Vai al contenuto

Impostazioni avanzate per gli SSID

Configurazione di sicurezza, autenticazione backend, connessione client, qualità del servizio (QoS), disponibilità della rete e Captive Portal.

Aprire Prodotti > Wireless > SSID e cliccare su Impostazioni avanzate.

Sicurezza

Definizione di impostazioni che contribuiscano a incrementare la sicurezza della rete.

Synchronized Security

Restrizione

Disponibile solo per APX 320, APX 530 e APX 740.

Attivare Synchronized Security per abilitare la comunicazione dei client di Sophos Endpoint Protection e Sophos Mobile Protection con gli access point di Sophos Central Wireless. Se Synchronized Security è attivata sia in Sophos Firewall che in Sophos Central Wireless, le impostazioni di Sophos Firewall assumeranno la priorità.

Synchronized Security classifica i dispositivi in base allo stato di sicurezza. I dispositivi devono essere protetti con Sophos Endpoint Protection o Sophos Mobile, a seconda del caso. Gli amministratori possono impostare regole per la gestione dei dispositivi. Se i dispositivi violano queste regole, il software segnala la minaccia e il Security Heartbeat del dispositivo ne riflette lo stato. Security Heartbeat classifica i dispositivi come segue:

  • Protetto (verde): il dispositivo ha uno stato di integrità buono e tutto il traffico è autorizzato.
  • Il client potrebbe essere a rischio (giallo): è stato rilevato malware non attivo o un’applicazione potenzialmente indesiderata (PUA) sul dispositivo. Tutto il traffico è autorizzato.
  • Client a rischio (rosso): sul dispositivo ci sono malware o ransomware attivi. Tutto il traffico Internet è bloccato. Viene autorizzato solamente il traffico proveniente dall’ambiente di navigazione protetto (walled garden o elenco di URL sicuri).
  • Nessun Security Heartbeat: si applica solo ai computer endpoint. Indica che il dispositivo è connesso, ma che l’endpoint non invia un Security Heartbeat da 90 secondi.
  • Non disponibile: sui dispositivi elencati non è installata né Sophos Endpoint, né Sophos Mobile Control.

È possibile selezionare le seguenti opzioni di Synchronized Security per i dispositivi:

  • Sophos Mobile (UEM): opzione abilitata per impostazione predefinita. Permette ai dispositivi mobili gestiti da Sophos di inviare informazioni sul proprio heartbeat. È anche possibile gestire i criteri per questi dispositivi in Sophos Central.

    Nota

    Per impedire l’accesso alla rete ai dispositivi con stato rosso, è necessario impostare il controllo dell’accesso alla rete del dispositivo mobile su Sophos Wireless. Aprire Mobile > Impostazione > ImpostazioneSophos e selezionare Sophos Wireless.

  • Sophos Central Endpoint Protection: attivare questa impostazione se si desidera gestire i criteri degli endpoint in Sophos Central. In alternativa, è possibile gestire i criteri degli endpoint in Sophos Firewall.

  • Limita SSID ai dispositivi gestiti da Sophos: quando un dispositivo non gestito si connette al SSID, dopo l’autenticazione viene stabilito che il dispositivo non è gestito. Il dispositivo verrà collocato dietro a un walled garden e si aprirà una landing page, che deve essere configurata. Il comportamento di questo dispositivo è simile a quello di uno stato di Security Heartbeat rosso. Il dispositivo è autorizzato ad accedere solo ai siti web di Sophos o agli URL e agli indirizzi IP inseriti nella lista di elementi consentiti.

Un dispositivo gestito è un dispositivo mobile o endpoint protetto da Sophos.

La configurazione della landing page può essere visualizzata quando si attiva questa opzione. Inserire le seguenti informazioni:

  • Titolo pagina
  • Testo di benvenuto
  • Messaggio da visualizzare

SSID nascosto

Nasconde lo SSID per le scansioni di rete. Quando viene nascosto, il SSID rimane disponibile, ma l’utente deve conoscere il nome del SSID per connettersi direttamente. Un SSID può essere assegnato a un access point anche se viene nascosto.

Nota

Nascondere il SSID non è una funzionalità di protezione. I SSID nascosti avranno comunque bisogno di essere protetti.

