Aller au contenu

Paramètres avancés du SSID

Configurez la sécurité, l’authentification du serveur backend, la connexion au client, la qualité du service (QoS), la disponibilité du réseau et le portail captif.

Allez dans Mes produits > Wireless > SSID et cliquez sur Paramètres avancés.

Sécurité

Vous définissez ici les paramètres qui vont renforcer la sécurité de votre réseau.

Synchronized Security

Restriction

Uniquement disponible sur APX 320, APX 530 et APX 740.

Activez l’option Sécurité synchronisée pour vous assurer que les clients utilisant Sophos Endpoint Protection et Sophos Mobile Protection sont en mesure de communiquer avec les points d’accès Sophos Central Wireless. Si vous activez Sécurité synchronisée sur Sophos Firewall et Sophos Central Wireless, les paramètres présents sur Sophos Firewall sont prioritaires.

La Sécurité synchronisée classe les appareils par catégorie en fonction de leur état de sécurité. Vous devez protéger les appareils avec Sophos Endpoint Protection ou Sophos Mobile selon les besoins. Les administrateurs peuvent créés des règle pour administrer les appareils. En cas de violation de ces règles par un appareil, le logiciel signale la menace, et son état de sécurité Heartbeat reflète l’incident. Security Heartbeat classe les appareils selon les catégories suivantes :

  • Protégé (vert) : indique que l’appareil fonctionne normalement et que tout le trafic est autorisé.
  • Client potentiellement en danger (jaune) : indique la détection d’une application potentiellement indésirable (PUA) ou d’un malware inactif. Tout le trafic est autorisé.
  • Client en danger (rouge) : Un malware ou un ransomware actif est présent sur l’appareil. Tout le trafic Internet est bloqué. Seul le trafic provenant d’un environnement de navigation sécurisé (environnement clôturé ou liste d’URL fiables) est autorisé.
  • Aucun Security Heartbeat : S’applique uniquement aux ordinateurs. Ceci indique que l’appareil est connecté mais que le terminal n’a pas envoyé de signal Heartbeat depuis 90 secondes.
  • Indisponible : Sophos Endpoint ou Sophos Mobile Control n’est pas installé sur les appareils de la liste.

Vous pouvez sélectionner les options de sécurité synchronisée suivantes pour vos appareils :

  • Sophos Mobile (UEM) : activée par défaut. Permet aux appareils mobiles gérés par Sophos d’envoyer des informations concernant le « Heartbeat ». Vous pouvez également gérer les stratégies pour ces appareils dans Sophos Central.

    Remarque

    Pour empêcher les appareils dont l’état de sécurité est rouge d’accéder au réseau, vous devez définir le contrôle d’accès réseau de votre appareil mobile sur Sophos Wireless. Allez dans Mobile > Configuration > Configuration du système > Contrôle d’accès réseau et sélectionnez Sophos Wireless.

  • Sophos Central Endpoint Protection : Activez cette option si vous souhaitez gérer les stratégies de terminaux dans Sophos Central. Vous pouvez également gérer les stratégies de terminaux dans Sophos Firewall.

  • Restreindre ce SSID aux appareils gérés par Sophos : Lorsqu’un appareil non géré se connecte au SSID, après l’authentification, nous déterminons que l’appareil n’est pas géré, le plaçons dans un environnement clôturé, et affichons une page d’accueil que nous vous demandons de configurer. Le comportement de cet appareil est similaire à un état de sécurité Heartbeat rouge. L’appareil est autorisé à accéder uniquement aux sites Web Sophos ou aux URL et adresses IP qui figurent sur la liste d’autorisation.

Un appareil géré est un appareil mobile ou un terminal protégé par Sophos.

Vous pouvez voir la configuration de la page de destination lorsque vous activez cette option. Saisissez les informations suivantes :

  • Titre de la page
  • Texte de bienvenue
  • Message à afficher

SSID masqué

Masque le SSID pour les contrôles de réseaux. Le SSID est disponible même lorsqu’il est caché et vous devez connaître son nom pour pouvoir établir une connexion directe. Même si vous masquez un SSID, vous pouvez l’assigner à un point d’accès.

Remarque

Masquer le SSID n’est pas une fonction de sécurité. Vous devez toujours protéger les SSID masqués.

