Portal captiv
Acest articol sau secțiune referitoare la informatică este considerat a fi verificat . |
Această intrare sau secțiune despre subiectul teoriilor informatice nu citează sursele necesare sau cei prezenți sunt insuficienți . |
Un portal captiv este o pagină web care este afișată utilizatorilor unei rețele de telecomunicații atunci când încearcă să se conecteze la Internet printr-o cerere http din browserul lor. [1] Acest mecanism forțează afișarea acestei pagini (de obicei destinată autentificării utilizatorilor) înainte de a putea accesa resursele internetului, de obicei utilizarea internetului .
Operațiune
Termenul „captiv” (blocat, închis) derivă din faptul că navigarea gratuită este dezactivată până când sunt acceptate anumite condiții. Acest lucru se realizează prin interceptarea tuturor pachetelor , referitoare la adrese și porturi , din momentul în care utilizatorul își deschide browserul și încearcă să acceseze rețeaua. Portalul captiv este prezentat utilizatorului și de obicei alocat pe gateway- ul rețelei sau pe serverul web care găzduiește pagina solicitată de utilizator. În funcție de specificațiile setate în gateway, porturile TCP ( Transmission Control Protocol ) sau site-urile web pot fi listate în alb, astfel încât atunci când utilizatorul încearcă să acceseze, acestea să fie redirecționate către portalul captiv relevant. Adresa MAC a unui utilizator autentificat poate fi utilizată pentru a ocoli procesul de autentificare.
Utilizare
Portalurile captive sunt utilizate în mod obișnuit pentru a prezenta o pagină de conectare care poate necesita introducerea parolelor , plăți, acceptarea EULA / politicii sau alte acreditări ale utilizatorului care intenționează să acceseze. Portalurile captive sunt utilizate pentru o gamă largă de servicii, inclusiv afaceri cu amănuntul sau puncte de rețea WiFi sau cu fir. Un portal captiv poate fi, de asemenea, utilizat pentru a oferi acces pentru rețele cablate corporative sau rezidențiale (apartamente, centre comerciale, hoteluri). Portalurile captive sunt, de asemenea, adoptate pe scară largă în rețelele wireless deschise , unde utilizatorilor li se afișează un mesaj de bun venit, informându-i despre condițiile de acces (porturi permise, responsabilități etc.). Administratorii tind să adopte această politică, astfel încât utilizatorii care se conectează la rețea să își asume responsabilitatea pentru acțiunile lor, pentru a evita orice probleme majore.
Portalurile captive au înregistrat o creștere a rețelelor wireless deschise gratuite, în loc să se afișeze pur și simplu o pagină de acceptare a condițiilor de utilizare. Chiar dacă legea în acest sens este încă neclară (în special în SUA ), se crede că forțarea utilizatorilor să accepte condițiile de utilizare ale furnizorului îi scutește pe acesta din urmă de obligații legale speciale. [2] [3]
Utilizare în marketing și analize
Portalurile captive sunt adesea folosite pentru comunicarea comercială și de marketing . În acest caz, accesul la internet prin wifi deschis este interzis până când utilizatorul își furnizează datele prin completarea formularului de înregistrare. On - line formularul se deschide automat în browser - ul dispozitivului sau apare atunci când utilizatorul încearcă să acceseze o pagină web prin intermediul browser - ului său.
Portalul captiv este, de asemenea, un instrument pentru segmentarea utilizatorilor. Pe lângă furnizarea datelor necesare autentificării, portalurile captive pot fi predispuse și la obținerea altor informații (personale, geografice etc.). Acest lucru vă permite să generați statistici pentru cei care gestionează rețeaua. Mecanismul portalului captiv permite, de asemenea, furnizorului de servicii să afișeze sau să trimită reclame utilizatorilor conectați.
Implementare
Există mai multe moduri de a implementa portalul captiv:
Redirecționare HTTP
Aceasta este cea mai comună metodă: direcționarea întregului trafic web către un server, care returnează o redirecționare http către un portal captiv. [4] Pentru a activa un portal captiv, se utilizează un gateway care acționează ca router implicit pentru rețea. Când un dispozitiv, activat pentru navigarea pe internet, se conectează la o rețea pentru prima dată, acesta trimite o cerere http (bine cunoscută gazdă + URI ) și, în condiții normale, primește un cod de stare http de 204. Acest gateway are sarcina de a blocați traficul IP către exterior și capturați orice solicitare http sau https către porturile TCP 80 și 443, care redirecționează către un server web. Acest server face apoi clienții să vadă portalul captiv, cu un cod de returnare http de 302. Dacă utilizatorul se conectează cu acreditările sale, serverul web raportează gateway-ului că clientul are autorizația de navigare și filtrele pentru trafic pentru acel utilizator. [5] [6]
Redirecționare ICMP
Traficul clientului poate fi de asemenea redirecționat folosind o redirecționare ICMP pe cel de-al treilea strat.
