Pular para o conteúdo principal
Português (Brasil)

Integração do WatchGuard Firebox com o Purple WiFi: Guia de Instalação e Configuração

Este guia é um manual de integração passo a passo para gerentes de TI e arquitetos de rede que implantam o WatchGuard Firebox e Access Points com a Purple. Ele aborda o redirecionamento de Captive Portal externo para Guest WiFi, autenticação 802.1X segura para Staff WiFi e segmentação multi-tenant usando WatchGuard Private Pre-Shared Keys (PPSK) com direcionamento dinâmico de VLAN - oferecendo uma arquitetura única e unificada em todas as camadas de acesso.

📖 8 min de leitura📝 1,854 palavras🔧 2 exemplos práticos3 questões práticas📚 10 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo ao briefing de integração. Hoje estamos abordando a integração do WatchGuard Firebox e Access Point com o Purple WiFi. Este é um manual técnico para gerentes de TI, arquitetos de rede e diretores de operações de locais que precisam implantar uma infraestrutura sem fio segura e escalável. Analisaremos os Captive Portals de Guest WiFi, Staff WiFi seguro usando 802.1X e segmentação Multi-Tenant usando WatchGuard Private Pre-Shared Keys, ou PPSK. Vamos direto ao contexto. Quando você gerencia um local complexo, como um estádio, um grande centro comercial ou um condomínio residencial, precisa de controle preciso sobre quem acessa a rede e o que eles podem fazer depois de conectados. Você também precisa capturar dados primários para gerar receita de marketing. A WatchGuard fornece a plataforma de segurança unificada e o hardware. A Purple fornece a sobreposição de nuvem, o gerenciamento de identidade e as análises. Ao integrar os dois, você automatiza o controle de acesso baseado em identidade. Você elimina a necessidade de gateways separados para convidados e funcionários, o que reduz os gastos com hardware e simplifica o gerenciamento. Atualmente, a Purple atende a mais de 80.000 locais ativos e processou 440 milhões de logins apenas em 2024, portanto, a plataforma foi criada para lidar com a escala de qualquer local que você provavelmente esteja gerenciando. Vamos passar para a análise técnica detalhada. A arquitetura depende de protocolos RADIUS padrão e redirecionamento HTTP. Temos três camadas de acesso principais. Primeiro, Guest WiFi. Este é um SSID aberto. O AP da WatchGuard intercepta as solicitações HTTP e redireciona o usuário para a splash page hospedada da Purple. Segundo, Staff WiFi. Este é um SSID WPA3-Enterprise seguro que usa 802.1X. Os dispositivos se autenticam diretamente nos servidores RADIUS da Purple usando EAP-TLS ou PEAP. Terceiro, WiFi Multi-Tenant. Isso usa o WatchGuard PPSK. Vários usuários se conectam a um único SSID, mas cada um usa uma senha exclusiva. O AP da WatchGuard consulta o servidor RADIUS da Purple, que atribui dinamicamente uma VLAN com base nessa chave específica. Então, como configuramos o Captive Portal de Guest WiFi? A etapa um é configurar o servidor RADIUS no WatchGuard Cloud ou no Firebox Policy Manager. Você aponta o servidor RADIUS principal para o endereço IP da Purple para a sua região. A autenticação ocorre na porta 1812, a contabilização na porta 1813. Você insere o segredo compartilhado fornecido pela Purple e, fundamentalmente, garante que o NAS ID corresponda ao endereço MAC do Firebox ou AP. Isso informa à Purple de qual local a solicitação está vindo. A etapa dois é o próprio redirecionamento do Captive Portal. Nas configurações do SSID, você seleciona Third-Party Hosted Captive Portal com Autenticação RADIUS. Você insere a URL da splash page da Purple e o segredo compartilhado do portal. Este é um segredo específico gerado no painel do Purple Analyze e é usado para criar um digest HMAC para validar as solicitações de autenticação. O algoritmo HMAC-SHA1 garante que a mensagem de sucesso de autenticação da Purple seja genuína e não tenha sido adulterada em trânsito. A etapa três, e é aqui que muitas implantações falham, é o Walled Garden. Se você não configurar isso, o dispositivo não conseguirá carregar a splash page. Você deve permitir o acesso a asterisco ponto mypurple ponto com, api ponto mypurple ponto com e cdn ponto mypurple ponto com antes do login. Se estiver usando logins sociais como Microsoft Entra ID ou Google Workspace, precisará adicionar esses domínios de provedor de identidade também. Pense no Walled Garden como o saguão de pré-autenticação. Sem ele, o convidado não consegue sequer chegar à porta da frente. Agora, vamos analisar a segmentação Multi-Tenant com o WatchGuard PPSK. Se