Fortinet FortiAP e WiFi para convidados: configuração do captive portal com a Purple

Bem-vindo ao Purple Architecture Briefing. Hoje vamos nos aprofundar em uma integração crítica para redes corporativas: implantar o Purple WiFi juntamente com a infraestrutura Fortinet, especificamente pontos de acesso FortiAP e firewalls FortiGate. Se você é um gerente de TI, um arquiteto de rede ou um CTO gerenciando um local - seja uma rede de varejo, um estádio ou um hospital - esta sessão foi projetada para fornecer o plano de ação prático para fazer essas duas plataformas poderosas funcionarem juntas de forma integrada. Vamos contextualizar. A Fortinet é reconhecida por sua postura robusta de segurança. Os dispositivos de Gerenciamento Unificado de Ameaças FortiGate oferecem inspeção profunda de tráfego de Camada 7. No entanto, quando se trata de WiFi para visitantes, você não quer apenas segurança - você quer valor de negócio. Você quer capturar dados demográficos, entender o comportamento do visitante e gerar retorno sobre o investimento em marketing. É aí que o Purple entra. Ao integrar o Purple como um Captive Portal externo, você transfere a tarefa pesada de gerenciamento de identidade de visitantes, consentimento de GDPR e logins sociais para o RADIUS na nuvem do Purple, permitindo que o FortiGate faça o que faz de melhor: proteger o perímetro. Então, como isso realmente funciona nos bastidores? Vamos entrar no detalhamento técnico. A arquitetura depende de protocolos RADIUS padrão e redirecionamento HTTP. Quando um dispositivo de visitante se associa ao seu SSID de visitantes aberto transmitido pelo FortiAP, o FortiGate intercepta essa requisição web inicial. Em vez de exibir uma página de portal básica armazenada localmente, o FortiGate redireciona o cliente para a splash page hospedada na nuvem do Purple. Agora, aqui está o conceito crítico: o Jardim Colorido (Walled Garden). Durante esta fase de pré-autenticação, o visitante não tem acesso à internet. Mas ele precisa carregar os elementos gráficos do portal e pode precisar acessar o Facebook ou o Google para fazer login. O Walled Garden é uma lista de permissões estrita configurada no FortiGate que permite o tráfego para esses domínios específicos. Assim que o usuário se autentica, a plataforma do Purple envia uma mensagem RADIUS Access-Accept de volta para o FortiGate. O FortiGate então altera o estado da sessão para autenticado e direciona o usuário para a sua política de firewall pós-autenticação. Vamos falar sobre a configuração do RADIUS com mais detalhes, porque é aqui que a precisão importa. O Purple fornece dois conjuntos de credenciais RADIUS: um para autenticação na porta 1812 e outro para tarifação (accounting) na porta 1813. Ambos devem ser configurados. O servidor de tarifação não é opcional. É o mecanismo pelo qual o FortiGate reporta os dados da sessão de volta para o Purple - duração, largura de banda consumida e eventos de encerramento de sessão. Sem dados de tarifação precisos, o seu painel de analytics do Purple mostrará métricas de visitantes incompletas ou imprecisas. Defina o seu intervalo provisório de tarifação para 120 segundos. Isso fornece um bom equilíbrio entre visibilidade em tempo real e sobrecarga de rede. Um cenário muito comum envolve o FortiAuthenticator. Muitas empresas usam o FortiAuthenticator para seu WiFi corporativo - usando 802.1X e PEAP para autenticar dispositivos corporativos no Active Directory. A pergunta é sempre: posso manter meu FortiAuthenticator para funcionários e usar a Purple para convidados? A resposta é absolutamente sim, e a regra de ouro aqui é a segregação estrita. Você mantém o SSID dos funcionários apontando para o FortiAuthenticator. Você cria um SSID aberto, completamente separado, para convidados apontando para o Captive Portal externo e RADIUS em nuvem da Purple. O FortiGate roteia as solicitações de autenticação com base no SSID. A identidade dos funcionários permanece local com o FortiAuthenticator. A identidade dos convidados vai para a nuvem de marketing da Purple. Zero cruzamento, segurança máxima. Essa arquitetura também traz um benefício de conformidade significativo. Sob os requisitos do PCI-DSS, as redes WiFi de convidados devem ser completamente isoladas de qualquer segmento de rede que processe dados de portadores de cartão. Ao colocar o SSID de convidados em uma VLAN dedicada e aplicar políticas de firewall estritas no FortiGate para bloquear todos os destinos de espaço de IP privado RFC 1918, você atende a esse requisito de forma limpa. Agora vamos passar para as recomendações de implementação. Quando você estiver configurando isso, terá uma decisão crucial a tomar em relação à atribuição de IP: modo NAT versus modo Bridge. Se você estiver implantando uma pequena filial de varejo com cerca de cinquenta a cem conexões simultâneas de convidados, o modo NAT é perfeitamente adequado. O FortiGate distribui endereços DHCP para os convidados a partir de uma sub-rede interna dedicada e os traduz conforme o tráfego sai do firewall. É simples e requer infraestrutura adicional mínima. Mas se você estiver implantando um ambiente de alta densidade - por exemplo, um hotel de quinhentos quartos, um centro de convenções com múltiplos eventos simultâneos ou um estádio - você deve usar o modo Bridge. No modo Bridge, o FortiAP envia o tráfego de convidados diretamente para uma VLAN dedicada, permitindo que seus servidores DHCP corporativos principais lidem com a carga. Isso evita que o FortiGate se torne um gargalo de DHCP durante picos de conexão. O modo Bridge também garante que a plataforma Purple veja o endereço IP real do cliente, o que é vital para análises e solução de problemas precisas. Vamos falar sobre a sequência de configuração passo a passo, porque a ordem importa