Общедоступный вай-фай, роль брандмауэра / шлюза?

634
Ian

На общедоступном Wi-Fi, как тип, который вы найдете в аэропорту, когда неаутентифицированный пользователь впервые подключается к сети, это шлюз, который обнаруживает, что он не авторизован, или сервер AAA, расположенный удаленно?

После того, как они аутентифицированы, шлюз знает, что они есть, и они все еще проходят через сервер AAA (я предполагаю, что они делают из-за выставления счетов)?

1

2 ответа на вопрос

2
zackrspv

Краткий ответ заключается в том, что ROUTER / GATEWAY может определить, аутентифицирован ли пользователь или нет, на основе списка разрешенных клиентов, отправленных обратно из службы AAA (сервера или службы).

Большинство небольших настроек WiFi обычно используют встроенную функциональность на своем маршрутизаторе, который имеет прямой обратный вызов к службе AAA, так что, как только пользователь регистрируется, маршрутизатор почти мгновенно обновляется, и пользователю предоставляется доступ.

Процесс работает примерно так же в крупных сетях; за исключением того, что службой AAA обычно является RADIUS или другой тип основного сервера AAA, который авторизует и обновляет все связанные AP MESH с пользовательской информацией, чтобы они имели прямой доступ к сети (и не использовали настройки DNS в неволе) ).

В обоих вышеупомянутых случаях шлюз / маршрутизатор обычно первым обнаруживает, аутентифицирован ли пользователь, используя либо таблицы маршрутизации MAC, либо обратные вызовы для аутентифицированных служб AAA, привязанных непосредственно к маршрутизатору.

В крупных сетях шлюз (первый основной сервер, с которым взаимодействует пользователь) может выполнить эту работу; но обычно первой линией защиты является точка доступа, которая может определить, разрешен ли пользователю доступ в сеть, и перенаправить маршрут. если не в службу AAA.

Надеюсь, что это имеет больше смысла.

Привет, Зак, значит ли это, что для неаутентифицированного пользователя это будет шлюз, который перенаправляет пользователя на портал авторизации, а не на сервер AAA / RADIUS? Ian 12 лет назад 0
Задача сервера AAA / RADIUS - просто предоставить список пользователей, которым разрешен доступ к сети. Они используют таблицы маршрутизации MAC для этого. Когда пользователь ПОДКЛЮЧАЕТСЯ к сети, шлюз проверяет таблицу маршрутизации MAC и выясняет, разрешен ли этот пользователь. Если нет, он использует неавтоматизированный DNS, который перенаправляет на неавтоматизированный портал; если разрешено, он использует правильный DNS и разрешает соединение через. zackrspv 12 лет назад 0
Итак, я вижу веб-страницу портала, я ввожу свои платежные данные и отправляю форму. Какая часть инфраструктуры получит, был ли платеж успешным или нет, и добавит ли пользователя в список пользователей, прошедших проверку подлинности на сервере AAA, будет ли сервер AAA проверять, был ли платеж успешным? Я предполагаю, что шлюз не сделал бы такую ​​вещь? Ian 12 лет назад 0
Служба или сервер ААА является ответственным за это; они обнаружат, прошел ли платеж (учитывая, что это простая веб-служба, которая общается с поставщиком биллинга). Если он прошел, он добавляет MAC-адрес пользователя в таблицу MAC-адресов RADIUS или маршрутизатора, а затем инициирует новый веб-запрос. AP обнаруживает эти новые веб-запросы, перепроверяет сервер RADIUS или таблицу MAC на маршрутизаторе и замечает, что пользователь разрешен; Затем он использует правильные настройки DNS и позволяет веб-запросу проходить через общедоступный Интернет. Это хорошо организованное мероприятие :) zackrspv 12 лет назад 0
Спасибо Зак, только один маленький последний вопрос. Всегда ли пользователь идентифицируется по своему MAC-адресу? Как всегда сервер ААА всегда идентифицирует пользователей по их MAC-адресу? Я не был уверен, могут ли они использовать IP-адрес, или, может быть, им предоставлен файл cookie, или какую-то продвинутую концепцию, такую ​​как секретный ключ, который клиент отправит, может быть, в каком-то протоколе, таком как EAP ?? Ian 12 лет назад 0
MAC является стандартом для использования; так что я собираюсь сказать да об этом. Однако сервер RADIUS может получить больше, чем просто MAC-адрес, для аутентификации пользователя (например, имя пользователя / пароль), который пользователь устанавливает в службе AAA. Однако маршрутизация все еще привязана к MAC-адресу устройства, учитывая, что подделать его на лету довольно сложно, и это лучший способ для сети идентифицировать конкретный хост. zackrspv 12 лет назад 0
0
Baarn

Я не уверен, я просто догадываюсь здесь.

Вы можете настроить брандмауэр довольно легко, чтобы перенаправить весь входящий трафик, приходящий с неизвестного MAC-адреса, на просмотр определенного веб-сайта. (И блокируйте все не-http-запросы). С помощью этого сайта вы можете аутентифицировать себя, он, вероятно, находится не в брандмауэре, например в центре обработки данных.

После аутентификации ваш трафик больше не будет перенаправлен на сайт аутентификации, но вы увидите, что вы хотите. Когда вам больше не нужна точка доступа, она сбрасывает вашу аутентификацию через определенный промежуток времени (например, 10 минут).

проверьте этот ответ и комментарий ниже к аналогичному вопросу на ITSec.SE

Похожие вопросы