Quanto di un rischio per gli studenti è una rete WiFi aperta nel campus? EDIT: per favore leggere per intero.

4

Ho combattuto contro la burocrazia del mio college per mesi su questo tema; alcuni mesi fa, hanno cambiato la sicurezza sul SSID per gli studenti;

Utilizzava EAP, consentendo agli studenti di inserire le proprie credenziali accademiche una volta nel loro client Wi-Fi nativo. Ora la rete è aperta, con un reindirizzamento a una pagina del browser sicura che autentica le credenziali.

Mi sto incontrando con il vice cancelliere del mio college tra due settimane e voglio assicurarmi che il mio caso per crittografare nuovamente la rete studentesca sia solido. Cercare di spiegare la differenza tra autenticazione e crittografia a qualcuno senza conoscenze tecniche è abbastanza doloroso;

Oltre a spiegare che la rete è, in effetti, aperta, devo convincerli che una rete aperta è un rischio significativo, soprattutto in considerazione dell'alto volume e della scarsa alfabetizzazione tecnica del corpo studentesco (è una grande comunità universitaria).

Infine, gli amministratori IT hanno affermato che la base per il passaggio era la compatibilità dei dispositivi - che non potevano più supportare tutti i dispositivi degli studenti sulla rete.

Dato che il personale ha ancora una rete crittografata e probabilmente utilizza la stessa varietà di dispositivi degli studenti, sospetto che questa sia una scusa. Sicuramente sul front end EAP è uno standard abbastanza consolidato. Non ho idea di come siano le cose sul back-end, però.

EDIT: non ho un "modello di minaccia", e non sto chiedendo una forma di sicurezza idealizzata. Si prega di comprendere il contesto della mia domanda e risposta in modo pertinente a tale contesto. Ho bisogno di una politica IT ragionevolmente perseguibile per cui difendermi, e devo essere in grado di presentare qualche concetto di rischio vs costo al Vice Cancelliere.

C'è qualche merito a ciò che l'IT ha rivendicato? E ho ragione di essere agitato per la crittografia per il corpo studentesco?

    
posta Aaron Rosenfeld 19.11.2014 - 22:30
fonte

4 risposte

4

Penso che tu ti stia preoccupando della cosa sbagliata. Non dovresti avere motivi per fidarti della rete locale più di quanto faresti per qualsiasi dato che invierai tramite Internet pubblica. Se si desidera inviare una password, è responsabilità dell'utente assicurarsi di utilizzare una connessione protetta da TLS. Affidarsi al Wi-Fi locale per proteggere i tuoi dati esclude essenzialmente solo gli hacker in vista e pensare che in qualche modo ti protegga.

Sei responsabile della tua sicurezza sul tuo computer e di tutte le connessioni di rete che effettui.

    
risposta data 19.11.2014 - 23:38
fonte
2

In primo luogo, un commento; a volte (leggi "quasi sempre") ottengo un nuovo giocattolo, un'app, una tecnologia e cerco di adattarlo in ogni luogo possibile. Anche in posti che non funzionano, mi diverto a capire perché. È un'esperienza di apprendimento.

Il termine "Modello di minaccia" può sembrare eccessivamente teorico o sprezzante del tuo caso. Lo scopo è che il consulente di sicurezza ti dia una soluzione adeguata.

In questo caso, non sembra che si desideri una soluzione adeguata per proteggersi da un buco di sicurezza, ma si vede una funzionalità intuitiva (crittografia wifi) che dovrebbe essere attivata perché "sembra migliore". Sarei d'accordo Stai facendo la dovuta diligenza dovuta venire qui e chiedere supporto. Buon pensiero, ma questo pubblico è ora per lo più consulenti di sicurezza che vogliono risolvere un problema.

Che cosa ti offre la crittografia abilitante per il wifi? Fornisce agli studenti la privacy per qualsiasi sito Web non SSL. Ogni volta che uno studente utilizza un sito Web senza SSL, è possibile presumere che un visitatore ficcanaso, un consulente o una persona nelle vicinanze possano leggere tali informazioni (ricerche su google, social media, ecc.). Questo può essere la base per il tuo argomento.

