Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=wireless-SSID-settings-advanced

Configurações de SSID avançadas

Configure a segurança, autenticação de backend, conexão cliente, qualidade do serviço (QoS), disponibilidade de rede e portal cativo.

Vá para Meus produtos > Wireless > SSIDs e clique em Configurações avançadas.

Segurança

Defina configurações para deixar a sua rede mais segura.

Segurança Sincronizada

Restrição

Disponível apenas para APX 320, APX 530 e APX 740.

Ative a Segurança Sincronizada para assegurar que clientes com Sophos Endpoint Protection e Sophos Mobile Protection possam se comunicar com pontos de acesso do Sophos Central Wireless. Se você ativar a Segurança Sincronizada no Sophos Firewall e no Sophos Central, as configurações do Sophos Firewall terão precedência.

A Segurança Sincronizada categoriza os dispositivos por seu status de segurança. Você deve proteger os dispositivos com o Sophos Endpoint Protection ou Sophos Mobile, conforme apropriado. Os administradores podem definir regras para gerenciar os dispositivos. Se os dispositivos quebrarem essas regras, o software informará a ameaça e o status da integridade de segurança do dispositivo refletirá isso. O Security Heartbeat categoriza os dispositivos em:

  • Protegido (verde): O endpoint está íntegro e todo o tráfego está fluindo.
  • O cliente pode estar em risco (amarelo): Existe um aplicativo potencialmente indesejado (PUA) ou um malware inativo no dispositivo. Todo o tráfego está fluindo.
  • Cliente em risco (vermelho): O dispositivo tem malware ou ransomware ativo. Todo o tráfego da Internet está bloqueado. Somente o tráfego de um ambiente de navegação segura (Jardim Murado ou lista de URLs seguras) é permitido.
  • Sem Security Heartbeat: Aplica-se somente a computadores de endpoint. Indica que o dispositivo está conectado, mas o endpoint não tem enviado sinal de integridade por 90 segundos.
  • Não disponível: O Sophos Endpoint ou Sophos Mobile Control não está instalado nos dispositivos listados.

Você pode selecionar as seguintes opções da Segurança Sincronizada para seus dispositivos:

  • Sophos Mobile (UEM): Ativado por default. Permite que dispositivos móveis gerenciados pela Sophos enviem informações do Heartbeat. Você também pode gerenciar políticas para esses dispositivos no Sophos Central.

    Nota

    Para impedir que dispositivos com integridade vermelha acessem a rede, você deve definir o Controle de acesso à rede do seu dispositivo móvel como Sophos Wireless. Vá para Dispositivo móvel > Configuração > Configuração Sophos > Controle de acesso de rede e selecione Sophos Wireless.

  • Sophos Central Endpoint Protection: Ative se quiser gerenciar políticas de endpoints no Sophos Central. Como alternativa, você pode gerenciar políticas de endpoints no Sophos Firewall.

  • Restrinja o SSID a Dispositivos Gerenciados Sophos: Quando um dispositivo não gerenciado se conecta ao SSID, após a autenticação, determinamos que o dispositivo não é gerenciado, colocamos o dispositivo atrás de um jardim murado e exibimos uma página inicial, que você precisa configurar. O comportamento do dispositivo é semelhante a ter um status de heartbeat de segurança vermelho. O dispositivo tem permissão para acessar apenas sites da Sophos ou URLs e IPs que estão na lista de permitidos.

Um dispositivo gerenciado é um dispositivo móvel ou endpoint protegido pela Sophos.

Você pode ver a configuração da página inicial quando ativa essa opção. Insira as informações a seguir:

  • Título da página
  • Texto de boas-vindas
  • Mensagem a ser exibida

SSID oculto

Oculta o SSID nas varreduras de rede. O SSID permanece disponível quando está oculto, mas você precisa saber o nome do SSID para se conectar diretamente. Mesmo que você oculte o SSID, você pode atribuir o SSID a um ponto de acesso.

