Адаптивный портал представляет собой веб - страница доступна с веб - браузер , который отображается для вновь подключенных пользователей в Wi-Fi или проводной сети , прежде чем они предоставляются более широкий доступ к сетевым ресурсам. Адаптивные порталы обычно используются для представления целевой страницы или страницы входа, которая может требовать аутентификации , оплаты , принятия лицензионного соглашения с конечным пользователем , политики допустимого использования., завершение опроса или другие действительные учетные данные, которые и организатор, и пользователь соглашаются придерживаться. Адаптивные порталы используются для широкого спектра мобильных и пешеходных широкополосных услуг, включая кабельные и коммерческие Wi-Fi и домашние точки доступа. Адаптивный портал также можно использовать для обеспечения доступа к корпоративным или жилым проводным сетям, таким как жилые дома, гостиничные номера и бизнес-центры.
Адаптивный портал представляется клиенту и хранится либо на шлюзе, либо на веб-сервере, на котором размещена веб-страница. В зависимости от набора функций шлюза веб-сайты или TCP-порты могут быть внесены в белый список, чтобы пользователю не приходилось взаимодействовать с адаптивным порталом для их использования. MAC - адрес из подключенных клиентов также может быть использован для обхода процесса входа в систему для указанных устройств.
Использует
Адаптивные порталы в основном используются в открытых беспроводных сетях, где пользователям показывают приветственное сообщение, информирующее их об условиях доступа (разрешенные порты, ответственность и т. Д.). Администраторы, как правило, делают это для того, чтобы их собственные пользователи несли ответственность за свои действия и избегали любой юридической ответственности. Является ли такое делегирование ответственности юридически действительным, остается предметом споров. [1] [2]
Часто администрирующие порталы используются для маркетинговых и коммерческих коммуникационных целей. Доступ в Интернет через открытый Wi-Fi запрещен до тех пор, пока пользователь не обменивается личными данными, заполнив веб-форму регистрации в веб-браузере. Веб-форма либо автоматически открывается в веб-браузере, либо появляется, когда пользователь открывает веб-браузер и пытается посетить любую веб-страницу. Другими словами, пользователь является «зависимым» - не может получить свободный доступ к Интернету до тех пор, пока пользователю не будет предоставлен доступ к Интернету и он не «завершит» захватный портал. Это позволяет провайдеру этой услуги отображать или отправлять рекламу пользователям, которые подключаются к точке доступа Wi-Fi. Этот тип услуг также иногда называют «социальным Wi-Fi», поскольку они могут запрашивать учетную запись социальной сети для входа в систему (например, Facebook ). За последние несколько лет такие социальные порталы с привязкой к Wi-Fi стали обычным явлением для различных компаний, предлагающих маркетинг, сосредоточенный на сборе данных Wi-Fi.
Пользователь может найти множество типов контента на адаптивном портале, и часто разрешается доступ к Интернету в обмен на просмотр контента или выполнение определенного действия (часто, предоставление личных данных для обеспечения коммерческих контактов); таким образом, маркетинговое использование адаптивного портала - это инструмент для генерации потенциальных клиентов (деловых контактов или потенциальных клиентов). [ необходима цитата ]
Выполнение
Существует несколько способов реализации адаптивного портала.
Перенаправление HTTP
Распространенный метод - направить весь трафик World Wide Web на веб-сервер, который возвращает HTTP-перенаправление на захватывающий портал. [3] Когда современное устройство с выходом в Интернет впервые подключается к сети, оно отправляет HTTP-запрос на URL-адрес обнаружения, заранее определенный его поставщиком, и ожидает код состояния HTTP 200 OK или 204 No Content. Если устройство получает код состояния HTTP 200, предполагается, что у него неограниченный доступ в Интернет. Подсказки адаптивного портала отображаются, когда вы можете манипулировать этим первым HTTP-сообщением, чтобы вернуть код состояния HTTP 302 (перенаправление) на выбранный вами захватывающий портал. [4] [5] RFC 6585 определяет код 511, требующий сетевой аутентификации.
Перенаправление ICMP
Клиентский трафик также можно перенаправить с помощью перенаправления ICMP на уровне 3.
Перенаправление по DNS
Когда клиент запрашивает ресурс World Wide Web, браузер запрашивает DNS . На адаптивном портале брандмауэр гарантирует, что только DNS-серверы, предоставленные сетевым DHCP, могут использоваться неаутентифицированными клиентами (или, в качестве альтернативы, он будет перенаправлять все DNS-запросы неаутентифицированных клиентов на этот DNS-сервер). Этот DNS-сервер вернет IP-адрес страницы адаптивного портала в результате всех DNS-поисков.
Чтобы выполнить перенаправление с помощью DNS, перехватывающий портал использует перехват DNS для выполнения действия, аналогичного атаке « злоумышленник в середине» . Чтобы ограничить влияние заражения DNS, обычно используется значение TTL , равное 0.
Ограничения
Безопасность
Известно, что у перехватывающих порталов неполные наборы правил брандмауэра. [6]
DNS-туннелирование
В некоторых развертываниях набор правил будет направлять DNS-запросы от клиентов в Интернет, или предоставленный DNS-сервер будет выполнять произвольные DNS-запросы от клиента. Это позволяет клиенту обойти перехватывающий портал и получить доступ к открытому Интернету путем туннелирования произвольного трафика в пакетах DNS.
