Wifi Netzwerk durch Sophos UTM Wireless Protection & Firewall abgesichert
Einrichtung eines WLAN für den internen Gebrauch,
genutzt wird ein (oder mehrere) AP(s) von Lancom
und als Firewall die Sophos UTM V9 mit aktivierter Wireless Protection. so ist es möglich eine vorhandene WLAN Infrastruktur weiter zu nutzen.
Das Interne WLAN ist durch VLAN-Tagging von allen anderen Netzwerken getrennt, hat einen eigenen IP-Kreis und eine eigene SSID.
.
.
Ein WLAN-Key /Preshared Key ist oft nach wenigen Wochen bekannt und User loggen sich unberechtigt in das Netzwerk ein, meistens mit einem Smartphone. In diesem Szenario stellt das kein Sicherheitsrisiko da, weil jedes Gerät zum Zugriff einen Voucher benötigt und selbst dann nur einen sehr eingeschränkten Zugriff auf das interne LAN hat. Jeder weitergehende Zugriff wird userabhängig vergeben und ist an Active Directory Gruppen gebunden.
.
.
Windows Notebooks werden durch den SSA (Sophos Authtentication Agent) auf Userbasis an der UTM durch das AD authentifiziert und erhalten dadurch die gewollten Zugriffsrechte. Ohne SAA/Authentifizierung (iPad, Smartphones) ist nur das OWA des internen Mailservers (z.B. Exchange 2013) und ein eingeschränkter Internetzugang nutzbar. Beide Gruppen müssen sich erst über einen Voucher anmelden, der durch die Wireless Protection der Sophos UTM Astaro ausgegeben und überprüft wird. Eine MAC Filterliste wird nicht benutzt.
.
.
Folgende Anmerkung sollte Sie vorher lesen:
Sophos AP für Wireless Protection
Folgende Konfiguration vorher durchführen:
DNS Sophos UTM 9
Authentication Servers Active Directory SSO
WPAD für Web Protection
Userportal Sophos UTM 9
.
.
Interface | SSID | Funktion |
WLAN-1 | Internal | Firmenclients |
WLAN-1-2 | Lager | Scanner/PDA Lager |
WLAN-1-3 | Gast | Gast-WLAN |
.
.
Konfiguration des Sophos UTM:
Für das interne WLAN wird ein eigenes Interfaces verwendet, dieses wird VLAN getagt, um es von den anderen Netzen trennen zu können.
.
um welches IPv4/IPv6 Subnet bzw VLAN es sich handelt |
||||||
---|---|---|---|---|---|---|
Beispiel | VLAN | Beispiel IPv6 /64 Subnet | - | |||
x | 10.10.x.XXX | XXXX | 10.0.125.0/24 | 0125 | 2001:4hh0:fbd5:0125: :/64 | es geht nur 0 und 4 (bis 4095) |
1 | 172.016.XXX | 1XXX | 172.16.040.0/24 | 1040 | 2001:4hh0:fbd5:1040:: /64 | eigentlich Class B, hier immer Class C |
2 | 192.168.XXX | 2XXX | 192.168.140.0/24 | 2140 | 2001:4hh0:fbd5:2140:: /64 |
.
Unter Interfaces & Routing -> Interfaces |Interfaces| "+New interface"
Name: WLAN-Internal
Type= 'Ethernet VLAN'
Hardware = freies eth wählen (oder eines das schon von anderen VLAN-Netzwerke genutzt wird z.B. WLAN-Lager
TAG VLAN Tag: 1100
IPv4 Adresse: 172.16.100.0 Netmask: /24 (255.255.255.0)
IPv4 Default GW: Nein
.
.
Unter
Network Services -> DNS |Global| "Allowed Networks" das WLAN-Internal (Network) hinzufügen, sonst sind DNS Abfragen nicht möglich und der Hotspot funktioniert nicht. Vorher in der UTM DNS konfigurieren.
.
.
Unter Network Services -> NTP |Global| "Allowed Networks" das WLAN-Internal (Network) hinzufügen, sonst sind NTP Abfragen nicht möglich.
.
.
