Captive Portal: Difference between revisions
No edit summary |
No edit summary |
||
| Line 1: | Line 1: | ||
'''Captive Portal''' on maakeelde seni veel tõlkimata tehnika, mis suunab võrgus oleva HTTP kliendi Internetti sissepääsu asemel spetsiaalsele veebilehele, mille eesmärgiks on reeglina kasutaja autentimine, kuid seda võib kasutada ka mitmel teisel eesmärgil. Kui tõmmata paralleele tegeliku maailmaga, siis võiks Captive Portal'it (mis otsetõlkes võiks | '''Captive Portal''' on maakeelde seni veel tõlkimata tehnika, mis suunab võrgus oleva HTTP kliendi Internetti sissepääsu asemel spetsiaalsele veebilehele, mille eesmärgiks on reeglina kasutaja autentimine, kuid seda võib kasutada ka mitmel teisel eesmärgil. Kui tõmmata paralleele tegeliku maailmaga, siis võiks Captive Portal'it (mis otsetõlkes võiks tähendada püünissaiti või -veebilehte) mingi suletud territooriumi (antud juhul WLAN) väravat, mis võib külastaja jaoks tähendada, et tuleb lunastada pilet, kuid võib juhtuda ka, et sisse pääseb tasuta või näiteks oma ID-d lehvitades. | ||
==Kasutamine== | ==Kasutamine== | ||
Esimel korral, kui potentsiaalne kasutaja logib Captive Poratal seadistusega võrku, suunatakse kasutaja veebibrauser ühele kindlale veebilehele, kus tuleb teostada ettenähtud toimingud ning alles seejärel on kasutajal võimalik pääseda Internetti. | |||
Lihtne Captive Portal sunnib kasutaja püünisveebilehele, mille eesmärgiks võib olla vaid tähelepanud juhtimine teenuspakkujale või kasutusreeglite ([http://en.wikipedia.org/wiki/Acceptable_use_policy AUP]) kinnitamine. Viimasega loodavad teenusepakkujad suunata vastutust kasutajale, juhuks kui see ei peaks Internetis toimima just kõige paremate kavatsustega, samamoodi võidakse kasutajalt nõuda kasutajatunnuse ning parooli sisestamist, mis peaks teenusepakkujale veelgi kindlamalt tagama selle, et võrguteenuse kasutajad käituvad antud keskkonnas vasutustundlikult. Teised kasutavad püünissaite reklaami levitamiseks, mis on kindlasti kasulik ettevõtmine hotellides, kaubanduskeskustest, kohvikutes ning teistes avalikes kohtades. Enamasti on Captive Portali teenust kasutavad serverid varustatud antiviiruse tarkvara ning tulemüüri programmidega, et tagada kasutajatele turvaline teenus. | |||
===Wippies=== | ===Wippies=== | ||
| Line 12: | Line 13: | ||
"Kui ühendad oma arvuti Wippies-võrku, siis annab Wippies-tugijaam IP-aadressi DHCP abil. Kui ühendus on loodud, tekitab tugijaam VPN-tunneli Wippiese serverisse, mis asub Soomes. Kui arvuti soovib avada mõnd veebilehte, siis esmalt suunab server liikluse sisselogimislehele (Wippies Captive Portal). Kui parool on edukalt sisestatud, vahendab server internetiühendust tavapärasel viisil. VPN-tunnel kasutab IPSec-protokolli. Klientarvutitele jagatakse aadressid vahemikus 10.0.0.0/8. Wippies-server muudab aadressid marsruutimise käigus NAT abil." | "Kui ühendad oma arvuti Wippies-võrku, siis annab Wippies-tugijaam IP-aadressi DHCP abil. Kui ühendus on loodud, tekitab tugijaam VPN-tunneli Wippiese serverisse, mis asub Soomes. Kui arvuti soovib avada mõnd veebilehte, siis esmalt suunab server liikluse sisselogimislehele (Wippies Captive Portal). Kui parool on edukalt sisestatud, vahendab server internetiühendust tavapärasel viisil. VPN-tunnel kasutab IPSec-protokolli. Klientarvutitele jagatakse aadressid vahemikus 10.0.0.0/8. Wippies-server muudab aadressid marsruutimise käigus NAT abil." | ||
=== Autentimine === | |||
