Saltar para o conteúdo principal
Português

Integração do WatchGuard Firebox com o Purple WiFi: Guia de Instalação e Configuração

Este guia é um manual de integração passo a passo para gestores de TI e arquitetos de rede que implementam o WatchGuard Firebox e Access Points com a Purple. Abrange o redirecionamento do Captive Portal externo para Guest WiFi, autenticação segura 802.1X para Staff WiFi e segmentação multi-tenant utilizando WatchGuard Private Pre-Shared Keys (PPSK) com direcionamento dinâmico de VLAN - proporcionando-lhe uma arquitetura única e unificada em todos os níveis de acesso.

📖 8 min de leitura📝 1,854 palavras🔧 2 exemplos práticos3 perguntas de prática📚 10 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo ao briefing de integração. Hoje abordamos a integração dos WatchGuard Firebox e Access Points com o Purple WiFi. Este é um guia técnico para gestores de TI, arquitetos de rede e diretores de operações de espaços que necessitam de implementar uma infraestrutura sem fios segura e escalável. Vamos analisar portais cativos de Guest WiFi, Staff WiFi seguro através de 802.1X, e segmentação multi-inquilino (Multi-Tenant) utilizando as Chaves Privadas Pré-Partilhadas da WatchGuard, ou PPSK. Vamos passar diretamente ao contexto. Quando gere um espaço complexo, como um estádio, um grande centro comercial ou um condomínio residencial (MDU), necessita de um controlo preciso sobre quem acede à rede e o que podem fazer após a ligação. Também precisa de capturar dados primários (first-party data) para potenciar as receitas de marketing. A WatchGuard fornece a plataforma de segurança unificada e o hardware. A Purple fornece a sobreposição de nuvem (cloud overlay), a gestão de identidade e a análise de dados. Ao integrar as duas soluções, automatiza o controlo de acessos baseado em identidade. Elimina a necessidade de gateways separados para convidados e funcionários, o que reduz os custos com hardware e simplifica a gestão. Atualmente, a Purple serve mais de 80.000 espaços ativos e processou 440 milhões de inícios de sessão só em 2024, pelo que a plataforma foi concebida para suportar a escala de qualquer espaço que possa gerir. Vamos passar para a análise técnica detalhada. A arquitetura baseia-se em protocolos RADIUS padrão e redirecionamento HTTP. Temos três níveis de acesso principais. Primeiro, Guest WiFi. Este é um SSID aberto. O AP da WatchGuard intercepta os pedidos HTTP e redireciona o utilizador para a página de splash (Captive Portal) alojada pela Purple. Segundo, Staff WiFi. Este é um SSID seguro WPA3-Enterprise utilizando 802.1X. Os dispositivos autenticam-se diretamente nos servidores RADIUS da Purple usando EAP-TLS ou PEAP. Terceiro, Multi-Tenant WiFi. Este utiliza WatchGuard PPSK. Vários utilizadores ligam-se a um único SSID, mas cada um utiliza uma palavra-passe única. O AP da WatchGuard consulta o servidor RADIUS da Purple, que depois atribui dinamicamente uma VLAN com base nessa chave específica. Então, como configuramos o Captive Portal de Guest WiFi? O primeiro passo consiste em configurar o servidor RADIUS no WatchGuard Cloud ou no Firebox Policy Manager. Aponta o servidor RADIUS primário para o endereço IP da Purple correspondente à sua região. A autenticação é feita na porta 1812 e a gestão de contas (accounting) na porta 1813. Introduz o segredo partilhado (shared secret) fornecido pela Purple e, crucialmente, garante que o NAS ID corresponde ao endereço MAC do Firebox ou AP. Isto indica à Purple de que espaço provém o pedido. O segundo passo é o próprio redirecionamento do Captive Portal. Nas definições de SSID, seleciona Third-Party Hosted Captive Portal com Autenticação RADIUS. Introduz o URL da página de splash da Purple e introduz o segredo partilhado do portal. Este é um segredo específico gerado no painel de controlo Purple Analyze e é utilizado para criar um resumo HMAC para validar os pedidos de autenticação. O algoritmo HMAC-SHA1 garante que a mensagem de sucesso de autenticação da Purple é genuína e não foi adulterada em trânsito. O terceiro passo, e é aqui que muitas implementações falham, é o Walled Garden. Se não configurar isto, o dispositivo não consegue carregar a splash page. Deve permitir o acesso a star ponto mypurple ponto com, api ponto mypurple ponto com e cdn ponto mypurple ponto com antes do início de sessão. Se estiver a utilizar inícios de sessão sociais como o Microsoft Entra ID ou o Google Workspace, também terá de adicionar os domínios desses fornecedores de identidade. Pense no Walled Garden como o lobby de pré-autenticação. Sem ele, o convidado não consegue sequer chegar