Architettura Captive Portal: sicurezza, reindirizzamento e best practice

Parla in inglese britannico con un tono sicuro, autorevole e colloquiale - come un consulente di rete senior che fa un briefing a un cliente davanti a un caffè. Ritmo misurato, dizione chiara, senza fretta. Pause naturali occasionali per dare enfasi. Professionale ma non rigido: Benvenuti al Purple Technical Briefing. Sono il vostro ospite e oggi approfondiremo l'architettura dei Captive Portal, in particolare il modello di sicurezza, i meccanismi di reindirizzamento e le decisioni di progettazione che distinguono un'implementazione conforme e ben progettata da una che vi causerà problemi alle tre del mattino. [medium pause] Inquadriamo la situazione. Gestite il WiFi per gli ospiti in una catena di hotel, in una rete di punti vendita o in uno stadio. Migliaia di dispositivi si connettono ogni giorno. Alcuni di questi dispositivi contengono malware. Alcuni di questi utenti cercheranno di accedere a contenuti a cui non dovrebbero accedere. E il vostro team legale vuole la conferma scritta che abbiate ottenuto un consenso valido prima di memorizzare un singolo byte di dati personali. [medium pause] Questo è il problema che l'architettura dei Captive Portal è progettata per risolvere. Vediamo nel dettaglio come funziona concretamente. [medium pause] Sezione uno. La catena di reindirizzamento. Quando un dispositivo ospite si connette al vostro SSID WiFi, riceve un indirizzo IP da un pool DHCP su una VLAN dedicata agli ospiti, chiamiamola VLAN 20. I vostri dispositivi aziendali si trovano sulla VLAN 10. Queste due VLAN non devono mai instradarsi l'una verso l'altra. Questo è un punto non negoziabile dal punto di vista dello standard PCI DSS e, francamente, anche dal punto di vista della sicurezza di base. Ora, il dispositivo è connesso, ma non è ancora autenticato. Il controller lo inserisce in quello che chiamiamo stato di pre-autenticazione. Il dispositivo può raggiungere solo una whitelist limitata di domini, il cosiddetto walled garden. Tutto il resto viene intercettato. Ecco la parte ingegnosa. Quando il dispositivo tenta di caricare una pagina web, o quando il sistema operativo esegue il controllo di rilevamento del Captive Portal (cosa che iOS fa automaticamente contattando captive.apple.com), il risolutore DNS sul gateway restituisce l'indirizzo IP del server del Captive Portal invece della destinazione reale. Il browser segue quel reindirizzamento e atterra sulla vostra splash page. [medium pause] Si tratta della collaborazione tra il Layer 3 e il Layer 7. La VLAN gestisce l'isolamento della rete. L'intercettazione DNS gestisce il reindirizzamento. E il Captive Portal gestisce il livello di identità e consenso. Tre meccanismi distinti, che funzionano tutti in sequenza. [medium pause] Sezione due. Autenticazione e RADIUS. Una volta che l'ospite interagisce con la splash page, che si tratti di accettare i termini e le condizioni, inserire un indirizzo email, autenticarsi tramite social login o verificare un codice SMS, la piattaforma deve indicare al controller di rete di aprire il firewall per quel dispositivo specifico. È qui che entra in gioco RADIUS. RADIUS sta per Remote Authentication Dial-In User Service. È un protocollo definito nella specifica RFC 2865 ed è lo standard del settore per comunicare le decisioni di autenticazione tra un policy server e un dispositivo di accesso alla rete. Purple opera come server RADIUS ospitato nel cloud. Quando un ospite completa il flusso del Captive Portal, Purple invia un messaggio RADIUS Access-Accept al controller WiFi locale, che si tratti di un Cisco Meraki, di un controller HPE Aruba, di un Ruckus SmartZone o di un access point Juniper Mist. Il controller riceve questo messaggio e fa passare il dispositivo dell'ospite dallo stato di pre-autenticazione allo stato autorizzato, aprendo le regole del firewall e concedendo l'accesso a Internet. [medium pause] Esiste un'importante estensione di RADIUS da conoscere: Change of Authorisation, o CoA. La CoA consente al server RADIUS di inviare un messaggio di metà sessione al controller per revocare o modificare una sessione già attiva. Purple utilizza la CoA per applicare i timeout di sessione, disconnettere i dispositivi segnalati per violazioni delle policy e supportare i flussi di