Passer au contenu principal

Captive Portal vs Splash Page

Ce guide de référence détaille la distinction essentielle entre les captive portals et les splash pages dans les réseaux WiFi invités. Il clarifie le fonctionnement du mécanisme d'interception réseau sous-jacent en tandem avec l'interface visuelle des invités, aidant ainsi les responsables informatiques et les exploitants de sites à prendre des décisions d'architecture et d'approvisionnement éclairées.

📖 8 min de lecture📝 1,872 mots🔧 3 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
PORTAIL CAPTIF VS SPLASH PAGE - UN BRIEFING TECHNIQUE PURPLE Script de podcast - Environ 10 minutes Voix anglaise du Royaume-Uni --- SEGMENT 1 : INTRODUCTION ET CONTEXTE (environ 1 minute) Bienvenue dans la série de briefings techniques Purple. Je suis votre hôte, et aujourd'hui, nous allons clarifier l'une des sources de confusion les plus persistantes dans l'acquisition et le déploiement de WiFi pour invités : la différence entre un Captive Portal et une splash page. Si vous avez déjà assisté à une réunion avec un fournisseur et entendu ces deux termes utilisés de manière interchangeable, vous n'êtes pas seul. Cela arrive constamment - dans les documents d'appel d'offres, dans les présentations de stratégie informatique, et même dans les conversations entre ingénieurs réseau qui devraient pourtant faire la différence. Et cette confusion a son importance, car lorsque vous confondez les deux, vous finissez soit par sur-spécifier le mauvais composant, soit par sous-investir dans le bon, ou pire encore, par déployer une solution de WiFi pour invités qui a fière allure mais qui ne dispose d'aucun contrôle réseau approprié sous le capot, ou une solution techniquement solide mais qui fait fuir les invités avec un écran de connexion lourd et sans image de marque. Alors, réglons cela aujourd'hui. À la fin de ce briefing, vous disposerez d'un modèle mental clair de ce que fait chaque composant, de la manière dont ils interagissent et de ce qu'il faut rechercher lorsque vous évaluez des solutions pour votre site - qu'il s'agisse d'un hôtel, d'un parc de points de vente, d'un stade ou d'un bâtiment du secteur public. --- SEGMENT 2 : ANALYSE TECHNIQUE APPROFONDIE (environ 5 minutes) Commençons par le Captive Portal, car c'est la fondation sur laquelle repose tout le reste. Un Captive Portal est un mécanisme de couche réseau. Son rôle est d'intercepter tout le trafic sortant d'un appareil nouvellement connecté et de le maintenir dans une sorte de salle d'attente numérique jusqu'à ce que cet appareil ait été authentifié. Lorsqu'un invité se connecte au SSID de votre WiFi, son appareil obtient une adresse IP via DHCP - cette partie fonctionne normalement. Mais avant que le moindre trafic internet réel ne soit autorisé à passer, le Captive Portal l'intercepte. Voici la séquence technique. L'appareil de l'invité envoie une requête HTTP ou HTTPS - il peut s'agir d'essayer de charger un site web ou du test de connectivité propre au système d'exploitation, que les appareils modernes comme les iPhones et les téléphones Android exécutent automatiquement. Le contrôleur du Captive Portal - qui se trouve soit sur votre contrôleur sans fil, votre routeur ou une plateforme basée sur le cloud - intercepte cette requête DNS ou HTTP et la redirige. Au lieu d'atteindre internet, l'appareil reçoit une réponse de redirection pointant vers une URL spécifique. C'est à cette URL que réside la splash page. Désormais, le mécanisme de redirection lui-même utilise l'une des deux techniques principales. La première est le détournement DNS - le Captive Portal intercepte les requêtes DNS et renvoie l'adresse IP du serveur du portail au lieu de la destination réelle. La seconde est la redirection HTTP - le portail intercepte la requête HTTP au niveau de la passerelle et émet une réponse de redirection 302. Pour le trafic HTTPS, cela est plus complexe, car vous ne pouvez pas intercepter une session cryptée sans déclencher un avertissement de certificat. C'est pourquoi la plupart des implémentations de Captive Portal s'appuient sur l'assistant réseau captif intégré au système d'exploitation - la fenêtre contextuelle qui s'affiche sur votre téléphone lorsque vous vous connectez à un nouveau réseau - qui utilise un point de terminaison HTTP connu pour détecter les portails captifs avant de tenter des connexions HTTPS. Au niveau de la couche réseau, le Captive Portal applique le contrôle d'accès à l'aide de règles de pare-feu. Les appareils non authentifiés sont placés dans un VLAN ou un sous-réseau restreint où tout le trafic, à l'exception du DNS et du HTTP vers le serveur du portail, est bloqué. Une fois l'authentification confirmée - qu'il s'agisse d'un simple clic, d'un identifiant social, d'une saisie d'e-mail ou d'un échange complet d'identifiants 802.1X - le contrôleur du portail met à jour les règles du pare-feu pour l'adresse MAC de cet appareil, le déplaçant de la zone restreinte vers la zone autorisée avec un accès internet complet. Ceci est important : le Captive Portal est invisible pour l'invité. Ils ne le voient jamais directement. Ce qu'ils voient, c'est la page d'accueil. La page d'accueil est la couche applicative - c'est le HTML, le CSS et le JavaScript qui s'affiche dans le navigateur de l'invité ou dans la fenêtre contextuelle de l'assistant réseau captif. C'est l'interface visuelle : votre marque, votre