Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=wireless-SSID-settings-advanced

Erweiterte Einstellungen für die SSID

Konfigurieren Sie Sicherheit, Backend-Authentifizierung, Client-Verbindung, Dienstqualität (QoS), Netzwerkverfügbarkeit und Captive-Portal.

Gehen Sie zu Meine Produkte > Wireless > SSIDs und klicken Sie auf Erweiterte Einstellungen.

Sicherheit

Legen Sie Einstellungen fest, um Ihr Netzwerk sicherer zu machen.

Synchronized Security

Einschränkung

Nur verfügbar für APX 320, APX 530 und APX 740).

Durch Aktivieren von Synchronized Security wird sichergestellt, dass Clients mit Sophos Endpoint Protection und Sophos Mobile Protection mit Access Points von Sophos Central Wireless kommunizieren können. Wenn Sie Synchronized Security sowohl auf der Sophos Firewall als auch in Sophos Central aktivieren, haben die Einstellungen der Sophos Firewall Vorrang.

Synchronized Security kategorisiert Geräte nach ihrem Sicherheitsstatus. Sie müssen Geräte mit Sophos Endpoint Protection oder Sophos Mobile schützen. Administratoren können Regeln zur Verwaltung der Geräte einrichten. Wenn Geräte gegen diese Regeln verstoßen, meldet die Software die Bedrohung und der Sicherheitsstatus des Geräts spiegelt dies wider. Geräte werden von Security Heartbeat wie folgt klassifiziert:

  • Geschützt (Grün): Der Systemzustand des Geräts ist einwandfrei und der gesamte Verkehr wird zugelassen.
  • Client möglicherweise gefährdet (Gelb): Eine potenziell unerwünschte Anwendung (PUA) oder inaktive Malware ist auf dem Gerät vorhanden. Der gesamte Verkehr wird zugelassen.
  • Client gefährdet (Rot): Auf dem Gerät befindet sich aktive Malware oder Ransomware. Der gesamte Internetverkehr wird blockiert. Es ist nur Datenverkehr aus der gesicherten Browser-Umgebung (kontrollierte Umgebung oder sichere URL-Liste) zulässig.
  • Kein Security Heartbeat: Dies bezieht sich nur auf Endpoint-Computer. Dies weist darauf hin, dass das Gerät zwar verbunden ist, der Endpoint jedoch seit 90 Sekunden keinen Security Heartbeat sendet.
  • Nicht verfügbar: Sophos Endpoint oder Sophos Mobile Control ist nicht auf den aufgelisteten Geräten installiert.

Sie können die folgenden Synchronized-Security-Optionen für Ihre Geräte auswählen:

  • Sophos Mobile (UEM): Ist standardmäßig aktiviert. Ermöglicht Sophos-verwalteten Mobilgeräten das Senden von Heartbeat-Informationen. Sie können Richtlinien für diese Geräte auch in Sophos Central verwalten.

    Hinweis

    Um zu verhindern, dass Geräte mit rotem Integritätsstatus auf das Netzwerk zugreifen, müssen Sie Network Access Control für Ihr Mobilgerät auf Sophos Wireless einstellen. Gehen Sie zu Mobile > Einrichtung > Sophos-Einrichtung > Network Access Control und wählen Sophos Wireless aus.

  • Sophos Central Endpoint Protection: Aktivieren Sie diese Option, wenn Sie Endpoint-Richtlinien in Sophos Central verwalten möchten. Alternativ können Sie Endpoint-Richtlinien in der Sophos Firewall verwalten.

  • Diese SSID nur auf mit Sophos verwaltete Geräte beschränken: Wenn ein nicht verwaltetes Gerät eine Verbindung zur SSID herstellt, stellen wir nach der Authentifizierung fest, dass das Gerät nicht verwaltet wird und überführen es in eine kontrollierte Umgebung: Ihnen wird eine Landing-Page angezeigt, die Sie konfigurieren müssen. Das Verhalten des Geräts ist vergleichbar mit einem roten Security Heartbeat-Status. Das Gerät darf nur auf Sophos-Websites oder auf URLs und IP-Adressen zugreifen, die auf der Liste erlaubter URLs und IP-Adressen stehen.

