我在内部IT政策中找到了以下内容。我需要帮助来了解它。对我来说,这完全是违反直觉的:
使用酒店,咖啡店和公共WiFi热点
您可以连接笔记本电脑以在酒店使用WiFi,咖啡店等,但这取决于WiFi的设置方式:
如果它是“打开的”(也就是说,您不需要任何密码即可连接),则应该可以
如果已设置好,因此您需要输入密码才能连接到WiFi(并且该密码由企业提供),那么您应该可以
,但是可以轻松连接到WiFi,但您需要在网络浏览器软件中输入用户名和/或密码,否则您将无法访问该服务。
笔记本电脑所采用的安全标准意味着无法直接连接到“肮脏”或不安全的Internet连接-一切都通过安全VPN连接进入我们的IT网络。因此,如果不先连接到VPN,用户就无法进入需要输入密码的网页-并且,如果不先进入网页,就无法连接到VPN。
因此,基本上,我可以在任何人都共享网络的咖啡店中使用我的作品的笔记本电脑(例如,在这里已经为此写了很多文章)。我还可以仅在具有密码安全性的网络中使用它,甚至还提供了有关黑客的WikiHow(!)指南。但是,我不能在需要用户名和密码的网络中使用它,这肯定会更难于入侵。
我的组织所基于的这种安全意识是什么?我想念什么吗?
#1 楼
他们已经配置了便携式计算机以启动VPN连接,并且仅在进入网络后才与“家庭基站”通话。这意味着,如果有一个本地“强制门户”要求您输入凭据,则将无法使用它,因为这将需要逃避VPN。(这是鸡和蛋没有VPN,没有能力进入门户-没有门户,没有启动VPN的能力!)
它更安全,因为无论您使用什么连接,他们都可以确保您发送的网络流量通过公司的网络,公司的控制权,并且不受任何其他方的拦截或操纵。
不幸的是,它通过“强制门户”打破了无线的情况,但是允许这种情况将允许您的计算机直接与任意计算机通信,而不是通过VPN与任意计算机通信,从而降低其安全性。
您在评论中提到的“ eduroam”服务明确指出:他们没有强制门户,但是使用基于802.1X的WPA-Enterprise:
eduroam是否使用Web Porta是否要进行身份验证?
否。基于Web Portal,Captive Portal或Splash Screen的身份验证机制不是接受eduroam凭据的安全方法...。
eduroam要求使用802.1X ... 802.1X是您需要输入的一种身份验证,以配置计算机以连接到网络,因此这种情况就是您的IT策略明确的一种声明它们允许:
(如果已设置),以便您需要密码才能连接到WiFi(并且
此密码由企业提供),然后再次,您
应该没事
实际上,eduroam似乎与您的IT策略非常吻合-他们俩都不相信强制性门户网站强加的“不良安全性”。 br />
基于对原始问题的编辑:
我正在尝试连接到eduroam,但是我无法使用组织的笔记本电脑进行连接。当我使用个人计算机时,它会问我
用户名和密码,就像标准的wifi网络会问我
密码一样。
您的组织的便携式计算机根本不会提示您连接到新网络,就像您的个人计算机一样。这可能是因为对两台计算机应用了不同的操作系统或不同的策略。您可能只想向您的IT小组寻求帮助,以配置802.1X以连接到eduroam网络。使用该关键字将使他们很清楚,您正在尝试做他们允许的事情。
评论
@luchonacho用户名vs用户名+密码并不重要。他们要说的是,一旦您能够连接到网络,则网络必须为您提供不受干扰的访问。 Eduroam username + password可以做到这一点,但是许多公共wifi试图劫持您的http请求以显示登录页面。并没有很多wifi网络在连接时要求用户名和密码,这可能就是为什么他们忘记提及它作为安全方法的原因。
– Qwertie
18年8月28日在12:19
@NathanGoings在具有RADIUS的802.1x中,请求者(客户端)使用EAP与身份验证器(AP)对话,而身份验证器使用RADIUS与身份验证服务器对话。因此,客户端永远不需要讲RADIUS。 EAP数据包是802.11 WPA / WPA2协议的一部分。并且作为802.11传输层的一部分,它们是预IP网络的,不受VPN的限制。
– gowenfawr
18年8月28日在15:37
由于不同的提供者(=大学)选择接受凭据的方式,Eduroam的设置(在客户端)非常复杂。从理论上讲,它应该标准化并且易于设置;实际上,一些Eduroam提供商需要向其客户提供多页PDF手册,以指导他们完成每个操作系统的设置过程,而用户仍然感到困惑(甚至是高级用户)。 OP无法连接可能与公司笔记本电脑无关,而与提供商的实现无关。
–康拉德·鲁道夫(Konrad Rudolph)
18年8月28日在16:32
@YLearn它不应更改,正确。但是事实确实如此。过去,我曾是几所欧洲大学附属研究所的成员,我可以保证,建立Eduroam的过程之间存在很大差异。此外,这不仅基于我的个人经验,而且是非常普遍的投诉。
–康拉德·鲁道夫(Konrad Rudolph)
