Vai al contenuto principale

Captive Portal vs Splash Page

Questa guida autorevole analizza la differenza fondamentale tra i captive portal e le splash page nelle reti WiFi per ospiti. Chiarisce come il meccanismo di intercettazione di rete sottostante funzioni in sinergia con l'interfaccia visiva per gli ospiti, aiutando i responsabili IT e i gestori delle strutture a prendere decisioni architetturali e di acquisto consapevoli.

📖 8 minuti di lettura📝 2,126 parole🔧 3 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
CAPTIVE PORTAL VS SPLASH PAGE - UN BRIEFING TECNICO PURPLE Script del Podcast - Circa 10 Minuti Voce in Inglese Britannico --- SEGMENTO 1: INTRODUZIONE E CONTESTO (circa 1 minuto) Benvenuti alla serie di briefing tecnici di Purple. Sono il vostro ospite e oggi faremo chiarezza su una delle fonti di confusione più persistenti nell'approvvigionamento e nell'implementazione del WiFi per gli ospiti: la differenza tra un captive portal e una splash page. Se vi è capitato di partecipare a una riunione con i fornitori e di sentire usare questi due termini in modo intercambiabile, non siete i soli. Accade continuamente - nei documenti di gara, nelle presentazioni delle strategie IT, persino nelle conversazioni tra ingegneri di rete che dovrebbero decisamente conoscerne la differenza. Questa confusione è importante, perché quando si confondono le due cose si rischia di definire in modo eccessivo il componente sbagliato, di investire troppo poco in quello giusto o, peggio, di implementare una soluzione WiFi per gli ospiti che ha un bell'aspetto ma è priva di un adeguato controllo di rete sottostante, oppure una soluzione tecnicamente solida che però allontana gli utenti con una schermata di accesso sgraziata e priva di branding. Quindi facciamo chiarezza oggi. Al termine di questo briefing, avrete un modello mentale chiaro di ciò che fa ciascun componente, di come interagiscono e di cosa cercare quando valutate le soluzioni per la vostra struttura - che si tratti di un hotel, di un parco retail, di uno stadio o di un edificio della pubblica amministrazione. --- SEGMENTO 2: APPROFONDIMENTO TECNICO (circa 5 minuti) Cominciamo con il captive portal, perché è la base su cui poggia tutto il resto. Un captive portal è un meccanismo a livello di rete. Il suo compito è intercettare tutto il traffico in uscita da un dispositivo appena connesso e trattenerlo in una sorta di sala d'attesa digitale finché quel dispositivo non è stato autenticato. Quando un ospite si connette al vostro SSID WiFi, il suo dispositivo riceve un indirizzo IP tramite DHCP - questa parte funziona normalmente. Ma prima che sia consentito il passaggio di qualsiasi traffico internet effettivo, il captive portal lo intercetta. Ecco la sequenza tecnica. Il dispositivo dell'ospite invia una richiesta HTTP o HTTPS - potrebbe cercare di caricare un sito web, oppure potrebbe trattarsi del controllo di connettività del sistema operativo stesso, che i dispositivi moderni come iPhone e telefoni Android eseguono automaticamente. Il controller del captive portal - che risiede sul controller wireless, sul router o su una piattaforma basata sul cloud - intercetta la query DNS o la richiesta HTTP e la reindirizza. Invece di raggiungere internet, il dispositivo riceve una risposta di reindirizzamento che lo rimanda a un URL specifico. Quell'URL è l'indirizzo in cui risiede la splash page. Ora, lo stesso meccanismo di reindirizzamento utilizza una di due tecniche principali. La prima è il DNS hijacking - il captive portal intercetta le query DNS e restituisce l'indirizzo IP del server del portale invece della destinazione reale. La seconda è il reindirizzamento HTTP - il portale intercetta la richiesta HTTP a livello di gateway ed emette una risposta di reindirizzamento 302. Per il traffico HTTPS, questo processo è più complesso, poiché non è possibile intercettare una sessione crittografata senza attivare