Redirecționare DNS
Când un client solicită o pagină web, DNS este interogat de browser. Într-o configurație care implică utilizarea unui portal captiv, firewall - ul se va asigura că numai serverul DNS furnizat de DHCP al rețelei poate fi utilizat de un client neautentificat (sau, alternativ, va redirecționa toate cererile de la clienți neautentificați către acel server DNS) . Serverul DNS va returna adresa IP a paginii portalului captiv ca urmare a căutării tuturor DNS, atâta timp cât clienții nu sunt autorizați să acceseze.
Portalul captiv folosește o tehnică similară cu deturnarea DNS pentru a efectua o acțiune asemănătoare unui atac în mijlocul unui atac împotriva utilizatorilor neautentificați. Un TTL de 0 este utilizat pentru a limita impactul manipulării DNS.
Software de portal captiv
Exemple de software de portal captiv pentru platforma PC :
- M0n0wall (OpenSource - BSD)
- OpenSplash , pe opensplash.org . Adus la 27 ianuarie 2007 (arhivat din original la 2 martie 2007) .
- PfSense (OpenSource - BSD)
Pentru Linux
- PepperSpot pe pepperspot.sourceforge.net. (OpenSource - GPL)
- Net4Guest Captive portal Suite
- Posibilitatea Kattive (OpenSource - GPL) de autentificare de tip AD, cum ar fi samba, LDAP sau altele
- AirMarshal (Proprietar)
- Aradial Captive Portal (Proprietar)
- Captivator-gw (OpenSource)
- Chillispot (OpenSource)
- Chilli și firmware-ul Coova , pe coova.org .
- Hotspot Express (OpenSource)
- NoCatAuth (OpenSource)
- Public IP Arhivat la 25 ianuarie 2007 la Internet Archive ., Bazat pe NoCatAuth
- Serviciul meu Wi-Fi (portal captiv bazat pe cloud)
- Tanaza (portal captiv bazat pe cloud, Wi-Fi sponsorizat de anunțuri)
- SOCIFI (portal captiv bazat pe cloud, Wi-Fi sponsorizat de anunțuri)
- sweetspot (OSI layer-3 pachet mangler)
- WifiDog Captive Portal Suite (Linux încorporat - OpenWRT, Linux)
- PacketFence folosește ARP Spoofing în locul filtrării adreselor MAC / IP. Poate fi folosit și pentru detectarea și / sau izolarea viermilor. Poate folosi Snort ca IDS.
Soluții de gateway / server centralizate
- talweg (mai sigur decât standardul de autentificare MAC / IP)
- Untangle gratis / standard / premium sunt cele trei versiuni ale unui software independent funcțional și complet pentru gestionarea Captive Portal, filtrul de conținut și în modul transparent.
- Wilmagate
- Distribuție Linux ZeroShell mică disponibilă ca imagine LiveCD sau CompactFlash care include un portal captiv multi-gateway. Sistemele de autentificare sunt: Kerberos 5 KDC integrat, un KDC extern, precum cel utilizat de Windows Active Directory sau domeniul cross-autentificat.
- Hotspot Endian (Portal captiv prezent doar în versiunea comercială) Distribuție Linux pentru Gateway UTM OpenSurce disponibilă și în versiunea comunitară
Pentru Windows
- 2hotspot Arhivat 28 ianuarie 2007 la Internet Archive . (MAC nu este necesar)
- Antamedia (MAC nu este necesar)
- MyHotspot , pe myhotspot-software.com .
- Aradial , pe wifi-radius.com .
- Redirector DNS , la dnsredirector.com .
- FirstSpot , pe patronsoft.com .
- myWIFIzone Captive Portal Services , pe myWIFIzone.com . Adus pe 2 mai 2020 (Arhivat din original la 18 octombrie 2019) .
- Software și sistem de plată Spotngo Hotspot , pe spotngo.ca .