18年8月28日在18:55
该语句的@Rsf描述WPA / WPA2集成身份验证。最常见的情况是仅使用密码,但是在功能上等效于EAP用户名+密码。设置可能会有所不同,但它仍会在WPAx握手期间运行,并且不会像专用门户网站方法那样受到VPN要求的限制。简而言之,当他们说“密码”时,其意思是“ WPA / WPA2身份验证,通常是密码,但可以是用户名+密码”,因为OP在这里遇到。
– gowenfawr
18年8月29日在12:01
#2 楼
当您首次连接到某些网站时,它们要求您给他们提供电子邮件地址或其他数据,然后才能使用它们的服务,此页面被称为强制门户。您的公司笔记本电脑已安装,以便在检测到Internet连接时将其连接回您的公司VPN,然后再从那里连接出去。在大多数情况下(问题中的情形1和2),您可以使用密码连接到wifi,或打开wifi,隧道进入公司VPN,然后再连接回去-所有这些操作都使用wifi服务完成您正在连接。
但是,在情况3中-您可能会进入一个强制门户网站网页,该网页要求您首先输入一些数据才能进行连接。但是,笔记本电脑的设计方式必须首先连接到公司VPN。这意味着您无法连接VPN,因为尚未在强制门户网站上输入任何凭据,并且由于尚未连接VPN而无法输入凭据。
希望这能比我之前的评论更好地回答您的问题。在这里发表评论,如果您还有其他问题,我将进行更新。
编辑:添加公司之所以可以进行此类设置的原因是,因为它们可以确保所有流量都通过通过他们的VPN,并允许他们执行其他策略,即可接受的用法等。请参阅上面的更多信息@gowenfawr答案,因为他解释得非常好。
#3 楼
关于策略的理解已经有了很好的答案,但是我将简要讨论eduroam安全性和连接配置文件,以确保所有基础都涵盖在答案中。我曾在两所提供eduroam的大学工作,并花费了大量时间。Eduroam是由大学和其他教育机构组成的全球网络,这些网络相互凝视,以允许一个机构的成员访问
通过802.1x协议对eduroam进行身份验证(至少以我的经验,对于MS-CHAP v2通常是阶段2身份验证)。 AP /控制器在此使用RADIUS与家庭机构的RADIUS服务器进行通信。假设一切都很好,则允许客户端进行连接。
使用WPA2(企业级,因此802.1x身份验证)加密来完成从计算机到AP的无线数据包加密。
我在eduroam连接配置文件中遇到的最大问题之一是操作系统自动提交登录用户的凭据(这在Windows 7及更低版本中是默认设置...我认为他们在Windows 8中对此进行了更改) 。我还看到一个问题,Windows有时会尝试连接到计算机帐户,而该帐户通常未经大学授权(只有用户帐户)。
一旦连接到eduroam,您的公司就会通过其VPN提供商隧道出数据。取决于您尝试连接的机构建立eduroam网络的方式,这可能会或可能不会起作用(我工作过的一个地方只允许在eduroam上放一些VPN,但不是全部)。
评论
Windows 8和iOS通过指纹自动记住该机构的TLS证书。 Windows的旧版本并非完全不安全,但是它们需要手动配置证书的主机名。 Android 7+也需要输入主机名。
–user1686
'18 Sep 3'在8:47
#4 楼
您所指的是强制门户。为了使这样的门户显示在您的Web浏览器中,需要进行以下操作:
WiFi路由器会等到您的计算机向公共网站发出未加密的(http://)请求。
它会拦截该请求
,它会通过模拟要访问和发送的网站来进行响应您将重定向到门户网站
对于您计算机上的任何安全软件,这看起来都是极其邪恶的。您正在通过不受信任的网络向公共网站执行未加密的http请求,并成为中间人攻击的受害者。是的,您已经意识到这一点,并且您只是在执行此操作,以便可以看到强制门户。但是强制门户网站尚未标准化,因此您的计算机无法分辨出差异。
如果IT部门允许此过程,他们还允许您通过完全不安全的连接浏览Internet。
评论
如果软件明确允许通过专属门户“劫持”特定网站(例如,实际上是www.example.com)的访问,会不会有安全隐患?专属门户网站应该像其他任何一个网站一样毫无问题地劫持该网站,但是伪装成www.example.com的专属门户网站将不可能欺骗任何人去做他们不想做的事情。
–超级猫
18年8月28日在18:53
@supercat重定向到强制门户后,那又如何?除非明确切换回安全模式,否则您仍处于不安全的连接中,而您可能会忘记这样做。
– Briilliand
18年8月29日在22:37
@supercat并没有强制说强制门户实际上是强制门户,而不是会下载病毒的东西。它可能看起来像一个用于输入密码或用户名的页面,但是除了允许您继续浏览之外,它实际上没有做任何其他事情。由于标准化的网站变得更加糟糕,因为现在黑客可以在没有强制门户的网络上模仿该网站,并且每个用户都会喜欢它,并且没有理由相信。根据网络,具有不同命名URL的强制门户实际上有助于提高安全性。
–user64742
