佐须之男 发布的文章

浅谈WLAN运营中Portal认证安全性

WLAN运营有多种认证方式,但最常用的方式为弹出Portal登录页面。即:用户搜索到运营商的AP后,连接进去获得IP地址,打开浏览器,输入账号和密码便可登录。

这种方式虽然简单方便,但由于AP的接入没有采用WEP和WPA2等加密方式,空中信道很容易被侦查破解,黑客能够截获空中传输的账号和密码。因此该方式安全性较低。

如何提高登录页面的安全性呢?据城市热点总结,目前大部分WLAN运营商采用以下几种方案:

  1. Portal服务器与BRAS和Radius服务器采用CHAP的认证方式

  2. HTTPS的登录页面方式

  3. 手机短信获得动态密码的方式

下面城市热点将对这三种方式进行论述与比较。

1.方案1的认证方式最为简单实用,也非常安全。其中Radius标准提供了两种可选的身份认证方法:口令验证协议PAP(Password Authentication Protocol,PAP)和质询握手协议(Challenge Handshake Authentication Protocol,CHAP)。如果双方协商达成一致,也可以不使用任何身份认证方法。质询握手协议认证(CHAP)相比口令验证协议认证(PAP)安全性更高,因为CHAP不在线路上发送明文密码,而是发送经过摘要算法加工过的随机序列,也被称为"挑战字符串"。

与此同时,身份认证可以随时进行,包括在双方正常通信过程中。因此,这种方式下传输的密码具有时效性。

采用PAP的认证方式,密码是明码或者采用可逆算法传输,而且可以通过查看登录页面的源代码查到加密的算法,因此可以很容易地找到破解的算法。而CHAP采用MD5的加密方式是不可逆的,算法是公开的,也就是说侦听者无法从加密后的结果去反算出密码,在整个认证过程中的只有Radius server和用户知道密码,包括BRAS等接入设备也只是传输MD5加密后的结果,加密采用一个挑战值的方式,每次认证都不一样,加密的结果也是每次不同,即使被黑客获得,也会在下一次认证时失效。

  1. Https的登录页面方式,安全性是最高的,因为动态SSL的证书加密方式,目前无法破解,但是需要portal服务器购买正式的网站证书,成本也比较高。

3.目前移动运营商多数采用手机短信获得动态密码的方式,密码仅在10-20分钟有效,这种方式与CHAP的安全机制有异曲同工之处,均采用限制密码的有效周期这一手段。该方法虽安全性高,但每次至少使用一条短信,成本也就随之升高,并且操作手段相对繁琐。

通过上述论证,城市热点认为这三种方式彼此独立,互不矛盾,都是提高运营商认证安全的很好方法,也可混合使用。作为宽带计费第一品牌,城市热点提供的整体解决方案中均涵盖了这三种方式,可根据用户的需求提供最佳方案,扬长避短,以达到最优结果!

本文章由 http://www.wifidog.pro/2015/06/03/wifidog-portal-%E8%AE%A4%E8%AF%81%E5%AE%89%E5%85%A8%E6%80%A7.html 整理编辑,转载请注明出处

DD-wrt+Wiwiz搭建私人免费(收费)WiFi认证页面+详细的操作教程

系统需求
硬件:已安装了DD-WRT固件的无线路由器
注:
DD-WRT的Wifidog功能是必须的。所以请选择正确的DD-WRT版本
将无线路由器接入Internet。
设置并启用无线网络,即使用无线路由器创建一个可用的Access Point。
在无线路由器的Web用户界面中SSHD(或Telnet)功能。
另外,需要确保:
Cron服务已启用
Wifidog服务已禁用
已启用JFFS2支持
在Web控制面板中创建热点
登录到Web控制面板,访问http://cp.wiwiz.com/as/
点击“我的热点”,在接下来的页面中点击“创建热点”。根据页面的提示完成各项设置,点击保存。
你将会看到你刚创建热点的Hotspot ID。记下它,接下来的步骤将会用到它。
安装与设置HotSpot Builder Utility组件
将一台PC连接至你的无线路由器,用telnet或者ssh方式连接到无线路由器(如,在PC上执行“telnet 192.168.1.1”)。
执行以下命令:

# cd; wget http://dl.wiwiz.com/hsbuilder-util-latest-DD-WRT.tar.gz
# cd /jffs; tar -zxf /tmp/root/hsbuilder-util-latest-DD-WRT.tar.gz
# /jffs/usr/local/hsbuilder/hsbuilder_setup4dd-wrt.sh -dest /jffs setup

然后按照提示完成设置。
特别地,你需要输入的Hotspot ID就是你在Web控制面板中创建的热点的Hotspot ID(不是热点的名称)。User Name是你在控制面板注册的用户名。
现在,如果没有报错信息,那么安装已经完成了。
最后,你可以使用一个Wi-Fi客户端(如带WLAN适配器的PC或者支持Wi-Fi的移动电话)测试一下你的热点:
1)搜索可用Wi-Fi热点,并连接到你的热点。
2)打开Web浏览器,输入任何一个HTTP开头的网址。如果你的热点的认证页面能够显示出来,就说明你的热点已经正常运转了。
在不支持JFFS2的情况下的安装方法
若您用的DD-WRT版本不支持JFFS2或没有足够的JFFS2剩余空间,也可以将Wiwiz HotSpot Builder Utility安装在/tmp目录或其他可存储的目录下,即通过Telnet或SSH连接至DD-WRT设备后执行以下命令(需要先将你的DD-WRT设备连接至Internet):

cd; wget http://dl.wiwiz.com/hsbuilder-util-latest-DD-WRT.tar.gz
cd /tmp; tar -zxf /tmp/root/hsbuilder-util-latest-DD-WRT.tar.gz
/tmp/usr/local/hsbuilder/hsbuilder_setup4dd-wrt.sh -dest /tmp setup

