Saltar para o conteúdo principal
Português

Sophos Firewall and Access Points Integration with Purple WiFi

Este guia detalha a integração técnica do Sophos Firewall (XG/XGS) e dos pontos de acesso Sophos AP6/APX com o Purple WiFi. Abrange o redirecionamento de Captive Portal externo, a configuração de autenticação e accounting RADIUS, a configuração de Walled Garden, 802.1X para WiFi de funcionários e a atribuição dinâmica de VLAN utilizando Sophos PPSK para segregação segura de redes Multi-Tenant em espaços de hotelaria, retalho e setor público.

📖 9 min de leitura📝 2,208 palavras🔧 2 exemplos práticos4 perguntas de prática📚 9 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo ao Purple Architecture Briefing. Hoje vamos aprofundar uma integração crítica para redes empresariais: a implementação do Purple WiFi em conjunto com a infraestrutura Sophos, especificamente os pontos de acesso Sophos AP6 e APX e as firewalls Sophos XG e XGS. Se é um gestor de TI, um arquiteto de rede ou um CTO a gerir um espaço, seja uma cadeia de retalho, um estádio ou um hospital, esta sessão foi concebida para lhe fornecer o plano de ação para fazer com que estas duas plataformas potentes funcionem juntas de forma perfeita. Vamos contextualizar. A Sophos é reconhecida pela sua postura de segurança robusta. Os dispositivos Sophos Firewall fornecem inspeção profunda de pacotes e segurança sincronizada. No entanto, quando se trata de Guest WiFi, não quer apenas segurança. Quer valor comercial. Quer capturar dados demográficos, compreender o comportamento dos visitantes e impulsionar o retorno do investimento em marketing. É aí que entra a Purple. Ao integrar a Purple como um Captive Portal externo, descarrega o trabalho pesado da gestão de identidade de convidados, consentimento do GDPR e inícios de sessão sociais para o RADIUS na nuvem da Purple, permitindo que a Sophos Firewall faça o que faz melhor: proteger o perímetro. Então, como é que isto funciona realmente nos bastidores? Vamos entrar na análise técnica detalhada. A arquitetura baseia-se em protocolos RADIUS padrão e redirecionamento HTTP. Quando um utilizador do espaço se associa ao seu SSID de Guest WiFi aberto, transmitido pelo Sophos AP, a Sophos Firewall intercepta esse pedido web inicial. Em vez de apresentar uma página de portal básica e armazenada localmente, a firewall redireciona o cliente para a splash page alojada na nuvem da Purple. Agora, aqui está o conceito crítico: o Walled Garden. Durante esta fase de pré-autenticação, o utilizador não tem acesso à Internet. Mas precisa de carregar os elementos gráficos do portal e pode precisar de aceder ao Facebook ou ao Google para iniciar sessão. O Walled Garden é uma lista de permissões estrita configurada na Sophos Firewall que permite o tráfego para estes domínios específicos. Assim que o utilizador se autentica, a plataforma da Purple envia uma mensagem RADIUS Access-Accept de volta para a Sophos Firewall. A firewall altera então o estado da sessão para autenticado e coloca o utilizador na sua política de firewall pós-autenticação. Vamos falar sobre a configuração do RADIUS com mais detalhe, porque é aqui que a precisão importa. A Purple fornece-lhe dois conjuntos de credenciais RADIUS: um para autenticação na porta 1812 e outro para accounting na porta 1813. Ambos têm de ser configurados. O servidor de accounting não é opcional. É o mecanismo através do qual a Sophos Firewall reporta os dados da sessão de volta para a Purple, incluindo a duração, a largura de banda consumida e os eventos de terminação de sessão. Sem dados de accounting precisos, o seu painel de análise da Purple mostrará métricas de visitantes incompletas ou incorretas. Defina o seu intervalo provisório de accounting para 120 segundos. Isto proporciona um bom equilíbrio entre visibilidade em tempo real e sobrecarga de rede. Agora vamos falar de um cenário que surge constantemente em implementações empresariais: o WiFi Multi-Tenant. Pense num espaço de coworking, num bloco residencial para arrendamento (build-to-rent) ou numa residência de estudantes. Tem múltiplos grupos distintos de utilizadores que precisam de acesso WiFi, mas que devem estar completamente isolados uns dos outros ao nível da rede. Emitir um SSID separado para cada inquilino não é viável. Cria congestionamento de radiofrequência e é um pesadelo operacional de gerir. A resposta são as Sophos Private Pre-Shared Keys, ou PPSK, combinadas com a atribuição dinâmica de VLAN. Eis como funciona. Configura um único SSID nos seus pontos de acesso Sophos AP6. Em seguida, emite uma frase-passe exclusiva para cada inquilino ou grupo de utilizadores. Quando um dispositivo se liga e apresenta a sua chave exclusiva, o AP Sophos autentica essa chave via RADIUS. O servidor RADIUS devolve um atributo de ID de VLAN específico na mensagem Access-Accept. O AP etiqueta dinamicamente o tráfego do utilizador com esse ID de VLAN, colocando-o no seu segmento de rede dedicado. Networking Baseado em Identidade em ação. Um SSID, múltiplas redes isoladas, zero sobrecarga de radiofrequência de transmissões adicionais. Esta arquitetura também traz um benefício de conformidade significativo. Sob os requisitos do PCI DSS, as redes WiFi de Convidados devem estar completamente isoladas de qualquer segmento de rede que processe dados de titulares de cartões. Ao colocar o SSID de convidados numa VLAN dedicada e ao aplicar políticas de firewall rigorosas na Sophos Firewall para bloquear todos os destinos de espaço de IP privado RFC 1918, cumpre este requisito de forma limpa. A Purple, que opera em 80.000 locais ativos e processou 440 milhões de logins em 2024, é certificada pela ISO 27001, em conformidade com o GDPR e certificada pela Cyber Essentials, pelo que a história da conformidade se estende também à camada de identidade. Passemos agora às recomendações de implementação. Quando estiver a configurar isto, tem de tomar uma decisão crucial relativamente à atribuição de IP: modo NAT versus modo Bridge. Se estiver a implementar uma pequena filial de retalho com talvez cinquenta a cem ligações de convidados simultâneas, o modo NAT é perfeitamente adequado. O AP Sophos distribui endereços DHCP aos convidados a partir de uma sub-rede interna dedicada e traduz-os à medida que o tráfego sai. É simples e requer uma infraestrutura adicional mínima. Mas se estiver a implementar um ambiente de alta densidade, por exemplo, um hotel de quinhentos quartos, um centro de conferências com múltiplos eventos simultâneos ou um estádio, deve utilizar o modo Bridge. No modo Bridge, o AP Sophos envia o tráfego de convidados diretamente para uma VLAN dedicada, permitindo que os seus servidores DHCP empresariais centrais lidem com a carga. Isto evita que o ponto de acesso ou