it-swarm.dev

Condivisione del wifi in un'azienda - Cattiva politica?

È sicuro per una piccola impresa consentire ai clienti di utilizzare il proprio wifi durante l'attesa?

Il mio amico sta avviando una piccola pratica odontoiatrica (1 dentista) e sto impostando i suoi computer/wifi come un favore. Avrà una sala d'attesa e vuole che sia un'esperienza piacevole per i suoi clienti e pensa che la password wifi dovrebbe essere facile in modo che l'addetto alla reception possa fornirla ai pazienti. (Anche se non si aspetta che i pazienti aspettino a lungo o quasi per chiedere e aspettarsi il wifi).

Gli sto dicendo che ha bisogno di una passphrase Wi-Fi WPA2 molto forte e di mantenerla privata (la sua attività è in città con altre aziende/appartamenti nelle vicinanze) oppure qualcun altro malintenzionato potrebbe iniziare a rubare apertamente il suo wifi e fare cose illegali con lui responsabile o solo rallenta notevolmente la loro connessione (che deve essere veloce; hanno in programma di utilizzare servizi basati su cloud).

Esiste un modo sicuro per consentire al pubblico di utilizzare il tuo wifi monitorato da persone non esperte di tecnologia (una volta configurate correttamente)? O è l'unica opzione per gli utenti di piccole dimensioni (senza soluzioni aziendali) di non consentire agli utenti casuali sul proprio wifi?

Il semplice filtraggio dell'indirizzo MAC è probabilmente troppo oneroso per l'addetto alla reception (convincere il paziente a trovare MAC sul proprio dispositivo; digitarlo correttamente; e rimuoverlo dopo che il paziente se ne è andato).

Sarebbe possibile dire avere una lista bianca di alcuni indirizzi MAC che utilizziamo; e consentire altri indirizzi MAC ~ 2 MB di larghezza di banda illimitata a che punto la loro connessione inizia a essere fortemente limitata? Oppure è possibile impostare uno schema per generare password singole che scadranno dopo il primo di ~ 2 MB o 2 ore di utilizzo?

29
dr jimbob

Far entrare gli ospiti sulla tua rete non è una buona idea. Ma questo è già stato detto.

Un punto importante che deve essere osservato è che anche per gli ospiti, è necessario l'identificazione e l'autenticazione. In effetti (non sono a conoscenza delle tue leggi) vuoi assicurarti di essere in grado di rintracciare qualsiasi utente del tuo WiFi in caso di problemi legali. Se qualcuno viene e ti dice: "Hai violato i nostri sistemi", devi sapere chi è stato.

Se dovessi scegliere una soluzione, sceglierei un captive portal che non consentirebbe a nessuno di accedere a Internet se non fornito di credenziali. Pertanto tu (o l'addetto alla reception) potresti emettere credenziali per gli ospiti e registrarle nel tuo database. Queste credenziali sarebbero limitate nel tempo di proposito.

18
M'vy

Non puoi consentire ai clienti di trovarsi sulla stessa rete dei tuoi computer.

Molti nuovi access point WiFi si occupano di questo, creando due reti wifi, dove la rete "ospite" non ha accesso ai computer interni. Cisco/Linksys 4200 è ciò che ho a casa per gli ospiti, ed è facile da configurare, ma ci sono molti altri sistemi che hanno la stessa funzionalità.

36

È sicuro per una piccola impresa consentire ai clienti di utilizzare il proprio wifi durante l'attesa?

No. Anche se nessun cliente attacca intenzionalmente la sua rete WiFi, potrebbe trasportare un qualche tipo di malware sul proprio laptop/smartphone/dispositivo portatile che potrebbe diffondersi. Inoltre, il segnale WiFi non termina alla porta d'ingresso. Probabilmente ti sei connesso ad un WiFi in qualche posto e hai visto altre reti che non hai riconosciuto. Quella rete non intendeva necessariamente estendere il tuo segnale a te. Il tuo amico potrebbe estendere accidentalmente il suo segnale alle imprese vicine. In tal caso, avrebbe condiviso la sua rete personale con più di un semplice cliente. Come Robert Graham ha suggerito di creare un WiFi separato per gli ospiti.

la password wifi dovrebbe essere semplice in modo che l'addetto alla reception possa fornirla ai pazienti. (Anche se non si aspetta che i pazienti aspettino a lungo o quasi per chiedere e aspettarsi il wifi).

