Fortinet FortiAP and Purple WiFi Integration Guide

Um guia de referência técnica definitivo para integrar a infraestrutura Fortinet FortiAP e FortiGate com o Purple WiFi. Este guia abrange a configuração de Captive Portal externo, coexistência de autenticação RADIUS com FortiAuthenticator e design de políticas de segurança para implantações corporativas em ambientes de hotelaria, varejo e setor público.

📖 7 min de leitura📝 1,552 palavras🔧 2 exemplos práticos❓ 3 questões práticas📚 9 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo ao Purple Architecture Briefing. Hoje vamos nos aprofundar em uma integração crítica para redes corporativas: a implantação do Purple WiFi junto à infraestrutura Fortinet, especificamente pontos de acesso FortiAP e firewalls FortiGate. Se você é um gerente de TI, um arquiteto de rede ou um CTO gerenciando um local — seja uma rede de varejo, um estádio ou um hospital — esta sessão foi projetada para fornecer o plano de ação prático para fazer essas duas plataformas poderosas funcionarem juntas de forma integrada.

Vamos contextualizar. A Fortinet é reconhecida por sua postura robusta de segurança. Os appliances FortiGate Unified Threat Management oferecem inspeção profunda de tráfego de Camada 7. No entanto, quando se trata de guest WiFi, você não quer apenas segurança — você quer valor de negócio. Você quer capturar dados demográficos, entender o comportamento do visitante e impulsionar o retorno sobre o investimento em marketing. É aí que a Purple entra. Ao integrar a Purple como um Captive Portal externo, você transfere o trabalho pesado do gerenciamento de identidade de convidados, consentimento de GDPR e logins sociais para o RADIUS em nuvem da Purple, permitindo que o FortiGate faça o que faz de melhor: proteger o perímetro.

Então, como isso realmente funciona nos bastidores? Vamos entrar no detalhamento técnico.

A arquitetura conta com protocolos RADIUS padrão e redirecionamento HTTP. Quando um dispositivo de convidado se associa ao seu SSID de convidado aberto transmitido pelo FortiAP, o FortiGate intercepta essa solicitação web inicial. Em vez de exibir uma página de portal básica armazenada localmente, o FortiGate redireciona o cliente para a splash page hospedada na nuvem da Purple.

Agora, aqui está o conceito crítico: o Walled Garden. Durante essa fase de pré-autenticação, o convidado não tem acesso à internet. Mas ele precisa carregar os gráficos do portal e pode precisar acessar o Facebook ou o Google para fazer login. O Walled Garden é uma lista de permissões estrita configurada no FortiGate que permite o tráfego para esses domínios específicos. Assim que o usuário se autentica, a plataforma da Purple envia uma mensagem RADIUS Access-Accept de volta para o FortiGate. O FortiGate então ativa a chave, alterando o estado da sessão para autenticado, e insere o usuário na sua política de firewall pós-autenticação.

Vamos falar sobre a configuração do RADIUS com mais detalhes, porque é aqui que a precisão importa. A Purple fornece dois conjuntos de credenciais RADIUS: um para autenticação na porta 1812 e outro para tarifação (accounting) na porta 1813. Ambos devem ser configurados. O servidor de tarifação não é opcional. É o mecanismo pelo qual o FortiGate relata os dados da sessão de volta para a Purple — duração, largura de banda consumida e eventos de encerramento de sessão. Sem dados de tarifação precisos, o seu painel de analytics da Purple mostrará métricas de visitantes incompletas ou incorretas. Defina o intervalo provisório de tarifação para 120 segundos. Isso oferece um bom equilíbrio entre visibilidade em tempo real e sobrecarga de rede.

Um cenário muito comum envolve o FortiAuthenticator. Muitas empresas utilizam o FortiAuthenticator para o WiFi de sua equipe — usando 802.1X e PEAP para autenticar dispositivos corporativos no Active Directory. A pergunta é sempre: posso manter o meu FortiAuthenticator para a equipe e usar a Purple para os visitantes?

A resposta é absolutamente sim, e a regra geral aqui é a segregação estrita. Você mantém o seu SSID da equipe apontando para o FortiAuthenticator. Você cria um SSID aberto e completamente separado para visitantes, apontando para o Captive Portal externo da Purple e para o RADIUS em nuvem. O FortiGate roteia as solicitações de autenticação com base no SSID. A identidade da equipe permanece local com o FortiAuthenticator. A identidade dos visitantes vai para a nuvem de marketing da Purple. Cruzamento zero, segurança máxima.