un avviso di certificato. Ecco perché la maggior parte delle implementazioni di captive portal si affida al Captive Network Assistant integrato nel sistema operativo - la finestra pop-up che appare sul telefono quando ci si connette a una nuova rete - che utilizza un endpoint HTTP noto per rilevare i captive portal prima di tentare connessioni HTTPS. A livello di rete, il captive portal applica il controllo degli accessi utilizzando regole di firewall. I dispositivi non autenticati vengono inseriti in una VLAN o sottorete limitata in cui tutto il traffico, ad eccezione del DNS e dell'HTTP verso il server del portale, viene bloccato. Una volta confermata l'autenticazione - che si tratti di un semplice clic, di un social login, dell'acquisizione di un'e-mail o di uno scambio completo di credenziali 802.1X - il controller del portale aggiorna le regole del firewall per l'indirizzo MAC di quel dispositivo, spostandolo dalla zona limitata alla zona autorizzata con accesso completo a Internet. Questo è un punto importante: il captive portal è invisibile per l'ospite. Non lo vede mai direttamente. Ciò che vede è la splash page. La splash page è il livello applicazione - è l'HTML, il CSS e il JavaScript che vengono visualizzati nel browser dell'ospite o nel pop-up del Captive Network Assistant. È l'interfaccia visiva: il vostro brand, il vostro logo, il vostro messaggio di benvenuto, i vostri termini e condizioni, i pulsanti di social login, le caselle di controllo per l'adesione al marketing. È ciò che trasforma un freddo evento di autenticazione di rete in un'esperienza ospite personalizzata con il vostro brand. Pensatela in questo modo. Il captive portal è il buttafuori alla porta - decide chi entra e applica le regole. La splash page è la reception - è il volto della vostra struttura, raccoglie informazioni e fa sentire l'ospite benvenuto. Avete bisogno di entrambi e devono collaborare in modo ottimale. Ora, perché questa distinzione è importante dal punto di vista commerciale? Perché quando valutate una soluzione WiFi per ospiti, dovete porre domande diverse per ciascun componente. Per il captive portal, dovete chiedervi: quali metodi di autenticazione supporta? È in grado di gestire lo standard 802.1X per i dispositivi aziendali insieme al social login per gli ospiti? Supporta il bypass dell'indirizzo MAC per i dispositivi che non possono visualizzare un browser? Come gestisce i timeout di sessione e la riautenticazione? È conforme ai vostri obblighi di protezione dei dati ai sensi del GDPR? Si integra con la vostra infrastruttura RADIUS? Può segmentare il traffico per tipo di utente - separando il traffico degli ospiti da quello del personale a livello di rete?Per la splash page, le domande da porsi sono: quanto è personalizzabile? Il team di marketing può modificarla senza toccare la configurazione di rete? Supporta i test A/B? È in grado di mostrare contenuti diversi a segmenti di utenti differenti, ad esempio ai membri del programma fedeltà rispetto ai visitatori che effettuano il primo accesso? Supporta sfondi video, banner promozionali o reindirizzamenti post-connessione? Come si comporta sui dispositivi mobili? È accessibile? Si tratta di criteri di acquisto fondamentalmente diversi, e confonderli porta a decisioni errate. Abbiamo visto organizzazioni investire molto nel design di una splendida splash page, per poi scoprire che il Captive Portal sottostante non supportava i metodi di autenticazione richiesti dalla loro politica di sicurezza IT. Abbiamo visto anche il contrario: implementazioni di Captive Portal tecnicamente robuste con splash page progettate così male che i tassi di utilizzo da parte degli ospiti si attestavano intorno al trenta percento. Parliamo ora degli standard alla base di tutto questo. Il meccanismo del Captive Portal non ha un unico standard di riferimento, ma opera all'interno di diversi standard importanti. Lo standard IEEE 