Как ограничить доступ к wifi определенному пользователю

Как ограничить доступ к Wi-Fi

Вступление

Wi-Fi стал настолько популярным, что наличие роутера является скорее правилом, чем исключением. Но, несмотря на все удобства, следует учесть, что домашняя Wi-Fi-сеть видна и другим. Удостоверьтесь сами, сколько в вашем доме отображается доступных подключений. Вряд ли одно или два, обычно их количество достигает десятка и более. Так же и соседи могут видеть вашу сеть среди других доступных.

Мало кто хочет, чтобы посторонние пользователи получили доступ к личной беспроводной сети

Но при несоблюдении определённых мер предосторожности к вашему подключению смогут подсоединяться посторонние. Чем это чревато? Как минимум потерей скорости интернета. Вы не будете получать полную скорость своего канала связи, если кто-то подключится к нему за ваш счёт. Но куда опаснее ситуация, если к вашему Wi-Fi подключится злоумышленник, который может воспользоваться передаваемыми данными в своих интересах.

Чтобы не подвергаться такому риску, необходимо ограничить доступ к своему Вай-Фай. Ниже читайте рекомендации, как это можно осуществить.

Доступ к интернету для конкретного перечня устройств

Что такое mac-адрес и как его узнать

Каждому сетевому устройству ещё при изготовлении на заводе присваивается специальный mac-адрес — своеобразный уникальный цифровой отпечаток пальца. Он выглядит как «A4-DB-30-01-D9-43». Вам для дальнейших настроек нужно знать mac-адрес отдельно взятого аппарата, которому вы собираетесь предоставить доступ к Wi-Fi. Как его отыскать?

Windows

Вариант 1. Через «Центр управления сетями»

• Между значками батареи и звука находится иконка интернет-соединения. Клик правой кнопкой мыши — выбираем «Центр управления сетями и общим доступом».
• «Просмотр активных сетей» — строка «Подключения», клик на имени соединения — «Сведения».
• В строчке «Физический адрес» и будет представлен mac-адрес ноутбука.

Вариант 2. Через «Параметры» (для Windows 10)

• Нажимаем «Пуск» — «Параметры» — «Сеть и Интернет» — «Wi-Fi» — «Дополнительные параметры» — «Свойства».
• «Физический адрес» и является mac-адресом ноутбука.

Вариант 3. Через командную строку

• Зажмите Win+R — введите cmd (или Win+X — Командная строка (администратор) на Windows 8.1 и 10).
• Напечатайте команду ipconfig /all.
• В разделе «Адаптер беспроводной локальной сети. Беспроводная сеть» в строке «Физический адрес» содержится требуемая информация.

Android

• «Настройки» — «Беспроводные сети» — «Wi-Fi» — кнопка меню — «Дополнительные функции».
• Требуемые данные находятся в строке MAC-адрес.

iOS

«Настройки» — «Основные» — «Об этом устройстве» — «Адрес Wi-Fi».

После того, как вы обнаружили идентификатор устройства, запишите его или просто запомните. Теперь приступим к следующему этапу — наладим через роутер доступ требуемому оборудованию.

Настройка роутера

Поначалу войдите в веб-интерфейс установок. С помощью браузера пройдите по адресу 192.168.0.1 либо 192.168.1.1. Введите логин и пароль — admin/admin либо admin/parol. Эти комбинации действуют на большинстве устройств. Если доступ отсутствует, проверьте информацию на нижней поверхности роутера либо в инструкции к нему.

Расположение пунктов меню может отличаться в зависимости от фирмы-изготовителя, но базовые принципы применимы для всех устройств.

1. В разделе «Настройки Wi-Fi-сети» включите фильтрацию по mac-адресу, потому что изначально она отключена.
2. Во вкладке «Фильтрация MAC-адресов» добавьте адреса устройств, которым вы собираетесь предоставить доступ к Wi-Fi.

Теперь воспользоваться Вай-Фай можно только через те аппараты, которым вы забронировали адреса. Злоумышленники не получат доступ к вашим данным.

Другие возможности ограничения доступа

Замена пароля сети и роутера

Если вы не изменяли пароль своего Wi-Fi, замените его. Причём желательно делать это это регулярно. В установках безопасности сети придумайте новый пароль. Не менее важно заменить и заводской пароль, и логин входа при установке маршрутизатора. Стандартная комбинация — наилегчайший способ получить доступ к соединению.

