Vai al contenuto principale

Captive Portal vs Splash Page

Questa guida autorevole analizza la differenza fondamentale tra i captive portal e le splash page nelle reti WiFi per ospiti. Chiarisce come il meccanismo di intercettazione di rete sottostante funzioni in sinergia con l'interfaccia visiva per gli ospiti, aiutando i responsabili IT e i gestori delle sedi a prendere decisioni architetturali e di acquisto consapevoli.

📖 8 minuti di lettura📝 1,872 parole🔧 3 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
CAPTIVE PORTAL VS SPLASH PAGE - UN DOCUMENTO TECNICO PURPLE Script del podcast - Circa 10 minuti Voce inglese del Regno Unito --- SEGMENTO 1: INTRODUZIONE E CONTESTO (circa 1 minuto) Benvenuti alla serie Purple Technical Briefing. Sono il vostro ospite e oggi faremo chiarezza su una delle fonti di confusione più persistenti nell'approvvigionamento e nell'implementazione del WiFi per gli ospiti: la differenza tra un captive portal e una splash page. Se vi è capitato di partecipare a una riunione con un fornitore e di sentire usare questi due termini in modo intercambiabile, non siete i soli. Succede continuamente - nei documenti di RFP, nelle presentazioni delle strategie IT, persino nelle conversazioni tra ingegneri di rete che dovrebbero saperne di più. E questa confusione è importante, perché quando si confondono le due cose, si finisce per sovradimensionare il componente sbagliato, per sotto-investire in quello giusto o, peggio, per implementare una soluzione WiFi per gli ospiti che ha un bell'aspetto ma non ha un adeguato controllo di rete alla base, oppure una soluzione tecnicamente solida che però allontana gli ospiti con una schermata di login goffa e priva di brand. Quindi facciamo chiarezza oggi. Al termine di questo briefing, avrete un modello mentale chiaro di ciò che fa ciascun componente, di come interagiscono e di cosa cercare quando valutate le soluzioni per la vostra sede, che si tratti di un hotel, di un punto vendita, di uno stadio o di un edificio della pubblica amministrazione. --- SEGMENTO 2: APPROFONDIMENTO TECNICO (circa 5 minuti) Iniziamo con il captive portal, perché è la base su cui si poggia tutto il resto. Un captive portal è un meccanismo a livello di rete. Il suo compito è intercettare tutto il traffico in uscita da un dispositivo appena connesso e trattenerlo in una sorta di sala d'attesa digitale fino a quando tale dispositivo non è stato autenticato. Quando un ospite si connette al vostro SSID WiFi, il suo dispositivo riceve un indirizzo IP tramite DHCP - questa parte funziona normalmente. Ma prima che sia consentito il passaggio di effettivo traffico internet, il captive portal lo intercetta. Ecco la sequenza tecnica. Il dispositivo dell'ospite invia una richiesta HTTP o HTTPS - potrebbe cercare di caricare un sito web o potrebbe trattarsi del controllo di connettività del sistema operativo stesso, che i dispositivi moderni come iPhone e telefoni Android eseguono automaticamente. Il controller del captive portal - che risiede sul controller wireless, sul router o su una piattaforma basata su cloud - intercetta la query DNS o la richiesta HTTP e la reindirizza. Invece di raggiungere internet, il dispositivo riceve una risposta di reindirizzamento che punta a un URL specifico. Quell'URL è il luogo in cui risiede la splash page. Ora, il meccanismo di reindirizzamento stesso utilizza una delle due tecniche principali. La prima è il dirottamento DNS - il captive portal intercetta le query DNS e restituisce l'indirizzo IP del server del portale invece della destinazione reale. La seconda è il reindirizzamento HTTP - il portale intercetta la richiesta HTTP a livello di gateway e invia una risposta di reindirizzamento 302. Per il traffico HTTPS, questo processo è più complesso, perché non è possibile intercettare una sessione crittografata senza attivare un avviso di certificato. Ecco perché la maggior parte delle implementazioni di captive portal si affida al Captive Network Assistant integrato nel sistema operativo - la finestra pop-up che appare sul telefono quando ci si connette a una nuova rete - che utilizza un endpoint HTTP noto per rilevare i captive portal prima di tentare connessioni HTTPS. A livello di rete, il captive portal applica il controllo degli accessi utilizzando regole di firewall. I dispositivi non autenticati vengono inseriti in una VLAN o sottorete limitata in cui tutto il traffico, ad eccezione di quello DNS e HTTP verso il server del portale, è bloccato. Una volta confermata l'autenticazione - che si tratti di un semplice clic, di un social login, dell'acquisizione di un'e-mail o di uno scambio completo di credenziali 802.1X - il controller del portale aggiorna le regole del firewall per l'indirizzo MAC di quel dispositivo, spostandolo dalla zona limitata alla zona autorizzata con accesso completo a Internet. Questo è importante: il captive portal è invisibile per l'ospite. Non lo vede mai direttamente. Ciò che vede è la splash page. La splash page è il livello applicativo - è l'HTML, il CSS e il JavaScript che viene visualizzato nel browser dell'ospite o nella finestra pop-up del Captive Network Assistant. È l'interfaccia visiva: il tuo brand, il tuo