’Η πρόσβαση στο Internet μπορεί παρέχεται σε όλους τους χρήστες σε οποιαδήποτε συσκευή τους δια μέσου ενός captive portal. ‘’
To captive portal είναι μία πύλη πρόσβασης σε συγκεκριμένους πόρους του δικτύου με κατάλληλη διαβάθμιση. Η πρόσβαση γίνεται μέσα από οποιοδήποτε web browser (HTTP ή HTTPS πρωτόκολλο), έτσι ώστε να μην χρειάζεται πρόσθετο λογισμικό εγκατεστημένου στον υπολογιστή του χρήστη. Η πύλη κρατάει στοιχεία για τον χρόνο που ο χρήστης είναι συνδεδεμένος, και τον όγκο της κίνησης που έχει διακινηθεί, και επίσης μπορεί να στείλει τις πληροφορίες αυτές σε ένα διακομιστή RADIUS. Το captive portal μπορεί να περιορίσει για κάθε συγκεκριμένο χρήστη, τον ρυθμό της κίνησης , το συνολικό όγκο της κίνησης, τον χρόνο σύνδεσης κ.λπ
Το captive portal παρέχει έλεγχο ταυτότητας μέσα σε ένα τοπικό δίκτυο (πχ οι τοπικοί χρήστες του δικτύου να έχουν πρόσβαση στο Internet), αλλά μπορεί επίσης να χρησιμοποιηθεί για να επιτρέψει την πρόσβαση από εξωτερικά δίκτυα σε τοπικούς πόρους (όπως μια πύλη ελέγχου ταυτότητας για τον έξω κόσμο ώστε να έχει πρόσβαση στο εσωτερικό δίκτυο).
Αρχικά ο client παίρνει μια IP διεύθυνση στατικά ή από ένα διακομιστή DHCP. Εφ’ όσον απαιτείται, ο διακομιστής DHCP μπορεί να παρέχει IP διευθύνσεις σε αντιστοιχία με τις MAC διευθύνσεις των clients. Επιπλέον, το captive portal μπορεί αυτόματα και διαφανώς να αλλάξει την IP διεύθυνση του client σε μια έγκυρη διεύθυνση με πρόσβαση στο Internet με την μέθοδο one-to-one NAT.
Η μέθοδος one-to-one NAT αποδέχεται οποιαδήποτε εισερχόμενη IP διεύθυνση από μια συνδεδεμένη διεπαφή δικτύου και την μεταφράζει (Network Address Translation) έτσι ώστε τα πακέτα του client να μπορούν να δρομολογούνται.
Οι χρήστες δεν παρατηρούν τη μετάφραση της διεύθυνσης (δηλαδή, δεν θα υπάρξουν οποιεσδήποτε αλλαγές στο config των χρηστών), αλλά ο ίδιος ο δρομολογητής θα δει εντελώς διαφορετικά (από ό, τι είναι στην πραγματικότητα) την IP διευθύνση πηγής για τα πακέτα που αποστέλλονται από τους clients.
Η τεχνική αυτή είναι επίσης γνωστή ως “Universal client” και είναι πολύ χρήσιμη για χρήστες που δεν έχουν δικαιώματα αλλαγής στο λειτουργικό σύστημα του υπολογιστή τους ώστε να μπορέσουν να αλλάξουν τις ρυθμίσεις του δικτύου τους και να πάρουν έγκυρες IP διευθύνσεις.
Ενεργοποιώντας το captive portal το σύστημα αυτόματα ενεργοποιεί όλα όσα χρειάζονται για να προτείνει μια σελίδα σύνδεσης σε όλους τους πελάτες που δεν έχουν πιστοποιηθεί. Αυτό γίνεται με την προσθήκη δυναμικών κανόνων destination ΝΑΤ. Οι κανόνες αυτοί είναι αναγκαίοι για να ανακατευθυνθούν όλες τις HTTP και HTTPS αιτήσεις από μη εξουσιοδοτημένους χρήστες στην πύλη ελέγχου πρόσβασης του captive portal.
