Pular para o conteúdo principal
Português (Brasil)

Sophos Firewall and Access Points Integration with Purple WiFi

Este guia detalha a integração técnica do Sophos Firewall (XG/XGS) e dos access points Sophos AP6/APX com o Purple WiFi. Ele abrange o redirecionamento de Captive Portal externo, configuração de autenticação e tarifação RADIUS, configuração de Walled Garden, 802.1X para WiFi de funcionários e atribuição dinâmica de VLAN usando Sophos PPSK para segregação segura de rede Multi-Tenant em locais de hospitalidade, varejo e setor público.

📖 9 min de leitura📝 2,208 palavras🔧 2 exemplos práticos4 questões práticas📚 9 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo ao Purple Architecture Briefing. Hoje vamos mergulhar em uma integração crítica para redes corporativas: a implantação do Purple WiFi junto com a infraestrutura Sophos, especificamente os pontos de acesso Sophos AP6 e APX e os firewalls Sophos XG e XGS. Se você é um gerente de TI, um arquiteto de rede ou um CTO gerenciando um local, seja uma rede de varejo, um estádio ou um hospital, esta sessão foi projetada para fornecer o roteiro prático para fazer essas duas plataformas poderosas funcionarem juntas de forma integrada. Vamos contextualizar. A Sophos é reconhecida por sua postura robusta de segurança. Os appliances Sophos Firewall oferecem inspeção profunda de pacotes e segurança sincronizada. No entanto, quando se trata de Guest WiFi, você não quer apenas segurança. Você quer valor de negócio. Você quer capturar dados demográficos, entender o comportamento do visitante e gerar retorno sobre o investimento em marketing. É aí que o Purple entra. Ao integrar o Purple como um Captive Portal externo, você transfere a tarefa pesada de gerenciamento de identidade de convidados, consentimento de GDPR e logins sociais para o RADIUS em nuvem do Purple, enquanto deixa o Sophos Firewall fazer o que faz de melhor: proteger o perímetro. Então, como isso realmente funciona nos bastidores? Vamos entrar no detalhamento técnico. A arquitetura conta com protocolos RADIUS padrão e redirecionamento HTTP. Quando um usuário do local se associa ao seu SSID de Guest WiFi aberto transmitido pelo Sophos AP, o Sophos Firewall intercepta essa solicitação web inicial. Em vez de exibir uma página de portal básica armazenada localmente, o firewall redireciona o cliente para a splash page hospedada na nuvem do Purple. Agora, aqui está o conceito crítico: o Walled Garden. Durante esta fase de pré-autenticação, o usuário não tem acesso à internet. Mas ele precisa carregar os elementos gráficos do portal e pode precisar acessar o Facebook ou o Google para fazer login. O Walled Garden é uma lista de permissões estrita configurada no Sophos Firewall que permite o tráfego para esses domínios específicos. Assim que o usuário se autentica, a plataforma do Purple envia uma mensagem RADIUS Access-Accept de volta para o Sophos Firewall. O firewall então altera o estado da sessão para autenticado e insere o usuário na sua política de firewall pós-autenticação. Vamos falar sobre a configuração do RADIUS em mais detalhes, porque é aqui que a precisão importa. O Purple fornece dois conjuntos de credenciais RADIUS: um para autenticação na porta 1812 e outro para tarifação (accounting) na porta 1813. Ambos devem ser configurados. O servidor de tarifação não é opcional. É o mecanismo pelo qual o Sophos Firewall reporta os dados da sessão de volta para o Purple, incluindo duração, largura de banda consumida e eventos de encerramento de sessão. Sem dados de tarifação precisos, seu painel de análise do Purple mostrará métricas de visitantes incompletas ou imprecisas. Defina o intervalo provisório de tarifação para 120 segundos. Isso proporciona um bom equilíbrio entre visibilidade em tempo real e sobrecarga de rede. Agora vamos falar sobre um cenário que surge constantemente em implantações corporativas: o WiFi Multi-Tenant. Pense em um espaço de coworking, um bloco residencial para aluguel ou uma acomodação estudantil. Você tem vários grupos distintos de usuários que precisam de acesso WiFi, mas eles devem estar completamente isolados uns dos outros no nível da rede. Transmitir um SSID separado para cada inquilino não é viável. Isso cria congestionamento de radiofrequência e é um pesadelo operacional para gerenciar. A resposta são as Sophos Private Pre-Shared Keys, ou PPSK, combinadas com a atribuição dinâmica de VLAN. Veja como funciona. Você configura um único SSID em seus pontos de acesso Sophos AP6. Em seguida, você emite uma senha exclusiva para cada inquilino ou grupo de usuários. Quando um dispositivo se conecta e apresenta sua chave exclusiva, o AP Sophos autentica essa chave via RADIUS. O servidor RADIUS retorna um atributo de ID de VLAN específico na mensagem Access-Accept. O AP marca dinamicamente o tráfego do usuário com esse ID de VLAN, colocando-o em seu segmento de rede dedicado. Networking Baseado em Identidade em ação. Um SSID, várias redes isoladas, zero sobrecarga de radiofrequência de transmissões adicionais. Essa arquitetura também traz um benefício de conformidade significativo. Sob os requisitos do PCI DSS, as redes de Guest WiFi devem ser completamente isoladas de qualquer segmento de rede que processe dados de portadores de cartão. Ao colocar o SSID de convidados em uma VLAN dedicada e aplicar políticas rígidas de firewall no Sophos Firewall para bloquear todos os destinos de espaço de IP privado RFC 1918, você atende a esse requisito de forma limpa. A Purple, que opera em 80.000 locais ativos e processou 440 milhões de logins em 2024, possui certificação ISO 27001, está em conformidade com o GDPR e possui a certificação Cyber Essentials, de modo que a história de conformidade se estende também à camada de identidade. Agora vamos passar para as recomendações de implementação. Ao configurar isso, você tem uma decisão crucial a tomar em relação à atribuição de IP: modo NAT versus modo Bridge. Se você estiver implantando uma pequena filial de varejo com talvez cinquenta a cem conexões simultâneas de convidados, o modo NAT é perfeitamente adequado. O AP Sophos distribui endereços DHCP para convidados a partir de uma sub-rede interna dedicada e os traduz à medida que o tráfego sai. É simples e exige o mínimo de infraestrutura adicional. Mas se você estiver implantando um ambiente de alta densidade, como um hotel de quinhentos quartos, um centro de convenções com vários eventos simultâneos ou um estádio, você deve usar o modo Bridge. No modo Bridge, o AP Sophos direciona o tráfego de convidados diretamente para uma VLAN dedicada, permitindo que seus servidores DHCP corporativos principais lidem com a carga. Isso evita que o ponto de acesso ou