He estado luchando contra la burocracia en la universidad de mi comunidad durante meses sobre este tema; Hace unos meses, cambiaron la seguridad en el SSID para los estudiantes;
Solía usar EAP, lo que permitía a los estudiantes ingresar sus credenciales académicas una vez en su cliente de Wi-Fi nativo. Ahora la red está abierta, con una redirección a una página segura del navegador que autentica las credenciales.
Me reuniré con el vicerrector de mi universidad en dos semanas y quiero asegurarme de que mi caso para encriptar la red de estudiantes sea sólido. Tratar de explicar la diferencia entre la autenticación y el cifrado a alguien sin conocimientos técnicos es una molestia;
más allá de explicar que la red está, de hecho, abierta, tengo que convencerlos de que una red abierta es un riesgo significativo, especialmente dado el alto volumen y el bajo nivel de conocimientos técnicos del cuerpo estudiantil (es una gran universidad comunitaria).
Finalmente, los administradores de TI afirmaron que la base para el cambio era la compatibilidad de dispositivos, que ya no podían admitir todos los dispositivos de los estudiantes en la red.
Dado que el personal todavía tiene una red cifrada y es probable que use la misma variedad de dispositivos que los estudiantes, sospecho que esto es una excusa. Ciertamente, en la parte delantera, EAP es un estándar bastante bien establecido. Sin embargo, no tengo idea de cómo se ven las cosas en la parte de atrás.
EDITAR: No tengo un "modelo de amenaza", y no estoy preguntando sobre alguna forma ideal de seguridad. Por favor, comprenda el contexto de mi pregunta y responda de una manera relevante para ese contexto. Necesito una política de TI razonablemente accionable para defender, y tengo que poder presentar algún concepto de riesgo frente a vicecanciller.
¿Hay algún mérito para lo que TI ha estado reclamando? ¿Y tengo derecho a estar agitando para el cifrado para el cuerpo estudiantil?