내 직장에서는 Wi-Fi 연결 방법이 집과 다릅니다.
보안 네트워크가 있지만 "하나의" 비밀번호는 없습니다.
내가 의미하는 바를 설명하겠습니다.
일반적으로 WPA 보안이 있는 경우 SSID가 있습니다. "인터넷"이라고 가정하고 비밀번호는 "dogs123456"이라고 가정합니다.
그런 다음 모바일 사용자의 경우 "인터넷"을 선택하고 비밀번호 "dogs123456"을 입력합니다. 이는 "인터넷"에 연결하려는 모든 사람에게 동일합니다.
그러나 이것은 우리 회사에서 작동하는 방식이 아닙니다.
내가 X 회사에서 근무했고 내 컴퓨터에 로그인하기 위한 자격 증명이 다음과 같다고 가정해 보겠습니다.[이메일 보호됨]비밀번호는 john123입니다.
그런 다음 특정 Wi-Fi "X-secure"에 연결하려면 "사용자 이름"을 john으로, 비밀번호를 john123으로 입력합니다.
마찬가지로 우리 회사에 사라가 있다면 사라와 비밀번호 "계정 비밀번호"를 사용하여 연결합니다.
이것이 바로 "하나의" 비밀번호가 없다는 의미입니다.
이 연결 방법을 무엇이라고 하며 홈 네트워크에서 구현할 수 있습니까?
답변1
우리는 데이터를 인증/암호화하기 위해 키를 사용합니다. 차이점은 열쇠를 얻는 방법입니다. 더 나은 보안을 위해 Wi-Fi 프로토콜에는 많은 키가 있으며 일부 키를 사용하여 다른 키를 생성/암호화합니다. 기본 키는 PMK(Pairwise Master Key)입니다. 이 키를 얻는 방법에는 두 가지가 있습니다.
방법 1.
사전 공유 키(PSK)를 PMK로 사용합니다. 이것이 가정의 상황인 더 쉬운 방법입니다. "사전 공유"는 무선 라우터의 구성 페이지와 휴대폰 및 노트북과 같은 클라이언트 장치 모두에 키를 정의하고 키를 입력(엄격히 읽기 쉬운 비밀번호를 입력하고 라우터가 비밀번호를 기반으로 실제 키를 생성함)하는 것을 의미합니다. Wi-Fi 설정 UI ----키는 사용자가 미리 정의하며 라우터와 클라이언트 간에 공유됩니다. 설정은 더 쉽지만 키가 고정되어 있어 회사와 같이 클라이언트가 많은 경우 보안 수준이 낮고 관리하기가 쉽지 않습니다. 예를 들어 시스템 관리자가 키를 변경하면 모든 클라이언트의 키를 업데이트해야 합니다.
방법 2.
IEEE 802.1X 프로토콜 내에서 전송되는 EAP(확장 가능 인증 프로토콜)에 의해 생성된 키에서 PMK를 파생시킵니다. 이러한 방식으로 클라이언트가 네트워크에 연결을 시도할 때 PMK가 동적으로 생성됩니다. 이를 위해서는 인증 서버(AS)가 필요합니다.
먼저, 시스템 관리자는 Wifi 액세스 포인트(AP)를 AS와 안전한 통신 채널을 갖도록 구성합니다. 그리고 노트북과 같은 클라이언트는 프로세스에서 AS가 클라이언트를 인증하는 데 사용되는 인증 자격 증명(예: 사용자 이름 및 비밀번호)을 갖도록 구성해야 합니다.
그런 다음 클라이언트를 네트워크에 연결하려고 하면 클라이언트는 먼저 AP를 통해 AS와 통신합니다. (이때 AP를 통해서만 AS에 액세스할 수 있으며 인터넷/LAN 액세스와 같은 다른 데이터는 AP에 의해 차단됩니다.) 서로를 인증한 다음 PMK를 생성하면 클라이언트와 AS 모두 PMK를 알게 됩니다. 그런 다음 AS는 미리 설정된 보안 채널을 통해 PMK를 AP로 보냅니다. PMK를 기반으로 다른 모든 Wi-Fi 보안 통신이 시작됩니다.
홈 설정
자유 소프트웨어 기반이므로, 리눅스 경험이 충분하다면 집에서 방법 2를 사용하는 것은 그리 어렵지 않을 수 있습니다. 다음은 잠재적인 참고 자료입니다.https://github.com/ouaibe/howto/blob/master/OpenWRT/802.1xOnOpenWRTUsingFreeRadius.md, 나는 이것을 사용한 적이 없으며 사용하기 쉬운지 잘 모르겠습니다.
답변2
귀하의 설명에 따르면 다음과 같습니다.WPA2 Enterprise(WPA2E)를 사용한 RADIUS 인증.
WPA2E는 사전 공유 키/비밀번호(또는 PSK)가 아닌 연결 시 사용자 이름을 묻는 메시지가 표시되는 유일한 WiFi 표준입니다.
다른 질문에 관해서는,예, 집에서 이 작업을 수행하는 것이 가능하지만 다른 라우터가 필요할 수 있습니다. 대부분의 홈 라우터는 이러한 형태의 인증을 지원하지 않습니다. 또한 RADIUS 서버(무료, 오픈 소스 서버 존재)를 설정하고 꽤 복잡한 구성 프로세스를 거쳐야 합니다.
당신은 또한많은 소비자 장치는 WPA2E를 지원하지 않습니다., 이는 명심해야 할 또 다른 문제입니다. 실제 비즈니스 네트워크처럼 운영되는 "실험실" 네트워크를 집에서 설정할 계획이라면 이를 지원하지 않는 장치에 대해 별도의 액세스 포인트를 실행하는 것이 합리적이지만 실제 가정 사용자의 경우에는 이는 과도하며 실제로 네트워크를 사용하는 것보다 문제 해결에 더 많은 시간을 소비하게 됩니다.
답변3
이것은 ... 불리운다802.1x 인증. 에 따르면위키피디아:
IEEE 802.1X는 포트 기반 네트워크 액세스 제어(PNAC)에 대한 IEEE 표준입니다. LAN 또는 WLAN에 연결하려는 장치에 인증 메커니즘을 제공합니다.
이 인증 방법을 구현하려면 인증 서버와 호환되는 액세스 포인트 및 무선 클라이언트가 필요합니다. 많은 소비자 액세스 포인트는 802.1x를 지원하지 않습니다.
이 인증 방법을 적절하게 구현하는 것은 구현 및 유지 관리가 복잡합니다. 일반적인 가정 사용자를 위한 것은 아니지만 어느 정도 결정을 내리면 가정 환경에서 사용할 수 있습니다.