logo, votre message de bienvenue, vos conditions générales, vos boutons de connexion sociale, vos cases à cocher d'inscription marketing. C'est ce qui transforme un simple événement d'authentification réseau en une expérience client personnalisée. Pensez-y de cette façon. Le Captive Portal est le videur à la porte - il décide qui entre et applique les règles. La page d'accueil est le bureau de réception - c'est le visage de votre établissement, elle recueille des informations et permet à l'invité de se sentir le bienvenu. Vous avez besoin des deux, et ils doivent fonctionner ensemble de manière transparente. Maintenant, pourquoi cette distinction est-elle importante sur le plan commercial ? Parce que lorsque vous évaluez une solution de WiFi invité, vous devez poser des questions différentes pour chaque composant. Pour le Captive Portal, vous vous demandez : Quels types d'authentification prend-il en charge ? Peut-il gérer le 802.1X pour les appareils de l'entreprise ainsi que la connexion sociale pour les invités ? Prend-il en charge le contournement d'adresse MAC pour les appareils qui ne peuvent pas afficher de navigateur ? Comment gère-t-il les expirations de session et la réauthentification ? Est-il conforme à vos obligations de protection des données en vertu du GDPR ? S'intègre-t-il à votre infrastructure RADIUS ? Peut-il segmenter le trafic par type d'utilisateur - en séparant le trafic des invités de celui du personnel au niveau de la couche réseau ?Pour la page d'accueil, vous vous demandez : à quel point est-elle personnalisable ? Votre équipe marketing peut-elle la modifier sans toucher à la configuration réseau ? Prend-elle en charge les tests A/B ? Peut-elle diffuser des contenus différents selon les segments d'utilisateurs - membres du programme de fidélité par rapport aux nouveaux visiteurs, par exemple ? Prend-elle en charge les arrière-plans vidéo, les bannières promotionnelles ou les pages de redirection post-connexion ? Quel est son niveau de performance sur mobile ? Est-elle accessible ? Ce sont des critères d'achat fondamentalement différents, et les confondre conduit à de mauvaises décisions. Nous avons vu des organisations investir massivement dans un superbe design de page d'accueil pour découvrir ensuite que le Captive Portal sous-jacent ne prenait pas en charge les méthodes d'authentification requises par leur politique de sécurité informatique. Nous avons également vu l'inverse - des déploiements de Captive Portal techniquement robustes avec des pages d'accueil si mal conçues que les taux d'adoption par les visiteurs stagnaient à environ 30 %. Parlons des normes qui sous-tendent tout cela. Le mécanisme de Captive Portal ne dispose pas d'une norme de gouvernance unique, mais il fonctionne dans le cadre de plusieurs normes importantes. L'IEEE 802.1X est la norme de contrôle d'accès réseau basée sur les ports qui régit la manière dont les appareils s'authentifient sur un réseau à l'aide d'identifiants, de certificats ou de jetons. C'est le fondement de la sécurité WiFi d'entreprise, et elle est de plus en plus pertinente, même dans le contexte du WiFi pour les invités, lorsque vous souhaitez offrir un accès transparent, basé sur des identifiants, aux visiteurs de retour. Le WPA3, le dernier protocole de sécurité WiFi, introduit l'Opportunistic Wireless Encryption, qui chiffre le trafic même sur les réseaux ouverts - un élément pertinent pour les déploiements de Captive Portal car il modifie le fonctionnement de la poignée de main de connexion initiale. D'un point de vue de la conformité, le GDPR a des implications significatives sur la conception de la page d'accueil. Si votre page d'accueil collecte des données personnelles - une adresse e-mail, un nom, une connexion sociale - vous devez obtenir un consentement explicite et éclairé, afficher un avis de confidentialité clair et disposer d'une base légale pour le traitement. C'est sur la page d'accueil que ce consentement est capturé, mais c'est le Captive Portal qui applique le lien entre le consentement et l'accès. Si un invité refuse de s'abonner à vos communications marketing, le Captive Portal doit tout de même lui accorder l'accès à Internet - le consentement au marketing ne peut pas être une condition d'accès au réseau en vertu du GDPR. La norme PCI-DSS est pertinente si votre réseau WiFi invité entre dans le champ d'application des environnements de données de cartes - généralement dans le commerce de détail ou l'hôtellerie. La segmentation du réseau imposée par le Captive Portal est un contrôle clé ici, garantissant que le trafic des invités est isolé des systèmes de paiement. --- SEGMENT 3 : RECOMMANDATIONS DE MISE EN ŒUVRE ET PIÈGES À ÉVITER (environ 2 minutes) Laissez-moi vous présenter deux scénarios réels qui illustrent comment cela se passe dans la pratique. D'abord, un groupe hôtelier de 200 chambres. Ils ont déployé une solution de WiFi invité où la page d'accueil était magnifiquement personnalisée - leur logo, un message de bienvenue, une offre promotionnelle pour le spa. Mais le Captive Portal sous-jacent était une implémentation open-source basique qui utilisait le détournement DNS sans aucune gestion de session. Résultat : les clients qui revenaient à l'hôtel devaient se reconnecter à chaque visite, même au cours du même séjour. La page d'accueil était superbe, mais le Captive Portal n'avait pas de persistance d'adresse MAC, pas