Acesso sem fio de autenticação através de um servidor http

Em outra vida, escrevi exatamente esse mecanismo. Um pequeno firewall aqui, um servidor web, algumas coisas entre ligar e desligar o firewall para um determinado endereço IP, e uma regra padrão que redireciona todo o tráfego da porta 80 para um servidor web que possui a página de login. Fácil como bolo? Na verdade não.

Primeiro, você pode tentar olhar para o nocat , um projeto de código aberto para fazer exatamente esse tipo de coisa.

Não tente fazê-lo (escreva um mecanismo que faça autenticação sem fio através de um portal cativo). É um caminho curto para a cidade maluca.

A maneira mais simples de se fazer isso é rodar 2 conjuntos de APs (se eles são baratos, não vlan, APs de um único consumidor SSID). Um conjunto de APs está em uma rede privada com um servidor da Web, um servidor DHCP e um servidor DNS que responde com o IP do servidor da Web para todas as pesquisas de DNS. Alguém procura google.com? Eles ficam 192.168.66.6. Eles procuram o snoopy.com? 192.168.66.6. Eles procuram o bobsyeruncle.net? 192.168.66.6. E nesse servidor da Web, você coloca uma página da Web que diz "bem-vindo (insira a empresa aqui)". "Se você quiser usar a rede sem fio, altere seu ssid para" securenet ", defina-o como" WPA2 "e" eap-ttls "(ou qualquer outro protocolo de autenticação sem fio que você esteja usando).

Os outros APs serão, obviamente, conectados à interface "sem fio" do seu firewall e permitirão o acesso que você julgar adequado para o acesso à rede sem fio em seu site.

Oh - espere - você não está usando uma chave pré-compartilhada, está? Se você é, você realmente não tem nenhuma segurança sem fio. Uma vez que conheço a chave, posso espionar o tráfego de todos. Mesmo os APs de consumidores problemáticos atualmente suportam o WPA-enterprise e o radius, e você pode usar o servidor radius no Windows e fazer a autenticação sem fio funcionar corretamente.

Para essa lição, você precisará colocar outro quarto na máquina e fazer outra pergunta ...

Veja como isso é feito, onde eu trabalho (nosso cara da rede provavelmente poderia elaborar mais):

Quando você se conecta à rede WL aberta, você está na 1ª vLAN pública que redireciona (via Squid ) todo o tráfego para nossa página de autenticação. Autenticar (via kerberos) coloca o usuário na segunda VLAN que possui acesso irrestrito.

Eu sou um pouco cinza em alguns dos detalhes, mas tenho certeza que alguém vai preencher os pontos que faltam.

Se você está aberto a soluções comerciais, os produtos sem fio da Cisco podem fazer exatamente isto. Você compra vários pontos de acesso Aironet leves (o suficiente para cobrir o espaço físico), um Controlador de LAN sem fio para gerenciá-los e configura a Autenticação da Web no controlador.

Sua despesa é de $ 500 / AP mais $ 2K- $ 5K para o controlador (depende de quantos APs você precisa gerenciar).

No entanto, devo dizer aqui que a autenticação corporativa corretamente executada não exige nenhuma etapa no lado do cliente. Apenas funciona. Tome AD, RADIUS, mesmo controlador sem fio para gerenciar a rede, empurre o GPO correto para os clientes e - magia! - todos estão conectados à rede sem fio, autenticados de forma transparente com suas credenciais do AD. E então você pode usar o Web Auth para acesso de convidado, onde ele pertence.