Ver transcrição do podcast
Bem-vindo ao Purple Architecture Briefing. Hoje vamos mergulhar em uma integração crítica para redes corporativas: a implantação do Purple WiFi juntamente com a infraestrutura Sophos, especificamente os pontos de acesso Sophos AP6 e APX e os firewalls Sophos XG e XGS. Se você é um gerente de TI, um arquiteto de rede ou um CTO gerenciando um local - seja uma rede de varejo, um estádio ou um hospital - esta sessão foi projetada para fornecer o roteiro prático para fazer essas duas plataformas poderosas funcionarem juntas perfeitamente.
Vamos contextualizar. A Sophos é renomada por sua postura robusta de segurança. Os dispositivos Sophos Firewall oferecem inspeção profunda de pacotes e segurança sincronizada. No entanto, quando se trata de Guest WiFi, você não quer apenas segurança. Você quer valor de negócios. Você quer capturar dados demográficos, entender o comportamento do visitante e impulsionar o retorno sobre o investimento em marketing. É aí que o Purple entra. Ao integrar o Purple como um Captive Portal externo, você transfere o trabalho pesado de gerenciamento de identidade de convidados, consentimento de GDPR e logins sociais para o cloud RADIUS do Purple, enquanto deixa o Sophos Firewall fazer o que faz de melhor: proteger o perímetro.
Então, como isso realmente funciona nos bastidores? Vamos entrar no detalhamento técnico.
A arquitetura conta com protocolos RADIUS padrão e redirecionamento HTTP. Quando um usuário do local se associa ao seu SSID de Guest WiFi aberto transmitido pelo Sophos AP, o Sophos Firewall intercepta essa solicitação web inicial. Em vez de exibir uma página de portal básica e armazenada localmente, o firewall redireciona o cliente para a splash page hospedada na nuvem do Purple.
Agora, aqui está o conceito crítico: o Walled Garden. Durante esta fase de pré-autenticação, o usuário não tem acesso à internet. Mas ele precisa carregar os elementos gráficos do portal e pode precisar acessar o Facebook ou o Google para fazer login. O Walled Garden é uma lista de permissões rigorosa configurada no Sophos Firewall que permite o tráfego para esses domínios específicos. Assim que o usuário se autentica, a plataforma do Purple envia uma mensagem RADIUS Access-Accept de volta para o Sophos Firewall. O firewall então altera o estado da sessão para autenticado e direciona o usuário para a sua política de firewall pós-autenticação.
Vamos falar sobre a configuração do RADIUS com mais detalhes, porque é aqui que a precisão importa. O Purple fornece dois conjuntos de credenciais RADIUS: um para autenticação na porta 1812 e outro para tarifação (accounting) na porta 1813. Ambos devem ser configurados. O servidor de tarifação não é opcional. É o mecanismo pelo qual o Sophos Firewall relata os dados da sessão de volta para o Purple, incluindo duração, largura de banda consumida e eventos de encerramento de sessão. Sem dados de tarifação precisos, o seu painel de análise do Purple mostrará métricas de visitantes incompletas ou imprecisas. Defina o intervalo provisório de tarifação para 120 segundos. Isso proporciona um bom equilíbrio entre visibilidade em tempo real e sobrecarga de rede.
Agora vamos falar sobre um cenário que surge constantemente em implantações empresariais: o WiFi Multi-Tenant. Pense em um espaço de coworking, um bloco residencial construído para locação ou um edifício de acomodação estudantil. Você tem vários grupos distintos de usuários que precisam de acesso WiFi, mas eles devem ser completamente isolados uns dos outros no nível da rede. Transmitir um SSID separado para cada inquilino não é viável. Isso cria congestionamento de radiofrequência e é um pesadelo operacional para gerenciar.
A resposta são as Sophos Private Pre-Shared Keys, ou PPSK, combinadas com a atribuição dinâmica de VLAN. Veja como funciona. Você configura um único SSID em seus pontos de acesso Sophos AP6. Em seguida, você emite uma senha exclusiva para cada inquilino ou grupo de usuários. Quando um dispositivo se conecta e apresenta sua chave exclusiva, o AP Sophos autentica essa chave via RADIUS. O servidor RADIUS retorna um atributo de ID de VLAN específico na mensagem Access-Accept. O AP marca dinamicamente o tráfego do usuário com esse ID de VLAN, colocando-o em seu segmento de rede dedicado. Networking Baseado em Identidade em ação. Um SSID, múltiplas redes isoladas, zero sobrecarga de radiofrequência de transmissões adicionais.
