Wifi Netzwerk durch Sophos UTM Firewall und MAC Filter abgesichert
Einrichtung eines WLAN für ein Lager, genutzt wird alternativ ein
(oder mehrere) AP von Lancom und als Firewall die Sophos
UMT (Astaro), so ist es möglich, eine vorhandene WLAN Infrastruktur mit Lancom Access Points weiter zu nutzen.
Das Lager WLAN ist durch VLAN-Tagging von allen anderen Netzwerken getrennt, hat einen eigenen IP-Kreis und eine eigene SSID.
Ein WLAN-Key /Preshared Key ist oft nach wenigen Wochen in Umlauf und User loggen sich unberechtigt in das Netzwerk ein, meistens mit einem Smartphone. In diesem Szenario stellt das kein Sicherheitsrisiko da, weil nur bekannte Geräte mit sehr eingeschränktem Zugriff durch die Firewall gelassen werden.
Der Zugriff des Lager WLAN wir durch die Sophos UTM (Astaro) auf den ERP-Server beschränkt, zusätzlich werden nur bestimmte Ports freigegeben und ein Macadressen Filter genutzt.
Selbstverständlich prüft die Sophos UTM auch sämtlich Traffic mit ihrem IPS.
Das Modul "Wireless Protection" wird in diesem Szenario nicht genutzt, aber in den beiden anderen "Sophos UTM + Lancom APs".
Folgende Anmerkung sollte Sie vorher lesen:
Sophos AP für Wireless Protection
Folgende Konfiguration vorher durchführen:
DNS Sophos UTM
-
Interface | SSID | Funktion |
WLAN-1 | Internal | Firmenclients |
WLAN-1-2 | Lager | Scanner/PDA Lager |
WLAN-1-3 | Gast | Gast-WLAN |
-
Konfiguration der Sophos UTM
Für das WLAN wird ein eigenes Interfaces verwendet, dieses wird VLAN getagt, um es von den anderen Netzen trennen zu können.
-
um welches IPv4/IPv6 Subnet bzw VLAN es sich handelt |
||||||
---|---|---|---|---|---|---|
Beispiel | VLAN | Beispiel IPv6 /64 Subnet | - | |||
x | 10.10.x.XXX | XXXX | 10.0.125.0/24 | 0125 | 2001:4hh0:fbd5:0125: :/64 | es geht nur 0 und 4 (bis 4095) |
1 | 172.016.XXX | 1XXX | 172.16.040.0/24 | 1040 | 2001:4hh0:fbd5:1040:: /64 | eigentlich Class B, hier immer Class C |
2 | 192.168.XXX | 2XXX | 192.168.140.0/24 | 2140 | 2001:4hh0:fbd5:2140:: /64 |
Name: WLAN-Lager
Type= 'Ethernet VLAN'
Hardware = freies eth wählen
VLAN Tag: 1101
IPv4 Adresse: 172.16.101.0
Netmask: /24 (255.255.255.0)
IPv4 Default GW: Nein
Unter Network Services -> DNS |Global| "Allowed Networks" das WLAN-Lager (Network) hinzufügen, sonst sind DNS Abfragen nicht möglich. Vorher in der UTM DNS konfigurieren.
Unter Network Services -> NTP |Global| "Allowed Networks" das WLAN-Lager (Network) hinzufügen, sonst sind NTP Abfragen nicht möglich.
Als nächstes die Macadressen Gruppe anlegen
Definitions & Users -> Network Definitions |MAC Address Definitions| 'New MAC Address List'
Hier werden alle Mac Adressen der WLAN Devices im Lager eingetragen (PDA's, Terminals, WLAN-Scanner), also alle die nachher durch die Firewall auf den ERP-Server dürfen.
Wenn das WLAN Device eine feste IP-Adresse hat, sollte man einen neuen Host anlegen, auch mit Mac Adresse
Man kann verschiedene Typen in einer MAC Address List mischen, also nur reine MAC Adressen von Devices die per DHCP eine IP-Adresse bekommen, mit Hosts, die eine statische IP-Adresse haben.
