Captive portal
Captive Portal è una tecnica che forza un client http connesso ad una rete di telecomunicazioni a visitare una speciale pagina web (usualmente per l'autenticazione) prima di poter accedere alla navigazione in Rete. Ciò si ottiene intercettando tutti i pacchetti, relativi a indirizzi e porte, fin dal momento in cui l'utente apre il proprio browser e tenta l'accesso a Internet. In quel momento il browser viene rediretto verso una pagina web la quale può richiedere l'autenticazione oppure semplicemente l'accettazione delle condizioni d'uso del servizio. È possibile trovare software captive portal in uso presso gli hotspot Wi-Fi. Può essere altresì usato anche per controllare accessi su rete cablata (es: alberghi, hotel, centri commerciali, ecc.).
Software Captive Portal
Esempi di captive portal software per piattaforma PC:
Per Linux
- PepperSpot
- Net4Guest Captive portal Suite
- Kattive GPL con possibilità di autenticazione di tipo AD come samba, LDAP, o altre
- AirMarshal (Commerciale)
- Aradial Captive Portal (Commerciale)
- Captivator-gw (OpenSource)
- Chillispot (OpenSource)
- Coova's Chilli and firmware
- Hotspot Express (OpenSource)
- NoCatAuth (OpenSource)
- Public IP, based on NoCatAuth
- sweetspot (OSI layer-3 packet mangler)
- WifiDog Captive Portal Suite (embedded Linux - OpenWRT, Linux)
- PacketFence Usa ARP Spoofing invece di MAC/IP Address Filtering. Può essere anche usato per rilevare e/o isolare worms. Può usare Snort come IDS.
Gateway / Centralized central server solution
- talweg (più sicuro dello standard di autenticazione MAC/IP)
- Untangle gratis/standard/premium sono le tre versioni di un software standalone funzionale e completo per la gestione di Captive Portal, content filter anche in transparent mode.
- Wilmagate
- ZeroShell piccola distribuzione Linux disponibile come LiveCD o immagine per CompactFlash che include un multi-gateway Captive Portal. I sistemi di autenticazione sono: Kerberos 5 KDC integrato, un KDC esterno come quello usato da Windows Active Directory oppure di tipo cross-authenticated realm.
- Endian Hotspot (Captive Portal presente solo nella versione commerciale) distribuzione Linux per Gateway UTM OpenSurce disponibile anche in versione Community
Per Windows
- 2hotspot (MAC non richiesto)
- Antamedia (MAC non richiesto)
- MyHotspot
- Aradial
- DNS Redirector
- FirstSpot
- myWIFIzone Captive Portal Services
- Spotngo Hotspot Software and Payment System
- Softvision Explorer: Hotspot Radius
Altri
- HSNM Hot Spot Network Manager for VMWare
- HotspotSystem.com (hosted portal solution. Di uso gratuito per free hotspots)
- WorldSpot.net (hosted portal solution basato su chillispot. Di uso gratuito per free hotspots)
- pointHotspot.com (Portale Web-based)
- Other wiki list of captive portals
- FON
Hardware Captive Portals
Esempi di router hardware che nel firmware includono un captive portal:
- HSNM Hot Spot Network Manager
- ANTlabs Service Gateway/InnGate
- ANTlabs Municipal Wifi/Service Selection Gateway (SSG)
- Antamedia Hotspot Gateway
- Aptilo Access Gateway
- Colubris MultiService Access Controller
- Cisco BBSM-Hotspot
- Cisco Site Selection Gateway (SSG) / Subscriber Edge Services (SESM)
- DD-WRT Captive Portal Capable Hardware
- Ubiquiti+Chillispot Captive Portal Capable Hardware
- Demarc Reliawave
- IP3 Networks NetAccess
- Lok Technology LokBox
- MobiMESH Captive Portal
- Motorola WiNG WiNG 5
- Nomadix Gateway
- Pronto Networks OSS/BSS
- Sinaptica Networks PayBridge
- Trapeze Networks Trapeze Mobility System
- Vernier Networks Vernier EdgeWall Network Access Control
I Captive portal hanno avuto un incremento presso i free open wireless network dove al posto dell'autenticazione degli utenti viene semplicemente mostrata una pagina di accettazione delle condizioni d'uso. Anche se la legge al riguardo è ancora poco chiara (specialmente negli USA) è pensiero comune che forzare gli utenti ad accettare le condizioni d'uso del provider sollevi quest'ultimo da particolari obblighi di legge.
Limitazioni
La maggior parte di queste implementazioni richiede agli utenti di superare una pagina SSL di login criptata, dopo la quale il loro indirizzo IP e MAC sono abilitati a passare attraverso il gateway. È stato dimostrato che questo tipo di accesso è facilmente attaccabile tramite un semplice packet sniffer. Una volta ottenuti IP e MAC address di altri computer già autenticati e connessi, chiunque dotato di mezzi e conoscenza tecnica può superare i controlli falsificando le proprie credenziali con quelle degli utenti autorizzati e attraversare indisturbato il gateway. Una soluzione a questo problema consiste nell'utilizzare una finestra di controllo che continuamente rinnova l'autenticazione mandando al gateway un pacchetto criptato. Tale tecnica è implementata per esempio nel captive portal di Zeroshell.
I dispositivi che possiedono connettività Wi-Fi e TCP/IP ma non sono dotati di browser web che supporti HTTPS non possono usare i captive portals. Tali dispositivi includono ad esempio Nintendo DS con giochi che usino Nintendo Wi-Fi Connection. Esistono comunque dei produttori di dispositivi che grazie ad accordi per servizi di connettività gratuiti o scontati permettono l'accesso alla rete. Per esempio, le porte VOIP SIP possono essere liberamente abilitate al traffico verso il gateway per permettere ai telefoni di connettersi.
