SonicWall and guest WiFi: captive portal setup with Purple

INTEGRAÇÃO SONICWALL TZ E SONICWAVE COM PURPLE WIFI Plataforma de Inteligência Purple WiFi - Série de Apresentações Técnicas Duração: Aproximadamente 10 minutos Voz: Inglês do Reino Unido, tom de consultor sénior - confiante, conversacional, autoritário --- SEGMENTO 1: INTRODUÇÃO E ENQUADRAMENTO (aproximadamente 1 minuto) Bem-vindo à Série de Apresentações Técnicas da Purple. Hoje estamos a abordar uma das integrações mais complexas a nível técnico no espaço de WiFi empresarial: as firewalls SonicWall TZ e os pontos de acesso SonicWave, implementados em conjunto com a Purple para autenticação de convidados, controlo de acesso de funcionários e isolamento de rede multi-tenant. Se é um engenheiro de segurança de TI ou um MSP a gerir locais - hotéis, cadeias de retalho, centros de conferências ou empreendimentos de uso misto - esta apresentação é para si. Vamos avançar rapidamente pela arquitetura, os passos de configuração e os pontos onde as implementações costumam falhar. A SonicWall é uma escolha sólida no mercado das PME e empresas de média dimensão. As firewalls da série TZ são amplamente implementadas e os APs SonicWave integram-se nativamente através do SonicOS e do Wireless Network Manager. Quando adiciona a Purple por cima, obtém uma camada de WiFi para convidados gerida na cloud, com splash pages personalizadas com a sua marca, autenticação baseada em RADIUS e captura de dados primários - tudo sem substituir a sua infraestrutura SonicWall existente. Vamos entrar na arquitetura. --- SEGMENTO 2: ANÁLISE TÉCNICA DETALHADA (aproximadamente 5 minutos) Há quatro casos de uso distintos a cobrir aqui e cada um tem um caminho de configuração diferente. WiFi para convidados com redirecionamento de Captive Portal. Exceções de Walled Garden. WiFi seguro para funcionários utilizando 802.1X. E isolamento multi-tenant utilizando chaves pré-partilhadas privadas SonicWall - PPSK - com encaminhamento dinâmico de VLAN. Vamos começar com o WiFi para convidados e o Captive Portal da SonicWall. O SonicOS utiliza um mecanismo chamado Lightweight Hotspot Messaging - LHM - para lidar com redirecionamentos de Captive Portal externos. Quando um convidado se liga ao seu SSID de convidados e abre um navegador, a SonicWall intercepta esse pedido HTTP e redireciona-o para o URL da splash page da Purple. O convidado autentica-se na plataforma da Purple - através de login social, e-mail ou um simples clique - e a Purple envia uma autorização LHM de volta para a SonicWall na porta TCP 4043. A SonicWall abre então o acesso à Internet para o endereço MAC desse dispositivo. A configuração no SonicOS 7.x funciona da seguinte forma. Primeiro, navegue até Object, depois Match Objects, e de seguida Zones. Edite a zona atribuída ao seu WiFi de convidados - normalmente uma WLAN ou uma zona personalizada. Em Guest Services, ative tanto "Enable Guest Services" como "External Guest Authentication". Depois vá a Configure, Guest Services, General. Defina o Client Redirect Protocol como HTTP. Introduza o hostname do portal da Purple como endereço do servidor web - que é portal.purple.ai. Defina o caminho de redirecionamento para o URL da splash page específica do seu local, que a Purple fornece no painel do local. A porta é a 4043. No separador Auth Pages, defina o URL de início de sessão para o URL do portal externo do Purple. Defina o URL de fim de sessão se pretender gerir a terminação de sessões. No separador Advanced, ative a opção "Permitir que utilizadores não autenticados acedam a sites HTTPS" apenas se necessitar de suportar dispositivos com prioridade a HTTPS - mas tenha em conta que isto enfraquece a aplicação do redirecionamento. Depois de guardado, o SonicOS cria automaticamente uma política NAT e uma regra de acesso WAN-para-WAN que permite TCP 4043. Não elimine estas regras geradas automaticamente. São elas que permitem a conclusão do handshake LHM. Agora, a configuração do Walled Garden. Antes de um convidado se autenticar, o seu dispositivo precisa de aceder a determinados domínios para que a página splash funcione. A plataforma do Purple depende da sua própria CDN e endpoints de API. As sondas de deteção de Captive Portal do SO - captive.apple.com para dispositivos iOS, connectivitycheck.gstatic.com para Android e msftconnecttest.com para Windows - devem todas ser incluídas na lista de permissões. Se estiver a oferecer início de sessão social, adicione accounts.google.com, oauth2.googleapis.com, apis.google.com e gstatic.com para o Google. Adicione www.facebook.com, graph.facebook.com, connect.facebook.net