Εάν έχετε χρησιμοποιήσει το wifi σε μια καφετέρια ή σε κάποιο δημόσιο χώρο, αρκετές φορές έχει χρειαστεί να κάνετε κλικ σε μια οθόνη για να το κάνετε. Αυτή η οθόνη ενδέχεται να σας έχει εμφανίσει τους Όρους Παροχής Υπηρεσιών του δικτύου και να σας ζητήσει να κάνετε κλικ σε ένα κουμπί “Συμφωνώ”. Ανάλογα με το πού βρίσκεστε, ενδέχεται να σας έχουν ζητήσει πληροφορίες σχετικά με τον εαυτό σας, όπως το ηλεκτρονικό σας ταχυδρομείο, τους λογαριασμούς μέσων κοινωνικής δικτύωσης, τον αριθμό δωματίου (σε ξενοδοχείο), ή άλλες πληροφορίες ταυτοποίησης. Μερικές φορές ακόμα χρειάζεται να παρακολουθήσετε ένα σύντομο βίντεο ή μια διαφήμιση πριν να να έχετε συνδεθείτε στο wifi του χώρου.
Αυτά τα είδη οθονών ονομάζονται Captive Portals και παρεμβαίνουν στην ασφάλεια της ασύρματης σύνδεσης χωρίς να παρέχουν πολλά οφέλη για τους χρήστες.
- Προβλήματα ασφαλείας και προστασίας απορρήτου για τους χρήστες
Τα Captive Portals είναι υπεύθυνα για μια σειρά ζητημάτων ασφάλειας, ειδικά όταν πρόκειται για ιστότοπους HTTPS. Το HTTPS προορίζεται να εμποδίσει την αλλοίωση και την πλαστοπροσωπία από τρίτο μέρος της κυκλοφορίας των δεδομένων, σε μια σύνδεση σε μια ιστοσελίδα. Ωστόσο, τα Captive Portals λειτουργούν κάνοντας ακριβώς αυτό: παρακολουθούν και αλλάζουν τη σύνδεση μεταξύ του χρήστη και του ιστότοπου που επισκέπτεται. Σε μια μη κρυπτογραφημένη σύνδεση HTTP, ο χρήστης δεν θα το προσέξει καν. Όμως, για τους ιστότοπους που είναι ασφαλισμένοι με HTTPS, το πρόγραμμα περιήγησης στο Web ανιχνεύει κάτι ή κάποιον που πειράζει τη σύνδεση (παρόμοια με μια man-in-the-middle attack). Αυτό προκαλεί προειδοποιήσεις “μη αξιόπιστης σύνδεσης” σχετικά με ψεύτικα πιστοποιητικά για ιστότοπους που συνήθως οι χρήστες θεωρούν ότι είναι ασφαλείς.
Αυτές οι άφθονες ανεξήγητες προειδοποιήσεις “μη αξιόπιστης σύνδεσης” σε ένα δίκτυο με Captive Portals – σχετικά με ιστότοπους που είναι πραγματικά ασφαλείς – μπορούν να εκπαιδεύσουν τους χρήστες να υιοθετήσουν την επικίνδυνη συνήθεια να αγνοούν τις προειδοποιήσεις ασφαλείας.
Και αυτό δεν είναι το μόνο ανακριβές που τα Captive Portals διδάσκουν τους χρήστες σχετικά με την ασύρματη ασφάλεια. Η ψευδαίσθηση της ασφάλειας που μπορεί να παράσχει ένα παράθυρο σύνδεσης μπορεί να οδηγήσει τους χρήστες να πιστεύουν λανθασμένα ότι τα ασύρματα δίκτυα με Captive Portals είναι ασφαλέστερα από αυτά που δεν έχουν.Πέρα από αυτό, τα Captive Portals μπορεί να μην λειτουργούν σωστά με συσκευές και λογισμικά που δεν διαθέτουν προγράμματα περιήγησης ιστού. Όλα αυτά μπορούν να προκαλέσουν σύγχυση και δυσκολία για τους χρήστες που προσπαθούν να χρησιμοποιήσουν το δίκτυο.
Παρ ‘όλα αυτά, οι επιχειρήσεις και οι οργανώσεις έχουν πολλά κίνητρα να χρησιμοποιούν Captive Portals. Ο κύριος λόγος είναι ο έλεγχος της ταυτότητας του χρήστη – δηλαδή, να έχουν οι διαχειριστές κάποια ιδέα για το ποιος χρησιμοποιεί το ασύρματο δίκτυο και πότε. Τα Captive Portals που απαιτούν πληροφορίες σχετικά με εσάς, συνδέουν τις δραστηριότητές σας στο διαδίκτυο με μια συγκεκριμένη σύνδεση ή ταυτότητα. Εκτός από την παρακολούθηση του δικτύου, αυτό μπορεί να βοηθήσει έναν οργανισμό να συγκεντρώνει διευθύνσεις ηλεκτρονικού ταχυδρομείου για εκστρατείες μάρκετινγκ ή να συλλέγει πληροφορίες μέσων κοινωνικής δικτύωσης για να πουλήσει σε τρίτους, όλο το ιδιωτικό απόρρητο των χρηστών με αντάλλαγμα την πρόσβαση στο διαδίκτυο.
