Wireless access authentication

[bankster]

ทำไงดี
อยากให้ เวลา
access wireless network
มีกลไกมา get username และ password [user authentication]
แล้วจึงสามารถเข้ามาใช้บริการ internet ที่เรา เปิดไว้ได้

ของผม มี wireless router เป็น access point  เชื่อมต่อกับ internet แล้ว
มี notebook กับ pocket pc
เป็น client

หรือ มีวิธีอื่นที่จะช่วย
ป้องกันไม่ให้คนอื่นเข้ามาใช้ wireless ของเรา

ขอบคุณล่วงหน้าคับ
จากผู้ไม่รู้และอยากรู้

[Chotipat Pornavalai]

ยินดีต้อนรับ Bankster สู่คณะ IT ลาดกระบังครับ 

ที่เห็นก็จะมีหลายแบบเช่น Authenticate ผ่าน Web browser โดยใช้ SSL อันนี้มีใช้ที่คณะฯ

อีกแบบคือ Authenticate แบบใช้ WPA ครับซึ่งมีอีกหลาย Mode เช่น WPA-PSK เป็นต้น

ที่ว่ามานี้ผมคิดว่ามันขึ้นกับว่า Wireless Router ว่า Support การ Authenticate พวกนี้หรือไม่ครับ ต้องไปดูที่อุปกรณ์ที่คุณใช้ครับ แต่ส่วนใหญ่อุปกรณ์ Wireless Access Router ตามบ้านน่าจะเป็นแบบใช้ WPA ครับ

ส่วนวิธีอื่นๆที่จะป้องกันไม่ให้ผู้อื่นเข้ามาใช้ Wireless ของเรา ก็มีอีกหลายวิธีเช่น ไม่ Broadcast SSID ออกไป

[bankster]

อืมคับ ต้องขอบคุณ อาจารย์ โชติภัทร มากเลยคับ
ที่มาตอบข้อสงสัย(อีกแล้ว)ให้

เรื่อง Disable Boardcast SSID ผมได้ปิดไปแระคับ อันนี้อ่านเจอในเว็บ http://www.thelordofwireless.com
ส่วนเรื่อง Authentication แบบ Secure Socket Layer(SSL)
ยังคงต้องค้นคว้าต่อไปคับ

เอาเป็นว่าเดี๋ยวถ้าผมสงสัยอะไรอีก ผมจามาโพสท์ ถามไว้ที่นี่นะคับ
ขอบคุณมากคับ

[bankster]

เหอ ๆ อยากทราบหลักการ
ของการให้บริการ Wireless Lan ของ สถาบันอ่ะคับ
ที่ พอ connect to SSID แล้ว
เปิด webpage ก้อจา redirect ไป ที่
login page อ่ะคับ
ก่อนที่จะสามารถ ใช้บริการ Internet gateway
ได้อ่ะคับ

[Lapas Pradittasnee]

ขอตอบคร่าว ๆ นะครับ

หลักการสำคัญของการให้บริการ wireless LAN ของสถาบันก็เป็นการย้ายสิทธิในการ authentication จากตัว Access Point ไปเป็นที่ Server  เนื่องจาก wireless network ของสถาบันประกอบไปด้วย Access Point เป็นจำนวนมาก  จึงเป็นการยุ่งยากที่จะให้ Access Point เป็นตัวทำ Authentication สำหรับตัว Client (เครื่องคอมพิวเตอร์) เพื่อเข้าสู่ระบบ  ยกตัวอย่างเช่นถ้าใช้ WEP ในการ Authen ก็ต้องทำการเซ็ตค่า WEP key ที่ Access Point ทุกตัว  จึงเป็นการสะดวกกว่ามากถ้าตั้งให้มี server มารับหน้าที่ในการ authen แทน  และให้ Access Point ทำหน้าที่เป็นเพียงตัวกลางในการสื่อสารระหว่าง client  กับ Authentication Server

โดยช่วงแรกที่เห็นว่าสามารถ connect กับ Access Point ได้โดยการใช้ค่า SSID นั้นจะเป็นการที่ Access Point ยอมให้ Client เชื่อมต่อได้แบบจำกัดเท่านั้น  เพื่อให้ client สามารถทำ Authentication Process กับ Sever ได้  และเมื่อเราใส่ user name กับ password ที่หน้า login เรียบร้อย  server ก็จะทำการเช็คความถูกต้อง  ถ้าผ่าน  ก็จะแจ้งไปยัง Access Point ให้อนุญาติให้ Client สามารถเชื่อมต่อกับเครือข่ายได้ตามปกติ