Στην πιο συνηθισμένη εγκατάσταση, το άνοιγμα κάθε σελίδας HTTP θα φέρει τη σελίδα σύνδεσης (η οποία μπορεί να προσαρμοστεί σε μεγάλο βαθμό). Οι ιστοσελίδες καλούνται με τα DNS (Domain Name Server) ονόματα τους με έγκυρη ρύθμιση παραμέτρων DNS που θα πρέπει να διαμορφωθεί στην πύλη.
H πιστοποίηση των χρηστών μπορεί να γίνει με του ακόλουθους τρόπους:
- HTTP PAP
Password Authentication Protocol, είναι ένα πρωτόκολλο ελέγχου ταυτότητας με βάση τον κωδικό πρόσβασης που χρησιμοποιείται από το πρωτόκολλο Point to Point Protocol (PPP) για την επικύρωση των χρηστών. Σχεδόν όλοι οι απομακρυσμένοι διακομιστές λειτουργικού συστήματος δικτύου υποστηρίζουν το PAP.
Το PAP θεωρείται ασθενές σύστημα ελέγχου ταυτότητας (τα αδύναμα σχήματα είναι απλά και έχουν ελαφρύτερη υπολογιστική επιβάρυνση, αλλά είναι πολύ πιο ευάλωτα στην επίθεση, ενώ τα αδύναμα σχήματα μπορεί να έχουν περιορισμένη εφαρμογή σε ορισμένα περιορισμένα περιβάλλοντα, αποφεύγονται εν γένει). Μεταξύ των ελλείψεων της PAP είναι το γεγονός ότι μεταδίδει μη κρυπτογραφημένους κωδικούς πρόσβασης στο δίκτυο. Συνεπώς, το PAP χρησιμοποιείται μόνο ως έσχατη λύση όταν ο απομακρυσμένος διακομιστής δεν υποστηρίζει ισχυρότερο πρόγραμμα όπως πχ το CHAP . HTTP CHAP Challenge-Handshake Authentication Protocol (CHAP), είναι πρωτόκολλο το οποίο πιστοποιεί ένα χρήστη ή host δίκτυο σε μια οντότητα πιστοποίησης που μπορεί να είναι πχ. ένας πάροχος πρόσβασης στο Διαδίκτυο.
Το CHAP είναι ένα σχήμα αυθεντικοποίησης που χρησιμοποιείται από servers Point to Point Protocol (PPP) για να πιστοποιήσει την ταυτότητα των απομακρυσμένων χρηστών. Το CHAP περιοδικά επιβεβαιώνει την ταυτότητα του πελάτη με τη χρήση “χειραψίας” τριών δρόμων (three-way handshake). Αυτό πραγματοποιείται κατά τη διάρκεια εγκατάστασης (establishing) της αρχικής σύνδεσης και μπορεί να επαναληφθεί οποιαδήποτε άλλη στιγμή μετέπειτα.
Η επιβεβαίωση βασίζεται σε ένα κοινό μυστικό (όπως για παράδειγμα ο κωδικός πρόσβασης του πελάτη).
Έπειτα από την ολοκλήρωση της φάσης εγκαθίδρυσης σύνδεσης (link establishment phase), ο authenticator αποστέλει ενα “challenge” μήνυμα στον αποδέκτη (αλλο άκρο) peer.
Ο peer απαντά με μία τιμή που υπολογίζεται από μία κρυπτογραφική συνάρτηση κατατεμαχισμού (hash), όπως το MD5.
Ο authenticator ελέγχει την απάντηση μέσω του δικού του υπολογισμού της αναμενόμενης τιμής hash . Αν οι τιμές ταιριάζουν, ο authenticator αναγνωρίζει την πιστοποίηση , αλλιώς τερματίζει τη σύνδεση.
Κατα τυχαία χρονικά διαστήματα ο authenticator αποστέλει νεο challenge στο peer και επαναλαμβάνει τα προηγούμενα βηματα.
Το πρωτόκολλο CHAP παρέχει προστασία ενάντια σε επιθέσεις playback attack από το peer μέσω της χρήσης ενός incrementally changing identifier και μιας μεταβλητής challenge-value. Επίσης απαιτείται και ο πελάτης και ο server να γνωρίζουν το κείμενο του μυστικού παρ’ ολο που δεν αποστέλλεται ποτέ μέσω δικτύου.
