Condivisione della rete Wi-Fi in un'azienda - Cattiva politica?

29

Per una piccola azienda è sicuro lasciare che i clienti utilizzino il wifi durante l'attesa?

Il mio amico sta avviando una piccola pratica odontoiatrica (1 dentista) e sto configurando i suoi computer / wifi come favore. Avrà una sala d'aspetto e vuole che sia un'esperienza piacevole per i suoi clienti e pensa che la password wifi dovrebbe essere facile, così l'addetto alla reception può darlo ai pazienti. (Anche se non si aspetta che i pazienti attenderanno a lungo o più per chiedere e aspettarsi il wifi).

Gli dico che ha bisogno di una passphrase Wi-Fi WPA2 molto strong e di mantenerlo privato (la sua attività è in città con altre aziende / appartamenti nelle vicinanze) oppure qualcuno malintenzionato potrebbe iniziare a rubare apertamente il suo wifi e fare cose illegali con lui è responsabile o solo rallenta gravemente la loro connessione (che deve essere veloce, prevede di utilizzare servizi basati su cloud).

Esiste un modo sicuro per consentire al pubblico di utilizzare il tuo wifi monitorato da persone esperte non tecnologiche (una volta configurato correttamente)? O è l'unica opzione per gli utenti di piccole dimensioni (senza soluzioni aziendali) per non consentire solo agli utenti casuali sul proprio wifi?

Il semplice filtraggio degli indirizzi MAC è probabilmente troppo oneroso per l'addetto alla reception (chiedere al paziente di trovare MAC sul dispositivo, digitarlo correttamente e rimuoverlo dopo che il paziente se ne va).

Sarebbe possibile dire di avere una whitelist di alcuni indirizzi MAC che usiamo; e consentire ad altri indirizzi MAC ~ 2 MB di ampiezza di banda illimitata, a quel punto la connessione inizia a essere gravemente ridotta? Oppure è possibile impostare uno schema per generare password monouso che scadranno dopo il primo di ~ 2 MB o 2 ore di utilizzo?

    
posta dr jimbob 24.08.2011 - 07:26
fonte

6 risposte

18

Lasciare che gli ospiti entrino nella tua rete non è una buona idea. Ma questo è già stato detto.

Un punto importante che deve essere notato è che anche per gli ospiti, è necessario l'identificazione e l'autenticazione. In effetti (non sono a conoscenza delle tue leggi) vuoi essere sicuro di poter rintracciare qualsiasi utente del tuo WiFi in caso di problemi legali. Se qualcuno viene e ti dice: "Hai violato i nostri sistemi", devi sapere chi è stato.

Se dovessi scegliere una soluzione, farei un captive portal che non consentirebbe a nessuno di accedere Internet se non fornito di credenziali. Quindi tu (o il receptionist) potresti rilasciare credenziali per gli ospiti e registrarli nel tuo database. Queste credenziali sarebbero limitate nel tempo di proposito.

    
risposta data 24.08.2011 - 09:54
fonte
36

Non puoi consentire ai clienti di essere sulla stessa rete dei tuoi stessi computer.

Molti nuovi punti di accesso WiFi si occupano di questo per te, creando due reti wifi, in cui la rete "ospite" non ha accesso ai computer interni. Cisco / Linksys 4200 è quello che ho a casa per gli ospiti, ed è facile da configurare, ma ci sono molti altri sistemi che hanno la stessa funzionalità.

    
risposta data 24.08.2011 - 07:47
fonte
18

Is it safe for a small business to let customers use their wifi while waiting?

No. Anche se nessun cliente attacca intenzionalmente la sua rete WiFi, potrebbe portare un qualche tipo di malware sul suo laptop / smartphone / dispositivo portatile che potrebbe diffondersi. Inoltre, il segnale WiFi non finisce sulla porta principale. Probabilmente ti sei connesso ad un WiFi in qualche posto e hai visto altre reti che non hai riconosciuto. Quella rete non ha necessariamente intenzione di estendere il loro segnale a voi. Il tuo amico potrebbe accidentalmente estendere il suo segnale alle imprese vicine. In tal caso, condividerebbe la sua rete personale con più che solo i suoi clienti. Come Robert Graham ha suggerito di impostare un guest WiFi separato per i clienti.

the wifi password should be easy so the receptionist can give it to patients. (Though he doesn't expect patients to wait long or most to ask and expect wifi).

