Captive portal architecture: interna o esterna?


0

Sono interessato all'architettura del portale captive. Inizialmente la mia comprensione era che luoghi come aeroporti e internet café avrebbero avuto tutte le infrastrutture RADIUS e AAA sul lato locale del firewall. Dopo aver esaminato i modelli WISP (provider di servizi Internet wireless), le mie idee iniziali sembravano sbagliate. Anche se un'azienda offre diversi hotspot Wi-Fi pubblici, potrebbe comunque mantenere il server AAA, il server Web captive portal e gli interni RADIUS sul lato locale del firewall?

Se mantenessero centralizzati i server RADIUS e AAA, si collegherebbero a questo tramite una VPN dal firewall e avrebbero una non VPN su Internet per dopo che gli utenti fossero stati autenticati?

Sto solo cercando di capire un'architettura generale per il wifi pubblico.

Risposte:


0

Ecco un esempio

inserisci qui la descrizione dell'immagine

Ha senso centralizzare il servizio AAA se si fornisce l'infrastruttura per più hotspot (ad esempio operatori di siti indipendenti, ognuno dei quali riceve entrate da un'azienda che fornisce le apparecchiature hot-spot e il servizio back-end) - oltre a qualsiasi altra cosa, si desideri i clienti devono registrarsi una volta e quindi essere in grado di utilizzare uno dei tuoi hotspot senza una nuova registrazione separata. È probabile che un servizio AAA centralizzato (o regionale) sia più facile da gestire rispetto a un sistema completamente decentralizzato.

Ovviamente, è importante che il gateway hotspot sia in grado di comunicare in modo sicuro con il server AAA su una rete pubblica. RADIUS è un protocollo AAA comunemente usato ma mentre un client RADIUS crittografa le password da trasmettere al server RADIUS, ci sono dubbi sulla forza di RADIUS. Una VPN tra client e server RADIUS è un modo per fornire ulteriore sicurezza.

Il traffico dell'utente non sarebbe influenzato da una VPN utilizzata per RADIUS.


Ciao, grazie per quello! Solo una piccola domanda, la tua ultima affermazione: "Il traffico dell'utente non sarebbe influenzato da una VPN utilizzata per RADIUS", stai dicendo che una volta che un utente inizia a utilizzare Internet, questo passerebbe anche attraverso la VPN, al server del provider e POI su la rete? Immagino che ciò consentirebbe un monitoraggio e una fatturazione più semplici, piuttosto che accedere a Internet dal firewall ma che debba inviare costantemente pacchetti RADIUS dall'utente al fornitore (in modo che il fornitore possa fatturare di conseguenza)?
Shalom,

@Shalom: No, sto dicendo il contrario. Solo il traffico indirizzato al server AAA verrebbe instradato nel tunnel VPN.
RedGrittyBrick il

quindi, al fine di tenere traccia dell'uso di Internet, sarebbe normale (e accettabile) per l'AP trasmettere nuovamente i messaggi del protocollo RADIUS attraverso la VPN al server AAA?
Shalom,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.