Brett G Asked: 2009-10-22 23:18:57 +0800 CST2009-10-22 23:18:57 +0800 CST 2009-10-22 23:18:57 +0800 CST 保护访客无线网络 772 我需要在办公室设置访客无线网络供访客连接。关于如何在不给自己增加太多支持负担的情况下确保它的安全,您有什么建议? 我宁愿把它作为一个开放的访问点,这样我就不必支持那些不知道如何正确输入密码的用户。但是,如果我不这样做,我应该使用 WPA 还是 WPA2?如果我使用 WPA2,我会遇到兼容性问题吗? 将用户与网络本身隔离的最佳方法是什么。我想最简单的方法是将接入点放在它自己的 DSL 连接上。我还有哪些其他选择? 你们中的大多数人如何保护您的访客无线网络? security 4 个回答 Voted Best Answer sybreon 2009-10-23T02:07:00+08:002009-10-23T02:07:00+08:00 推荐的方法是使用DMZ配置。您可以保持开放的无线连接,让客人轻松连接到它。但是,您需要控制一些事情。 将您的 wifi 连接放在dmz区域,并将其连接视为潜在的敌对。这意味着将您的防火墙配置为阻止与本地网络的传入连接,并仅允许某些连接到 Internet(例如 http/https)。 将 wifi 设备放置在与本地网络不同的子网和网络范围内。这将强制计算机通过您的防火墙设备路由数据包。确保无线网络与本地网络物理断开。 (可选)实现某种半径身份验证,可能使用chilispot或类似的东西。这将允许您进行某种身份验证。您可以使用它来更好地控制 wifi 的使用。客人可能会在入住期间获得用户名/密码登录以供使用。 希望这能给你一些想法。 sleske 2009-10-23T01:29:50+08:002009-10-23T01:29:50+08:00 通常,您只需设置一个 AP 并将其连接到您的互联网连接即可。 需要考虑的事项: 确保 AP 没有以任何方式连接到您的内部网络(除非您真的知道自己在做什么)。您不想将您的 LAN 暴露给任何路人。 如果你使用加密,你会减少你的攻击面,因为它使随机的人不太可能使用你的 AP。这并不是真正的安全措施(您使用的任何密钥都是相当公开的),但可以防止诸如陌生人占用带宽之类的烦恼。 您应该对法律问题进行基本检查:您的 ISP 是否允许这种共享(有些在他们的合同中禁止)?您是否对通过 AP 犯下的计算机犯罪负法律责任(在大多数司法管辖区并非如此,但情况可能会有所不同)。 我宁愿把它作为一个开放的访问点,这样我就不必支持那些不知道如何正确输入密码的用户。但是,如果我不这样做,我应该使用 WPA 还是 WPA2?如果我使用 WPA2,我会遇到兼容性问题吗? 正如所指出的,加密避免了一些烦恼,但我认为这并不重要。如果您确实使用它,WPA2 可能就可以了。从 2003 年开始,Wi-Fi 联盟的认证要求 WPA,从 2006 年开始要求 WPA2,所以最近的设备应该做 WPA2。 将用户与网络本身隔离的最佳方法是什么。我想最简单的方法是将接入点放在它自己的 DSL 连接上。我还有哪些其他选择? 真的不需要单独的 DSL 连接。无论如何,您的 DSL 连接和 LAN 之间应该有某种路由器/防火墙。只需将 AP 直接连接到您的 DSL,绕过防火墙。或者将其放入您的 DMZ(如果您有的话),或者更好的是,放入它自己的 DMZ。 Greeblesnort 2009-10-23T05:33:33+08:002009-10-23T05:33:33+08:00 sybreon 有一个很好的答案,碰到了...... 我最初使用 chilispot auth'ing 对 freeradius 设置我们的办公室无线,使用旧的操作方法允许您创建会超时的令牌。它工作得相当好,管理起来也不是太麻烦。OP 没有很好地说明预算或功能,但我们当前使用 Cisco WLC 和 ACS 的解决方案提供了一些非常酷的功能: 针对我们的广告进行身份验证 基于用户和机器组的类似 NAC 的 VLAN 分配 单独的大厅管理员帐户,您可以将其移交给服务台,以便他们可以创建具有设定生命周期的临时帐户 Istvan 2009-10-23T01:27:26+08:002009-10-23T01:27:26+08:00 您可以设置 MAC 地址过滤并在访客来访时添加 MAC,并在一天结束时删除,如果您不想加密。您还可以设置一个屏幕,用户必须在其中说明他的电子邮件地址,然后才能进一步操作。 如果您必须设置 wpa,请使用 wpa2+aes,因为 wpa+tkip 很容易受到攻击。 http://www.wi-fiplanet.com/news/article.php/3784251 请参阅本主题中的一篇有趣文章: http ://www.schneier.com/blog/archives/2008/01/my_open_wireles.html
推荐的方法是使用DMZ配置。您可以保持开放的无线连接,让客人轻松连接到它。但是,您需要控制一些事情。
将 wifi 设备放置在与本地网络不同的子网和网络范围内。这将强制计算机通过您的防火墙设备路由数据包。确保无线网络与本地网络物理断开。
(可选)实现某种半径身份验证,可能使用chilispot或类似的东西。这将允许您进行某种身份验证。您可以使用它来更好地控制 wifi 的使用。客人可能会在入住期间获得用户名/密码登录以供使用。
希望这能给你一些想法。
通常,您只需设置一个 AP 并将其连接到您的互联网连接即可。
需要考虑的事项:
正如所指出的,加密避免了一些烦恼,但我认为这并不重要。如果您确实使用它,WPA2 可能就可以了。从 2003 年开始,Wi-Fi 联盟的认证要求 WPA,从 2006 年开始要求 WPA2,所以最近的设备应该做 WPA2。
真的不需要单独的 DSL 连接。无论如何,您的 DSL 连接和 LAN 之间应该有某种路由器/防火墙。只需将 AP 直接连接到您的 DSL,绕过防火墙。或者将其放入您的 DMZ(如果您有的话),或者更好的是,放入它自己的 DMZ。
sybreon 有一个很好的答案,碰到了......
我最初使用 chilispot auth'ing 对 freeradius 设置我们的办公室无线,使用旧的操作方法允许您创建会超时的令牌。它工作得相当好,管理起来也不是太麻烦。OP 没有很好地说明预算或功能,但我们当前使用 Cisco WLC 和 ACS 的解决方案提供了一些非常酷的功能:
您可以设置 MAC 地址过滤并在访客来访时添加 MAC,并在一天结束时删除,如果您不想加密。您还可以设置一个屏幕,用户必须在其中说明他的电子邮件地址,然后才能进一步操作。
如果您必须设置 wpa,请使用 wpa2+aes,因为 wpa+tkip 很容易受到攻击。 http://www.wi-fiplanet.com/news/article.php/3784251
请参阅本主题中的一篇有趣文章: http ://www.schneier.com/blog/archives/2008/01/my_open_wireles.html