lavoro di diritto alla cancellazione ai sensi del GDPR, in cui un utente richiede l'eliminazione dei propri dati e Purple può revocare immediatamente la sua sessione attiva. [medium pause] Sezione tre. Il walled garden. Il walled garden è una whitelist di indirizzi IP e nomi di dominio che i dispositivi non autenticati possono raggiungere prima di aver completato il flusso del Captive Portal. Se sbagli questo passaggio, la tua splash page non si caricherà. Se lo sbagli gravemente, avrai creato una falla di sicurezza. Come minimo, il tuo walled garden deve includere l'URL del Captive Portal stesso, tutti gli endpoint CDN che distribuiscono gli asset del portale e gli endpoint di autenticazione per tutti i provider di social login in uso: Google, Facebook, Microsoft. Se utilizzi la verifica tramite SMS, dovrai inserire nella whitelist l'endpoint API del gateway SMS. La trappola che colpisce la maggior parte delle implementazioni sono gli indirizzi IP dinamici. I servizi cloud non hanno sempre IP statici. Se inserisci nella whitelist un IP anziché un dominio e quell'IP cambia, il tuo portale smette di funzionare. Utilizza la whitelist basata su dominio se il tuo controller la supporta e testa dopo ogni modifica. [medium pause] Sezione quattro. Progettazione della sicurezza. Parliamo più in dettaglio dell'architettura di sicurezza, perché è qui che la maggior parte delle implementazioni presenta lacune. Primo: client isolation. Abilitalo. Si tratta di un'impostazione sull'access point che impedisce ai dispositivi degli ospiti di comunicare direttamente tra loro tramite il mezzo wireless. Senza di essa, un dispositivo compromesso sulla tua rete ospiti può scansionare e attaccare altri dispositivi ospiti. È una soluzione da una sola casella di controllo che elimina un'intera classe di attacchi peer-to-peer. Secondo: tempi di lease DHCP. In una sede ad alto ricambio (uno snodo di trasporti, uno stadio, un negozio molto frequentato) sono necessari tempi di lease brevi. Da trenta a sessanta minuti. Se lasci l'impostazione predefinita a ventiquattro ore e hai diecimila dispositivi che si connettono nel giorno della partita, esaurirai il pool di indirizzi IP prima dell'intervallo. I nuovi dispositivi non si connetteranno. Il tuo team operativo riceverà reclami. Mantieni i lease brevi. Terzo: la crittografia. Il tuo Captive Portal deve essere erogato tramite HTTPS con un certificato TLS valido. Se viene erogato tramite HTTP, i browser moderni lo segnaleranno come non sicuro, gli utenti non si fideranno e trasmetterai le credenziali in chiaro. Utilizza come minimo TLS 1.2; TLS 1.3 è preferibile. Il livello di trasporto WiFi deve utilizzare WPA2-AES o WPA3 - mai WEP, mai TKIP. Quarto: segmentazione VLAN. La tua VLAN guest deve essere completamente isolata da qualsiasi segmento di rete che tocchi i dati delle carte di pagamento. La versione 4.0 di PCI DSS è esplicita su questo. Se la tua rete guest può instradare verso una sottorete contenente un sistema point-of-sale, l'intera rete POS rientra nell'ambito di un audit PCI. Questo è un onere di conformità significativo. Segmenta correttamente fin dal primo giorno. [medium pause] Sezione cinque. GDPR e conformità dei dati. Ogni Captive Portal che raccoglie dati personali - e l'indirizzo e-mail, il numero di telefono e il login social contano tutti come dati personali ai sensi del GDPR - deve soddisfare requisiti specifici. È necessaria una base giuridica per il trattamento. Per il WiFi guest, questa è solitamente il consenso. Il consenso deve essere espresso liberamente, specifico, informato e inequivocabile. Le caselle preselezionate non sono valide. Abbinare il consenso al WiFi con il consenso al marketing non è valido. Il modello di opt-in a scelta consapevole di Purple separa il consenso all'accesso alla rete dal consenso al marketing, in modo che gli ospiti possano connettersi online senza essere costretti ad accettare e-mail di marketing. È necessario documentare quali dati vengono raccolti, perché vengono raccolti, dove sono memorizzati e per quanto tempo vengono conservati. Purple è certificato ISO 27001, conforme al GDPR, conforme al CCPA e certificato Cyber Essentials. La piattaforma memorizza i dati in data center conformi con politiche di conservazione documentate. E hai bisogno di un flusso di lavoro