Bezpieczeństwo IT - metody ochrony, Cloud, Główna, NetComplex

Bezpieczne WiFi z WatchGuard

Czas czytania: 7 min

WatchGuard wobec wyzwań współczesnej sieci WiFi 

WatchGuard to wiodąca firma w dziedzinie sieci bezprzewodowych, która oferuje szereg zaawansowanych funkcji wspierających współczesne środowisko biznesowe. Obecnie szybki i niezawodny dostęp do WiFi to nie wszystko. Potrzebne jest także bezpieczeństwo na najwyższym poziomie. Narzędzia WatchGuard można opisać w skrócie następującymi słowami: bezpieczne środowisko, ułatwione zarządzanie i monitorowanie infrastruktury sieciowej. Jak to wygląda w praktyce? Sprawdźmy! 

Nowe standardy rozwiązań i przegląd urządzeń oraz licencji 

Od 2021 r. WatchGuard uruchomił WiFi 6, czyli nowy standard rozwiązań dla sieci bezprzewodowej. Powstała też platforma do zarządzania puntami dostępu (ang. Access Point). Zanim bardziej skupimy się nad kluczowymi funkcjonalnościami, przyjrzyjmy się dostępnym urządzeniom.  

Urządzenia do użytku wewnątrz budynków

Dla przestrzeni korporacyjnych wyróżniamy: 

  • AP130 – idealny dla małych powierzchni oraz biur z niewielką liczbą niewymagających użytkowników. 
  • AP3030 – dedykowany do skanowania otoczenia przy pomocy dodatkowej anteny 
  • AP432 – doskonale sprawdzi się w dużych organizacjach dzięki dodatkowym portom 

Urządzenia zewnętrzne 

W przypadku urządzeń w ciężkich środowiskach, w których muszą być wystawione na niesprzyjające warunki atmosferycznych wyróżniamy: 

  • AP3432CR Outdoor Access Point 
  • AP430CR Outdoor Access Point 

Ten drugi posiada wbudowaną dodatkową antenę, która pozwala skanować otoczenie. W przypadku wykrycia intruzów administrator otrzyma odpowiednie powiadomienie, jeśli urządzenie zostanie wcześniej odpowiednio skonfigurowane.  

Po więcej informacji odnośnie specyfikacji zapraszamy do sklepu Firebox.

Porównanie licencji standard i USP WiFi 

WatchGuard Standard WiFi to podstawowa licencja, która dostarcza funkcje bezpieczeństwa i zarządzania siecią bezprzewodową dla małych firm i organizacji. Obejmuje: 

  • Szyfrowanie WPA2/WPA3 
  • Autentykację użytkowników 
  • Zapory ogniowe dla sieci bezprzewodowej 
  • Monitorowanie sieci 
  • Podstawowe funkcje zarządzania 
  • Dostęp do raportów w chmurze 

WatchGuard USP WiFi to rozszerzona licencja, która obejmuje wszystkie funkcje licencji Standard WiFi, a także dodatkowe funkcje bezpieczeństwa i zarządzania dla większych firm i organizacji. Dostarcza takie funkcje jak: 

  • Filtrowanie adresów MAC i kontrola aplikacji 
  • Tworzenie profili SSID i VLAN-ów 
  • Możliwość zarządzania wieloma punktami dostępu z centralnej lokalizacji 
  • Integrację z systemami UTM WatchGuard 
  • Airspace Monitoring, czyli weryfikację przestrzeni w organizacji lub poza nią

Zarządzanie chmurą WatchGuard 

WatchGuard Cloud to chmurowa platforma, która pozwala na centralne zarządzanie wszystkimi urządzeniami, w tym punktami dostępu, z dowolnego miejsca i o dowolnej porze. Możliwe jest zarządzanie lokalne, natomiast tylko w wersji 5. Trzeba mieć też na uwadze fakt, że urządzenie oferuje ograniczone możliwości. Służy jedynie do tego, by sprawdzić, czy mamy połączenie z siecią. 

Przegląd podstawowych funkcji 

Po zalogowaniu mamy dostęp do następujących podstawowych informacji  

Upadate SSID 

  • Umożliwia aktualizację oprogramowania SSID (Service Set Identifier), czyli nazwy sieci WiFi 
  • Gotowy formularz do ustawienia parametrów sieci prywatnej 
  • Zapewnia dostęp do najnowszych funkcji i poprawek bezpieczeństwa 
  • Aktualizacja może być wykonywana ręcznie lub automatycznie 

Access Control 

  • Umożliwia kontrolę dostępu do sieci WiFi poprzez tworzenie list WhiteList czy BlackList 
  • Może opierać się na różnych kryteriach, takich jak MAC, adres IP, nazwa użytkownika i hasło 

