Sophos UTM Hotspot (Public WLAN): Best practices

Moin,

ich habe es wie folgt konfiguriert:

- eigenes Gast W-Lan Netzwerk aus einem anderen Netzbereich

- öffentlicher DNS Server (nicht den DNS-Server aus der Firma) im Sophos Gast DHCP-Server hinterlegt

- HotSpot eingerichtet mit der Voucherfunktion

- HTTPS Unterstützung für die Voucheranmeldeseite (ohne auftretende HTTPS-Warnmeldung durch hinterlegtes öffentliches Wildcardzertifikat + öffentliche Subdomain, welche auf die interne Gast W-Lan Schnittstelle mittels interner IP verweist)

- Webfilter ohne HTTPS-Scan aber mit URL-Logging.

- Firewallregel für Mail / VPN = Gast W-Lan Netzwerk -> Mail/VPN -> Internet

- Für die Gast W-Lan Schnittstelle ist der Countryfilter / IPS /ATP aktiv

- W-Lan ist nur zwischen 8-20 Uhr aktiv, Client Isolation, 5GHz

So ist das bei uns.

Gruß, Jonas

Ok, hört sich bzw. liest sich so mal schon ganz gut, wie Ihr die Restriktionen für den Öffentlichen Hotspot  eingerichtet habt.

Frage betreffend Country-Filter: habe jetzt gerade keine Sophos UTM vor mir, aber so aus dem Kopf heraus hatte es - spoweit ich mich erinnern kann, zwei Haupt Register

- beim ersten kann man Coutry-Filter für zig Länder entweder bzw. entweder für ALLE Länder aktivieren, nur ausgehend, nur eingehend, gemischt usw. 
   Dabei stellte ich aber keine Möglichkeit fest (auf diesem Register), irgendwie zu sagen, für welches Netz ich nun Land X, Land Y etc. blockieren will. 

Für welche Netzwerke ist dann der Counry- Filter aktiv, wenn ich jetzt z.B. sage, ausgehend will ich die Kommunikation mit China blockieren?

- beim zweiten Register (Ausnahmen): Erst hier fand ich Möglichkeiten, auch ein Netzwerk oder Schnittstelle definieren zu können (weiss es nicht auswendig genau)

Wie habt Ihr das genau gelöst?

cheers
Andrew

Moin,

noch eine kleine Ergänzung, welche nicht ganz unwichtig ist: Wenn ihr den Webfilter einsetzt und verschiedene weitere Netzwerke (zb hier das Gast Wlan) einsetzt, nutzt die Netzwerk Ausnahmeliste für Zielnetzwerke unter Webfilter-> Filteroption -> Sonstiges und setzt alle internen Netzwerke rein (gilt halt nicht für Sonderkonfigurstionen). Ansonsten habt ihr über den Webfilter(ports) Zugriff auf die anderen Netzwerke. Gilt besonders für das Gast W-Lan Netzwerk als auch für die DMZ.

Zum Countryfilter:

Genau, der erste Reiter gilt generell und kann dort noch nicht auf einzelne Netzwerke heruntergebrochen werden. Deswegen habe ich den Countryfilter sehr strikt eingestellt und im Countryfilter-Ausnahmebereich gewhitelisted, zb. den SMTP Dienst für unsere SMPT-WAN-Schnittstelle

Gruß, Jonas

Betreffend Webfilter: Spannend, war mir so jetzt nicht bekannt.
Aber glaube, muss dann die Sophos UTM vor mir haben und die Einstellungen kurz prüfen, damit ich es besser nachvollziehen kannst was Du meinst.

Betreffend Country-Blocker: Habe ich mir gedacht, dass es anders gar nicht lösbar ist.
Denn ich kann mich noch an eine Situation von früher erinnern, als dann irgend was nicht mehr funktioniert hat (möglicherwiese eine Mail), weil ich ein Land gesperrt hatte und voilà ..Dann noch daran zu denken, dass der Country-Blocker schuld ist, besonders dann, wenn die Einstellung schon einen Moment als ist und das Problem mit dem Mail dann xy Tage später auftritt, war zumindest damal, so erinnere ich mich noch, nicht so ganz triviial gewesen zum Herausfinden :-)

Kann mir gut vorstellen, dass man ein wenig aufpassen muss, denn wenn man z.B. irgendwelche Mailanbieter und oder sonstige Anbieter aus anderen Ländern nicht im Hinterkopf hat und dann blöderweise genau ein solches Land blockt und eben, oft treten ja Probleme nicht immer glelch nach einer Umstellung vor sondern irgendwann später ....ja ...man muss aufpassen :-)

Betreffend Webfilter: Spannend, war mir so jetzt nicht bekannt.
Aber glaube, muss dann die Sophos UTM vor mir haben und die Einstellungen kurz prüfen, damit ich es besser nachvollziehen kannst was Du meinst.

Betreffend Country-Blocker: Habe ich mir gedacht, dass es anders gar nicht lösbar ist.
Denn ich kann mich noch an eine Situation von früher erinnern, als dann irgend was nicht mehr funktioniert hat (möglicherwiese eine Mail), weil ich ein Land gesperrt hatte und voilà ..Dann noch daran zu denken, dass der Country-Blocker schuld ist, besonders dann, wenn die Einstellung schon einen Moment als ist und das Problem mit dem Mail dann xy Tage später auftritt, war zumindest damal, so erinnere ich mich noch, nicht so ganz triviial gewesen zum Herausfinden :-)

Kann mir gut vorstellen, dass man ein wenig aufpassen muss, denn wenn man z.B. irgendwelche Mailanbieter und oder sonstige Anbieter aus anderen Ländern nicht im Hinterkopf hat und dann blöderweise genau ein solches Land blockt und eben, oft treten ja Probleme nicht immer glelch nach einer Umstellung vor sondern irgendwann später ....ja ...man muss aufpassen :-)