Come impedire agli utenti di condividere le chiavi RADIUS WPA?

0

La LAN del mio ufficio non ha una directory attiva di Windows.

Il Wi-Fi utilizza WPA con una chiave pre-condivisa, il che significa che tutti nel mondo sanno qual è la chiave.

Stavo pensando di implementare un server RADIUS e di passare a quello. La domanda è: cosa impedisce a un utente di condividere la sua chiave con chiunque altro? Ho guardato Windows NPS e FreeRadius. Non vedo alcun modo per limitare un tasto solo a uno o due dispositivi.

Che cosa usano gli alberghi? Sai, dove si ottiene una chiave Wifi per la tua camera che consente solo a 2/3 dispositivi di connettersi ed è valida per un numero limitato di giorni. Mostra una pagina web per inserire la chiave la prima volta che ti connetti al Wifi. Potrebbe qualcosa del genere essere buono per un piccolo ufficio?

    
posta Hussain Akbar 26.02.2018 - 16:38
fonte

2 risposte

0

In un ambiente aziendale, il modo migliore per farlo è tramite i certificati rilasciati a dispositivi aziendali e probabilmente a indirizzi MAC. Intendiamoci, questo può essere battuto se gli utenti hanno il know-how di sicurezza IT e in modo critico se hanno diritti di amministratore sui loro dispositivi. La tua azienda non ha un server Windows AD quindi presumo che sarebbe piuttosto difficile impostare una PKI interna per questo.

C'è un problema con i server RADIUS come FreeRadius con password temporanee in cui computer portatili e dispositivi mobili continuano a connettersi automaticamente e di solito finiscono per bloccare l'account a causa di una password scaduta o utilizzano risorse server elaborando richieste di accesso errate. / p>

L'accesso agli hotel e agli ospiti in genere viene normalmente implementato utilizzando un sistema wireless con un Captive Portal ( link ). Questo è simile a quando ci si connette a Starbucks o McDonalds senza una chiave pre-condivisa, ma si ottiene una pagina Web che è necessario accedere o fare clic per ottenere l'accesso a Internet. Questo ti darà la funzionalità che stai cercando, ma a scapito della convenienza per il personale.

In definitiva, non c'è una risposta migliore. Tutto dipende da quale livello di controllo hai effettivamente, da quanto ti fidi dei tuoi utenti e da quanto sia importante per l'azienda. Un sistema flessibile e completo ti costerà tempo e / o denaro.

Capisco cosa intendi per fiducia. Quello che intendevo era che, poiché non hai un server di directory per controllare centralmente le macchine degli utenti, devi avere fiducia che i tuoi utenti non abusino del sistema (se hanno diritti di amministratore).

Per quanto riguarda RADIUS, è necessario configurare Change of Authorization (CoA). Senza CoA, non è possibile terminare una sessione in corso e la nuova autorizzazione verrà applicata solo alla successiva connessione dell'utente.

Modifica: Nel caso di 1) assumendo che tu non abbia il CoA configurato, se blocchi un ex-dipendente mentre il loro dispositivo è ancora connesso, non puoi cacciarlo dalla rete semplicemente disabilitando il loro account utente. Dovresti eseguirlo manualmente sull'access point wireless terminando la sessione in base all'indirizzo MAC. La prossima volta che tenteranno di accedere, verranno bloccati da un'autenticazione RADIUS non riuscita. Se disponi di CoA, la modifica dei privilegi associati all'account potrebbe richiedere una modifica immediata e il loro kick off.

Per 2) che dipenderebbe dal sistema wireless. Ho visto alcuni che è possibile specificare una durata massima della sessione, ma non c'è modo di impedire loro di riconnettersi immediatamente dal momento che la PSK è condivisa tra tutti gli utenti sulla stessa rete wireless. Potresti fare il filtraggio degli indirizzi MAC, ma se sia corretto automaticamente o manualmente dipenderebbe dal sistema wireless o dal server RADIUS.

L'implementazione 2) con un captive portal è molto più semplice perché il timer di autenticazione viene solitamente eseguito con un cookie di sessione http che può essere invalidato in qualsiasi momento, quindi uccidendo la sessione utente.

    
risposta data 27.02.2018 - 13:55
fonte
0

Se i dispositivi non sono di proprietà dell'azienda, non puoi evitare la condivisione delle chiavi. La limitazione ai dispositivi X viene in genere eseguita con controlli MAC che possono essere ignorati.

Se i dispositivi sono di proprietà dell'azienda, è possibile utilizzare l'autenticazione che utilizza metodi hardware (ad esempio TPM) o metodi software

    
risposta data 27.02.2018 - 04:19
fonte

Leggi altre domande sui tag