Isolamento del client

Blocca la comunicazione tra i client che utilizzano la stessa frequenza radio. Questa opzione può essere utile per reti guest oppure hotspot.

Filtraggio MAC

Offre funzionalità di sicurezza minime, limitando le connessioni Media Access Control (MAC).

  • Nessuno: nessuna restrizione per gli indirizzi MAC.
  • Elenco Bloccati: tutti gli indirizzi MAC specificati qui sono bloccati.
  • Elenco Consentiti: tutti gli indirizzi MAC specificati qui sono autorizzati.

Walled garden

Specificare qui i domini ai quali si desidera che i client possano accedere quando hanno uno stato di Synchronized Security rosso, oltre a qualsiasi altro dominio .sophos.com. Questi domini saranno accessibili anche dai dispositivi non gestiti, se è stata attivata l’impostazione Limita SSID ai dispositivi gestiti da Sophos. Sono supportati sia gli indirizzi IP che i nomi di dominio.

Connessione client

LAN

Connettere il traffico di rete wireless alla LAN tramite bridge. I dispositivi wireless condividono lo stesso intervallo di indirizzi IP.

VLAN

Indirizza il traffico dai dispositivi wireless a VLAN specifiche. I dispositivi di rete in downstream devono essere configurati in modo che accettino pacchetti VLAN.

Assegnazione VLAN RADIUS

Separa gli utenti senza bisogno di SSID multipli. Disponibile con le modalità di cifratura Enterprise.

L’access point contrassegna gli utenti con i tag di una VLAN fornita da un server RADIUS. Il traffico sarà considerato non assegnato, se il server RADIUS non offre VLAN.

Nota

Se si attiva la VLAN dinamica per un SSID, IPv6 verrà bloccato. Se IPv6 non venisse bloccato, i dispositivi wireless rischierebbero di avere indirizzi IPv6 e gateway multipli, da VLAN diverse.

Abilita rete guest

Restrizione

Disponibile solo per gli access point AP e APX Series.

Abilita una rete guest. Una rete guest offre una rete isolata per i dispositivi wireless, con alcune restrizioni in termini di traffico. Gli access point possono avere solo una rete guest alla volta. Sono disponibili le seguenti modalità:

Modalità bridge

utilizza il server DHCP della stessa subnet.

Filtra tutto il traffico e autorizza solamente la comunicazione con il gateway, il server DNS e le reti esterne. È possibile aggiungere una rete guest a un ambiente senza VLAN e ottenere comunque l’isolamento del client. Il server DHCP sarà comunque situato all’interno della rete, per cui il roaming tra access point continuerà a essere possibile.

Nota

È possibile impostare reti guest separate, utilizzando la VLAN per la rete guest.

Modalità NAT

utilizza il server DHCP integrato nell'access point. In questo modo verranno forniti IP locali isolati ai dispositivi wireless sulla rete guest. I dispositivi non hanno accesso allo schema interno degli IP.

In modalità NAT, un server DNS non è obbligatorio per permettere a un dispositivo wireless di ottenere un indirizzo IP. Se il server DNS non dovesse assegnare un indirizzo al dispositivo wireless, quest’ultimo riceverà lo stesso indirizzo DNS dell’access point.

La modalità bridge presenta un throughput più elevato, mentre la modalità NAT offre un maggiore livello di isolamento.

Disponibilità della rete

È possibile definire SSID che siano disponibili solamente a orari del giorno oppure in giorni della settimana specifici. Negli altri orari i SSID non saranno visibili.

  • Sempre: Selezionare questa opzione per rendere il SSID sempre disponibile.
  • Pianificato: Selezionare i giorni e gli orari in cui si desidera che la rete sia disponibile.

Qualità del servizio (QoS)

Configurazione delle impostazioni per l'ottimizzazione della rete.

Conversione da multicast a unicast

Ottimizza i pacchetti multicast, convertendoli in pacchetti unicast. L’access point converte individualmente i pacchetti multicast in pacchetti unicast per ciascun dispositivo wireless, in base all’IGMP.

Questo approccio risulta particolarmente efficace quando sono presenti pochi dispositivi wireless connessi a un unico access point.

