Guia de Integração Fortinet FortiAP e Purple WiFi

Uma referência técnica definitiva para integrar a infraestrutura Fortinet FortiAP e FortiGate com o Purple WiFi. Este guia abrange a configuração de Captive Portal externo, a coexistência de autenticação RADIUS com o FortiAuthenticator e o design de políticas de segurança para implementações empresariais em ambientes de hotelaria, retalho e setor público.

📖 7 min de leitura📝 1,552 palavras🔧 2 exemplos práticos❓ 3 perguntas de prática📚 9 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo ao Purple Architecture Briefing. Hoje vamos aprofundar uma integração crítica para redes empresariais: a implementação do Purple WiFi juntamente com a infraestrutura Fortinet, especificamente os pontos de acesso FortiAP e as firewalls FortiGate. Se é um gestor de TI, um arquiteto de rede ou um CTO a gerir um espaço — seja uma cadeia de retalho, um estádio ou um hospital — esta sessão foi concebida para lhe fornecer o plano de ação para fazer com que estas duas plataformas potentes funcionem juntas de forma perfeita.

Vamos contextualizar. A Fortinet é reconhecida pela sua postura de segurança robusta. Os dispositivos FortiGate Unified Threat Management fornecem uma inspeção profunda de tráfego de Camada 7. No entanto, quando se trata de WiFi de convidados, não quer apenas segurança — quer valor comercial. Quer capturar dados demográficos, compreender o comportamento dos visitantes e impulsionar o retorno do investimento em marketing. É aí que entra o Purple. Ao integrar o Purple como um Captive Portal externo, descarrega o trabalho pesado da gestão de identidade de convidados, consentimento de GDPR e logins sociais para o RADIUS na cloud do Purple, permitindo que o FortiGate faça o que faz melhor: proteger o perímetro.

Então, como é que isto funciona realmente nos bastidores? Vamos entrar na análise técnica detalhada.

A arquitetura baseia-se em protocolos RADIUS padrão e redirecionamento HTTP. Quando um dispositivo de convidado se associa ao seu SSID de convidado aberto transmitido pelo FortiAP, o FortiGate interpeta esse pedido web inicial. Em vez de apresentar uma página de portal básica e armazenada localmente, o FortiGate redireciona o cliente para a splash page alojada na cloud do Purple.

Agora, eis o conceito crítico: o Walled Garden. Durante esta fase de pré-autenticação, o convidado não tem acesso à internet. Mas precisa de carregar os elementos gráficos do portal e pode precisar de aceder ao Facebook ou ao Google para iniciar sessão. O Walled Garden é uma lista de permissões estrita configurada no FortiGate que permite o tráfego para estes domínios específicos. Assim que o utilizador se autentica, a plataforma do Purple envia uma mensagem RADIUS Access-Accept de volta para o FortiGate. O FortiGate altera então o estado da sessão para autenticado e coloca o utilizador na sua política de firewall pós-autenticação.

Vamos falar sobre a configuração do RADIUS com mais detalhe, porque é aqui que a precisão importa. O Purple fornece-lhe dois conjuntos de credenciais RADIUS: um para autenticação na porta 1812 e outro para accounting na porta 1813. Ambos têm de ser configurados. O servidor de accounting não é opcional. É o mecanismo através do qual o FortiGate reporta os dados da sessão de volta ao Purple — duração, largura de banda consumida e eventos de terminação de sessão. Sem dados de accounting precisos, o seu painel de analítica do Purple mostrará métricas de visitantes incompletas ou incorretas. Defina o seu intervalo provisório de accounting para 120 segundos. Isto proporciona um bom equilíbrio entre visibilidade em tempo real e sobrecarga de rede.

Um cenário muito comum envolve o FortiAuthenticator. Muitas empresas utilizam o FortiAuthenticator para o seu WiFi de funcionários — usando 802.1X e PEAP para autenticar dispositivos corporativos no Active Directory. A pergunta é sempre: posso manter o meu FortiAuthenticator para funcionários e usar o Purple para convidados?

A resposta é absolutamente sim, e a regra de ouro aqui é a segregação estrita. Mantém o seu SSID de funcionários a apontar para o FortiAuthenticator. Cria um SSID aberto, completamente separado, para convidados a apontar para o Captive Portal externo e cloud RADIUS do Purple. O FortiGate encaminha os pedidos de autenticação com base no SSID. A identidade dos funcionários permanece local com o FortiAuthenticator. A identidade dos convidados vai para a cloud de marketing do Purple. Cruzamento zero, segurança máxima.