você gerencia um centro comercial com 15 lojas, transmitir 15 SSIDs diferentes é uma abordagem ruim. Isso causa interferência de canal adjacente, polui o espaço aéreo e cria uma sobrecarga de gerenciamento. O PPSK resolve isso de forma elegante. Você transmite um SSID, por exemplo, Centre-Retail. Você ativa a Private Pre-Shared Key nas configurações de SSID da WatchGuard, o que requer a versão de firmware 2.6 ou superior em seus Access Points da WatchGuard. Na Purple, você cria chaves exclusivas, uma por locatário. Para isolar o tráfego, você usa a Atribuição Dinâmica de VLAN. No WatchGuard Cloud, você define a VLAN como Dynamic VLAN assigned by RADIUS. Quando uma loja conecta um dispositivo usando sua chave específica, o AP envia um Access-Request para o servidor RADIUS da Purple. A Purple valida a chave e envia de volta um pacote Access-Accept com três atributos RADIUS IETF vitais. Tunnel-Type, que é o atributo 64, definido como VLAN. Tunnel-Medium-Type, atributo 65, definido como 802. E Tunnel-Private-Group-ID, atributo 81, definido como o ID da VLAN atribuída, por exemplo, VLAN 100 para o Locatário de Varejo A. O AP da WatchGuard coloca esse dispositivo na VLAN 100, completamente isolado dos outros locatários. Isso é Rede Baseada em Identidade na prática. Vamos discutir as recomendações de implementação e as armadilhas comuns. Primeiro, tempos limite de sessão. Configure tempos limite de sessão estritos tanto na Purple quanto na WatchGuard para forçar a reautenticação. Isso mantém suas análises precisas e garante que sessões inativas não consumam largura de banda. Defina seus intervalos de RADIUS Interim-Update para 10 minutos. Segundo, firmware. Você deve garantir que seus Access Points da WatchGuard estejam executando a versão de firmware 2.6 ou superior para oferecer suporte ao PPSK. Versões de firmware anteriores não oferecem suporte a esse recurso. Terceiro, randomização de MAC. Os dispositivos modernos randomizam seus endereços MAC por padrão. Para a sua rede Staff WiFi segura, oriente sua equipe a desativar esse recurso para esse SSID específico para garantir uma autenticação 802.1X estável. A randomização de MAC pode causar falhas de autenticação e dados analíticos inconsistentes. O que acontece quando as coisas dão errado? Se o Captive Portal falhar ao carregar, verifique primeiro o Walled Garden. Se o dispositivo não conseguir resolver o DNS ou alcançar os servidores da Purple, ele mostrará um erro de tempo limite em vez da splash page. Se o direcionamento de VLAN falhar e o cliente receber um IP da VLAN errada, verifique os logs do RADIUS no portal da Purple. Certifique-se de que o atributo Tunnel-Private-Group-ID esteja formatado corretamente como uma string e corresponda a uma VLAN que realmente exista na porta do switch conectada ao AP. Se você vir erros de digest HMAC nos logs da WatchGuard, seu Segredo Compartilhado do Captive Portal não corresponde entre a WatchGuard e a Purple. Ele deve ser idêntico em ambos os sistemas, caractere por caractere. Hora de um Q&A rápido. Pergunta: Posso usar PPSK e o Captive Portal no mesmo SSID? Resposta: No. A WatchGuard não oferece suporte à execução de VLANs dinâmicas via PPSK e um Captive Portal no mesmo SSID simultaneamente. Você precisa de um SSID para o portal e um SSID separado para o PPSK. Planeje sua arquitetura de SSID de acordo. Pergunta: O que acontece se o servidor RADIUS não retornar um ID de VLAN para um usuário PPSK? Resposta: No WatchGuard Cloud, você configura uma opção de fallback para Clientes Não Atribuídos. Você pode colocá-los em uma VLAN não marcada ou em uma VLAN de quarentena isolada específica para garantir que eles não obtenham acesso à rede corporativa. Sempre configure esse fallback para evitar acessos acidentais. Para resumir, a integração do WatchGuard Firebox com a Purple oferece uma plataforma unificada para segurança, identidade e análise em redes de convidados, funcionários e Multi-Tenant. Você usa o redirecionamento de Captive Portal externo para convidados, 802.1X para funcionários e PPSK com VLANs dinâmicas para ambientes multi-tenant. O ROI é claro. Você reduz os custos de hardware ao consolidar gateways, simplifica o gerenciamento por meio de uma única plataforma de nuvem e gera receita ao capturar dados primários por meio do Captive Portal da Purple. Seus próximos passos são revisar sua arquitetura de SSID atual, garantir que o firmware da WatchGuard esteja na versão 2.6 ou superior e começar a configurar suas definições de RADIUS no portal da Purple. Obrigado por ouvir.

header_image.png

Resumo executivo

A implantação de uma infraestrutura sem fio segura e escalável em locais complexos exige uma integração precisa entre o seu gateway de segurança e o provedor de identidade. Este guia detalha a integração do WatchGuard Firebox e dos WatchGuard Access Points com a Purple, abrangendo três camadas de acesso distintas: redirecionamento de Guest WiFi Captive Portal, Staff WiFi seguro usando IEEE 802.1X e segmentação de WiFi Multi-Tenant via WatchGuard Private Pre-Shared Keys (PPSK).

Ao combinar a plataforma de segurança unificada da WatchGuard com a sobreposição de nuvem da Purple, você automatiza o controle de acesso baseado em identidade, impõe políticas de segurança granulares e captura dados primários em escala. A Purple opera em mais de 80.000 locais ativos e processou 440 milhões de logins em 2024 (dados internos da Purple). A integração é agnóstica em relação ao hardware por design - a WatchGuard está ao lado de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet na lista de hardwares compatíveis da Purple. Para uma visão mais ampla dos padrões de segurança de WiFi corporativo, consulte nosso Segurança de WiFi Corporativo: Um Guia Completo para 2026 .

architecture_overview.png

Arquitetura técnica

A integração conecta o hardware da WatchGuard aos serviços de nuvem da Purple usando dois mecanismos padrão: RADIUS (Remote Authentication Dial-In User Service) para autenticação e contabilização, e redirecionamento HTTP para entrega do Captive Portal. A arquitetura oferece suporte a três camadas de acesso em uma única infraestrutura física.

Camada de Acesso Tipo de SSID Método de Autenticação Papel da Purple
Guest WiFi Aberto Captive Portal externo + RADIUS accounting Splash page, captura de dados, análises
Staff WiFi WPA3-Enterprise 802.1X (EAP-TLS ou PEAP) Servidor RADIUS, proxy de provedor de identidade
WiFi Multi-Tenant WPA2/WPA3 Personal + PPSK PPSK validado via RADIUS Gerenciamento de chaves, atribuição dinâmica de VLAN

Todas as três camadas podem ser executadas simultaneamente na mesma frota de Access Points da WatchGuard. Os modelos WatchGuard Wi-Fi 6 - AP130, AP230W, AP330, AP332CR, AP430CR e AP432 - oferecem suporte a PPSK a partir do firmware v2.6 em diante.

Configurando o redirecionamento de Captive Portal de Guest WiFi

A integração do Captive Portal da WatchGuard redireciona solicitações HTTP não autenticadas para a splash page hospedada da Purple. Este é o principal mecanismo para capturar dados primários e impor termos de serviço.

Passo 1: Configuração do servidor RADIUS

No WatchGuard Cloud ou no Firebox Policy Manager, defina a Purple como o servidor de autenticação e contabilização RADIUS.

  • Servidor RADIUS primário: Defina para o endereço IP do RADIUS da Purple para a sua região (disponível no portal da Purple em Configurações > Integração de Hardware).
  • Porta de autenticação: 1812
  • Porta de contabilização: 1813
  • Segredo compartilhado: Insira o segredo exclusivo fornecido no portal da Purple.
  • NAS ID: Defina como o endereço MAC do Firebox ou AP usando o especificador de formato %m. Isso identifica o local para a Purple e direciona as análises para a conta correta.
  • Intervalo de contabilização: Defina para 10 minutos para garantir que os dados da sessão fluam para o painel de análise da Purple em intervalos regulares.

Passo 2: Configurações de SSID e Captive Portal

No WatchGuard Cloud, navegue até Configure > Devices > [Your AP] > Device Configuration > SSIDs. Crie ou edite o SSID de Guest.

  • Segurança: Aberto (sem senha de pré-autenticação).
  • Tipo de Captive Portal: Selecione Third-Party Hosted Captive Portal with RADIUS Authentication.
  • URL da Splash Page: Insira a URL da splash page da Purple (por exemplo, https://wifi.mypurple.com/splash). Recupere isso em Purple > Analyze > Portals.
  • Segredo compartilhado: Insira o segredo compartilhado do portal a partir da mesma página Purple Analyze Portals. Esse segredo gera o digest HMAC-SHA1 que a WatchGuard usa para validar a resposta de sucesso de autenticação da Purple.

