Erweiterte Einstellungen für die SSID

Konfigurieren Sie Sicherheit, Backend-Authentifizierung, Client-Verbindung, Dienstqualität (QoS), Netzwerkverfügbarkeit und Captive-Portal.

Sicherheit

Legen Sie Einstellungen fest, um Ihr Netzwerk sicherer zu machen.

Synchronized Security: Bei Aktivieren dieser Option wird sichergestellt, dass Clients mit Sophos Endpoint Protection und Sophos Mobile Protection mit Access Points von Sophos Central Wireless kommunizieren können. Wenn Synchronized Security sowohl auf Sophos XG Firewall als auch auf Sophos Central Wireless aktiviert ist, haben die Einstellungen von Sophos XG Firewall Vorrang.

Für diese Funktion ist eine Lizenz für Endpoint Advanced Protection für Ihre Endpoints erforderlich. Bei Mobile Protection rufen Sie Mobil > Einrichten > Systemeinrichtung > Network Access Control auf und wählen Sophos Wireless aus.

Anmerkung Nur verfügbar für APX 320, APX 530 und APX 740).

Security Heartbeat grün: Zeigt an, dass der Systemzustand des Endpoints einwandfrei ist und der gesamte Verkehr zugelassen wird.

Security Heartbeat gelb: Weist darauf hin, dass eine potenziell unerwünschte Anwendung (PUA) oder inaktive Malware entdeckt wurde. Der gesamte Verkehr wird zugelassen.

Security Heartbeat rot: Zeigt an, dass aktive Malware oder Ransomware erkannt wurde oder der Endpoint keine Security-Heartbeat-Meldungen von den Sophos Endpoint-Diensten des Endpoints empfangen kann. Der Access Point blockiert den gesamten Internetverkehr. Es ist nur Datenverkehr aus der gesicherten Browser-Umgebung (kontrollierte Umgebung oder sichere URL-Liste) zulässig.

Sophos Mobile (UEM): Ist standardmäßig aktiviert. Ermöglicht das Senden von Heartbeat-Informationen von mit Sophos verwalteten Mobilgeräten. Sie können Richtlinien für diese Geräte auch in Sophos Central verwalten.

Sophos Central Endpoint Protection: Aktivieren Sie diese Option, wenn Sie Endpoint-Richtlinien in Sophos Central verwalten möchten. Alternativ können Sie Endpoint-Richtlinien in XG Firewall verwalten.

Diese SSID nur auf mit Sophos verwaltete Geräte beschränken. Wenn ein nicht verwaltetes Gerät eine Verbindung zur SSID herstellt, stellen wir nach der Authentifizierung fest, dass das Gerät nicht verwaltet wird, und eine Landing Page wird angezeigt, die Sie konfigurieren müssen. Das Gerät wird in eine kontrollierte Umgebung überführt. Das Verhalten des Geräts ist vergleichbar mit einem roten Security Heartbeat-Status. Das Gerät darf nur auf Sophos-Websites oder auf URLs und IP-Adressen zugreifen, die auf der Liste erlaubter URLs und IP-Adressen stehen.

Bei einem verwalteten Gerät handelt es sich um ein von Sophos geschütztes Mobil- oder Endpointgerät.

Wenn Sie diese Option aktivieren, wird die Konfiguration der Landing Page angezeigt. Geben Sie folgende Informationen ein:

  • Seitentitel
  • Begrüßungstext
  • Anzuzeigende Meldung
  • Unternehmenslogo

Erlaubte Domänen: Geben Sie hier Domänen ein, auf die Clients mit rotem Synchronized Security-Status weiterhin zugreifen sollen, sowie beliebige „.sophos.com“-Domänen. Diese Domänen sind auch für nicht verwaltete Geräte zugänglich, wenn Sie die Option SSID nur auf mit Sophos verwaltete Geräte beschränken aktiviert haben. Sowohl IP-Adressen als auch Domänennamen werden unterstützt.

