Captive Portal vs Splash Page

Sintesi esecutiva

Per i responsabili IT, gli architetti di rete e i direttori operativi delle strutture, il WiFi per gli ospiti non è più solo un servizio di cortesia; è un punto di contatto fondamentale per l'acquisizione di dati di prima parte, il coinvolgimento di marketing e la sicurezza della rete. Tuttavia, una costante fonte di confusione nelle RFP e nelle discussioni di implementazione è la sovrapposizione tra Captive Portal e splash page.

Questa guida chiarisce questa distinzione fondamentale. Un Captive Portal è un meccanismo di controllo a livello di rete che intercetta il traffico, blocca l'accesso a Internet e gestisce l'autenticazione sicura. Una splash page è l'interfaccia visiva a livello applicativo: la pagina web che gli ospiti vedono, con cui interagiscono e che utilizzano per autenticarsi.

Confondere questi due componenti comporta rischi significativi in fase di acquisto e implementazione, come l'acquisto di una splash page dal design accattivante ma con controlli backend non sicuri, o l'implementazione di un Captive Portal altamente sicuro ma con un'interfaccia utente macchinosa e priva di branding che scoraggia l'adozione da parte degli ospiti. Comprendendo come queste tecnologie lavorano insieme, le organizzazioni possono sfruttare piattaforme come Purple per offrire un'esperienza WiFi per gli ospiti sicura, conforme e altamente coinvolgente, in grado di generare un valore aziendale misurabile.

Approfondimento tecnico

Il Captive Portal: intercettazione del traffico a livello di rete

Il Captive Portal opera ai livelli inferiori del modello OSI (tipicamente Layer 2 e Layer 3) per applicare il controllo degli accessi. Quando un dispositivo ospite si connette a un SSID aperto, il server DHCP locale gli assegna un indirizzo IP, una subnet mask e un gateway predefinito. Tuttavia, l'access point (AP) wireless o il controller del gateway inserisce l'indirizzo MAC del dispositivo in uno stato non autenticato all'interno della tabella delle sessioni del firewall.

In questo stato, the firewall blocca tutto il traffico IP in uscita, ad eccezione dei servizi di rete essenziali come DNS e DHCP. Quando l'ospite tenta di accedere a un sito web esterno, il Captive Portal intercetta il traffico utilizzando uno dei due metodi principali:

1. Reindirizzamento HTTP (Redirect 302): il gateway intercetta la richiesta HTTP iniziale e restituisce una risposta HTTP 302 Found, reindirizzando il browser del client all'URL della splash page.
2. DNS Hijacking: il gateway intercetta le query DNS e risolve tutti i nomi di dominio con l'indirizzo IP del server locale della splash page. Sebbene semplice, questo metodo è sempre più deprecato a causa del DNSSEC e degli avvisi di sicurezza a livello di browser.

I moderni sistemi operativi mobili utilizzano un daemon integrato chiamato Captive Network Assistant (CNA). Al momento della connessione a una rete, il CNA tenta di raggiungere un endpoint HTTP noto e non crittografato (ad es. captive.apple.com di Apple o connectivitycheck.gstatic.com di Google). Se la risposta viene intercettata e reindirizzata, il sistema operativo riconosce di trovarsi dietro un Captive Portal e mostra automaticamente la splash page in una finestra del browser di sistema dedicata, evitando che l'utente debba aprire manualmente un browser web.

Una volta che l'utente completa il flusso di autenticazione sulla splash page, il server di autenticazione (tipicamente un server RADIUS) invia un pacchetto Access-Accept al controller di rete. Il controller aggiorna quindi le sue regole del firewall per consentire all'indirizzo MAC del dispositivo il pieno accesso a Internet, spesso utilizzando il MAC Address Bypass (MAB) per ricordare il dispositivo per una durata di sessione specificata.

La Splash Page: esperienza utente a livello applicativo

A differenza del Captive Portal, la splash page è un'applicazione web standard che opera al Layer 7 (il livello applicativo). È costruita utilizzando tecnologie web standard (HTML, CSS e JavaScript) ed è ospitata localmente sul controller del gateway o, più comunemente, su una piattaforma basata su cloud come Purple.

La splash page funge da interfaccia visiva e punto di contatto del brand per l'ospite. Le sue principali funzioni tecniche includono:

• Federazione delle identità: facilitazione dei login social (Google, Facebook, Apple) tramite protocolli OAuth 2.0.
• Acquisizione dati: raccolta dei dettagli degli ospiti come indirizzi e-mail, nomi e numeri dei programmi fedeltà.
• Gestione del consenso: acquisizione di opt-in espliciti per il marketing e accettazione dei Termini di servizio e delle Informative sulla privacy, garantendo la conformità a normative come il GDPR [1] e il California Consumer Privacy Act (CCPA).
• Ad Serving e Branding: erogazione di banner promozionali mirati, annunci video o pagine di reindirizzamento post-connessione per monetizzare lo spazio fisico.

