Назад | Перейти на главную страницу

Пароль беспроводной сети

У меня вопрос о политике безопасности:

Я хочу знать, как другие администраторы обрабатывают пароль WIFI в офисе.

  1. Все это знают?
  2. Вы каждый раз вводите его для пользователя или гостя и держите в секрете.

Я в лагере 2.

Просто хочу знать, что делают другие, и их доводы.

Я рекомендую вам использовать двухфакторная аутентификация для этого. Итак, есть общий ключ (пароль WIFI, как вы его назвали), но они также должны пройти аутентификацию с помощью чего-то вроде Active Directory для второго пароля через Radius. Active Directory будет логином для каждого пользователя, который будет таким же, как и их логин в Windows.

Так что в этом случае, я думаю, вы говорите об общем ключе. Я просто размещаю его на нашей странице в интранете. Моя беспроводная связь не имеет доступа к нашей сети и работает только в Интернете. Людям необходимо подключиться к VPN, если они хотят получить доступ так же, как из дома. В каком-то смысле это двухфакторный доступ с общим ключом, а затем через vpn (возможно, я использую этот термин немного вольно, не уверен).

Я рекомендую вам сделать что-то подобное, для меня довольно пугает сеть вашей компании, защищенная только одним ключом по беспроводной сети.

Это зависит от требований безопасности. На предыдущем задании у каждого пользователя было уникальное имя пользователя / пароль для доступа к привилегированной беспроводной сети. Гости были допущены к сети с жесткими ограничениями, щелкнув «Вы используете нашу сеть, будьте хороши!» предупреждение.

На моей нынешней работе мы тщательно спроектировали нашу сеть так, чтобы нахождение в беспроводной офисной сети не давало никаких привилегий выше, чем те, которые были бы предоставлены кому-либо в Интернете. Таким образом, мы используем единый общий пароль WPA2-PSK, который всем известен.

Мне было бы трудно оправдать попытку сохранить в секрете общий пароль. Если сетевой доступ должен быть защищен (например, из-за привилегированного доступа к серверу), то единственная контролируемая и управляемая система - это уникальные учетные данные для каждого пользователя с хорошей регистрацией. Если для доступа к сети такая степень защиты не требуется, то попытка сохранить в секрете общий пароль - просто досадное занятие и тщетность ...

Если у вас есть сервер, который может использовать RADIUS, и AP, который его поддерживает, вы можете использовать его для аутентификации обычных пользователей. См. Этот вопрос. Беспроводной Это означает, что если вы не авторизованный пользователь, доступа нет. Это также означает, что сотрудники не могут использовать беспроводную связь после ухода из компании. AD управляет всем.

Некоторые точки доступа допускают использование нескольких SSID, и аутентификация для каждого из них может быть разной, как в упомянутом WAP200.

Это позволяет использовать один SSID и аутентификацию для персонала и один или несколько для гостей. в зависимости от количества пользователей вы можете управлять несколькими SSID и аутентификацией.

Если вы хотите, чтобы у гостей был только Интернет, это немного сложнее.

На моей старой работе у нас был двухфакторный. Все знали пароль беспроводной сети, он даже был размещен на главной странице Wiki и сохранен в виде сообщения электронной почты в общих папках Outlook, поэтому каждый имел к нему доступ, но подключение к беспроводной сети ни к чему не привело. Единственное, что вам нужно было достичь, это VPN-сервер, поэтому вам нужно было подключиться к VPN, чтобы добраться куда угодно.

Но на работе до этого служба поддержки должна была зарегистрировать каждый MAC-адрес, и нам все еще приходилось использовать SecureID (двухфакторную аутентификацию) для входа в систему.

Я пытаюсь сказать, что двухфакторный - лучший вариант, но я полностью понимаю ситуацию, когда это небольшая компания, и руководство начнет кричать о том, что им нужно вводить один дополнительный пароль.

В нашей сети мы разрешаем предполагаемый доступ, так как мы проводим много конференций и встреч. У нас есть открытый Wi-Fi с перехватывающим порталом в сети, отдельной от проводной сети. Когда сотрудникам требуется доступ к защищенному ресурсу, они устанавливают VPN так же, как и доступ к ресурсам из любой другой открытой беспроводной сети.

Спасибо за вклад! Был отличным отражением ваших конфигураций в вашей компании и ваших мыслей о Wi-Fi и его безопасности.

Закончил, просто оставив это.

У нас просто недостаточно посетителей, чтобы оправдать публикацию пароля.

Кроме того, некоторые пользователи приносят с собой ноутбуки, и я хотел бы, чтобы у них был доступ к домену без VPN.

Если это станет проблемой, я куплю другой беспроводной маршрутизатор, настрою его в собственной сети и опубликую информацию о подключении.