Pular para o conteúdo

Configurações de SSID avançadas

Configure a segurança, autenticação de backend, conexão cliente, qualidade do serviço (QoS), disponibilidade de rede e portal cativo.

Vá até Sem Fio > SSIDs e clique em Configurações Avançadas.

Segurança

Defina configurações para deixar a sua rede mais segura.

Segurança Sincronizada

Habilite para assegurar que clientes com Sophos Endpoint Protection e Sophos Mobile Protection possam se comunicar com pontos de acesso do Sophos Central Wireless. Se a Segurança Sincronizada estiver habilitada no Sophos Firewall e no Sophos Central Wireless, as configurações do Sophos Firewall terão precedência.

Para usar esse recurso, é preciso ter uma licença do Endpoint Advanced Protection para os seus endpoints. Para a proteção móvel, vá até Dispositivo móvel > Configurar > Instalação do sistema > Controle de acesso de rede e selecione Sophos Wireless.

Restrição

Disponível apenas para APX 320, APX 530, e APX 740.

Security Heartbeat verde

Indica que o endpoint está íntegro e que todo o tráfego está permitido.

Security Heartbeat amarelo

Indica que um aplicativo potencialmente indesejado (PUA) ou um malware inativo foi detectado. Todo o tráfego está fluindo.

Security Heartbeat vermelho

Indica que um malware ou ransomware ativo foi detectado ou que o ponto de acesso não é capaz de receber mensagens de Security Heartbeat do Sophos Endpoint Services do endpoint. O ponto de acesso bloqueia todo o tráfego da Internet. Somente o tráfego de um ambiente de navegação segura (Jardim Murado ou lista de URLs seguras) é permitido.

Sophos Mobile (UEM)

Ativado por default. Permite que as informações de heartbeat sejam enviadas de dispositivos móveis gerenciados pela Sophos. Você também pode gerenciar políticas para esses dispositivos no Sophos Central.

Sophos Central Endpoint Protection

Ative se quiser gerenciar políticas de endpoints no Sophos Central. Como alternativa, você pode gerenciar políticas de endpoints no Sophos Firewall.

Restrinja o SSID a Dispositivos Gerenciados Sophos

Quando um dispositivo não gerenciado se conecta ao SSID, após a autenticação, determinamos que o dispositivo não é gerenciado e exibimos uma página inicial, que você precisa configurar. O dispositivo é colocado atrás de um jardim murado. O comportamento do dispositivo é semelhante a ter um status de heartbeat de segurança vermelho. O dispositivo tem permissão para acessar apenas sites da Sophos ou URLs e IPs que estão na lista de permitidos.

Um dispositivo gerenciado é um dispositivo móvel ou de ponto final protegido pela Sophos.

Quando esta opção é ativada, é apresentada a configuração da página inicial. Insira as informações a seguir:

  • Título da página
  • Texto de boas-vindas
  • Mensagem a ser exibida
  • Logo da empresa

Domínios permitidos

Digite aqui domínios que você ainda deseja que os clientes acessem, juntamente com quaisquer domínios .sophos.com, quando tiverem um status de Segurança Sincronizada vermelho. Esses domínios também serão acessíveis por dispositivos não gerenciados se você tiver ativado Restrinja o SSID a Dispositivos Gerenciados Sophos. São suportados endereços de IP e nomes de domínio.

SSID oculto

Oculta o SSID nas varreduras de rede. Quando oculto, o SSID permanece disponível e você precisa saber o nome do SSID para se conectar diretamente. Mesmo que um SSID esteja oculto, você pode atribuir o SSID a um ponto de acesso.

Nota

Este não é um recurso de segurança. Você ainda precisará proteger os SSIDs ocultos.

Isolamento de Cliente

Bloqueia a comunicação entre clientes na mesma frequência de rádio. Isso é útil em uma rede de convidado ou hotspot.

Filtragem de MAC

Fornece uma segurança mínima ao restringir as conexões de endereços MAC (Media Access Control).

  • Nenhum: Sem restrições em endereços MAC.
  • Lista de bloqueados: Todos os endereços MAC são permitidos, exceto aqueles digitados aqui.
  • Lista de permitidos: Todos os endereços MAC são proibidos, exceto aqueles digitados aqui.

Conexão de Cliente

LAN

Realiza uma ponte entre a rede sem fio e a rede de um ponto de acesso. Os clientes sem fio compartilham o mesmo intervalo de endereços de IP.

