Suona come 802.1x su WPA2 è la strada da percorrere. Non dirò che questo è necessariamente facile da configurare, ma potrebbe adattarsi alle tue esigenze.
Avrai bisogno di una CA. Questo potrebbe essere il tuo server AD per semplicità, l'azienda potrebbe averne già uno, o potresti designare qualsiasi server di cui ti fidi sufficientemente per essere una CA interna (se sei davvero un martire, potresti persino usare una CA pubblica così a lungo come non ti dispiace, impiegare settimane per aggiungere nuovi clienti e accumulare migliaia di dollari di commissioni). Questo dovrà firmare i certificati per il tuo server e client RADIUS.
Avrai bisogno di un server RADIUS. Questo può essere il servizio NPS in Windows Server, FreeRADIUS su RHEL, pfsense, anche alcuni router possono farlo (ma se si rende il router in un server RADIUS, non lo ammetterei sullo Stack Stack di InfoSec). Ciò richiederà un certificato firmato per convalidare la sua identità ai tuoi clienti. Questo servirà per autenticare i tuoi clienti, può essere configurato per farlo tramite nome utente / password, oppure potrebbe farlo convalidando che il cliente possiede un certificato valido e firmato. In alcuni casi, è possibile configurare il server RADIUS per controllare una directory LDAP (come AD, IPA, openLDAP, ecc.) Che associa ciascuna identità (certificato in questo caso) a un gruppo di gruppi. Questi gruppi potrebbero controllare su quali reti l'utente è autorizzato a connettersi.
I punti di accesso devono essere impostati per utilizzare WPA2 Enterprise e configurati per instradare le richieste di autenticazione al server RADIUS. La configurazione varia in modo selvaggio in base alla marca del tuo AP.
I tuoi clienti dovranno avere un certificato firmato caricato nel loro sistema e configurato per fornire tale certificato come autenticazione 802.1x per la connessione WiFi ai tuoi AP. Anche in questo caso, ciò varia in modo selvaggio a seconda del dispositivo e la configurazione viene lasciata come esercizio al lettore. Questo sta usando l'autenticazione client TLS su EAP e di solito è decorato come l'opzione EAP-TLS in molte configurazioni che ho visto.
anti-pattern
I problemi con questo dipendono dal tuo ambiente e dall'accettazione del rischio. Ma queste preoccupazioni dovrebbero essere affrontate.
Ottenere certs al client
Avrai bisogno di un modo per ottenere certificati sul dispositivo client. In un ambiente privo di password, quel certificato consente l'accesso alla rete e deve essere protetto come una password e quindi deve essere ideato un metodo di trasmissione sicuro (a questo proposito, potrebbe compromettere l'intera ragione per cui stai considerando questa opzione).
Per i computer portatili, se è possibile collegarli alla rete, eseguire alcune convalide automatiche (indirizzo MAC, credenziali di Active Directory o qualsiasi altra idea), è possibile caricare un certificato firmato nel sistema (o fare in modo che il sistema generi cert e invia un CSR alla tua CA).
Ma se il tuo ambiente ha telefoni / tablet, il problema diventa più complicato. Le opzioni potrebbero essere il trasferimento di certificati tramite unità flash USB collegate a connettori OTG (assicurati di disinfettare quell'unità dopo ogni connessione a un dispositivo utente sfortunato). Forse potresti fornire una rete WiFi più facile da accedere sulla propria rete / VLAN isolata, questo potrebbe utilizzare un singolo PSK che ruoti come necessario, e su questa rete tutto ciò che puoi fare è validare il tuo dispositivo ed essere emesso un certificato. Queste opzioni vengono con i loro compromessi, inviarle attraverso la propria analisi dei rischi.
Compromesso Cert
L'altra preoccupazione è che i certificati vengano compromessi. Molto probabilmente ciò avverrebbe solo se il sistema di un utente è di proprietà, ma potrebbero esserci alcuni altri scenari in cui un certificato valido è trapelato. Se è possibile identificare questo compromesso in anticipo, è possibile convalidare il server RADIUS con OCSP o CRL. Per contrastare compromessi sconosciuti, è possibile impostare la scadenza rapida dei certificati, ma è necessario disporre di un'infrastruttura impostata per rinnovare e installare automaticamente i certificati degli utenti e assicurarsi che la maggior parte degli utenti si connetta almeno una volta prima della scadenza dei certificati. L'idea migliore è probabilmente un po 'di entrambe e bloccare le risorse di rete in modo che l'essere sulla rete non ti dia necessariamente accesso a qualsiasi cosa (ad esempio, non utilizzare gli stessi certificati client per autenticare altre risorse di rete).
P.S.
Questa non è una configurazione semplice e veloce, ma può essere robusta se trovi un buon livello di compromessi tra fornire accesso agli utenti e proteggere l'accesso dagli aggressori. E può darti opportunità di espandersi e aggiungere funzionalità aggiuntive una volta diventato più comodo con la tua implementazione.