E-mailTen adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. telefon: +48226466873

Użytkownicy Wi-Fi: zaufani, BYOD, goście ... i inni

.

Kategorie użytkowników w sieciach WiFi

W domowej sieci Wi-Fi funkcjonuje zazwyczaj jedno konto i jedno hasło współdzielone przez gości i domowników, jest to rozwiązanie wystarczające do takiego środowiska. Jednak już  w niewielkiej sieci firmowej, w biurze, hotelu czy też obiekcie publicznym konieczne jest wprowadzenie zróżnicowanych kont. W praktyce mamy do czynienia z następującymi klasami kont użytkowników:

  • konta osobiste - używane przez pracowników, indywidualne i wymagające zalogowania się, mogą być też przypisane do konkretnego urządzenia (np. laptopa)
  • konta BYOD ("Bring Your Own Device") - przypisane do wykorzystywanych w firmowej sieci osobistych przenośnych urządzeń użytkowników, ze względu na brak kontroli nad urządzeniem użytkownika konta te mogą mieć ograniczony dostęp do kluczowych aplikacji i serwerów
  • konta "gościnne" - przeznaczone dla odwiedzających i współpracowników, pozwalają np. wyłącznie na korzystanie z internetu bez dostępu do plików, aplikacji i serwerów firmy.
  • konta "otwarte" - podobnie jak gościnne, bez hasła lub z publicznie znanym i niezmienianym hasłem

Odpowiednia polityka zarządzania kontami Wi-Fi zapewnia bezpieczeństwo całej infrastruktury bezprzewodowej, a w konsewencji także całemu środowisku IT. Z w.w. klasami użytkowników ściśle wiążą się dostępne metody ich uwierzytelniania w sieci. Metody te są następujące:

  • Dostęp otwarty  - bez hasła, bez enkrypcji - odradzany nawet dla dostępu gościnnego, dodatkowo na bazie obowiązujacych przepisów świadczenie całkowicie anonimowego dostępu do sieci Internet jest w ramach UE niedozwolone!
  • MAC - dopuszczone są urządzenia o znanym adresie sprzętowym (adresie karty sieciowej). Metoda ta z pozoru dość restrykcyjna, a więc bezpieczna ma swoje wady - zarządzanie adresami MAC jest kłopotliwe (każde urządzenie musi być wciągnięte na listę), zaś sam MAC bardzo łatwo podrobić (większość kart sieciowych pozwala na jego zmianę). Metoda ta nie zapewnia więc należytego bezpieczeństwa.
  • WEP - rodzina algorytmów uwierzytelnienia i enkrypcji wprowadzona we wczesnych wersjach sieci Wi-Fi i ciągle dostępna w oprogramowaniu ruterów oraz AP, ze względu na techniczne niedoskonałości zdecydowanie odradzana - enkrypcja stosowana przez WEP może zostać złamana w ciagu kilku minut, i nie wymaga to wysokich umiejętności technicznych.
  • WPA2/PSK - rodzina algorytmów uwierzytelnienia i enkrypcji bazująca na haśle (PSK - Pre-Shared Key), uchodzi obecnie za bezpieczną i wystarczającą do wszystkich zastosowań komercyjnych. Jej wadą jest konieczność kłopotliwego ręcznego zarządzania kluczami. Dodatkowo semi-publiczne klucze WPA2 używane do dostępu gościnengo (jak każde hasło) stają się z czasem powszechnie znane, co pozwala osobom postronnym na korzystanie z sieci.
  • DPSK (Dynamic Pre-Shared Key) - metoda podobna do poprzedniej, hasła są jednak generowane automatycznie i nie wymaga się od użytkownika ich znajomości, zaś samo uwierzytelnienie "przeniesione" jest z komputera użytkownika - np. zalogowanie do domeny Windows oznacza automatyczne zalogowanie do wszystkich AP w sieci.
  • 802.1x - protokół sieciowy wymuszający autoryzację użytkowników i urządzeń na bazie infrastruktury PKI (certyfikatów cyfrowych), metoda uważana za najbardziej bezpieczną, jednak jej pełne wdrożenie jest dość skomplikowane i wiąże się z dodatkowymi kosztami.
  • Captive Portal - metoda powszechnie stosowana w hotelach, obiektach publicznych, sklepach, itp. - użytkownik uzyskuje natychmiastowy dostęp do sieci, jednak początkowo jest zawsze przekierowany do stron WWW "Captive Portal", na którym musi dokonać jakiejś formy autoryzacji, np. podając nr telefonu, e-mail, itp. Informacje te mogą być zwrotnie weryfikowane, np. w drugiej fazie autoryzacji wymaga się pdoania kodu przesłanego SMS-em lub mailem.
  • Social - stosunkowo nowa metoda podobna do Captive Portal, jednak do uwierzytelnienia wymagane jest zalogowanie się do portalu społecznościowego (np. Facebook), wymagane jest też zazwyczaj posiadanie specjalnej aplikacji i udostępnienie określonych informacji ze swojego profilu.
  • Hasło gościnne - technicznie bazuje na WEP lub WPA/PSK, hasło/klucz jest ważne przez określony okres czasu i może być związane z poziomem usług, np. szybkością transferu. Rozwiązanie to dość często stosowane jest w hotelach.


