Impostazioni avanzate per gli SSID

Configurazione di: sicurezza, autenticazione backend, connessione client, qualità del servizio (QoS), disponibilità della rete e Captive Portal.

Aprire Wireless > SSID e cliccare su Impostazioni avanzate.

Sicurezza

Definizione di impostazioni che contribuiscano a incrementare la sicurezza della rete.

Synchronized Security: attivare questa impostazione per abilitare la comunicazione dei client di Sophos Endpoint Protection e Sophos Mobile Protection con gli access point di Sophos Central Wireless. Se Synchronized Security è abilitata sia in Sophos Firewall che in Sophos Central Wireless, le impostazioni di Sophos Firewall assumeranno la priorità.

Per poter utilizzare questa funzionalità, occorre una licenza Endpoint Advanced Protection per gli endpoint. Per la protezione dei dispositivi mobili, aprire Mobile > Imposta > Impostazione di sistema > Network Access Control e selezionare Sophos Wireless.

Nota Disponibile solo per APX 320, APX 530 e APX 740.

Security Heartbeat verde: indica che l'endpoint ha uno stato di integrità buono e che tutto il traffico è autorizzato.

Security Heartbeat giallo: indica che è stato rilevato malware non attivo o un'applicazione potenzialmente indesiderata (PUA). Tutto il traffico è autorizzato.

Security Heartbeat rosso: Indica che è stato rilevato malware o ransomware attivo o che l'access point non è in grado di ricevere messaggi di Security Heartbeat dai Sophos Endpoint Services dell'endpoint. L'access point blocca tutto il traffico internet. Viene autorizzato solamente il traffico proveniente dall'ambiente di navigazione protetto (walled garden o elenco di URL sicuri).

Sophos Mobile (UEM): opzione abilitata per impostazione predefinita. Consente l'invio di informazioni sull'heartbeat dai dispositivi mobili gestiti da Sophos. È anche possibile gestire i criteri per questi dispositivi in Sophos Central.

Sophos Central Endpoint Protection: attivare questa impostazione se si desidera gestire i criteri degli endpoint in Sophos Central. In alternativa, è possibile gestire i criteri degli endpoint in Sophos Firewall.

Limita SSID ai dispositivi gestiti da Sophos: quando un dispositivo non gestito si connette all'SSID, dopo l'autenticazione si stabilisce che il dispositivo non è gestito e viene visualizzata una landing page, che è necessario configurare. Il dispositivo viene collocato dietro a un walled garden. Il comportamento di questo dispositivo è simile a quello di uno stato di Security Heartbeat rosso. Il dispositivo è autorizzato ad accedere solo ai siti web di Sophos o agli URL e agli indirizzi IP inseriti nella lista di elementi consentiti.

Un dispositivo gestito è un dispositivo mobile o endpoint protetto da Sophos.

Quando si attiva questa opzione, viene visualizzata la configurazione della landing page. Inserire le seguenti informazioni:

  • Titolo pagina
  • Testo di benvenuto
  • Messaggio da visualizzare
  • Logo dell'azienda

Domini consentiti: Immettere qui i domini, oltre a qualsiasi dominio .sophos.com, ai quali si desidera che i client possano accedere quando hanno uno stato di Synchronized Security rosso. Questi domini saranno accessibili anche dai dispositivi non gestiti, se è stata attivata l'impostazione Limita SSID ai dispositivi gestiti da Sophos. Sono supportati sia gli indirizzi IP che i nomi di dominio.

SSID nascosto: Nasconde l'SSID per le scansioni di rete. Quando viene nascosto, l'SSID rimane disponibile, ma l'utente deve conoscere il nome dell'SSID per connettersi direttamente. Anche se un SSID è nascosto, può essere assegnato a un access point.

Nota Non si tratta di una funzionalità di sicurezza. Gli SSID nascosti avranno comunque bisogno di essere protetti.

Isolamento del client: Blocca la comunicazione tra i client che utilizzano la stessa frequenza radio. Questa opzione può essere utile per reti guest oppure hotspot.

Filtraggio MAC: Offre funzionalità di sicurezza minime, limitando le connessioni Media Access Control (MAC).

  • Nessuna: nessuna restrizione per gli indirizzi MAC.
  • Elenco Bloccati: saranno autorizzati tutti gli indirizzi MAC, eccetto quelli specificati qui.
  • Elenco Consentiti: saranno bloccati tutti gli indirizzi MAC, eccetto quelli specificati qui.

Connessione client

LAN: Crea un bridge che connette una rete wireless alla rete di un access point. I client wireless condividono lo stesso intervallo di indirizzi IP.

