Captive- портал — это веб-страница, доступ к которой осуществляется с помощью веб-браузера , которая отображается вновь подключившимся пользователям Wi-Fi или проводной сети, прежде чем им будет предоставлен более широкий доступ к сетевым ресурсам. Captive-порталы обычно используются для представления целевой страницы или страницы входа в систему, которая может потребовать аутентификации , оплаты , принятия лицензионного соглашения с конечным пользователем , политики допустимого использования , завершения опроса или других действительных учетных данных, которые соглашаются соблюдать как хост, так и пользователь. к. [1] Captive-порталы используются для широкого спектра услуг мобильной и пешеходной широкополосной связи, включая кабельный и коммерческий Wi-Fi, а также домашние точки доступа. Captive-портал также можно использовать для обеспечения доступа к корпоративным или жилым проводным сетям, таким как многоквартирные дома, гостиничные номера и бизнес-центры.
Captive-портал предоставляется клиенту и хранится либо на шлюзе , либо на веб-сервере , на котором размещена веб-страница. В зависимости от набора функций шлюза веб-сайты или TCP-порты могут быть внесены в список разрешенных, чтобы пользователю не приходилось взаимодействовать с авторизованным порталом для их использования. MAC -адрес подключенных клиентов также можно использовать для обхода процесса входа в систему для определенных устройств.
WISPr называет этот метод аутентификации на основе веб-браузера методом универсального доступа (UAM). [2]
Captive-порталы в основном используются в открытых беспроводных сетях, где пользователям отображается приветственное сообщение, информирующее их об условиях доступа (разрешенные порты, ответственность и т. д.). Администраторы склонны делать это для того, чтобы их собственные пользователи несли ответственность за свои действия и избегали какой-либо юридической ответственности. [3] Является ли такое делегирование ответственности юридически действительным, является предметом споров. [4] [5] Некоторые сети могут также требовать ввода номера мобильного телефона пользователя или идентификационной информации, чтобы администраторы могли предоставить информацию властям в случае незаконной активности в сети.
Часто авторизованные порталы используются в целях маркетинга и коммерческих коммуникаций. Доступ в Интернет через открытый Wi-Fi запрещен до тех пор, пока пользователь не обменяется персональными данными, заполнив регистрационную форму в веб-браузере. Веб-форма либо автоматически открывается в веб-браузере, либо появляется, когда пользователь открывает веб-браузер и пытается посетить любую веб-страницу. Другими словами, пользователь является «захваченным» — не может свободно получить доступ к Интернету до тех пор, пока ему не будет предоставлен доступ к Интернету и он не «завершит» создание «запертого» портала. Это позволяет поставщику этой услуги отображать или отправлять рекламные объявления пользователям, подключающимся к точке доступа Wi-Fi. Этот тип службы также иногда называют «социальным Wi-Fi», поскольку для входа в систему может потребоваться учетная запись социальной сети (например, Facebook ). За последние несколько лет такие социальные Wi-Fi-порталы стали обычным явлением среди различных компаний, предлагающих маркетинг, ориентированный на сбор данных Wi-Fi. [6]
Пользователь может найти на каптивном портале множество типов контента, и часто ему разрешают доступ к Интернету в обмен на просмотр контента или выполнение определенного действия (часто предоставляя личные данные для обеспечения коммерческого контакта); таким образом, маркетинговое использование кептивного портала является инструментом для привлечения потенциальных клиентов (деловых контактов или потенциальных клиентов). [7]
Существуют различные способы реализации авторизованного портала.
Распространенный метод — направить весь трафик Всемирной паутины на веб-сервер, который возвращает HTTP-перенаправление на авторизованный портал. [8] Когда современное устройство с доступом в Интернет впервые подключается к сети, оно отправляет HTTP-запрос на URL-адрес обнаружения, заранее определенный его поставщиком, и ожидает код состояния HTTP 200 OK или 204 No Content. Если устройство получает код состояния HTTP 200, оно предполагает, что оно имеет неограниченный доступ в Интернет. Подсказки адаптивного портала отображаются, когда вы можете манипулировать этим первым HTTP-сообщением, чтобы вернуть код состояния HTTP 302 (перенаправление) на выбранный вами адаптивный портал. [9] [10] RFC 6585 определяет код состояния 511 Требуется сетевая аутентификация.
Клиентский трафик также можно перенаправить с помощью перенаправления ICMP на уровне 3.
Когда клиент запрашивает ресурс на удаленном хосте по имени, DNS запрашивается для разрешения этого имени хоста. В авторизованном портале брандмауэр будет следить за тем, чтобы только DNS-серверы, предоставленные сетевым DHCP, могли использоваться неаутентифицированными клиентами (или, альтернативно, он будет пересылать все DNS-запросы неаутентифицированных клиентов на этот DNS-сервер). Этот DNS-сервер вернет IP-адрес страницы адаптивного портала в результате всех поисков DNS.
