Securepoint UTM WLAN-Schnittstelle

Aus Securepoint Wiki
Version vom 14. Dezember 2016, 16:05 Uhr von Pascalm (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu:Navigation, Suche

WLAN-Funktion

Das WLAN steht in den Geräten "Super-Zwerg", "RC100" und "RC200" ab der Auslieferung oder aber als Nachrüstsatz zur Verfügung. Die Geräte/Nachrüstsätze sind ausschließlich über uns oder die Wortmann AG zu beziehen. Fremdprodukte werden nicht unterstützt. Eine detaillierte Anleitung zum nachträglichen Einbau finden Sie hier.


Achtung: Es handelt sich in dieser Anleitung der WLAN-Einrichtung um keine Bridge-Konfiguration, damit muss der WLAN-IP-Kreis in einem eigenständigen Subnetz liegen. Wie auch bei jeder DMZ sind ggf. Regeln und HideNATs zu erstellen, um den Zugriff auf das Internet/lokale Netz zu ermöglichen.
Möchten Sie eine Bridge einrichten, in der das WLAN und das interne Netzwerk im selben IP-Netz liegen, verwenden Sie bitte die entsprechende Anleitung.


WLAN-Einstellungen

In den WLAN-Einstellungen können Sie bestimmte WLAN-Optionen einstellen. Über "Modus" können Sie zwischen den drei Frequenzen bzw. Übertragunggeschwindigkeiten wählen. Die Option der 802.11n-Unterstützung bringt Ihnen eine maximale Bruttodatenrate von 300MBit/s. Ist diese Funktion aktiviert, müssen Sie die HT Capabilities festlegen. Diese Einstellung ist von den Clients im WLAN-Netz abhängig. Außerdem können Sie den Ländercode und den Kanal der WLAN-Netze festlegen.

Einrichten des Gerätes - WLAN hinzufügen

Um ein neues WLAN-Netz hinzuzufügen, klicken Sie in der Menüleiste auf den Punkt „Netzwerk“ und wählen Sie im Drop-Down-Menü „Netzwerkkonfiguration“ aus. Klicken Sie dann auf den Button „WLAN hinzufügen“.

Menü-Navigation
WLAN-hinzufügen

Einrichten des Gerätes - IP-Adresse

Geben Sie im ersten Schritt die IP-Adresse ein. Die eingegebene IP-Adresse ist die Adresse der UTM im WLAN-Netz. Der Name wird vorgegeben und lässt sich nicht ändern.
Achtung: Das für das WLAN gewählte Netz (in diesem Fall 192.168.200.0/24) darf auf keinen Fall mit einem anderen Netz auf der Securepoint übereinstimmen!

WLAN-hinzufügen

Nachdem Sie die IP-Adresse einegegeben haben, klicken Sie auf „Weiter“.

Einrichten des Gerätes - SSID

Im Nächsten Schritt geben Sie die SSID des WLAN ein, also den Namen, unter dem das WLAN auf anderen Geräten angezeigt wird. Außerdem wählen Sie, ob die Funktion „SSID Broadcast“1 aktiviert oder deaktiviert wird.

WLAN-hinzufügen

Nachdem Sie die SSID einegegeben haben, klicken Sie erneut auf „Weiter“.


Einrichten des Gerätes - Authentifizierung

Nachdem Sie ein WLAN-Netz erstellt haben, können Sie in den Optionen weitere Einstellungen vornehmen.

Authentifizierung

Einrichten des Gerätes - WLAN-Liste

Nach einem Klick auf „Fertig“ wird Ihr WLAN-Netzwerk in der Liste aufgeführt.

WLAN-Liste

Einrichten des Gerätes - Allgemeine Einstellungen

Unter dem Reiter „Allgemein“ können Sie die Schnittstellenbezeichnung (BSS) einsehen und die SSID des WLAN ändern. Außerdem können Sie die Funktion „SSID Broadcast“1 aktivieren bzw. deaktivieren.

Allgemeine Einstellungen

Einrichten des Gerätes - Authentifizierung

Unter Authentifizierung können Sie sämtliche Einstellung vornehmen, welche die Authentifizierung an dem WLAN beeinflussen. Die Einstellungen haben folgende Funktion:

  • Sicherheitsmodus:

WPA / WPA2: WPA2 nutzt den Verschlüsselungsstandard AES, WPA hingegen die bei WEP eingesetzte Stromchiffre RC4. Des Weiteren wurde bei WPA2 zusätzlich zu TKIP noch das Verschlüsselungsprotokoll CCMP hinzugefügt, welches nun auch WPA2 im Ad-hoc-Modus ermöglicht. Dieses soll auf lange Sicht auch TKIP ablösen.

