PFSENSE是挺有名的開源防火牆,其中有一項功能,不知大家注意到沒有, 它叫captive portal.
這一個功能可以提供一個網頁使無線網路使用者,輸入臨時取得的帳密,僅供短時間的使用,可以跨裝置使用,但一旦開始啟用,帳密即開始計時,直到當初授權的時間終了即不能使用.
比如我拿到一組USER1的帳密,它只允許使用120分鐘,這一段時間,同時只能有一個裝置使用此帳密,但一旦開始使用,中間不管你換多少裝置,(當然同時間還是只有一個裝置能用),120分鐘期滿,該帳密即自動失效!!
其實,我不止一次,在很多公司看到各個公司會議室都會放個訪客的無線網路帳密印好放在桌上,如果你詢問其IT,他們一定告知,他們每日會更換,這還是做得最好的,也有萬年不換公用區域或會議室的無線密碼的,反正他們覺得,該區域是獨立上網,對資訊安全不會有太大的影響; 但他們卻忘了一件事,很多同事,如果發現內部網路有很多限制,這裡不能去,那裡又監控的,自然想到訪客網路是無限制上INTERNET的,自然就會去搞來用,而且,那裡的帳密完全是共用的,如果還有做RADIUS的話,根本分不清誰是誰??
我如果是駭客,我最喜歡這種地方了,我只要到有會議室的地方,取得當日的帳密(很多印在桌子上,包括我去年在大陸的公司也是),取得這個公用網路的許可權後,接著只要掃描在同一網路內的內部使用者,很快的, 一定會發現有內部的使用者也在偷用此網路,那麼其電腦就是最可能在最短時間內植入木馬或病毒或攔截其封包分析的最佳管道了…
所以為了增加更好的無線網路安全,最好將訪客區域的無線網路做好存取管控,以及訪客登記的工作..
以下是我的建議:
- 透過此套件,分類不同需求的來訪者,比如有1小時,2小時,4小時,6小時,8小時,等等,預先印出動態帳密交與櫃台人員
- 櫃台人員透過訪客登記系統或人工作業,請來訪者簽名領取帳密,這樣便知何時什麼人曾使用過那一組動態帳密,方便當下或事後追蹤
- 櫃台需交付明確的管理簽名名冊才能再領取新的動態帳密
- 資安主管或負責人員需確保此流程的嚴謹實施
以下分享我之前曾做過的示範: (手機可能無法觀看FLASH)
[swf src=”http://www.urcloud.biz/home/download/captive-portal-in-pfsense.swf” height=”600″ width=”800″ ][/swf]