注意:
一般,DD-WRT设备重启后/tmp将会被自动清空,之前的安装设置也会失效。如果希望每次DD-WRT设备重启后依然能保持Wiwiz的设置,可以尝试以下方法:
将你的DD-WRT设备连接至Internet。
打开浏览器进入DD-WRT的Web管理界面(通常的地址是http://192.168.1.1),选择“管理”->“命令”标签页,在“指令”中输入以下内容(将HOTSPOTID和USERNAME分别替换为您实际的Hotspot ID与Wiwiz用户名):

if [ ! -e "/tmp/usr/local/hsbuilder/hsbuilder.sh" ]; then
wget -O - "http://dl.wiwiz.com/hsbuilder-util-latest-DD-WRT.tar.gz" > /tmp/hsbuilder-util-latest-DD-WRT.tar.gz
cd /tmp; tar -zxf /tmp/hsbuilder-util-latest-DD-WRT.tar.gz
/tmp/usr/local/hsbuilder/hsbuilder_setup4dd-wrt.sh -dest /tmp qsetup -hotspotid HOTSPOTID -username USERNAME
fi

然后点击“保存为防火墙指令”。之后,重启DD-WRT设备,并等待数分钟至Wiwiz客户端加载完成。

本文章由 http://www.wifidog.pro/2015/06/02/DDWRT%E5%AE%89%E8%A3%85wiwiz.html 整理编辑,转载请注明出处

wiwiz 虚拟机详细教程

手动配置电脑ip 外网的网线连接无线路由器的wan口 电脑连接无线路由器lan口(不能用无线连接必须有线连接)

路由的ip地址 192.168.1.1 子网掩码 255.255.255.0

路由器的 DHCP服务 和upnp 关闭
虚拟机服务

VMware NAT Service
VMware DHCP Service  这两项必须开启

下载Wiwiz的虚拟机镜像。下载后解压缩到本地硬盘。双击解压缩后的扩展名是.vmx的文件,VMWare就会自动启动虚拟机

打开虚拟机 选择 移动它
等待虚拟机启动加载完成,直到出现“wiwiz login: ”字样

输入 root

密码 wiwiz-user 上面不会有显示
然后输入

# /usr/local/hsbuilder/hsbuilder_setup.sh setup   

选择
piease select external NIC typically the one going out to the inernet

eth0
piease select internal NIC typically wifi interface

eth1

piease input hotspot ID

你的无线热点ID

piease input user name

你的wiwiz登录账号

piease input server address and

cp.wiwiz.com:80,cp.wiwiz.co.cc:80,cp2.wiwiz.com:80,cp3.wiwiz.com
:80,125,39,111,239:80,123.150.173.239:80,74.117.62.157:80

Do you want DHCP service to be configured? lf you select NO to skip
it, you need to configure DHCP service manually later.

yes

DHCP setting: piease input Network ip
192.168.1.0

DHCP setting:piease input NETMASK
255.255.255.0

DHCP setting:piease input IP of Gateway (it should be the IP of this machine)

193.168.1.250

DHCP setting please input DNS

192.168.124.2

DHCP setting please input IP Range of this Network

192.168.1.10 192.168.1.249

DHCP SERVICE CONFIGURATION completed. THE new
conf iguration file is saved to
/etc/dhcpd.conf.the old conf iguration file isbacked up to /etc/dhcpd.conf.bak

ok

本文章由 http://www.wifidog.pro/2015/06/01/wiwiz%E8%99%9A%E6%8B%9F%E6%9C%BA%E8%AF%A6%E7%BB%86%E6%95%99%E7%A8%8B.html 整理编辑,转载请注明出处

Wiwiz实现无线认证系统

在网上了解到,许多实现无线或者有线Web验证的方案都用到 WiFi无线热点管理系统
目前比较主流的有:ros wiwiz 海蜘蛛这几个。ROS全称RouterOS软路由,最强大,但是比较复杂,海蜘蛛很容易,但效果一般般,WiWiZ实现一般,效果比较好,目前大部分研究的是wiwiz.为什么选择Wiwiz?并不是因为多人选我们就根从,而是因为它适合我们。

Wiwiz是一个开发式的系统,、装配置灵活,可以安装到路由器或者本地计算机、虚拟机都可以。通过Wiwiz Web控制面板创建并定制自己的热点。包括认证方式、是否付费及费率、认证页面的外观样式、颜色、图片以及服务条款都可以进行定制。为用户有偿提供网络服务。

Wiwiz系统,全称Wiwiz HotSpot Builder,一个WiFi无线热点管理系统,也可用于有线,
创建强制门户/认证页面。
Wiwiz HotSpot Builder的组成:
1、Wiwiz Web控制面板
2、客户端-Wiwiz HotSpot Builder Utility
部署了Wiwiz系统的计算机、路由器或者无线路由器充当WIFI网中的Internet网关。
可以实现Web认证。市面上创建商用Wifi热点的做法一般都是用强制网络门户系统(Captive Portal)/热点管理系统
来实现的。他们的原理都类似,需要一个防火墙/网关系统,一个用于认证管理和控制的后台系统。
常见的技术解决方案有NoCat、Wifidog、Chillispot等。有一些整套的解决方案,FON、Wiwiz、
ile sans fil、Sputnik、FreeSpot,这些要money的哦。

本文章由 http://www.wifidog.pro/2015/05/27/wiwiz%E8%AE%A4%E8%AF%81-1.html 整理编辑,转载请注明出处