An meinem Arbeitsplatz ist die WLAN-Verbindung nicht wie zu Hause.
Es gibt ein sicheres Netzwerk, aber nicht „ein“ Passwort.
Lassen Sie mich erklären, was ich meine:
Wenn wir über WPA-Sicherheit verfügen, gibt es normalerweise eine SSID, nehmen wir an „Internet“, und dann das Kennwort, nehmen wir an „dogs123456“.
Dann wählt jemand auf seinem Handy „Internet“ und gibt das Passwort „dogs123456“ ein. Dies ist für jeden gleich, der sich mit dem „Internet“ verbinden möchte.
In meiner Firma läuft das allerdings nicht so:
Nehmen wir an, ich arbeite für die Firma X und meine Anmeldedaten für den Computer lauten[email geschützt]und das Passwort ist john123.
Um mich dann mit einem bestimmten WLAN „X-Secure“ zu verbinden, gebe ich als „Benutzernamen“ „John“ und als Passwort „john123“ ein.
Wenn es in meiner Firma eine Sarah gibt, würde sie sich mit Sarah und dem Passwort „Kontopasswort“ anmelden.
Das meinte ich damit, dass es nicht „ein“ Passwort gibt.
Wie nennt man diese Verbindungsmethode und kann sie in einem Heimnetzwerk implementiert werden?
Antwort1
Wir verwenden Schlüssel, um Daten zu authentifizieren/verschlüsseln. Der Unterschied besteht darin, wie Sie die Schlüssel erhalten. Zur besseren Sicherheit gibt es im WLAN-Protokoll viele Schlüssel. Wir verwenden einige Schlüssel, um andere Schlüssel zu generieren/verschlüsseln. Der Basisschlüssel ist der Pairwise Master Key (PMK). Es gibt zwei Möglichkeiten, diesen Schlüssel zu erhalten:
Methode 1.
Verwenden Sie als PMK einen Preshared Key (PSK). Dies ist der einfachere Weg, der zu Hause der Fall ist. „Preshared“ bedeutet, dass Sie den Schlüssel definieren und ihn sowohl auf der Konfigurationsseite des WLAN-Routers als auch auf Client-Geräten wie der WLAN-Einstellungsoberfläche Ihres Telefons und Notebooks eingeben (genau genommen geben Sie ein leicht lesbares Passwort ein und der Router generiert den echten Schlüssel basierend auf Ihrem Passwort). Der Schlüssel wird von Ihnen vordefiniert und zwischen dem Router und den Clients geteilt. Die Einrichtung ist einfacher, aber der Schlüssel ist festgelegt, was weniger sicher ist und nicht einfach zu verwalten ist, wenn es viele Clients gibt, wie in einem Unternehmen. Wenn beispielsweise der Systemmanager den Schlüssel ändert, müssen alle Client-Schlüssel aktualisiert werden.
Methode 2.
Leiten Sie den PMK aus einem Schlüssel ab, der von einem Extensible Authentication Protocol (EAP) generiert wird, das im Rahmen des IEEE 802.1X-Protokolls transportiert wird. Auf diese Weise wird der PMK dynamisch generiert, wenn ein Client versucht, eine Verbindung zum Netzwerk herzustellen. Dazu benötigen Sie einen Authentifizierungsserver (AS).
Zunächst wird der WLAN-Zugangspunkt (AP) vom Systemmanager so konfiguriert, dass er über einen sicheren Kommunikationskanal mit dem AS verfügt. Und der Client, z. B. Ihr Notebook, muss so konfiguriert werden, dass er über Authentifizierungsdaten (wie Ihren Benutzernamen und Ihr Passwort) verfügt, die verwendet werden, um den Client im Prozess vom AS authentifizieren zu lassen.
Wenn Sie dann versuchen, den Client mit dem Netzwerk zu verbinden, kommuniziert der Client zunächst über den AP mit dem AS (zu diesem Zeitpunkt können Sie nur über den AP auf den AS zugreifen, andere Daten wie Internet-/LAN-Zugriff werden vom AP blockiert), um sich gegenseitig zu authentifizieren und dann den PMK zu generieren. Zu diesem Zeitpunkt kennen sowohl der Client als auch der AS den PMK. Dann sendet der AS den PMK über den vorab eingerichteten sicheren Kanal an den AP. Basierend auf dem PMK beginnt die gesamte weitere sichere WLAN-Kommunikation.
Einrichtung zu Hause
Basierend auf kostenloser Software ist es möglicherweise nicht so schwierig, Methode 2 zu Hause anzuwenden, wenn Sie über ausreichend Linux-Erfahrung verfügen. Hier ist eine mögliche Referenz:https://github.com/ouaibe/howto/blob/master/OpenWRT/802.1xOnOpenWRTUsingFreeRadius.md, ich habe das nie verwendet und bin nicht sicher, ob es einfach zu verwenden ist.
Antwort2
Nach Ihrer Beschreibung klingt das wieRADIUS-Authentifizierung mit WPA2 Enterprise (WPA2E).
WPA2E ist der einzige mir bekannte WLAN-Standard, bei dem bei der Verbindung ein Benutzername und nicht nur ein vorab festgelegter Schlüssel/ein Passwort (oder PSK) abgefragt wird.
Zu Ihrer anderen Frage:Ja, es ist möglich, dies zu Hause zu tun, aber Sie benötigen möglicherweise einen anderen Router. Die meisten Heimrouter unterstützen diese Form der Authentifizierung nicht. Sie müssen außerdem einen RADIUS-Server einrichten (es gibt kostenlose Open-Source-Server) und einen ziemlich aufwändigen Konfigurationsprozess durchlaufen.
Sie sollten sich auch darüber im Klaren sein,viele Verbrauchergeräte unterstützen WPA2E nicht, das ist also ein weiterer Punkt, den Sie im Hinterkopf behalten sollten. Wenn Sie planen, zu Hause ein „Labor“-Netzwerk einzurichten, das wie ein echtes Unternehmensnetzwerk betrieben wird, ist es sinnvoll, einen separaten Zugriffspunkt für Ihre Geräte zu betreiben, die dies nicht unterstützen. Für einen echten Heimanwender ist dies jedoch übertrieben und Sie werden mehr Zeit mit der Fehlersuche verbringen als mit der tatsächlichen Nutzung Ihres Netzwerks.
Antwort3
Das nennt man802.1x-Authentifizierung. EntsprechendWikipedia:
IEEE 802.1X ist ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle (Network Access Control, PNAC). Er bietet einen Authentifizierungsmechanismus für Geräte, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.
Für die Implementierung dieser Authentifizierungsmethode sind ein Authentifizierungsserver sowie kompatible Zugriffspunkte und drahtlose Clients erforderlich. Viele Consumer-Zugriffspunkte unterstützen 802.1x nicht.
Eine ordnungsgemäße Implementierung dieser Authentifizierungsmethode ist kompliziert zu implementieren und zu warten. Sie ist nicht für den gelegentlichen Heimanwender geeignet, kann jedoch mit etwas Entschlossenheit in einer Heimumgebung verwendet werden.