La conversione in unicast è preferibile per lo streaming, in quanto è in grado di supportare tassi di throughput più elevati.

Proxy ARP

Consente all’access point di rispondere alle richieste Address Resolution Protocol (ARP) rivolte ai dispositivi wireless connessi.

Roaming veloce

Ottimizza la rapidità del roaming durante il passaggio tra i vari access point. Gli SSID con cifratura WPA2 utilizzeranno lo standard IEEE 802.11r per ridurre i tempi di roaming (con autenticazione aziendale). È applicabile quando viene assegnato lo stesso SSID ad access point diversi. Anche i dispositivi wireless devono supportare lo standard IEEE 802.11r.

Continua a trasmettere

Quando un access point non riesce a connettersi a Sophos Central e viene riavviato, interrompe la trasmissione degli SSID configurati. Selezionare Continua a trasmettere per permettere all’access point di continuare a trasmettere i propri SSID configurati, dopo un riavvio, anche se non è in grado di connettersi a Sophos Central. L’access point utilizzerà l’ultima configurazione nota fino a quando non verrà ripristinata la connessione a Sophos Central. I dispositivi wireless continuano a essere in grado di connettersi e accedere a tutte le risorse interne ed esterne configurate.

Nota

Questa funzionalità è sempre attiva per gli access point AP6 Series. Non può essere disattivata.

Deviazione di banda

La deviazione di banda rileva i dispositivi wireless in grado di operare a 5 GHz e li connette a tale frequenza. Questo accorgimento rende disponibile la banda di frequenza 2,4 GHz (caratterizzata da un traffico più intenso) per i dispositivi wireless che possono connettersi solo a questa frequenza. L’access point rifiuterà la richiesta iniziale di associazione inviata sulla banda 2,4 GHz. Un dispositivo wireless dual-band tenterà quindi di negoziare per la banda 5 GHz. Se non si connette sulla banda 5 GHz, l’access point contrassegnerà il dispositivo come “inadatto alla deviazione” ed eviterà di instradarlo di nuovo. L’access point non tenterà la deviazione di banda se un dispositivo wireless è troppo lontano. Questo impedisce il routing su 5 GHz quando il dispositivo wireless non si trova nel raggio d’azione. La deviazione di banda viene effettuata a livello dei singoli access point e influisce su tutti i SSID dell’access point interessato.

Nota

È necessario configurare le bande di frequenza a 2,4 e 5 GHz per l’uso della deviazione di banda.

Captive portal

Un captive portal obbliga i dispositivi ad autenticarsi prima che possano accedere a Internet.

Abilita hotspot

Per attivare il captive portal per i propri SSID, selezionare Abilita hotspot.

Avviso

In molti paesi gli hotspot pubblici devono attenersi a leggi nazionali specifiche, che limitano l’accesso a siti web dai contenuti legalmente discutibili, ad es. siti di condivisione di file, siti che promuovono ideologie estremiste. Le normative legali potrebbero esigere la registrazione dell’hotspot all’ente di regolamentazione nazionale.

Una volta attivato il captive portal, è possibile configurare le seguenti opzioni del captive portal:

Landing page

Gli access point nei quali è selezionata l’opzione Abilita hotspot intercettano il traffico HTTP e reindirizzano gli utenti a una pagina predefinita, il captive portal. In questa pagina gli utenti devono utilizzare un metodo di autenticazione configurato per poter accedere alle reti consentite, ad es. Internet. La landing page è la prima pagina che l’utente vede dopo la connessione all’hotspot.

La landing page può essere personalizzata con un titolo e un testo di benvenuto. È anche possibile creare termini e condizioni di servizio personalizzati, che gli utenti devono accettare prima di accedere alla rete.

Tipi di autenticazione

I dispositivi wireless devono autenticarsi nel captive portal prima di accedere a Internet. Selezionare tra le seguenti opzioni di autenticazione:

  • Nessuna: Nessuna autenticazione.
  • Autenticazione backend: Permette di effettuare l'autenticazione tramite un server RADIUS con PAP (Password Authentication Protocol).

    Nota

    L’autenticazione backend richiede la presenza del criterio PAP (Password Authentication Protocol) sul server RADIUS. L’access point cifra tutte le credenziali degli utenti che vengono trasmesse al server RADIUS con HTTPS.

