Captive Portal

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Ein Captive Portal leitet einen HTTP-Client in einem Netzwerk auf eine spezielle Webseite um, bevor dieser sich normal in das Internet verbinden kann. So wird üblicherweise eine Authentifizierung oder die Annahme der Nutzungsbedingungen erzwungen bzw. die Abrechnung der Nutzung ermöglicht.[1]

Hintergrund[Bearbeiten]

Umgesetzt wird die Technik durch das Abfangen aller übermittelten Pakete unabhängig von IP-Adresse oder Port, bis der Benutzer einen Webbrowser öffnet und eine beliebige Webseite aufruft. Dann wird die Portalseite angezeigt, bei der eine Authentifizierung, Angabe von Zahlungsmethoden oder die Nutzungsbedingungen angezeigt werden. Captive-Portale werden meist bei Wi-Fi-Hot-Spots genutzt, um den Zugriff zu kontrollieren und abzurechnen.

Die Portalseite selber muss entweder beim Gateway gespeichert oder der Zugang zum Webserver von dem die Seite bezogen wird, muss freigeschaltet (Walled Garden) sein, um die Umlenkungen zu umgehen. Es ist auch möglich, die Umlenkungen des Portals für definierte MAC-Adressen zu deaktivieren, um so bestimmten Rechnern freien Zugang zu gewähren.

Implementierung[Bearbeiten]

Um ein Captive-Portal zu realisieren gibt es mehrere Möglichkeiten. Diese können sowohl auf Software- als auch auf Hardwareebene umgesetzt werden.

Umleitung via HTTP[Bearbeiten]

Beispielkonfiguration anhand der frei verfügbaren Software mOnOwall

Wenn ein nicht-autorisierter Client eine Webseite anfordert, wird das DNS abgefragt und die IP wie üblich aufgelöst. Der Browser schickt dann einen HTTP-Request an diese IP-Adresse. Dieser Request wird durch eine Firewall abgefangen und an den Umleitungs-Server geschickt. Dieser beantwortet den Request mit einer normalen HTTP-Response, welche den HTTP-Statuscode 302 enthält, um so den Client auf die Captive-Portalseite umzuleiten. Für den Client ist dieser Vorgang transparent, er muss davon ausgehen, dass die ursprünglich angefragte Webseite diesen Redirect gesendet hat.

IP-Umleitung[Bearbeiten]

Der Datenstrom kann auch durch IP-Umleitung auf der OSI-Schicht 3 realisiert werden. Das ist aber nicht zu empfehlen, da der dargestellte Inhalt dann nicht mehr der URL entspricht.

Umleitung via DNS[Bearbeiten]

Wenn ein nicht-autorisierter Client eine Webseite anfordert, wird das DNS abgefragt. Die Firewall stellt sicher, dass nur ein DNS-Server erreichbar ist, der via DHCP vom Hot-Spot-Betreiber vorgegeben wird (oder alternativ alle DNS Anfragen auf einen solchen umleiten). Der DNS-Server wird auf jede Anfrage die IP-Adresse der Portalseite als Ergebnis zurückmelden.

Einschränkungen[Bearbeiten]

Auf der Filterung nach IP- oder MAC-Adresse basierende Implementierungen können leicht umgangen werden, indem das Netzwerk mit einem Packet Sniffer belauscht und die dadurch ermittelten bereits freigeschalteten IP- und/oder MAC-Adressen anderer Teilnehmer nachfolgend mit dem Rechner des Angreifers imitiert werden. Die dazu nötigen technischen Kenntnisse sind nicht allzu hoch. Dennoch können Captive-Portale dieser Machart eine Berechtigung besitzen, um einem technisch nicht versierten Publikum die Zahlung eines geringen Benutzungsentgelts nahezulegen. Dass das Portal von einem sehr kleinen Anteil potentieller Benutzer überwunden werden kann wird in Kauf genommen.

Ist die Login-Seite per SSL verschlüsselt, kann das Kennwort nicht abgehört werden. Falls es sich – wie häufig – um Einmalkennworte handelt, ist dieser Schutz jedoch überflüssig, da das Kennwort nach einmaliger Übermittlung ohnehin ungültig ist. Außerdem wird kein ernsthafter Angreifer versuchen das Kennwortsystem zu kompromittieren, wenn er doch einfach IP- und MAC-Adressen mitlesen kann und diese ihm als eigentliche Eintrittskarte ausreichen. Weiterhin verursacht SSL Probleme mit Plattformen, die dies nicht unterstützen, z.B. einige Spielekonsolen.

Sichere Captive-Portale müssen hingegen den gesamten Netzwerkverkehr digital signieren oder verschlüsseln, um sicherstellen zu können, dass der Rechner oder Browser, von dem aus das Kennwort eingegeben wurde, auch der Rechner oder Browser ist, mit dem der gesamte weitere Netzwerkverkehr abgewickelt wird. Lösungen auf Basis eines per SSL angesprochenen Proxy-Servers schränken die nutzbaren Dienste auf die ein, die sowohl Proxyserver und die vom Nutzer eingesetzten Programme verstehen – konkret bedeutet dies meist die Einschränkung auf HTTP und HTTPS. Die dahingehend problemlose Alternative, ein verschlüsseltes Funknetzwerk einzusetzen und jedem Nutzer einen eigenen Schlüssel zur Verfügung zu stellen erfordert eine aufwändigere Konfiguration mittels RADIUS sowie Access Points, die dies auch unterstützen. Viel schwerer wiegt dabei aber, dass die Einrichtung eines verschlüsselten Funknetzwerkes auf ihrem Rechner viele Gelegenheitsnutzer überfordert.

Siehe auch[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. CaptivePortal