In diesem Fall ist der AP schon bei der Erstellung des WLAN-Lager angelegt worden,
eigentlich reicht das, das man diese Definition nur braucht, um den AP zu konfigurieren und monitoren.
Unter Definition & Users -> Network Definitions |Network Definitions| "New network definition" den Lancom AP mit seiner festen IP als Host anlegen:
.
Das natürlich für alle verwendeten Lancom Aps machen. Um alle APs noch per Web oder Lanconfig administrieren zu können, eine Network Group anlegen unter
Definition & Users -> Network Definitions |Network Definitions| "New network definition" 'Network group' Name: AP-Lancom
.
.
Danach wird noch eine Firewall Rule benötigt um vom internen Netzwerk/Admin PC per Lanconfig die APs verwalten zu können:
Network Protection -> Firewall |Rules| "New rule" Sources: Host Admin PC Services: HTTPS, SSH, Telnet, SNMP Destinations: AP-Lancom (Die vorher angelegte Gruppe)
.
.
Da wir im Internen WLAN Adressen per DHCP vergeben, ist es praktisch, wenn der interne Windows DC/DHCP Server diese vergibt.
Im DC/DHCP Server einen neuen IPv4 Bereich anlegen:
Name: WLAN-Internal
Start-IP-Adresse: 172.16.100.50 (so kann man die ersten 50 IPs fest vergeben zB für Lancom APs)
Ende-IP-Adresse: 172.16.100.199 (so kann man die letzten 50 IPs fest vergeben)
Achtung: Länge auf 24 (255.255.255.0) ändern, vorgeschlagen wird 18.
Folgende Optionen konfigurieren:
003 Router = interne IP Adresse des Sophos UTM Interface WLAN-Internal // 172.16.100.1
004 Time Server = 1. DNS Server (DC) | 2. interne IP Adresse Sophos UTM Interface WLAN-Internal
006 DNS Server = 1. interne IP Adresse Sophos UTM Interface WLAN-Internal | 2. DNS Server (DC)
015 DNS Domain Name = meineDomain.local
044 WINS/NBNS Server = DNS Server (DC)
046 WINS/NBT Node Type = 0×8
.
.
In der Sophos UTM unter
Network Services -> DHCP |Relay| "Interfaces" das WLAN-Internal Interface einfügen. Das Interface, in dem sich der DHCP Server befindet, muss natürlich auch eingetragen werden:
.
.
Um gegebenenfalls noch am Webproxy vorbei auf Dienste im Internet zugreifen zu können, muss man für IPv4 das Masquerading aktivieren:
Network Protection -> NAT |Masquerading| "New Masquerading rule"
Einrichtung Lancom AP
Am Beispiel L-321agn Wireless, Firmware 8.82
.
Bei der Konfiguration des Lancom APs sollte man das serielle Kabel benutzten, da man sich beim Anlegen des VLANs und des anderen IP-Kreis selber ausschließt. Ohne das Kabel sollte man den AP in einem Vorgang durchkonfigurieren.
.
.
Als erstes spielen wir die neuste Firmware auf (mindestens 8.8.2) und resetten das Gerät, danach nimmt es sich in der Regel die IP .254 im lokalem Netz, Lanconfig findet den AP über die Suche. Den Assistenten abbrechen und den Lancom AP manuell konfigurieren. Falls schon eine Config eingespielt ist z.B. WLAN-Lager, dann diese Schritte zusätzlich einführen.
.
Management -> Allgemein "Gerätename" AP-Lancom-01 (analog des Namen in der Sophos UTM)
.
Management -> Admin "Haupt-Geräte-Password" setzten.
Wireless-LAN -> Allgemein "Physikalische WLAN Einst." |Betrieb| "WLAN-Betriebsart" 'Basisstation'
.
Wireless-LAN -> Allgemein "Physikalische WLAN Einst." |Radio|
Hier wird der reine G-Modus verwendet, als Kanäle sollte bei allen APs nur 1,6,11 genutzten werden, alle anderen überlappen sich. Rein theoretisch ginge auch 1,7,13, aber einige Geräte/Smartphones können Kanale 13 nicht.
