SonicWall e WiFi para visitantes: configuração do Captive Portal com a Purple

INTEGRAÇÃO DO SONICWALL TZ E SONICWAVE COM O PURPLE WIFI Plataforma de Inteligência Purple WiFi - Série de Treinamento Técnico Duração: Aproximadamente 10 minutos Voz: Inglês britânico, tom de consultor sênior - confiante, conversacional, autoritário --- SEGMENTO 1: INTRODUÇÃO E CONTEXTO (aproximadamente 1 minuto) Bem-vindo à Série de Treinamento Técnico da Purple. Hoje estamos abordando uma das integrações tecnicamente mais complexas no espaço de WiFi corporativo: firewalls SonicWall TZ e pontos de acesso SonicWave, implantados em conjunto com a Purple para autenticação de convidados, controle de acesso de funcionários e isolamento de rede multi-tenant. Se você é um engenheiro de segurança de TI ou um MSP que gerencia locais - hotéis, redes de varejo, centros de conferências ou empreendimentos de uso misto - este treinamento é para você. Vamos passar rapidamente pela arquitetura, pelas etapas de configuração e pelos pontos onde as implantações costumam dar errado. A SonicWall é uma escolha forte no segmento de PMEs e empresas de médio porte. Os firewalls da série TZ são amplamente implantados, e os APs SonicWave se integram nativamente por meio do SonicOS e do Wireless Network Manager. Quando você adiciona a Purple por cima, você obtém uma camada de WiFi para convidados gerenciada na nuvem, com splash pages personalizadas, autenticação baseada em RADIUS e captura de dados primários - tudo sem substituir sua infraestrutura SonicWall existente. Vamos entrar na arquitetura. --- SEGMENTO 2: MERGULHO TÉCNICO PROFUNDO (aproximadamente 5 minutos) Há quatro casos de uso distintos para cobrir aqui, e cada um tem um caminho de configuração diferente. WiFi para convidados com redirecionamento de portal cativo. Exceções de Walled Garden. WiFi seguro para funcionários usando 802.1X. E isolamento multi-tenant usando chaves pré-compartilhadas privadas do SonicWall - PPSK - com direcionamento dinâmico de VLAN. Vamos começar com o WiFi para convidados e o portal cativo do SonicWall. O SonicOS usa um mecanismo chamado Lightweight Hotspot Messaging - LHM - para lidar com redirecionamentos de portais cativos externos. Quando um convidado se conecta ao seu SSID de convidados e abre um navegador, o SonicWall intercepta essa solicitação HTTP e a redireciona para a URL da splash page da Purple. O convidado se autentica na plataforma da Purple - via login social, e-mail ou um clique de aceitação - e a Purple envia uma autorização LHM de volta para o SonicWall na porta TCP 4043. O SonicWall então libera o acesso à internet para o endereço MAC daquele dispositivo. A configuração no SonicOS 7.x funciona assim. Primeiro, navegue até Object, depois Match Objects, e então Zones. Edite a zona atribuída ao seu WiFi de convidados - normalmente uma WLAN ou zona personalizada. Em Guest Services, ative tanto "Enable Guest Services" quanto "External Guest Authentication". Em seguida, vá para Configure, Guest Services, General. Defina o Client Redirect Protocol como HTTP. Insira o hostname do portal da Purple como o endereço do servidor web - que é portal.purple.ai. Defina o caminho de redirecionamento para a URL da splash page específica do seu local, que a Purple fornece no painel do local. A porta é 4043. Na guia Auth Pages, defina a URL de login para a URL do portal externo do Purple. Defina a URL de logout se desejar gerenciar o encerramento da sessão. Na guia Advanced, ative "Allow unauthenticated users to access HTTPS sites" apenas se precisar oferecer suporte a dispositivos que priorizam HTTPS - mas esteja ciente de que isso enfraquece a imposição de redirecionamento. Depois de salvo, o SonicOS cria automaticamente uma política NAT e uma regra de acesso WAN-para-WAN permitindo TCP 4043. Não exclua essas regras geradas automaticamente. Elas são o que permite a conclusão do handshake LHM. Agora, a configuração do Walled Garden. Antes de um visitante se autenticar, seu dispositivo precisa acessar determinados domínios para que a splash page funcione. A plataforma do Purple depende de sua própria CDN e endpoints de API. As investigações de detecção de Captive Portal do sistema operacional - captive.apple.com para dispositivos iOS, connectivitycheck.gstatic.com para Android e msftconnecttest.com para Windows - devem ser incluídas na lista de permissões. Se você estiver oferecendo login social, adicione accounts.google.com, oauth2.googleapis.com, apis.google.com e gstatic.com para o Google. Adicione www.facebook.com, graph.facebook.com, connect.facebook.net e o