Scheduling 

  • Umożliwia kontrolowanie przepustowości sieci WiFi, np. poprzez ustawienie czasu w jakim będą działały konkretne punkty dostępu  
    • Dobrą praktyką jest ustawianie sieci dla gości. Jeśli firma taką przewiduje, to można ją ustawić tak, że będzie ona dostępna jedynie w godzinach biznesowych, np. 7:00 – 15:00 
  • Wspomaga oszczędzanie energii lub ograniczania dostępu do sieci w określonych godzinach 
  • Możliwa konfiguracja dla różnych SSID 

Traffic Shaping 

  • Umożliwia ograniczenia pasma do odbierania lub wysyłania informacji pod konkretnego użytkownika lub klienta 
  • Pozwala na określenie priorytetów dla różnych typów ruchu 
  • Wspiera zapewnienie płynnego działania aplikacji krytycznych dla biznesu 

Zaawansowane funkcje WatchGuard WiFi 

Zaawansowane funkcje WatchGuard dostarczają jeszcze wyższy poziom wydajności i bezpieczeństwa sieci bezprzewodowej. Te funkcje szczególnie docenią administratorzy firm, którzy potrzebują większej kontroli nad swoją siecią i chcą chronić dane przed atakami cybernetycznymi. Jakie to funkcje? 

Pierwszą z nich jest Fast Roaming, czyli płynne przełączanie się między punktami dostępu bez utraty połączenia. Jest to bardzo ważne dla aplikacji wymagających ciągłego połączenia, np. VoIP czy streaming video. Fast Roaming działa na zasadzie uwierzytelniania klienta na podstawie jego adresu MAC i klucza pre-shared key (PSK). 

Kolejna to Band Steering, który automatycznie kieruje klientów bezprzewodowych do pasma WiFi o najlepszych parametrach, co wspiera optymalizację wydajności sieci. Ta funkcja działa poprzez analizowanie sygnału klienta i jego ruchu sieciowego. Dzięki temu nie występuje przestój w pracy, połączenie jest stabilne i mniej obciążone.  

Do zaawansowanych funkcji należy także Airspace Monitoring, czyli monitorowanie przestrzeni w celu wykrycia nieautoryzowanych punktów dostępu WiFi i innych urządzeń, które mogą zakłócać działanie sieci. 

Evil Twin i nieautoryzowane punkty dostępu pod nadzorem

WatchGuard WiFi wspomaga także wykrywanie fałszywych punktów dostępu poprzez funkcję Evil Twin Access Point Detection. To access point, który nie jest bezpośrednio podłączony do sieci, ale znajduje się w okolicy. Może mieć zbliżoną nazwę (SSID) do prawdziwej sieci WiFi i urządzenia mogą się z nim łączyć. Przez to atakujący ma możliwość przechwycenia ruchu sieciowego w tym haseł, danych osobowych czy plików. WatchGuard jest w stanie wykryć ten punkt dostępu i przesłać odpowiednią notyfikację. Dodatkowo administrator może dostać informację o przybliżonej odległości, w jakiej znajduje się to urządzenie dzięki silne sygnału wysyłanego i odebranego. 

WatchGuard WiFi wykrywa także nieautoryzowane punkty dostępu typu Rogue Access Point (RAP) oraz Suspected Rogue Access Point (SRAP) 

RAP może być trudny w identyfikacji, ponieważ często ma taką samą nazwę i parametry jak autoryzowany punkt dostępu. Może mieć klasę DHCP (ang. Dynamic Host Configuration Protocol, protokół dynamicznego konfigurowania hostów) oraz adresację IP. Natomiast, WatchGuard może ten punkt dostępu wykryć, dosłać informację o adresie MAC oraz dodatkowo pokaże, kto jest producentem. 

W wypadku Suspected Rogue Access Point (SRAP) ten punkt dostępu zostanie oznaczony jako potencjalnie niebezpieczny. Administrator ma możliwość zweryfikowania czy to urządzenie powinno być w sieci. Następnie może dodać ten punkt dostępu do listy wyjątków po adresie MAC, aby WatchGuard już takich notyfikacji nie pokazywał.  

Zrzut ekranu przykładowej notyfikacji w systemie
Zrzut ekranu przykładowej notyfikacji w systemie

VPN bezpieczniejszy niż zwykle

Koleją godną uwagi funkcją jest Access point VPN. Pozwala na tworzenie bezpiecznego tunelu VPN w wersji IKEv2. Należy pamiętać, że w pierwszej kolejności urządzenie WatchGuard musi zostać dodane do chmury. Dzięki temu administratorzy zyskują kilka dodatkowych funkcji: 

  • Połączenie będzie szyfrowane 
  • Zarządzanie siecią odbywa się zgodnie z politykami centrali, co wyklucza konieczność zakupu dodatkowego firewalla do firmy. Jednak administratorzy mogą zdecydować, że jedna sieć będzie przechodziła przez centralę, a wobec pozostałych sieci dla gości lub pracowników nie będzie takiej konieczności 
U ustawieniach VPN trzeba zaznaczyć NAT-enabled SSID.
U ustawieniach VPN trzeba zaznaczyć NAT-enabled SSID.