e o domínio CDN fbcdn.net se estiver a oferecer início de sessão com o Facebook. No SonicOS, adicione estes como objetos de endereço FQDN em Object, Match Objects, Addresses. Em seguida, crie regras de acesso na zona de convidados que permitam aos dispositivos não autenticados aceder a estes FQDNs. Utilize a resolução DNS dinâmica - o SonicOS resolve os objetos FQDN em intervalos regulares - em vez de entradas de IP estáticas, que irão divergir à medida que os intervalos de IP da CDN forem alterados. Passando para o WiFi seguro do pessoal com 802.1X. É aqui que os APs SonicWave e o servidor RADIUS do Purple funcionam em conjunto. O AP SonicWave atua como autenticador na troca 802.1X. O requerente é o dispositivo do funcionário. O servidor RADIUS do Purple é o servidor de autenticação. O método EAP que escolher depende do seu fornecedor de identidade. Se estiver a utilizar o Microsoft Entra ID ou Okta, o PEAP-MSCHAPv2 é a escolha mais comum porque funciona com credenciais de nome de utilizador e palavra-passe. Se implementou certificados de dispositivo - que é a abordagem recomendada para dispositivos geridos - utilize EAP-TLS. No Wireless Network Manager, navegue para Policies, Policy Hierarchy, selecione a sua política de AP e clique no separador 802.1X. Introduza o endereço IP do servidor RADIUS do Purple - disponível no dashboard do seu local do Purple na secção de definições de RADIUS. O segredo partilhado é gerado pelo Purple e deve corresponder exatamente em ambos os lados. Defina a porta de autenticação para 1812 e a porta de faturação para 1813. Para as definições de EAP, selecione o método que corresponde à configuração do seu fornecedor de identidade. Do lado da Purple, crie uma política RADIUS para autenticação de funcionários. Mapeie o SSID de funcionários para uma VLAN específica - por exemplo, VLAN 200 para funcionários. O servidor RADIUS da Purple devolve a atribuição de VLAN utilizando três atributos padrão: Tunnel-Type definido como VLAN, Tunnel-Medium-Type definido como 802 e Tunnel-Private-Group-ID definido como o ID da VLAN como uma string - ou seja, "200" para a VLAN 200. A firewall SonicWall e o AP SonicWave respeitam estes atributos e colocam o dispositivo do funcionário autenticado na VLAN correta automaticamente. Agora, o caso de uso mais interessante do ponto de vista arquitetónico: PPSK e isolamento multi-tenant. As Private Pre-Shared Keys permitem-lhe executar um único SSID e atribuir a cada inquilino, residente ou grupo de utilizadores uma frase de passe única. Quando um dispositivo se liga utilizando uma PPSK específica, o AP SonicWave envia essa chave para o servidor RADIUS da Purple para validação. A Purple procura a chave, identifica o inquilino ou grupo de utilizadores associado e devolve a atribuição de VLAN apropriada através do atributo Tunnel-Private-Group-ID. A SonicWall encaminha então esse dispositivo para a VLAN correta - completamente isolado de outros inquilinos no mesmo SSID. Isto é Identity-Based Networking na prática. Não está a gerir SSIDs por inquilino. Está a gerir identidades por inquilino. Num empreendimento de uso misto com dez unidades de retalho, um único SSID transmite em todo o edifício. Cada inquilino recebe a sua própria PPSK. Cada PPSK mapeia para uma VLAN e sub-rede dedicadas. Os dispositivos do Inquilino A nunca veem o tráfego do Inquilino B, mesmo partilhando os mesmos pontos de acesso físicos. A configuração de PPSK no SonicOS requer o modo PPSK baseado em RADIUS no SSID. No Wireless Network Manager, edite o SSID, defina o modo de segurança para WPA2-Enterprise com PPSK e aponte o servidor RADIUS para a Purple. A Purple autoriza a tabela de mapeamento de PPSK para VLAN centralmente. Quando adiciona um novo inquilino, cria uma nova PPSK na Purple, atribui-lhe uma VLAN e a alteração propaga-se para todos os APs SonicWave nesse local sem tocar na configuração da firewall. --- SEGMENTO 3: RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS (aproximadamente 2 minutos) Deixe-me dar-lhe as três coisas que mais frequentemente correm mal nas implementações de SonicWall e Purple. Primeiro: a porta LHM. A porta TCP 4043 deve estar aberta da WAN para a interface WAN da SonicWall. Se o seu ISP ou firewall a montante bloquear esta porta, o handshake de autorização LHM nunca é concluído e os convidados ficam retidos na página de splash após a autenticação. Eles veem um início de sessão bem-sucedido do lado da Purple, mas a SonicWall nunca recebe o sinal de autorização. Teste isto com uma verificação de telnet ou curl para a porta 4043 a partir de um IP externo