Unter Definition & Users -> Network Definitions |Network Definitions| "New network definition" den Lancom AP mit seiner festen IP als Host anlegen:
Das natürlich für alle verwendeten Lancom Aps machen.
Um alle APs noch per Web oder Lanconfig administrieren zu können, eine Network Group anlegen
unter Definition & Users -> Network Definitions |Network Definitions| "New network definition" 'Network group'
Name: AP-Lancom
Danach wird noch eine Firewall Rule benötigt um vom internen Netzwerk/Admin PC per Lanconfig die APs verwalten zu können:
Network Protection -> Firewall |Rules| "New rule"
Sources: Host Admin PC
Services: HTTPS, SSH, Telnet, SNMP
Destinations: AP-Lancom (Die vorher angelegte Gruppe)
Diese Firewall Rule ist exemplarisch für den Zugriff Lager -> ERP-Server:
Wichtig: Unter "Advanced" nicht die 'Source MAC Addresses' Lager vergessen!
Da wir im Lager Adressen per DHCP vergeben, ist es praktisch, wenn der DC/DHCP Server diese vergibt. In der Spalte "Eindeutige ID" in der Ansicht "Adressleases" kann man bequem die MAC Adresse ablesen und diese dann in die MAC Addresses List der Sophos eintragen oder eben auch nicht. Eine WLAN Passphrase ist schnell bekannt, es wird sich aber niemand in das WLAN Lager einloggen, wenn man nicht surfen kann.
Im DC/DHCP Server einen neuen IPv4 Bereich anlegen:
Name: WLAN-Lager
Start-IP-Adresse: 172.16.101.50 (so kann man die ersten 50 IPs fest vergeben zB für Lancom APs)
Ende-IP-Adresse: 172.16.101.199 (so kann man die letzten 50 IPs fest vergeben zB für PDs/Scanner)
Achtung: Länge auf 24 (255.255.255.0) ändern, vorgeschlagen wird 18.
Folgende Optionen konfigurieren:
003 Router = interne IP Adresse des Sophos UTM Interface WLAN-Lager
004 Time Server = DNS Server (DC) + interne IP Adresse Sophos UTM Interface WLAN-Lager
006 DNS Server = DNS Server (DC) + interne IP Adresse Sophos UTM Interface WLAN-Lager
015 DNS Domain Name = meineDomain.local
044 WINS/NBNS Server = DNS Server (DC)
046 WINS/NBT Node Type = 0×8
In der Sophos UTM
unter Network Services -> DHCP |Relay| "Interfaces" das WLAN-Lager Interface und das Interface, in dem der DHCP Server ist, einfügen.
Einrichtung Lancom AP
am Beispiel L-321agn Wireless, Firmware 8.82
Bei der Konfiguration des Lancom APs sollte man das serielle Kabel benutzten, da man sich beim Anlegen des VLANs und des anderen IP-Kreis selber ausschließt. Ohne das Kabel sollte man den AP ein einem Vorgang durchkonfigurieren.
Als erstes spielen wir die neuste Firmware auf (mindestens 8.8.2) und resetten das Gerät, danach nimmt es sich in der Regel die IP .254 im lokalem Netz, Lanconfig findet den AP über die Suche. Den Assistenten abbrechen und den AP manuell konfigurieren.
Management -> Allgemein "Gerätename" AP-Lancom-01 (analog des Namen in der Sophos UTM)
Management -> Admin "Haupt-Geräte-Password" setzten.
Wireless-LAN -> Allgemein "Physikalische WLAN Einst." |Betrieb| "WLAN-Betriebsart" 'Basisstation'
Wireless-LAN -> Allgemein "Physikalische WLAN Einst." |Radio|
Hier wird der reine G-Modus verwendet, als Kanäle sollte bei allen APs nur 1,6,11 genutzten werden, alle anderen überlappen sich. Rein theoretisch ginge auch 1,7,13, aber einige Geräte können Kanale 13 nicht.
