Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 3 subscribers
  • Views 2873 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM Hotspot (Public WLAN): Best practices

AndréAegerter

Hi zusammen

 

Generelle Frage in Bezug Public WLAN und Sicherheit

Gibt es eine Art Best Practices (Guide), wie ein Public WLAN oder auch Guest WLAN genannt, einzurichten ist? Da gehört aus meiner Sicht auch das Thema "Country-Blocking" dazu :-)

Vielleicht ein Anstoss, auf was ich hinaus möchte: Beispiel ausgehende Datenverbindungen: Ich könnte jetzt behaupten, da wir einen öffentlichen Hotspot haben, darf ich/ sollte ich vielleicht sogar KEINE Dienste blocken, sprich, ausgehend würde dann meine Regel so aussehen: Quellnetzwerk: WLAN Hotspot => Dienste: any => Ziel: Objekt "Internet", fertig.

 

Situation

Bezogen auf unsere Firma (sehr wahrscheinlich in den meisten KMU's ähnlich wie bei uns) dient dies Gästen, welche zu uns kommen und z.B. ein Vortrag halten, Ihren NB mit Netz verbinden wollen (in der Regel ist nur Internet verlangt) - vielleicht noch einen Beamer anschliessen wollen und voilà.

 

Freue mich auf zahlreiche Antworten ;)
Bis bald, Andrew



This thread was automatically locked due to age.
Parents
  • 0

    Moin,

    ich habe es wie folgt konfiguriert:

    - eigenes Gast W-Lan Netzwerk aus einem anderen Netzbereich

    - öffentlicher DNS Server (nicht den DNS-Server aus der Firma) im Sophos Gast DHCP-Server hinterlegt

    - HotSpot eingerichtet mit der Voucherfunktion

    - HTTPS Unterstützung für die Voucheranmeldeseite (ohne auftretende HTTPS-Warnmeldung durch hinterlegtes öffentliches Wildcardzertifikat + öffentliche Subdomain, welche auf die interne Gast W-Lan Schnittstelle mittels interner IP verweist)

    - Webfilter ohne HTTPS-Scan aber mit URL-Logging.

    - Firewallregel für Mail / VPN = Gast W-Lan Netzwerk -> Mail/VPN -> Internet

    - Für die Gast W-Lan Schnittstelle ist der Countryfilter / IPS /ATP aktiv

    - W-Lan ist nur zwischen 8-20 Uhr aktiv, Client Isolation, 5GHz

     

    So ist das bei uns.

    Gruß, Jonas

  • 0 in reply to Jonas92

    Jonas92 said:

    Moin,

    ich habe es wie folgt konfiguriert:

    - eigenes Gast W-Lan Netzwerk aus einem anderen Netzbereich

    - öffentlicher DNS Server (nicht den DNS-Server aus der Firma) im Sophos Gast DHCP-Server hinterlegt

    - HotSpot eingerichtet mit der Voucherfunktion

     ...

    Funktioniert eigentlich die Hotspot Funktion, wenn man einen öffentlichen DNS Server auf dem Client verwendet?

    Gruß

    Alex

    -

  • 0 in reply to Alexander Busch

    Klar, das ist ja der Trick ;-)

    Du erstellst eine öffentliche Subdomain. zb. guest.Firma.de. Als A-Record hinterlegst du die interne IP-Adresse der Gast-Wlan Schnittstelle.

    Wenn dann dein Endgerät über den öffentlichen DNS-Server die guest.Firma.de auflöst und das Gerät erhält durch den A-Record die interne IP-Adresse der Gast W-Lan Schnittstelle zurück, kann die Voucherseite problemlos aufgerufen und sich eingeloggt werden. Mit HTTPS-Support und Einsatz öffentlicher DNS-Server :)

     

    @AndréAegerter: Wenn du deinen lokalen Mailserver auf eine WAN IP-Adresse gesetzt hast, welche exclusiv nur für den Mailverkehr / OWA  /ActiveSync reserviert ist, kannst du alle Länder und Dienste sperren und in der Countryfilter-Whitelist daraufhin nur SMTP / SMTP TLS / SMTP SSL eingehend /ausgehend freigeben für die Schnittstelle. OWA /ActiveSync würde ich wenn es nur ein national agierendes unternehmen ist, auf DE beschränken. 

     

     

    Gruß,

    Jonas

Reply
  • 0 in reply to Alexander Busch

    Klar, das ist ja der Trick ;-)

    Du erstellst eine öffentliche Subdomain. zb. guest.Firma.de. Als A-Record hinterlegst du die interne IP-Adresse der Gast-Wlan Schnittstelle.

    Wenn dann dein Endgerät über den öffentlichen DNS-Server die guest.Firma.de auflöst und das Gerät erhält durch den A-Record die interne IP-Adresse der Gast W-Lan Schnittstelle zurück, kann die Voucherseite problemlos aufgerufen und sich eingeloggt werden. Mit HTTPS-Support und Einsatz öffentlicher DNS-Server :)

     

    @AndréAegerter: Wenn du deinen lokalen Mailserver auf eine WAN IP-Adresse gesetzt hast, welche exclusiv nur für den Mailverkehr / OWA  /ActiveSync reserviert ist, kannst du alle Länder und Dienste sperren und in der Countryfilter-Whitelist daraufhin nur SMTP / SMTP TLS / SMTP SSL eingehend /ausgehend freigeben für die Schnittstelle. OWA /ActiveSync würde ich wenn es nur ein national agierendes unternehmen ist, auf DE beschränken. 

     

     

    Gruß,

    Jonas

Children
  • 0 in reply to Jonas92

    Jonas92 said:

    Klar, das ist ja der Trick ;-)

    Du erstellst eine öffentliche Subdomain. zb. guest.Firma.de. Als A-Record hinterlegst du die interne IP-Adresse der Gast-Wlan Schnittstelle.

    Wenn dann dein Endgerät über den öffentlichen DNS-Server die guest.Firma.de auflöst und das Gerät erhält durch den A-Record die interne IP-Adresse der Gast W-Lan Schnittstelle zurück, kann die Voucherseite problemlos aufgerufen und sich eingeloggt werden. Mit HTTPS-Support und Einsatz öffentlicher DNS-Server :)

     

    ...

    Hi Jonas,

    sorry, eine Sache verstehe ich noch nicht. Wenn der öffentliche A-Record auf meine interne Adresse zeigt, wie bekomme ich dann Let's Encrypt dazu mir auf diese Adresse das Zertifikat auszustellen?

    Beste Grüße

    Alex

    -

  • 0 in reply to Alexander Busch

    Moin,

    da ich nicht mit LE Zertifikaten arbeite, kann ich dir die Vorgehensweise nicht mitteilen.

    Aber generell spielt doch ein beim erstellen des (Wildcard)Zertifikats eine IP-Adresse keine Rolle?!

    Läuft das bei Lets Encrypt etwa anders? 

     

    Gruß,

    Jonas

Unfiltered HTML