Essa arquitetura também traz um benefício significativo de conformidade. Sob os requisitos do PCI DSS, as redes de WiFi para visitantes devem ser completamente isoladas de qualquer segmento de rede que processe dados de portadores de cartão. Ao colocar o SSID de visitantes em uma VLAN dedicada e aplicar políticas de firewall estritas no FortiGate para bloquear todos os destinos de espaço de IP privado RFC 1918, você atende a esse requisito de forma limpa.

Agora, vamos passar para as recomendações de implementação. Ao configurar isso, você tem uma decisão crucial a tomar em relação à atribuição de IP: modo NAT versus modo Bridge.

Se você estiver implantando uma pequena filial de varejo com cerca de cinquenta a cem conexões simultâneas de visitantes, o modo NAT é perfeitamente adequado. O FortiGate distribui endereços DHCP para os visitantes a partir de uma sub-rede interna dedicada e os traduz conforme o tráfego sai do firewall. É simples e exige o mínimo de infraestrutura adicional.

Mas se você estiver implantando um ambiente de alta densidade — por exemplo, um hotel de quinhentos quartos, um centro de convenções com múltiplos eventos simultâneos ou um estádio —, você deve usar o modo Bridge. No modo Bridge, o FortiAP envia o tráfego de visitantes diretamente para uma VLAN dedicada, permitindo que os servidores DHCP principais da sua empresa gerenciem a carga. Isso evita que o FortiGate se torne um gargalo de DHCP durante picos de conexão. O modo Bridge também garante que a plataforma Purple veja o endereço IP real do cliente, o que é vital para análises precisas e resolução de problemas.

Vamos falar sobre a sequência de configuração passo a passo, pois a ordem é importante aqui.

Comece no portal da Purple. Recupere as credenciais do seu servidor RADIUS — os endereços IP do servidor, os segredos compartilhados, a URL do Captive Portal e a URL de redirecionamento. Estas são as quatro informações críticas de que você precisa antes de mexer na configuração do Fortinet.

Em seguida, acesse o painel do FortiCloud ou a interface de gerenciamento do seu FortiGate. Defina os seus servidores RADIUS primeiro — autenticação na porta 1812, bilhetagem (accounting) na 1813. Depois, crie o seu SSID de visitantes, configure a autenticação como Aberta, ative o Captive Portal externo e insira a URL do portal da Purple e a URL de redirecionamento. Configure o seu Walled Garden. E, finalmente, defina a sua política de firewall pós-autenticação com os seus perfis UTM.

E quanto aos pontos de atenção? Onde as implantações costumam falhar?

O problema número um, sem dúvida, é um Walled Garden incompleto. Se um visitante se conecta e se depara com uma tela em branco ou uma expiração de conexão (timeout), isso quase sempre significa que o FortiGate está bloqueando o acesso aos arquivos CSS da Purple, recursos de JavaScript ou às APIs de login social antes da autenticação. Você deve garantir que cada domínio obrigatório seja explicitamente permitido nessa política de pré-autenticação. A Purple fornece uma lista abrangente de domínios obrigatórios — utilize-a por completo.

Além disso, não se esqueça do DNS. Os clientes não autenticados devem ter permissão para resolver consultas de DNS, caso contrário, o redirecionamento simplesmente não funcionará. O dispositivo precisa resolver o hostname do portal Purple antes mesmo de tentar carregar a página.

O segundo problema mais comum são os erros de certificado. Certifique-se de que seu FortiGate está apresentando um certificado SSL válido e publicamente confiável para a interface de redirecionamento. Se você usar o certificado autoassinado padrão, iPhones modernos e dispositivos Android exibirão avisos de segurança graves, e seus visitantes abandonarão a conexão completamente. Este é um problema particularmente crítico em ambientes de hospitalidade, onde a experiência do visitante é primordial.

O terceiro problema são os erros de timeout do RADIUS. Se o portal carrega, mas a autenticação falha consistentemente, verifique se os segredos compartilhados coincidem exatamente entre a configuração do seu FortiGate e o portal Purple. Uma diferença de apenas um único caractere fará com que todas as tentativas de autenticação falhem silenciosamente. Verifique também se nenhum firewall intermediário está bloqueando as portas UDP 1812 e 1813 entre a sua infraestrutura Fortinet e os servidores RADIUS na nuvem da Purple.

Vamos encerrar com uma sessão de perguntas e respostas rápidas com base nas perguntas mais comuns que recebemos dos clientes.

Pergunta um: o uso da Purple ignora minhas políticas de segurança do FortiGate? De forma alguma. A Purple lida com a autenticação e a captura de identidade. Uma vez autenticado, todo o tráfego do visitante flui pela política de pós-autenticação do seu FortiGate. É exatamente aqui que você aplica o FortiGuard Web Filtering, bloqueia o tráfego ponto a ponto (peer-to-peer) e formata a largura de banda. Pense desta forma: a pré-autenticação é permissiva para liberar o login; a pós-autenticação é restritiva para proteger a rede.

