Мне нужно настроить гостевую беспроводную сеть в офисе, чтобы посетители могли подключиться к ней. Каковы ваши рекомендации относительно того, как обезопасить себя, не возлагая на себя слишком много бремени поддержки?
Я бы предпочел оставить его открытой точкой доступа, поэтому мне не нужно поддерживать пользователей, которые не могут понять, как правильно ввести пароль. Однако, если я этого не сделаю, следует ли мне использовать WPA или WPA2? Будут ли у меня проблемы с совместимостью, если я использую WPA2?
Как лучше всего изолировать пользователей от самой сети. Думаю, самый надежный способ - просто подключить эти точки доступа к собственному DSL-соединению. Какие у меня другие варианты?
Как большинство из вас защищают свои гостевые беспроводные сети?
Рекомендуемый способ сделать это - использовать DMZ конфигурация. Вы можете поддерживать открыто беспроводное соединение, чтобы гости могли легко подключаться к нему. Однако есть несколько вещей, которые вы захотите контролировать.
Разместите устройства Wi-Fi в другой подсети и в другом диапазоне сети, чем ваша локальная сеть. Это заставит компьютеры маршрутизировать пакеты через ваш брандмауэр. Убедитесь, что беспроводная сеть физически отключена от локальной сети.
(Необязательно) Реализуйте какую-то аутентификацию радиуса, возможно, используя чилиспот или что-то подобное. Это позволит вам выполнить аутентификацию. Вы можете использовать это, чтобы лучше контролировать использование вашего Wi-Fi. Гости могут получить имя пользователя / пароль для входа в систему во время их пребывания.
Надеюсь, это даст вам несколько идей.
Как правило, вы можете просто настроить точку доступа и подключить ее к интернет-соединению.
Что следует учитывать:
Я бы предпочел оставить его открытой точкой доступа, поэтому мне не нужно поддерживать пользователей, которые не могут понять, как правильно ввести пароль. Однако, если я этого не сделаю, следует ли мне использовать WPA или WPA2? Будут ли у меня проблемы с совместимостью, если я использую WPA2?
Как уже отмечалось, шифрование позволяет избежать некоторых неприятностей, но я не думаю, что это действительно важно. Если вы все же используете его, вероятно, подойдет WPA2. WPA требуется для сертификации Wi-Fi Alliance с 2003 года, а WPA2 - с 2006 года, поэтому последние устройства должны использовать WPA2.
Как лучше всего изолировать пользователей от самой сети. Думаю, самый надежный способ - просто подключить эти точки доступа к собственному DSL-соединению. Какие у меня другие варианты?
На самом деле нет необходимости в отдельном DSL-соединении. В любом случае у вас должен быть какой-то маршрутизатор / брандмауэр между вашим DSL-соединением и вашей локальной сетью. Просто подключите AP напрямую к DSL, минуя брандмауэр. Или поместите его в свою демилитаризованную зону (если она у вас есть), а еще лучше - в свою собственную демилитаризованную зону.
у sybreon есть хороший ответ, наткнулся ...
Изначально я настроил беспроводную сеть в нашем офисе, используя аутентификацию chillispot против freeradius, используя старый как это позволяло создавать токены с истечением времени ожидания. Это работало достаточно хорошо и не доставляло особых хлопот в администрировании. OP не дает хорошего представления о бюджете или возможностях, но наше текущее решение, использующее Cisco WLC и ACS, предоставляет пару действительно интересных функций:
Вы можете настроить фильтрацию MAC-адресов и добавить MAC-адреса посетителей, когда они приходят и удаляют конец дня, это если вы не хотите использовать шифрование. Вы также можете настроить экран, на котором пользователь должен указать свой адрес электронной почты, прежде чем он сможет продолжить.
Если вам нужно настроить wpa, используйте wpa2 + aes, потому что wpa + tkip уязвим. http://www.wi-fiplanet.com/news/article.php/3784251
Смотрите интересную статью в этой теме: http://www.schneier.com/blog/archives/2008/01/my_open_wireles.html