Η Microsoft έχει διμιουργήσει μια παραλλαγή του CHAP, που την ονομάζει MS-CHAP, και δεν απαιτεί κανένας από τα peer να γνωρίζει το κείμενο του μυστικού
- HTTPS
Hypertext Transfer Protocol Secure, χρησιμοποιείται για να δηλώσει μία ασφαλή δικτυακή σύνδεση http. Ένας σύνδεσμος (URL) που αρχίζει με το πρόθεμα https υποδηλώνει ότι θα χρησιμοποιηθεί κανονικά το πρωτόκολλο HTTP, αλλά η σύνδεση θα γίνει σε διαφορετική πόρτα (443 αντί 80) και τα δεδομένα θα ανταλλάσσονται κρυπτογραφημένα. Το σύστημα αυτό σχεδιάστηκε αρχικά από την εταιρία Netscape Communications Corporation για να χρησιμοποιηθεί σε sites όπου απαιτείται αυθεντικοποίηση χρηστών και κρυπτογραφημένη επικοινωνία. Σήμερα χρησιμοποιείται ευρέως στο διαδίκτυο όπου χρειάζεται αυξημένη ασφάλεια διότι διακινούνται ευαίσθητες πληροφορίες (πχ αριθμοί πιστωτικών καρτών, passwords κοκ). Το HTTPS δεν είναι ξεχωριστό πρωτόκολλο όπως μερικοί νομίζουν, αλλά αναφέρεται στον συνδυασμό του απλού HTTP πρωτοκόλλου και των δυνατοτήτων κρυπτογράφησης που παρέχει το πρωτόκολλο Secure Sockets Layer (SSL). Η κρυπτογράφηση που χρησιμοποιείται διασφαλίζει ότι τα κρυπτογραφημένα δεδομένα δεν θα μπορούν να υποκλαπούν από άλλους κακόβουλους χρήστες ή από επιθέσεις man-in-the-middle. HTTP cookie Τα cookies είναι μικρά αρχεία κειμένου τα οποία αποθηκεύονται στον φυλλομετρητή μας κατά την πλοήγησή μας στο διαδίκτυο. Σκοπός τους είναι να ειδοποιούν τον ιστότοπο που επισκέπτεται ο χρήστης, για την προηγούμενη δραστηριότητά του. Συνήθως περιγράφουν στοιχεία μας όπως όνομα χρήστη (user name) και συνθηματικό πρόσβασης (password) με σκοπό κατά την επίσκεψή μας στον ίδιο ιστότοπο αργότερα, να μας “θυμάται” και να μην χρειάζεται να κάνουμε login.
Τα cookies μπορεί να προέρχονται από τον ιστότοπο τον οποίο έχουμε επισκεφθεί ή από κάποιον άλλον (third-party cookies), για παράδειγμα μέσω διαφημίσεων. Συνήθως είναι άκακα, έχει όμως αποδειχθεί ότι τα third-party cookies συλλέγουν πληροφορίες για τη συμπεριφορά του κάθε χρήστη στο διαδίκτυο, κάτι που εγείρει σημαντικά ερωτήματα για την ιδιωτικότητα. Αυτό ώθησε την Ε.Ε. και τις Η.Π.Α. να εκδώσουν οδηγίες για τη χρήση τους και την ενημέρωση του χρήστη, για κάθε ιστότοπο που τα χρησιμοποιεί. Υπάρχουν προγράμματα που καθαρίζουν τα κακόβουλα cookies, ενώ αν ο χρήστης επιθυμεί να τα διαγράψει δίνεται αυτή η δυνατότητα μέσα από το φυλλομετρητή ιστοσελίδων. MAC address Μία address Media Access Control – Διεύθυνση ελέγχου προσπέλασης στο μέσο, που καλείται επίσης και φυσική διεύθυνση ή διεύθυνση υλικού, είναι μία μοναδική ταυτότητα που αποδίδεται στις διασυνδέσεις δικτύου (network interfaces) για την επικοινωνία στο φυσικό τμήμα του δικτύου. Οι διευθύνσεις MAC χρησιμοποιούνται σαν διευθύνσεις δικτύου στις περισσότερες IEEE 802 τεχνολογίες δικτύου, συμπεριλαμβανομένων του Ethernet και του WIFI. Λογικά, οι διευθύνσεις MAC χρησιμοποιούνται στο υποεπίπεδο ελέγχου πρόσβασης στο μέσο (media access control) του μοντέλου αναφοράς OSI.
