Captive Portal

Ein Captive Portal leitet einen HTTP-Client in einem Netzwerk auf eine spezielle Webseite um, bevor dieser sich normal in das Internet verbinden kann. So wird üblicherweise eine Authentifizierung oder die Annahme der Nutzungsbedingungen erzwungen bzw. die Abrechnung der Nutzung ermöglicht.^[1]

[Bearbeiten] Hintergrund

Umgesetzt wird die Technik durch das Abfangen aller übermittelten Pakete unabhängig von IP-Adresse oder Port, bis der Benutzer einen Webbrowser öffnet und eine beliebige Webseite aufruft. Dann wird die Portalseite angezeigt, bei der eine Authentifizierung, Angabe von Zahlungsmethoden oder die Nutzungsbedingungen angezeigt werden. Captive-Portale werden meist bei Wi-Fi-Hot-Spots genutzt, um den Zugriff zu kontrollieren und abzurechnen.

Die Portalseite selber muss entweder beim Gateway gespeichert oder der Zugang zum Webserver von dem die Seite bezogen wird, muss freigeschaltet (Walled Garden) sein, um die Umlenkungen zu umgehen. Es ist auch möglich, die Umlenkungen des Portals für definierte MAC-Adressen zu deaktivieren, um so bestimmten Rechnern freien Zugang zu gewähren.

[Bearbeiten] Implementierung

Um ein Captive-Portal zu realisieren gibt es mehrere Möglichkeiten. Diese können sowohl auf Software- als auch auf Hardwareebene umgesetzt werden.

[Bearbeiten] Umleitung via HTTP

Wenn ein nicht-autorisierter Client eine Webseite anfordert, wird das DNS abgefragt und die IP wie üblich aufgelöst. Der Browser schickt dann einen HTTP-Request an diese IP-Adresse. Dieser Request wird durch eine Firewall abgefangen und an den Umleitungs-Server geschickt. Dieser beantwortet den Request mit einer normalen HTTP-Response, welche den HTTP-Statuscode 302 enthält, um so den Client auf die Captive-Portalseite umzuleiten. Für den Client ist dieser Vorgang transparent, er muss davon ausgehen, dass die ursprünglich angefragte Webseite diesen Redirect gesendet hat.

[Bearbeiten] IP-Umleitung

Der Datenstrom kann auch durch IP-Umleitung auf der OSI-Schicht 3 realisiert werden. Das ist aber nicht zu empfehlen, da der dargestellte Inhalt dann nicht mehr der URL entspricht.

[Bearbeiten] Umleitung via DNS

Wenn ein nicht-autorisierter Client eine Webseite anfordert, wird das DNS abgefragt. Die Firewall stellt sicher, dass nur ein DNS-Server erreichbar ist, der via DHCP vom Hot-Spot-Betreiber vorgegeben wird (oder alternativ alle DNS Anfragen auf einen solchen umleiten). Der DNS-Server wird auf jede Anfrage die IP-Adresse der Portalseite als Ergebnis zurückmelden.

[Bearbeiten] Beschränkungen

Die meisten Implementierungen erfordern lediglich das Passieren einer SSL verschlüsselten Login-Seite. Nach dem Authentifizierungsprozess wird die genutzte IP- und MAC-Adresse für das Internet freigeschaltet. Dieses System kann mit einem simplen Packet Sniffer umgangen werden. Sobald IP- und MAC-Adresse eines freigeschalteten Rechners gefunden wurden, kann durch Fälschung jedem beliebigen Rechner der Zugang gewährt werden, in dem die entsprechenden Werte dem Gateway vorgetäuscht werden. Aus diesem Grund nutzen einige Portallösungen weiterführende Mechanismen, um Umgehungstechniken zu verhindern.

Plattformen, die zwar Wi-Fi und TCP/IP Stack, aber keinen HTTPS-fähigen Browser haben, können Captive-Portale nicht nutzen. Beispiel für solche Plattformen ist die Konsole Nintendo DS bei Nutzung von Nintendo Wi-Fi Connection. Eine Authentifizierung ohne Browser ist durch WISPr möglich, ein XML-basierendes Protokoll oder durch MAC-basierende Authentifikation.

[Bearbeiten] Siehe auch

• Proxy

[Bearbeiten] Einzelnachweise

1. ↑ CaptivePortal

[Bearbeiten] Weblinks

[Bearbeiten] Softwarelösungen

• WiFi Billing Software - WiFiGator: Allows complete inhouse control of the system. It has a wide variety of features for all network sizes.
• PepperSpot - OpenSource IPv4 / IPv6 captive portal (fork of ChilliSpot)
• Hotspot Studio - Commercial Windows based captive portal for South Africa only
• Air Marshal - software based for Linux platform (commercial)
• Captive::Portal - OpenSource, basiert auf Perl und Linux
• ChilliSpot - open source Linux daemon [abandoned]
• CoovaChilli - open source (GPL): aktiv weiterentwickelter Nachfolger von ChilliSpot
• Antamedia HotSpot - commercial Windows based captive portal with hotspot billing module
• DNS Redirector - Free or commercially licensed Windows based captive portal
• FirstSpot - commercial Windows based captive portal with numerous hotspot management features
• m0n0wall - FreeBSD based firewall distribution
• pfSense - FreeBSD based firewall software derived from m0n0wall
• SweetSpot - Linux user-space, layer-3 daemon (open source)
• WiFiDog Captive Portal Suite - small C based kernel solution (embeddable)
• Wilmagate - C++ based and is executable both in Linux and Windows/Cygwin environments

[Bearbeiten] Hardwarelösungen

• PayBridge is a carrier-class captive portal appliance developed by Sinaptica (acquired in 2005 by Antica). This platform is used for 3G/Wimax prepaid internet.
• HotSpotPA - Inexpensive captive portal system with PayPal and credit card billing.
• BlueSecure WLAN Controllers WLAN Controller
• nethosting cApO - Firewall and Captiveportal embedded, pfSense-based, prepaid internet, Ticket system.
• Zyxel x4100 Serie G-4100 v2/N4100/VSG-1200