Passo 3: Configuração do Walled Garden

O Walled Garden define quais domínios um dispositivo pode acessar antes que a autenticação seja concluída. Sem isso, o dispositivo não conseguirá carregar a splash page da Purple. Adicione as seguintes entradas em Websites that users can access before login:

  • *.mypurple.com
  • api.mypurple.com
  • cdn.mypurple.com
  • assets.mypurple.com

Se você ativar logins sociais ou federados via Microsoft Entra ID, Okta ou Google Workspace, adicione os domínios do provedor de identidade relevantes (por exemplo, login.microsoftonline.com, accounts.google.com). Para obter o contexto legal e de conformidade sobre infraestrutura de WiFi compartilhada, consulte nosso guia sobre Requisitos Legais e de Conformidade para Infraestrutura de WiFi Compartilhada .

Como funciona o fluxo de autenticação HMAC

Compreender esse fluxo ajuda a diagnosticar falhas rapidamente.

  1. O dispositivo do convidado se conecta ao SSID aberto e faz uma solicitação HTTP.
  2. O AP da WatchGuard intercepta a solicitação e redireciona o navegador para a URL da splash page da Purple, anexando um parâmetro challenge (uma string hexadecimal aleatória) e o endereço MAC do dispositivo.
  3. A Purple exibe a splash page. O convidado preenche o formulário de login.
  4. A Purple gera um digest HMAC-SHA1 usando o segredo compartilhado do portal e o valor do challenge.
  5. A Purple redireciona o navegador de volta para a URL de login do AP da WatchGuard, anexando o challenge e o digest.
  6. O AP da WatchGuard valida o digest usando o mesmo segredo compartilhado. Se houver correspondência, o AP concede acesso à internet e envia um pacote RADIUS Accounting Start para a Purple.

Staff WiFi seguro com 802.1X

Para o Staff WiFi, você substitui o Captive Portal pelo IEEE 802.1X - o padrão corporativo para controle de acesso à rede baseado em porta. Cada funcionário se autentica com credenciais exclusivas ou um certificado, eliminando o risco de senha compartilhada.

No WatchGuard Cloud, configure o SSID da equipe com segurança WPA3 Enterprise e aponte o Authentication Domain para o servidor RADIUS da Purple. A Purple atua como o servidor RADIUS e pode fazer o proxy de solicitações de autenticação para o Microsoft Entra ID, Okta ou Google Workspace via SAML ou LDAP.

Para autenticação baseada em certificado (EAP-TLS), implante certificados de cliente via seu MDM para dispositivos gerenciados. Para autenticação baseada em credenciais (PEAP-MSCHAPv2), os usuários se autenticam com suas credenciais de diretório. A Purple valida a solicitação em relação ao provedor de identidade configurado e retorna um RADIUS Access-Accept ou Access-Reject para o AP WatchGuard.

Para um passo a passo detalhado da configuração do 802.1X em diferentes tipos de dispositivos, consulte nosso guia sobre autenticação 802.1X: protegendo o acesso à rede em dispositivos modernos .

Nota importante sobre a randomização de MAC: Dispositivos iOS e Android modernos randomizam seus endereços MAC por padrão. Para o WiFi da equipe com 802.1X, instrua a equipe a desativar a randomização de MAC para o SSID da equipe. MACs randomizados causam logs de autenticação inconsistentes e quebram a aplicação de políticas baseadas em MAC.

WiFi Multi-Tenant com WatchGuard PPSK

Transmitir um SSID separado por locatário em um centro comercial, espaço de coworking ou empreendimento Build-to-Rent (BTR) causa interferência de canal compartilhado e polui o ambiente de RF. O WatchGuard PPSK (Private Pre-Shared Key) - introduzido no firmware de AP v2.6 - resolve isso atribuindo uma senha exclusiva para cada usuário ou locatário em um único SSID.

ppsk_vlan_segmentation_chart.png

Passo 1: Habilitar o PPSK no SSID

No WatchGuard Cloud, edite o SSID de destino (ex: Venue-WiFi).

  • Segurança: WPA2 Personal ou WPA3 Personal.
  • Autenticação: Habilite Private Pre-Shared Key (PPSK).
  • Servidor RADIUS: Aponte para o servidor RADIUS da Purple. A Purple gerencia o armazenamento de credenciais PPSK e retorna atributos de VLAN na autenticação.

Passo 2: Configurar atribuição dinâmica de VLAN

Para isolar o tráfego de locatários, o AP WatchGuard atribui uma VLAN específica com base no PPSK usado.

