Portal cautivo

Página web mostrada a nuevos usuarios de una red

Un portal cautivo es una página web a la que se accede con un navegador web que se muestra a los usuarios recién conectados a una red wifi o cableada antes de que se les conceda un acceso más amplio a los recursos de la red. Los portales cautivos se utilizan comúnmente para presentar una página de inicio de sesión o de aterrizaje que puede requerir autenticación , pago , aceptación de un acuerdo de licencia de usuario final , política de uso aceptable , finalización de una encuesta u otras credenciales válidas que tanto el host como el usuario acuerdan cumplir. ^[1] Los portales cautivos se utilizan para una amplia gama de servicios de banda ancha móviles y peatonales, incluidos los puntos de acceso domésticos y wifi proporcionados comercialmente y por cable. Un portal cautivo también se puede utilizar para proporcionar acceso a redes cableadas empresariales o residenciales, como edificios de apartamentos, habitaciones de hotel y centros de negocios.

El portal cautivo se presenta al cliente y se almacena en la puerta de enlace o en un servidor web que aloja la página web. Según el conjunto de características de la puerta de enlace, se pueden incluir sitios web o puertos TCP en la lista de permitidos para que el usuario no tenga que interactuar con el portal cautivo para usarlos. La dirección MAC de los clientes conectados también se puede utilizar para omitir el proceso de inicio de sesión de dispositivos específicos.

WISPr se refiere a este método de autenticación basado en navegador web como el Método de Acceso Universal (UAM). ^[2]

Usos

Los portales cautivos se utilizan principalmente en redes inalámbricas abiertas donde se muestra a los usuarios un mensaje de bienvenida que les informa de las condiciones de acceso (puertos permitidos, responsabilidad, etc.). Los administradores tienden a hacer esto para que sus propios usuarios se responsabilicen de sus acciones y eviten cualquier responsabilidad legal. ^[3] Si esta delegación de responsabilidad es legalmente válida es un tema de debate. ^[4]^[5] Algunas redes también pueden requerir que se ingrese el número de teléfono celular del usuario o información de identidad para que los administradores puedan proporcionar información a las autoridades en caso de que haya actividad ilegal en la red.

Los portales cautivos se utilizan a menudo con fines de marketing y comunicación comercial. El acceso a Internet a través de Wi-Fi abierto está prohibido hasta que el usuario intercambie datos personales rellenando un formulario de registro basado en la web en un navegador web. El formulario basado en la web se abre automáticamente en un navegador web o aparece cuando el usuario abre un navegador web e intenta visitar cualquier página web. En otras palabras, el usuario está "cautivo" - no puede acceder a Internet libremente hasta que se le conceda acceso a Internet y haya "completado" el portal cautivo. Esto permite al proveedor de este servicio mostrar o enviar anuncios a los usuarios que se conectan al punto de acceso Wi-Fi. Este tipo de servicio también se conoce a veces como "Wi-Fi social", ya que pueden solicitar una cuenta de red social para iniciar sesión (como Facebook ). En los últimos años, estos portales cautivos de Wi-Fi social se han convertido en algo habitual entre varias empresas que ofrecen marketing centrado en la recopilación de datos Wi-Fi. ^[6]

El usuario puede encontrar muchos tipos de contenidos en el portal cautivo, y es frecuente permitir el acceso a Internet a cambio de ver contenidos o realizar una determinada acción (a menudo, proporcionar datos personales para posibilitar el contacto comercial); así, el uso comercial del portal cautivo es una herramienta para la generación de leads (contactos comerciales o clientes potenciales). ^[7]

Implementación

Hay varias formas de implementar un portal cautivo.

Redirección HTTP

Un método común es dirigir todo el tráfico de la World Wide Web a un servidor web, que devuelve una redirección HTTP a un portal cautivo. ^[8] Cuando un dispositivo moderno habilitado para Internet se conecta por primera vez a una red, envía una solicitud HTTP a una URL de detección predefinida por su proveedor y espera un código de estado HTTP 200 OK o 204 Sin contenido. Si el dispositivo recibe un código de estado HTTP 2xx, asume que tiene acceso ilimitado a Internet. Los mensajes del portal cautivo se muestran cuando puede manipular este primer mensaje HTTP para devolver un código de estado HTTP 302 (redirección) al portal cautivo de su elección. ^[9]^[10] RFC 6585 especifica el código de estado 511 Network Authentication Required.

Redirección ICMP

El tráfico del cliente también se puede redirigir mediante la redirección ICMP en el nivel de capa 3.