logo, il tuo messaggio di benvenuto, i tuoi termini e condizioni, i tuoi pulsanti di social login, le tue caselle di controllo per l'adesione al marketing. È ciò che trasforma un freddo evento di autenticazione di rete in un'esperienza ospite personalizzata con il tuo brand. Pensala in questo modo. Il captive portal è il buttafuori alla porta - decide chi entra e applica le regole. La splash page è la reception - è il volto della tua struttura, raccoglie informazioni e fa sentire l'ospite il benvenuto. Hai bisogno di entrambi, ed entrambi devono funzionare insieme in modo ottimale. Ora, perché questa distinzione è importante dal punto di vista commerciale? Perché quando valuti una soluzione WiFi per gli ospiti, devi porre domande diverse per ciascun componente. Per il captive portal, ti chiederai: Quali metodi di autenticazione supporta? Può gestire l'802.1X per i dispositivi aziendali insieme al social login per gli ospiti? Supporta il bypass dell'indirizzo MAC per i dispositivi che non possono visualizzare un browser? Come gestisce i timeout di sessione e la riautenticazione? È conforme ai tuoi obblighi di protezione dei dati ai sensi del GDPR? Si integra con la tua infrastruttura RADIUS? Può segmentare il traffico per tipo di utente - separando il traffico degli ospiti da quello del personale a livello di rete? Per la splash page, ti chiederai: quanto è personalizzabile? Il tuo team di marketing può modificarla senza toccare la configurazione di rete? Supporta gli A/B test? Può mostrare contenuti diversi a segmenti di utenti differenti — ad esempio, membri del programma fedeltà rispetto ai visitatori che accedono per la prima volta? Supporta sfondi video, banner promozionali o pagine di reindirizzamento successive alla connessione? Come si comporta sui dispositivi mobili? È accessibile? Si tratta di criteri di acquisto fondamentalmente diversi, e confonderli porta a decisioni errate. Abbiamo visto organizzazioni investire molto nel design di una bellissima splash page per poi scoprire che il captive portal sottostante non supportava i metodi di autenticazione richiesti dalla loro politica di sicurezza IT. Abbiamo visto anche il contrario — implementazioni di captive portal tecnicamente robuste con splash page progettate così male che i tassi di adozione da parte degli ospiti si aggiravano intorno al trenta percento. Parliamo degli standard alla base di tutto questo. Il meccanismo del captive portal non ha un unico standard di riferimento, ma opera all'interno di un quadro di riferimento composto da diversi standard importanti. IEEE 802.1X è lo standard di controllo dell'accesso alla rete basato su porta che regola il modo in cui i dispositivi si autenticano a una rete utilizzando credenziali, certificati o token. È la base della sicurezza WiFi aziendale ed è sempre più rilevante anche nei contesti di WiFi per gli ospiti, dove si desidera offrire un accesso continuo e basato su credenziali ai visitatori che ritornano. WPA3, l'ultimo protocollo di sicurezza WiFi, introduce la Opportunistic Wireless Encryption, che crittografa il traffico anche sulle reti aperte — un aspetto rilevante per le implementazioni di captive portal perché modifica il funzionamento dell'handshake di connessione iniziale. Dal punto di vista della conformità, il GDPR ha implicazioni significative per il design della splash page. Se la tua splash page raccoglie dati personali — un indirizzo email, un nome, un login social — hai bisogno di un consenso esplicito e informato, di un'informativa sulla privacy chiara e di una base giuridica per il trattamento. La splash page è il luogo in cui viene acquisito tale consenso, ma il captive portal è lo strumento che applica il collegamento tra consenso e accesso. Se un ospite rifiuta l'adesione al marketing, il captive portal deve comunque concedergli l'accesso a internet — il consenso al marketing non può essere una condizione per accedere alla rete ai sensi del GDPR. Il PCI-DSS è rilevante se la tua rete WiFi per gli ospiti rientra nell'ambito degli ambienti di dati delle carte di pagamento — tipicamente nel retail o nell'hospitality. La segmentazione della rete imposta dal captive portal è un controllo chiave in questo caso, poiché garantisce che il traffico degli ospiti sia isolato dai sistemi di pagamento. - SEGMENTO 3: RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE DA EVITARE (circa 2 minuti) Lascia che ti presenti due scenari reali che illustrano come questo si traduce in pratica. In primo luogo, un gruppo alberghiero da 200 camere. Hanno distribuito una soluzione WiFi per gli ospiti in cui la pagina di benvenuto era splendidamente personalizzata con il loro brand - il loro logo, un messaggio di benvenuto, un'offerta promozionale per la spa. Ma il Captive Portal sottostante era un'implementazione open-source di base che utilizzava il dirottamento DNS senza alcuna gestione delle sessioni. Il risultato: agli ospiti che tornavano in hotel veniva richiesto di accedere nuovamente a ogni visita, anche all'interno dello stesso soggiorno. La pagina di benvenuto era fantastica, ma il Captive Portal non aveva persistenza dell'indirizzo MAC, nessuna configurazione del timeout di sessione e nessuna