WatchGuard Wi-Fi Cloud AP e guest WiFi: configuração de captive portal com Purple

Bem-vindo ao briefing de integração. Hoje abordaremos a integração do WatchGuard Firebox e do Access Point com o Purple WiFi. Este é um manual técnico para gestores de TI, arquitetos de rede e diretores de operações de recintos que necessitam de implementar uma infraestrutura sem fios segura e escalável. Iremos analisar os portais cativos de Guest WiFi, o Staff WiFi seguro utilizando 802.1X, e a segmentação Multi-Tenant utilizando as Chaves Pré-Partilhadas Privadas, ou PPSK, da WatchGuard. Vamos passar diretamente ao contexto. Quando gere um recinto complexo, como um estádio, um grande centro comercial ou uma unidade multi-habitacional, necessita de um controlo preciso sobre quem acede à rede e o que pode fazer depois de estar ligado. Também precisa de capturar dados primários para gerar receitas de marketing. A WatchGuard fornece a plataforma de segurança unificada e o hardware. A Purple fornece a sobreposição na nuvem, a gestão de identidades e a análise. Ao integrar as duas soluções, automatiza o controlo de acessos baseado na identidade. Elimina a necessidade de gateways separados para convidados e funcionários, o que reduz os gastos com hardware e simplifica a gestão. Atualmente, a Purple serve mais de 80.000 recintos ativos e processou 440 milhões de inícios de sessão apenas em 2024, pelo que a plataforma foi concebida para lidar com a escala de qualquer recinto que possa estar a gerir. Vamos passar para a análise técnica aprofundada. A arquitetura baseia-se em protocolos RADIUS padrão e redirecionamento HTTP. Temos três níveis de acesso principais. Primeiro, Guest WiFi. Trata-se de um SSID aberto. O AP da WatchGuard intercepta os pedidos HTTP e redireciona o utilizador para a página de boas-vindas alojada da Purple. Segundo, Staff WiFi. Trata-se de um SSID WPA3-Enterprise seguro que utiliza 802.1X. Os dispositivos autenticam-se diretamente nos servidores RADIUS da Purple utilizando EAP-TLS ou PEAP. Terceiro, Multi-Tenant WiFi. Utiliza o PPSK da WatchGuard. Vários utilizadores ligam-se a um único SSID, mas cada um utiliza uma palavra-passe exclusiva. O AP da WatchGuard consulta o servidor RADIUS da Purple, que depois atribui dinamicamente uma VLAN com base nessa chave específica. Então, como configuramos o Captive Portal de Guest WiFi? O primeiro passo é configurar o servidor RADIUS no WatchGuard Cloud ou no Firebox Policy Manager. Aponta o servidor RADIUS principal para o endereço IP da Purple correspondente à sua região. A autenticação é feita na porta 1812, e a monitorização (accounting) na porta 1813. Introduz o segredo partilhado fornecido pela Purple e, crucialmente, garante que o ID do NAS corresponde ao endereço MAC do Firebox ou do AP. Isto indica à Purple de que recinto provém o pedido. O segundo passo é o próprio redirecionamento do Captive Portal. Nas definições do SSID, seleciona Captive Portal Alojado por Terceiros com Autenticação RADIUS. Introduz o URL da página de boas-vindas da Purple e introduz o segredo partilhado do portal. Este é um segredo específico gerado no painel do Purple Analyze, sendo utilizado para criar um resumo HMAC para validar os pedidos de autenticação. O algoritmo HMAC-SHA1 garante que a mensagem de sucesso de autenticação da Purple é genuína e não foi adulterada em trânsito. O passo três, e é aqui que muitas implementações falham, é o Walled Garden. Se não configurar isto, o dispositivo não conseguirá carregar a página splash. Deve permitir o acesso a star dot mypurple dot com, api dot mypurple dot com e cdn dot mypurple dot com antes do início de sessão. Se estiver a utilizar inícios de sessão social como o Microsoft Entra ID ou o Google Workspace, também terá de adicionar os domínios desses fornecedores de identidade. Pense no Walled Garden como o lobby de pré-autenticação. Sem ele, o convidado não consegue sequer chegar à porta de entrada. Agora, vamos analisar a segmentação Multi-Tenant com o PPSK da WatchGuard. Se gere um centro comercial com 15 lojas, transmitir 15 SSIDs diferentes é uma abordagem ineficaz. Causa interferência de canais partilhados, sobrecarrega o espaço aéreo e cria uma sobrecarga de gestão. O PPSK resolve isto de forma elegante. Transmite apenas um SSID, por exemplo, Centre-Retail. Ative