o firewall se torne um gargalo de DHCP durante eventos de pico de conexão. O modo Bridge também garante que a plataforma Purple veja o endereço IP real do cliente, o que é vital para análises precisas e solução de problemas. Vamos falar sobre a sequência de configuração passo a passo, porque a ordem importa aqui. Comece no portal Purple. Recupere suas credenciais do servidor RADIUS: os endereços IP do servidor, segredos compartilhados, a URL do Captive Portal e a URL de redirecionamento. Estas são as quatro informações críticas que você precisa antes de mexer na configuração do Sophos. Depois, acesse o Sophos Central ou a interface de gerenciamento do seu firewall local. Defina seus servidores RADIUS primeiro, autenticação na porta 1812, bilhetagem (accounting) na porta 1813. Em seguida, configure seu Walled Garden nas configurações de Hotspot. Depois, crie o seu SSID de visitantes, defina a criptografia como Aberta (Open), habilite o Captive Portal e insira a URL do portal Purple. E, finalmente, defina suas regras de firewall pós-autenticação. Especificamente para o Walled Garden, você deve permitir, no mínimo, os seguintes domínios: o domínio do portal Purple, normalmente region1.purpleportal.net; venuewifi.com; e quaisquer domínios de login social que seus visitantes utilizem, como facebook.com, accounts.google.com e seus domínios de CDN associados. Se você estiver usando o Microsoft Entra ID ou Okta para federação de identidade, esses domínios também devem ser incluídos. E quanto aos problemas comuns? Onde as implantações costumam falhar? O problema número um, sem dúvida, é um Walled Garden incompleto. Se um visitante se conecta e se depara com uma tela em branco ou tempo limite de conexão esgotado, isso quase sempre significa que o Sophos Firewall está bloqueando o acesso aos arquivos CSS da Purple, recursos de JavaScript ou às APIs de login social antes da autenticação. Você deve garantir que cada domínio obrigatório seja explicitamente permitido nessa política de pré-autenticação. A Purple fornece uma lista abrangente de domínios obrigatórios. Use-a por completo. Além disso, não se esqueça do DNS. Clientes não autenticados devem ter permissão para resolver consultas de DNS, caso contrário, o redirecionamento simplesmente não funcionará. O dispositivo precisa resolver o hostname do portal Purple antes mesmo de tentar carregar a página. O segundo erro mais comum são os erros de certificado. Certifique-se de que seu Sophos Firewall esteja apresentando um certificado SSL válido e publicamente confiável para a interface de redirecionamento. Se você usar o certificado autoassinado padrão, iPhones modernos e dispositivos Android exibirão avisos de segurança graves, e seus visitantes abandonarão a conexão completamente. Este é um problema particularmente crítico em ambientes de hospitalidade, onde a experiência do visitante é primordial. O terceiro erro comum são os erros de timeout do RADIUS. Se o portal carregar, mas a autenticação falhar consistentemente, verifique se os segredos compartilhados coincidem exatamente entre a sua configuração do Sophos e o portal Purple. Mesmo a diferença de um único caractere fará com que todas as tentativas de autenticação falhem silenciosamente. Verifique também se nenhum firewall intermediário está bloqueando as portas UDP 1812 e 1813 entre a sua infraestrutura Sophos e os servidores RADIUS na nuvem da Purple. Vamos encerrar com uma sessão de perguntas e respostas rápidas baseada nas dúvidas mais comuns que recebemos dos clientes. Pergunta um: o uso do Purple ignora as políticas de segurança do meu Sophos Firewall? Absolutamente não. O Purple lida com a autenticação e a captura de identidade. Uma vez autenticado, todo o tráfego de convidados flui através da política pós-autenticação do seu Sophos Firewall. É exatamente aqui que você aplica filtragem web, bloqueia tráfego peer-to-peer e formata a largura de banda. Pense desta forma: a pré-autenticação é permissiva para permitir o login; a pós-autenticação é punitiva para proteger a rede. Pergunta dois: preciso implantar servidores RADIUS locais? Não. O Purple oferece RADIUS-as-a-Service. Você configura os APs Sophos para apontarem diretamente para os endereços IP de RADIUS em nuvem do Purple. Não há necessidade de implantar e manter FreeRADIUS ou Windows NPS para a rede de convidados. Pergunta três: posso usar o Purple tanto com o Sophos AP6 quanto com a série APX mais antiga? Sim. A abordagem de integração é consistente em ambas as gerações de hardware. No entanto, observe que a Sophos anunciou uma data de fim de vida para a série APX em 31 de dezembro de 2027. Se você estiver planejando uma nova implantação, invista na série AP6, que suporta Wi-Fi 6 e Wi-Fi 6E. Pergunta quatro: e quanto à conformidade com a GDPR? O Purple captura o consentimento explícito no nível do portal, apresentando seus termos e condições e avisos de processamento de dados antes da autenticação. Esses dados de consentimento são armazenados na plataforma Purple e são auditáveis. O papel do Sophos Firewall é puramente de aplicação de rede. Para resumir os principais pontos do briefing de hoje. Primeiro: segregue totalmente seus SSIDs de funcionários e convidados. Funcionários no 802.1X com WPA2-Enterprise. Convidados no Purple com um Captive Portal externo. Segundo: configure meticulosamente seu Walled Garden. É o ponto de falha mais comum e o elemento de configuração de pré-autenticação mais importante. Terceiro: use o modo Bridge para qualquer implantação de alta densidade para evitar gargalos de DHCP e garantir visibilidade precisa do IP do cliente. Quarto: configure os servidores de autenticação e tarifação (accounting) RADIUS. A tarifação não é opcional se você deseja análises significativas. Quinto: aproveite o Sophos PPSK para ambientes Multi-Tenant para habilitar Redes Baseadas em Identidade com atribuição dinâmica de VLAN. Um SSID, múltiplas redes isoladas. Sexto: aplique as políticas de segurança da Sophos estritamente pós-autenticação. Filtragem web, controle de aplicativos e formatação de largura de banda devem ser aplicados na política de firewall pós-autenticação. Ao executar essa integração corretamente, você transforma o WiFi de convidados de um centro de custo em um ativo em conformidade, seguro e gerador de receita. A combinação da profundidade de segurança da Sophos com a inteligência de marketing do Purple é genuinamente poderosa para qualquer operador de local que queira levar a sério sua estratégia de dados e experiência do convidado. Obrigado por ouvir o Purple Architecture Briefing. Se você quiser discutir seus requisitos específicos de implantação, visite purple.ai para falar com a equipe de soluções.