a firewall se tornem um estrangulamento de DHCP durante eventos de pico de ligação. O modo Bridge também garante que a plataforma Purple veja o endereço IP real do cliente, o que é vital para análises e resolução de problemas precisas. Vamos falar sobre a sequência de configuração passo a passo, porque a ordem aqui é importante. Comece no portal Purple. Obtenha as suas credenciais do servidor RADIUS: os endereços IP do servidor, os segredos partilhados, o URL do Captive Portal e o URL de redirecionamento. Estas são as quatro informações críticas de que necessita antes de mexer na configuração do Sophos. Depois, aceda ao Sophos Central ou à interface de gestão local da sua firewall. Defina primeiro os seus servidores RADIUS, autenticação na porta 1812, accounting na porta 1813. Em seguida, configure o seu Walled Garden nas Definições de Hotspot. Depois, crie o seu SSID de convidados, defina a encriptação como Aberta, ative o Captive Portal e introduza o URL do portal Purple. E, finalmente, defina as suas regras de firewall pós-autenticação. Especificamente para o Walled Garden, deve permitir, no mínimo, os seguintes domínios: o domínio do portal Purple, normalmente region1.purpleportal.net; venuewifi.com; e quaisquer domínios de login social que os seus convidados utilizem, tais como facebook.com, accounts.google.com e os respetivos domínios CDN associados. Se estiver a utilizar o Microsoft Entra ID ou o Okta para federação de identidades, esses domínios também devem ser incluídos. E quanto a armadilhas? Onde é que as implementações costumam falhar? O problema número um, sem dúvida, é um Walled Garden incompleto. Se um convidado se ligar e obtiver um ecrã em branco ou um tempo limite de ligação esgotado, isso significa quase sempre que a Sophos Firewall está a bloquear o acesso aos ficheiros CSS da Purple, aos recursos JavaScript ou às APIs de login social antes da autenticação. Deve garantir que todos os domínios necessários são explicitamente permitidos nessa política de pré-autenticação. A Purple fornece uma lista abrangente de domínios necessários. Utilize-a na totalidade. Além disso, não se esqueça do DNS. Os clientes não autenticados devem ter permissão para resolver consultas DNS, caso contrário o redirecionamento simplesmente não funcionará. O dispositivo precisa de resolver o hostname do portal Purple antes de poder sequer tentar carregar a página. A segunda armadilha mais comum são os erros de certificado. Certifique-se de que a sua Sophos Firewall está a apresentar um certificado SSL válido e publicamente fidedigno para a interface de redirecionamento. Se utilizar o certificado autoassinado predefinido, os iPhones e dispositivos Android modernos apresentarão avisos de segurança significativos e os seus convidados abandonarão completamente a ligação. Este é um problema particularmente agudo em ambientes de hotelaria, onde a experiência do convidado é primordial. A terceira armadilha são os erros de timeout do RADIUS. Se o portal carregar mas a autenticação falhar sistematicamente, verifique se os segredos partilhados coincidem exatamente entre a sua configuração Sophos e o portal Purple. Mesmo a diferença de um único caráter fará com que todas as tentativas de autenticação falhem silenciosamente. Verifique também se nenhuma firewall intermédia está a bloquear as portas UDP 1812 e 1813 entre a sua infraestrutura Sophos e os servidores RADIUS na cloud da Purple. Vamos terminar com uma sessão rápida de perguntas e respostas baseada nas dúvidas mais comuns que recebemos dos clientes. Questão um: a utilização do Purple contorna as políticas de segurança do meu Sophos Firewall? Absolutamente não. O Purple lida com a autenticação e a captura de identidade. Uma vez autenticado, todo o tráfego de convidados flui através da política pós-autenticação do seu Sophos Firewall. É precisamente aqui que aplica a filtragem web, bloqueia o tráfego peer-to-peer e molda a largura de banda. Pense nisto da seguinte forma: a pré-autenticação é permissiva para permitir o início de sessão; a pós-autenticação é punitiva para proteger a rede. Questão dois: preciso de implementar servidores RADIUS locais? Não. O Purple fornece RADIUS-as-a-Service. Configura os APs da Sophos para apontarem diretamente para os endereços IP do cloud RADIUS do Purple. Não há necessidade de implementar e manter o FreeRADIUS ou o Windows NPS para a rede de convidados. Questão três: posso utilizar o Purple tanto com a série Sophos AP6 como com a série APX mais antiga? Sim. A abordagem de integração é consistente em ambas as gerações de hardware. Note, contudo, que a Sophos anunciou uma data de fim de vida para a série APX de 31 de dezembro de 2027. Se está a planear uma nova implementação, invista na série AP6, que suporta Wi-Fi 6 e Wi-Fi 6E. Questão quatro: e quanto à conformidade com o GDPR? O Purple captura o consentimento explícito ao nível do portal, apresentando os seus termos e condições e avisos de processamento de dados antes da autenticação. Estes dados de consentimento são armazenados na plataforma Purple e são auditáveis. O papel do Sophos Firewall é puramente de aplicação de rede. Para resumir as principais conclusões do briefing de hoje. Primeiro: segregue absolutamente os seus SSIDs de Staff e de Convidados. Staff em 802.1X com WPA2-Enterprise. Convidados no Purple com um Captive Portal externo. Segundo: configure meticulosamente o seu Walled Garden. É o ponto de falha mais comum e o elemento de configuração de pré-autenticação mais importante. Terceiro: utilize o modo Bridge para qualquer implementação de alta densidade para evitar estrangulamentos de DHCP e garantir uma visibilidade precisa do IP do cliente. Quarto: configure os servidores de autenticação e de accounting RADIUS. O accounting não é opcional se pretender análises significativas. Quinto: aproveite o Sophos PPSK para ambientes Multi-Tenant para permitir o Identity-Based Networking com atribuição dinâmica de VLAN. Um SSID, múltiplas redes isoladas. Sexto: aplique as políticas de segurança da Sophos estritamente pós-autenticação. A filtragem web, o controlo de aplicações e a modelação de largura de banda devem ser aplicados na política de firewall pós-autenticação. Ao executar esta integração corretamente, transforma o WiFi de Convidados de um centro de custos num ativo em conformidade, seguro e gerador de receitas. A combinação da profundidade de segurança da Sophos com a inteligência de marketing do Purple é genuinamente poderosa para qualquer operador de espaço que queira levar a sério a sua experiência de convidado e estratégia de dados. Obrigado por ouvir o Purple Architecture Briefing. Se desejar discutir os seus requisitos específicos de implementação, visite purple.ai para falar com a equipa de soluções.