à porta de entrada. Agora, vejamos a segmentação Multi-Tenant com WatchGuard PPSK. Se gere um centro comercial com 15 lojas, transmitir 15 SSIDs diferentes é uma abordagem ineficaz. Provoca interferência de canal partilhado, congestiona o espaço radioelétrico e cria uma sobrecarga de gestão. O PPSK resolve isto de forma elegante. Transmite apenas um SSID, por exemplo, Centre-Retail. Ative a Private Pre-Shared Key nas definições de SSID da WatchGuard, o que requer a versão de firmware 2.6 ou superior nos seus Access Points WatchGuard. No Purple, cria chaves exclusivas, uma por cliente (tenant). Para isolar o tráfego, utiliza a Dynamic VLAN Assignment. Na WatchGuard Cloud, define a VLAN para Dynamic VLAN assigned by RADIUS. Quando uma loja liga um dispositivo utilizando a sua chave específica, o AP envia um Access-Request para o servidor RADIUS do Purple. O Purple valida a chave e devolve um pacote Access-Accept com três atributos RADIUS IETF vitais. Tunnel-Type, que é o atributo 64, definido para VLAN. Tunnel-Medium-Type, atributo 65, definido para 802. E Tunnel-Private-Group-ID, atributo 81, definido para o ID de VLAN atribuído, por exemplo VLAN 100 para o Retail Tenant A. O AP WatchGuard coloca então esse dispositivo na VLAN 100, completamente isolado dos outros clientes. Isto é o Identity-Based Networking na prática. Vamos discutir recomendações de implementação e erros comuns. Primeiro, os limites de tempo de sessão (session timeouts). Configure limites de tempo de sessão rigorosos tanto no Purple como na WatchGuard para forçar a reautenticação. Isto mantém as suas análises precisas e garante que as sessões inativas não consomem largura de banda. Defina os seus intervalos de RADIUS Interim-Update para 10 minutos. Segundo, o firmware. Deve garantir que os seus Access Points WatchGuard estão a correr a versão de firmware 2.6 ou superior para suportar PPSK. As versões de firmware anteriores não suportam esta funcionalidade. Terceiro, a aleatoriedade de MAC. Os dispositivos modernos randomizam os seus endereços MAC por predefinição. Para a sua rede WiFi segura de colaboradores, instrua a sua equipa a desativar esta funcionalidade para esse SSID específico, de modo a garantir uma autenticação 802.1X estável. A aleatoriedade de MAC pode causar falhas de autenticação e dados analíticos inconsistentes. O que acontece quando algo corre mal? Se o Captive Portal não carregar, verifique primeiro o Walled Garden. Se o dispositivo não conseguir resolver o DNS ou contactar os servidores da Purple, apresentará um erro de timeout em vez da splash page. Se a orientação de VLAN falhar e o cliente receber um IP da VLAN errada, verifique os registos RADIUS no portal da Purple. Certifique-se de que o atributo Tunnel-Private-Group-ID está formatado corretamente como uma string e corresponde a uma VLAN que realmente existe na porta do switch ligada ao AP. Se vir erros de digest HMAC nos registos do WatchGuard, o seu Segredo Partilhado do Captive Portal não coincide entre o WatchGuard e a Purple. Deve ser idêntico em ambos os sistemas, carácter por carácter. Passamos a um Q&A rápido. Pergunta: Posso utilizar PPSK e o Captive Portal no mesmo SSID? Resposta: Não. O WatchGuard não suporta a execução de VLANs Dinâmicas via PPSK e um Captive Portal no mesmo SSID em simultâneo. Precisa de um SSID para o portal e de um SSID separado para o PPSK. Planeie a sua arquitetura de SSID em conformidade. Pergunta: O que acontece se o servidor RADIUS não devolver um ID de VLAN para um utilizador PPSK? Resposta: No WatchGuard Cloud, configura uma opção de contingência para Clientes Não Atribuídos. Pode colocá-los numa VLAN sem etiqueta ou numa VLAN de quarentena isolada específica para garantir que não obtêm acesso à rede empresarial. Configure sempre esta contingência para evitar acessos acidentais. Em resumo, a integração do WatchGuard Firebox com a Purple oferece-lhe uma plataforma unificada de segurança, identidade e analítica em redes de Convidados, Colaboradores e Multi-Tenant. Utiliza o redirecionamento externo do captive portal para convidados, 802.1X para colaboradores e PPSK com VLANs dinâmicas para ambientes multi-tenant. O ROI é claro. Reduz os custos de hardware ao consolidar gateways, simplifica a gestão através de uma única plataforma na nuvem e impulsiona as receitas ao capturar dados primários através do captive portal da Purple. Os seus próximos passos são rever a sua arquitetura de SSID atual, garantir que o firmware do seu WatchGuard está na versão 2.6 ou superior e começar a configurar as suas definições de RADIUS no portal da Purple. Obrigado por ouvir.

