Προτόκολλα για Αυθεντικοποίηση και συγχνονισμο Router σε DSL

[PC_MAGAS]

Καλησπέρες,  λόγο των αλλαγών και μετάβαση σε VOIP πυροδότεισε μια ανάγκη για επίγνωση των πρωτοκόλλων που το Router επικοινωνεί μέσω του πάροχου και της σηματοδοσίας για συμφωνία σε μια ταχύτητα. Για VOIP ξέρω ότι παίζουν τα πρωτόκολλα SIP και HS323.

Όμως στο DSL πως μπορεί ένα router να "συγχρονίζει" και πως το router αυθεντικοποιείτε στον πάροχο; Ακόμα τι σημαίνει πως ένα router συγχρονίζει και γιατί σε μια γραμμή εάν υπάρχουν πολλαπλά router είναι αδύνατος ο συγχρονισμος;

Επεξ/σία 6 Μαΐου 2019 από PC_MAGAS

[eliasbats]

Αν και σε καμία περίπτωση δεν έχω εξειδικευμένες γνώσεις πάνω σε xDSL, θα επιχειρήσω να απαντήσω σε γενικές γραμμές, πιο πολύ επειδή δεν το έχει κάνει ήδη κάποιος άλλος, με κίνδυνο όμως να γράψω ανακρίβειες:

Ο συγχρονισμός αφορά την αυτή καθεαυτή δικτυακή επικοινωνία του modem/router με το DSLAM, δηλαδή τη σύναψη ενός ψηφιακού καναλιού πάνω από το οποίο θα περνάνε τα δεδομένα. Υπάρχουν διάφορα πρωτόκολλα με παλαιότερες και πιο μοντέρνες τεχνολογίες και τις αντίστοιχες υλοποιήσεις σε hardware (modems συνδρομητών & DSLAMs) που θα επιτρέψουν την αποστολή/λήψη δεδομένων με ρυθμό από λίγα mbps έως και 100 mbps ή και περισσότερο, πάντα ανάλογα με την απόσταση που πρέπει να διανύσει το σήμα από το modem έως το DSLAM, τις παρεμβολές στη διαδρομή, την ποιότητα του χάλκινου αγωγού (καλωδίου), και άλλους παράγοντες. Αναφέρεται συνήθως ως "συγχρονισμός", επειδή λόγω της απόστασης, η οποία διαφέρει προφανώς από συνδρομητή σε συνδρομητή, και της μή αξιόπιστης φύσης του μέσου, κατά τη σύνδεση του κυκλώματος γίνονται κάποιοι υπολογισμοί που διαρκούν κάποια δευτερόλεπτα ώσπου να αποφασιστεί ποιος θα είναι ο αποδοτικότερος ρυθμός μετάδοσης με μια X ανοχή σε λάθη, τέτοια ώστε να μην δημιουργείται πρόβλημα σε πρωτόκολλα ανώτερου επιπέδου (PPP, IP, TCP, SIP κλπ). Αυτό ο ρυθμός όπως ξέρεις μπορεί να διαφέρει σημαντικά από συνδρομητή σε συνδρομητή.

Αφού επιτευχθεί ο DSL συγχρονισμός και μπορεί να ξεκινήσει η ανταλλαγή ψηφιακών δεδομένων, συνήθως επιστρατεύεται (σαν πρωτόκολλο του επόμενου επιπέδου), κάποια μορφή του PPP (point to point protocol) για να δοθεί η δυνατότητα για την αυθεντικοποίηση του συνδρομητή, όπου εκεί καλείται συνήθως ο χρήστης να εισάγει στο modem/router ένα user/password ώστε μετά την αυθεντικοποίηση να αποδοθεί μια WAN IP address στο router. Μετά από αυτό το σημείο φυσικά μπορούν να λειτουργήσουν και τα πρωτόκολλα ανωτέρων επιπέδων όπως το TCP, UDP, και πάνω από αυτά τα application layer protocols, όπως DNS, HTTP, POP3, SIP κλπ. Το ενδιαφέρον εδώ είναι ότι κάποιοι πάροχοι έχουν επιλέξει την εξής πρακτική: για τη δική τους τηλεφωνία να γίνεται ξεχωριστή κλήση PPP, αποδίδοντας μία 2η WAN IP address στο modem/router του συνδρομητή, αποκλειστικά για χρήση VoIP. Αυτό ίσως βολεύει σε θέματα ασφαλείας, QOS και ευκολότερης διαχείρισης.