Rendere semplice la password WiFi per l'ospite WiFi va bene purché sia ​​separato dalla rete aziendale e la rete aziendale utilizzi una password complessa. Consiglierei comunque di cambiare periodicamente la password della rete WiFi ospite, forse ogni mese. Alla fine del mese fa la contabilità e cambia la password WiFi.

Gli sto dicendo che ha bisogno di una passphrase wifi WPA2 molto potente e di mantenerla privata

Assolutamente. Inoltre ha bisogno di cambiarlo periodicamente. Probabilmente non ho bisogno di dire che ha anche bisogno di un qualche tipo di software antivirus per tutti i suoi computer.

Esiste un modo sicuro per consentire al pubblico di utilizzare il tuo wifi monitorato da persone non esperte di tecnologia (una volta configurate correttamente)?

Non che io sappia, di nuovo mi piace il suggerimento di Robert; impostare una rete ospite separata. Anche un utente di computer moderatamente esperto avrà difficoltà con gli strumenti utilizzati per analizzare l'attività di rete. Anche se l'installazione era sicura all'inizio, la sicurezza IT è un problema in continua evoluzione. Una delle migliori difese attuali è quella di mantenere aggiornate le apparecchiature e il software. Immagina che il particolare punto di accesso wireless che sta utilizzando abbia una vulnerabilità di sicurezza. Ad un certo punto viene rilevata la vulnerabilità e il rivenditore rilascia un aggiornamento del firmware. Chi installerebbe l'aggiornamento? Se né il tuo amico né qualcuno del suo staff riuscissero a farlo, si sentirebbe a proprio agio nel permettere a un punto di accesso WiFi vulnerabile di connettersi alla sua attività?

O è l'unica opzione per gli utenti di piccole dimensioni (senza soluzioni aziendali) di non consentire agli utenti casuali sul proprio wifi?

Questa è un'opzione, ma mi piace di più l'accesso WiFi separato per gli ospiti.

Il semplice filtraggio dell'indirizzo MAC è probabilmente troppo oneroso per l'addetto alla reception

Sì, non lo vedo come un'opzione. Non solo è piuttosto oneroso, ma è probabilmente la forma più semplice di sicurezza da aggirare. Un piccolo clone MAC + sniffing wifi fa passare chiunque oltre il gate per non parlare della mancanza di crittografia dei dati.

Sarebbe possibile dire avere una lista bianca di alcuni indirizzi MAC che utilizziamo; e consentire altri indirizzi MAC ~ 2 MB di larghezza di banda illimitata a che punto la connessione inizia a essere notevolmente ridotta?

Oppure è possibile impostare uno schema per generare una password una tantum che scadrà dopo il primo di ~ 2 MB o 2 ore di utilizzo?

Sì, ma penso che tu voglia renderlo molto più semplice. L'uso di un punto di accesso WiFi separato per gli ospiti farà risparmiare molto lavoro nel tentativo di tenere gli ospiti e gli ospiti indesiderati lontani dagli affari.

Il modo più semplice per imporre il limite di tempo è cambiare la password, e non consiglierei di cambiarla più spesso del quotidiano. Penso che cambiare la password ogni settimana o due sia buono, fino a un mese è probabilmente ok. Inoltre, è possibile impostare un timer per prese elettriche (ad esempio: http://www.Amazon.com/Woods-59377-Digital-Appliance-Settings/dp/B000IKQRT ) da attivare durante l'orario di lavoro e spegnersi dopo ore, il che ridurrebbe l'esposizione del WiFi agli aggressori.

Per distribuire la password, comprerei alcuni fogli di biglietti da visita pronti per stampanti a getto d'inchiostro o laserjet (per esempio: http://www.avery.com/avery/en_us/Products/Cards/Business-Cards ) e stampa un biglietto da visita semplificato con il nome, l'indirizzo, il numero di phine e la password WiFi del dentista. L'addetto alla reception deve solo distribuire le carte.

Nota: non sono affiliato con Avery, Amazon o Woods. Gli esempi non sono raccomandazioni.

18
this.josh

Da un punto di vista della sicurezza e della gestione (oltre a rispettare il budget), consiglierei di dare un'occhiata a ciò che http://www.fon.com offre.

