Где взять пароль от wifi

Кажется, ты используешь AdBlock. Хабрахабр развивается и существует за счет доходов от рекламы. Добавь нас в исключения. Это облегчает задачу с доступом к вашей беспроводной сети. Используя так называемую WPA2 PSK авторизацию, чтобы предотвратить доступ случайному пользователю, нужно менять ключ, а также заново проходить процесс авторизации на каждом отдельном Wi-Fi устройстве. Кроме того, если вы имеете несколько точек доступа, ключ нужно менять на всех из. А если Вам надо скрыть пароль от кого-нибудь, придется раздать всем сотрудникам новый. Представим ситуацию — к вам в офис зашел кто-то посторонний клиент, контрагент? Вместо того, чтобы давать ему WPA2 — ключ, можно сделать для него отдельный аккаунт, который потом, после его ухода, можно удалить заблокировать. Это даст вам гибкость в управлении учетками, а пользователи будут очень довольны. Мы сделаем удобную схему, применяемую в корпоративных сетях, но полностью из подручных средств с минимальными финансовыми и аппаратными вложениями. Ее одобрит служба безопасности и руководство. Немного теории Когда-то давно инженерами IEEE был придуман стандарт 802. Этот стандарт отвечает за возможность авторизации пользователя сразу при подключении к среде передачи данных. Иными словами, если для соединения, например, PPPoE, вы подключаетесь к среде коммутаторуи уже можете осуществлять передачу данных, авторизация нужна для выхода в интернет. В случае же 802. Само конечное устройство вас не допустит. Аналогичная ситуация с Wi-Fi точками доступа. Решение же о допуске вас принимается на внешнем сервере авторизации. Это может быть RADIUS, TACACS, TACACS+ и т. Терминология Вообще авторизация пользователя на точке может быть следующих видов: Open — доступна всем WEP — старое шифрование. Уже у всех плешь проедена о том, что его ненадо использовать вообще WPA — Используется TKIP в качестве протокола шифрования WPA2 — Используется шифрование AES А теперь рассмотрим варианты того, как точка доступа узнает сама, можно ли предоставлять пользователю доступ к сети или нет: WPA-PSK, WPA2-PSK — ключ к доступу находится в самой точке. WPA-EAP, WPA2-EAP — ключ к доступу сверяется с некоторой удаленной базой данных на стороннем сервере Также существует довольно большое количество способов соедининея конечного устройства к серверу авторизации PEAP, TLS, TTLS. Я не буду их здесь описывать. Общая схема сети Для наглядного понимания приведем общую схему работы нашей будущей схемы: Если словами, то клиенту, при подключении к Wi-Fi — точке предлагается ввести логин и пароль. Получив логин и пароль Wi-Fi точка передает эти данные RADIUS-серверу, на что сервер отвечает, что можно делать с этим клиентом. В зависимости от ответа, точка решает, дать ему доступ, урезать скорость или что-то. За авторизацию пользователей будет отвечать наш сервер с установленным freeradius. Freeradius является реализацией протоколакоторый в свою очередь является реализацией общего протокола AAA. AAA — это набор средств для осуществления следующих действий: Authentication — проверяет допустимость логина и пароля. Authorization — проверяет наличие прав на выполнение некоторых действий. Accounting — учитывает ваши дейсвия в системе. Сам протокол передает имя пользователя, список атрибутов их значений для. Вообще говоря, база аккаунтов и прав для них не обязательно должна храниться на RADIUS-сервере, да и базой может быть что угодно — никсовые пользователи, пользователи домена Windows… да хоть текстовый файлик. Но в нашем случае все будет в одном месте. Практически все современные точки доступа Wi-Fi стоимостью больше 3 тыс. Клиентские устройства поддерживают и подавно. В статье я буду использовать следующее оборудование и програмное обеспечение: Точка доступа Ubiquiti NanoStation M2 Сервер