Verdeckte SSID: Blendet die SSID für Netzwerk-Scans aus. Wenn die SSID verborgen ist, ist sie immer noch verfügbar, aber Sie müssen für eine direkte Verbindung den SSID-Namen kennen. Auch wenn eine SSID verborgen ist, können Sie diese einem Access Point zuordnen.

Anmerkung Es handelt sich hierbei nicht um eine Schutzfunktion. Verborgene SSIDs müssen weiterhin geschützt werden.

Client-Isolierung: Blockiert die Kommunikation zwischen Clients innerhalb derselben Funkfrequenz. Dies ist in einem Gast- oder Hotspot-Netzwerk nützlich.

MAC-Filterung: Bietet minimale Sicherheit, indem Media Access Control (MAC)-Adressverbindungen eingeschränkt werden.

  • Keine: Keine Einschränkung bei MAC-Adressen.
  • Liste „Blockiert“: Alle MAC-Adressen sind zulässig, außer den hier eingegebenen.
  • Liste „Erlaubt“: Alle MAC-Adressen sind verboten, außer den hier eingegebenen.

Clientverbindung

LAN: Überbrückt ein WLAN-Netzwerk mit dem Netzwerk eines Access Points. Die WLAN-Clients haben denselben IP-Adressbereich.

VLAN: Leitet den Client-Verkehr zu bestimmten VLANs. Der Uplink-Switch muss so konfiguriert sein, dass er VLAN-Pakete akzeptiert.

RADIUS VLAN-Zuweisung: Hier werden Benutzer separiert, ohne dass mehrere SSIDs erstellt werden müssen. Verfügbar im WPA/WPA2 Enterprise-Verschlüsselungsmodus.

Benutzer werden durch ein von einem RADIUS-Server bereitgestelltes VLAN getaggt. Der Traffic bleibt ungetaggt, wenn der RADIUS-Server kein VLAN bereitstellt.

Anmerkung IPv6 ist in SSIDs blockiert, wenn dynamisches VLAN aktiviert ist. Wenn IPv6 nicht blockiert ist, erhalten Geräte möglicherweise mehrere IPv6-Adressen und Gateways aus mehreren VLANs.

Gastnetzwerk aktivieren: Aktiviert ein Gastnetzwerk Ein Gastnetzwerk stellt ein isoliertes Netzwerk für Clients dar, für das bestimmte Beschränkungen für den Datenverkehr gelten. Access Points können zu einem bestimmten Zeitpunkt über ein Gastnetzwerk verfügen. Folgende Betriebsarten stehen zur Verfügung:

Bridge-Modus: Verwendet den DHCP-Server aus demselben Subnetz.

Der gesamte Traffic wird gefiltert und es wird ausschließlich Kommunikation mit dem Gateway, dem DNS-Server und externen Netzwerken zugelassen. Sie können ein Gastnetzwerk zu einer Umgebung ohne VLAN hinzufügen und es ist dennoch eine Isolierung gegeben. Da sich der DHCP-Server noch in Ihrem Netzwerk befindet, funktioniert das Roaming zwischen Access Points.

Anmerkung Wenn Sie für Ihr Gastnetzwerk ein VLAN nutzen, können Sie neben dem Gastnetzwerk ein separates Gast-VLAN einrichten.

NAT-Modus: Verwendet den integrierten DHCP-Server des Access-Points. Dies stellt den Gastnetzwerk-Clients lokal isolierte IP-Adressen zur Verfügung. Die Clients kennen das interne IP-Schema nicht.

Im NAT-Modus ist ein DNS-Server für eine Client-Adresse optional. Wenn dem Client vom DNS-Server keine DNS-Adresse zugewiesen wird, wird ihm dieselbe DNS-Adresse wie dem Access Point zugewiesen.

Der Bridge-Modus weist einen höheren Durchsatz und der NAT-Modus eine stärkere Isolierung auf.

Netzwerkverfügbarkeit

Sie können SSIDs festlegen, die nur zu bestimmten Zeiten oder an bestimmten Wochentagen verfügbar sind. Zu anderen Zeiten sind die SSIDs nicht sichtbar.

Immer: Wählen Sie diese Option, um die SSID jederzeit verfügbar zu machen.