Centrum dowodzenia w Access Point Sites

Kolejną przydatną funkcją, jeśli administrator korzysta z kilku lub kilkunastu punktów dostępu, jest Access Point Sites. Umożliwia tworzenie i zarządzanie grupami punktów dostępu WiFi. Administratorzy mogą ustawiać reguły zapory ogniowej w tym 

  • SSID 
  • NTP 
  • Airspace monitoring 

Dodatkowo dla użytkowników w większych organizacjach dostępna jest funkcja autentykacji. Jeśli użytkownicy są zintegrowani z systemami uwierzytelnienia RADIUS, to nie będą musieli podawać poświadczeń do połączenia z siecią bezprzewodową.  

Historia wdrożeń. Jeśli coś przestanie działać, można to zweryfikować jednym kliknięciem. Administrator może sprawdzić, co zostało zmienione w poszczególnych wersjach oraz ma opcję przywrócenia ustawień do wybranej wersji
Historia wdrożeń. Jeśli coś przestanie działać, można to zweryfikować jednym kliknięciem. Administrator może sprawdzić, co zostało zmienione w poszczególnych wersjach oraz ma opcję przywrócenia ustawień do wybranej wersji

Bezpieczne WiFi dla gości

Warto zwrócić uwagę także na funkcję Captive Portal, która pozwala na wyświetlanie strony logowania użytkownikom próbującym uzyskać dostep do sieci WiFi. Ta funkcja będzie szczególnie użyteczna w wypadku gości oraz nieautoryzowanych użytkowników.  

Dzięki Captive Portal możliwe jest także uwierzytelnianie różnymi metodami, takimi jak RADIUS, LDAP, Active Directory, Azure AD czy Google Workspace. Funkcja pozwala też na tworzenie polityk dostępu, spersonalizowanych treści na stronie logowania, np. logo, informacje o firmie, reklamy, itp.  

Co ciekawe, jeśli dany użytkownik nawiąże połączenie, ale przez jakiś czas nie będzie z niego korzystał, sesja zostanie przerwana, aby nie obciążała sieci. 

Wstępna diagnostyka pacjenta

WatchGuard WiFi może także służyć jako podstawowe narzędzie diagnostyczne. Do narzędzi należy:  

  • Ping 
  • Traceroute 
  • DNS Lookup 

Wspiera też zdalne rozwiązywanie problemów z siecią bezprzewodową. Może okazać się użyteczne, gdy użytkownicy zgłoszą, że nie mają dostępu do jakichś stron internetowych.   

WatchGuard WiFi zawiera też formularz kontaktowy, do którego można dołączyć plik diagnostyczny i wysłać go do producenta, jeśli administrator nie jest w stanie sam rozwiązać danego problemu. 

Co, gdzie, kiedy?

Ostatnią omawianą funkcją jest Visibility logging. Pozwala na szczegółowe monitorowanie i rejestrowanie zdarzeń w sieci WiFi w tym: 

  • Logi uwierzytelniania – logowania udane oraz nieudane 
  • Logi DHCP – przydzielanie adresów IP klientom WiFi 
  • Logi ruchu – informacje o ruchu sieciowym generowanym przez klientów, tj. adres IP źródłowy i docelowy, port, protokół i ilość danych 
  • Logi zdarzeń – zmiany konfiguracji, błędy, awarie 

Administratorzy mają możliwość sprawdzenia czy występują problemy z połączeniem dzięki dwóm wskaźnikom: Low RSSI oraz Low Data Rate 

Z tego widoku wynika, że użytkownik mógł zostać rozłączony, ponieważ za dużo razy podał błędne hasło lub nie mógł połączyć się z WiFi
Z tego widoku wynika, że użytkownik mógł zostać rozłączony, ponieważ za dużo razy podał błędne hasło lub nie mógł połączyć się z WiFi

Co dalej z bezpiecznym WiFi od WatchGuard

Zaawansowane funkcje WatchGuard WiFi niewątpliwie wpisują się w dynamiczne środowisko współczesnego biznesu, które w niepewnych czasach wymaga bezpieczeństwa, wydajności, prostego zarządzania oraz skalowalności. Co więcej, producent nadal rozwija swoje rozwiązania. Na Q4 2024 r. WatchGuard zaplanował wprowadzenie takich funkcji jak spersonalizowany portal, w którym użytkownicy będą mogli generować hasła dostępowe, np. dla gości.

Jeśli szukasz autoryzowanego partnera WatchGuard, zapraszamy do kontaktu. Nasi konsultanci zbiorą wszystkie Twoje potrzeby i postarają się je zaadresować, sugerując najlepsze branżowe praktyki. 

 

Tyle na dziś! Zapraszamy na szkolenia WatchGuard do certyfikowanego centrum szkoleniowego:

Produkty nowa strona 2





Dodaj komentarz