domínio de CDN fbcdn.net se estiver oferecendo login pelo Facebook. No SonicOS, adicione-os como objetos de endereço FQDN em Object, Match Objects, Addresses. Em seguida, crie regras de acesso na zona de visitantes que permitam que dispositivos não autenticados acessem esses FQDNs. Use a resolução DNS dinâmica - o SonicOS resolve objetos FQDN em intervalos regulares - em vez de entradas de IP estático, que sofrerão desvios conforme as faixas de IP da CDN mudarem. Passando para o Secure Staff WiFi com 802.1X. É aqui que os APs SonicWave e o servidor RADIUS do Purple trabalham juntos. O AP SonicWave atua como o autenticador na troca 802.1X. O solicitante é o dispositivo do funcionário. O servidor RADIUS do Purple é o servidor de autenticação. O método EAP que você escolhe depende do seu provedor de identidade. Se você estiver usando o Microsoft Entra ID ou Okta, o PEAP-MSCHAPv2 é a escolha mais comum porque funciona com credenciais de nome de usuário e senha. Se você implantou certificados de dispositivo - que é a abordagem recomendada para dispositivos gerenciados - use EAP-TLS. No Wireless Network Manager, navegue até Policies, Policy Hierarchy, selecione sua política de AP e clique na guia 802.1X. Insira o endereço IP do servidor RADIUS do Purple - disponível no painel de controle do seu local Purple na seção de configurações de RADIUS. O segredo compartilhado é gerado pelo Purple e deve corresponder exatamente em ambos os lados. Defina a porta de autenticação como 1812 e a porta de tarifação como 1813. Para as configurações de EAP, selecione o método que corresponde à configuração do seu provedor de identidade. No lado do Purple, crie uma política RADIUS para autenticação de funcionários. Mapeie o SSID da equipe para uma VLAN específica - por exemplo, VLAN 200 para funcionários. O servidor RADIUS do Purple retorna a atribuição de VLAN usando três atributos padrão: Tunnel-Type definido como VLAN, Tunnel-Medium-Type definido como 802 e Tunnel-Private-Group-ID definido como o ID da VLAN como uma string - ou seja, "200" para a VLAN 200. O firewall SonicWall e o AP SonicWave honram esses atributos e colocam o dispositivo de funcionário autenticado na VLAN correta de forma automática. Agora, o caso de uso mais interessante em termos de arquitetura: PPSK e isolamento multilocatário (multi-tenant). As Private Pre-Shared Keys permitem que você execute um único SSID e atribua a cada locatário, residente ou grupo de usuários uma senha exclusiva. Quando um dispositivo se conecta usando uma PPSK específica, o AP SonicWave envia essa chave para o servidor RADIUS do Purple para validação. O Purple busca a chave, identifica o locatário ou grupo de usuários associado e retorna a atribuição de VLAN apropriada por meio do atributo Tunnel-Private-Group-ID. O SonicWall direciona o dispositivo para a VLAN correta - completamente isolado de outros locatários no mesmo SSID. Isso é Identity-Based Networking na prática. Você não gerencia SSIDs por locatário. Você gerencia identidades por locatário. Em um empreendimento de uso misto com dez unidades de varejo, um único SSID faz a transmissão por todo o edifício. Cada locatário recebe sua própria PPSK. Cada PPSK é mapeada para uma VLAN e sub-rede dedicadas. Os dispositivos do Locatário A nunca veem o tráfego do Locatário B, mesmo compartilhando os mesmos pontos de acesso físicos. A configuração de PPSK no SonicOS requer o modo PPSK baseado em RADIUS no SSID. No Wireless Network Manager, edite o SSID, defina o modo de segurança como WPA2-Enterprise com PPSK e aponte o servidor RADIUS para o Purple. O Purple autoriza a tabela de mapeamento de PPSK para VLAN de forma centralizada. Quando você adiciona um novo locatário, você cria uma nova PPSK no Purple, atribui a ela uma VLAN, e a alteração é propagada para todos os APs SonicWave naquele local sem alterar a configuração do firewall. - SEGMENTO 3: RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS (aproximadamente 2 minutos) Vou apresentar as três coisas que mais costumam dar errado em implantações de SonicWall e Purple. Primeiro: a porta LHM. A porta TCP 4043 deve estar aberta da WAN para a interface WAN do SonicWall. Se o seu provedor de internet ou firewall de upstream bloquear essa porta, o handshake de autorização LHM nunca será concluído, e os visitantes ficarão presos na página de login (splash page) após a autenticação. Eles veem um login bem-sucedido no lado do Purple, mas o SonicWall nunca recebe o sinal de autorização. Teste isso com um comando telnet ou curl para a porta 4043 a partir de um IP externo antes de entrar