Wifi publik, peran firewall / gateway?

1

Pada wifi publik, seperti jenis yang Anda temukan di bandara, ketika pengguna yang tidak terauthentikasi pertama kali terhubung ke jaringan, apakah itu gateway yang mendeteksi mereka tidak sah atau server AAA terletak dari jarak jauh?

Setelah mereka dikonfirmasi, apakah gateway tahu mereka dan apakah mereka masih pergi melalui server AAA (saya kira mereka melakukannya karena penagihan)?

wireless-networking gateway radius Ian
sumber

Jawaban:

2

Jawaban singkatnya adalah bahwa ROUTER / GATEWAY dapat mendeteksi apakah pengguna diautentikasi atau tidak, berdasarkan daftar klien yang diizinkan dikirim kembali dari layanan AAA (server atau layanan).

Sebagian besar pengaturan WiFi kecil biasanya menggunakan fungsi bawaan pada router mereka, yang memiliki panggilan balik langsung ke layanan AAA, sehingga begitu pengguna mendaftar, router hampir secara instan diperbarui, dan pengguna diberikan akses.

Proses kerjanya hampir sama pada jaringan utama; dengan pengecualian bahwa layanan AAA biasanya RADIUS atau jenis lain dari server AAA utama, yang mengotorisasi, dan memperbarui semua MESH AP terkait dengan informasi pengguna, sehingga mereka memiliki akses langsung ke internet (dan tidak menggunakan pengaturan DNS captive) ).

Dalam kedua kasus di atas, gateway / router biasanya yang pertama mendeteksi apakah pengguna diautentikasi, menggunakan tabel routing MAC, atau callback ke layanan AAA terotentikasi yang diikat langsung ke router.

Pada jaringan utama, Gateway (server utama pertama yang berinteraksi dengan pengguna, dapat menyelesaikan pekerjaan ini; tetapi biasanya, garis pertahanan pertama adalah AP, yang dapat mendeteksi apakah pengguna diizinkan di jaringan, dan mengarahkan kembali rute jika tidak ke layanan AAA.

Harapan itu lebih masuk akal.

zackrspv
sumber
Hai zack, apakah itu berarti bagi pengguna yang tidak diautentikasi itu akan menjadi gateway yang mengarahkan pengguna ke portal captive, daripada server AAA / RADIUS?
Ian
Pekerjaan AAA/RADIUSserver hanyalah menyediakan daftar pengguna yang diizinkan mengakses jaringan. Mereka menggunakan tabel routing MAC untuk melakukan ini. Ketika pengguna MENGHUBUNGKAN ke jaringan, gateway memeriksa tabel routing MAC, dan mencari tahu apakah pengguna diizinkan. JIKA TIDAK, itu menggunakan captive DNS, yang dialihkan ke portal captive; jika diizinkan, ia menggunakan DNS yang tepat, dan memungkinkan koneksi melalui.
zackrspv
Jadi saya melihat halaman web portal captive, saya memasukkan detail penagihan dan mengirimkan formulir. Bagian mana dari infrastruktur yang akan menerima apakah pembayaran berhasil atau tidak dan menambahkan pengguna ke daftar pengguna terotentikasi AAA Server, akankah server AAA memeriksa apakah pembayaran berhasil? Saya kira gateway tidak akan melakukan hal seperti itu?
Ian
Layanan atau server AAA adalah yang bertanggung jawab untuk ini; mereka akan mendeteksi jika pembayaran melalui (mengingat bahwa itu adalah layanan web sederhana yang berbicara dengan penyedia penagihan). Jika telah melalui, itu menambahkan alamat MAC pengguna ke RADIUS atau router yang diizinkan tabel MAC, dan kemudian memulai permintaan web baru. AP mendeteksi permintaan web baru ini, RECHECKS server RADIUS, atau tabel MAC pada router, dan pemberitahuan pengguna diizinkan; kemudian menggunakan pengaturan DNS yang tepat, dan memungkinkan permintaan web masuk ke internet publik. Ini adalah acara yang diatur dengan baik :)
zackrspv
Terima kasih Zack, hanya satu pertanyaan terakhir. Apakah pengguna selalu diidentifikasi oleh alamat MAC mereka? Seperti apakah server AAA selalu mengidentifikasi pengguna berdasarkan alamat MAC mereka? Saya tidak yakin apakah mereka bisa menggunakan alamat IP, atau mungkin cookie yang diberikan kepada mereka, atau beberapa konsep lanjutan seperti kunci rahasia yang akan dikirim klien, mungkin dalam beberapa protokol seperti EAP ??
Ian
0

Saya tidak yakin, saya hanya menebak-nebak di sini.

Anda dapat mengkonfigurasi firewall dengan cukup mudah untuk mengarahkan ulang semua lalu lintas masuk yang berasal dari Alamat MAC yang tidak dikenal ke tampilan situs web tertentu. (Dan cekal semua non-http-request) Dengan situs ini Anda dapat mengotentikasi diri Anda, mungkin ia berada di tempat lain selain firewall, misalnya di pusat data.

Setelah otentikasi, lalu lintas Anda tidak akan lagi diarahkan ke situs otentikasi tetapi Anda akan melihat apa yang Anda inginkan. Ketika Anda tidak lagi membutuhkan Access Point, itu akan mengatur ulang otentikasi Anda setelah jangka waktu tertentu (seperti 10 menit).

periksa jawaban ini dan komentar di bawah untuk pertanyaan serupa di ITSec.SE

Baarn
sumber