Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=wireless-SSID-settings-advanced

Configuración avanzada de SSID

Configure la seguridad, la autenticación back-end, la conexión de cliente, la calidad del servicio, la disponibilidad de la red y el portal cautivo.

Vaya a Mis productos > Wireless > SSID y haga clic en Configuración avanzada.

Seguridad

Defina opciones de configuración para hacer más segura su red.

Seguridad Sincronizada

Restricción

Disponible solo para APX 320, APX 530 y APX 740.

Active la Seguridad Sincronizada para asegurarse de que los clientes con Sophos Endpoint Protection y Sophos Mobile Protection puedan comunicarse con puntos de acceso Sophos Central Wireless. Si activa la Seguridad Sincronizada tanto en Sophos Firewall como en Sophos Central Wireless, la configuración de Sophos Firewall tiene prioridad.

La Seguridad Sincronizada clasifica los dispositivos por su estado de seguridad. Los dispositivos deben estar protegidos con Sophos Endpoint Protection o Sophos Mobile según corresponda. Los administradores pueden configurar reglas para administrar los dispositivos. Si los dispositivos incumplen estas reglas, el software informa de la amenaza y el estado de Security Heartbeat del dispositivo lo refleja. Security Heartbeat clasifica los dispositivos en una de las siguientes categorías:

  • Protegido (verde): El dispositivo se encuentra en buen estado y se permite todo el tráfico.
  • El cliente podría estar en riesgo (amarillo): Hay una aplicación no deseada (PUA) o malware inactivo en el dispositivo. Se permite todo el tráfico.
  • Cliente en riesgo (rojo): El dispositivo tiene malware o ransomware activo. Se bloquea todo el tráfico de Internet. Solo se permite el tráfico procedente del entorno de navegación seguro (jardín vallado o lista de URL seguras).
  • Sin Security Heartbeat: Esto solo se aplica a las estaciones de trabajo. Indica que el dispositivo está conectado, pero hace 90 segundos que la estación de trabajo no envía un latido de Security Heartbeat.
  • No disponible: Sophos Endpoint o Sophos Mobile Control no está instalado en los dispositivos de la lista.

Puede seleccionar las siguientes opciones de Seguridad Sincronizada para sus dispositivos:

  • Sophos Mobile (UEM): está activado por defecto. Permite que los dispositivos móviles administrados por Sophos envíen información de Heartbeat. También puede administrar políticas para estos dispositivos en Sophos Central.

    Nota

    Para evitar que los dispositivos con un estado rojo accedan a la red, debe configurar el Control de acceso a la red para su dispositivo móvil en Sophos Wireless. Vaya a Mobile > Configuración > Configuración de Sophos > Control de acceso a la red y seleccione Sophos Wireless.

  • Sophos Central Endpoint Protection: active esta opción si desea administrar políticas de estaciones de trabajo en Sophos Central. También puede administrar políticas de estaciones de trabajo en Sophos Firewall.

  • Limitar SSID a dispositivos administrados por Sophos: cuando un dispositivo no administrado se conecta al SSID, después de la autenticación, determinamos que el dispositivo no esté administrado, lo colocamos en un jardín vallado y mostramos una página de destino, que debe configurar. El comportamiento de este dispositivo es similar a tener un estado de Security Heartbeat de color rojo. El dispositivo solo puede acceder a los sitios web de Sophos o a las URL e IP que estén en la lista de permitidos.

Un dispositivo administrado es un dispositivo móvil o endpoint protegido por Sophos.

Puede ver la configuración de la página de destino cuando activa esta opción. Introduzca la información siguiente:

  • Título de página
  • Texto de bienvenida
  • Mensaje que aparecerá

SSID oculto

Oculta el SSID para escaneados de red. El SSID sigue estando disponible cuando está oculto, pero debe conocer el nombre para conectarse directamente. Aunque se oculte el SSID, se puede asignar a un punto de acceso.

Nota

Ocultar el SSID no es una función de seguridad. Debe proteger los SSID ocultos de todas formas.

Aislamiento de cliente

Esta opción bloquea la comunicación entre clientes dentro de la misma radiofrecuencia. Esto puede resultar útil en una red de invitado o zona Wi‑Fi.