header_image.png

Resumo executivo

A implementação de uma infraestrutura sem fios segura e escalável em locais complexos exige uma integração precisa entre o seu gateway de segurança e o fornecedor de identidade. Este guia detalha a integração do WatchGuard Firebox e dos Access Points WatchGuard com a Purple, cobrindo três níveis de acesso distintos: redirecionamento para o Captive Portal de Guest WiFi , Staff WiFi seguro utilizando IEEE 802.1X, e segmentação de Multi-Tenant WiFi através de Private Pre-Shared Keys (PPSK) da WatchGuard.

Ao combinar a plataforma de segurança unificada da WatchGuard com a sobreposição na nuvem da Purple, automatiza o controlo de acessos baseado na identidade, impõe políticas de segurança granulares e recolhe dados primários à escala. A Purple opera em mais de 80.000 locais ativos e processou 440 milhões de inícios de sessão em 2024 (dados internos da Purple). A integração foi concebida para ser independente de hardware - a WatchGuard posiciona-se ao lado da Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet na lista de hardware suportado pela Purple. Para uma visão mais ampla sobre as normas de segurança WiFi empresarial, consulte o nosso Enterprise WiFi Security: A Complete Guide for 2026 .

architecture_overview.png

Arquitetura técnica

A integração liga o hardware WatchGuard aos serviços cloud da Purple utilizando dois mecanismos padrão: RADIUS (Remote Authentication Dial-In User Service) para autenticação e faturação (accounting), e redirecionamento HTTP para entrega do Captive Portal. A arquitetura suporta três níveis de acesso numa única infraestrutura física.

Nível de Acesso Tipo de SSID Método de Autenticação Função Purple
Guest WiFi Aberto Captive Portal externo + RADIUS accounting Splash page, recolha de dados, analytics
Staff WiFi WPA3-Enterprise 802.1X (EAP-TLS ou PEAP) Servidor RADIUS, proxy do fornecedor de identidade
Multi-Tenant WiFi WPA2/WPA3 Personal + PPSK PPSK validado via RADIUS Gestão de chaves, atribuição dinâmica de VLAN

Todos os três níveis podem funcionar em simultâneo na mesma frota de Access Points WatchGuard. Os modelos Wi-Fi 6 da WatchGuard - AP130, AP230W, AP330, AP332CR, AP430CR e AP432 - suportam PPSK a partir da versão de firmware v2.6.

Configurar o redirecionamento do Captive Portal de Guest WiFi

A integração do Captive Portal da WatchGuard redireciona os pedidos HTTP não autenticados para a splash page alojada na Purple. Este é o mecanismo principal para a recolha de dados primários e aplicação dos termos de serviço.

Passo 1: Configuração do servidor RADIUS

No WatchGuard Cloud ou Firebox Policy Manager, defina a Purple como o servidor de autenticação e accounting RADIUS.

  • Primary RADIUS server: Defina para o endereço IP do Purple RADIUS para a sua região (disponível no portal Purple em Definições > Integração de Hardware).
  • Authentication port: 1812
  • Accounting port: 1813
  • Shared secret: Introduza o segredo exclusivo fornecido no portal Purple.
  • NAS ID: Defina para o endereço MAC do Firebox ou AP utilizando o especificador de formato %m. Isto identifica o local para a Purple e encaminha a análise para a conta correta.
  • Accounting interval: Defina para 10 minutos para garantir que os dados da sessão fluem para o painel de análise da Purple em intervalos regulares.

Passo 2: Definições de SSID e Captive Portal

No WatchGuard Cloud, navegue para Configure > Devices > [O Seu AP] > Device Configuration > SSIDs. Crie ou edite o SSID de Visitantes.

  • Security: Aberto (sem palavra-passe de pré-autenticação).
  • Captive portal type: Selecione Third-Party Hosted Captive Portal with RADIUS Authentication.
  • Splash Page URL: Introduza o URL da página de splash da Purple (ex. https://wifi.mypurple.com/splash). Obtenha este URL em Purple > Analyze > Portals.
  • Shared secret: Introduza o segredo partilhado do portal a partir da mesma página Purple Analyze Portals. Este segredo gera o resumo HMAC-SHA1 que a WatchGuard utiliza para validar a resposta de sucesso de autenticação da Purple.