header_image.png

Resumo executivo

Se gere uma infraestrutura Sophos e precisa de implementar um Guest WiFi que recolha dados primários (first-party data), este guia fornece-lhe os passos exatos de configuração. A Purple integra-se com a Sophos Firewall (séries XG e XGS) e com os pontos de acesso Sophos AP6/APX como um Captive Portal externo, delegando a gestão de identidade de convidados, a recolha de consentimento GDPR e o processamento de login social para o cloud RADIUS da Purple. A sua Sophos Firewall continua a aplicar a inspeção profunda de pacotes (DPI) e a gestão unificada de ameaças (UTM) em todo o tráfego. O resultado: uma rede segmentada e em conformidade, onde os convidados se autenticam através de uma splash page personalizada da Purple, os funcionários se ligam via 802.1X com WPA2-Enterprise, e os ambientes multi-tenant utilizam Sophos Private Pre-Shared Keys (PPSK) para atribuição dinâmica de VLAN. A Purple opera em mais de 80.000 locais ativos e processou 440 milhões de logins em 2024 (dados internos da Purple, 2024). É certificada pela norma ISO 27001, em conformidade com o GDPR e certificada pelo Cyber Essentials.

Análise técnica detalhada

Como funciona o redirecionamento

A integração utiliza protocolos RADIUS padrão e redirecionamento HTTP. Quando um utilizador no local se associa ao seu SSID de Guest WiFi aberto num ponto de acesso Sophos AP6 ou APX, a Sophos Firewall interpeta o primeiro pedido HTTP desse dispositivo não autenticado. Em vez de apresentar uma página de login armazenada localmente, a firewall emite um redirecionamento 302 para o URL da splash page alojada na cloud da Purple - normalmente no formato https://region1.purpleportal.net/access/.

Durante esta fase de pré-autenticação, o dispositivo permanece dentro de um Walled Garden: uma lista de permissões (allowlist) rigorosa de domínios a que os dispositivos não autenticados podem aceder. Esta lista de permissões deve incluir os recursos do portal da Purple, quaisquer fornecedores de login social (Facebook, Google, LinkedIn) e quaisquer endpoints de federação de identidade que utilize, tais como o Microsoft Entra ID ou o Okta. Assim que o utilizador conclui a autenticação na splash page da Purple, o cloud RADIUS da Purple envia uma mensagem RADIUS Access-Accept para a Sophos Firewall. A firewall atualiza o estado da sessão para autenticado e aplica a sua política de segurança pós-autenticação.

Autenticação e accounting RADIUS

A Purple disponibiliza o RADIUS-as-a-Service. Não necessita de implementar o FreeRADIUS, o Windows NPS ou qualquer infraestrutura RADIUS local para a rede de convidados. Configure a Sophos Firewall para apontar diretamente para os endereços IP do cloud RADIUS da Purple.

São necessárias duas funções RADIUS:

Função Protocolo Porta Finalidade
Autenticação UDP 1812 Valida as credenciais dos convidados e devolve Access-Accept ou Access-Reject
Accounting UDP 1813 Comunica o início da sessão, atualizações intermédias e o fim da sessão à Purple
A monitorização (accounting) não é opcional. É o mecanismo através do qual o Sophos Firewall reporta a duração da sessão, a largura de banda consumida e os eventos de terminação de sessão de volta à Purple. Sem os dados de monitorização, o seu painel de WiFi Analytics mostrará métricas de visitantes incompletas. Defina o intervalo provisório de monitorização para 120 segundos para obter um bom equilíbrio entre visibilidade em tempo real e sobrecarga de rede.

