A system and method prevent unauthorized users and devices, in a dynamic
user/device environment, from obtaining access to shared-medium public and
semi-public IP networks. A network includes a layered communication system
and routers/switches for coupling users and devices to a Dynamic Host
Control Protocol (DHCP) server and an authentication server. Databases
support the servers. The network incorporates Address Resolution Protocol
(ARP). Authorized users and devices register for service by providing the
DHCP with user identification for log-in, passwords, MAC addresses, etc.
When users connect to the network access point, a DHCP exchange is
initiated to obtain a valid IP address and other associated parameters.
The DHCP client initiates a MAC broadcast for IP addresses which contain
in the request the end user's device MAC address. The associated router
switch will pick up and forward to a DHCP server the end user's device
request. The DHCP server will process the end user's request and extract
the end user's device MAC address. With the end user's MAC address, the
DHCP server accesses its device and/or user information in the database.
If the MAC address is not registered, the DHCP server refuses to handle
the request and logs the attempt, potentially alerting network operators
of a security breach. If the MAC address is registered, a DHCP server
selects an appropriate IP address and associated parameters to be returned
to the requesting end user and connects via programming or command
interface to the router switch that is forwarding the DHCP request on
behalf of the end user device. The server adds an ARP IP to the MAC
address table entry with the selected IP address and end user's MAC
address. End user device authentication and IP lease are marked as
provisional. A timer is started for a suggested duration. Optionally, the
DHCP dynamically sets up filter rules in the router switch limiting access
to a subset of IP addresses such as the address of a log-in server.
Initial DHCP processing is completed and an IP address is assigned to the
requesting end user's device by DHCP. When the timer expires, if the DHCP
server finds the authenticating user state is provisional, it will revoke
the IP lease, invalidate the corresponding ARP to MAC table entry in the
associated router switch, and reset any IP-permissive filtering for that
device. If the user is in the full authenticated state, it will simply
remove the restrictive filtering.
Um sistema e um método impedem que os usuários e os dispositivos desautorizados, em um ambiente dinâmico de user/device, obtenham o acesso ao público do compartilh-meio e às redes semi-public do IP. Uma rede inclui um sistema de comunicação e um routers/switches mergulhados para usuários e dispositivos do acoplamento a um usuário dinâmico do protocolo do controle do anfitrião (DHCP) e a um usuário do authentication. As bases de dados suportam os usuários. A rede incorpora o Address Resolution Protocol (ARP). Os usuários e os dispositivos autorizados registam para o serviço fornecendo o DHCP com a identificação de usuário para o início de uma sessão, as senhas, os endereços do MAC, etc.. Quando os usuários conectam ao ponto de acesso da rede, uma troca de DHCP está iniciada para obter um IP address válido e outros parâmetros associados. O cliente de DHCP inicía uma transmissão do MAC para os endereços do IP que contêm o MAC address do dispositivo no pedido do usuário da extremidade. O interruptor associado do router escolherá acima e enviará ao o usuário de DHCP o pedido do dispositivo do usuário da extremidade. O usuário de DHCP processará o pedido de usuário da extremidade e extrairá o MAC address do dispositivo do usuário da extremidade. Com MAC address do usuário da extremidade, o usuário de DHCP alcança sua informação do dispositivo e/ou do usuário na base de dados. Se o MAC address não for registado, o usuário de DHCP recusa segurar o pedido e registra a tentativa, alertando potencial operadores de rede de uma ruptura da segurança. Se o MAC address for registado, um usuário de DHCP seleciona um IP address apropriado e uns parâmetros associados a ser retornados ao usuário de pedido da extremidade e conecta-os através da relação da programação ou do comando ao interruptor do router que é forwarding o pedido de DHCP em nome do dispositivo do usuário da extremidade. O usuário adiciona um IP do ARP à entrada da tabela do MAC address com o IP address selecionado e MAC address do usuário da extremidade. O authentication do dispositivo do usuário da extremidade e o aluguer do IP são marcados como provisionais. Um temporizador é começado para uma duração sugerida. Opcionalmente, o DHCP ajusta dinâmicamente acima réguas do filtro no interruptor do router que limita o acesso a um subconjunto de endereços do IP tais como o endereço de um usuário do início de uma sessão. Processar inicial de DHCP é terminado e um IP address é atribuído ao dispositivo do usuário de pedido da extremidade por DHCP. Quando o temporizador expira, se o usuário de DHCP encontrar o estado authenticating do usuário é provisional, revogará o aluguer do IP, invalidate o ARP correspondente à entrada da tabela do MAC no interruptor associado do router, e restaurou filtrar IP-IP-permissive para esse dispositivo. Se o usuário estiver no estado authenticated cheio, removerá simplesmente filtrar restritivo.