Kuna püünissait peab olema kliendile nähtav, siis peab see olema kas lokaalselt salvestatud gateway's (nimetatud maakeeles ka lüüsiks) või veebiserver, mis antud lehekülge omab, peab olema [http://en.wikipedia.org/wiki/Walled_garden_%28media%29 walled gardeni] vahendusel olema kantud "lubatud nimekirja", et oleks võimalik läbi viia autentimise protsess. Sõltuvalt gateway võimalustest võivad nn lubatud nimekirja olla kantud mitmed serverid. Lisaks webi hosti URL-i lubatud nimekirja kandmisele on sõltuvalt lüüsi võimalustustest lubada (avada) ka TCP porte. Samuti võib olla logimise protsess sätitud klientide MAC aadressite põhiseks. | |||
== Eelised ja kasutamise võimalused == | |||
Püünissaiti kasutamine võib olla vajalik erinevatel põhjustel, mõnikord ei ole traadita võrgu kaitsmine teiste vahenditega mõistlik (WPA, WP2 jms), kuna need ei ole lõppkasutajale lihtsasti konfigureeritavad ning alati ei ole abiväge varnast võtta. Liiati saab nimetatud turvaprotokolle kasutada vaid vastavat funtksionaalsust võimaldava riistvara (access-point-ide ja võrgukaartidega) ning operatsioonisüsteemidega. Teisel juhul tuleb teenusepakkujal ühtviisi kaitsta nii traadita kui traadiga võrku, mistõttu on mõistlik viia ligipääsu kontroll teiselt OSI mudeli kihilt kolmandale, kasutades selleks Captive Portali võimalusi. | |||
Captive Portal paikneb lüüsis, mis on kaitstavate alamvõrkude vaikimisi ruuter. Lüüs blokib IP paketid, mis on väljapoole suunatud ning püüab kinni http ja https päringud 80 ja 443 TCP pordist suunates need ümber kindlaksmääratud autentimisserverisse, mis kuvab kasutajale autentimise saidi elik püünissaidi. Kui autentimine õnnestub, siis autentmisserver kommunikeerib lüüsile (gateway), et host on autoriseeritud, misjärel lüüs avab oma väravad ja suunab väljasaadetavad paketid edasi. | |||
==Captive Portalit võimaldavad tarkvarad== | |||
*[http://en.wikipedia.org/wiki/AirMarshal Air Marshal], tarkvara Linuxi platvormile (tasuline) | |||
*[http://en.wikipedia.org/wiki/Amazingports Amazingports], Linuxipõhine tarkvara integreeritud billingu ja maksete implementeerimise võimalusega.(tasuta ja tasuline versioon) | |||
*[http://en.wikipedia.org/wiki/ChilliSpot ChilliSpot] - avatud lähtekoodiga Linuxi deamon | |||
*[http://www.wifigator.com/ WiFi Billing Software] WiFiGator: Võimaldab täielikku majasisest kontrolli süsteemi üle. | |||
*[http://pepperspot.sourceforge.net/ PepperSpot] - avatud lähtekoodiga IPv4 / IPv6 captive portal (ChilliSpot-i haru) | |||
*[http://www.coova.org/CoovaChilli CoovaChilli] - avatud lähtekoodiga (GPL): ChilliSpot-i aktiivselt arendatav järglane | |||
*[http://www.antamedia.com/hotspot Antamedia HotSpot] - kommertsiaalne Windowsi põhine Captive Portal, kuumkoha billimise mooduliga | |||
*[http://www.dnsredirector.com/ DNS Redirector] - vaba või tasulise litsentisga Windowsi põhine Captive Portal | |||
*[http://patronsoft.com/firstspot FirstSpot] - kommertslahendus Windows-ile, rikkalike manageerimise võimalustega | |||
*[http://www.dd-wrt.com/wiki/index.php/NoCatSplash NoCatSplash] | |||
===Zeroshell=== | |||
Üks paljudest võimalikest Captive Portali implementeerimise vahendiks on kasutada [http://www.zeroshell.net/eng/ Zeroshell] nimelist Linuxi distrot serveritele ja embedded seadmete võrguteenuste halduseks. Zeroshellis on Captive Portal võimekus integreeritud ilma lisatarkvara nagu NoCatAuth, NoCatSplash või Chillispot kasutamata. | |||
Zeroshell Captive Portal võimaldab: | |||
#multigateway struktuuri | |||
#Captive lüüs võib olla nii ruuditud kui birdge'tud | |||
#Captive Portal võib olla aktiveeritud vaid osaliselt (näitek VLAN-ile) | |||
#kõik kasutaja ning veebriprauseri ja autentimiserveri vahelised interaktsioonid on krüpteeritud https-is, et vältida "pealtkuulamist" | |||
#klient tuvastatakse IP ja MAC-i järgi. | |||
#autenitmisserver on võimelik integreerida Kerberosega. | |||