O segredo partilhado do RADIUS deve coincidir exatamente entre a sua configuração do Sophos e o portal da Purple. Uma diferença de um único caráter causa falhas de autenticação silenciosas.

Configuração do Walled Garden

O Walled Garden é o elemento de configuração de pré-autenticação mais importante e a fonte mais comum de falhas de implementação. Configure-o em Wireless > Hotspot Settings no Sophos Firewall.

Deve permitir os seguintes domínios, no mínimo:

Categoria Domínios a permitir
Purple core region1.purpleportal.net, venuewifi.com, cloudfront.net
Pagamento (se aplicável) stripe.com
Widget de meteorologia (se utilizado) openweathermap.org
Login do Facebook facebook.com, fbcdn.net, connect.facebook.net, akamaihd.net
Login do Google accounts.google.com, googleapis.com, gstatic.com
Login do LinkedIn linkedin.com, licdn.net, licdn.com
Microsoft Entra ID login.microsoftonline.com, login.microsoft.com

Permita sempre a resolução de DNS (porta UDP 53) para clientes não autenticados. Sem DNS, os dispositivos não conseguem resolver o nome de anfitrião do portal da Purple e o redirecionamento falha antes de começar.

802.1X para Staff WiFi

Para Staff WiFi, utilize 802.1X (controlo de acesso à rede baseado em portas IEEE 802.1X) com WPA2-Enterprise ou WPA3-Enterprise. Configure o Sophos AP para utilizar EAP-TLS (baseado em certificados) ou PEAP-MSCHAPv2 (nome de utilizador/palavra-passe) contra o seu servidor RADIUS interno ou um fornecedor de identidade na nuvem, como o Microsoft Entra ID.

O servidor RADIUS devolve atributos de atribuição de VLAN para colocar os dispositivos autenticados da equipa na VLAN interna correta. Este é o mesmo mecanismo de VLAN dinâmica descrito abaixo para PPSK, aplicado à autenticação empresarial.

Mantenha o SSID e a VLAN de Staff WiFi completamente separados do SSID e da VLAN de Guest WiFi. Nunca faça a ponte (bridge) do tráfego de convidados para as sub-redes de gestão ou corporativas. Esta separação é um requisito do PCI DSS se algum segmento de rede processar dados de titulares de cartões.

Sophos PPSK e atribuição dinâmica de VLAN para ambientes multi-tenant

Em ambientes multi-tenant - espaços de coworking, blocos residenciais build-to-rent, alojamento de estudantes ou concessões de retalho - necessita de isolar diferentes grupos de utilizadores ao nível da rede sem transmitir um SSID separado para cada inquilino. A transmissão de múltiplos SSIDs aumenta a sobrecarga de radiofrequência e complica a gestão.

Os pontos de acesso Sophos AP6 suportam PPSK (Private Pre-Shared Key), também designado por Identity PSK ou PSK por utilizador. O PPSK permite que um único SSID aceite múltiplas chaves de acesso exclusivas, cada uma mapeada para uma VLAN específica através de atributos RADIUS.

O fluxo de atribuição dinâmica de VLAN funciona da seguinte forma:

  1. Um residente ou membro liga-se ao SSID partilhado único e introduz o seu PPSK exclusivo.
  2. O AP Sophos envia um RADIUS Access-Request para o servidor RADIUS configurado, incluindo o PPSK como credencial.
  3. O servidor RADIUS valida o PPSK e devolve um Access-Accept com os seguintes atributos de VLAN:
    • Tunnel-Type = VLAN (valor 13)
    • Tunnel-Medium-Type = IEEE-802 (valor 6)
    • Tunnel-Private-Group-ID = `` (ex. 100)
  4. O AP Sophos etiqueta o tráfego do dispositivo com o VLAN ID devolvido, colocando-o no segmento de rede isolado correto.

Isto é Identity-Based Networking: um SSID, múltiplas VLANs isoladas, impulsionadas pela credencial exclusiva do utilizador.

ppsk_vlan_diagram.png

architecture_overview.png

Guia de implementação

Passo 1: Obter credenciais Purple

Inicie sessão no portal Purple. Aceda a Management > Locations > [O Seu Local] > Hardware > Add Hardware. Selecione Sophos como o tipo de hardware. O portal apresenta:

  • Endereços IP do servidor RADIUS primário e secundário
  • Segredo partilhado RADIUS
  • URL do Captive Portal (ex. https://region1.purpleportal.net/access/)
  • URL de redirecionamento (ex. https://region1.purpleportal.net/access/?res=success)
  • Lista completa de domínios Walled Garden

Anote os quatro valores antes de prosseguir.

Passo 2: Configurar servidores RADIUS no Sophos Firewall

Aceda a Authentication > Servers no Sophos Firewall (ou Sophos Central > Wireless > SSIDs > [SSID] > Advanced Settings para configurações geridas por AP).

  1. Clique em Add para criar uma nova entrada de servidor RADIUS.
  2. Defina o Server IP para o endereço IP do RADIUS primário da Purple.
  3. Defina a Authentication port para 1812.
  4. Defina a Accounting port para 1813.
  5. Introduza o Shared secret do portal Purple.
  6. Repita o processo para o servidor RADIUS secundário da Purple.

Para o Sophos AP6 gerido através do Sophos Central, configure o servidor RADIUS na secção Advanced Settings > Backend authentication do SSID.

Passo 3: Configurar o Walled Garden

Aceda a Wireless > Hotspot Settings no Sophos Firewall.

