Partager le wifi dans une entreprise - Mauvaise politique?

Vous ne pouvez pas autoriser les clients à être sur le même réseau que vos propres ordinateurs.

De nombreux nouveaux points d'accès WiFi s'en chargent pour vous, en créant deux réseaux wifi, où le réseau "invité" n'a pas accès aux ordinateurs internes. Le Cisco/Linksys 4200 est ce que j'ai chez moi pour les invités, et il est facile à configurer, mais il existe de nombreux autres systèmes qui ont la même fonctionnalité.

Est-il sûr pour une petite entreprise de laisser les clients utiliser leur wifi en attendant?

Non. Même si aucun client n'attaque intentionnellement son réseau WiFi, il pourrait transporter sur son ordinateur portable/téléphone intelligent/appareil portable un type de logiciel malveillant qui pourrait se propager. De plus, le signal WiFi ne s'arrête pas à la porte d'entrée. Vous vous êtes probablement connecté à un réseau WiFi et avez vu d'autres réseaux que vous ne reconnaissiez pas. Ces réseaux n'avaient pas nécessairement l'intention de vous transmettre leur signal. Votre ami pourrait accidentellement transmettre son signal aux entreprises voisines. Dans ce cas, il partagerait son réseau personnel avec plus que ses clients. Comme l'a suggéré Robert Graham, mettre en place un WiFi invité séparé pour les clients.

le mot de passe wifi doit être facile pour que la réceptionniste puisse le donner aux patients. (Bien qu'il ne s'attende pas à ce que les patients attendent longtemps ou la plupart demandent et attendent le wifi).

Rendre le mot de passe WiFi simple pour le WiFi invité est très bien tant qu'il est séparé du réseau d'entreprise et que le réseau d'entreprise utilise un mot de passe fort. Je recommanderais toujours de changer périodiquement le mot de passe du réseau WiFi invité, peut-être tous les mois. À la fin du mois, il fait la comptabilité et change le mot de passe WiFi.

Je lui dis qu'il a besoin d'une phrase de passe wifi WPA2 très solide et de la garder privée

Absolument. Il doit également le changer périodiquement. Je n'ai probablement pas besoin de dire qu'il a également besoin d'un type de logiciel antivirus pour tous ses ordinateurs.

Existe-t-il un moyen sûr de laisser le public utiliser votre wifi qui est surveillé par des personnes non averties (une fois correctement configuré)?

Pas que je sache, j'aime encore la suggestion de Robert; mettre en place un réseau invité distinct. Même un utilisateur d'ordinateur moyennement qualifié aura des difficultés avec les outils utilisés pour analyser l'activité du réseau. Même si la configuration était sécurisée au début, la sécurité informatique est un problème en constante évolution. L'une des meilleures défenses actuelles consiste à maintenir votre équipement et vos logiciels à jour. Imaginez que le point d'accès sans fil particulier qu'il utilise s'avère présenter une vulnérabilité de sécurité. À un moment donné, la vulnérabilité est découverte et le vendeur publie une mise à jour du micrologiciel. Qui installerait la mise à jour? Si ni votre ami ni aucun membre de son personnel ne pouvait le faire, se sentirait-il à l'aise de laisser un point d'accès WiFi vulnérable se connecter à son entreprise?

Ou est-ce la seule option pour les petits utilisateurs (sans solutions d'entreprise) de ne pas autoriser les utilisateurs aléatoires sur leur wifi?

C'est une option, mais j'aime mieux l'accès WiFi invité séparé.

Le filtrage simple des adresses MAC est probablement trop lourd pour le réceptionniste

Oui, je ne vois pas cela comme une option. Non seulement elle est plutôt lourde, mais c'est probablement la forme de sécurité la plus simple à contourner. Un petit clone wifi reniflant + MAC permet à quiconque de passer la porte sans parler du manque de cryptage des données.

Serait-il possible de dire avoir une liste blanche de quelques adresses MAC que nous utilisons; et autoriser d'autres adresses MAC ~ 2 Mo de bande passante illimitée à quel moment la connexion commence à être fortement limitée?

Ou est-il possible de configurer un schéma pour générer un mot de passe à usage unique qui expirera après la première de ~ 2 Mo ou 2 heures d'utilisation?

Oui, mais je pense que vous voulez garder cela beaucoup plus simple. L'utilisation d'un point d'accès Wi-Fi séparé permettra d'économiser beaucoup de travail en essayant de garder les invités et les invités indésirables loin des affaires.

Le moyen le plus simple de faire respecter le délai est de changer le mot de passe, et je ne recommanderais pas de changer le mot de passe plus souvent que quotidiennement. Je pense que changer le mot de passe chaque semaine ou deux est bien, jusqu'à un mois est probablement correct. De plus, vous pouvez définir une minuterie de prise électrique (par exemple: http://www.Amazon.com/Woods-59377-Digital-Appliance-Settings/dp/B000IKQRT ) pour l'allumer pendant les heures de bureau et désactiver après les heures, ce qui réduirait l'exposition du WiFi aux attaquants.