802.1X regola il controllo degli accessi alla rete basato su porta e definisce il modo in cui i dispositivi si autenticano a una rete utilizzando credenziali, certificati o token. Rappresenta la base della sicurezza WiFi aziendale ed è sempre più rilevante anche nei contesti di WiFi per gli ospiti in cui si desidera offrire un accesso continuo e basato su credenziali ai visitatori ricorrenti. Il protocollo WPA3, l'ultimo standard di sicurezza WiFi, introduce la crittografia OWE (Opportunistic Wireless Encryption), che crittografa il traffico anche sulle reti aperte; questo aspetto è rilevante per le installazioni di Captive Portal perché modifica il funzionamento dell'handshake di connessione iniziale. Dal punto di vista della conformità, il GDPR ha implicazioni significative per il design della splash page. Se la splash page raccoglie dati personali - un indirizzo email, un nome, un login social - sono necessari un consenso esplicito e informato, un'informativa sulla privacy chiara e una base giuridica per il trattamento. La splash page è il luogo in cui viene acquisito tale consenso, ma è il Captive Portal che impone il collegamento tra consenso e accesso. Se un ospite rifiuta l'iscrizione al marketing, il Captive Portal deve comunque concedergli l'accesso a internet - secondo il GDPR, il consenso al marketing non può essere una condizione per accedere alla rete. Lo standard PCI-DSS è rilevante se la rete WiFi per gli ospiti rientra nell'ambito degli ambienti di dati delle carte di pagamento - tipicamente nel settore retail o dell'ospitalità. La segmentazione della rete imposta dal Captive Portal è un controllo chiave in questo caso, poiché garantisce che il traffico degli ospiti sia isolato dai sistemi di pagamento. - SEGMENTO 3: RACCOMANDAZIONI DI IMPLEMENTAZIONE ED ERRORI DA EVITARE (circa 2 minuti) Permettetemi di presentarvi due scenari reali che illustrano come tutto questo si traduce in pratica. In primo luogo, un gruppo alberghiero di 200 camere. Avevano implementato una soluzione WiFi per gli ospiti in cui la splash page presentava un branding curato: il loro logo, un messaggio di benvenuto, un'offerta promozionale per la spa. Tuttavia, il captive portal sottostante era una semplice implementazione open source che utilizzava il DNS hijacking senza alcuna gestione delle sessioni. Risultato: agli ospiti che tornavano in hotel veniva richiesto di accedere nuovamente a ogni visita, anche all'interno dello stesso soggiorno. La splash page era fantastica, ma il captive portal non aveva persistenza dell'indirizzo MAC, nessuna configurazione del timeout di sessione e nessuna integrazione con il sistema di gestione della proprietà. La soluzione ha richiesto la sostituzione completa del controller del captive portal, mentre la splash page andava benissimo. In secondo luogo, una catena di vendita al dettaglio nazionale. Avevano implementato un captive portal di livello enterprise con supporto completo 802.1X, integrazione RADIUS e una sofisticata segmentazione del traffico. Ma la loro splash page era un modello predefinito: completamente bianca, senza branding, con un messaggio generico "Connettiti al WiFi". L'adozione da parte degli ospiti era del 34%. Dopo aver investito in una splash page con branding progettata correttamente, con un'opzione di social login con un solo clic, l'adozione è salita al 71% in tre mesi. Il captive portal non era cambiato affatto. La lezione di entrambi gli scenari: questi componenti separati richiedono investimenti separati e competenze separate. Non lasciate che il vostro team di rete gestisca il design della splash page e non lasciate che il vostro team di marketing prenda decisioni sull'architettura del captive portal. Errori comuni da evitare: in primo luogo, presumere che una splash page sia un captive portal. Non lo è. Una splash page senza un captive portal è solo una pagina web che nessuno è costretto a visitare. In secondo