integrazione con il sistema di gestione della proprietà. La soluzione ha richiesto la sostituzione completa del controller del Captive Portal - la pagina di benvenuto andava bene. In secondo luogo, una catena di vendita al dettaglio nazionale. Hanno implementato un Captive Portal di livello aziendale con supporto completo 802.1X, integrazione RADIUS e una sofisticata segmentazione del traffico. Ma la loro pagina di benvenuto era un modello predefinito - bianco e semplice, senza branding, con un messaggio generico "Connettiti al WiFi". L'adozione da parte degli ospiti era del 34%. Dopo aver investito in una pagina di benvenuto con un brand ben progettata e con un'opzione di accesso social con un solo clic, l'adozione è salita al 71% in tre mesi. Il Captive Portal non era cambiato affatto. La lezione di entrambi gli scenari: questi componenti separati richiedono investimenti separati e competenze separate. Non lasciare che il tuo team di rete gestisca il design della pagina di benvenuto e non lasciare che il tuo team di marketing prenda decisioni sull'architettura del Captive Portal. Errori comuni da evitare: in primo luogo, presumere che una pagina di benvenuto sia un Captive Portal. Non lo è. Una pagina di benvenuto senza un Captive Portal è solo una pagina web che nessuno è costretto a visitare. In secondo luogo, distribuire un Captive Portal senza supporto HTTPS per la pagina di benvenuto. Qualsiasi dato raccolto su una pagina di benvenuto non crittografata - indirizzi email, credenziali di accesso - viene trasmesso in chiaro. Questo è un rischio per il GDPR e per la sicurezza. In terzo luogo, ignorare l'esperienza mobile. Oltre l'80% delle connessioni WiFi degli ospiti proviene da dispositivi mobili. Se la tua pagina di benvenuto non è ottimizzata per i dispositivi mobili, stai creando attrito proprio nel momento in cui dovresti creare un'impressione positiva del brand. --- SEGMENTO 4: DOMANDE E RISPOSTE RAPIDE (circa 1 minuto) Vediamo rapidamente alcune domande che sentiamo regolarmente. Posso avere una pagina di benvenuto senza un Captive Portal? Tecnicamente sì - puoi ospitare una pagina web e indirizzare le persone ad essa - ma senza il Captive Portal che impone il reindirizzamento, gli ospiti non hanno motivo di visitarla. Non avresti acquisizione di dati, nessuna gestione del consenso e nessun controllo dell'accesso alla rete. Posso avere un Captive Portal senza una pagina di benvenuto? Sì, e questo è comune negli ambienti aziendali in cui 802.1X gestisce l'autenticazione in modo invisibile. Ma per le distribuzioni rivolte agli ospiti, quasi sempre desideri una pagina di benvenuto per gestire l'esperienza utente e l'acquisizione dei dati. WPA3 blocca i Captive Portal? No, se implementato correttamente. WPA3 con Opportunistic Wireless Encryption è compatibile con le distribuzioni di Captive Portal, ma richiede che il portale utilizzi HTTPS e che la rete pubblicizzi correttamente l'URL del portale. Alcuni dispositivi client più vecchi presentano problemi di compatibilità, motivo per cui molte sedi eseguono configurazioni a doppio SSID. Il social login tramite la splash page è sicuro? Dipende dall'implementazione. Il social login basato su OAuth 2.0 - tramite Google, Facebook o Apple - è sicuro se implementato correttamente. La splash page gestisce il flusso OAuth e il Captive Portal riceve un token che conferma l'autenticazione. Il rischio principale risiede nel modo in cui tale token viene convalidato e in cui viene gestita la sessione. - - - SEGMENTO 5: RIEPILOGO E PROSSIMI PASSI (circa 1 minuto) Concludiamo con i punti chiave da ricordare. Uno: un Captive Portal e una splash page non sono la stessa cosa. Il Captive Portal è il meccanismo di controllo della rete - intercetta il traffico e applica le regole di accesso. La splash page è l'interfaccia visiva - è ciò che l'ospite vede e con cui interagisce. Due: lavorano insieme. Il Captive Portal reindirizza l'ospite sulla splash page. La splash page raccoglie l'autenticazione o il consenso. Il Captive Portal concede quindi l'accesso in base a tale risultato. Tre: valutateli separatamente. Ponete domande diverse, applicate competenze diverse e preventivate i costi per entrambi in modo indipendente. Quattro: la conformità risiede nella loro intersezione. Il consenso GDPR viene acquisito sulla splash page ma applicato dal Captive Portal. Assicuratevi che entrambi siano corretti. Cinque: Purple fornisce entrambi. Se cercate una piattaforma che gestisca il controllo del Captive Portal di livello enterprise insieme a un design di splash page ricco e personalizzabile - con analisi complete, strumenti di conformità GDPR e integrazioni con la vostra infrastruttura esistente - questo è esattamente ciò per cui Purple è stato creato. Come prossimi passi, vi consiglio di consultare le guide all'implementazione di Purple sull'autenticazione 802.1X e sull'analisi del guest WiFi. I link sono nelle note dell'episodio. E se vi trovate nel mezzo di un processo di acquisto, contattate il team di Purple per una valutazione tecnica - vale la pena definire correttamente l'architettura prima di procedere con la distribuzione. Grazie per l'ascolto. Alla prossima. - - - FINE DELLO SCRIPT