18年8月29日在23:16
@TheGreatDuck:如果浏览器允许访问的页面以足够的特权执行其选择的代码来安装病毒,那么即使一切都通过VPN完成,这也是一个问题。同样,无论VPN做什么,几乎任何通过VPN访问的可公开寻址的基于http的网站都可能会在Web主机和VPN桥之间的任何节点上被任何人劫持。在没有浏览器本身安全漏洞的情况下,使用浏览器访问www.example.com及其重定向到的内容的特定用例似乎应该是安全的。
–超级猫
18年8月31日在18:48
也许正确的方法不是选择一个域,而是要求在特定的VM内运行用于此目的的浏览器,并指示用户该VM内不应运行任何要求安全性的操作,但即使在那里,也要选择一个域期望被俘虏门户劫持的网站将有助于认识俘虏门户劫持与其他形式之间的区别。
–超级猫
18年8月31日在18:49
#5 楼
通常,这些Wi-Fi热点通过MAC地址进行身份验证。也就是说,您通过他们的强制门户登录后,他们会记住您系统的Wi-Fi MAC地址。根据其政策,来自该MAC地址的流量将在其Wi-Fi热点上允许X分钟/小时的流量。他们还将其存储足够长的时间,以便您可以走开,回来,获得新的IP地址,并且只能在MAC地址上识别。有些是巨大的。一旦您在Target的访客Wi-Fi上单击“ TOS接受”,它就会记住您的MAC地址已存在多年,并且在全国范围内可以启动。
因此,问题是:我们如何通过以下方式使用Wi-Fi:一台具有该MAC地址的机器,浏览http://neverssl.com(或任何非HTTPS站点),重定向到强制门户,满足强制门户的要求,并且将我们的MAC地址“记住”是一件好事。
我的想法是使用另一台设备,允许您随意更改其MAC地址。禁用公司笔记本电脑的Wi-Fi并在其他设备上设置其MAC地址。用它来浏览俘虏门户的屏幕。禁用其Wi-Fi并启用公司笔记本电脑的Wi-Fi。
另一种方法是,将您的笔记本电脑从拇指驱动器重新启动,进入非锁定操作系统,前提是您的公司可以使用那
#6 楼
好的,让我们解决您的问题。组织通常使用LDAP和其他方法进行身份验证而无需输入密码,而且更加安全。
基础结构VPN仅允许特定的IP范围,这是防火墙设置所允许的和iptables来与您的Intranet /内部网络进行通信。现在,您实际上已经获得了凭据,或者,通常仅通过通过Cisco SSL VPN或Sophos Infrastructure VPN之类的基础架构VPN使用公司的网络,才可以使用特定的IP子网/范围访问此Intranet。
希望这可以清除您的一些疑问!
PS -使用像IPSec SSL协议那样安全实施的安全VPN,该安全协议像Cisco SSL VPN一样安全地用于基础设施,它比传统的安全性要高得多,并且可以从几乎无法访问网络的外部攻击者的上下文中提供深层的安全保护。无需访问基础架构VPN。
#7 楼
我不能说您组织的系统管理员是否会这样做,但是您可以建议他们,他们在VPN配置中做出特定的例外,以允许直接,未加密的连接到网站http://neverssl.com/。该网站的全部目的是由专属门户劫持。没人需要通过企业VPN进行访问,因为它没有用,除非您需要允许俘虏门户劫持未加密的HTTP连接并显示其登录页面,并且它不接受任何信息,因此没有人可以泄露企业数据。那样。剩下的风险是专属门户网站本身可能是恶意的,这是真正的风险,因此他们可能不会这样做。但这值得一试。评论
在OP的情况下,组织的系统管理员还必须允许直接连接到任意网站(特别是到强制门户网站要用于登录的任何网站)。那就是他们不愿意做的。
– Briilliand
18年9月1日在23:48
#8 楼
没有密码比用户名+密码更安全吗?
如果您使用共享密钥。简单说明一下,这就是它的工作方式。
您的计算机上有一个安全密钥。您要登录的一个具有与其匹配的密钥。这允许简单,快速且安全的无密码登录。
该链接主要用于通过ssh远程登录到远程服务器,而无需输入用户名和密码。当我需要以另一种状态进入已租用的裸机服务器时,我会一直这样做。当然,您可以这样做。
评论
我认为他们可能正在尝试警告您防范网络钓鱼攻击。某些网络要求您在其自己的登录屏幕上输入用户名和密码,这些东西以后可用于密码重用攻击和其他恶意活动。我认为他们并不是在谈论WPA2企业证书之类的东西,我认为它完全可以使用。以下内容不能解决您的问题,但可以解决您的问题:您可以使用具有常规用户名的“ username@example.com”(没有任何“反斜杠”域说明符,而不是“ EXAMPLE \ username@example.com”)连接到eduroam “)和密码,直接作为WiFi用户名和密码提供。
他们没有说这是或不是安全的,只是说这是行不通的...
我觉得这个问题的标题令人误解。不是“无密码”与“用户名+密码”,而是“强制门户”与“开放式无线网络”
@BgrWorker如果您认为我不知道强制门户的概念,这不会引起误解。如果我知道的话,这个问题将不复存在。