Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 3 subscribers
  • Views 1486 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Integrated hotspot features

Flancer
I would strongly suggest to have a basic hotspot function integrated with ASG applianced.
This would increase security in places where there are wifi access points connected to the ASG.


This thread was automatically locked due to age.
  • 0
    I used to run a Internet/Gaming cafe in a DMZ off of an ASL firewall... ASL should already have everything needed (DMZ, DHCP, Proxies) for a free hotspot.

    If you want some sort of temporary/token authentication or whatever, then yes, more features would be needed.

    Barry
  • 0
    The proxy on ASG would only protect against HTTP, SMTP,FTP, POP3 access.
    In a corporate environment, protection for additional protocols such as Windows File Sharing would be desirable.
  • 0 in reply to Flancer
    That's what DMZs are for, right?
    You can disallow all SMB traffic or whatever.

    Barry
  • 0
    BarryG, yes if the servers that are to be accessed are on DMZ. In the office or a workplace or corporate environment this may not be the case. The hotspot would be a feature to prevent someone who has gotten his hands on the network key to access servers on the same network over wifi.

    Perhaps to make it clearer what I am looking for:

    a) Server A hosts a samba server on the network.

    b) Network B is a wifi network for internal use only and should be able to access the file shares on Server A

    How to ensure that visitors or guests or vendors who visit this office is not given access to the server via Network B?

    If the protection is just a network key then if by chance this is discovered then they would be able to go in and attempt to hack into Server A.
    If I had hotspot features then at least I should be able to add an additional security layer on top of the network key. It would be desirable if the hotspot allowed the network admin to implement security policies that prevents brute force hacking ,etc and also be able to select which network user or groups (in the presense of an Active Directory Server or eDirectory Server) is able to login through this hotspot.

    Even if the hotspot gets hacked somehow at least the network admin would be able to tell which account was compromised or there would some kind of indication that the network has been hacked into before any information gets stolen.
  • 0 in reply to Flancer
    Allow access by MAC address?
  • 0 in reply to Simon Shaw
    WiFi security 101:

    As Simon and Barry stated, you can secure WiFi access by using separate security zones or networks.

    1. Add a separate network (Extra Network Card) to your ASG installation. 
    2. Label it "WiFi".
    3. Connect your Wireless access point to that port on your ASG.
    4. Either just give that network access to HTTP proxy and Dns Proxy or create packet filter rules to allow web access for that network. (Ensure there is a packet filter rule to allow HTTPS outbound to the internet for that network as well)
    5. Enable the SSL VPN with either Radius or AD or eDirectory Authentication. 
    6. Setup the SSL to allow access to your Internal Lan where ServerA resides
    7. Tell your internal WiFi users to login to the portal and download the SSL VPN Client
    8. Instruct them to login to the VPN using their network credentials
    9. And presto! They have a secure encrypted connection to the internal network.

    You don't have to worry about giving out your wireless key to visitors as it will only give them access to the internet. Only internal users will have access to the internal network because they have a secure, authenticated connection to the internal network through SSL VPN, while connecting to the same wireless access point.
  • 0 in reply to Simon Shaw
    Thank you. That is an interesting alternative... and it is more secured.
    Could be a good point in terms of corporate security...
  • 0 in reply to Flancer
    I like Hi-Con's idea.

    An alternative would be to have two wireless networks... one for corporate users, using WPA and some form of authentication etc, and a second one which is more open for guests.

    At least the second should be on it's own DMZ, with rules denying all access to the INT networks.

    Barry
  • 0 in reply to Hi-con
    Hi-Con has the right idea. Using his approach, only a single Wi-Fi network is needed, where authenticated VPN access is required to access the Internal office network. Without VPN access, something that guests would not have, the Wi-Fi network can just be used for Internet access.

    Having a second Wi-Fi access point on the Internal network is not adviceable, since that can result in the office network being compromised through breaches of weak Wi-Fi security protocols.