header_image.png

Resumo executivo

Se você gerencia uma infraestrutura Sophos e precisa implantar um Guest WiFi que capture dados primários (first-party data), este guia fornece as etapas exatas de configuração. O Purple integra-se ao Sophos Firewall (séries XG e XGS) e aos pontos de acesso Sophos AP6/APX como um Captive Portal externo, transferindo o gerenciamento de identidade de convidados, a captura de consentimento da GDPR e o login social para o RADIUS em nuvem do Purple. Seu Sophos Firewall continua a aplicar a inspeção profunda de pacotes (DPI) e o gerenciamento unificado de ameaças (UTM) em todo o tráfego. O resultado: uma rede segmentada e em conformidade, onde os convidados se autenticam por meio de uma página de login (splash page) personalizada com a sua marca Purple, os funcionários se conectam via 802.1X com WPA2-Enterprise, e ambientes multi-tenant usam Sophos Private Pre-Shared Keys (PPSK) para atribuição dinâmica de VLAN. O Purple opera em mais de 80.000 locais ativos e processou 440 milhões de logins em 2024 (dados internos do Purple, 2024). É certificado pela ISO 27001, em conformidade com a GDPR e certificado pelo Cyber Essentials.

Detalhamento técnico

Como funciona o redirecionamento

A integração utiliza protocolos RADIUS padrão e redirecionamento HTTP. Quando um usuário do local se associa ao seu SSID de Guest WiFi aberto em um ponto de acesso Sophos AP6 ou APX, o Sophos Firewall intercepta a primeira solicitação HTTP desse dispositivo não autenticado. Em vez de exibir uma página de login armazenada localmente, o firewall emite um redirecionamento 302 para a URL da splash page hospedada na nuvem do Purple - normalmente no formato https://region1.purpleportal.net/access/.

Durante essa fase de pré-autenticação, o dispositivo permanece dentro de um Walled Garden: uma lista de permissões (allowlist) rigorosa de domínios que os dispositivos não autenticados podem acessar. Essa lista de permissões deve incluir os recursos do portal do Purple, quaisquer provedores de login social (Facebook, Google, LinkedIn) e quaisquer endpoints de federação de identidade que você utilize, como Microsoft Entra ID ou Okta. Assim que o usuário conclui a autenticação na splash page do Purple, o RADIUS em nuvem do Purple envia uma mensagem RADIUS Access-Accept para o Sophos Firewall. O firewall atualiza o estado da sessão para autenticado e aplica sua política de segurança pós-autenticação.

Autenticação e bilhetagem (accounting) RADIUS

O Purple oferece RADIUS como serviço (RADIUS-as-a-Service). Você não precisa implantar o FreeRADIUS, Windows NPS ou qualquer infraestrutura RADIUS local para a rede de convidados. Configure o Sophos Firewall para apontar diretamente para os endereços IP do RADIUS em nuvem do Purple.

