我有一个安全政策问题:
我想知道其他管理员如何处理办公室的WIFI密码。
- 大家都知道吗?
- 您是否每次都为用户或访客输入它并保密。
我在2号营地。
只是想知道其他人做了什么以及他们背后的理由。
答案1
我建议你使用双因素身份验证为此。因此,存在共享密钥(您称之为 WIFI 密码),但他们还必须通过 Radius 使用类似 Active Directory 的东西进行身份验证以获取第二个密码。Active Directory 将是每个用户的登录名,与他们的 Windows 登录名相同。
因此,在这种情况下,我认为您谈论的是共享密钥。我只是将其发布在我们的内部网页面上。我的无线网络无法访问我们的网络,只能访问互联网。如果人们想要像在家里一样访问,他们必须使用 VPN。因此,在某种程度上,这是双因素、共享密钥,然后是 VPN 访问(也许我使用这个术语有点宽泛,不确定)。
我建议你做这样的事情,让你的公司网络仅受无线密钥的保护对我来说是相当可怕的。
答案2
这取决于安全要求。在以前的工作中,每个用户都有一个唯一的用户名/密码来访问特权无线网络。访客只需点击“您正在使用我们的网络,请保持警惕!”警告即可进入严格限制的网络。
在我目前的工作中,我们非常谨慎地设计网络,这样办公室无线网络的权限就不会高于互联网上的权限。因此,我们使用每个人都知道的单一共享 WPA2-PSK 密码。
我觉得很难证明试图保密共享密码是合理的。如果需要保护网络访问(例如,由于特权服务器访问),那么唯一可审计和可管理的系统就是每个用户的唯一凭据,并具有良好的日志记录。如果网络访问不需要这种程度的保护,那么试图保密共享密码只是徒劳无功的烦人行为……
答案3
如果您有一个可以执行 RADIUS 的服务器和一个支持它的 AP,您可以使用它来验证普通用户。请参阅此问题。无线的 这意味着如果您不是经过身份验证的用户,则无法访问。这也意味着员工离开公司后无法使用无线网络。AD 管理这一切。
一些 AP 将允许多个 SSID,并且每个 SSID 的身份验证可能不同,就像提到的 WAP200 一样。
这允许为员工提供一个 SSID 和身份验证,为客人提供一个或多个 SSID 和身份验证。根据用户数量,您可能只需使用多个 SSID 和身份验证即可进行管理。
如果您希望客人仅能使用互联网,那就稍微复杂一些。
答案4
由于我们举办许多会议,因此在我们的网络上我们允许猜测访问。我们在与有线网络分开的网络上拥有开放式 wifi 和强制门户。当员工需要访问受保护的资源时,他们会建立 VPN,就像他们从任何其他开放式无线网络访问资源一样。