  • Management Mode:

WPA-PSK: Bei WPA-PSK erfolgt die Authentifizierung durch einen sog. „Pre-Shared Key“, d. h. ein Passwort. Diese Passwort muss der Benutzer des WLAN beim Verbindungsaufbau eingeben, damit er Zugriff auf das WLAN erhält.

WPA-EAP: Bei WPA-EAP erfolgt die Authentifizierung extern über einen Server. Der Benutzer gibt also an dem Portal des WLAN seinen Benutzernamen und sein Kennwort an. Das Gerät gleicht die eingegebenen Benutzerdaten dann mit einem externen Server ab und lasst den Zugang entweder zu oder nicht.

Pre-Shared Key: Dieses Feld ist nur aktiv, wenn im darüber liegenden Drop-Down-Menü WPA-PSK gewählt ist. In dieses Feld wird das „Passwort“ eingetragen.

  • Verschlüsselungsalgorithmus:

CCMP:

http://de.wikipedia.org/wiki/CCMP

TKIP:

http://de.wikipedia.org/wiki/TKIP

Einrichten des Gerätes - Einstellungen

Über den Reiter „Einstellungen“ können folgende Funktionen verwaltet werden:

  • AP isolation:

Ist diese Funktion aktiviert, ist für ein Endgerät im WLAN-Netz nur die Firewall zu erreichen. Clients im selben WLAN-Netz können sich also untereinander nicht erreichen.

  • Wi-Fi Multimedia:

Ist diese Funktion aktiviert, können Endgeräte des WLAN-Netzes ihre Frames mit einem Tag versehen, wodurch die Priorität beeinflusst wird.

  • WPA Group Keying:

Der eingetragene Wert gibt den Zeitintervall in Sekunden an, indem die Verschlüsselung neu ausgehandelt wird.

  • Beacon Intervall:
http://de.wikipedia.org/wiki/IEEE_802.15.4

Erstellung der Netzwerkobjekte und Regeln

Damit die Kommunikation aus dem WLAN in das Internet funktioniert, müssen vorerst zwei Netzwerkobjekte angelegt werden, mit welchen im folgenden Schritt die erforderlichen Regeln gebaut werden.

Netzwerkobjekte anlegen

Rufen Sie den Portfiler der Firewall auf und klicken Sie auf den Reiter "Netzwerkobjekte". Klicken Sie nun unten rechts auf den Button "Objekt hinzufügen". Erstellen Sie nun das Netzwerkobjekt für das WLAN-Netzwerk. Bitte beachten Sie hierbei, dass der Typ auf "Netzwerk (Schnittstelle)" steht, unter "Schnittstelle" dann die entsprechende Schnittstelle (wlan0) ausgewählt wird und die Zone auf "wlan-0" steht. Klicken Sie auf "Speichern". Nachdem das Netzwerkobjekt für das WLAN-Netzwerk nun angelegt ist, wird noch das Netzwerkobjekt für das WLAN-Interface benötigt. Dazu klicken Sie erneut auf "Objekt hinzufügen". Wählen Sie unter Typ den Eintrag "dynamische Schnittstelle" aus und geben Sie im Feld "Schnittstelle" die Schnittstelle wlan0 an. Als letztes wird nun die Zone "firewall-wlan-0" ausgewählt und das Netzwerkobjekt gespeichert.

Regeln erstellen

Nachdem wir die Netzwerkobjekte erstellt haben, können nun die Regeln angelegt werden, damit das WLAN ins Internet kommunizieren kann. Bei dieser Konfiguration gibt es zwei möglichkeiten, entweder eine Verbindung ohne den Proxy, oder eine Verbindung über den Proxy.

Regeln für eine Verbindung ohne Proxy erstellen

Um dem WLAN den Internetzugriff ohne proxy zu gewähren müssen folgende Regeln angelegt werden:

Regeln ohne Proxy

Bitte beachten Sie hierbei, dass bei der Regel WLAN-Netzwerk -> Internet -> any das HideNAT auf das external-interface eingerichtet ist.

Regeln für eine Verbindung mit Proxy erstellen

Um den WLAN den Internetzugriff über einen Proxy zu gewähren müssen folgende Regeln angelegt werden.

Regeln mit Proxy

Bitte beachten Sie hierbei, dass bei der Regel WLAN-Interface -> Internet -> any das HideNAT auf das external-interface eingerichtet ist. Außerdem muss der HTTP-Proxy so konfiguriert werden, dass der transparente Modus auch für das WLAN gilt. Klicken Sie hierzu auf "Anwendungen" -> "HTTP-Proxy" und dann auf den Reiter "transparenter Modus". Hier muss nun eine neue Regel angelegt werden:

Proxy-Include