Технически, устройство берет MCC/MNC с SIM карты. Они являются частью идентификатора IMSI, который нужен для идентификации абонента в сотовой сети. Это прописано в стандарте. Поэтому у устройства всегда есть MCC/MNC для используемого оператора.
Для того чтобы разобраться, на каком этапе ломается процесс регистрации VoWiFi, нужно собрать дополнительные данные:
· Отправляет ли устройство DNS-Request с FQDN с этими MCC/MNC?
· Получает ли ответ?
· Инициирует ли устройство создание IPsec туннеля до ePDG шлюза?
· Получает ли ответ?
· Как происходит обмен трафиком с оператором с которым VoWiF работает успешно?
Вряд-ли бы соседи стали использовать аналогичный вашему SSID просто так – так что можно предположить изначальную вредность их намерений. Защита управляющих фреймов MFP включена в стандарт WPA3 и является обязательной. Так что все клиенты и точки доступа, работающие по данному стандарту, должны избавиться от этого недостатка.
Защита срабатывает не всегда. Точки доступа «видят» друг друга в радиоэфире, учитывают утилизацию радиосреды при выборе каналов, стараясь использовать наименее загруженные, не занятые «соседями». Таким образом, степень влияния соседей на вас и вас на соседей минимизируется.
Политики защиты от вторжений может срабатывать тогда, когда например происходит целенаправленная атака на вашу сеть с использованием ваших SSID (атака “Honeypot” или “Evil Twin”), или в корпоративный сегмент включается нелегитимное устройство и начинает вещать свой SSID (как в истории про торренты и топ-менеджеров).
Принципиально есть 2 механизма подавления. Один из них заключается в отправке Deauthentication фреймов клиентам нелегитимных точек доступа. Эти фреймы отправляются легитимной точкой доступа и предназначаются клиенту точки доступа, на которую сработали политики. Следствием работы этого метода является деаутентификация клиента от точки доступа. Но это не предотвращает попытки клиента повторно подключиться к этой точке.
Второй метод проприетарный, и заключается в имитации легитимной точкой подключения клиента к нелегитимной точке. Вместо того чтобы подключиться и что-то передавать, клиент только считает себя подключенным к нелигитимной точке, по факту же соединение не происходит. Это предотвращает настойчивые попытки клиента подключиться к нелигитимной точке, в эфире становится меньше фреймов аутентификации и деаутентификации, что снижает утилизацию эфира по сравнению с первым вариантом. Такой метод есть у Aruba.
Однако напомним, что с использованием механизмов защиты управляющих фреймов MFP или WPA3, эти методы работать не будут. От деаутентификации будут защищены как наши клиенты, так и соседские.
В самом деле, для простых задач, в которых не требуется централизованная обработка пользовательского трафика, можно смело использовать встроенные или облачные контроллеры.
Однако есть более сложные сценарии, когда пользовательский трафик нужно централизованно терминировать, анализировать, фильтровать, отправлять в другую локацию. Часто такие сценарии обусловлены требованиями безопасности. В этом случае аппаратный или виртуальный контроллер, который установлен в дата-центре заказчика внутри охраняемого периметра, остается оптимальным выбором.
При этом следует учитывать, что виртуальные контроллеры, устанавливаемые в среде виртуализации, могут иметь ограничения по функционалу или производительности, по сравнению с аппаратными контроллерами. А ещё, для них всё-таки нужно купить сервер. Из всего этого следует только то, что для решения каждой задачи есть более и менее подходящие инструменты, и у каждого есть свои плюсы и минусы.
Боты как раз и нужны, чтобы автоматизировать обработку рутинных запросов, ускорить решение проблем и выделить людям (и на стороне клиента, и на стороне организации) больше времени для развития, общения и творчества.
Сложно даже представить, какая психологическая травма при взаимодействии с ботами побудила вас написать этот коммент:( Приходите к нам в демо-зону, мы покажем как всё это работает и отнюдь не ущемляем права и свободы людей, задействованных в данном процессе.