📚 Parte della nostra serie principale: La guida definitiva ai Captive Portal

header_image.png

Sintesi Esecutiva

Per gli IT manager, i network architect e i direttori delle operazioni delle sedi, il WiFi per gli ospiti non è più una semplice comodità - è un punto di contatto fondamentale per l'acquisizione di dati di prima parte, il coinvolgimento di marketing e la sicurezza della rete. Tuttavia, un persistente punto di confusione nelle RFP (richieste di offerta) e nelle discussioni di implementazione è la sovrapposizione del Captive Portal con le splash page.

Questa guida si propone di chiarire tale distinzione fondamentale. Il Captive Portal è un meccanismo di controllo a livello di rete che intercetta il traffico, blocca l'accesso a internet e gestisce l'autenticazione sicura. La splash page, al contrario, è l'interfaccia visiva a livello applicativo - la pagina web che gli ospiti vedono, con cui interagiscono e che utilizzano per autenticarsi.

Confondere questi due componenti comporta notevoli rischi di approvvigionamento e implementazione, come l'acquisto di una splash page dal design accattivante ma con controlli di backend non sicuri, o l'implementazione di un Captive Portal altamente sicuro con un'interfaccia utente goffa e priva di brand che allontana gli ospiti. Comprendendo come queste tecnologie lavorano in sinergia, le organizzazioni possono utilizzare piattaforme come Purple per offrire un'esperienza WiFi per gli ospiti sicura, conforme e altamente coinvolgente che crea un valore aziendale misurabile.

comparison_chart.png

Approfondimento Tecnico

Il Captive Portal: Intercettazione del Traffico a Livello di Rete

Il Captive Portal opera ai livelli inferiori del modello OSI (tipicamente i livelli 2 e 3) per applicare il controllo degli accessi. Quando un dispositivo ospite si connette a un SSID aperto, il server DHCP locale gli assegna un indirizzo IP, una subnet mask e un gateway predefinito. Tuttavia, l'access point (AP) wireless o il controller del gateway colloca l'indirizzo MAC di tale dispositivo in uno stato non autenticato all'interno della tabella delle sessioni del firewall.

In questo stato, il firewall blocca tutto il traffico IP in uscita, ad eccezione dei servizi di rete essenziali come DNS e DHCP. Quando l'ospite tenta di visitare un sito web esterno, il Captive Portal intercetta il traffico utilizzando uno dei due metodi principali:

  1. Reindirizzamento HTTP (reindirizzamento 302): Il gateway intercetta la richiesta HTTP iniziale e restituisce una risposta HTTP 302 Found, reindirizzando il browser del client all'URL della splash page.
  2. DNS hijacking: Il gateway intercetta le query DNS e risolve tutti i nomi di dominio con l'indirizzo IP del server della splash page locale. Sebbene semplice, questo metodo è stato progressivamente deprecato a causa di DNSSEC e degli avvisi di sicurezza a livello di browser.

I moderni sistemi operativi mobili utilizzano un daemon integrato chiamato Captive Network Assistant (CNA). Al momento della connessione a una rete, il CNA tenta di raggiungere un endpoint HTTP noto e non crittografato (ad esempio, captive.apple.com di Apple o connectivitycheck.gstatic.com di Google). Se tale risposta viene intercettata e reindirizzata, il sistema operativo riconosce di trovarsi dietro un Captive Portal e mostra automaticamente la Splash Page in una finestra dedicata del browser di sistema, eliminando la necessità per l'utente di aprire manualmente un browser web.

Una volta che l'utente ha completato il flusso di autenticazione sulla Splash Page, il server di autenticazione (solitamente un server RADIUS) invia un pacchetto Access-Accept al controller di rete. Il controller aggiorna quindi le sue regole firewall per concedere all'indirizzo MAC del dispositivo l'accesso completo a Internet, sfruttando in genere il MAC Address Bypass (MAB) per ricordare il dispositivo per una durata di sessione specificata.

La Splash Page: Esperienza Utente a Livello Applicativo

A differenza del Captive Portal, la Splash Page è un'applicazione web standard che opera al Livello 7 (il livello applicativo). È realizzata con tecnologie web standard (HTML, CSS e JavaScript) e ospitata localmente sul controller gateway o, più comunemente, su una piattaforma cloud come Purple.

La Splash Page funge da interfaccia visiva dell'ospite e da punto di contatto con il brand. Le sue principali funzioni tecniche includono:

  • Federazione delle identità: facilitare il social login (Google, Facebook, Apple) utilizzando il protocollo OAuth 2.0.
  • Acquisizione dati: raccogliere i dettagli degli ospiti come indirizzi email, nomi e numeri di programmi fedeltà.
  • Gestione del consenso: acquisire il consenso esplicito di opt-in per il marketing, insieme all'accettazione dei termini di servizio e delle informative sulla privacy, garantendo la conformità a normative come il Regolamento Generale sulla Protezione dei Dati (GDPR) [1] e il California Consumer Privacy Act (CCPA).
  • Erogazione di pubblicità e branding: mostrare banner promozionali mirati, annunci video o pagine di reindirizzamento post-connessione per monetizzare lo spazio fisico.

