॅप्चर करायचा असतो, व्हिजिटरचे वर्तन समजून घ्यायचे असते आणि मार्केटिंग रिटर्न ऑन इन्व्हेस्टमेंट वाढवायचे असते. तिथेच Purple चे काम सुरू होते. Purple ला एक्सटर्नल Captive Portal म्हणून इंटिग्रेट करून, आपण गेस्ट आयडेंटिटी मॅनेजमेंट, GDPR संमती आणि सोशल लॉगिनचे अवघड काम Purple च्या क्लाउड RADIUS कडे सोपवतो, आणि Sophos Firewall ला त्याचे सर्वोत्तम काम करू देतो: पेरीमीटर सुरक्षित ठेवणे. तर, हे प्रत्यक्षात पडद्यामागे कसे काम करते? चला तांत्रिक तपशिलात जाऊया. हे आर्किटेक्चर स्टँडर्ड RADIUS प्रोटोकॉल्स आणि HTTP रिडायरेक्शनवर अवलंबून असते. जेव्हा एखादा वेन्यू युझर Sophos AP द्वारे ब्रॉडकास्ट केलेल्या आपल्या ओपन Guest WiFi SSID शी जोडला जातो, तेव्हा Sophos Firewall त्या सुरुवातीच्या वेब रिक्वेस्टला इंटरसेप्ट करतो. मूळ, स्थानिक पातळीवर स्टोअर केलेले पोर्टल पेज दाखवण्याऐवजी, फायरवॉल क्लायंटला Purple च्या क्लाउड-होस्ट केलेल्या स्प्लॅश पेजवर रिडायरेक्ट करतो. आता, येथे एक अत्यंत महत्त्वाचा कन्सेप्ट आहे: Walled Garden. या प्री-ऑथेंटिकेशन फेज दरम्यान, युझरला इंटरनेट ऍक्सेस नसतो. परंतु त्यांना पोर्टलचे ग्राफिक्स लोड करावे लागतात आणि लॉग इन करण्यासाठी Facebook किंवा Google पर्यंत पोहोचावे लागू शकते. Walled Garden ही Sophos Firewall वर कॉन्फिगर केलेली एक कडक अलोवलिस्ट (allowlist) आहे जी या विशिष्ट डोमेन्सना ट्रॅफिकची परवानगी देते. युझरने ऑथेंटिकेट केल्यानंतर, Purple चा प्लॅटफॉर्म Sophos Firewall कडे परत RADIUS Access-Accept मेसेज पाठवतो. त्यानंतर फायरवॉल स्विच फ्लिप करतो, सेशन स्टेट बदलून ऑथेंटिकेटेड करतो आणि युझरला आपल्या पोस्ट-ऑथेंटिकेशन फायरवॉल पॉलिसीमध्ये पाठवतो. चला, RADIUS कॉन्फिगरेशनबद्दल अधिक सविस्तर बोलूया, कारण येथेच अचूकता महत्त्वाची ठरते. Purple आपल्याला RADIUS क्रेडेंशियल्सचे दोन सेट प्रदान करते: एक पोर्ट 1812 वरील ऑथेंटिकेशनसाठी, आणि दुसरा पोर्ट 1813 वरील अकाउंटिंगसाठी. दोन्ही कॉन्फिगर करणे आवश्यक आहे. अकाउंटिंग सर्व्हर ऐच्छिक नाही. हे असे मेकॅनिझम आहे ज्याद्वारे Sophos Firewall सेशन डेटा Purple कडे रिपोर्ट करतो, ज्यामध्ये कालावधी, वापरलेली बँडविड्थ आणि सेशन समाप्तीचे इव्हेंट्स समाविष्ट असतात. अचूक अकाउंटिंग डेटाशिवाय, आपले Purple ॲनालिटिक्स डॅशबोर्ड अपूर्ण किंवा चुकीचे व्हिजिटर मेट्रिक्स दाखवेल. आपले अकाउंटिंग इंटरिम इंटरव्हल 120 सेकंदांवर सेट करा. हे रिअल-टाइम व्हिझिबिलिटी आणि नेटवर्क ओव्हरहेड दरम्यान एक चांगला बॅलन्स प्रदान करते. आता आपण अशा एका परिस्थितीबद्दल बोलूया जी कॉर्पोरेट