Чтобы выполнить перенаправление с помощью DNS, перехватывающий портал использует перехват DNS для выполнения действия, аналогичного атаке «человек посередине» . Чтобы ограничить влияние отравления DNS, обычно используется значение TTL , равное 0.
URL-адреса обнаружения адаптивного портала обычно возвращают минимальный стандартизированный ответ, если он не находится за адаптивным порталом. Когда устройство получает ожидаемый ответ, оно приходит к выводу, что у него есть прямой доступ в Интернет. Если ответ отличается, устройство предполагает, что оно находится за авторизованным порталом, и запускает процесс входа в авторизованный портал.
Известно, что Captive-порталы имеют неполные наборы правил брандмауэра (например, исходящие порты остаются открытыми), что позволяет клиентам обходить портал. [11]
В некоторых развертываниях набор правил будет маршрутизировать DNS-запросы от клиентов в Интернет, или предоставленный DNS-сервер будет выполнять произвольные DNS-запросы от клиента. Это позволяет клиенту обойти авторизованный портал и получить доступ к открытому Интернету путем туннелирования произвольного трафика внутри пакетов DNS.
Некоторые перехватывающие порталы могут быть настроены так, чтобы позволить соответствующим образом оснащенным пользовательским агентам обнаруживать перехватывающий портал и автоматически проходить аутентификацию. Пользовательские агенты и дополнительные приложения, такие как Captive Portal Assistant от Apple, иногда могут прозрачно обходить отображение содержимого портала вопреки желанию оператора службы, если у них есть доступ к правильным учетным данным, или они могут пытаться пройти аутентификацию с неправильными или устаревшими учетными данными. что может привести к непреднамеренным последствиям, таким как случайная блокировка учетной записи.
Captive-портал, который использует MAC-адреса для отслеживания подключенных устройств, иногда можно обойти, повторно используя MAC-адрес ранее аутентифицированного устройства. После того как устройство прошло аутентификацию на авторизованном портале с использованием действительных учетных данных, шлюз добавляет MAC-адрес этого устройства в свой список разрешений; поскольку MAC-адреса легко подделать, любое другое устройство может выдать себя за аутентифицированное устройство и обойти авторизованный портал. Как только будет обнаружено, что IP- и MAC-адреса других подключающихся компьютеров аутентифицированы, любая машина может подделать MAC-адрес и адрес Интернет-протокола (IP) аутентифицированной цели и получить разрешение на маршрут через шлюз. По этой причине некоторые решения для авторизованных порталов создали расширенные механизмы аутентификации, чтобы ограничить риск узурпации.
Captive-порталы часто требуют использования веб-браузера; пользователи, которые впервые используют почтовый клиент или другое приложение, использующее Интернет, могут обнаружить, что соединение не работает без объяснения причин, и им потребуется открыть веб-браузер для проверки. Это может быть проблематично для пользователей, в операционной системе которых не установлен веб-браузер . Однако иногда возможно использовать электронную почту и другие средства, не использующие DNS (например, если приложение указывает IP-адрес подключения, а не имя хоста). Аналогичная проблема может возникнуть, если клиент использует AJAX или подключается к сети со страницами, уже загруженными в его веб-браузер, что приводит к неопределенному поведению (например, появлению поврежденных сообщений), когда такая страница пытается выполнить HTTP-запросы к своему исходному серверу.
Аналогичным образом, поскольку HTTPS-соединения не могут быть перенаправлены (по крайней мере, без появления предупреждений безопасности), веб-браузер, который пытается получить доступ к защищенным веб-сайтам только до авторизации на перехватывающем портале, увидит, что эти попытки терпят неудачу без объяснения причин (обычный симптом заключается в том, что предполагаемый веб-сайт не работает или недоступен).
Платформы, которые имеют Wi-Fi и стек TCP/IP , но не имеют веб-браузера, поддерживающего HTTPS , не могут использовать многие авторизованные порталы. К таким платформам относится Nintendo DS, на которой запущена игра, использующая соединение Nintendo Wi-Fi . Аутентификация без браузера возможна с использованием WISPr , протокола аутентификации на основе XML для этой цели, или аутентификации на основе MAC или аутентификации на основе других протоколов.
Поставщик платформы также может заключить договор на обслуживание с оператором большого количества точек доступа портала, чтобы предоставить бесплатный или льготный доступ к серверам поставщика платформы через огороженный сад точки доступа . Например, в 2005 году Nintendo и Wayport объединились, чтобы предоставить пользователям Nintendo DS бесплатный доступ к Wi-Fi в некоторых ресторанах McDonald's . [12] Кроме того, портам VoIP и SIP можно разрешить обходить шлюз, чтобы телефоны могли совершать и принимать вызовы.