Pergunta dois: preciso implantar servidores RADIUS locais? Não. A Purple oferece RADIUS-as-a-Service. Você configura o FortiGate para apontar diretamente para os endereços IP de RADIUS na nuvem da Purple. Não há necessidade de implantar e manter FreeRADIUS, Windows NPS ou qualquer outra infraestrutura RADIUS local para a rede de visitantes.

Pergunta três: a Purple funciona com o FortiWLM? Sim. A abordagem de integração é consistente — configure a URL externa do Captive Portal, as credenciais do servidor RADIUS e o walled garden dentro do controlador FortiWLM, seguindo a mesma sequência lógica da configuração do FortiGate.
Pergunta quatro: e quanto à conformidade com a GDPR? A Purple captura o consentimento explícito no nível do portal, apresentando seus termos e condições e avisos de processamento de dados antes da autenticação. Esses dados de consentimento são armazenados dentro da plataforma Purple e são auditáveis. O papel do FortiGate é puramente de aplicação de rede — ele não precisa lidar diretamente com os dados de consentimento.

Para resumir as principais conclusões do briefing de hoje.

Primeiro: segregue totalmente seus SSIDs de funcionários e convidados. Funcionários no FortiAuthenticator com 802.1X. Convidados na Purple com Captive Portal externo.

Segundo: configure meticulosamente seu Walled Garden. É o ponto de falha mais comum e o elemento de configuração pré-autenticação mais importante.

Terceiro: use o modo Bridge para qualquer implantação de alta densidade para evitar gargalos de DHCP e garantir visibilidade precisa do IP do cliente.

Quarto: configure os servidores de autenticação e tarifação RADIUS. A tarifação (accounting) não é opcional se você deseja análises significativas.

Quinto: aproveite os recursos de UTM da Fortinet pós-autenticação. Filtragem web, controle de aplicativos e modelagem de largura de banda devem ser aplicados na política de firewall pós-autenticação.

Ao executar esta integração corretamente, você transforma o WiFi de convidados de um centro de custo em um ativo em conformidade, seguro e gerador de receita. A combinação da profundidade de segurança da Fortinet com a inteligência de marketing da Purple é genuinamente poderosa para qualquer operador de local que queira levar a sério sua experiência de convidados e estratégia de dados.

Obrigado por ouvir o Briefing de Arquitetura da Purple. Se você deseja discutir seus requisitos de implantação específicos, visite purple.ai para falar com a equipe de soluções.

Principais conclusões

✓Desacople a autenticação de convidados da segurança principal da rede utilizando o RADIUS em nuvem da Purple — o FortiGate impõe a política, a Purple gerencia a identidade.
✓Mantenha segregação absoluta de SSID e VLAN entre funcionários (FortiAuthenticator, 802.1X) e convidados (Captive Portal externo da Purple).
✓Um Walled Garden meticulosamente configurado é a etapa única mais crítica — listas de permissões de domínio pré-autenticação incompletas causam a maioria das falhas de Captive Portal.
✓Configure os servidores RADIUS de autenticação (Porta 1812) e de tarifação (Porta 1813) — os dados de tarifação (accounting) são essenciais para o Purple analytics.
✓Use o modo Bridge para implantações de alta densidade para descarregar o DHCP, evitar gargalos no FortiGate e melhorar a visibilidade do IP do cliente.
✓Aplique as políticas de UTM do Fortinet (FortiGuard Web Filtering, Application Control, Traffic Shaping) estritamente na política de firewall pós-autenticação.
✓Use um certificado SSL publicamente confiável na interface de redirecionamento do FortiGate para evitar avisos de certificado para os convidados, os quais aumentam o abandono do portal.

Resumo Executivo

Para equipes de TI corporativas que utilizam a infraestrutura Fortinet, a integração de Captive Portals externos para acesso de convidados, mantendo posturas de segurança rigorosas, é um requisito comum. A integração entre os pontos de acesso Fortinet FortiAP, os appliances de gerenciamento unificado de ameaças (UTM) FortiGate e a plataforma Purple WiFi permite que as organizações separem a autenticação de convidados da segurança da rede principal. Este guia fornece aos arquitetos técnicos e gerentes de TI o modelo definitivo para implantar a Purple como um Captive Portal externo em um ambiente Fortinet. Ao transferir o gerenciamento de identidade de convidados para o RADIUS em nuvem da Purple, as equipes de rede podem aproveitar as robustas políticas de segurança de Camada 7 do FortiGate para inspeção de tráfego, capturando simultaneamente dados demográficos primários para gerar valor comercial. Seja implantando em uma rede de varejo distribuída ou em um estádio de alta densidade, esta arquitetura garante a conformidade com o PCI DSS e o GDPR, ao mesmo tempo em que oferece uma experiência de Guest WiFi integrada.