Τέλος, στο ερώτημά σου "γιατί είναι αδύνατος ο συγχρονισμός πολλαπλών routers [πάνω από το ίδιο καλώδιο χαλκού]" η απάντηση είναι μάλλον ότι το xDSL δεν είναι multi-access network, όπως είναι άλλα παραδοσιακά πρωτόκολλα όπως π.χ. το Ethernet, άρα από το σχεδιασμό του είναι φτιαγμένο να δουλεύει με 1 modem συνδρομητή πάνω σε 1 modem port του DSLAM, δηλαδή ως point to point network.

Αν ενδιαφέρεσαι για περισσότερες λεπτομέρειες στο internet υπάρχουν άπειρες πληροφορίες για να μάθεις περισσότερα (και ΠΟΛΥ πιο σωστά διατυπωμένα από τα παραπάνω).

[madrivermadonus]

2 ώρες πριν, eliasbats είπε

Αν και σε καμία περίπτωση δεν έχω εξειδικευμένες γνώσεις πάνω σε xDSL, θα επιχειρήσω να απαντήσω σε γενικές γραμμές, πιο πολύ επειδή δεν το έχει κάνει ήδη κάποιος άλλος, με κίνδυνο όμως να γράψω ανακρίβειες:

Ο συγχρονισμός αφορά την αυτή καθεαυτή δικτυακή επικοινωνία του modem/router με το DSLAM, δηλαδή τη σύναψη ενός ψηφιακού καναλιού πάνω από το οποίο θα περνάνε τα δεδομένα. Υπάρχουν διάφορα πρωτόκολλα με παλαιότερες και πιο μοντέρνες τεχνολογίες και τις αντίστοιχες υλοποιήσεις σε hardware (modems συνδρομητών & DSLAMs) που θα επιτρέψουν την αποστολή/λήψη δεδομένων με ρυθμό από λίγα mbps έως και 100 mbps ή και περισσότερο, πάντα ανάλογα με την απόσταση που πρέπει να διανύσει το σήμα από το modem έως το DSLAM, τις παρεμβολές στη διαδρομή, την ποιότητα του χάλκινου αγωγού (καλωδίου), και άλλους παράγοντες. Αναφέρεται συνήθως ως "συγχρονισμός", επειδή λόγω της απόστασης, η οποία διαφέρει προφανώς από συνδρομητή σε συνδρομητή, και της μή αξιόπιστης φύσης του μέσου, κατά τη σύνδεση του κυκλώματος γίνονται κάποιοι υπολογισμοί που διαρκούν κάποια δευτερόλεπτα ώσπου να αποφασιστεί ποιος θα είναι ο αποδοτικότερος ρυθμός μετάδοσης με μια X ανοχή σε λάθη, τέτοια ώστε να μην δημιουργείται πρόβλημα σε πρωτόκολλα ανώτερου επιπέδου (PPP, IP, TCP, SIP κλπ). Αυτό ο ρυθμός όπως ξέρεις μπορεί να διαφέρει σημαντικά από συνδρομητή σε συνδρομητή.

Αφού επιτευχθεί ο DSL συγχρονισμός και μπορεί να ξεκινήσει η ανταλλαγή ψηφιακών δεδομένων, συνήθως επιστρατεύεται (σαν πρωτόκολλο του επόμενου επιπέδου), κάποια μορφή του PPP (point to point protocol) για να δοθεί η δυνατότητα για την αυθεντικοποίηση του συνδρομητή, όπου εκεί καλείται συνήθως ο χρήστης να εισάγει στο modem/router ένα user/password ώστε μετά την αυθεντικοποίηση να αποδοθεί μια WAN IP address στο router. Μετά από αυτό το σημείο φυσικά μπορούν να λειτουργήσουν και τα πρωτόκολλα ανωτέρων επιπέδων όπως το TCP, UDP, και πάνω από αυτά τα application layer protocols, όπως DNS, HTTP, POP3, SIP κλπ. Το ενδιαφέρον εδώ είναι ότι κάποιοι πάροχοι έχουν επιλέξει την εξής πρακτική: για τη δική τους τηλεφωνία να γίνεται ξεχωριστή κλήση PPP, αποδίδοντας μία 2η WAN IP address στο modem/router του συνδρομητή, αποκλειστικά για χρήση VoIP. Αυτό ίσως βολεύει σε θέματα ασφαλείας, QOS και ευκολότερης διαχείρισης.