Rendere la password WiFi per il guest WiFi semplice va bene fintanto che è separata dalla rete aziendale e la rete aziendale utilizza una password complessa. Raccomanderei comunque di cambiare periodicamente la password della rete WiFi ospite, forse ogni mese. Alla fine del mese esegue la contabilità e modifica la password WiFi.

I'm telling him he needs a very strong WPA2 wifi passphrase and to keep it private

Assolutamente. Inoltre ha bisogno di cambiarlo periodicamente. Probabilmente non ho bisogno di dire che ha anche bisogno di un qualche tipo di software anti-virus per tutti i suoi computer.

Is there a secure way to let the public use your wifi that is monitored by non-tech savvy people (once properly setup)?

Non che io sappia, di nuovo mi piace il suggerimento di Robert; configurare una rete ospite separata. Anche un utente di computer moderatamente esperto avrà difficoltà con gli strumenti utilizzati per analizzare l'attività di rete. Anche se la configurazione era al sicuro all'inizio, la sicurezza IT è un problema in continua evoluzione. Una delle migliori difese attuali è quella di mantenere aggiornate apparecchiature e software. Immagina che il particolare punto di accesso wireless che sta utilizzando risulta avere una vulnerabilità di sicurezza. Ad un certo punto la vulnerabilità viene rilevata e il distributore rilascia un aggiornamento del firmware. Chi installerebbe l'aggiornamento? Se né il tuo amico né alcuno del suo staff potrebbe farlo, si sentirebbe a suo agio lasciando che un vulnerabile punto di accesso WiFi si colleghi alla sua attività?

Or is the only option for small-scale users (without enterprise solutions) to just not allow random users on their wifi?

Questa è un'opzione, ma mi piace l'accesso WiFi guest separato.

Simple MAC address filtering is probably too burdensome on the receptionist

Sì, non lo vedo come opzione. Non solo è piuttosto oneroso, ma è probabilmente la forma di sicurezza più semplice da aggirare. Un po 'di wifi-sniffing + clone MAC porta chiunque oltre il cancello per non parlare della mancanza di crittografia dei dati.

Would it be possible to say have a white list of a few MAC addresses that we use; and allow other MAC addresses ~2 MB of unrestricted bandwidth at which point there connection starts getting severely throttled?

Or is it possible to setup a scheme to generate a one-time passwords that will expire after the first of ~2MB or 2 hrs of use?

Sì, ma penso che tu voglia mantenerlo molto più semplice. L'utilizzo di un punto di accesso WiFi guest separato consente di risparmiare un sacco di lavoro cercando di tenere gli ospiti e gli ospiti indesiderati lontani dagli affari.

Il modo più semplice per far rispettare il limite di tempo è cambiare la password, e io non raccomanderei di cambiare la password più spesso del quotidiano. Penso che cambiare la password di una o due settimane sia buona, fino a un mese probabilmente è ok. Inoltre, è possibile impostare un timer di presa elettrica (ad esempio: collegamento ) per attivarlo durante l'orario di ufficio e spegnere dopo ore, che ridurrebbe l'esposizione del WiFi agli aggressori.

Per distribuire la password, compro alcuni fogli di biglietti da visita pronti per stampanti a getto d'inchiostro o laserjet (ad esempio: link ) e stampare un biglietto da visita semplificato con il nome, l'indirizzo, il numero di phine e la password WiFi dell'ospite. L'addetto alla reception deve solo distribuire le carte.

Nota: non sono affiliato con Avery, Amazon o Woods. Gli esempi non sono consigli.

    
risposta data 24.08.2011 - 09:38
fonte
4

Dal punto di vista della sicurezza e della gestione (oltre a rispettare il budget), consiglierei di dare un'occhiata a ciò che link offre .

Il punto di accesso di base che vendono ha 2 SSID che si connettono alla rete. Uno di questi è completamente aperto ma viene instradato in modo tale da non poter accedere alla rete interna, solo a Internet. Di default vengono portati su un portale captive FON dove possono scegliere di accedere gratuitamente (se sono membri) o pagare (se non lo sono). Non sono sicuro che esista un modo per offrirlo gratuitamente.

