У нас есть гостевая сеть Wi-Fi, настроенная в отдельной VLAN, с использованием открытого соединения (например, NO wpa / wep).
Заказчик (полутехнический) недавно пожаловался, что его не устраивает то, что его трафик не зашифрован, и я дал ему обычный совет: если безопасность важна, следует использовать VPN даже в сети WPA и т. Д.
Но это заставило меня задуматься:
Есть ли смысл настраивать WPA2 в гостевой сети, где мы все равно выдаем пароль всем, кто его спросит (и пишем его на стенах!)?
Я понимаю, что это ограничит отслеживание между уже установленными соединениями, но если вы слушаете, когда кто-то подключается, разве не относительно тривиально захватить информацию аутентификации / четырехстороннее рукопожатие, а затем использовать это для отслеживания?
Разве это не противоречит сути наличия WPA в гостевой / «открытой» сети?
Зависит от ситуации. Кто-то с WPA2 PSK и необходимыми инструментами и знаниями действительно может расшифровать трафик других пользователей в сети (см. Вот).
С одной стороны, препятствия, связанные с ключом, инструментами и знаниями, могут быть полезным сдерживающим фактором и не дать невежественному придурку с копией firesheep случайно украсть сеансы других людей.
С другой стороны, необходимость получить и ввести ключ может быть проблемой для ваших законных пользователей и, как вы указали, может вызвать ложное чувство безопасности.
Какой путь вы выберете, зависит от того, какой вариант наиболее целесообразен для вашей организации.
Во-первых, вы должны использовать WPA2, а не WPA. Насколько мне известно, не существует известного, легко используемого способа перехвата и расшифровки потока Wi-Fi, защищенного WPA2, даже если вы отслеживаете весь разговор.
Ваш гость абсолютно прав, нет веских причин для открытых беспроводных сетей. Поступая так, вы просто навлекаете на себя оскорбления, не говоря уже о том, чтобы выглядеть некомпетентно перед своими клиентами.
Я понимаю, что это не совсем ответ, но у нас есть общий ключ WPA2 в нашей гостевой сети Wi-Fi. (Для справки мы используем точки доступа Ubiquiti UniFi, а гостевая сеть заблокирована только для доступа в Интернет.)
Мы напечатали карты палатки с гостевым именем SSID и ключом и поместите их на все столы для конференций. Чтобы получить ключ, вам придется пройти мимо стойки регистрации или через запертые двери.
В качестве дополнительного уровня безопасности вы можете периодически менять ключ и печатать новые карты.
Я не могу придумать ни одной причины не зашифровать, к тому же лень. Снижает вероятность того, что кто-то случайно подключится к Wi-Fi с парковки.