พอร์ทัลเชลย

จากวิกิพีเดีย สารานุกรมเสรี
ข้ามไปที่การนำทาง ข้ามไปที่การค้นหา
ตัวอย่างของเว็บพอร์ทัลแบบ Captive ที่ใช้ในการเข้าสู่ระบบเครือข่ายที่ถูกจำกัด

พอร์ทัล แบบCaptiveคือหน้าเว็บที่เข้าถึงได้ด้วยเว็บเบราว์เซอร์ที่แสดงต่อผู้ใช้ที่เชื่อมต่อใหม่ของWi-Fiหรือเครือข่ายแบบใช้สาย ก่อนที่พวกเขาจะได้รับการเข้าถึงทรัพยากรเครือข่ายที่กว้างขึ้น Captive Portal มักใช้เพื่อนำเสนอหน้า Landing หรือหน้าเข้าสู่ระบบ ซึ่งอาจต้องมีการตรวจสอบสิทธิ์การชำระเงินการยอมรับข้อตกลงสิทธิ์ใช้งานสำหรับผู้ใช้ปลายทางนโยบายการใช้งานที่ยอมรับได้การเสร็จสิ้นการสำรวจ หรือข้อมูลรับรองที่ถูกต้องอื่นๆ ที่ทั้งโฮสต์และผู้ใช้ตกลงที่จะปฏิบัติตาม พอร์ทัลแบบ Captive ใช้สำหรับบริการบรอดแบนด์มือถือและทางเดินเท้าที่หลากหลาย รวมถึงเคเบิลและ Wi-Fi ที่จำหน่ายในเชิงพาณิชย์และฮอตสปอตภายในบ้าน พอร์ทัลแบบ Captive ยังสามารถใช้เพื่อให้เข้าถึงเครือข่ายแบบมีสายขององค์กรหรือที่อยู่อาศัยได้ เช่น บ้านอพาร์ตเมนต์ ห้องพักในโรงแรม และศูนย์ธุรกิจ

พอร์ทัลแบบ Captive ถูกนำเสนอต่อไคลเอ็นต์และจัดเก็บไว้ที่เกตเวย์หรือบนเว็บเซิร์ฟเวอร์ที่โฮสต์เว็บเพจ เว็บไซต์หรือ พอร์ต TCP สามารถขึ้นบัญชีขาวได้ ทั้งนี้ขึ้นอยู่กับชุดคุณลักษณะของเกตเวย์เพื่อให้ผู้ใช้ไม่ต้องโต้ตอบกับแคปทีฟพอร์ทัลเพื่อใช้งาน นอกจากนี้ยังสามารถใช้ ที่อยู่ MAC ของไคลเอ็นต์ที่แนบเพื่อข้ามกระบวนการเข้าสู่ระบบสำหรับอุปกรณ์ที่ระบุได้

ใช้

แคปทีฟพอร์ทัลถูกใช้ในเครือข่ายไร้สายแบบเปิดเป็นหลัก โดยที่ผู้ใช้จะได้รับข้อความต้อนรับเพื่อแจ้งเงื่อนไขการเข้าถึง (พอร์ตที่อนุญาต ความรับผิด ฯลฯ) ผู้ดูแลระบบมักจะทำเช่นนี้เพื่อให้ผู้ใช้ของตนเองรับผิดชอบต่อการกระทำของตนและเพื่อหลีกเลี่ยงความรับผิดชอบทางกฎหมาย การมอบหมายความรับผิดชอบนี้ถูกต้องตามกฎหมายหรือไม่นั้นเป็นเรื่องของการอภิปราย [1] [2]

