¿Qué tanto riesgo para los estudiantes es una red WiFi abierta en el campus? EDIT: por favor, lea en su totalidad.

4

He estado luchando contra la burocracia en la universidad de mi comunidad durante meses sobre este tema; Hace unos meses, cambiaron la seguridad en el SSID para los estudiantes;

Solía usar EAP, lo que permitía a los estudiantes ingresar sus credenciales académicas una vez en su cliente de Wi-Fi nativo. Ahora la red está abierta, con una redirección a una página segura del navegador que autentica las credenciales.

Me reuniré con el vicerrector de mi universidad en dos semanas y quiero asegurarme de que mi caso para encriptar la red de estudiantes sea sólido. Tratar de explicar la diferencia entre la autenticación y el cifrado a alguien sin conocimientos técnicos es una molestia;

más allá de explicar que la red está, de hecho, abierta, tengo que convencerlos de que una red abierta es un riesgo significativo, especialmente dado el alto volumen y el bajo nivel de conocimientos técnicos del cuerpo estudiantil (es una gran universidad comunitaria).

Finalmente, los administradores de TI afirmaron que la base para el cambio era la compatibilidad de dispositivos, que ya no podían admitir todos los dispositivos de los estudiantes en la red.

Dado que el personal todavía tiene una red cifrada y es probable que use la misma variedad de dispositivos que los estudiantes, sospecho que esto es una excusa. Ciertamente, en la parte delantera, EAP es un estándar bastante bien establecido. Sin embargo, no tengo idea de cómo se ven las cosas en la parte de atrás.

EDITAR: No tengo un "modelo de amenaza", y no estoy preguntando sobre alguna forma ideal de seguridad. Por favor, comprenda el contexto de mi pregunta y responda de una manera relevante para ese contexto. Necesito una política de TI razonablemente accionable para defender, y tengo que poder presentar algún concepto de riesgo frente a vicecanciller.

¿Hay algún mérito para lo que TI ha estado reclamando? ¿Y tengo derecho a estar agitando para el cifrado para el cuerpo estudiantil?

    
pregunta Aaron Rosenfeld 19.11.2014 - 22:30
fuente

4 respuestas

4

Creo que te preocupas por lo incorrecto. No debe tener ninguna razón para confiar en la red local más de lo que lo haría para cualquier información que envíe por Internet. Si desea enviar una contraseña, es su responsabilidad asegurarse de utilizar una conexión protegida por TLS. Confiar en el WiFi local para proteger sus datos es esencialmente excluir solo a los piratas informáticos, y pensar que de alguna manera lo mantiene a salvo.

Usted es responsable de su seguridad en su propia máquina y de las conexiones de red que realice.

    
respondido por el John Deters 19.11.2014 - 23:38
fuente
2

Primero, un comentario; a veces (lee "casi siempre") recibo un juguete nuevo, una aplicación, una tecnología y trato de encajar en cada lugar posible. Incluso en lugares que no funcionan, me gusta descubrir por qué. Es una experiencia de aprendizaje.

El término "Modelo de amenaza" puede parecer demasiado teórico o despectivo de su caso. El propósito es que el asesor de seguridad le brinde una solución adecuada.

En este caso, no parece que quieras una solución adecuada para protegerte contra un agujero de seguridad, pero ves una característica intuitiva (encriptación wifi) que debería estar activada porque "parece mejor". Estoy de acuerdo. Estás haciendo la debida diligencia adecuada viniendo aquí y pidiendo apoyo. Bien pensado, pero esta audiencia ahora es en su mayoría asesores de seguridad que quieren solucionar un problema.

¿Qué le da habilitar el cifrado para wifi? Da a los estudiantes privacidad para cualquier sitio web que no sea SSL. Cada vez que un estudiante utiliza un sitio web sin SSL, puede asumir que un visitante entrometido, un consultor o una persona cercana puede leer esa información (búsquedas de Google, redes sociales, etc.). Esta puede ser la base de su argumento.

