Fortinet FortiAP e WiFi para convidados: configuração de Captive Portal com Purple

Bem-vindo ao Purple Architecture Briefing. Hoje vamos aprofundar uma integração crítica para redes empresariais: a implementação do Purple WiFi juntamente com a infraestrutura Fortinet, especificamente os pontos de acesso FortiAP e as firewalls FortiGate. Se é gestor de TI, arquiteto de rede ou CTO a gerir um espaço - seja uma cadeia de lojas de retalho, um estádio ou um hospital - esta sessão foi concebida para lhe fornecer o plano de ação prático para fazer estas duas plataformas potentes funcionarem juntas de forma contínua. Vamos enquadrar o contexto. A Fortinet é reconhecida pela sua postura de segurança robusta. Os dispositivos de Gestão Unificada de Ameaças FortiGate proporcionam uma inspeção profunda de tráfego de Camada 7. No entanto, no que toca ao WiFi de convidados, não quer apenas segurança - quer valor comercial. Quer captar dados demográficos, compreender o comportamento dos visitantes e impulsionar o retorno do investimento em marketing. É aí que entra o Purple. Ao integrar o Purple como um Captive Portal externo, transfere a carga de trabalho de gestão de identidade de convidados, consentimento do GDPR e inícios de sessão social para o cloud RADIUS do Purple, permitindo que o FortiGate faça o que faz melhor: proteger o perímetro. Então, como é que isto funciona realmente nos bastidores? Vamos entrar na análise técnica detalhada. A arquitetura baseia-se em protocolos RADIUS padrão e redirecionamento HTTP. Quando um dispositivo de convidado se associa ao seu SSID de convidado aberto transmitido pelo FortiAP, o FortiGate interpeta esse pedido Web inicial. Em vez de apresentar uma página de portal básica e armazenada localmente, o FortiGate redireciona o cliente para a página splash alojada na cloud do Purple. Agora, eis o conceito crítico: o Walled Garden. Durante esta fase de pré-autenticação, o convidado não tem acesso à Internet. Mas precisa de carregar os elementos gráficos do portal e pode precisar de aceder ao Facebook ou ao Google para iniciar sessão. O Walled Garden é uma lista de permissões restrita configurada no FortiGate que permite o tráfego para estes domínios específicos. Assim que o utilizador se autentica, a plataforma do Purple envia uma mensagem RADIUS Access-Accept de volta para o FortiGate. O FortiGate altera então o estado da sessão para autenticado e coloca o utilizador na sua política de firewall pós-autenticação. Vamos falar sobre a configuração RADIUS com mais detalhe, porque é aqui que a precisão importa. O Purple fornece-lhe dois conjuntos de credenciais RADIUS: um para autenticação na porta 1812 e outro para accounting na porta 1813. Ambos têm de ser configurados. O servidor de accounting não é opcional. É o mecanismo através do qual o FortiGate reporta os dados da sessão de volta para o Purple - duração, largura de banda consumida e eventos de terminação de sessão. Sem dados de accounting precisos, o seu painel de análise do Purple apresentará métricas de visitantes incompletas ou incorretas. Defina o seu intervalo provisório de accounting para 120 segundos. Isto proporciona um bom equilíbrio entre visibilidade em tempo real e sobrecarga de rede. Um cenário muito comum envolve o FortiAuthenticator. Muitas empresas utilizam o FortiAuthenticator para o seu WiFi de funcionários - utilizando 802.1X e PEAP para autenticar dispositivos corporativos no Active Directory. A pergunta é sempre: posso manter o meu FortiAuthenticator para funcionários e usar a Purple para convidados? A resposta é absolutamente sim, e a regra geral aqui é a segregação estrita. Mantém o seu SSID de funcionários a apontar para o FortiAuthenticator. Cria um SSID de convidados completamente separado e aberto a apontar para o Captive Portal externo e cloud RADIUS da Purple. O FortiGate encaminha os pedidos de autenticação com base no SSID. A identidade dos funcionários permanece local com o FortiAuthenticator. A identidade dos convidados vai para a cloud de marketing da Purple. Zero cruzamento, máxima segurança. Esta arquitetura também apresenta um benefício de conformidade significativo. Sob os requisitos do PCI-DSS, as redes de WiFi de convidados devem ser completamente isoladas de qualquer segmento de rede que processe dados de titulares de cartões. Ao colocar o SSID de convidados num VLAN dedicado e ao aplicar políticas de firewall estritas no FortiGate para bloquear todos os destinos de espaço de IP privado RFC 1918, satisfaz este requisito de forma limpa. Passemos agora às recomendações de implementação. Quando estiver a configurar isto, tem uma decisão crucial a tomar relativamente à atribuição de IP: modo NAT versus modo Bridge. Se estiver a implementar numa pequena filial de retalho com cerca de cinquenta a cem ligações de convidados simultâneas, o modo NAT é perfeitamente adequado. O FortiGate distribui endereços DHCP aos convidados a partir de uma sub-rede interna dedicada e traduz-nos à medida que o tráfego sai da firewall. É simples e requer uma infraestrutura adicional mínima. Mas se estiver a implementar num ambiente de alta densidade - por exemplo, um hotel de quinhentos quartos, um centro de conferências com múltiplos eventos simultâneos ou um estádio - deve utilizar o modo Bridge. No modo Bridge, o FortiAP envia o tráfego de convidados diretamente para um VLAN dedicado, permitindo que os seus servidores DHCP empresariais principais lidem com a carga. Isto evita que o FortiGate se torne um estrangulamento de DHCP durante eventos de pico de ligação. O modo Bridge também garante que a plataforma Purple veja o endereço IP real do cliente, o que é vital para análises e resolução de problemas precisas. Vamos falar sobre a sequência de configuração passo a passo, porque a ordem aqui importa. Comece no portal