Wireless-LAN -> Allgemein "Logische WLAN Einstellungen" WLAN-Netzwerk 1 |Netzwerk| 'WLAN-Netzwerk aktiviert auf 'aus'.
Wenn hier auch das Internal WLAN konfiguriert ist, natürlich nicht.
Wireless-LAN -> Allgemein "Logische WLAN Einstellungen" WLAN-Netzwerk 2 |Netzwerk|
Der MAC-Filter wird nachher in der Sophos gesetzt, nicht hier.
Wireless-LAN -> Security "Datenverkehr nicht zulassen zwischen Stationen unterschiedlicher SSIDs aller APs" aktivieren
Wireless-LAN -> 802.11i/WEP "WPA-/ Einzel-WEP-Einstell..." Wireless Netzwerk 2 (also SSID Lager) WPA-Version auf WPA2 setzten und den Schlüssel eintragen, bei allen APs den gleichen.
Als nächstes kommt die VLAN Konfiguration:
Unter Schnittstellen -> VLAN
VLAN-Modul aktiviert 'Ja'
VLAN-Tagging-Modus ist 8100
"VLAN-Tabelle":
Hier wird konfiguriert das auf dem LAN-1 Interface des APs das VLAN 1 und 1101 angenommen werden.
Unter Schnittstellen -> VLAN "Port-Tabelle" nur ändern
- LAN-1: Lokales Netzwerk 1 "Tagging-Modus" 'Gemischt' "Auf diesem Port Pakete erlauben, die zu anderen VLANs gehören" 'Ja' Port-VLAN-ID: '1' // Nicht 1.101
- WLAN-1-2 Wireless Netzwerk 2
Hier wird abgeschaltet, das andere VLAN auf dem WLAN ankommen. Auf dem WLAN selber gibt es keinen VLAN Tag.
Mehr ist für das VLAN-Tagging nicht zu tun.
Unter Schnittstellen -> IGMP-Snooping "IGMP-Snooping-Modul aktivieren" 'Ja'
Unter Datum/Zeit -> Allgemein "Zeitzone" einstellen.
Unter Datum/Zeit -> Synchronisierung "Regelmäßig mit einem Zeitserver (NTP) synchronisieren" wählen
"NTP-Client-Einstellungen" "Abfrage Intervall:" '345'
"Anzahl Versuche:" '0' //= unendlich
"Zeit Server" "Hinzufügen"
Als ersten die IP des Sophos UTM Netzwerk-Interfaces WLAN-Lager (hier 172.16.101.1)
als zweiten pool.ntp.org. Die "Absender-Adresse" kann leer bleiben.
Als nächstes die schon im Standard angelegten Netzwerke INTRANET und DMZ löschen:
Unter:
IPv4 -> Allgemein "IP-Netzwerke"
IP-Router -> Allgemein "RIP-Netzwerke"
NetBIOS -> Allgemein "NetBIOS-Netzwerke"
IPv4 -> DHCP "DHCP-Netzwerke"
Unter IPv4 -> Allgemein "IP-Netzwerke" das Netzwerk LAGER anlegen:
Bei einem reinem Bridge WLAN -> ist das nicht nötig, für die Verwaltung des AP über die IP 172.16.101.2 schon.
VLAN-ID ist nur aus praktischen Gründen = Schnittstellen Tag
Unter IP-Router > Routing "IPv4-Routing-Tabelle" einen neuen Eintrag "Default-Route" erstellen (einfach drauf klicken).
Jetzt den AP an Interface WLAN-Lager der Sophos UTM anschließen oder an einem Switch der das VLAN Tag 1101 weiter gibt.
Dann im Lanconfig die neue IP des AP hinzufügen.
Münster AD 2013