Configuración avanzada de SSID

Configure la seguridad, la autenticación back-end, la conexión de cliente, la calidad del servicio, la disponibilidad de la red y el portal cautivo.

Seguridad

Defina opciones de configuración para hacer más segura su red.

Seguridad Sincronizada: Active esta opción para asegurarse de que los clientes con Sophos Endpoint Protection y Sophos Mobile Protection puedan comunicarse con puntos de acceso Sophos Central Wireless. Si la Seguridad Sincronizada está activada tanto en Sophos XG Firewall como en Sophos Central Wireless, la configuración de Sophos XG Firewall tiene prioridad.

Para utilizar esta función, debe tener una licencia de Endpoint Advanced Protection para sus estaciones de trabajo. Para la protección de dispositivos móviles, vaya a Móvil > Configurar > Configuración del sistema > Control de acceso a la red y seleccione Sophos Wireless.

Nota Disponible solo para APX 320, APX 530 y APX 740.

Security Heartbeat verde: indica que la estación de trabajo se encuentra en buen estado y que se permite todo el tráfico.

Security Heartbeat amarillo: indica que se ha detectado una aplicación no deseada (PUA) o malware inactivo. Se permite todo el tráfico.

Security Heartbeat rojo: indica que se ha detectado ransomware o malware activo o que el punto de acceso no puede recibir mensajes de Security Heartbeat desde los servicios de Sophos Endpoint de la estación de trabajo. El punto de acceso bloquea todo el tráfico de Internet. Solo se permite el tráfico procedente del entorno de navegación seguro (jardín vallado o lista de URL seguras).

Sophos Mobile (UEM): está activado por defecto. Permite enviar información de Heartbeat desde dispositivos móviles administrados por Sophos. También puede administrar políticas para estos dispositivos en Sophos Central.

Sophos Central Endpoint Protection: active esta opción si desea administrar políticas de estaciones de trabajo en Sophos Central. También puede administrar políticas de estaciones en XG Firewall.

Limitar SSID a dispositivos administrados por Sophos: cuando un dispositivo no administrado se conecta al SSID, después de la autenticación, determinamos que el dispositivo no esté administrado y mostramos una página de inicio, que debe configurar. El dispositivo se coloca en un jardín vallado. El comportamiento de este dispositivo es similar a tener un estado de Security Heartbeat de color rojo. El dispositivo solo puede acceder a los sitios web de Sophos o a las URL e IP que estén en la lista de permitidos.

Un dispositivo administrado es un dispositivo móvil o endpoint protegido por Sophos.

Al activar esta opción, se muestra la configuración de la página de inicio. Introduzca la información siguiente:

  • Título de página
  • Texto de bienvenida
  • Mensaje que aparecerá
  • Logotipo de la empresa

Dominios permitidos: Introduzca aquí los dominios a los que desea que los clientes sigan teniendo acceso, junto con cualquier dominio .sophos.com, cuando tengan un estado de Seguridad Sincronizada de color rojo. Estos dominios también serán accesibles por dispositivos no administrados si ha activado Limitar SSID a dispositivos administrados por Sophos. Se admiten tanto direcciones IP como nombres de dominio.

SSID oculto: Oculta el SSID para escaneados de red. Cuando está oculto, el SSID sigue estando disponible y el usuario necesita conocer el nombre para conectarse directamente. Aunque un SSID esté oculto, puede asignarlo a un punto de acceso.

Nota No se trata de una función de seguridad. Debe proteger los SSID ocultos de todas formas.

Aislamiento de cliente: Esta opción bloquea la comunicación entre clientes dentro de la misma radiofrecuencia. Esto puede resultar útil en una red de invitado o zona Wi-Fi.

Filtrado MAC: Proporciona una seguridad mínima restringiendo las conexiones de direcciones de Media Access Control (MAC).

  • Ninguno: No hay restricciones en las direcciones MAC.
  • Lista de bloqueados: Se permiten todas las direcciones MAC excepto las que se especifiquen aquí.
  • Lista de permitidos: Se prohíben todas las direcciones MAC excepto las que se especifiquen aquí.

Conexión de cliente

Red local: Conecta una red inalámbrica a la red de un punto de acceso. Los clientes inalámbricos comparten el mismo rango de direcciones IP.

VLAN: Dirige el tráfico del cliente a VLAN concretas. Se debe configurar el conmutador del vínculo superior para aceptar paquetes de VLAN.

