Czy istnieje sposób podania haseł specyficznych dla użytkownika do Wi-Fi?

33

Czy istnieje sposób podania haseł specyficznych dla użytkownika dla Wi-Fi, aby różni użytkownicy mieli różne hasła?

Chcę podać każdemu użytkownikowi inne hasło do mojego połączenia Wi-Fi.

Jan
źródło
8
Jeśli masz przyzwoite Wi-Fi klasy biznesowej i odpowiednią infrastrukturę, być może możesz skonfigurować swoje bezprzewodowe punkty dostępowe, aby obsługiwały uwierzytelnianie RADIUS z powrotem z dowolną usługą centralnego uwierzytelniania, z której korzystasz. Jeśli nie, wyrzuć je i zdobądź prawdziwe.
Rob Moir
Uwierzytelnianie za pomocą Radius jest jedynym sposobem, aby to zrobić?
Jan
To jedyny „właściwy” sposób robienia rzeczy, o którym wiem, co nie znaczy, że jest to jedyny właściwy sposób robienia rzeczy lub że nie ma żadnego punktu dostępu bezprzewodowego, który wspiera tworzenie tak wielu Identyfikatory SSID, ponieważ masz użytkowników, aby przypisać im własne hasło lub inny podobny hack.
Rob Moir
Wiem, że pozwala na to kilka domowych modeli routerów, ale bardziej przypomina sztuczkę niż pełną funkcję.
AStopher
@cybermonkey, czy możesz udostępnić szczegółowe informacje na temat krajowych modeli routerów?
boardrider

Odpowiedzi:

37

Potrzebujesz WPA-2 Enterprise w połączeniu z serwerem RADIUS do uwierzytelniania użytkowników.

Jeśli masz istniejącą infrastrukturę usługi Active Directory, możesz użyć roli Network Policy Server w systemie Windows, aby przeprowadzić uwierzytelnianie i umożliwić użytkownikom logowanie się przy użyciu nazwy użytkownika / hasła AD.

Mark Henderson
źródło
Jak mam to skonfigurować we wspólnym domu, który wynajmowałem 6 osobom? Np. Potrzebuję tylko 7 logowania, ale przy niewielkich kosztach lub wysiłku.
Ian Ringrose,
W takim przypadku nie możesz.
drookie,
@IanRingrose Jeśli miałeś w sieci dedykowany komputer, który działałby jak twój serwer, jest to całkowicie możliwe. Dostępne jest oprogramowanie do konfiguracji serwera RADIUS, takie jak popularny FreeRADIUS .
Thebluefish,
5
@ IanRingrose to, co robię, opiera bezpieczeństwo na określonych adresach MAC urządzeń ludzi, a nie na samych ludziach. Wszyscy mają to samo hasło do Wi-Fi, ale jest to przydatne tylko wtedy, gdy ich MAC jest na białej liście. Również wszystkie zasady użytkowania i bezpieczeństwa oparte są na tych MAC. Nie jest wystarczająco bezpieczny dla ustawień biznesowych, ponieważ adresy MAC można zmienić i stosunkowo łatwo sfałszować, ale w ustawieniach domowych jest to niskie ryzyko, ponieważ ludzie raczej nie polują na siebie adresy MAC i fałszują je, a losowy adres MAC nie jest przydatny.
Andrew Savinykh,
2
Z systemem Raspberry Pi hostapdi openldap?
Tom O'Connor,
16

Innym możliwym rozwiązaniem jest skonfigurowanie wielu identyfikatorów SSID i podanie osobnych haseł dla każdego z nich. Nie jest tak elegancki, jak posiadanie wielu haseł dla tego samego identyfikatora SSID, ale osiągnęłoby to samo i byłoby łatwe do zarządzania, jeśli router obsługuje wiele identyfikatorów SSID.

Jednym z takich routerów jest dwuzakresowy router Asusa z serii RT (mam RT-AC66U), który obsługuje do trzech „SSID gości” na pasmo oprócz głównych SSID. Każdy może mieć własne zasady uwierzytelniania i dostępu . Pozwala to nawet śledzić czas użytkowania dla każdego identyfikatora SSID gościa.

Ponieważ większość ludzi nie ma jeszcze dostępu do pasma 5 GHz, prawdopodobnie potrzebujesz 2 z tych routerów, aby zapewnić wystarczającą liczbę punktów dostępowych 2,4 GHz, aby zrobić to, co chcesz dla 7 osób, ale te routery można łatwo skonfigurować jako „AP- Tylko tryb, dzięki czemu można je połączyć.

Alternatywne oprogramowanie układowe może obsłużyć większą liczbę identyfikatorów SSID, chociaż w tej chwili nie mogę tego potwierdzić.

zerowalność
źródło
8

Odpowiem na twoje pytanie innym pytaniem ... co masz nadzieję zyskać, łącząc użytkowników za pomocą innego hasła? Ćwiczenie wydaje mi się trochę bezcelowe, chyba że masz również nadzieję dołączyć jakieś zasady sieciowe do różnych danych uwierzytelniających, o których nie wspomniałeś w swoim pierwotnym pytaniu.

Inni respondenci mają rację, WPA-Enterprise w połączeniu z serwerem RADIUS byłby właściwym sposobem na osiągnięcie tego, ale prawdopodobnie nie jest to możliwe w przypadku tego, co próbujesz osiągnąć.

Jeśli chcesz używać różnych nazw użytkowników, aby móc kontrolować dostęp dla różnych użytkowników bez wpływu na innych użytkowników, możesz zamiast tego użyć filtrowania adresów MAC. Filtrowanie adresów MAC nie jest w żaden sposób niezawodne, ale miałoby dodatkową zaletę w postaci zapobiegania udostępnianiu haseł użytkownikom.

Inną opcją jest przeniesienie tego wszystkiego poza zasięg WiFi i dalej do sieci. Możesz rozważyć użycie jednego hasła Wi-Fi i wykorzystanie portalu typu upstream w sieci do wykonania drugiego poziomu uwierzytelnienia. Można to stosunkowo łatwo osiągnąć za pomocą czegoś takiego jak m0n0wall ( http://m0n0.ch/wall/ ).

vrtigo1
źródło
9
Co można osiągnąć: odmówić dostępu użytkownikowi, któremu już nie ufasz, bez konieczności zmiany hasła dla 99 pozostałych użytkowników, którym nadal chcesz zezwolić.
RomanSt
1
+1 dla niewoli portalu. To może być bardzo skuteczny sposób na zrobienie tego w Wi-Fi konsumentów.
Mark Henderson
Tak robią w większości hoteli, w których byłem.
Martin Argerami,
Portal dla niewoli jest czymś do rozważenia. Należy jednak pamiętać, że portale typu „captive” zwykle uwierzytelniają się na podstawie adresu MAC po zalogowaniu, więc jest to tylko bardziej wyrafinowany sposób konfiguracji filtrowania adresów MAC.
sleske,
1

Potrzebujesz serwera RADIUS! Ale dziś nawet małe routery domowe mają wystarczającą moc, aby na to pozwolić. Mam w domu rodziców Asus RT-N65U i Asus RT-N56U z niestandardowym oprogramowaniem i FreeRadius2. Potrzebujesz trochę wiedzy o Linuksie, aby go skonfigurować! Router pozwala ustawić serwer RADIUS w interfejsie internetowym. Po jego skonfigurowaniu wystarczy wpisać localhost!

Josef
źródło