Οι διευθύνσεις MAC συνήθως αποδίδονται από τον κατασκευαστή του ελεγκτή διασύνδεσης στο δίκτυο (Network Interface Controller, NIC) και αποθηκεύονται στο hardware της διασύνδεσης (στη μνήμη ROM). Ένας κόμβος δικτύου μπορεί να έχει πολλές NICs και κάθε NIC πρέπει να έχει μία μοναδική MAC. Οι διευθύνσεις MAC σχηματίζονται σύμφωνα με τους κανόνες που διαχειρίζεται το Ινστιτούτο Ηλεκτρολόγων και Ηλεκτρονικών Μηχανικών ( Institute of Electrical and Electronics Engineers (IEEE). Οι διευθύνσεις MAC χρησιμοποιούνται για την φυσική διευθυνσιοδότηση σε ένα τοπικό δίκτυο, όπου η δρομολόγηση με βάση την διεύθυνση IP θα “ανάγκαζε” τους υπολογιστές να κάνουν επεξεργασία μέχρι και το επίπεδο δικτύου (στο οποίο χρησιμοποιούνται κατά κόρον οι διευθύνσεις IP) κάτι που σημαίνει παραπάνω επεξεργασία που εν τέλει είναι περιττή.
- Trial
Οι χρήστες μπορούν να έχουν τη δυνατότητα να χρησιμοποιούν την υπηρεσία δωρεάν για κάποιο χρονικό διάστημα, και να απαιτείται πιστοποίηση μόνο μετά από αυτή την περίοδο είναι πάνω.
Μετά την πιστοποίηση (authentication) οι χρήστες εξουσιοδοτούνται (authorization) για την χρήση συγκεκριμένων πόρων μέσα από μια τοπική βάση δεδομένων η μέσω ενός RADIUS Server ο οποίος διαθέτει την ίδια διαμόρφωση με την τοπική βάση. Το σύστημα υποστηρίζει Accounting εσωτερικά, τα στοιχεία δε για κάθε χρήστη μπορεί να σταλούν σε ένα διακομιστή RADIUS.
Για τους χρήστες, η διαδικασία σύνδεσης θα είναι ιδιαίτερα απλή. Ανοίγοντας στην συσκευή τους την αναζήτηση των WiFi δικτύων, επιλέγουν το ασύρματο δίκτυο με το SSID της επιλογής τους (λ.χ. hotel_guest_WiFi), και συνδέονται στην σελίδα του captive portal. H πρόσβαση γίνεται βάση της πολιτικής του Ξενοδοχείου και μπορεί να είναι εντελώς ελεύθερη η μετά από την εγγραφή (registration) του χρήστη. Οι εγγραφές (registrations) μπορούν μπορούν να γίνονται απ’ ευθείας από τον πελάτη στο portal (self-registration) η μέσω κατάλληλων πιστοποιητικών (username – password) που θα εκδίδονται από το ξενοδοχείο μέσω κατάλληλου θερμικού εκτυπωτή. Η έκδοση των πιστοποιητικών επίσης μπορεί να γίνεται απ’ ευθείας με την ζήτηση από τον πελάτη, η τα πιστοποιητικά να προ- εκδίδονται βάση κάποιας λίστας 24 εξουσιοδοτημένων πελατών. Κάθε χρήστης θα έχει το δικό του προσωπικό πιστοποιητικό το οποίο θα αντιστοιχεί σε συγκεκριμένη συσκευή.
Η διάρκεια της πρόσβασης μπορεί να είναι απεριόριστη ή για συγκεκριμένο διάστημα, όπως η διάρκεια της παραμονής στο ξενοδοχείο μετά την οποία θα ανακαλείται αυτόματα.
Κατά την αρχική πρόσβαση ο πελάτης μπορεί να υποχρεούται να αποδεχθεί ένα disclaimer, δηλώνοντας ότι η υπηρεσία αυτή παρέχεται ως έχει και ότι οι χρήστες αποδέχονται ότι η ασφάλεια πρόσβασης στο διαδίκτυο γίνεται με δική τους ευθύνη και ότι συμφωνεί με τους όρους αυτούς.