Asignación VLAN de RADIUS: Separa los usuarios sin tener varios SSID. Disponible con el modo de cifrado WPA/WPA2 Enterprise.

Los usuarios se etiquetarán a una VLAN proporcionada por un servidor RADIUS. El tráfico no se etiqueta si el servidor RADIUS no proporciona una VLAN.

Nota Si una VLAN dinámica está activada, IPv6 se bloquea en los SSID. Si IPv6 no está bloqueado, los dispositivos pueden terminar con múltiples direcciones y puertas de enlace IPv6 de varias VLAN.

Activar red de invitado: Esta opción activa una red de invitado. Una red de invitado ofrece una red aislada para los clientes con determinadas restricciones de tráfico. Los puntos de acceso no pueden tener más de una red de invitado simultáneamente. Están disponibles los siguientes modos:

Modo puente: utiliza el servidor DHCP de la misma subred.

Filtra todo el tráfico y solo permite la comunicación con la puerta de enlace, el servidor DNS y las redes externas. Puede añadir una red de invitado a un entorno sin VLAN y seguir teniendo aislamiento. Como el servidor DHCP aún está en su red, la itinerancia entre puntos de acceso funcionará.

Nota Al utilizar VLAN en la red de invitado, puede tener una VLAN de invitado además de la red de invitado.

Modo de NAT: utiliza el servidor DHCP integrado en el punto de acceso. Esto proporciona direcciones IP aisladas locales a los clientes de la red de invitado, quienes desconocen el esquema de IP interno.

En el modo de NAT, un servidor DNS es opcional para una dirección de cliente. Si el servidor DNS no asigna una dirección DNS al cliente, se le asignará la misma dirección DNS que la del punto de acceso.

El modo puente tiene un rendimiento superior, mientras que el modo de NAT ofrece un mayor aislamiento.

Disponibilidad de red

Defina los SSID que solo están disponibles a una determinada hora del día o ciertos días a la semana. Los SSID no son visibles el resto del tiempo.

Siempre: Seleccione esta opción para que el SSID esté disponible en todo momento.

Programado: Seleccione los días de la semana y los periodos de tiempo en que estará disponible la red.

Calidad del servicio

Configure las opciones para optimizar su red.

Conversión de multidifusión a unidifusión: Optimiza los paquetes de multidifusión a paquetes de unidifusión. El punto de acceso convierte los paquetes de multidifusión en paquetes de unidifusión individualmente para cada cliente en función del Protocolo de administración de grupos de Internet (IGMP).

Funciona mejor cuando hay menos clientes conectados a un punto de acceso.

La conversión a unidifusión es preferible para la transmisión multimedia, ya que puede funcionar con tasas de rendimiento superiores.

Proxy ARP: Permite al punto de acceso responder a las solicitudes del Protocolo de resolución de direcciones (ARP) dirigidas a los clientes inalámbricos conectados.

Itinerancia rápida: Optimiza los tiempos de itinerancia al cambiar entre diferentes puntos de acceso. Los SSID con cifrado WPA2 utilizan el estándar IEEE 802.11r para reducir los tiempos de itinerancia (con autenticación de empresa). Se aplica cuando se asigna el mismo SSID a distintos puntos de acceso. Además, los clientes deben admitir el estándar IEEE 802.11r.

Seguir transmitiendo: Garantiza que el punto de acceso siga transmitiendo cuando no puede volver a conectarse a Sophos Central tras un reinicio. Si esta opción está activada, los clientes podrán seguir conectándose al punto de acceso o a Internet y el punto de acceso funciona con su configuración antigua.

Nota El SSID se transmitirá en todos los casos de pérdida de la conexión a Sophos Central, independientemente de si la función está activada o no.

Direccionamiento de banda: Esta opción distribuye los clientes en función de la carga de las dos bandas de radio y de la capacidad del cliente entre las bandas de 2,4 GHz y 5 GHz. Los clientes inalámbricos de doble banda se dirigirán a la banda de 5 GHz si es posible a fin de mejorar la experiencia del cliente. Esto se consigue rechazando la solicitud de asociación inicial enviada por el cliente en la banda de 2,4 GHz. De este modo, un cliente de doble banda intentará negociar a 5 GHz. Si no se asocia en la banda de 5 GHz, se marcará como no apto para el direccionamiento y no volverá a dirigirse. Si un cliente está demasiado lejos del punto de acceso, no se intentará el direccionamiento. Así se evita dirigir clientes a la banda de 5 GHz en que el alcance suele ser inferior al de la banda de 2,4 GHz. El direccionamiento de banda se realiza a nivel de cada punto de acceso y afecta a todos los SSID de ese punto de acceso.