- Softvision Explorer: Hotspot Radius , pe internetpointsoftware.it .
Alții
- HSNM Hot Spot Network Manager pentru VMWare
- HotspotSystem.com (soluție de portal găzduit. Utilizare gratuită pentru hotspot-uri gratuite)
- WorldSpot.net (soluție de portal găzduit bazată pe chillispot. Utilizare gratuită pentru hotspot-uri gratuite)
- pointHotspot.com (portal web)
- Mai multe liste wiki de portal captiv , la wiki.personaltelco.net .
- FON
Portaluri captive hardware
Exemple de routere hardware care includ un portal captiv în firmware:
- HSNM Hot Spot Network Manager
- ANT labs Service Gateway / InnGate
- ANT laboratoare Wifi / Serviciul de selecție a serviciilor municipale (SSG)
- Antamedia Hotspot Gateway
- Aptilo Access Gateway
- Controler de acces Colubris MultiService
- Cisco BBSM-Hotspot
- Cisco Site Selection Gateway (SSG) / Abonat Edge Services (SESM)
- DD-WRT Captive Portal Hardware capabil
- Ubiquiti + Chillispot Portal captiv Hardware capabil
- Demarc Reliawave
- IP3 Networks NetAccess Arhivat la 25 ianuarie 2007 la Internet Archive .
- Lok Technology LokBox
- Portalul MobiMESH Captive
- Motorola WiNG WiNG 5
- Nomadix Gateway Arhivat pe 29 ianuarie 2007 la Internet Archive .
- Ready Networks OSS / BSS
- Synaptic Networks PayBridge
- Trapeze Networks Trapeze Mobility System
- Vernier Networks Vernier EdgeWall Control acces rețea
Siguranță
Atacuri de falsificare
Majoritatea implementărilor de portal captiv necesită utilizatorilor să treacă o pagină de autentificare SSL criptată, după care adresa lor IP și MAC este permisă să treacă prin gateway. S-a demonstrat că acest tip de acces este ușor atacat printr-un simplu sniffer de pachete . Odată ce au fost obținute adresele IP și MAC ale altor dispozitive deja autentificate și conectate, oricine are mijloacele și cunoștințele tehnice poate trece verificările falsificând acreditările lor ( spoofing ) cu cele ale utilizatorilor autorizați și traversând gateway-ul netulburat. Din acest motiv, au fost create câteva soluții de autentificare extinse pentru a limita riscurile de uzurpare a portalului captiv. O posibilă soluție la această problemă este utilizarea unei ferestre de control care reînnoiește continuu autentificarea prin trimiterea unui pachet criptat la gateway. Această tehnică este implementată de exemplu în portalul captiv Zeroshell.
Atacuri DNS
Se știe că portalurile captive au seturi de reguli de firewall incomplete. [7] În unele configurații, setul de reguli direcționează cererile către DNS, de la clienți la internet, sau DNS-ul descoperit oferă DNS arbitrar clientului. În acest caz, un client poate ocoli un portal captiv și poate avea acces gratuit la internet, cu trafic de tunelare arbitrar în interiorul pachetelor DNS (portul 53).
Administratorul nu poate bloca acest port deoarece clientul trebuie să poată rezolva numele de domeniu; poate opta pentru restricționarea regulilor de acces DNS. În așa fel încât să permită doar serverului însuși să îl acceseze, serverul distribuie apoi clienții adresele IP obținute din interogările acelui DNS.
Atacuri prin clonarea adreselor MAC
Un portal captiv care utilizează adrese MAC pentru a urmări dispozitivele conectate poate fi adesea ocolit prin conectarea unui router care permite setarea adreselor MAC. Odată ce un dispozitiv a fost autentificat în portalul captiv, adresa MAC a acestuia poate fi introdusă în router, care va fi apoi autorizat să navigheze.
Atacuri asupra conturilor
Unele portaluri captive pot fi configurate pentru a permite utilizatorilor echipați corespunzător să se autentifice automat (de exemplu, un computer al companiei din rețeaua companiei). Agenții de utilizator și aplicațiile suplimentare (cum ar fi Apple Captive Portal Assistant), uneori pot ocoli afișarea unui portal captiv împotriva voinței operatorului de servicii, atâta timp cât aveți acreditările corecte. Autentificarea are loc, de asemenea, atunci când acești utilizatori încearcă să se autentifice cu acreditări incorecte, comportamentele rezultate fiind consecința unei închideri necondiționate a contului asociată acelor acreditări.