Geplant: Legen Sie fest, an welchen Wochentagen und in welchem Zeitraum das Netzwerk verfügbar sein soll.

Dienstqualität

Konfigurieren Sie Einstellungen, um Ihr Netzwerk zu optimieren.

Umwandlung Multicast in Unicast: Optimiert die Multicast-Pakete zu Unicast-Paketen. Der Access Point wandelt auf Grundlage des Internet Group Management Protocol (IGMP) für jeden Client einzeln Multicast-Pakete in Unicast-Pakete um.

Das funktioniert am besten, wenn weniger Clients mit einem Access Point verbunden sind.

Die Konvertierung in Unicast wird für das Streaming von Medien bevorzugt, da mit höheren Durchsatzraten gearbeitet werden kann.

Proxy-ARP: Ermöglicht dem Access Point, Address Resolution Protocol (ARP)-Anforderungen zu beantworten, die für die verbundenen WLAN-Clients bestimmt sind.

Fast Roaming: Optimiert die Roaming-Zeiten beim Wechsel zwischen verschiedenen Access Points. SSIDs mit WPA2-Verschlüsselung verwenden den IEEE 802.11r-Standard, um die Roamingzeiten zu verkürzen (bei Enterprise-Authentifizierung). Kommt zum Einsatz, wenn eine SSID verschiedenen Access Points zugewiesen ist. Clients müssen ebenfalls den Standard IEEE 802.11r unterstützen.

Broadcasting aktiviert lassen: Stellen Sie sicher, dass der Access Point weiter überträgt, wenn er nicht in der Lage ist, sich nach einem Neustart wieder mit Sophos Central zu verbinden. Wenn diese Option aktiviert ist, können Clients weiterhin eine Verbindung zum Access Point und (oder) zum Internet herstellen, und der Access Point arbeitet mit seiner alten Konfiguration.

Anmerkung Die SSID wird in allen Fällen eines Verbindungsverlusts an Sophos Central gesendet, unabhängig davon, ob diese Funktion aktiviert ist oder nicht.

Band Steering: Verteilt Clients basierend auf der Last in den zwei Frequenzbändern und der Funktionalität der Clients auf das 2,4 GHz- und 5 GHz-Band. Für Dual-Band-fähige WLAN-Clients erfolgt, wenn möglich, das Routing auf das 5-GHz-Band, um die Leistung für den Client zu verbessern. Dabei wird die ursprüngliche Zuweisungsanfrage des Clients für das 2,4 GHz-Band abgelehnt. Daraufhin versucht ein Dual-Band-Client eine Aushandlung für das 5 GHz-Band. Wenn sie sich nicht mit dem 5-GHz-Band verbinden, werden sie als „schwer steuerbar“ gekennzeichnet und es erfolgt kein erneutes Routing. Wenn ein Client zu weit vom Access Point entfernt ist, wird kein Routing versucht. Das verhindert das Routing von Clients auf 5 GHz, wo die Reichweite gewöhnlich unter der des 2,4-GHz-Bands liegt. Band Steering erfolgt auf Access Point-Ebene und hat Auswirkungen auf alle SSIDs an diesem Access Point.

Captive Portal

Aktivieren und konfigurieren Sie einen Hotspot.

Hotspot aktivieren: Hier wird aus der SSID ein Hotspot. Diese Funktion bietet Cafés, Hotels oder Firmen die Möglichkeit, Gästen einen zeitlich und datenmäßig begrenzten Internetzugang zu gewähren.

ACHTUNG In vielen Ländern unterliegt der Betrieb eines öffentlichen Hotspots bestimmten nationalen Gesetzen, die den Zugriff auf Websites mit rechtlich fragwürdigen Inhalten beschränken. Zum Beispiel File-Sharing-Websites oder extremistische Websites.

Seitentitel: Sie können einen Titel für die Startseite angeben. Es ist für Benutzer sichtbar, die die Nutzungsbedingungen akzeptieren.

Begrüßungstext: Sie können einen Begrüßungstext für die Startseite angeben.

