נניח ויש לי בית קפה קטן, ואני רוצה לאפשר גלישת אינטרנט אלחוטית לבאי המקום, אבל רק להם, לא גם לשכנים, או לסתם עוברי אורח.

כיצד ניתן להגביל את הגישה כך שרק הלקוחות יוכלו לגלוש ?

(אני מניח שקוד / כרטיס או משהו דומה, אבל מה בדיוק ואיך זה אמור לעבוד ?)

תודה !

השאלה היא כמה אתה מוכן להשקיע בפתרון. הפתרון הפשוט ביותר הוא להגדיר סוג כלשהו של סיסמא על הנתב ולמסור אותה רק לבאי בית הקפה. במצב הזה מומלץ להחליף את הסיסמא מדי פעם כיוון שטיבן של סיסמאות שנמסרות הוא להגיע לתפוצה שהולכת וגדלה...

השאלה היא כמה אתה מוכן להשקיע בפתרון. הפתרון הפשוט ביותר הוא להגדיר סוג כלשהו של סיסמא על הנתב ולמסור אותה רק לבאי בית הקפה. במצב הזה מומלץ להחליף את הסיסמא מדי פעם כיוון שטיבן של סיסמאות שנמסרות הוא להגיע לתפוצה שהולכת וגדלה...

נניח ואני מוכן להשקיע, מה האפשרויות העומדות בפני ?

השאלה היא כמה אתה מוכן להשקיע בפתרון. הפתרון הפשוט ביותר הוא להגדיר סוג כלשהו של סיסמא על הנתב ולמסור אותה רק לבאי בית הקפה. במצב הזה מומלץ להחליף את הסיסמא מדי פעם כיוון שטיבן של סיסמאות שנמסרות הוא להגיע לתפוצה שהולכת וגדלה...

בנוסף, אתה יכול לבדוק מי מחובר לרשת האלחוטית בזמן שאין לקוחות בבית קפה שמחוברים. ככה תזהה שכנים ש"מתלבשים" לך על הרשת. תקח את כתובת הMAC שלהם ותוסיף אותה לרשימת הMAC filtering כחסומים מהרשת (שיטת הblack list). אני מאמין שאם תעשה את זה במשך שבוע פלוס מינוס תוכל לחסום את רוב המתחברים. זה בשילוב הצפנת WPA עם קוד שמשתנה כל כמה ימים זאת הדרך הכי זולה ועם הכי פחות מאמץ לעשות מה שאתה רוצה.

החיסרון בהוספת הסינון הוא באנשים שהם גם שכנים וגם לקוחות. אם יהיו חסומים מהרשת בכל מצב בסופו של דבר.

שאר הדרכים שאני יכול לחשוב עליהם כרגע כוללות ציוד נוסף ויקר יחסית (לפחות מחשב נוסף שישמש כשרת רדיוס או כסוג של פרוקסי) ולא מעט מאמץ (להגדיר את האפשרויות).

בנוסף, אתה יכול לבדוק מי מחובר לרשת האלחוטית בזמן שאין לקוחות בבית קפה שמחוברים. ככה תזהה שכנים ש"מתלבשים" לך על הרשת. תקח את כתובת הMAC שלהם ותוסיף אותה לרשימת הMAC filtering כחסומים מהרשת (שיטת הblack list). אני מאמין שאם תעשה את זה במשך שבוע פלוס מינוס תוכל לחסום את רוב המתחברים. זה בשילוב הצפנת WPA עם קוד שמשתנה כל כמה ימים זאת הדרך הכי זולה ועם הכי פחות מאמץ לעשות מה שאתה רוצה.

החיסרון בהוספת הסינון הוא באנשים שהם גם שכנים וגם לקוחות. אם יהיו חסומים מהרשת בכל מצב בסופו של דבר.

שאר הדרכים שאני יכול לחשוב עליהם כרגע כוללות ציוד נוסף ויקר יחסית (לפחות מחשב נוסף שישמש כשרת רדיוס או כסוג של פרוקסי) ולא מעט מאמץ (להגדיר את האפשרויות).

תודה, אבל אני מחפש פתרונות מובנים יותר, גם אם יקרים יותר..

אין פתרון יותר מובנה מזה. שתי הפעולות הללו הן קנפיגורציות שבנויות כבר לתוך הנתב/נקודת גישה.