Bei einem verwalteten Gerät handelt es sich um ein von Sophos geschütztes Mobil- oder Endpointgerät.

Wenn Sie diese Option aktivieren, wird die Konfiguration der Landing-Page angezeigt. Geben Sie folgende Informationen ein:

  • Seitentitel
  • Begrüßungstext
  • Anzuzeigende Meldung

Verdeckte SSID

Blendet die SSID für Netzwerk-Scans aus. Die SSID ist immer noch verfügbar, wenn sie verborgen ist, aber Sie müssen für eine direkte Verbindung den SSID-Namen kennen. Auch Sie die SSID verbergen, können Sie diese einem Access Point zuordnen.

Hinweis

Das Verbergen der SSID ist keine Sicherheitsfunktion. Verborgene SSIDs müssen weiterhin geschützt werden.

Client-Isolierung

Blockiert die Kommunikation zwischen Clients innerhalb derselben Funkfrequenz. Dies ist in einem Gast- oder Hotspot-Netzwerk nützlich.

MAC-Filterung

Bietet minimale Sicherheit, indem Media Access Control (MAC)-Adressverbindungen eingeschränkt werden.

  • Ohne: Keine Einschränkung bei MAC-Adressen.
  • Liste „Blockiert“ Alle MAC-Adressen, die Sie hier eingeben, werden blockiert.
  • Liste „Erlaubt“ Alle MAC-Adressen, die Sie hier eingeben, sind zulässig.

Kontrollierte Umgebung

Geben Sie hier Domänen ein, auf die Clients mit rotem Synchronized Security-Status weiterhin zugreifen sollen, sowie beliebige „.sophos.com“-Domänen. Diese Domänen sind auch für nicht verwaltete Geräte zugänglich, wenn Sie die Option SSID nur auf mit Sophos verwaltete Geräte beschränken aktiviert haben. Sowohl IP-Adressen als auch Domänennamen werden unterstützt.

Clientverbindung

LAN

Bridgen Sie den WLAN-Datenverkehr auf das LAN. Die Wireless-Geräte haben denselben IP-Adressbereich.

VLAN

Leitet Datenverkehr von Wireless-Geräten an bestimmte VLANs weiter. Sie müssen Downstream-Netzwerkgeräte konfigurieren, um VLAN-Pakete zu akzeptieren.

RADIUS VLAN-Zuweisung

Hier werden Benutzer separiert, ohne dass mehrere SSIDs erstellt werden müssen. Verfügbar mit Enterprise-Verschlüsselungsmethode.

Der Access Point taggt Benutzer durch ein von einem RADIUS-Server bereitgestelltes VLAN getaggt. Der Traffic bleibt ungetaggt, wenn der RADIUS-Server kein VLAN bereitstellt.

Hinweis

Wenn Sie das dynamische VLAN für eine SSID aktivieren, wird IPv6 blockiert. Wenn IPv6 nicht blockiert ist, erhalten Wireless-Geräte möglicherweise mehrere IPv6-Adressen und Gateways aus mehreren VLANs.

Gastnetzwerk aktivieren

Einschränkung

Nur für Access Points der AP- und APX-Serie verfügbar.

Aktiviert ein Gastnetzwerk Ein Gastnetzwerk stellt ein isoliertes Netzwerk für Wireless-Geräte dar, für das bestimmte Beschränkungen für den Datenverkehr gelten. Access Points können zu einem bestimmten Zeitpunkt über ein Gastnetzwerk verfügen. Folgende Betriebsarten stehen zur Verfügung:

Bridge-Modus

Verwendet den DHCP-Server aus demselben Subnetz.

Der gesamte Traffic wird gefiltert und es wird ausschließlich Kommunikation mit dem Gateway, dem DNS-Server und externen Netzwerken zugelassen. Sie können ein Gastnetzwerk zu einer Umgebung ohne VLAN hinzufügen und es ist dennoch eine Client-Isolierung gegeben. Da sich der DHCP-Server noch in Ihrem Netzwerk befindet, funktioniert das Roaming zwischen Access Points.