บ่อยครั้งมีการใช้แคปทีฟพอร์ทัลเพื่อวัตถุประสงค์ทางการตลาดและการสื่อสารเชิงพาณิชย์ การเข้าถึงอินเทอร์เน็ตผ่าน Wi-Fi แบบเปิดเป็นสิ่งต้องห้ามจนกว่าผู้ใช้จะแลกเปลี่ยนข้อมูลส่วนบุคคลโดยกรอกแบบฟอร์มการลงทะเบียนบนเว็บในเว็บเบราว์เซอร์ แบบฟอร์มบนเว็บจะเปิดขึ้นโดยอัตโนมัติในเว็บเบราว์เซอร์ หรือปรากฏขึ้นเมื่อผู้ใช้เปิดเว็บเบราว์เซอร์และพยายามเข้าชมหน้าเว็บใดๆ กล่าวอีกนัยหนึ่ง ผู้ใช้คือ "เชลย" - ไม่สามารถเข้าถึงอินเทอร์เน็ตได้อย่างอิสระจนกว่าผู้ใช้จะได้รับอนุญาตให้เข้าถึงอินเทอร์เน็ตและได้ "เสร็จสิ้น" พอร์ทัลเชลย ซึ่งช่วยให้ผู้ให้บริการนี้แสดงหรือส่งโฆษณาไปยังผู้ใช้ที่เชื่อมต่อกับจุดเชื่อมต่อ Wi-Fi บริการประเภทนี้บางครั้งเรียกว่า "social Wi-Fi" เนื่องจากอาจขอโซเชียลเน็ตเวิร์กบัญชีเพื่อเข้าสู่ระบบ (เช่นFacebook ) ในช่วงไม่กี่ปีที่ผ่านมาแคปทีฟพอร์ทัล Wi-Fi ทางสังคมดังกล่าวได้กลายเป็นเรื่องธรรมดากับบริษัทต่างๆ ที่นำเสนอการตลาดที่เน้นเรื่องการรวบรวมข้อมูล Wi-Fi

ผู้ใช้สามารถค้นหาเนื้อหาได้หลายประเภทในพอร์ทัลแบบ Captive และบ่อยครั้งที่จะอนุญาตให้เข้าถึงอินเทอร์เน็ตเพื่อแลกกับการดูเนื้อหาหรือดำเนินการบางอย่าง (มักจะให้ข้อมูลส่วนบุคคลเพื่อเปิดใช้งานการติดต่อทางการค้า) ดังนั้น การใช้การตลาดของพอร์ทัลแบบ Captive จึงเป็นเครื่องมือสำหรับการสร้างลูกค้าเป้าหมาย (ผู้ติดต่อทางธุรกิจหรือผู้มีโอกาสเป็นลูกค้า) [3]

การนำไปใช้

มีมากกว่าหนึ่งวิธีในการปรับใช้พอร์ทัลแบบ Captive

การเปลี่ยนเส้นทาง HTTP

วิธีการทั่วไปคือกำหนดเส้นทางการรับส่งข้อมูลของWorld Wide Web ทั้งหมด ไปยังเว็บเซิร์ฟเวอร์ ซึ่งส่งคืนการเปลี่ยนเส้นทาง HTTP ไปยังพอร์ทัลแบบ Captive [4]เมื่ออุปกรณ์ที่ทันสมัยและเปิดใช้งานอินเทอร์เน็ตเชื่อมต่อกับเครือข่ายในครั้งแรก อุปกรณ์จะส่งคำขอ HTTP ไปยัง URL การตรวจจับที่กำหนดไว้ล่วงหน้าโดยผู้ขายและคาดหวังรหัสสถานะ HTTP 200 OK หรือ 204 ไม่มีเนื้อหา หากอุปกรณ์ได้รับรหัสสถานะ HTTP 200 จะถือว่ามีการเข้าถึงอินเทอร์เน็ตไม่จำกัด พร้อมท์แคปทีฟพอร์ทัลจะแสดงขึ้นเมื่อคุณสามารถจัดการข้อความ HTTP แรกนี้เพื่อส่งคืนรหัสสถานะ HTTP 302 (เปลี่ยนเส้นทาง) ไปยังแคปทีฟพอร์ทัลที่คุณเลือก [5] [6] RFC  6585ระบุรหัส 511 Network Authentication Required