डिप्लॉयमेंट्समध्ये सतत समोर येते: Multi-Tenant WiFi. एखाद्या को-वर्किंग स्पेसचा, बिल्ड-टू-रेंट निवासी ब्लॉकचा किंवा स्टुडंट अकॉमडेशन बिल्डिंगचा विचार करा. तुमच्याकडे युजर्सचे अनेक वेगळे गट आहेत ज्यांना WiFi ॲक्सेस हवा आहे, परंतु ते नेटवर्क स्तरावर एकमेकांपासून पूर्णपणे वेगळे असले पाहिजेत. प्रत्येक भाडेकरूसाठी स्वतंत्र SSID ब्रॉडकास्ट करणे शक्य नाही. यामुळे रेडिओ फ्रिक्वेन्सीमध्ये अडथळा निर्माण होतो आणि मॅनेज करणे कठीण होऊन बसते. याचे उत्तर आहे Sophos Private Pre-Shared Keys किंवा PPSK, आणि सोबत असणारे डायनॅमिक VLAN असाइनमेंट. हे कसे कार्य करते ते येथे दिले आहे. तुम्ही तुमच्या Sophos AP6 ॲक्सेस पॉइंट्सवर एकच SSID कॉन्फिगर करता. त्यानंतर तुम्ही प्रत्येक भाडेकरू किंवा युजर ग्रुपला एक युनिक पासफ्रेज देता. जेव्हा एखादे डिव्हाइस कनेक्ट होते आणि त्याची युनिक की सादर करते, तेव्हा Sophos AP RADIUS द्वारे त्या कीचे प्रमाणीकरण करतो. RADIUS सर्व्हर Access-Accept मेसेजमध्ये एक विशिष्ट VLAN ID ॲट्रिब्यूट परत करतो. AP युजरच्या ट्रॅफिकला त्या VLAN ID सह डायनॅमिकपणे टॅग करतो आणि त्यांना त्यांच्या समर्पित नेटवर्क सेगमेंटवर पाठवतो. हे आहे Identity-Based Networking. एकच SSID, अनेक वेगळी नेटवर्क्स आणि अतिरिक्त ब्रॉडकास्ट्समुळे कोणताही रेडिओ फ्रिक्वेन्सी ओव्हरहेड नाही. या आर्किटेक्चरचा एक मोठा अनुपालन (compliance) फायदा देखील आहे. PCI-DSS आवश्यकतांनुसार, Guest WiFi नेटवर्क्स हे कार्डधारक डेटा हाताळणाऱ्या कोणत्याही नेटवर्क सेगमेंटपासून पूर्णपणे वेगळे असले पाहिजेत. गेस्ट SSID ला समर्पित VLAN वर ठेवून आणि Sophos Firewall वर सर्व RFC 1918 प्रायव्हेट IP स्पेस डेस्टिनेशन्स ब्लॉक करण्यासाठी कडक फायरवॉल पॉलिसी लागू करून, तुम्ही ही आवश्यकता सहज पूर्ण करू शकता. Purple, जे ८०,००० पेक्षा जास्त थेट वेन्यूजवर कार्यरत आहे आणि ज्याने २०२४ मध्ये ४४० दशलक्ष लॉगइन्स प्रविष्ट केले आहेत, ते ISO 27001 प्रमाणित, GDPR सुसंगत आणि Cyber Essentials प्रमाणित आहे, त्यामुळे अनुपालनाचा हा फायदा आयडेंटिटी लेयरपर्यंत देखील लागू होतो. आता आपण अंमलबजावणीच्या (implementation) शिफारसींकडे वळूया. जेव्हा तुम्ही हे सेटअप करत असता, तेव्हा तुम्हाला IP असाइनमेंटच्या बाबतीत एक महत्त्वाचा निर्णय घ्यावा लागतो: NAT मोड विरुद्ध Bridge मोड. जर तुम्ही पन्नास ते शंभर समवर्ती (concurrent) गेस्ट कनेक्शन्स असलेल्या छोट्या रिटेल ब्रँचमध्ये डिप्लॉयमेंट करत असाल, तर NAT मोड पूर्णपणे पुरेसा आहे. Sophos AP समर्पित अंतर्गत सबनेटमधून गेस्ट्सना DHCP ॲड्रेसेस देतो आणि