luogo, implementare un captive portal senza supporto HTTPS per la splash page. Qualsiasi dato raccolto su una splash page non crittografata - come indirizzi email o credenziali di accesso - viene trasmesso in chiaro. Questo rappresenta un rischio per il GDPR e per la sicurezza. In terzo luogo, ignorare l'esperienza mobile. Oltre l'80% delle connessioni WiFi degli ospiti proviene da dispositivi mobili. Se la vostra splash page non è ottimizzata per i dispositivi mobili, state creando attriti proprio nel momento in cui dovreste creare un'impressione positiva del brand. - SEGMENTO 4: DOMANDE E RISPOSTE RAPIDE (circa 1 minuto) Esaminiamo rapidamente alcune domande che sentiamo regolarmente. Posso avere una splash page senza un captive portal? Tecnicamente sì - potete ospitare una pagina web e indirizzarvi le persone - ma senza che il captive portal imponga il reindirizzamento, gli ospiti non hanno alcun motivo per visitarla. Non avreste acquisizione di dati, nessuna gestione del consenso e nessun controllo dell'accesso alla rete. Posso avere un captive portal senza una splash page? Sì, e questo è comune negli ambienti enterprise in cui l'autenticazione 802.1X avviene in modo silenzioso. Ma per le installazioni rivolte agli ospiti, quasi sempre desidererete una splash page per gestire l'esperienza utente e l'acquisizione dei dati. Il WPA3 blocca i Captive Portal? Non se implementato correttamente. Il WPA3 con Opportunistic Wireless Encryption è compatibile con le distribuzioni di Captive Portal, ma richiede che il portale utilizzi HTTPS e che la rete pubblichi l'URL del portale correttamente. Alcuni dispositivi client più vecchi presentano problemi di compatibilità, motivo per cui molti locali utilizzano configurazioni dual SSID. L'accesso tramite social network sulla splash page è sicuro? Dipende dall'implementazione. L'accesso tramite social basato su OAuth 2.0 - tramite Google, Facebook o Apple - è sicuro se implementato correttamente. La splash page gestisce il flusso OAuth e il Captive Portal riceve un token che conferma l'avvenuta autenticazione. Il rischio principale risiede nelle modalità di convalida di tale token e di gestione della sessione. - - - SEGMENTO 5: RIEPILOGO E PROSSIMI PASSI (circa 1 minuto) Concludiamo con i punti chiave da ricordare. Uno: un Captive Portal e una splash page non sono la stessa cosa. Il Captive Portal è il meccanismo di controllo della rete - intercetta il traffico e applica le regole di accesso. La splash page è l'interfaccia visiva - è ciò che l'ospite vede e con cui interagisce. Due: lavorano insieme. Il Captive Portal reindirizza l'ospite alla splash page. La splash page raccoglie l'autenticazione o il consenso. Il Captive Portal concede quindi l'accesso in base a tale risultato. Tre: valutateli separatamente. Ponete domande diverse, applicate competenze diverse e pianificate il budget per entrambi in modo indipendente. Quattro: la conformità vive nell'intersezione tra i due. Il consenso GDPR viene acquisito sulla splash page ma applicato dal Captive Portal. Assicuratevi che entrambi siano corretti. Cinque: Purple fornisce entrambi. Se cercate una piattaforma in grado di gestire il controllo del Captive Portal di livello enterprise insieme a un design di splash page ricco e personalizzabile - con funzionalità analitiche complete, strumenti di conformità GDPR e integrazioni con la vostra infrastruttura esistente - questo è esattamente ciò per cui Purple è stata creata. Come prossimi passi, vi consiglio di consultare le guide all'implementazione di Purple sull'autenticazione 802.1X e sull'analisi del WiFi per gli ospiti. I link si trovano nelle note dello show. E se vi trovate nel mezzo di un processo di acquisto, contattate il team di Purple per una valutazione tecnica - vale la pena definire correttamente l'architettura prima di impegnarsi in una distribuzione. Grazie per l'ascolto. Alla prossima. - - - FINE DELLO SCRIPT