Passo 3: Configuração do Walled Garden

O Walled Garden define os domínios aos quais um dispositivo pode aceder antes de concluir a autenticação. Sem isto, o dispositivo não consegue carregar a página de splash da Purple. Adicione as seguintes entradas em Websites que os utilizadores podem aceder antes de iniciar sessão:

  • *.mypurple.com
  • api.mypurple.com
  • cdn.mypurple.com
  • assets.mypurple.com

Se ativar inícios de sessão sociais ou federados via Microsoft Entra ID, Okta ou Google Workspace, adicione os domínios do fornecedor de identidade relevantes (ex. login.microsoftonline.com, accounts.google.com). Para obter contexto legal e de conformidade sobre infraestruturas de WiFi partilhadas, consulte o nosso guia sobre Requisitos Legais e de Conformidade para Infraestruturas de WiFi Partilhadas .

Como funciona o fluxo de autenticação HMAC

Compreender este fluxo ajuda-o a diagnosticar falhas rapidamente.

  1. O dispositivo do visitante liga-se ao SSID aberto e faz um pedido HTTP.
  2. O AP WatchGuard intercetará o pedido e redirecionará o browser para o URL da página de splash da Purple, anexando um parâmetro challenge (uma string hexadecimal aleatória) e o endereço MAC do dispositivo.
  3. A Purple apresenta a página de splash. O visitante preenche o formulário de início de sessão.
  4. A Purple gera um resumo HMAC-SHA1 utilizando o segredo partilhado do portal e o valor challenge.
  5. A Purple redireciona o browser de volta para o URL de início de sessão do AP WatchGuard, anexando o challenge e o resumo.
  6. O AP WatchGuard valida o resumo utilizando o mesmo segredo partilhado. Se corresponder, o AP concede acesso à Internet e envia um pacote RADIUS Accounting Start para a Purple.

WiFi Seguro para Colaboradores com 802.1X

Para o WiFi de funcionários, substitua o Captive Portal pelo IEEE 802.1X - o padrão empresarial para controlo de acesso à rede baseado em portas. Cada funcionário autentica-se com credenciais exclusivas ou um certificado, eliminando o risco de palavras-passe partilhadas.

No WatchGuard Cloud, configure o SSID de funcionários com a segurança WPA3 Enterprise e aponte o Authentication Domain para o servidor RADIUS da Purple. A Purple atua como o servidor RADIUS e pode encaminhar pedidos de autenticação para o Microsoft Entra ID, Okta ou Google Workspace via SAML ou LDAP.

Para autenticação baseada em certificados (EAP-TLS), implemente certificados de cliente através do seu MDM para os dispositivos geridos. Para autenticação baseada em credenciais (PEAP-MSCHAPv2), os utilizadores autenticam-se com as suas credenciais de diretório. A Purple valida o pedido junto do fornecedor de identidade configurado e devolve um RADIUS Access-Accept ou Access-Reject ao AP WatchGuard.

Para um passo a passo detalhado da configuração do 802.1X em vários tipos de dispositivos, consulte o nosso guia sobre 802.1X authentication: securing network access on modern devices .

Nota importante sobre a randomização de MAC: Os dispositivos modernos iOS e Android randomizam os seus endereços MAC por predefinição. Para o WiFi de funcionários com 802.1X, instrua a equipa a desativar a randomização de MAC para o SSID de funcionários. Os MACs randomizados causam registos de autenticação inconsistentes e impedem a aplicação de políticas baseadas em MAC.

WiFi Multi-Tenant com WatchGuard PPSK

Transmitir um SSID separado por inquilino num centro comercial, espaço de coworking ou empreendimento Build-to-Rent (BTR) causa interferência de canal partilhado e sobrecarrega o ambiente de RF. O WatchGuard PPSK (Private Pre-Shared Key) - introduzido no firmware de AP v2.6 - resolve isto atribuindo uma palavra-passe exclusiva a cada utilizador ou inquilino num único SSID.

ppsk_vlan_segmentation_chart.png

Passo 1: Ativar o PPSK no SSID

No WatchGuard Cloud, edite o SSID de destino (ex.: Venue-WiFi).

  • Security: WPA2 Personal ou WPA3 Personal.
  • Authentication: Ative o Private Pre-Shared Key (PPSK).
  • RADIUS server: Aponte para o servidor RADIUS da Purple. A Purple gere o armazenamento de credenciais PPSK e devolve os atributos de VLAN na autenticação.

Passo 2: Configurar a atribuição dinâmica de VLAN

Para isolar o tráfego de inquilinos, o AP WatchGuard atribui uma VLAN específica com base no PPSK utilizado.