#võimalik on deklareerida "tasuta" kliente, kelle jaoks autentimine pole vajalik | |||
#võimalik on defineerida nn vabade väliste serverite poolne teenuste list, millele on kasutajal juurdepääs ilma autentimiseta. | |||
#veebi logimise lehekülge on võimalik autentimise ajal administraatori poolt konfigureerida. | |||
#jpm | |||
== Lõpetuseks == | |||
Püünissaidid on tänapäeval väga laialt levinud tehnika ja seda kasutakse erinevatel eesmärkide üle kogu maailma | |||
| Line 26: | Line 69: | ||
#[http://www.zeroshell.net/eng/captiveportaldetails/ Zeroshell: Captive Portal kuumkoha autentimiseks] | #[http://www.zeroshell.net/eng/captiveportaldetails/ Zeroshell: Captive Portal kuumkoha autentimiseks] | ||
#[http://searchmobilecomputing.techtarget.com/definition/captive-portal Searchmobilecomputing: Mis on Captive Portal?] | #[http://searchmobilecomputing.techtarget.com/definition/captive-portal Searchmobilecomputing: Mis on Captive Portal?] | ||
Koostanud: '''K.Kool''' AK32 | Koostanud: '''K.Kool''' AK32 | ||
[[Category:Traadita side alused]] | [[Category:Traadita side alused]] | ||
Revision as of 06:56, 14 May 2010
Captive Portal on maakeelde seni veel tõlkimata tehnika, mis suunab võrgus oleva HTTP kliendi Internetti sissepääsu asemel spetsiaalsele veebilehele, mille eesmärgiks on reeglina kasutaja autentimine, kuid seda võib kasutada ka mitmel teisel eesmärgil. Kui tõmmata paralleele tegeliku maailmaga, siis võiks Captive Portal'it (mis otsetõlkes võiks tähendada püünissaiti või -veebilehte) mingi suletud territooriumi (antud juhul WLAN) väravat, mis võib külastaja jaoks tähendada, et tuleb lunastada pilet, kuid võib juhtuda ka, et sisse pääseb tasuta või näiteks oma ID-d lehvitades.
Kasutamine
Esimel korral, kui potentsiaalne kasutaja logib Captive Poratal seadistusega võrku, suunatakse kasutaja veebibrauser ühele kindlale veebilehele, kus tuleb teostada ettenähtud toimingud ning alles seejärel on kasutajal võimalik pääseda Internetti.
Lihtne Captive Portal sunnib kasutaja püünisveebilehele, mille eesmärgiks võib olla vaid tähelepanud juhtimine teenuspakkujale või kasutusreeglite (AUP) kinnitamine. Viimasega loodavad teenusepakkujad suunata vastutust kasutajale, juhuks kui see ei peaks Internetis toimima just kõige paremate kavatsustega, samamoodi võidakse kasutajalt nõuda kasutajatunnuse ning parooli sisestamist, mis peaks teenusepakkujale veelgi kindlamalt tagama selle, et võrguteenuse kasutajad käituvad antud keskkonnas vasutustundlikult. Teised kasutavad püünissaite reklaami levitamiseks, mis on kindlasti kasulik ettevõtmine hotellides, kaubanduskeskustest, kohvikutes ning teistes avalikes kohtades. Enamasti on Captive Portali teenust kasutavad serverid varustatud antiviiruse tarkvara ning tulemüüri programmidega, et tagada kasutajatele turvaline teenus.
Wippies
Wippies on külalisvõrk, mis seal hulga Captive Portal meetodit kasutades on üles ehtianud üsna ambitsioonika äriidee, mille eesmärgiks on kogu maailm wippie-maailmaga katta elik eesmärgiks on tagada kogukonna liikmetele igas maailmanurgas tasuta sissepääsuga Internetiga. Ülalviidatud Wippie Wikis on toodud järgmine tehnilise lahenduse kirjeldus:
"Kui ühendad oma arvuti Wippies-võrku, siis annab Wippies-tugijaam IP-aadressi DHCP abil. Kui ühendus on loodud, tekitab tugijaam VPN-tunneli Wippiese serverisse, mis asub Soomes. Kui arvuti soovib avada mõnd veebilehte, siis esmalt suunab server liikluse sisselogimislehele (Wippies Captive Portal). Kui parool on edukalt sisestatud, vahendab server internetiühendust tavapärasel viisil. VPN-tunnel kasutab IPSec-protokolli. Klientarvutitele jagatakse aadressid vahemikus 10.0.0.0/8. Wippies-server muudab aadressid marsruutimise käigus NAT abil."