Detalhamento Técnico

A integração arquitetônica entre a Fortinet e a Purple baseia-se em protocolos RADIUS padrão e mecanismos de redirecionamento HTTP. Quando um dispositivo de convidado se associa ao SSID aberto designado e transmitido por um FortiAP, o FortiGate intercepta a solicitação HTTP/HTTPS inicial. Em vez de servir um Captive Portal local, o FortiGate é configurado para redirecionar o cliente para a splash page hospedada na nuvem da Purple.

Durante esta fase de pré-autenticação, o FortiGate impõe um walled garden — uma lista de permissões estrita de endereços IP e domínios que permite ao dispositivo cliente carregar os recursos do Captive Portal, realizar logins sociais e acessar serviços essenciais (como DNS) sem conceder acesso total à internet. Assim que o usuário se autentica no portal Purple, a plataforma Purple se comunica de volta com o FortiGate por meio de mensagens RADIUS Access-Accept. O FortiGate então transiciona o estado da sessão do cliente de não autenticado para autenticado, aplicando as políticas de firewall pós-autenticação apropriadas.

Coexistência RADIUS: Purple e FortiAuthenticator

Um desafio arquitetônico frequente em ambientes Fortinet é gerenciar o acesso de visitantes em conjunto com a autenticação de funcionários quando um FortiAuthenticator (FAC) já está implantado para identidade corporativa. A abordagem recomendada é a segregação absoluta de SSID. Os dispositivos dos funcionários conectam-se a um SSID seguro utilizando IEEE 802.1X — normalmente PEAP ou EAP-TLS — autenticados diretamente no FortiAuthenticator. Por outro lado, os dispositivos de visitantes conectam-se a um SSID aberto configurado para redirecionamento de Captive Portal externo, autenticando-se na infraestrutura de RADIUS em nuvem da Purple.

Essa separação garante que os dados de identidade dos visitantes — cruciais para o WiFi Analytics — sejam gerenciados inteiramente dentro da plataforma Purple, enquanto as credenciais do Active Directory corporativo permanecem processadas de forma segura pelo FortiAuthenticator local. O FortiGate lida com o roteamento e a aplicação de políticas para ambos os fluxos de tráfego de forma independente, garantindo cruzamento zero entre a VLAN de visitantes e a VLAN corporativa. Essa arquitetura também atende aos requisitos do PCI DSS para segmentação de rede, pois o tráfego de visitantes é isolado física e logicamente de qualquer infraestrutura de processamento de pagamentos.

Guia de Implementação

A implantação da integração do FortiAP com a Purple exige uma configuração coordenada tanto no portal da Purple quanto na infraestrutura Fortinet. As etapas a seguir descrevem o caminho crítico para uma implantação bem-sucedida usando o gerenciamento de AP do FortiCloud.

Etapa 1: Configuração de Rede e RADIUS

Comece definindo a rede no Dashboard do FortiCloud. Navegue até Configure > My RADIUS Server e defina o servidor de autenticação (Porta 1812) e o servidor de tarifação (accounting) (Porta 1813) usando as credenciais fornecidas no portal da Purple. Ambos os servidores devem ser configurados — a tarifação não é opcional. A Purple depende dos dados de tarifação do RADIUS para preencher o painel do WiFi Analytics com métricas de duração da sessão, consumo de largura de banda e frequência de visitantes. Defina o intervalo provisório de tarifação (accounting interim interval) para 120 segundos para visibilidade em tempo real.

Etapa 2: Definição de SSID e Captive Portal

Crie um novo SSID dedicado ao acesso de visitantes. Defina o método de autenticação como Open e habilite o recurso de Captive Portal, selecionando a opção de portal externo ou personalizado. Você deve inserir a URL de Acesso e a URL de Redirecionamento exclusivas fornecidas na tela de configuração do portal da Purple.

A configuração do Walled Garden é a etapa mais sensível de toda a implantação. Você deve inserir a lista abrangente de domínios obrigatórios da Purple para garantir que os provedores de login social (Facebook, Google, X) e os recursos essenciais do portal sejam carregados corretamente antes da autenticação. A falha em configurar o walled garden com precisão resultará em um fluxo de autenticação interrompido, pois o dispositivo do cliente não conseguirá alcançar os recursos externos necessários. Certifique-se também de que o tráfego DNS (porta UDP 53) seja explicitamente permitido na política de pré-autenticação.