de configuration de temporisation de session et aucune intégration avec le système de gestion de l'établissement. La correction a nécessité le remplacement complet du contrôleur de Captive Portal - la page d'accueil était correcte. Ensuite, une chaîne nationale de vente au détail. Ils ont déployé un Captive Portal de classe entreprise avec un support complet du 802.1X, une intégration RADIUS et une segmentation sophistiquée du trafic. Mais leur page d'accueil était un modèle par défaut - fond blanc, sans logo, avec un message générique "Se connecter au WiFi". L'adoption par les invités était de 34 %. Après avoir investi dans une page d'accueil de marque correctement conçue avec une option de connexion sociale en un clic, l'adoption est passée à 71 % en trois mois. Le Captive Portal n'avait pas du tout changé. La leçon de ces deux scénarios : ces composants distincts nécessitent un investissement et une expertise distincts. Ne laissez pas votre équipe réseau s'occuper de la conception de la page d'accueil et ne laissez pas votre équipe marketing prendre des décisions concernant l'architecture du Captive Portal. Pièges courants à éviter : premièrement, supposer qu'une page d'accueil est un Captive Portal. Ce n'est pas le cas. Une page d'accueil sans Captive Portal n'est qu'une page web que personne n'est obligé de visiter. Deuxièmement, déployer un Captive Portal sans support HTTPS pour la page d'accueil. Toutes les données collectées sur une page d'accueil non cryptée - adresses e-mail, identifiants de connexion - sont transmises en texte clair. C'est un risque pour la sécurité et vis-à-vis du GDPR. Troisièmement, ignorer l'expérience mobile. Plus de 80 % des connexions WiFi des invités proviennent d'appareils mobiles. Si votre page d'accueil n'est pas optimisée pour le mobile, vous créez des frictions au moment précis où vous devriez créer une impression de marque positive. - - - SEGMENT 4 : QUESTIONS-RÉPONSES RAPIDES (environ 1 minute) Passons en revue quelques questions que nous entendons régulièrement. Puis-je avoir une page d'accueil sans Captive Portal ? Techniquement oui - vous pouvez héberger une page web et y diriger les gens - mais sans le Captive Portal pour imposer la redirection, les invités n'ont aucune raison de s'y rendre. Vous n'auriez aucune capture de données, aucune gestion du consentement et aucun contrôle d'accès au réseau. Puis-je avoir un Captive Portal sans page d'accueil ? Oui, et c'est courant dans les environnements d'entreprise où le 802.1X gère l'authentification de manière transparente. Mais pour les déploiements destinés aux invités, vous souhaitez presque toujours une page d'accueil pour gérer l'expérience utilisateur et la capture de données.Est-ce que le WPA3 perturbe les portails captifs ? Pas s'il est implémenté correctement. Le WPA3 avec Opportunistic Wireless Encryption est compatible avec les déploiements de portail captif, mais il nécessite que le portail utilise HTTPS et que le réseau diffuse correctement l'URL du portail. Certains appareils clients plus anciens présentent des problèmes de compatibilité, c'est pourquoi de nombreux sites optent pour des configurations double SSID. La connexion via les réseaux sociaux sur la splash page est-elle sécurisée ? Cela dépend de l'implémentation. La connexion sociale basée sur OAuth 2.0 - via Google, Facebook ou Apple - est sécurisée lorsqu'elle est correctement implémentée. La splash page gère le flux OAuth, et le portail captif reçoit un jeton confirmant l'authentification. Le risque principal réside dans la validation de ce jeton et la gestion de la session. --- SEGMENT 5 : RÉSUMÉ ET PROCHAINES ÉTAPES (environ 1 minute) Terminons par les points clés à retenir. Premièrement : un portail captif et une splash page ne sont pas la même chose. Le portail captif est le mécanisme de contrôle du réseau - il intercepte le trafic et applique les règles d'accès. La splash page est l'interface visuelle - c'est ce que l'invité voit et avec quoi il interagit. Deuxièmement : ils fonctionnent ensemble. Le portail captif redirige l'invité vers la splash page. La splash page recueille l'authentification ou le consentement. Le portail captif autorise ensuite l'accès en fonction de ce résultat. Troisièmement : évaluez-les séparément. Posez des questions différentes, appliquez des compétences différentes et budgétisez les deux indépendamment. Quatrièmement : la conformité se situe à l'intersection des deux. Le consentement GDPR est recueilli sur la splash page mais appliqué par le portail captif. Veillez à ce que les deux soient irréprochables. Cinquièmement : Purple fournit les deux. Si vous recherchez une plateforme qui gère le contrôle de portail captif de classe entreprise tout en offrant un design de splash page riche et personnalisable - avec des analyses complètes, des outils de conformité GDPR et des intégrations avec votre infrastructure existante - c'est exactement pour cela que Purple a été conçu. Pour vos prochaines étapes, je vous recommande de consulter les guides d'implémentation de Purple sur l'authentification 802.1X et l'analyse du WiFi invité. Les liens se trouvent dans les notes de l'émission. Et si vous êtes en plein processus d'achat, contactez l'équipe de Purple pour une évaluation technique - cela vaut la peine de valider l'architecture avant de vous lancer dans un déploiement. Merci pour votre écoute. À la prochaine. --- FIN DU SCRIPT

