Das WLAN steht in den Geräten "Black Dwarf", "RC100" und "RC200" ab der Auslieferung oder aber als Nachrüstsatz zur Verfügung.
Die Geräte/Nachrüstsätze sind ausschließlich über die Securepoint GmbH oder die Wortmann AG zu beziehen.
Fremdprodukte werden nicht unterstützt.
Eine detaillierte Anleitung zum nachträglichen Einbau findet sich hier.
Achtung: Es handelt sich in dieser Anleitung der WLAN-Einrichtung um keine Bridge-Konfiguration. Der WLAN-IP-Kreis muss in einem eigenständigen Subnetz liegen. Wie auch bei jeder DMZ sind ggf. Regeln und HideNATs zu erstellen, um den Zugriff auf das Internet/lokale Netz zu ermöglichen.
Soll eine Bridge eingerichtet werden, in der das WLAN und das interne Netzwerk im selben IP-Netz liegen, ist die entsprechende Anleitung für Bridging zu verwenden.
Es können sich bis zu 28 Clients mit dem WLAN der UTM verbinden
Aufruf der WLAN-Konfiguration im Menü Netzwerk Netzwerkkonfiguration Bereich WLAN
Die genutzten Frequenzen und die Sendeleistung lassen sich in einem Wikipedia-Artikel nachlesen.
Kanal:
AUTO
Der Kanal kann, je nach Modus, individuell festgelegt oder automatisch gewählt werden.
Beacon-Intervall:
100(default)
Frequenz in ms mit der die Basistation allgemeine Informations- und Management-Pakete mit Identifikationsdaten aussendet, um über seine Anwesenheit informieren
Die Adresse des Interfaces legt auch automatisch das verwendete Netz für das WLAN fest.
Das für das WLAN gewählte Netz (in diesem Fall 192.168.177.0/24) darf auf keinen Fall mit einem anderen Netz auf der Appliance übereinstimmen!
Schritt 2 - SSID
Schritt 2 - SSID
Netzname (SSID):
TTT-Point-WLAN
Der Name des Netzes, das andere Geräte für eine Verbindung angeben müssen
Schritt 2 - SSID
SSID-Broadcast:
Ein
Bei Aktivierung wird das WLAN für andere Geräte angezeigt.
Schritt 3 - Authentifizierung
Schritt 3 - Authentifizierung
Sicherheitsmodus:
WPA
Gilt als unsicher und ist lediglich aus Gründen der Abwärtskompatibilität vorhanden.
Schritt 3 - Authentifizierung
WPA2
Standard mit erhöhter Sicherheit
WPA3
Standard mit höchster verfügbarer Sicherheit.
Management Mode:
PSK
Pre Shared Key. Basistation und Mobilgerät müssen über den selben PSK (≙Kennwort) verfügen. Die Sicherheit der Verschlüsselung hängt unmittelbar von der Länge und der Komplexität des PSKs ab! Kurze oder leicht zu erratende PSKs gefährden die Netzwerksicherheit. Es wird automatisch ein sicherer PSK vorgeschlagen, der sich mit neu erzeugen lässt.
SAE
Simultaneous Authentication of Equals: (Nur bei WPA3)
Nutzt ebenfalls einen PSK, verwendet aber ein verbessertes Verfahren zum Schlüsselaustausch.
Aus dem Passwort wird ein eindeutiger aber bei jedem Client anderer Pairwise Master Key (PMK) abgeleitet. Trotz Verwendung eines für alle Clients gleichen Passworts erhält jeder Client einen eigenen PMK. Aus dem PMK werden mittels Vier-Wege-Handshake zwischen WLAN-Client und dem Authentifikationsserver Pairwise Transient Keys (PTK) abgeleitet, mit denen die eigentliche Verschlüsselung der Daten erfolgt.
EAP
Extensible Authentication Protocol / WPA Enterprise: Authentifizierung über einen Radius Server. (Dieser wird unter Authentifizierung Radius Authentifizierung festgelegt.)
OWE
Opportunistic Wireless Encryption: Verschlüsselte Verbindungen ohne Passwort. Kann z.B. für das Captive Portal genutzt werden
Schritt 4 - Zonen
Schritt 4 - Zonen
Neue Zone:
Ein
Legt eine neue Zone für das WLAN an.
Jedes WLAN benötigt eine eigene Zone.
Es kann für jedes WLAN eine eigene Zone (mit eigenen Portfilterregeln) erstellt werden
Schritt 4 - Zonen
Regeln generieren:
Ein
Erstellt einen Portfilter Regelsatz für diese Schnittstelle mit any-Regeln.
Diese dienen lediglich dazu, das Netzwerk temporär in Betrieb zu nehmen und sollten unbedingt durch individuelle Portfilterregeln ersetzt werden! (Menü → Firewall →Portfilter)
Soll der Transparente Modus des HTTP-Proxys genutzt werden, muss dieses zusätzlich konfiguriert werden: → Anwendungen →HTTP-ProxyReiter Transparenter Modus Schaltfläche Transparente Regel hinzufügen
DHCP-Pool anlegen:
Ein
Legt einen DHCP-Pool mit dem gewählten Netz und der Schnittstellen-IP al Router-Adresse an. Bearbeiten im Abschnitt DHCP-Pools
Fertig
Abschluss des Assistenten und speichern der Einstellungen
WLAN Einstellungen bearbeiten
WLAN Einstellungen bearbeiten
Abschnitt Allgemein
BSS
Anyideas
Interface Name - wird vorgegeben und lässt sich nicht ändern. (ist Bestandteil des Basic service Set)
Endgeräte können ihre Frames mit einem Tag versehen, wodurch die Priorität beeinflusst wird.
Management Frame Protection (MFP):
Deaktiviert Optional Erforderlich
Ermöglicht bei Aktivierung eine Verschlüsselung der Kommunikation für den Aufbau und Betrieb der Datenverbindung nach IEEE 802.11w Erhöht damit Netzwerksicherheit und verhindert z.B. Man in the Middle Anfgriffe. Erfordert WPA2 oder WPA3
WPA Group Rekeying:
600(default)
Der eingetragene Wert gibt das Zeitintervall in Sekunden an, indem die Verschlüsselung neu ausgehandelt wird.