Esta arquitetura também apresenta um benefício de conformidade significativo. Sob os requisitos do PCI DSS, as redes WiFi de convidados devem estar completamente isoladas de qualquer segmento de rede que processe dados de titulares de cartões. Ao colocar o SSID de convidados numa VLAN dedicada e ao aplicar políticas de firewall estritas no FortiGate para bloquear todos os destinos de espaço de IP privado RFC 1918, cumpre este requisito de forma limpa.

Passemos agora às recomendações de implementação. Quando estiver a configurar isto, tem de tomar uma decisão crucial em relação à atribuição de IP: modo NAT versus modo Bridge.

Se estiver a implementar uma pequena filial de retalho com cerca de cinquenta a cem ligações de convidados simultâneas, o modo NAT é perfeitamente adequado. O FortiGate distribui endereços DHCP aos convidados a partir de uma sub-rede interna dedicada e traduz-os à medida que o tráfego sai da firewall. É simples e requer uma infraestrutura adicional mínima.

Mas se estiver a implementar um ambiente de alta densidade — por exemplo, um hotel de quinhentos quartos, um centro de conferências com múltiplos eventos simultâneos ou um estádio — deve utilizar o modo Bridge. No modo Bridge, o FortiAP envia o tráfego de convidados diretamente para uma VLAN dedicada, permitindo que os seus servidores DHCP corporativos principais lidem com a carga. Isto evita que o FortiGate se torne um estrangulamento de DHCP durante picos de ligação. O modo Bridge também garante que a plataforma Purple veja o endereço IP real do cliente, o que é vital para análises precisas e resolução de problemas.

Falemos sobre a sequência de configuração passo a passo, porque a ordem aqui importa.

Comece no portal Purple. Obtenha as credenciais do seu servidor RADIUS — os endereços IP do servidor, segredos partilhados, o URL do Captive Portal e o URL de redirecionamento. Estas são as quatro informações críticas de que necessita antes de mexer na configuração do Fortinet.

Depois, aceda ao Painel do FortiCloud ou à sua interface de gestão do FortiGate. Defina primeiro os seus servidores RADIUS — autenticação na porta 1812, accounting na porta 1813. Em seguida, crie o seu SSID de convidados, defina a autenticação como Aberta, ative o Captive Portal Externo e introduza o URL do portal Purple e o URL de redirecionamento. Configure o seu Walled Garden. E, finalmente, defina a sua política de firewall pós-autenticação com os seus perfis UTM.

E quanto a armadilhas? Onde é que as implementações costumam falhar?

O problema número um, sem dúvida, é um Walled Garden incompleto. Se um convidado se liga e obtém um ecrã em branco ou um tempo limite de ligação, isso significa quase sempre que o FortiGate está a bloquear o acesso aos ficheiros CSS da Purple, recursos de JavaScript ou às APIs de login social antes da autenticação. Deve garantir que todos os domínios necessários estão explicitamente permitidos nessa política de pré-autenticação. A Purple fornece uma lista abrangente de domínios necessários — utilize-a na totalidade.

Além disso, não se esqueça do DNS. Os clientes não autenticados devem ter permissão para resolver consultas de DNS, caso contrário, o redirecionamento simplesmente não funcionará. O dispositivo precisa de resolver o hostname do portal Purple antes de poder sequer tentar carregar a página.

A segunda armadilha mais comum são os erros de certificado. Certifique-se de que o seu FortiGate está a apresentar um certificado SSL válido e publicamente fidedigno para a interface de redirecionamento. Se utilizar o certificado autoassinado predefinido, os iPhones e dispositivos Android modernos apresentarão avisos de segurança significativos, e os seus convidados abandonarão a ligação por completo. Este é um problema particularmente agudo em ambientes de hotelaria, onde a experiência do convidado é primordial.

A terceira armadilha são os erros de timeout de RADIUS. Se o portal carregar mas a autenticação falhar consistentemente, verifique se os segredos partilhados coincidem exatamente entre a configuração do seu FortiGate e o portal Purple. Mesmo uma diferença de um único caráter fará com que todas as tentativas de autenticação falhem silenciosamente. Verifique também se nenhum firewall intermédio está a bloquear as portas UDP 1812 e 1813 entre a sua infraestrutura Fortinet e os servidores RADIUS na nuvem da Purple.

Vamos terminar com uma sessão de perguntas e respostas rápidas baseada nas dúvidas mais comuns que ouvimos dos clientes.

Pergunta um: a utilização da Purple contorna as políticas de segurança do meu FortiGate? Absolutamente não. A Purple trata da autenticação e da captura de identidade. Uma vez autenticado, todo o tráfego de convidados flui através da política pós-autenticação do seu FortiGate. É precisamente aqui que aplica o FortiGuard Web Filtering, bloqueia o tráfego peer-to-peer e molda a largura de banda. Pense nisto da seguinte forma: a pré-autenticação é permissiva para permitir o login; a pós-autenticação é punitiva para proteger a rede.