a Private Pre-Shared Key nas definições de SSID da WatchGuard, o que requer a versão de firmware 2.6 ou superior nos seus Access Points WatchGuard. No Purple, cria chaves exclusivas, uma por tenant. Para isolar o tráfego, utiliza a atribuição dinâmica de VLAN (Dynamic VLAN Assignment). Na WatchGuard Cloud, define a VLAN para VLAN Dinâmica atribuída por RADIUS. Quando uma loja liga um dispositivo utilizando a sua chave específica, o AP envia um Access-Request para o servidor RADIUS do Purple. O Purple valida a chave e envia de volta um pacote Access-Accept com três atributos RADIUS IETF vitais: Tunnel-Type, que é o atributo 64, definido para VLAN; Tunnel-Medium-Type, atributo 65, definido para 802; e Tunnel-Private-Group-ID, atributo 81, definido para o ID de VLAN atribuído, por exemplo VLAN 100 para o Tenant de Retalho A. O AP WatchGuard coloca então esse dispositivo na VLAN 100, completamente isolado dos outros tenants. Isto é o Identity-Based Networking na prática. Vamos discutir as recomendações de implementação e os erros comuns. Primeiro, os limites de tempo da sessão. Configure limites de tempo de sessão estritos tanto no Purple como na WatchGuard para forçar a reautenticação. Isto mantém as suas análises precisas e garante que as sessões inativas não consomem largura de banda. Defina os seus intervalos de Interim-Update de RADIUS para 10 minutos. Segundo, o firmware. Deve garantir que os seus Access Points WatchGuard estão a correr a versão de firmware 2.6 ou superior para suportar PPSK. As versões de firmware anteriores não suportam esta funcionalidade. Terceiro, a aleatoriedade de endereços MAC. Os dispositivos modernos ocultam o seu endereço MAC real por predefinição. Para a sua rede WiFi de funcionários segura, instrua os seus colaboradores a desativarem esta funcionalidade para esse SSID específico para garantir uma autenticação 802.1X estável. A aleatoriedade de endereços MAC pode causar falhas de autenticação e dados analíticos inconsistentes. O que acontece quando as coisas correm mal? Se o Captive Portal falhar ao carregar, verifique primeiro a Walled Garden. Se o dispositivo não conseguir resolver o DNS ou contactar os servidores da Purple, apresentará um erro de limite de tempo (timeout) em vez da splash page. Se o encaminhamento de VLAN falhar e o cliente receber um IP da VLAN errada, verifique os registos RADIUS no portal Purple. Certifique-se de que o atributo Tunnel-Private-Group-ID está formatado corretamente como uma string e corresponde a uma VLAN que realmente existe na porta do switch ligada ao AP. Se vir erros de digest HMAC nos registos da WatchGuard, o seu Captive Portal Shared Secret não coincide entre a WatchGuard e a Purple. Tem de ser idêntico em ambos os sistemas, carácter por carácter. Hora de uma sessão rápida de perguntas e respostas. Pergunta: Posso utilizar PPSK e o Captive Portal no mesmo SSID? Resposta: Não. A WatchGuard não suporta a execução de VLANs Dinâmicas através de PPSK e um Captive Portal no mesmo SSID em simultâneo. Precisa de um SSID para o portal e de um SSID separado para o PPSK. Planeie a sua arquitetura de SSID em conformidade. Pergunta: O que acontece se o servidor RADIUS não devolver um ID de VLAN para um utilizador PPSK? Resposta: No WatchGuard Cloud, configura uma opção de contingência para Clientes Não Atribuídos. Pode colocá-los numa VLAN sem etiqueta ou numa VLAN de quarentena isolada específica para garantir que não obtêm acesso à rede empresarial. Configure sempre esta contingência para evitar acessos acidentais. Em resumo, a integração do WatchGuard Firebox com a Purple oferece-lhe uma plataforma unificada de segurança, identidade e analítica em redes de Convidados, Colaboradores e Multi-Tenant. Utiliza o redirecionamento externo do Captive Portal para convidados, 802.1X para colaboradores e PPSK com VLANs dinâmicas para ambientes multi-tenant. O ROI é claro. Reduz os custos de hardware ao consolidar gateways, simplifica a gestão através de uma única plataforma SaaS e gera receitas ao recolher dados primários através do Captive Portal da Purple. Os seus próximos passos são analisar a sua arquitetura atual de SSID, garantir que o firmware da WatchGuard está na versão 2.6 ou superior e começar a configurar as suas definições RADIUS no portal Purple. Obrigado pela atenção.