Gentoo и Freeradius Клиентское оборудование с установленным програмным обеспечением Windows 7, Android, iOS Настройка точки доступа Главное, чтоб точка поддерживала нужный способ аутентификации. Оно может называться по разному в разных устройствах: WPA-EAP, WPA2 Enterprise и т. Во всяком случае выбираем аутентификацию, устанавливаем IP-адрес и порт RADIUS-сервера и ключ, который мы вводили в clients. Приведу картинку с настроенной точки Ubiquiti. Помечено галкой то, что нужно менять. RADIUS-сервер Зайдем на наш компьютер с Linux и установим RADIUS-сервер. Я брал freeradius, и ставил я его на gentoo. К моему удивлению, в рунете нет материалов, относящихся к настройке Freeradius 2 для наших целей. Все статьи довольно стары, относятся к старым версиям этого програмного обеспечения. Вся информация вываливается на консоль. Приступем к его настройке. Как это водится в Linux, настройка выполняется через конфигурационные файлы. Сделаем подготовительные действия — скопируем исходные конфиги, почистим конфигурация от всякого мусора. Такой же надо будет поставить на Wi-Fi точке. А именно, в формате имени пользователя может указываться домен например user radius. DEFAULT означает любой неопределенный домен. NULL — без домена. В зависимости от домена можно сказать префикса в имени пользователя можно осуществлять различные действия, как то отдать право аутентифицировать другому хосту, отделять ли имя от домена во время проверки логина и т. Настройка клиентов Пробежимся по настройке основных пользовательских устройств. У наших сотрудников есть клиенты, работающие на Android, iOS и Windows 7. Оговоримся сразу: так как мы используем самосозданные сертификаты, то нам нужно несколько раз вносить всевозможные исключения и подтверждать действия. Если бы мы пользовали купленные сертификаты, возможно, все было бы проще. Всех проще дело обстоит на iOS-устройствах. Вводим логин и пароль, нажимаем «Принять сертификат», и. Чуть сложнее выглядит, но на практике все тоже просто на Android. Там немного больше полей для ввода. Ну и на Windows 7 приедтся немного понастраивать. Осуществим следующие шаги: Идем в центр беспроводных подключений. Устанавливаем необходимые параметры в свойствах Вашего беспроводного подключения Устанавливаем необходимые параметры в расширенных настройках EAP Устанавливаем необходимые параметры в расширенных настройках Дополнительных параметрах Подключаемся в панели задач к Wi-Fi сети и вводим логин-пароль, наслаждаемся доступом к Wi-Fi Далее представлю скриншоты диалоговых окон специально для похожих на меня людей, у которых глаза разбегаются от диалоговых окон Windows. Шаг 1 Шаг 2 Шаг 3 Шаг 4 Шаг 5 Собственный мини-биллинг Теперь осталась одна проблема — если вы захотите добавить-удалить нового пользователя, то вам придется изменить users и перезапустить radius. Чтобы этого избежать подключим базу данных и сделать свой собственный мини-биллинг для пользователей. Используя БД, вы всегда сможете набросать простенький скрипт для добавления, блокировки, изменения пароля пользователя. И все это произойдет без останова всей системы. Для себя я использовал Postgres, вы же можете выбрать по своему усмотрению. Я привожу базовую настройку Postgres, не углубляясь в различные права доступа, пароли и прочие хитрости и удобства. Вообще с Freeradius идет документация по схемам таблиц для различных баз данных, правда в различных дистрибутивах находятся они в разных местах. Конечно биллинг получился ущербный — у нас нигде не хранится информации по аккаунтингу учету действий пользователяно и нам здесь этого не. Чтобы вести аккаунтинг, необходимы еще и Wi-Fi точки подорооже, чем 3 тыс. Но уже и так мы с легкостью управлять пользователями. Что дальше В последнем разделе мы собрали собственный небольшой биллинг! Остается для