||||

Sieć Wi-Fi gościnna z Captive Portalem (WPA3-OWE)

PrzezRadosław Kierznowski

Ten artykuł jest kontynuacją serii o tworzeniu sieci w oparciu o rozwiązania kontrolerowe Aruby. Pokażę, jak skonfigurować sieć gościnną z Captive Portalem i jak zwiększyć bezpieczeństwo sieci otwartej na poziomie komunikacyjnym.

Jeśli chcesz obejrzeć instrukcję video – kliknij 🙂

Czym jest Captive Portal?

Captive Portal, to pierwsza strona, którą widzi użytkownik zaraz po podłączeniu się do sieci otwartej udostępnianej, np. przez centra handlowe. Istnieje możliwość spersonalizowania takiej strony. Najczęściej spotyka się formę checkboxu z akceptacją regulaminu i polityki prywatności korzystania z sieci Wi-Fi i wyświetlenia kilkusekundowej reklamy. Po obejrzeniu reklamy, sieć Wi-Fi zaczyna dostarczać internet.

Tutaj pokażę wariant korporacyjny, w którym Captive Portal prosi o podanie nazwy użytkownika i hasła. Najczęściej stosuje się to dla gości firmy, którzy mają różny sprzęt, a sieć otwarta jest wspierana zawsze. Uwierzytelnianie gości pozwoli na ograniczenie dostępu do sieci otwartej tylko dla gości, którzy zostali przez nas zaproszeni, czyli otrzymali dane do logowania przed spotkaniem. Dla takiego kontrahenta możemy po zalogowaniu wyświetlić produkty naszej firmy i ostatecznie może zakończyć się to zawarciem umowy współpracy.

Sieć Enhanced Open z zabezpieczeniem Opportunistic Wireless Encryption (OWE)

Sieć Enhanced Open (otwarta rozszerzona) jest kolejnym krokiem do zwiększenia bezpieczeństwa w sieciach otwartych. Zabezpieczanie połączenia jest zbliżone do bezpieczeństwa WPA3 i szyfruje połączenie radiowe między urządzeniami podłączonymi do sieci otwartej rozszerzonej a Access Pointem. Jest to zabezpieczenie OWE. Jeśli chodzi o urządzenia klienckie, sieć otwarta rozszerzona jest wspierana w większości smartfonów z systemem Android w wersji minimum 10. W tej wersji pojawiło się wsparcie dla takich sieci. Poniżej przykłady jak rozpoznać sieć otwartą rozszerzoną w systemach Android 10 i Windows 11.

Podgląd sieci bezprzewodowych w systemie Android 10. Na zielono jest zaznaczona sieć otwarta rozszerzona (kluczyk w okręgu) a na czerwono sieć otwarta bez żadnego zabezpieczenia (brak oznaczenia). Sieci z kłódką oznaczają zabezpieczenie WPA2, a kłódka z plusem WPA3.
Przykład sieci otwartej, bez żadnego zabezpieczenia w Windows 11
Przykład zabezpieczonej sieci otwartej rozszerzonej w Windows 11

Konfiguracja sieci gościnnej z Captive Portalem w rozwiązaniu kontrolerowym Aruby

Gdy już wiemy czym różni się sieć otwarta od otwartej rozszerzonej możemy przejść do konfiguracji. Domyślnie konfigurując sieć gościnną z Captive Portalem nie mamy możliwości wyboru zabezpieczenia w postaci sieci otwartej rozszerzonej i każda sieć gościnna, niezależnie czy jest z Captive Portalem czy bez jest siecią otwartą. Na tym etapie utworzymy sieć gościnną otwartą z Captive Portalem.

  1. Zaloguj się do Mobility Conductora.
  2. Przejdź do kontekstu katalogu konfiguracyjnego kontrolera, a następnie do menu Configuration > WLANs.


  3. Po prawej stronie zobaczysz taką tabelkę:


    Naciśnij Aruba_Plus_Icon
  4. W wyświetlonym formularzu tworzeniu nowego WLANu wypełnij pola według wzoru



    W formularzu należy wskazać nazwę sieci (SSID), jako podstawowe wykorzystanie wybrać Guest i wybrać AP grupy, w których ma być rozgłaszana sieć. Po podaniu podstawowych parametrów naciśnij Przycisk Next.
  5. Wybierz VLAN, do jakiego ma zostać przypisany klient po poprawnym podłączeniu się do sieci. Informację jak utworzyć VLAN znajdziesz w artykule Sieć Wi-Fi z hasłem współdzielonym (WPA3-SAE) w rozdziale Konfiguracja VLANu dla sieci.



