No es una buena idea dejar que los invitados entren en tu red. Pero esto ya se ha dicho.

Un punto importante que debe tenerse en cuenta es que incluso para los invitados, necesita identificación y autenticación. De hecho (no conozco sus leyes) desea asegurarse de poder rastrear a cualquier usuario de su WiFi en caso de un problema legal. Si alguien viene y te dice: "Has pirateado nuestros sistemas", necesitas saber quién lo hizo.

Si tuviera que elegir una solución, buscaría un portal cautivo que no permitiría que nadie accediera Internet a menos que esté provisto de credenciales. Por lo tanto, usted (o la recepcionista) podría emitir credenciales para los invitados y registrarlas en su base de datos. Estas credenciales serían limitadas en el tiempo a propósito.

No puede permitir que los clientes estén en la misma red que sus propias computadoras.

Muchos de los nuevos puntos de acceso WiFi se encargan de esto, creando dos redes wifi, donde la red "invitada" no tiene acceso a las computadoras internas. El Cisco / Linksys 4200 es lo que tengo en casa para los huéspedes, y es fácil de configurar, pero hay muchos otros sistemas que tienen la misma característica.

  

¿Es seguro para una pequeña empresa que los clientes usen su wifi mientras esperan?

No. Incluso si ningún cliente ataca intencionalmente su red WiFi, podría estar llevando algún tipo de malware en su computadora portátil / teléfono inteligente / dispositivo portátil que podría propagarse. Además, la señal WiFi no termina en la puerta principal. Probablemente se haya conectado a un WiFi en algún lugar y haya visto otras redes que no reconoció. Esas redes no necesariamente tenían la intención de extender su señal a usted. Su amigo podría extender accidentalmente su señal a las empresas vecinas. En ese caso, compartiría su red personal con algo más que sus clientes. Como Robert Graham sugirió configurar un WiFi para invitados separado para los clientes.

  

la contraseña de wifi debería ser fácil para que la recepcionista pueda dársela a los pacientes. (Aunque no espera que los pacientes esperen más o más para preguntar y esperar wifi).

Hacer que la contraseña de WiFi para el huésped WiFi sea simple está bien siempre y cuando esté separado de la red de negocios y la red de negocios use una contraseña segura. Todavía recomendaría cambiar periódicamente la contraseña de la red WiFi del huésped, tal vez cada mes. Al final del mes realiza la contabilidad y cambia la contraseña de WiFi.

  

Le digo que necesita una frase de contraseña wifi WPA2 muy fuerte y que sea privado

Absolutamente. También necesita cambiarlo periódicamente. Probablemente no necesito decir que él también necesita algún tipo de software antivirus para todas sus computadoras.

  

¿Existe una forma segura de permitir que el público use su wifi que es monitoreado por personas que no son expertos en tecnología (una vez configuradas correctamente)?

No que yo sepa, una vez más me gusta la sugerencia de Robert; configurar una red de invitados por separado. Incluso un usuario de computadora moderadamente capacitado tendrá dificultades con las herramientas utilizadas para analizar la actividad de la red. Incluso si la configuración era segura al principio, la seguridad de TI es un problema que cambia constantemente. Una de las mejores defensas actuales es mantener sus equipos y software actualizados. Imagine que el punto de acceso inalámbrico particular que está utilizando resulta tener una vulnerabilidad de seguridad. En algún momento se descubre la vulnerabilidad y el vendedor lanza una actualización de firmware. ¿Quién instalaría la actualización? Si ni su amigo ni nadie de su personal pudieran hacerlo, ¿se sentiría cómodo al permitir que un punto de acceso WiFi vulnerable se conecte a su negocio?

  

¿O es la única opción para usuarios de pequeña escala (sin soluciones empresariales) simplemente para no permitir usuarios aleatorios en su wifi?

Esa es una opción, pero me gusta más el acceso WiFi para invitados por separado.

  

El simple filtrado de direcciones MAC es probablemente demasiado oneroso para la recepcionista

Sí, no veo eso como una opción. No solo es bastante engorroso, sino que es probablemente la forma de seguridad más simple de eludir. Un pequeño clon de wifi + sniffing + MAC consigue que alguien pase la puerta sin mencionar la falta de cifrado de datos.

  

¿Sería posible decir que tenemos una lista blanca de algunas direcciones MAC que usamos? y permitir otras direcciones MAC ~ 2 MB de ancho de banda no restringido, ¿en qué punto la conexión comienza a ser severamente limitada?

     

¿O es posible configurar un esquema para generar contraseñas de un solo uso que expirarán después de la primera de ~ 2MB o 2 horas de uso?

Sí, pero creo que quieres mantener esto mucho más simple. El uso de un punto de acceso WiFi para invitados separado le ahorrará mucho trabajo al tratar de mantener a los invitados, y a los no deseados, lejos de los asuntos de negocios.

