ช่วยอธิบายหลักการ ของการ allow และ deny packet ที่
จะออกเน็ตหน่อยได้ไหม ครับ
คือ เค้าตั้ง server ไว้ แล้วให้ client authenticate
แล้วถึงจะออกเน็ตได้ อยากทราบครับ
ว่ามันทำยังไง
หลักการก็คือ เรามี Server Authentication กลางที่เราเรียกว่า RADIUS Server (จริงๆ แล้วถ้าพูดถึง RADIUS เฉยๆ เราจะหมายถึง Remote Authentication Dial-In User Service ซึ่งเป็นโปรโตคอลไม่ใช่ชื่อซอฟต์แวร์แต่อย่างใด) เป็นตัวจัดการเรื่องเกี่ยวกับการ Authentication ของ User
จากนั้นทำการตั้งค่าให้ Gateway ซึ่งปกติมักจะเป็น AP (Access Point) ทำการ Enable 802.1X Authentication ตั้งค่าให้ทำงานร่วมกับ RADIUS แล้วตั้งค่าไอพีของ RADIUS Server ของเรา
หลังจากนั้นเมื่อเครื่องลูกข่ายต้องการส่ง Packet ออกไปผ่านทาง AP ตัว AP จะบังคับให้เครื่องลูกข่ายทำการ Authentication ก่อน โดยจะส่งการ Authentication ไปที่ RADIUS Server เพื่อดูว่าเครื่องลูกข่ายนั้นมีสิทธิ์ในการส่ง Packet ออกไปหรือไม่
ข้างบนคือหลักการทำอย่างคร่าวๆ แต่ถ้าถามถึงเชิงเทคนิคว่ามันทำงานอย่างไรถึงรู้ได้ว่าเครื่องลูกข่ายนั้นมีสิทธิ์จะมีดังนี้
อย่างแรกคือเราจะต้องดูก่อนว่าการแลกเปลี่ยนข้อมูลกันระหว่าง AP และ RADIUS Server เป็นไปในรูปแบบใด เช่น EAP-MD5, LEAP, EAP-TLS หรือ PEAP ซึ่งจะมีหลักการไม่เหมือนกัน ในที่นี้จะยกตัวอย่าง EAP-MD5 หลักการก็คือ มีการส่ง username และ password ที่ถูกเข้ารหัสด้วย MD5 ไปยัง AP หลังจากนั้นจะมีการสร้าง WEP Key เฉพาะขึ้นมาให้กับเครื่องลูกข่ายนั้นๆ
สำหรับรายละเอียดหลักการแบบเต็มๆ ลองไปอ่านได้ที่
http://thaicert.nectec.or.th/paper/wireless/IEEE80211_4.php (ภาษาไทย)