Isolement du client

Bloque la communication entre les clients sous la même fréquence radio. Ceci est utile, par exemple sur un réseau d’invités ou de bornes Wi‑Fi.

Filtrage MAC

Offre un minimum de sécurité en limitant les connexions par adresse MAC (Media Access Control).

  • Aucun : aucune restriction sur les adresses MAC.
  • Liste de blocage : Toutes les adresses MAC que vous saisissez ici sont bloquées.
  • Liste d’autorisation : Toutes les adresses MAC sont autorisées.

Environnement clôturé

Saisissez ici les domaines auxquels vous souhaitez que les clients continuent à accéder, ainsi que les domaines .sophos.com lorsqu’ils sont à l’état Sécurité synchronisée rouge. Ces domaines seront également accessibles par les appareils non gérés si vous avez activé Restreindre ce SSID aux appareils gérés par Sophos. Les adresses IP et les noms de domaine sont pris en charge.

Connexion du client

LAN

Reliez le réseau sans fil trafic au réseau local. Les appareils sans fil partagent la même plage d’adresses IP.

VLAN

Dirige le trafic des appareils sans fil vers des réseaux VLAN spécifiques. Vous devez configurer les périphériques réseau en aval pour accepter les paquets VLAN.

Assignation du VLAN RADIUS

Sépare les utilisateurs sans nécessiter l’utilisation de plusieurs SSID. Disponible avec les modes de chiffrement d’entreprise.

Le point d’accès identifie les utilisateurs sur un VLAN fourni par un serveur RADIUS. Le trafic n’est pas identifié si le serveur RADIUS ne fournit pas de VLAN.

Remarque

Si vous activez le VLAN dynamique pour un SSID, IPv6 est bloquée. Si l’IPv6 n’est pas bloquée, les appareils sans fil risquent de se retrouver avec plusieurs adresses IPv6 et des passerelles issues de différents VLAN.

Activer le réseau d’invités

Restriction

Disponible uniquement pour les points d’accès AP et APX.

Active un réseau d’invités. Un réseau d’invités est un réseau isolé mis à disposition des appareils sans fil avec certaines limites de trafic. Les points d’accès disposent d’un réseau d’invités pendant une certaine période de temps donnée. Les modes suivants sont disponibles :

Mode pont

utilise le serveur DHCP à partir du même sous-réseau.

Il filtre tout le trafic et autorise uniquement la communication avec la passerelle, le serveur DNS et les réseaux externes. Vous pouvez ajouter un réseau d’invités à un environnement sans utiliser de VLAN et toujours bénéficier de l’isolation client. Tant que le serveur DHCP se trouve toujours sur votre réseau, l’itinérance entre les points d’accès continue à fonctionner.

Remarque

Vous pouvez avoir des réseaux invités distincts en utilisant VLAN comme réseau invités.

Mode NAT

Utilise le serveur DHCP embarqué sur le point d’accès. Ceci fournit des adresses IP locales isolées aux appareils sans fil connectés au réseau invités. Les appareils ne connaissent pas le schéma IP interne.

En mode NAT, il n’est pas nécessaire de disposer d’un serveur DNS facultatif pour qu’un appareil sans fil obtienne une adresse IP. Si un serveur DNS n’attribue pas d’adresse à l’appareil réseau sans fil (Wireless), il se verra assigner la même adresse DNS que le point d’accès.

Le mode pont permet de bénéficier d’un débit plus élevé alors que le mode NAT assure un meilleur isolement.

Disponibilité du réseau

Définit les SSID qui seront uniquement disponibles pendant une certaine période de temps de la journée ou pendant certains jours de la semaine. Les SSID ne sont pas visibles pendant ce temps.

  • Toujours : Sélectionnez cette option pour que le SSID soit tout le temps disponible.
  • Planifié : Sélectionnez les jours et les heures de disponibilité du réseau.

Qualité de service

Configurez les paramètres pour optimiser votre réseau.

Conversion de multidiffusion à monodiffusion

Optimise les paquets de multidiffusion en paquets de monodiffusion. Le point d’accès convertit individuellement les paquets de multidiffusion en paquets de monodiffusion pour chaque appareil sans fil en fonction de l’IGMP.

Ceci fonctionne mieux lorsqu’il y a moins d’appareils connectés à un même point d’accès.

La conversion en monodiffusion est préférable pour le streaming car elle fonctionne à plus haut débit.