VLAN: Il traffico del client viene diretto verso VLAN specifiche. Lo switch dell'uplink deve essere configurato in modo da accettare pacchetti VLAN.

Assegnazione VLAN RADIUS: Separa gli utenti senza bisogno di SSID multipli. Disponibile con modalità di cifratura WPA/WPA2 Enterprise.

Agli utenti verrà assegnata una VLAN fornita da un server RADIUS. Il traffico sarà considerato non assegnato, se il server RADIUS non offre VLAN.

Nota IPv6 è bloccato negli SSID, se è abilitata la VLAN dinamica. Se IPv6 non venisse bloccato, i dispositivi rischierebbero di avere indirizzi IPv6 e gateway multipli da VLAN diverse.

Abilita rete guest: Abilita una rete guest. Una rete guest offre una rete isolata per i client che prevede alcune restrizioni in termini di traffico. Gli access point possono avere solo una rete guest alla volta. Sono disponibili le seguenti modalità:

Modalità bridge: utilizza il server DHCP della stessa subnet.

Filtra tutto il traffico e autorizza solamente la comunicazione con il gateway, il server DNS e le reti esterne. È possibile aggiungere una rete guest a un ambiente senza VLAN e ottenere comunque un isolamento. Siccome il server DHCP sarà comunque situato all'interno della rete, il roaming tra access point continuerà a essere possibile.

Nota Utilizzando VLAN per la rete guest, è possibile utilizzare un'ulteriore VLAN guest, in aggiunta alla rete guest.

Modalità NAT: utilizza il server DHCP integrato nell'access point. Questa opzione consente di fornire IP locali isolati ai client della rete guest. I client non possono rilevare la struttura interna di indirizzi IP.

In modalità NAT, un server DNS è facoltativo per un indirizzo client. Se il server non dovesse assegnare un indirizzo DNS al client, quest'ultimo riceverà lo stesso indirizzo DNS dell'access point.

La modalità bridge presenta un throughput più elevato, mentre la modalità NAT offre un maggiore livello di isolamento.

Disponibilità della rete

È possibile definire SSID che siano disponibili solamente a orari del giorno oppure in giorni della settimana specifici. Negli altri orari gli SSID non saranno visibili.

Sempre: Selezionare questa opzione per rendere l'SSID sempre disponibile.

Pianificato: Selezionare i giorni della settimana e gli intervalli di tempo in cui la rete deve essere disponibile.

Qualità del servizio (QoS)

Configurazione delle impostazioni per l'ottimizzazione della rete.

Conversione da multicast a unicast: Ottimizza i pacchetti multicast, convertendoli in pacchetti unicast. L'access point converte i pacchetti multicast in pacchetti unicast individualmente per ciascun client, in base all'Internet Group Management Protocol (IGMP).

Questo approccio risulta particolarmente efficace quando sono presenti pochi client connessi a un unico access point.

La conversione in unicast è preferibile per lo streaming, in quanto è in grado di supportare tassi di throughput più elevati.

Proxy ARP: Consente all'access point di rispondere alle richieste Address Resolution Protocol (ARP) rivolte ai client wireless connessi.

Roaming veloce: Ottimizza la rapidità del roaming durante il passaggio tra i vari access point. Gli SSID con cifratura WPA2 utilizzeranno lo standard IEEE 802.11r per ridurre i tempi di roaming (con autenticazione aziendale). È applicabile quando lo stesso SSID è assegnato ad access point diversi. Anche i client devono supportare lo standard IEEE 802.11r.

Continua a trasmettere: Garantisce che l'access point continui a trasmettere quando non è in grado di riconnettersi a Sophos Central in seguito a un riavvio. Quando è attivata questa opzione, i client saranno ancora in grado di connettersi all'access point e/o a internet e l'access point opererà in base alla configurazione precedente.

Nota L'SSID verrà trasmesso in qualsiasi caso di interruzione della connessione a Sophos Central, indipendentemente dal fatto che questa funzione sia stata abilitata o meno.

Band steering: Distribuisce i client tra le bande 2,4 GHz e 5 GHz, in base al carico delle due bande e alla capacità dei client. Se le circostanze lo consentono, i client wireless con funzione dual-band vengono instradati sulla banda a 5 GHz, per migliorare l'esperienza client. Ciò avviene rifiutando la richiesta iniziale di associazione inviata dal client per la banda 2,4 GHz. Un client dual-band tenterà quindi di negoziare per la banda 5 GHz. Se un dispositivo non dovesse riuscire ad associarsi alla banda 5 GHz, verrà contrassegnato come "non adatto allo steering" e non verrà più instradato su questa banda. Se un client è troppo distante dall'access point, non verrà effettuato alcun tentativo di routing. Viene così impedito il routing dei client sulla banda a 5 GHz, dove solitamente la copertura è inferiore rispetto a quella della banda a 2,4 GHz. Il band steering viene effettuato a livello dei singoli access point e influisce su tutti gli SSID dell'access point in questione.