Pergunta dois: preciso de implementar servidores RADIUS locais? Não. A Purple fornece RADIUS-as-a-Service. Configura o FortiGate para apontar diretamente para os endereços IP de RADIUS na nuvem da Purple. Não há necessidade de implementar e manter o FreeRADIUS, Windows NPS ou qualquer outra infraestrutura RADIUS local para a rede de convidados.

Pergunta três: a Purple pode funcionar com o FortiWLM? Sim. A abordagem de integração é consistente — configure o URL do Captive Portal externo, as credenciais do servidor RADIUS e o walled garden dentro do controlador FortiWLM, seguindo a mesma sequência lógica da configuração do FortiGate.

Quarta pergunta: e quanto à conformidade com o GDPR? O Purple recolhe o consentimento explícito ao nível do portal, apresentando os seus termos e condições e avisos de processamento de dados antes da autenticação. Estes dados de consentimento são armazenados na plataforma Purple e são auditáveis. O papel do FortiGate é puramente de aplicação de regras de rede — não precisa de lidar diretamente com os dados de consentimento.

Para resumir as principais conclusões do briefing de hoje.

Primeiro: segregue absolutamente os seus SSIDs de funcionários e de convidados. Funcionários no FortiAuthenticator com 802.1X. Convidados no Purple com Captive Portal externo.

Segundo: configure meticulosamente o seu Walled Garden. É o ponto de falha mais comum e o elemento de configuração pré-autenticação mais importante.

Terceiro: utilize o modo Bridge para qualquer implementação de alta densidade para evitar estrangulamentos de DHCP e garantir uma visibilidade precisa do IP do cliente.

Quarto: configure os servidores de autenticação e de accounting RADIUS. O accounting não é opcional se pretender análises significativas.

Quinto: aproveite as funcionalidades UTM da Fortinet pós-autenticação. A filtragem web, o controlo de aplicações e a limitação de largura de banda devem ser aplicados na política de firewall pós-autenticação.

Ao executar esta integração corretamente, transforma o WiFi de convidados de um centro de custos num ativo em conformidade, seguro e gerador de receitas. A combinação da profundidade de segurança da Fortinet com a inteligência de marketing do Purple é genuinamente poderosa para qualquer operador de espaço que queira levar a sério a sua experiência de cliente e estratégia de dados.

Obrigado por ouvir o Purple Architecture Briefing. Se desejar discutir os seus requisitos específicos de implementação, visite purple.ai para falar com a equipa de soluções.

Principais Conclusões

✓Desacople a autenticação de convidados da segurança da rede principal utilizando o RADIUS na nuvem da Purple — o FortiGate aplica a política, a Purple gere a identidade.
✓Mantenha uma segregação absoluta de SSID e VLAN entre funcionários (FortiAuthenticator, 802.1X) e convidados (Captive Portal externo da Purple).
✓Um Walled Garden meticulosamente configurado é o passo único mais crítico — listas de permissões de domínio pré-autenticação incompletas causam a maioria das falhas no Captive Portal.
✓Configure os servidores de autenticação RADIUS (Porta 1812) e de accounting (Porta 1813) — os dados de accounting são essenciais para as análises da Purple.
✓Utilize o modo Bridge para implementações de alta densidade para descarregar o DHCP, evitar estrangulamentos no FortiGate e melhorar a visibilidade do IP do cliente.
✓Aplique as políticas de UTM da Fortinet (FortiGuard Web Filtering, Application Control, Traffic Shaping) estritamente na política de firewall pós-autenticação.
✓Utilize um certificado SSL publicamente fidedigno na interface de redirecionamento do FortiGate para evitar avisos de certificado aos convidados que aumentam o abandono do portal.

Resumo Executivo

Para as equipas de TI empresariais que gerem infraestruturas Fortinet, a integração de Captive Portals externos para acesso de convidados, mantendo simultaneamente posturas de segurança rigorosas, é um requisito comum. A integração entre os pontos de acesso Fortinet FortiAP, os equipamentos FortiGate Unified Threat Management (UTM) e a plataforma Purple WiFi permite que as organizações separem a autenticação de convidados da segurança da rede principal. Este guia fornece aos arquitetos técnicos e gestores de TI o plano definitivo para implementar a Purple como um Captive Portal externo num ambiente Fortinet. Ao delegar a gestão de identidade de convidados para o RADIUS na cloud da Purple, as equipas de rede podem tirar partido das robustas políticas de segurança de Camada 7 do Fortinet para inspeção de tráfego, capturando simultaneamente dados demográficos primários para gerar valor de negócio. Quer seja implementada numa rede de retalho distribuída ou num estádio de alta densidade, esta arquitetura garante a conformidade com PCI DSS e GDPR, ao mesmo tempo que proporciona uma experiência de Guest WiFi fluida.