  1. Em Walled garden, clique em Add new item.
  2. Adicione cada domínio da lista fornecida pela Purple.
  3. Certifique-se de que o DNS (porta UDP 53) é permitido para clientes não autenticados através de uma regra de firewall de pré-autenticação.
  4. Clique em Apply.

Passo 4: Criar o SSID de convidados

Navegue até Wireless > Wireless Settings > SSIDs (ou Sophos Central > Wireless > SSIDs).

  1. Clique em Add SSID.
  2. Defina o Encryption mode para Open (sem chave pré-partilhada).
  3. Em Advanced Settings > Captive portal, ative o captive portal.
  4. Selecione Backend authentication como o tipo de autenticação.
  5. Introduza o IP do servidor RADIUS Purple, a porta 1812 e o segredo partilhado.
  6. Defina o Redirect URL para o URL da splash page da Purple.
  7. Atribua o SSID a uma VLAN de convidados dedicada (ex. VLAN 100).
  8. Ative o Client isolation para impedir o tráfego entre convidados.

Passo 5: Criar regras de firewall pós-autenticação

Navegue até Rules and policies > Firewall rules.

  1. Crie uma regra que permita o tráfego da VLAN de convidados para a zona WAN.
  2. Aplique filtragem web para bloquear categorias maliciosas.
  3. Aplique modelação de tráfego para limitar a largura de banda por utilizador (recomendado: 10 Mbps de download, 5 Mbps de upload para redes de convidados).
  4. Bloqueie explicitamente todo o tráfego da VLAN de convidados para qualquer VLAN interna que contenha sistemas POS, PMS ou recursos corporativos.

Passo 6: Configurar PPSK para ambientes multi-tenant (opcional)

  1. No Sophos Central, crie um SSID WPA2-Personal.
  2. Ative a RADIUS VLAN assignment nas definições avançadas do SSID.
  3. Configure o servidor RADIUS para aceitar credenciais PPSK e retornar os atributos de VLAN apropriados por grupo de utilizadores.
  4. Emita PPSKs exclusivos para cada grupo de inquilinos através do portal Purple ou da sua interface de gestão RADIUS.

Boas práticas

Segregue o tráfego na Camada 2 e Camada 3. Coloque sempre o WiFi de convidados numa VLAN dedicada. Crie regras de firewall explícitas para bloquear todo o tráfego da VLAN de convidados para o espaço de endereçamento RFC 1918 nos segmentos internos. Isto cumpre os requisitos de segmentação de rede PCI DSS e evita o movimento lateral caso um dispositivo de convidado seja comprometido.

Utilize o modo Bridge para implementações de alta densidade. Em ambientes com mais de 200 ligações de convidados simultâneas - hotéis, estádios, centros de conferências - configure o SSID de convidados em modo Bridge. Isto direciona o tráfego para uma VLAN gerida por servidores DHCP empresariais, evitando que o AP Sophos ou a firewall se tornem um estrangulamento de DHCP. Um hotel de 500 quartos com 70% de ocupação e dois dispositivos por convidado gera cerca de 700 concessões DHCP em simultâneo. O DHCP empresarial lida com isto; o DHCP integrado do AP não.

Utilize um certificado SSL publicamente confiável. Configure a Sophos Firewall para apresentar um certificado assinado por uma CA pública para a interface de redirecionamento. Os certificados autoassinados geram avisos de segurança do navegador no iOS e Android, aumentando as taxas de abandono do portal. Isto é particularmente importante em ambientes de hotelaria onde a experiência do convidado afeta diretamente as pontuações das avaliações. Configure a autenticação e o accounting do RADIUS. A autenticação (porta 1812) concede o acesso. O accounting (porta 1813) monitoriza a utilização. Ambos são necessários para que as análises da Purple funcionem corretamente. Os dados de accounting alimentam as métricas de duração de sessão, relatórios de largura de banda e a identificação de visitantes recorrentes no painel da Purple.

Planeie o seu Walled Garden antes do lançamento. Teste o portal em, pelo menos, um dispositivo iOS e um dispositivo Android antes de implementar em produção. As duas plataformas têm mecanismos de deteção de Captive Portal diferentes e podem comportar-se de forma distinta com configurações de Walled Garden incompletas. Utilize uma captura de pacotes no Sophos Firewall para identificar quaisquer domínios bloqueados durante a fase de pré-autenticação.

Aplique a Segurança Sincronizada da Sophos pós-autenticação. Os pontos de acesso Sophos AP6 suportam Segurança Sincronizada, que se integra com o Sophos Endpoint Protection. Se um dispositivo convidado for identificado como comprometido (estado vermelho do Security Heartbeat), o AP pode restringir automaticamente esse dispositivo ao Walled Garden, isolando-o da internet sem intervenção manual. Este é um controlo de segurança significativo para ambientes de saúde e retalho .

Para um contexto mais amplo de segurança de WiFi empresarial, consulte o nosso guia sobre Segurança de WiFi Empresarial: Um Guia Completo para 2026 .

Resolução de problemas e mitigação de riscos

Sintoma: A página do portal não carrega (ecrã em branco ou timeout) Causa: Walled Garden incompleto. O Sophos Firewall está a bloquear o acesso aos recursos CSS/JS da Purple ou às APIs de login social antes da autenticação. Solução: Ative a captura de pacotes no Sophos Firewall para a VLAN de convidados. Identifique os domínios bloqueados. Adicione-os ao Walled Garden. Verifique se o DNS é permitido antes da autenticação.