    Po wybraniu odpowiedniego VLANu nacisnij Przycisk Next.
  6. Kolejnym etapem będzie wybór rodzaju Captive Portalu. Nas będzie interesował wewnętrzny Captive Portal z uwierzytelnianiem. Poniższa animacja przedstawia wszystkie dostępne rodzaje Captive Portalu.



    Po wybraniu odpowiedniego Captive Portalu naciśnij Przycisk Next.
  7. Domyślna rola dla sieci gościnnych jest niezmienialna. Naciśnij Przycisk Finish.
  8. Naciśnij Pending Changes i Deploy changes.

Zwiększanie bezpieczeństwa sieci gościnnej poprzez zmianę typu sieci z otwartej na otwartą rozszerzoną

  1. Pozostając w kontekście katalogu konfiguracyjnego kontrolera przejdź do menu Configuration > System i do zakładki Profiles.


  2. W wyświetlonym drzewie przejdź do profilu utworzonej sieci gościnnej przechodząc kolejno Wireless LAN > SSID > [nazwa sieci gościnnej]_ssid_prof, np. NAP-LAB-Guest_ssid_prof.
  3. Po wybraniu odpowiedniego profilu, po prawej stronie wyświetli się okno edycyjne profilu. Zlokalizuj ustawienie Advanced > Encryption i odznacz parametr opensystem i zaznacz enhanced-open.



  4. Przejdź trochę niżej i upewnij się, że jest zaznaczona opcja Opmode transition [Enable]
    Zaznaczenie tej opcji pozwoli na podłączenie się do sieci jak do sieci otwartej, w przypadku urządzeń niewspierających sieci otwartej rozszerzonej.
  5. Naciśnij Przycisk Submit, następnie Pending Changes i Deploy changes.

Od tego momentu Access Pointy w AP grupie LAB rozgłaszają sieć otwartą rozszerzoną z zabezpieczeniem OWE.

Dodawanie gości do lokalnej bazy użytkowników

  1. Pozostając w kontekście katalogu konfiguracyjnego kontrolera przejdź do menu Configuration > Authentication.


  2. Z listy serwerów wybierz internal i kliknij w link Guest user page.


  3. Na nowej karcie otworzy się panel zarządzania gośćmi. Naciśnij New w celu utworzenia konta dla spodziewanego gościa.


  4. W wyświetlonym oknie podaj nazwę użytkownika i hasło dla konta gościa lub wygeneruj te informacje. Warto wypełnić formularz wszystkimi posiadanymi informacjami, m.in. adresem e-mail, okresem ważności konta i kto jest sponsorem dla danego gościa. Podanie adresu e-mail umożliwi wysłanie informacji o koncie w wiadomości e-mail.



    Po wypełnieniu formularza naciśnij Create.
  5. Zaznacz Show details i kliknij w nazwę użytkownika. Możesz sprawdzić informacje o gościu i wysłać mu maila z danymi do logowania.

Test działania sieci

Po podłączeniu się do sieci gościnnej otworzy się strona z ekranem logowania.

Przykładowy formularz Captive Portalu

Po zalogowaniu się danymi podanymi w punkcie 4 instrukcji Dodawanie gości do lokalnej bazy użytkowników wyświetli się komunikat jak na poniższym obrazku.

Komunikat o pomyślnej autoryzacji

Od tego momentu można korzystać z Internetu w sieci gościnnej.

Możemy również sprawdzić listę podłączonych klientów. Jak widać na poniższym obrazku, są rozgłaszane dwie sieci, jedna otwarta i jedna otwarta rozszerzona. Sieć działająca w nowym standardzie Enhanced Open zawiera w nazwie prefiks _owetm_ i sufiks w postaci identyfikatora/sumy kontrolnej. Dzięki tym informacjom urządzenia końcowe wyświetlają najbardziej zgodną sprzętowo sieć i nie dublują SSID tej samej sieci. Choć przy pierwszym wyszukaniu sieci może się zdarzyć, że niezgodne urządzenie na chwilę wyświetli sieć z prefiksem _owetm_ lub zgodne wyświetli sieć otwartą i otwartą rozszerzoną.

Podgląd listy klientów podłączonych do kontrolera

W systemie Windows 11 widać typ zabezpieczenia OWE.

Szczegóły sieci Wi-Fi w Windows 11

Podobne wpisy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *