Onaylanmayan bir kullanıcı ağa ilk kez bağlandığında, havaalanında bulduğunuz tür gibi genel bir wifi üzerinde, izinsiz olduklarını algılayan bir ağ geçidi veya uzaktan bulunan AAA sunucusudur?
Kimlik doğrulamaları yapıldıktan sonra ağ geçidi olduklarını biliyor mu ve hala AAA sunucusundan geçiyorlar mı (faturalandırma nedeniyle yaptıklarını sanıyorum)?
Yanıtlar:
Kısa cevap, ROUTER / GATEWAY’in, AAA hizmetinden (sunucu veya servis) geri gönderilen izin verilen istemciler listesine dayanarak kullanıcının kimliğinin doğrulanıp onaylanmadığını tespit edebilmesidir.
Çoğu küçük WiFi kurulumu genellikle yönlendiricisinde yerleşik bir işlevsellik kullanır, bu da AAA hizmetini doğrudan geri çağırır, böylece kullanıcı bir kez kaydolduktan sonra yönlendiriciye neredeyse anında güncellenir ve kullanıcıya erişim izni verilir.
Süreci büyük ağlarda hemen hemen aynı çalışır; AAA hizmetinin genellikle bir RADIUS veya diğer tüm büyük AAA sunucu türleri olması dışında, ilgili tüm MESH AP'leri kullanıcı bilgilerine göre yetkilendiren ve güncelleyen, böylece net olana doğrudan erişebilecekleri (ve sabit DNS ayarlarını kullanmayacakları) ).
Yukarıdaki her iki durumda da, ağ geçidi / yönlendirici genellikle MAC yönlendirme tablolarını kullanarak veya doğrudan yönlendiriciye bağlı kimliği doğrulanmış AAA servislerine yapılan geri aramaları kullanarak kullanıcının kimliğinin doğrulanıp algılanmadığını ilk belirleyen kişidir.
Büyük ağlarda, Ağ Geçidi (kullanıcının etkileşime girdiği ilk ana sunucu bu işi başarabilir; ancak normalde, ilk savunma hattı AP'nin kullanıcıya ağda izin verilip verilmediğini tespit edip yeniden yönlendirebilir. aaa servisine değilse.
Umarım bu biraz daha mantıklı geldi.
AAA/RADIUSSunucunun işi ağa erişmesine izin verilen kullanıcıların listesini sağlamak için basitçe. Bunu yapmak için MAC yönlendirme tablolarını kullanıyorlar. Kullanıcı ağa BAĞLIYOR, ağ geçidi MAC yönlendirme tablosunu kontrol eder ve kullanıcıya izin verilip verilmediğini belirler. EĞER DEĞİL, esir portalına yönlendiren esir DNS'yi kullanır; izin verilirse uygun DNS kullanır ve üzerinden bağlantı kurulmasına izin verir.
Emin değilim, sadece burada tahmin ediyorum.
Bir güvenlik duvarını, bilinmeyen bir MAC adresinden gelen tüm gelen trafiği belirli bir web sitesine yönlendirmek için oldukça kolay bir şekilde yapılandırabilirsiniz. (Ve tüm http-isteklerini engelleme) Bu site ile kendinizi doğrulayabilirsiniz, muhtemelen güvenlik duvarından başka bir yerde, örneğin veri merkezinde.
Doğrulama işleminden sonra, trafiğiniz doğrulama sayfasına yönlendirilmez, ancak ne istediğinizi görürsünüz. Erişim Noktasına artık ihtiyacınız olmadığında, belirli bir süre sonra (10 dakika gibi) kimlik doğrulamanızı sıfırlar.
kontrol bu cevabı ve ITSec.SE benzer bir soruya aşağıda yorumunu