VLAN

Direciona o tráfego do cliente a VLANs específicas. A troca de uplink deve ser configurada para aceitar pacotes VLAN.

Designação de RADIUS VLAN

Separa os usuários sem precisar de vários SSIDs. Disponível com o modo de encriptação WPA/WPA2 Enterprise.

Os usuários serão marcados com uma tag à VLAN fornecida por um servidor de RADIUS. O tráfego tem a tag removida se o servidor RADIUS não fornecer a VLAN.

Nota

O IPv6 é bloqueado nos SSIDs se a VLAN dinâmica estiver habilitada. Se o IPv6 não estiver bloqueado, os dispositivos poderão acabar com múltiplos endereços IPv6 e gateways provenientes de várias VLANs.

Habilitar a rede de convidado

Habilita uma rede de convidado. Uma rede de convidado oferece uma rede isolada para os clientes com certas restrições de tráfego. Os pontos de acesso podem ter apenas uma rede de convidado por vez. Os seguintes modos estão disponíveis:

Modo de ponte

Usa o servidor DHCP oriundo da mesma sub-rede.

Ele filtra todo o tráfego e permite a comunicação apenas com o gateway, o servidor DNS e as redes externas. Você pode adicionar uma rede de convidado a um ambiente sem VLAN e manter o isolamento. Como o servidor DHCP continua na sua rede, o roaming entre pontos de acesso funcionará.

Nota

Ao usar a VLAN como a sua rede de convidado, você pode ter uma VLAN de convidado separada adicionalmente à rede de convidado.

Modo NAT

Usa o servidor DHCP interno no ponto de acesso. Isso oferece IPs locais isolados aos clientes de rede de convidado. Os clientes não sabem sobre o esquema de IP interno.

No modo NAT, um servidor de DNS é opcional para o endereço cliente. Se um endereço DNS não for atribuído ao cliente pelo servidor DNS, o mesmo endereço DNS do ponto de acesso será atribuído ao cliente.

O modo de ponte tem uma taxa de transferência mais alta, enquanto o modo NAT apresenta maior isolamento.

Disponibilidade de rede

Defina os SSIDs que estarão disponíveis apenas por um determinado período do dia ou por determinados dias da semana. Durante esse período, os SSIDs ficam invisíveis.

  • Sempre: Selecione para que o SSID esteja disponível todo o tempo.

  • Agendada: Selecionar os dias da semana e períodos para a rede estar disponível.

Qualidade do serviço

Configure parâmetros para otimizar a sua rede.

Conversão multicast para unicast

Otimiza os pacotes multicast para pacotes unicast. O ponto de acesso converte pacotes multicast em pacotes unicast individualmente para cada cliente, com base no protocolo IGMP (Internet Group Management Protocol).

Isso funciona melhor quando poucos clientes estão conectados a um ponto de acesso.

A conversão em unicast é a mais indicada para fluxos de mídia, pois pode operar a taxas de transferência mais altas.

ARP proxy

Capacita o ponto de acesso a responder às solicitações ARP (Address Resolution Protocol) destinadas aos clientes sem fio conectados.

Roaming rápido

Otimiza os tempos de roaming quando alterna entre diferentes pontos de acesso. Os SSIDs com encriptação WPA2 usam a norma IEEE 802.11r para reduzir o tempo de roaming (com autenticação enterprise). Isso se aplica quando o mesmo SSID é atribuído a diferentes pontos de acesso. Os clientes também precisam ser compatíveis com a norma IEEE 802.11r.

Manter transmissão

Assegura que o ponto de acesso mantenha a transmissão quando não for possível reconectar-se ao Sophos Central após uma reinicialização. Se ativada, os clientes ainda assim serão capazes de se conectar ao ponto de acesso e/ou à internet, e o ponto de acesso funcionará com a configuração antiga.

Nota

O SSID será transmitido sempre que ocorrer perda de conexão com o Sophos Central, independentemente de a função estar ou não ativada.

