Co mamy do tej pory, stworzony VLAN, z adresacją dedykowaną do sieci dla gości oraz w dedykowanej strefie, gdybyśmy nie chcieli spinać tego z siecią bezprzewodową to już można by było korzystać z dedykowanej sieci dla gości np. na przełączniku w salce konferencyjnej, trzeba by się tylko upewnić że VLAN został rozpropagowany w sieci, a porty przełącznika w salce tagują ruch właśnie do niego. To ważna informacja ponieważ funkcjonalność HotSpot w XG Firewall którą będziemy dopiero konfigurować można wykorzystać na wiele sposobów, z punktami dostępowymi Sophos, z rozwiązaniem bezprzewodowym firmy trzeciej(nasz przypadek) ale również z siecią przewodową np.  na gniazdach umieszczonych w pokojach hotelowych.

Nie będę opisywał konfiguracji VLANów na przełącznikach czy rozwiązaniu WiFi z którego korzystamy, bo w każdym wypadku będzie to wyglądało inaczej jeżeli chodzi o komendy czy interfejsy, ale zasada będzie taka sama. Co zatem trzeba zapamiętać, stworzony VLAN, musi zostać dopięty do Waszego rozwiązania, czy to kontrolera wifi(pewnie jako port trunkowy), czy wolno stojących punktów dostępowych(trunk lub access w zależności od tego czy APeki potrafią mapować ruch z SSID do VLANu) czy chociażby do przełącznika dostępowego (porty w trybie access), jak to mamy zrobione, możemy przystąpić do dalszej konfiguracji. U nas wyglądało to tak, z portu A na XG firewall wchodzimy do portu w trybie trunk na przełączniku i z tego przełącznika znowu portem w trybie trunk do kontrolera wifi, w którym SSID: Konsorcjum_FEN_Guest zostało zmapowane do rozpropagowanego vlanu o nr 4.

Kolejnym krokiem jest dodanie sieci HotSpot, zarządzanie całym modułem Wireless Protection w XG jest dostępne przez zakładkę Protect->Wireless.  Jak wspomniałem wcześniej nasze urządzenie ma rozbudowane możliwości w zakresie obsługi sieci bezprzewodowych, ale z naszej perspektywy potrzebne będą tylko trzy zakładki z tej grupy.

Zaczynamy od zakładki HotSpot, tu po dodaniu nowej sieci definiuje się takie parametry jak: nazwa HotSpotu, interfejs sieciowy na którym HotSpot ma działać(u nas dla przypomnienia to vlan 4, dla gości), na tym poziomie możemy też przypisać filtry dozwolonych aplikacji, stron www, polisę IPS dla ruchu oraz QoS(żeby goście nie „zjedli” nam całego dostępnego pasma).

W naszym przypadku mamy już stworzone polityki zarówno do filtrowania aplikacji, www jak i polisy IPS, które przypisałem do naszego HotSpota. Oczywiście konstrukcja polityk i to czy będą bardziej czy mniej restrykcyjne zależy tak naprawdę od tego co chcemy osiągnąć i jakie polityki bezpieczeństwa ma nasza organizacja.

XG Firewall zarówno dla HotSpota jak i dla pozostałych sieci znacznie ułatwia tworzenie takich reguł ponieważ zarówno aplikacje jak i strony www są już skategoryzowane, a definiując swoją regułę możemy skorzystać z gotowych szablonów(czyli zestawów reguł) lub stworzyć szablon na podstawie wybranych kategorii.

Podobnie wygląda kwestia definiowania polityk dla aplikacji, możemy wybrać gotowy szablon lub stworzyć go zupełnie od nowa.

W przypadku sieci dla gości istotne jest ograniczenie pasma użytkownikom. W XG możemy ograniczać ruch per użytkownik lub grupa użytkowników zarówno w dół jak i w górę. Z pomocą w konfiguracji znowu przychodzą predefiniowane szablony.

U nas stanęło na Moderate Limited Rule, gotowym szablonie ograniczającym ruch per użytkownik do 512 kB/s, ale oczywiście można tworzyć również swoje reguły. Reguła ograniczająca pasmo może być definiowana dla oby kierunków ruchu, indywidualnie lub dla grup.

