Jump to content
Калькуляторы

Есть ли методы авторизации в Wi-Fi без MAC адреса (по типу eSIM)?

А есть ли методы авторизации в Wi-Fi сетях без использования мак адреса, точнее если использовать не только его, но и другие параметры устройства , с помощью приложения на смартфоне, по типу eSIM?

Мак подделать очень легко и поэтому идея в том чтобы видеть уникальность устройства, используя какое- либо специализированное приложение, которое бы периодически обменивалось с авторизационным сервером на предмет подлинности, без участия пользователя.

т.е. пользователь скачал приложение, прошел какую-то авторизацию один раз и все, потом приложение само работает.
Кто-нибудь сталкивался с таким  или похожим решением?

Share this post


Link to post
Share on other sites

Вопрос про EAP-SIM или про колхоз?

Если первое, то КМК без сотрудничества с оператором не обойтись.

А насчёт второго сильно сомневаюсь.

Share this post


Link to post
Share on other sites

Не, только не  EAP-SIM , без операторов мобильных и их заморочек.
Ну и не колхоз, что-нить уже готовое.

Ну или если нет, то побрейнштормить здесь как это можно сделать...

Share this post


Link to post
Share on other sites
30 минут назад, MobileOneWiFi сказал:

Не, только не  EAP-SIM , без операторов мобильных и их заморочек.
Ну и не колхоз, что-нить уже готовое.

Ну или если нет, то побрейнштормить здесь как это можно сделать...

Была тут тема. Позже общались в ЛС с клиентом. Есть у него на побережье большая WiFi сеть. И хотелось ему дополнительно заработать на этом. 

 

В малых объемах нерентабельно это делать ибо нет даже опенсорс норм решений

 

Edited by Bandit

Share this post


Link to post
Share on other sites
42 минуты назад, MobileOneWiFi сказал:

по типу eSIM?

Если по типу eSIM то почему EAP-SIM не подходит ?

Share this post


Link to post
Share on other sites
37 минут назад, MobileOneWiFi сказал:

Ну и не колхоз, что-нить уже готовое.

Сомневаюсь.

Авторизация предполагается в браузере? Если да, то как из браузера достучаться до eSIM и системных настроек?

А если не штатный WPA-EAP, то просто не вижу способов.

Share this post


Link to post
Share on other sites
1 час назад, MobileOneWiFi сказал:

нет, в приложении

То есть чтобы подключиться к WiFi, нужно установить дополнительное приложение?

Share this post


Link to post
Share on other sites
2 минуты назад, alibek сказал:

То есть чтобы подключиться к WiFi, нужно установить дополнительное приложение?

Ну это пока идея.

Share this post


Link to post
Share on other sites

Не знаю, как другие, но лично я бы очень скептически бы отнесся к тому, чтобы установить приложение для получения доступа к хотспоту.

Тем более, что оно наверняка потребует много подозрительных разрешений на доступ к системным настройкам.

Лучше уж смотреть в сторону EAP-SIM. Оно конечно требует взаимодействия с сотовым оператором и замудренно в реализации (я не осилил), но это стандарт с хорошей поддержкой и совместимостью. И я читал про успешные реализации.

 

Ну и вообще авторизация на хотспоте через приложение мне кажется невыполнимой.

Если авторизация через браузер, то еще ладно — через DPI можно идентифицировать и сопоставлять авторизованного пользователя.

А через приложение как? Допустим, приложение идентифицировало пользователя и отправило на контроллер какой-нибудь авторизационный токен или уникальный идентификатор устройства. А как потом в трафике или даже tcp-соединении сделать сопоставление с пользователем? В сетевом пакете есть только MAC-адрес и IP-адрес, на присутствие там других данных рассчитывать не стоит.

Ну если только не загонять весь трафик в локальный VPN-сервер (на самом смартфоне), который уже будет дополнять пакеты токенами. Как это делают различные файрволы на устройствах без root.

Share this post


Link to post
Share on other sites
2 часа назад, alibek сказал:

Не знаю, как другие, но лично я бы очень скептически бы отнесся к тому, чтобы установить приложение для получения доступа к хотспоту.

Основная идея в другом - не просто подключаться к хотспоту, а быть всегда подключенным к разным хотспотам, 1 раз установив приложение и авторизировавшись.
Паттерн применения другой.
Ну и к тому же уже есть приложения с похожим функционалом - например Facebook Wi-Fi.

 

2 часа назад, alibek сказал:

А через приложение как? Допустим, приложение идентифицировало пользователя и отправило на контроллер какой-нибудь авторизационный токен или уникальный идентификатор устройства. А как потом в трафике или даже tcp-соединении сделать сопоставление с пользователем? В сетевом пакете есть только MAC-адрес и IP-адрес, на присутствие там других данных рассчитывать не стоит.

На самом деле приложение может много данных отправлять.
Мы как-то делали на андроиде - оно высылало мак адреса видимых точек, RSSI до них, т.е. по какому-то набору данных и в том числе зная мак устройства, но не ограничиваясь им, можно еще высылать какие-то другие уникальные данные уже из приложения и более надежно идентифицировать пользователя.
Ну подобно тому как действует пиксель от Фейсбука и прочее.
Проблема с iOS - он не дает отправлять много инфы девелоперу.
 