ट्रॅफिक बाहेर पडताना त्यांचे ट्रान्सलेशन करतो. हे सोपे आहे आणि यासाठी कमीत कमी अतिरिक्त इन्फ्रास्ट्रक्चरची आवश्यकता असते. पण जर तुम्ही हाय-डेन्सिटी वातावरणामध्ये डिप्लॉय करत असाल, जसे की पाचशे खोल्यांचे हॉटेल, एकाच वेळी अनेक इव्हेंट्स असणारे कॉन्फरन्स सेंटर किंवा स्टेडियम, तर तुम्ही Bridge मोड वापरला पाहिजे. Bridge मोडमध्ये, Sophos AP गेस्ट ट्रॅफिक थेट समर्पित VLAN वर पाठवतो, ज्यामुळे तुमचे कोर एंटरप्राइझ DHCP सर्व्हर्स हा लोड हाताळू शकतात. हे कनेक्शन्सच्या गर्दीच्या वेळी ॲक्सेस पॉइंट किंवा फायरवॉलला DHCP अडथळा (bottleneck) बनण्यापासून रोखते. Bridge मोड हे देखील सुनिश्चित करतो की Purple प्लॅटफॉर्मला खरा क्लायंट IP ॲड्रेस दिसेल, जो अचूक ॲनालिटिक्स आणि ट्रबलशूटिंगसाठी अत्यंत आवश्यक आहे. आता आपण स्टेप-बाय-स्टेप कॉन्फिगरेशन क्रमाबद्दल बोलूया, कारण येथे क्रम खूप महत्त्वाचा आहे. Purple पोर्टलमध्ये सुरुवात करा. तुमची RADIUS सर्व्हर क्रेडेन्शियल्स मिळवा: सर्व्हर IP पत्ते, शेअर केलेले सिक्रेट्स, Captive Portal URL आणि रिडायरेक्ट URL. Sophos कॉन्फिगरेशनला स्पर्श करण्यापूर्वी तुम्हाला आवश्यक असलेल्या माहितीचे हे चार महत्त्वाचे भाग आहेत. त्यानंतर, Sophos Central किंवा तुमच्या स्थानिक फायरवॉल मॅनेजमेंट इंटरफेसवर जा. प्रथम तुमचे RADIUS सर्व्हर परिभाषित करा, 1812 वर ऑथेंटिकेशन, 1813 वर अकाउंटिंग. नंतर Hotspot Settings अंतर्गत तुमचे Walled Garden कॉन्फिगर करा. पुढे, तुमचे गेस्ट SSID तयार करा, एन्क्रिप्शन Open वर सेट करा, Captive Portal सक्षम करा आणि Purple पोर्टल URL इनपुट करा. आणि शेवटी, तुमचे पोस्ट - ऑथेंटिकेशन फायरवॉल नियम परिभाषित करा. विशेषतः Walled Garden साठी, तुम्ही किमान खालील डोमेन्सना परवानगी दिली पाहिजे: Purple पोर्टल डोमेन, साधारणपणे region1.purpleportal.net; venuewifi.com; आणि तुमचे गेस्ट वापरतील असे कोणतेही सोशल लॉगिन डोमेन्स, जसे की facebook.com, accounts.google.com आणि त्यांचे संबंधित CDN डोमेन्स. जर तुम्ही आयडेंटिटी फेडरेशनसाठी Microsoft Entra ID किंवा Okta वापरत असाल, तर ते डोमेन्स देखील समाविष्ट केले पाहिजेत. अडचणींबद्दल काय? सामान्यतः डिप्लॉयमेंट्स कुठे चुकतात? नंबर एकची समस्या, यात काही शंका नाही, अपूर्ण Walled Garden ही आहे. जर एखादा पाहुणा कनेक्ट झाला आणि त्याला रिकामी स्क्रीन किंवा कनेक्शन टाईमआउट मिळाला, तर याचा अर्थ असा होतो की Sophos फायरवॉल ऑथेंटिकेशनपूर्वी Purple च्या CSS फाइल्स, JavaScript ॲसेट्स किंवा सोशल लॉगिन APIs चा ॲक्सेस ब्लॉक करत आहे. तुम्ही हे सुनिश्चित केले