📚 Fait partie de notre série principale : Le guide ultime des captive portals

header_image.png

Synthèse d'analyse

Pour les responsables informatiques, les architectes réseau et les directeurs d'exploitation de sites, le WiFi invité n'est plus seulement une commodité - c'est un point de contact essentiel pour la collecte de données de première partie, l'engagement marketing et la sécurité du réseau. Pourtant, une confusion persistante dans les appels d'offres et les discussions de déploiement réside dans l'amalgame entre le Captive Portal et les pages de splash.

Ce guide vise à clarifier cette distinction fondamentale. Le Captive Portal est un mécanisme de contrôle au niveau de la couche réseau qui intercepte le trafic, bloque l'accès à internet et gère l'authentification sécurisée. La page de splash, en revanche, est l'interface visuelle de la couche applicative - la page web que les invités voient, avec laquelle ils interagissent et qu'ils utilisent pour s'authentifier.

Confondre ces deux composants entraîne des risques importants en matière d'approvisionnement et de mise en œuvre, comme l'achat d'une page de splash magnifiquement conçue mais dotée de contrôles dorsaux non sécurisés, ou le déploiement d'un Captive Portal hautement sécurisé avec une interface utilisateur peu ergonomique et sans marque qui fait fuir les invités. En comprenant comment ces technologies fonctionnent en synergie, les organisations peuvent utiliser des plateformes telles que Purple pour offrir une expérience WiFi invité sécurisée, conforme et engageante qui génère une valeur commerciale mesurable.

comparison_chart.png

Analyse technique approfondie

Le Captive Portal : Interception du trafic au niveau de la couche réseau

Le Captive Portal fonctionne au niveau des couches inférieures du modèle OSI (généralement les couches 2 et 3) pour appliquer le contrôle d'accès. Lorsqu'un appareil invité se connecte à un SSID ouvert, le serveur DHCP local lui attribue une adresse IP, un masque de sous-réseau et une passerelle par défaut. Cependant, le point d'accès sans fil (AP) ou le contrôleur de passerelle place l'adresse MAC de cet appareil dans un état non authentifié au sein de la table de session du pare-feu.

Dans cet état, le pare-feu bloque tout le trafic IP sortant, à l'exception des services réseau essentiels tels que le DNS et le DHCP. Lorsque l'invité tente de visiter un site web externe, le Captive Portal intercepte le trafic à l'aide de l'une des deux méthodes principales suivantes :

  1. Redirection HTTP (redirection 302) : La passerelle intercepte la requête HTTP initiale et renvoie une réponse HTTP 302 Found, redirigeant le navigateur du client vers l'URL de la page de splash.
  2. Détournement DNS : La passerelle intercepte les requêtes DNS et résout tous les noms de domaine vers l'adresse IP du serveur de la page de splash local. Bien que simple, cette méthode a été progressivement abandonnée en raison de DNSSEC et des avertissements de sécurité au niveau du navigateur.

Les systèmes d'exploitation mobiles modernes utilisent un démon intégré appelé Captive Network Assistant (CNA). Lors de la connexion à un réseau, le CNA tente de joindre un point de terminaison HTTP non chiffré connu (par exemple, captive.apple.com d'Apple ou connectivitycheck.gstatic.com de Google). Si cette réponse est interceptée et redirigée, le système d'exploitation reconnaît qu'il se trouve derrière un Captive Portal et affiche automatiquement la Splash Page dans une fenêtre de navigateur système dédiée, évitant ainsi à l'utilisateur d'ouvrir manuellement un navigateur web.

Une fois que l'utilisateur a terminé le flux d'authentification sur la Splash Page, le serveur d'authentification (généralement un serveur RADIUS) envoie un paquet Access-Accept au contrôleur réseau. Le contrôleur met ensuite à jour ses règles de pare-feu pour accorder un accès complet à Internet à l'adresse MAC de cet appareil, en s'appuyant généralement sur le MAC Address Bypass (MAB) pour mémoriser l'appareil pour une durée de session spécifiée.

La Splash Page : Expérience utilisateur au niveau de la couche applicative

Contrairement au Captive Portal, la Splash Page est une application web standard fonctionnant au niveau de la couche 7 (la couche applicative). Elle est construite avec des technologies web standards (HTML, CSS et JavaScript) et hébergée soit localement sur le contrôleur de passerelle, soit, plus couramment, sur une plateforme cloud telle que Purple.

La Splash Page sert d'interface visuelle et de point de contact avec la marque pour l'invité. Ses principales fonctions techniques comprennent :

  • Fédération d'identité : Faciliter la connexion sociale (Google, Facebook, Apple) à l'aide du protocole OAuth 2.0.
  • Capture de données : Collecter les coordonnées des invités telles que les adresses e-mail, les noms et les numéros de programme de fidélité.
  • Gestion du consentement : Capturer le consentement explicite d'adhésion pour le marketing, ainsi que l'acceptation des conditions d'utilisation et des politiques de confidentialité, garantissant ainsi la conformité avec des réglementations telles que le règlement général sur la protection des données (GDPR) [1] et le California Consumer Privacy Act (CCPA).
  • Diffusion de publicité et image de marque : Diffuser des bannières promotionnelles ciblées, des publicités vidéo ou des pages de redirection après connexion afin de monétiser l'espace physique.