Share this post


Link to post
Share on other sites
2 часа назад, MobileOneWiFi сказал:

На самом деле приложение может много данных отправлять

Приложение может отправлять что угодно. Но проверить можно только IP и MAC, потому что других данных в сетевых пакетах нет.

Share this post


Link to post
Share on other sites

а почему esim то?

нельзя тупо первый раз выдать пользователю такой приватный сертификат, который бы его телефон потом всем wifi сетям пробовал кормить при подключении?

 

Share this post


Link to post
Share on other sites
6 часов назад, alibek сказал:

Но проверить можно только IP и MAC, потому что других данных в сетевых пакетах нет.

В том то и трабла что эти данные могут не принадлежать реальному пользователю - мак подделать с другого устройства и адрес получить - как 2 пальца..

 

 

4 часа назад, LostSoul сказал:

нельзя тупо первый раз выдать пользователю такой приватный сертификат, который бы его телефон потом всем wifi сетям пробовал кормить при подключении?

Кстати да, тоже идея.

Share this post


Link to post
Share on other sites
54 минуты назад, MobileOneWiFi сказал:

В том то и трабла что эти данные могут не принадлежать реальному пользователю - мак подделать с другого устройства и адрес получить - как 2 пальца..

А других данных по сети не передается.

 

5 часов назад, LostSoul сказал:

нельзя тупо первый раз выдать пользователю такой приватный сертификат

Если "приватный" это "самоподписанный", то в iOS и новых андроидах это не сделать без рута.

Нужен нормальный сертификат, выданный УЦ.

Share this post


Link to post
Share on other sites
14 минут назад, alibek сказал:

Если "приватный" это "самоподписанный", то в iOS и новых андроидах это не сделать без рута.

Нужен нормальный сертификат, выданный УЦ.

имеется ввиду сертификат, содержащий приватный ключ.

мне кажется вы немного путаете серитификаты удостоверяющих центров ( нельзя установить self signed  без рута ) и персональный сертификат удостоверяющий пользователя
 

Share this post


Link to post
Share on other sites
23 минуты назад, alibek сказал:

Если "приватный" это "самоподписанный", то в iOS и новых андроидах это не сделать без рута.

Нужен нормальный сертификат, выданный УЦ.

не, там уже все смартфонах есть для этого:

706042310_.thumb.jpeg.e6453f3c8f97af507e2521e2f6d21a29.jpeg

 

 

Но наверное лучше Passpoint задействовать

Share this post


Link to post
Share on other sites
28 минут назад, MobileOneWiFi сказал:

не, там уже все смартфонах есть для этого

При это я и говорю.

Новый андроид не даст установить самоподписанный сертификат или сертификат, выпущенный УЦ, которого нет в смартфоне.

 

36 минут назад, LostSoul сказал:

персональный сертификат удостоверяющий пользователя

И этот сертификат должен быть выпущен доверенным УЦ.

Share this post


Link to post
Share on other sites

Это не проблема, это расходы.

Ну и покупать нужно будет не поставщику, а пользователю — ни один УЦ не выдаст сертификат на неверифицированные данные.

Share this post


Link to post
Share on other sites
2 часа назад, alibek сказал:

Ну и покупать нужно будет не поставщику, а пользователю — ни один УЦ не выдаст сертификат на неверифицированные данные.

 ой да ладно.

делаем свой УЦ , удостоверяем сертификатом "устройство с MAC таким-то"

да и у меня стоит в последнем андроиде сертификат собственного УЦ ,  в шторке есть предупреждение что трафик этого устройства может быть прослушан администратором сети. и все.

 

Share this post


Link to post
Share on other sites
5 минут назад, LostSoul сказал:

делаем свой УЦ

Самоподписанный? Эти сертификаты не будут приняты.

Он должен быть удостоверен корневыми УЦ.

 

6 минут назад, LostSoul сказал:

да и у меня стоит в последнем андроиде сертификат собственного УЦ ,  в шторке есть предупреждение что трафик этого устройства может быть прослушан администратором сети. и все.

В последнем это в каком?

Возможно, что и от вендора зависит. В следующем андроиде ограничение могут сделать уже системным.

Share this post


Link to post
Share on other sites
В 22.11.2020 в 18:07, MobileOneWiFi сказал:

Мак подделать очень легко и поэтому идея в том чтобы видеть уникальность устройства, используя какое- либо специализированное приложение, которое бы периодически обменивалось с авторизационным сервером на предмет подлинности, без участия пользователя.

 

всевозмодные eap, либо логин/пароль, либо сертификат.

Share this post


Link to post
Share on other sites

 

On 11/22/2020 at 9:07 AM, MobileOneWiFi said:

А есть ли методы авторизации в Wi-Fi сетях без использования мак адреса, точнее если использовать не только его, но и другие параметры устройства , с помощью приложения на смартфоне, по типу eSIM?

Если вам хочется давать доступ в Интернет только доверенным клиентам, то не обязательно это дело завязывать именно на авторизацию в Wi-Fi.

Почему бы не сделать вайфай вообще публичным, но не давать выхода в Интернет? Можно позволить подключиться к внутреннему VPN серверу, в локальной сети, а на устройство ставить клиент. И пусть в инет оно ходит по VPN, завёрнутому в Wi-Fi.

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now