Tenho uma fonte de tráfego multicast, com uma interface IP em um link de rádio.
Há um determinado número de máquinas que assinam esse tráfego multicast, seja na mesma rede ou por meio de roteadores.
Quero restringir o acesso ao tráfego aos assinantes que são confiáveis pela origem, não a todas as máquinas que ingressaram no grupo multicast, sem controle.
Pelo que eu entendo, multicast não é a fonte que sabe quem são os assinantes, apenas os roteadores. Além disso, em uma rede de rádio, o tráfego multicast será transmitido, então qualquer um pode realmente ouvi-lo.
Existe uma solução para restringir esse tipo de tráfego?
No multicast IP padrão, você não pode enviar dados diretamente para apenas um subconjunto de assinantes de multicast. Veja o porquê:
Por que não: grupos multicast funcionam enviando dados a todos os membros (assinantes) de um endereço de grupo específico.
Se um dispositivo assinar esse IP multicast (como 239.1.1.1), ele receberá todos os dados enviados para esse endereço — não há filtragem interna por remetente.
Sim, criptografia. É assim que o Wi-Fi restringe o tráfego transmitido fisicamente por rádio, e é assim que os ISPs frequentemente restringem o tráfego de IPTV.
Se a criptografia não for permitida na banda, a autenticação provavelmente ainda será, o que pode permitir que você misture dados falsos que somente destinatários autorizados conseguem distinguir dos dados reais (se isso é prático ou não, depende do tipo de dado).
Além disso: o multicast, por sua natureza, não pode realmente restringir as junções, exceto nos roteadores voltados para o cliente. Mesmo roteadores apenas um nível acima dos clientes já não têm a capacidade de distinguir assinantes individuais – apenas o roteador downstream como um todo é um assinante; portanto, se o cliente A autorizado ingressar em um grupo multicast, a rede não pode impedir que seu cliente vizinho não autorizado B faça o mesmo, porque o roteador de B (e de A) já está recebendo o fluxo.