Hinweis

Sie können separate Gastnetzwerke verwenden, indem Sie VLAN für Ihr Gastnetzwerk verwenden.

NAT-Modus

Verwendet den integrierten DHCP-Server des Access-Points. Dadurch werden lokale isolierte IPs für die Wireless-Geräte im Gastnetzwerk bereitgestellt. Die Geräte kennen das interne IP-Schema nicht.

Im NAT-Modus ist ein DNS-Server für ein Wireless-Gerät optional, um eine IP-Adresse zu erhalten. Wenn ein DNS-Server dem Wireless-Gerät keine DNS-Adresse zuweist, wird ihm dieselbe DNS-Adresse wie dem Access Point zugewiesen.

Der Bridge-Modus weist einen höheren Durchsatz und der NAT-Modus eine stärkere Isolierung auf.

Netzwerkverfügbarkeit

Sie können SSIDs festlegen, die nur zu bestimmten Zeiten oder an bestimmten Wochentagen verfügbar sind. Zu anderen Zeiten sind die SSIDs nicht sichtbar.

  • Immer: Wählen Sie diese Option, um die SSID jederzeit verfügbar zu machen.
  • Geplant: Wählen Sie die Tage und Uhrzeiten aus, an denen das Netzwerk verfügbar sein soll.

Dienstqualität

Konfigurieren Sie Einstellungen, um Ihr Netzwerk zu optimieren.

Umwandlung Multicast in Unicast

Optimiert die Multicast-Pakete zu Unicast-Paketen. Der Access Point wandelt Multicast-Pakete auf Grundlage von IGMP für jedes Wireless-Gerät einzeln in Unicast-Pakete um.

Das funktioniert am besten, wenn weniger Wireless-Geräte mit einem Access Point verbunden sind.

Die Konvertierung in Unicast wird für das Streaming von Medien bevorzugt, da mit höheren Durchsatzraten gearbeitet werden kann.

Proxy-ARP

Ermöglicht dem Access Point, Address Resolution Protocol (ARP)-Anforderungen zu beantworten, die für die verbundenen Wireless-Geräte bestimmt sind.

Schnelles Roaming

Optimiert die Roaming-Zeiten beim Wechsel zwischen verschiedenen Access Points. SSIDs mit WPA2-Verschlüsselung verwenden den IEEE 802.11r-Standard, um die Roamingzeiten zu verkürzen (bei Enterprise-Authentifizierung). Kommt zum Einsatz, wenn die gleiche SSID verschiedenen Access Points zugewiesen ist. Wireless-Geräte müssen ebenfalls den Standard IEEE 802.11r unterstützen.

Weiter ausstrahlen

Wenn ein Access Point keine Verbindung zu Sophos Central herstellen kann, beendet er die Übertragung der konfigurierten SSIDs, wenn er neu startet. Wählen Sie Weiter ausstrahlen, damit der Access Point seine konfigurierten SSIDs nach einem Neustart weiter senden kann, auch wenn keine Verbindung zu Sophos Central hergestellt werden kann. Der Access Point arbeitet mit seiner letzten bekannten Konfiguration, bis er seine Verbindung zu Sophos Central wiederherstellt. Wireless-Geräte können weiterhin eine Verbindung herstellen und auf alle konfigurierten internen und externen Ressourcen zugreifen.

Hinweis

Diese Funktion ist für Access Points der AP6-Serie immer aktiviert. Sie können dies nicht deaktivieren.

Band Steering

Band-Steering erkennt Wireless-Geräte, die einen 5-GHz-Betrieb ermöglichen, und verbindet sie mit dieser Frequenz. Dadurch steht das überlastete 2,4-GHz-Frequenzband für Wireless-Geräte zur Verfügung, die nur eine Verbindung herstellen können. Der Access Point lehnt die ursprüngliche Zuweisungsanfrage ab, die auf dem 2,4-GHz-Band gesendet wurde. Daraufhin versucht ein Dual-Band-Client eine Aushandlung für das 5-GHz-Band. Wenn keine Verbindung im 5-GHz-Band hergestellt wird, markiert der Access Point es als „schwer steuerbar“ und es erfolgt kein erneutes Routing. Der Access Point versucht Band Steering nicht, wenn ein Wireless-Gerät zu weit entfernt ist. Dadurch wird Routing auf 5 GHz verhindert, wenn sich das Wireless-Gerät nicht in Reichweite befindet. Band Steering erfolgt auf Access Point-Ebene und hat Auswirkungen auf alle SSIDs an diesem Access Point.