Parce que la Splash Page est une application web, elle doit être hautement adaptative et optimisée pour les appareils mobiles, qui représentent plus de 80 % des connexions WiFi des invités.

architecture_overview.png

Guide d'implémentation

Le déploiement d'une solution WiFi d'invité de classe entreprise nécessite une coordination étroite entre l'infrastructure réseau et le logiciel cloud. Ce qui suit est un guide d'architecture indépendant des fournisseurs pour implémenter un système de Captive Portal et de Splash Page.

Architecture de déploiement étape par étape

  1. Segmentation du réseau : Configurez un VLAN invité dédié sur vos commutateurs et points d'accès afin d'isoler le trafic invité du réseau d'entreprise interne, des terminaux de point de vente (POS) et des appareils IoT. C'est une exigence clé pour la conformité PCI-DSS [2].
  2. Configuration du SSID : Configurez un SSID ouvert avec le chiffrement Opportunistic Wireless Encryption (OWE) activé si votre matériel le prend en charge, ou un SSID ouvert standard. Activez la redirection vers le Captive Portal au sein du profil SSID sur votre contrôleur sans fil (par exemple, Cisco Catalyst, Aruba Instant On ou Ruckus SmartZone).
  3. Configuration du Walled Garden (ACL) : Avant l'authentification, les appareils invités doivent être autorisés à accéder à certains domaines externes pour que la Splash page s'affiche correctement. C'est ce qu'on appelle le "Walled Garden" ou liste de contrôle d'accès (ACL). Vous devez inclure :
    • Le domaine de votre Splash page hébergée dans le cloud (par exemple, *.purple.ai).
    • Les points de terminaison OAuth des fournisseurs de connexion sociale (par exemple, *.facebook.com, *.google.com, *.apple.com).
    • Les réseaux de diffusion de contenu (CDNs) hébergeant les ressources requises (polices, feuilles de style, images).
  4. Intégration du serveur RADIUS : Configurez le contrôleur sans fil pour utiliser un serveur RADIUS externe (tel que le cloud RADIUS de Purple) pour l'authentification et la comptabilisation (802.1X / AAA) [3].
  5. Personnalisation de la Splash page : Concevez la Splash page au sein du Purple portal, en veillant à la cohérence de la marque, à la réactivité mobile et à la présence de cases à cocher claires pour le consentement légal.
  6. Politiques de session et de bande passante : Définissez des limites de session (par exemple, 8 heures), des limites d'inactivité (par exemple, 30 minutes) et des limites de bande passante par utilisateur (par exemple, 5 Mbps en descendant, 2 Mbps en montant) sur le contrôleur réseau pour éviter les abus et garantir un accès équitable pour tous les invités.
Paramètre technique Captive Portal (Passerelle réseau) Splash Page (Application Cloud)
Couche OSI Couche 2 / Couche 3 (Réseau/Liaison de données) Couche 7 (Application)
Protocoles principaux RADIUS, DHCP, HTTP (redirection 302) HTTP, HTTPS, HTML5, CSS3, OAuth 2.0
Fonctions de base Interception du trafic, contrôle d'accès, limitation de bande passante Interface utilisateur, collecte de données, consentement, image de marque
Visibilité de l'utilisateur Entièrement invisible (mécanisme backend) 100 % visible (écran d'accueil visuel)
Normes de sécurité IEEE 802.1X, WPA3, OWE, PCI-DSS HTTPS, SSL/TLS, GDPR, CCPA
Matériel typique APs sans fil, routeurs passerelles, contrôleurs Serveurs cloud, CDNs

Bonnes pratiques

Pour garantir un réseau WiFi invité hautement disponible, sécurisé et conforme à la loi, les équipes informatiques doivent suivre ces meilleures pratiques de l'industrie :

1. Imposer les certificats HTTPS et SSL/TLS

Tout le trafic entre l'appareil de l'invité et la page de connexion doit être chiffré via HTTPS. L'exécution d'une page de connexion via un protocole HTTP non chiffré expose les données des invités - y compris les identifiants de connexion et les adresses e-mail - à l'interception de paquets et aux attaques de type "man-in-the-middle". Assurez-vous que le domaine de votre page de connexion possède un certificat SSL/TLS valide et publiquement approuvé. Les certificats auto-signés déclenchent de graves avertissements de sécurité sur le navigateur, ce qui incite les invités à abandonner la connexion.

2. Mettre en œuvre l'isolation du réseau

N'acheminez jamais le trafic WiFi invité vers le même VLAN ou sous-réseau que les ressources de l'entreprise. Le trafic invité doit être isolé dans un VLAN dédié aux invités avec des règles de pare-feu strictes empêchant tout routage inter-VLAN vers les sous-réseaux internes. Cela réduit le risque de propagation de logiciels malveillants et d'accès non autorisé aux données sensibles de l'entreprise.