Правильный протокол шифрования

Изначально шифрование соединения отключено. В параметрах на роутере измените протокол безопасности. Настоятельно рекомендуем WPA2-PSK — он является самым безопасным.

Невидимая сеть

В разделе «Настройки беспроводной сети» замените дефолтное имя. После подсоединения требуемых устройств запретите трансляцию SSID. Собственно, никто посторонний вашу сеть попросту не увидит и не сможет получить к ней доступ.

Заключение

Мы перечислили разнообразные варианты того, как ограничить доступ к своей Wi-Fi-сети сторонним пользователям. Оптимальным вариантом будет фильтрация по mac-адресу. Но лучше всего применить несколько действий в комплексе.

Также ожидаем ваших комментариев и отзывов. Надеемся, вы сможете поделиться собственным опытом.

Настройка и ограничение доступа пользователей к сеансам Wi-Fi

В следующем примере приведено пошаговое руководство по ограничению доступа пользователей к сеансам Wi-Fi с помощью UserLock, с использованием аутентификации RADIUS и учета RADIUS . Вы также найдете инструкции по настройке точки доступа Wi-Fi Cisco Aironet 1700 с предварительно настроенным сервером NPS.

Обзорная диаграмма

Начало работы

Условные обозначения

Обратите внимание, что в этом примере мы используем следующие условные обозначения:

• «NPS» относится к «серверу политики сети» (доступен для Windows Server 2008 и более поздних версий) или «IAS» для обозначения «службы проверки подлинности в Интернете» (доступен для Windows Server 2003 и более ранних выпусков).
• «NpsSrv» - это имя сервера политики сети.
• 192.168.1.2 - это IP-адрес NPS-сервера.
• 192.168.1.3 - это IP-адрес точки доступа Wi-Fi.

Требования

• Точка доступа Wi-Fi, совместимая и настроенная с использованием аутентификации RADIUS и учета RADIUS .Примером такого устройства является Cisco Aironet 1700, которое будет использоваться в этом документе.
• Если RADIUS Accounting не настроен, UserLock не будет получать уведомления о выходе из системы, поэтому его данные будут неполными. Вот почему все экземпляры RADIUS Accounting выделены жирным шрифтом .
• Сервер сетевой политики (NPS).

Банкноты

RADIUS (Служба удаленной аутентификации пользователей с телефонным подключением) - это протокол для аутентификации и учета.RADIUS Authentication и RADIUS Accounting - это две разные вещи, и обе они необходимы для совместимости с UserLock. Обычно RADIUS Authentication находится на порту 1812 или 1645, а RADIUS Accounting находится на порте 1813 или 1646.

NPS - это реализация Microsoft RADIUS из Windows Server 2008. Он является преемником IAS, используемого в выпусках до Windows Server 2003.

Wi-Fi - это стандарт беспроводной связи.Есть возможность настроить RADIUS для Wi-Fi в зависимости от точки доступа. RADIUS Authentication и Accounting необходимы для UserLock для управления сеансами Wi-Fi.

В настоящее время невозможно выйти из сеансов Wi-Fi (и VPN) с помощью UserLock. Это возможно только в интерактивных (настольных) сеансах и IIS.

Как настроить точку доступа (AP)

Настроить новую виртуальную локальную сеть

1. Откройте веб-консоль администрирования точки доступа Wi-Fi.

2. Перейти в «УСЛУГИ» / «VLAN»

3. Чтобы настроить VLAND ID, выберите параметры «Native VLAN», «Radio0-802.11N2.4GHZ» и «Radio0-802.11N5HZ».
   Нажмите «Применить»

Настроить сервер NPS

1. Если на сервере не был создан сертификат, создайте его (см. Https: // www.youtube.com/watch?v=lNQd1Nj1bn8).

   В некоторых случаях (например, сразу после добавления роли NPS к серверу) необходимо сбросить конфигурацию NPS до значения по умолчанию. Для этого:

   - Создайте резервную копию «C: \ Windows \ System32 \ ias \ ias.xml» и «C: \ Windows \ System32 \ ias \ iasTemplates.xml».

   - Выполните следующие команды: «

   • СТОП НЕТТО IAS
   • Del C: \ Windows \ System32 \ ias \ ias.xml
   • Del C: \ Windows \ System32 \ ias \ iasTemplates.xml
   • НАЧАЛО НЕТТО IAS

2. В разделе конфигурации сервера NPS добавьте точку доступа Wi-Fi в качестве клиента RADIUS, щелкнув правой кнопкой мыши «Radius Clients» и выбрав «Создать».