Passo 3: Atribuição de IP — Modo NAT vs Modo Bridge

Ao definir o SSID, você deve escolher entre o modo NAT e o modo Bridge para a atribuição de IP.

No modo NAT, o FortiGate fornece endereços DHCP para os dispositivos dos visitantes a partir de uma sub-rede interna dedicada, traduzindo esses endereços conforme o tráfego sai do firewall. Isso é adequado para implantações mais simples ou ambientes menores de filiais de Varejo , onde o FortiGate gerencia toda a sub-rede de visitantes.

No modo Bridge, o FortiAP direciona o tráfego de visitantes diretamente para uma VLAN específica, permitindo que um servidor DHCP externo atribua os endereços IP. O modo Bridge é fortemente recomendado para ambientes de alta densidade, como propriedades de Hotelaria ou hubs de Transporte , pois oferece maior flexibilidade para o gerenciamento de endereços IP, evita gargalos de DHCP no FortiGate e permite que a plataforma Purple veja o endereço IP real do cliente para análises e diagnósticos mais detalhados.

Passo 4: Política de Firewall Pós-Autenticação

Assim que a autenticação for concluída, o FortiGate deve aplicar uma política de firewall pós-autenticação dedicada à VLAN de visitantes. Esta política deve fazer referência aos perfis de FortiGuard Web Filtering e Application Control para aplicar restrições de conteúdo e bloquear tráfego ponto a ponto. Aplique um perfil de Traffic Shaper para impor limites de largura de banda, evitando que um único visitante sature o link de subida do local. Certifique-se de que a política bloqueie explicitamente todos os destinos do espaço de IP privado RFC 1918 para evitar que os visitantes investiguem os recursos da rede interna.

Melhores Práticas

Ao arquitetar essa integração, siga as recomendações padrão do setor a seguir para garantir estabilidade, segurança e conformidade.

A Segregação de VLAN é Obrigatória: Nunca implante Wi-Fi de visitantes na mesma VLAN que os ativos corporativos ou sistemas de ponto de venda. A marcação rígida de VLAN (VLAN tagging) deve ser aplicada no nível da porta do switch para manter a conformidade com o PCI DSS. O FortiGate deve aplicar políticas de firewall agressivas à VLAN de visitantes, bloqueando todos os destinos do espaço de IP privado RFC 1918 para evitar a movimentação lateral.

Otimize os Temporizadores de Sessão: Configure adequadamente o tempo de concessão (lease time) do DHCP e os intervalos provisórios de contabilização RADIUS (accounting interim intervals). Um tempo de concessão DHCP de 3600 segundos combinado com um intervalo provisório de contabilização de 120 segundos oferece um equilíbrio ideal entre a conservação de endereços IP e relatórios analíticos precisos em tempo real dentro do painel da Purple.

Aproveite os recursos de UTM do Fortinet após a autenticação: A principal vantagem desta integração é a capacidade de aplicar os recursos avançados de segurança do Fortinet ao tráfego de convidados após a autenticação. Configure a política de firewall pós-autenticação para utilizar o FortiGuard Web Filtering e o Application Control. Isso mitiga o risco de convidados utilizarem a largura de banda do local para atividades maliciosas, torrents ou acesso a conteúdo inadequado, protegendo assim a reputação do IP público do local e o contrato de serviço de internet.

Use Certificados Públicos: Certifique-se de que o FortiGate apresente um certificado SSL/TLS válido e publicamente confiável na interface de redirecionamento. Certificados autoassinados geram avisos de segurança em dispositivos modernos iOS e Android, aumentando significativamente as taxas de abandono dos convidados no portal.

Solução de Problemas e Mitigação de Riscos

Mesmo com uma configuração meticulosa, as implantações podem encontrar fricção. Compreender os modos de falha comuns acelera significativamente a resolução.

O Captive Portal falha ao carregar: Se um convidado se conecta, mas a splash page não aparece, o culpado mais comum é um walled garden incompleto. Verifique se todos os domínios necessários para a Purple e quaisquer provedores de login social configurados estão explicitamente permitidos na política de pré-autenticação. Certifique-se de que a resolução DNS esteja funcionando corretamente para clientes não autenticados; se o cliente não conseguir resolver a URL do portal Purple, o redirecionamento falhará inteiramente.

Timeouts de RADIUS: Se o portal carrega, mas a autenticação falha consistentemente, investigue o caminho de comunicação do RADIUS. Verifique se o endereço IP externo do FortiGate está registrado corretamente na configuração do roteador no portal da Purple. Certifique-se de que os segredos compartilhados coincidam exatamente — uma divergência de um único caractere causará falhas silenciosas de autenticação — e que nenhum firewall intermediário esteja bloqueando as portas UDP 1812 e 1813 entre a infraestrutura Fortinet e os servidores RADIUS na nuvem da Purple.