A supporto del tuo staff IT, supportare i dispositivi degli utenti finali è difficile, soprattutto considerando la moltitudine di dispositivi là fuori. Se sei un college comunitario, è probabile che tu abbia a che fare con vecchi strumenti e studenti esigenti.

In un'epoca in cui le università devono provvedere (troppo) agli studenti per le entrate, sospetto che il personale IT abbia un argomento convincente. Forse puoi avere una "via di mezzo" in cui il punto di accesso serve "WPA-2 Enterprise (iOS)" o WPA oltre a nessuna autenticazione. Quindi puoi consigliare qualcosa per gli utenti attenti alla sicurezza e avere comunque un servizio di catch-all per studenti con hardware scadente.

user10008 suggerisce di dire agli studenti di usare quello esistente della facoltà criptata. Supponendo che la faculty Wifi contenga dati confidenziali / PII, vorrei scoraggiarlo. Apre la porta a molti attacchi contro i professori sulla stessa connessione.

    
risposta data 21.11.2014 - 05:41
fonte
1

Avendo lavorato una volta in un edu, il nostro obiettivo era rendere le cose senza soluzione di continuità e indolori per i clienti (studenti) dell'Università. Come professionista, c'erano molte cose che ci eravamo battute soprattutto quando si trattava di sicurezza. Ad esempio, ci siamo opposti alla rete P2P, perché i modelli di traffico al momento indicano che gli studenti scaricano musica (allora Napster era di moda). Ci opponevamo perché saturava la rete per gli altri, ma portava anche a pozzi neri di virus e infezioni (malware) che hanno ulteriormente distrutto la rete. Abbiamo presentato una proposta sfidata dai clienti (studenti), che alla fine ha permesso il P2P, ma la NAC è stata lanciata in modo da poter fare da babysitter ai nostri clienti (studenti) e svolgere il loro personale "computer clean up crew". "

La risposta che ti hanno dato era probabilmente azzeccata. Clienti (studenti - nota la ripetizione di questo termine - I clienti - perché alla fine della giornata, pagano le bollette con le loro tasse scolastiche) avranno tutti un buon numero di dispositivi. Ci sono probabilmente clienti (persone che pagano una bolletta tramite lezioni) che hanno dispositivi con dispositivi che non funzionano bene con EAP. Alcuni studenti potrebbero avere macchine più vecchie barebone che supportano i protocolli di base barebone definitivi. Cosa fai, dillo ai clienti paganti: "devi pagare di più per connetterti, acquistando un nuovo laptop / telefono / iPad / tablet?

Il tuo interessato tramite una rete "aperta" contro una "chiusa" è un po 'sbilenco. Come fai a sapere che una volta autenticato, non stai inviando dati tramite una rete proxy (sslvpn o così). È come dire: "Quando vado a fare il check-in in un hotel, non posso credere di dover effettuare il login tramite una rete aperta".

    
risposta data 21.11.2014 - 05:16
fonte
0

Mentre il traffico lascia l'università, inizia un lungo viaggio attraverso il globo finché raggiunge il server per il quale era destinato. Durante questo passa molti paesi e utilizza molti data center delle persone. Tutti possono spiarti. Hai bisogno della protezione end-to-end (TLS) strong per essere al sicuro da quelle persone. Con il WiFi crittografato puoi proteggerti dagli altri, ma se hai già una protezione più strong sul posto, sei già protetto da questo .

Tuttavia, il mondo non è così lucido come sembra. Le persone non tecniche possono configurare le loro stampanti private , condivisioni pubbliche o ignorare gli avvisi sui certificati. Se il WiFi è crittografato, lo staff può gestire questi problemi . Se il WiFi non è criptato, gli studenti stessi devono evitare tali errori.

È bello avere una buona crittografia sul primo passaggio, ma non necessariamente.

Hai menzionato che il personale ottiene ancora il WiFi crittografato. Una buona opzione sarebbe quella di consentire agli studenti di usare anche quello. Se ci sono problemi con i dispositivi sulla rete crittografata, il personale può scegliere un'alternativa non criptata.

    
risposta data 20.11.2014 - 02:19
fonte

Leggi altre domande sui tag