none
Gestione sicurezza WIFI - OT ma non troppo RRS feed

  • Domanda

  • Ciao a tutti,

    Voglio porvi una domanda di carattere generale per capire come posso affrontare la sicurezza della mia rete wireless.

    Ovviamente non sto parlando della sicurezza della cifratura del canale ma di come è possibile gestire la “divulgazione della password” in ambiente aziendale.

    Facciamo il punto: si tratta di un’azienda commerciale con circa 120 dipendenti e 2 sedi distaccate.
    al momento in tutto si possono contare 7 Access Point di varie marche.
    i pc dei dipendenti sono tutti Windows ( XP o 7) a dominio ma stanno proliferando dispositivi privati come smartphone, tablet, pc privati usati in azienda.
    (non apriamo una discussione sul fatto se è giusto o meno consentire accesso a questi dispositivi…. Diciamo solo che in questo caso sono ben’ accetti).

    Il mio problema è come gestire la sicurezza di queste reti senza fili.
    Al momento un dipendente che deve collegare il suo dispositivo in rete si fa dare la password della wifi che copre la sua zona e si gestisce da solo…
    è ovvio che niente (tranne la buonafede) gli impedisce di “vendere” la password a qualche malintenzionato per vari scopi.

    La mia idea iniziale per arginare il problema era di configurare le WIFI a livello di policy sul server ma mi sono reso conto che non risolveva il problema dei tablet e in secondo luogo un utente amministratore del pc può visualizzare i caratteri  nascosti della password wireless.

    DITEMI LA VOSTRA!!
    sono alla ricerca di opinioni e pareri..
    sapete se esiste qualche sistema anche costoso per gestire una wifi di grandi dimensioni in sicurezza??
    ovviamente il tutto è finalizzato a ridurre al minimo i tempi di amministrazione (è ovvio che potrei passare le mie giornate a configurare il dispositivo di tizio e di caio ma non mi pagano per questo e soprattutto loro potrebbero sempre andarsi a recuperare la password).

    Non so da dove partire… aiutatemi!

    Ciao.

    giovedì 30 giugno 2011 15:00

Risposte

  • Se gli apparati supportano il certificato digitale, la miglior soluzione mi pare 802.1X

    http://it.wikipedia.org/wiki/IEEE_802.1x

    In passato abbiamo discusso di scenari simili e altre soluzioni (come ad esempio nascondere l'SSID della rete WiFi) sono da considerarsi meri palliativi.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    VMware Certified Professional on vSphere 4
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    venerdì 1 luglio 2011 08:56

Tutte le risposte

  • Se gli apparati supportano il certificato digitale, la miglior soluzione mi pare 802.1X

    http://it.wikipedia.org/wiki/IEEE_802.1x

    In passato abbiamo discusso di scenari simili e altre soluzioni (come ad esempio nascondere l'SSID della rete WiFi) sono da considerarsi meri palliativi.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    VMware Certified Professional on vSphere 4
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    venerdì 1 luglio 2011 08:56
  • concordo in pieno anche se bisogna precisare che bisogna rendere non esportabile la chiave privata del certificato (per evitare il trasferimento su altra macchina) e ancor meglio usare il certificato computer (che non ha senso trasferire) magari in accoppiata a qualche policy che vincola lo user al logon su uno specifico client.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    venerdì 1 luglio 2011 11:53
    Moderatore