Ciekawym rozwiązaniem może być zastosowanie reguł tzw. Schedule wise , czyli zależnych od aktualnego czasu(dnia tygodnia i godziny), dzięki nim możemy stworzyć inne reguły dla godzin pracy firmy i np. weekendów. Reguły Traffic Shaping w XG możemy też powiązać z konkretnym ruchem www lub aplikacjami, tak aby ograniczyć pasmo dla konkretnych usług.

Gdy wybraliśmy interfejs na którym HotSpot ma działać i przypisaliśmy ograniczenia, przechodzimy do właściwych ustawień HotSpotu.

Zaczynamy od wyboru czy przekierowujemy użytkowników na stronę szyfrowaną SSL, ustawienie Redirect to HTTPS. Ma to swoje zalety, ponieważ w takim wypadku dane wprowadzane na stronie przez użytkownika(czyli nasz kod z voucheru) będą szyfrowane i nikt ich nie podsłucha, z drugiej jednak strony decydując się na HTTPS musimy się upewnić, aby na urządzenie wgrać certyfikat podpisany przez zaufane CA, któremu będą z kolei ufały przeglądarki, inaczej korzystanie z HotSpotu przez naszych gości będzie wymagało zaakceptowania certyfikatu niezaufanego, co staje się coraz trudniejsze z każdą aktualizacją obecnie wykorzystywanych przeglądarek.

Następnie wybieramy tryb HotSpotu, o trybach już pisałem, dla przypomnienia odsyłam do wcześniejszej części artykułu, jedna uwaga, tryby opisywane jako Captive Portal w XG (punkty 1 i 2 w opisie metod uwierzytelniania konfigurowane są w innej zakładce i nie będą szczegółowo omawiane w tym artykule). My zdecydowaliśmy się na Vouchery. Gdy już wybierzemy tryb, określamy definicje Voucherów (Voucher Definitions) jakie mają być dostępne dla osoby która będzie je generowała. Definicje mogą uwzględniać, czas ważności od pierwszego zalogowania (Validity Period), czas wykorzystania(Time quota) lub ilość danych (Data volume).

U nas osoby generujące vouchery dostały do dyspozycji kilka ustawień, 8 godzin, 1 dzień, 2 dni (pod kątem różnego rodzaju szkoleń które prowadzimy na miejscu). Oczywiście nic nie stoi na przeszkodzie aby czas ten skrócić lub wydłużyć, wszystko zależy od tego na ile chcemy pozwolić gościom w naszej sieci. Szablony predefiniowanych voucherów możemy też modyfikować lub dodawać w dedykowanej zakładce HotSpot Voucher Definition.

Poza definicją czasu ważności voucheru możemy określić na ilu urządzeniach dany voucher może zostać wykorzystany (Devices per voucher), przecież coraz częściej oprócz laptopa zabieramy ze sobą smartfon lub tablet, które też lubią mieć dostęp do sieci Internet, alternatywnie ten sam voucher może wykorzystać kilka osób podczas spotkania.

W kolejnym kroku definiujemy użytkowników którzy będę mogli generować vouchery (Administrative Users), jeżeli XG jest spięty z zewnętrzną bazą (w naszym wypadku AD), możemy po prostu wybrać użytkowników z listy, jeżeli jednak nie dysponujemy połączeniem do zewnętrznej bazy możemy użytkowników dodać do lokalnej bazy XG.

W trybie vouchera również możemy użytkownikom wyświetlić regulamin do zaakceptowania (Users have to accept terms of use), aby upewnić się, że zgadzają się na warunki korzystania z naszej sieci dla gości. Po zaznaczeniu opcji, po prostu wpisujemy tekst w polu Terms of Use.

Gdy użytkownik poprawnie się uwierzytelnił możemy przekierować go na wybraną przez siebie stronę (parametr Redirect to URL after login), u nas przekierowanie następuje na www.fen.pl

Strona, która wyświetla się użytkownikom w trakcie logowania do sieci HotSpot standardowo jest w języku angielskim, XG oferuje jednak możliwości jej personalizacji. Dostępne są 2 tryby Basic oraz Full. W trybie Basic dodajemy do strony swoje logo, system może je automatycznie skalować, a także tytuł i tekst, który ma się wyświetlać na stronie, dla większości przypadków tryb ten będzie wystarczający.

W trybie Full mamy możliwość zmodyfikowania pliku HTML oraz pliku stylu CSS a także dodanie swoich własnych grafik. Żeby z niego skorzystać w pierwszej kolejności pobieramy szablony z zakładki HotSpot Settings.

