it-swarm-eu.dev

Sdílení WiFi v podniku - špatná politika?

Je to bezpečné pro malé firmy, aby zákazníci mohli používat jejich wifi při čekání?

Můj přítel zahajuje malou stomatologickou praxi (1 zubař) a já nastavuji své počítače/wifi jako laskavost. Bude mít čekárnu a chce, aby to bylo pro jeho zákazníky příjemným zážitkem, a myslí si, že by heslo wifi mělo být snadné, aby jej recepční mohl dát pacientům. (Přestože neočekává, že pacienti budou čekat dlouho nebo nejvíce, aby se zeptali a očekávali wifi).

Říkám mu, že potřebuje velmi silnou přístupovou frázi Wi-Fi WPA2 a aby byl soukromý (jeho firma je ve městě s dalšími firmami/byty v okolí), nebo by někdo škodlivý mohl začít otevřeně krást wifi a buď s ním zodpovědně dělat nezákonné věci nebo just výrazně zpomalit jejich připojení (což musí být rychlé; plánují používat cloudové služby).

Existuje bezpečný způsob, jak nechat veřejnost používat wifi, které sledují netechnicky důvtipní lidé (jakmile je správně nastaveno)? Nebo je jedinou možností pro uživatele v malém měřítku (bez podnikových řešení), aby jednoduše nedovolili náhodným uživatelům v jejich wifi?

Jednoduché filtrování MAC adres je na recepční pravděpodobně příliš zatěžující (přimět pacienta, aby našel MAC na svém zařízení; správně jej zadal a odstranil poté, co pacient opustí).

Bylo by možné říci mít whitelist na několika MAC adresách, které používáme; a povolit další adresy MAC ~ 2 MB neomezené šířky pásma, kdy se jejich připojení začne výrazně omezovat? Nebo je možné nastavit schéma tak, aby generovalo jednorázová hesla, která vyprší po prvních ~ 2 MB nebo 2 hodinách používání?

29
dr jimbob

Nechat hosty přicházet do vaší sítě není dobrý nápad. Ale to už bylo řečeno.

Hlavním bodem, který je třeba poznamenat, je to, že i pro hosty potřebujete identifikaci a autentizaci. Ve skutečnosti (nejsem si vědom vašich zákonů) se chcete ujistit, že budete moci vystopovat každého uživatele vaší WiFi v případě právního problému. Pokud někdo přijde a řekne vám: „Nabourali jste naše systémy,“ musíte vědět, kdo to udělal.

Kdybych si musel vybrat řešení, tak bych si vybral portál pro zajetí , který by nikomu neumožnil přístup na internet, pokud nebude poskytnut přihlašovací údaje. Vy (nebo recepční) byste proto mohli udělit pověření hostům a zaregistrovat je do své databáze. Tyto údaje by byly záměrně časově omezené.

18
M'vy

Zákazníkům nemůžete dovolit, aby byli ve stejné síti jako vaše vlastní počítače.

Mnoho nových přístupových bodů WiFi se o to postará vytvořením dvou sítí Wi-Fi, kde „hostující“ síť nemá přístup k interním počítačům. Cisco/Linksys 4200 je to, co mám doma pro hosty, a je snadné jej nastavit, ale existuje mnoho dalších systémů, které mají stejnou funkci.

36

Je to bezpečné pro malé firmy, aby zákazníci mohli používat jejich wifi při čekání?

Ne. I když žádný zákazník úmyslně nenapadne jeho WiFi síť, mohl by mít na svém notebooku/chytrém telefonu/přenosném zařízení nějaký druh malwaru, který by se mohl šířit. Navíc signál WiFi nekončí u předních dveří. Pravděpodobně jste se k místu připojení k WiFi připojili a viděli jste další sítě, které jste nepoznali. Tyto sítě neměly nutně v úmyslu rozšířit svůj signál na vás. Váš přítel by mohl náhodně rozšířit svůj signál na sousední firmy. V tom případě by sdílel svou osobní síť s více než jen se svými zákazníky. Jak navrhl Robert Graham, zřídil pro zákazníky samostatný host WiFi.

heslo wifi by mělo být snadné, aby ho recepční mohla dát pacientům. (Přestože neočekává, že pacienti budou čekat dlouho nebo nejvíce, aby se zeptali a očekávali wifi).