per il diritto alla cancellazione. Se un ospite richiede la cancellazione dei propri dati, devi essere in grado di agire entro trenta giorni. La piattaforma di Purple supporta questo nativamente, e il meccanismo RADIUS CoA che ho menzionato prima ti consente di revocare le sessioni attive allo stesso tempo. [medium pause] Ora passiamo alle raccomandazioni di implementazione e alle trappole che vediamo più spesso. [medium pause] Trappola uno: walled garden configurati in modo errato. La splash page si carica, ma il pulsante di login social non funziona. Oppure la pagina si carica ma il logo non appare perché il dominio CDN non è inserito nella whitelist. Testa il tuo walled garden su un dispositivo nuovo senza DNS memorizzato nella cache prima di andare live. Trappola due: PSK condivise. Alcuni locali utilizzano ancora una singola password WiFi scritta su una lavagna. Questo non è un Captive Portal - questo è un segreto condiviso che chiunque può fotografare e condividere. Non ti fornisce dati sull'identità, nessun registro dei consensi e nessuna possibilità di revocare l'accesso individuale. Sostituiscilo con un Captive Portal gestito. Trappola tre: dimensionamento insufficiente del pool DHCP. Ne ho già parlato, ma vale la pena ripeterlo. Dimensiona il tuo pool DHCP per le connessioni simultanee di picco, non per le connessioni medie. In uno stadio con quarantamila tifosi, potresti avere ventimila dispositivi che cercano di connettersi contemporaneamente. Pianifica di conseguenza. Quarto errore: nessun timeout di sessione. Senza un timeout di sessione, un dispositivo che si è connesso sei mesi fa e non è mai tornato mantiene comunque uno stato di sessione autorizzato nel controller. Si tratta di un record obsoleto che spreca risorse e crea rumore nei log di audit. Imposta i timeout di sessione. Trenta minuti di inattività rappresentano un valore predefinito ragionevole. [medium pause] Domande e risposte rapide. Domanda: Il Captive Portal funziona su tutti i dispositivi? Risposta: I sistemi operativi moderni — iOS, Android, Windows, macOS — dispongono tutti di un rilevamento integrato del Captive Portal. Rilevano il reindirizzamento e presentano il portale automaticamente. I dispositivi più vecchi potrebbero richiedere all'utente di aprire manualmente un browser. La piattaforma di Purple gestisce entrambi i flussi. Domanda: Possiamo usare il Captive Portal insieme a 802.1X? Risposta: Sì. Molte distribuzioni aziendali utilizzano 802.1X per i dispositivi del personale — dove i certificati o le credenziali si autenticano automaticamente — e un Captive Portal per i dispositivi degli ospiti su un SSID separato. Purple si integra con l'infrastruttura RADIUS che supporta entrambi i flussi contemporaneamente. Domanda: E per quanto riguarda OpenRoaming? Risposta: OpenRoaming è uno standard che consente ai dispositivi di connettersi automaticamente al WiFi utilizzando l'autenticazione basata su certificati, bypassando completamente il Captive Portal. Purple funge da identity provider gratuito per OpenRoaming con la licenza Connect. Rappresenta la direzione futura per una connettività guest fluida, ma i Captive Portal rimangono oggi lo standard per l'acquisizione dei dati e la gestione del consenso. [medium pause] In sintesi. Un'implementazione di un Captive Portal ben progettata si basa su cinque pilastri. Isolamento VLAN per proteggere la rete aziendale. Intercettazione DNS e reindirizzamento HTTPS per presentare la splash page. Autenticazione RADIUS per aprire il firewall dopo il consenso. Un walled garden configurato correttamente per garantire che il portale si carichi in modo affidabile. E una gestione dei dati conforme al GDPR per proteggere sia i tuoi ospiti che la tua organizzazione. La piattaforma di Purple gestisce tutti e cinque i livelli in 80.000 sedi attive, con 440 milioni di accessi elaborati nel 2024 e un uptime del 99,999%. Si integra nativamente con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet — quindi, qualunque sia l'hardware in uso, è possibile distribuirla senza dover sostituire l'infrastruttura esistente. Se desideri approfondire uno di questi argomenti — progettazione SSID, configurazione RADIUS o flussi di lavoro per la conformità GDPR — visita purple.ai per la libreria completa delle guide tecniche. Grazie per l'ascolto.