it-swarm-eu.dev

WLAN in einem Unternehmen teilen - schlechte Richtlinien?

Ist es für ein kleines Unternehmen sicher, Kunden während des Wartens ihr WLAN nutzen zu lassen?

Mein Freund eröffnet eine kleine Zahnarztpraxis (1 Zahnarzt) und ich richte seine Computer/WLAN als Gefallen ein. Er hat ein Wartezimmer und möchte, dass es für seine Kunden eine angenehme Erfahrung wird. Er ist der Meinung, dass das WLAN-Passwort einfach sein sollte, damit die Rezeption es den Patienten geben kann. (Obwohl er nicht erwartet, dass Patienten lange warten oder die meisten fragen und WLAN erwarten).

Ich sage ihm, er braucht eine sehr starke WPA2-WLAN-Passphrase und um sie privat zu halten (sein Geschäft befindet sich in der Stadt mit anderen Geschäften/Wohnungen in der Nähe), oder jemand, der böswillig ist, könnte offen sein WLAN stehlen und entweder illegale Dinge mit ihm haftbar machen oder nur verlangsamen ihre Verbindung erheblich (was schnell sein muss; sie planen die Verwendung von Cloud-basierten Diensten).

Gibt es eine sichere Möglichkeit, die Öffentlichkeit Ihr WLAN nutzen zu lassen, das von nicht technisch versierten Personen überwacht wird (sobald es richtig eingerichtet ist)? Oder ist die einzige Option für kleine Benutzer (ohne Unternehmenslösungen), zufällige Benutzer nicht über ihr WLAN zuzulassen?

Das einfache Filtern von MAC-Adressen ist für die Empfangsdame wahrscheinlich zu lästig (den Patienten dazu bringen, MAC auf seinem Gerät zu finden, es richtig einzugeben und es zu entfernen, nachdem der Patient gegangen ist).

Wäre es möglich zu sagen, eine Whitelist mit einigen von uns verwendeten MAC-Adressen zu haben? und anderen MAC-Adressen ~ 2 MB uneingeschränkte Bandbreite erlauben, ab wann wird ihre Verbindung stark gedrosselt? Oder ist es möglich, ein Schema einzurichten, um Einmalkennwörter zu generieren, die nach dem ersten von ~ 2 MB oder 2 Stunden der Nutzung ablaufen?

29
dr jimbob

Es ist keine gute Idee, Gäste in Ihr Netzwerk aufzunehmen. Dies wurde aber bereits gesagt.

Ein wichtiger Punkt, der beachtet werden muss, ist, dass Sie selbst für Gäste eine Identifikation und Authentifizierung benötigen. Tatsächlich (ich kenne Ihre Gesetze nicht) möchten Sie sicherstellen, dass Sie im Falle eines rechtlichen Problems jeden Benutzer Ihres WLANs zurückverfolgen können. Wenn jemand kommt und Ihnen sagt: "Sie haben unsere Systeme gehackt", müssen Sie wissen, wer es getan hat.

Wenn ich eine Lösung wählen müsste, würde ich mich für ein Captive Portal entscheiden, das niemandem den Zugang zum Internet ermöglicht, wenn er nicht über Anmeldeinformationen verfügt. Daher können Sie (oder die Rezeptionistin) Anmeldeinformationen für Gäste ausstellen und diese in Ihrer Datenbank registrieren. Diese Anmeldeinformationen wären absichtlich zeitlich begrenzt.

18
M'vy

Sie können nicht zulassen, dass sich Kunden im selben Netzwerk wie Ihre eigenen Computer befinden.

Viele neue WLAN-Zugangspunkte erledigen dies für Sie, indem sie zwei WLAN-Netzwerke erstellen, in denen das "Gast" -Netzwerk keinen Zugriff auf interne Computer hat. Das Cisco/Linksys 4200 ist das, was ich zu Hause für Gäste habe, und es ist einfach einzurichten, aber es gibt viele andere Systeme, die die gleiche Funktion haben.

