Control duración de sesión
Mayo de 2017. Dirección de Ingeniería
Definiciones:
Sesión: tiempo de duración en el que el usuario está autorizado a acceder a la red, contado desde el momento de la autenticación exitosa
RADIUS: Remote Authentication Dial-In User, protocolo de autenticación, autorización y conteo descritos en los RFC 2865 y RFC 2866 de la IETF.
NAS: Network Access Server. Es el equipo encargado de interpretar las solicitudes de autenticación del usuario final; usualmente es una controladora WiFi, o un Access Point. En algunos casos puede ser enrutador o firewall.
Atributo Session-Timeout: Este atributo establece el número máximo de segundos de servicio que es proporcionada al usuario antes de la terminación de la sesión o de la solicitud. Este atributo está disponible para ser enviado por el servidor al cliente en la respuesta del Access-Accept o Access-Challenge. (IETF, 2000).
Análisis:
Los portales cautivos pueden ser configurados para que la duración de una Sesión sea limitada al tiempo deseado por el administrador de la red WiFi. Esta función se basa en la técnica provista por el protocolo RADIUS, que permite el envío de parámetros de configuración que puede aplicar el NAS (controladora o AP) a la conexión del usuario. El funcionamiento de ese proceso es el siguiente:
La figura muestra un ejemplo donde el usuario interactúa con un elemento de red como un modem
o un Access Point, quien es gestionado centralizadamente por un NAS quien actúa como cliente RADIUS. Cuando un usuario se autentica en la red es el NAS quien hace el intercambio de
información con el servidor RADIUS, en este caso de DataWiFi.
El servidor de DataWiFi usa los atributos RADIUS para responder a la solicitud de autenticación, con un parámetro de configuración llamado Session-Timeout, el cual al ser recibido por el NAS configura la duración de sesión del usuario con un tiempo máximo de duración. En la siguiente figura, la respuesta del servidor RADIUS usando el atributo mencionado:
Lo anterior porque el encargado del CONTROLAR la sesión del usuario es el equipo de red que tenga directo contacto con el tráfico del usuario, es decir Access Point, controladora WiFi, enrutador o Firewall (usualmente quien actúe como NAS). Es dicho equipo el que se debe encargar de cerrar la sesión del usuario al completar el tiempo estipulado en el atributo sesión-timeout, sin embargo ese equipo es autónomo de cerrar la sesión por otras multiples razones, como lo son parámetros de configuración propios, o comportamientos del cliente. En ningún caso el servidor de autenticación CIERRA la sesión, dado a que no tiene potestad al no ser quien administra la conexión (tráfico) del usuario final, labor del NAS, ya que el servidor es un equipo que no está en la red del usuario final.
A continuación, el listado completo de razone por las cuales se puede cerrar una sesión de
navegación:
Fuente: Juniper, 2017
Muchas causas de terminación son por razones normales de comportamientos en las redes WiFi, por su naturaleza de medio compartido, como tiempos de inactividad del usuario o por configuraciones propias de la infraestructura WiFi. Gracias a que el protocolo RADIUS hace registro (conteo o accounting) de todas las actividades que suceden con los usuarios autenticados en la red, es posible hacer ciertos seguimientos sobre causas de terminación de las sesiones. A continuación, se presenta el debug de caso típicos encontrados en los registros de Accounting:
Se observa que en este caso el NAS finalizó sesión por una de razón propia de la arquitectura WiFi.
Todos los registros de Accounting son copias de texto de los datos que envía (crea y origina) el NAS
hacia el servidor RADIUS. Por lo tanto la fuente primaria de información debe ser el NAS.
Recomendaciones:
Consultar al fabricante de los equipos la forma de configurar la infraestructura para soportar altos niveles de tiempos de inactividad (idle timeout) y otras posibles variables de cierre de sesión.
Consultar el LOG de eventos del equipo NAS donde se debe registrar la causa de terminación de la sesión y consultar a fabricante de la razón y forma de mitigar.
Referencias.
Cisco, 2016. How Does RADIUS Work?. http://www.cisco.com/c/en/us/support/docs/securityvpn/remote-authentication-dial-user service-radius/12433-32.html
IETF, 2000. Remote Authentication Dial In User Service (RADIUS). https://tools.ietf.org/html/rfc2865#page-22
Juniper, 2017. Understanding Session Termination Causes and RADIUS Termination Cause Codes. http://www.juniper.net/documentation/en_US/junos/topics/concept/radius-terminate-code-appterminate-reasons-mapping.html
Related Articles
Planes de navegación
Plan de navegación: la plataforma de Data-wifi permite asignar un tiempo de navegación con un ancho de banda de carga y descarga, junto a ello se puede asignar una URL de re-direccionamiento. Para configurar , nos dirigimos a Módulos / planes de ...MANUAL DE CONFIGURACIÓN DE HUAWEI IMASTER
MANUAL DE CONFIGURACIÓN DE HUAWEI IMASTER REQUISITOS PREVIOS Solicite al correo manuales@datawifi.co los siguientes datos: Host Port Key Confirm Key Con la información de la red para este caso: "Infraestructura: Huawei master" CONFIGURACIÓN EQUIPO ...Cambio de Contraseña
Una vez solicitado el acceso a la plataforma, usted recibirá por medio de correo electrónico los correspondientes accesos creados por defecto. Url:http://app.datawifi.co/ User: DataWifiportal Password: dad#$201892 Si desea cambiar la Contraseña de ...CONFIGURACIÓN PLAN DE NAVEGACIÓN - ACTUALIZACIÓN 2024
MANUAL DE CONFIGURACIÓN DE PLAN DE NAVEGACIÓN CONFIGURACIÓN Para realizar la creación del plan de navegación seleccione en la parte izquierda de la plataforma las siguientes opciones, tal y como se muestran a continuación y como están enumeradas en ...DASHBOARD REGISTRO DE TRÁFICO ACTUALIZACION 2024
DASHBOARD REGISTRO DE TRÁFICO RECOMENDACIONES PREVIAS En la parte superior de la interfaz se habilitó un buscador que podrá usar para encontrar los módulos de manera más fácil (si algún módulo ha cambiado de nombre el buscador está en la capacidad de ...