  • VLAN setting: Selecione Dynamic VLAN assigned by RADIUS.
  • Unassigned clients fallback: Selecione uma VLAN de quarentena isolada (ex.: VLAN 999) para garantir que os dispositivos que falham a validação de RADIUS não conseguem aceder à rede corporativa.

Requisitos para VLANs Dinâmicas em Access Points WatchGuard:

  • Firmware de AP v2.2 ou superior.
  • O NAT deve estar desativado no SSID.
  • As VLANs Dinâmicas e o Captive Portal não podem ser executados simultaneamente no mesmo SSID.
  • A porta do switch ligada ao AP deve ser configurada como uma porta trunk que transporta todos os VLANs relevantes.

Passo 3: Atributos RADIUS para direcionamento de VLAN

Quando um utilizador se liga utilizando uma PPSK, o AP WatchGuard envia um RADIUS Access-Request para a Purple. A Purple valida a chave e devolve um pacote Access-Accept contendo três atributos RADIUS IETF:

Atributo RADIUS Número do Atributo Valor
Tunnel-Type 64 13 (VLAN)
Tunnel-Medium-Type 65 6 (802)
Tunnel-Private-Group-ID 81 ID da VLAN (ex., "100")

O AP WatchGuard lê o atributo 81 e coloca o cliente na VLAN correspondente. Na Purple, mapeia cada credencial PPSK para um ID de VLAN e função específicos. Este é o mecanismo subjacente às Redes Baseadas em Identidade - a credencial determina o segmento de rede, não o SSID.

Melhores práticas de implementação

Estas recomendações aplicam-se a implementações em hotelaria , retalho , saúde e transportes .

Limites de tempo de sessão: Configure os limites de tempo de sessão tanto na Purple como na WatchGuard para forçar a reautenticação a intervalos regulares. Isto mantém a precisão das análises e evita que sessões inativas consumam largura de banda. Defina o RADIUS Interim-Update (Acct-Interim-Interval) para 600 segundos (10 minutos).

Gestão de firmware: Certifique-se de que os Access Points WatchGuard executam a versão de firmware v2.6 ou superior para suporte de PPSK. Utilize a WatchGuard Cloud para agendar atualizações de firmware durante as horas de menor atividade para evitar falhas de cobertura.

Conformidade PCI DSS: Para ambientes de retalho que processam pagamentos com cartão, isole os dispositivos POS numa VLAN dedicada (ex., VLAN 200) utilizando PPSK. Certifique-se de que a VLAN do WiFi de Convidados não tem rota para a VLAN dos POS. Isto apoia os requisitos de segmentação de rede do PCI DSS.

GDPR e recolha de dados: O Captive Portal da Purple utiliza opt-ins de escolha consciente, garantindo que a recolha de dados cumpre os requisitos do GDPR. A Purple possui certificação ISO 27001, GDPR, CCPA e Cyber Essentials. Certifique-se de que a sua página de splash inclui um aviso de privacidade claro e um link para os termos de serviço antes de iniciar a recolha de dados.

Resolução de problemas e mitigação de riscos

O Captive Portal falha ao carregar: O Walled Garden é o primeiro local a verificar. Se o dispositivo não conseguir resolver o DNS ou contactar os servidores da Purple antes da autenticação, o browser mostra um erro de limite de tempo excedido em vez da página de splash. Verifique se todos os domínios da Purple estão na lista de Walled Garden e se as definições de DNS da WatchGuard permitem a resolução pré-autenticação.

Erros de validação de digest HMAC: Se os registos da WatchGuard mostrarem falhas de autenticação com erros HMAC, o Segredo Partilhado do Captive Portal não coincide entre a WatchGuard e a Purple. Este deve ser idêntico em ambos os sistemas. Regenere o segredo na Purple e introduza-o novamente na WatchGuard Cloud.

Falha no direcionamento de VLAN: Se um utilizador PPSK receber um IP da VLAN errada, verifique os registos RADIUS no portal Purple. Verifique se a Purple está a retornar todos os três atributos RADIUS IETF. Certifique-se de que o valor de Tunnel-Private-Group-ID está formatado como uma string e corresponde a um ID de VLAN configurado na porta de trunk do switch.

Conflito de PPSK e Captive Portal: A WatchGuard não suporta VLANs Dinâmicas e Captive Portal no mesmo SSID. Se necessitar de ambos, utilize dois SSIDs: um para o captive portal de convidados e outro para o acesso multi-tenant PPSK.

Falhas de autenticação 802.1X: Utilize a ferramenta de captura de pacotes disponível no firmware AP WatchGuard v2.5 e superior para capturar o tráfego entre o AP e o servidor RADIUS. Procure por pacotes RADIUS Access-Reject e o respetivo código de motivo no atributo da mensagem de resposta.