36

Ist es für ein kleines Unternehmen sicher, Kunden während des Wartens ihr WLAN nutzen zu lassen?

Nein. Selbst wenn kein Kunde absichtlich sein WiFi-Netzwerk angreift, kann er auf seinem Laptop/Smartphone/tragbaren Gerät Malware übertragen, die sich möglicherweise ausbreitet. Außerdem endet das WiFi-Signal nicht an der Haustür. Sie haben wahrscheinlich irgendwo eine Verbindung zu einem WLAN hergestellt und andere Netzwerke gesehen, die Sie nicht erkannt haben. Diese Netzwerke hatten nicht unbedingt die Absicht, ihr Signal an Sie weiterzugeben. Ihr Freund könnte versehentlich sein Signal auf benachbarte Unternehmen ausdehnen. In diesem Fall würde er sein persönliches Netzwerk mit mehr als nur seinen Kunden teilen. Wie Robert Graham vorschlug, ein separates Gast-WLAN für Kunden einzurichten.

das WLAN-Passwort sollte einfach sein, damit die Rezeption es den Patienten geben kann. (Obwohl er nicht erwartet, dass Patienten lange warten oder die meisten fragen und WLAN erwarten).

Das WLAN-Passwort für das Gast-WLAN einfach zu gestalten, ist in Ordnung, solange es vom Unternehmensnetzwerk getrennt ist und das Unternehmensnetzwerk ein sicheres Passwort verwendet. Ich würde weiterhin empfehlen, das Kennwort des Gast-WLAN-Netzwerks regelmäßig zu ändern, möglicherweise jeden Monat. Am Ende des Monats führt er die Abrechnung durch und ändert das WLAN-Passwort.

Ich sage ihm, dass er eine sehr starke WPA2-WLAN-Passphrase braucht, um sie privat zu halten

Absolut. Außerdem muss er es regelmäßig ändern. Ich muss wahrscheinlich nicht sagen, dass er auch eine Art Antivirensoftware für alle seine Computer benötigt.

Gibt es eine sichere Möglichkeit, die Öffentlichkeit Ihr WLAN nutzen zu lassen, das von nicht technisch versierten Personen überwacht wird (sobald es richtig eingerichtet ist)?

Nicht dass ich wüsste, wieder mag ich Roberts Vorschlag; Richten Sie ein separates Gastnetzwerk ein. Selbst ein mäßig erfahrener Computerbenutzer wird Schwierigkeiten mit den Tools haben, die zur Analyse der Netzwerkaktivität verwendet werden. Auch wenn das Setup zu Beginn sicher war, ist die IT-Sicherheit ein sich ständig änderndes Problem. Eine der besten aktuellen Abwehrmechanismen besteht darin, Ihre Ausrüstung und Software auf dem neuesten Stand zu halten. Stellen Sie sich vor, dass der von ihm verwendete drahtlose Zugangspunkt eine Sicherheitslücke aufweist. Irgendwann wird die Sicherheitsanfälligkeit entdeckt und der Anbieter veröffentlicht ein Firmware-Update. Wer würde das Update installieren? Wenn weder Ihr Freund noch jemand in seinem Personal dies tun könnte, würde er sich dann wohl fühlen, wenn ein anfälliger WLAN-Zugangspunkt eine Verbindung zu seinem Unternehmen herstellen würde?

Oder ist die einzige Option für kleine Benutzer (ohne Unternehmenslösungen), zufällige Benutzer nicht über ihr WLAN zuzulassen?

Das ist eine Option, aber ich mag den separaten Gast-WLAN-Zugang besser.

Eine einfache MAC-Adressfilterung ist für die Empfangsdame wahrscheinlich zu lästig

Ja, ich sehe das nicht als Option. Es ist nicht nur ziemlich belastend, sondern wahrscheinlich auch die am einfachsten zu umgehende Form der Sicherheit. Ein kleiner Wifi-Sniffing + MAC-Klon bringt jeden am Tor vorbei, ganz zu schweigen von der mangelnden Datenverschlüsselung.