Purple. Obtenha as suas credenciais de servidor RADIUS - os endereços IP do servidor, os segredos partilhados, o URL do Captive Portal e o URL de redirecionamento. Estas são as quatro informações críticas de que necessita antes de tocar na configuração do Fortinet. Em seguida, aceda ao FortiCloud Dashboard ou à interface de gestão do seu FortiGate. Defina primeiro os seus servidores RADIUS - autenticação em 1812, accounting em 1813. Depois crie o seu SSID de convidados, defina a autenticação como Aberta, ative o Captive Portal externo e introduza o URL do portal Purple e o URL de redirecionamento. Configure o seu Walled Garden. E, finalmente, defina a sua política de firewall pós-autenticação com os seus perfis UTM. Quais são as armadilhas comuns? Onde é que as implementações costumam correr mal? O problema número um, sem dúvida, é um Walled Garden incompleto. Se um convidado se ligar e obtiver um ecrã em branco ou um timeout de ligação, isso significa quase sempre que o FortiGate está a bloquear o acesso aos ficheiros CSS da Purple, recursos JavaScript ou às APIs de login social antes da autenticação. Deve garantir que todos os domínios necessários estão explicitamente permitidos nessa política de pré-autenticação. A Purple fornece uma lista abrangente de domínios necessários - utilize-a na totalidade. Além disso, não se esqueça do DNS. Os clientes não autenticados devem ter permissão para resolver consultas de DNS, caso contrário o redirecionamento simplesmente não funcionará. O dispositivo precisa de resolver o hostname do portal da Purple antes mesmo de poder tentar carregar a página. A segunda armadilha mais comum são os erros de certificado. Certifique-se de que o seu FortiGate está a apresentar um certificado SSL válido e publicamente confiável para a interface de redirecionamento. Se utilizar o certificado autoassinado padrão, os iPhones e dispositivos Android modernos apresentarão avisos de segurança significativos, e os seus convidados abandonarão a ligação por completo. Este é um problema particularmente grave em ambientes de hotelaria, onde a experiência do convidado é primordial. A terceira armadilha são os erros de timeout de RADIUS. Se o portal carregar mas a autenticação falhar de forma consistente, verifique se os segredos partilhados coincidem exatamente entre a sua configuração do FortiGate e o portal da Purple. Mesmo uma diferença de um único caractere fará com que todas as tentativas de autenticação falhem silenciosamente. Verifique também se nenhum firewall intermédio está a bloquear as portas UDP 1812 e 1813 entre a sua infraestrutura Fortinet e os servidores RADIUS na cloud da Purple. Vamos concluir com uma sessão rápida de perguntas e respostas com base nas questões mais comuns que ouvimos dos clientes. Pergunta um: a utilização da Purple ignora as políticas de segurança do meu FortiGate? Absolutamente não. A Purple trata da autenticação e da captura de identidade. Uma vez autenticado, todo o tráfego de convidados flui através da política pós-autenticação do seu FortiGate. É precisamente aqui que aplica o FortiGuard Web Filtering, bloqueia o tráfego peer-to-peer e molda a largura de banda. Pense desta forma: a pré-autenticação é permissiva para permitir o login; a pós-autenticação é punitiva para proteger a rede. Pergunta dois: preciso de implementar servidores RADIUS locais? Não. A Purple fornece RADIUS-as-a-Service. Configura o FortiGate para apontar diretamente para os endereços IP de RADIUS na cloud da Purple. Não há necessidade de implementar e manter o FreeRADIUS, Windows NPS ou qualquer outra infraestrutura RADIUS local para a rede de convidados. Pergunta três: a Purple pode funcionar com o FortiWLM? Sim. A abordagem de integração é consistente - configure o URL externo do Captive Portal, as credenciais do servidor RADIUS e o walled garden dentro do controlador FortiWLM, seguindo a mesma sequência lógica da configuração do FortiGate.Quarta questão: e quanto à conformidade com o GDPR? A Purple recolhe o consentimento explícito ao nível do portal, apresentando os seus termos e condições e avisos de processamento de dados antes da autenticação. Estes dados de consentimento são armazenados dentro da plataforma Purple e são auditáveis. O papel do FortiGate é puramente de aplicação de regras de rede - não necessita de lidar diretamente com os dados de consentimento. Para resumir os principais pontos a reter do briefing de hoje. Primeiro: segregue absolutamente os SSIDs de funcionários e convidados. Funcionários no FortiAuthenticator com 802.1X. Convidados na Purple com Captive Portal externo. Segundo: configure meticulosamente o seu Walled Garden. É o ponto de falha mais comum e o elemento de configuração pré-autenticação mais importante. Terceiro: utilize o modo Bridge para qualquer implementação de alta densidade para evitar estrangulamentos de DHCP e garantir uma visibilidade precisa do IP do cliente. Quarto: configure os servidores de autenticação e accounting RADIUS. O accounting não é opcional se pretender análises significativas. Quinto: aproveite as funcionalidades UTM da Fortinet pós-autenticação. O filtro web, o controlo de aplicações e a modelação de largura de banda devem ser todos aplicados na política de firewall pós-autenticação. Ao executar esta integração corretamente, transforma o WiFi de convidados de um centro de custos num ativo em conformidade, seguro e gerador de receitas. A combinação da profundidade de segurança da Fortinet e da inteligência de marketing da Purple é verdadeiramente poderosa para qualquer operador de espaço que queira levar a sério a sua experiência de convidados e estratégia de dados. Obrigado por ouvir o Purple Architecture Briefing. Se pretender discutir os seus requisitos específicos de implementação, visite purple.ai para falar com a equipa de soluções.