SonicWall TZ and SonicWave Integration with Purple WiFi

INTEGRAÇÃO DO SONICWALL TZ E SONICWAVE COM A PURPLE WIFI Purple WiFi Intelligence Platform - Série de Briefing Técnico Duração: Aproximadamente 10 minutos Voz: Inglês do Reino Unido, tom de consultor sénior - confiante, conversacional, autoritário --- SEGMENTO 1: INTRODUÇÃO E CONTEXTO (aproximadamente 1 minuto) Bem-vindo à Série de Briefing Técnico da Purple. Hoje estamos a abordar uma das integrações tecnicamente mais complexas no espaço de WiFi empresarial: firewalls SonicWall TZ e pontos de acesso SonicWave, implementados em conjunto com a Purple para autenticação de convidados, controlo de acesso de funcionários e isolamento de rede multi-tenant. Se é um engenheiro de segurança de TI ou um MSP a gerir locais - hotéis, cadeias de retalho, centros de conferências ou empreendimentos de uso misto - este briefing é para si. Vamos avançar rapidamente pela arquitetura, os passos de configuração e os pontos onde as implementações costumam falhar. A SonicWall é uma escolha forte no segmento das PME e no mercado intermédio. As firewalls da série TZ estão amplamente implementadas e os APs SonicWave integram-se nativamente através do SonicOS e do Wireless Network Manager. Quando adiciona a Purple por cima, obtém uma camada de WiFi de convidados gerida na nuvem com Captive Portals personalizados, autenticação baseada em RADIUS e captura de dados primários - tudo isto sem substituir a sua infraestrutura SonicWall existente. Vamos passar à arquitetura. --- SEGMENTO 2: MERGULHO TÉCNICO PROFUNDO (aproximadamente 5 minutos) Existem quatro casos de uso distintos para abordar aqui, e cada um tem um caminho de configuração diferente. WiFi de convidados com redirecionamento de Captive Portal. Exceções de Walled Garden. WiFi seguro para funcionários utilizando 802.1X. E isolamento multi-tenant utilizando chaves privadas pré-partilhadas da SonicWall - PPSK - com direcionamento dinâmico de VLAN. Vamos começar com o WiFi de convidados e o Captive Portal da SonicWall. O SonicOS utiliza um mecanismo chamado Lightweight Hotspot Messaging - LHM - para lidar com redirecionamentos de Captive Portal externos. Quando um convidado se liga ao seu SSID de convidados e abre um navegador, o SonicWall intercepta essa requisição HTTP e redireciona-a para o URL do Captive Portal da Purple. O convidado autentica-se na plataforma da Purple - através de login social, e-mail ou um clique de aceitação - e a Purple envia uma autorização LHM de volta para o SonicWall na porta TCP 4043. O SonicWall abre então o acesso à Internet para o endereço MAC desse dispositivo. A configuração no SonicOS 7.x funciona da seguinte forma. Primeiro, navegue até Object, depois Match Objects, e depois Zones. Edite a zona atribuída ao seu WiFi de convidados - normalmente uma WLAN ou uma zona personalizada. Em Guest Services, ative tanto "Enable Guest Services" como "External Guest Authentication." Depois aceda a Configure, Guest Services, General. Defina o Client Redirect Protocol para HTTP. Introduza o hostname do portal da Purple como endereço do servidor web - que é portal.purple.ai. Defina o caminho de redirecionamento para o URL do Captive Portal específico do seu local, que a Purple fornece no painel do local. A porta é a 4043. No separador Auth Pages, configure o URL de login para o URL do portal externo da Purple. Configure o URL de logout se pretender gerir a terminação da sessão. No separador Advanced, ative "Allow unauthenticated users to access HTTPS sites" apenas se precisar de suportar dispositivos HTTPS-first - mas tenha em atenção que isto enfraquece a aplicação do redirecionamento. Depois de guardado, o SonicOS cria automaticamente uma política NAT e uma regra de acesso WAN-to-WAN que permite TCP 4043. Não elimine estas regras geradas automaticamente. São elas que permitem a conclusão do handshake LHM. Agora, a configuração do Walled Garden. Antes de um convidado se autenticar, o seu dispositivo precisa de aceder a determinados domínios para que a splash page funcione. A plataforma da Purple depende da sua própria CDN e endpoints de API. As sondas de deteção de Captive Portal do sistema operativo - captive.apple.com para dispositivos iOS, connectivitycheck.gstatic.com para Android e msftconnecttest.com para Windows - devem ser todas incluídas na whitelist. Se estiver a disponibilizar o login social, adicione accounts.google.com, oauth2.googleapis.com, apis.google.com e gstatic.com para o Google. Adicione www.facebook.com, graph.facebook.com, connect.facebook.net e o domínio de CDN fbcdn.net se estiver a disponibilizar o login do