📚 Parte della nostra serie principale: La guida definitiva ai Captive Portal

header_image.png

Sintesi Esecutiva

Per gli IT manager, i network architect e i direttori operativi delle sedi, il WiFi per gli ospiti non è più un semplice servizio di cortesia - è un punto di contatto fondamentale per l'acquisizione di dati di prima parte, il marketing engagement e la sicurezza della rete. Tuttavia, un costante elemento di confusione nelle RFP (richieste di offerta) e nelle discussioni di implementazione è la sovrapposizione tra il Captive Portal e le splash page.

Questa guida si propone di chiarire tale distinzione fondamentale. Il Captive Portal è un meccanismo di controllo a livello di rete che intercetta il traffico, blocca l'accesso a Internet e gestisce l'autenticazione sicura. La splash page, al contrario, è l'interfaccia visiva a livello applicativo - la pagina web che gli ospiti vedono, con cui interagiscono e che utilizzano per autenticarsi.

Confondere questi due componenti comporta notevoli rischi di approvvigionamento e implementazione, come l'acquisto di una splash page dal design accattivante ma con controlli backend non sicuri, o l'implementazione di un Captive Portal altamente sicuro ma con un'interfaccia utente obsoleta e priva di brand che allontana gli ospiti. Comprendendo come queste tecnologie lavorano in sinergia, le organizzazioni possono utilizzare piattaforme come Purple per offrire un'esperienza WiFi per gli ospiti sicura, conforme e altamente coinvolgente che genera un valore aziendale misurabile.

comparison_chart.png

Approfondimento Tecnico

Il Captive Portal: Intercettazione del Traffico a Livello di Rete

Il Captive Portal opera ai livelli inferiori del modello OSI (tipicamente i livelli 2 e 3) per applicare il controllo degli accessi. Quando un dispositivo ospite si connette a un SSID aperto, il server DHCP locale gli assegna un indirizzo IP, una subnet mask e un gateway predefinito. Tuttavia, l'access point (AP) wireless o il controller del gateway inserisce l'indirizzo MAC di quel dispositivo in uno stato non autenticato all'interno della tabella di sessione del firewall.

In questo stato, il firewall blocca tutto il traffico IP in uscita, ad eccezione dei servizi di rete essenziali come DNS e DHCP. Quando l'ospite tenta di visitare un sito web esterno, il Captive Portal intercetta il traffico utilizzando uno dei due metodi principali:

  1. Reindirizzamento HTTP (reindirizzamento 302): il gateway intercetta la richiesta HTTP iniziale e restituisce una risposta HTTP 302 Found, reindirizzando il browser del client all'URL della splash page.
  2. DNS hijacking: il gateway intercetta le query DNS e risolve tutti i nomi di dominio con l'indirizzo IP del server locale della splash page. Sebbene semplice, questo metodo è stato progressivamente deprecato a causa del DNSSEC e degli avvisi di sicurezza a livello di browser. I moderni sistemi operativi mobili utilizzano un daemon integrato chiamato Captive Network Assistant (CNA). Al momento della connessione a una rete, il CNA tenta di raggiungere un endpoint HTTP noto e non crittografato (ad esempio, captive.apple.com di Apple o connectivitycheck.gstatic.com di Google). Se tale risposta viene intercettata e reindirizzata, il sistema operativo riconosce di trovarsi dietro un Captive Portal e mostra automaticamente la Splash Page in una finestra dedicata del browser di sistema, evitando che l'utente debba aprire manualmente un browser web.

Una volta che l'utente ha completato il flusso di autenticazione sulla Splash Page, il server di autenticazione (in genere un server RADIUS) invia un pacchetto di Access-Accept al controller di rete. Il controller aggiorna quindi le proprie regole firewall per concedere all'indirizzo MAC di quel dispositivo il pieno accesso a Internet, sfruttando tipicamente il MAC Address Bypass (MAB) per ricordare il dispositivo per una durata di sessione specificata.

La Splash Page: Esperienza Utente a Livello Applicazione

A differenza del Captive Portal, la Splash Page è una tipica applicazione web che opera al Livello 7 (il livello applicazione). È realizzata con tecnologie web standard (HTML, CSS e JavaScript) ed è ospitata localmente sul controller gateway o, più comunemente, su una piattaforma cloud come Purple.

La Splash Page funge da interfaccia visiva e punto di contatto del brand per l'ospite. Le sue principali funzioni tecniche includono:

  • Federazione delle identità: Facilitare il login social (Google, Facebook, Apple) utilizzando il protocollo OAuth 2.0.
  • Acquisizione dati: Raccogliere i dettagli dell'ospite come indirizzi e-mail, nomi e numeri di programmi fedeltà.
  • Gestione del consenso: Acquisire il consenso esplicito di opt-in per il marketing, insieme all'accettazione dei termini di servizio e delle informative sulla privacy, garantendo la conformità a normative come il Regolamento Generale sulla Protezione dei Dati (GDPR) [1] e il California Consumer Privacy Act (CCPA).
  • Erogazione di pubblicità e branding: Mostrare banner promozionali mirati, annunci video o pagine di reindirizzamento post-connessione per monetizzare lo spazio fisico.

