Un portal cautivo es una página web a la que se accede con un navegador web que se muestra a los usuarios recién conectados de una red Wi-Fi o cableada antes de que se les conceda un acceso más amplio a los recursos de la red. Los portales cautivos se utilizan comúnmente para presentar una página de inicio de sesión o de inicio de sesión que puede requerir autenticación , pago , aceptación de un acuerdo de licencia de usuario final , política de uso aceptable, completar la encuesta u otras credenciales válidas que tanto el anfitrión como el usuario acuerden cumplir. Los portales cautivos se utilizan para una amplia gama de servicios de banda ancha para peatones y móviles, incluido el cable, Wi-Fi y puntos de acceso domésticos proporcionados comercialmente. También se puede utilizar un portal cautivo para proporcionar acceso a redes cableadas empresariales o residenciales, como casas de apartamentos, habitaciones de hotel y centros de negocios.
El portal cautivo se presenta al cliente y se almacena en la puerta de enlace o en un servidor web que aloja la página web. Dependiendo del conjunto de características de la puerta de enlace, los sitios web o los puertos TCP pueden incluirse en la lista blanca para que el usuario no tenga que interactuar con el portal cautivo para poder utilizarlos. La dirección MAC de los clientes conectados también se puede utilizar para omitir el proceso de inicio de sesión para dispositivos específicos.
Usos
Los portales cautivos se utilizan principalmente en redes inalámbricas abiertas donde se muestra a los usuarios un mensaje de bienvenida informándoles de las condiciones de acceso (puertos permitidos, responsabilidad, etc.). Los administradores tienden a hacer esto para que sus propios usuarios asuman la responsabilidad de sus acciones y eviten cualquier responsabilidad legal. Si esta delegación de responsabilidad es legalmente válida es un tema de debate. [1] [2]
A menudo, los portales cautivos se utilizan con fines de marketing y comunicación comercial. El acceso a Internet a través de Wi-Fi abierto está prohibido hasta que el usuario intercambie datos personales al completar un formulario de registro basado en la web en un navegador web. El formulario basado en web se abre automáticamente en un navegador web o aparece cuando el usuario abre un navegador web e intenta visitar cualquier página web. En otras palabras, el usuario está "cautivo": no puede acceder a Internet libremente hasta que se le conceda acceso a Internet y haya "completado" el portal cautivo. Esto permite al proveedor de este servicio mostrar o enviar anuncios a los usuarios que se conectan al punto de acceso Wi-Fi. Este tipo de servicio también se conoce a veces como "Wi-Fi social", ya que pueden solicitar una cuenta de red social para iniciar sesión (como Facebook ). En los últimos años, estos portales cautivos de Wi-Fi sociales se han convertido en algo común entre varias empresas que ofrecen marketing centrado en la recopilación de datos de Wi-Fi.
El usuario puede encontrar muchos tipos de contenido en el portal cautivo, y es frecuente permitir el acceso a Internet a cambio de ver contenido o realizar una determinada acción (a menudo, proporcionando datos personales para permitir el contacto comercial); por lo tanto, el uso de marketing del portal cautivo es una herramienta para la generación de leads (contactos comerciales o clientes potenciales). [ cita requerida ]
Implementación
Hay más de una forma de implementar un portal cautivo.
Redireccionamiento HTTP
Un método común es dirigir todo el tráfico de la World Wide Web a un servidor web, que devuelve un redireccionamiento HTTP a un portal cautivo. [3] Cuando un dispositivo moderno habilitado para Internet se conecta por primera vez a una red, envía una solicitud HTTP a una URL de detección predefinida por su proveedor y espera un código de estado HTTP 200 OK o 204 Sin contenido. Si el dispositivo recibe un código de estado HTTP 200, asume que tiene acceso ilimitado a Internet. Las indicaciones del portal cautivo se muestran cuando puede manipular este primer mensaje HTTP para devolver un código de estado HTTP de 302 (redireccionamiento) al portal cautivo de su elección. [4] [5] RFC 6585 especifica el código 511 de autenticación de red requerida.
Redireccionamiento de ICMP
El tráfico del cliente también se puede redirigir mediante la redirección ICMP en el nivel de capa 3.
Redirigir por DNS
Cuando un cliente solicita un recurso de la World Wide Web, el navegador consulta el DNS . En un portal cautivo, el firewall se asegurará de que solo los servidores DNS proporcionados por el DHCP de la red puedan ser utilizados por clientes no autenticados (o, alternativamente, reenviará todas las solicitudes de DNS de clientes no autenticados a ese servidor DNS). Este servidor DNS devolverá la dirección IP de la página del portal cautivo como resultado de todas las búsquedas de DNS.
Para realizar la redirección mediante DNS, el portal cautivo utiliza el secuestro de DNS para realizar una acción similar a un ataque de intermediario . Para limitar el impacto del envenenamiento del DNS, normalmente se usa un TTL de 0.
Limitaciones
Seguridad
Se sabe que los portales cautivos tienen conjuntos de reglas de firewall incompletos. [6]
Tunelización de DNS
En algunas implementaciones, el conjunto de reglas enrutará las solicitudes de DNS de los clientes a Internet, o el servidor DNS proporcionado cumplirá las solicitudes de DNS arbitrarias del cliente. Esto permite que un cliente pase por alto el portal cautivo y acceda a la Internet abierta canalizando el tráfico arbitrario dentro de los paquetes DNS.