Nota

Ocultar o SSID não é um recurso de segurança. Você ainda precisará proteger os SSIDs ocultos.

Isolamento de cliente

Bloqueia a comunicação entre clientes na mesma frequência de rádio. Isso é útil em uma rede de convidado ou hotspot.

Filtragem de MAC

Fornece uma segurança mínima ao restringir as conexões de endereços MAC (Media Access Control).

  • Nenhuma: Sem restrições em endereços MAC.
  • Lista de bloqueados: Todos os endereços MAC inseridos aqui são bloqueados.
  • Lista de permitidos: Todos os endereços MAC inseridos aqui são permitidos.

Jardim Murado

Digite aqui os domínios que você ainda deseja que os clientes acessem, juntamente com quaisquer domínios .sophos.com, quando tiverem um status de Segurança Sincronizada vermelho. Esses domínios também serão acessíveis por dispositivos não gerenciados se você tiver ativado Restrinja o SSID a Dispositivos Gerenciados Sophos. São suportados endereços de IP e nomes de domínio.

Conexão de Cliente

LAN

Faça a ponte do tráfego da rede sem fio à LAN. Os dispositivos sem fio compartilham o mesmo intervalo de endereços IP.

VLAN

Direciona o tráfego dos dispositivos sem fio para VLANs específicas. Você deve configurar dispositivos de rede downstream para aceitar pacotes VLAN.

Designação de RADIUS VLAN

Separa os usuários sem precisar de vários SSIDs. Disponível com modos de criptografia empresarial.

O ponto de acesso marca os usuários com uma tag à VLAN fornecida por um servidor RADIUS. O tráfego tem a tag removida se o servidor RADIUS não fornecer a VLAN.

Nota

Se você ativar a VLAN dinâmica para um SSID, o IPv6 será bloqueado. Se o IPv6 não estiver bloqueado, os dispositivos sem fio poderão acabar com múltiplos endereços IPv6 e gateways provenientes de várias VLANs.

Habilitar a rede de convidado

Restrição

Disponível somente para pontos de acesso das séries AP e APX.

Habilita uma rede de convidado. Uma rede de convidado oferece uma rede isolada para os dispositivos sem fio com certas restrições de tráfego. Os pontos de acesso podem ter apenas uma rede de convidado por vez. Os seguintes modos estão disponíveis:

Modo de ponte

Usa o servidor DHCP oriundo da mesma sub-rede.

Ele filtra todo o tráfego e permite a comunicação apenas com o gateway, o servidor DNS e as redes externas. Você pode adicionar uma rede de convidado a um ambiente sem VLAN e manter o isolamento do cliente. O servidor DHCP continua na sua rede, portanto, o roaming entre pontos de acesso funcionará.

Nota

Você pode ter redes de convidados separadas usando a VLAN para a sua rede de convidados.

Modo NAT

Usa o servidor DHCP interno no ponto de acesso. Isso fornece IPs locais isolados para os dispositivos sem fio na rede de convidados. Os dispositivos não estão cientes do esquema de IP interno.

No modo NAT, um servidor DNS é opcional para que um dispositivo sem fio obtenha um endereço IP. Se um servidor DNS não atribuir um endereço ao dispositivo sem fio, o mesmo endereço DNS do ponto de acesso será atribuído a ele.

O modo de ponte tem uma taxa de transferência mais alta, enquanto o modo NAT apresenta maior isolamento.

Disponibilidade de rede

Defina os SSIDs que estarão disponíveis apenas por um determinado período do dia ou por determinados dias da semana. Durante esse período, os SSIDs não ficam visíveis.

  • Sempre: Selecione para que o SSID esteja disponível todo o tempo.
  • Agendada: Selecione os dias e horários em que deseja que a rede esteja disponível.

Qualidade do serviço

Configure parâmetros para otimizar a sua rede.

Conversão multicast para unicast

Otimiza os pacotes multicast para pacotes unicast. O ponto de acesso converte individualmente os pacotes multicast em pacotes unicast para cada dispositivo sem fio com base no IGMP.