  • Configuração de VLAN: Selecione Dynamic VLAN assigned by RADIUS.
  • Fallback para clientes não atribuídos: Selecione uma VLAN de quarentena isolada (ex: VLAN 999) para garantir que os dispositivos que falharem na validação do RADIUS não consigam acessar a rede corporativa.

Requisitos para VLANs dinâmicas em Access Points WatchGuard:

  • Firmware do AP v2.2 ou superior.
  • O NAT deve estar desativado no SSID.
  • VLANs dinâmicas e Captive Portal não podem ser executados no mesmo SSID simultaneamente.
  • A porta do switch conectada ao AP deve ser configurada como uma porta trunk que transporta todas as VLANs relevantes.

Passo 3: Atributos RADIUS para direcionamento de VLAN

Quando um usuário se conecta usando um PPSK, o AP WatchGuard envia um RADIUS Access-Request para a Purple. A Purple valida a chave e retorna um pacote Access-Accept contendo três atributos RADIUS IETF:

Atributo RADIUS Número do Atributo Valor
Tunnel-Type 64 13 (VLAN)
Tunnel-Medium-Type 65 6 (802)
Tunnel-Private-Group-ID 81 VLAN ID (ex: "100")

O AP WatchGuard lê o atributo 81 e coloca o cliente na VLAN correspondente. Na Purple, você mapeia cada credencial PPSK para um ID de VLAN e função específicos. Este é o mecanismo por trás das Redes Baseadas em Identidade - a credencial determina o segmento de rede, não o SSID.

Melhores práticas de implementação

Essas recomendações se aplicam a implantações em hospitalidade , varejo , saúde e transporte .

Limites de tempo de sessão: Configure limites de tempo de sessão tanto na Purple quanto no WatchGuard para forçar a autenticação novamente em intervalos regulares. Isso mantém as análises precisas e evita que sessões inativas consumam largura de banda. Defina o RADIUS Interim-Update (Acct-Interim-Interval) para 600 segundos (10 minutos).

Gerenciamento de firmware: Certifique-se de que os Access Points WatchGuard executem o firmware v2.6 ou superior para suporte ao PPSK. Use o WatchGuard Cloud para agendar atualizações de firmware durante as horas de menor movimento para evitar lacunas de cobertura.

Conformidade com PCI DSS: Para ambientes de varejo que processam pagamentos com cartão, isole os dispositivos de PDV em uma VLAN dedicada (ex: VLAN 200) usando PPSK. Certifique-se de que a VLAN de WiFi de Visitantes não tenha rota para a VLAN de PDV. Isso atende aos requisitos de segmentação de rede do PCI DSS.

GDPR e coleta de dados: O Captive Portal da Purple usa opt-ins de escolha consciente, garantindo que a coleta de dados atenda aos requisitos do GDPR. A Purple possui certificações ISO 27001, GDPR, CCPA e Cyber Essentials. Certifique-se de que sua splash page inclua um aviso de privacidade claro e um link para os termos de serviço antes do início da captura de dados.

Solução de problemas e mitigação de riscos

Falha ao carregar o Captive Portal: O Walled Garden é o primeiro lugar a ser verificado. Se o dispositivo não conseguir resolver o DNS ou alcançar os servidores da Purple antes da autenticação, o navegador exibirá um erro de tempo limite em vez da splash page. Verifique se todos os domínios da Purple estão na lista do Walled Garden e se as configurações de DNS do WatchGuard permitem a resolução pré-autenticação.

Erros de validação de digest HMAC: Se os logs do WatchGuard mostrarem falhas de autenticação com erros de HMAC, o Captive Portal Shared Secret não coincide entre o WatchGuard e a Purple. Ele deve ser idêntico em ambos os sistemas. Regenere o segredo na Purple e insira-o novamente no WatchGuard Cloud.

Falha no direcionamento de VLAN: Se um usuário de PPSK receber um IP da VLAN errada, verifique os logs de RADIUS no portal da Purple. Verifique se a Purple está retornando todos os três atributos RADIUS IETF. Certifique-se de que o valor de Tunnel-Private-Group-ID esteja formatado como uma string e corresponda a um ID de VLAN configurado na porta trunk do switch.

Conflito entre PPSK e Captive Portal: O WatchGuard não suporta VLANs dinâmicas e Captive Portal no mesmo SSID. Se você precisar de ambos, use dois SSIDs: um para o Captive Portal de visitantes e outroe para acesso multi-tenant PPSK.

Falhas de autenticação 802.1X: Use a ferramenta de captura de pacotes disponível no firmware do AP WatchGuard v2.5 e superior para capturar o tráfego entre o AP e o servidor RADIUS. Procure por pacotes RADIUS Access-Reject e o código de motivo no atributo de mensagem de resposta.

