Ver transcrição do podcast
Bem-vindo ao Purple Architecture Briefing. Hoje vamos aprofundar uma integração crítica para redes empresariais: a implementação do Purple WiFi juntamente com a infraestrutura Sophos, especificamente os pontos de acesso Sophos AP6 e APX e as firewalls Sophos XG e XGS. Se é um gestor de TI, um arquiteto de rede ou um CTO que gere um espaço, seja uma cadeia de retalho, um estádio ou um hospital, esta sessão foi concebida para lhe dar o plano de ação para fazer com que estas duas poderosas plataformas funcionem juntas sem problemas.
Vamos contextualizar. A Sophos é conhecida pela sua postura de segurança robusta. Os dispositivos Sophos Firewall oferecem inspeção profunda de pacotes e segurança sincronizada. No entanto, quando se trata de Guest WiFi, não quer apenas segurança. Quer valor para o negócio. Quer captar dados demográficos, compreender o comportamento dos visitantes e impulsionar o retorno do investimento em marketing. É aí que entra o Purple. Ao integrar o Purple como um Captive Portal externo, transfere o trabalho pesado da gestão de identidade de convidados, consentimento de GDPR e logins sociais para o cloud RADIUS do Purple, enquanto deixa a Sophos Firewall fazer o que faz melhor: proteger o perímetro.
Então, como é que isto funciona na prática? Vamos entrar na análise técnica detalhada.
A arquitetura baseia-se em protocolos RADIUS padrão e redirecionamento HTTP. Quando um utilizador do espaço se associa ao seu SSID de Guest WiFi aberto, transmitido pelo Sophos AP, a Sophos Firewall intercetará esse pedido web inicial. Em vez de apresentar uma página de portal básica armazenada localmente, a firewall redireciona o cliente para a splash page alojada na nuvem do Purple.
Agora, aqui está o conceito crítico: o Walled Garden. Durante esta fase de pré-autenticação, o utilizador não tem acesso à internet. Mas precisa de carregar os gráficos do portal e pode precisar de aceder ao Facebook ou ao Google para iniciar sessão. O Walled Garden é uma lista de permissões rigorosa configurada na Sophos Firewall que permite o tráfego para estes domínios específicos. Assim que o utilizador se autentica, a plataforma do Purple envia uma mensagem RADIUS Access-Accept de volta para a Sophos Firewall. A firewall altera então o estado da sessão para autenticado e coloca o utilizador na sua política de firewall pós-autenticação.
Vamos falar sobre a configuração do RADIUS em maior detalhe, porque é aqui que a precisão importa. O Purple fornece-lhe dois conjuntos de credenciais RADIUS: um para autenticação na porta 1812 e outro para accounting na porta 1813. Ambos devem ser configurados. O servidor de accounting não é opcional. É o mecanismo através do qual a Sophos Firewall reporta os dados da sessão de volta ao Purple, incluindo a duração, a largura de banda consumida e os eventos de terminação de sessão. Sem dados de accounting precisos, o seu painel de análise do Purple mostrará métricas de visitantes incompletas ou incorretas. Defina o seu intervalo intermédio de accounting para 120 segundos. Isto proporciona um bom equilíbrio entre visibilidade em tempo real e sobrecarga de rede.
Agora vamos falar de um cenário que surge constantemente em implementações empresariais: WiFi Multi-Tenant. Pense num espaço de coworking, num bloco residencial para arrendamento ou num alojamento para estudantes. Tem múltiplos grupos distintos de utilizadores que precisam todos de acesso a WiFi, mas devem estar completamente isolados uns dos outros ao nível da rede. Emitir um SSID separado para cada inquilino não é viável. Cria congestionamento de radiofrequência e é um pesadelo operacional de gerir.
A resposta são as Sophos Private Pre-Shared Keys, ou PPSK, combinadas com atribuição dinâmica de VLAN. Eis como funciona. Configura um único SSID nos seus pontos de acesso Sophos AP6. Em seguida, emite uma chave-passe única para cada inquilino ou grupo de utilizadores. Quando um dispositivo se liga e apresenta a sua chave única, o AP Sophos autentica essa chave via RADIUS. O servidor RADIUS devolve um atributo de ID de VLAN específico na mensagem Access-Accept. O AP etiqueta dinamicamente o tráfego do utilizador com esse ID de VLAN, colocando-o no seu segmento de rede dedicado. Networking Baseado em Identidade em ação. Um SSID, múltiplas redes isoladas, zero sobrecarga de radiofrequência de emissões adicionais.
