Portal captiv

Un portal captiv este o pagină web care este afișată utilizatorilor unei rețele de telecomunicații atunci când încearcă să se conecteze la Internet printr-o cerere http din browserul lor. ^[1] Acest mecanism forțează afișarea acestei pagini (de obicei destinată autentificării utilizatorilor) înainte de a putea accesa resursele internetului, de obicei utilizarea internetului .

Operațiune

Termenul „captiv” (blocat, închis) derivă din faptul că navigarea gratuită este dezactivată până când sunt acceptate anumite condiții. Acest lucru se realizează prin interceptarea tuturor pachetelor , referitoare la adrese și porturi , din momentul în care utilizatorul își deschide browserul și încearcă să acceseze rețeaua. Portalul captiv este prezentat utilizatorului și de obicei alocat pe gateway- ul rețelei sau pe serverul web care găzduiește pagina solicitată de utilizator. În funcție de specificațiile setate în gateway, porturile TCP ( Transmission Control Protocol ) sau site-urile web pot fi listate în alb, astfel încât atunci când utilizatorul încearcă să acceseze, acestea să fie redirecționate către portalul captiv relevant. Adresa MAC a unui utilizator autentificat poate fi utilizată pentru a ocoli procesul de autentificare.

Utilizare

Portalurile captive sunt utilizate în mod obișnuit pentru a prezenta o pagină de conectare care poate necesita introducerea parolelor , plăți, acceptarea EULA / politicii sau alte acreditări ale utilizatorului care intenționează să acceseze. Portalurile captive sunt utilizate pentru o gamă largă de servicii, inclusiv afaceri cu amănuntul sau puncte de rețea WiFi sau cu fir. Un portal captiv poate fi, de asemenea, utilizat pentru a oferi acces pentru rețele cablate corporative sau rezidențiale (apartamente, centre comerciale, hoteluri). Portalurile captive sunt, de asemenea, adoptate pe scară largă în rețelele wireless deschise , unde utilizatorilor li se afișează un mesaj de bun venit, informându-i despre condițiile de acces (porturi permise, responsabilități etc.). Administratorii tind să adopte această politică, astfel încât utilizatorii care se conectează la rețea să își asume responsabilitatea pentru acțiunile lor, pentru a evita orice probleme majore.

Portalurile captive au înregistrat o creștere a rețelelor wireless deschise gratuite, în loc să se afișeze pur și simplu o pagină de acceptare a condițiilor de utilizare. Chiar dacă legea în acest sens este încă neclară (în special în SUA ), se crede că forțarea utilizatorilor să accepte condițiile de utilizare ale furnizorului îi scutește pe acesta din urmă de obligații legale speciale. ^[2] ^[3]

Utilizare în marketing și analize

Portalurile captive sunt adesea folosite pentru comunicarea comercială și de marketing . În acest caz, accesul la internet prin wifi deschis este interzis până când utilizatorul își furnizează datele prin completarea formularului de înregistrare. On - line formularul se deschide automat în browser - ul dispozitivului sau apare atunci când utilizatorul încearcă să acceseze o pagină web prin intermediul browser - ului său.

Portalul captiv este, de asemenea, un instrument pentru segmentarea utilizatorilor. Pe lângă furnizarea datelor necesare autentificării, portalurile captive pot fi predispuse și la obținerea altor informații (personale, geografice etc.). Acest lucru vă permite să generați statistici pentru cei care gestionează rețeaua. Mecanismul portalului captiv permite, de asemenea, furnizorului de servicii să afișeze sau să trimită reclame utilizatorilor conectați.

Implementare

Există mai multe moduri de a implementa portalul captiv:

Redirecționare HTTP

Aceasta este cea mai comună metodă: direcționarea întregului trafic web către un server, care returnează o redirecționare http către un portal captiv. ^[4] Pentru a activa un portal captiv, se utilizează un gateway care acționează ca router implicit pentru rețea. Când un dispozitiv, activat pentru navigarea pe internet, se conectează la o rețea pentru prima dată, acesta trimite o cerere http (bine cunoscută gazdă + URI ) și, în condiții normale, primește un cod de stare http de 204. Acest gateway are sarcina de a blocați traficul IP către exterior și capturați orice solicitare http sau https către porturile TCP 80 și 443, care redirecționează către un server web. Acest server face apoi clienții să vadă portalul captiv, cu un cod de returnare http de 302. Dacă utilizatorul se conectează cu acreditările sale, serverul web raportează gateway-ului că clientul are autorizația de navigare și filtrele pentru trafic pentru acel utilizator. ^[5] ^[6]

Redirecționare ICMP

Traficul clientului poate fi de asemenea redirecționat folosind o redirecționare ICMP pe cel de-al treilea strat.