ע"מ שתהיה מניעת גישה (סיסמא) והמניעה תהיה רק ל"לא לקוחות" ברגע הנתון, כל לקוח צריך לקבל "זהות" יחודית חד פעמית. בשביל שנקודת הגישה תדע מי לקוח ומי לא יש צורך במסד נתונים על גבי שרת, כלומר מחשב. למשל, שרת רדיוס שכל לקוח חדש מקבל ממנו סיסמא חדשה ויחודית שנמחקת מהרשומות אחרי עזיבתו. לכל זה אתה זקוק לקוד שירוץ מהשרת, אבל גם אם תמצא קוד כזה, תדרש לאינטגרציה (לכתוב או לשנות את הקוד).

אין פתרון יותר מובנה מזה. שתי הפעולות הללו הן קנפיגורציות שבנויות כבר לתוך הנתב/נקודת גישה.

ע"מ שתהיה מניעת גישה (סיסמא) והמניעה תהיה רק ל"לא לקוחות" ברגע הנתון, כל לקוח צריך לקבל "זהות" יחודית חד פעמית. בשביל שנקודת הגישה תדע מי לקוח ומי לא יש צורך במסד נתונים על גבי שרת, כלומר מחשב. למשל, שרת רדיוס שכל לקוח חדש מקבל ממנו סיסמא חדשה ויחודית שנמחקת מהרשומות אחרי עזיבתו. לכל זה אתה זקוק לקוד שירוץ מהשרת, אבל גם אם תמצא קוד כזה, תדרש לאינטגרציה (לכתוב או לשנות את הקוד).

אם אני מבין נכון, אתה מדבר על שרת שיושב בין הלקוחות לבין הראוטר, ומחליט למי יש גישה ולמי לא,

מי שאין לו גישה - מופנה לדף להקלדת קוד גישה, ומי שיש לו גישה, מועבר לדף שאותו הוא ביקש.

הבנתי נכון ?

במידה וכן, צריך תוכנה שמותקנת על השרת, שכל הגישה תהיה דרכה, שיודעת לבצע את הבדיקה ולהחליט האם המשתמש מורשה.

1. ברמה הטכנית, אם יש לי כזו מכונה, איך אפשר לגרום לכל שכל התקשורת תועבר דרכה ?

כלומר, שהגולשים יגיעו אליה, ולא לראוטר ? (הרי אי אפשר לקבוע את המכונה הזו כפרוקסי במחשב של כל לקוח ולקוח)

2. ברמת התוכנה, ברור שאפשר לכתוב תוכנה שעובדת מול DB וכו', אבל אני מניח שאני לא הראשון שמחפש פתרון כזה, האם אין משהו קיים ?

(לאו דווקא חינם)

תודה !

לא, אתה לא יכול לשים משהו "בין" הנתב ללקוחות.

אתה יכול לשים פרוקסי שישב "בין" הנתב לאינטרנט ויאלץ את מי שמחובר להקיש שם וסיסמא או רק סיסמא בדף web ע"מ להתחיל לגלוש. במצב כזה ההצפנה על הרשת פחות חשובה במניעת התחברות של זרים (יכלו להתחבר אולי, אבל לא לגלוש). זאת אפשרות אחרת ולא מה שתיארתי בהודעה הקודמת. בכל מקרה זאת אפשרות יותר מסובכת.

מה שאני תיארתי היה משהו אחר. פרוטוקול האימות של התקן האלחוטי (802.11i) מאפשר לבצע את האימות מול שרת רדיוס, כלומר במקום סיסמא משותפת אחת, אפשר ליצור פול של סיסמאות שמתעדכנת בזמן אמת. השרת הזה יושב "בצד" של הרשת (מחובר רק לנתב). לקוח שמכניס סיסמת הצפנה בהתחברות נבדק מול השרת, אם הקוד נמצא בפול אז תתאפשר לו הכניסה. הסיסמא שלו נמחקת ברגע שאתה מחליט בעצם.

יש תוכנות לשרתי רדיוס לHOTSPOT'ים, הן לא פתרון קופסא מלאות כיוון שבכל זאת צריך להגדיר בהן את מה שאתה רוצה שהן יעשו בדיוק. יש גם כמבון פתרונות חינם מבוססי UNIX/LINUX, אבל זה אף פעם לא פשוט