ROI e impacto empresarial

A integração da WatchGuard e da Purple consolida a segurança e a análise numa única arquitetura. Um hotel com 200 quartos que utilize esta integração elimina a necessidade de gateways separados para convidados e funcionários, reduzindo as despesas com hardware em aproximadamente 30% em comparação com uma implementação multi-gateway (dados internos da Purple). O Captive Portal de Guest WiFi captura dados primários (first-party) - endereços de e-mail, informações demográficas e frequência de visitas - que geram receitas de marketing direto através do plano Engage da Purple.

Para espaços multi-tenant, o PPSK elimina a sobrecarga operacional de gerir múltiplos SSIDs. Um centro comercial que faça a gestão de 15 unidades de lojas num único SSID reduz a utilização de rádio do AP e simplifica as auditorias de rede. O WiFi Analytics da Purple fornece aos operadores dos espaços dados sobre o tempo de permanência, fluxo de pessoas e visitas repetidas - métricas que justificam o investimento na infraestrutura perante as equipas financeiras.

A Purple mantém um tempo de atividade de 99.999% (dados internos da Purple), garantindo que o Captive Portal de Guest WiFi permanece disponível mesmo durante os períodos de pico em locais de alta densidade, como estádios e centros de conferências.

Definições Principais

PPSK (Private Pre-Shared Key)

Uma funcionalidade de segurança que atribui uma palavra-passe única a cada utilizador ou dispositivo num SSID WPA2/WPA3 Personal. Introduzida no firmware v2.6 do AP WatchGuard.

Utilizado em ambientes multi-tenant — centros comerciais, espaços de coworking, empreendimentos BTR — para segmentar utilizadores sem exigir a configuração de um suplicante 802.1X nos dispositivos cliente.

Dynamic VLAN steering

O processo de atribuição de um dispositivo de rede a uma VLAN (Virtual LAN) específica com base nos atributos RADIUS (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) devolvidos durante a autenticação.

O mecanismo que isola o tráfego de inquilinos, funcionários e convidados no mesmo ponto de acesso físico. Requer o firmware de AP v2.2 ou superior no hardware WatchGuard.

Walled Garden

Uma lista de endereços IP ou domínios aos quais um utilizador não autenticado tem permissão de aceder antes de concluir a autenticação no Captive Portal.

Necessário para permitir que os dispositivos dos convidados carreguem a splash page da Purple e concluam os inícios de sessão federados (Microsoft Entra ID, Google Workspace) antes de lhes ser concedido acesso total à Internet.

HMAC digest

Um hash criptográfico (HMAC-SHA1) utilizado para verificar a integridade e a autenticidade da mensagem de sucesso de autenticação proveniente do Captive Portal.

A WatchGuard valida o digest HMAC utilizando o Segredo Partilhado do Captive Portal. Uma divergência entre o segredo na WatchGuard e na Purple causa falhas de autenticação.

RADIUS accounting

O componente do protocolo RADIUS que monitoriza a utilização da rede, incluindo o início de sessão, a duração da sessão e o volume de transferência de dados.

A Purple depende dos pacotes de RADIUS Accounting do WatchGuard Firebox para preencher o painel de análise e aplicar limites de tempo de sessão. Funciona na porta 1813.

Captive portal

Uma página web para a qual um dispositivo é redirecionado antes de lhe ser concedido acesso a uma rede pública. A WatchGuard intercetará os pedidos HTTP e redirecionará para o URL do portal externo configurado.

O mecanismo principal para a recolha de dados primários (first-party data) e aplicação dos termos de serviço em redes WiFi de Convidados. A Purple aloja a splash page e gere os dados.

802.1X

Um padrão IEEE para controlo de acesso à rede baseado em portas. Exige que cada dispositivo se autentique com credenciais exclusivas ou com um certificado antes de lhe ser concedido acesso à rede.

O padrão empresarial para proteger o WiFi de Funcionários. Elimina o risco de palavra-passe partilhada do WPA2 Personal. Requer um servidor RADIUS (Purple) e um suplicante no dispositivo cliente.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Um método de autenticação 802.1X altamente seguro que requer tanto um certificado de cliente como um certificado de servidor para autenticação mútua.

Utilizado em ambientes de alta segurança onde os dispositivos são geridos por um MDM. Garante que apenas os dispositivos da empresa com certificados válidos se podem ligar ao SSID do WiFi de Funcionários.

NAS ID (Network Access Server Identifier)

Uma string enviada em pacotes RADIUS que identifica o dispositivo de rede (AP ou Firebox) que efetua o pedido de autenticação.

A Purple utiliza o NAS ID para identificar de que local provém um pedido RADIUS. Normalmente definido para o endereço MAC do AP utilizando o especificador de formato %m no WatchGuard.

Identity-Based Networking

Uma arquitetura de rede onde as políticas de acesso, as atribuições de VLAN e os controlos de segurança são determinados pela identidade do utilizador e não pela sua porta física ou SSID.

A combinação do PPSK da WatchGuard, do RADIUS da Purple e do Dynamic VLAN steering proporciona Identity-Based Networking — a credencial determina o segmento de rede automaticamente.

Exemplos Práticos

Um hotel Premier Inn com 200 quartos necessita de disponibilizar Guest WiFi para os hóspedes, Staff WiFi seguro para as equipas de receção e back-office, e uma rede separada para dispositivos IoT (smart TVs, fechaduras eletrónicas). Possuem access points WatchGuard AP330 geridos através da WatchGuard Cloud e uma gateway Firebox T85. Como devem arquitetar as três redes?

Implemente três SSIDs na frota de WatchGuard AP330. SSID 1: 'Premier-Guest' - SSID aberto com redirecionamento de Captive Portal externo para a Purple. Configure o Firebox T85 como o cliente RADIUS a apontar para os servidores da Purple (portas 1812/1813). Adicione os domínios Walled Garden da Purple. Os hóspedes autenticam-se através da página de boas-vindas da Purple utilizando e-mail, login social ou um código de quarto. SSID 2: 'Premier-Staff' - SSID WPA3-Enterprise com autenticação 802.1X. Aponte o domínio de autenticação para o servidor RADIUS da Purple, que faz o proxy das credenciais para o tenant Microsoft Entra ID do hotel. Os funcionários autenticam-se com as suas credenciais corporativas. SSID 3: 'Premier-IoT' - SSID WPA2 Personal com uma PSK estática, colocado numa VLAN dedicada (ex. VLAN 50) com regras de firewall que bloqueiam o acesso às VLANs de funcionários e hóspedes. O Firebox T85 impõe as políticas de encaminhamento inter-VLAN. Todos os três SSIDs são transmitidos no mesmo hardware de AP, reduzindo os custos de infraestrutura.

Comentário do Examinador: Esta arquitetura segue o princípio do menor privilégio. Cada nível de acesso tem o acesso mínimo à rede necessário para a sua função. O SSID de IoT utiliza uma PSK estática em vez de PPSK porque, normalmente, os dispositivos IoT não conseguem lidar com a rotação dinâmica de credenciais. A decisão fundamental é a utilização da Purple como o servidor RADIUS para os níveis de hóspedes e funcionários, o que centraliza a gestão de identidade e a análise numa única plataforma.

Um centro comercial que gere 12 lojas pretende fornecer a cada inquilino um acesso WiFi isolado utilizando um único SSID. O centro necessita também de garantir que uma credencial de inquilino comprometida não exponha o tráfego dos restantes inquilinos. Estão a utilizar access points WatchGuard AP230W com a versão de firmware v2.6.

Configure um único SSID: 'Centre-Retail' com WPA2 Personal e PPSK ativado. Na Purple, crie 12 credenciais PPSK exclusivas, uma por inquilino. Mapeie cada credencial para uma VLAN dedicada (ex. VLAN 101 para o Inquilino 1, VLAN 102 para o Inquilino 2, e assim sucessivamente). Na WatchGuard Cloud, configure a VLAN do SSID para 'Dynamic VLAN assigned by RADIUS' com fallback para uma VLAN de quarentena (VLAN 999). Configure as portas do switch ligadas ao AP230W como portas trunk que transportam as VLANs 101-112 e 999. Quando o dispositivo de um inquilino se liga utilizando a sua PPSK, o AP consulta o RADIUS da Purple, recebe o atributo Tunnel-Private-Group-ID e coloca o dispositivo na VLAN correta. Uma credencial comprometida do Inquilino 3 apenas expõe a VLAN 103 - todos os outros inquilinos permanecem isolados.

Comentário do Examinador: O PPSK proporciona isolamento por credencial sem a complexidade da gestão de certificados 802.1X. A decisão de design crítica é a VLAN de fallback. Sem uma VLAN de quarentena configurada, um dispositivo que falhe a validação RADIUS poderia ser colocado na VLAN predefinida sem tag, obtendo potencialmente acesso à infraestrutura de gestão. Configure sempre o fallback de forma explícita.

