Как защитить WiFi пароль?

Question

[varfi]

Какими механизмами обезопасить локальную сеть при текучке кадров?

Допустим, сотрудник работал в компании, где стоял обычный WiFi роутер, уволился, но пароль от корпоративного WiFi сохранился. Он по идее может приехать к офису и пользоваться бесплатным WiFi. Есть ли технология защиты от этого?

Можно даже просто кидаться ссылками чтоб я почитал, т.к. идей вообще нет как и с чего начать.

Comments

[FanatPHP]

А что это реально проблема?
Бывшие сотрудники сидят рядами вокруг офиса и мешают пройти?

[Александр]

На прошлой работе пароль был 1234567890 и все его знали
И как-то не разорились

[varfi]

Александр, вопрос не в этом

[varfi]

FanatPHP, уже третий ряд организовали... распинываем

[FanatPHP]

А в каком Усть-Зажопинске это всё происходит, что доступ к интернету является такой прям ценностью что людям не лень тащиться к бывшей работе?

[TheBigBear]

FanatPHP, тут скорее 2 проблемы:
1. вопрос безопасности (доступ к сетевым ресурсам организации - например - послать на печать "войну и мир" на служебном принтере)
2. конфликт с ФСБ (если чел будет рассылать какие-то провокационные сообщения типа "заложенных бомб" через IP организации

[FanatPHP]

TheBigBear, не вижу ни одной из этих проблем в вопросе (которые больше напоминают известный текст хакер против директора столовой).
В вопросе только проблема с "бесплатным вифи"

[varfi]

FanatPHP, в г. Халявагорске

[TheBigBear]

FanatPHP, Ооооо, уважаемый, Вы значит ещё не знаете, на что может пойти уволенный сотрудник. Поверьте моему более чем 20-летнему опыту. На сотню уволенных или уволившихся как минимум найдётся один долбанутый и мстительный.
И например засунутый под плинтус кусок сырого мяса таким кадром - это цветочки. Как-то давно видел в интернете форум где люди делились паролями от чужих WiFi (кафе, гостиниц, офисов и т.п.)
Да и про 97-ФЗ от 05.10.2014 года, ПП № 758 от 31 июля 2014 г., № 801 от 12 августа 2014 г. не стоит забывать

[FanatPHP]

TheBigBear, OMG, это в каких отраслях приходится сталкиваться? Какие-нибудь курьеры/торговки на вынос/экспедиторы с улицы по объявлению?

[TheBigBear]

FanatPHP, В разных. Иногда приличная девочка-паинька на деле оказывается той ещё стервой.
Из личного опыта.
Девочка-менеджер в открытую с корпоративного компьютера слала кляузы в налоговую прикрепляя эксельки с отчётами.
Будучи руководителем IT отдела лет 15 назад выгнал сисадмина, который считал нормой подменять комплектующие для своего домашнего компа и целыми днями гонял в ДОТу, хамил сотрудникам. Через три для после увольнения подключился под пользователем чей пароль знал и удалил кучу данных с шары и базы 1С (хорошо к бэкапам уже доступа не имел) Про то что почти все корпоративные емейлы попали в СПАМ-списки я уже умолчу.

[CityCat4]

TheBigBear, Уволить админа и не прикрыть ему удаленку - это такой вид альтерантивной одаренности?

[CityCat4]

FanatPHP, Тут проблема в другом. ЦП, выложенная на порносайт или парочка сообщений типа "в здании YYY заложена боНба..." (или например портрет Алоизыча, выложенный на сайт Бессмертного Полка) с корпоративного IP могут обеспечить немного веселья с ребятками в камуфляже и волынами...

[TheBigBear]

CityCat4, Вы невнимательно читаете. Я ему всё прикрыл. Это было сделано через учётку сотрудника, пароль которого он знал. Потеряно было только, к чему у этого сотрудника был доступ, а это всё равно немало. Иначе я бы потерял и бэкапы.

[varfi]

CityCat4, TheBigBear, Вернемся к вопросу. Как я ниже писал. на ВМ я создал сервер 2019 с ролью радиус. на роутере в настройках вифи включил WPA/WPA2 с настройками радиус, ip сервера прописал. подключаю телефон/комп у меня абсолютно любое имя пользователя и пароль логинится к сети... т.е. не учитывается группа и разрешения

Answer 1

[Alexey Dmitriev]

В организации не нужно использовать пароль, а нужно использовать авторизацию, привязанную к логину и паролю пользователя, например через Radius.