3. Garantir la conformité GDPR et CCPA

Si votre établissement opère dans l'Union européenne, au Royaume-Uni ou en Californie, ou s'il s'adresse à leurs citoyens, votre page de connexion doit respecter des lois strictes en matière de confidentialité des données :

  • Consentement librement donné : les cases d'acceptation du marketing doivent être décochées par défaut. Le consentement aux communications marketing ne peut pas être une condition préalable à l'accès à Internet.
  • Politique de confidentialité claire : proposez un lien direct et facilement accessible vers votre politique de confidentialité sur la page de connexion.
  • Droit à l'oubli (droit à l'effacement) : assurez-vous que votre plateforme WiFi invité (telle que Purple) prend en charge des flux de travail automatisés pour les invités demandant la suppression de leurs données personnelles.

4. Optimiser pour les appareils mobiles et le CNA

Veillez à ce que la page de connexion soit légère et hautement responsive. Évitez les arrière-plans vidéo lourds ou les grandes images non compressées, qui ralentissent le chargement de la page - en particulier dans les environnements à très forte densité comme les stades ou les centres de conférence. Testez la page de connexion sur différents systèmes d'exploitation mobiles pour garantir un affichage optimal dans le navigateur natif du Captive Network Assistant (CNA).

Dépannage et atténuation des risques

Dysfonctionnements courants et stratégies d'atténuation

  • La fenêtre contextuelle du CNA ne s'affiche pas : si la redirection du Captive Portal ne parvient pas à déclencher le CNA de l'appareil, les invités peuvent rester connectés au SSID sans accès à Internet et sans moyen évident de se connecter.
    • Atténuation : assurez-vous que les serveurs DNS attribués aux invités via DHCP sont entièrement fonctionnels et capables de résoudre les domaines externes. Si la résolution DNS échoue, le CNA ne peut pas effectuer son test de connectivité et la redirection n'est jamais déclenchée.
  • Mauvaise configuration du Walled Garden : les invités ne peuvent pas finaliser leur connexion via les réseaux sociaux car la page de connexion OAuth ne se charge pas ou affiche une erreur de connexion.
    • Atténuation : Double-contrôlez l'ACL de la Walled Garden de la passerelle. Les fournisseurs d'authentification sociale modifient fréquemment leurs plages IP et leurs domaines. L'utilisation d'une plateforme de WiFi pour invités gérée dans le cloud comme Purple garantit que les domaines de la Walled Garden sont mis à jour automatiquement et synchronisés avec votre matériel.* Limitations du navigateur CNA : Le navigateur CNA natif sur les appareils mobiles possède des fonctionnalités limitées par rapport aux navigateurs standard tels que Safari ou Chrome. Il peut bloquer les cookies, les popups ou les redirections externes.
    • Atténuation : Évitez le JavaScript complexe ou les intégrations tierces sur la page de connexion qui nécessitent la persistance des cookies ou des fenêtres popups. Gardez le flux d'authentification aussi simple et direct que possible.

ROI et impact commercial

Comprendre la distinction entre le Captive Portal et la page de connexion permet aux organisations de maximiser le retour sur investissement (ROI) en optimisant à la fois les performances du réseau et l'utilité commerciale de leurs réseaux WiFi pour invités.

La valeur commerciale d'une solution doublement optimisée

  • Engagement accru des invités : Par rapport à une page d'accueil générique et sans marque, une page de connexion conçue par des professionnels - lorsqu'elle est combinée avec les produits phares de Purple tels que Guest WiFi et WiFi Analytics [4] [5] - peut augmenter les taux de connexion des invités jusqu'à 40 %.
  • Capture de données de première partie enrichie : En proposant une connexion transparente via les réseaux sociaux et des formulaires structurés, les établissements de secteurs tels que le Commerce de détail , l' Hôtellerie , la Santé et les Transports peuvent capturer des adresses e-mail propres et vérifiées, des données démographiques ainsi que des données sur la fréquence des visites.
  • Opportunités de monétisation : Utiliser la page de connexion pour la monétisation des médias de vente au détail permet aux établissements de diffuser des publicités ciblées aux invités au moment de la connexion, profitant ainsi du marché de la publicité numérique en forte croissance.
  • Efficacité opérationnelle : Un Captive Portal robuste réduit les tickets d'assistance informatique en automatisant l'intégration des appareils, en gérant les expirations de session et en appliquant des limites de bande passante pour éviter la congestion du réseau.

En déployant la solution de classe entreprise de Purple, les établissements peuvent s'assurer que leur architecture réseau est sécurisée et conforme tout en offrant à leurs équipes marketing une liberté de création totale pour concevoir de magnifiques pages de connexion à fort taux de conversion qui fidélisent les clients et génèrent des revenus.

Références

Définitions clés

Captive Portal

Mécanisme de couche réseau qui intercepte le trafic client et restreint l'accès à internet tant que les critères d'authentification ne sont pas remplis.

Rencontré par les équipes informatiques lors de la configuration des contrôleurs sans fil, des passerelles ou des pare-feu pour rediriger les adresses MAC non authentifiées.

Splash Page

Page d'atterrissage visuelle et web affichée dans le navigateur d'un visiteur, facilitant l'authentification, la capture de données et l'engagement avec la marque.

Gérée par les équipes marketing et d'exploitation des sites pour concevoir l'expérience d'intégration des utilisateurs et collecter les données clients.