antes do go-live. Segundo: o tempo de resolução de objetos FQDN. O SonicOS resolve os objetos de endereço FQDN no arranque e, posteriormente, num intervalo configurável. Se adicionar um novo domínio de walled garden e a resolução ainda não tiver sido atualizada, os dispositivos não autenticados não conseguirão aceder ao mesmo. Force uma atualização manual após adicionar novos objetos FQDN, ou defina o intervalo de atualização de DNS para 60 segundos em implementações de elevado tráfego. Terceiro: Configuração de subinterfaces VLAN. A atribuição dinâmica de VLAN via RADIUS só funciona se as VLANs de destino existirem como subinterfaces na SonicWall antes da autenticação do primeiro dispositivo. Se uma resposta RADIUS retornar o Tunnel-Private-Group-ID 110 mas a VLAN 110 não existir como uma subinterface na SonicWall, o dispositivo será desconectado ou reverterá para a VLAN padrão. Crie e teste todas as subinterfaces VLAN antes de ativar a atribuição de VLAN via RADIUS. Para os MSPs que gerem múltiplos locais, o painel cloud da Purple permite gerir políticas RADIUS, tabelas PPSK e configurações de splash pages de forma centralizada. Pode aplicar alterações de configuração a todos os locais a partir de uma única interface. Essa é a vantagem operacional de uma abordagem cloud overlay - o hardware SonicWall permanece no local e a Purple gere a camada de identidade e política acima dele. - SEGMENTO 4: PERGUNTAS E RESPOSTAS RÁPIDAS (aproximadamente 1 minuto) Algumas perguntas que surgem regularmente. "Posso usar APs SonicWave em modo standalone com a Purple?" Sim, mas perde algumas funcionalidades. No modo standalone, os APs SonicWave gerem a sua própria configuração RADIUS localmente. Pode continuar a direcioná-los para o servidor RADIUS da Purple para 802.1X. Mas para PPSK com atribuição dinâmica de VLAN, precisa da SonicWall TZ como RADIUS proxy ou do Wireless Network Manager a gerir a política de AP de forma centralizada. "A Purple suporta WPA3 em SonicWave?" O suporte de WPA3 em SonicWave depende da versão do firmware e do modelo do AP. Os APs da série SonicWave 600 suportam WPA3. Para casos de utilização de Captive Portal, o WPA3 com Opportunistic Wireless Encryption é compatível com o fluxo de redirecionamento LHM da Purple, mas teste na sua versão específica de firmware antes de implementar em larga escala. "Como é que a Purple lida com o GDPR para dados de convidados recolhidos através da splash page?" A Purple possui certificação ISO 27001, cumpre o GDPR e possui a certificação Cyber Essentials. O consentimento é recolhido na splash page com caixas de seleção de autoexclusão configuráveis. A Purple armazena dados primários de acordo com a sua política de retenção de dados. Os convidados podem aceder e eliminar os seus dados através do portal de self-service da Purple. "Que atributos RADIUS é que a Purple retorna para a atribuição dinâmica de VLAN?" Três atributos: Tunnel-Type com o valor VLAN, Tunnel-Medium-Type com o valor 802 e Tunnel-Private-Group-ID com o ID da VLAN como uma string. Estes são os atributos padrão RFC 2868 suportados pelo SonicOS e SonicWave. - SEGMENTO 5: RESUMO E PRÓXIMOS PASSOS (aproximadamente 1 minuto) Para resumir. As firewalls SonicWall TZ e os APs SonicWave integram-se com a Purple através de dois mecanismos principais: LHM para redirecionamento do Captive Portal de convidados, e RADIUS para autenticação de funcionários 802.1X e isolamento de multi-inquilino baseado em PPSK. Os principais passos de configuração são: ativar a Autenticação Externa de Convidados na zona de convidados, configurar o URL do portal Purple na porta 4043, criar os seus objetos FQDN de walled garden, configurar o RADIUS na política do AP SonicWave no Wireless Network Manager e criar as suas subinterfaces VLAN na SonicWall antes de ativar a atribuição dinâmica de VLAN.Para implementações multi-inquilino, o PPSK com direcionamento de VLAN baseado em RADIUS é a arquitetura ideal. Um SSID, um conjunto de APs, isolamento total de inquilinos através de atribuição de VLAN baseada em identidade. Se está a planear uma implementação ou a rever uma existente, a equipa técnica da Purple pode fornecer ficheiros de configuração RADIUS específicos do local e listas de domínios de walled garden. A plataforma Purple suporta 80.000 locais ativos e processou 440 milhões de inícios de sessão em 2024 - os padrões de integração que abordámos hoje estão comprovados à escala. Obrigado por ouvir. O guia escrito completo, com tabelas de configuração passo a passo e diagramas de arquitetura Mermaid, está disponível no website da Purple. --- FIM DO SCRIPT