Ważną decyzją w ustalaniu polityki bezpieczeństwa sieci WiFi jest przypisanie odpowiednich metod uwierzytelnienia do właściwych klas użytkowników. Wybór ten zależy w pewnym stopniu od specyfiki samej działalności, jednak można podać zalecane ramy, w których należy się poruszać:

  • Goście (nie pracownicy):
    • uwierzytelnienie hasłem gościnnym - z ustalonym czasem ważności
    • dostęp limitowany tylko do internetu,
    • ograniczenie pasma sieciowego,
      ograniczenie protokołów - np. blokada komunikatorów, protokołów typu bittorrent itp.,
    • obligatoryjne logowanie ruchu (dyrektywa UE).

  • BYOD - pracownicy z własnym sprzętem
    • uwierzytelnienie: hasło gościnne, DPSK lub 802.1x,
    • obecny trend zmierza w kierunku traktowania użytkownikow BYOD niemal na równi z pracownikami przy ograniczeniu dostępu do określonych zasobów,
    • dzięki DPSK i 802.1x można panować nad urządzeniami użytkowników i "certyfikować" tylko określone urządzenia lub ich typy
    • ruch od określonych klas / grup użytkowników może być kierowany do odrębnych VLAN-ów, dzięki czemu uzyskuje się fizyczną separację transmitowanych danych w zależności od uprawnień i poziomu dostępu.

  • Pracownicy
    • uwierzytelnienie: DPSK lub 802.1x - pracownik z reguły posiada konto na firmowym serwerze domeny lub innym serwisie katalogowym, które powinno być wykorzystane także do autoryzacji w sieci W-iFi
    • możliwe jest różnicowanie poziomu dostępu wg klasy użytkownika, rodzaju urządzenia, itp. (tak, jak opisano wyżej dla BYOD)

Tags: wifi Wi-Fi 6E 802.1X kontrolery BYOD socialwifi DPSK Captive Portal

Kontakt

sprzedaż:

e-mail: sales@cc.com.pl

 


pomoc techniczna:

e-mail: support@cc.com.pl

 

CC Otwarte Systemy Komputerowe Sp. z o.o.

Dostarczamy bezpieczne rozwiązania sieciowe oraz oprogramowanie od 2001 roku. Projektujemy i wdrażamy infrastrukturę bezpieczeństwa sieciowego: systemy firewall, content security oraz systemy autoryzacji; wdrażamy infrastrukturę sieci LAN, WAN i WiFi. Nasi inżynierowie posiadają certyfikację producentów takich jak: Check Point, HPE / Aruba Networks, Juniper Networks, Palo Alto Networks, Ruckus Networks (Arris), Arista, Fortinet, Flowmon, Fudo Security, Gemalto, Sophos, Vasco, i innych a także certyfikaty CISSP i PRINCE2.

Oferta

  • Dostawa i wdrożenia sieci WiFi
  • Dostawa i wdrożenia sieci LAN i WAN
  • Dostawa i wdrożenie systemów bezpieczeństwa
  • Wsparcie techniczne
  • Outsouring w zakresie administracji systemów IT
  • Oprogramowanie na zamówienie: portale internetowe, aplikacje biznesowe, aplikacje naukowe, aplikacje specjalizowane

Lokalizacja

world-map

Rakowiecka 36, 02-532 Warszawa

tel. +48 22 646-68-73

faks. +48 22 6063780

sprzedaż - e-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.

pomoc techniczna - e-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.