Esta arquitetura também traz um benefício significativo de conformidade. Sob os requisitos do PCI-DSS, as redes de WiFi para convidados devem ser completamente isoladas de qualquer segmento de rede que processe dados de portadores de cartão. Ao colocar o SSID de convidados em uma VLAN dedicada e aplicar políticas rígidas de firewall no Sophos Firewall para bloquear todos os destinos de espaço de IP privado RFC 1918, você cumpre esse requisito de forma limpa. A Purple, que opera em 80.000 locais ativos e processou 440 milhões de logins em 2024, é certificada ISO 27001, em conformidade com o GDPR e certificada Cyber Essentials, de modo que a história de conformidade se estende também à camada de identidade.
Agora vamos passar para as recomendações de implementação. Ao configurar isso, você tem uma decisão crucial a tomar em relação à atribuição de IP: modo NAT versus modo Bridge.
Se você estiver implantando uma pequena filial de varejo com cerca de cinquenta a cem conexões simultâneas de convidados, o modo NAT é perfeitamente adequado. O AP Sophos distribui endereços DHCP para os convidados a partir de uma sub-rede interna dedicada e os traduz conforme o tráfego sai. É simples e exige o mínimo de infraestrutura adicional.
Mas se você estiver implantando um ambiente de alta densidade, por exemplo, um hotel de quinhentos quartos, um centro de conferências com múltiplos eventos simultâneos ou um estádio, você deve usar o modo Bridge. No modo Bridge, o AP Sophos direciona o tráfego de convidados diretamente para uma VLAN dedicada, permitindo que os servidores DHCP corporativos principais lidem com a carga. Isso evita que o ponto de acesso ou o firewall se tornem um gargalo de DHCP durante picos de conexão. O modo Bridge também garante que a plataforma Purple veja o endereço IP real do cliente, o que é vital para análises precisas e resolução de problemas.
Vamos falar sobre a sequência de configuração passo a passo, porque a ordem aqui é importante.
Comece no portal Purple. Recupere as credenciais do seu servidor RADIUS: os endereços IP do servidor, segredos compartilhados, a URL do Captive Portal e a URL de redirecionamento. Estas são as quatro informações críticas que você precisa antes de mexer na configuração do Sophos.
Depois, acesse o Sophos Central ou a interface local de gerenciamento do seu firewall. Primeiro, defina seus servidores RADIUS, autenticação na porta 1812, bilhetagem (accounting) na porta 1813. Em seguida, configure seu Walled Garden nas configurações de Hotspot. Depois, crie seu SSID de convidados, defina a criptografia como Open, habilite o Captive Portal e insira a URL do portal Purple. E por fim, defina suas regras de firewall pós-autenticação.
Para o Walled Garden especificamente, você deve permitir os seguintes domínios no mínimo: o domínio do portal Purple, normalmente region1.purpleportal.net; venuewifi.com; e quaisquer domínios de login social que seus convidados utilizem, como facebook.com, accounts.google.com e seus domínios CDN associados. Se você estiver usando o Microsoft Entra ID ou Okta para federação de identidade, esses domínios também devem ser incluídos.
E quanto aos problemas comuns? Onde as implantações costumam falhar?
O problema número um, sem dúvida, é um Walled Garden incompleto. Se um convidado se conecta e se depara com uma tela em branco ou tempo limite de conexão esgotado, isso quase sempre significa que o Sophos Firewall está bloqueando o acesso aos arquivos CSS da Purple, recursos de JavaScript ou APIs de login social antes da autenticação. Você deve garantir que cada domínio obrigatório seja explicitamente permitido nessa política de pré-autenticação. A Purple fornece uma lista abrangente de domínios obrigatórios. Use-a por completo.
Além disso, não se esqueça do DNS. Clientes não autenticados devem ter permissão para resolver consultas DNS, caso contrário o redirecionamento simplesmente não funcionará. O dispositivo precisa resolver o hostname do portal Purple antes mesmo de tentar carregar a página.