Filtrado MAC

Proporciona una seguridad mínima restringiendo las conexiones de direcciones de Media Access Control (MAC).

  • Ninguno: No hay restricciones en las direcciones MAC.
  • Lista de bloqueados: Se bloquean todas las direcciones MAC que introduzca aquí.
  • Lista de permitidos: Se permiten todas las direcciones MAC que introduzca aquí.

Jardín vallado

Introduzca aquí los dominios a los que desea que los clientes sigan teniendo acceso, junto con cualquier dominio .sophos.com, cuando tengan un estado de Seguridad Sincronizada de color rojo. Estos dominios también serán accesibles por dispositivos no administrados si ha activado Limitar SSID a dispositivos administrados por Sophos. Se admiten tanto direcciones IP como nombres de dominio.

Conexión de cliente

Red local

Conecte el tráfico de la red inalámbrica a la LAN. Los dispositivos inalámbricos comparten el mismo rango de direcciones IP.

Red VLAN

Dirige el tráfico de dispositivos inalámbricos a VLAN específicas. Debe configurar los dispositivos de red de bajada para que acepten paquetes VLAN.

Asignación VLAN de RADIUS

Separa los usuarios sin tener varios SSID. Disponible con modos de cifrado empresarial.

El punto de acceso etiqueta a los usuarios a una VLAN proporcionada por un servidor RADIUS. El tráfico no se etiqueta si el servidor RADIUS no proporciona una VLAN.

Nota

Si activa la VLAN dinámica para un SSID, IPv6 se bloquea. Si IPv6 no está bloqueado, los dispositivos inalámbricos pueden terminar con múltiples direcciones y puertas de enlace IPv6 de varias VLAN.

Activar red de invitado

Restricción

Disponible solo para puntos de acceso de las series AP y APX.

Esta opción activa una red de invitado. Una red de invitado ofrece una red aislada para dispositivos inalámbricos con determinadas restricciones de tráfico. Los puntos de acceso no pueden tener más de una red de invitado simultáneamente. Están disponibles los siguientes modos:

Modo puente

utiliza el servidor DHCP de la misma subred.

Filtra todo el tráfico y solo permite la comunicación con la puerta de enlace, el servidor DNS y las redes externas. Puede añadir una red de invitado a un entorno sin VLAN y seguir teniendo aislamiento de clientes. Como el servidor DHCP aún está en su red, la itinerancia entre puntos de acceso funcionará.

Nota

Puede tener redes de invitados separadas utilizando VLAN para su red de invitado.

Modo de NAT

utiliza el servidor DHCP integrado en el punto de acceso. Esto proporciona IP locales aisladas a los dispositivos inalámbricos de la red de invitado. Los dispositivos no conocen la estructura interna de las direcciones IP.

En el modo NAT, un servidor DNS es opcional para que un dispositivo inalámbrico obtenga una dirección IP. Si un servidor DNS no asigna una dirección al dispositivo inalámbrico, se le asignará la misma dirección DNS que al punto de acceso.

El modo puente tiene un rendimiento superior, mientras que el modo de NAT ofrece un mayor aislamiento.

Disponibilidad de red

Defina los SSID que solo están disponibles a una determinada hora del día o ciertos días a la semana. Los SSID no son visibles el resto del tiempo.

  • Siempre: Seleccione esta opción para que el SSID esté disponible en todo momento.
  • Programado: Seleccione los días y las horas en que desea que la red esté disponible.

Calidad del servicio

Configure las opciones para optimizar su red.

Conversión de multidifusión a unidifusión

Optimiza los paquetes de multidifusión a paquetes de unidifusión. El punto de acceso convierte individualmente los paquetes de multidifusión en paquetes de unidifusión para cada dispositivo inalámbrico en función del IGMP.

Funciona mejor cuando se conectan menos dispositivos inalámbricos a un punto de acceso.

La conversión a unidifusión es preferible para la transmisión multimedia, ya que puede funcionar con tasas de rendimiento superiores.