.
.
Folgende WLAN/SSID werden auf dieser Webseite in 3 How to's eingerichtet:
.
Interface | SSID | Funktion |
WLAN-1 | Internal | Firmenclients |
WLAN-1-2 | Lager | Scanner/PDA Lager |
WLAN-1-3 | Gast | Gast-WLAN |
.
Wireless-LAN -> Allgemein "Logische WLAN Einstellungen" WLAN-Netzwerk 1 |Netzwerk|
Wireless-LAN -> Security "Datenverkehr nicht zulassen zwischen Stationen unterschiedlicher SSIDs aller APs" aktivieren
Wireless-LAN -> 802.11i/WEP "WPA-/ Einzel-WEP-Einstell..." Wireless Netzwerk 1 (also SSID Internal) WPA-Version auf WPA2 setzten und den Schlüssel eintragen, bei allen APs den Gleichen.
.
.
Als nächstes kommt die VLAN Konfiguration: Unter Schnittstellen -> VLAN
VLAN-Modul aktiviert 'Ja'
VLAN-Tagging-Modus ist 8100
"VLAN-Tabelle":
Hier wird konfiguriert das auf dem LAN-1 Interface des APs das VLAN 1, 1101 (Lager) und 1100 (Internal) angenommen werden.
Unter Schnittstellen -> VLAN "Port-Tabelle" nur ändern - LAN-1: Lokales Netzwerk 1 "Tagging-Modus" 'Gemischt'
"Auf diesem Port Pakete erlauben, die zu anderen VLANs gehören" 'Ja' Port-VLAN-ID: '1' // Nicht 1.101 oder 1100
.
.
- WLAN-1 Wireless Netzwerk
Hier wird abgeschaltet, das andere VLAN auf dem WLAN ankommen. Auf dem WLAN selber gibt es keinen VLAN Tag.
Unter Schnittstellen -> IGMP-Snooping "IGMP-Snooping-Modul aktivieren" 'Ja'
.
.
Unter Datum/Zeit -> Allgemein "Zeitzone" einstellen.
Unter
Datum/Zeit -> Synchronisierung "Regelmäßig mit einem Zeitserver (NTP) synchronisieren" wählen
"NTP-Client-Einstellungen" "Abfrage Intervall:" '345' "Anzahl Versuche:" '0' //= unendlich
"Zeit Server" "Hinzufügen"
Als ersten die IP des Sophos UTM Netzwerk-Interfaces WLAN-Internal (hier 172.16.100.1) als zweiten pool.ntp.org. Die "Absender-Adresse" kann leer bleiben.
.
.
Als nächstes die schon im Standard angelegten Netzwerke INTRANET und DMZ löschen:
IPv4 -> Allgemein "IP-Netzwerke"
IP-Router -> Allgemein "RIP-Netzwerke"
NetBIOS -> Allgemein "NetBIOS-Netzwerke"
IPv4 -> DHCP "DHCP-Netzwerke"
.
.
Unter IPv4 -> Allgemein "IP-Netzwerke" das Netzwerk INTERNAL anlegen
VLAN-ID ist nur aus praktischen Gründen = Schnittstellen Tag
.
.
Unter IP-Router > Routing "IPv4-Routing-Tabelle" einen neuen Eintrag erstellen:
Sämtlicher Traffic des Lancom vom WLAN-Internal wird so in die Sophos UTM Astaro geroutet, DNS, NTP, Lanconfig etc.
Bei einem reinem Bridge WLAN -> ist das nicht nötig, für die Verwaltung des AP über die IP 172.16.100.2 schon.
.
Jetzt den AP an Interface WLAN-Internal der Sophos UTM anschließen oder an den Switch, der das VLAN Tag 1100 von dem Interaface weiter gibt.
Dann im Lanconfig die neue IP des AP hinzufügen.
