¿Qué tanto riesgo para los estudiantes es una red WiFi abierta en el campus? EDIT: por favor, lea en su totalidad.

Creo que te preocupas por lo incorrecto. No debe tener ninguna razón para confiar en la red local más de lo que lo haría para cualquier información que envíe por Internet. Si desea enviar una contraseña, es su responsabilidad asegurarse de utilizar una conexión protegida por TLS. Confiar en el WiFi local para proteger sus datos es esencialmente excluir solo a los piratas informáticos, y pensar que de alguna manera lo mantiene a salvo.

Usted es responsable de su seguridad en su propia máquina y de las conexiones de red que realice.

Primero, un comentario; a veces (lee "casi siempre") recibo un juguete nuevo, una aplicación, una tecnología y trato de encajar en cada lugar posible. Incluso en lugares que no funcionan, me gusta descubrir por qué. Es una experiencia de aprendizaje.

El término "Modelo de amenaza" puede parecer demasiado teórico o despectivo de su caso. El propósito es que el asesor de seguridad le brinde una solución adecuada.

En este caso, no parece que quieras una solución adecuada para protegerte contra un agujero de seguridad, pero ves una característica intuitiva (encriptación wifi) que debería estar activada porque "parece mejor". Estoy de acuerdo. Estás haciendo la debida diligencia adecuada viniendo aquí y pidiendo apoyo. Bien pensado, pero esta audiencia ahora es en su mayoría asesores de seguridad que quieren solucionar un problema.

¿Qué le da habilitar el cifrado para wifi? Da a los estudiantes privacidad para cualquier sitio web que no sea SSL. Cada vez que un estudiante utiliza un sitio web sin SSL, puede asumir que un visitante entrometido, un consultor o una persona cercana puede leer esa información (búsquedas de Google, redes sociales, etc.). Esta puede ser la base de su argumento.

En apoyo de su personal de TI, el soporte de dispositivos de usuarios finales es difícil, especialmente considerando la multitud de dispositivos que existen. Si eres un colegio comunitario, es probable que estés lidiando con equipo viejo y exigente a los estudiantes.

En una era en la que las universidades tienen que atender (demasiado) a los estudiantes para obtener ingresos, sospecho que su personal de TI tiene un argumento convincente. Tal vez pueda tener un "punto medio" donde el punto de acceso sirva "WPA-2 Enterprise (iOS)" o WPA además de sin autenticación. Luego, puede recomendar algo para los usuarios preocupados por la seguridad y aún así tener un servicio para todos los estudiantes con hardware defectuoso.

user10008 sugiere que se les diga a los estudiantes que usen el profesorado cifrado existente. Suponiendo que el Wifi de la facultad contenga datos confidenciales / PII, lo desalentaría. Abre la puerta a muchos ataques contra profesores en la misma conexión.

Una vez que trabajamos en un edu, nuestro objetivo era hacer las cosas tan fáciles y sin dolor para los clientes (estudiantes) de la Universidad. Como profesional, defendimos muchas cosas, especialmente en lo que respecta a la seguridad. Por ejemplo, nos opusimos a la red P2P, porque los patrones de tráfico en el momento apuntaban a los estudiantes que descargaban música (en ese entonces Napster estaba de moda). Nos opusimos porque saturó la red para otros, pero también provocó la acumulación de virus e infecciones (malware) que interrumpieron aún más la red. Presentamos una propuesta que fue desafiada con uñas y dientes por los clientes (estudiantes), que en última instancia condujo a que se permitiera el P2P, pero que se lanzara NAC para que pudiéramos cuidar a nuestros clientes (estudiantes) y jugar a su personal "equipo de limpieza de computadoras". "

La respuesta que te dieron, probablemente fue acertada. Clientes (estudiantes: noten la repetición de este término - Clientes - porque al final del día, pagan las facturas con su matrícula) todos tendrán una mezcla de dispositivos. Probablemente hay clientes (personas que pagan una factura a través de la matrícula) que tienen dispositivos que tienen dispositivos que no funcionan bien con EAP. Algunos estudiantes pueden tener máquinas antiguas barebones que soportan los últimos protocolos básicos de barebones. ¿Qué hace, les dice a los clientes que pagan: "necesita pagar más para conectarse, al comprar una nueva computadora portátil / teléfono / iPad / tableta?

Su interés a través de una red "abierta" frente a una "cerrada" es algo desproporcionado. ¿Cómo sabe que una vez que se autentica, no está enviando datos a través de una red proxy (sslvpn o algo así)? Es como decir: "Cuando voy a registrarme en un hotel, no puedo creer que tenga que iniciar sesión a través de una red abierta".

A medida que el tráfico sale de la universidad, comienza un largo viaje alrededor del mundo hasta que llega al servidor para el que estaba destinado. Durante eso pasa muchos países y usa muchos centros de datos de personas. Todos pueden espiarte. Necesita la protección sólida de extremo a extremo (TLS) para estar a salvo de esas personas. Con WiFi cifrado, puede protegerse de los demás, pero si ya tiene una protección más fuerte en el lugar, ya está protegido por eso .

Sin embargo, el mundo no es tan brillante como parece. Las personas no técnicas pueden configurar sus impresoras privadas , acciones públicas o pueden ignorar las advertencias de los certificados. Si el WiFi está encriptado, el personal puede gestionar estos problemas . Si el WiFi no está encriptado, los propios estudiantes deben evitar tales errores.

Es bueno tener un buen cifrado en el primer paso, pero no es necesario.

Usted ha mencionado que el personal todavía tiene WiFi codificada. Una buena opción sería permitir que los estudiantes también usen eso. Si hay problemas con los dispositivos en la red encriptada, el personal puede señalar la alternativa sin encriptar.