Portail captif

La technique captive du portail force un client de HTTP sur un réseau à voir une page Web spéciale (habituellement pour l'authentification purposes) avant de surfer l'Internet normalement. Le portail captif transforme un web browser en dispositif bloqué d'authentification. Ceci est fait en arrêtant tous les paquets indépendamment de l'adresse ou du port, jusqu'à ce que l'utilisateur ouvre un navigateur et essaye d'accéder à l'Internet. À ce moment-là le navigateur est réorienté à une page Web qui peut exiger le paiement d'authentification et/ou de , ou montrent simplement un Acceptable Use Policy et exigent de l'utilisateur de convenir. Les portails captifs sont souvent tout au plus les points névralgiques utilisés du WI-Fi , et il peut être employé pour commander l'accès de câble (par exemple maisons de rapport, chambres d'hôtel, centres d'affaires, " ; open" ; Crics de l'Ethernet ) aussi bien.

Puisque la page lui-même d'ouverture de doit être présentée au client, l'une ou l'autre cette page d'ouverture est localement stockée dans le passage , ou le web server accueillant cette page doit être " ; Whitelisted quot; par l'intermédiaire d'un jardin muré pour dévier le procédé d'authentification. Selon l'ensemble de dispositif du passage, des web server multiples peuvent whitelisted (dire pour les trames I ou les liens dans la page d'ouverture). En plus de whitelisting les URL des centres serveurs de Web, quelques passages mettent en boîte les ports de TCP de de whitelist. Le MAC address des clients joints peut également être placé pour dévier le processus d'ouverture.

Exécution

Il y a davantage que l'one-way pour mettre en application un portail de captif.

Redirection par le HTTP

Si un client unauthenticated demande un site Web, le DNS est questionné par le navigateur et l'IP approprié résolus comme d'habitude. Le navigateur envoie alors une demande de HTTP à cet IP address . Cette demande, cependant, est arrêtée par un mur à l'épreuve du feu et expédiée à un serveur de réorientation. Ceci réorientent le serveur répond avec une réponse de HTTP régulière qui contient le code statut 302 de HTTP de pour réorienter le client au portail de captif. Au client, ce processus est totalement transparent. Le client suppose que le site Web a répondu à la demande initiale et a envoyé réellement la réorientation.

L'IP réorientent

Le trafic de client peut également être réorienté using l'IP réorientent au niveau de la couche 3. Ceci non recommandé car le contenu servi au client n'assortit pas l'URL

Redirection par DNS

Quand un client demande un site Web, le DNS est questionné par le navigateur. Le mur à l'épreuve du feu s'assurera que seulement le DNS fourni par DHCP peut être employé par les clients unauthenticated (ou, alternativement, lui expédiera toutes les demandes de DNS par les clients unauthenticated à ce serveur de DNS). Ce serveur de DNS renverra l'IP address du portail captif en conséquence de toutes les consultations de DNS.

Quelques réalisations naïves ne bloquent pas des demandes sortantes de DNS par unauthenticated clients. Au lieu de cela, les utilisations de serveur de DHCP comme serveur de DNS un serveur qui retourne l'IP address du portail de captif aux clients unauthenticated. Ceux-ci il est très facile dévier des réalisations : un utilisateur doit simplement configurer le sien ordinateur pour employer un external DNS. C'est pourquoi il est important de mettre en application un mur à l'épreuve du feu qui s'assure que le non à l'intérieur des clients peut spécifier ou utiliser un serveur de DNS extérieur.

Portails de captif de logiciel

ChilliSpot - progiciels de linksys (source ouverte)
CoovaChilli - un progiciel de linksys de source ouverte et démon de Linux
FirstSpot - logiciel basé sur Windows commercial de point névralgique
Hotspotexpress - logiciel basé pour la plate-forme de Linux (commerciale)
Suite portique captive de WiFiDog de - petit C a basé la solution de grain (encastrable)
Le Wilmagate - C++ basé et est exécutable tous les deux dans des environnements de Linux et de Windows/Cygwin
PfSense - le FreeBSD 6.1 a basé le logiciel de mur à l'épreuve du feu dérivé du M0n0wall
SweetSpot - l'utilisateur-espace de Linux, démon layer-3 (source ouverte)
Maréchal d'air - logiciel basé pour la plate-forme de Linux (commerciale)
" ; TocToc" ; - logiciel basé pour la plate-forme de Linux produite par l'université technique de Valence (source ouverte).
" ; DNS Redirector" ; - logiciel basé pour des serveurs de Windows, maintenant freeware.

Les portails captifs gagnent l'utilisation croissante sur les réseaux sans fil ouverts libres où au lieu des utilisateurs de authentification, ils affichent souvent un message du fournisseur avec les limites de l'utilisation. Bien que la valeur juridique soit (particulièrement aux Etats-Unis) pensée commune encore peu claire soit celle en forçant des utilisateurs à cliquer par une page qui montre des limites d'utiliser-et explicitement libère le fournisseur de n'importe quelle responsabilité, tous les problèmes potentiels sont atténués. Ils permettent également l'application des structures de paiement.

Limitations

La plupart de ces réalisations exigent simplement des utilisateurs de passer une page d'ouverture chiffrée par de SSL de , après quoi leur IP et MAC address sont permis de passer par le passage . Ceci s'est avéré exploitable avec un renifleur de paquet simple . Une fois que les adresses d'IP et de MAC d'autres ordinateurs se reliants s'avèrent pour être authentifiées, n'importe quelle machine peut charrier le MAC address et l'IP de la cible authentifiée, et soit permise un itinéraire par le passage. Pour cette raison quelques solutions portiques captives ont créé les mécanismes d'authentification prolongés pour limiter le risque pour l'usurpation.

Les plates-formes qui ont le WI-Fi et une pile de TCP/IP de mais n'ont pas un web browser qui soutient le HTTPS ne peuvent pas employer beaucoup de portails captifs. De telles plates-formes incluent le Nintendo DS courant un jeu qui emploie le raccordement de Nintendo WI-Fi de . Non l'authentification de navigateur est possible using le WISPr , un XML - protocole d'authentification basé à cette fin, ou authentification ou authentifications MAC-basée basées sur d'autres protocoles.

Là existe également l'option du fournisseur de plate-forme entrant dans un contrat de service avec l'opérateur d'un grand nombre de points névralgiques portiques captifs pour permettre librement ou d'accès escompté aux serveurs du fournisseur de plate-forme par l'intermédiaire du jardin muré par du point névralgique, tel que l'affaire entre Nintendo et le Wayport . Par exemple, on a pu permettre à des des ports du SIP de VoIP de dévier le passage pour permettre à des téléphones de fonctionner.

Voir également

Procuration de HTTP de
Approvisionnement orienté vers les services

Random links: