如果我想为每个客户端使用单独的 PSK 并且无法使用 RADIUS 服务器,是否有任何理由不这样做?除了 VAP 固有的性能轻微下降和信标传输增加之外,如果我的 AP 支持的 VAP 数量多于我的客户端数量,还会有什么负面影响吗?
我想要这样做的原因是我想将每个客户端彼此隔离,这样一个客户端就无法监视来自其他客户端的流量(如果他们知道彼此的 PSK,他们就可以监视流量)。 hostapd 中有一个称为客户端隔离的功能,但它所做的只是禁用发夹模式并启用多播到单播。仅使用 PSK 来防范恶意设备是不够的
STA 和 AP 使用 PSK 连接。 PSK 在所有客户端之间共享,除非使用像 EAP-TLS 这样的 WPA2-Enterprise(由于缺乏客户端支持,我无法这样做)。了解 PSK 以及捕获 4WH(包括 ANonce、SNonce、STA 和 AP MAC)的能力足以导出每个客户端 PTK。
答案1
我找到了使用 VAP 的更好解决方案。 hostapdwpa_psk_file可用于为每个站选择自定义 PSK。