Технически, устройство берет MCC/MNC с SIM карты. Они являются частью идентификатора IMSI, который нужен для идентификации абонента в сотовой сети. Это прописано в стандарте. Поэтому у устройства всегда есть MCC/MNC для используемого оператора.
Для того чтобы разобраться, на каком этапе ломается процесс регистрации VoWiFi, нужно собрать дополнительные данные:
· Отправляет ли устройство DNS-Request с FQDN с этими MCC/MNC?
· Получает ли ответ?
· Инициирует ли устройство создание IPsec туннеля до ePDG шлюза?
· Получает ли ответ?
· Как происходит обмен трафиком с оператором с которым VoWiF работает успешно?
И так далее.
Вряд-ли бы соседи стали использовать аналогичный вашему SSID просто так – так что можно предположить изначальную вредность их намерений. Защита управляющих фреймов MFP включена в стандарт WPA3 и является обязательной. Так что все клиенты и точки доступа, работающие по данному стандарту, должны избавиться от этого недостатка.
Всё верно. Бездумное подавление чужих точек доступа влечёт как административные последствия, так и ответные действия.
Защита срабатывает не всегда. Точки доступа «видят» друг друга в радиоэфире, учитывают утилизацию радиосреды при выборе каналов, стараясь использовать наименее загруженные, не занятые «соседями». Таким образом, степень влияния соседей на вас и вас на соседей минимизируется.
Политики защиты от вторжений может срабатывать тогда, когда например происходит целенаправленная атака на вашу сеть с использованием ваших SSID (атака “Honeypot” или “Evil Twin”), или в корпоративный сегмент включается нелегитимное устройство и начинает вещать свой SSID (как в истории про торренты и топ-менеджеров).
Принципиально есть 2 механизма подавления. Один из них заключается в отправке Deauthentication фреймов клиентам нелегитимных точек доступа. Эти фреймы отправляются легитимной точкой доступа и предназначаются клиенту точки доступа, на которую сработали политики. Следствием работы этого метода является деаутентификация клиента от точки доступа. Но это не предотвращает попытки клиента повторно подключиться к этой точке.
Второй метод проприетарный, и заключается в имитации легитимной точкой подключения клиента к нелегитимной точке. Вместо того чтобы подключиться и что-то передавать, клиент только считает себя подключенным к нелигитимной точке, по факту же соединение не происходит. Это предотвращает настойчивые попытки клиента подключиться к нелигитимной точке, в эфире становится меньше фреймов аутентификации и деаутентификации, что снижает утилизацию эфира по сравнению с первым вариантом. Такой метод есть у Aruba.
Однако напомним, что с использованием механизмов защиты управляющих фреймов MFP или WPA3, эти методы работать не будут. От деаутентификации будут защищены как наши клиенты, так и соседские.
В самом деле, для простых задач, в которых не требуется централизованная обработка пользовательского трафика, можно смело использовать встроенные или облачные контроллеры.
Однако есть более сложные сценарии, когда пользовательский трафик нужно централизованно терминировать, анализировать, фильтровать, отправлять в другую локацию. Часто такие сценарии обусловлены требованиями безопасности. В этом случае аппаратный или виртуальный контроллер, который установлен в дата-центре заказчика внутри охраняемого периметра, остается оптимальным выбором.
При этом следует учитывать, что виртуальные контроллеры, устанавливаемые в среде виртуализации, могут иметь ограничения по функционалу или производительности, по сравнению с аппаратными контроллерами. А ещё, для них всё-таки нужно купить сервер. Из всего этого следует только то, что для решения каждой задачи есть более и менее подходящие инструменты, и у каждого есть свои плюсы и минусы.
Сложно даже представить, какая психологическая травма при взаимодействии с ботами побудила вас написать этот коммент:( Приходите к нам в демо-зону, мы покажем как всё это работает и отнюдь не ущемляем права и свободы людей, задействованных в данном процессе.