Captive Network Assistant (CNA)

Fonctionnalité intégrée du système d'exploitation sur les appareils mobiles qui détecte automatiquement un Captive Portal et ouvre la splash page dans une fenêtre de navigateur système.

Crucial pour l'expérience utilisateur, car il évite aux visiteurs d'avoir à ouvrir manuellement un navigateur pour se connecter.

Walled Garden (ACL)

Liste d'adresses IP ou de domaines qu'un utilisateur non authentifié est autorisé à consulter avant de se connecter au réseau.

Doit être configuré correctement sur la passerelle sans fil pour permettre le chargement de la splash page et des flux OAuth de connexion sociale.

RADIUS (Remote Authentication Dial-In User Service)

Protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la traçabilité (AAA) pour les utilisateurs se connectant à un réseau.

Utilisé par le Captive Portal pour vérifier les identifiants des visiteurs par rapport à une base de données et accorder l'accès au réseau.

MAC Address Bypass (MAB)

Mécanisme qui permet à un appareil de contourner l'écran de connexion du Captive Portal lors des connexions suivantes en mémorisant son adresse MAC matérielle.

Utilisé pour créer une expérience fluide pour les visiteurs réguliers en éliminant le besoin de se connecter à plusieurs reprises.

Opportunistic Wireless Encryption (OWE)

Norme WiFi (faisant partie du WPA3) qui fournit un chiffrement sur les réseaux ouverts sans nécessiter de mot de passe partagé.

Permet une transmission sécurisée des données sur les réseaux WiFi publics pour les visiteurs tout en permettant la redirection vers le Captive Portal.

VLAN Segmentation

Pratique consistant à diviser un réseau physique en plusieurs réseaux logiques au niveau de la couche 2 pour isoler le trafic.

Essentiel pour les déploiements WiFi invités afin de s'assurer que le trafic des visiteurs est totalement isolé des réseaux d'entreprise sécurisés.

Exemples concrets

Une chaîne nationale de vente au détail comptant 150 magasins souhaite mettre en œuvre un réseau WiFi invité qui collecte les adresses e-mail des clients à des fins de marketing, mais son équipe de sécurité informatique craint que le trafic des invités n'accède aux systèmes de point de vente (POS) de l'entreprise. Comment cette architecture doit-elle être conçue ?

  1. Configurez un VLAN invité dédié (par exemple, VLAN 50) sur tous les commutateurs et points d'accès des 150 magasins, complètement isolé du VLAN POS de l'entreprise (VLAN 10) à l'aide d'ACL de pare-feu. 2. Activez la redirection de captive portal sur l'SSID invité, en orientant l'URL de redirection vers la splash page sécurisée hébergée sur le cloud de Purple. 3. Configurez la passerelle réseau pour restreindre tout le trafic pré-authentifié sur le VLAN 50, en autorisant uniquement l'accès au DNS, au DHCP et aux domaines du Walled Garden de Purple. 4. Utilisez l'intégration de Purple avec le contrôleur sans fil pour authentifier les invités via RADIUS, en accordant l'accès à Internet uniquement après que l'invité a fourni une adresse e-mail vérifiée et accepté les conditions d'utilisation sur la splash page.
Commentaire de l'examinateur : Cette architecture atteint le double objectif du marketing et de la sécurité. En séparant les couches réseau (segmentation VLAN aux couches 2/3) de la couche application (collecte d'e-mails sur la splash page à la couche 7), la chaîne de vente au détail garantit la conformité PCI-DSS pour ses systèmes de point de vente tout en maximisant la collecte de données marketing.

Un stade de sport de 50 000 places souhaite offrir un accès WiFi gratuit pendant les événements. L'équipe des opérations souhaite une expérience de connexion fluide pour éviter la congestion du réseau au début des matchs, tandis que l'équipe marketing souhaite afficher des publicités vidéo de sponsors sur la splash page. Comment équilibrer ces exigences ?

  1. Déployez des points d'accès haute densité et configurez un captive portal avec un contournement d'adresse MAC (MAB) défini sur 30 jours, afin que les supporters de retour n'aient pas à voir la splash page à chaque visite. 2. Pour les nouvelles connexions, concevez une splash page ultra-légère, optimisée pour un chargement rapide sur les appareils mobiles. 3. Intégrez une courte publicité vidéo de sponsor de 5 secondes qui se lance directement sur la splash page, avec un bouton "Passer et se connecter" qui déclenche immédiatement l'authentification du captive portal. 4. Configurez le captive portal pour allouer un profil de bande passante généreux (par exemple, 10 Mbps) par utilisateur afin de garantir une diffusion vidéo et une navigation web fluides.
Commentaire de l'examinateur : Dans les environnements à haute densité, la performance est primordiale. L'utilisation du MAB pour les supporters de retour réduit considérablement la charge sur le captive portal et les serveurs RADIUS pendant les heures de pointe. La conception d'une splash page légère et la courte publicité vidéo garantissent que l'équipe marketing atteint ses objectifs de parrainage sans causer de frustration sur le réseau ni de retards d'intégration.

Un grand hôpital public souhaite fournir un accès WiFi invité aux patients et aux visiteurs. L'équipe de conformité exige que le réseau respecte les normes de confidentialité des données de santé et que les patients ne puissent pas accéder à des contenus web malveillants ou inappropriés. Quelle est la stratégie de déploiement recommandée ?