Envío automático
Algunos portales cautivos pueden configurarse para permitir que los agentes de usuario equipados adecuadamente detecten el portal cautivo y se autentiquen automáticamente. Los agentes de usuario y las aplicaciones complementarias, como el Asistente del portal cautivo de Apple, a veces pueden omitir de forma transparente la visualización del contenido del portal cautivo en contra de los deseos del operador del servicio, siempre que tengan acceso a las credenciales correctas, o pueden intentar autenticarse con credenciales incorrectas u obsoletas. dando como resultado consecuencias no intencionales, como el bloqueo accidental de la cuenta.
Suplantacion de MAC
Un portal cautivo que usa direcciones MAC para rastrear dispositivos conectados a veces se puede eludir reutilizando una dirección MAC de un dispositivo previamente autenticado. Una vez que un dispositivo ha sido autenticado en el portal cautivo usando credenciales válidas, la puerta de enlace agrega la dirección MAC de ese dispositivo a su "lista blanca"; Dado que las direcciones MAC pueden falsificarse fácilmente, cualquier otro dispositivo puede pretender ser el dispositivo autenticado y evitar el portal cautivo. Una vez que las direcciones IP y MAC de otras computadoras conectadas se encuentran autenticadas, cualquier máquina puede falsificar la dirección MAC y la dirección de Protocolo de Internet (IP) del objetivo autenticado, y se le permitirá una ruta a través de la puerta de enlace. Por esta razón, algunas soluciones de portal cautivo crearon mecanismos de autenticación extendidos para limitar el riesgo de usurpación.
Requerir navegador web
Los portales cautivos a menudo requieren el uso de un navegador web; Esta suele ser la primera aplicación que los usuarios inician después de conectarse a Internet, pero los usuarios que utilizan por primera vez un cliente de correo electrónico u otra aplicación que dependa de Internet pueden encontrar que la conexión no funciona sin explicación, y luego necesitarán abrir un navegador web para validar. Esto puede resultar problemático para los usuarios que no tienen ningún navegador web instalado en su sistema operativo . Sin embargo, a veces es posible utilizar el correo electrónico y otras funciones que no dependen del DNS (por ejemplo, si la aplicación especifica la IP de conexión en lugar del nombre de host). Un problema similar puede ocurrir si el cliente usa AJAX o se une a la red con páginas ya cargadas en su navegador web, causando un comportamiento indefinido (por ejemplo, aparecen mensajes corruptos) cuando dicha página intenta solicitudes HTTP a su servidor de origen.
Del mismo modo, como las conexiones HTTPS no se pueden redirigir (al menos no sin activar advertencias de seguridad), un navegador web que solo intenta acceder a sitios web seguros antes de ser autorizado por el portal cautivo verá que esos intentos fallan sin explicación (el síntoma habitual es que el el sitio web parece estar caído o inaccesible).
Las plataformas que tienen Wi-Fi y una pila de TCP / IP pero no tienen un navegador web que admita HTTPS no pueden usar muchos portales cautivos. Estas plataformas incluyen la Nintendo DS que ejecuta un juego que utiliza la conexión Wi-Fi de Nintendo . La autenticación sin navegador es posible utilizando WISPr , un protocolo de autenticación basado en XML para este propósito, o autenticación basada en MAC o autenticaciones basadas en otros protocolos.
También es posible que un proveedor de plataforma celebre un contrato de servicio con el operador de una gran cantidad de puntos de acceso de portal cautivo para permitir el acceso gratuito o con descuento a los servidores del proveedor de la plataforma a través del jardín amurallado del punto de acceso . Por ejemplo, en 2005, Nintendo y Wayport se asociaron para proporcionar acceso gratuito a Wi-Fi a los usuarios de Nintendo DS en ciertos restaurantes McDonald's . [7] Además, se podría permitir que los puertos VoIP SIP pasen por alto la puerta de enlace para permitir que los teléfonos funcionen.
Ver también
- Proxy HTTP
- Marketing de proximidad
- Análisis de ubicación móvil
Referencias
- ^ "Puntos de acceso Wi-Fi y preocupaciones de responsabilidad" . Maiello Brungo y Maiello . 9 de abril de 2007 . Consultado el 6 de marzo de 2019 .
- ^ "Mitos y hechos: ejecución de Open Wireless y responsabilidad por lo que hacen los demás" . Movimiento inalámbrico abierto . 7 de agosto de 2012 . Consultado el 6 de marzo de 2019 .
- ^ Wippler, Andrew J. (7 de abril de 2017). "Descripción general del portal cautivo" . Bloc de dibujo de Andrew Wippler . Consultado el 6 de marzo de 2019 .
- ^ Wippler, Andrew J. (11 de marzo de 2016). "Portal cautivo WiFi" . Bloc de dibujo de Andrew Wippler . Consultado el 6 de marzo de 2019 .
- ^ "Detección de portal de red" . Cromo . Consultado el 6 de marzo de 2019 .
- ^ Laliberte, Marc (26 de agosto de 2016). "Lecciones de DEFCON 2016 - Pasando por alto los portales cautivos" . Consultado el 6 de marzo de 2019 .
- ^ "Nintendo y Wayport unen fuerzas para brindar acceso gratuito a Wi-Fi de EE. UU. A los usuarios de Nintendo DS" . 2005-10-18 . Consultado el 6 de marzo de 2019 .
enlaces externos
- Configuración del portal cautivo de Android
- RFC 7710 Identificación de portal cautivo mediante DHCP o anuncios de enrutador (RA)