Автоматическая отправка
Некоторые перехватывающие порталы могут быть настроены так, чтобы позволить соответствующим образом оборудованным пользовательским агентам обнаруживать перехватывающий портал и автоматически аутентифицироваться. Пользовательские агенты и дополнительные приложения, такие как Apple Captive Portal Assistant, иногда могут прозрачно обходить отображение контента адаптивного портала вопреки желанию оператора службы, если у них есть доступ к правильным учетным данным, или они могут пытаться аутентифицироваться с неправильными или устаревшими учетными данными, что может привести к непреднамеренным последствиям, например, к случайной блокировке учетной записи.
Подмена MAC
Адаптивный портал, который использует MAC-адреса для отслеживания подключенных устройств, иногда можно обойти, повторно используя MAC-адрес ранее аутентифицированного устройства. После аутентификации устройства на адаптивном портале с использованием действительных учетных данных шлюз добавляет MAC-адрес этого устройства в свой «белый список»; поскольку MAC-адреса можно легко подделать, любое другое устройство может выдать себя за аутентифицированное устройство и обойти перехватывающий портал. Как только будет обнаружено, что IP- и MAC-адреса других подключающихся компьютеров аутентифицированы, любая машина может подделать MAC-адрес и IP-адрес аутентифицированной цели и получить разрешение на маршрут через шлюз. По этой причине некоторые решения для адаптивных порталов создали расширенные механизмы аутентификации, чтобы ограничить риск узурпации.
Требуется веб-браузер
Адаптивные порталы часто требуют использования веб-браузера; Обычно это первое приложение, которое пользователи запускают после подключения к Интернету, но пользователи, которые сначала используют почтовый клиент или другое приложение, использующее Интернет, могут обнаружить, что соединение не работает без объяснения причин, и затем им потребуется открыть веб-браузер, чтобы проверить. Это может быть проблематично для пользователей, у которых в операционной системе не установлен какой-либо веб-браузер . Однако иногда можно использовать электронную почту и другие средства, которые не зависят от DNS (например, если приложение указывает IP-адрес подключения, а не имя хоста). Аналогичная проблема может возникнуть, если клиент использует AJAX или присоединяется к сети со страницами, уже загруженными в его веб-браузер, вызывая неопределенное поведение (например, появляются поврежденные сообщения), когда такая страница пытается выполнить HTTP-запросы к своему исходному серверу.
Точно так же, поскольку HTTPS-соединения не могут быть перенаправлены (по крайней мере, без появления предупреждений системы безопасности), веб-браузер, который пытается получить доступ только к защищенным веб-сайтам до авторизации на адаптивном портале, увидит, что эти попытки завершились неудачно без объяснения причин (обычный симптом заключается в том, что предполагаемый веб-сайт не работает или недоступен).
Платформы, которые имеют Wi-Fi и стек TCP / IP, но не имеют веб-браузера, поддерживающего HTTPS, не могут использовать многие связанные порталы. К таким платформам относится Nintendo DS, на которой запущена игра, использующая Nintendo Wi-Fi Connection . Аутентификация без использования браузера возможна с использованием WISPr , протокола аутентификации на основе XML для этой цели или аутентификации на основе MAC или аутентификации на основе других протоколов.
Поставщик платформы также может заключить договор на обслуживание с оператором большого количества узловых точек доступа, чтобы разрешить бесплатный или льготный доступ к серверам поставщика платформы через огороженный сад точки доступа . Например, в 2005 году Nintendo и Wayport объединились, чтобы предоставить пользователям Nintendo DS бесплатный доступ к Wi-Fi в некоторых ресторанах McDonald's . [7] Кроме того, портам VoIP SIP можно разрешить обход шлюза, чтобы телефоны могли работать.
Смотрите также
- HTTP прокси
- Близкий маркетинг
- Аналитика мобильного местоположения
Рекомендации
- ^ «Точки доступа Wi-Fi и вопросы ответственности» . Майелло Брунго и Майелло . 9 апреля 2007 . Проверено 6 марта 2019 .
- ^ «Мифы и факты: запуск Open Wireless и ответственность за то, что делают другие» . Открытое беспроводное движение . 7 августа 2012 . Проверено 6 марта 2019 .
- ^ Випплер, Эндрю Дж. (7 апреля 2017 г.). «Обзор Captive Portal» . Блокнот Эндрю Випплера . Проверено 6 марта 2019 .
- ^ Випплер, Эндрю Дж. (11 марта 2016 г.). «Портал авторизации Wi-Fi» . Блокнот Эндрю Випплера . Проверено 6 марта 2019 .
- ^ «Обнаружение сетевого портала» . Хром . Проверено 6 марта 2019 .
- ^ Лалиберте, Марк (26 августа 2016 г.). «Уроки DEFCON 2016 - Обход скрытых порталов» . Проверено 6 марта 2019 .
- ^ «Nintendo и Wayport объединили свои усилия, чтобы предоставить пользователям Nintendo DS бесплатный доступ к Wi-Fi в США» . 2005-10-18 . Проверено 6 марта 2019 .
Внешние ссылки
- Настройка Android Captive Portal
- RFC 7710 Идентификация Captive-Portal с использованием DHCP или объявлений маршрутизатора (RA)