Pour distribuer le mot de passe, j'achèterais des feuilles de cartes de visite prêtes pour jet d'encre ou laser (par exemple: http://www.avery.com/avery/en_us/Products/Cards/Business-Cards ) et imprimer une carte de visite simplifiée avec le nom, l'adresse, le numéro de téléphone fixe et le mot de passe WiFi du dentiste. La réceptionniste n'a qu'à remettre les cartes.

Remarque: je ne suis pas affilié à Avery, Amazon ou Woods. Les exemples ne sont pas des recommandations.

Du point de vue de la sécurité et de la gestion (tout en respectant le budget), je recommanderais de regarder ce que http://www.fon.com propose.

Le point d'accès de base qu'ils vendent possède 2 SSID qui se connectent à votre réseau. L'un d'eux est complètement ouvert mais est routé de manière à ne pas pouvoir accéder à votre réseau interne, uniquement à Internet. Par défaut, ils sont dirigés vers un portail captif FON où ils peuvent choisir de se connecter gratuitement (s'ils sont membres) ou de payer (sinon). Je ne sais pas s'il existe un moyen de lui offrir un arrêt complet gratuit.

Le 2ème SSID a une clé de cryptage et existe sur un sous-réseau différent de votre réseau principal. Je pense qu'il est possible de bloquer l'accès à votre réseau à partir de cela également, ce qui vous donnerait un réseau gratuit dont vous pouvez remettre la clé.

Je ne suis affilié à FON en aucune façon, sauf en tant qu'utilisateur, et je ne sais pas si cela correspond à ce que vous prévoyez, mais j'ai pensé que cela valait la peine d'être suggéré.

Si vous pouvez obtenir quelques adresses IP publiques statiques, vous pouvez utiliser une seule adresse IP uniquement pour les invités. Vous pouvez utiliser une autre adresse IP publique comme adresse externe pour votre réseau privé. Cela offre une plus grande sécurité car la relation entre le réseau invité et votre réseau privé est qu'il ne s'agit que d'un autre réseau sur Internet. Il n'y a pas de relation particulière entre les invités et votre réseau privé.

Cela rend également la distinction entre les invités et les utilisateurs privilégiés visible de l'extérieur sur Internet. Donc, si un invité se connecte à un site auquel vous vous connectez également, vous semblerez provenir de différentes adresses IP publiques. Cela signifie que si les invités sont mis sur liste noire, cela n'affectera généralement pas le réseau privé. Et cela signifie que s'il y a des plaintes concernant le spam, les abus ou la violation des droits d'auteur, vous saurez que cela vient d'un invité.

Si vous êtes vraiment paranoïaque, déposez un formulaire d'agent DMCA. Cela vous protégera de la plupart des responsabilités légales pour les actions de vos invités. http://www.copyright.gov/onlinesp/

Honnêtement, je ne peux pas penser à une bonne raison pour laquelle une petite entreprise devrait avoir le wifi. Si vous êtes une entreprise, vous devez utiliser RADIUS (entreprise WPA). Si vous ne voulez pas payer pour l'équipement RADIUS, alors ne le faites pas) t utiliser le wifi.

WPA Personal ne doit pas être utilisé pour les entreprises pour les raisons suivantes:

1. Les réseaux personnels WPA ont besoin de "mots de passe" très forts car on peut simplement collecter les paquets et ensuite casser le réseau à l'aide d'un ordinateur de bureau à haute vitesse. S'il y a des commerces/appartements à proximité, ce problème devient encore pire.
2. Donc, si vous utilisez un WPA réseau personnel pour une entreprise, vous devez utiliser une clé aléatoire et pas une sorte de phrase secrète. Cependant, l'utilisation d'une clé est très gênante pour le personnel et moi doute qu'il en restera ainsi très longtemps.
3. Si vous utilisez WPA Personal, il est peu probable que vous disposiez d'un personnel technique pour faire en sorte que le mot de passe reste une clé aléatoire.
4. S'ils ont des ordinateurs de bureau en réseau utilisant une sorte de suite de dentisterie, il est peu probable que ce logiciel soit très bien sécurisé. Mes parents sont vétérinaires et je sais que les leurs ne sont pas très sécurisés. Le sécuriser compliquerait la configuration et il est beaucoup plus facile de ne pas avoir de wifi.

Ce serait un jeu d'enfant pour un adolescent de pénétrer votre réseau et de pirater vos comptes. Et très probablement, personne ne remarque même que cela se produit. Les solutions grand public utilisent une technologie appelée WPA "personnelle" pour une raison. Elle n'est pas destinée à un usage professionnel.

Après avoir écrit tout cela, je viens de réaliser que vous avez mentionné que l'application serait hébergée sur le cloud. C'est en fait une idée intéressante et offre probablement une meilleure sécurité que la plupart des approches ... Cependant, la plupart des petites entreprises s'opposeraient à cela car elles n'ont pas d'Internet de niveau entreprise pour le supporter et la panne d'Internet causerait d'énormes problèmes.

TL; DR

Les entreprises ne devraient utiliser le wifi que si elles peuvent se permettre d'utiliser des solutions de qualité professionnelle. Sinon, évitez-le.