WatchGuard Wi-Fi Cloud AP e guest WiFi: configuração do Captive Portal com Purple

Bem-vindo ao briefing de integração. Hoje estamos abordando a integração do WatchGuard Firebox e Access Point com o Purple WiFi. Este é um manual técnico para gerentes de TI, arquitetos de rede e diretores de operações de locais que precisam implantar uma infraestrutura sem fio segura e escalonável. Abordaremos Captive Portals de Guest WiFi, WiFi seguro para funcionários usando 802.1X e segmentação Multi-Tenant usando chaves pré-compartilhadas privadas WatchGuard, ou PPSK. Vamos direto ao contexto. Quando você gerencia um local complexo, como um estádio, um grande centro comercial ou uma unidade habitacional de múltiplos inquilinos, você precisa de controle preciso sobre quem acessa a rede e o que eles podem fazer depois de conectados. Você também precisa capturar dados primários (first-party data) para gerar receita de marketing. A WatchGuard fornece a plataforma de segurança unificada e o hardware. A Purple fornece a sobreposição em nuvem, o gerenciamento de identidade e os analytics. Ao integrar os dois, você automatiza o controle de acesso baseado em identidade. Você elimina a necessidade de gateways separados para convidados e funcionários, o que reduz os gastos com hardware e simplifica o gerenciamento. Atualmente, a Purple atende a mais de 80.000 locais ativos e processou 440 milhões de logins somente em 2024, portanto, a plataforma foi desenvolvida para lidar com a escala de qualquer local que você provavelmente gerencie. Vamos passar para o aprofundamento técnico. A arquitetura conta com protocolos RADIUS padrão e redirecionamento HTTP. Temos três níveis principais de acesso. Primeiro, Guest WiFi. Trata-se de um SSID aberto. O AP WatchGuard intercepta as requisições HTTP e redireciona o usuário para a splash page hospedada da Purple. Segundo, WiFi para funcionários. Trata-se de um SSID WPA3-Enterprise seguro que usa 802.1X. Os dispositivos se autenticam diretamente nos servidores RADIUS da Purple usando EAP-TLS ou PEAP. Terceiro, WiFi Multi-Tenant. Isso usa WatchGuard PPSK. Vários usuários se conectam a um único SSID, mas cada um usa uma senha exclusiva. O AP WatchGuard consulta o servidor RADIUS da Purple, que então atribui dinamicamente uma VLAN com base nessa chave específica. Então, como configuramos o Captive Portal de Guest WiFi? A primeira etapa é configurar o servidor RADIUS no WatchGuard Cloud ou no Firebox Policy Manager. Você aponta o servidor RADIUS primário para o endereço IP da Purple para a sua região. A autenticação é na porta 1812, a tarifação (accounting) na porta 1813. Você insere o segredo compartilhado fornecido pela Purple e, fundamentalmente, garante que o NAS ID corresponda ao endereço MAC do Firebox ou AP. Isso informa à Purple de qual local a requisição está vindo. A segunda etapa é o próprio redirecionamento do Captive Portal. Nas configurações do SSID, você seleciona Third-Party Hosted Captive Portal com autenticação RADIUS. Você insere o URL da splash page da Purple e insere o segredo compartilhado do portal. Este é um segredo específico gerado no painel do Purple Analyze e é usado para criar um resumo HMAC para validar as requisições de autenticação. O algoritmo HMAC-SHA1 garante que a mensagem de sucesso de autenticação da Purple seja genuína e não tenha sido adulterada em trânsito. O passo três, e é aqui que muitas implantações falham, é o Walled Garden. Se você não configurar isso, o dispositivo não conseguirá carregar a splash page. Você deve permitir o acesso a star dot mypurple dot com, api dot mypurple dot com e cdn dot mypurple dot com antes do login. Se você estiver usando logins sociais como Microsoft Entra ID ou Google Workspace, também precisará adicionar esses domínios de provedores de identidade. Pense no Walled Garden como o saguão de pré-autenticação. Sem ele, o visitante não consegue nem chegar à porta da frente. Agora, vamos analisar a segmentação Multi-Tenant com WatchGuard PPSK. Se você gerencia um shopping center com 15 lojas, transmitir 15 SSIDs diferentes é uma abordagem ruim. Isso causa interferência de canal compartilhado, polui o espaço aéreo e cria uma sobrecarga de gerenciamento. O PPSK resolve isso de forma elegante. Você transmite um