ICMP เปลี่ยนเส้นทาง

การรับส่งข้อมูลไคลเอ็นต์สามารถเปลี่ยนเส้นทางได้โดยใช้การเปลี่ยนเส้นทาง ICMPในระดับเลเยอร์ 3

เปลี่ยนเส้นทางโดย DNS

เมื่อไคลเอนต์ร้องขอทรัพยากรเวิลด์ไวด์เว็บDNSจะถูกสอบถามโดยเบราว์เซอร์ ในแคปทีฟพอร์ทัลไฟร์วอลล์จะทำให้แน่ใจว่าเฉพาะเซิร์ฟเวอร์ DNS ที่ DHCP ของเครือข่ายเท่านั้นที่สามารถใช้ได้โดยไคลเอ็นต์ที่ไม่ผ่านการตรวจสอบสิทธิ์ (หรือจะส่งต่อคำขอ DNS ทั้งหมดโดยไคลเอ็นต์ที่ไม่ผ่านการตรวจสอบสิทธิ์ไปยังเซิร์ฟเวอร์ DNS นั้น) เซิร์ฟเวอร์ DNS นี้จะส่งคืนที่อยู่ IP ของหน้าพอร์ทัลแบบ Captive อันเป็นผลมาจากการค้นหา DNS ทั้งหมด

เพื่อดำเนินการเปลี่ยนเส้นทางโดย DNS พอร์ทัลแบบ Captive จะใช้การจี้ DNSเพื่อดำเนินการที่คล้ายกับการ โจมตี แบบคนกลาง ในการจำกัดผลกระทบของพิษ DNS โดยทั่วไปจะใช้ TTLเป็น 0

ข้อจำกัด

ความปลอดภัย

เป็นที่ทราบกันว่าแคปทีฟพอร์ทัลมีชุดกฎไฟร์วอลล์ที่ไม่สมบูรณ์ [7]

การขุดอุโมงค์ DNS

ในการปรับใช้บางอย่าง ชุดกฎจะกำหนดเส้นทางคำขอ DNS จากไคลเอนต์ไปยังอินเทอร์เน็ต หรือเซิร์ฟเวอร์ DNS ที่ให้มาจะตอบสนองคำขอ DNS โดยพลการจากไคลเอนต์ สิ่งนี้ทำให้ไคลเอนต์สามารถเลี่ยงผ่านแคปทีฟพอร์ทัลและเข้าถึงอินเทอร์เน็ตแบบเปิดโดยทันเนลทราฟฟิกตามอำเภอใจภายในแพ็กเก็ต DNS

ส่งอัตโนมัติ

แคปทีฟพอร์ทัลบางตัวอาจได้รับการกำหนดค่าให้อนุญาตให้ตัวแทนผู้ใช้ที่ติดตั้งอุปกรณ์อย่างเหมาะสมเพื่อตรวจจับพอร์ทัลที่ถูกคุมขังและรับรองความถูกต้องโดยอัตโนมัติ ตัวแทนผู้ใช้และแอปพลิเคชันเสริม เช่น Captive Portal Assistant ของ Apple ในบางครั้งสามารถข้ามการแสดงเนื้อหาพอร์ทัลแบบ Captive อย่างโปร่งใสโดยขัดต่อความต้องการของผู้ให้บริการบริการตราบเท่าที่พวกเขาสามารถเข้าถึงข้อมูลประจำตัวที่ถูกต้อง หรือพวกเขาอาจพยายามตรวจสอบความถูกต้องด้วยข้อมูลประจำตัวที่ไม่ถูกต้องหรือล้าสมัย ส่งผลให้เกิดผลกระทบโดยไม่ได้ตั้งใจ เช่น การล็อคบัญชีโดยไม่ได้ตั้งใจ

