web-dev-qa-db-ja.com

キャンパス内のオープンなWiFiネットワークは、学生にとってどのくらいのリスクがありますか?編集:完全に読んでください。

私はコミュニティカレッジでこの問題について何ヶ月も官僚と闘ってきました。数か月前、学生のSSIDのセキュリティを変更しました。

以前はEAPを使用していたため、学生はネイティブのWi-Fiクライアントで一度アカデミック資格情報を入力できました。これでネットワークが開き、資格情報を認証する安全なブラウザーページにリダイレクトされます。

私は2週間後に大学の副学長と面会し、学生のネットワークを再び暗号化するという私の主張が確実であることを確認したいと思います。認証と暗号化の違いを、技術的な知識のない人に説明しようとするのは簡単ではありません。

ネットワークが実際にオープンであることを説明するだけでなく、特に学生団体(大規模なコミュニティカレッジ)の技術リテラシーが高く、技術的能力が低いことを考えると、オープンネットワークは重大なリスクであることを彼らに納得させる必要があります。

最後に、IT管理者は、切り替えの基礎はデバイスの互換性であると主張しました。つまり、ネットワーク上のすべての学生のデバイスをサポートすることはできなくなったのです。

スタッフがまだ暗号化されたネットワークを持っており、学生と同じ種類のデバイスを使用している可能性が高いことを考えると、これは言い訳ではないかと思います。確かにフロントエンドでは、EAPはかなり確立された標準です。ただし、バックエンドでどのように見えるかはわかりません。

編集:私は「脅威モデル」を持っていません、そして私はいくつかの理想化された形のセキュリティについて尋ねていません。私の質問と回答のコンテキストを、そのコンテキストに関連する方法で理解してください。私は擁護するために合理的に実行可能なITポリシーを必要としています。また、副首相にリスクとコストの概念を提示できる必要があります。

ITが主張していることにメリットはありますか?そして、私は学生の体の暗号化を扇動するのは正しいのでしょうか?

4
Aaron Rosenfeld

あなたは間違ったことを心配していると思います。公共のインターネットを介して送信するデータの場合と同じように、ローカルネットワークを信頼する理由はないはずです。パスワードを送信する場合は、TLSで保護された接続を使用していることを確認する必要があります。データを保護するためにローカルWiFiを信頼することは、基本的に視力内のハッカーのみを除外し、何らかの形であなたを安全に保つと考えています。

あなたはあなた自身のマシンのあなたのセキュリティとあなたが作るどんなネットワーク接続に対しても責任があります。

4
John Deters

まず、コメント。時々(「ほとんどいつも」読む)私はかっこいい新しいおもちゃ、アプリ、テクノロジーを手に入れ、あらゆる場所にそれを収めようとします。機能しない場所でも、その理由を理解するのは楽しいです。それは学習体験です。

「脅威モデル」という用語は、理論的に過度に聞こえるかもしれませんし、あなたのケースを否定するかもしれません。目的は、セキュリティコンサルタントが適切なソリューションを提供することです。

この場合、セキュリティホールから保護するための適切なソリューションが必要なようには思えませんが、直感的な機能(wifi暗号化)が有効になっているはずです。同意します。ここにきて適切なデューデリジェンスを行い、サポートを求めています。良い考えですが、この聴衆は、ほとんどが問題を修正したいセキュリティコンサルタントです。

Wi-Fiの暗号化を有効にすると何が得られますか? SSLを使用しないWebサイトのプライバシーを学生に提供します。学生がSSLなしでウェブサイトを使用するときはいつでも、せんさく好きな訪問者、コンサルタント、または近くの人がその情報(Google検索、ソーシャルメディアなど)を読むことができると想定できます。これはあなたの議論の基礎となります。

ITスタッフのサポートでは、エンドユーザーのデバイスをサポートすることは困難です。特に、そこにある多数のデバイスを考慮すると困難です。コミュニティカレッジの場合、古いハンドダウン機器を扱い、学生を要求している可能性があります。

大学が収入を得るために学生に(多すぎる)食料調達しなければならない時代に、私はあなたのITスタッフが説得力のある議論をしているのではないかと思います。おそらく、アクセスポイントが「WPA-2 Enterprise(iOS)」またはWPA=認証なしで機能する "機能を提供する"中間基盤 "を持つことができます。次に、セキュリティを重視するユーザーに何かを推奨できます、ハードウェアが不良な学生向けの包括的なサービスを提供しています。

ser10008は、既存の暗号化された教員を使用するよう学生に指示することを提案します。教員Wifiに機密/ PIIデータが含まれていると仮定すると、これはお勧めしません。これは、同じ接続での教授に対する多くの攻撃の扉を開きます。

2

かつて教育機関で働いていた私たちの目標は、大学のクライアント(学生)にとってシームレスで痛みのないものにすることです。専門家として、特にセキュリティに関しては、私たちが支持してくれたことがたくさんありました。たとえば、P2Pネットワークに反対したのは、当時のトラフィックパターンが学生に音楽をダウンロードするように指示していたためです(当時のNapsterは流行っていました)。他のユーザーのネットワークを飽和状態にしたため反対しましたが、ウイルスの感染プールと感染(マルウェア)を引き起こし、ネットワークをさらに混乱させました。私たちはクライアント(学生)が歯と爪に挑戦した提案を発表しました。その結果、最終的にP2Pが許可されましたが、NACがスローされたため、クライアント(学生)のベビーシッターをして、彼らの個人的な「コンピュータークリーンアップクルー」を演じることができました。 」

彼らがあなたに与えた答えはたぶんその場でした。クライアント(学生-この用語の繰り返しに注意してください-クライアント-結局のところ、彼らは授業料で請求書を支払うので)は、デバイスのsmorsgasbordを持っているでしょう。 EAPでうまく機能しないデバイスを持つデバイスを持っているクライアント(授業料で請求書を支払っている人々)がいる可能性があります。学生によっては、究極のベアボーン基本プロトコルをサポートするベアボーンの古いマシンを使用している場合があります。何をしているのか、有料のクライアントに次のように伝えます。

「オープン」ネットワークと「クローズド」ネットワークを介した懸念は偏ったものです。認証後、プロキシされたネットワーク(sslvpnなど)を介してデータを送信していないことをどのようにして知っていますか。 「ホテルにチェックインするとき、オープンネットワーク経由でログインしなければならないなんて信じられない」のようです。

1
munkeyoto

トラフィックが大学を出ると、目的のサーバーに到達するまで、世界中を長い長い旅に出ます。その間、それは多くの国を通過し、多くの人々のデータセンターを使用しています。彼らはすべてあなたをスパイすることができます。これらの人々から安全であるためには、強力なエンドツーエンド(TLS)保護が必要です。暗号化されたWiFiを使用すると、周囲の他の人から保護できますが、すでにより強力な保護を実施している場合、あなたはすでにそれによって保護されていますです。

しかし、世界は見た目ほど光沢はありません。非技術者は、自分のプライベートプリンター、パブリック共有をセットアップするか、証明書の警告を無視できます。 WiFiが暗号化されている場合、スタッフがこれらの問題を管理できます。 WiFiが暗号化されていない場合、学生自身がそのような間違いを回避する必要があります。

最初のステップで適切な暗号化を行うのは良いことですが、必須ではありません。

スタッフはまだ暗号化されたWiFiを取得すると述べました。良いオプションは、学生にもそれを使用できるようにすることです。暗号化されたネットワーク上のデバイスに問題がある場合、スタッフは暗号化されていない代替手段を指摘できます。

0
user10008