Erros de Certificado: Os sistemas operacionais móveis modernos são altamente sensíveis a anomalias de certificado SSL/TLS durante a interceptação do captive portal. Certifique-se de que o FortiGate esteja apresentando um certificado válido e publicamente confiável para a interface de redirecionamento, em vez de um certificado padrão autoassinado. Isso evita avisos de segurança alarmantes que impedem os convidados de concluir o fluxo de autenticação.

Lacunas na Contabilização de Sessão: Se o painel de analytics da Purple mostrar dados de sessão incompletos ou métricas de largura de banda ausentes, verifique se o servidor de contabilização RADIUS (Porta 1813) está configurado corretamente e se o intervalo provisório de contabilização (accounting interim interval) está definido. Os dados de contabilização são enviados separadamente da autenticação e requerem sua própria definição de servidor.

ROI e Impacto nos Negócios

A integração do Fortinet e Purple transforma um centro de custo padrão — o guest WiFi — em um ativo de negócios mensurável. Ao utilizar o Captive Portal da Purple, os estabelecimentos capturam dados demográficos e informações de contato verificadas, permitindo campanhas de marketing direcionadas, crescimento de programas de fidelidade e reengajamento pós-visita. Para estabelecimentos que operam nos setores de Varejo ou Hospitalidade , esses dados primários (first-party data) são cada vez mais valiosos, à medida que a depreciação dos cookies de terceiros limita os canais tradicionais de marketing digital.

Para as operações de TI, transferir a autenticação de convidados para o Cloud RADIUS da Purple reduz significativamente a sobrecarga administrativa associada ao gerenciamento de bancos de dados de usuários locais, à impressão de vouchers físicos ou à manutenção de infraestrutura RADIUS local. A combinação do onboarding simplificado da Purple com a robusta inspeção de tráfego da Fortinet garante que o estabelecimento ofereça uma experiência de internet segura e de alto desempenho, enquanto gera simultaneamente inteligência de negócios acionável por meio do WiFi Analytics . Esta arquitetura é altamente escalável, suportando desde um único hotel boutique até um campus empresarial distribuído, entregando um ROI consistente tanto por meio da viabilização de marketing quanto da eficiência operacional.

Definições principais

External Captive Portal

Uma configuração na qual o hardware de rede (FortiGate/FortiAP) redireciona o tráfego do usuário não autenticado para uma splash page hospedada em um servidor em nuvem de terceiros (Purple), em vez de exibir uma página armazenada localmente no dispositivo.

As equipes de TI utilizam isso para transferir o design do portal, a manutenção da API de login social e a captura de consentimento de GDPR para uma plataforma especializada, reduzindo a sobrecarga operacional na equipe de rede.

Walled Garden

Uma lista de permissões explícita de endereços IP, domínios e sub-redes que um dispositivo cliente tem permissão para acessar antes de se autenticar com sucesso na rede.

Crucial para permitir que os dispositivos carreguem os elementos gráficos do Captive Portal, processem logins de redes sociais e resolvam consultas de DNS antes de terem acesso total à internet. É a causa mais comum de falhas no Captive Portal quando configurado incorretamente.

RADIUS Accounting

O mecanismo de protocolo que utiliza a porta UDP 1813 para rastrear a duração da sessão de um usuário, o consumo de largura de banda e os volumes de transferência de dados, reportando esses dados de volta ao servidor RADIUS.

A Purple depende de dados de tarifação precisos do hardware Fortinet para alimentar os painéis de análise e aplicar limites de tempo ou dados nas sessões de convidados. Deve ser configurado separadamente da autenticação.

FortiAuthenticator (FAC)

O dispositivo dedicado de gerenciamento de identidade e acesso da Fortinet, usado para autenticação de rede 802.1X de funcionários internos, logon único (SSO) e gerenciamento de certificados.

Os gerentes de TI frequentemente precisam garantir que a implantação da Purple para convidados não interrompa a infraestrutura FAC existente usada pelos funcionários corporativos. A resposta é sempre a segregação de SSID.

Bridge Mode SSID

Uma configuração sem fio na qual o ponto de acesso age como uma ponte transparente de camada 2, passando o tráfego do cliente diretamente para uma VLAN específica na rede cabeada em vez de realizar NAT.

Preferido em implantações corporativas, pois permite que os servidores DHCP principais existentes gerenciem os endereços IP, evita gargalos de DHCP no FortiGate e expõe os IPs reais dos clientes para a plataforma de analytics da Purple.