Sintoma: O portal carrega mas a autenticação falha sempre Causa: Incompatibilidade do segredo partilhado do RADIUS, ou as portas UDP 1812/1813 estão bloqueadas. Solução: Verifique o segredo partilhado, carácter por carácter, tanto na configuração do Sophos como no portal da Purple. Utilize nmap -sU -p 1812,1813 a partir do CLI do Sophos para confirmar a acessibilidade UDP.

Sintoma: As análises mostram zero de duração de sessão e nenhuns dados de largura de banda Causa: O accounting do RADIUS não está configurado ou está bloqueado. Solução: Verifique se o servidor de accounting está configurado na porta 1813 com o segredo partilhado correto. Certifique-se de que nenhuma ACL intermédia bloqueia a saída de UDP 1813.

Sintoma: Aviso de certificado nos dispositivos dos convidados Causa: O Sophos Firewall está a utilizar um certificado autoassinado para a interface de redirecionamento. Solução: Carregue um certificado assinado por uma CA pública (Let's Encrypt, DigiCert ou semelhante) para o Sophos Firewall e atribua-o como o certificado da página de login em Wireless > Hotspot Settings.

Sintoma: Os utilizadores de PPSK vão parar à VLAN errada Causa: Os atributos de VLAN do RADIUS não estão configurados corretamente, ou o AP Sophos não está a aceitar a atribuição dinâmica de VLAN. Correção: Verifique se o servidor RADIUS devolve Tunnel-Type = 13, Tunnel-Medium-Type = 6 e Tunnel-Private-Group-ID = . Confirme se a atribuição de VLAN RADIUS está ativada no SSID no Sophos Central.

ROI e impacto comercial

A implementação do Purple na infraestrutura Sophos converte o Guest WiFi de um custo de utilidade num ativo de dados primários (first-party). O caso de negócio é simples.

Um hotel de 200 quartos a funcionar com 70% de ocupação e uma estadia média de 1,8 noites gerará cerca de 50.000 perfis de hóspedes verificados por ano através do portal de opt-in de escolha consciente do Purple. Cada perfil inclui nome, endereço de email, dados demográficos e histórico de visitas. Estes dados alimentam diretamente as campanhas de email marketing, gerando aumentos mensuráveis nas reservas diretas e nas receitas de Restauração (F&B).

Para ambientes de retalho , as análises do Purple identificam o tempo de permanência, a frequência de visitas repetidas e os períodos de pico de afluência. Uma cadeia de retalho com 50 localizações pode utilizar estes dados para otimizar as equipas, ajustar o timing promocional e medir o impacto dos eventos em loja na frequência de visitas.

Para operadores do setor público e de transportes , o Purple fornece registos de consentimento de GDPR auditáveis e apoia a conformidade com os regulamentos de Network and Information Systems (NIS) do Reino Unido para operadores de serviços essenciais.

O SLA de uptime de 99,999% do Purple garante que o serviço de autenticação de convidados não se torna um ponto único de falha para a sua rede. A arquitetura cloud RADIUS significa que não há nenhum servidor de autenticação local para manter, atualizar ou substituir.

Para obter orientações de integração relacionadas, consulte o guia Alta Labs Integration with Purple WiFi: Setup and Captive Portal Configuration .

Definições Principais

Captive Portal

Uma página web que intercepta o pedido HTTP inicial de um utilizador e exige interação (autenticação, consentimento ou pagamento) antes de conceder acesso à internet.

A interface principal para o Guest WiFi. A Purple aloja o captive portal na nuvem; o Sophos Firewall redireciona os clientes não autenticados para o mesmo.

Walled Garden

Uma lista de permissões estrita de domínios e endereços IP aos quais os dispositivos não autenticados podem aceder antes de concluírem a autenticação no portal.

Deve incluir os domínios do portal da Purple, fornecedores de login social e quaisquer endpoints de federação de identidade. Um Walled Garden incompleto é a causa mais comum de falhas no carregamento do portal.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece autenticação, autorização e contabilização centralizadas para utilizadores que se ligam a uma rede. Utiliza a porta UDP 1812 para autenticação e a 1813 para contabilização.

A Purple fornece RADIUS-as-a-Service. O Sophos Firewall e os APs comunicam com o RADIUS na nuvem da Purple para autenticar convidados e reportar dados de sessão.

RADIUS accounting

O componente do RADIUS que monitoriza as métricas de utilização da rede, incluindo a hora de início da sessão, duração, bytes transferidos e o motivo de término da sessão.

Essencial para o WiFi Analytics da Purple. Sem dados de contabilização na porta 1813, as métricas de duração de sessão e largura de banda não ficam disponíveis no painel da Purple.

PPSK (Private Pre-Shared Key)

Uma funcionalidade de segurança WiFi que permite que um único SSID aceite múltiplas palavras-passe exclusivas, cada uma normalmente mapeada para uma VLAN ou política específica através de RADIUS.

Utilizado em implementações de WiFi Multi-Tenant para fornecer isolamento de rede por utilizador ou por grupo sem transmitir múltiplos SSIDs. O Sophos AP6 suporta PPSK com atribuição dinâmica de VLAN.

Atribuição dinâmica de VLAN

Um processo em que o servidor RADIUS instrui o ponto de acesso a colocar um utilizador autenticado numa VLAN específica, devolvendo os atributos Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID na mensagem Access-Accept.

Permite Redes Baseadas em Identidade. Os utilizadores são colocados no segmento de rede correto com base nas suas credenciais, independentemente do AP físico ao qual se liguem.

802.1X

Um padrão IEEE para controlo de acesso à rede baseado em portas. Fornece uma estrutura de autenticação para dispositivos que se ligam a uma LAN ou WLAN, exigindo um suplicante (cliente), autenticador (AP ou switch) e servidor de autenticação (RADIUS).

