20 June 2009

Методы привязки пользователя к своему IP в сети

Lumber room
Существует множество типов сетей с различным устройством и принципами идентификации пользователей для подсчета трафика, нарезки тарифных скоростей и ограничения доступа в сеть неплательщикам.
У каждого из вариантов есть свои особенности и свои недостатки
В этой статье я постараюсь рассказать о наиболее используемых методах идентификации пользователей которые успешно применяются в сетях небольших и крупных провайдерах

Привязки на основе так называемого VPN:
Идентификация пользователя и доступ в сеть осуществляется на основе проверки его имени пользователя и пароля (login/password)

1) PPTP,L2tp – чаще всего применяются в сетях с неуправляемым оборудованием или
неуправляемых сегментах сети (исключения Корбина-Телеком + возможно еще
какие-то сети)

При такой схеме идентификация клиента – для выхода в Интернет надо поднять
VPN туннель, идентификация пользователя происходит по логину/паролю. Далее
на основе этих атрибутов VPN сервер делает запрос к Radius-у и тот уже говорит
выпускать или нет клиента в сеть + возможную тарифную скорость этого клиента
(если шейпинг осуществляется средствами самого VPN сервера)

2) PPPoE – применяется в сетях с управляемым оборудованием (есть люди которые и в неуправляемых
сегментах его применяют, но это большой риск так-как существует большая вероятность появление левых
PPPoE серверов со всеми вытекающими). На сколько знаю применяется эта схема идентификации
пользователя у операторов Стрим-ТВ и Петерстар, данная схема очень похожа на схему с использованием
PPTP(PPPoE сервер + radius)

3) OpenVPN – теоритечески возможно и с его помощью авторизоввывать пользователей, но практическое
использование его для таких целей не встречал, если есть такие операторы – ткните носом :)

Так называемая схема БезВПН:
Идентификация пользователя в данном случае производится на основе его IP адреса, который необходимо защитить от подмены
Почти все эти схемы могут успешно использоваться в сетях со статическими IP адресами или в случае использования DHCP

1) IP-Mac-Binding, чаще всего используется в сетях построенных на коммутаторах D-Link. В данном случае средствами коммутатора осуществляется привязка IP адреса и MAC адреса к определенному порту коммутатора (в зависимости от коммутатора и настройки функции могут анализироваться ARP пакеты или TCP/IP пакеты), в случае несовпадения этой привязки MAC адрес пользователя просто блочится на коммутаторе и пакеты от пользователя никуда не идут. При использовании DHCP могут быть нюансы – клиент отправил DHCP запрос, а свитч его заблочил за несовпадение привязки :) Естественно DHCP сервер должен отдавать прописанному маку – конкретный IP. Не совсем дружелюбный способ по отношению к пользователю ибо после смены устройства подключенного в сети измениться и MAC адрес пользователя, т.е пользователю придется звонить в саппорт оператора и просить изменить MAC адрес привязки

2) Привязка MAC адреса к порту
Такой метод привязки пользователя к порту тоже используется но не часто.
Алгоритм простой, просто привязывается MAC адрес сетевой карточки клиента к порту коммутатора, от подмены IP адресов не спасает, зато доставляет головную боль клиенту и оператору.

3) Статическая ARP таблица (на маршрутизаторе или коммутаторе 3-го уровня), очень часто используется при использовании неуправляемых коммутаторов на уровне доступа
При данной привязке пользователя к порту в ARP таблице на маршрутизаторе или коммутаторе за конкретным IP пользователя закрепляется его MAC адрес, метод тоже неудобный для пользователя + существует вероятность того что умный пользователь все-таки сможет выйти под чужим IP адресом, просто сменив MAC адрес своей сетевой карточки, такая привязка обходится за 2 минуты :)
Возможна вариация со статической ARP таблицей и привязкой определенного MAC-а к порту коммутатора, этот способ более грамотен чем просто статический ARP или простая привязка MAC-а на порт и следовательно более секурна, т.к в данном случае клиент то IP сменить свой может, а вот подставить чужой MAC адрес – нет.

4) Привязка пользователя к порту с помощью ACL (access control list) коммутатора, используется в моем случае. Немного неудобный для оператора способ привязки пользователя, но самый дружелюбный к нему. При данной привязке на коммутаторе создаются правила вида:
<IP клиента> — <порт клиента> — Разрешить
<все остальное> — <порт клиента> — Запретить
Данный способ удобен тем – что пользователь может сколько угодно сменять MAC
Адрес и получать доступ в сеть, но при смене своего IP – коммутатор его не
Пропустит

5) По своему VLAN-у на пользователя
Как таковой привязки пользователя нету, просто пользователю выделяется свой VLAN и своя сеть, а там он в нем пусть творит что хочет :). Ресурсоемкий и имхо не совсем удобный метод, но красивый. Чаще всего используется для Юридических клиентов

6) Различные Web Based и 802.1x привязки – можно даже не рассматривать. В данном случае клиент идентифицируется по связке login/password и на основании этих данных выпускается в сеть. От метода VPN отличается только тем что нет необходимости поднимать VPN туннель

7) Отсутствие привязки вообще.
Существует и такой метод и даже где-то используется, но нету никаких гарантий
что пользователи начнут мешать друг другу и воровать Интернет методом смены
своего IP на IP соседа, хотя в наш век безлимиток вполне доступен для жизни
Tags:ispтелекомпривязкибезопасностьидентификацияvpnpptpppoemacvlan
Hubs: Lumber room
+12
3k 26
Comments 7