Post-Authentication Policy

As regras de firewall e perfis de Gerenciamento Unificado de Ameaças (UTM) aplicados ao tráfego de um usuário somente após ele ter se autenticado com sucesso por meio do Captive Portal.

É aqui que os arquitetos de rede aplicam filtragem web, controle de aplicativos e modelagem de largura de banda para proteger a rede do local contra atividades maliciosas de convidados. A Purple lida com a identidade; o FortiGate lida com a aplicação das regras.

IEEE 802.1X

Um padrão IEEE para Controle de Acesso de Rede baseado em porta, fornecendo uma estrutura para autenticar dispositivos que desejam se conectar a uma LAN ou WLAN usando métodos EAP, como PEAP ou EAP-TLS.

Usado para acesso seguro de funcionários via FortiAuthenticator, distinto da autenticação aberta baseada em portal usada para convidados via Purple. Os dois métodos de autenticação coexistem em SSIDs separados.

RADIUS-as-a-Service

Uma infraestrutura RADIUS hospedada na nuvem e fornecida pela Purple, eliminando a necessidade de os estabelecimentos implantarem e manterem servidores RADIUS locais, como FreeRADIUS ou Windows NPS.

Reduz a sobrecarga de infraestrutura para as equipes de TI, garantindo alta disponibilidade e integração perfeita com a plataforma de Captive Portal. Particularmente valioso para implantações distribuídas de varejo ou hotelaria.

FortiGuard

O serviço de assinatura de filtragem de conteúdo e inteligência de ameaças baseada em nuvem da Fortinet, que fornece filtragem web em tempo real, controle de aplicativos e assinaturas de prevenção de intrusões para dispositivos FortiGate.

Aplicado por meio de políticas de firewall pós-autenticação para inspecionar e controlar o tráfego de internet dos convidados depois que a Purple autenticar o usuário, protegendo a rede do local e a reputação do IP.

Exemplos práticos

Um hotel de 200 quartos atualmente utiliza um FortiGate 100F e FortiAPs. Eles usam o FortiAuthenticator para autenticação 802.1X de funcionários. Eles querem implementar o Purple WiFi para hóspedes para capturar dados de marketing, mas o Diretor de TI está preocupado que o portal de hóspedes interfira no fluxo de autenticação existente dos funcionários.

Implante a segregação absoluta de SSID. Mantenha o SSID Staff_WiFi existente configurado para WPA2-Enterprise, apontando para o servidor RADIUS do FortiAuthenticator na Porta 1812. Crie um novo SSID separado, Guest_WiFi, configurado como uma rede aberta com o Captive Portal externo ativado. Configure a URL do Captive Portal para apontar para a splash page do Purple e configure as definições de RADIUS para este SSID específico para apontar para os servidores RADIUS na nuvem do Purple (Porta 1812 para autenticação, Porta 1813 para tarifação/accounting). Mapeie o SSID Guest para uma VLAN isolada com uma política de firewall dedicada. O FortiGate roteia as solicitações de autenticação com base no SSID de origem, garantindo interferência zero entre os dois sistemas de autenticação.

Comentário do examinador: Esta abordagem aproveita a capacidade do FortiGate de definir parâmetros de autenticação por SSID. Ela resolve elegantemente o requisito de coexistência sem exigir proxy RADIUS complexo ou regras de encaminhamento condicional no FortiAuthenticator. O ponto fundamental é que o FortiGate atua como o ponto de aplicação da política de tráfego para ambos os SSIDs, enquanto a verificação de identidade é delegada à plataforma apropriada para cada tipo de usuário.

Uma rede de varejo está implantando FortiCloud APs em 50 locais. Eles querem usar o Purple WiFi para análise de dados de visitantes (analytics). Durante os testes no primeiro site, o visitante se conecta ao WiFi, mas seu dispositivo exibe uma página em branco ou um erro de tempo limite de conexão esgotado em vez da splash page do Purple.

A equipe de TI deve auditar e atualizar a configuração de Walled Garden nas configurações de SSID do FortiCloud AP. O FortiAP está bloqueando as solicitações HTTP/HTTPS do cliente para os recursos do portal do Purple antes da autenticação. A equipe deve inserir a lista completa de domínios exigidos pelo Purple — incluindo endpoints de CDN e domínios de provedores de login social — na lista de permissões (allowlist) do Walled Garden. Eles também devem verificar se a política de pré-autenticação permite explicitamente o tráfego de DNS na porta UDP 53, para que o dispositivo cliente possa resolver o hostname do portal. Uma vez corrigido no primeiro site, essa configuração deve ser transformada em modelo e aplicada de forma consistente em todos os 50 locais.