ROI e impacto nos negócios

A integração entre WatchGuard e Purple consolida segurança e analytics em uma única arquitetura. Um hotel de 200 quartos que utiliza essa integração elimina a necessidade de gateways separados para hóspedes e funcionários, reduzindo os gastos com hardware em aproximadamente 30% em comparação com uma implantação de múltiplos gateways (dados internos da Purple). O captive portal de Guest WiFi captura dados primários - endereços de e-mail, informações demográficas e frequência de visitas - que geram receita de marketing direto por meio do plano Engage da Purple.

Para locais multi-tenant, o PPSK elimina a sobrecarga operacional de gerenciar múltiplos SSIDs. Um centro comercial que gerencia 15 unidades de lojas em um único SSID reduz a utilização de rádio do AP e simplifica as auditorias de rede. O WiFi Analytics da Purple fornece aos operadores do local dados de tempo de permanência, fluxo de pessoas e visitas repetidas - métricas que justificam o investimento em infraestrutura para as equipes financeiras.

A Purple mantém 99,999% de uptime (dados internos da Purple), garantindo que o captive portal de Guest WiFi permaneça disponível mesmo durante períodos de pico em locais de alta densidade, como estádios e centros de convenções.

Definições principais

PPSK (Private Pre-Shared Key)

Um recurso de segurança que atribui uma senha exclusiva a cada usuário ou dispositivo em um SSID WPA2/WPA3 Personal. Introduzido no firmware de AP da WatchGuard v2.6.

Usado em ambientes multi-tenant - centros comerciais, espaços de coworking, empreendimentos BTR - para segmentar usuários sem exigir a configuração de suplicante 802.1X nos dispositivos clientes.

Dynamic VLAN steering

O processo de atribuição de um dispositivo de rede a uma Virtual LAN específica com base nos atributos RADIUS (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) retornados durante a autenticação.

O mecanismo que isola o tráfego de locatários, funcionários e convidados no mesmo access point físico. Requer firmware de AP v2.2 ou superior no hardware da WatchGuard.

Walled Garden

Uma lista de endereços IP ou domínios que um usuário não autenticado tem permissão para acessar antes de concluir a autenticação do Captive Portal.

Necessário para permitir que os dispositivos dos convidados carreguem a splash page da Purple e concluam logins federados (Microsoft Entra ID, Google Workspace) antes que o acesso total à internet seja concedido.

HMAC digest

Um hash criptográfico (HMAC-SHA1) usado para verificar a integridade e a autenticidade da mensagem de sucesso de autenticação do Captive Portal.

A WatchGuard valida o digest HMAC usando o Segredo Compartilhado do Captive Portal. Uma incompatibilidade entre o segredo na WatchGuard e na Purple causa falhas de autenticação.

RADIUS accounting

O componente do protocolo RADIUS que rastreia o uso da rede, incluindo o início da sessão, a duração da sessão e o volume de transferência de dados.

A Purple depende dos pacotes de RADIUS Accounting do WatchGuard Firebox para preencher o painel de análise e impor limites de tempo de sessão. Opera na porta 1813.

Captive portal

Uma página da web para a qual um dispositivo é redirecionado antes de receber acesso a uma rede pública. A WatchGuard intercepta solicitações HTTP e redireciona para a URL do portal externo configurada.

O principal mecanismo para capturar dados primários e impor termos de serviço em redes Guest WiFi. A Purple hospeda a splash page e gerencia os dados.

802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta. Exige que cada dispositivo se autentique com credenciais exclusivas ou um certificado antes que o acesso à rede seja concedido.

O padrão corporativo para proteger o Staff WiFi. Elimina o risco de senha compartilhada do WPA2 Personal. Requer um servidor RADIUS (Purple) e um suplicante no dispositivo cliente.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Um método de autenticação 802.1X altamente seguro que exige um certificado de cliente e um certificado de servidor para autenticação mútua.

Usado em ambientes de alta segurança onde os dispositivos são gerenciados por um MDM. Garante que apenas dispositivos de propriedade da empresa com certificados válidos possam se conectar ao SSID do Staff WiFi.

NAS ID (Network Access Server Identifier)

Uma string enviada em pacotes RADIUS que identifica o dispositivo de rede (AP ou Firebox) que faz a solicitação de autenticação.

A Purple usa o NAS ID para identificar de qual local se origina uma solicitação RADIUS. Normalmente definido como o endereço MAC do AP usando o especificador de formato %m na WatchGuard.

