HOWTO: WLAN Network Access Enforcement

In diesem Blog-Artikel geht es um das neue Feature WLAN Network Access Enforcement (Durchsetzung des Netzwerkzugriffs), welches eine zusätzliche Sicherheitsebene bietet, wenn ein drahtloser Client eine Verbindung zum drahtlosen Unternehmensnetzwerk herstellt.

Idee

WatchGuard ermöglicht im Zuge des Aufbaus Ihrer XDR-Umgebung (ThreatSync) ein spannendes neues Feature. Die aktuelle Wi-Fi 6 Generation (AP130, AP330, AP332CR, AP430CR, AP432) bietet seit der Firmware 2.1 die Möglichkeit den WLAN-Zugriff auf firmenverwaltete Geräte einzuschränken. Die Access Points prüfen bei der Einwahl in das drahtlose Netz, ob der Client durch die WatchGuard Endpoint Protection geschützt/verwaltet wird.

Voraussetzungen
  • WatchGuard Endpoint-Protection: EPP, EDR-Core, EDR, EPDR, Advanced EPDR (AV bzw. Advanced Protection muss aktiv sein!)
  • WatchGuard Wi-Fi 6 Access Point (Firmware >= 2.1) mit Standard oder USP-Lizenz
  • WatchGuard Access Point und Endpoint-Protection befinden sich im gleichen Account
  • Aktuelles Windows (>= 8.1) oder macOS (>= 10.15 Catalina) Betriebssystem
  • Access Point kann via Port 33000 (TCP) den Endpoint ansprechen
Konfiguration
  1. Wählen Sie sich in Ihrem WatchGuard Account ein, wechseln Sie in die Cloud und kopieren Sie die Account UUID und den Authentication Key des Kontos:
  2. Wechseln Sie in die Einstellungen der Endpoint-Protection:
  3. Aktivieren Sie unter Netzwerkdienste die Durchsetzung des Netzwerkzugriffs mit der zuvor kopierten Account-UUID und dem Authentifizierungsschlüssel:
  4. Wechseln Sie zu den anzupassenden Access Points:
  5. In meinem Fall aktiviere ich das Security-Feature für die SSID NAE-Test:

  6. Test / Look and Feel
    Während der Überprüfung des Endpoints wird eine Splash-Page angezeigt. Die Splash-Page zeigt dem WLAN-Nutzer den Status der Validierung:
                 
  7. Validierung erfolgreich
    Ein Redirect zur WatchGuard Website wird ausgeführt:
                
  8. Client-Validierung schlägt fehl
Nice to know

Die Validierung eines Clients ist für 24 Stunden gültig und wird im Anschluss erneut durchgeführt. Als Administrator können Sie in der WatchGuard Cloud abgelehnte Wi-Fi Clients einfach identifizieren:

Fazit

Die Umsetzung einer WPA Enterprise Umgebung mit redundantem RADIUS/NPS sowie Zertifikatsmanagement stellt für viele Administratoren einen enormen Implementations- und Wartungsaufwand dar. WatchGuard bietet durch die Validierung des Endpoints (initiiert vom Access Point) eine sehr einfache und wartungsfreie Sicherheitsfilterung, welche standortübergreifend in nur wenigen Minuten installiert ist. In unseren Augen ist das Network Access Enforcement ein echter Security-Mehrwert und in Sachen Usability kaum zu überbieten.

Weiterführende Links

 

 

Ein Kommentar zu “HOWTO: WLAN Network Access Enforcement”

Leave a Reply

Your email address will not be published. Required fields are marked *