Duas funções RADIUS são necessárias:

Função Protocolo Porta Finalidade
Autenticação UDP 1812 Valida as credenciais do convidado e retorna Access-Accept ou Access-Reject
Bilhetagem (Accounting) UDP 1813 Reporta o início da sessão, atualizações intermediárias e o término da sessão ao Purple

A tarifação (accounting) não é opcional. É o mecanismo pelo qual o Sophos Firewall reporta a duração da sessão, a largura de banda consumida e os eventos de término de sessão de volta para a Purple. Sem os dados de tarifação, o seu painel do WiFi Analytics mostrará métricas de visitantes incompletas. Defina o intervalo provisório de tarifação (accounting interim interval) para 120 segundos para obter um bom equilíbrio entre visibilidade em tempo real e sobrecarga de rede.

O segredo compartilhado (shared secret) do RADIUS deve coincidir exatamente entre a sua configuração do Sophos e o portal Purple. Uma diferença de um único caractere causa falhas silenciosas de autenticação.

Configuração de Walled Garden

O Walled Garden é o elemento de configuração de pré-autenticação mais importante e a fonte mais comum de falhas de implantação. Configure-o em Wireless > Hotspot Settings no Sophos Firewall.

Você deve permitir os seguintes domínios como requisito mínimo:

Categoria Domínios a permitir
Purple core region1.purpleportal.net, venuewifi.com, cloudfront.net
Pagamento (se aplicável) stripe.com
Widget de clima (se usado) openweathermap.org
Login do Facebook facebook.com, fbcdn.net, connect.facebook.net, akamaihd.net
Login do Google accounts.google.com, googleapis.com, gstatic.com
Login do LinkedIn linkedin.com, licdn.net, licdn.com
Microsoft Entra ID login.microsoftonline.com, login.microsoft.com

Sempre permita a resolução de DNS (porta UDP 53) para clientes não autenticados. Sem DNS, os dispositivos não conseguem resolver o hostname do portal Purple e o redirecionamento falha antes mesmo de começar.

802.1X para WiFi de Funcionários

Para o WiFi de funcionários, use 802.1X (controle de acesso à rede baseado em porta IEEE 802.1X) com WPA2-Enterprise ou WPA3-Enterprise. Configure o AP Sophos para usar EAP-TLS (baseado em certificado) ou PEAP-MSCHAPv2 (usuário/senha) em relação ao seu servidor RADIUS interno ou a um provedor de identidade em nuvem, como o Microsoft Entra ID.

O servidor RADIUS retorna atributos de atribuição de VLAN para colocar os dispositivos de funcionários autenticados na VLAN interna correta. Este é o mesmo mecanismo de VLAN dinâmica descrito abaixo para PPSK, aplicado à autenticação corporativa.

Mantenha o SSID e a VLAN do WiFi de funcionários completamente separados do SSID e da VLAN do Guest WiFi. Nunca faça ponte (bridge) do tráfego de convidados para as sub-redes de gerenciamento ou corporativas. Essa separação é um requisito do PCI DSS se qualquer segmento de rede lidar com dados de portadores de cartão.

Sophos PPSK e atribuição dinâmica de VLAN para ambientes multi-tenant

Em ambientes multi-tenant — espaços de coworking, blocos residenciais build-to-rent, acomodações estudantis ou concessões de varejo — você precisa isolar diferentes grupos de usuários no nível da rede sem transmitir um SSID separado para cada inquilino. A transmissão de múltiplos SSIDs aumenta a sobrecarga de radiofrequência e complica o gerenciamento.

Os pontos de acesso Sophos AP6 suportam PPSK (Private Pre-Shared Key), também conhecido como Identity PSK ou PSK por usuário. O PPSK permite que um único SSID aceite várias senhas exclusivas, cada uma mapeada para uma VLAN específica por meio de atributos RADIUS.

O fluxo de atribuição dinâmica de VLAN funciona da seguinte forma:

  1. Um residente ou membro se conecta ao SSID compartilhado único e insere seu PPSK exclusivo.
  2. O AP Sophos envia um RADIUS Access-Request para o servidor RADIUS configurado, incluindo o PPSK como credencial.
  3. O servidor RADIUS valida o PPSK e retorna um Access-Accept com os seguintes atributos de VLAN:
    • Tunnel-Type = VLAN (valor 13)
    • Tunnel-Medium-Type = IEEE-802 (valor 6)
    • Tunnel-Private-Group-ID = `` (ex: 100)
  4. O AP Sophos marca o tráfego do dispositivo com o VLAN ID retornado, posicionando-o no segmento de rede isolado correto.

Isso é Identity-Based Networking: um SSID, múltiplas VLANs isoladas, impulsionadas pela credencial exclusiva do usuário.

ppsk_vlan_diagram.png

architecture_overview.png

Guia de implementação

Passo 1: Recuperar credenciais do Purple

Faça login no portal Purple. Navegue até Management > Locations > [Seu Local] > Hardware > Add Hardware. Selecione Sophos como o tipo de hardware. O portal exibe:

  • Endereços IP dos servidores RADIUS primário e secundário
  • Segredo compartilhado do RADIUS
  • URL do Captive Portal (ex: https://region1.purpleportal.net/access/)
  • URL de redirecionamento (ex: https://region1.purpleportal.net/access/?res=success)
  • Lista completa de domínios do Walled Garden

Anote todos os quatro valores antes de prosseguir.

Passo 2: Configurar servidores RADIUS no Sophos Firewall

Navegue até Authentication > Servers no Sophos Firewall (ou Sophos Central > Wireless > SSIDs > [SSID] > Advanced Settings para configurações gerenciadas por AP).

  1. Clique em Add para criar uma nova entrada de servidor RADIUS.
  2. Defina o Server IP para o endereço IP do RADIUS primário do Purple.
  3. Defina a Authentication port para 1812.
  4. Defina a Accounting port para 1813.
  5. Insira o Shared secret obtido no portal Purple.
  6. Repita o processo para o servidor RADIUS secundário do Purple.