Identity-Based Networking

Uma arquitetura de rede onde as políticas de acesso, atribuições de VLAN e controles de segurança são determinados pela identidade do usuário, em vez de sua porta física ou SSID.

A combinação de WatchGuard PPSK, Purple RADIUS e direcionamento dinâmico de VLAN oferece Rede Baseada em Identidade - a credencial determina o segmento de rede automaticamente.

Exemplos práticos

Uma propriedade do Premier Inn com 200 quartos precisa fornecer Guest WiFi para os hóspedes, Staff WiFi seguro para as equipes de recepção e back-office, e uma rede separada para dispositivos IoT (smart TVs, fechaduras eletrônicas). Eles possuem access points WatchGuard AP330 gerenciados via WatchGuard Cloud e um gateway Firebox T85. Como eles devem arquitetar as três redes?

Implante três SSIDs na frota de WatchGuard AP330. SSID 1: 'Premier-Guest' - SSID aberto com redirecionamento de Captive Portal externo para a Purple. Configure o Firebox T85 como o cliente RADIUS apontando para os servidores da Purple (portas 1812/1813). Adicione os domínios de Walled Garden da Purple. Os hóspedes se autenticam por meio da splash page da Purple usando e-mail, login social ou um código de quarto. SSID 2: 'Premier-Staff' - SSID WPA3-Enterprise com autenticação 802.1X. Aponte o domínio de autenticação para o servidor RADIUS da Purple, que faz o proxy das credenciais para o locatário do Microsoft Entra ID da propriedade. A equipe se autentica com suas credenciais corporativas. SSID 3: 'Premier-IoT' - SSID WPA2 Personal com uma PSK estática, colocado em uma VLAN dedicada (por exemplo, VLAN 50) com regras de firewall bloqueando o acesso às VLANs de equipe e de convidados. O Firebox T85 impõe políticas de roteamento inter-VLAN. Todos os três SSIDs transmitem no mesmo hardware de AP, reduzindo o custo de infraestrutura.

Comentário do examinador: Esta arquitetura segue o princípio do menor privilégio. Cada camada de acesso tem o acesso mínimo à rede necessário para sua função. O SSID de IoT usa uma PSK estática em vez de PPSK porque os dispositivos IoT normalmente não conseguem lidar com a rotação dinâmica de credenciais. A decisão principal é usar a Purple como o servidor RADIUS para as camadas de convidados e de equipe, o que centraliza o gerenciamento de identidade e a análise em uma única plataforma.

Um centro comercial que gerencia 12 unidades de lojas deseja fornecer a cada locatário acesso WiFi isolado usando um único SSID. O centro também precisa garantir que uma credencial de locatário comprometida não exponha o tráfego de outros locatários. Eles estão executando access points WatchGuard AP230W no firmware v2.6.

Configure um SSID: 'Centre-Retail' com WPA2 Personal e PPSK ativado. Na Purple, crie 12 credenciais PPSK exclusivas, uma por locatário. Mapeie cada credencial para uma VLAN dedicada (por exemplo, VLAN 101 para o Locatário 1, VLAN 102 para o Locatário 2 e assim por diante). No WatchGuard Cloud, defina a VLAN do SSID como 'Dynamic VLAN assigned by RADIUS' com um fallback para uma VLAN de quarentena (VLAN 999). Configure as portas do switch conectadas ao AP230W como portas trunk transportando as VLANs 101-112 e 999. Quando um dispositivo de locatário se conecta usando seu PPSK, o AP consulta o RADIUS da Purple, recebe o atributo Tunnel-Private-Group-ID e coloca o dispositivo na VLAN correta. Uma credencial comprometida para o Locatário 3 expõe apenas a VLAN 103 - todos os outros locatários permanecem isolados.

Comentário do examinador: O PPSK fornece isolamento por credencial sem a complexidade do gerenciamento de certificados 802.1X. A decisão crítica de design é a VLAN de fallback. Sem uma VLAN de quarentena configurada, um dispositivo que falhar na validação do RADIUS poderá ser colocado na VLAN padrão não marcada, potencialmente obtendo acesso à infraestrutura de gerenciamento. Sempre configure o fallback explicitamente.

Questões práticas

Q1. Um gerente de TI de hotel relata que os hóspedes se conectam ao WiFi, mas a splash page da Purple nunca aparece. O navegador mostra um erro de tempo limite de conexão. A configuração do WatchGuard Cloud mostra a URL da splash page da Purple e o segredo compartilhado corretos. Qual é a causa mais provável e como você resolve isso?

Dica: Considere o que deve acontecer antes que o dispositivo seja autenticado. Quais domínios o dispositivo precisa alcançar para carregar a splash page?