Hinweis

Sie müssen die Frequenzbänder 2,4 und 5 GHz konfigurieren, um Band Steering zu verwenden.

Captive Portal

Ein Captive Portal zwingt Geräte, sich zu authentifizieren, bevor sie auf das Internet zugreifen dürfen.

Hotspot aktivieren

Um das Captive Portal für Ihre SSIDs zu aktivieren, wählen Sie Hotspot aktivieren.

Warnung

In vielen Ländern unterliegt der Betrieb eines öffentlichen Hotspots bestimmten nationalen Gesetzen, die den Zugriff auf Websites mit rechtlich fragwürdigen Inhalten beschränken, zum Beispiel File-Sharing-Websites oder extremistische Websites. Unter Umständen machen es die rechtlichen Bestimmungen erforderlich, den Hotspot bei einer nationalen Regulierungsbehörde zu registrieren.

Nachdem Sie das Captive Portal aktiviert haben, können Sie die folgenden Captive Portal-Optionen konfigurieren:

Landing-Page

Access Points mit aktiviertem Hotspot fangen HTTP-Datenverkehr ab und leiten Benutzer zu einer vordefinierten Seite, dem Captive Portal, um. Dort müssen die Benutzer eine konfigurierte Authentifizierungsmethode verwenden, bevor sie auf die zulässigen Netzwerke, beispielsweise das Internet, zugreifen können. Die Landing Page ist die erste Seite, die Benutzern angezeigt wird, nachdem diese sich mit dem Hotspot verbunden haben.

Sie können die Landing-Page mit einem Titel und Begrüßungstext anpassen. Sie können auch benutzerdefinierte Nutzungsbedingungen erstellen, denen Benutzer zustimmen müssen, bevor sie auf das Netzwerk zugreifen können.

Authentifizierungs-Typen

Wireless-Geräte müssen sich vor dem Zugriff auf das Internet im Captive Portal authentifizieren. Wählen Sie aus den folgenden Authentifizierungsoptionen:

  • Keine: Keine Authentifizierung.

  • Backend-Authentifizierung: Ermöglicht die Authentifizierung über einen RADIUS-Server mit Password Authentication Protocol (PAP).

    Hinweis

    Für die Backend-Authentifizierung wird eine PAP (Password Authentication Protocol)-Richtlinie auf dem RADIUS-Server benötigt. Der Access Point verschlüsselt alle Benutzeranmeldeinformationen, die mit HTTPS an den RADIUS-Server übertragen werden.

  • Kennwortplanung: Erstellt automatisch nach einem festen täglichen, wöchentlichen oder monatlichen Zeitplan ein neues Kennwort. Wenn das Kennwort abläuft, beendet der Access Point alle aktuellen Sitzungen, und Benutzer müssen sich mit dem neuen Kennwort authentifizieren. Wenn Sie Alle Administratoren benachrichtigen auswählen, sendet Sophos Central das neue Kennwort als Benachrichtigung an alle Sophos Central-Administratoren und alle in Andere Benutzern angegebenen E-Mail-Adressen.

  • Anmeldeinformationen für soziale Medien: Lässt eine Authentifizierung über Social-Media-Konten zu. Wir speichern keine Informationen aus dem Konto. Sie können aus den folgenden Anbietern wählen:

    • Google: Wenn Sie Aktivieren auswählen, können sich Benutzer mit ihren Google-Anmeldeinformationen anmelden.