L'access point di base che vendono ha 2 SSID che si collegano alla tua rete. Uno di questi è completamente aperto ma viene instradato in modo tale da non poter accedere alla rete interna, ma solo a Internet. Per impostazione predefinita vengono portati su un portale captive FON dove possono scegliere di accedere gratuitamente (se sono membri) o pagare (in caso contrario). Non sono sicuro che esista un modo per offrirlo gratuitamente.

Il secondo SSID ha una chiave di crittografia ed esiste su una sottorete diversa dalla rete principale. Penso che sia possibile bloccare l'accesso alla tua rete anche da questo, il che ti darebbe una rete gratuita per la quale puoi consegnare la chiave.

Non sono affiliato con FON a parte l'essere un utente e non so se si adatta a ciò che stai pianificando, ma ho pensato che valesse la pena suggerirlo.

4
Matthew Steeples

Se è possibile ottenere alcuni indirizzi IP pubblici statici, è possibile utilizzare un indirizzo IP esclusivamente per gli ospiti. È possibile utilizzare un altro indirizzo IP pubblico come indirizzo esterno per la propria rete privata. Ciò fornisce una maggiore sicurezza perché la relazione della rete ospite con la tua rete privata è che si tratta solo di un'altra rete su Internet. Non esiste una relazione speciale tra gli ospiti e la tua rete privata.

Questo rende anche visibile la distinzione tra ospiti e utenti privilegiati esternamente su Internet. Quindi, se un ospite si connette a un sito a cui ti connetti anche tu, sembrerai provenire da diversi indirizzi IP pubblici. Ciò significa che se gli ospiti vengono inseriti nella lista nera, di solito non influiranno sulla rete privata. E significa che se ci sono reclami su spamming, abuso o violazione del copyright, saprai che proviene da un ospite.

Se sei veramente paranoico, presenta un modulo agente DMCA. Questo ti proteggerà dalla maggior parte delle responsabilità legali per le azioni dei tuoi ospiti. http://www.copyright.gov/onlinesp/

2
David Schwartz

Onestamente, non riesco a pensare a una buona ragione per cui una piccola impresa dovrebbe avere il wifi. Se sei un'azienda, dovresti utilizzare RADIUS (impresa WPA). Se non vuoi pagare per RADIUS, allora non ' non usare il wifi.

WPA Personal non deve essere utilizzato per le aziende per i seguenti motivi:

  1. Le reti personali WPA hanno bisogno di "password" molto potenti perché si possono semplicemente raccogliere i pacchetti e successivamente interrompere la rete utilizzando un computer desktop ad alta velocità. Se ci sono aziende/appartamenti vicini a questo problema diventa ancora peggio.
  2. Quindi, se si utilizza un WPA rete personale per un'azienda, è necessario utilizzare una chiave casuale e non alcun tipo di passphrase. Tuttavia, l'utilizzo di una chiave è estremamente scomodo per il personale e I dubito che rimarrebbe così per molto tempo.
  3. Se stai utilizzando WPA Personal, è improbabile che tu abbia uno staff tecnico per imporre che la password rimanga una chiave casuale.
  4. Se dispongono di computer da ufficio in rete che utilizzano una sorta di suite odontoiatrica, non è probabile che questo software sia molto ben protetto. I miei genitori sono veterinari e so che il loro non è molto sicuro. Proteggerlo complicherebbe la configurazione ed è molto più semplice non avere il wifi.

Sarebbe un gioco da ragazzi per un adolescente entrare nella tua rete e procedere a hackerare i tuoi account. E molto probabilmente nessuno se ne accorge nemmeno. Le soluzioni per i consumatori utilizzano una tecnologia chiamata WPA "personale" per una ragione. Non è pensata per uso aziendale.

Dopo aver scritto tutto questo mi sono appena reso conto che hai detto che l'applicazione sarebbe stata ospitata sul cloud. Questa è in realtà un'idea interessante e probabilmente offre una sicurezza migliore rispetto alla maggior parte degli approcci ... Tuttavia, la maggior parte delle piccole imprese si opporrebbe a questo perché non hanno Internet di livello aziendale per supportare questo e Internet in calo causerebbe enormi problemi.

TL; DR

Le aziende dovrebbero usare il wifi solo se possono permettersi di utilizzare soluzioni di livello aziendale. Altrimenti, evitatelo.

1
user606723