3. Чтобы включить Radius-клиент, введите имя для этого Radius-клиента, введите IP-адрес точки доступа и, наконец, введите общий ключ или позвольте ему сгенерировать его.
   Нажмите ОК, чтобы подтвердить.

4. Выберите сервер Radius и нажмите «Настроить 802.1X»

5. Выберите «Безопасные беспроводные подключения», введите новое имя или оставьте имя подключения по умолчанию и нажмите «Далее».

6. Оставьте по умолчанию и нажмите «Далее».

7. Выберите «Microsoft Protected EAP (PEAP)» в раскрывающемся списке.

   
   Нажмите «Настроить ...»

8. Сертификат будет обнаружен автоматически (см. Требования), нажмите OK для подтверждения.

9. Нажмите «Добавить», чтобы определить, для каких пользователей вы хотите управлять доступом к WI-FI, и нажмите «Далее»

10. Просто нажмите «Далее»

11. Нажмите «Готово», чтобы завершить настройку NPS.

Настройка параметров сервера RADIUS на точке доступа

1. Откройте веб-консоль администрирования точки доступа Wi-Fi.

2. Перейдите в «БЕЗОПАСНОСТЬ» / «Диспетчер SSID»:

3. В разделе «Настройки аутентификации клиента / Приоритеты сервера» щелкните «Определить значения по умолчанию».

4. Затем настройте RADIUS-сервер с параметрами вашего NPS-сервера и нажмите «Применить» (вы можете настроить несколько серверов, а затем выбрать приоритет между ними):

Настроить SSID и опубликовать

1. Перейдите в «Менеджер безопасности / SSID»

2. Введите имя SSID, выберите VLAN 1, установите флажки для обоих радиоинтерфейсов.

3. В разделе «Настройки аутентификации клиента» выберите «Открытая аутентификация» с EAP:

4. В разделе «Настройки учета» выберите «Включить учет». В разделе «Приоритеты сервера учета» выберите свой сервер RADIUS:

5. В разделе «Настройки нескольких маяков BSSID» выберите вариант «Установить SSID в качестве гостевого режима»:

   
   Нажмите «Применить».

6. В разделе «Гостевой режим / Настройки SSID инфраструктуры» выберите «Один BSSID» и выберите ранее настроенный SSID:

   
   Нажмите «Применить».

Настроить шифрование Wi-Fi

1. Откройте «Менеджер безопасности / шифрования». В «Режимах шифрования» выберите «Шифрование» и «WEP 128 бит».И нажмите «Применить»:

2. Перейдите в «БЕЗОПАСНОСТЬ» / «Диспетчер SSID». Выберите ранее настроенный SSID из списка и в разделе «Управление ключами с аутентификацией клиента» настройте «Управление ключами» как «Обязательное» и выберите «Включить WPA», выбрав «WPAv2»:

3. Если вы хотите защитить сеансы Wi-Fi на портативных компьютерах, настройте эти компьютеры с помощью пользовательской аутентификации Wi-Fi следующим образом:
   В свойствах сетевого адаптера Wi-Fi всех ноутбуков для защиты (вы можете использовать GPO, чтобы изменить их все сразу) выберите режим аутентификации «Пользователь».Обратите внимание: если вы выберете «Компьютер», UserLock не будет защищать сеансы Wi-Fi, потому что они будут открываться как сеансы компьютера, а не пользователя.

   Настройте свои устройства так, чтобы соединения Wi-Fi были:
   

   • Подключено до входа в Windows.
   • Отключено после выхода из Windows.

Подключиться к Wi-Fi

1. Проверьте соединения Wi-Fi в интерфейсе точки доступа Wi-Fi:

2. Откройте точку доступа Cisco и перейдите в «ЖУРНАЛ СОБЫТИЙ»:

Ограничить всех пользователей одним сеансом Wi-Fi

1. Из консоли UserLock разверните агент NPS на сервере NPS:

2. На сервере NPS запустите CMD (или PowerShell) от имени администратора и выполните следующие команды (осторожно: он отключит все активные в данный момент соединения Wi-Fi):

   • net stop удаленный доступ
   • net stop ias
   • чистый старт иас
   • net start удаленный доступ

3. В консоли UserLock убедитесь, что агент NPS находится в состоянии «Установлен»

4. Создайте защищенную учетную запись «Все», чтобы применить это новое правило ко всем пользователям.

