Портал захвата - Captive portal

Пример адаптивного веб-портала, используемого для входа в сеть с ограниченным доступом.

А плененный портал доступ к веб-странице с помощью веб-браузер который отображается для вновь подключившихся пользователей Вай фай или проводной сети, прежде чем им будет предоставлен более широкий доступ к сетевым ресурсам. Адаптивные порталы обычно используются для представления целевой страницы или страницы входа, которая может требовать аутентификации, оплата, принятие лицензионное соглашение конечного пользователя, политика допустимого использования, завершение опроса или другие действительные учетные данные, которые и организатор, и пользователь соглашаются придерживаться. Адаптивные порталы используются для широкого спектра мобильных и пешеходных широкополосных услуг, включая кабельные и коммерческие Wi-Fi и домашние точки доступа. Адаптивный портал также может использоваться для обеспечения доступа к корпоративным или жилым проводным сетям, таким как жилые дома, гостиничные номера и бизнес-центры.

Адаптивный портал представляется клиенту и хранится либо в шлюз или на веб сервер хостинг веб-страницы. В зависимости от набора функций шлюза, веб-сайтов или TCP порты могут быть внесены в белый список, чтобы пользователю не приходилось взаимодействовать с адаптивным порталом для их использования. В MAC-адрес подключенных клиентов также можно использовать для обхода процесса входа в систему для указанных устройств.

Использует

Адаптивные порталы в основном используются в открытых беспроводных сетях, где пользователям показывают приветственное сообщение, информирующее их об условиях доступа (разрешенные порты, ответственность и т. Д.). Администраторы, как правило, делают это для того, чтобы их собственные пользователи брали на себя ответственность за свои действия и избегали любой юридической ответственности. Является ли такое делегирование ответственности юридически действительным, остается предметом споров. [1][2]

Часто аптивные порталы используются для маркетинговых и коммерческих коммуникационных целей. Доступ к Интернет через открытый Wi-Fi запрещен до тех пор, пока пользователь не обменивается личными данными, заполнив веб-форму регистрации в веб-браузере. Веб-форма либо автоматически открывается в веб-браузере, либо появляется, когда пользователь открывает веб-браузер и пытается посетить любую веб-страницу. Другими словами, пользователь «заблокирован» - не может получить свободный доступ в Интернет до тех пор, пока пользователю не будет предоставлен доступ в Интернет и он не «завершит» захватный портал. Это позволяет провайдеру этой услуги отображать или отправлять рекламу пользователям, которые подключаются к точке доступа Wi-Fi. Этот тип услуг также иногда называют «социальным Wi-Fi», поскольку они могут запрашивать социальная сеть учетная запись для входа (например, Facebook ). За последние несколько лет такие социальные порталы Wi-Fi стали обычным явлением, и различные компании предлагают маркетинг, сосредоточенный на сборе данных Wi-Fi.

Пользователь может найти много типов контента на адаптивном портале, и часто разрешается доступ к Интернету в обмен на просмотр контента или выполнение определенного действия (часто предоставление личных данных для обеспечения коммерческих контактов); таким образом, маркетинговое использование адаптивного портала является инструментом для генерации потенциальных клиентов (деловых контактов или потенциальных клиентов).[нужна цитата ]

Выполнение

Существует несколько способов реализации адаптивного портала.

Перенаправление HTTP

Общий метод - направить все Всемирная паутина трафик на веб-сервер, который возвращает Перенаправление HTTP к пленному порталу. [3] Когда современное устройство с выходом в Интернет впервые подключается к сети, оно отправляет HTTP-запрос на URL-адрес обнаружения, предварительно определенный его поставщиком, и ожидает Код состояния HTTP 200 или 204. Если устройство получает код состояния HTTP 200, предполагается, что у него неограниченный доступ в Интернет. Подсказки адаптивного портала отображаются, когда вы можете манипулировать этим первым HTTP-сообщением, чтобы вернуть код состояния HTTP 302 (перенаправление) на выбранный вами захватывающий портал.[4][5]

Перенаправление ICMP

Клиентский трафик также можно перенаправить с помощью Перенаправление ICMP на уровне 3 слоя.

Перенаправление по DNS

Когда клиент запрашивает ресурс в Интернете, DNS запрашивается браузером. В плененном портале брандмауэр будет гарантировать, что только DNS-серверы, предоставленные сетевым DHCP, могут использоваться неаутентифицированными клиентами (или, в качестве альтернативы, он будет перенаправлять все DNS-запросы неаутентифицированных клиентов на этот DNS-сервер). Этот DNS-сервер вернет IP-адрес страницы адаптивного портала в результате всех запросов DNS.

Для выполнения перенаправления DNS на адаптивном портале используется Перехват DNS выполнить действие, подобное атака "человек посередине". Чтобы ограничить влияние отравления DNS, TTL 0 обычно используется.

Обход скрытых порталов

Известно, что у перехватывающих порталов неполные наборы правил брандмауэра.[6] В некоторых развертываниях набор правил будет направлять DNS-запросы от клиентов в Интернет, или предоставленный DNS-сервер будет выполнять произвольные DNS-запросы от клиента. Это позволяет клиенту обойти скрытый портал и получить доступ к открытому Интернету с помощью туннелирование произвольный трафик в пакетах DNS.