Facebook. No SonicOS, adicione estes como objetos de endereço FQDN em Object, Match Objects, Addresses. Em seguida, crie regras de acesso na zona de convidados que permitam que os dispositivos não autenticados acedam a estes FQDNs. Utilize a resolução DNS dinâmica - o SonicOS resolve objetos FQDN em intervalos regulares - em vez de entradas de IP estáticas, que irão sofrer desvios à medida que os intervalos de IP da CDN forem alterados. Passando para o WiFi Seguro para Funcionários com 802.1X. É aqui que os APs SonicWave e o servidor RADIUS da Purple funcionam em conjunto. O AP SonicWave atua como o autenticador na troca 802.1X. O suplicante é o dispositivo do funcionário. O servidor RADIUS da Purple é o servidor de autenticação. O método EAP que escolher depende do seu fornecedor de identidade. Se estiver a utilizar o Microsoft Entra ID ou o Okta, o PEAP-MSCHAPv2 é a escolha mais comum porque funciona com credenciais de utilizador e palavra-passe. Se tiver implementado certificados de dispositivo - que é a abordagem recomendada para dispositivos geridos - utilize EAP-TLS. No Wireless Network Manager, navegue até Policies, Policy Hierarchy, selecione a sua política de AP e clique no separador 802.1X. Introduza o endereço IP do servidor RADIUS da Purple - disponível no painel de controlo do seu espaço Purple na secção de definições de RADIUS. O segredo partilhado é gerado pela Purple e deve corresponder exatamente em ambos os lados. Configure a porta de autenticação para 1812 e a porta de accounting para 1813. Para as definições de EAP, selecione o método que corresponde à configuração do seu fornecedor de identidade. Do lado do Purple, crie uma política RADIUS para a autenticação de funcionários. Mapeie o SSID dos funcionários para uma VLAN específica - por exemplo, VLAN 200 para funcionários. O servidor RADIUS do Purple devolve a atribuição de VLAN utilizando três atributos padrão: Tunnel-Type definido como VLAN, Tunnel-Medium-Type definido como 802 e Tunnel-Private-Group-ID definido como o ID da VLAN em formato string - ou seja, "200" para a VLAN 200. A firewall SonicWall e o AP SonicWave respeitam estes atributos e colocam automaticamente o dispositivo autenticado do funcionário na VLAN correta. Agora, o caso de utilização mais interessante do ponto de vista arquitetónico: PPSK e isolamento multi-tenant. As Chaves Privadas Partilhadas Previamente (PPSK) permitem executar um único SSID e atribuir a cada inquilino, residente ou grupo de utilizadores uma frase de acesso exclusiva. Quando um dispositivo se liga utilizando uma PPSK específica, o AP SonicWave envia essa chave para o servidor RADIUS do Purple para validação. O Purple consulta a chave, identifica o inquilino ou grupo de utilizadores associado e devolve a atribuição de VLAN apropriada através do atributo Tunnel-Private-Group-ID. O SonicWall encaminha então esse dispositivo para a VLAN correta - completamente isolado de outros inquilinos no mesmo SSID. Isto é Redes Baseadas em Identidade na prática. Não está a gerir SSIDs por inquilino. Está a gerir identidades por inquilino. Num empreendimento de uso misto com dez unidades de retalho, um único SSID emite para todo o edifício. Cada inquilino recebe a sua própria PPSK. Cada PPSK mapeia para uma VLAN e sub-rede dedicadas. Os dispositivos do Inquilino A nunca veem o tráfego do Inquilino B, embora partilhem os mesmos pontos de acesso físicos. A configuração de PPSK no SonicOS requer o modo PPSK baseado em RADIUS no SSID. No Wireless Network Manager, edite o SSID, defina o modo de segurança para WPA2-Enterprise com PPSK e aponte o servidor RADIUS para o Purple. O Purple gere a tabela de mapeamento PPSK-para-VLAN de forma centralizada. Quando adiciona um novo inquilino, cria uma nova PPSK no Purple, atribui-lhe uma VLAN e a alteração propaga-se para todos os APs SonicWave nesse local sem tocar na configuração da firewall. --- SEGMENTO 3: RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS (aproximadamente 2 minutos) Deixe-me apresentar-lhe as três coisas que mais frequentemente correm mal nas implementações de SonicWall e Purple. Primeiro: a porta LHM. A porta TCP 4043 deve estar aberta da WAN para a interface WAN do SonicWall. Se o seu ISP ou firewall a montante bloquear esta porta, o handshake de autorização LHM nunca é concluído e os visitantes ficam presos na splash page após a autenticação. Eles veem um início de sessão bem-sucedido do lado do Purple, mas o SonicWall nunca recebe o sinal de autorização. Teste isto com uma verificação por telnet ou curl para a porta 4043 a partir de um IP externo antes da entrada em produção. Segundo: o tempo de resolução de objetos FQDN. O SonicOS resolve objetos de endereço FQDN no arranque e, depois, num intervalo configurável. Se adicionar um novo domínio de walled garden e a resolução ainda não tiver sido atualizada, os dispositivos não autenticados não conseguirão aceder ao mesmo. Force uma atualização manual após adicionar novos objetos FQDN ou defina o intervalo de atualização de DNS para 60 segundos em implementações de elevado tráfego. Terceiro: Configuração de subinterfaces VLAN. A atribuição dinâmica de VLAN via RADIUS só funciona se as VLANs de destino existirem como subinterfaces na SonicWall antes da autenticação do primeiro dispositivo. Se uma resposta RADIUS retornar o Tunnel-Private-Group-ID 110 mas a VLAN 110 não existir como uma subinterface na SonicWall, o dispositivo será desconectado ou reverterá para a VLAN padrão. Crie e teste todas as subinterfaces VLAN antes de ativar a atribuição de VLAN por RADIUS. Para MSPs que gerem múltiplos locais, o painel na nuvem da Purple permite-lhe gerir políticas RADIUS, tabelas PPSK e configurações de splash pages de forma centralizada. Pode aplicar alterações de configuração a todos os locais a partir de uma única interface. Essa é a vantagem operacional de uma abordagem de sobreposição na nuvem - o hardware SonicWall permanece no local e a Purple lida com a camada de identidade e política acima dele. --- SEGMENTO 4: PERGUNTAS E RESPOSTAS RÁPIDAS (aproximadamente 1 minuto) Algumas perguntas que surgem regularmente. "Posso usar APs SonicWave em modo autónomo com a Purple?" Sim, mas perde algumas funcionalidades. No modo autónomo, os APs SonicWave gerem a sua própria configuração RADIUS localmente. Pode continuar a apontá-los para o servidor RADIUS da Purple para 802.1X. Mas para PPSK com atribuição dinâmica de VLAN, precisa da firewall SonicWall TZ como proxy RADIUS ou do Wireless Network Manager a gerir a política dos APs de forma centralizada. "A Purple suporta WPA3 em SonicWave?" O suporte para WPA3 em SonicWave depende da versão do firmware e do modelo do AP. Os APs da série SonicWave 600 suportam WPA3. Para casos de uso de Captive Portal, o WPA3 com Opportunistic Wireless Encryption é compatível com o fluxo de redirecionamento LHM da Purple, mas teste na sua versão de firmware específica antes de implementar em larga escala. "Como é que a Purple lida com o GDPR para dados de convidados recolhidos através da splash page?" A Purple possui certificação ISO 27001, está em conformidade com o GDPR e tem a certificação Cyber Essentials. O consentimento é capturado na splash page com caixas de seleção de auto-exclusão (opt-in) configuráveis. A Purple armazena dados primários de acordo com a sua política de retenção de dados. Os convidados podem aceder e eliminar os seus dados através do portal de self-service da Purple. "Que atributos RADIUS é que a Purple retorna para a atribuição dinâmica de VLAN?" Três atributos: Tunnel-Type com o valor VLAN, Tunnel-Medium-Type com o valor 802, e Tunnel-Private-Group-ID com o ID da VLAN como uma string. Estes são os atributos padrão RFC 2868 suportados pelo SonicOS e SonicWave. --- SEGMENTO 5: RESUMO E PRÓXIMOS PASSOS (aproximadamente 1 minuto) Em resumo. As firewalls SonicWall TZ e os APs SonicWave integram-se com a Purple através de dois mecanismos principais: LHM para redirecionamento do Captive Portal de convidados, e RADIUS para autenticação 802.1X de funcionários e isolamento multi-tenant baseado em PPSK. Os principais passos de configuração são: ativar a Autenticação Externa de Convidados na zona de convidados, configurar o URL do portal da Purple na porta 4043, criar os seus objetos FQDN de walled garden, configurar o RADIUS na política do AP SonicWave no Wireless Network Manager, e criar as suas subinterfaces VLAN na SonicWall antes de ativar a atribuição dinâmica de VLAN.Para implementações multi-tenant, o PPSK com direcionamento de VLAN baseado em RADIUS é a arquitetura a utilizar. Um SSID, um conjunto de APs, isolamento completo de tenants através de atribuição de VLAN baseada em identidade. Se está a planear uma implementação ou a rever uma existente, a equipa técnica da Purple pode fornecer ficheiros de configuração RADIUS específicos para o local e listas de domínios para o walled garden. A plataforma Purple suporta 80.000 locais ativos e processou 440 milhões de inícios de sessão em 2024 - os padrões de integração que cobrimos hoje estão comprovados à escala. Obrigado por ouvir. O guia escrito completo, com tabelas de configuração passo a passo e diagramas de arquitetura Mermaid, está disponível no website da Purple. --- FIM DO GUIÃO