Comments

[varfi]

посмотрю

[varfi]

дело в том что есть роутер MT-PON-AT-4 и он раздает. а как его связать с РАДИУС или Easyhotspot (как мне ниже советовали)

[AlexVWill]

varfi, ну, например, попробовать почитать мануал к роутеру, там должно быть написано, поддерживается ли Radius и как проводить настройки...

[Drno]

varfi, Radius это фактически единственный простой вариант
Ваш роутер ни как, ставьте нормаьлный, а не домашний. Один из хороших вариантов - Микротик
Ваш гамно Gpon в режим моста, за ним ставим микротик, на нём поднимает всю маршрутизацию и то что надо

[varfi]

Drno, что есть "нормальный" (вумный) т.е. программируемый как циско или микротик?

[Drno]

varfi, да, я вроде про микротик и написал)

[varfi]

Drno, а я читал что на этом dir 825 есть настройка безопасности wifi - wpa/wpa2 с настройками radius

[Drno]

varfi, точно незнаю. посмотрите в меню роутера

Answer 2

[Keffer]

Просто менять пароль периодически. Для вас все, больше ничего не нужно.

Comments

[varfi]

тоже пришел к этому выводу, но думаю вдруг опытные коллеги знают еще. без покупки циско или микротика

[varfi]

Александр,

Как раз и знают.

ну и?

[varfi]

Александр, мне нужно

Answer 3

[Александр Нестеров]

С учетом повального безлимита вопрос выглядит немного странно (если, конечно, вы не беспокоитесь за "сомнительный" трафик, но его и текущие работяги могут нагнать).
Если все-таки нужно:
В колледже / универе у нас была локальная прослойка между роутерами и "внешним миром" с необходимостью авторизовываться через персональный аккаунт (выдавали лаборанты) Без понятия, что у них там крутилось, возможно самопал, но поиск выдал это.
Вопрос, как таковой не решает, но своевременная чистка устаревших акков раз в 2 недели / месяц, скажем, наиболее оптимальна.

Comments

[varfi]

возможно что-то типа керио контрол. у нас его нет. ссылку читану попозжу

Answer 4

[TheBigBear]

Доступ в корпоративную сеть только через "белый список" МАС-адресов
Телефоны сотрудников - в гостевую сеть с авторизацией (ну или раз в неделю меняй пароль)

Comments

[varfi]

через "белый список" МАС-адресов

так таже проблема. мак запомнил и всё.

Телефоны сотрудников - в гостевую сеть с авторизацией

похоже на правду AlexNest AlexNest и Alexey Dmitriev Alexey Dmitriev уже писали об этом. но дело в том что есть роутер MT-PON-AT-4 и он раздает. а как его связать с РАДИУС или Easyhotspot

[TheBigBear]

varfi, "белый список" только для корпоративной техники!!!! Например в Микротике я могу еще дописать ручками комментарий - что за техника, за кем закреплена. Выбыла - выкидываешь из списка
А личную технику - в гостевой вай-фай

[varfi]

John Smith, роутер у меня D-link dir-825 (глюпый) не может в радиус или я не могу найти?

[Drno]

varfi, купите нормальный роутер просто... этот домашний не имеет такого функционала

[varfi]

hint000, да там есть настройка, уже видел. суть в том что на ВМ я создал сервер 2019 с ролью радиус. на роутере ip прописал. подключаю телефон/комп у меня абсолютно любое имя пользователя и пароль логинится к сети...

Answer 5

[Diman89]

как вариант - фильтрацияпо MAC, но при условии что вы заранее срисовали маки всех устройств и знаете кому какой принадлежит

Answer 6

[CityCat4]

Доступ к wifi - по макам и будет Щастье.

Comments

[TheBigBear]

Access List хорош только для корпоративной техники.
Иначе замучаешься добавлять-удалять постояно. "Ой я новый телефончик купила а он к сети не подключается"
Моё ИМХО: Личная техника ТОЛЬКО в гостевой вайфай. Тем более автор написал что у него там "текучка кадров"

[CityCat4]

TheBigBear, Если есть "текучка кадров", значит есть и кадры. Значит есть и контора, у которой есть админ, который просто наряжается за этим следить.

[varfi]

CityCat4, как выше TheBigBear, писал это проблематично. а радиус настроить на dir-825 у меня не получается. я пришел к выводу что лучше всего микротик или циско