Poiché la Splash Page è un'applicazione web, deve essere altamente reattiva e ottimizzata per i dispositivi mobili, che rappresentano oltre l'80% delle connessioni WiFi degli ospiti.

architecture_overview.png

Guida all'Implementazione

La distribuzione di una soluzione WiFi per ospiti di livello enterprise richiede uno stretto coordinamento tra l'infrastruttura di rete e il software cloud. Di seguito viene presentata una guida architetturale indipendente dal fornitore per l'implementazione di un sistema Captive Portal e Splash Page.

Architettura di Distribuzione Passo dopo Passo

  1. Segmentazione della rete: configurare una VLAN dedicata agli ospiti sugli switch e sugli access point per isolare il traffico degli ospiti dalla rete aziendale interna, dai terminali dei punti vendita (POS) e dai dispositivi IoT. Questo è un requisito chiave per la conformità PCI-DSS [2].
  2. Configurazione SSID: Configura un SSID aperto con Opportunistic Wireless Encryption (OWE) abilitato se l'hardware lo supporta, oppure un SSID aperto standard. Abilita il reindirizzamento del Captive Portal all'interno del profilo SSID sul tuo controller wireless (ad esempio, Cisco Catalyst, Aruba Instant On o Ruckus SmartZone).
  3. Configurazione del Walled Garden (ACL): Prima dell'autenticazione, ai dispositivi degli ospiti deve essere consentito di raggiungere determinati domini esterni affinché la Splash page venga visualizzata correttamente. Questo è noto come "Walled Garden" o lista di controllo degli accessi (ACL). Devi includere:
    • Il dominio della tua Splash page ospitata nel cloud (ad esempio, *.purple.ai).
    • Gli endpoint OAuth dei provider di social login (ad esempio, *.facebook.com, *.google.com, *.apple.com).
    • Le reti di distribuzione dei contenuti (CDN) che ospitano le risorse necessarie (font, fogli di stile, immagini).
  4. Integrazione del server RADIUS: Configura il controller wireless per utilizzare un server RADIUS esterno (come il cloud RADIUS di Purple) per l'autenticazione e l'accounting (802.1X / AAA) [3].
  5. Personalizzazione della Splash page: Progetta la Splash page all'interno del portale Purple, garantendo la coerenza del brand, la reattività sui dispositivi mobili e chiare caselle di controllo per il consenso legale.
  6. Criteri di sessione e larghezza di banda: Definisci i timeout di sessione (ad esempio, 8 ore), i timeout di inattività (ad esempio, 30 minuti) e i limiti di larghezza di banda per utente (ad esempio, 5 Mbps in download, 2 Mbps in upload) sul controller di rete per prevenire abusi di rete e garantire un accesso equo a tutti gli ospiti.
Parametro Tecnico Captive Portal (Gateway di Rete) Splash Page (Applicazione Cloud)
Livello OSI Livello 2 / Livello 3 (Rete/Collegamento Dati) Livello 7 (Applicazione)
Protocolli Principali RADIUS, DHCP, HTTP (reindirizzamento 302) HTTP, HTTPS, HTML5, CSS3, OAuth 2.0
Funzioni Principali Intercettazione del traffico, controllo degli accessi, limitazione della larghezza di banda Interfaccia utente, raccolta dati, consenso, branding
Visibilità per l'Utente Completamente invisibile (meccanismo di backend) Visibile al 100% (schermata di benvenuto visiva)
Standard di Sicurezza IEEE 802.1X, WPA3, OWE, PCI DSS HTTPS, SSL/TLS, GDPR, CCPA
Hardware Tipico AP wireless, router gateway, controller Server cloud, CDN

Best Practice

Per garantire una rete WiFi per gli ospiti altamente disponibile, sicura e conforme alle normative vigenti, i team IT dovrebbero seguire queste best practice di settore:

1. Imporre l'uso di HTTPS e Certificati SSL/TLS

Tutto il traffico tra il dispositivo dell'ospite e la splash page deve essere crittografato tramite HTTPS. L'esecuzione di una splash page su HTTP non crittografato espone i dati degli ospiti - inclusi i dati di accesso e gli indirizzi e-mail - al packet sniffing e ad attacchi man-in-the-middle. Assicurati che il dominio della tua splash page abbia un certificato SSL/TLS valido e pubblicamente attendibile. I certificati autofirmati generano gravi avvisi nel browser che spingono gli ospiti ad abbandonare la connessione.

2. Implementare l'isolamento della rete

Non instradare mai il traffico della rete WiFi ospiti nella stessa VLAN o subnet delle risorse aziendali. Il traffico degli ospiti deve essere isolato in una VLAN dedicata esclusivamente agli ospiti, con regole di firewall rigide che impediscano qualsiasi instradamento cross-VLAN verso le subnet interne. Questo riduce il rischio di propagazione di malware e di accesso non autorizzato a dati aziendali sensibili.

