Captive Portal

From EIK wiki

Captive Portal on maakeelde seni veel tõlkimata tehnika, mis suunab võrgus oleva HTTP kliendi Internetti sissepääsu asemel spetsiaalsele veebilehele, mille eesmärgiks on reeglina kasutaja autentimine, kuid seda võib kasutada ka mitmel teisel eesmärgil. Kui tõmmata paralleele tegeliku maailmaga, siis võiks Captive Portal'it (mis otsetõlkes võiks tähendada püünissaiti või -veebilehte) mingi suletud territooriumi (antud juhul WLAN) väravat, mis võib külastaja jaoks tähendada, et tuleb lunastada pilet, kuid sisse võib pääseda ka tasuta või näiteks hoopis rohelist ninasarviku pildiga särki kandes.

Kasutamine

Esimesell korral, kui potentsiaalne kasutaja logib Captive Poratal seadistusega võrku, suunatakse kasutaja veebibrauser ühele kindlale veebilehele, kus tuleb teostada ettenähtud toimingud ning alles seejärel on kasutajal võimalik pääseda ligi välisele võrguühendusele.

Lihtne Captive Portal sunnib kasutaja püünisveebilehele, mille eesmärgiks võib olla vaid tähelepanud juhtimine teenuspakkujale või hoopis kasutusreeglite (AUP) kinnitamine. Viimasega loodavad teenusepakkujad suunata vastutust kasutajale, juhuks kui see ei peaks Internetis toimima just kõige paremate kavatsustega. Samamoodi võidakse kasutajalt nõuda kasutajatunnuse ning parooli sisestamist, mis peaks teenusepakkujale veelgi kindlamalt tagama selle, et võrguteenuse kasutajad käituvad antud keskkonnas vasutustundlikult. Teised teenusepakkujad kasutavad püünissaite reklaami levitamiseks, mis on kindlasti tulutoov ettevõtmine hotellides, kaubanduskeskustest, kohvikutes ning teistes suurema "läbilaskevõimega" avalikes kohtades. Enamasti on Captive Portali teenust kasutavad serverid varustatud antiviiruse tarkvara ning tulemüüri programmidega, et tagada kasutajatele turvaline teenus.

Kuna püünissait peab olema kliendile nähtav, siis peab see olema, kas lokaalselt salvestatud gateway's (nimetatud maakeeles ka lüüsiks) või teisel juhul peab veebiserver, mis antud lehekülge omab, olema walled gardeni vahendusel olema kantud "lubatud nimekirja", et oleks võimalik läbi viia autentimise protsess. Sõltuvalt gateway võimalustest võivad nn lubatud nimekirja olla kantud mitmed serverid. Lisaks webi hosti URL-i lubatud nimekirja kandmisele on sõltuvalt lüüsi võimalustustest lubada (avada) ka TCP porte. Samuti võib olla logimise protsess sätitud äratundma klientide MAC aadresseid.

Wippies

Wippies on külalisvõrk, mis Captive Portal meetodit kasutades on üles ehitanud üsna ambitsioonika äriidee, mille eesmärgiks on kogu maailm wippie-maailmaga katta elik tagada kõikidele kogukonna liikmetele igas asustatud maailma punktis tasuta sissepääsuga internetiühendus. Ülalviidatud Wippie Wikis on toodud järgmine tehnilise lahenduse kirjeldus:

"Kui ühendad oma arvuti Wippies-võrku, siis annab Wippies-tugijaam IP-aadressi DHCP abil. Kui ühendus on loodud, tekitab tugijaam VPN-tunneli Wippiese serverisse, mis asub Soomes. Kui arvuti soovib avada mõnd veebilehte, siis esmalt suunab server liikluse sisselogimislehele (Wippies Captive Portal). Kui parool on edukalt sisestatud, vahendab server internetiühendust tavapärasel viisil. VPN-tunnel kasutab IPSec-protokolli. Klientarvutitele jagatakse aadressid vahemikus 10.0.0.0/8. Wippies-server muudab aadressid marsruutimise käigus NAT abil."

Eelised ja kasutamise võimalused

Püünissaiti kasutamine võib olla vajalik erinevatel põhjustel, mõnikord ei ole traadita võrgu kaitsmine teiste vahenditega mõistlik (WPA, WP2 jms), kuna need ei ole lõppkasutajale lihtsasti konfigureeritavad ning alati ei ole abiväge varnast võtta. Liiati saab nimetatud turvaprotokolle kasutada vaid vastavat funtksionaalsust võimaldava riistvara (access-point-ide ja võrgukaartidega) ning operatsioonisüsteemidega. Teisel juhul tuleb teenusepakkujal ühtviisi kaitsta nii traadita kui traadiga võrku, mistõttu on mõistlik viia ligipääsu kontroll teiselt OSI mudeli kihilt kolmandale, kasutades selleks Captive Portali võimalusi.

Captive Portal paikneb lüüsis, mis on kaitstavate alamvõrkude vaikimisi ruuter. Lüüs blokib IP paketid, mis on väljapoole suunatud ning püüab kinni http ja https päringud 80 ja 443 TCP pordist suunates need ümber kindlaksmääratud autentimisserverisse, mis kuvab kasutajale autentimise saidi elik püünissaidi. Kui autentimine õnnestub, siis autentmisserver kommunikeerib lüüsile (gateway), et host on autoriseeritud, misjärel lüüs avab oma väravad ja suunab väljasaadetavad paketid edasi.

Captive Portalit võimaldavad tarkvarad

  • Air Marshal, tarkvara Linuxi platvormile (tasuline)
  • Amazingports, Linuxipõhine tarkvara integreeritud billingu ja maksete implementeerimise võimalusega.(tasuta ja tasuline versioon)
  • ChilliSpot - avatud lähtekoodiga Linuxi deamon
  • WiFi Billing Software WiFiGator: Võimaldab täielikku majasisest kontrolli süsteemi üle.
  • PepperSpot - avatud lähtekoodiga IPv4 / IPv6 captive portal (ChilliSpot-i haru)
  • CoovaChilli - avatud lähtekoodiga (GPL): ChilliSpot-i aktiivselt arendatav järglane
  • Antamedia HotSpot - kommertsiaalne Windowsi põhine Captive Portal, kuumkoha billimise mooduliga
  • DNS Redirector - vaba või tasulise litsentisga Windowsi põhine Captive Portal
  • FirstSpot - kommertslahendus Windows-ile, rikkalike manageerimise võimalustega
  • NoCatSplash

Zeroshell

Üks paljudest võimalikest Captive Portali implementeerimise vahendiks on kasutada Zeroshell nimelist Linuxi distrot serveritele ja embedded seadmete võrguteenuste halduseks. Zeroshellis on Captive Portal võimekus integreeritud ilma lisatarkvara nagu NoCatAuth, NoCatSplash või Chillispot kasutamata.

Zeroshell Captive Portal võimaldab:

  1. multigateway struktuuri
  2. Captive lüüs võib olla nii ruuditud kui birdge'tud
  3. Captive Portal võib olla aktiveeritud vaid osaliselt (näitek VLAN-ile)
  4. kõik kasutaja ning veebriprauseri ja autentimiserveri vahelised interaktsioonid on krüpteeritud https-is, et vältida "pealtkuulamist"
  5. klient tuvastatakse IP ja MAC-i järgi.
  6. autenitmisserver on võimelik integreerida Kerberosega.
  7. võimalik on deklareerida "tasuta" kliente, kelle jaoks autentimine pole vajalik
  8. võimalik on defineerida nn vabade väliste serverite poolne teenuste list, millele on kasutajal juurdepääs ilma autentimiseta.
  9. veebi logimise lehekülge on võimalik autentimise ajal administraatori poolt konfigureerida.
  10. jpm


Lõpetuseks

Püünissaidid on tänapäeval väga laialt levinud tehnika ja seda kasutakse erinevatel eesmärkide üle kogu maailma


Kasutatud kirjandus ja kasulikud viited

maakeeles:

  1. Captive Portal Traadita WIKI-is

võõramaa keeles:

  1. Captive Portal wikipedias
  2. Zeroshell: Captive Portal kuumkoha autentimiseks
  3. Searchmobilecomputing: Mis on Captive Portal?


Koostanud: K.Kool AK32