Poiché la Splash Page è un'applicazione web, deve essere altamente reattiva e ottimizzata per i dispositivi mobili, che rappresentano oltre l'80% delle connessioni WiFi degli ospiti.

architecture_overview.png

Guida all'Implementazione

La distribuzione di una soluzione WiFi per ospiti di livello enterprise richiede uno stretto coordinamento tra l'infrastruttura di rete e il software cloud. Di seguito è riportata una guida architetturale indipendente dal fornitore per l'implementazione di un sistema Captive Portal e Splash Page.

Architettura di Distribuzione Passo dopo Passo

  1. Segmentazione della rete: Configurare una VLAN dedicata agli ospiti sugli switch e sugli access point per isolare il traffico degli ospiti dalla rete aziendale interna, dai terminali POS e dai dispositivi IoT. Questo è un requisito fondamentale per la conformità PCI-DSS [2].
  2. Configurazione SSID: configura un SSID aperto con Opportunistic Wireless Encryption (OWE) abilitato se l'hardware lo supporta, oppure un SSID aperto standard. Abilita il reindirizzamento del Captive Portal all'interno del profilo SSID sul controller wireless (ad esempio, Cisco Catalyst, Aruba Instant On o Ruckus SmartZone).
  3. Configurazione del Walled Garden (ACL): prima dell'autenticazione, i dispositivi degli ospiti devono essere autorizzati a raggiungere determinati domini esterni affinché la pagina Splash venga visualizzata correttamente. Questo meccanismo è noto come "Walled Garden" o lista di controllo degli accessi (ACL). È necessario includere:
    • Il dominio della pagina Splash ospitata nel cloud (ad esempio, *.purple.ai).
    • Gli endpoint OAuth dei provider di login social (ad esempio, *.facebook.com, *.google.com, *.apple.com).
    • Le reti per la distribuzione dei contenuti (CDN) che ospitano le risorse necessarie (font, fogli di stile, immagini).
  4. Integrazione del server RADIUS: configura il controller wireless per utilizzare un server RADIUS esterno (come il RADIUS in cloud di Purple) per l'autenticazione e l'accounting (802.1X / AAA) [3].
  5. Personalizzazione della pagina Splash: progetta la pagina Splash all'interno del portale Purple, garantendo la coerenza del brand, la reattività sui dispositivi mobili e caselle di controllo chiare per il consenso legale.
  6. Criteri di sessione e larghezza di banda: definisci i timeout di sessione (ad esempio, 8 ore), i timeout di inattività (ad esempio, 30 minuti) e i limiti di larghezza di banda per utente (ad esempio, 5 Mbps in download, 2 Mbps in upload) sul controller di rete per prevenire usi impropri della rete e garantire un accesso equo a tutti gli ospiti.
Parametro Tecnico Captive Portal (Gateway di Rete) Pagina Splash (Applicazione Cloud)
Livello OSI Livello 2 / Livello 3 (Rete/Collegamento Dati) Livello 7 (Applicazione)
Protocolli Principali RADIUS, DHCP, HTTP (reindirizzamento 302) HTTP, HTTPS, HTML5, CSS3, OAuth 2.0
Funzioni Principali Intercettazione del traffico, controllo degli accessi, limitazione della larghezza di banda Interfaccia utente, raccolta dati, consenso, branding
Visibilità Utente Completamente invisibile (meccanismo di backend) Visibile al 100% (schermata di benvenuto visiva)
Standard di Sicurezza IEEE 802.1X, WPA3, OWE, PCI-DSS HTTPS, SSL/TLS, GDPR, CCPA
Hardware Tipico AP WiFi, router gateway, controller Server cloud, CDN

Best Practice

Per garantire una rete WiFi per gli ospiti altamente disponibile, sicura e conforme alle normative vigenti, i team IT dovrebbero seguire queste best practice di settore:

1. Imporre Certificati HTTPS e SSL/TLS

Tutto il traffico tra il dispositivo dell'ospite e la splash page deve essere crittografato tramite HTTPS. L'esecuzione di una splash page su HTTP non crittografato espone i dati degli ospiti - inclusi credenziali di accesso e indirizzi e-mail - al packet sniffing e agli attacchi man-in-the-middle. Assicurati che il dominio della tua splash page abbia un certificato SSL/TLS valido e pubblicamente attendibile. I certificati autofirmati generano gravi avvisi del browser che spingono gli ospiti ad abbandonare la connessione.