3. Garantire la conformità a GDPR e CCPA

Se la tua sede opera nel Regno Unito, nell'UE o in California, o serve cittadini di tali aree, la tua splash page deve rispettare rigide leggi sulla privacy dei dati:

  • Consenso liberamente fornito: Le caselle di spunta per l'adesione al marketing devono essere deselezionate per impostazione predefinita. Il consenso alle comunicazioni di marketing non può essere un pre-requisito per l'accesso a Internet.
  • Informativa sulla privacy chiara: Fornisci un link diretto e facilmente accessibile alla tua informativa sulla privacy sulla splash page.
  • Diritto all'oblio (diritto alla cancellazione): Assicurati che la tua piattaforma WiFi per ospiti (come Purple) supporti flussi di lavoro automatizzati per gli ospiti che richiedono la cancellazione dei propri dati personali.

4. Ottimizzare per i dispositivi mobili e il CNA

Assicurati che la splash page sia leggera e altamente reattiva. Evita sfondi video pesanti o immagini grandi non compresse, che rallentano il caricamento della pagina - in particolare in ambienti ad altissima densità come stadi o centri congressi. Testa la splash page su diversi sistemi operativi mobili per garantire una visualizzazione fluida all'interno del browser nativo Captive Network Assistant (CNA).

Risoluzione dei problemi e mitigazione dei rischi

Modalità di guasto comuni e strategie di mitigazione

  • Il popup del CNA non compare: Se il reindirizzamento al Captive Portal non riesce ad attivare il CNA del dispositivo, gli ospiti potrebbero rimanere connessi all'SSID senza accesso a Internet e senza un modo ovvio per accedere.
    • Mitigazione: Assicurati che i server DNS assegnati agli ospiti tramite DHCP siano completamente funzionanti e in grado di risolvere i domini esterni. Se la risoluzione DNS non riesce, il CNA non può eseguire il controllo di connettività e il reindirizzamento non viene mai attivato.
  • Configurazione errata del Walled Garden: Gli ospiti non riescono a completare l'accesso tramite social media perché la pagina di login OAuth non si carica o mostra un errore di connessione.
    • Mitigazione: Controlla due volte l'ACL della Walled Garden del gateway. I provider di login social modificano frequentemente i loro intervalli IP e domini. L'utilizzo di una piattaforma WiFi per ospiti gestita in cloud come Purple garantisce che i domini della Walled Garden vengano aggiornati automaticamente e mantenuti in sincronia con l'hardware.* Limitazioni del browser CNA: Il browser CNA nativo sui dispositivi mobili ha funzionalità limitate rispetto ai browser standard come Safari o Chrome. Potrebbe bloccare cookie, popup o reindirizzamenti esterni.
    • Mitigazione: Evita JavaScript complessi o integrazioni di terze parti sulla pagina di benvenuto che richiedono la persistenza dei cookie o popup del browser. Mantieni il flusso di autenticazione il più semplice e diretto possibile.

ROI e impatto aziendale

Comprendere la distinzione tra il Captive Portal e la pagina di benvenuto consente alle organizzazioni di massimizzare il ritorno sull'investimento (ROI) ottimizzando sia le prestazioni della rete sia l'utilità commerciale delle loro reti WiFi per ospiti.

Il valore aziendale di una soluzione a doppia ottimizzazione

  • Maggiore coinvolgimento degli ospiti: Rispetto a una pagina di benvenuto generica e senza brand, una pagina di benvenuto progettata in modo professionale - se combinata con i prodotti principali di Purple come Guest WiFi e WiFi Analytics [4] [5] - può aumentare i tassi di accesso degli ospiti fino al 40%.
  • Raccolta di ricchi dati di prima parte: Offrendo un login social fluido e campi di modulo strutturati, le sedi in settori come Retail , Hospitality , Healthcare e Transport possono acquisire indirizzi email puliti e verificati, dati demografici e dati sulla frequenza delle visite.
  • Opportunità di monetizzazione: L'uso della pagina di benvenuto per la monetizzazione dei media retail consente alle sedi di mostrare pubblicità mirata agli ospiti al momento della connessione, inserendosi nel mercato della pubblicità digitale in rapida crescita.
  • Efficienza operativa: Un Captive Portal robusto riduce i ticket di supporto IT automatizzando l'onboarding dei dispositivi, gestendo i timeout delle sessioni e applicando limiti di larghezza di banda per prevenire la congestione della rete.

Implementando la soluzione enterprise di Purple, le sedi possono garantire che la loro architettura di rete sia sicura e conforme, offrendo al contempo ai loro team di marketing la massima libertà creativa per progettare splendide pagine di benvenuto ad alta conversione che fidelizzano i clienti e generano ricavi.

Riferimenti

Definizioni chiave

Captive Portal

Un meccanismo a livello di rete che intercetta il traffico dei client e limita l'accesso a internet fino al soddisfacimento dei criteri di autenticazione.

Incontrato dai team IT durante la configurazione di controller wireless, gateway o firewall per reindirizzare gli indirizzi MAC non autenticati.

Splash Page

La pagina di destinazione visiva, basata sul web, visualizzata nel browser di un ospite che facilita l'autenticazione, l'acquisizione dei dati e l'interazione con il marchio.

Gestito dai team di marketing e gestione delle sedi per progettare l'esperienza di onboarding degli utenti e raccogliere i dati dei clienti.