Zjednodušení hesla WiFi pro hosta WiFi je v pořádku, pokud je oddělené od obchodní sítě a obchodní síť používá silné heslo. Přesto bych doporučoval pravidelně měnit heslo pro síť WiFi hosta, snad každý měsíc. Na konci měsíce provede účetnictví a změní heslo WiFi.

Říkám mu, že potřebuje velmi silnou přístupovou frázi WiFi WPA2 a aby ji udržel v soukromí

Absolutně. Také ji potřebuje pravidelně měnit. Pravděpodobně nemusím říkat, že také potřebuje nějaký typ antivirového softwaru pro všechny své počítače.

Existuje bezpečný způsob, jak nechat veřejnost používat wifi, které sledují netechnicky důvtipní lidé (jakmile je správně nastaveno)?

Ne, o kterém vím, opět se mi líbí Robertův návrh; zřídit samostatnou síť pro hosty. Dokonce i středně kvalifikovaný uživatel počítače bude mít potíže s nástroji používanými k analýze síťové aktivity. I když bylo nastavení na začátku bezpečné, zabezpečení IT je stále se měnícím problémem. Jednou z nejlepších současných obran je udržovat vaše zařízení a software aktuální. Představte si, že konkrétní bezdrátový přístupový bod, který používá, se ukazuje jako zranitelný z hlediska zabezpečení. V určitém okamžiku je chyba odhalena a vender vydá aktualizaci firmwaru. Kdo by nainstaloval aktualizaci? Pokud by to nemohl udělat váš přítel ani kdokoli z jeho zaměstnanců, cítil by se pohodlně a nechal by se zranitelný přístupový bod WiFi připojit k jeho podnikání?

Nebo je jedinou možností pro uživatele v malém měřítku (bez podnikových řešení), aby jednoduše nedovolili náhodným uživatelům v jejich wifi?

To je jedna z možností, ale líbí se mi samostatný přístup WiFi k internetu lépe.

Jednoduché filtrování MAC adres je na recepci pravděpodobně příliš zatěžující

Ano, nevidím to jako možnost. Nejen, že je to spíše zatěžující, ale je to pravděpodobně nejjednodušší forma zabezpečení, kterou lze obejít. Malý WiFi-sniffing + MAC klon dostane každého kolem brány, nemluvě o nedostatku šifrování dat.

Bylo by možné říci, že máme bílý seznam několika MAC adres, které používáme; a povolit další adresy MAC ~ 2 MB neomezené šířky pásma, v jakém okamžiku se připojení začne výrazně omezovat?

Nebo je možné nastavit schéma tak, aby generovalo jednorázová hesla, která vyprší po prvním z ~ 2 MB nebo 2 hodinách používání?

Ano, ale myslím, že to chcete mnohem jednodušší. Použití samostatného přístupového bodu WiFi vám ušetří spoustu práce při snaze udržet hosty a nežádoucí hosty mimo obchodní záležitosti.

Nejjednodušší způsob, jak dodržet časový limit, je změna hesla a nedoporučoval bych měnit heslo častěji než denně. Myslím, že změna hesla každý týden nebo dva je dobrá, až měsíc je pravděpodobně v pořádku. Kromě toho můžete nastavit časovač elektrické zásuvky (například: http://www.Amazon.com/Woods-59377-Digital-Appliance-Settings/dp/B000IKQRT ), aby se zapínal v pracovní době a vypnout po hodinách, což by snížilo vystavení WiFi útočníkům.

Pro distribuci hesla bych si koupil nějaké vizitky připravené pro inkoustové nebo laserové tiskárny (například: http://www.avery.com/avery/en_us/Products/Cards/Business-Cards ) a tisk Zjednodušenou vizitku se jménem zubaře, adresou, číslem phine a heslem hosta WiFi. Recepční musí karty rozdat.

Poznámka: Nebyl jsem spojen s Avery, Amazonkou nebo Woodsem. Příklady nejsou doporučení.

18
this.josh

Z hlediska zabezpečení a správy (stejně jako udržení v rámci rozpočtu) bych doporučil podívat se na to, co http://www.fon.com nabízí.