Dostępne są dwa rodzaje szablonów, Login Page Template(strona logowania) oraz voucher template. Szablon strony logowania zawiera plik HTML oraz formularz stylów CSS, można je edytować i wgrać z powrotem do danego HotSpota korzystając z wcześniej wspomnianego trybu personalizacji pełnej. Szablon Voucheru występuje w formacie PDF, można go albo otworzyć edytorem PDF, albo stworzyć swój szablon od podstaw i wyeksportować go do PDF w wersji nie wyższej niż 1.5. Więcej o personalizacji voucheru można znaleźć tutaj: https://community.sophos.com/kb/pl-pl/122794

Ważne jest to aby voucher zawierał odpowiednie znaczniki które zostaną automatycznie podmienione przez XG firewall w momencie generowania voucheru np.:

<?code?>  – zostanie automatycznie podmieniony na wygenerowany dynamicznie kod voucheru

<?validity?> – zostanie automatycznie podmieniony na czas ważności kodu

Każdy szablon musi zawierać również zestaw wszystkich znaków które zostały użyte w znacznikach na voucherze w następującym formacie:

<?abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!”#$%&'()*+-./:;=@^_`{|}~?>

Ciąg znaków zostanie automatycznie usunięty w trakcie generowania voucheru dlatego nie należy się obawiać, że pozostanie na voucherze po jego wygenerowaniu.

Mamy stworzonego HotSpota, do zakończenia konfiguracji pozostało nam zdecydować do jakich segmentów sieci chcemy wpuszczać użytkowników z sieci gościnnej. W momencie tworzenia HotSpota XG tworzy automatycznie obiekt który skupia użytkowników zalogowanych do naszej sieci dla gości (w dalszej części ten obiekt występuje na zrzutach jako ##Konsorcjum_FEN_Guest) oraz jedną regułę sieciową w której dopuszcza ruch z sieci HotSpot do sieci WAN oraz przypisuje wybrane w HotSpocie polityki filtrowania www, aplikacji i QoS.

Jeżeli nie chcemy dopuścić ruchu z sieci dla gości do innych segmentów naszej sieci lokalnej, to ustawienie będzie wystarczające, jeżeli jednak chcemy dopuścić ruch np. do jakiegoś wewnętrznego serwera, należy utworzyć dodatkową regułę na Firewallu. W naszym przypadku konieczne było dodanie wyjątku dla urządzeń do bezprzewodowej transmisji wideo, czyli wyświetlania przez wifi obrazu z monitora czy smartfona bezpośrednio na projektorze. Wykorzystywane przez nas urządzenia do transmisji wePresent standardowo znajdują się w innym vlanie, ponieważ są wykorzystywane głównie przez pracowników.

Żeby osiągnąć zamierzony efekt w pierwszej kolejności należało pogrupować wePresenty po adresach IP w jeden zbiór. W tym celu tworzymy grupę IP Host w zakładce Hosts and Services(rys. 20).

Następnie należało utworzyć regułę która dopuści ruch (Action Accept) z sieci Konsorcjum_FEN_Guest(obiekt ##Konsorcjum_FEN_Guest) czyli  po zalogowaniu użytkownika do wskazanego zbioru(obiekt wePresent). Ponieważ reguły filtrowania stron, aplikacji i QoS zostały już zaaplikowane na domyślnej regule dostępu z LAN ->WAN w tym wypadku wystarczają nam pola standardowe (rys. 21), jak strefa i sieć źródłowa, strefa i sieć docelowa. Jeżeli chcielibyśmy politykę uczynić dokładniejszą można by było również w tym wypadku zastosować ograniczenia pod kątem określonych usług czy czasu obowiązywania reguły.

Jak wspomniałem w XG vouchery generowane są na tzw. User Portalu, jest to miejsce w którym użytkownicy korzystający z XG standardowo mogą pobrać klienta czy konfigurację do klienta VPN (XG ma wbudowane funkcjonalności serwera VPN SSL i IPSec), sprawdzić swoją skrzynkę kwarantanny(wbudowane funkcjonalności Email Protection) oraz między innymi wygenerować Voucher dla użytkowników gości. Z User Portalu nie ma dostępu do ustawień administracyjnych firewalla. User portal dostępny jest w XG standardowo również na innym porcie(443) niż portal administracyjny (4444).

