На моем рабочем месте способ подключения к Wi-Fi не такой, как дома.
Есть защищенная сеть, но нет «единого» пароля.
Позвольте мне объяснить, что я имею в виду:
Обычно, когда у нас есть безопасность WPA, то есть SSID, предположим, «internet», а затем пароль, предположим, «dogs123456».
Затем кто-то на своем мобильном телефоне выберет «интернет» и введет пароль «dogs123456». Это то же самое для всех, кто хочет подключиться к «интернету».
Однако в моей компании это работает не так:
Допустим, я работаю в компании X, и мои учетные данные для входа в мой компьютер:[email protected]и пароль — john123.
Затем, чтобы подключиться к определенной сети Wi-Fi «X-secure», я бы ввел свое «имя пользователя» john и пароль john123.
Аналогично, если в моей компании есть Сара, она подключится, используя Сара и пароль «пароль учетной записи».
Вот что я имел в виду, когда говорил, что «единого» пароля не существует.
Как называется этот метод подключения и можно ли его реализовать в домашней сети?
решение1
Мы используем ключи для аутентификации/шифрования данных. Разница здесь в том, как вы получаете ключи. Для лучшей безопасности в протоколе Wi-Fi есть много ключей, мы используем некоторые ключи для генерации/шифрования других ключей. Базовый ключ — это парный главный ключ (PMK). Есть два способа получить этот ключ:
Метод 1.
Используйте предварительный ключ (PSK) в качестве PMK. Это более простой способ, который используется дома. «Предварительный» означает, что вы определяете ключ и вводите его (строго говоря, вы вводите пароль, который легко прочитать, и маршрутизатор генерирует настоящий ключ на основе вашего пароля) как на странице конфигурации беспроводного маршрутизатора, так и на клиентских устройствах, таких как пользовательский интерфейс настроек Wi-Fi вашего телефона и ноутбука. Ключ предварительно определяется вами и используется маршрутизатором и клиентами. Настройка проще, но ключ фиксированный, что менее безопасно и им нелегко управлять, если клиентов много, как в компании, например, если системный менеджер меняет ключ, ключи всех клиентов необходимо обновить.
Метод 2.
Выведите PMK из ключа, сгенерированного Extensible Authentication Protocol (EAP), который передается в протоколе IEEE 802.1X. Таким образом, PMK генерируется динамически, когда клиент пытается подключиться к сети. Для этого вам понадобится Authentication Server (AS).
Во-первых, точка доступа Wi-Fi (AP) настраивается системным менеджером для безопасного канала связи с AS. И клиент, такой как ваш ноутбук, должен быть настроен на учетные данные аутентификации (например, ваше имя пользователя и пароль), которые используются для аутентификации клиента AS в процессе.
Затем, когда вы пытаетесь подключить клиента к сети, клиент сначала связывается через AP с AS (в это время вы можете получить доступ к AS только через AP, другие данные, такие как доступ к Интернету/LAN, блокируются AP) для аутентификации друг друга, а затем генерирует PMK, к этому времени и клиент, и AS знают PMK. Затем AS отправляет PMK в AP через предварительно установленный защищенный канал. На основе PMK начинаются все остальные защищенные соединения Wi-Fi.
Домашняя настройка
На основе свободного программного обеспечения, может быть не так уж и сложно использовать метод 2 дома, если у вас достаточно опыта работы с Linux. Вот потенциальная ссылка:https://github.com/ouaibe/howto/blob/master/OpenWRT/802.1xOnOpenWRTUsingFreeRadius.md, Я никогда этим не пользовался и не уверен, что это легко использовать.
решение2
Из вашего описания это звучит какАутентификация RADIUS с WPA2 Enterprise (WPA2E).
WPA2E — единственный известный мне стандарт Wi-Fi, где при подключении запрашивается имя пользователя, а не просто предварительно предоставленный ключ/пароль (или PSK).
Что касается вашего другого вопроса,да, это можно сделать дома, но вам может понадобиться другой маршрутизатор. Большинство домашних маршрутизаторов не поддерживают эту форму аутентификации. Вам также нужно будет настроить сервер RADIUS (существуют бесплатные, с открытым исходным кодом) и пройти довольно сложный процесс настройки.
Вам также следует знать, чтомногие потребительские устройства не поддерживают WPA2E, так что это еще один вопрос, который следует иметь в виду. Если вы планируете настроить дома «лабораторную» сеть, которая будет работать как настоящая бизнес-сеть, разумно запустить отдельную точку доступа для устройств, которые ее не поддерживают, но для настоящего домашнего пользователя это излишне, и вы потратите больше времени на устранение неполадок, чем на фактическое использование своей сети.
решение3
Это называетсяАутентификация 802.1x. В соответствии сВикипедия:
IEEE 802.1X — это стандарт IEEE для управления доступом к сети на основе портов (PNAC). Он предоставляет механизм аутентификации для устройств, желающих подключиться к локальной или беспроводной локальной сети.
Реализация этого метода аутентификации требует сервера аутентификации и совместимых точек доступа и беспроводных клиентов. Многие потребительские точки доступа не поддерживают 802.1x.
Правильная реализация этого метода аутентификации сложна в реализации и обслуживании. Он не для обычного домашнего пользователя, хотя при определенной решимости его можно использовать в домашней среде.