Análise Técnica Detalhada

A integração arquitetónica entre a Fortinet e a Purple baseia-se em protocolos RADIUS padrão e mecanismos de redirecionamento HTTP. Quando um dispositivo de convidado se associa ao SSID aberto designado e transmitido por um FortiAP, o FortiGate interpõe-se no pedido HTTP/HTTPS inicial. Em vez de apresentar um Captive Portal local, o FortiGate é configurado para redirecionar o cliente para a splash page alojada na cloud da Purple.

Durante esta fase de pré-autenticação, o FortiGate aplica um walled garden — uma lista de permissões estrita de endereços IP e domínios que permite ao dispositivo do cliente carregar os recursos do Captive Portal, efetuar logins sociais e aceder a serviços essenciais (como DNS) sem conceder acesso total à internet. Assim que o utilizador se autentica no portal Purple, a plataforma Purple comunica de volta com o FortiGate através de mensagens RADIUS Access-Accept. O FortiGate altera então o estado da sessão do cliente de não autenticado para autenticado, aplicando as políticas de firewall pós-autenticação adequadas.

Coexistência RADIUS: Purple e FortiAuthenticator

Um desafio arquitetural frequente em ambientes Fortinet é gerir o acesso de convidados em conjunto com a autenticação de funcionários quando um FortiAuthenticator (FAC) já está implementado para identidade corporativa. A abordagem recomendada é a segregação absoluta de SSID. Os dispositivos dos funcionários ligam-se a um SSID seguro utilizando IEEE 802.1X — normalmente PEAP ou EAP-TLS — autenticados diretamente no FortiAuthenticator. Por outro lado, os dispositivos de convidados ligam-se a um SSID aberto configurado para redirecionamento de Captive Portal externo, autenticando-se na infraestrutura RADIUS na nuvem da Purple.

Esta separação garante que os dados de identidade dos convidados — cruciais para o WiFi Analytics — sejam geridos inteiramente dentro da plataforma Purple, enquanto as credenciais corporativas do Active Directory continuam a ser processadas de forma segura pelo FortiAuthenticator no local. O FortiGate lida com o encaminhamento e a aplicação de políticas para ambos os fluxos de tráfego de forma independente, garantindo cruzamento zero entre a VLAN de convidados e a VLAN corporativa. Esta arquitetura também cumpre os requisitos PCI DSS para segmentação de rede, uma vez que o tráfego de convidados é isolado física e logicamente de qualquer infraestrutura de processamento de pagamentos.

Guia de Implementação

A implementação da integração do FortiAP com a Purple requer uma configuração coordenada tanto no portal da Purple como na infraestrutura Fortinet. Os passos seguintes descrevem o caminho crítico para uma implementação bem-sucedida utilizando a gestão de AP do FortiCloud.

Passo 1: Configuração de Rede e RADIUS

Comece por definir a rede no Painel do FortiCloud. Navegue até Configure > My RADIUS Server e defina o servidor de autenticação (Porta 1812) e o servidor de accounting (Porta 1813) utilizando as credenciais fornecidas no portal da Purple. Ambos os servidores devem ser configurados — o accounting não é opcional. A Purple depende dos dados de accounting do RADIUS para preencher o painel de WiFi Analytics com métricas de duração da sessão, consumo de largura de banda e frequência de visitantes. Defina o intervalo provisório de accounting para 120 segundos para visibilidade em tempo real.

Passo 2: Definição de SSID e Captive Portal

Crie um novo SSID dedicado ao acesso de convidados. Defina o método de autenticação como Open e ative a funcionalidade de Captive Portal, selecionando a opção de portal externo ou personalizado. Deve introduzir o URL de Acesso e o URL de Redirecionamento exclusivos fornecidos no ecrã de configuração do portal da Purple.

A configuração do Walled Garden é o passo mais sensível de toda a implementação. Deve introduzir a lista abrangente de domínios obrigatórios da Purple para garantir que os fornecedores de login social (Facebook, Google, X) e os recursos essenciais do portal são carregados corretamente antes da autenticação. A falha na configuração precisa do walled garden resultará num fluxo de autenticação quebrado, uma vez que o dispositivo do cliente não conseguirá aceder aos recursos externos necessários. Garanta também que o tráfego DNS (porta UDP 53) é explicitamente permitido na política de pré-autenticação.

