Existe-t-il un moyen de fournir des mots de passe spécifiques à l'utilisateur pour le Wi-Fi?

33

Existe-t-il un moyen de fournir des mots de passe spécifiques à l'utilisateur pour le Wi-Fi, afin que différents utilisateurs aient des mots de passe différents?

Je souhaite fournir à chaque utilisateur un mot de passe différent pour ma connexion Wi-Fi.

router wifi password-management John
la source
8
Si vous disposez d'un réseau Wi-Fi professionnel décent et d'une infrastructure appropriée, vous pourrez peut-être configurer vos points d'accès sans fil pour prendre en charge l'authentification RADIUS avec le service d'authentification central que vous utilisez. Sinon, jetez-les et obtenez-en de vrais.
Rob Moir
L'authentification par rayon est la seule façon de faire comme ça?
john
Je suis au courant de la seule façon "appropriée" de faire les choses, ce qui ne veut pas dire que c'est la seule façon appropriée de faire les choses, ou qu'il n'y a pas de point d'accès sans fil disponible pour prendre en charge autant de choses. SSID comme vous avez des utilisateurs afin de leur attribuer tous leur propre mot de passe, ou un autre piratage similaire.
Rob Moir
Je sais que plusieurs modèles de routeurs domestiques le permettent, mais cela ressemble plus à un gadget qu’à une fonctionnalité complète.
AStopher
@cybermonkey, pouvez-vous partager les détails de ces modèles de routeur domestiques?
boardrider

Réponses:

37

Ce dont vous avez besoin, c'est WPA-2 Enterprise , associé à un serveur RADIUS pour l'authentification des utilisateurs.

Si vous avez une infrastructure Active Directory existante, vous pouvez utiliser le rôle Serveur de stratégie réseau de Windows pour effectuer l'authentification et permettre aux utilisateurs de se connecter avec leur nom d'utilisateur / mot de passe AD.

Mark Henderson
la source
Comment pourrais-je l'installer dans une maison partagée que je louais à 6 personnes? Par exemple, j'ai juste besoin de 7 connexions mais à peu de frais ou d'effort.
Ian Ringrose
Dans ce cas, vous ne pouvez pas.
drookie
@IanRingrose Si vous aviez une machine dédiée sur le réseau pour jouer le rôle de serveur, c'est parfaitement possible. Il existe des logiciels disponibles pour configurer votre serveur RADIUS, tels que le populaire FreeRADIUS .
Thebluefish
5
@IanRingrose Ce que je fais est de baser la sécurité sur des adresses MAC spécifiques d'appareils de personnes, et non sur les personnes elles-mêmes. Ils ont tous le même mot de passe wifi, mais ce n'est utile que si leur MAC est sur liste blanche. De plus, toutes les règles d'utilisation et de sécurité sont basées sur ces MAC. Il n’est pas suffisamment sécurisé pour les entreprises, car les adresses MAC peuvent être modifiées et relativement faciles à usurper, mais le réglage à la maison présente un risque faible, car il est peu probable que les personnes recherchent des adresses MAC différentes et falsifient les adresses et une adresse MAC aléatoire. utile.
Andrew Savinykh
2
Avec un framboise pi en cours d'exécution hostapdet openldap?
Tom O'Connor
16

Une autre solution possible consiste à configurer plusieurs SSID et à fournir des mots de passe distincts pour chacun. Ce n'est pas aussi élégant que d'avoir plusieurs mots de passe pour le même SSID, mais cela aurait le même résultat et serait facile à gérer si votre routeur prend en charge plusieurs SSID.

L'un de ces routeurs est la gamme RT de routeurs double bande grand public d'Asus (j'ai le RT-AC66U), qui prend en charge jusqu'à trois "SSID invités" par bande, en plus du SSID principal. Chacun peut avoir ses propres stratégies d'authentification et d'accès . Cela vous permet même de suivre le temps d'utilisation de chaque SSID invité.

Comme la plupart des gens ne sont pas encore capables d’accéder à la bande des 5 GHz, vous aurez probablement besoin de 2 de ces routeurs pour fournir suffisamment de points d’accès à 2,4 GHz pour faire ce que vous voulez pour 7 personnes, mais ces routeurs peuvent facilement être configurés en tant que Seulement "mode afin que vous puissiez les chaîner ensemble.

Un autre microprogramme peut peut-être gérer plus de SSID, bien que je ne puisse pas le confirmer pour le moment.

nullabilité
la source
8

Je répondrais à votre question par une autre question ... qu'espérez-vous gagner en permettant à chaque utilisateur de se connecter avec un mot de passe différent? L'exercice me semble quelque peu inutile, à moins que vous n'espériez également associer des stratégies de réseau aux différentes informations d'identification que vous n'avez pas mentionnées dans votre question initiale.

Les autres répondants ont raison, WPA-Enterprise associé à un serveur RADIUS serait le moyen approprié pour y parvenir, mais cela n’est probablement pas à la portée de ce que vous essayez d’accomplir.

Si vous souhaitez utiliser différents noms d'utilisateur pour pouvoir contrôler l'accès de différents utilisateurs sans affecter les autres utilisateurs, vous pourrez peut-être utiliser le filtrage par adresse MAC. Le filtrage MAC n’est en aucun cas infaillible, mais il aurait l’avantage supplémentaire d’empêcher le partage du mot de passe entre les utilisateurs.

Une autre option consiste à déplacer tout cela en dehors de la portée du WiFi et plus loin dans le réseau. Vous pouvez envisager d'utiliser un seul mot de passe WiFi et d'utiliser un portail captif en amont du réseau pour effectuer un deuxième niveau d'authentification. Cela pourrait être accompli avec quelque chose comme m0n0wall ( http://m0n0.ch/wall/ ) relativement facilement.

vrtigo1
la source
9
Ce que l’on pourrait espérer réaliser: refuser l’accès à un utilisateur en qui vous n’avez plus confiance, sans avoir à changer le mot de passe des 99 utilisateurs restants que vous souhaitez toujours autoriser.
RomanSt
1
+1 pour le portail captif. C'est peut-être un moyen très efficace de le faire avec le wifi des consommateurs.
Mark Henderson
C'est comme ça qu'ils le font dans la plupart des hôtels où je suis allé.
Martin Argerami
Le portail captif est une chose à considérer. Cependant, notez que les portails captifs s'authentifient généralement par l'adresse MAC une fois que vous êtes connecté. Il s'agit donc d'un moyen plus sophistiqué de configurer le filtrage MAC.
Sleske
1

Vous avez besoin d'un serveur RADIUS! Mais aujourd'hui, même les petits routeurs domestiques disposent de suffisamment d'énergie pour le permettre. J'ai un Asus RT-N65U et un Asus RT-N56U chez mes parents avec un micrologiciel personnalisé et FreeRadius2. Vous avez besoin de connaissances en Linux pour le configurer! Le routeur permet de définir un serveur RADIUS dans l'interface Web. Une fois que vous en avez configuré un, vous n’avez qu’à entrer localhost!

Josef
la source