SSID, por exemplo, Centre-Retail. Você ativa a Private Pre-Shared Key nas configurações de SSID da WatchGuard, o que exige a versão de firmware 2.6 ou superior nos seus Access Points WatchGuard. No Purple, você cria chaves exclusivas, uma por cliente (tenant). Para isolar o tráfego, você usa a Atribuição Dinâmica de VLAN. No WatchGuard Cloud, você define a VLAN como Dynamic VLAN assigned by RADIUS. Quando uma loja conecta um dispositivo usando sua chave específica, o AP envia um Access-Request para o servidor RADIUS do Purple. O Purple valida a chave e envia de volta um pacote Access-Accept com três atributos RADIUS IETF vitais. Tunnel-Type, que é o atributo 64, definido como VLAN. Tunnel-Medium-Type, atributo 65, definido como 802. E Tunnel-Private-Group-ID, atributo 81, definido como o ID da VLAN atribuído, por exemplo, VLAN 100 para o Retail Tenant A. O AP WatchGuard então coloca esse dispositivo na VLAN 100, totalmente isolado dos outros clientes. Isso é Identity-Based Networking na prática. Vamos discutir recomendações de implementação e armadilhas comuns. Primeiro, limites de tempo de sessão. Configure limites estritos de tempo de sessão tanto no Purple quanto no WatchGuard para forçar a reautenticação. Isso mantém seus relatórios analíticos precisos e garante que sessões inativas não consumam largura de banda. Defina seus intervalos de RADI Interim-Update para 10 minutos. Segundo, firmware. Você deve garantir que seus Access Points WatchGuard estejam executando a versão de firmware 2.6 ou superior para suportar PPSK. Versões anteriores de firmware não suportam esse recurso. Terceiro, randomização de MAC. Dispositivos modernos randomizam seus endereços MAC por padrão. Para a sua rede WiFi segura corporativa (Staff), oriente sua equipe a desativar esse recurso para esse SSID específico para garantir uma autenticação 802.1X estável. A randomização de MAC pode causar falhas de autenticação e dados analíticos inconsistentes. O que acontece quando as coisas dão errado? Se o Captive Portal falhar ao carregar, verifique primeiro o Walled Garden. Se o dispositivo não conseguir resolver o DNS ou alcançar os servidores Purple, ele mostrará um erro de timeout em vez da splash page. Se o direcionamento de VLAN falhar e o cliente receber um IP da VLAN errada, verifique os logs do RADIUS no portal Purple. Certifique-se de que o atributo Tunnel-Private-Group-ID esteja formatado corretamente como uma string e corresponda a uma VLAN que realmente exista na porta do switch conectada ao AP. Se você vir erros de digest HMAC nos logs do WatchGuard, seu Captive Portal Shared Secret não coincide entre o WatchGuard e a Purple. Ele deve ser idêntico em ambos os sistemas, caractere por caractere. Hora de uma sessão rápida de perguntas e respostas. Pergunta: Posso usar PPSK e o Captive Portal no mesmo SSID? Resposta: Não. O WatchGuard não suporta a execução de VLANs Dinâmicas via PPSK e um Captive Portal no mesmo SSID simultaneamente. Você precisa de um SSID para o portal e um SSID separado para PPSK. Planeje sua arquitetura de SSID de acordo. Pergunta: O que acontece se o servidor RADIUS não retornar um ID de VLAN para um usuário PPSK? Resposta: No WatchGuard Cloud, você configura uma opção de fallback para Clientes Não Atribuídos. Você pode colocá-los em uma VLAN não marcada ou em uma VLAN de quarentena isolada específica para garantir que eles não obtenham acesso à rede corporativa. Sempre configure este fallback para evitar acesso acidental. Para resumir, a integração do WatchGuard Firebox com a Purple oferece uma plataforma unificada para segurança, identidade e análises em redes de Visitantes, Funcionários e Multi-Tenant. Você usa o redirecionamento de Captive Portal externo para visitantes, 802.1X para funcionários e PPSK com VLANs dinâmicas para ambientes multi-tenant. O ROI é claro. Você reduz custos de hardware ao consolidar gateways, simplifica o gerenciamento por meio de uma única plataforma em nuvem e gera receita ao capturar dados primários por meio do Captive Portal da Purple. Seus próximos passos são revisar sua arquitetura de SSID atual, garantir que o firmware do seu WatchGuard esteja na versão 2.6 ou superior e começar a configurar suas definições de RADIUS no portal Purple. Obrigado por ouvir.