Para o Sophos AP6 gerenciado via Sophos Central, configure o servidor RADIUS na seção Advanced Settings > Backend authentication do SSID.

Passo 3: Configurar o Walled Garden

Navegue até Wireless > Hotspot Settings no Sophos Firewall.

  1. Em Walled garden, clique em Add new item.
  2. Adicione cada domínio da lista fornecida pelo Purple.
  3. Certifique-se de que o DNS (porta UDP 53) seja permitido para clientes não autenticados por meio de uma regra de firewall de pré-autenticação.
  4. Clique em Apply.

Passo 4: Criar o SSID de convidados

Navegue até Wireless > Wireless Settings > SSIDs (ou Sophos Central > Wireless > SSIDs).

  1. Clique em Add SSID.
  2. Defina o Encryption mode como Open (sem chave pré-compartilhada).
  3. Em Advanced Settings > Captive portal, ative o Captive Portal.
  4. Selecione Backend authentication como o tipo de autenticação.
  5. Insira o IP do servidor RADIUS Purple, a porta 1812 e o segredo compartilhado.
  6. Defina a Redirect URL para a URL da splash page da Purple.
  7. Atribua o SSID a uma VLAN de convidados dedicada (ex: VLAN 100).
  8. Ative o Client isolation para evitar o tráfego de convidado para convidado.

Passo 5: Criar regras de firewall pós-autenticação

Navegue até Rules and policies > Firewall rules.

  1. Crie uma regra permitindo o tráfego da VLAN de convidados para a zona WAN.
  2. Aplique filtragem web para bloquear categorias maliciosas.
  3. Aplique limitação de tráfego para restringir a largura de banda por usuário (recomendado: 10 Mbps de download, 5 Mbps de upload para redes de convidados).
  4. Bloqueie explicitamente todo o tráfego da VLAN de convidados para qualquer VLAN interna que contenha sistemas de PDV, PMS ou recursos corporativos.

Passo 6: Configurar PPSK para ambientes multi-tenant (opcional)

  1. No Sophos Central, crie um SSID WPA2-Personal.
  2. Ative a RADIUS VLAN assignment nas configurações avançadas do SSID.
  3. Configure o servidor RADIUS para aceitar credenciais PPSK e retornar os atributos de VLAN apropriados por grupo de usuários.
  4. Emita PPSKs exclusivos para cada grupo de inquilinos através do portal Purple ou de sua interface de gerenciamento RADIUS.

Melhores práticas

Segregue o tráfego na Camada 2 e Camada 3. Sempre coloque o WiFi de convidados em uma VLAN dedicada. Crie regras de firewall explícitas para bloquear todo o tráfego da VLAN de convidados para o espaço de endereçamento RFC 1918 nos segmentos internos. Isso atende aos requisitos de segmentação de rede do PCI DSS e evita a movimentação lateral caso um dispositivo de convidado seja comprometido.

Use o modo Bridge para implantações de alta densidade. Em ambientes com mais de 200 conexões simultâneas de convidados - hotéis, estádios, centros de conferências - configure o SSID de convidados no modo Bridge. Isso direciona o tráfego para uma VLAN gerenciada por servidores DHCP corporativos, evitando que o AP ou firewall Sophos se torne um gargalo de DHCP. Um hotel de 500 quartos com 70% de ocupação e dois dispositivos por hóspede gera cerca de 700 concessões de DHCP simultaneamente. O DHCP corporativo lida com isso; o DHCP integrado do AP não.

Use um certificado SSL publicamente confiável. Configure o Sophos Firewall para apresentar um certificado assinado por uma CA pública para a interface de redirecionamento. Certificados autoassinados geram avisos de segurança do navegador no iOS e Android, aumentando as taxas de abandono do portal. Isso é particularmente importante em ambientes de hospitalidade , onde a experiência do hóspede afeta diretamente as notas de avaliação.Configure a autenticação e a tarifação (accounting) do RADIUS. A autenticação (porta 1812) concede o acesso. A tarifação (porta 1813) monitora o uso. Ambos são necessários para que os relatórios do Purple funcionem corretamente. Os dados de tarifação alimentam as métricas de duração de sessão, relatórios de largura de banda e identificação de visitantes recorrentes no painel do Purple.

Planeje seu Walled Garden antes de entrar em operação. Teste o Captive Portal em pelo menos um dispositivo iOS e um dispositivo Android antes de implantar em produção. As duas plataformas possuem mecanismos diferentes de detecção de Captive Portal e podem se comportar de maneira distinta com configurações incompletas de Walled Garden. Use uma captura de pacotes no Sophos Firewall para identificar quaisquer domínios bloqueados durante a fase de pré-autenticação.

Aplique o Sophos Synchronized Security pós-autenticação. Os pontos de acesso Sophos AP6 suportam o Synchronized Security, que se integra ao Sophos Endpoint Protection. Se um dispositivo convidado for identificado como comprometido (status vermelho de Security Heartbeat), o AP pode restringir automaticamente esse dispositivo ao Walled Garden, isolando-o da internet sem intervenção manual. Este é um controle de segurança significativo para ambientes de saúde e varejo .

Para um contexto mais amplo de segurança de WiFi corporativo, consulte nosso guia sobre Segurança de WiFi Corporativo: Um Guia Completo para 2026 .