Captive Portal

Attivazione e configurazione di un hotspot.

Abilita hotspot: Trasforma l'SSID in un hotspot. Questa opzione consente a bar, hotel o aziende di fornire agli utenti guest accesso a internet, imponendo limitazioni di tempo e traffico.

Avvertenza In molti paesi gli hotspot pubblici devono attenersi a leggi nazionali specifiche, che limitano l'accesso a siti web dai contenuti legalmente discutibili. Ad es. siti di condivisione di file o siti che promuovono ideologie estremiste.

Titolo pagina: È possibile specificare un titolo per la pagina di destinazione. Verrà visualizzato dopo che l'utente ha accettato i termini di servizio.

Testo di benvenuto: È possibile definire il testo di benvenuto della pagina di destinazione.

Termini e condizioni di servizio: Gli utenti devono accettare termini e condizioni di servizio prima di poter procedere con l'autenticazione.

Autenticazione backend: Questo tipo di autenticazione permette agli utenti di autenticarsi tramite RADIUS (Remote Authentication Dial-In User Service).

Nota L’autenticazione backend richiede la presenza del criterio PAP (Password Authentication Protocol) sul server RADIUS. Tutte le credenziali degli utenti trasmesse al server RADIUS verranno cifrate con connessione HTTPS da Sophos Central.

Pianificazione password: È possibile creare automaticamente una nuova password a intervalli di tempo prestabiliti. Se la pianificazione è impostata su base settimanale o mensile, è anche possibile selezionare un giorno della settimana o una settimana specifica. La password precedente scadrà all'orario e alla data pianificati, e le sessioni attualmente in corso saranno chiuse. La nuova password verrà inviata come notifica agli indirizzi e-mail specificati.

Voucher: Con questo tipo di hotspot è possibile generare voucher con limitazioni di tempo, da stampare e fornire ai clienti. Dopo aver inserito l'apposito codice, gli utenti potranno accedere direttamente a internet.

Accesso con social media: Questa opzione consente agli utenti di effettuare l'autenticazione mediante i loro account sui social media. Possono utilizzare i loro account Facebook o Google. Per impostare l'autenticazione con Google, visitare la Google Developer Console e recuperare l'ID client e il Secret per Google. Immettere qui queste informazioni. Per impostare l'autenticazione con Facebook, visitare il proprio Account sviluppatore di Facebook e recuperare l'ID dell'applicazione e il Secret per Facebook. Immettere qui queste informazioni.

Per recuperare l'ID client di Google dalla Google Developer Console, occorre procedere come segue:

  1. Creare un nuovo progetto.
  2. Accedere alla schermata Consenso OAuth e immettere il nome dell'applicazione. In questo campo è possibile inserire qualsiasi informazione. Immettere quindi il dominio autorizzato, che deve essere "myapsophos.com".
  3. Aprire Credenziali > Crea credenziali > ID client OAuth.
  4. Sotto Tipo di applicazione, selezionare Applicazione web.
  5. Sotto "Limitazioni", immettere le Origini JavaScript autorizzate e gli URI di reindirizzamento autorizzati come indicato di seguito.

    Origini JavaScript autorizzate: https://www.myapsophos.com:8443

    URI di reindirizzamento autorizzati: https://www.myapsophos.com:8443/hotspot.cgi

Nota Se un utente accede con un account di social media, gli verrà chiesto di accettare il certificato e proseguire. Per svolgere questa operazione, dovrà cliccare sul pulsante Google.
Nota Se un utente effettua l'autenticazione con un account di social media, non memorizzeremo informazioni di natura personale relative all'account in questione.

Timeout della sessione: limita il tempo di accesso a Internet degli utenti.

Timeout per le nuove richieste di accesso: abilitando questa opzione, si impedisce all'utente di effettuare nuovamente l'accesso alla rete per 24 ore dopo la connessione iniziale con social media.

Nota È possibile connettere un massimo di 8 dispositivi utilizzando lo stesso ID e-mail.

URL di reindirizzamento: È possibile selezionare l’URL sul quale saranno reindirizzati gli utenti dalla pagina di destinazione. Gli utenti possono essere reindirizzati sul sito web di default del dispositivo mobile, oppure su un sito specifico a scelta. Ad esempio, la pagina aziendale.