Esta arquitetura também tem um benefício de conformidade significativo. Sob os requisitos do PCI-DSS, as redes de WiFi de Convidados devem ser completamente isoladas de qualquer segmento de rede que processe dados de titulares de cartões. Ao colocar o SSID de convidados numa VLAN dedicada e ao aplicar políticas de firewall rigorosas na Sophos Firewall para bloquear todos os destinos de espaço de IP privado RFC 1918, satisfaz este requisito de forma limpa. A Purple, que opera em 80.000 locais ativos e processou 440 milhões de inícios de sessão em 2024, é certificada pela ISO 27001, em conformidade com o GDPR e certificada pela Cyber Essentials, pelo que a história de conformidade se estende também à camada de identidade.
Agora vamos passar para as recomendações de implementação. Quando estiver a configurar isto, tem de tomar uma decisão crucial em relação à atribuição de IP: modo NAT versus modo Bridge.
Se estiver a implementar uma pequena sucursal de retalho com talvez cinquenta a cem ligações de convidados simultâneas, o modo NAT é perfeitamente adequado. O AP Sophos distribui endereços DHCP aos convidados a partir de uma sub-rede interna dedicada e traduz-os à medida que o tráfego sai. É simples e requer uma infraestrutura adicional mínima.
Mas se estiver a implementar um ambiente de alta densidade, como um hotel de quinhentos quartos, um centro de conferências com múltiplos eventos simultâneos ou um estádio, deve utilizar o modo Bridge. No modo Bridge, o AP Sophos coloca o tráfego de convidados diretamente numa VLAN dedicada, permitindo que os seus servidores DHCP empresariais centrais lidem com a carga. Isto evita que o ponto de acesso ou a firewall se tornem um gargalo de DHCP durante eventos de pico de ligação. O modo Bridge também garante que a plataforma Purple veja o endereço IP real do cliente, o que é vital para análises e resolução de problemas precisas.
Vamos falar sobre a sequência de configuração passo a passo, porque a ordem importa aqui.
Comece no portal Purple. Obtenha as credenciais do seu servidor RADIUS: os endereços IP do servidor, segredos partilhados, o URL do Captive Portal e o URL de redirecionamento. Estas são as quatro informações críticas de que necessita antes de mexer na configuração do Sophos.
Depois, aceda ao Sophos Central ou à interface local de gestão do seu firewall. Defina primeiro os seus servidores RADIUS, autenticação na porta 1812 e contabilidade (accounting) na porta 1813. Em seguida, configure o seu Walled Garden nas definições do Hotspot. Depois, crie o seu SSID de convidados, defina a encriptação como Open, ative o Captive Portal e insira o URL do portal Purple. E por fim, defina as regras de firewall pós-autenticação.
Especificamente para o Walled Garden, deve permitir no mínimo os seguintes domínios: o domínio do portal Purple, normalmente region1.purpleportal.net; venuewifi.com; e quaisquer domínios de login social que os seus convidados utilizem, como facebook.com, accounts.google.com e respetivos domínios CDN associados. Se estiver a utilizar o Microsoft Entra ID ou a Okta para federação de identidades, esses domínios também devem ser incluídos.
E quanto a armadilhas? Onde é que as implementações costumam falhar?
O principal problema, sem dúvida, é um Walled Garden incompleto. Se um convidado se liga e obtém um ecrã em branco ou uma expiração de tempo de ligação (timeout), significa quase sempre que o Sophos Firewall está a bloquear o acesso aos ficheiros CSS da Purple, recursos JavaScript ou APIs de login social antes da autenticação. Deve garantir que cada domínio obrigatório é explicitamente permitido nessa política pré-autenticação. A Purple fornece uma lista abrangente de domínios obrigatórios. Utilize-a na totalidade.
Além disso, não se esqueça do DNS. Os clientes não autenticados devem ter permissão para resolver consultas de DNS, caso contrário o redirecionamento simplesmente não funcionará. O dispositivo necessita de resolver o nome de anfitrião (hostname) do portal Purple antes de poder sequer tentar carregar a página.