[bankster]

ขอถามอีกนิดนะครับ

-ตรงนี้เป็นการ authenticate เพื่อให้ client เป็น members ของ Network
แล้วจึงสามารถใช้ public resources ของ Network ใช่หรือไม่

- access point ที่ใช้สร้าง connection between client and auth server
ต้อง เป็น Access point แบบไหน และจะ Config ค่าด้วยวิธีใด

- Access point มี Feature ใน ข้อ สอง มาให้ หรือ ว่าต้อง ใช้ การ Config เอง
หรือ ว่า ต้อง เขียน โปรแกรม

- Authentication Server จะ run authentication script ได้เหมือนกับ web server ทั่วไป หรือไม่ ถ้าไม่ แล้ว ใช้วิธี ใด

- Authentication Script Implement ด้วย Web Application Language เช่น
PHP,ASP ได้หรือ ไม่

- หาก จะทำ Internet Access Authentication ใน Network
ที่มี เครื่อง คอมพิวเตอร์ เป็น member ของ network แล้ว
จะต้องทำอย่างไร ทำ ผ่าน proxy server ได้ไหม

ขอบคุณล่วงหน้า สำหรับคำตอบนะครับ
Bankster

[Lapas Pradittasnee]

-ครับ  การ authentication แบบนี้จะเป็นการทำเพื่อพิสูจน์ว่า client ที่จะเข้ามาเชื่อมต่อด้วยนั้นสามารถที่จะเป็น member ของ network หรือไม่  โดยของสถาบันก็ให้ผู้ใช้ใส่ user name กับ password ซึ่งได้มาลงทะเบียนกับสถาบันไว้

- อืมม  อันนี้ก็ต้องขึ้นกับมาตรฐานที่ใช้นะครับ  ยกตัวอย่างมาตรฐานที่เป็นมาตรฐานกลางที่ใช้ในการ authen ระหว่าง client กับ authen server เช่น 802.1x  ในการคุยกันระหว่าง client, authenticator (access point) และก็ authen server ก็มีได้หลายรูปแบบ เช่น EAPหรือ LEAP ซึ่ง ayccess point แต่ละยี่ห้อก็อาจจะเลือกสนับสนุนโปรโตคอลที่ต่างกัน  การ config ก็จะแตกต่างกันออกไปตามยี่ห้ออุปกรณ์ที่เลือกใช้ครับ โดยเราต้องเลือก Access Point ที่สนับสนุนโปรโตคอลที่เราต้องการใช้  รวมทั้งมีการ config ที่ตัว client ด้วยเช่นกัน   ถ้าใช้ wireless adapter ของ cisco นั้น feature พวกนี้จะมากับโปรแกรม Aironet Client Utility ครับ  ไม่ต้องเขียนโปรแกรมเอง  ถ้าเป็น adapter ยี่ห้ออื่นก็ต้องลองดูที่ website ของยี่ห้อนั้น ๆ ดูครับว่ามีตัว client utility ที่ support การ authen แบบนี้หรือเปล่า  อันนี้ตอบรวมข้อสองกับข้อสามเลยนะครับ

-ข้อสี่กับห้านี่ผมไม่แน่ใจในรายละเอียดจริง ๆ  ส่วนข้อหกที่ผมไม่ค่อยเข้าใจคำถามนัก  ไม่รู้ว่าถามถึงการทำ internet access authenticaion กับเครื่องคอมที่ผ่านการพิสูจน์ตัวเอง  จนเข้าเป็น member ของ network แล้วหรือเปล่า 

[bankster]

All right , All the things I need to know now I get !!
Thanks for your helpful answer
(Look back to my question It look so damn sorry for this so much)
The direct answer for me and for this question
is about Radius Server (the authentication server)

Now I can imagine and Illustrate how the authentication
process running

Client connect to Authenticator(wireless Access Point or Wireless Router) via
EAP in 802.1x then Authenticator connect to Radius Server (Authentication Server)
for doing a authentication process , If qaulified client be the members of network and can use the public resources of that network (Internet,File Sharing,...)

Finally I wanna say Thankyou to these people

- A.Chotipatt Pornnavalai
- A.Lapas Pradittasnee
- P' Gundam

for your best regards

 for anyone who need to get more information about
wireless sequrity method I recommend this link :

http://www.thaicert.nectec.or.th/paper/wireless/IEEE80211_4.php

[NewZ]

  ขอ เด็กไม่ใช่สาย network มา งงเล้กน้อย