Τέλος, στο ερώτημά σου "γιατί είναι αδύνατος ο συγχρονισμός πολλαπλών routers [πάνω από το ίδιο καλώδιο χαλκού]" η απάντηση είναι μάλλον ότι το xDSL δεν είναι multi-access network, όπως είναι άλλα παραδοσιακά πρωτόκολλα όπως π.χ. το Ethernet, άρα από το σχεδιασμό του είναι φτιαγμένο να δουλεύει με 1 modem συνδρομητή πάνω σε 1 modem port του DSLAM, δηλαδή ως point to point network.

Αν ενδιαφέρεσαι για περισσότερες λεπτομέρειες στο internet υπάρχουν άπειρες πληροφορίες για να μάθεις περισσότερα (και ΠΟΛΥ πιο σωστά διατυπωμένα από τα παραπάνω).

Πολύ ωραία τα έγραψες Ηλία. Αν είχα κάτι να προσθέσω είναι οτι κατά τον συγχρονισμό γίνεται το three way handshake .

Αρχικα ο χρήστης στέλνει στον server ένα SYN packet (Synchronize Sequence Number) , ο server στέλνει SYN-ACK ως απάντηση οτι θα εξυπηρετήσει και τέλος ο χρήστης στέλνει το ACK (Acknowledgement).  Έπειτα η σύνδεση γίνεται Established και βγαίνει η ταχύτητα της επικοινωνίας πχ 24mbps down/1mbps up (συγχρονισμός) και είναι έτοιμη η επικοινωνία.

Επεξ/σία 10 Μαΐου 2019 από madrivermadonus

[Επισκέπτης]

17 ώρες πριν, madrivermadonus είπε

 

Αν είχα κάτι να προσθέσω είναι οτι κατά τον συγχρονισμό γίνεται το three way handshake. Αρχικα ο χρήστης στέλνει στον server ένα SYN packet (Synchronize Sequence Number) , ο server στέλνει SYN-ACK ως απάντηση οτι θα εξυπηρετήσει και τέλος ο χρήστης στέλνει το ACK (Acknowledgement).  Έπειτα η σύνδεση γίνεται Established και βγαίνει η ταχύτητα της επικοινωνίας πχ 24mbps down/1mbps up (συγχρονισμός) και είναι έτοιμη η επικοινωνία.

Καλύτερα χρησιμοποίησε την προτροπή της τελευταίας παραγράφου του προηγούμενου σχολίου....

Γενικά για broadband συνδέσεις - τεχνολογίες και σχετικές υπηρεσίες (Internet, voice, IPtv) σε σχέση και με το είδος του last mile access (cable, copper, wimax, fiber,  etc) υπάρχουν διαφορετικές τεχνολογίες ως προς την μετάδοση των bits μεταξύ ενός modem ενός συνδρομητή και ενός dslam του παρόχου ή ενός cable modem ενός συνδρομητή και ενός docsis cable router του παρόχου κλπ.

Εφόσον συμφωνηθεί αυτό το "χαμηλό" επίπεδο μετάδοσης μεταξύ συνδρομητή και παρόχου, στην συνέχεια πάμε για ταυτοποίηση συνδρομητή/υπηρεσίες (Option 82, radius authentication και PPP/PPPOE etc), μπορούν να χρησιμοποιηθούν με διάφορους τρόπους για subscriber session internet access ,(user authentication, IP address alocation). Αλλες υπηρεσίες πχ Voice μέσω VoIP ή IPtv μπορεί να χρησιμοποιούν αντί του PPP (PPPoE), IPoE και το user authentication ως προς την υπηρεσία να ποικίλει (option 82, radius, sip registration eg) όπως και το address allocation αντίστοιχα (PPPoE και IPCP, IPoE και DHCP eg).

Αναλυτικότερη και πλουσιότερη πληροφορία, όπως ειπώθηκε θα βρεις στο internet (RFCs, Broadbandforums, ITU, etc), ενώ μπορείς να διαβάσεις και εντός του site σχετικά άρθρα για το πώς λειτουργεί το ADSL πχ.