Portal cautivo

Active y configure una zona Wi-Fi.

Activar zona Wi-Fi: Convierte el SSID en una zona Wi-Fi. Esta función permite ofrecer acceso a Internet con restricción de tiempo y tráfico a usuarios invitados de cafeterías, hoteles o empresas.

PRECAUCIÓN En muchos países, operar una zona Wi-Fi pública está sujeto a leyes nacionales específicas y se restringe el acceso a sitios web de contenido legalmente cuestionable. Por ejemplo, páginas de intercambio de archivos, sitios web extremistas, etc.

Título de página: Puede definir un título para la página de destino. Es visible para los usuarios cuando aceptan los términos del servicio.

Texto de bienvenida: Puede definir un texto de bienvenida para la página de destino.

Términos de servicio: Los usuarios deben aceptar los términos de servicio antes de la autenticación.

Autenticación de back-end: Con este tipo de autenticación, los usuarios pueden autenticarse a través del Servicio de autenticación remota telefónica de usuario (RADIUS).

Nota La autenticación back-end requiere la política PAP (protocolo de autenticación de contraseña) en el servidor RADIUS. Todas las credenciales de usuario que se transmitan al servidor RADIUS se cifrarán con HTTPS a través de Sophos Central.

Programación de constraseña: Puede crear una nueva contraseña automáticamente con una frecuencia determinada. Si la frecuencia se establece como semanal o mensual, también puede seleccionar un día de la semana o una semana. La contraseña antigua caduca cuando pase el tiempo programado y las sesiones actuales finalizan. La nueva contraseña se envía como notificación a las direcciones de correo electrónico especificadas.

Cupón: Con este tipo de zona Wi-Fi, pueden generarse, imprimirse y entregarse a los clientes cupones con límites de tiempo. Después de introducir el código, los usuarios pueden acceder directamente a Internet.

Iniciar sesión con sus credenciales de redes sociales: Puede permitir que los usuarios se autentiquen mediante sus cuentas de redes sociales. Puede permitirles utilizar sus cuentas de Facebook o Google. Para configurar la autenticación de Google, vaya a la Consola para desarrolladores de Google y obtenga el ID y el secreto de cliente de Google. Introduzca esta información aquí. Para configurar la autenticación de Facebook, vaya a la Cuenta para desarrolladores de Facebook y obtenga el ID y el secreto de aplicación de Facebook. Introduzca esta información aquí.

Para recuperar el ID de cliente de Google desde la Consola para desarrolladores de Google, deberá hacer lo siguiente:

  1. Cree un nuevo proyecto.
  2. Vaya a la pantalla Consentimiento OAuth e introduzca el nombre de la aplicación. Puede escribir lo que quiera en este campo. A continuación, introduzca el dominio autorizado, que debe ser "myapsophos.com".
  3. Vaya a Credenciales > Crear credenciales > ID de cliente de OAuth.
  4. Seleccione el tipo de aplicación como aplicación web.
  5. En las restricciones, introduzca los orígenes de Javascript autorizados y los URI de redirección autorizados, tal como se indica a continuación.

    Orígenes de JavaScript autorizados: https://www.myapsophos.com:8443

    URI de redirección autorizados: https://www.myapsophos.com:8443/hotspot.cgi

Nota Si un usuario inicia sesión con una cuenta de redes sociales, se le pedirá que acepte el certificado y continúe. Debe hacer clic en el botón de Google para hacerlo.
Nota Si un usuario se autentica con una cuenta de redes sociales, no almacenamos información personal de esa cuenta.

Tiempo de espera de sesión: Limita el tiempo de acceso a Internet de los usuarios.

Tiempo de espera de reinicio de sesión: Activar esta opción impediría que el usuario vuelva a iniciar sesión en la red en las 24 horas siguientes al inicio de sesión con credenciales de redes sociales.

Nota Se pueden conectar un máximo de 8 dispositivos usando el mismo ID de correo electrónico.

URL de redireccionamiento: Puede definir la URL a la que se redirigirá a los usuarios desde la página de destino. Se puede redirigir a los usuarios al sitio web predeterminado del dispositivo móvil o al sitio web específico que desee. Por ejemplo, la página de su empresa.