網路連線使用權的管制

網路連線使用權的管制在此介紹鎖定網卡 MAC 位址的網路管制和使用 Captive Portal 機制的網路管制

。

2.5.1 鎖定網卡 MAC 位址的網路管制

鎖定網卡 MAC 位址可以管制網路的使用權，其原理很簡單，在可管理 MAC 位址的 設備中設有一份 MAC 位址的存取控制表列(Access Control List, ACL)[16]，這份存 取控制表列中記載著可放行的網卡 MAC 位址，只要符合裡頭的 MAC 位址就可以存取使用 網路資源，反之則拒絕使用。可管理 MAC 位址的設備需要有 OSI 參考模型的第二層資料

連結層的功能，通常我們使用 Layer 2 或 Layer 3 網管型網路交換器(Managed Switch) 或無線網路基地台(Wireless Access Point, WAP 或 AP)等，這些設備都可以自行增加 或刪除 MAC 位址的存取控制表列，以達到管制網路的使用權。其中 Layer 2 網管型網路 交換器可管理 MAC 位址，如圖 2-8，而 Layer 3 網管型網路交換器則可管理 MAC 位址和 IP 位址。

通常這類的機制是需要使用者手動在瀏覽器輸入註冊申請的網址，待申請核可後，

才有網路的使用權，像宿舍網路管理系統。此種機制的做法為將 Layer 3 網管型網路交 換器的存取控制表列預設拒絕所有對外連線，只允許連往註冊申請的網址，當使用者打 開瀏覽器手動進行註冊申請，待資料無誤核可後，Layer 3 網管型網路交換器的存取控 制表列就會增加一筆 MAC 位址的放行資料，最後使用者就有完全的網路使用權。

圖 2 - 7 Layer 2 Switch MAC ACL 管控圖

2.5.2 使用網頁認證機制的網路管制

使用 Captive Portal(網頁認證)機制[17]可以管制網路的使用權管制，其原理為 將未認證許可的使用者，在使用網頁瀏覽器要連往 Internet 時，強制將使用者瀏覽器 的頁面導向到認證伺服器所提供的認證畫面，經過認證許可後才能放行使用網路資源，

反之則拒絕使用。使用 Captive Portal 機制的網路，在未認證許可時，所有連往 Internet 的服務都是不允許的，像是 FTP、SMTP、SSH 等都不被許可，除了使用者打開瀏覽器才 會被強制的導向到認證伺服器提供的認證或付費的畫面，直到使用者認證成功或付費後 才可使用網路資源，亦可使用其他網路服務。

在 Captive Portal 機制通常會有白名單(whitelist)[18] 管控哪些使用者可以使 用網路資源。一般經過認證許可後，會有一段使用期限，超過這個使用期限就得再次認 證許可，所以 Captive Portal 機制的認證伺服器系統會有一個白名單，記載著哪些使 用者可以通行和其使用期限，其白名單可以設定來源 IP 位址、來源 MAC 位址、目的 IP

位址或目的 port 等進行管控，如圖 2-9。常見的 Captive Portal 機制有三種，分別為 使用 HTTP 302 重導向、IP 重導向和 DNS 查詢重導向。

圖 2 - 8 Captive Portal 機制管控圖

2.5.2.1 使用 HTTP 302 重導向

如果未認證許可的 Client 電腦想要連往 Internet 的某個網站，首先 Client 電腦 會送出 DNS 查詢，詢問該網站的 IP 位址，查詢後就進行連線，但此連線會被防火牆強 制中斷並導向轉址伺服器去，此時轉址伺服器會送出 HTTP 狀態 302 封包[19]給 Client 電腦的瀏覽器將網頁導向認證網頁，因為 HTTP 狀態 302 封包中含有認證伺服器的認證 網頁網址，而 HTTP 狀態 302 是說明目的網址已移動，並告知移動後的網址，所以才會 進行強制網頁導向，如圖 2-10，但有些安全性較高的瀏覽器會將 HTTP 狀態 302 封包視 為非法連線，而造成無法正常將網頁導向認證網頁。

圖 2 - 9 HTTP 302 重導向流程

2.5.2.2 IP 重導向

將未認證許可的 HTTP 連線，使用防火牆等設備強制使目的 IP 直接重導向至認證伺 服器的 IP，不須透過瀏覽器判斷該往何處進行認證，如圖 2-11。但因為一般的防火牆 只能進行 IP 的重導向，無法進行 HTTP 指令的重導向，所以如果 Client 電腦的 HTTP 連線有其他指令內容的話，將無法正確的執行認證伺服器的認證網頁。

圖 2 - 10 IP 重導向流程

2.5.2.3 DNS 查詢重導向

當未認證許可的 Client 電腦使用瀏覽器要連往 Internet 某個網站時，會送出 DNS 查詢，詢問該網站的 IP 位址，此時 Captive Portal 機制系統的 DNS 會送出認證伺服器 的 IP 位址給 Client 電腦，而使瀏覽器連往認證伺服器的認證網頁。DNS 查詢重導向運 作原理是 Client 電腦在透過 DHCP 伺服器取得 IP 位址和 DNS 伺服器位址相關設定時，

故意將 DNS 伺服器位址設為 Captive Portal 機制系統專屬的 DNS 伺服器位址，所以不 管 Client 電腦送出要查哪個網站的 IP 址位，此 DNS 伺服器都會回答認證伺服器的 IP 位址，這樣就能使瀏覽器重導向至認證伺服器的認證網頁，等認證許可後，才會將正常 的 DNS 伺服器位址給 Client 電腦進行一般的 DNS 查詢，如此就可以正常的使用網路資 源了，如圖 2-12。

圖 2 - 11 DNS 查詢重導向流程

如果一開始 Client 電腦使用瀏覽器輸入 IP 位址進行 Internet 連線時，此機制將 不會啟動，因為並沒有用到 DNS 伺服器查詢 IP 位此功能，另外，如果使用者更改自己 電腦的網路設定，將 DNS 伺服器 IP 位址設定成功能正常的伺服器時，此機制也將不會 啟動，因為系統並沒有將認證伺服器的認證網頁告知使用者來進行認證。為了解決以上 的問題，還需搭配防火牆一起使用，未經過認證許可的電腦只能使用 Captive Portal 機 制系統專屬的 DNS 伺服器，而其他的 DNS 伺服器通通拒絕連線，待認證成功後才各別開 放使用正常的 DNS 伺服器。