Il secondo SSID ha una chiave di crittografia ed esiste su una sottorete diversa dalla rete principale. Penso che sia possibile bloccare l'accesso alla tua rete anche da questo, che ti darebbe una rete gratuita a cui puoi distribuire la chiave.

Non sono affiliato con FON in alcun modo oltre a essere un utente, e non so se si adatta a ciò che stai pianificando, ma ho pensato che valesse la pena di suggerire.

    
risposta data 24.08.2011 - 10:01
fonte
2

Se è possibile ottenere alcuni indirizzi IP pubblici statici, è possibile utilizzare un indirizzo IP esclusivamente per gli ospiti. È possibile utilizzare un altro indirizzo IP pubblico come indirizzo esterno per la rete privata. Ciò fornisce maggiore sicurezza perché la relazione tra la rete ospite e la rete privata è che si tratta solo di un'altra rete su Internet. Non esiste una relazione speciale tra gli ospiti e la tua rete privata.

Questo rende anche la distinzione tra ospiti e utenti privilegiati esternamente visibili su Internet. Quindi, se un ospite si connette a un sito a cui ti connetti, sembrerai che provenga da diversi indirizzi IP pubblici. Ciò significa che se gli ospiti vengono inseriti nella blacklist, di solito non influisce sulla rete privata. Significa che se ci sono reclami relativi a spam, abuso o violazione del copyright, saprai che proviene da un ospite.

Se sei veramente paranoico, invia un modulo agente DMCA. Questo ti proteggerà dalla maggior parte delle responsabilità legali per le azioni dei tuoi ospiti. link

    
risposta data 24.08.2011 - 13:34
fonte
1

Onestamente, non riesco a pensare a una buona ragione per cui una piccola azienda dovrebbe avere la connessione wifi. Se sei un'azienda, dovresti utilizzare RADIUS (impresa WPA). Se non si desidera pagare per apparecchiature RADIUS, quindi non utilizzare il wifi.

WPA Personal non deve essere utilizzato per le aziende per i seguenti motivi:

  1. Le reti WPA personali necessitano di "password" molto forti perché si possono semplicemente raccogliere i pacchetti e poi interrompere la rete utilizzando un computer desktop ad alta velocità. Se ci sono aziende / appartamenti vicini a questo problema diventa anche peggio.
  2. Quindi, se stai utilizzando una rete WPA Personal per un'azienda, dovresti utilizzare una chiave casuale e non una sorta di passphrase. Tuttavia, l'uso di una chiave è estremamente scomodo per il personale e dubito che rimarrebbe in questo modo per molto tempo.
  3. Se utilizzi WPA Personal è improbabile che tu abbia uno staff tecnico per far sì che la password rimanga una chiave casuale.
  4. Se dispongono di computer di rete in rete che utilizzano una specie di suite odontoiatrica, è improbabile che questo software sia ben protetto. I miei genitori sono veterinari e so che il loro non è molto sicuro. La sua sicurezza complicherebbe il setup ed è molto più semplice non avere wifi.

Sarebbe childsplay per un adolescente entrare nella tua rete e procedere a hackerare i tuoi account. E molto probabilmente, nessuno ha nemmeno notato che questo sta accadendo. Le soluzioni consumer utilizzano una tecnologia chiamata "personale" WPA per un motivo. Non è pensato per l'uso professionale.

Dopo aver scritto questa cosa, mi sono appena reso conto che hai accennato al fatto che l'applicazione sarebbe stata ospitata sul cloud. Questa è in realtà un'idea interessante e probabilmente offre una maggiore sicurezza rispetto alla maggior parte degli approcci ... Tuttavia, la maggior parte delle piccole imprese si oppongono a questo perché non hanno internet di livello aziendale per supportare questo e Internet andando giù causerebbe enormi problemi. p>

TL; DR

Le aziende dovrebbero utilizzare il wifi solo se possono permettersi di utilizzare soluzioni di livello aziendale. Altrimenti, evitalo.

    
risposta data 24.08.2011 - 18:25
fonte

Leggi altre domande sui tag