Poiché la splash page è un'applicazione web, deve essere altamente reattiva e ottimizzata per i dispositivi mobili, che rappresentano oltre l'80% delle connessioni WiFi degli ospiti.

Guida all'implementazione

L'implementazione di una soluzione WiFi per gli ospiti di livello enterprise richiede un'attenta coordinazione tra l'infrastruttura di rete e il software basato su cloud. Di seguito è riportata una guida architetturale neutrale rispetto ai fornitori per l'implementazione di un sistema di Captive Portal e splash page.

Architettura di implementazione passo dopo passo

1. Segmentazione della rete: configura una VLAN Guest dedicata sui tuoi switch e access point per isolare il traffico degli ospiti dalle reti aziendali interne, dai terminali POS (point-of-sale) e dai dispositivi IoT. Questo è un requisito fondamentale per la conformità PCI DSS [2].
2. Configurazione dell'SSID: configura un SSID aperto con Opportunistic Wireless Encryption (OWE), se supportato dal tuo hardware, o un SSID aperto standard. Abilita il reindirizzamento al Captive Portal sul profilo SSID all'interno del tuo controller wireless (ad es. Cisco Catalyst, Aruba Instant On o Ruckus SmartZone).
3. Configurazione del Walled Garden (ACL): Prima die l'autenticazione, il dispositivo ospite deve essere autorizzato ad accedere a determinati domini esterni per visualizzare correttamente la splash page. Questo è noto come "Walled Garden" o Access Control List (ACL). È necessario includere:
   • Il dominio della splash page ospitata nel cloud (ad es. *.purple.ai).
   • Gli endpoint OAuth per i provider di social login (ad es. *.facebook.com, *.google.com, *.apple.com).
   • Le Content Delivery Network (CDN) che ospitano le risorse necessarie (font, fogli di stile, immagini).
4. Integrazione del server RADIUS: Configurare il controller wireless per utilizzare un server RADIUS esterno (come il cloud RADIUS di Purple) per l'autenticazione e l'accounting (802.1X / AAA) [3].
5. Personalizzazione della Splash Page: Progettare la splash page all'interno del portale Purple, garantendo la coerenza del brand, la reattività sui dispositivi mobili e caselle di controllo chiare per il consenso legale.
6. Criteri di sessione e larghezza di banda: Definire i timeout di sessione (ad es. 8 ore), i timeout di inattività (ad es. 30 minuti) e i limiti di larghezza di banda per utente (ad es. 5 Mbps in download, 2 Mbps in upload) sul controller di rete per prevenire abusi di rete e garantire un accesso equo a tutti gli ospiti.

Best Practice

Per garantire una rete WiFi per gli ospiti ad alte prestazioni, sicura e conforme alle normative di legge, i team IT devono attenersi alle seguenti best practice del settore:

1. Imporre certificati HTTPS e SSL/TLS

Tutto il traffico tra il dispositivo ospite e la splash page deve essere crittografato tramite HTTPS. L'esecuzione di una splash page su HTTP non crittografato espone i dati degli ospiti (comprese le credenziali di accesso e gli indirizzi e-mail) al packet sniffing e agli attacchi man-in-the-middle. Assicurarsi che il dominio della splash page disponga di un certificato SSL/TLS valido e pubblicamente attendibile. I certificati autofirmati genereranno gravi avvisi del browser, spingendo gli ospiti ad abbandonare la connessione.

2. Implementare la segmentazione della rete

Non instradare mai il traffico WiFi degli ospiti attraverso la stessa VLAN o subnet delle risorse aziendali. Il traffico degli ospiti deve essere isolato in una VLAN "solo ospiti" con regole di firewall rigide che impediscano qualsiasi instradamento inter-VLAN verso le subnet interne. Ciò riduce il rischio di propagazione di malware e di accesso non autorizzato a dati aziendali sensibili.

3. Garantire la conformità a GDPR e CCPA

Se la tua struttura opera nel Regno Unito, nell'UE o in California, o serve i relativi cittadini, la tua splash page deve essere conforme alle rigide leggi sulla privacy dei dati:

• Consenso liberamente espresso: Le caselle di controllo per l'adesione al marketing devono essere deselezionate per impostazione predefinita. L'accesso a Internet non può essere vincolato al consenso alle comunicazioni di marketing.
• Informativa sulla privacy chiara: Fornire un link diretto e facilmente accessibile all'informativa sulla privacy sulla splash page.
• Diritto alla cancellazione: Assicurarsi che la piattaforma WiFi per gli ospiti (come Purple) supporti flussi di lavoro automatizzati per consentire agli ospiti di richiedere la cancellazione dei propri dati personali.