La forma más fácil de imponer el límite de tiempo es cambiar la contraseña, y no recomendaría cambiar la contraseña más a menudo que a diario. Creo que cambiar la contraseña cada semana o dos es bueno, hasta un mes es probable que esté bien. Además, puede configurar un temporizador de toma eléctrica (por ejemplo: enlace ) para que se encienda durante el horario comercial y se apague después de Horas, lo que reduciría la exposición del WiFi a los atacantes.

Para distribuir la contraseña, compraría algunas hojas de tarjetas de presentación listas para inyección de tinta o impresora láser (por ejemplo: enlace ) e imprima una tarjeta de presentación simplificada con el nombre, la dirección, el número de teléfono y la contraseña de WiFi del dentista. La recepcionista solo tiene que repartir las tarjetas.

Nota: No estoy afiliado a Avery, Amazon o Woods. Los ejemplos no son recomendaciones.

Desde el punto de vista de la seguridad y la administración (además de mantenerse dentro del presupuesto), recomiendo echar un vistazo a lo que enlace ofrece .

El punto de acceso básico que venden tiene 2 SSID que se conectan a su red. Uno de ellos está completamente abierto, pero se enruta de tal manera que no puede acceder a su red interna, solo a Internet. Por defecto, son llevados a un portal cautivo de FON donde pueden optar por iniciar sesión de forma gratuita (si son miembros) o pagar (si no es así). No estoy seguro de si hay una manera de ofrecerlo en forma gratuita.

El 2do SSID tiene una clave de cifrado y existe en una subred diferente a su red principal. Creo que también es posible bloquear el acceso a su red, lo que le daría una red gratuita para la cual puede entregar la clave.

No estoy afiliado a FON de ninguna manera que no sea un usuario, y no sé si encaja con lo que estás planeando, pero pensé que valía la pena sugerirlo.

Si puede obtener algunas direcciones IP públicas y estáticas, puede usar una dirección IP exclusivamente para invitados. Puede usar otra dirección IP pública como la dirección externa de su red privada. Esto proporciona una mayor seguridad porque la relación de la red de invitado con su red privada es que es solo otra red en Internet. No existe una relación especial entre los invitados y su red privada.

Esto también hace que la distinción entre invitados y usuarios privilegiados sea visible externamente en Internet. Entonces, si un invitado se conecta a un sitio al que usted también se conecta, parecerá que proviene de diferentes direcciones IP públicas. Esto significa que si los invitados son incluidos en la lista negra, por lo general no afectará a la red privada. Y significa que si hay quejas sobre spam, abuso o infracción de derechos de autor, sabrá que se trata de un invitado.

Si está realmente paranoico, presente un formulario de agente de DMCA. Esto lo protegerá de la mayoría de las responsabilidades legales por las acciones de sus invitados. enlace

Honestamente, no puedo pensar en una buena razón para que una pequeña empresa tenga wifi. Si usted es una empresa, debe utilizar RADIUS (empresa WPA). Si no quiere pagar por el equipo RADIUS, no use wifi.

WPA Personal no debe usarse para empresas por los siguientes motivos:

1. WPA Las redes personales necesitan "contraseñas" muy fuertes porque uno puede simplemente recoger los paquetes y luego romper la red con una computadora de escritorio de alta velocidad. Si hay negocios / apartamentos cerca, este problema se vuelve aún peor.
2. Entonces, si está usando una red WPA Personal para una empresa, debe usar una clave aleatoria y no cualquier tipo de frase de contraseña. Sin embargo, usar una clave es un gran inconveniente para el personal y dudo que se mantenga así por mucho tiempo.
3. Si está utilizando WPA Personal, es poco probable que tenga un personal técnico para hacer que la contraseña sea una clave aleatoria.
4. Si tienen computadoras de oficina conectadas en red que utilizan algún tipo de suite de odontología, no es probable que este software esté bien protegido. Mis padres son veterinarios y sé que el suyo no es muy seguro. Asegurarlo complicaría la configuración y es mucho más fácil simplemente no tener wifi.

Sería un juego infantil para un adolescente entrar en tu red y proceder a piratear tus cuentas. Y lo más probable, nadie se da cuenta de que esto está sucediendo. Las soluciones para el consumidor utilizan una tecnología llamada WPA "personal" por una razón. No es para uso comercial.

Después de escribir todo esto, me di cuenta de que mencionaste que la aplicación se alojaría en la nube. Esta es realmente una idea interesante y, probablemente, ofrece una mejor seguridad que la mayoría de los enfoques ... Sin embargo, la mayoría de las pequeñas empresas se opondrían a esto porque no tienen Internet corporativo para respaldar esto y la caída de Internet causaría grandes problemas.

TL;DR

Las empresas solo deberían usar wifi si pueden permitirse el uso de soluciones de nivel corporativo. De lo contrario, simplemente evítalo.