Я пытаюсь настроить схему аутентификации для своей домашней сети Wi-Fi, с помощью которой пользователь может вводить постоянно меняющийся 4-6-значный код в зависимости от времени (похожий на тот, что вы видите в приложениях MFA). Простой старый двухфакторный аутентификатор.
Мой план — предоставить людям простой способ входа в сеть Wi-Fi без необходимости иметь дело с паролями, но при этом быть достаточно безопасным. У меня уже есть Arduino, который меняет цифры на светодиодном дисплее, который я позже могу синхронизировать с изменяющимися цифрами, и источник, который определяет текущие допустимые цифры на основе времени
Я думаю о создании пользовательского портала авторизации, с помощью которого я смогу встроить код для извлечения текущего кода двухфакторной аутентификации.
Основная проблема, с которой я столкнулся, заключается в том, как создать портал авторизации либо на основном маршрутизаторе, либо на дополнительном устройстве, где я мог бы попросить пользователя ввести номер, а затем добавить его в белый список в основной сети и получить доступ ко всему, например, к принтерам и телевизору.
Сначала я думал поставить его на raspberry pi, но некоторые говорят, что это плохая идея или просто невыполнимая. После прочтения всего этого я просто запутался.
Я имею в виду, что я искал"потребитель"маршрутизаторы уровня Nighthawk, но ни один из них, похоже, не поддерживает пользовательские страницы захвата. Думаю, если бы у меня была такая возможность от основного домашнего маршрутизатора, я бы просто встроил ее туда.
В любом случае, вкратце, что я хочу, чтобы пользователь испытал:
- Подключитесь к сети с помощью пользовательского портала авторизации (который знает/может извлечь текущий двухфакторный код)
- Введите двухфакторный код
- Добавьте свой MAC-адрес или устройство в белый список на маршрутизаторе Wi-Fi.
- если пользовательский портал авторизации находится на маршрутизаторе Wi-Fi, то (оставаться подключенным), в противном случае (автоматически подключать устройство к маршрутизатору Wi-Fi)
Как мне это сделать?
решение1
Это будет довольно сложный проект. Я бы посоветовал взглянуть на OpenWRThttps://openwrt.org/они не поддерживают аутентификацию на основе TOTP из коробки (насколько мне известно), но у них есть портал авторизации в качестве надстройки). Так что это то, что вы могли бы сделать. У них много поддерживаемого оборудования, что касается рекомендаций по оборудованию, то на данный момент я использую только сетевое оборудование Ubiquiti.
Все вышесказанное, вам придется чертовски долго делать все это безопасным. И хотя я уверен, что ЕСТЬ способ сделать это так, как задумано, и быть безопасным. В конце концов, это будет больше работы/хлопот, чем просто использование пароля. Сети Captive Portal небезопасны по умолчанию. Поскольку подключение к сети без пароля, как требуется для Captive Portal, требует, чтобы беспроводное соединение было незашифрованным. Для обеспечения безопасности после этого вы можете использовать зашифрованный VPN, но тогда вы снова возвращаетесь к выбору оставить все сетевые службы (принтеры и т. д.) в открытой сети или сложной настройке для пользователей.