Wäre es möglich zu sagen, eine weiße Liste einiger MAC-Adressen zu haben, die wir verwenden? und andere MAC-Adressen zulassen ~ 2 MB uneingeschränkte Bandbreite ab welchem ​​Punkt wird die Verbindung stark gedrosselt?

Oder ist es möglich, ein Schema einzurichten, um Einmalkennwörter zu generieren, die nach dem ersten von ~ 2 MB oder 2 Stunden ablaufen?

Ja, aber ich denke, Sie möchten dies viel einfacher halten. Die Verwendung eines separaten Gast-WLAN-Zugangspunkts erspart viel Arbeit beim Versuch, die Gäste und unerwünschten Gäste von den geschäftlichen Dingen fernzuhalten.

Der einfachste Weg, das Zeitlimit durchzusetzen, besteht darin, das Passwort zu ändern. Ich würde nicht empfehlen, das Passwort öfter als täglich zu ändern. Ich denke, das Passwort alle ein oder zwei Wochen zu ändern ist gut, bis zu einem Monat ist wahrscheinlich in Ordnung. Zusätzlich können Sie einen Steckdosen-Timer (zum Beispiel: http://www.Amazon.com/Woods-59377-Digital-Appliance-Settings/dp/B000IKQRT ) einstellen, der während der Geschäftszeiten und eingeschaltet wird Schalten Sie das Gerät nach Stunden aus, um die Gefährdung von Angreifern durch WLAN zu verringern.

Um das Passwort zu verteilen, würde ich einige Inkjet- oder Laserjet-fähige Visitenkartenblätter kaufen (zum Beispiel: http://www.avery.com/avery/en_us/Products/Cards/Business-Cards ) und drucken eine vereinfachte Visitenkarte mit dem Namen, der Adresse, der Telefonnummer und dem WLAN-Passwort des Zahnarztes. Die Rezeptionistin muss nur die Karten aushändigen.

Hinweis: Ich bin nicht mit Avery, Amazon oder Woods verbunden. Die Beispiele sind keine Empfehlungen.

18
this.josh

Unter Sicherheits- und Verwaltungsgesichtspunkten (und unter Einhaltung des Budgets) würde ich empfehlen, einen Blick auf die Angebote von http://www.fon.com zu werfen.

Der von ihnen verkaufte Basiszugriffspunkt verfügt über 2 SSIDs, die eine Verbindung zu Ihrem Netzwerk herstellen. Einer von ihnen ist vollständig geöffnet, wird jedoch so weitergeleitet, dass er nicht auf Ihr internes Netzwerk zugreifen kann, sondern nur auf das Internet. Standardmäßig werden sie zu einem FON-Captive-Portal weitergeleitet, wo sie sich kostenlos anmelden können (wenn sie Mitglied sind) oder bezahlen (wenn nicht). Ich bin mir nicht sicher, ob es eine Möglichkeit gibt, es kostenlos anzubieten.

Die 2. SSID verfügt über einen Verschlüsselungsschlüssel und befindet sich in einem anderen Subnetz als Ihr Hauptnetzwerk. Ich denke, es ist auch möglich, den Zugriff auf Ihr Netzwerk zu blockieren, wodurch Sie ein kostenloses Netzwerk erhalten, für das Sie den Schlüssel verteilen können.

Ich bin in keiner Weise mit FON verbunden, abgesehen davon, dass ich ein Benutzer bin, und ich weiß nicht, ob es zu dem passt, was Sie planen, aber ich dachte, es lohnt sich, einen Vorschlag zu machen.

4

Wenn Sie einige statische, öffentliche IP-Adressen erhalten, können Sie eine IP-Adresse ausschließlich für Gäste verwenden. Sie können eine andere öffentliche IP-Adresse als externe Adresse für Ihr privates Netzwerk verwenden. Dies bietet mehr Sicherheit, da die Beziehung des Gastnetzwerks zu Ihrem privaten Netzwerk darin besteht, dass es sich nur um ein anderes Netzwerk im Internet handelt. Es besteht keine besondere Beziehung zwischen den Gästen und Ihrem privaten Netzwerk.