Некоторые перехватывающие порталы могут быть настроены так, чтобы позволить соответствующим образом оборудованным пользовательским агентам обнаруживать перехватывающий портал и автоматически аутентифицироваться. Пользовательские агенты и дополнительные приложения, такие как Apple Captive Portal Assistant, иногда могут прозрачно обходить отображение контента адаптивного портала вопреки желанию оператора службы, если у них есть доступ к правильным учетным данным, или они могут пытаться аутентифицироваться с неправильными или устаревшими учетными данными, что может привести к непреднамеренным последствиям, таким как случайная блокировка учетной записи.

Адаптивный портал, который использует MAC-адреса для отслеживания подключенных устройств, иногда можно обойти, подключив маршрутизатор, который позволяет установить MAC-адрес маршрутизатора. Прошивка маршрутизатора часто называет это клонированием MAC. После аутентификации компьютера или планшета на адаптивном портале с использованием действительного имени пользователя и действующего пароля MAC-адрес этого компьютера или планшета может быть введен в маршрутизатор, который часто будет продолжать подключаться через захватывающий портал, поскольку он показывает, что тот же MAC-адрес, что и у компьютера или планшета, который был ранее подключен.

Ограничения

Некоторые из этих реализаций просто требуют, чтобы пользователи прошли TLS или SSL зашифрованная страница входа, после чего их IP и MAC-адрес разрешено проходить через шлюз. Было показано, что это можно использовать с помощью простого анализатор пакетов. После проверки подлинности IP- и MAC-адресов других подключающихся компьютеров любая машина может подделать MAC-адрес и IP-адрес аутентифицированной цели, и ему будет разрешен маршрут через шлюз. По этой причине некоторые решения для перехватывающих порталов создали расширенные механизмы аутентификации, чтобы ограничить риск узурпации.

Адаптивные порталы часто требуют использования веб-браузера; это обычно первый заявление что пользователи запускают после подключения к Интернету, но пользователи, которые сначала используют почтовый клиент или другое приложение, которое полагается на Интернет, могут обнаружить, что соединение не работает без объяснения причин, и затем им потребуется открыть веб-браузер для проверки. Это может быть проблематично для пользователей, на которых не установлен веб-браузер. Операционная система. Однако иногда можно использовать электронную почту и другие средства, которые не зависят от DNS (например, если приложение указывает IP-адрес подключения, а не имя хоста). Аналогичная проблема может возникнуть, если клиент использует AJAX или присоединяется к сети со страницами, уже загруженными в его веб-браузер, вызывая неопределенное поведение (например, появляются поврежденные сообщения), когда такая страница пытается выполнить HTTP-запросы к своему исходному серверу.

Точно так же, поскольку HTTPS-соединения не могут быть перенаправлены (по крайней мере, без появления предупреждений безопасности), веб-браузер, который пытается получить доступ только к защищенным веб-сайтам до авторизации на адаптивном портале, увидит, что эти попытки завершились неудачей без объяснения причин (обычно веб-сайт не работает или недоступен).

Платформы, у которых есть Вай фай и Стек TCP / IP но у вас нет веб-браузера, поддерживающего HTTPS не может использовать много скрытых порталов. К таким платформам относятся Nintendo DS запуск игры, в которой используется Подключение Nintendo Wi-Fi. Аутентификация без использования браузера возможна с помощью WISPr, XML протокол аутентификации для этой цели или аутентификация на основе MAC или аутентификация на основе других протоколов.

Поставщик платформы также может заключить договор на обслуживание с оператором большого количества узловых точек доступа, чтобы разрешить бесплатный или льготный доступ к серверам поставщика платформы через точку доступа. огороженный сад. Одним из таких примеров является сделка 2005 года между Nintendo и Wayport для предоставления бесплатного доступа Wi-Fi пользователям Nintendo DS в определенные Макдоналдс рестораны.[7] Также, VoIP ГЛОТОК портам может быть разрешено обходить шлюз, чтобы телефоны могли работать.

Смотрите также

Рекомендации

  1. ^ «Точки доступа Wi-Fi и вопросы ответственности». Майелло Брунго и Майелло. 9 апреля 2007 г.. Получено 2019-03-06.
  2. ^ «Мифы и факты: использование Open Wireless и ответственность за действия других». Открытое беспроводное движение. 7 августа 2012 г.. Получено 2019-03-06.
  3. ^ Випплер, Эндрю Дж. (7 апреля 2017 г.). "Обзор Captive Portal". Блокнот Эндрю Випплера. Получено 2019-03-06.
  4. ^ Випплер, Эндрю Дж. (11 марта 2016 г.). "Портал авторизации Wi-Fi". Блокнот Эндрю Випплера. Получено 2019-03-06.
  5. ^ «Обнаружение сетевого портала». Хром. Получено 2019-03-06.
  6. ^ Лалиберте, Марк (26 августа 2016 г.). «Уроки DEFCON 2016 - Обход скрытых порталов». Получено 2019-03-06.
  7. ^ «Nintendo и Wayport объединили усилия, чтобы предоставить пользователям Nintendo DS бесплатный доступ к Wi-Fi в США». 2005-10-18. Получено 2019-03-06.

внешняя ссылка