Redirigir por DNS

Cuando un cliente solicita un recurso en un host remoto por nombre, se consulta el DNS para resolver ese nombre de host. En un portal cautivo, el firewall se asegurará de que solo los servidores DNS proporcionados por el DHCP de la red puedan ser utilizados por clientes no autenticados (o, de manera alternativa, reenviará todas las solicitudes DNS de clientes no autenticados a ese servidor DNS). Este servidor DNS devolverá la dirección IP de la página del portal cautivo como resultado de todas las búsquedas DNS.

Para realizar la redirección por DNS, el portal cautivo utiliza el secuestro de DNS para realizar una acción similar a un ataque de intermediario . Para limitar el impacto del envenenamiento de DNS, normalmente se utiliza un TTL de 0.

Detección

Las URL de detección de portales cautivos suelen devolver una respuesta mínima y estandarizada cuando no se encuentran detrás de un portal cautivo. Cuando el dispositivo recibe la respuesta esperada, concluye que tiene acceso directo a Internet. Si la respuesta es diferente, el dispositivo supone que se encuentra detrás de un portal cautivo y activa el proceso de inicio de sesión en el portal cautivo.

Plataforma	URL de prueba	Respuesta esperada
Manzana (Familia MacOS/IOS)	Actual: http://captive.apple.com/hotspot-detect.html	"Éxito" (texto simple)
Manzana (Familia MacOS/IOS)	Legado: http://www.apple.com/library/test/success.html	"Éxito" (texto simple)
Google ^[11] (Android/ChromeOS)	http://connectivitycheck.gstatic.com/generate_204	Código de estado HTTP 204 con el cuerpo vacío
Google ^[11] (Android/ChromeOS)	http://clients3.google.com/generate_204	Código de estado HTTP 204 con el cuerpo vacío
Ventanas ^[12]	Actual (Windows 10 1607 y posteriores): http://www.msftconnecttest.com/connecttest.txt	"Prueba de Microsoft Connect" (texto sin formato)
Ventanas ^[12]	Legado (anterior a Windows 10 1607): http://www.msftncsi.com/ncsi.txt	"Microsoft NCSI" (texto sin formato)
Administrador de red ( GNOME )	http://nmcheck.gnome.org/check_network_status.txt	"NetworkManager está en línea" (texto sin formato)
Administrador de red ( KDE Plasma )	http://networkcheck.kde.org/	"OK" (texto sin formato)

Limitaciones

Seguridad

Se sabe que los portales cautivos tienen conjuntos de reglas de firewall incompletos (como dejar abiertos los puertos de salida) que permiten a los clientes eludir el portal. ^[13]

Túnel de DNS

En algunas implementaciones, el conjunto de reglas enrutará las solicitudes DNS de los clientes a Internet, o el servidor DNS proporcionado cumplirá con las solicitudes DNS arbitrarias del cliente. Esto permite que un cliente evite el portal cautivo y acceda a Internet abierto mediante la tunelización de tráfico arbitrario dentro de paquetes DNS.

Envío automático

Algunos portales cautivos pueden configurarse para permitir que los agentes de usuario debidamente equipados detecten el portal cautivo y realicen la autenticación automáticamente. Los agentes de usuario y las aplicaciones complementarias, como el Asistente de portal cautivo de Apple, a veces pueden omitir de forma transparente la visualización del contenido del portal cautivo en contra de los deseos del operador del servicio, siempre que tengan acceso a las credenciales correctas, o pueden intentar realizar la autenticación con credenciales incorrectas u obsoletas, lo que puede tener consecuencias no deseadas, como el bloqueo accidental de la cuenta.

Falsificación de MAC

En ocasiones, es posible eludir un portal cautivo que utiliza direcciones MAC para rastrear dispositivos conectados reutilizando la dirección MAC de un dispositivo autenticado previamente. Una vez que un dispositivo se ha autenticado en el portal cautivo utilizando credenciales válidas, la puerta de enlace agrega la dirección MAC de ese dispositivo a su lista de permitidos; dado que las direcciones MAC se pueden falsificar fácilmente, cualquier otro dispositivo puede hacerse pasar por el dispositivo autenticado y eludir el portal cautivo. Una vez que se descubre que las direcciones IP y MAC de otras computadoras conectadas están autenticadas, cualquier máquina puede falsificar la dirección MAC y la dirección de Protocolo de Internet (IP) del objetivo autenticado y se le permite una ruta a través de la puerta de enlace. Por este motivo, algunas soluciones de portal cautivo crearon mecanismos de autenticación extendidos para limitar el riesgo de usurpación.

Requiere navegador web

Los portales cautivos suelen requerir el uso de un navegador web; los usuarios que utilicen por primera vez un cliente de correo electrónico u otra aplicación que dependa de Internet pueden descubrir que la conexión no funciona sin explicación, y entonces necesitarán abrir un navegador web para validar. Esto puede ser problemático para los usuarios que no tienen ningún navegador web instalado en su sistema operativo . Sin embargo, a veces es posible utilizar el correo electrónico y otras funciones que no dependen de DNS (por ejemplo, si la aplicación especifica la dirección IP de conexión en lugar del nombre de host). Un problema similar puede ocurrir si el cliente utiliza AJAX o se une a la red con páginas ya cargadas en su navegador web, lo que provoca un comportamiento indefinido (por ejemplo, aparecen mensajes corruptos) cuando dicha página intenta realizar solicitudes HTTP a su servidor de origen.

De manera similar, como las conexiones HTTPS no se pueden redirigir (al menos no sin activar advertencias de seguridad), un navegador web que solo intente acceder a sitios web seguros antes de ser autorizado por el portal cautivo verá que esos intentos fallan sin explicación (el síntoma habitual es que el sitio web deseado parece estar inactivo o inaccesible).

Las plataformas que tienen Wi-Fi y una pila TCP/IP pero no tienen un navegador web que admita HTTPS no pueden usar muchos portales cautivos. Dichas plataformas incluyen la Nintendo DS que ejecuta un juego que utiliza Nintendo Wi-Fi Connection . La autenticación sin navegador es posible utilizando WISPr , un protocolo de autenticación basado en XML para este propósito, o autenticación basada en MAC o autenticaciones basadas en otros protocolos.

También es posible que un proveedor de plataforma celebre un contrato de servicios con el operador de una gran cantidad de puntos de acceso de portal cautivo para permitir el acceso gratuito o con descuento a los servidores del proveedor de plataforma a través del jardín amurallado del punto de acceso . Por ejemplo, en 2005, Nintendo y Wayport se asociaron para proporcionar acceso Wi-Fi gratuito a los usuarios de Nintendo DS en ciertos restaurantes McDonald's . ^[14] Además, se podría permitir que los puertos VoIP y SIP pasaran por alto la puerta de enlace para permitir que los teléfonos realicen y reciban llamadas.

Véase también

Referencias

^ "¿Qué es un portal cautivo? – Definición de TechTarget". Computación móvil . Consultado el 19 de diciembre de 2023 .
^ Wiederkehr, Patrick (2009). Enfoques para inicios de sesión simplificados en puntos de acceso con dispositivos Wi-Fi (tesis de maestría). ETH, Instituto Federal Suizo de Tecnología, Departamento de Informática. doi :10.3929/ethz-a-005899210. Archivado desde el original el 20 de noviembre de 2022. Consultado el 20 de noviembre de 2022 .
^ "¿Qué es un portal cautivo? | Linksys: EE. UU." www.linksys.com . Consultado el 19 de diciembre de 2023 .
^ "Zonas de conexión Wi-Fi y preocupaciones sobre responsabilidad". Maiello Brungo & Maiello . 9 de abril de 2007. Archivado desde el original el 4 de mayo de 2019 . Consultado el 6 de marzo de 2019 .
^ "Mitos y realidades: la gestión de redes inalámbricas abiertas y la responsabilidad por lo que hacen otros". Movimiento Open Wireless . 7 de agosto de 2012. Archivado desde el original el 14 de febrero de 2019. Consultado el 6 de marzo de 2019 .
^ "Comprenda la evolución del portal cautivo a las soluciones de autenticación en la nube". 23 de mayo de 2023. Archivado desde el original el 2 de julio de 2023. Consultado el 8 de julio de 2023 .
^ YEC. "Publicado por el Consejo: Por qué aprovechar los portales cautivos para descubrir clientes ocultos". Forbes . Archivado desde el original el 18 de marzo de 2022. Consultado el 18 de marzo de 2022 .
^ Wippler, Andrew J. (7 de abril de 2017). «Captive Portal Overview» (Descripción general del portal cautivo). Andrew Wippler's Sketchpad (Bloc de dibujo de Andrew Wippler ) . Archivado desde el original el 4 de mayo de 2019. Consultado el 6 de marzo de 2019 .
^ Wippler, Andrew J. (11 de marzo de 2016). "WiFi Captive Portal". Andrew Wippler's Sketchpad . Archivado desde el original el 4 de mayo de 2019. Consultado el 6 de marzo de 2019 .
^ "Detección de portales de red". Chromium . Archivado desde el original el 2019-03-03 . Consultado el 2019-03-06 .
^ "Detección de portales de red". Google . Consultado el 6 de marzo de 2024 .
^ "Respuestas a preguntas frecuentes sobre NCSI". Microsoft. 23 de junio de 2023. Consultado el 6 de marzo de 2024 .
^ Laliberte, Marc (26 de agosto de 2016). «Lecciones de DEFCON 2016: cómo sortear los portales cautivos». Archivado desde el original el 4 de febrero de 2019. Consultado el 6 de marzo de 2019 .
^ "Nintendo y Wayport unen fuerzas para brindar acceso gratuito a Wi-Fi en EE. UU. a los usuarios de Nintendo DS". 18 de octubre de 2005. Archivado desde el original el 4 de mayo de 2019. Consultado el 6 de marzo de 2019 .

