Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 3 subscribers
  • Views 1488 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Integrated hotspot features

Flancer
I would strongly suggest to have a basic hotspot function integrated with ASG applianced.
This would increase security in places where there are wifi access points connected to the ASG.


This thread was automatically locked due to age.
Parents
  • 0
    BarryG, yes if the servers that are to be accessed are on DMZ. In the office or a workplace or corporate environment this may not be the case. The hotspot would be a feature to prevent someone who has gotten his hands on the network key to access servers on the same network over wifi.

    Perhaps to make it clearer what I am looking for:

    a) Server A hosts a samba server on the network.

    b) Network B is a wifi network for internal use only and should be able to access the file shares on Server A

    How to ensure that visitors or guests or vendors who visit this office is not given access to the server via Network B?

    If the protection is just a network key then if by chance this is discovered then they would be able to go in and attempt to hack into Server A.
    If I had hotspot features then at least I should be able to add an additional security layer on top of the network key. It would be desirable if the hotspot allowed the network admin to implement security policies that prevents brute force hacking ,etc and also be able to select which network user or groups (in the presense of an Active Directory Server or eDirectory Server) is able to login through this hotspot.

    Even if the hotspot gets hacked somehow at least the network admin would be able to tell which account was compromised or there would some kind of indication that the network has been hacked into before any information gets stolen.
  • 0 in reply to Flancer
    Allow access by MAC address?
Reply Children
  • 0 in reply to Simon Shaw
    WiFi security 101:

    As Simon and Barry stated, you can secure WiFi access by using separate security zones or networks.

    1. Add a separate network (Extra Network Card) to your ASG installation. 
    2. Label it "WiFi".
    3. Connect your Wireless access point to that port on your ASG.
    4. Either just give that network access to HTTP proxy and Dns Proxy or create packet filter rules to allow web access for that network. (Ensure there is a packet filter rule to allow HTTPS outbound to the internet for that network as well)
    5. Enable the SSL VPN with either Radius or AD or eDirectory Authentication. 
    6. Setup the SSL to allow access to your Internal Lan where ServerA resides
    7. Tell your internal WiFi users to login to the portal and download the SSL VPN Client
    8. Instruct them to login to the VPN using their network credentials
    9. And presto! They have a secure encrypted connection to the internal network.

    You don't have to worry about giving out your wireless key to visitors as it will only give them access to the internet. Only internal users will have access to the internal network because they have a secure, authenticated connection to the internal network through SSL VPN, while connecting to the same wireless access point.
  • 0 in reply to Simon Shaw
    Thank you. That is an interesting alternative... and it is more secured.
    Could be a good point in terms of corporate security...
  • 0 in reply to Flancer
    I like Hi-Con's idea.

    An alternative would be to have two wireless networks... one for corporate users, using WPA and some form of authentication etc, and a second one which is more open for guests.

    At least the second should be on it's own DMZ, with rules denying all access to the INT networks.

    Barry
  • 0 in reply to Hi-con
    Hi-Con has the right idea. Using his approach, only a single Wi-Fi network is needed, where authenticated VPN access is required to access the Internal office network. Without VPN access, something that guests would not have, the Wi-Fi network can just be used for Internet access.

    Having a second Wi-Fi access point on the Internal network is not adviceable, since that can result in the office network being compromised through breaches of weak Wi-Fi security protocols.
  • 0 in reply to VelvetFog
    Hi-Con has the right idea. Using his approach, only a single Wi-Fi network is needed, where authenticated VPN access is required to access the Internal office network. Without VPN access, something that guests would not have, the Wi-Fi network can just be used for Internet access.

    Yep, this is probably the easiest and one of the most secure ways to set things up.
  • 0 in reply to drees
    I have just realised after trying out pfsense (www.pfsense.org) a captive portal is not just for wifi, but also for the entire network. It helps to protect against people just plugging into the LAN with a cable.

    This feature would really help a lot especially if it can be assigned for different networks much like how the HTTP profile works.
  • 0 in reply to Flancer
    Referring back to this thread. Captive portals now seem to exist in other similar products. They are very useful when you are deploying a solution to an existing setup which would like to have Astaro's authenticated web proxy but doesn't want the hassle of reconfiguring every single existing browser installation.
    It would definitely increase Astaro's appeal to the IT Managers who are currently looking for a more transparent approach or risk getting tonnes of helpdesk complaints due to improperly configured browsers for the first few months.