我们在单独的 VLAN 上设置了访客 wifi 网络,使用开放连接(例如没有 wpa/wep)。
一位(半技术)客户最近抱怨说,他对自己的流量未加密感到不满意,我给了他通常的建议,如果安全很重要,即使在 WPA 网络上也应该使用 VPN 等......
但它让我思考:
在访客网络上设置 WPA2 有什么意义吗?无论如何,我们都会将密码告诉任何询问的人(并将其写在墙上!)?
我知道这会限制已经建立的连接之间的侦听,但如果您在有人连接时进行监听,那么捕获身份验证信息/四次握手然后使用它进行侦听不是相对简单吗?
这难道不违背在访客/“开放”网络上使用 WPA 的意义吗?
答案1
视情况而定。拥有 WPA2 PSK 和正确工具和知识的人确实可以解密网络上其他用户的流量(请参阅这里)。
一方面,拥有密钥、拥有工具和拥有知识的障碍可以起到有用的威慑作用,并防止一些拿着 firesheep 副本的无知混蛋随意窃取其他人的会话。
另一方面,需要获取并输入密钥可能会给合法用户带来麻烦,而且正如您所指出的,可能会带来虚假的安全感。
选择哪种方式取决于哪种选项对您的组织来说最有意义。
答案2
首先,你应该使用 WPA2,而不是 WPA。据我所知,没有已知的、容易利用的方法来拦截和解密受 WPA2 保护的 wifi 流,即使你正在监听整个对话。
您的客人说得完全正确,没有理由开放无线网络。这样做只会招致滥用,更不用说在客户面前显得无能了。
答案3
我意识到这不是一个“答案”,但我们在访客 WiFi 网络上有一个 WPA2 预共享密钥。(作为参考,我们使用 Ubiquiti UniFi 接入点,访客网络仅锁定用于互联网访问。)
我们印刷了帐篷卡带有客人 SSID 名称和密钥的卡片,并将它们放在所有会议桌上。要获取密钥,您必须通过接待处或锁着的门。
作为额外的安全层,您可以定期更改密钥并打印新卡。
我真的想不出任何理由不是除了懒惰之外,加密也是个不错的选择。这样可以减少有人在停车场随意连接 WiFi 的可能性。