Paramètres avancés du SSID

Configurez la sécurité, l’authentification du serveur backend, la connexion au client, la qualité du service (QoS), la disponibilité du réseau et le portail captif.

Dans Wireless > SSID, cliquez sur Paramètres avancés.

Sécurité

Vous définissez ici les paramètres qui vont renforcer la sécurité de votre réseau.

Sécurité synchronisée : Activez cette option pour vous assurer que les clients utilisant Sophos Endpoint Protection et Sophos Mobile Protection sont en mesure de communiquer avec les points d’accès Sophos Central Wireless. Si la Sécurité synchronisée est activée sur Sophos Firewall et Sophos Central Wireless, les paramètres présents sur Sophos Firewall sont prioritaire.

Pour utiliser cette fonction, vous devez avoir une licence Sophos Endpoint Advanced Protection pour vos terminaux. Pour la protection des mobiles, allez dans Mobile > Paramétrer > Configuration du système > Contrôle d’accès réseau et sélectionnez Sophos Wireless.

Remarque : Uniquement disponible sur APX 320, APX 530 et APX 740.

Security Heartbeat affiché en vert : indique que le terminal fonctionne normalement et que tout le trafic est autorisé.

Security Heartbeat affiché en jaune : indique qu’une application potentiellement indésirable (PUA) ou un malware inactif a été détecté. Tout le trafic est autorisé.

Security Heartbeat affiché en rouge : Indique que le malware ou le ransomware actif a été détecté ou que le point d’accès n’est pas en mesure de recevoir les messages « Security Heartbeat » depuis les services Sophos Endpoint du terminal. Le point d’accès bloque tout le trafic Internet. Seul le trafic provenant d’un environnement de navigation sécurisé (environnement clôturé ou liste d’URL fiables) est autorisé.

Sophos Mobile (UEM) : activée par défaut. Permet d’envoyer des informations sur l’état de sécurité « Heartbeat » à partir d’appareils mobiles gérés par Sophos. Vous pouvez également gérer les stratégies pour ces appareils dans Sophos Central.

Sophos Central Endpoint Protection : Activez cette option si vous souhaitez gérer les stratégies de terminaux dans Sophos Central. Vous pouvez également gérer les stratégies de terminaux dans Sophos Firewall.

Restreindre ce SSID aux appareils gérés par Sophos : Lorsqu’un appareil non géré se connecte au SSID, après l’authentification, nous déterminons que l’appareil n’est pas géré et nous vous demandons d’afficher une page de renvoi que vous devez configurer. L’appareil est placé dans un environnement clôturé. Le comportement de cet appareil est similaire à un état de sécurité Heartbeat rouge. L’appareil est autorisé à accéder uniquement aux sites Web Sophos ou aux URL et adresses IP qui figurent sur la liste d’autorisation.

Un appareil géré est un appareil mobile ou un terminal protégé par Sophos.

Lorsque vous activez cette option, la configuration de la page de destination apparaît. Saisissez les informations suivantes :

  • Titre de la page
  • Texte de bienvenue
  • Message à afficher
  • Logo de l’entreprise

Domaines autorisés : Saisissez ici les domaines auxquels vous souhaitez que les clients continuent à accéder, ainsi que les domaines .sophos.com lorsqu’ils sont à l’état Sécurité synchronisée rouge. Ces domaines seront également accessibles par les appareils non gérés si vous avez activé Restreindre ce SSID aux appareils gérés par Sophos. Les adresses IP et les noms de domaine sont pris en charge.

SSID masqué : Masque le SSID pour les contrôles de réseaux. Lorsqu’il est caché, le SSID est toujours disponible et vous devez connaître son nom pour pouvoir établir une connexion directe. Même si un SSID est masqué, vous pouvez l’assigner à un point d’accès.

Remarque : Il ne s’agit pas d’une fonction de sécurité. Vous devez toujours protéger les SSID masqués.

Isolement du client : Bloque la communication entre les clients sous la même fréquence radio. Ceci est utile, par exemple sur un réseau d’invités ou de bornes Wi-Fi.

Filtrage MAC : Offre un minimum de sécurité en limitant les connexions par adresse MAC (Media Access Control).

  • Aucun : aucune restriction sur les adresses MAC.
  • Liste de blocage : toutes les adresses MAC sont autorisées à l’exception de celles que vous saisissez ici.
  • Liste d’autorisation : toutes les adresses MAC sont interdites à l’exception de celles que vous saisissez ici.

Connexion du client

LAN : Établit un pont de réseau sans fil sur le réseau d’un point d’accès. Les clients sans fil partagent la même plage d’adresses IP.