ARP du proxy

Active le points d’accès pour répondre aux demandes ARP (Address Resolution Protocol ) destinées aux appareils sans fil connectés.

Itinérance rapide

Optimise les temps d’itinérance lors du basculement entre différents points d’accès. Les SSID avec le mode de chiffrement WPA2 appliquent la norme IEEE 802.11r pour réduire les temps d’itinérance (avec authentification d’entreprise). Ceci s’applique lorsque vous assignez le même SSID à différents points d’accès. Les appareils sans fil doivent également être compatibles avec la norme IEEE 802.11r.

Continuer la diffusion

Lorsqu’un point d’accès ne parvient pas à se connecter à Sophos Central, il arrête de diffuser les SSID configurés s’il redémarre. Sélectionnez Continuer la diffusion pour permettre au point d’accès de continuer à diffuser ses SSID configurés après un redémarrage, même s’il ne parvient pas à se connecter à Sophos Central. Le point d’accès fonctionne avec sa dernière configuration connue jusqu’à ce qu’il rétablisse sa connexion à Sophos Central. Les appareils sans fil peuvent toujours se connecter et accéder à toutes les ressources internes et externes configurées.

Remarque

Cette fonction est toujours activée pour les points d’accès AP6. Vous ne pouvez pas la désactiver.

Redirection de bande

Le guidage de bande détecte les appareils sans fil capables de fonctionner à 5 GHz et les connecte à cette fréquence. Ceci rend la bande de fréquence 2,4 GHz la plus encombrée disponible aux appareils sans fil qui ne peuvent se connecter qu’à elle. Le point d’accès rejette la demande d’association initiale envoyée sur la bande 2,4 GHz. L’appareil sans fil à double bande essaiera ensuite de négocier une bande à 5 GHz. S’il ne parvient pas à se connecter à la bande 5 GHz, le point d’accès le marque comme « direction hostile » et ne l’achemine plus. Le point d’accès ne tente pas de diriger la bande si un appareil sans fil est trop éloigné. Ceci empêche le routage vers 5 GHz lorsque le appareil sans fil n’est pas suffisamment proche. La redirection de bande est effectuée par niveau de points d’accès et affecte tous les SSID sur ce point d’accès.

Remarque

Vous devez configurer les bandes de fréquences 2,4 et 5 GHz pour utiliser le guidage de bande.

Portail captif

Un portail captif force les appareils à s’authentifier avant d’être autorisés à accéder à Internet.

Activer le hotspot.

Pour activer le portail captif pour vos SSID, sélectionnez Activer le hotspot.

Avertissement

Dans la majorité des pays, l’exploitation d’une borne Wi‑Fi publique est soumise à la législation en vigueur dans le pays en matière de restriction d’accès aux sites Web dont le contenu est douteux sur le plan juridique (par ex. les sites de partage de fichiers ou les sites Web exprimant des idées extrémistes). Les réglementations légales peuvent exiger que la borne Wi‑Fi soit enregistrée auprès d’une autorité nationale de réglementation.

Une fois le portail captif activé, vous pouvez configurer les options de portail captif suivantes :

Page de destination

Les points d’accès dont l’option Activer le hotspot est sélectionnée interceptent HTTP trafic et redirigent les utilisateurs vers une page prédéfinie : le portail captif. Les utilisateurs doivent utiliser une méthode d’authentification configurée avant d’accéder aux réseaux autorisés, par exemple, Internet. La page de destination est la première page que les utilisateurs voient après s’être connectés à la borne Wi‑Fi.

Vous pouvez personnaliser la page de destination avec un titre et un texte de bienvenue. Vous pouvez également créer des conditions de service personnalisées que les utilisateurs doivent accepter avant d’accéder au réseau.

Types d’authentification

Les appareils sans fil doivent s’authentifier dans le portail captif avant d’accéder à Internet. Choisissez parmi les options d’authentification suivantes :

  • Aucune : Aucune authentification.
  • Authentification du backend : Permet l’authentification via un serveur RADIUS avec protocole d’authentification du mot de passe (PAP).

    Remarque

    L’authentification du backend nécessite la présence d’une stratégie PAP (Protocole d’authentification par mot de passe) sur le serveur RADIUS. Le point d’accès chiffre toutes les informations d’identification de l’utilisateur transmises au serveur RADIUS par HTTPS.