Autentimine
Kuna püünissait peab olema kliendile nähtav, siis peab see olema kas lokaalselt salvestatud gateway's (nimetatud maakeeles ka lüüsiks) või veebiserver, mis antud lehekülge omab, peab olema walled gardeni vahendusel olema kantud "lubatud nimekirja", et oleks võimalik läbi viia autentimise protsess. Sõltuvalt gateway võimalustest võivad nn lubatud nimekirja olla kantud mitmed serverid. Lisaks webi hosti URL-i lubatud nimekirja kandmisele on sõltuvalt lüüsi võimalustustest lubada (avada) ka TCP porte. Samuti võib olla logimise protsess sätitud klientide MAC aadressite põhiseks.
Eelised ja kasutamise võimalused
Püünissaiti kasutamine võib olla vajalik erinevatel põhjustel, mõnikord ei ole traadita võrgu kaitsmine teiste vahenditega mõistlik (WPA, WP2 jms), kuna need ei ole lõppkasutajale lihtsasti konfigureeritavad ning alati ei ole abiväge varnast võtta. Liiati saab nimetatud turvaprotokolle kasutada vaid vastavat funtksionaalsust võimaldava riistvara (access-point-ide ja võrgukaartidega) ning operatsioonisüsteemidega. Teisel juhul tuleb teenusepakkujal ühtviisi kaitsta nii traadita kui traadiga võrku, mistõttu on mõistlik viia ligipääsu kontroll teiselt OSI mudeli kihilt kolmandale, kasutades selleks Captive Portali võimalusi.
Captive Portal paikneb lüüsis, mis on kaitstavate alamvõrkude vaikimisi ruuter. Lüüs blokib IP paketid, mis on väljapoole suunatud ning püüab kinni http ja https päringud 80 ja 443 TCP pordist suunates need ümber kindlaksmääratud autentimisserverisse, mis kuvab kasutajale autentimise saidi elik püünissaidi. Kui autentimine õnnestub, siis autentmisserver kommunikeerib lüüsile (gateway), et host on autoriseeritud, misjärel lüüs avab oma väravad ja suunab väljasaadetavad paketid edasi.
Captive Portalit võimaldavad tarkvarad
- Air Marshal, tarkvara Linuxi platvormile (tasuline)
- Amazingports, Linuxipõhine tarkvara integreeritud billingu ja maksete implementeerimise võimalusega.(tasuta ja tasuline versioon)
- ChilliSpot - avatud lähtekoodiga Linuxi deamon
- WiFi Billing Software WiFiGator: Võimaldab täielikku majasisest kontrolli süsteemi üle.
- PepperSpot - avatud lähtekoodiga IPv4 / IPv6 captive portal (ChilliSpot-i haru)
- CoovaChilli - avatud lähtekoodiga (GPL): ChilliSpot-i aktiivselt arendatav järglane
- Antamedia HotSpot - kommertsiaalne Windowsi põhine Captive Portal, kuumkoha billimise mooduliga
- DNS Redirector - vaba või tasulise litsentisga Windowsi põhine Captive Portal
- FirstSpot - kommertslahendus Windows-ile, rikkalike manageerimise võimalustega
- NoCatSplash
Zeroshell
Üks paljudest võimalikest Captive Portali implementeerimise vahendiks on kasutada Zeroshell nimelist Linuxi distrot serveritele ja embedded seadmete võrguteenuste halduseks. Zeroshellis on Captive Portal võimekus integreeritud ilma lisatarkvara nagu NoCatAuth, NoCatSplash või Chillispot kasutamata.
Zeroshell Captive Portal võimaldab:
- multigateway struktuuri
- Captive lüüs võib olla nii ruuditud kui birdge'tud
- Captive Portal võib olla aktiveeritud vaid osaliselt (näitek VLAN-ile)
- kõik kasutaja ning veebriprauseri ja autentimiserveri vahelised interaktsioonid on krüpteeritud https-is, et vältida "pealtkuulamist"
- klient tuvastatakse IP ja MAC-i järgi.
- autenitmisserver on võimelik integreerida Kerberosega.
- võimalik on deklareerida "tasuta" kliente, kelle jaoks autentimine pole vajalik
- võimalik on defineerida nn vabade väliste serverite poolne teenuste list, millele on kasutajal juurdepääs ilma autentimiseta.
- veebi logimise lehekülge on võimalik autentimise ajal administraatori poolt konfigureerida.
- jpm
Lõpetuseks
Püünissaidid on tänapäeval väga laialt levinud tehnika ja seda kasutakse erinevatel eesmärkide üle kogu maailma
Kasutatud kirjandus ja kasulikud viited
maakeeles:
Inglise keeles:
- Captive Portal wikipedias
- Zeroshell: Captive Portal kuumkoha autentimiseks
- Searchmobilecomputing: Mis on Captive Portal?
Koostanud: K.Kool AK32