Základní přístupový bod, který prodávají, má 2 SSID, které se připojují k vaší síti. Jeden z nich je zcela otevřený, ale je směrován tak, že nemůže přistupovat k vaší vnitřní síti, pouze k internetu. Ve výchozím nastavení jsou přesměrováni na portál zajatý FON, kde si mohou vybrat přihlášení zdarma (pokud jsou členem) nebo platit (pokud ne). Nejsem si jistý, jestli existuje způsob, jak nabídnout bezplatnou zastávku.

Druhý identifikátor SSID má šifrovací klíč a existuje v jiné podsíti než v hlavní síti. Myslím, že je také možné zablokovat přístup do vaší sítě, což by vám poskytlo bezplatnou síť, pro kterou můžete klíč rozdat.

Nejsem nijak spřízněn s FON, kromě toho, že jsem uživatel, a nevím, zda to zapadá do toho, co plánujete, ale domníval jsem se, že to stojí za to navrhnout.

4
Matthew Steeples

Pokud můžete získat několik statických veřejných IP adres, můžete pro hosty použít pouze jednu IP adresu. Jako vnější adresu vaší soukromé sítě můžete použít jinou veřejnou adresu IP. To poskytuje větší zabezpečení, protože vztah hostující sítě k vaší privátní síti spočívá v tom, že jde pouze o jinou síť na internetu. Mezi hosty a vaší privátní sítí neexistuje žádný zvláštní vztah.

Díky tomu je na Internetu mimo jiné viditelný rozdíl mezi hosty a privilegovanými uživateli. Pokud se tedy host připojí k webu, ke kterému se také připojíte, bude se zdát, že pochází z různých veřejných IP adres. To znamená, že pokud se hosté dostanou na černou listinu, obvykle to neovlivní soukromou síť. A to znamená, že pokud existují stížnosti na spam, zneužití nebo porušení autorských práv, budete vědět, že to přišlo od hosta.

Pokud jste opravdu paranoidní, podejte formulář agenta DMCA. To vás ochrání před právní odpovědností za jednání vašich hostů. http://www.copyright.gov/onlinesp/

2
David Schwartz

Upřímně řečeno, nedokážu vymyslet dobrý důvod, proč by malé firmy měly mít wifi. Pokud jste firma, měli byste používat RADIUS (podnik WPA)). Pokud nechcete platit za vybavení RADIUS zařízení), pak nepoužívat wifi.

WPA Personal by se neměl používat pro podniky z následujících důvodů -

  1. Osobní sítě WPA potřebují „opravdu“ silná „hesla“, protože je možné jednoduše sbírat pakety a později přerušit síť pomocí vysokorychlostního stolního počítače. Pokud jsou v blízkosti podniky/byty, je tento problém ještě horší.
  2. Pokud tedy pro firmu používáte osobní síť WPA), měli byste použít náhodný klíč a ne nějaký přístupový fráz. Použití klíče je však pro zaměstnance velmi nevhodné a já pochybuji, že by to tak zůstalo velmi dlouho.
  3. Pokud používáte WPA osobní, je nepravděpodobné, že budete mít technický personál vynutit, aby heslo zůstalo náhodným klíčem.
  4. Pokud mají síťové kancelářské počítače používající nějaký druh stomatologie, není pravděpodobné, že tento software je velmi dobře zabezpečený. Moji rodiče jsou veterináři a já vím, že jejich nejsou příliš bezpečné. Zabezpečení by komplikovalo nastavení a je mnohem snazší prostě nemít wifi.

Pro teenagera by bylo hraní s dětmi proniknout do vaší sítě a přejít na váš účet. A s největší pravděpodobností si to nikdo ani nevšimne. Spotřebitelská řešení používají z nějakého důvodu technologii zvanou WPA "osobní". Není určena pro obchodní použití.

Po napsání celé této věci jsem si právě uvědomil, že jste zmínil, že aplikace bude hostována v cloudu. To je vlastně zajímavý nápad a pravděpodobně nabízí lepší zabezpečení než většina přístupů ... Většina malých podniků by proti tomu vznesla námitky, protože nemají internet podnikové úrovně, který by to podporoval, a že by internet klesal, způsobily by to obrovské problémy.

TL; DR

Podniky by měly používat wifi, pouze pokud si mohou dovolit používat řešení pro firemní úroveň. Jinak se tomu jen vyhněte.

1
user606723