em operação. Segundo: o tempo de resolução do objeto FQDN. O SonicOS resolve objetos de endereço FQDN na inicialização e depois em um intervalo configurável. Se você adicionar um novo domínio de walled garden e a resolução ainda não tiver sido atualizada, os dispositivos não autenticados não conseguirão acessá-lo. Force uma atualização manual após adicionar novos objetos FQDN ou defina o intervalo de atualização de DNS para 60 segundos em implantações com alto tráfego. Terceiro: configuração de subinterface VLAN. A atribuição dinâmica de VLAN via RADIUS só funciona se as VLANs de destino existirem como subinterfaces no SonicWall antes de o primeiro dispositivo se autenticar. Se uma resposta RADIUS retornar Tunnel-Private-Group-ID 110, mas a VLAN 110 não existir como uma subinterface no SonicWall, o dispositivo será desconectado ou retornará para a VLAN padrão. Crie e teste todas as subinterfaces VLAN antes de habilitar a atribuição de VLAN RADIUS. Para MSPs que gerenciam vários locais, o painel em nuvem do Purple permite gerenciar políticas RADIUS, tabelas PPSK e configurações de splash page centralizadamente. Você pode aplicar alterações de configuração a todos os locais a partir de uma única interface. Essa é a vantagem operacional de uma abordagem de sobreposição em nuvem - o hardware SonicWall permanece no local, e o Purple lida com a camada de identidade e política acima dele. - SEGMENTO 4: PERGUNTAS E RESPOSTAS RÁPIDAS (aproximadamente 1 minuto) Algumas perguntas que surgem regularmente. "Posso usar APs SonicWave em modo autônomo com o Purple?" Sim, mas você perde algumas funcionalidades. No modo autônomo, os APs SonicWave gerenciam sua própria configuração RADIUS localmente. Você ainda pode apontá-los para o servidor RADIUS do Purple para 802.1X. Mas para PPSK com atribuição dinâmica de VLAN, você precisa do SonicWall TZ como o proxy RADIUS ou do Wireless Network Manager gerenciando a política do AP de forma centralizada. "O Purple suporta WPA3 no SonicWave?" O suporte a WPA3 no SonicWave depende da versão do firmware e do modelo do AP. Os APs SonicWave da série 600 suportam WPA3. Para casos de uso de Captive Portal, o WPA3 com Opportunistic Wireless Encryption é compatível com o fluxo de redirecionamento LHM do Purple, mas teste em sua versão específica de firmware antes de implantar em escala. "Como o Purple lida com o GDPR para dados de convidados coletados por meio da splash page?" O Purple possui certificação ISO 27001, está em conformidade com o GDPR e possui certificação Cyber Essentials. O consentimento é capturado na splash page com caixas de seleção de opt-in configuráveis. O Purple armazena dados primários de acordo com sua política de retenção de dados. Os convidados podem acessar e excluir seus dados por meio do portal de autoatendimento do Purple. "Quais atributos RADIUS o Purple retorna para atribuição dinâmica de VLAN?" Três atributos: Tunnel-Type com valor VLAN, Tunnel-Medium-Type com valor 802 e Tunnel-Private-Group-ID com o ID da VLAN como uma string. Esses são os atributos padrão RFC 2868 suportados pelo SonicOS e SonicWave. - SEGMENTO 5: RESUMO E PRÓXIMOS PASSOS (aproximadamente 1 minuto) Para resumir. Os firewalls SonicWall TZ e APs SonicWave se integram ao Purple por meio de dois mecanismos principais: LHM para redirecionamento de Captive Portal de convidados e RADIUS para autenticação de funcionários por 802.1X e isolamento multi-tenant baseado em PPSK. As principais etapas de configuração são: habilitar a Autenticação de Convidado Externa na zona de convidados, configurar a URL do portal Purple na porta 4043, criar seus objetos FQDN de walled garden, configurar o RADIUS na política do AP SonicWave no Wireless Network Manager e criar suas subinterfaces VLAN no SonicWall antes de habilitar a atribuição dinâmica de VLAN. Para implantações multi-tenant, o PPSK com direcionamento de VLAN baseado em RADIUS é a arquitetura ideal. Um SSID, um conjunto de APs, isolamento completo de inquilinos por meio de atribuição de VLAN baseada em identidade. Se você está planejando uma implantação ou revisando uma existente, a equipe técnica da Purple pode fornecer arquivos de configuração RADIUS específicos para o local e listas de domínios de walled garden. A plataforma Purple suporta 80.000 locais ativos e processou 440 milhões de logins em 2024 - os padrões de integração que cobrimos hoje são comprovados em escala. Obrigado por ouvir. O guia escrito completo com tabelas de configuração passo a passo e diagramas de arquitetura Mermaid está disponível no site da Purple. --- FIM DO SCRIPT