Captive Network Assistant (CNA)

Una funzionalità integrata del sistema operativo sui dispositivi mobili che rileva automaticamente un captive portal e apre la splash page in una finestra del browser di sistema.

Fondamentale per l'esperienza utente, in quanto evita che gli ospiti debbano aprire manualmente un browser per accedere.

Walled Garden (ACL)

Un elenco di indirizzi IP o domini a cui un utente non autenticato è autorizzato ad accedere prima di effettuare l'accesso alla rete.

Deve essere configurato correttamente sul gateway wireless per consentire il caricamento della splash page e dei flussi OAuth dei social login.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e tracciamento (AAA) per gli utenti che si connettono a una rete.

Utilizzato dal captive portal per verificare le credenziali degli ospiti rispetto a un database e concedere l'accesso alla rete.

MAC Address Bypass (MAB)

Un meccanismo che consente a un dispositivo di saltare la schermata di accesso del captive portal nelle connessioni successive memorizzando il suo indirizzo MAC hardware.

Utilizzato per creare un'esperienza fluida per gli ospiti che ritornano, eliminando la necessità di accedere ripetutamente.

Opportunistic Wireless Encryption (OWE)

Uno standard WiFi (parte di WPA3) che fornisce la crittografia su reti aperte senza richiedere una password condivisa.

Consente la trasmissione sicura dei dati su reti guest pubbliche, consentendo comunque il reindirizzamento al captive portal.

VLAN Segmentation

La pratica di suddividere una rete fisica in più reti logiche al Livello 2 per isolare il traffico.

Essenziale per le distribuzioni di reti WiFi guest per garantire che il traffico degli ospiti sia completamente isolato dalle reti aziendali sicure.

Esempi pratici

Una catena di vendita al dettaglio nazionale con 150 negozi desidera implementare una rete WiFi per gli ospiti che acquisisca le e-mail dei clienti per scopi di marketing, ma il team di sicurezza IT è preoccupato che il traffico degli ospiti possa accedere ai sistemi Point-of-Sale (POS) aziendali. Come dovrebbe essere strutturata questa architettura?

  1. Configurare una VLAN Guest dedicata (es. VLAN 50) su tutti gli switch e gli access point in tutti i 150 negozi, completamente isolata dalla VLAN POS aziendale (VLAN 10) tramite ACL del firewall. 2. Abilitare il reindirizzamento al captive portal sull'SSID Guest, indirizzando l'URL di reindirizzamento alla splash page sicura ospitata sul cloud di Purple. 3. Configurare il gateway di rete per limitare tutto il traffico pre-autenticato sulla VLAN 50, consentendo l'accesso solo a DNS, DHCP e ai domini Walled Garden di Purple. 4. Utilizzare l'integrazione di Purple con il controller wireless per autenticare gli ospiti tramite RADIUS, concedendo l'accesso a Internet solo dopo che l'ospite ha fornito un indirizzo e-mail verificato e ha accettato i termini di servizio sulla splash page.
Commento dell'esaminatore: Questa architettura raggiunge il duplice obiettivo di marketing e sicurezza. Separando i livelli di rete (segmentazione VLAN a livello Layer 2/3) dal livello applicativo (acquisizione e-mail sulla splash page a livello Layer 7), la catena di vendita al dettaglio garantisce la conformità PCI-DSS per i propri sistemi POS e al contempo massimizza l'acquisizione dei dati di marketing.

Uno stadio sportivo da 50.000 posti desidera offrire WiFi gratuito durante gli eventi. Il team operativo desidera un'esperienza di accesso fluida per prevenire la congestione della rete all'inizio delle partite, mentre il team di marketing desidera mostrare annunci video degli sponsor sulla splash page. Come si bilanciano questi requisiti?

  1. Distribuire access point ad alta densità e configurare un captive portal con MAC Address Bypass (MAB) impostato a 30 giorni, in modo che i tifosi che ritornano non debbano visualizzare la splash page a ogni visita. 2. Per le nuove connessioni, progettare una splash page estremamente leggera, ottimizzata per un caricamento rapido sui dispositivi mobili. 3. Integrare un breve annuncio video dello sponsor di 5 secondi che viene riprodotto direttamente sulla splash page, con un pulsante "Salta e Connetti" che attiva immediatamente l'autenticazione del captive portal. 4. Configurare il captive portal per allocare un profilo di banda generoso (es. 10 Mbps) per utente, per garantire uno streaming video fluido e una navigazione web ottimale.
Commento dell'esaminatore: Negli ambienti ad alta densità, le prestazioni sono fondamentali. L'uso del MAB per i tifosi che ritornano riduce drasticamente il carico sul captive portal e sui server RADIUS durante le ore di punta. Il design leggero della splash page e il breve annuncio video assicurano che il team di marketing raggiunga i propri obiettivi di sponsorizzazione senza causare frustrazione sulla rete o ritardi nella connessione.

Un grande ospedale pubblico desidera fornire il WiFi per ospiti a pazienti e visitatori. Il team di conformità richiede che la rete sia conforme agli standard di privacy dei dati sanitari e che i pazienti non possano accedere a contenuti web dannosi o inappropriati. Qual è la strategia di distribuzione consigliata?