En apoyo de su personal de TI, el soporte de dispositivos de usuarios finales es difícil, especialmente considerando la multitud de dispositivos que existen. Si eres un colegio comunitario, es probable que estés lidiando con equipo viejo y exigente a los estudiantes.

En una era en la que las universidades tienen que atender (demasiado) a los estudiantes para obtener ingresos, sospecho que su personal de TI tiene un argumento convincente. Tal vez pueda tener un "punto medio" donde el punto de acceso sirva "WPA-2 Enterprise (iOS)" o WPA además de sin autenticación. Luego, puede recomendar algo para los usuarios preocupados por la seguridad y aún así tener un servicio para todos los estudiantes con hardware defectuoso.

user10008 sugiere que se les diga a los estudiantes que usen el profesorado cifrado existente. Suponiendo que el Wifi de la facultad contenga datos confidenciales / PII, lo desalentaría. Abre la puerta a muchos ataques contra profesores en la misma conexión.

    
respondido por el random65537 21.11.2014 - 05:41
fuente
1

Una vez que trabajamos en un edu, nuestro objetivo era hacer las cosas tan fáciles y sin dolor para los clientes (estudiantes) de la Universidad. Como profesional, defendimos muchas cosas, especialmente en lo que respecta a la seguridad. Por ejemplo, nos opusimos a la red P2P, porque los patrones de tráfico en el momento apuntaban a los estudiantes que descargaban música (en ese entonces Napster estaba de moda). Nos opusimos porque saturó la red para otros, pero también provocó la acumulación de virus e infecciones (malware) que interrumpieron aún más la red. Presentamos una propuesta que fue desafiada con uñas y dientes por los clientes (estudiantes), que en última instancia condujo a que se permitiera el P2P, pero que se lanzara NAC para que pudiéramos cuidar a nuestros clientes (estudiantes) y jugar a su personal "equipo de limpieza de computadoras". "

La respuesta que te dieron, probablemente fue acertada. Clientes (estudiantes: noten la repetición de este término - Clientes - porque al final del día, pagan las facturas con su matrícula) todos tendrán una mezcla de dispositivos. Probablemente hay clientes (personas que pagan una factura a través de la matrícula) que tienen dispositivos que tienen dispositivos que no funcionan bien con EAP. Algunos estudiantes pueden tener máquinas antiguas barebones que soportan los últimos protocolos básicos de barebones. ¿Qué hace, les dice a los clientes que pagan: "necesita pagar más para conectarse, al comprar una nueva computadora portátil / teléfono / iPad / tableta?

Su interés a través de una red "abierta" frente a una "cerrada" es algo desproporcionado. ¿Cómo sabe que una vez que se autentica, no está enviando datos a través de una red proxy (sslvpn o algo así)? Es como decir: "Cuando voy a registrarme en un hotel, no puedo creer que tenga que iniciar sesión a través de una red abierta".

    
respondido por el munkeyoto 21.11.2014 - 05:16
fuente
0

A medida que el tráfico sale de la universidad, comienza un largo viaje alrededor del mundo hasta que llega al servidor para el que estaba destinado. Durante eso pasa muchos países y usa muchos centros de datos de personas. Todos pueden espiarte. Necesita la protección sólida de extremo a extremo (TLS) para estar a salvo de esas personas. Con WiFi cifrado, puede protegerse de los demás, pero si ya tiene una protección más fuerte en el lugar, ya está protegido por eso .

Sin embargo, el mundo no es tan brillante como parece. Las personas no técnicas pueden configurar sus impresoras privadas , acciones públicas o pueden ignorar las advertencias de los certificados. Si el WiFi está encriptado, el personal puede gestionar estos problemas . Si el WiFi no está encriptado, los propios estudiantes deben evitar tales errores.

Es bueno tener un buen cifrado en el primer paso, pero no es necesario.

Usted ha mencionado que el personal todavía tiene WiFi codificada. Una buena opción sería permitir que los estudiantes también usen eso. Si hay problemas con los dispositivos en la red encriptada, el personal puede señalar la alternativa sin encriptar.

    
respondido por el user10008 20.11.2014 - 02:19
fuente

Lea otras preguntas en las etiquetas