Επεξ/σία 11 Μαΐου 2019 από Επισκέπτης

[PC_MAGAS]

Ευχαριστώ για τις απαντήσεις,

Βασικά με ενδιαφέρει το κομμάτι τις αυθεντικοποίησης του Router με το πάροχο και ποιες μέθοδοι υποστηρίζουν Challenge-Response Schemes. Ρωτώ λόγο ότι θα με ενδιέφερε να δω πως μια SIM κάρτα θα μπορούσε να αξιοποιηθεί για αυθεντικοποίηση σε DSL αντί Username/Password.

Μια SIM κάρτα AFAIK είναι ένα trusted execution environent το οποίο εκτελεί πράξεις Key Deriviation και έτσι θέλω να γνωρίζω ποιες μέθοδοι υποστηρίζουν Challenge Response αντί username & Password.

H ιδέα είναι να κάνω αυθεντικοποίηση αξιοποιώντας κλειδί από τις συναρτήσεις f3K και f4K όπως δείχνει το http://www.3glteinfo.com/umts-security-entity-authentication/ εφόσον είναι περαιτέρω derived μέσω KDF ή πειράζοντας την τιμή RAND ανά service πχ. το DSL να είναι ένα service το VOIP ένα άλλο κλπ κλπ.

Ακόμη θέλω να γνωρίζω εάν το DSL έχει πρωτόκολλα που υποστηρίζουν EAP-AKA και EAP-AKA' μεθόδους αυθεντικοποίησης.

Επεξ/σία 11 Μαΐου 2019 από PC_MAGAS

[Επισκέπτης]

SIM κάρτα δεν χρησιμοποιείται σε broadband xDSL διαδικασία ταυτοποίησης χρήστη σε fixed internet access.

Είναι εντελώς διαφορετικό το σενάριο μέσω (user authentication, αλλά και των components που συμμετέχουν) mobile internet access για πρόσβαση σε internet και VoLTE ας πούμε για VoIP.

Μέσω RADIUS μπορείς να έχεις EAP τύπους authentication κυρίως όμως έχει νόημα σε IPoE περιβάλλον.

[PC_MAGAS]

3 λεπτά πριν, koftis650 είπε

SIM κάρτα δεν χρησιμοποιείται σε broadband xDSL διαδικασία ταυτοποίησης χρήστη σε fixed internet access.

Είναι εντελώς διαφορετικό το σενάριο μέσω (user authentication, αλλά και των components που συμμετέχουν) mobile internet access για πρόσβαση σε internet και VoLTE ας πούμε για VoIP.

Μέσω RADIUS μπορείς να έχεις EAP τύπους authentication κυρίως όμως έχει νόημα σε IPoE περιβάλλον.

Δεν έχει νόημα μεν ΑΛΛΑ σαν User Experience που πλέον σε περίπτωση αλλαγής router (για ποικίλου λόγους) δεν θα χρειάζετε να ζητάς username/password από τον πάροχο, ΑΛΛΑ απλά να πάρεις την SIM από το ένα router και να το πας στο άλλο. Ακόμη από Business perspective επιτρέπει να έχεις ένα Router ΚΑΙ σαν DSL router αλλά ΚΑΙ σαν 3/4/5g συσκευή διαδικτύου σε σενάρια υβριδικής πρόσβασης ή και να το κουβαλάς στις διακοπές.

Ακόμη έχω ακόμα μια απορία λόγο ότι το Router δεν μεταδίδει τα WAN πακέτα προς το Ethernet έχετε ιδέα πως μπορώ να κάνω intercept τα πακέτα αυτά και να τα μελετήσω μέσω wireshark; Λόγο ότι δεν είναι ένα καλώδιο ethernet έχεις 2 θύρες είσοδος-έξοδος και ΜΠΟΥΜ intercept;

[Επισκέπτης]

26 λεπτά πριν, PC_MAGAS είπε

Δεν έχει νόημα μεν ΑΛΛΑ σαν User Experience που πλέον σε περίπτωση αλλαγής router (για ποικίλου λόγους) δεν θα χρειάζετε να ζητάς username/password από τον πάροχο,

Κάποιοι πάροχοι δεν ζητάνε username/password να είναι configured στο modem/router μιας xDSL γραμμής, έτσι ότι CPE να συνδέσεις στην γραμμή  θα δουλέψει.