Isso funciona melhor quando há poucos dispositivos sem fio conectados a um ponto de acesso.

A conversão em unicast é a mais indicada para fluxos de mídia, pois pode operar a taxas de transferência mais altas.

ARP proxy

Capacita o ponto de acesso a responder às solicitações ARP (Address Resolution Protocol) destinadas aos dispositivos sem fio conectados.

Roaming rápido

Otimiza os tempos de roaming quando alterna entre diferentes pontos de acesso. Os SSIDs com criptografia WPA2 usam a norma IEEE 802.11r para reduzir o tempo de roaming (com autenticação Enterprise). Isso se aplica quando você atribui o mesmo SSID a diferentes pontos de acesso. Os dispositivos sem fio também precisam ser compatíveis com a norma IEEE 802.11r.

Manter transmissão

Quando um ponto de acesso não consegue se conectar ao Sophos Central, ele para de transmitir os SSIDs configurados se ele reiniciar. Selecione Manter transmissão para permitir que o ponto de acesso continue transmitindo seus SSIDs configurados após uma reinicialização, mesmo que não consiga se conectar ao Sophos Central. O ponto de acesso opera com a sua última configuração conhecida até restaurar a conexão com o Sophos Central. Os dispositivos sem fio podem continuar a conectar e acessar todos os recursos internos e externos configurados.

Nota

Esse recurso está sempre ativo na série AP6 de pontos de acesso. Não é possível desativá-lo.

Direção de banda

A direção de banda detecta dispositivos sem fio com capacidade de operação de 5 GHz e os conecta a essa frequência. Isso disponibiliza a banda de frequência de 2,4 GHz, que é mais utilizada, para dispositivos sem fio que só podem se conectar a ela. O ponto de acesso rejeita a solicitação de associação inicial enviada na banda de 2,4 GHz. Isso faz com que um dispositivo sem fio de banda dupla tente negociar a 5 GHz. Se ele não se conectar na banda de 5 GHz, o ponto de acesso o marca como "direção hostil" e não fará seu roteamento novamente. O ponto de acesso não tentará direcionar a banda se um dispositivo sem fio estiver muito distante. Isso impede o roteamento para 5 GHz quando o dispositivo sem fio não está na faixa de alcance. A direção de banda se dá no nível de ponto de acesso e afeta todos os SSIDs no ponto de acesso em questão.

Nota

Você precisa configurar as bandas de frequência de 2,4 e 5 GHz para utilizar a direção de banda.

Portal cativo

Um portal cativo força os dispositivos a se autenticarem antes que tenham permissão para acessar a Internet.

Habilitar hotspot

Para ativar o portal cativo para seus SSIDs, selecione Habilitar hotspot.

Alerta

Em muitos países, a operação de um hotspot público está sujeita à legislação nacional específica, restringindo o acesso a sites da web com conteúdo legalmente contestável, por exemplo, sites de compartilhamento de arquivos ou websites de extremismo. Certas regulamentações legais podem exigir o registro do seu hotspot no órgão regulatório do país.

Depois de ativar o portal cativo, você pode configurar as seguintes opções do portal cativo:

Página inicial

Os pontos de acesso com Habilitar hotspot selecionado interceptam o tráfego HTTP e redirecionam os usuários a uma página predefinida, o portal cativo. Ali, os usuários precisam usar um método configurado de autenticação antes de acessarem as redes permitidas, como, por exemplo, a Internet. A página inicial é a primeira página que os usuários veem depois que se conectam ao hotspot.

Você pode personalizar a página inicial com um título e um texto de boas-vindas. Você também pode criar termos de serviço personalizados com os quais os usuários devem concordar antes de acessar a rede.

Tipos de autenticação

Os dispositivos sem fio precisam se autenticar no portal cativo antes de acessar a Internet. Escolha entre as opções de autenticação a seguir:

  • Nenhuma: Sem autenticação.