O segundo erro mais comum são os erros de certificado. Certifique-se de que seu Sophos Firewall está apresentando um certificado SSL válido e publicamente confiável para a interface de redirecionamento. Se você usar o certificado autoassinado padrão, iPhones e dispositivos Android modernos exibirão avisos de segurança graves, e seus convidados abandonarão a conexão completamente. Este é um problema particularmente crítico em ambientes de hospitalidade, onde a experiência do convidado é primordial.
O terceiro problema são os erros de timeout do RADIUS. Se o portal carrega, mas a autenticação falha consistentemente, verifique se os segredos compartilhados coincidem exatamente entre a sua configuração do Sophos e o portal Purple. Uma diferença de um único caractere fará com que todas as tentativas de autenticação falhem silenciosamente. Verifique também se nenhum firewall intermediário está bloqueando as portas UDP 1812 e 1813 entre a sua infraestrutura Sophos e os servidores RADIUS na nuvem da Purple.
Vamos encerrar com uma sessão de perguntas e respostas rápidas baseada nas dúvidas mais comuns que ouvimos dos clientes.
Pergunta um: usar a Purple ignora as políticas de segurança do meu Sophos Firewall? Absolutamente não. A Purple lida com a autenticação e captura de identidade. Uma vez autenticado, todo o tráfego de convidados flui através da política pós-autenticação do seu Sophos Firewall. É precisamente aqui que você aplica filtragem web, bloqueia tráfego peer-to-peer e molda a largura de banda. Pense desta forma: a pré-autenticação é permissiva para permitir o login; a pós-autenticação é punitiva para proteger a rede.
Pergunta dois: preciso implantar servidores RADIUS locais? Não. A Purple fornece RADIUS-as-a-Service. Você configura os APs Sophos para apontarem diretamente para os endereços IP de RADIUS em nuvem da Purple. Não há necessidade de implantar e manter o FreeRADIUS ou o Windows NPS para a rede de convidados.
Pergunta três: posso usar a Purple com o Sophos AP6 e com a série APX mais antiga? Sim. A abordagem de integração é consistente em ambas as gerações de hardware. Note, no entanto, que a Sophos anunciou uma data de fim de vida para a série APX em 31 de dezembro de 2027. Se você estiver planejando uma nova implantação, invista na série AP6, que suporta WiFi 6 e WiFi 6E.
Pergunta quatro: e quanto à conformidade com a GDPR? A Purple captura o consentimento explícito no nível do portal, apresentando seus termos e condições e avisos de processamento de dados antes da autenticação. Esses dados de consentimento são armazenados dentro da plataforma Purple e são auditáveis. O papel do Sophos Firewall é puramente de aplicação de rede.
Para resumir os principais pontos da apresentação de hoje.
Primeiro: segregue totalmente os seus SSIDs de funcionários e convidados. Funcionários em 802.1X com WPA2-Enterprise. Convidados na Purple com um Captive Portal externo.
Segundo: configure meticulosamente o seu Walled Garden. É o ponto de falha mais comum e o elemento de configuração de pré-autenticação mais importante.
Terceiro: use o modo Bridge para qualquer implantação de alta densidade para evitar gargalos de DHCP e garantir visibilidade precisa do IP do cliente.
Quarto: configure os servidores de autenticação e tarifação RADIUS. A tarifação não é opcional se você deseja análises significativas.
Quinto: aproveite o Sophos PPSK para ambientes Multi-Tenant para habilitar Redes Baseadas em Identidade com atribuição dinâmica de VLAN. Um único SSID, múltiplas redes isoladas.
Sexto: aplique as políticas de segurança Sophos estritamente pós-autenticação. Filtragem web, controle de aplicativos e modelagem de largura de banda devem ser aplicados na política de firewall pós-autenticação.
Ao executar esta integração corretamente, você transforma o WiFi de convidados de um centro de custo em um ativo seguro, em conformidade e gerador de receita. A combinação da profundidade de segurança da Sophos com a inteligência de marketing da Purple é genuinamente poderosa para qualquer operador de local que queira levar a sério a experiência dos convidados e a estratégia de dados.
Obrigado por ouvir o Briefing de Arquitetura Purple. Se você deseja discutir seus requisitos de implantação específicos, visite purple.ai para falar com a equipe de soluções.