Redirecționare DNS

Când un client solicită o pagină web, DNS este interogat de browser. Într-o configurație care implică utilizarea unui portal captiv, firewall - ul se va asigura că numai serverul DNS furnizat de DHCP al rețelei poate fi utilizat de un client neautentificat (sau, alternativ, va redirecționa toate cererile de la clienți neautentificați către acel server DNS) . Serverul DNS va returna adresa IP a paginii portalului captiv ca urmare a căutării tuturor DNS, atâta timp cât clienții nu sunt autorizați să acceseze.

Portalul captiv folosește o tehnică similară cu deturnarea DNS pentru a efectua o acțiune asemănătoare unui atac în mijlocul unui atac împotriva utilizatorilor neautentificați. Un TTL de 0 este utilizat pentru a limita impactul manipulării DNS.

Software de portal captiv

Exemple de software de portal captiv pentru platforma PC :

Pentru FreeBSD / OpenBSD

M0n0wall (OpenSource - BSD)
OpenSplash , pe opensplash.org . Adus la 27 ianuarie 2007 (arhivat din original la 2 martie 2007) .
PfSense (OpenSource - BSD)

Pentru Linux

PepperSpot pe pepperspot.sourceforge.net. (OpenSource - GPL)
Net4Guest Captive portal Suite
Posibilitatea Kattive (OpenSource - GPL) de autentificare de tip AD, cum ar fi samba, LDAP sau altele
AirMarshal (Proprietar)
Aradial Captive Portal (Proprietar)
Captivator-gw (OpenSource)
Chillispot (OpenSource)
Chilli și firmware-ul Coova , pe coova.org .
Hotspot Express (OpenSource)
NoCatAuth (OpenSource)
Public IP Arhivat la 25 ianuarie 2007 la Internet Archive ., Bazat pe NoCatAuth
Serviciul meu Wi-Fi (portal captiv bazat pe cloud)
Tanaza (portal captiv bazat pe cloud, Wi-Fi sponsorizat de anunțuri)
SOCIFI (portal captiv bazat pe cloud, Wi-Fi sponsorizat de anunțuri)
sweetspot (OSI layer-3 pachet mangler)
WifiDog Captive Portal Suite (Linux încorporat - OpenWRT, Linux)
PacketFence folosește ARP Spoofing în locul filtrării adreselor MAC / IP. Poate fi folosit și pentru detectarea și / sau izolarea viermilor. Poate folosi Snort ca IDS.

Soluții de gateway / server centralizate

talweg (mai sigur decât standardul de autentificare MAC / IP)
Untangle gratis / standard / premium sunt cele trei versiuni ale unui software independent funcțional și complet pentru gestionarea Captive Portal, filtrul de conținut și în modul transparent.
Wilmagate
Distribuție Linux ZeroShell mică disponibilă ca imagine LiveCD sau CompactFlash care include un portal captiv multi-gateway. Sistemele de autentificare sunt: Kerberos 5 KDC integrat, un KDC extern, precum cel utilizat de Windows Active Directory sau domeniul cross-autentificat.
Hotspot Endian (Portal captiv prezent doar în versiunea comercială) Distribuție Linux pentru Gateway UTM OpenSurce disponibilă și în versiunea comunitară

Pentru Windows

2hotspot Arhivat 28 ianuarie 2007 la Internet Archive . (MAC nu este necesar)
Antamedia (MAC nu este necesar)
MyHotspot , pe myhotspot-software.com .
Aradial , pe wifi-radius.com .
Redirector DNS , la dnsredirector.com .
FirstSpot , pe patronsoft.com .
myWIFIzone Captive Portal Services , pe myWIFIzone.com . Adus pe 2 mai 2020 (Arhivat din original la 18 octombrie 2019) .
Software și sistem de plată Spotngo Hotspot , pe spotngo.ca .
Softvision Explorer: Hotspot Radius , pe internetpointsoftware.it .

Alții

HSNM Hot Spot Network Manager pentru VMWare
HotspotSystem.com (soluție de portal găzduit. Utilizare gratuită pentru hotspot-uri gratuite)
WorldSpot.net (soluție de portal găzduit bazată pe chillispot. Utilizare gratuită pentru hotspot-uri gratuite)
pointHotspot.com (portal web)
Mai multe liste wiki de portal captiv , la wiki.personaltelco.net .
FON

Portaluri captive hardware

Exemple de routere hardware care includ un portal captiv în firmware:

HSNM Hot Spot Network Manager
ANT labs Service Gateway / InnGate
ANT laboratoare Wifi / Serviciul de selecție a serviciilor municipale (SSG)
Antamedia Hotspot Gateway
Aptilo Access Gateway
Controler de acces Colubris MultiService
Cisco BBSM-Hotspot
Cisco Site Selection Gateway (SSG) / Abonat Edge Services (SESM)
DD-WRT Captive Portal Hardware capabil
Ubiquiti + Chillispot Portal captiv Hardware capabil
Demarc Reliawave
IP3 Networks NetAccess Arhivat la 25 ianuarie 2007 la Internet Archive .
Lok Technology LokBox
Portalul MobiMESH Captive
Motorola WiNG WiNG 5
Nomadix Gateway Arhivat pe 29 ianuarie 2007 la Internet Archive .
Ready Networks OSS / BSS
Synaptic Networks PayBridge
Trapeze Networks Trapeze Mobility System
Vernier Networks Vernier EdgeWall Control acces rețea

Siguranță

Atacuri de falsificare

Majoritatea implementărilor de portal captiv necesită utilizatorilor să treacă o pagină de autentificare SSL criptată, după care adresa lor IP și MAC este permisă să treacă prin gateway. S-a demonstrat că acest tip de acces este ușor atacat printr-un simplu sniffer de pachete . Odată ce au fost obținute adresele IP și MAC ale altor dispozitive deja autentificate și conectate, oricine are mijloacele și cunoștințele tehnice poate trece verificările falsificând acreditările lor ( spoofing ) cu cele ale utilizatorilor autorizați și traversând gateway-ul netulburat. Din acest motiv, au fost create câteva soluții de autentificare extinse pentru a limita riscurile de uzurpare a portalului captiv. O posibilă soluție la această problemă este utilizarea unei ferestre de control care reînnoiește continuu autentificarea prin trimiterea unui pachet criptat la gateway. Această tehnică este implementată de exemplu în portalul captiv Zeroshell.

Atacuri DNS

Se știe că portalurile captive au seturi de reguli de firewall incomplete. ^[7] În unele configurații, setul de reguli direcționează cererile către DNS, de la clienți la internet, sau DNS-ul descoperit oferă DNS arbitrar clientului. În acest caz, un client poate ocoli un portal captiv și poate avea acces gratuit la internet, cu trafic de tunelare arbitrar în interiorul pachetelor DNS (portul 53).

Administratorul nu poate bloca acest port deoarece clientul trebuie să poată rezolva numele de domeniu; poate opta pentru restricționarea regulilor de acces DNS. În așa fel încât să permită doar serverului însuși să îl acceseze, serverul distribuie apoi clienții adresele IP obținute din interogările acelui DNS.

Atacuri prin clonarea adreselor MAC

Un portal captiv care utilizează adrese MAC pentru a urmări dispozitivele conectate poate fi adesea ocolit prin conectarea unui router care permite setarea adreselor MAC. Odată ce un dispozitiv a fost autentificat în portalul captiv, adresa MAC a acestuia poate fi introdusă în router, care va fi apoi autorizat să navigheze.

Atacuri asupra conturilor

Unele portaluri captive pot fi configurate pentru a permite utilizatorilor echipați corespunzător să se autentifice automat (de exemplu, un computer al companiei din rețeaua companiei). Agenții de utilizator și aplicațiile suplimentare (cum ar fi Apple Captive Portal Assistant), uneori pot ocoli afișarea unui portal captiv împotriva voinței operatorului de servicii, atâta timp cât aveți acreditările corecte. Autentificarea are loc, de asemenea, atunci când acești utilizatori încearcă să se autentifice cu acreditări incorecte, comportamentele rezultate fiind consecința unei închideri necondiționate a contului asociată acelor acreditări.

Atacuri asupra proxy-ului

Dacă portul 22 ( ssh ) este deschis, multe servere permit crearea unui tunel criptat între două gazde. Acest tunel poate fi utilizat pentru a configura opțiunile proxy ale serverului . Puteți seta apoi acest proxy cu cereri direcționate către un server extern, ocolind restricțiile porturilor http și https. La fel dacă portul 3128 (proxy) este deschis. ^[8]

În cele din urmă, pentru a efectua un atac menit să ocolească un portal captiv, acesta poate simplifica mult lucrurile, scanând porturile deschise.

Protecţie

Uneori, utilizarea tehnicilor de securitate Layer 2, cum ar fi WPA și WPA2 , nu sunt fezabile din cauza procesului lor greu de configurare pentru utilizator. ^[8] În orice caz, adoptabilitatea lor depinde de utilizarea hardware-ului (plăci de rețea și puncte de acces ) și a sistemelor de operare care sunt capabile să accepte protocoalele menționate anterior. Adesea, totuși, este necesar un sistem de securitate independent de canalul de comunicație, indiferent dacă este fără fir sau prin cablu. Mutarea controlului accesului de la nivelul 2 la nivelul 3 (al modelului OSI ) se poate dovedi o politică câștigătoare.

