Ich versuche, ein Authentifizierungsschema für mein WLAN-Netzwerk zu Hause einzurichten, mit dem ich den Benutzer je nach Zeit einen ständig wechselnden 4- bis 6-stelligen Code eingeben lassen kann (wie Sie ihn in den MFA-Apps sehen). Einfacher alter Zwei-Faktor-Authentifikator.
Mein Plan ist, eine einfache Möglichkeit zu schaffen, mit der sich Leute beim WLAN-Netzwerk anmelden können, ohne sich mit Passwörtern herumschlagen zu müssen, die aber trotzdem ziemlich sicher ist. Ich habe bereits einen Arduino, der Zahlen auf einer LED-Beleuchtungsanzeige ändert, die ich später mit den sich ändernden Zahlen synchronisieren kann, und eine Quelle, die die aktuell gültigen Zahlen basierend auf der Zeit definiert.
Ich denke darüber nach, ein benutzerdefiniertes Captive Portal zu erstellen, mit dem ich Code einbetten kann, um den aktuellen Zwei-Faktor-Code abzurufen.
Mein Hauptproblem besteht darin, entweder auf dem Hauptrouter oder einem Nebengerät ein Captive Portal einzurichten, wo der Benutzer seine Nummer eingeben kann, auf die Whitelist des Hauptnetzwerks gesetzt wird und auf alles zugreifen kann, beispielsweise auf Drucker und Fernseher.
Zuerst dachte ich daran, es auf einem Raspberry Pi zu installieren, aber manche Leute sagen, das sei eine schlechte Idee oder einfach nicht machbar. Nachdem ich viel darüber gelesen habe, bin ich jetzt einfach verwirrt.
Ich meine, ich suchte nach"Verbraucher"Router der Spitzenklasse wie Nighthawk-Level-Geräte, aber keiner von ihnen scheint benutzerdefinierte Captive Pages zu unterstützen. Ich schätze, wenn ich diese Option vom Haupt-Heimrouter hätte, könnte ich sie einfach dort einbauen.
Wie dem auch sei, zusammenfassend möchte ich, dass der Benutzer Folgendes erlebt:
- Stellen Sie eine Verbindung zum Netzwerk über ein benutzerdefiniertes Captive Portal her (das den aktuellen Zwei-Faktor-Code kennt/abrufen kann).
- Geben Sie den Zwei-Faktor-Code ein
- Lassen Sie ihre Mac-Adresse oder ihr Gerät im WLAN-Router auf die Whitelist setzen
- Wenn sich das benutzerdefinierte Captive Portal auf einem WLAN-Router befindet, dann (verbunden bleiben), andernfalls (Gerät automatisch mit dem WLAN-Router verbinden)
Wie soll ich dabei vorgehen?
Antwort1
Dies wird ein ziemlich kompliziertes Projekt. Ich würde vorschlagen, einen Blick auf OpenWRT zu werfenhttps://openwrt.org/sie unterstützen TOTP-basierte Authentifizierung nicht von Haus aus (soweit ich weiß), aber sie haben ein Captive Portal als Add-In). Das ist also etwas, was Sie tun könnten. Sie haben jede Menge unterstützte Hardware, was Hardwareempfehlungen angeht, verwende ich derzeit nur Ubiquiti Network-Geräte.
Trotzdem wird es verdammt schwer sein, das Ganze abzusichern. Und obwohl ich sicher bin, dass es einen Weg gibt, das wie vorgesehen zum Laufen zu bringen und abzusichern, wird es am Ende mehr Arbeit/Umständlichkeit bedeuten, als einfach ein Passwort zu verwenden. Captive-Portal-Netzwerke sind standardmäßig unsicher. Da eine Verbindung zu einem Netzwerk ohne Passwort, wie es für Captive Portal erforderlich ist, unverschlüsselt sein muss, muss die drahtlose Verbindung unverschlüsselt sein. Aus Sicherheitsgründen könnten Sie danach ein verschlüsseltes VPN verwenden, aber dann stehen Sie wieder vor der Entscheidung, ob Sie alle Netzwerkdienste (Drucker usw.) in einem offenen Netzwerk belassen oder eine komplizierte Einrichtung für Benutzer vornehmen.