  1. Configurez le captive portal pour rediriger les utilisateurs vers une splash page contenant un avis de confidentialité et des conditions d'utilisation clairs et spécifiques au secteur de la santé. 2. Intégrez la passerelle du captive portal à un service de filtrage DNS basé sur le cloud (tel que Cisco Umbrella ou Webroot) pour bloquer automatiquement l'accès aux contenus pour adultes, aux logiciels malveillants et aux sites de phishing. 3. Désactivez les options de connexion via les réseaux sociaux pour éviter la collecte de données personnelles inutiles, en vous appuyant plutôt sur un simple bouton "Accepter et se connecter" ou sur un formulaire de vérification d'e-mail de base. 4. Appliquez une limitation stricte de la bande passante sur le captive portal afin de donner la priorité aux applications cliniques et aux appareils IoT de l'hôpital par rapport au trafic de streaming des invités.
Commentaire de l'examinateur : Les environnements de santé nécessitent une approche prudente de la confidentialité des données et du filtrage de contenu. En omettant la connexion via les réseaux sociaux, l'hôpital minimise son empreinte de conformité avec les réglementations sur les données de santé. L'intégration du filtrage DNS directement au niveau de la passerelle du Captive Portal garantit que les politiques de contenu sont appliquées à l'échelle du réseau, indépendamment des actions de l'utilisateur sur la splash page.

Questions d'entraînement

Q1. Un responsable informatique constate que les visiteurs se connectent au SSID WiFi invité, mais que la splash page personnalisée n'apparaît pas et que les utilisateurs ne peuvent pas accéder à internet. Quelle est la cause technique la plus probable de ce problème, et comment doit-elle être diagnostiquée ?

Conseil : Considérez le rôle du DNS dans le processus de redirection du Captive Portal.

Voir la réponse type

La cause la plus probable est une défaillance dans le processus de résolution DNS. Lorsqu'un appareil se connecte, il doit résoudre le nom de domaine de la splash page pour charger l'écran d'accueil. Si le serveur DNS attribué au VLAN invité est en panne, mal configuré ou bloqué par les règles de pare-feu de pré-authentification de la passerelle, l'appareil ne peut pas résoudre le domaine et la redirection échoue. Pour diagnostiquer, connectez un appareil de test au SSID, vérifiez qu'il reçoit une IP et une adresse de serveur DNS valides via DHCP, puis tentez de lancer un ping ou de résoudre un domaine public. Si le DNS échoue, vérifiez l'état du serveur DNS et assurez-vous que le trafic DNS (port UDP 53) est autorisé dans l'ACL de pré-authentification de la passerelle.

Q2. Un point de vente souhaite permettre aux visiteurs de se connecter en utilisant leurs comptes Facebook. Cependant, lorsque les utilisateurs cliquent sur le bouton de connexion Facebook sur la splash page, ils reçoivent une erreur "Connexion refusée". Le reste de la splash page se charge parfaitement. Quel est le problème et comment le résolvez-vous ?

Conseil : Pensez aux ressources externes auxquelles un appareil pré-authentifié est autorisé à accéder.

Voir la réponse type

Le problème est que les domaines d'authentification Facebook ne sont pas inclus dans la liste de contrôle d'accès (ACL) du Walled Garden de pré-authentification de la passerelle. L'utilisateur n'étant pas encore authentifié, le Captive Portal bloque tout le trafic externe. Lorsque l'utilisateur clique sur le bouton Facebook, le navigateur tente de joindre les serveurs OAuth de Facebook, ce qui est bloqué par la passerelle. Pour résoudre ce problème, l'équipe informatique doit ajouter les domaines OAuth de Facebook requis (par exemple, *.facebook.com, *.facebook.net) à l'ACL du Walled Garden sur le contrôleur sans fil ou la passerelle.

Q3. Un établissement hôtelier a déployé un réseau WiFi pour les visiteurs. L'équipe marketing souhaite collecter les adresses e-mail des visiteurs et envoyer immédiatement une newsletter de bienvenue. Cependant, l'équipe juridique s'inquiète de la conformité avec le GDPR concernant le consentement. Comment le splash page et le Captive Portal doivent-ils être configurés pour satisfaire les deux équipes ?

Conseil : Le GDPR exige que le consentement pour le marketing soit donné librement et ne soit pas une condition de service.

Voir la réponse type

Pour satisfaire à la fois les équipes marketing et juridiques dans le cadre du GDPR : 1. Le splash page doit comporter une case à cocher claire et non pré-cochée pour l'inscription au marketing (« Je consens à recevoir des e-mails marketing »). 2. L'acceptation des conditions d'utilisation et de la politique de confidentialité doit faire l'objet d'une case à cocher distincte ou être clairement énoncée comme une condition d'utilisation du réseau gratuit. 3. Le système de Captive Portal et de splash page sous-jacent doit être configuré pour accorder l'accès à internet, que la case marketing soit cochée ou non. Si un utilisateur laisse la case marketing décochée mais accepte les conditions d'utilisation, le système doit tout de même envoyer un paquet Access-Accept au contrôleur réseau. Cela garantit que le consentement est donné librement, conformément au GDPR, tout en permettant au marketing de collecter les e-mails des utilisateurs qui ont choisi de s'inscrire.