полноты картины привернуть какой-нибудь WEB-интерфейс управления Базой Данных, добавить обязательное изменение пароля раз в месяц по крону. А если еще разориться сертификат и контроллер Wi-Fi точек доступа, то у вас в руках есть полноценная корпоративная беспроводная сеть. Но даже без этих затрат и при малых усилиях с Вашей стороны сделав своим пользователям такой доступ, они вам скажут огромное спасибо. Полезные ссылки Да, про диаметр я слышал. Но железок, работающих с ним, практически. Если только дорогой корпоративный сегмент. Стараюсь придать хабру старый инженерный вид. Четкая тематика без абстрактной болтовни, в стиле opennet. Вообще, мне понравилась такая стратегия написания технических статей: делаешь, рассказываешь другим, собираешь вопросы, пишешь так, чтобы вопросов не осталось. Стоило наверное упомянуть, что при использовании самоподписанных сертификатов и отключении проверки шаг 3безопасность WPA2-ENT становится в разы слабее чем WPA2-PSK. При отключении проверки и активных клиентах получить доступ к такой сети проще, чем к WEP. Поэтому данная конфигурация, без «разорения на сертификат», не рекомендуется к использованию : Конечно же в теории —. Но мы живем в немного других условиях. И для маленьких контор до 20 человек с максимум 3-мя хотспотами этот способ отлично подойдет. В таких предприятиях главное то, чтоб мужик из соседнего офиса не пользовал ваш интернет, а потенциальный контрагент мог бы почитать почту с планшета с гостевым логином. Если конторе есть что скрывать, она может разориться на подписанный сертификат. Freeradius его отлично проглотит. А если уж совсем захочет, то купит еще и контроллер беспроводных точек с кучей всяких вкусностей. Собственно с такой конфигурацией они и займутся: мужик из соседнего офиса не пользовал ваш интернет, а потенциальный контрагент мог бы почитать почту с планшета с гостевым логином Для таких контор WPA2-PSK намного надежнее, а если уж хочется WPA2-ENT, то стоит не снимать эту пресловутую галку и просто вручную поставить везде ваш корневой сертификат. Что-то я про это не подумал. В свободное время попробую. Если подойдет, статью обновлю с дополнительными способами подключения клиентов: Чтобы вести аккаунтинг, необходимы еще и Wi-Fi точки подорооже, чем 3 тыс. Я бы посоветовал что-то с DD-WRT какой-нибудь Mikrotik. Но точно не могу сказать. Знаю точно, что есть на Aironet'ах от Cisco. Описанный в статье метод пропускает момент с серьификатами. А с сертификатами тоже есть два варианта: либо просто добавление вашего серверного сертификата в пользовательские телефон — при этом пользователь будет также вводить логин и пароль. Либо добавить на устройство пользователя пользовательский сертификат, при этом не надо будет вводить. Как вариант — поставить отдельную точку или, если позволяет устройство, второе SSID, и разрешить с него только доступ к почте. Из почты можно добавлять ключи в любое устройство. Можно небольшое занудное замечание? До конца статьи я ещё не дочитал сама статья интересная, если чтоно emerge -vp -p Все: RADIUS-сервер уже может работать: : Объем опять же довольно большо получается, и проверить надо много. Думаю, через неделю закончу. Решил у себя поковырять WPA2-Ent на т. Unifi с LDAP-бакэндом для radius'a. В качестве LDAP-а используется Zimbra Collaboration Suite 8. Проблема состоит в том, что если тестировать через radtest — все ок, а вот если с устройства пробовал на своей WP8 и каком-то стареньком андроиде — не удается подключиться. Those earlier messages will tell you. Sending delayed reject for request 15 Sending Access-Reject of id 113 to 192. Только зарегистрированные пользователи могут оставлять комментарии. Пометьте топик понятными вам метками, если хотите Метки лучше разделять запятой. Например: общение, социальные сети, myspace.