aqui. Comece no portal Purple. Recupere suas credenciais do servidor RADIUS - os endereços IP do servidor, os segredos compartilhados, a URL do Captive Portal e a URL de redirecionamento. Essas são as quatro informações críticas que você precisa antes de tocar na configuração do Fortinet. Em seguida, acesse o painel do FortiCloud ou a interface de gerenciamento do seu FortiGate. Defina seus servidores RADIUS primeiro - autenticação na porta 1812, bilhetagem (accounting) na 1813. Em seguida, crie o SSID de convidados, defina a autenticação como Open, habilite o Captive Portal externo e insira a URL do portal Purple e a URL de redirecionamento. Configure seu Walled Garden. E, finalmente, defina sua política de firewall pós-autenticação com seus perfis UTM.O que dizer sobre os problemas mais comuns? Onde as implantações costumam dar errado? O problema número um, sem dúvida, é um Walled Garden incompleto. Se um visitante se conecta e se depara com uma tela em branco ou um tempo limite de conexão (timeout), isso quase sempre significa que o FortiGate está bloqueando o acesso aos arquivos CSS, recursos JavaScript ou APIs de login social da Purple antes da autenticação. Você deve garantir que cada domínio obrigatório seja explicitamente permitido nessa política de pré-autenticação. A Purple fornece uma lista abrangente de domínios obrigatórios - use-a por completo. Além disso, não se esqueça do DNS. Os clientes não autenticados devem ter permissão para resolver consultas de DNS, caso contrário, o redirecionamento simplesmente não funcionará. O dispositivo precisa resolver o hostname do portal Purple antes mesmo de tentar carregar a página. O segundo erro mais comum são os erros de certificado. Certifique-se de que o seu FortiGate está apresentando um certificado SSL válido e publicamente confiável para a interface de redirecionamento. Se você usar o certificado autoassinado padrão, iPhones modernos e dispositivos Android exibirão avisos de segurança graves, e seus visitantes abandonarão a conexão completamente. Este é um problema particularmente grave em ambientes de hotelaria, onde a experiência do visitante é fundamental. O terceiro problema são os erros de timeout de RADIUS. Se o portal carregar, mas a autenticação falhar de forma consistente, verifique se as chaves secretas compartilhadas coincidem exatamente entre a sua configuração do FortiGate e o portal Purple. Diferenças de apenas um caractere farão com que todas as tentativas de autenticação falhem silenciosamente. Verifique também se nenhum firewall intermediário está bloqueando as portas UDP 1812 e 1813 entre a sua infraestrutura Fortinet e os servidores RADIUS na nuvem da Purple. Vamos encerrar com uma sessão de perguntas e respostas rápidas com base nas dúvidas mais comuns que ouvimos dos clientes. Pergunta um: o uso da Purple ignora as políticas de segurança do meu FortiGate? Absolutamente não. A Purple lida com a autenticação e captura de identidade. Uma vez autenticado, todo o tráfego de visitantes flui através da política de pós-autenticação do seu FortiGate. É exatamente aqui que você aplica o FortiGuard Web Filtering, bloqueia o tráfego peer-to-peer e molda a largura de banda. Pense desta forma: a pré-autenticação é permissiva para permitir o login; a pós-autenticação é restritiva para proteger a rede. Pergunta dois: preciso implantar servidores RADIUS locais? Não. A Purple fornece RADIUS-as-a-Service. Você configura o FortiGate para apontar diretamente para os endereços IP de RADIUS na nuvem da Purple. Não há necessidade de implantar e manter FreeRADIUS, Windows NPS ou qualquer outra infraestrutura RADIUS local para a rede de visitantes. Pergunta três: a Purple funciona com o FortiWLM? Sim. A abordagem de integração é consistente - configure a URL do Captive Portal externo, as credenciais do servidor RADIUS e o walled garden dentro do controlador FortiWLM, seguindo a mesma sequência lógica da configuração do FortiGate. Pergunta quatro: e quanto à conformidade com a GDPR? O Purple captura o consentimento explícito no nível do portal, apresentando seus termos e condições e avisos de processamento de dados antes da autenticação. Esses dados de consentimento são armazenados na plataforma Purple e são auditáveis. O papel do FortiGate é puramente de aplicação de rede - ele não precisa lidar diretamente com os dados de consentimento. Para resumir as principais conclusões do briefing de hoje. Primeiro: segregue totalmente os seus SSIDs de funcionários e convidados. Funcionários no FortiAuthenticator com 802.1X. Convidados no Purple com Captive Portal externo. Segundo: configure meticulosamente o seu Walled Garden. É o ponto de falha mais comum e o elemento de configuração pré-autenticação mais importante. Terceiro: use o modo Bridge para qualquer implantação de alta densidade para evitar gargalos de DHCP e garantir visibilidade precisa do IP do cliente. Quarto: configure os servidores de autenticação e accounting RADIUS. O accounting não é opcional se você deseja análises significativas. Quinto: aproveite os recursos de UTM da Fortinet pós-autenticação. Filtragem web, controle de aplicativos e modelagem de largura de banda devem ser aplicados na política de firewall pós-autenticação. Ao executar essa integração corretamente, você transforma o WiFi de convidados de um centro de custo em um ativo em conformidade, seguro e gerador de receita. A combinação da profundidade de segurança da Fortinet e da inteligência de marketing do Purple é verdadeiramente poderosa para qualquer operador de local que queira levar a sério sua estratégia de dados e experiência do convidado. Obrigado por ouvir o Purple Architecture Briefing. Se você deseja discutir seus requisitos específicos de implantação, visite purple.ai para falar com a equipe de soluções.