2. Implementa l'isolamento della rete

Non instradare mai il traffico WiFi degli ospiti nella stessa VLAN o subnet delle risorse aziendali. Il traffico degli ospiti deve essere isolato in una VLAN dedicata solo agli ospiti con regole di firewall rigorose che impediscano qualsiasi instradamento cross-VLAN verso le subnet interne. Questo riduce il rischio di propagazione di malware e di accesso non autorizzato a dati aziendali sensibili.

3. Garantisci la conformità a GDPR e CCPA

Se la tua struttura opera in, o serve cittadini di, Regno Unito, Unione Europea o California, la tua splash page deve rispettare rigide leggi sulla privacy dei dati:

  • Consenso liberamente fornito: Le caselle di controllo per l'opt-in di marketing devono essere deselezionate per impostazione predefinita. Il consenso alle comunicazioni di marketing non può essere vincolante per l'accesso a Internet.
  • Informativa sulla privacy chiara: Fornisci un link diretto e facilmente accessibile alla tua informativa sulla privacy sulla splash page.
  • Diritto all'oblio (diritto alla cancellazione): Assicurati che la tua piattaforma WiFi per ospiti (come Purple) supporti flussi di lavoro automatizzati per gli ospiti che richiedono la cancellazione dei propri dati personali.

4. Ottimizza per dispositivi mobili e CNA

Assicurati che la splash page sia leggera ed estremamente reattiva. Evita sfondi video pesanti o immagini grandi non compresse, che rallentano il caricamento della pagina - in particolare in ambienti ad altissima densità come stadi o centri congressi. Testa la splash page su diversi sistemi operativi mobili per garantire un rendering ottimale all'interno del browser nativo Captive Network Assistant (CNA).

Risoluzione dei problemi e mitigazione dei rischi

Scenari di errore comuni e strategie di mitigazione

  • La finestra a comparsa del CNA non viene visualizzata: Se il reindirizzamento al Captive Portal non riesce ad attivare il CNA del dispositivo, gli ospiti potrebbero rimanere connessi all'SSID senza accesso a Internet e senza un modo ovvio per accedere.
    • Mitigazione: Assicurati che i server DNS assegnati agli ospiti tramite DHCP siano pienamente funzionanti e in grado di risolvere i domini esterni. Se la risoluzione DNS non va a buon fine, il CNA non può eseguire il controllo di connettività e il reindirizzamento non viene mai attivato.
  • Configurazione errata del Walled Garden: Gli ospiti non riescono a completare l'accesso tramite social network perché la pagina di login OAuth non si carica o mostra un errore di connessione.
    • Mitigazione: Controlla attentamente l'ACL del Walled Garden del gateway. I provider di login social cambiano frequentemente i loro intervalli IP e domini. L'utilizzo di una piattaforma WiFi per ospiti gestita in cloud come Purple garantisce che i domini del Walled Garden vengano aggiornati automaticamente e mantenuti sincronizzati con l'hardware.* Limitazioni del browser CNA: Il browser CNA nativo sui dispositivi mobili ha funzionalità limitate rispetto ai browser standard come Safari o Chrome. Potrebbe bloccare cookie, popup o reindirizzamenti esterni.
    • Mitigazione: Evita JavaScript complessi o integrazioni di terze parti sulla splash page che richiedono la persistenza dei cookie o popup del browser. Mantieni il flusso di autenticazione il più semplice e diretto possibile.

ROI e Impatto Aziendale

Comprendere la distinzione tra il Captive Portal e la splash page consente alle organizzazioni di massimizzare il ritorno sull'investimento (ROI) ottimizzando sia le prestazioni della rete sia l'utilità commerciale delle loro reti WiFi per ospiti.

