Crypter la connexion WiFi par utilisateur connecté

Différente clé de chiffrement par utilisateur

Il est important de commencer par clarifier votre question car la terminologie est importante lors de la discussion du cryptage: je pense qu'une question plus pointue de la poursuite de votre objectif est de "quelle technologie permettrait une clé de cryptage suffisamment différente par utilisateur, de sorte que lorsque plusieurs utilisateurs se trouvent sur le même AP, il serait très difficile de voir le trafic ordinaire des autres? "

Le système WPA2 (actuellement la solution standard et relativement sécurisée à la confidentialité et à l'intégrité de l'air) utilise des touches individuelles pour chaque client (appelées touches paires) qui sont basées sur une clé présparé (où la même clé simple est donnée à chaque utilisateur) ou une initialisation aléatoire (pour une authentification sauvegardée 802.1x).

Lorsque vous utilisez un PSK, il y a une poignée de main à quatre voies (bonne discussion sur un processus à 4 voies ici: Comment fonctionne exactement le travail de la poignée de main à 4 voies? ) qui commence par le PSK sur le client et AP et une preuve de connaissance nulle est utilisée pour vérifier que l'autre connaît vraiment le droit PSK sans divulguer ce qu'il est avant de procéder (pour éviter de donner la clé à l'éloignement d'un voleur). Le résultat final est une session de cryptage ensemencée basée sur la PSK, mais en utilisant des informations nouvellement générées. (Superbe réponse à propos de la saisie ici: WPA2 Enterprise Enterprise AES Taille de la clé de cryptage? ) Cela signifie que, si vous commencez avec uniquement la PSK et observant la session d'un autre utilisateur déjà en cours, vous allez Non Pour être capable de déchiffrer facilement les données puisque vous ne connaissez pas la nonce aléatoire. Vous devez avoir enregistré la poignée de main à quatre voies pour connaître la nonce et posséder le PSK, de décrypter facilement une session WPA2 en cours.

Le rayon est-il implémenter cela

Le protocole 802.1x est une authentification basée sur des ports soutenue par une sorte de serveur AAA (généralement rayon). 802.1x ne forme pas la session de cryptage, il ne fait que définir la scène pour cela. Après une authentification réussie du nom d'utilisateur et de mot de passe (faites dans un tunnel crypté), AP commence une session cryptée WPA2 avec une graine suffisamment secrète et aléatoire que devinant d'autres utilisateurs authentifiés au même AP est suffisamment difficile (voir Discussion: https://superuser.com/questions/373453/802-1x-Quelt-exactly-is-it-regarding-wpa-and-epr user-wpa-and-eap et produit du monde réel: http: // freeradius. org/entreprise-wifi.html ).

Peut-il aussi être fait avec une simple maison AP

À la suite de 2015, vous trouverez à la fois des APS de l'étagère (moins de 50 $ MPRP), support pour WPA2-Enterprise, qui implémente 802.1x basé sur un serveur Radius. La plupart, cependant, n'incluent pas également le serveur Radius, il n'est donc pas une solution autonome. Vous devrez avoir ou implémenter un serveur Radius sur votre réseau (packages gratuits et commerciaux sont disponibles) ou vous abonner à un service comme authenticatemywifi ( http://www.nowiressecurity.com/#!Hosted-Cloud- radius-8021x-service/C1739 ). Voir http://www.ciscopress.com/articles/printerlidy/1576225 Pour plus d'informations sur les pièces impliquées dans la mise en œuvre 802.1x.