Passo 3: Atribuição de IP — Modo NAT vs Bridge

Ao definir o SSID, deve escolher entre o modo NAT e o modo Bridge para a atribuição de IP.

No modo NAT, o FortiGate fornece endereços DHCP aos dispositivos convidados a partir de uma sub-rede interna dedicada, traduzindo esses endereços à medida que o tráfego sai da firewall. Isto é adequado para implementações mais simples ou ambientes de filiais de Retail mais pequenos, onde o FortiGate gere toda a sub-rede de convidados.

No modo Bridge, o FortiAP encaminha o tráfego de convidados diretamente para uma VLAN específica, permitindo que um servidor DHCP externo atribua os endereços IP. O modo Bridge é fortemente recomendado para ambientes de alta densidade, tais como propriedades de Hospitality ou centros de Transport , pois oferece maior flexibilidade para a gestão de endereços IP, evita estrangulamentos de DHCP no FortiGate e permite que a plataforma Purple veja o endereço IP real do cliente para análises e resolução de problemas mais detalhadas.

Passo 4: Política de Firewall Pós-Autenticação

Assim que a autenticação estiver concluída, o FortiGate deve aplicar uma política de firewall pós-autenticação dedicada à VLAN de convidados. Esta política deve referenciar os perfis de FortiGuard Web Filtering e Application Control para impor restrições de conteúdo e bloquear tráfego peer-to-peer. Aplique um perfil de Traffic Shaper para impor limites de largura de banda, evitando que um único convidado sature a ligação ascendente do local. Certifique-se de que a política bloqueia explicitamente todos os destinos de espaço de IP privado RFC 1918 para evitar que os convidados sondem recursos da rede interna.

Melhores Práticas

Ao desenhar esta integração, siga as seguintes recomendações padrão do setor para garantir estabilidade, segurança e conformidade.

A Segregação de VLAN é Obrigatória: Nunca implemente WiFi de convidados na mesma VLAN que os ativos corporativos ou sistemas de ponto de venda. Deve ser imposta uma marcação estrita de VLAN ao nível da porta do switch para manter a conformidade com o PCI DSS. O FortiGate deve aplicar políticas de firewall agressivas à VLAN de convidados, bloqueando todos os destinos de espaço de IP privado RFC 1918 para evitar movimentos laterais.

Otimizar os Temporizadores de Sessão: Configure o tempo de concessão (lease time) do DHCP e os intervalos provisórios de contabilidade RADIUS de forma adequada. Um tempo de concessão DHCP de 3600 segundos combinado com um intervalo provisório de contabilidade de 120 segundos proporciona um equilíbrio ideal entre a conservação de endereços IP e relatórios analíticos precisos em tempo real no painel da Purple.

Aproveite as Funcionalidades de UTM da Fortinet Pós-Autenticação: A principal vantagem desta integração é a capacidade de aplicar as funcionalidades de segurança avançadas da Fortinet ao tráfego de convidados após a autenticação. Configure a política de firewall pós-autenticação para utilizar o FortiGuard Web Filtering e o Application Control. Isto mitiga o risco de os convidados utilizarem a largura de banda do local para atividades maliciosas, torrents ou acesso a conteúdos inadequados, protegendo assim a reputação do IP público do local e o contrato de serviço de internet.

Utilize Certificados Públicos: Certifique-se de que o FortiGate apresenta um certificado SSL/TLS válido e publicamente confiável na interface de redirecionamento. Os certificados autoassinados acionam avisos de segurança nos dispositivos iOS e Android modernos, aumentando significativamente as taxas de abandono dos convidados no portal.

Resolução de Problemas e Mitigação de Riscos

Mesmo com uma configuração meticulosa, as implementações podem encontrar fricção. Compreender os modos de falha comuns acelera significativamente a resolução.

O Captive Portal Não Carrega: Se um convidado se ligar mas a splash page não aparecer, o culpado mais comum é um walled garden incompleto. Verifique se todos os domínios necessários para a Purple e quaisquer fornecedores de login social configurados estão explicitamente permitidos na política de pré-autenticação. Certifique-se de que a resolução de DNS está a funcionar corretamente para clientes não autenticados; se o cliente não conseguir resolver o URL do portal Purple, o redirecionamento falhará por completo.

Timeouts de RADIUS: Se o portal carregar mas a autenticação falhar consistentemente, investigue o caminho de comunicação do RADIUS. Verifique se o endereço IP externo do FortiGate está corretamente registado na configuração do router do portal Purple. Certifique-se de que os segredos partilhados coincidem exatamente — uma incompatibilidade de um único caráter causará falhas de autenticação silenciosas — e que nenhum firewall intermédio está a bloquear as portas UDP 1812 e 1813 entre a infraestrutura Fortinet e os servidores RADIUS na cloud da Purple.

