¿Hay alguna manera de proporcionar contraseñas específicas de usuario para Wi-Fi?

33

¿Hay alguna manera de proporcionar contraseñas específicas de usuario para Wi-Fi, de modo que diferentes usuarios tengan contraseñas diferentes?

Me gustaría proporcionar a cada usuario una contraseña diferente para mi conexión Wi-Fi.

router wifi password-management

— John
fuente

8

Si tiene un wifi decente de clase empresarial y una infraestructura adecuada, entonces puede configurar sus puntos de acceso inalámbrico para admitir la autenticación RADIUS en cualquier servicio de autenticación central que utilice. Si no, tíralos y obtén otros reales.

— Rob Moir

¿La autenticación de radio es la única forma de hacer esto?

— John

Es la única forma "adecuada" de hacer las cosas que conozco, lo que no quiere decir que sea la única forma correcta de hacer las cosas, o que no haya algún punto de acceso inalámbrico que admita la creación de tantas SSID, ya que tiene usuarios para asignarles a todos su propia contraseña o algún otro truco similar.

— Rob Moir

Sé que varios modelos de enrutadores domésticos lo permiten, pero es más un truco que una función completa.

— AStopher

@cybermonkey, ¿puedes compartir los detalles de esos modelos de enrutadores domésticos?

— Boardrider

37

Lo que necesita es WPA-2 Enterprise , combinado con un servidor RADIUS para autenticar a los usuarios.

Si tiene una infraestructura de Active Directory existente, puede usar la función del Servidor de políticas de red en Windows para realizar la autenticación y permitir a los usuarios iniciar sesión con su nombre de usuario / contraseña de AD.

— Mark Henderson
fuente

¿Cómo instalaría esto en una casa compartida que estaba alquilando a 6 personas? Por ejemplo, solo necesito 7 inicios de sesión pero a bajo costo o esfuerzo.

— Ian Ringrose

En este caso no puedes.

— drookie

@IanRingrose Si tenía una máquina dedicada en la red para actuar como su servidor, entonces es perfectamente posible. Hay software disponible para configurar su servidor RADIUS, como el popular FreeRADIUS .

— Thebluefish

55

@IanRingrose lo que hago es basar la seguridad en direcciones MAC específicas de los dispositivos de las personas, no en las personas mismas. Todos tienen la misma contraseña wifi, pero solo es útil si su MAC está en la lista blanca. Además, todas las reglas de uso y seguridad se basan en estos MAC. No es lo suficientemente seguro para la configuración empresarial, ya que las direcciones MAC pueden cambiarse y suplantarse con relativa facilidad, pero en la configuración doméstica es un riesgo bajo, ya que es poco probable que las personas busquen las direcciones MAC entre sí y las falsifiquen, y una dirección MAC aleatoria no es útil.

— Andrew Savinykh

2

Con una frambuesa pi corriendo hostapdy openldap?

— Tom O'Connor

16

Otra posible solución es configurar múltiples SSID y proporcionar contraseñas separadas para cada uno. No es tan elegante como tener múltiples contraseñas para el mismo SSID, pero lograría lo mismo y sería fácil de administrar si su enrutador admite múltiples SSID.

Uno de estos enrutadores es la línea RT de Asus de enrutadores de doble banda de nivel de consumidor (tengo el RT-AC66U) que admite hasta tres "SSID invitados" por banda además de los SSID principales. Cada uno puede tener sus propias políticas de autenticación y acceso . Esto incluso le permite rastrear el tiempo de uso de cada SSID invitado.

Debido a que la mayoría de las personas aún no pueden acceder a la banda de 5 GHz, es probable que necesite 2 de estos enrutadores para proporcionar suficientes puntos de acceso de 2.4 GHz para hacer lo que desea para 7 personas, pero estos enrutadores se pueden configurar fácilmente como "AP- Solo modo "para que puedas encadenarlos.

El firmware alternativo puede manejar más SSID, aunque no puedo confirmarlo en este momento.

— nulabilidad
fuente

8

Yo respondería a su pregunta con otra pregunta ... ¿qué espera ganar si cada usuario se conecta con una contraseña diferente? El ejercicio me parece algo inútil a menos que también espere adjuntar algún tipo de políticas de red a las diferentes credenciales que no mencionó en su pregunta original.

Otros encuestados están en lo correcto, WPA-Enterprise junto con un servidor RADIUS sería la forma correcta de lograr esto, pero eso probablemente esté fuera del alcance de lo que está tratando de lograr.

Si su deseo de usar diferentes nombres de usuario es poder controlar el acceso para diferentes usuarios sin afectar a otros usuarios, es posible que pueda usar el filtrado de direcciones MAC. El filtrado MAC de ninguna manera es infalible, pero tendría el beneficio adicional de evitar el intercambio de contraseñas entre los usuarios.

Otra opción es mover todo esto fuera del alcance de WiFi y más a la red. Podría considerar usar una sola contraseña WiFi y usar un portal cautivo aguas arriba en la red para realizar un segundo nivel de autenticación. Esto podría lograrse con algo como m0n0wall ( http://m0n0.ch/wall/ ) con relativa facilidad.

— vrtigo1
fuente

9

Lo que uno podría esperar lograr: negar el acceso a un usuario en el que ya no confía, sin tener que cambiar la contraseña de los 99 usuarios restantes que aún desea permitir.

— RomanSt

1

+1 para el portal cautivo. Esa puede ser una forma muy eficiente de hacer esto en el wifi del consumidor.

— Mark Henderson

Así es como lo hacen en la mayoría de los hoteles en los que he estado.

— Martin Argerami

El portal cautivo es algo a tener en cuenta. Sin embargo, tenga en cuenta que los portales cautivos generalmente se autentican mediante la dirección MAC una vez que ha iniciado sesión, por lo que esta es solo una forma más sofisticada de configurar el filtrado MAC.

— sleske

1

¡Necesitas un servidor RADIUS! Pero hoy, incluso los pequeños enrutadores domésticos tienen suficiente potencia para permitir esto. Tengo un Asus RT-N65U y un Asus RT-N56U en la casa de mis padres con firmware personalizado y FreeRadius2. ¡Necesitas algunos conocimientos de Linux para configurarlo! El enrutador permite configurar un servidor RADIUS en la interfaz web. Después de configurar uno, ¡solo ingresa localhost allí!

— Josef
fuente