      Sie benötigen die Google Client-ID und den Google Client Geheimen Schlüssel Ihres Unternehmens. Verfahren Sie zum Abrufen dieser Informationen wie folgt:

      1. Melden Sie sich an der Google-Developer-Konsole an.
      2. Klicken Sie auf Anmeldeinformationen und erstellen Sie ein neues Projekt.
      3. Klicken Sie auf den OAuth-Einwilligungsbildschirm, wählen Sie den Benutzertyp aus und klicken Sie auf Erstellen.
      4. Füllen Sie die erforderlichen Felder auf dem OAuth-Einwilligungsbildschirm aus, klicken Sie auf Domäne hinzufügen und geben Sie myapsophos.com als Autorisierte Domäne ein.
      5. Speichern Sie Ihre Änderungen.
      6. Klicken Sie auf Anmeldeinformationen, Anmeldeinformationen erstellen und klicken Sie auf OAuth-Client-ID.
      7. Wählen Sie Webanwendung als Anwendungstyp, geben Sie einen Namen ein, und geben Sie die folgenden Informationen für die von Ihnen verwendete Reihe von Access Points ein:
      • Autorisierte JavaScript-Quellen: https://www.myapsophos.com:8443
      • Autorisierte Weiterleitungs-URLs: https://www.myapsophos.com:8443/hotspot.cgi
      • Autorisierte JavaScript-Quellen: https://www.myapsophos.com
      • Autorisierte Weiterleitungs-URLs: https://www.myapsophos.com

      Nachdem Sie Ihre Änderungen gespeichert haben, sehen Sie Ihre Client-ID und den geheimen Clientschlüssel im Fenster OAuth-Client erstellt.

    • Facebook: Wählen Sie Aktivieren, um Benutzern die Anmeldung mit ihren Facebook-Anmeldeinformationen zu ermöglichen.

      Sie benötigen Ihre Facebook-App-ID und das App-Geheimnis des Facebook-Entwicklerkontos. Verfahren Sie zum Abrufen dieser Informationen wie folgt:

      1. Melden Sie sich auf der Facebook-Entwicklerseite an.
      2. Klicken Sie auf Meine Apps und dann auf Neue App hinzufügen.
      3. Wählen Sie einen App-Typ und klicken Sie auf Weiter.
      4. Geben Sie die erforderlichen Details ein und klicken Sie auf App erstellen.
      5. Klicken Sie auf Einstellungen und anschließend auf Basis. Sie können Ihre App-ID sehen.
      6. Klicken Sie auf Anzeigen, um Ihr App-Geheimnis anzuzeigen.

    • Autorisierte Domäne: Sie können die autorisierte Domäne für Google und Facebook festlegen.

    • Sitzungs-Zeitüberschreitung: Sie können die Sitzungs-Zeitüberschreitung zwischen einer und 24 Stunden festlegen.
    • Wiederanmeldungs-Timeout: Wählen Sie Aktivieren, um Benutzer für 24 Stunden nach der erstmaligen Authentifizierung daran zu hindern, sich erneut am Netzwerk anzumelden.

    Hinweis

    Wenn sich ein Benutzer mit einem Social Media-Konto anmeldet, werden sie aufgefordert, das Zertifikat zu akzeptieren und fortzufahren. Sie müssen dazu auf die Google-Schaltfläche klicken.

  • Voucher: Druckbare Voucher mit Zeitbeschränkung für die Authentifizierung verwenden. Klicken Sie auf Voucher erstellen, um einen neuen Voucher zu definieren.

Umleitungs-URL

Sie können das Verhalten des Captive Portals festlegen, nachdem sich Benutzer authentifiziert haben. Sie können authentifizierte Benutzer an die Seite senden, die sie ursprünglich angefordert haben, oder an eine benutzerdefinierte URL. Folgende Optionen stehen zur Verfügung:

  • Umleitungs-URL: Wählen Sie aus den folgenden Optionen:

    • Umleitung zu ursprünglicher URL: Leitet Benutzer nach der Authentifizierung auf die Website um, die sie ursprünglich aufrufen wollten.
    • Benutzerdefiniertes URL: Leitet Benutzer nach der Authentifizierung zu einer Website um. Geben Sie die URL in das Feld Benutzerdefinierte URL ein.

Weitere Informationen