5. Настройте защищенную учетную запись «Все», чтобы ограничить каждого пользователя одним сеансом Wi-Fi

   
   Разрешить 1 сеанс Wi-Fi / VPN

Тестирование ограничений UserLock

1. Установите соединение Wi-Fi с одной учетной записью (в данном примере это учетная запись «Алиса»).Соединение успешно. Вы можете увидеть сеанс в консоли UserLock.

2. Теперь попробуйте открыть второе соединение Wi-Fi с Алисой, оно будет отклонено.

Для сеансов Wi-Fi возможны и другие ограничения: например, путем определения рабочего времени, временных квот ...

Чтобы узнать больше обо всех правилах, позволяющих определять условия доступа к сети, см. Раздел справки «Защищенные учетные записи».

Ограничить доступ пользователей к веб-ресурсам - ASP.NET

• 26.03.2020
• 2 минуты на чтение

В этой статье

В этой статье описаны методы ограничения доступа определенных пользователей к указанным веб-ресурсам.

Исходная версия продукта: ASP.NET
Исходный номер базы знаний: 815151

Сводка

Веб-приложения, основанные на ASP.NET предоставляет множество способов аутентификации и авторизации пользователей для получения доступа к ресурсам. Способ ограничения доступа к ресурсам зависит от используемого метода аутентификации. Например, для приложения, в котором вы используете аутентификацию Microsoft Windows и включаете олицетворение, вы можете использовать права доступа к файлам New Technology File System (NTFS) для управления доступом. Однако для приложения, в котором используется проверка подлинности с помощью форм, необходимо изменить файл Web.config, чтобы ограничить доступ.В этой статье описывается, как управлять авторизацией для обоих этих методов проверки подлинности ASP.NET.

Контроль авторизации с использованием прав доступа к файлам

Для веб-приложений ASP.NET, где вы используете проверку подлинности Windows и включаете олицетворение, вы можете использовать стандартные разрешения файлов NTFS, чтобы требовать проверки подлинности и ограничивать доступ к файлам и папкам:

• Чтобы потребовать проверку подлинности, удалите права доступа учетной записи пользователя ASPNET к файлу или папке.
• Чтобы ограничить доступ к определенным учетным записям пользователей Windows или групповым учетным записям, предоставьте или запретите чтение файлов NTFS для файлов или папок.

Контроль авторизации путем изменения файла Web.config

Чтобы ограничить доступ к приложениям ASP.NET, использующим проверку подлинности с помощью форм, отредактируйте элемент в файле Web.config приложения. Для этого выполните следующие действия:

1. Запустите текстовый редактор, например «Блокнот», а затем откройте Web.config , который находится в корневой папке приложения.

   Примечание

   Если файл Web.config не существует, создайте файл Web.config для приложения ASP.NET.

2. Если вы хотите контролировать авторизацию для всего приложения, добавьте элемент конфигурации к элементу в файле Web.config .

3. В элементе добавьте элемент конфигурации и элемент конфигурации .Используйте атрибут users , чтобы указать список имен пользователей, разделенных запятыми. Вы можете использовать вопросительный знак (?) В качестве символа подстановки, соответствующего любому имени пользователя. Например, следующий код запрещает доступ всем пользователям, кроме user1 и user2 :

4. Сохраните файл Web.config .

  [restrict level = "platinum"] Этот контент могут просматривать только пользователи с уровнем Platinum или выше.[/ ограничить] [restrict level = "! platinum"] Этот контент могут просматривать только пользователи без уровня Platinum или выше. [/ ограничить] [ограничить роль = "редактор, участник" page = "1"] Этот контент виден только редакторам и участникам. Другие пользователи увидят контент со страницы с ID 1. [/ restrict] [форма входа]  

  rua_get_user ($ user_id): RUA_User_Interface; rua_get_level_by_name (строка $ name): WP_Post; RUA_User_Interface { get_id (): интервал; get_attribute (строка $ name, смешанный $ default_value = null): смешанный; has_global_access (): логический; level_memberships (): RUA_User_Level_Interface []; get_level_ids (): int []; add_level (int $ level_id): bool remove_level (интервал $ level_id): bool has_level (int $ level): bool; } RUA_User_Level_Interface { get_user_id (): интервал; user (): RUA_User_Interface; get_level_id (): интервал; get_level_extend_ids (): int []; level (): RUA_Level_Interface; get_status (): строка; get_start (): интервал; get_expiry (): интервал; is_active (): логическое значение; }