  • Autenticação de backend: Permite a autenticação via servidor RADIUS com protocolo PAP (Password Authentication Protocol).

    Nota

    A autenticação de backend requer a política de protocolo PAP (Password Authentication Protocol) no servidor de RADIUS. O ponto de acesso criptografa todas as credenciais de usuário transmitidas ao servidor RADIUS com HTTPS.

  • Agendamento da senha: Cria uma nova senha automaticamente com uma agenda diária, semanal ou mensal. Quando a senha expira, o ponto de acesso encerra todas as sessões atuais e os usuários devem se autenticar com a nova senha. Se você selecionar Notificar todos os administradores, o Sophos Central envia a nova senha como notificação a todos os administradores do Sophos Central e a todos os endereços de e-mail especificados em Outros usuários.

  • Login na rede social: Permite a autenticação através de contas de redes sociais. Não armazenamos nenhuma informação da conta. Você pode escolher entre os seguintes provedores:

    • Google: Selecione Habilitar para permitir que os usuários façam login com suas credenciais do Google.

      Você precisará do ID do cliente do Google e do Segredo do cliente da sua organização. Para obter essas informações, faça o seguinte:

      1. Entre no Google Developer Console.
      2. Clique em Credentials e crie um novo projeto.
      3. Clique em OAuth consent screen, selecione User Type e clique em Create.
      4. Preencha os campos obrigatórios na tela OAuth Consent, clique em Add domain e insira myapsophos.com como o Authorized domain.
      5. Salve as alterações.
      6. Clique em Credentials, Create credentials e OAuth client ID.
      7. Escolha Web application como tipo de aplicativo, insira um nome e as seguintes informações para a série de pontos de acesso que está usando:
      • Origens JavaScript autorizadas: https://www.myapsophos.com:8443
      • URIs de redirecionamento autorizados: https://www.myapsophos.com:8443/hotspot.cgi
      • Origens JavaScript autorizadas: https://www.myapsophos.com
      • URIs de redirecionamento autorizados: https://www.myapsophos.com

      Depois de salvar suas alterações, você verá o seu Client ID e Client secret na janela OAuth client created.

    • Facebook: Selecione Habilitar para permitir que os usuários se conectem com suas credenciais do Facebook.

      Você precisará do seu ID de aplicativo do Facebook e do Segredo do aplicativo da conta de desenvolvedor do Facebook. Para obter essas informações, faça o seguinte:

      1. Entre no site do desenvolvedor do Facebook.
      2. Clique em My Apps e em Add New App.
      3. Selecione o tipo de aplicativo e clique em Next.
      4. Preencha os detalhes necessários e clique em Create App.
      5. Clique em Settings e em Basic. Você pode ver o seu App ID.
      6. Clique em Show para ver o seu App Secret.

    • Domínio autorizado: Você pode definir o domínio autorizado para o Google e Facebook.

    • Limite de tempo da sessão: Você pode configurar o limite de tempo da sessão entre 1 e 24 horas.
    • Limite de tempo para um novo login: Selecione Habilitar para impedir que os usuários façam login na rede por 24 horas após sua primeira autenticação.

    Nota

    Se um usuário se registrar com uma conta de rede social, ele será solicitado a aceitar o certificado e continuar. Ele deverá clicar no botão Google para isso.

  • Voucher: Use vouchers imprimíveis com limites de tempo para autenticação. Clique em Criar voucher para criar um novo voucher.

URL de redirecionamento

Você pode definir o comportamento do portal cativo após a autenticação dos usuários. Você pode enviar usuários autenticados para a página que solicitaram inicialmente ou para uma URL personalizada. As opções são as seguintes:

  • URL de redirecionamento: Escolha entre as opções a seguir:

    • Redirecionar à URL original: Redireciona os usuários ao site da web o qual originalmente desejavam acessar após a autenticação.
    • URL personalizado: Redireciona os usuários a um site específico após a autenticação. Insira a URL no campo URL personalizada.

Mais Informações