Aller au contenu
Avanet
Sophos Wireless - Gestion centralisée du WLAN depuis le cloud

Sophos Wireless - Gestion centralisée du WLAN depuis le cloud

5. AOÛT 2016

Construire un réseau sans fil avec Sophos a toujours été très simple. Grâce à la gestion centralisée, les réseaux WLAN sont rapidement créés et de nouveaux points d’accès configurés en un clin d’œil. Jusqu’à présent, pour utiliser les fonctions sans fil de Sophos, quatre possibilités s’offraient à vous :

  • Appliance Sophos SG (système d’exploitation UTM) + Wireless Protection + point d’accès Sophos
  • Appliance Sophos XG (Sophos Firewall OS) + point d’accès Sophos
  • Système d’exploitation Sophos UTM sur matériel dédié ou virtualisé + Wireless Protection + point d’accès Sophos
  • Sophos Firewall OS sur matériel dédié ou virtualisé + point d’accès Sophos

Une cinquième option vient désormais s’ajouter. La « Wireless Protection » a en effet été intégrée dans Sophos Central sous l’appellation « Sophos Wireless ». Ainsi, hormis les points d’accès, aucun matériel supplémentaire n’est nécessaire et la gestion centralisée s’effectue dans Sophos Central. Le concept n’a rien de révolutionnaire en soi : on trouve déjà ce type de solution, par exemple, chez Aruba ou Aerohive. « Sophos Wireless » peut donc être utilisé de manière totalement indépendante de tous les autres produits. Pour la gestion centralisée des réseaux sans fil et des points d’accès, il vous suffira à l’avenir d’un accès Internet, d’un point d’accès Sophos et d’un compte Sophos Central.

Dans cet article, nous allons examiner « Sophos Wireless » plus en détail. Nous aborderons également la question des coûts et comparerons le modèle de licence de « Sophos Wireless » avec celui de la « Wireless Protection » sur une appliance SG ou XG.

Quelles fonctions offre Sophos Wireless ?

« Sophos Wireless » est, à l’heure actuelle, encore un produit très récent (été 2016, v1.0). Comme indiqué dans l’introduction, « Sophos Wireless » constitue en quelque sorte la « Wireless Protection » pour Sophos Central. Vous pouvez donc y gérer vos Sophos Access Points, les configurer, déployer des mises à jour de firmware et bien plus encore.

Tableau de bord Sophos Wireless Central

L’objectif est d’intégrer l’intégralité des fonctionnalités de la « Wireless Protection » dans « Sophos Wireless ». Pour le moment, quelques fonctions manquent encore, mais d’après la feuille de route, elles devraient être disponibles d’ici fin 2016. Selon Sophos, il s’agit notamment de :

  • roaming amélioré
  • SSID basés sur des plages horaires
  • VLAN dynamiques
  • adresses MAC comme mécanisme de contrôle d’accès des clients
  • isolation des clients
  • sélection de canal en arrière-plan / dynamique (Background/Dynamic Channel Selection)

Qu’est-ce qui rend Sophos Wireless intéressant ?

Beaucoup se posent naturellement la question suivante : pourquoi gérer ses points d’accès via « Sophos Central » alors que l’on dispose déjà en production d’une appliance SG ou XG avec « Wireless Protection » ? Dans un tel scénario, « Sophos Wireless » présente effectivement peu d’intérêt. En revanche, celles et ceux qui n’ont pas besoin de Sophos Firewall, ou qui utilisent un autre produit pour ce rôle, peuvent exploiter pleinement les fonctionnalités WLAN de Sophos, de manière totalement indépendante.

Un autre avantage de « Sophos Wireless » réside dans la grande simplicité avec laquelle on peut augmenter le nombre de points d’accès. Alors que, par exemple, il est impossible de raccorder 50 AP à une SG 125, « Sophos Wireless » ne fixe, lui, aucune limite de ce type. Si une petite appliance Sophos suffit en termes de performances, mais que vous avez besoin d’un nombre relativement élevé de points d’accès, « Sophos Wireless » peut, dans certains cas, constituer une solution nettement plus adaptée.