A segunda armadilha mais comum são os erros de certificado. Garanta que o seu Sophos Firewall está a apresentar um certificado SSL válido e publicamente fidedigno para a interface de redirecionamento. Se utilizar o certificado autoassinado padrão, os iPhones e dispositivos Android modernos apresentarão avisos de segurança significativos, e os seus convidados abandonarão completamente a ligação. Este é um problema particularmente grave em ambientes de hotelaria, onde a experiência do convidado é primordial.
A terceira armadilha são os erros de timeout do RADIUS. Se o portal carrega mas a autenticação falha sistematicamente, verifique se os segredos partilhados correspondem exatamente entre a sua configuração Sophos e o portal Purple. Uma diferença de um único caráter fará com que todas as tentativas de autenticação falhem silenciosamente. Verifique também se nenhum firewall intermédio está a bloquear as portas UDP 1812 e 1813 entre a sua infraestrutura Sophos e os servidores RADIUS na cloud da Purple.
Vamos terminar com uma sessão de perguntas e respostas rápidas baseada nas perguntas mais comuns que recebemos dos clientes.
Pergunta um: a utilização do Purple ignora as políticas de segurança do meu Sophos Firewall? De forma alguma. O Purple lida com a autenticação e a captura de identidade. Uma vez autenticado, todo o tráfego de convidados passa pela política pós-autenticação do seu Sophos Firewall. É precisamente aqui que aplica a filtragem Web, bloqueia o tráfego peer-to-peer e molda a largura de banda. Pense nisto da seguinte forma: a pré-autenticação é permissiva para permitir o início de sessão; a pós-autenticação é punitiva para proteger a rede.
Pergunta dois: preciso de implementar servidores RADIUS locais? Não. O Purple fornece RADIUS-as-a-Service. Configura os APs Sophos para apontarem diretamente para os endereços IP de RADIUS na nuvem do Purple. Não há necessidade de implementar e manter o FreeRADIUS ou o Windows NPS para a rede de convidados.
Pergunta três: posso utilizar o Purple tanto com o Sophos AP6 como com a série APX mais antiga? Sim. A abordagem de integração é consistente em ambas as gerações de hardware. Note, contudo, que a Sophos anunciou uma data de fim de vida para a Série APX de 31 de dezembro de 2027. Se está a planeamento uma nova implementação, invista na Série AP6, que suporta WiFi 6 e WiFi 6E.
Pergunta quatro: e quanto à conformidade com o GDPR? O Purple captura o consentimento explícito ao nível do portal, apresentando os seus termos e condições e avisos de processamento de dados antes da autenticação. Estes dados de consentimento são armazenados na plataforma Purple e são auditáveis. O papel do Sophos Firewall é puramente de aplicação da rede.
Para resumir as principais conclusões do briefing de hoje.
Primeiro: segregue os seus SSIDs de Staff e Guest de forma absoluta. Staff em 802.1X com WPA2-Enterprise. Convidados no Purple com um Captive Portal externo.
Segundo: configure meticulosamente o seu Walled Garden. É o ponto de falha mais comum e o elemento de configuração de pré-autenticação mais importante.
Terceiro: utilize o modo Bridge para qualquer implementação de alta densidade para evitar estrangulamentos de DHCP e garantir uma visibilidade precisa do IP do cliente.
Quarto: configure os servidores de autenticação e contabilidade RADIUS. A contabilidade não é opcional se desejar análises significativas.
Quinto: aproveite o Sophos PPSK para ambientes Multi-Tenant para ativar o Identity-Based Networking com atribuição dinâmica de VLAN. Um SSID, múltiplas redes isoladas.
Sexto: aplique as políticas de segurança Sophos estritamente pós-autenticação. A filtragem Web, o controlo de aplicações e a modelação da largura de banda devem ser aplicados na política de firewall pós-autenticação.
Ao executar esta integração corretamente, transforma o Guest WiFi de um centro de custos num ativo em conformidade, seguro e gerador de receitas. A combinação da profundidade de segurança da Sophos com a inteligência de marketing do Purple é genuinamente poderosa para qualquer operador de espaço que queira levar a sério a sua experiência de convidado e estratégia de dados.
Obrigado por ouvir o Purple Architecture Briefing. Se desejar discutir os seus requisitos específicos de implementação, visite purple.ai para falar com a equipa de soluções.