Wireless Protection
In der Sophos UTM wird jetzt die Wireless Protection aktiviert und konfiguriert. Die Abfrage des Vouchers hat nichts dem einem Internetzugang zu tun, der Voucher ist sozusagen die Eintrittskarte. Der Hotspot wird an einem Interface abgefragt, rein theoretisch könnte man so jedes Interface/Netzwerk schützen. Auch bei Firewall Regeln, die z.B. den Zugriff von WLAN-Internal ins interne LAN erlauben, muss man sich vorher durch einen Voucher authentifizieren.
.
.
Wireless Protection -> Global Setting |Gobal Settings| "Wireless Protection Status" auf aktiv setzten.
Wireless Protection -> Global Setting |Gobal Settings| "Allowed interfaces" das WLAN-Internal hinzufügen:
.
.
Jetzt wird der Hotspot erstellt, also die "Startseite" auf der man das Passwort des Vouchers eingeben kann.
Wireless Protection -> Hotspots |Hotspots| "Add Hotspot"
Dem Hotspot das richtige Interface zuordnen. Wichtig ist, das man nur 1 Device pro Voucher zulässt.
.
.
Wireless Protection -> Hotspot |Gobal| "Allword users" die User/Gruppe angeben,
die Vouchers aus dem Userportal heraus erstellen darf. Ein aktiviertes und konfiguriertes Userportal ist also Voraussetzung zur Nutzung der Wireless Protection.
Es ist sinnvoll für interne User Jahres-Voucher zu anzulegen, damit der administrative Aufwand überschaubar bleibt.
Wenn Vouchers ausgestellt werden, dann unbedingt im Feld Kommentar den Namen des Nutzers eintragen.
Mit dem Löschen des Vouchers zu einem beliebigen späteren Zeitpunkt kann man dem User den Zugriff zum WLAN entziehen.
.
Das WLAN-Internal wird jetzt in der Web Protection zum Surfen im Internet freigegeben.
Web Protection -> Web Filtering |Global| "Allowed networks" das Interface Network WLAN-Internal hinzufügen, somit wird einfache Profil des Webproxys zum Surfen genutzt.
.
.
Danach wird -als Beispiel- eine Firewall Regel erstellt, die den Benutzern des Netzwerkes die Nutzung des Mail Server Exchange 2013 über HTTPS ermöglicht.
Network Protection -> Firewall |Rules| "New rule"
Es sind so beliebig viele weitere Regeln möglich.
.
.
Als Nächstes werden im AD Gruppen erstellt, diese mit Gruppen in der UTM verknüpft und zur Erstellung von Firewall Regel herangezogen, die Anleitung ist unter Authtentication Server zu finden.
.
.
Wichtig: Das Interface 'WLAN-Internal' unter
Definition & Users -> Client Authentication "Allowed Networks" hinzufügen.
.
.
Unter Network Protection -> Firewall |Rules| "New rule"
.
Diese Regel erlaubt es Usern, mach dem Sie sich durch einen Vouchern und den SAA Agenten an der Sophos UTM angemeldet haben, den Zugriff auf den Server DC, um sich am AD zu authentifizieren und das für alle Netzwerke, auch für das WLAN Intern. Nach diesem Muster kann man beliebig viele Regeln erstellen. z.B. könnte man Terminal Usern durch eine weitere UTM-Gruppe und Firewall Regel den Port 3389 für den Zugriff auf den Terminalserver freigeben. Auch Windows-Clienten, die nicht in der Domäne sind, können so über den User im AD verifiziert werden (SAA notwendig) und so (beschränkten) Zugriff auf Server und Dienste im internen LAN bekommen. Der Internetzugang, der jetzt dem Standard Profil entspricht, kann durch ein Web Filtering Profile ergänzt werden (SAA notwendig).
.
Die Gruppe "Windows Networking (NETBIOS)" habe ich noch um 2 Services ergänzt:
Win-AD-1
Destination Port: 1025:5000
Source Port: 1025:5000
Win-AD-2
Destination Port: 49152:65535
Source Port: 49152:65535
Das sind zwar eine Menge freier Port, aber Windows 7/8 benutzen diese bei der Kommunikation mit dem AD.
.
.
Damit alle Clienten den Webproxy atomatsch finden, empfiehlt sich WPAD einzurichten.
Münster AD 2013