Prérequis

Pour démarrer avec « Sophos Wireless », il vous suffit d’un accès à Sophos Central, anciennement Sophos Cloud, et d’un Sophos Access Point sur lequel le firmware le plus récent est installé. Les modèles suivants sont pris en charge :

À l’avenir, un label « Sophos Central Ready » devrait figurer sur l’emballage et sur les points d’accès eux-mêmes. Si vous possédez un point d’accès de la liste ci-dessus sans label « Sophos Central Ready », ce n’est absolument pas un problème. Comme indiqué, la seule condition est que le firmware soit à jour, faute de quoi le point d’accès ne sera pas détecté. Pour mettre à jour votre point d’accès avec le dernier firmware, procédez comme suit :

  1. Disposer d’une UTM avec le firmware 9.4 (peu importe qu’il s’agisse d’un boîtier ou d’une VM)
  2. Activer le module Wireless (une licence est nécessaire ici, achetée ou version d’essai de 30 jours)
  3. Configurer un réseau sans fil simple
  4. Connecter le point d’accès à l’UTM et attendre qu’il s’affiche
  5. Accepter l’AP et l’ajouter au réseau sans fil
  6. Attendre que l’AP soit affiché comme « actif ». Ne débranchez surtout pas l’AP ! Patience…
  7. L’AP dispose désormais du firmware actuel et est donc prêt pour « Sophos Central Wireless ». Vous pouvez ensuite supprimer la configuration sur l’UTM.

Mise à jour : ce processus peut bien entendu aussi être réalisé avec la XG Firewall, pour laquelle vous n’avez même pas besoin de licence Wireless, puisqu’elle est déjà incluse gratuitement sur SFOS.

Modèle de licence de Sophos Wireless

Jusqu’ici, « Sophos Wireless » laisse globalement une bonne impression. Mais le modèle de licence n’a pas encore été abordé. Et c’est précisément là que les choses se compliquent un peu.

Sur une appliance SG avec système d’exploitation UTM, il est nécessaire d’acquérir une licence pour la « Wireless Protection », tandis que la fonction Wireless est incluse gratuitement avec la nouvelle « Sophos Firewall OS » sur une appliance XG. Dans les deux cas, vous pouvez connecter autant d’AP que les performances de l’appliance le permettent.

Avec « Sophos Wireless », en revanche, chaque AP connecté doit être licencié individuellement ! Alors que, par exemple, avec une Sophos XG 210, vous ne payez que des coûts uniques pour le matériel (~1500 CHF) et pouvez gérer sans problème 20 AP, avec « Sophos Wireless » cela revient à ~55 CHF/an par AP15, et ~110 CHF/an par AP55 ou AP100. À chacun de déterminer maintenant quelle option est la plus rentable.

Tester Sophos Wireless dès maintenant !

Si vous ne disposez pas encore de compte Sophos Central, vous pouvez en créer un sur le site Sophos et tester toutes les fonctions, y compris « Sophos Wireless », gratuitement pendant 30 jours.

Si vous possédez déjà un compte Sophos Central et que votre période d’essai de 30 jours est expirée, vous pouvez commander une licence pour « Sophos Wireless » dans notre boutique :

Conclusion

Globalement, « Sophos Wireless » a laissé une très bonne impression lors de mon test. La mise en service d’un point d’accès est, comme d’habitude, simple et intuitive. L’interface est très claire et bien structurée. Seul le modèle de licence ne me convainc pas totalement. À titre personnel, je ne le trouve pas particulièrement avantageux et, si l’on tient compte du fait qu’une version Advanced avec des fonctions de sécurité supplémentaires doit arriver fin 2016, il faudra probablement payer encore plus cher par point d’accès. Si vous avez un projet WLAN en préparation, discutons-en et calculons ensemble quelle variante est la plus judicieuse pour vos besoins.

Plus d’informations sur Sophos Wireless :

Patrizio

Patrizio

Patrizio est un specialiste reseau experimente, axe sur les firewalls Sophos, les switches et les points d'acces. Il accompagne les clients et les equipes IT dans la configuration, la migration et une segmentation reseau propre.