Authentification d'accès sans fil via le serveur HTTP

Je suis un administrateur réseau sans fil en ligne ... Mais, étant donné que la plupart des gens ne sont pas des experts, il semble qu'il y a un problème commun avec le connectant ... Comme nous utilisons WPA Enterprise, Par conséquent, sur les plates-formes Windows Il existe plusieurs étapes communes à utiliser pour le faire fonctionner. Mais les utilisateurs sont stupides.

Dans de nombreux endroits, il y a une sorte opennet, où vous pouvez simplement connecter ... Mais lorsque vous essayez d'accéder à des sites qui ne sont pas dans une liste interne, vous êtes redirigé vers la page de connexion du serveur Web. Ainsi, après votre authentification, vous pouvez afficher Internet.

Comment faire? Avoir des conseils? Linux? Windows? Quelques équipements spéciaux / pare-feu?

Liens, informations ... Tout le monde est le bienvenu.
Invité:

Catherine

Confirmation de:

C'est comme ça que c'est atteint où je travaille (Notre réseau peut probablement dire plus):

Lorsque vous vous connectez à un réseau ouvert WL, Vous êtes dans le premier public disponible vLAN, qui redirige (de l'autre côté
http://www.squid-cache.org/
) Tout le trafic sur notre page d'authentification. Authentification (de l'autre côté kerberos) met l'utilisateur dans la seconde VLAN, Accès à lequel est illimité.

Je suis un peu gris dans certains détails, mais je suis sûr que quelqu'un d'autre remplira les lieux manquants.

Catherine

Confirmation de:

Dans une autre vie, j'ai écrit un tel mécanisme. Un petit pare-feu ici, un serveur Web là-bas, quelque chose entre eux pour activer et éteindre le pare-feu pour cette adresse IP et la règle par défaut qui redirige tous les trafic portuaires 80 Sur le serveur Web sur lequel il existe une page de connexion. Facile comme un gâteau? Pas vraiment.

Tout d'abord, vous pouvez essayer de regarder
http://nocat.net/
, Un projet open source pour faire de telles choses.

N'essayez pas de le faire (Écrivez un mécanisme qui effectue une authentification sans fil via le portail intercepté) En solo. C'est une courte route d'une ville folle.

Le moyen le plus simple de le faire vous-même - Courir 2 Ensemble de points d'accès (S'ils sont bon marché ou non utilisés vlan, Points d'accès avec un SSID). Un ensemble de points d'accès se trouve sur un réseau privé avec un serveur Web, un serveur DHCP et un serveur DNS qui répond avec l'adresse IP du serveur Web pour toutes les demandes. DNS. Quelqu'un navigue google.com? Il s'avère 192.168.66.6. Ils cherchent snoopy.com? 192.168.66.6. Ils recherchent un site bobsyeruncle.net? 192.168.66.6. Et sur ce serveur Web, vous mettez une page Web avec l'inscription "Bienvenue (Spécifiez la société ici)». "Si vous souhaitez utiliser un réseau sans fil, changez votre ssid sur" securenet », Installer pour cela " WPA2 "et" eap-ttls »(ou tout autre protocole d'authentification sans fil que vous utilisez).

Bien entendu, d'autres points d'accès seront connectés à l'interface "sans fil" sur votre pare-feu et seront autorisés à accéder à tous les accès nécessaires à l'accès au réseau sans fil sur votre site.

Oh, attendez, vous n'utilisez pas une clé commune, non? Si tel est le cas, vous n'avez pas de protection de réseau sans fil. Dès que je reconnais la clé, je peux suivre tout le trafic. Même le consommateur moderne AP Soutien WPA-enterprise et radius, et vous pouvez utiliser le serveur RADIUS dans Windows Et assurer le bon fonctionnement de l'authentification sans fil.

Pour cette leçon, vous devez mettre un quart dans la voiture et poser une autre question ...

Catherine

Confirmation de:

Si vous êtes ouvert aux solutions commerciales,
http://cisco.com/en/US/product ... .html
peut faire exactement ça. Vous achetez plusieurs points d'accès léger Aironet (assez pour couvrir l'espace physique), Le contrôleur LAN sans fil pour les gérer et configurer l'authentification Web sur le contrôleur.

Vos dépenses sont faites 500 dollars par point d'accès plus 2–5 mille dollars pour le contrôleur (En fonction du nombre de points d'accès que vous devez gérer).

Cependant, je dois dire ici qui est correctement effectué Enterprise auth Ne nécessite aucune action du côté client. Travaille juste. Prendre AD, RADIUS, Le même contrôleur sans fil pour la gestion du réseau, envoyer le droit aux clients. GPO et - la magie! - Tous connectés à un réseau sans fil avec authentification transparente avec leurs informations d'identification. AD. Et puis vous pouvez utiliser une authentification Web pour les clients où il appartient.

Pour répondre aux questions, connectez-vous ou registre