VLAN : Redirige le trafic client vers des VLAN spécifiques. Le commutateur en liaison montante doit être configuré pour accepter les paquets VLAN.

Assignation du VLAN RADIUS : Sépare les utilisateurs sans nécessiter l’utilisation de plusieurs SSID. Disponible en mode de chiffrement WPA/WPA2 Entreprise.

Les utilisateurs seront identifiés sur un VLAN fourni par un serveur RADIUS. Le trafic n’est pas identifié si le serveur RADIUS ne fournit pas de VLAN.

Remarque : L’IPv6 est bloquée dans les SSID si le VLAN dynamique est activé. Si l’IPv6 n’est pas bloquée, les appareils risquent de se retrouver avec plusieurs adresses IPv6 et des passerelles issues de différents VLAN.

Activer le réseau d’invités : Active un réseau d’invités. Un réseau d’invités est un réseau isolé mis à disposition des clients avec certaines limites de trafic. Les points d’accès disposent d’un réseau d’invités pendant une certaine période de temps donnée. Les modes suivants sont disponibles :

Mode de pont : utilise le serveur DHCP à partir du même sous-réseau.

Il filtre tout le trafic et autorise uniquement la communication avec la passerelle, le serveur DNS et les réseaux externes. Vous pouvez ajouter un réseau d’invités à un environnement sans utiliser de VLAN et en bénéficiant toujours d’une isolation. Tant que le serveur DHCP se trouve toujours sur votre réseau, l’itinérance entre les points d’accès continue à fonctionner.

Remarque : L’utilisation de VLAN sur votre réseau d’invités vous permet de bénéficier d’un VLAN invité supplémentaire sur le réseau d’invités.

Mode NAT : Utilise le serveur DHCP embarqué sur le point d’accès. Ceci permet aux clients du réseau d’invités de disposer d’adresses IP isolées localement. Les clients ne sont pas informés du programme IP interne.

En mode NAT, un serveur DNS est facultatif pour une adresse client. Si une adresse DNS n’est pas assignée au client par le serveur DNS, ils se verront assignés la même adresse DNS que celle du point d’accès.

Le mode pont permet de bénéficier d’un débit plus élevé alors que le mode NAT assure un meilleur isolement.

Disponibilité du réseau

Définit les SSID qui seront uniquement disponibles pendant une certaine période de temps de la journée ou pendant certains jours de la semaine. Les SSID ne sont pas visibles pendant ce temps.

Toujours : Sélectionnez cette option pour que le SSID soit tout le temps disponible.

Planifié : Sélectionnez les jours et les heures de disponibilité du réseau.

Qualité du service

Configurez les paramètres pour optimiser votre réseau.

Conversion de multidiffusion à monodiffusion : Optimise les paquets de multidiffusion en paquets de monodiffusion. Le point d’accès convertit les paquets de multidiffusion en paquets de monodiffusion pour chaque client basé sur le protocole IGMP (Internet Group Management Protocol).

Ceci fonctionne mieux lorsqu’il y a moins de clients connectés à un point d’accès.

La conversion en monodiffusion est préférable pour le streaming car elle fonctionne à plus haut débit.

ARP du proxy : Active le points d’accès pour répondre aux demandes ARP (Address Resolution Protocol ) destinées aux clients sans fil connectés.

Itinérance rapide : Optimise les temps d’itinérance lors du basculement entre différents points d’accès. Les SSID avec le mode de chiffrement WPA2 appliquent la norme IEEE 802.11r pour réduire les temps d’itinérance (avec authentification d’entreprise). Elle s’applique lorsque le même SSID est assigné à différents points d’accès. Les clients doivent également être compatibles avec la norme IEEE 802.11r.

Continuer la diffusion : Garantit que le point d’accès maintient la diffusion même lorsqu’il n’est pas en mesure de se reconnecter à Sophos Central après un redémarrage. Lorsque cette option est activée, les clients peuvent toujours se connecter au point d’accès et (ou) à Internet et le point d’accès fonctionne avec son ancienne configuration.

Remarque : Le SSID sera diffusé dans tous les cas de perte de connexion à Sophos Central que la fonction soit activée ou pas.

Redirection de bande : Distribue les clients en fonction de la charge des deux bandes radio et des fonctionnalités du clients comprises entre les bandes de fréquence de 2,4 GHz à 5 GHz. Les clients sans fil à double bande seront dirigés vers la bande à 5 GHz si possible afin de fournir une expérience d’utilisation optimale. Ceci est rendu possible par le refus de la demande d’association initiale envoyée par le client dans la bande de 2,4 GHz. Le client à double bande essaiera ensuite de négocier une bande à 5 GHz. Si aucune association à la bande 5 GHz ne survient, elle sera identifiée comme « redirection hostile » et sera interrompue. Si un client est trop éloigné du point d’accès, la redirection ne sera pas tentée. La redirection de clients à 5 GHz ne sera pas possible sur des plages généralement inférieures à la bande 2,4 GHz. La redirection de bande est effectuée par niveau de points d’accès et affecte tous les SSID sur ce point d’accès.