Limite

Portalurile captive necesită utilizarea unui browser; aceasta este de obicei prima aplicație pe care utilizatorii o folosesc atunci când interacționează cu internetul. Utilizatorii care folosesc mai întâi e-mailul sau alte aplicații pot constata că acestea nu funcționează din cauza conexiunii inexplicabil absente și trebuie să deschidă browserul pentru a fi validat prin „trecerea” către portalul captiv. Cu toate acestea, este posibil să utilizați e-mail și alte facilități care nu se bazează pe DNS (de exemplu, dacă aplicația specifică conexiunea IP înainte de a accesa web). O problemă similară poate apărea dacă clientul folosește AJAX sau ajunge în rețea cu pagini deja încărcate în browserul său, provocând un comportament nedefinit atunci când o pagină încearcă o cerere HTTP către serverul său de origine.

Dispozitive care nu o pot folosi

Dispozitivele care au conectivitate Wi-Fi și TCP / IP, dar nu au un browser web care acceptă https nu pot utiliza portaluri captive. Astfel de dispozitive includ, de exemplu, Nintendo DS cu jocuri care utilizează conexiunea Nintendo Wi-Fi . ^[9] Cu toate acestea, există unii producători de dispozitive care, datorită acordurilor pentru servicii de conectivitate gratuite sau reduse, permit accesul la rețea. De exemplu, porturile SIP VOIP pot fi activate în mod liber pentru traficul către gateway pentru a permite telefoanelor să se conecteze.

Notă

^ Portal captiv
^ (EN) Hotspot-uri Wi-Fi și probleme de răspundere - Maiello Brungo și Maiello , în Maiello Brungo și Maiello, 9 aprilie 2007. Accesat la 18 mai 2017.
^ (RO) Mituri și fapte: Rularea Open Wireless și răspunderea pentru ceea ce fac alții , în Open Wireless Movement, 7 august 2012. Accesat la 18 mai 2017.
^ Andrew J. Wippler, Captive Portal Overview , în Sketchpad-ul lui Andrew Wippler , 7 aprilie 2017. Accesat la 18 mai 2017 .
^ Andrew J. Wippler, WiFi Captive Portal . Andrew Wippler's Sketchpad . 11 martie 2016. Accesat la 18 mai 2017 .
^ Detectarea portalului de rețea - Proiectele Chromium , la www.chromium.org . Adus la 18 mai 2017 .
^ Lecții de la DEFCON 2016 - Ocolirea portalurilor captive , privind securitatea - securitate simplificată , 26 august 2016. Accesat la 18 mai 2017 .
^ ^a ^b Copie arhivată , pe paolo.pavan.name . Adus la 3 noiembrie 2017 (arhivat din original la 9 noiembrie 2017) .
^ Nintendo și Wayport își unesc forțele pentru a aduce acces gratuit Wi-Fi SUA utilizatorilor Nintendo DS , la gamesindustry.biz . Adus pe 24 noiembrie 2015 .

Elemente conexe

Portal telematic : accesați intrări Wikipedia care vorbesc despre rețele, telecomunicații și protocoale de rețea

[portal-1] Portal captiv

[2] (EN) Hotspot-uri Wi-Fi și probleme de răspundere - Maiello Brungo și Maiello , în Maiello Brungo și Maiello, 9 aprilie 2007. Accesat la 18 mai 2017.

[3] (RO) Mituri și fapte: Rularea Open Wireless și răspunderea pentru ceea ce fac alții , în Open Wireless Movement, 7 august 2012. Accesat la 18 mai 2017.

[4] Andrew J. Wippler, Captive Portal Overview , în Sketchpad-ul lui Andrew Wippler , 7 aprilie 2017. Accesat la 18 mai 2017 .

[5] Andrew J. Wippler, WiFi Captive Portal . Andrew Wippler's Sketchpad . 11 martie 2016. Accesat la 18 mai 2017 .

[6] Detectarea portalului de rețea - Proiectele Chromium , la www.chromium.org . Adus la 18 mai 2017 .

[7] Lecții de la DEFCON 2016 - Ocolirea portalurilor captive , privind securitatea - securitate simplificată , 26 august 2016. Accesat la 18 mai 2017 .

[paolo.pavan.name-8] Copie arhivată , pe paolo.pavan.name . Adus la 3 noiembrie 2017 (arhivat din original la 9 noiembrie 2017) .

[9] Nintendo și Wayport își unesc forțele pentru a aduce acces gratuit Wi-Fi SUA utilizatorilor Nintendo DS , la gamesindustry.biz . Adus pe 24 noiembrie 2015 .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]