Solução de problemas e mitigação de riscos

Sintoma: A página do portal não carrega (tela em branco ou tempo limite esgotado) Causa: Walled Garden incompleto. O Sophos Firewall está bloqueando o acesso aos recursos de CSS/JS do Purple ou às APIs de login social antes da autenticação. Solução: Ative a captura de pacotes no Sophos Firewall para a VLAN de convidados. Identifique os domínios bloqueados. Adicione-os ao Walled Garden. Verifique se o DNS é permitido antes da autenticação.

Sintoma: O portal carrega, mas a autenticação sempre falha Causa: Incompatibilidade do segredo compartilhado do RADIUS ou as portas UDP 1812/1813 estão bloqueadas. Solução: Verifique o segredo compartilhado caractere por caractere tanto na configuração do Sophos quanto no portal Purple. Use nmap -sU -p 1812,1813 a partir da CLI do Sophos para confirmar a acessibilidade UDP.

Sintoma: Os relatórios mostram duração de sessão zero e nenhum dado de largura de banda Causa: A tarifação (accounting) do RADIUS não está configurada ou está bloqueada. Solução: Verifique se o servidor de tarifação está configurado na porta 1813 com o segredo compartilhado correto. Certifique-se de que nenhuma ACL intermediária bloqueie a saída UDP 1813.

Sintoma: Alerta de certificado nos dispositivos dos convidados Causa: O Sophos Firewall está usando um certificado autoassinado para a interface de redirecionamento. Solução: Faça o upload de um certificado assinado por uma CA pública (Let's Encrypt, DigiCert ou similar) no Sophos Firewall e atribua-o como o certificado da página de login em Wireless > Hotspot Settings.

Sintoma: Usuários de PPSK caem na VLAN errada Causa: Os atributos de VLAN do RADIUS não estão configurados corretamente ou o AP Sophos não está aceitando a atribuição dinâmica de VLAN. Correção: Verifique se o servidor RADIUS retorna Tunnel-Type = 13, Tunnel-Medium-Type = 6 e Tunnel-Private-Group-ID = . Confirme se a atribuição de VLAN RADIUS está habilitada no SSID no Sophos Central.

ROI e impacto nos negócios

A implantação do Purple na infraestrutura Sophos converte o WiFi de convidados de um custo de utilidade em um ativo de dados primários (first-party). O caso de negócios é direto.

Um hotel de 200 quartos operando com 70% de ocupação e uma estadia média de 1,8 noites gerará aproximadamente 50.000 perfis de hóspedes verificados por ano por meio do Captive Portal de opt-in de escolha consciente do Purple. Cada perfil inclui nome, endereço de e-mail, dados demográficos e histórico de visitas. Esses dados alimentam diretamente as campanhas de marketing por e-mail, gerando aumentos mensuráveis nas reservas diretas e na receita de Alimentos e Bebidas.

Para ambientes de varejo , as análises do Purple identificam o tempo de permanência, a frequência de visitas repetidas e os períodos de pico de movimento. Uma rede de varejo com 50 locais pode usar esses dados para otimizar a escala de funcionários, ajustar o tempo promocional e medir o impacto dos eventos na loja na frequência de visitas.

Para operadoras do setor público e de transporte , o Purple fornece registros de consentimento da GDPR auditáveis e apoia a conformidade com os regulamentos de Sistemas de Rede e Informação (NIS) do Reino Unido para operadoras de serviços essenciais.

O SLA de 99,999% de tempo de atividade do Purple garante que o serviço de autenticação de convidados não se torne um ponto único de falha para sua rede. A arquitetura RADIUS em nuvem significa que não há servidor de autenticação local para manter, atualizar ou substituir.

Para obter orientações de integração relacionadas, consulte o guia Alta Labs Integration with Purple WiFi: Setup and Captive Portal Configuration .

Definições principais

Captive Portal

Uma página web que intercepta a solicitação HTTP inicial de um usuário e exige interação (autenticação, consentimento ou pagamento) antes de conceder acesso à internet.

A interface principal para o Guest WiFi. A Purple hospeda o captive portal na nuvem; o Sophos Firewall redireciona os clientes não autenticados para ele.

Walled Garden

Uma lista de permissões estrita de domínios e endereços IP que dispositivos não autenticados podem acessar antes de concluir a autenticação no portal.

Deve incluir os domínios de portal da Purple, provedores de login social e quaisquer endpoints de federação de identidade. Um Walled Garden incompleto é a causa mais comum de falhas no carregamento do portal.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece autenticação, autorização e contabilização centralizadas para usuários que se conectam a uma rede. Usa a porta UDP 1812 para autenticação e 1813 para contabilização.

A Purple fornece RADIUS como Serviço (SaaS). O Sophos Firewall e os APs se comunicam com o RADIUS na nuvem da Purple para autenticar convidados e relatar dados de sessão.

Contabilização RADIUS

O componente do RADIUS que rastreia métricas de uso da rede, incluindo horário de início da sessão, duração, bytes transferidos e motivo do término da sessão.

Essencial para o WiFi Analytics da Purple. Sem os dados de contabilização na porta 1813, as métricas de duração da sessão e largura de banda não ficam disponíveis no painel da Purple.

PPSK (Private Pre-Shared Key)

Um recurso de segurança WiFi que permite que um único SSID aceite várias senhas exclusivas, cada uma normalmente mapeada para uma VLAN ou política específica via RADIUS.

Usado em implantações de WiFi multi-inquilino para fornecer isolamento de rede por usuário ou por grupo sem transmitir múltiplos SSIDs. O Sophos AP6 suporta PPSK com atribuição dinâmica de VLAN.

