Captive portal architecture- internal atau eksternal?

0

Saya tertarik pada arsitektur portal captive. Awalnya pemahaman saya adalah bahwa tempat-tempat seperti bandara dan kafe internet akan memiliki semua infrastruktur RADIUS dan AAA di sisi lokal firewall. Setelah melihat model WISP (penyedia layanan internet nirkabel), ide awal saya tampak salah. Bahkan jika sebuah perusahaan menawarkan beberapa hotspot wifi publik yang berbeda, apakah mereka masih berpotensi mempertahankan server AAA, server web portal tawanan dan internal RADIUS di sisi lokal firewall?

Jika mereka membuat server RADIUS dan AAA terpusat, akankah mereka terhubung ke ini melalui VPN dari firewall dan mengeluarkan non-VPN ke internet setelah pengguna diautentikasi?

Saya hanya mencoba memahami arsitektur umum untuk wifi publik.

Salam
sumber

Jawaban:

0

Ini sebuah contoh

masukkan deskripsi gambar di sini

Masuk akal untuk memusatkan layanan AAA jika Anda menyediakan infrastruktur untuk beberapa hotspot (misalnya, operator situs independen yang masing-masing menerima pendapatan dari bisnis yang menyediakan peralatan hot-spot dan layanan back-end) - selain dari hal lain, Anda ingin pelanggan mendaftar sekali dan kemudian dapat menggunakan hotspot Anda tanpa registrasi ulang yang terpisah. Layanan AAA terpusat (atau regional) cenderung lebih mudah dikelola daripada sistem yang sepenuhnya terdesentralisasi.

Jelas, penting bahwa gateway hotspot dapat berkomunikasi dengan server AAA dengan aman melalui jaringan publik. RADIUS adalah protokol AAA yang umum digunakan tetapi ketika klien RADIUS mengenkripsi kata sandi untuk dikirim ke server RADIUS, ada kekhawatiran tentang kekuatan RADIUS. VPN antara klien RADIUS dan server adalah salah satu cara untuk memberikan keamanan tambahan.

Lalu lintas pengguna tidak akan terpengaruh oleh VPN yang digunakan untuk RADIUS.

RedGrittyBrick
sumber
Hai terima kasih untuk itu! Hanya satu pertanyaan kecil, pernyataan terakhir Anda: "Lalu lintas pengguna tidak akan terpengaruh oleh VPN yang digunakan untuk RADIUS", apakah Anda mengatakan bahwa setelah pengguna mulai menggunakan internet, ini juga akan melalui VPN, ke server penyedia dan KEMUDIAN ke internet? Saya kira ini akan memungkinkan pemantauan dan penagihan yang lebih mudah, daripada mengakses internet dari firewall tetapi harus terus-menerus mengirim paket RADIUS dari pengguna ke penyedia (sehingga penyedia dapat menagih yang sesuai)?
Shalom
@ Shalom: Tidak, saya mengatakan sebaliknya. Hanya lalu lintas yang ditujukan ke server AAA yang akan dialihkan ke terowongan VPN.
RedGrittyBrick
jadi untuk melacak penggunaan internet akan normal (dan dapat diterima) bagi AP untuk mengirimkan pesan protokol RADIUS kembali melalui VPN ke server AAA?
Shalom