Direção de banda

Distribui clientes com base na carga das duas bandas de rádio e na capacidade do cliente entre as bandas 2,4 GHz e 5 GHz. Clientes sem fio com capacidade de banda dupla serão roteados à de 5 GHz, se possível, para aprimorar a experiência do cliente. Isso é feito rejeitando-se a solicitação de associação inicial enviada pelo cliente à banda de 2,4 GHz. Isso fará com que um cliente de banda dupla tente negociar a 5 GHz. Se não se associar à banda de 5 GHz, ele será marcado como "direção hostil" e não será roteado de novo. Se um cliente estiver distante demais do ponto de acesso, não haverá tentativa de roteamento. Isso previne o roteamento dos clientes para a banda de 5 GHz, onde o intervalo é, em geral, menor do que na banda de 2,4 GHz. A direção de banda se dá no nível de ponto de acesso e afetará todos os SSIDs no ponto de acesso em questão.

Portal Cativo

Habilitar e configurar um hotspot.

Habilitar hotspot

Transforma um SSID em um hotspot. Isso permite que cafés, hotéis ou empresas proporcionem acesso à internet com restrições de tempo e tráfego para os visitantes.

Alerta

Em muitos países, a operação de um hotspot público está sujeita à legislação nacional específica, restringindo o acesso a sites da web com conteúdo legalmente contestável. Por exemplo, sites de compartilhamento de arquivos ou sites de extremismo.

Título da página

Você pode dar um título para a página inicial. Ele ficará visível aos usuários após aceitarem os termos de serviço.

Texto de boas-vindas

Você pode escrever um texto de boas-vindas para a página inicial.

Termos de Serviço

Os usuários têm de aceitar os termos de serviço antes da autenticação.

Autenticação de Backend

Com este tipo de autenticação, o usuário pode autenticar via RADIUS (Remote Authentication Dial-In User Service).

Nota

A autenticação de backend requer a política de protocolo PAP (Password Authentication Protocol) no servidor de RADIUS. Todas as credenciais transmitidas para o servidor de RADIUS serão encriptadas com HTTPS pelo Sophos Central.

Agendamento da senha

Você pode criar uma nova senha automaticamente em uma data fixa. Se o agendamento for definido como semanal ou mensal, você poderá selecionar também o dia da semana ou a semana. A senha antiga expira quando a data programada é atingida, e as sessões em andamento são interrompidas. A nova senha é enviada como uma notificação aos endereços de e-mail especificados.

Voucher

Com este tipo de hotspot, vouchers com limitações de tempo podem ser gerados, impressos e distribuídos aos clientes. Após inserir o código, os usuários poderão acessar a internet diretamente.

Login via rede social

Você pode permitir que seus usuários se autentiquem usando suas contas de redes sociais. Você pode deixá-los usar suas contas do Facebook ou do Google. Para configurar a autenticação do Google, vá para o Google Developer Console e obtenha o ID do cliente e a Chave secreta do Google. Insira essas informações aqui. Para configurar a autenticação do Facebook, vá para o Facebook Developer Account e obtenha o ID do aplicativo e a Chave secreta do Facebook. Insira essas informações aqui.

Para recuperar o ID do cliente do Google a partir do Google Developer Console, você precisará:

  1. Criar um novo projeto.
  2. Vá para a tela de consentimento OAuth e insira o nome do aplicativo. Você pode inserir qualquer coisa nesse campo. Em seguida, insira o domínio autorizado, que tem de ser "myapsophos.com".
  3. Vá para credenciais > criar credenciais > ID do cliente OAuth.
  4. Escolha o tipo de aplicativo como Aplicativo da Web.
  5. Sob as Restrições, insira as Origens JavaScript autorizadas e os URIs de redirecionamento autorizados, conforme mostrado abaixo.

    Origens JavaScript autorizadas: https://www.myapsophos.com:8443

    URIs de redirecionamento autorizados: https://www.myapsophos.com:8443/hotspot.cgi

Nota

Se um usuário se registrar com uma conta de rede social, ele será solicitado a aceitar o certificado e continuar. Ele deverá clicar no botão Google para isso.

Nota

Se o usuário se autenticar com uma conta de rede social, nós não armazenamos informações pessoais dessa conta.

Limite de Tempo de Sessão

Restringe o tempo de acesso à Internet dos usuários.

Limite de tempo para fazer novo login

Ative para evitar que os usuários façam login novamente na rede por 24 horas a partir do momento da conexão inicial após o login na rede social.

Nota

Um máximo de 8 dispositivos pode se conectar usando a mesma ID de e-mail.

URL de redirecionamento

É possível definir a URL para a qual os usuários serão redirecionados a partir da página inicial. Os usuários podem ser redirecionados ao site da web default do aparelho celular ou a um site da web específico de sua escolha. Por exemplo, a página da empresa.

Voltar ao topo