2 votes

CoolGravatar avatar

Accès sans fil sécurisé à travers un serveur http

Demandé el 19 de Novembre, 2009
Quand la question a-t-elle été
413 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je suis l'administrateur d'un réseau sans fil ... mais comme la plupart des gens ne sont pas experts, il semble y avoir un problème général pour s'y connecter ... comme nous utilisons WPA Enterprise, il y a donc quelques démarches communes à suivre sur les plateformes Windows pour que ça fonctionne. Mais les utilisateurs sont stupides.

Beaucoup d'endroits ont un type de réseau ouvert, où vous pouvez simplement vous connecter ... mais lorsque vous essayez d'accéder à des sites qui ne sont pas dans une sorte de liste interne, vous êtes redirigé vers une page de connexion sur un serveur web, donc une fois authentifié là-bas, vous pouvez naviguer sur internet.

Comment cela se fait-il ? Des astuces ? Linux ? Windows ? Un matériel/firewall spécial ?

Des liens, des informations ... tout est le bienvenu.

Demandé el 19 de Novembre, 2009 par CoolGravatar

Réponses

Trop de publicités?

2voto

Berserk avatar
Berserk Points 297

Voici comment cela se déroule là où je travaille (notre spécialiste en réseau pourrait probablement en dire plus):

Lorsque vous vous connectez au réseau WL ouvert, vous êtes sur le premier vLAN public qui redirige (via Squid) tout le trafic vers notre page d'authentification. L'authentification (via kerberos) place l'utilisateur sur le 2ème VLAN qui a un accès illimité.

Je ne suis pas très clair sur certains détails, mais je suis sûr que quelqu'un d'autre fournira les informations manquantes.

Répondu el 19 de Novembre, 2009 par Berserk (297 Points )

0voto

Dave avatar
Dave Points 864

Dans une autre vie, j'ai écrit exactement un tel mécanisme. Un petit pare-feu ici, un serveur web là, quelques trucs entre les deux pour activer et désactiver le pare-feu pour une adresse IP donnée, et une règle par défaut qui redirige tout le trafic du port 80 vers un serveur web qui a la page de connexion. Facile comme un gâteau? Pas vraiment.

Tout d'abord, vous pouvez essayer de regarder nocat, un projet open source pour faire exactement ce genre de chose.

Ne vous essayez pas à le faire (écrire un mécanisme qui autorise l'authentification sans fil via un portail captif) vous-même. C'est un court chemin vers la folie.

Le moyen le plus simple de le faire vous-même est de faire fonctionner 2 ensembles d'AP (s'ils sont bon marché, non vlan, AP grand public à un seul SSID). Une série d'AP est sur un réseau privé avec un serveur web, un serveur DHCP et un serveur DNS qui répond avec l'IP du serveur web pour toutes les recherches DNS. Quelqu'un cherche google.com ? Ils obtiennent 192.168.66.6. Ils recherchent snoopy.com ? 192.168.66.6. Ils cherchent bobsyeruncle.net ? 192.168.66.6. Et sur ce serveur web, vous mettez une page web qui dit "bienvenue à (insérer ici le nom de l'entreprise)." "Si vous voulez utiliser le réseau sans fil, changez votre SSID en "securenet", réglez-le sur "WPA2" et "eap-ttls" (ou peu importe le protocole d'authentification sans fil que vous utilisez).

Les autres AP seront, bien sûr, connectés à l'interface "sans fil" de votre pare-feu et permettront tout accès que vous jugez approprié pour l'accès au réseau sans fil sur votre site.

Oh -- attendez -- vous n'utilisez pas une clé pré-partagée, n'est-ce pas? Si vous le faites, vous n'avez vraiment aucune sécurité sans fil du tout. Une fois que je connais la clé, je peux espionner le trafic de tout le monde. Même les AP grand public de basse qualité prennent en charge ces jours-ci WPA-entreprise et radius, et vous pouvez utiliser le serveur radius sur Windows et faire fonctionner l'authentification sans fil correctement.

Pour cette leçon, vous devrez mettre une autre pièce dans la machine et poser une autre question...

Répondu el 19 de Novembre, 2009 par Dave (864 Points )

0voto

Max Alginin avatar
Max Alginin Points 3284

Si vous êtes ouvert aux solutions commerciales, les produits sans fil Cisco peuvent faire exactement cela. Vous achetez un certain nombre de points d'accès Aironet légers (suffisamment pour couvrir l'espace physique), un contrôleur LAN sans fil pour les gérer, et configurez l'authentification Web sur le contrôleur.

Votre dépense est de 500 $ par point d'accès plus 2 000 à 5 000 $ pour le contrôleur (selon le nombre de points d'accès que vous devez gérer).

Cependant, je dois dire ici qu'une authentification Entreprise correctement exécutée ne nécessite aucune étape du côté du client. Cela fonctionne simplement. Prenez AD, RADIUS, le même contrôleur sans fil pour gérer le réseau, poussez la bonne GPO vers les clients, et - magie! - tout le monde est sur le sans fil, authentifié de manière transparente avec ses identifiants AD. Et ensuite, vous pouvez utiliser l'authentification Web pour l'accès invité, là où elle doit être.

Répondu el 19 de Novembre, 2009 par Max Alginin (3284 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X