  • Planification du changement de mot de passe : Crée un nouveau mot de passe automatiquement tous les jours, toutes les semaines ou tous les mois. Lorsque le mot de passe expire, le point d’accès met fin à toutes les sessions en cours et les utilisateurs doivent s’authentifier avec le nouveau mot de passe. Si vous sélectionnez Notifier tous les administrateurs, Sophos Central envoie le nouveau mot de passe sous forme de notification à tous les administrateurs Sophos Central et à toutes les adresses email spécifiées dans Autres utilisateurs.

  • Connexion par réseau social : Permet l’authentification avec des comptes de réseaux sociaux. Nous ne stockons aucune information du compte. Vous pouvez choisir parmi les fournisseurs suivants :

    • Google : Sélectionnez Activer pour permettre aux utilisateurs de se connecter avec leurs identifiants Google.

      Vous aurez besoin de l’ID client Google et du Secret client de votre entreprise. Pour récupérer les informations, procédez de la manière suivante :

      1. Connectez-vous à la console Google Developer.
      2. Cliquez sur Identifiants et créez un nouveau projet.
      3. Cliquez sur Écran de consentement OAuth, sélectionnez le Type d’utilisateur et cliquez sur Créer.
      4. Remplissez les champs obligatoires de l’écran Consentement OAuth, cliquez sur Ajouter un domaine et saisissez myapsophos.com comme Domaine autorisé.
      5. Enregistrez vos modifications.
      6. Cliquez sur Identifiants, puis sur Créer des identifiants, puis sur ID client OAuth.
      7. Choisissez Application Web comme type d’application, saisissez un nom et les informations suivantes pour la série de points d’accès que vous utilisez :
      • Origines JavaScript autorisées : https://www.myapsophos.com:8443
      • URI de redirection autorisés : https://www.myapsophos.com:8443/hotspot.cgi
      • Origines JavaScript autorisées : https://www.myapsophos.com
      • URI de redirection autorisés : https://www.myapsophos.com

      Après avoir enregistré vos modifications, vous verrez votre ID client et votre Code secret du client dans la fenêtre Client Oauth créé.

    • Facebook : Sélectionnez Activer pour autoriser les utilisateurs à se connecter avec leurs identifiants Facebook.

      Vous aurez besoin de votre ID de l’appli Facebook et de votre Clé secrète de l’appli du Compte développeur Facebook. Pour récupérer les informations, procédez de la manière suivante :

      1. Connectez-vous au site des développeurs Facebook.
      2. Cliquez sur Mes applications puis sur Ajouter une nouvelle application.
      3. Sélectionnez le type d’appli et cliquez sur Suivant.
      4. Remplissez les informations requises et cliquez sur Créer une application.
      5. Cliquez sur Paramètres puis cliquez sur Basique. L’ID de l’appli s’affiche.
      6. Cliquez sur Afficher pour voir la Clé secrète de l’appli.
    • Domaine autorisé : Vous pouvez définir le domaine autorisé pour Google et Facebook.

    • Expiration de la session : Vous pouvez configurer la Durée d’expiration de la session entre 1 et 24 heures.
    • Délai de reconnexion expiré : Sélectionnez Activer pour empêcher les utilisateurs de se connecter au réseau pendant les 24 heures suivant leur première authentification.

    Remarque

    Si un utilisateur se connecte sous son compte de réseau social, il doit accepter le certificat pour pouvoir continuer. Il va devoir cliquer sur le bouton Google.

  • Coupon : Utiliser des bons d’accès imprimables avec une durée limitée d’authentification. Cliquez sur Créer un bon d’accès pour créer un nouveau bon d’accès.

URL de redirection

Vous pouvez définir le comportement du portail captif après authentification des utilisateurs. Vous pouvez envoyer des utilisateurs authentifiés vers la page qu’ils ont demandée initialement ou vers une URL personnalisée. Les options sont les suivantes :

  • Redirection URL : Choisissez parmi les options suivantes :

    • Rediriger vers l’URL d’origine : Redirige les utilisateurs vers le site Web sur lequel ils voulaient se rendre après authentification.
    • URL personnalisé : Redirige les utilisateurs vers un site Web spécifique après authentification. Saisissez l’URL dans le Champ URL personnalisé.

Plus d’informations