Atribuição dinâmica de VLAN

Um processo no qual o servidor RADIUS instrui o ponto de acesso a colocar um usuário autenticado em uma VLAN específica, retornando os atributos Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID na mensagem Access-Accept.

Habilita Redes Baseadas em Identidade. Os usuários são colocados no segmento de rede correto com base em suas credenciais, independentemente de qual AP físico eles se conectem.

802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta. Fornece uma estrutura de autenticação para dispositivos que se conectam a uma LAN ou WLAN, exigindo um suplicante (cliente), autenticador (AP ou switch) e servidor de autenticação (RADIUS).

O padrão corporativo para WiFi de funcionários. O Sophos AP6 suporta 802.1X com WPA2-Enterprise e WPA3-Enterprise, usando EAP-TLS ou PEAP-MSCHAPv2.

Modo Bridge

Uma configuração de rede na qual o ponto de acesso passa o tráfego do cliente sem fio diretamente para a LAN cabeada como quadros VLAN marcados, sem realizar NAT ou DHCP local.

Recomendado para implantações de alta densidade. Descarrega o DHCP para servidores corporativos e garante que a Purple receba o endereço IP real do cliente para análises precisas.

Dados primários (First-party data)

Informações coletadas diretamente dos usuários por meio de seus próprios canais, de sua propriedade, não compartilhadas ou obtidas de terceiros.

O principal valor de negócios do Purple Guest WiFi. Capturados por meio de consentimento de escolha consciente no captive portal, esses dados estão em conformidade com a GDPR e são independentes de cookies de terceiros.

Exemplos práticos

Um hotel de 300 quartos implantou access points Sophos AP6 gerenciados via Sophos Central. Eles precisam que os hóspedes se autentiquem por meio de uma página de splash personalizada do Purple e exigem que a rede de hóspedes seja completamente isolada do sistema de gerenciamento de propriedades (PMS) na VLAN 20 para manter a conformidade com o PCI DSS. O hotel espera até 600 conexões simultâneas de hóspedes durante os períodos de pico.

  1. No Sophos Central, crie um SSID de hóspedes dedicado chamado 'Hotel Guest WiFi' com criptografia aberta. 2. Atribua o SSID à VLAN 100 no modo Bridge para lidar com a carga de DHCP de 600 dispositivos por meio do servidor DHCP da rede principal. 3. Ative o Captive Portal em Configurações Avançadas e selecione Autenticação de Backend. 4. Insira o IP do servidor RADIUS do Purple na porta 1812 e o segredo compartilhado do portal Purple. 5. Configure o Walled Garden para permitir region1.purpleportal.net, venuewifi.com e todos os domínios de login social. 6. No Sophos Firewall, crie uma regra de firewall permitindo a VLAN 100 para a zona WAN com filtragem web aplicada. 7. Crie uma regra explícita de NEGAR (DENY) bloqueando todo o tráfego da VLAN 100 para a VLAN 20 (rede PMS). 8. Configure a tarifação RADIUS na porta 1813 com um intervalo provisório de 120 segundos. 9. Carregue um certificado SSL publicamente confiável no Sophos Firewall para a interface de redirecionamento. 10. Teste no iOS e no Android antes de entrar em operação.
Comentário do examinador: O modo Bridge é essencial aqui. Com 600 conexões simultâneas, o DHCP integrado do AP ficaria sobrecarregado. A regra explícita de NEGAR da VLAN 100 para a VLAN 20 atende aos requisitos de segmentação de rede do PCI DSS. O certificado publicamente confiável evita que o iOS 14+ e o Android 10+ exibam avisos de segurança que aumentariam o abandono do portal. A configuração da tarifação é inegociável para que as análises do Purple funcionem.

Um operador de espaço de coworking gerencia 15 empresas inquilinas em três andares. Cada empresa exige seu próprio segmento de rede isolado. Atualmente, eles transmitem 15 SSIDs separados, causando congestionamento de RF significativo. Eles desejam consolidar em um único SSID usando access points Sophos AP6, mantendo um isolamento estrito de Camada 2 entre os inquilinos.

  1. Atribua uma VLAN exclusiva para cada empresa inquilina (por exemplo, VLANs 200-214). 2. No Sophos Central, crie um único SSID WPA2-Personal chamado 'CoWork WiFi'. 3. Ative a atribuição de VLAN RADIUS no SSID. 4. Configure o servidor RADIUS (RADIUS em nuvem do Purple ou um diretório integrado) para armazenar um PPSK exclusivo por inquilino e retornar os atributos de VLAN apropriados na autenticação. 5. Emita para cada empresa inquilina seu PPSK exclusivo por meio do portal Purple. 6. No Sophos Firewall, configure regras de firewall inter-VLAN para bloquear todo o tráfego entre as VLANs dos inquilinos. Permita que cada VLAN acesse apenas a internet. 7. Para inquilinos que necessitam de serviços compartilhados (por exemplo, uma impressora compartilhada), crie regras de permissão explícitas apenas para esses recursos específicos.
Comentário do examinador: A consolidação de 15 SSIDs para apenas um elimina a sobrecarga de RF de 15 quadros de beacon por AP por segundo. O PPSK com atribuição dinâmica de VLAN fornece o mesmo isolamento que SSIDs separados na camada de rede. O principal risco é a disponibilidade do servidor RADIUS: se o servidor RADIUS estiver inacessível, nenhum inquilino conseguirá se conectar. Implante um servidor RADIUS secundário do Purple e configure-o como fallback no Sophos Central para mitigar isso.