Perguntas de Prática

Q1. Um gestor de TI de um hotel relata que os hóspedes se ligam ao WiFi, mas a splash page da Purple nunca aparece. O navegador mostra um erro de limite de tempo de ligação (connection timeout). A configuração do WatchGuard Cloud mostra o URL correto da splash page da Purple e o segredo partilhado. Qual é a causa mais provável e como a resolve?

Dica: Considere o que deve acontecer antes de o dispositivo ser autenticado. Quais são os domínios que o dispositivo precisa de alcançar para carregar a splash page?

Ver resposta modelo

O Walled Garden está em falta ou incompleto. O WatchGuard Firebox está a bloquear o pedido HTTP inicial do dispositivo para os servidores da Purple antes de a autenticação ser concluída. Adicione os domínios obrigatórios da Purple à lista "Websites que os utilizadores podem aceder antes de iniciar sessão": *.mypurple.com, api.mypurple.com, e cdn.mypurple.com. Se os hóspedes utilizarem logins sociais, adicione também os domínios do fornecedor de identidade relevantes (por exemplo, login.microsoftonline.com para Entra ID).

Q2. Está a configurar o encaminhamento de VLAN baseado em PPSK para um espaço de coworking com 8 membros. A autenticação RADIUS é bem-sucedida (os registos do WatchGuard mostram Access-Accept), mas todos os dispositivos dos membros recebem um endereço IP da VLAN 1 (a VLAN de gestão predefinida) em vez da VLAN do inquilino que lhes foi atribuída. Como diagnostica e resolve este problema?

Dica: A autenticação foi bem-sucedida, pelo que a credencial é válida. O problema está na etapa de atribuição de VLAN. O que é que o WatchGuard precisa do servidor RADIUS para atribuir uma VLAN?

Ver resposta modelo

O pacote RADIUS Access-Accept da Purple está em falta ou a formatar incorretamente os atributos de VLAN. Capture o tráfego RADIUS no AP utilizando a ferramenta de captura de pacotes do WatchGuard e inspecione o pacote Access-Accept. Verifique se a Purple está a devolver todos os três atributos IETF: Tunnel-Type (atributo 64, valor 13), Tunnel-Medium-Type (atributo 65, valor 6) e Tunnel-Private-Group-ID (atributo 81, definido para o ID da VLAN como uma string, por exemplo, "101"). Confirme também se a porta do switch ligada ao AP está configurada como uma porta trunk que transporta as VLANs relevantes, e que a definição de VLAN do SSID no WatchGuard Cloud está definida como "Dynamic VLAN assigned by RADIUS" em vez de um ID de VLAN estático.

Q3. Um operador de espaço pretende disponibilizar um Captive Portal de Guest WiFi (splash page da Purple) e uma rede PPSK multi-inquilino para 6 unidades de retalho no mesmo ponto de acesso WatchGuard AP330. Planeiam configurar ambas as funcionalidades num único SSID para simplificar o ambiente de RF. Isto é possível? Se não, qual é a arquitetura correta?

Dica: Reveja os requisitos de Dynamic VLAN do WatchGuard. Existem conflitos de funcionalidades?

Ver resposta modelo

Isto não é possível num único SSID. O WatchGuard não suporta simultaneamente Dynamic VLANs (necessárias para PPSK) e Captive Portal no mesmo SSID. A arquitetura correta utiliza dois SSIDs: SSID 1 ("Venue-Guest") configurado como um SSID aberto com redirecionamento de Captive Portal externo para a Purple para utilizadores públicos. SSID 2 ("Venue-Retail") configurado com WPA2 Personal, PPSK ativado e atribuição de Dynamic VLAN para os 6 inquilinos de retalho. Ambos os SSIDs são transmitidos a partir do mesmo hardware AP330, pelo que o impacto de RF é limitado a um beacon SSID adicional. A porta do switch ligada ao AP tem de ser uma porta trunk que transporte todas as VLANs relevantes para ambos os SSIDs.

Continue a ler esta série

Integração do CommScope Ruckus com o Purple WiFi: Guia de Instalação e Configuração

Este guia de referência técnica fornece um manual de configuração autoritativo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant utilizando Ruckus Dynamic PSK.

Ler o guia →

Integração de Access Points Allied Telesis com Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar access points Allied Telesis da Série TQ com o Purple WiFi. Abrange o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implementações multi-tenant seguras.

Ler o guia →

Integração de Pontos de Acesso Grandstream GWN com o Purple WiFi

Este guia de referência técnica detalha como integrar os pontos de acesso Grandstream GWN com a plataforma de Guest WiFi e analítica da Purple. Abrange a configuração do Captive Portal da Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas e passo a passo para MSPs e equipas de TI que implementam WiFi para convidados e funcionários em grande escala.

Ler o guia →