O padrão empresarial para Staff WiFi. O Sophos AP6 suporta 802.1X com WPA2-Enterprise e WPA3-Enterprise, utilizando EAP-TLS ou PEAP-MSCHAPv2.

Modo Bridge

Uma configuração de rede onde o ponto de acesso passa o tráfego do cliente sem fios diretamente para a LAN com fios como tramas VLAN etiquetadas, sem realizar NAT ou DHCP local.

Recomendado para implementações de alta densidade. Descarrega o DHCP para servidores empresariais e garante que a Purple recebe o endereço IP real do cliente para análises precisas.

Dados primários (First-party data)

Informações recolhidas diretamente dos utilizadores através dos seus próprios canais, pertencentes a si, não partilhadas nem obtidas de terceiros.

O principal valor comercial do Purple Guest WiFi. Capturados através de consentimentos de escolha consciente no captive portal, estes dados estão em conformidade com o GDPR e são independentes de cookies de terceiros.

Exemplos Práticos

Um hotel de 300 quartos implementou pontos de acesso Sophos AP6 geridos através do Sophos Central. Necessitam que os hóspedes se autentiquem através de uma splash page personalizada com a marca Purple e exigem que a rede de hóspedes seja completamente isolada do sistema de gestão hoteleira (PMS) na VLAN 20 para manter a conformidade com o PCI DSS. O hotel prevê até 600 ligações simultâneas de hóspedes durante os períodos de pico.

  1. No Sophos Central, crie um SSID de hóspedes dedicado com o nome 'Hotel Guest WiFi' com encriptação aberta. 2. Atribua o SSID à VLAN 100 em modo Bridge para processar a carga de DHCP de 600 dispositivos através do servidor DHCP da rede principal. 3. Ative o Captive Portal em Definições Avançadas e selecione a autenticação Backend. 4. Introduza o IP do servidor RADIUS da Purple na porta 1812 e o segredo partilhado do portal Purple. 5. Configure o Walled Garden para permitir region1.purpleportal.net, venuewifi.com e todos os domínios de login social. 6. No Sophos Firewall, crie uma regra de firewall que permita a VLAN 100 para a zona WAN com filtragem web aplicada. 7. Crie uma regra de NEGAÇÃO explícita que bloqueie todo o tráfego da VLAN 100 para a VLAN 20 (rede PMS). 8. Configure o accounting RADIUS na porta 1813 com um intervalo intermédio de 120 segundos. 9. Carregue um certificado SSL publicamente fidedigno no Sophos Firewall para a interface de redirecionamento. 10. Teste em iOS e Android antes do lançamento oficial.
Comentário do Examinador: O modo Bridge é essencial neste caso. Com 600 ligações simultâneas, o DHCP integrado no AP ficaria sobrecarregado. A regra de NEGAÇÃO explícita da VLAN 100 para a VLAN 20 cumpre os requisitos de segmentação de rede do PCI DSS. O certificado publicamente fidedigno evita que o iOS 14+ e o Android 10+ apresentem avisos de segurança que aumentariam a taxa de abandono do portal. A configuração de accounting é obrigatória para o funcionamento das análises do Purple.

Um operador de espaço de coworking gere 15 empresas inquilinas distribuídas por três pisos. Cada empresa necessita do seu próprio segmento de rede isolado. Atualmente, transmitem 15 SSIDs separados, causando um congestionamento de RF significativo. Pretendem consolidar para um único SSID utilizando pontos de acesso Sophos AP6, mantendo um isolamento rigoroso de Camada 2 entre os inquilinos.

  1. Atribua uma VLAN exclusiva a cada empresa inquilina (por exemplo, VLANs 200-214). 2. No Sophos Central, crie um único SSID WPA2-Personal com o nome 'CoWork WiFi'. 3. Ative a atribuição de VLAN por RADIUS no SSID. 4. Configure o servidor RADIUS (o RADIUS na nuvem da Purple ou um diretório integrado) para armazenar um PPSK exclusivo por inquilino e devolver os atributos de VLAN adequados na autenticação. 5. Emita para cada empresa inquilina o seu PPSK exclusivo através do portal Purple. 6. No Sophos Firewall, configure regras de firewall inter-VLAN para bloquear todo o tráfego entre as VLANs dos inquilinos. Permita a cada VLAN apenas o acesso à Internet. 7. Para inquilinos que necessitem de serviços partilhados (por exemplo, uma impressora partilhada), crie regras de permissão explícitas apenas para esses recursos específicos.
Comentário do Examinador: A consolidação de 15 SSIDs para apenas um elimina a sobrecarga de RF de 15 tramas de beacon por AP por segundo. O PPSK com atribuição dinâmica de VLAN oferece o mesmo isolamento que SSIDs separados na camada de rede. O principal risco é a disponibilidade do servidor RADIUS: se o servidor RADIUS estiver inacessível, nenhum inquilino conseguirá ligar-se. Implemente um servidor RADIUS secundário da Purple e configure-o como alternativa no Sophos Central para mitigar esta situação.

Perguntas de Prática

Q1. Uma cadeia de retalho implementou pontos de acesso Sophos AP6 em 50 lojas. Os clientes relatam que a splash page da Purple demora mais de 30 segundos a carregar ou expira completamente. A equipa de TI confirmou que a autenticação RADIUS está configurada corretamente. Qual é a causa mais provável e como a resolve?

Dica: Considere o que acontece antes de o utilizador chegar ao passo de autenticação.