การปลอมแปลง MAC

พอร์ทัลแบบ Captive ที่ใช้ที่อยู่ MAC เพื่อติดตามอุปกรณ์ที่เชื่อมต่อในบางครั้งสามารถหลีกเลี่ยงได้โดยใช้ที่อยู่ MAC ของอุปกรณ์ที่ตรวจสอบสิทธิ์ก่อนหน้านี้อีกครั้ง เมื่ออุปกรณ์ได้รับการตรวจสอบสิทธิ์ไปยังแคปทีฟพอร์ทัลโดยใช้ข้อมูลประจำตัวที่ถูกต้อง เกตเวย์จะเพิ่มที่อยู่ MAC ของอุปกรณ์นั้นใน "รายการที่อนุญาต" เนื่องจากที่อยู่ MAC สามารถปลอมแปลงได้ง่าย อุปกรณ์อื่นๆ สามารถปลอมแปลงเป็นอุปกรณ์ตรวจสอบสิทธิ์และเลี่ยงผ่านพอร์ทัลแบบ Captive เมื่อพบว่าที่อยู่ IP และ MAC ของคอมพิวเตอร์ที่เชื่อมต่ออื่นๆ ได้รับการตรวจสอบแล้ว เครื่องใดๆ ก็สามารถปลอมที่อยู่ MAC และที่อยู่อินเทอร์เน็ตโปรโตคอล (IP)ของเป้าหมายที่ตรวจสอบสิทธิ์แล้ว และอนุญาตให้มีเส้นทางผ่านเกตเวย์ได้ ด้วยเหตุผลนี้ โซลูชันแคปทีฟพอร์ทัลบางตัวจึงสร้างกลไกการพิสูจน์ตัวตนแบบขยายเพื่อจำกัดความเสี่ยงในการแย่งชิง

ต้องการเว็บเบราว์เซอร์

พอร์ทัลแบบ Captive มักต้องใช้เว็บเบราว์เซอร์ นี้มักจะเป็นแอปพลิเคชัน แรก ที่ผู้ใช้เริ่มต้นหลังจากเชื่อมต่อกับอินเทอร์เน็ต แต่ผู้ใช้ที่ใช้อีเมลไคลเอ็นต์หรือแอปพลิเคชันอื่น ๆ ที่อาศัยอินเทอร์เน็ตเป็นครั้งแรกอาจพบว่าการเชื่อมต่อไม่ทำงานโดยไม่มีคำอธิบายและจะต้องเปิดเว็บเบราว์เซอร์เพื่อ ตรวจสอบความถูกต้อง. ซึ่งอาจเป็นปัญหาสำหรับผู้ใช้ที่ไม่ได้ติดตั้งเว็บเบราว์เซอร์บนระบบปฏิบัติการ ของ ตน อย่างไรก็ตาม บางครั้งเป็นไปได้ที่จะใช้อีเมลและสิ่งอำนวยความสะดวกอื่น ๆ ที่ไม่พึ่งพา DNS (เช่น หากแอปพลิเคชันระบุ IP การเชื่อมต่อมากกว่าชื่อโฮสต์) ปัญหาที่คล้ายกันอาจเกิดขึ้นได้หากไคลเอ็นต์ใช้AJAXหรือเข้าร่วมเครือข่ายโดยโหลดหน้าที่โหลดลงในเว็บเบราว์เซอร์แล้ว ทำให้เกิดลักษณะการทำงานที่ไม่ได้กำหนด (เช่น ข้อความเสียหายปรากฏขึ้น) เมื่อหน้าดังกล่าวพยายามส่งคำขอ HTTP ไปยังเซิร์ฟเวอร์ต้นทาง

ในทำนองเดียวกัน เนื่องจากไม่สามารถเปลี่ยนเส้นทางการเชื่อมต่อ HTTPS ได้ (อย่างน้อยก็ไม่ต้องมีคำเตือนด้านความปลอดภัย) เว็บเบราว์เซอร์ที่พยายามเข้าถึงเว็บไซต์ที่ปลอดภัยก่อนได้รับอนุญาตจากพอร์ทัลแบบ Captive เท่านั้นจึงจะเห็นว่าความพยายามเหล่านั้นล้มเหลวโดยไม่มีคำอธิบาย (อาการปกติคือ เว็บไซต์ดูเหมือนจะไม่ทำงานหรือไม่สามารถเข้าถึงได้)