4. Ottimizzare per dispositivi mobili e CNA

Assicurarsi che la splash page sia leggera e altamente reattiva. Evitare sfondi video pesanti o immagini di grandi dimensioni non compresse che rallentano i tempi di caricamento della pagina, specialmente in ambienti ad alta densità di utenti (ad es. stadi o centri congressi). Testare la splash page su vari sistemi operativi mobili per garantire una visualizzazione fluida all'interno del browser nativo Captive Network Assistant (CNA).

Risoluzione dei problemi e mitigazione dei rischi

Modalità di guasto comuni e strategie di mitigazione

• Mancata visualizzazione del pop-up CNA: Se il reindirizzamento del captive portal non riesce ad attivare il CNA del dispositivo, gli ospiti potrebbero rimanere connessi all'SSID senza accesso a Internet e senza un modo ovvio per accedere.
  • Mitigazione: Assicurarsi che il server DNS assegnato agli ospiti tramite DHCP sia completamente funzionante e in grado di risolvere i domini esterni. Se la risoluzione DNS non riesce, il CNA non può eseguire il controllo di connettività e il reindirizzamento non verrà mai attivato.
• Errata configurazione del Walled Garden: Gli ospiti non riescono a completare il social login perché la pagina di accesso OAuth non si carica o mostra un errore di connessione.
  • Mitigazione: Ricontrollare l'ACL del Walled Garden del gateway. I provider di social login cambiano frequentemente i loro intervalli IP e domini. L'utilizzo di una piattaforma WiFi per gli ospiti gestita in cloud come Purple garantisce che i domini del Walled Garden vengano aggiornati e sincronizzati automaticamente con l'hardware.
• Restrizioni del browser CNA: Il browser CNA nativo sui dispositivi mobili ha funzionalità limitate rispetto ai browser standard (ad es. Safari o Chrome). Potrebbe bloccare cookie, pop-up o reindirizzamenti esterni.
  • Mitigazione: Evitare JavaScript complessi o integrazioni di terze parti sulla splash page che richiedono la persistenza dei cookie o pop-up del browser. Mantenere il flusso di autenticazione il più semplice e diretto possibile.

ROI e impatto aziendale

Comprendere la distinzione tra captive portal e splash page consente alle organizzazioni di massimizzare il ritorno sull'investimento (ROI) ottimizzando sia le prestazioni tecniche che l'utilità commerciale della loro rete WiFi per gli ospiti.

Valore aziendale di una soluzione a doppia ottimizzazione

• Maggiore coinvolgimento degli ospiti: Una splash page progettata in modo professionale, allineata con i prodotti principali di Purple come Guest WiFi e WiFi Analytics [4] [5], può aumentare i tassi di accesso degli ospiti fino al 40% rispetto alle schermate di benvenuto generiche e senza brand.
• Raccolta di dati proprietari (First-Party) dettagliati: Offrendo un social login fluido e campi di modulo strutturati, le sedi in settori come Retail , Hospitality , Sanità e Trasporti possono acquisire indirizzi email puliti e verificati, dati demografici e dati sulla frequenza delle visite.
• Opportunità di monetizzazione: Sfruttare la splash page per la monetizzazione dei retail media consente alle sedi di mostrare annunci pubblicitari mirati agli ospiti al momento della connessione, attingendo a un mercato della pubblicità digitale in rapida crescita.
• Efficienza operativa: Un Captive Portal robusto riduce i ticket di supporto IT automatizzando l'onboarding dei dispositivi, gestendo i timeout delle sessioni e applicando limiti di larghezza di banda per prevenire la congestione della rete.

Implementando la soluzione enterprise di Purple, le sedi possono garantire che la loro architettura di rete sia sicura e conforme, offrendo al contempo ai team di marketing la libertà creativa di progettare splash page straordinarie e ad alta conversione che stimolano la fidelizzazione dei clienti e i ricavi.

Riferimenti

• [1] Regolamento (UE) 2016/679 (Regolamento generale sulla protezione dei dati - GDPR)
• [2] PCI Security Standards Council - Guida di riferimento rapido PCI DSS
• [3] Standard IEEE 802.1X per il controllo dell'accesso alla rete basato su porta
• [4] Access Point Wireless Cisco: Guida 2026 ai prodotti e all'implementazione
• [5] Le 10 migliori soluzioni di controllo dell'accesso alla rete (NAC) per il 2026
• [6] WiFi nelle scuole: Guida 2026 per amministratori e IT
• [7] Come implementare l'autenticazione 802.1X con Cloud RADIUS