Ver resposta modelo

O Walled Garden está incompleto. O Sophos Firewall está a bloquear o acesso aos recursos CSS e JavaScript da Purple, ou aos domínios CDN de login social, antes da autenticação. Ative uma captura de pacotes no Sophos Firewall para a VLAN de convidados e filtre pelo tráfego bloqueado de clientes não autenticados. Identifique os domínios bloqueados e adicione-os ao Walled Garden em Wireless > Hotspot Settings. Verifique também se o DNS (porta UDP 53) é permitido antes da autenticação. Sem a resolução de DNS, o dispositivo não consegue resolver o hostname do portal Purple e o redirecionamento falha imediatamente.

Q2. Está a desenhar uma implementação de Guest WiFi para um estádio com capacidade para 5.000 pessoas utilizando pontos de acesso Sophos AP6. O recinto prevê 4.000 ligações simultâneas de adeptos durante os eventos. Deve configurar o SSID de convidados em modo NAT ou modo Bridge? Justifique a sua decisão.

Dica: Considere a carga de DHCP gerada por 4.000 ligações simultâneas.

Ver resposta modelo

Modo Bridge. Com 4.000 ligações simultâneas, o modo NAT sobrecarregaria o servidor DHCP integrado dos APs Sophos ou do firewall. No modo Bridge, os APs enviam o tráfego de convidados diretamente para uma VLAN dedicada, e os servidores DHCP empresariais tratam da atribuição de endereços IP. Isto evita a exaustão do DHCP e garante que a plataforma Purple recebe o endereço IP real do cliente para análises precisas. O modo Bridge também oferece um débito (throughput) superior ao modo NAT, o que é importante para um ambiente de eventos de alta densidade. Configure um escopo DHCP na rede principal com endereços suficientes para a carga máxima esperada, mais uma margem de segurança de 20%.

Q3. O seu painel do Purple Analytics mostra o número correto de logins, mas todas as durações de sessão são reportadas como zero minutos e a utilização de largura de banda não é monitorizada. O portal de convidados está a funcionar corretamente e os convidados conseguem navegar na internet. Que elemento de configuração está em falta?

Dica: A autenticação concede acesso. O que monitoriza a utilização após o acesso ser concedido?

Ver resposta modelo

O accounting RADIUS não está configurado ou está a ser bloqueado. A autenticação na porta 1812 concede acesso à internet, mas o accounting na porta 1813 é o mecanismo que reporta a duração da sessão e os dados de largura de banda de volta para a Purple. Verifique a configuração do Sophos Firewall para confirmar se o servidor de accounting está definido para o IP RADIUS da Purple na porta 1813 com o segredo partilhado correto. Em seguida, verifique se a porta UDP 1813 não está bloqueada por nenhuma ACL intermédia ou regra de firewall entre o Sophos Firewall e os servidores RADIUS na cloud da Purple. Utilize uma captura de pacotes para confirmar se os pacotes de accounting estão a sair do Sophos Firewall e a receber respostas.

Q4. O operador de um espaço de coworking pretende utilizar o Sophos PPSK para dar a cada uma das suas 20 empresas inquilinas um segmento de rede isolado. Após a configuração, todos os utilizadores PPSK ligam-se com sucesso, mas todos vão parar à mesma VLAN, independentemente do PPSK que utilizam. Qual é a causa mais provável?

Dica: Pense no que o servidor RADIUS precisa de retornar e no que o AP precisa de aceitar.

Ver resposta modelo

Existem duas causas prováveis. Primeiro, o servidor RADIUS não está a retornar os atributos de VLAN corretos na mensagem Access-Accept. Verifique se o servidor RADIUS retorna Tunnel-Type = 13 (VLAN), Tunnel-Medium-Type = 6 (IEEE-802) e Tunnel-Private-Group-ID = o ID de VLAN correto para cada PPSK. Segundo, a atribuição de VLAN por RADIUS pode não estar ativada no SSID no Sophos Central. Navegue até às Advanced Settings do SSID e confirme se a atribuição de VLAN por RADIUS está ativada. Utilize um log de depuração RADIUS ou captura de pacotes para inspecionar as mensagens Access-Accept e confirmar se os atributos de VLAN estão presentes e formatados corretamente.

Continue a ler esta série

Integração do CommScope Ruckus com o Purple WiFi: Guia de Instalação e Configuração

Este guia de referência técnica fornece um manual de configuração autoritativo para integrar arquiteturas CommScope Ruckus com o Purple WiFi. Detalha implementações passo a passo para Captive Portals de Guest WiFi, WiFi seguro para funcionários via 802.1X e isolamento de rede multi-tenant utilizando Ruckus Dynamic PSK.

Ler o guia →

Integração de Access Points Allied Telesis com Purple WiFi

Este guia fornece um manual de configuração abrangente para integrar access points Allied Telesis da Série TQ com o Purple WiFi. Abrange o redirecionamento de Captive Portal externo, autenticação RADIUS 802.1X e direcionamento dinâmico de VLAN usando Private Pre-Shared Keys (PPSK) para implementações multi-tenant seguras.

Ler o guia →

Integração de Pontos de Acesso Grandstream GWN com o Purple WiFi

Este guia de referência técnica detalha como integrar os pontos de acesso Grandstream GWN com a plataforma de Guest WiFi e analítica da Purple. Abrange a configuração do Captive Portal da Grandstream, definições de RADIUS AAA, configuração de walled garden, autenticação segura de funcionários 802.1X com direcionamento dinâmico de VLAN e segmentação PPSK multi-tenant — fornecendo orientações práticas e passo a passo para MSPs e equipas de TI que implementam WiFi para convidados e funcionários em grande escala.

Ler o guia →