Nutzungsbedingungen: Benutzer müssen vor der Authentifizierung die Nutzungsbedingungen akzeptieren.

Backend-Authentifizierung: Bei diesem Authentifizierungstyp können Benutzer sich über Remote Authentication Dial-In User Service (RADIUS) authentifizieren.

Anmerkung Für die Backend-Authentifizierung wird eine PAP (Password Authentication Protocol)-Richtlinie auf dem RADIUS-Server benötigt. Alle zum RADIUS-Server übertragenen Benutzerdaten werden durch Sophos Central mit HTTPS verschlüsselt.

Kennwortplanung: Sie können automatisch nach einem festen Zeitplan ein neues Kennwort erstellen. Wenn ein wöchentlicher oder monatlicher Zeitplan festgelegt ist, können Sie auch einen Wochentag oder eine Woche auswählen. Das alte Kennwort wird zum festgelegten Zeitpunkt ungültig, laufende Sitzungen werden beendet. Das neue Kennwort wird als Benachrichtigung an die angegebenen E-Mail-Adressen geschickt.

Voucher: Bei diesem Hotspot-Typ können Voucher mit Zeitbeschränkung erzeugt, ausgedruckt und an Kunden weitergegeben werden. Nach Eingabe des Codes können die Benutzer direkt auf das Internet zugreifen.

Anmeldeinformationen für soziale Medien: Sie können Ihren Benutzern erlauben, sich mit ihren Social-Media-Konten zu authentifizieren. Sie können sie ihre Facebook- oder Google-Konten verwenden lassen. Um die Google-Authentifizierung einzurichten, rufen Sie die Google Developer Console auf und rufen Sie die Client-ID und den Clientschlüssel für Google ab. Geben Sie diese Informationen hier ein. Um die Facebook-Authentifizierung einzurichten, gehen Sie zum Facebook Developer Account und rufen Sie App-ID und App-Geheimcode für Facebook ab. Geben Sie diese Informationen hier ein.

Um die Google Client-ID von der Google-Entwicklerkonsole abzurufen, müssen Sie folgende Schritte ausführen:

  1. Erstellen Sie ein neues Projekt.
  2. Rufen Sie den OAuth-Einwilligungsbildschirm auf, und geben Sie den Namen der Anwendung ein. In dieses Feld können Sie alles eingeben. Geben Sie dann die autorisierte Domäne ein, die "myapsophos.com" sein muss
  3. Gehen Sie zu Anmeldedaten > Anmeldedaten erstellen > OAuth-Client-ID.
  4. Wählen Sie Webanwendung als Anwendungstyp.
  5. Geben Sie unter Einschränkungen Autorisierte JavaScript-Quellen und Autorisierte Weiterleitungs-URIs wie unten angegeben ein.

    Autorisierte JavaScript-Quellen: https://www.myapsophos.com:8443

    Autorisierten Weiterleitungs-URIs: https://www.myapsophos.com:8443/hotspot.cgi

Anmerkung Wenn sich Benutzer mit einem Social Media-Konto anmeldet, werden sie aufgefordert, das Zertifikat zu akzeptieren und fortzufahren. Sie müssen dazu auf die Google-Schaltfläche klicken.
Anmerkung Wenn sich ein Benutzer mit einem Social-Media-Konto authentifiziert, werden keine persönlichen Daten von diesem Konto gespeichert.

Sitzungs-Zeitüberschreitung: Schränkt die Zugriffszeit der Benutzer für das Internet ein.

Timeout für erneute Anmeldung: Verhindert, dass sich Benutzer innerhalb von 24 Stunden nach der ersten Social Login-Anmeldung erneut beim Netzwerk anmelden.

Anmerkung Maximal 8 Geräte können sich über dieselbe E-Mail-ID verbinden.

Umleitungs-URL: Sie können die URL festlegen, auf die Benutzer von der Landing Page weitergeleitet werden. Benutzer können auf die Standard-Website des Mobilgeräts oder eine bestimmte Website Ihrer Wahl weitergeleitet werden. zum Beispiel Ihre Unternehmensseite.