Методы привязки пользователя к своему IP в сети

    Существует множество типов сетей с различным устройством и принципами идентификации пользователей для подсчета трафика, нарезки тарифных скоростей и ограничения доступа в сеть неплательщикам.
    У каждого из вариантов есть свои особенности и свои недостатки
    В этой статье я постараюсь рассказать о наиболее используемых методах идентификации пользователей которые успешно применяются в сетях небольших и крупных провайдерах

    Привязки на основе так называемого VPN:
    Идентификация пользователя и доступ в сеть осуществляется на основе проверки его имени пользователя и пароля (login/password)

    1) PPTP,L2tp – чаще всего применяются в сетях с неуправляемым оборудованием или
    неуправляемых сегментах сети (исключения Корбина-Телеком + возможно еще
    какие-то сети)

    При такой схеме идентификация клиента – для выхода в Интернет надо поднять
    VPN туннель, идентификация пользователя происходит по логину/паролю. Далее
    на основе этих атрибутов VPN сервер делает запрос к Radius-у и тот уже говорит
    выпускать или нет клиента в сеть + возможную тарифную скорость этого клиента
    (если шейпинг осуществляется средствами самого VPN сервера)

    2) PPPoE – применяется в сетях с управляемым оборудованием (есть люди которые и в неуправляемых
    сегментах его применяют, но это большой риск так-как существует большая вероятность появление левых
    PPPoE серверов со всеми вытекающими). На сколько знаю применяется эта схема идентификации
    пользователя у операторов Стрим-ТВ и Петерстар, данная схема очень похожа на схему с использованием
    PPTP(PPPoE сервер + radius)

    3) OpenVPN – теоритечески возможно и с его помощью авторизоввывать пользователей, но практическое
    использование его для таких целей не встречал, если есть такие операторы – ткните носом :)

    Так называемая схема БезВПН:
    Идентификация пользователя в данном случае производится на основе его IP адреса, который необходимо защитить от подмены
    Почти все эти схемы могут успешно использоваться в сетях со статическими IP адресами или в случае использования DHCP

    1) IP-Mac-Binding, чаще всего используется в сетях построенных на коммутаторах D-Link. В данном случае средствами коммутатора осуществляется привязка IP адреса и MAC адреса к определенному порту коммутатора (в зависимости от коммутатора и настройки функции могут анализироваться ARP пакеты или TCP/IP пакеты), в случае несовпадения этой привязки MAC адрес пользователя просто блочится на коммутаторе и пакеты от пользователя никуда не идут. При использовании DHCP могут быть нюансы – клиент отправил DHCP запрос, а свитч его заблочил за несовпадение привязки :) Естественно DHCP сервер должен отдавать прописанному маку – конкретный IP. Не совсем дружелюбный способ по отношению к пользователю ибо после смены устройства подключенного в сети измениться и MAC адрес пользователя, т.е пользователю придется звонить в саппорт оператора и просить изменить MAC адрес привязки

    2) Привязка MAC адреса к порту
    Такой метод привязки пользователя к порту тоже используется но не часто.
    Алгоритм простой, просто привязывается MAC адрес сетевой карточки клиента к порту коммутатора, от подмены IP адресов не спасает, зато доставляет головную боль клиенту и оператору.

    3) Статическая ARP таблица (на маршрутизаторе или коммутаторе 3-го уровня), очень часто используется при использовании неуправляемых коммутаторов на уровне доступа
    При данной привязке пользователя к порту в ARP таблице на маршрутизаторе или коммутаторе за конкретным IP пользователя закрепляется его MAC адрес, метод тоже неудобный для пользователя + существует вероятность того что умный пользователь все-таки сможет выйти под чужим IP адресом, просто сменив MAC адрес своей сетевой карточки, такая привязка обходится за 2 минуты :)
    Возможна вариация со статической ARP таблицей и привязкой определенного MAC-а к порту коммутатора, этот способ более грамотен чем просто статический ARP или простая привязка MAC-а на порт и следовательно более секурна, т.к в данном случае клиент то IP сменить свой может, а вот подставить чужой MAC адрес – нет.

    4) Привязка пользователя к порту с помощью ACL (access control list) коммутатора, используется в моем случае. Немного неудобный для оператора способ привязки пользователя, но самый дружелюбный к нему. При данной привязке на коммутаторе создаются правила вида:
    <IP клиента> — <порт клиента> — Разрешить
    <все остальное> — <порт клиента> — Запретить
    Данный способ удобен тем – что пользователь может сколько угодно сменять MAC
    Адрес и получать доступ в сеть, но при смене своего IP – коммутатор его не
    Пропустит

    5) По своему VLAN-у на пользователя
    Как таковой привязки пользователя нету, просто пользователю выделяется свой VLAN и своя сеть, а там он в нем пусть творит что хочет :). Ресурсоемкий и имхо не совсем удобный метод, но красивый. Чаще всего используется для Юридических клиентов

    6) Различные Web Based и 802.1x привязки – можно даже не рассматривать. В данном случае клиент идентифицируется по связке login/password и на основании этих данных выпускается в сеть. От метода VPN отличается только тем что нет необходимости поднимать VPN туннель

    7) Отсутствие привязки вообще.
    Существует и такой метод и даже где-то используется, но нету никаких гарантий
    что пользователи начнут мешать друг другу и воровать Интернет методом смены
    своего IP на IP соседа, хотя в наш век безлимиток вполне доступен для жизни
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 7

      +2
      вообще идентификация — это то как мы будет различать одну сущность в системе среди других.

      А аутентификация — это то, как сущность может подтвердить, что она обладает предъявляемым идентификатором.

      Так что «login/password» это точно не идентификация.
        +1
        >>хотя в наш век безлимиток вполне доступен для жизни
        анлим решает проблему кражи, но не решает проблему хакиров которые будут творить разное под чужим айпи.
          0
          Это да, заголовок статьи некорректен. сначала хотел написать про одно а вышло про другое )
            0
            Что же мешает поправить заголовок?
          0
          когда сеть научиться мыслить самостоятельно, таких проблем не будет
            0
            7) Отсутствие привязки вообще.
            Существует и такой метод и даже где-то используется, но нету никаких гарантий
            что пользователи начнут мешать друг другу и воровать Интернет методом смены
            своего IP на IP соседа, хотя в наш век безлимиток вполне доступен для жизни

            Это про Westcall-СПб.

            Расскажу историю.

            До меня фирму админил другой человек, а от него я, как водится, получил не вполне полную документацию, в частности — договора с провайдером я не видел. Но зато от него я вроде бы слышал, что нам выделена подсеть то ли /28, то ли /29.

            Ну и запользовал я некоторые адреса в этой /29-подсети. Спокойно так пользовали, всё работало…

            Прошёл год, опа — интернет пропал. Звоним провайдеру — «а вы незаконно использовали IP-адреса». Выяснилось, что никакой подсети там не было, был один статический IP-адрес, никакой привязки по IP или MAC тоже не было. А то, что мы пользовали некорректно другие адреса никого не волновало, т.к. просто некому было их назначить, как только появился клиент, которму выдали этот адрес, а у него интернет не заработал — отключили нас как «злоумышленников».
              0
              Это не только про WestCall, есть еще такие сети

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

            Самое читаемое