Wifi public, rôle du pare-feu / de la passerelle?

1

Sur un réseau Wi-Fi public, comme celui que vous trouvez dans un aéroport, lorsqu'un utilisateur non authentifié se connecte pour la première fois au réseau, est-ce la passerelle qui détecte qu'il n'est pas autorisé ou le serveur AAA situé à distance?

Une fois qu'ils sont authentifiés, la passerelle le sait-elle et passe-t-elle toujours par le serveur AAA (je suppose qu'ils le font à cause de la facturation)?

Ian
la source

Réponses:

2

La réponse courte est que ROUTER / GATEWAY peut détecter si l'utilisateur est authentifié ou non, en fonction de la liste des clients autorisés renvoyés depuis le service AAA (serveur ou service).

La plupart des petites configurations WiFi utilisent généralement une fonctionnalité intégrée à leur routeur, qui permet de rappeler directement le service AAA. Ainsi, une fois l'utilisateur connecté, le routeur est mis à jour presque instantanément et l'accès est autorisé.

Le processus fonctionne à peu près de la même manière sur les grands réseaux; à l'exception du fait que le service AAA est généralement un serveur RADIUS ou un autre type de serveur AAA principal, qui autorise et met à jour tous les points d'accès MESH associés avec les informations de l'utilisateur, de sorte qu'ils aient un accès direct au réseau (sans utiliser les paramètres DNS captifs). )

Dans les deux cas ci-dessus, la passerelle / routeur est généralement le premier à détecter si l'utilisateur est authentifié, en utilisant des tables de routage MAC ou des rappels vers les services AAA authentifiés liés directement au routeur.

Sur les principaux réseaux, le Gateway (le premier serveur principal avec lequel l'utilisateur interagit peut accomplir cette tâche; normalement, la première ligne de défense est le PA, qui peut détecter si l'utilisateur est autorisé sur le réseau et rediriger le routage. sinon au service AAA.

J'espère que cela a un peu plus de sens.

zackrspv
la source
Bonjour zack, cela signifie-t-il que pour un utilisateur non authentifié, il s'agira de la passerelle qui redirige l'utilisateur vers le portail captif, plutôt que vers le serveur AAA / RADIUS?
Ian
Le AAA/RADIUStravail du serveur consiste simplement à fournir une liste des utilisateurs autorisés à accéder au réseau. Ils utilisent pour cela les tables de routage MAC. Lorsque l'utilisateur se connecte au réseau, la passerelle vérifie la table de routage MAC et détermine si l'utilisateur est autorisé. SI NON, il utilise le DNS captif, qui redirige vers le portail captif; si autorisé, il utilise le bon DNS et permet la connexion.
Zackrspv
Je vois donc la page Web du portail captif, je saisis mes détails de facturation et je soumets le formulaire. Quelle partie de l'infrastructure recevrait si le paiement aboutissait ou non et ajoutait l'utilisateur à la liste des utilisateurs authentifiés AAA Server, le serveur AAA vérifierait-il si le paiement aboutissait? Je présume que la passerelle ne ferait pas une telle chose?
Ian
Le service ou le serveur AAA en est le responsable; ils détecteront si le paiement a été effectué (étant donné qu'il s'agit d'un simple service Web qui communique avec un fournisseur de facturation). S'il est terminé, il ajoute l'adresse MAC de l'utilisateur à la table MAC autorisée par le routeur ou RADIUS, puis lance une nouvelle demande Web. Le PA détecte ces nouvelles demandes Web, RECHECKS le serveur RADIUS ou la table MAC sur le routeur et notifie que l'utilisateur est autorisé. il utilise ensuite les paramètres DNS appropriés et permet à la requête Web d’être transmise à l’Internet public. C'est un événement joliment orchestré :)
mercredi
Merci Zack, juste une dernière petite question. L'utilisateur est-il toujours identifié par son adresse MAC? Le serveur AAA identifie-t-il toujours les utilisateurs par leur adresse MAC? Je ne savais pas s'ils pourraient utiliser une adresse IP, ou peut-être un cookie, ou un concept avancé tel qu'une clé secrète que le client enverrait, peut-être dans un protocole comme EAP ??
Ian
0

Je ne suis pas sûr, je devine juste ici.

Vous pouvez configurer un pare-feu assez facilement pour rediriger tout le trafic entrant provenant d'une adresse MAC inconnue vers un site Web spécifique. (Et bloquer toutes les demandes non-http) Avec ce site, vous pouvez vous authentifier, il est probablement situé ailleurs que sur le pare-feu, par exemple dans le centre de données.

Après l’authentification, votre trafic ne sera plus redirigé vers le site d’authentification, mais vous verrez ce que vous voulez. Lorsque vous n’avez plus besoin du point d’accès, votre authentification sera réinitialisée après une période donnée (environ 10 minutes).

cochez la réponse et le commentaire ci-dessous à une question similaire sur ITSec.SE

Baarn
la source