Οι οργανισμοί ενδέχεται επίσης να χρησιμοποιούν Captive Portals για την εμφάνιση μιας σελίδας Όρων Παροχής Υπηρεσιών. Ωστόσο, αυτός δεν είναι ο μόνος τρόπος για να βεβαιωθείτε ότι οι χρήστες βλέπουν και συμφωνούν σε μια πολιτική πρόσβασης. Το Open Wireless Movement, για παράδειγμα, προσφέρει μια εναλλακτική λύση. Η δημοσίευση Όρων Παροχής Υπηρεσιών σε φυσικό χώρο, όπως σε μια βιβλιοθήκη, μπορεί επίσης να είναι μια επιλογή.
Για τους διαχειριστές δικτύου: Εάν είναι απαραίτητη ένα Captive Portal, ακολουθήστε αυτές τις βέλτιστες πρακτικές
Εάν διαχειρίζεστε ένα δίκτυο και πρέπει να χρησιμοποιήσετε οπωσδήποτε, ένα Captive Portal, μπορείτε να ακολουθήσετε τις βέλτιστες πρακτικές για να μετριάσετε ορισμένα από τα προβλήματα ασφάλειας και ιδιωτικότητας που περιγράφονται παραπάνω.
Πρώτον, ας δούμε το πρόβλημα των προειδοποιήσεων ασφαλείας. Το Captive Portal θα πρέπει να απορρίπτει συνδέσεις στη θύρα 443 για host names που δεν αναγνωρίζει. Αυτό θα προκαλέσει σφάλμα “CONNECTION_REFUSED” και όχι σφάλμα “Connection not private” που θα προέκυπτε από την προβολή ενός μη έγκυρου πιστοποιητικού και έτσι δεν θα οδηγούνται οι χρήστες στην επικίνδυνη συμπεριφορά του κλικ μέσω αυτού του τύπου προειδοποίησης.
Δεύτερον, υπάρχει η πρόκληση της πιστοποίησης των χρηστών στο δίκτυο. Σε πολλές περιπτώσεις, η πρόσβαση σε ένα περιορισμένο δίκτυο μπορεί να απαιτεί σύνθετη ροή σύνδεσης που δεν υποστηρίζεται προς το παρόν από το απλό κοινόχρηστο μοντέλο κωδικού πρόσβασης wifi. Σε γενικές γραμμές, τέτοια δίκτυα είναι καλύτερα να χρησιμοποιούν το πιο εξελιγμένο μοντέλο WPA2 Enterprise.
Σε περιπτώσεις όπου αυτό δεν είναι εφικτό, το δίκτυο μπορεί να ελαχιστοποιήσει τη βλάβη που προκαλεί ένα captive portal με:
(1) τη χρήση ενός έγκυρου πιστοποιητικού για ένα όνομα τομέα που έχει ρίζες στο δημόσιο DNS,
(2) να μην παρεμβαίνει στην ανίχνευση του captive portal
(3) Σε ένα περιορισμένο περιβάλλον σύνδεσης σε captive portal (π.χ. δεν απαιτείται συνδεδεμένος λογαριασμός στο Facebook) και
(4) απόρριψη συνδέσεων HTTPS σε εξωτερικούς τομείς κατά τη διάρκεια της διαδικασίας σύνδεσης, αντί για την εμφάνιση εσφαλμένου πιστοποιητικού.
Τέλος, μπορείτε να επωφεληθείτε από τις υπάρχουσες λειτουργίες συσκευών και λειτουργικών συστημάτων. Οι πωλητές συσκευών και λειτουργικών συστημάτων έρχονται με τρόπους για να ελαχιστοποιήσουν τις ζημιές των captive portals, στέλνοντας ένα αβλαβές αίτημα κατά την πρώτη σύνδεση στο δίκτυο. Εάν το αίτημα αυτό παραβιαστεί, το λειτουργικό σύστημα θα ανοίξει ένα ειδικό, περιορισμένο πρόγραμμα περιήγησης για να αλληλεπιδράσει με την πιθανή οθόνη του captive portal. Δυστυχώς, κάποια λογισμικά σε captive portals, παρεμβαίνουν σε αυτές τις μεθόδους ανίχνευσης αντιμετωπίζοντας διαφορετικά το “αβλαβές αίτημα”. Αντ ‘αυτού, η βέλτιστη πρακτική είναι να αφήσετε απλά το λογισμικό ανίχνευσης captive portal να κάνει τη δουλειά του.
Πηγή άρθρου: https://www.eff.org