Comentário do examinador: Configurações incorretas de Walled Garden são a causa individual mais frequente de falhas de Captive Portal em todos os fabricantes de hardware. A solução identifica corretamente que o tráfego de pré-autenticação deve ser explicitamente permitido. Se o dispositivo não conseguir acessar o CSS, JavaScript ou as APIs de login social do portal, o fluxo de autenticação não poderá ser iniciado. Padronizar a correção em todos os sites evita que o mesmo problema ocorra em escala.

Questões práticas

Q1. Sua implantação exige que os visitantes se autentiquem por meio de uma splash page da Purple. Você configurou o SSID, os servidores RADIUS e a URL de redirecionamento. No entanto, ao conectar, os dispositivos dos visitantes relatam imediatamente "Sem Conexão com a Internet" e o portal falha ao abrir automaticamente. Qual é a omissão de configuração mais provável?

Dica: Considere qual acesso de rede um dispositivo requer antes de ser totalmente autenticado na rede.

Ver resposta modelo

O Walled Garden (lista de permissões de pré-autenticação) provavelmente está incompleto ou ausente. O dispositivo precisa de permissão explícita para acessar os domínios do portal da Purple, as APIs de login social (Facebook, Google) e realizar a resolução de DNS antes que o FortiGate conceda acesso total. Sem isso, o Captive Portal Assistant do dispositivo não consegue alcançar a URL de destino para acionar o pop-up. Além disso, verifique se o tráfego DNS na porta UDP 53 está permitido na política de pré-autenticação.

Q2. Uma implantação em um estádio prevê 15.000 conexões simultâneas de visitantes durante os eventos. O design atual propõe o uso do FortiGate no modo NAT para fornecer DHCP ao SSID de visitantes a partir de uma única sub-rede /20. Por que essa decisão de arquitetura pode criar problemas operacionais e qual é a alternativa recomendada?

Dica: Considere a sobrecarga de processamento no firewall FortiGate e as implicações da rotatividade de concessões DHCP em larga escala.

Ver resposta modelo

O uso do modo NAT coloca toda a carga de processamento do DHCP no FortiGate, que pode ter dificuldades com a rápida rotatividade de concessões de 15.000 dispositivos transitórios se conectando e desconectando ao longo de um evento. Uma única sub-rede /20 fornece apenas 4.094 endereços utilizáveis, o que pode ser insuficiente para o pico de conexões simultâneas. Além disso, o modo NAT oculta o IP real do cliente da plataforma Purple, limitando a profundidade analítica. A abordagem recomendada é o modo Bridge, direcionando o tráfego de visitantes para uma VLAN dedicada gerenciada por uma infraestrutura de DHCP externa corporativa robusta, com pools de endereços dimensionados adequadamente.

Q3. O CISO exige que o tráfego de WiFi de visitantes não consuma mais de 20% da largura de banda total da internet do local, e os visitantes devem ser impedidos de acessar redes de compartilhamento de arquivos peer-to-peer. Onde na arquitetura Fortinet-Purple essa política é aplicada e quais recursos específicos do Fortinet são necessários?

Dica: Determine qual componente lida com a inspeção de tráfego e aplicação de políticas após a identidade do usuário ter sido verificada pela Purple.

Ver resposta modelo

Esta política é aplicada no appliance FortiGate UTM por meio da política de firewall pós-autenticação aplicada à VLAN de visitantes. Enquanto a Purple lida com a autenticação e captura de identidade, o FortiGate continua responsável pela inspeção e aplicação do tráfego na Camada 7. A equipe de rede deve configurar um perfil do FortiGuard Application Control para bloquear categorias P2P (BitTorrent, eDonkey, etc.) e aplicar um perfil de Traffic Shaper à política de visitantes para impor o limite de 20% de largura de banda. Ambos os perfis devem ser referenciados na política de firewall pós-autenticação, e não na política de walled garden de pré-autenticação.

Continue a ler esta série

CommScope Ruckus Integration with Purple WiFi: Setup and Configuration Guide

Este guia de referência técnica fornece um manual de configuração definitivo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Ele detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant usando Ruckus Dynamic PSK.

Integração de Access Points Allied Telesis com o Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar os access points Allied Telesis Série TQ com o Purple WiFi. Ele aborda o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implantações seguras de múltiplos inquilinos (multi-tenant).

Integração de Access Points Grandstream GWN com Purple WiFi

Este guia de referência técnica detalhado explica como integrar os access points Grandstream GWN com o Guest WiFi e a plataforma de analytics da Purple. Ele abrange a configuração do Captive Portal Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários via 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas passo a passo para MSPs e equipes de TI que implantam WiFi para visitantes e funcionários em escala.