Portail captif

Vous pouvez ici activer et configurer une borne Wi-Fi.

Activer la borne Wi-Fi : Convertit le SSID en borne Wi-Fi. Cette option permet aux cafés, hôtels ou entreprises de fournir à leurs invités un accès Internet limité en temps et en volume de trafic.

Avertissement : Dans la majorité des pays, l’exploitation d’une borne Wi-Fi publique est soumise à la législation en vigueur dans le pays en matière de restriction d’accès aux sites Web dont le contenu est douteux sur le plan juridique. Par exemple ; les sites de partage de fichiers ou les sites Web exprimant des idées extrémistes.

Titre de la page : Saisissez un titre pour la première page que l’utilisateur va voir. Elle s’affiche lorsque les utilisateurs acceptent les conditions générales d’utilisation.

Texte de bienvenue : Saisissez un texte de bienvenue pour la première page que l’utilisateur va voir.

Conditions d’utilisation : L’utilisateur doit accepter les conditions d’utilisation définies ici avant l’authentification.

Authentification du backend : Ce type d’authentification permet aux utilisateurs de s’authentifier avec le service RADIUS (Remote Authentication Dial-In User Service).

Remarque : L’authentification du backend nécessite la présence d’une stratégie PAP (Protocole d’authentification par mot de passe) sur le serveur RADIUS. Tous les codes d’accès des utilisateurs transmis au serveur RADIUS seront chiffrés avec HTTPS par Sophos Central.

Planification du changement de mot de passe : Créez un nouveau mot de passe automatiquement à une date fixe. Si le programme est défini à la semaine ou au mois, vous pouvez sélectionner un jour de la semaine ou une semaine. L’ancien mot de passe expirera à l’heure programmée et les sessions en cours seront interrompues. Le nouveau mot de passe est envoyé sous forme de notification aux adresses email indiquées.

Coupon : Avec ce type de borne Wi-Fi, des coupons avec des limites de temps peuvent être générés, imprimés et remis aux clients. Après avoir saisi le code, l’utilisateur accède directement à Internet.

Connexion par réseau social : Vous pouvez autoriser vos utilisateurs à s’authentifier à l’aide de leurs comptes de réseaux sociaux. Vous pouvez leur permettre d’utiliser leurs comptes Facebook ou Google. Pour configurer l’authentification Google, accédez à la console de développement Google et récupérez l’ID client et la clé secrète pour Google. Saisissez ces informations ici. Pour configurer l’authentification Facebook, accédez au compte Facebook Developer et récupérez l’ID de l’application et la clé secrète pour Facebook. Saisissez ces informations ici.

Pour récupérer l’ID client Google à partir de la console de développement Google, veuillez :

  1. Créer un nouveau projet.
  2. Aller sur l’écran d’autorisation OAuth et saisir le nom de l’application. Vous pouvez saisir ce que vous voulez dans ce champ. Saisissez ensuite le domaine autorisé qui doit être « myapsophos.com ».
  3. Dans Identifiants > Créer des identifiants > ID client OAuth.
  4. Sous « Type d’application », sélectionnez « Application Web ».
  5. Sous « Restrictions », saisissez les origines Javascript autorisées et les URI de redirection autorisés comme indiqué ci-dessous.

    Origines JavaScript autorisées : https://www.myapsophos.com:8443

    URI de redirection autorisés : https://www.myapsophos.com:8443/hotspot.cgi

Remarque : Si un utilisateur se connecte sous son compte de réseau social, il doit accepter le certificat pour pouvoir continuer. Il va devoir cliquer sur le bouton Google.
Remarque : Si un utilisateur s’authentifie sous son compte de réseau social, nous ne stockons pas d’informations personnelles à partir de ce compte.

Expiration de la session : limite le temps d’accès à Internet des utilisateurs.

Délai de reconnexion expiré : l’activation de cette option empêche l’utilisateur de se reconnecter au réseau pendant 24 heures à partir de l’heure de la première connexion par réseau social.

Remarque : Un maximum de 8 appareils peuvent se connecter à l’aide du même ID de messagerie.

URL de redirection : Vous pouvez définir l’URL vers lesquelles l’utilisateur sera redirigé à partir de la page de destination. L’utilisateur sera redirigé vers le site Web par défaut de l’appareil mobile ou vers un site Web de votre choix. Par exemple, la page de votre entreprise.