แพลตฟอร์มที่มีWi-Fiและสแต็ก TCP/IPแต่ไม่มีเว็บเบราว์เซอร์ที่รองรับHTTPSจะไม่สามารถใช้แคปทีฟพอร์ทัลจำนวนมากได้ แพลตฟอร์มดังกล่าวรวมถึงNintendo DSที่รันเกมที่ใช้Nintendo Wi-Fi Connection การตรวจสอบสิทธิ์แบบไม่ใช้เบราว์เซอร์สามารถทำได้โดยใช้WISPrซึ่งเป็น โปรโตคอลการตรวจสอบสิทธิ์ แบบ XMLสำหรับวัตถุประสงค์นี้ หรือการตรวจสอบสิทธิ์แบบใช้ MAC หรือการตรวจสอบสิทธิ์ตามโปรโตคอลอื่นๆ

นอกจากนี้ยังเป็นไปได้ที่ผู้จำหน่ายแพลตฟอร์มจะทำสัญญาบริการกับผู้ให้บริการฮอตสปอตแคปทีฟพอร์ทัลจำนวนมาก เพื่ออนุญาตให้เข้าถึงเซิร์ฟเวอร์ของผู้จำหน่ายแพลตฟอร์มได้ฟรีหรือลดราคาผ่าน สวนที่ มีกำแพงล้อมรอบ ของฮอตสปอ ต ตัวอย่างเช่น ในปี 2548 Nintendo และWayportได้ร่วมมือกันให้บริการ Wi-Fi ฟรีแก่ผู้ใช้ Nintendo DS ในร้านอาหารของ McDonald [8]นอกจากนี้ พอร์ต VoIP SIPอาจได้รับอนุญาตให้ข้ามเกตเวย์เพื่อให้โทรศัพท์ทำงานได้

ดูเพิ่มเติม

อ้างอิง

  1. ^ "ฮอตสปอต Wi-Fi และข้อกังวลเกี่ยวกับความรับผิด" . ไมเอลโล บรุนโก & ไมเอลโล . 9 เมษายน 2550 . สืบค้นเมื่อ2019-03-06 .
  2. ^ "ตำนานและข้อเท็จจริง: การเรียกใช้ Open Wireless และความรับผิดต่อสิ่งที่ผู้อื่นทำ " เปิดการเคลื่อนไหวแบบไร้สาย 7 สิงหาคม 2555 . สืบค้นเมื่อ2019-03-06 .
  3. ^ ป. "สภาผู้แทนราษฎร: เหตุใดจึงใช้ประโยชน์จากพอร์ทัลเชลยเพื่อเปิดเผยลูกค้าที่ซ่อนอยู่ " ฟอร์บส์. สืบค้นเมื่อ2022-03-18 .
  4. ^ วิปเลอร์, แอนดรูว์ เจ. (7 เมษายน 2017). " ภาพรวมพอร์ทัลเชลย" Sketchpad ของAndrew Wippler สืบค้นเมื่อ2019-03-06 .
  5. ^ วิปเลอร์, แอนดรูว์ เจ. (11 มีนาคม 2559). "พอร์ทัล WiFi Captive " Sketchpad ของAndrew Wippler สืบค้นเมื่อ2019-03-06 .
  6. ^ "การตรวจหาพอร์ทัลเครือข่าย" . โครเมียม. สืบค้นเมื่อ2019-03-06 .
  7. ^ Laliberte, มาร์ค (26 สิงหาคม 2016). "บทเรียนจาก DEFCON 2016 – เลี่ยงผ่าน Captive Portals" . สืบค้นเมื่อ2019-03-06 .
  8. ^ "Nintendo และ Wayport ผนึกกำลังเพื่อมอบการเข้าถึง Wi-Fi ในสหรัฐอเมริกาฟรีให้กับผู้ใช้ Nintendo DS " 2005-10-18 . สืบค้นเมื่อ2019-03-06 .

ลิงค์ภายนอก