Genel wifi, güvenlik duvarı / ağ geçidinin rolü?


1

Onaylanmayan bir kullanıcı ağa ilk kez bağlandığında, havaalanında bulduğunuz tür gibi genel bir wifi üzerinde, izinsiz olduklarını algılayan bir ağ geçidi veya uzaktan bulunan AAA sunucusudur?

Kimlik doğrulamaları yapıldıktan sonra ağ geçidi olduklarını biliyor mu ve hala AAA sunucusundan geçiyorlar mı (faturalandırma nedeniyle yaptıklarını sanıyorum)?

Yanıtlar:


2

Kısa cevap, ROUTER / GATEWAY’in, AAA hizmetinden (sunucu veya servis) geri gönderilen izin verilen istemciler listesine dayanarak kullanıcının kimliğinin doğrulanıp onaylanmadığını tespit edebilmesidir.

Çoğu küçük WiFi kurulumu genellikle yönlendiricisinde yerleşik bir işlevsellik kullanır, bu da AAA hizmetini doğrudan geri çağırır, böylece kullanıcı bir kez kaydolduktan sonra yönlendiriciye neredeyse anında güncellenir ve kullanıcıya erişim izni verilir.

Süreci büyük ağlarda hemen hemen aynı çalışır; AAA hizmetinin genellikle bir RADIUS veya diğer tüm büyük AAA sunucu türleri olması dışında, ilgili tüm MESH AP'leri kullanıcı bilgilerine göre yetkilendiren ve güncelleyen, böylece net olana doğrudan erişebilecekleri (ve sabit DNS ayarlarını kullanmayacakları) ).

Yukarıdaki her iki durumda da, ağ geçidi / yönlendirici genellikle MAC yönlendirme tablolarını kullanarak veya doğrudan yönlendiriciye bağlı kimliği doğrulanmış AAA servislerine yapılan geri aramaları kullanarak kullanıcının kimliğinin doğrulanıp algılanmadığını ilk belirleyen kişidir.

Büyük ağlarda, Ağ Geçidi (kullanıcının etkileşime girdiği ilk ana sunucu bu işi başarabilir; ancak normalde, ilk savunma hattı AP'nin kullanıcıya ağda izin verilip verilmediğini tespit edip yeniden yönlendirebilir. aaa servisine değilse.

Umarım bu biraz daha mantıklı geldi.


Merhaba Zack, bu kimliği doğrulanmamış bir kullanıcı için, kullanıcıyı AAA / RADIUS sunucusu yerine, esir portala yönlendiren ağ geçidi olacağı anlamına mı geliyor?
Ian

AAA/RADIUSSunucunun işi ağa erişmesine izin verilen kullanıcıların listesini sağlamak için basitçe. Bunu yapmak için MAC yönlendirme tablolarını kullanıyorlar. Kullanıcı ağa BAĞLIYOR, ağ geçidi MAC yönlendirme tablosunu kontrol eder ve kullanıcıya izin verilip verilmediğini belirler. EĞER DEĞİL, esir portalına yönlendiren esir DNS'yi kullanır; izin verilirse uygun DNS kullanır ve üzerinden bağlantı kurulmasına izin verir.
zackrspv

Dolayısıyla, esir portalı web sayfasını görüyorum, fatura bilgilerimi giriyorum ve formu gönderiyorum. Altyapının hangi bölümü, ödemenin başarılı olup olmadığını alır ve kullanıcıyı AAA Sunucu kimliği doğrulanmış kullanıcı listesine eklerse, AAA sunucusu ödemenin başarılı olup olmadığını kontrol eder mi? Sanırım ağ geçidi böyle bir şey yapmayacak mı?
Ian

AAA servisi veya sunucusu bundan sorumludur; ödemenin geçip geçmediğini tespit edeceklerdir (bir faturalama sağlayıcısıyla görüşen basit bir web servisi olduğu için). Geçtiyse, kullanıcıların MAC adresini RADIUS'a veya yönlendirici MAC tablosuna ekler ve ardından yeni bir web isteği başlatır. AP bu yeni web isteklerini algılar, RADIUS sunucusunu RECHECKS veya yönlendiricideki MAC tablosunu kullanır ve kullanıcının izin verdiğini fark eder; daha sonra uygun DNS ayarlarını kullanır ve web isteğinin genel internete girmesini sağlar. Güzel bir şekilde düzenlenmiş bir etkinlik :)
zackrspv

Teşekkürler Zack, son bir küçük soru. Kullanıcı her zaman MAC adresleriyle tanımlanıyor mu? AAA sunucusu her zaman olduğu gibi kullanıcıları her zaman MAC adresleriyle tanımlıyor mu? IP adresini, belki de kendilerine verilen bir kurabiyeyi veya müşterinin göndereceği gizli bir anahtar gibi bazı gelişmiş konseptleri, belki de EAP gibi bir protokolde kullanabileceklerinden emin değildim.
Ian

0

Emin değilim, sadece burada tahmin ediyorum.

Bir güvenlik duvarını, bilinmeyen bir MAC adresinden gelen tüm gelen trafiği belirli bir web sitesine yönlendirmek için oldukça kolay bir şekilde yapılandırabilirsiniz. (Ve tüm http-isteklerini engelleme) Bu site ile kendinizi doğrulayabilirsiniz, muhtemelen güvenlik duvarından başka bir yerde, örneğin veri merkezinde.

Doğrulama işleminden sonra, trafiğiniz doğrulama sayfasına yönlendirilmez, ancak ne istediğinizi görürsünüz. Erişim Noktasına artık ihtiyacınız olmadığında, belirli bir süre sonra (10 dakika gibi) kimlik doğrulamanızı sıfırlar.

kontrol bu cevabı ve ITSec.SE benzer bir soruya aşağıda yorumunu

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.