  • Pianificazione password: Crea automaticamente una nuova password ogni giorno, settimana o mese. Alla scadenza della password, l’access point chiuderà tutte le sessioni attuali e gli utenti dovranno autenticarsi con la nuova password. Se si seleziona Invia notifica a tutti gli amministratori, Sophos Central invierà la nuova password come notifica a tutti gli amministratori di Sophos Central e a qualsiasi indirizzo e-mail specificato in Altri utenti.

  • Accesso con social media: Consente l’autenticazione con account di social media. Non conserviamo alcuna informazione dell’account. È possibile scegliere tra i seguenti provider:

    • Google: Selezionare Abilita per permettere agli utenti di accedere con le proprie credenziali Google.

      Occorrerà l’ID client di Google e il Segreto client della propria organizzazione. Per ottenere queste informazioni, procedere come segue:

      1. Accedere alla Google Developer Console.
      2. Cliccare su Credenziali e creare un nuovo progetto.
      3. Cliccare su Schermata consenso OAuth, selezionare il Tipo di utente e cliccare su Crea.
      4. Compilare i campi obbligatori nella Schermata consenso OAuth, cliccare su Aggiungi dominio e aggiungere myapsophos.com come Dominio autorizzato.
      5. Salvare le modifiche.
      6. Cliccare su Credenziali, poi su Crea credenziali e successivamente su ID client OAuth.
      7. Scegliere Applicazione web come tipo di applicazione, inserire un nome e specificare le seguenti informazioni in base alla serie di access point che si usa:
      • Origini JavaScript autorizzate: https://www.myapsophos.com:8443
      • URI di reindirizzamento autorizzati: https://www.myapsophos.com:8443/hotspot.cgi
      • Origini JavaScript autorizzate: https://www.myapsophos.com
      • URI di reindirizzamento autorizzati: https://www.myapsophos.com

      Dopo aver salvato le modifiche, l’ID client e il Segreto client verranno visualizzati nella finestra Client OAuth creato.

    • Facebook: Selezionare Abilita per permettere agli utenti di accedere con le proprie credenziali Facebook.

      Occorreranno l’ID app Facebook e il Segreto app dell’account sviluppatore di Facebook. Per ottenere queste informazioni, procedere come segue:

      1. Accedere al sito per sviluppatori di Facebook.
      2. Cliccare su Le mie app, quindi su Aggiungi nuova app.
      3. Selezionare un tipo di app e cliccare su Avanti.
      4. Inserire i dettagli richiesti e cliccare su Crea app.
      5. Cliccare su Impostazioni, quindi su Impostazioni di base. È possibile vedere il proprio ID app.
      6. Cliccare su Mostra per visualizzare il Segreto dell’app.
    • Dominio autorizzato: È possibile impostare il dominio autorizzato per Google e Facebook.

    • Timeout della sessione: È possibile impostare il timeout della sessione su un orario compreso tra 1 ora e 24 ore.
    • Timeout per le nuove richieste di accesso: Selezionare Abilita per impedire agli utenti di accedere alla rete per 24 ore dopo che hanno effettuato l’autenticazione per la prima volta.

    Nota

    Se un utente accede con un account di social media, gli verrà chiesto di accettare il certificato e proseguire. Per svolgere questa operazione, dovrà cliccare sul pulsante Google.

  • Voucher: Utilizza per l’autenticazione voucher stampabili con limiti di tempo. Cliccare su Crea voucher per definire un nuovo voucher.

URL di reindirizzamento

È possibile impostare il comportamento del captive portal dopo l’autenticazione degli utenti. Gli utenti che effettuano l’autenticazione possono essere indirizzati alla pagina inizialmente richiesta oppure a un URL personalizzato. Le opzioni sono le seguenti:

  • URL di reindirizzamento: Selezionare tra le seguenti opzioni:

    • Reindirizza sull’URL originale: Dopo l'autenticazione degli utenti, li reindirizza sul sito web che desideravano visitare originariamente.
    • URL personalizzato: Dopo l’autenticazione degli utenti, li reindirizza su un sito web specifico. Immettere l’URL nel campo URL personalizzato.

Maggiori informazioni