Enlaces externos

Configuración del portal cautivo de Android
RFC 8910 Identificación de portal cautivo en DHCP y anuncios de enrutador (RA)
Soluciones de portales cautivos WiFi cautivo

[1] "¿Qué es un portal cautivo? – Definición de TechTarget". Computación móvil . Consultado el 19 de diciembre de 2023 .

[2] Wiederkehr, Patrick (2009). Enfoques para inicios de sesión simplificados en puntos de acceso con dispositivos Wi-Fi (tesis de maestría). ETH, Instituto Federal Suizo de Tecnología, Departamento de Informática. doi :10.3929/ethz-a-005899210. Archivado desde el original el 20 de noviembre de 2022. Consultado el 20 de noviembre de 2022 .

[3] "¿Qué es un portal cautivo? | Linksys: EE. UU." www.linksys.com . Consultado el 19 de diciembre de 2023 .

[4] "Zonas de conexión Wi-Fi y preocupaciones sobre responsabilidad". Maiello Brungo & Maiello . 9 de abril de 2007. Archivado desde el original el 4 de mayo de 2019 . Consultado el 6 de marzo de 2019 .

[5] "Mitos y realidades: la gestión de redes inalámbricas abiertas y la responsabilidad por lo que hacen otros". Movimiento Open Wireless . 7 de agosto de 2012. Archivado desde el original el 14 de febrero de 2019. Consultado el 6 de marzo de 2019 .

[6] "Comprenda la evolución del portal cautivo a las soluciones de autenticación en la nube". 23 de mayo de 2023. Archivado desde el original el 2 de julio de 2023. Consultado el 8 de julio de 2023 .

[7] YEC. "Publicado por el Consejo: Por qué aprovechar los portales cautivos para descubrir clientes ocultos". Forbes . Archivado desde el original el 18 de marzo de 2022. Consultado el 18 de marzo de 2022 .

[8] Wippler, Andrew J. (7 de abril de 2017). «Captive Portal Overview» (Descripción general del portal cautivo). Andrew Wippler's Sketchpad (Bloc de dibujo de Andrew Wippler ) . Archivado desde el original el 4 de mayo de 2019. Consultado el 6 de marzo de 2019 .

[9] Wippler, Andrew J. (11 de marzo de 2016). "WiFi Captive Portal". Andrew Wippler's Sketchpad . Archivado desde el original el 4 de mayo de 2019. Consultado el 6 de marzo de 2019 .

[10] "Detección de portales de red". Chromium . Archivado desde el original el 2019-03-03 . Consultado el 2019-03-06 .

[11] "Detección de portales de red". Google . Consultado el 6 de marzo de 2024 .

[12] "Respuestas a preguntas frecuentes sobre NCSI". Microsoft. 23 de junio de 2023. Consultado el 6 de marzo de 2024 .

[13] Laliberte, Marc (26 de agosto de 2016). «Lecciones de DEFCON 2016: cómo sortear los portales cautivos». Archivado desde el original el 4 de febrero de 2019. Consultado el 6 de marzo de 2019 .

[14] "Nintendo y Wayport unen fuerzas para brindar acceso gratuito a Wi-Fi en EE. UU. a los usuarios de Nintendo DS". 18 de octubre de 2005. Archivado desde el original el 4 de mayo de 2019. Consultado el 6 de marzo de 2019 .