  1. Configurare il captive portal per reindirizzare gli utenti a una splash page che contenga una chiara informativa sulla privacy specifica per il settore sanitario e i termini di servizio. 2. Integrare il gateway del captive portal con un servizio di filtraggio DNS basato su cloud (come Cisco Umbrella o Webroot) per bloccare automaticamente l'accesso a contenuti per adulti, malware e siti di phishing. 3. Disabilitare le opzioni di login social per impedire la raccolta di dati personali non necessari, affidandosi invece a un semplice pulsante "Accetta e Connetti" o a un modulo di verifica e-mail di base. 4. Applicare una rigida limitazione della larghezza di banda sul captive portal per dare priorità alle applicazioni cliniche e ai dispositivi IoT dell'ospedale rispetto al traffico di streaming degli ospiti.
Commento dell'esaminatore: Gli ambienti sanitari richiedono un approccio prudente alla privacy dei dati e al filtraggio dei contenuti. Escludendo il login social, l'ospedale riduce al minimo l'impatto di conformità previsto dalle normative sui dati sanitari. L'integrazione del filtraggio DNS direttamente sul gateway del captive portal garantisce l'applicazione delle policy sui contenuti a livello di intera rete, indipendentemente dalle azioni dell'utente sulla splash page.

Domande di esercitazione

Q1. Un responsabile IT nota che gli ospiti si connettono al guest WiFi SSID, ma la splash page personalizzata non viene visualizzata e gli utenti non possono accedere a internet. Qual è la causa tecnica più probabile di questo problema e come dovrebbe essere diagnosticato?

Suggerimento: Considera il ruolo del DNS nel processo di reindirizzamento del captive portal.

Visualizza risposta modello

La causa più probabile è un errore nel processo di risoluzione DNS. Quando un dispositivo si connette, deve risolvere il nome di dominio della splash page per caricare la schermata di benvenuto. Se il server DNS assegnato alla VLAN guest è inattivo, configurato in modo errato o bloccato dalle regole del firewall di pre-autenticazione del gateway, il dispositivo non può risolvere il dominio e il reindirizzamento fallisce. Per diagnosticare, connetti un dispositivo di test all'SSID, verifica che riceva un IP e un indirizzo server DNS validi tramite DHCP e tenta di eseguire un ping o di risolvere un dominio pubblico. Se il DNS fallisce, controlla lo stato del server DNS e assicurati che il traffico DNS (porta UDP 53) sia consentito nell'ACL di pre-autenticazione del gateway.

Q2. Un punto vendita al dettaglio desidera consentire agli ospiti di accedere utilizzando i propri account Facebook. Tuttavia, quando gli utenti fanno clic sul pulsante di accesso a Facebook sulla splash page, ricevono un errore "Connessione rifiutata". Il resto della splash page si carica perfettamente. Qual è il problema e come lo risolvi?

Suggerimento: Pensa a quali risorse esterne un dispositivo pre-autenticato è autorizzato ad accedere.

Visualizza risposta modello

Il problema è che i domini di autenticazione di Facebook non sono inclusi nella Walled Garden Access Control List (ACL) di pre-autenticazione del gateway. Poiché l'utente non è ancora autenticato, il captive portal blocca tutto il traffico esterno. Quando l'utente clicca sul pulsante Facebook, il browser tenta di raggiungere i server OAuth di Facebook, operazione che viene bloccata dal gateway. Per risolvere questo problema, il team IT deve aggiungere i domini OAuth di Facebook richiesti (ad esempio, *.facebook.com, *.facebook.net) alla Walled Garden ACL sul controller wireless o sul gateway.

Q3. Una struttura ricettiva ha distribuito una rete WiFi per gli ospiti. Il team di marketing desidera raccogliere gli indirizzi email degli ospiti e inviare immediatamente una newsletter di benvenuto. Tuttavia, il team legale è preoccupato per la conformità al GDPR in materia di consenso. Come devono essere configurati la splash page e il captive portal per soddisfare entrambi i team?

Suggerimento: Il GDPR richiede che il consenso per il marketing sia prestato liberamente e non come condizione per l'erogazione del servizio.

Visualizza risposta modello

Per soddisfare sia il team di marketing che quello legale ai sensi del GDPR: 1. La splash page deve presentare una casella di controllo chiara e non selezionata per l'adesione al marketing ("Acconsento a ricevere email di marketing"). 2. L'accettazione dei Termini di Servizio e dell'Informativa sulla Privacy deve essere una casella di controllo separata o chiaramente indicata come condizione per l'utilizzo della rete gratuita. 3. Il captive portal e il sistema della splash page sottostanti devono essere configurati per concedere l'accesso a Internet indipendentemente dal fatto che la casella di controllo del marketing sia selezionata o meno. Se un utente lascia la casella di marketing deselezionata ma accetta i Termini di Servizio, il sistema deve comunque inviare un pacchetto Access-Accept al controller di rete. Ciò garantisce che il consenso sia prestato liberamente, soddisfacendo il GDPR, consentendo al contempo al marketing di raccogliere le email degli utenti che decidono di aderire.