Ver resposta modelo

O Walled Garden está ausente ou incompleto. O WatchGuard Firebox está bloqueando a solicitação HTTP inicial do dispositivo para os servidores da Purple antes que a autenticação seja concluída. Adicione os domínios necessários da Purple à lista 'Websites that users can access before login': *.mypurple.com, api.mypurple.com e cdn.mypurple.com. Se os convidados estiverem usando logins sociais, adicione também os domínios do provedor de identidade relevantes (por exemplo, login.microsoftonline.com para o Entra ID).

Q2. Você está configurando o direcionamento de VLAN baseado em PPSK para um espaço de coworking com 8 membros. A autenticação RADIUS é bem-sucedida (os logs da WatchGuard mostram Access-Accept), mas cada dispositivo de membro recebe um endereço IP da VLAN 1 (a VLAN de gerenciamento padrão) em vez de sua VLAN de locatário atribuída. Como você diagnostica e resolve isso?

Dica: A autenticação foi bem-sucedida, portanto a credencial é válida. O problema está na etapa de atribuição de VLAN. O que a WatchGuard precisa do servidor RADIUS para atribuir uma VLAN?

Ver resposta modelo

O pacote RADIUS Access-Accept da Purple está ausente ou formatando incorretamente os atributos de VLAN. Capture o tráfego RADIUS no AP usando a ferramenta de captura de pacotes da WatchGuard e inspecione o pacote Access-Accept. Verifique se a Purple está retornando todos os três atributos IETF: Tunnel-Type (atributo 64, valor 13), Tunnel-Medium-Type (atributo 65, valor 6) e Tunnel-Private-Group-ID (atributo 81, definido como o ID da VLAN como uma string, por exemplo, '101'). Confirme também se a porta do switch conectada ao AP está configurada como uma porta trunk que transporta as VLANs relevantes e se a configuração de VLAN do SSID no WatchGuard Cloud está definida como 'Dynamic VLAN assigned by RADIUS' em vez de um ID de VLAN estático.

Q3. Um operador de local deseja executar um Captive Portal de Guest WiFi (splash page da Purple) e uma rede PPSK multi-tenant para 6 unidades de varejo no mesmo access point WatchGuard AP330. Eles planejam configurar ambos os recursos em um único SSID para simplificar o ambiente de RF. Isso é possível? Se não, qual é a arquitetura correta?

Dica: Revise os requisitos de VLAN dinâmica da WatchGuard. Existe algum conflito de recursos?

Ver resposta modelo

Isso não é possível em um único SSID. A WatchGuard não oferece suporte a VLANs dinâmicas (necessárias para PPSK) e Captive Portal no mesmo SSID simultaneamente. A arquitetura correta usa dois SSIDs: SSID 1 ('Venue-Guest') configurado como um SSID aberto com redirecionamento de Captive Portal externo para a Purple para convidados públicos. SSID 2 ('Venue-Retail') configurado com WPA2 Personal, PPSK ativado e atribuição dinâmica de VLAN para os 6 locatários de varejo. Ambos os SSIDs transmitem a partir do mesmo hardware AP330, de modo que o impacto de RF é limitado a um beacon de SSID adicional. A porta do switch conectada ao AP deve ser uma porta trunk que transporta todas as VLANs relevantes para ambos os SSIDs.

Continue a ler esta série

Integração de Access Points Allied Telesis com o Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar os access points Allied Telesis Série TQ com o Purple WiFi. Ele aborda o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implantações seguras de múltiplos inquilinos (multi-tenant).

Ler o guia →

Integração do Huawei AirEngine e CloudCampus com o Purple WiFi

Este guia fornece instruções passo a passo para integrar os access points Huawei AirEngine e o iMaster NCE-Campus com o Purple WiFi. Ele aborda a configuração de Captive Portal, autenticação de funcionários via 802.1X e direcionamento dinâmico de VLAN por PPSK para redes corporativas.

Ler o guia →

EnGenius Cloud Access Points Integration with Purple WiFi

Esta referência técnica detalha a integração passo a passo dos Access Points EnGenius Cloud e switches ECS com a plataforma de guest WiFi da Purple. Ela cobre o redirecionamento do guest Captive Portal por meio de uma splash page externa, configuração de Walled Garden, WiFi seguro para funcionários usando IEEE 802.1X e isolamento de rede multi-tenant usando EnGenius MyPSK com atribuição dinâmica de VLAN. Instaladores de TI e arquitetos de rede encontrarão sequências de configuração práticas, estudos de caso reais e uma estrutura de solução de problemas para implantar a Purple em parques de hardware EnGenius.

Ler o guia →