Atacuri asupra proxy-ului
Dacă portul 22 ( ssh ) este deschis, multe servere permit crearea unui tunel criptat între două gazde. Acest tunel poate fi utilizat pentru a configura opțiunile proxy ale serverului . Puteți seta apoi acest proxy cu cereri direcționate către un server extern, ocolind restricțiile porturilor http și https. La fel dacă portul 3128 (proxy) este deschis. [8]
În cele din urmă, pentru a efectua un atac menit să ocolească un portal captiv, acesta poate simplifica mult lucrurile, scanând porturile deschise.
Protecţie
Uneori, utilizarea tehnicilor de securitate Layer 2, cum ar fi WPA și WPA2 , nu sunt fezabile din cauza procesului lor greu de configurare pentru utilizator. [8] În orice caz, adoptabilitatea lor depinde de utilizarea hardware-ului (plăci de rețea și puncte de acces ) și a sistemelor de operare care sunt capabile să accepte protocoalele menționate anterior. Adesea, totuși, este necesar un sistem de securitate independent de canalul de comunicație, indiferent dacă este fără fir sau prin cablu. Mutarea controlului accesului de la nivelul 2 la nivelul 3 (al modelului OSI ) se poate dovedi o politică câștigătoare.
Limite
Portalurile captive necesită utilizarea unui browser; aceasta este de obicei prima aplicație pe care utilizatorii o folosesc atunci când interacționează cu internetul. Utilizatorii care folosesc mai întâi e-mailul sau alte aplicații pot constata că acestea nu funcționează din cauza conexiunii inexplicabil absente și trebuie să deschidă browserul pentru a fi validat prin „trecerea” către portalul captiv. Cu toate acestea, este posibil să utilizați e-mail și alte facilități care nu se bazează pe DNS (de exemplu, dacă aplicația specifică conexiunea IP înainte de a accesa web). O problemă similară poate apărea dacă clientul folosește AJAX sau ajunge în rețea cu pagini deja încărcate în browserul său, provocând un comportament nedefinit atunci când o pagină încearcă o cerere HTTP către serverul său de origine.
Dispozitive care nu o pot folosi
Dispozitivele care au conectivitate Wi-Fi și TCP / IP, dar nu au un browser web care acceptă https nu pot utiliza portaluri captive. Astfel de dispozitive includ, de exemplu, Nintendo DS cu jocuri care utilizează conexiunea Nintendo Wi-Fi . [9] Cu toate acestea, există unii producători de dispozitive care, datorită acordurilor pentru servicii de conectivitate gratuite sau reduse, permit accesul la rețea. De exemplu, porturile SIP VOIP pot fi activate în mod liber pentru traficul către gateway pentru a permite telefoanelor să se conecteze.
Notă
- ^ Portal captiv
- ^ (EN) Hotspot-uri Wi-Fi și probleme de răspundere - Maiello Brungo și Maiello , în Maiello Brungo și Maiello, 9 aprilie 2007. Accesat la 18 mai 2017.
- ^ (RO) Mituri și fapte: Rularea Open Wireless și răspunderea pentru ceea ce fac alții , în Open Wireless Movement, 7 august 2012. Accesat la 18 mai 2017.
- ^ Andrew J. Wippler, Captive Portal Overview , în Sketchpad-ul lui Andrew Wippler , 7 aprilie 2017. Accesat la 18 mai 2017 .
- ^ Andrew J. Wippler, WiFi Captive Portal . Andrew Wippler's Sketchpad . 11 martie 2016. Accesat la 18 mai 2017 .
- ^ Detectarea portalului de rețea - Proiectele Chromium , la www.chromium.org . Adus la 18 mai 2017 .
- ^ Lecții de la DEFCON 2016 - Ocolirea portalurilor captive , privind securitatea - securitate simplificată , 26 august 2016. Accesat la 18 mai 2017 .
- ^ a b Copie arhivată , pe paolo.pavan.name . Adus la 3 noiembrie 2017 (arhivat din original la 9 noiembrie 2017) .
- ^ Nintendo și Wayport își unesc forțele pentru a aduce acces gratuit Wi-Fi SUA utilizatorilor Nintendo DS , la gamesindustry.biz . Adus pe 24 noiembrie 2015 .