Erros de Certificado: Os sistemas operativos móveis modernos são altamente sensíveis a anomalias de certificados SSL/TLS durante a interceção do captive portal. Certifique-se de que o FortiGate está a apresentar um certificado válido e publicamente confiável para a interface de redirecionamento, em vez de um certificado predefinido autoassinado. Isto evita avisos de segurança alarmantes que impedem os convidados de concluir o fluxo de autenticação.

Lacunas de Contabilização de Sessão: Se o painel de analítica da Purple mostrar dados de sessão incompletos ou métricas de largura de banda em falta, verifique se o servidor de contabilização RADIUS (Porta 1813) está configurado corretamente e se o intervalo provisório de contabilização está definido. Os dados de contabilização são enviados separadamente da autenticação e requerem a sua própria definição de servidor.

ROI e Impacto no Negócio

A integração da Fortinet e da Purple transforma um centro de custo padrão — o guest WiFi — num ativo de negócio mensurável. Ao utilizar o Captive Portal da Purple, os espaços capturam dados demográficos e informações de contacto verificados, permitindo campanhas de marketing direcionadas, o crescimento de programas de fidelização e o reativamento pós-visita. Para espaços que operam nos setores de Retalho ou Hotelaria , estes dados primários (first-party) são cada vez mais valiosos, à medida que a depreciação de cookies de terceiros limita os canais tradicionais de marketing digital.

Para as operações de TI, descarregar a autenticação de convidados para o cloud RADIUS da Purple reduz significativamente a sobrecarga administrativa associada à gestão de bases de dados de utilizadores locais, à impressão de vouchers físicos ou à manutenção de infraestruturas RADIUS locais. A combinação do onboarding contínuo da Purple com a robusta inspeção de tráfego da Fortinet garante que o espaço oferece uma experiência de internet segura e de alto desempenho, gerando simultaneamente inteligência de negócio acionável através de WiFi Analytics . Esta arquitetura é altamente escalável, suportando desde um único hotel boutique até um campus empresarial distribuído, proporcionando um ROI consistente tanto através da capacitação de marketing como da eficiência operacional.

Definições Principais

External Captive Portal

Uma configuração onde o hardware de rede (FortiGate/FortiAP) redireciona o tráfego de utilizadores não autenticados para uma splash page alojada num servidor cloud de terceiros (Purple), em vez de apresentar uma página armazenada localmente no dispositivo.

As equipas de TI utilizam isto para delegar o design do portal, a manutenção da API de login social e a recolha de consentimento de GDPR para uma plataforma especializada, reduzindo a carga operacional na equipa de rede.

Walled Garden

Uma lista de permissões explícita de endereços IP, domínios e sub-redes que um dispositivo cliente tem permissão para aceder antes de se autenticar com sucesso na rede.

Crucial para permitir que os dispositivos carreguem elementos gráficos do Captive Portal, processem logins de redes sociais e resolvam consultas de DNS antes de terem acesso total à internet. É a causa mais comum de falhas no Captive Portal quando mal configurado.

RADIUS Accounting

O mecanismo de protocolo que utiliza a porta UDP 1813 para monitorizar a duração da sessão de um utilizador, o consumo de largura de banda e os volumes de transferência de dados, reportando estes dados de volta ao servidor RADIUS.

A Purple depende de dados de faturação precisos do hardware Fortinet para preencher os painéis de análise e aplicar limites de tempo ou de dados nas sessões de convidados. Deve ser configurado separadamente da autenticação.

FortiAuthenticator (FAC)

O dispositivo dedicado de gestão de identidades e acessos da Fortinet, utilizado para a autenticação de rede 802.1X de colaboradores internos, single sign-on e gestão de certificados.

Os gestores de TI precisam frequentemente de garantir que a implementação da Purple para convidados não perturba a infraestrutura FAC existente utilizada pelos colaboradores corporativos. A resposta é sempre a segregação de SSID.

Bridge Mode SSID

Uma configuração sem fios onde o ponto de acesso funciona como uma ponte transparente de camada 2, passando o tráfego do cliente diretamente para uma VLAN específica na rede com fios, em vez de realizar NAT.

Preferido em implementações empresariais, pois permite que os servidores DHCP centrais existentes giram os endereços IP, evita estrangulamentos de DHCP no FortiGate e expõe os IPs reais dos clientes à plataforma de análise da Purple.