Questões práticas

Q1. Uma rede de varejo implantou pontos de acesso Sophos AP6 em 50 lojas. Os clientes relatam que a splash page do Purple leva mais de 30 segundos para carregar ou apresenta timeout completo. A equipe de TI confirmou que a autenticação RADIUS está configurada corretamente. Qual é a causa mais provável e como você a resolve?

Dica: Considere o que acontece antes de o usuário chegar à etapa de autenticação.

Ver resposta modelo

O Walled Garden está incompleto. O Sophos Firewall está bloqueando o acesso aos ativos de CSS e JavaScript do Purple, ou aos domínios de CDN de login social, antes da autenticação. Ative uma captura de pacotes no Sophos Firewall para a VLAN de convidados e filtre pelo tráfego bloqueado de clientes não autenticados. Identifique os domínios bloqueados e adicione-os ao Walled Garden em Wireless > Hotspot Settings. Verifique também se o DNS (porta UDP 53) é permitido antes da autenticação. Sem a resolução de DNS, o dispositivo não consegue resolver o hostname do portal Purple e o redirecionamento falha imediatamente.

Q2. Você está projetando uma implantação de Guest WiFi para um estádio de 5.000 assentos usando pontos de acesso Sophos AP6. O local espera 4.000 conexões simultâneas de torcedores durante os eventos. Você deve configurar o SSID de convidados no modo NAT ou no modo Bridge? Justifique sua decisão.

Dica: Considere a carga de DHCP gerada por 4.000 conexões simultâneas.

Ver resposta modelo

Modo Bridge. Com 4.000 conexões simultâneas, o modo NAT sobrecarregaria o servidor DHCP integrado dos APs Sophos ou do firewall. No modo Bridge, os APs direcionam o tráfego de convidados diretamente para uma VLAN dedicada, e os servidores DHCP corporativos lidam com a atribuição de endereços IP. Isso evita o esgotamento do DHCP e garante que a plataforma Purple receba o IP real do cliente para análises precisas. O modo Bridge também oferece maior taxa de transferência do que o modo NAT, o que é importante para um ambiente de eventos de alta densidade. Configure um escopo DHCP na rede principal com endereços suficientes para a carga de pico esperada, mais uma margem de segurança de 20%.

Q3. Seu painel do Purple Analytics mostra o número correto de logins, mas todas as durações de sessão são relatadas como zero minutos e o uso de largura de banda não é rastreado. O portal de convidados está funcionando corretamente e os convidados conseguem navegar na internet. Qual elemento de configuração está faltando?

Dica: A autenticação concede o acesso. O que rastreia o uso após o acesso ser concedido?

Ver resposta modelo

A tarifação (accounting) RADIUS não está configurada ou está sendo bloqueada. A autenticação na porta 1812 concede acesso à internet, mas a tarifação na porta 1813 é o mecanismo que relata a duração da sessão e os dados de largura de banda de volta para o Purple. Verifique a configuração do Sophos Firewall para confirmar se o servidor de tarifação está definido para o IP do RADIUS do Purple na porta 1813 com o segredo compartilhado correto. Em seguida, verifique se a porta UDP 1813 não está bloqueada por nenhuma ACL intermediária ou regra de firewall entre o Sophos Firewall e os servidores RADIUS na nuvem do Purple. Use uma captura de pacotes para confirmar se os pacotes de tarifação estão saindo do Sophos Firewall e recebendo respostas.

Q4. Um operador de espaço de coworking deseja usar o Sophos PPSK para fornecer a cada uma de suas 20 empresas inquilinas um segmento de rede isolado. Após a configuração, todos os usuários de PPSK se conectam com sucesso, mas todos caem na mesma VLAN, independentemente de qual PPSK utilizem. Qual é a causa mais provável?

Dica: Pense no que o servidor RADIUS precisa retornar e no que o AP precisa aceitar.

Ver resposta modelo

Existem duas causas prováveis. Primeiro, o servidor RADIUS não está retornando os atributos de VLAN corretos na mensagem Access-Accept. Verifique se o servidor RADIUS retorna Tunnel-Type = 13 (VLAN), Tunnel-Medium-Type = 6 (IEEE-802) e Tunnel-Private-Group-ID = o ID de VLAN correto para cada PPSK. Segundo, a atribuição de VLAN por RADIUS pode não estar ativada no SSID no Sophos Central. Navegue até as Configurações Avançadas do SSID e confirme se a atribuição de VLAN por RADIUS está ativada. Use um log de depuração do RADIUS ou captura de pacotes para inspecionar as mensagens Access-Accept e confirmar se os atributos de VLAN estão presentes e formatados corretamente.

Continue a ler esta série

CommScope Ruckus Integration with Purple WiFi: Setup and Configuration Guide

Este guia de referência técnica fornece um manual de configuração definitivo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Ele detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant usando Ruckus Dynamic PSK.

Ler o guia →

Integração de Access Points Allied Telesis com o Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar os access points Allied Telesis Série TQ com o Purple WiFi. Ele aborda o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implantações seguras de múltiplos inquilinos (multi-tenant).

Ler o guia →

Integração de Access Points Grandstream GWN com Purple WiFi

Este guia de referência técnica detalhado explica como integrar os access points Grandstream GWN com o Guest WiFi e a plataforma de analytics da Purple. Ele abrange a configuração do Captive Portal Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários via 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas passo a passo para MSPs e equipes de TI que implantam WiFi para visitantes e funcionários em escala.

Ler o guia →