Captive portal
A captive portal rendszerek működésének lényege, hogy az adatforgalmat, azon belül a DNS lekérdezéseket figyeli (majdnem mint egy tűzfal, illetve létezik tűzfalba integrált megoldása is).
Ha olyan ügyféltől érkezik DNS lekérdezés, ami nincs még beazonosítva, nem szerepel a saját adatbázisában, akkor erre a lekérdezésre egy előre beállított saját weboldalt ad válaszul.
A felhasználó ezután ezen a weblapon adhatja meg a hitelesítési adatait, amit a captive portal eltárol a beállított paraméterek szerint. Ha a hitelesítés nem járt sikerrel, a rendszer nem engedi tovább a felhasználót.
A captive portal előnye, a hitelesítés nem a fizikai rétegben történik, hanem az alkalmazásiban, webes felületen, így nem igényel beállítást a felhasználók eszközein.
A webes felület egyben hátrány is, mert ha a felhasználó nem böngészőt, hanem egyéb programot indít (például csevegő program vagy levelezés) akkor a tűzfal beállításoktól függően vagy nem tudja használni a hálózatot vagy nem ütközik akadályba a tevékenysége.
Az utóbbi ritkább, de tavaly Horvátországban találkoztam vele. Szerencsére ez a megoldás ma már annyira elterjedt, hogy például a Windows 7 és az Apple termékei tartalmaznak egy rutint, ami ezt a hitelesítést ellenőrzi. A Windows 7 értesítés-buborékkal, az IOS a böngésző megnyitásával reagál, ha ilyen rendszert talál.
Több operációs rendszerre írtak már a fejlesztők ilyen rendszert és létezik ingyenes, nyílt forráskódú változata is. Emellett szinte az összes megoldás támogatja a RADIUS szerver alapú hitelesítést, illetve vannak saját adatbázist is kezelő megoldások.
Ez a megoldás vagy egy jól beállítható tűzfalat, vagy valamilyen integrált megoldást igényel, különben a DNS lekérdezések titkosításával (DNS tuneling) az egész rendszer megkerülhető. Viszont ehhez szükség van egy külső számítógépre, ahol a titkosított lekérdezés le lesz kezelve. Ezt néhány nyaraló geek-en kívül nemigen fogják tudni beállítani, használni.
Ingyenes megoldásai is vannak ennek a rendszernek, általában egy (esetleg több) Linux alapú szervert igényel, ez nem túl jellemző otthon, de elképzelhető hogy valakinek arra van ingere, hogy átalakítsa szerverét. Előre szólok, hogy két hálózati kártya kell hozzá.
Viszont van két olyan FreeBSD alapú tűzfal rendszer, ami elvan egy jobb routeren is, és bónuszként tudja ezt a funkciót akár saját adatbázissal. Ezek a m0n0Wall és pfSense.
Az említett főiskolán is ilyen megoldás lett kiépítve egyszerű WPA2 titkosítással.
Tapasztalataim (és a visszajelzések) szerint elég könnyű a használata, nem kell hozzá fél napos oktatás, hogy bárki megtanulja használni, és vicces üzenetek is kirakhatók a bejelentkező képernyőre, hátha leszokik a szomszéd a lopásról.
Természetesen nem csak ez a két védelmi módszer létezik, vannak még megoldási lehetőségek, mint az LDAP vagy a teljes vezeték nélküli hálózat felszámolása, de a bemutatott megoldások talán a legkevesebb költséggel, otthon is megvalósíthatók közül valók.
Köszönöm, hogy elolvastad első írásom!