पाहिजे की प्रत्येक आवश्यक डोमेनला त्या प्री - ऑथेंटिकेशन पॉलिसीमध्ये स्पष्टपणे परवानगी दिली आहे. Purple आवश्यक डोमेन्सची विस्तृत सूची प्रदान करते. तिचा पूर्ण वापर करा. तसेच, DNS विसरू नका. अनऑथेंटिकेटेड क्लायंट्सना DNS क्वेरी सोडवण्याची परवानगी असणे आवश्यक आहे, अन्यथा रिडायरेक्ट कार्य करणार नाही. पेज लोड करण्याचा प्रयत्न करण्यापूर्वी डिव्हाइसला Purple पोर्टल होस्टनाव सोडवणे आवश्यक आहे. दुसरी सर्वात सामान्य अडचण म्हणजे सर्टिफिकेट एरर्स. तुमची Sophos फायरवॉल रिडायरेक्शन इंटरफेससाठी वैध, सार्वजनिकरित्या विश्वसनीय SSL सर्टिफिकेट सादर करत असल्याची खात्री करा. तुम्ही डीफॉल्ट सेल्फ - साईन केलेले सर्टिफिकेट वापरल्यास, आधुनिक iPhones आणि Android डिव्हाइसेस मोठ्या प्रमाणावर सुरक्षा चेतावणी दर्शवतील आणि तुमचे पाहुणे कनेक्शन पूर्णपणे सोडून देतील. हॉस्पिटॅलिटी वातावरणात ही एक अत्यंत गंभीर समस्या आहे जिथे अतिथींचा अनुभव सर्वोपरि असतो. तिसरी अडचण म्हणजे RADIUS टाईमआउट एरर्स. जर पोर्टल लोड झाले परंतु ऑथेंटिकेशन वारंवार अपयशी ठरत असल्यास, तुमच्या Sophos कॉन्फिगरेशन आणि Purple पोर्टल दरम्यान शेअर केलेले सिक्रेट्स तंतोतंत जुळत असल्याची पडताळणी करा. अगदी एका अक्षराचा फरक देखील सर्व ऑथेंटिकेशन प्रयत्न शांतपणे अयशस्वी करेल. तुमच्या Sophos इन्फ्रास्ट्रक्चर आणि Purple च्या क्लाउड RADIUS सर्व्हर दरम्यान कोणताही इंटरमीडिएट फायरवॉल UDP पोर्ट्स 1812 आणि 1813 ब्लॉक करत नसल्याची खात्री करा. आम्ही क्लायंट्सकडून ऐकत असलेल्या सर्वात सामान्य प्रश्नांवर आधारित रॅपिड - फायर प्रश्न आणि उत्तर सत्राने सांगता करूया. प्रश्न १: Purple वापरल्याने माझी Sophos Firewall सुरक्षा धोरणे बायपास होतात का? अजिबात नाही. Purple हे ऑथेंटिकेशन आणि ओळख कॅप्चर हाताळते. एकदा ऑथेंटिकेशन झाल्यावर, सर्व गेस्ट ट्रॅफिक तुमच्या Sophos Firewall च्या पोस्ट - ऑथेंटिकेशन धोरणाद्वारे वाहते. हेच ते ठिकाण आहे जिथे तुम्ही वेब फिल्टरिंग लागू करता, पीअर - टू - पीअर ट्रॅफिक ब्लॉक करता आणि बँडविड्थ नियंत्रित करता. याचा विचार या प्रकारे करा: लॉगिनला अनुमती देण्यासाठी प्री - ऑथेंटिकेशन हे परवानगी देणारे असते; तर नेटवर्क सुरक्षित ठेवण्यासाठी पोस्ट - ऑथेंटिकेशन हे प्रतिबंधात्मक असते. प्रश्न २: मला स्थानिक RADIUS सर्व्हर तैनात करण्याची आवश्यकता आहे का? नाही. Purple हे RADIUS-as-a-Service प्रदान करते. तुम्ही Sophos APs थेट Purple च्या क्लाउड RADIUS आयपी पत्त्यांकडे निर्देश करण्यासाठी कॉन्फिगर करता. गेस्ट नेटवर्कसाठी FreeRADIUS किंवा Windows NPS तैनात करण्याची आणि