Post-Authentication Policy

As regras de firewall e os perfis de Gestão Unificada de Ameaças (UTM) aplicados ao tráfego de um utilizador apenas após este se ter autenticado com sucesso através do Captive Portal.

É aqui que os arquitetos de rede aplicam filtragem web, controlo de aplicações e modelação de largura de banda para proteger a rede do local contra atividades maliciosas de convidados. A Purple trata da identidade; o FortiGate trata da aplicação.

IEEE 802.1X

Uma norma IEEE para Controlo de Acesso à Rede baseado em portas, fornecendo uma estrutura para autenticar dispositivos que se desejam ligar a uma LAN ou WLAN utilizando métodos EAP, tais como PEAP ou EAP-TLS.

Utilizado para acesso seguro de colaboradores através do FortiAuthenticator, distinto da autenticação aberta baseada em portal utilizada para convidados através da Purple. Os dois métodos de autenticação coexistem em SSIDs separados.

RADIUS-as-a-Service

Uma infraestrutura RADIUS alojada na cloud fornecida pela Purple, eliminando a necessidade de os locais implementarem e manterem servidores RADIUS locais, como o FreeRADIUS ou o Windows NPS.

Reduz os custos de infraestrutura para as equipas de TI, garantindo simultaneamente elevada disponibilidade e uma integração perfeita com a plataforma de Captive Portal. Particularmente valioso para implementações distribuídas de retalho ou hotelaria.

FortiGuard

O serviço de subscrição de filtragem de conteúdos e inteligência de ameaças baseado na cloud da Fortinet, que fornece filtragem web em tempo real, controlo de aplicações e assinaturas de prevenção de intrusões para dispositivos FortiGate.

Aplicado através de políticas de firewall pós-autenticação para inspecionar e controlar o tráfego de internet de convidados após a Purple ter autenticado o utilizador, protegendo a rede do local e a reputação do IP.

Exemplos Práticos

Um hotel de 200 quartos utiliza atualmente um FortiGate 100F e FortiAPs. Utilizam o FortiAuthenticator para a autenticação 802.1X dos funcionários. Pretendem implementar o Purple WiFi para os hóspedes para capturar dados de marketing, mas o Diretor de TI está preocupado que o portal de hóspedes interfira com o fluxo de autenticação existente dos funcionários.

Implementar a segregação absoluta de SSID. Manter o SSID Staff_WiFi existente configurado para WPA2-Enterprise, apontando para o servidor RADIUS do FortiAuthenticator na Porta 1812. Criar um novo SSID Guest_WiFi separado, configurado como uma rede aberta com Captive Portal externo ativado. Configurar o URL do Captive Portal para apontar para a splash page do Purple, e configurar as definições de RADIUS para este SSID específico para apontar para os servidores RADIUS na cloud do Purple (Porta 1812 para autenticação, Porta 1813 para accounting). Mapear o SSID de convidados para uma VLAN isolada com uma política de firewall dedicada. O FortiGate encaminha os pedidos de autenticação com base no SSID de origem, garantindo zero interferência entre os dois sistemas de autenticação.

Comentário do Examinador: Esta abordagem tira partido da capacidade do FortiGate de definir parâmetros de autenticação por SSID. Resolve elegantemente o requisito de coexistência sem necessitar de proxying RADIUS complexo ou de regras de reencaminhamento condicional no FortiAuthenticator. A principal conclusão é que o FortiGate atua como o ponto de aplicação da política de tráfego para ambos os SSIDs, enquanto a verificação de identidade é delegada à plataforma apropriada para cada tipo de utilizador.

Uma cadeia de retalho está a implementar FortiCloud APs em 50 localizações. Pretendem utilizar o Purple WiFi para análise de dados de convidados. Durante os testes no primeiro local, o convidado liga-se ao WiFi, mas o seu dispositivo apresenta uma página em branco ou um erro de limite de tempo de ligação esgotado em vez da splash page do Purple.

A equipa de TI deve auditar e atualizar a configuração do Walled Garden nas definições de SSID do FortiCloud AP. O FortiAP está atualmente a bloquear os pedidos HTTP/HTTPS do cliente para os recursos do portal do Purple antes da autenticação. A equipa deve introduzir a lista completa de domínios exigidos pelo Purple — incluindo endpoints de CDN e domínios de fornecedores de login social — na lista de permissões do Walled Garden. Devem também verificar se a política de pré-autenticação permite explicitamente o tráfego DNS na porta UDP 53, para que o dispositivo do cliente possa resolver o hostname do portal. Uma vez corrigida no primeiro local, esta configuração deve ser transformada num modelo e aplicada de forma consistente em todas as 50 localizações.