 

27 λεπτά πριν, PC_MAGAS είπε

Ακόμη από Business perspective επιτρέπει να έχεις ένα Router ΚΑΙ σαν DSL router αλλά ΚΑΙ σαν 3/4/5g συσκευή διαδικτύου σε σενάρια υβριδικής πρόσβασης ή και να το κουβαλάς στις διακοπές

Ακόμα και με υβριδικό σενάριο πάλι το φυσικό μέσω έχει εντελώς διαφορετικά components και διαδικασίες όπως είπα (fixed/mobile). Το mobile φυσικά είναι πολύ πιο flexible αλλά πολύ πιό ακριβό σε σχέση με το flat rate του fixed xDSL που χρησιμοποιεί την τηλεφωνική γραμμή και έχει άλλα σημεία αναγνώρισης και τερματισμού.

Γενικότερα είναι διαφορετικά οριοθετημένη και καθορισμένη η υπηρεσία fixed σε σχέση με την mobile ενώ τα components λειτουργίας για την παροχή υπηρεσιών (internet access, voice) είναι εντελώς διαφορετικά μεταξύ τους. Η αναγνώριση για billing (RADIUS) δεν είναι κάτι που αλλάζει ακόμα και σε υβριδικά περιββάλοντα.

37 λεπτά πριν, PC_MAGAS είπε

Ακόμη έχω ακόμα μια απορία λόγο ότι το Router δεν μεταδίδει τα WAN πακέτα προς το Ethernet

 Θα πρέπει να έχεις μια συσκευή μπροστά απ' αυτό (πχ κάποια συσκευή που κάνει καθήκοντα modem) και διασύνδεση των συσκευών (modem - your CPE device) μέσω ethernet πχ (modem ETH -- CPE WAN ETH) και φυσικά αν στο επιτρέπει η συσκευή σου (CPE) να κάνεις κάποιο capture (local/remote) και να βλέπεις πχ απο την φάση του PPP (LCP, IPCP) και μετά. 

Σε non-ethernet WAN (rj-11) το ξεχνάς (απ' την δική σου πλευρά).

[htaccess]

1 ώρα πριν, PC_MAGAS είπε

Ακόμη έχω ακόμα μια απορία λόγο ότι το Router δεν μεταδίδει τα WAN πακέτα προς το Ethernet έχετε ιδέα πως μπορώ να κάνω intercept τα πακέτα αυτά και να τα μελετήσω μέσω wireshark; Λόγο ότι δεν είναι ένα καλώδιο ethernet έχεις 2 θύρες είσοδος-έξοδος και ΜΠΟΥΜ intercept;

Καλησπέρα, αν το modem router που χρησιμοποιείς σου δίνει την δυνατότητα να περάσεις "pppoe passthrough" τότε ναι μπορείς.

Π.χ. στην δική μου περίπτωση με διανομή linux debian έχω εγκατεστημένο το *(PPP over Ethernet) + wireshark

*https://www.debian.org/releases/jessie/amd64/apds05.html.en

[Επισκέπτης]

Με οποιοδήποτε λειτουργικό που έχει PPPoE client γίνεται απλά χρειάζεται και κάποιο modem μπροστά...

[PC_MAGAS]

1 ώρα πριν, koftis650 είπε

Κάποιοι πάροχοι δεν ζητάνε username/password να είναι configured στο modem/router μιας xDSL γραμμής, έτσι ότι CPE να συνδέσεις στην γραμμή  θα δουλέψει. 

Όμως ο εξοπλισμός CPE κάπως αυθεντικοποιείτε σωστά με κάποιο credential; πχ. Μέσω PAP ή CHAP, στην περίπτωση CHAP δεν θα πρέπει να έχει ένα Key; Από όσο γνωρίζω τα Challenge Response Schemes  γίνετε αμφίδρομη αυθεντικοποίηση.

[Επισκέπτης]

Σου εξήγησα υπάρχουν διάφοροι τρόποι, πχ με option 82 που μπορεί να μπει από την γραμμή ενός cpe καθώς αυτή τερματίζει σε κάποια κάρτα ενός dslam μπορεί να χρησιμοποιηθεί για αναγνώριση ενός συνδρομητή και της υπηρεσίας του.

Με ppp pap ή chap μπορεί να έχεις one way ή two way authentication, απλά ο συνδρομητής δεν κάνει authenticate τον πάροχο.

[PC_MAGAS]

Πλέον αναρωτιέμαι τι μεθόδους να επισημοποιούν περισσότερο οι Ελληνικοί ISP.