Dadurch wird auch die Unterscheidung zwischen Gästen und privilegierten Benutzern im Internet extern sichtbar. Wenn ein Gast eine Verbindung zu einer Site herstellt, zu der Sie auch eine Verbindung herstellen, scheinen Sie von verschiedenen öffentlichen IP-Adressen zu stammen. Das heißt, wenn Gäste auf die schwarze Liste gesetzt werden, hat dies normalerweise keine Auswirkungen auf das private Netzwerk. Wenn Beschwerden über Spam, Missbrauch oder Urheberrechtsverletzung vorliegen, wissen Sie, dass diese von einem Gast stammen.

Wenn Sie wirklich paranoid sind, reichen Sie ein DMCA-Agentenformular ein. Dies schützt Sie vor der meisten gesetzlichen Haftung für die Handlungen Ihrer Gäste. http://www.copyright.gov/onlinesp/

2
David Schwartz

Ehrlich gesagt, ich kann mir keinen guten Grund vorstellen, warum ein kleines Unternehmen WLAN haben sollte. Wenn Sie ein Unternehmen sind, sollten Sie RADIUS (WPA-Unternehmen)) verwenden. Wenn Sie nicht für RADIUS Geräte bezahlen möchten, dann tun Sie nicht ' Verwenden Sie kein WLAN.

WPA Personal sollte aus folgenden Gründen nicht für Unternehmen verwendet werden:

  1. WPA Persönliche Netzwerke benötigen sehr starke "Passwörter", da man einfach die Pakete sammeln und später das Netzwerk mit einem Hochgeschwindigkeits-Desktop-Computer unterbrechen kann. Wenn es Geschäfte/Wohnungen in der Nähe gibt, wird dieses Problem noch schlimmer.
  2. Wenn Sie also ein WPA Persönliches Netzwerk) für ein Unternehmen verwenden, sollten Sie einen zufälligen Schlüssel und keine Passphrase verwenden. Die Verwendung eines Schlüssels ist jedoch für die Mitarbeiter und mich äußerst unpraktisch bezweifle, dass es sehr lange so bleiben würde.
  3. Wenn Sie WPA Personal) verwenden, ist es unwahrscheinlich, dass Sie ein technisches Personal haben, das erzwingt, dass das Kennwort ein zufälliger Schlüssel bleibt.
  4. Wenn sie Bürocomputer mit einer Art Zahnmedizin-Suite vernetzt haben, ist es unwahrscheinlich, dass diese Software sehr gut gesichert ist. Meine Eltern sind Tierärzte und ich weiß, dass ihre nicht sehr sicher sind. Das Sichern würde das Setup erschweren und es ist viel einfacher, kein WLAN zu haben.

Für einen Teenager wäre es ein Kinderspiel, in Ihr Netzwerk einzudringen und sich in Ihre Konten zu hacken. Und höchstwahrscheinlich merkt niemand, dass dies geschieht. Verbraucherlösungen verwenden aus einem bestimmten Grund eine Technologie namens WPA "persönlich"). Sie ist nicht für den geschäftlichen Gebrauch gedacht.

Nachdem ich das Ganze geschrieben hatte, wurde mir gerade klar, dass Sie erwähnt haben, dass die Anwendung in der Cloud gehostet wird. Dies ist tatsächlich eine interessante Idee und bietet wahrscheinlich eine bessere Sicherheit als die meisten Ansätze ... Die meisten kleinen Unternehmen würden jedoch dagegen protestieren, da sie kein Internet für Unternehmen haben, um dies zu unterstützen, und der Ausfall des Internets würde große Probleme verursachen.

TL; DR

Unternehmen sollten WLAN nur nutzen, wenn sie es sich leisten können, Lösungen für Unternehmen zu verwenden. Ansonsten vermeiden Sie es einfach.

1
user606723