Comentário do Examinador: As configurações incorretas do Walled Garden são a causa individual mais frequente de falhas no Captive Portal em todos os fabricantes de hardware. A solução identifica corretamente que o tráfego de pré-autenticação deve ser explicitamente permitido. Se o dispositivo não conseguir aceder ao CSS, JavaScript ou APIs de login social do portal, o fluxo de autenticação não pode ser iniciado. A criação de um modelo com a correção para todos os locais evita que o mesmo problema ocorra à escala.

Perguntas de Prática

Q1. A sua implementação exige que os convidados se autentiquem através de uma splash page da Purple. Configurou o SSID, os servidores RADIUS e o URL de redirecionamento. No entanto, ao ligarem-se, os dispositivos dos convidados reportam imediatamente "Sem Ligação à Internet" e o portal não abre automaticamente. Qual é a omissão de configuração mais provável?

Dica: Considere que acesso de rede um dispositivo necessita antes de estar totalmente autenticado na rede.

Ver resposta modelo

O Walled Garden (lista de permissões pré-autenticação) está provavelmente incompleto ou em falta. O dispositivo necessita de permissão explícita para aceder aos domínios do portal da Purple, às APIs de login social (Facebook, Google) e para realizar a resolução de DNS antes que o FortiGate conceda acesso total. Sem isto, o Captive Portal Assistant do dispositivo não consegue aceder ao URL de destino para acionar a janela pop-up. Adicionalmente, verifique se o tráfego DNS na porta UDP 53 é permitido na política de pré-autenticação.

Q2. Uma implementação num estádio prevê 15.000 ligações simultâneas de convidados durante os eventos. O design atual propõe a utilização do FortiGate em modo NAT para fornecer DHCP ao SSID de convidados a partir de uma única sub-rede /20. Porque é que esta decisão arquitetural pode criar problemas operacionais e qual é a alternativa recomendada?

Dica: Considere a sobrecarga de processamento na firewall FortiGate e as implicações da rotação de concessões DHCP em grande escala.

Ver resposta modelo

A utilização do modo NAT coloca toda a carga de processamento de DHCP no FortiGate, que pode ter dificuldades com a rápida rotação de concessões de 15.000 dispositivos transitórios que se ligam e desligam ao longo de um evento. Uma única sub-rede /20 fornece apenas 4.094 endereços utilizáveis, o que pode ser insuficiente para o pico de ligações simultâneas. Além disso, o modo NAT oculta o IP real do cliente da plataforma Purple, limitando a profundidade analítica. A abordagem recomendada é o modo Bridge, direcionando o tráfego de convidados para uma VLAN dedicada gerida por uma infraestrutura de DHCP externa empresarial robusta com pools de endereços devidamente dimensionados.

Q3. O CISO exige que o tráfego de WiFi de convidados não consuma mais de 20% da largura de banda total de internet do local, e que os convidados sejam impedidos de aceder a redes de partilha de ficheiros peer-to-peer. Onde é que esta política é aplicada na arquitetura Fortinet-Purple e que funcionalidades específicas da Fortinet são necessárias?

Dica: Determine qual o componente que lida com a inspeção de tráfego e a aplicação de políticas após a identidade do utilizador ter sido verificada pela Purple.

Ver resposta modelo

Esta política é aplicada no equipamento FortiGate UTM através da Política de Firewall Pós-Autenticação aplicada à VLAN de convidados. Embora a Purple trate da autenticação e da captura de identidade, o FortiGate continua a ser responsável pela inspeção e aplicação de tráfego de Camada 7. A equipa de rede deve configurar um perfil de FortiGuard Application Control para bloquear categorias P2P (BitTorrent, eDonkey, etc.) e aplicar um perfil de Traffic Shaper à política de convidados para impor o limite de 20% de largura de banda. Ambos os perfis devem ser referenciados na política de firewall pós-autenticação, e não na política de walled garden de pré-autenticação.

Continue a ler esta série

Integração do CommScope Ruckus com o Purple WiFi: Guia de Instalação e Configuração

Este guia de referência técnica fornece um manual de configuração autoritativo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant utilizando Ruckus Dynamic PSK.

Integração de Access Points Allied Telesis com Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar access points Allied Telesis da Série TQ com o Purple WiFi. Abrange o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implementações multi-tenant seguras.

Integração de Pontos de Acesso Grandstream GWN com o Purple WiFi

Este guia de referência técnica detalha como integrar os pontos de acesso Grandstream GWN com a plataforma de Guest WiFi e analítica da Purple. Abrange a configuração do Captive Portal da Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas e passo a passo para MSPs e equipas de TI que implementam WiFi para convidados e funcionários em grande escala.