Acesso sem fio de autenticação através de um servidor http

2

Sou o administrador de uma rede sem fio ... mas como a maioria das pessoas não é especialista, parece haver um problema geral ao se conectar ... já que estamos usando o WPA Enterprise, portanto, nas plataformas Windows, há algumas etapas comuns que tem que ser usado para fazê-lo funcionar. Mas os usuários são estúpidos.

Muitos lugares têm algum tipo de rede aberta, onde você pode se conectar ... mas ao tentar acessar sites, que não estão em algum tipo de lista interna, você é redirecionado para uma página de login em um servidor web , depois de autenticá-lo, você pode navegar na Internet.

Como isso é feito? Alguma dica? Linux? Janelas? Algum hardware especial / firewall?

Links, informações ... todos são bem-vindos.

    
por Syska 19.11.2009 / 01:49

3 respostas

0

Em outra vida, escrevi exatamente esse mecanismo. Um pequeno firewall aqui, um servidor web, algumas coisas entre ligar e desligar o firewall para um determinado endereço IP, e uma regra padrão que redireciona todo o tráfego da porta 80 para um servidor web que possui a página de login. Fácil como bolo? Na verdade não.

Primeiro, você pode tentar olhar para o nocat , um projeto de código aberto para fazer exatamente esse tipo de coisa.

Não tente fazê-lo (escreva um mecanismo que faça autenticação sem fio através de um portal cativo). É um caminho curto para a cidade maluca.

A maneira mais simples de se fazer isso é rodar 2 conjuntos de APs (se eles são baratos, não vlan, APs de um único consumidor SSID). Um conjunto de APs está em uma rede privada com um servidor da Web, um servidor DHCP e um servidor DNS que responde com o IP do servidor da Web para todas as pesquisas de DNS. Alguém procura google.com? Eles ficam 192.168.66.6. Eles procuram o snoopy.com? 192.168.66.6. Eles procuram o bobsyeruncle.net? 192.168.66.6. E nesse servidor da Web, você coloca uma página da Web que diz "bem-vindo (insira a empresa aqui)". "Se você quiser usar a rede sem fio, altere seu ssid para" securenet ", defina-o como" WPA2 "e" eap-ttls "(ou qualquer outro protocolo de autenticação sem fio que você esteja usando).

Os outros APs serão, obviamente, conectados à interface "sem fio" do seu firewall e permitirão o acesso que você julgar adequado para o acesso à rede sem fio em seu site.

Oh - espere - você não está usando uma chave pré-compartilhada, está? Se você é, você realmente não tem nenhuma segurança sem fio. Uma vez que conheço a chave, posso espionar o tráfego de todos. Mesmo os APs de consumidores problemáticos atualmente suportam o WPA-enterprise e o radius, e você pode usar o servidor radius no Windows e fazer a autenticação sem fio funcionar corretamente.

Para essa lição, você precisará colocar outro quarto na máquina e fazer outra pergunta ...

    
por 19.11.2009 / 03:07
2

Veja como isso é feito, onde eu trabalho (nosso cara da rede provavelmente poderia elaborar mais):

Quando você se conecta à rede WL aberta, você está na 1ª vLAN pública que redireciona (via Squid ) todo o tráfego para nossa página de autenticação. Autenticar (via kerberos) coloca o usuário na segunda VLAN que possui acesso irrestrito.

Eu sou um pouco cinza em alguns dos detalhes, mas tenho certeza que alguém vai preencher os pontos que faltam.

    
por 19.11.2009 / 02:27
0

Se você está aberto a soluções comerciais, os produtos sem fio da Cisco podem fazer exatamente isto. Você compra vários pontos de acesso Aironet leves (o suficiente para cobrir o espaço físico), um Controlador de LAN sem fio para gerenciá-los e configura a Autenticação da Web no controlador.

Sua despesa é de $ 500 / AP mais $ 2K- $ 5K para o controlador (depende de quantos APs você precisa gerenciar).

No entanto, devo dizer aqui que a autenticação corporativa corretamente executada não exige nenhuma etapa no lado do cliente. Apenas funciona. Tome AD, RADIUS, mesmo controlador sem fio para gerenciar a rede, empurre o GPO correto para os clientes e - magia! - todos estão conectados à rede sem fio, autenticados de forma transparente com suas credenciais do AD. E então você pode usar o Web Auth para acesso de convidado, onde ele pertence.

    
por 19.11.2009 / 15:45