¿Cómo evitar que los usuarios compartan las claves WPA RADIUS?

0

La LAN de mi oficina no tiene un Active Directory de Windows.

El wifi usa WPA con una clave previamente compartida, lo que significa que todos en el mundo saben cuál es la clave.

Estaba pensando en implementar un servidor RADIUS y cambiar a eso. La pregunta es, ¿qué impide a un usuario compartir su clave con todos los demás? Miré Windows NPS y FreeRadius. No veo ninguna forma de restringir una clave a uno o dos dispositivos solamente.

¿Qué usan los hoteles? Usted sabe, donde obtiene una clave de Wifi para su habitación que permite la conexión de solo 2/3 dispositivos y es válida por un número limitado de días. Muestra una página web para ingresar la clave la primera vez que te conectas a Wifi. ¿Podría algo así ser bueno para una pequeña oficina?

    
pregunta Hussain Akbar 26.02.2018 - 16:38
fuente

2 respuestas

0

En un entorno corporativo, la mejor manera de lograrlo es a través de certificados emitidos para muchos dispositivos y posiblemente direcciones MAC. Tenga en cuenta que esto puede ser superado si los usuarios tienen conocimientos de seguridad de TI y, de manera crítica, si tienen derechos de administrador en sus dispositivos. Su empresa no tiene un servidor de Windows AD, así que supongo que sería bastante difícil configurar una PKI interna para esto.

Hay un problema al usar servidores RADIUS como FreeRadius con contraseñas temporales donde las computadoras portátiles y los dispositivos móviles siguen intentando conectarse automáticamente y, por lo general, terminan bloqueando la cuenta debido a una contraseña caducada o agotando los recursos del servidor al procesar solicitudes de inicio de sesión erróneas. / p>

Los hoteles y el acceso general de invitados se implementan normalmente utilizando un sistema inalámbrico con un Portal cautivo ( enlace ). Esto es similar a cuando se conecta a Starbucks o McDonalds sin una clave previamente compartida pero obtiene una página web que necesita para iniciar sesión o hacer clic para acceder a Internet. Esto le dará la funcionalidad que está buscando, pero a expensas del personal.

En última instancia, no hay mejor respuesta. Todo depende de qué nivel de control tenga realmente, cuánto confíe en sus usuarios y qué tan importante sea esto para la empresa. Un sistema flexible y con todas las funciones costará tiempo y / o dinero.

Entiendo lo que quieres decir con confianza. Lo que quise decir es que, dado que no tiene un servidor de directorio para controlar las máquinas de los usuarios de forma centralizada, tendrá que confiar en que sus usuarios no abusarán del sistema (si tienen derechos de administrador).

En lo que respecta a RADIUS, deberá configurar el Cambio de autorización (CoA). Sin CoA, no puede finalizar una sesión en curso y la nueva autorización solo se aplicará a la próxima vez que el usuario intente iniciar sesión.

Editar: En el caso de 1), suponiendo que no tenga configurada la CoA, si bloquea a un ex empleado mientras su dispositivo todavía está conectado, no puede expulsarlos de la red simplemente deshabilitando su cuenta de usuario. Tendría que hacerlo manualmente en el punto de acceso inalámbrico al finalizar la sesión en función de la dirección MAC. La próxima vez que intenten iniciar sesión, serán bloqueados por una autenticación RADIUS fallida. Si tiene CoA, entonces el cambio de los privilegios asociados con la cuenta podría provocar un cambio inmediato y ponerlos en marcha.

Para 2) eso dependería del sistema inalámbrico. He visto que puede especificar la duración máxima de la sesión, pero no hay manera de evitar que se vuelvan a conectar inmediatamente ya que la PSK se comparte entre todos los usuarios en la misma red inalámbrica. Podría hacer el filtrado de direcciones MAC, pero si está bien automática o manualmente dependerá del sistema inalámbrico o del servidor RADIUS.

Implementar 2) con un portal cautivo es mucho más fácil porque el temporizador de autenticación generalmente se realiza con una cookie de sesión http que puede ser invalidada en cualquier momento, matando así la sesión del usuario.

    
respondido por el Xavier Lloyd 27.02.2018 - 13:55
fuente
0

Si los dispositivos no son propiedad de la empresa, no puede evitar compartir claves. La restricción a los dispositivos X generalmente se realiza con las verificaciones de MAC que se pueden omitir.

Si los dispositivos son propiedad de la empresa, puede usar la autenticación que usa métodos de hardware (por ejemplo, un TPM) o métodos de software

    
respondido por el iovoid 27.02.2018 - 04:19
fuente

Lea otras preguntas en las etiquetas