Назад | Перейти на главную страницу

Аутентификация беспроводного доступа через http-сервер

Я являюсь администратором беспроводной сети ... но, поскольку большинство людей не являются экспертами, похоже, есть общая проблема с подключением к ней ... поскольку мы используем WPA Enterprise, поэтому на платформах Windows есть несколько общих шагов, которые должны использоваться, чтобы заставить его работать. Но пользователи тупые.

Во многих местах есть своего рода opennet, где вы просто можете подключиться ... но при попытке доступа к сайтам, которые не находятся в каком-то внутреннем списке, вы перенаправляетесь на страницу входа на веб-сервере, поэтому после вы аутентифицированы там, вы можете просматривать Интернет.

Как это сделать? Есть подсказки? Linux? Windows? Какое-то специальное оборудование / брандмауэр?

Ссылки, информация ... все приветствуются.

Вот как это достигается там, где я работаю (наш сетевой парень, вероятно, мог бы рассказать больше):

Когда вы подключаетесь к открытой сети WL, вы находитесь в первой общедоступной vLAN, которая перенаправляет (через Кальмар) весь трафик на нашу страницу аутентификации. Аутентификация (через kerberos) помещает пользователя во вторую VLAN, доступ к которой неограничен.

Я немного сероват в некоторых деталях, но уверен, что кто-то другой заполнит недостающие места.

В другой жизни я написал именно такой механизм. Небольшой брандмауэр здесь, веб-сервер там, кое-что между ними для включения и выключения брандмауэра для данного IP-адреса и правило по умолчанию, которое перенаправляет весь трафик порта 80 на веб-сервер, на котором есть страница входа. Легко как торт? На самом деле, нет.

Сначала вы можете попробовать посмотреть на нокат, проект с открытым исходным кодом, чтобы делать именно такие вещи.

Не пытайтесь сделать это (напишите механизм, который выполняет беспроводную аутентификацию через перехватывающий портал) самостоятельно. Это короткая дорога до сумасшедшего города.

Самый простой способ сделать это самостоятельно - запустить 2 набора точек доступа (если они дешевы или не используют vlan, точки доступа с одним SSID). Один набор точек доступа находится в частной сети с веб-сервером, DHCP-сервером и DNS-сервером, который отвечает с IP-адресом веб-сервера для всех запросов DNS. Кто-то просматривает google.com? Получается 192.168.66.6. Они ищут snoopy.com? 192.168.66.6. Они ищут сайт bobsyeruncle.net? 192.168.66.6. И на этом веб-сервере вы помещаете веб-страницу с надписью «добро пожаловать (укажите здесь компанию)». «Если вы хотите использовать беспроводную сеть, измените свой ssid на« securenet », установите для него« WPA2 »и« eap-ttls »(или любой другой протокол беспроводной аутентификации, который вы используете).

Другие точки доступа, конечно же, будут подключены к «беспроводному» интерфейсу на вашем брандмауэре и разрешат любой доступ, который вы сочтете подходящим для доступа к беспроводной сети на вашем сайте.

Ой, подождите, вы же не используете общий ключ, не так ли? Если да, то у вас вообще нет никакой защиты беспроводной сети. Как только я узнаю ключ, я могу следить за всем трафиком. Даже современные потребительские AP поддерживают WPA-enterprise и radius, и вы можете использовать RADIUS-сервер в Windows и обеспечить правильную работу беспроводной аутентификации.

Для этого урока вам нужно положить в машину еще четверть и задать еще один вопрос ...

Если вы открыты для коммерческих решений, Беспроводные продукты Cisco может сделать именно это. Вы покупаете несколько облегченных точек доступа Aironet (достаточно, чтобы покрыть физическое пространство), контроллер беспроводной локальной сети для управления ими и настраиваете веб-аутентификацию на контроллере.

Ваши расходы составляют 500 долларов за точку доступа плюс 2–5 тысяч долларов за контроллер (в зависимости от того, сколько точек доступа вам нужно управлять).

Однако я должен сказать здесь, что правильно выполненная Enterprise auth не требует никаких действий на стороне клиента. Просто работает. Возьмите AD, RADIUS, тот же беспроводной контроллер для управления сетью, отправьте клиентам правильный GPO и - волшебство! - все подключены к беспроводной сети с прозрачной аутентификацией со своими учетными данными AD. А затем вы можете использовать веб-аутентификацию для гостевого доступа, где он и принадлежит.