Proxy ARP

Permite al punto de acceso responder a las solicitudes del Protocolo de resolución de direcciones (ARP) dirigidas a los dispositivos inalámbricos conectados.

Itinerancia rápida

Optimiza los tiempos de itinerancia al cambiar entre diferentes puntos de acceso. Los SSID con cifrado WPA2 utilizan el estándar IEEE 802.11r para reducir los tiempos de itinerancia (con autenticación de empresa). Se aplica cuando se asigna el mismo SSID a diferentes puntos de acceso. Además, los dispositivos inalámbricos deben ser compatibles con el estándar IEEE 802.11r.

Seguir transmitiendo

Cuando un punto de acceso no se puede conectar a Sophos Central, deja de transmitir los SSID configurados si se reinicia. Seleccione Seguir transmitiendo para permitir que el punto de acceso continúe transmitiendo sus SSID configurados tras un reinicio, aunque no pueda conectarse a Sophos Central. El punto de acceso funciona con su última configuración conocida hasta que restaura su conexión con Sophos Central. Los dispositivos inalámbricos pueden seguir conectándose y accediendo a todos los recursos internos y externos configurados.

Nota

Esta función está siempre activada para los puntos de acceso de la serie AP6. No se puede desactivar.

Direccionamiento de banda

El direccionamiento de banda detecta los dispositivos inalámbricos capaces de funcionar a 5 GHz y los conecta a esa frecuencia. De este modo, la banda de frecuencia de 2,4 GHz, más saturada, queda a disposición de los dispositivos inalámbricos que solo pueden conectarse a ella. El punto de acceso rechaza la solicitud de asociación inicial enviada en la banda de 2,4 GHz. Esto hace que un dispositivo inalámbrico de doble banda intente negociar a 5 GHz. Si no se conecta en la banda de 5 GHz, el punto de acceso lo marca como "no apto para el direccionamiento" y no lo enrutará de nuevo. El punto de acceso no intentará el direccionamiento de banda si un dispositivo inalámbrico está demasiado lejos. Esto evita el enrutamiento a 5 GHz cuando el dispositivo inalámbrico no está dentro del alcance. El direccionamiento de banda se realiza a nivel de cada punto de acceso y afecta a todos los SSID de ese punto de acceso.

Nota

Debe configurar las bandas de frecuencia de 2,4 y 5 GHz de modo que utilicen el direccionamiento de banda.

Portal cautivo

Un portal cautivo obliga a los dispositivos a autenticarse antes de poder acceder a Internet.

Activar zona Wi‑Fi

Para activar el portal cautivo para los SSID, seleccione Activar zona Wi‑Fi.

Aviso

En muchos países operar una zona Wi‑Fi pública está sujeto a leyes nacionales específicas y se restringe el acceso a sitios web de contenido legalmente cuestionable (como páginas de intercambio de archivos o sitios web extremistas). Es posible que la legislación requiera que registre su zona Wi‑Fi con el organismo regulador nacional.

Una vez activado el portal cautivo, puede configurar las siguientes opciones del portal cautivo:

Página web de destino

Los puntos de acceso con la opción Activar zona Wi‑Fi seleccionada interceptan el tráfico HTTP y redirigen a los usuarios a una página predefinida, el portal cautivo. En él, los usuarios deben utilizar un método de autenticación configurado antes de acceder a las redes permitidas, por ejemplo, Internet. La página de destino es la primera página que verán los usuarios tras conectarse a la zona Wi‑Fi.

Puede personalizar la página de destino con un título y un texto de bienvenida. También puede crear términos de servicio personalizados que los usuarios deben aceptar antes de acceder a la red.

Tipos de autenticación

Los dispositivos inalámbricos deben autenticarse en el portal cautivo antes de acceder a Internet. Elija entre las siguientes opciones de autenticación:

  • Ninguna: Sin autenticación.

  • Autenticación de back-end: Permite la autenticación mediante un servidor RADIUS con PAP (protocolo de autenticación de contraseña).

    Nota

    La autenticación back-end requiere la política PAP (protocolo de autenticación de contraseña) en el servidor RADIUS. El punto de acceso cifra todas las credenciales de usuario transmitidas al servidor RADIUS con HTTPS.