Po zalogowaniu i wybraniu zakładki HotSpots (rys. 22) osoba odpowiedzialna za generowanie voucheru określa, dla jakiego HotSpota generuje Voucher(parametr Hotspot), jaki ma to być typ Voucheru (HotSpot Voucher Definition) z wcześniej predefiniowanej listy, ile voucherów chce wygenerować (Amount) i opcjonalnie czy vouchery mają być automatycznie wyeksportowane do PDF(Print), jaki format ma mieć strona (Page Size), ile voucherów ma się zmieścić na zadanym formacie(Vouchers per page), ponieważ system je automatycznie skaluje oraz czy do voucheru ma zostać dodany kod QR. Po kliknięciu Create Vouchers kupony zostają wygenerowane i pobrane w formacie PDF na lokalny komputer administratora.

Alternatywnie  utworzone vouchery można przejrzeć i wyeksportować w późniejszym terminie do PDF lub CSV.

W wyniku otrzymujemy pobrany przez przeglądarkę plik PDF, gotowy do wycięcia. Wystarczy wysłać go na drukarkę i pociąć, dla ułatwienia dołączone są linie po których należy wyciąć vouchery. Oczywiście nic nie stoi na przeszkodzie żeby mieć jeden voucher na stronę i nic nie wycinać, ale wtedy warto byłoby zmniejszyć format strony.

Mając ważny voucher wystarczy dołączyć się do sieci wifi która u nas nazywa się Konsorcjum_FEN_Guest, po otwarciu przeglądarki użytkownik zostaje przekierowany na stronę pokazaną na rys. 7, na niej wprowadzamy kod ze swojego voucheru i zatwierdzamy przyciskiem login. Jeżeli wprowadzony kod jest poprawny użytkownikowi wyświetlony jest ekran potwierdzający poprawne zalogowanie wraz ze statusem wykorzystanego voucheru.

Użytkownik może tą stronę dodać do zakładek w przeglądarce aby sprawdzić stan wykorzystania voucheru w późniejszym terminie. Po chwili gość zostaje przekierowany na stronę www.fen.pl i może normalnie korzystać z sieci.  Gdy upłynie czas ważności voucheru, lub osoba odpowiedzialna za tworzenie voucheru usunie dany voucher z bazy, gość traci dostęp do sieci i strona logowania jest mu wyświetlana ponownie.

Łatwość edycji szablonów i fakt, że odwiedza nas wielu dostawców i partnerów z różnych rejonów świata, sprawiły, że mamy zarówno vouchery w wersji PL jaki EN. Na miejscu w salce konferencyjnej gdzie do tej pory stały: drukarka fiskalna połączona kablem szeregowym ze sterownikiem wifi, na którym trzeba było wybrać odpowiednią kombinację klawiszy aby wygenerować ticket i przesłać do dedykowanej bramy umieszczonej w serwerowni, stanęło pudełko z wydrukowanymi voucherami.

Zaczynając konfigurację nie wiedziałem na 100 % czy nowe rozwiązanie będzie lepsze od poprzedniego, patrząc na to z perspektywy czasu, myślę, że to bardzo dobra zmiana. Pozbyliśmy się trzech urządzeń, uprościliśmy schemat sieci, bo wykorzystujemy jedną bramę i jeden interfejs zarządzania. Ruch z sieci dla gości został odseparowany wirtualnie dzięki VLANom, ale jednocześnie mamy możliwość dołączenia się do wybranych zasobów z innych VLANów co nie było możliwe do tej pory. Zyskaliśmy filtrowanie stron www i aplikacji z których nie korzystaliśmy w sieci gościnnej. Zarządzanie voucherami w końcu jest dostępne z dowolnego miejsca, więc nawet gdyby się skończyły łatwo możemy z drugiej lokalizacji je wygenerować i wysłać na drukarkę w siedzibie głównej, a nie tłumaczyć np. przez telefon co wcisnąć na sterowniku żeby gość mógł dołączyć się do naszej sieci.

Sophos XG Firewall, okazuje się świetnym rozwiązaniem które poza wszystkimi funkcjonalnościami bezpieczeństwa może zostać z powodzeniem wykorzystany jako brama dostępowa w sieciach gościnnych, przewodowych jak i bezprzewodowych, integrując się bezproblemowo z rozwiązaniami firm trzecich w różnych środowiskach.