देखरेख करण्याची कोणतीही आवश्यकता नाही. प्रश्न ३: मी Sophos AP6 आणि जुन्या APX मालिका या दोन्हीसह Purple वापरू शकतो का? होय. दोन्ही पिढ्यांच्या हार्डवेअरमध्ये इंटिग्रेशनची पद्धत सुसंगत आहे. तथापि, हे लक्षात ठेवा की Sophos ने APX मालिकेसाठी ३१ डिसेंबर २०२७ ही एंड - ऑफ - लाईफ तारीख घोषित केली आहे. जर तुम्ही नवीन तैनातीची योजना आखत असाल, तर AP6 मालिकेमध्ये गुंतवणूक करा, जी Wi-Fi 6 आणि Wi-Fi 6E ला सपोर्ट करते. प्रश्न ४: GDPR अनुपालनाचे काय? Purple पोर्टल पातळीवर स्पष्ट संमती कॅप्चर करते, ज्यामध्ये ऑथेंटिकेशनपूर्वी तुमच्या अटी व शर्ती आणि डेटा प्रोसेसिंग सूचना सादर केल्या जातात. हा संमती डेटा Purple प्लॅटफॉर्मवर साठवला जातो आणि त्याचे ऑडिट केले जाऊ शकते. Sophos Firewall ची भूमिका पूर्णपणे नेटवर्क अंमलबजावणीची असते. आजच्या ब्रीफिंगमधील मुख्य मुद्दे संक्षेपामध्ये सांगायचे तर. पहिले: तुमचे Staff आणि Guest SSIDs पूर्णपणे वेगळे करा. Staff ला WPA2-Enterprise सह 802.1X वर ठेवा. Guests ला बाह्य Captive Portal सह Purple वर ठेवा. दुसरे: तुमचे Walled Garden अत्यंत काळजीपूर्वक कॉन्फिगर करा. हा सर्वात सामान्य बिघाड होणारा बिंदू आहे आणि सर्वात महत्त्वाचा प्री - ऑथेंटिकेशन कॉन्फिगरेशन घटक आहे. तिसरे: DHCP अडथळे टाळण्यासाठी आणि अचूक क्लायंट आयपी दृश्यमानता सुनिश्चित करण्यासाठी कोणत्याही हाय - डेंसिटी तैनातीसाठी Bridge मोड वापरा. चौथे: RADIUS ऑथेंटिकेशन आणि अकाउंटिंग सर्व्हर दोन्ही कॉन्फिगर करा. जर तुम्हाला अर्थपूर्ण विश्लेषण हवे असेल, तर अकाउंटिंग ऐच्छिक नाही. पाचवे: डायनॅमिक VLAN असाइनमेंटसह आयडेंटिटी - बेस्ड नेटवर्किंग सक्षम करण्यासाठी मल्टी - टेनंट वातावरणासाठी Sophos PPSK चा लाभ घ्या. एक SSID, अनेक विलग नेटवर्क. सहावे: Sophos सुरक्षा धोरणे काटेकोरपणे पोस्ट - ऑथेंटिकेशननंतर लागू करा. वेब फिल्टरिंग, ॲप्लिकेशन कंट्रोल आणि बँडविड्थ शेपिंग हे सर्व पोस्ट - ऑथेंटिकेशन फायरवॉल धोरणामध्ये लागू केले जावे. हे इंटिग्रेशन योग्य प्रकारे करून, तुम्ही गेस्ट WiFi ला खर्चाच्या स्त्रोताकडून एका अनुपालन, सुरक्षित आणि महसूल निर्माण करणाऱ्या मालमत्तेमध्ये रूपांतरित करता. Sophos सुरक्षेची सखोलता आणि Purple ची मार्केटिंग इंटेलिजन्स यांचे संयोजन कोणत्याही वेन्यू ऑपरेटरसाठी खरोखरच शक्तिशाली आहे ज्यांना त्यांचे गेस्ट अनुभव आणि डेटा धोरण गांभीर्याने घ्यायचे आहे. Purple आर्किटेक्चर ब्रीफिंग ऐकल्याबद्दल धन्यवाद. जर तुम्हाला तुमच्या विशिष्ट तैनाती आवश्यकतांवर चर्चा करायची असेल, तर सोल्यूशन्स टीमशी बोलण्यासाठी purple.ai ला भेट द्या.