  • Programación de contraseña: Crea una nueva contraseña automáticamente a diario, semanalmente o mensualmente. Cuando la contraseña caduca, el punto de acceso pone fin a todas las sesiones en curso y los usuarios deben autenticarse con la nueva contraseña. Si selecciona Notificar a todos los administradores, Sophos Central envía la nueva contraseña como notificación a todos los administradores de Sophos Central y a las direcciones de correo electrónico especificadas en Otros usuarios.

  • Credenciales de redes sociales: Permite la autenticación mediante cuentas de redes sociales. No almacenamos ninguna información de la cuenta. Puede elegir entre las siguientes opciones:

    • Google: Seleccione Activar para permitir a los usuarios iniciar sesión con sus credenciales de Google.

      Necesitará el ID de cliente y el secreto de cliente de Google de su organización. Para obtener esta información, haga lo siguiente:

      1. Inicie sesión en la consola para desarrolladores de Google.
      2. Haga clic en Credenciales y cree un nuevo proyecto.
      3. Haga clic en la pantalla de consentimiento de OAuth, seleccione el Tipo de usuario y haga clic en Crear.
      4. Rellene los campos requeridos en la pantalla de consentimiento de OAuth, haga clic en Añadir dominio e introduzca myapsophos.com como Dominio autorizado.
      5. Guarde los cambios.
      6. Haga clic en Credenciales, en Crear credenciales y en ID de cliente de OAuth.
      7. Elija Aplicación web como tipo de aplicación, escriba un nombre e introduzca la siguiente información para la serie de puntos de acceso que está utilizando:
      • Orígenes de JavaScript autorizados: https://www.myapsophos.com:8443
      • URI de redirección autorizados: https://www.myapsophos.com:8443/hotspot.cgi
      • Orígenes de JavaScript autorizados: https://www.myapsophos.com
      • URI de redirección autorizados: https://www.myapsophos.com

      Después de guardar los cambios, verá su ID de cliente y Secreto de cliente en la ventana Cliente de OAuth creado.

    • Facebook: Seleccione Activar para permitir a los usuarios iniciar sesión con sus credenciales de Facebook.

      Necesitará el ID de aplicación y el secreto de aplicación de Facebook de la cuenta de desarrollador de Facebook. Para obtener esta información, haga lo siguiente:

      1. Inicie sesión en el sitio para desarrolladores de Facebook.
      2. Haga clic en Mis aplicaciones y en Añadir nueva aplicación.
      3. Seleccione el tipo de aplicación y haga clic en Siguiente.
      4. Rellene los detalles requeridos y haga clic en Crear aplicación.
      5. Haga clic en Configuración y en Básico. Verá su ID de aplicación.
      6. Haga clic en Mostrar para ver su Secreto de aplicación.

    • Dominio autorizado: Puede establecer el dominio autorizado para Google y Facebook.

    • Tiempo de espera de sesión: Puede ajustar el tiempo de espera de sesión entre 1 hora y 24 horas.
    • Tiempo de espera de reinicio de sesión: Seleccione Activar para impedir que los usuarios inicien sesión en la red durante 24 horas después de autenticarse por primera vez.

    Nota

    Si un usuario inicia sesión con una cuenta de redes sociales, se le pedirá que acepte el certificado y continúe. Debe hacer clic en el botón de Google para hacerlo.

  • Cupón: Use cupones imprimibles con limitación de tiempo para la autenticación. Haga clic en Crear cupón para crear un nuevo cupón.

URL de redireccionamiento

Puede definir el comportamiento del portal cautivo después de que los usuarios se autentiquen. Puede enviar a los usuarios autenticados a la página que solicitaron inicialmente o a una URL personalizada. Las opciones son las siguientes:

  • URL de redirección: Elija una de las siguientes opciones:

    • Redireccionar a URL original: Redirige a los usuarios al sitio web al que querían llegar originalmente tras la autenticación.
    • URL personalizada: Redirige a los usuarios a un sitio web específico tras la autenticación. Introduzca la URL en el campo URL personalizada.

Más información