Wireless LAN / Satellitenschüssel

Wireless Protection Sophos UTM

Wichtiger Hinweis
Einsatz bzw. Umsetzung erfolgt auf eigene Gefahr. Ich übernehme keinerlei Haftung für Schäden.

Heute konnte ich mich endlich wieder mit einem neuen Spielzeug aus dem Hause Sophos auseinandersetzen: Zwei Sophos AP15 Access Points inkl. Wireless Protection der Sophos UTM Firewall.

Es sollten schlussendlich zwei WLAN-Netze bereitgestellt werden – eins für das interne Domänen-Netzwerk und das zweite für Gäste bzw. externe Geräte. Das Gast-Netzwerk sollte keinen Zugriff auf das interne Netz haben und ein Vouchersystem besitzen.

Zu beachten ist, dass bei den AP15 Access Points von Sophos kein Netzteil oder PoE-Adapter dabei ist.

Integration der Access Points

Die Einrichtung bzw. Integration geht sehr leicht vonstatten: Sobald die Access Points an das Netzwerk angeschlossen sind und Wireless Protection in der UTM aktiviert ist, erscheinen diese nach einem kurzen Moment in der Sophos UTM. Von dort aus müssen die ausstehenden Access Points noch der UTM hinzugefügt werden.

Konfiguration der WLAN-Netze

Danach ging es an das Erstellen der benötigten WLAN-Netze. Da das interne WLAN direkten Zugriff auf das Domänen-Netzwerk haben soll, wird eine AP-LAN-Brücke benötigt (in AP-LAN bridgen). Außerdem wählt man hier noch den WLAN-Namen (SSID) und die gewünschte Verschlüsselungsmethode. Ich habe zusätzlich noch den MAC-Adressenfilter aktiviert, um noch mehr Sicherheit zu gewährleisten.

Das Gast-WLAN soll keinen Zugriff auf das interne Netz haben und muss daher in einem separaten Netzwerk liegen (Getrennte Zone). Weiterhin ist es empfehlenswert an dieser Stelle die Client-Isolation zu aktivieren. Dies unterbindet die Kommunikation der Clients untereinander. Da das Gast-WLAN mit einem Voucher-System gesichert wird, verzichtete ich an dieser Stelle auf eine Verschlüsselung.

Damit das Gast-WLAN IP-Adressen automatisch verteilt und Zugriff auf das Internet hat, muss man in der Sophos UTM eine neue Netzwerk-Schnittstelle anlegen (Hardware: wlan0). Das Schnittstellen-Netzwerk fügt man noch dem DNS-Dienst hinzu (zugelassene Netzwerke), erstellt einen DHCP-Server und eine NAT-Maskierung.

Abschließend erstellt man noch die entsprechenden Firewall-Regeln (zugelassener und abgelehnter Netzwerkverkehr) und fügt das Schnittstellen-Netzwerk noch den jeweiligen Modulen hinzu (z. B. Intrusion Prevention, Web Protection, Advanced Threat Protection, etc.). Dies ist besonders wichtig, da in manchen Ländern besondere gesetzliche Regelungen bzgl. einem öffentlichen WLAN gelten (z. B. das Sperren von illegalen Webseiten, etc.).

Konfiguration des Vouchersystems

Zum Schluss ging es noch an die Konfiguration des Vouchersystems. Hierzu muss man einen Hotspot erstellen und die Schnittstelle vom Gast-WLAN hinzufügen. Weiterhin vergibt man dort die administrative Benutzer für die Vouchererstellung und nimmt noch diverse Anpassungen vor (z. B. eigenes Logo hinzufügen, Weiterleitung auf die Unternehmenswebseite nach erfolgreichem Login, etc.). Abschließend kann man dort auch noch eigene Voucherdefinitionen vergeben (Gültigkeitszeitraum, Zeitkontingent, Datenmenge).

Es ist außerdem möglich mit einem Tages-Kennwort zu arbeiten, anstatt mit dem Vouchersystem.

Loginbild

Zwei-Faktor-Authentifizierung Sophos UTM

Wichtiger Hinweis
Einsatz bzw. Umsetzung erfolgt auf eigene Gefahr. Ich übernehme keinerlei Haftung für Schäden.

Um die Sicherheit des Netzwerkes weiter zu erhöhen, bietet die Sophos UTM die Funktion Einmaliges Kennwort (OTP) an. Diese kann man mit den Zwei-Faktor-Authentifizierungen vergleichen, wie man Sie von diversen Online-Portalen kennt (u. a. in Verbindung mit den Apps Authy & Google Authenticator).

Einmalige Kennwörter erhöhen die kennwortbasierte Authentifizierung erheblich, da ein Angreifer nicht nur das Benutzerkennwort besitzen muss, sondern auch das Einmal-Kennwort. Weiterhin senkt man so auch die Gefahren von zu schwachen Benutzerkennwörtern – Kennwort-Richtlinien werden von den Endanwendern ja nicht so gerne gesehen :).

Einmal-Kennwörter werden automatisch, anhand eines Algorithmuses, in bestimmten Zeitabständen geändert. Dies funktioniert auch ohne weitere Kosten (Hardware- bzw. Sicherheitstoken) – sobald der Endanwender ein Smartphone (inkl. der App Sophos bzw. Google Authenticator) besitzt, kann man das einmalige Kennwort generieren. Hierzu muss man im Benutzerportal der Sophos UTM nach dem Login einfach den QRCode scannen. Danach muss das jeweilige Einmal-Kennwort immer hinter das eigentliche Benutzerkennwort eingegeben werden – wenn das Benutzerkennwort z. B. Passwort2017 und das Einmal-Kennwort 123456, dann lautet das komplette Kennwort Passwort2017123456.

Selbstverständlich kann der Administrator auch Kennwörter generieren, welche aber nur im Ausnahmefall genutzt werden sollten.

Einschalten / Konfiguration von Einmal-Kennwörtern

Zuerst muss man natürlich die Funktion OTP grundsätzlich einschalten (Unter Definitionen & Benutzer -> Authentifizierungsdienste). Sollten Hardwaretokens verwendet werden, kann man diese im Bereich OTP-Token importieren.

Unter den Authentifizierungseinstellungen sollten die Haken Alle Benutzer müssen einmalige Kennwörter (OTP) verwenden und OTP-Token automatisch für Benutzer erstellen angehakt sein. Weiterhin wird hier noch der zu verwendende Hash-Algorithmus angegeben. Nun gibt man hier noch die Module an, in denen das Einmal-Kennwort angewandt werden soll. Da ich den OTP-Token automatisch generieren lasse, muss auch das Benutzerportal mit einem Einmal-Kennwort abgesichert werden.

Achtung: Bei dem Absichern des WebAdmin- bzw. Shell-Zugangs muss man sicherstellen, dass man im Besitz der Einmal-Kennwörter ist. Sonst sperrt man sich evtl. komplett selbst aus.

Unter den Zeitschritteinstellungen müssen noch der Standard-Token-Zeitschritt, das maximale Passcode Offset & maximale initiale Passcode-Offset angegeben werden. Hier habe ich mit den Standardwerten gearbeitet, kann aber nach persönlichen Wünschen und/oder an Hardwaretokens angepasst werden.