Il Valore Aziendale di una Soluzione Doppiamente Ottimizzata

  • Maggiore coinvolgimento degli ospiti: Rispetto a una pagina di benvenuto generica e senza marchio, una splash page dal design professionale - se combinata con i prodotti principali di Purple come Guest WiFi e WiFi Analytics [4] [5] - può aumentare i tassi di accesso degli ospiti fino al 40%.
  • Raccolta di ricchi dati di prima parte: Offrendo un login social fluido e campi di modulo strutturati, le strutture in settori come il Retail , l' Hospitality , l' Healthcare e il Transport possono acquisire indirizzi email puliti e verificati, dati demografici e dati sulla frequenza delle visite.
  • Opportunità di monetizzazione: L'utilizzo della splash page per la monetizzazione dei media retail consente alle strutture di mostrare pubblicità mirata agli ospiti al momento della connessione, inserendosi nel mercato della pubblicità digitale in rapida crescita.
  • Efficienza operativa: Un Captive Portal robusto riduce i ticket di supporto IT automatizzando l'onboarding dei dispositivi, gestendo i timeout delle sessioni e imponendo limiti di larghezza di banda per prevenire la congestione della rete.

Implementando la soluzione di livello aziendale di Purple, le strutture possono garantire che la loro architettura di rete sia sicura e conforme, offrendo al contempo ai loro team di marketing la piena libertà creativa per progettare splash page accattivanti e ad alta conversione che creano fedeltà dei clienti e generano entrate.

Riferimenti

Definizioni chiave

Captive Portal

Un meccanismo a livello di rete che intercetta il traffico dei client e limita l'accesso a internet fino al soddisfacimento dei criteri di autenticazione.

Incontrato dai team IT durante la configurazione di controller wireless, gateway o firewall per reindirizzare gli indirizzi MAC non autenticati.

Splash Page

La pagina di destinazione visiva basata sul web, visualizzata nel browser di un ospite, che facilita l'autenticazione, l'acquisizione dei dati e il coinvolgimento con il brand.

Gestita dai team di marketing e gestione della sede per progettare l'esperienza di onboarding degli utenti e raccogliere i dati dei clienti.

Captive Network Assistant (CNA)

Una funzionalità integrata del sistema operativo sui dispositivi mobili che rileva automaticamente un captive portal e apre la splash page in una finestra del browser di sistema.

Cruciale per l'esperienza utente, in quanto evita agli ospiti di dover aprire manualmente un browser per accedere.

Walled Garden (ACL)

Un elenco di indirizzi IP o domini a cui un utente non autenticato è autorizzato ad accedere prima di effettuare il login alla rete.

Deve essere configurato correttamente sul gateway wireless per consentire il caricamento della splash page e dei flussi OAuth del social login.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che fornisce una gestione centralizzata di Authentication, Authorisation, and Accounting (AAA) per gli utenti che si connettono a una rete.

Utilizzato dal captive portal per verificare le credenziali degli ospiti rispetto a un database e concedere l'accesso alla rete.

MAC Address Bypass (MAB)

Un meccanismo che consente a un dispositivo di bypassare la schermata di login del captive portal nelle connessioni successive memorizzando il suo indirizzo MAC hardware.

Utilizzato per creare un'esperienza fluida per gli ospiti che ritornano, eliminando la necessità di effettuare ripetutamente il login.

Opportunistic Wireless Encryption (OWE)

Uno standard WiFi (parte di WPA3) che fornisce la crittografia su reti aperte senza richiedere una password condivisa.

Consente la trasmissione sicura dei dati su reti WiFi pubbliche per gli ospiti, pur permettendo il reindirizzamento al captive portal.

VLAN Segmentation

La pratica di suddividere una rete fisica in più reti logiche a livello Layer 2 per isolare il traffico.

Essenziale per le distribuzioni di WiFi per gli ospiti per garantire che il relativo traffico sia completamente isolato dalle reti aziendali sicure.

Esempi pratici

Una catena retail nazionale con 150 punti vendita desidera implementare una rete WiFi per ospiti che acquisisca le e-mail dei clienti per scopi di marketing, ma il team di sicurezza IT è preoccupato che il traffico degli ospiti possa accedere ai sistemi POS aziendali. Come dovrebbe essere strutturata l'architettura?

  1. Configurare una VLAN ospiti dedicata (ad es. VLAN 50) su tutti gli switch e gli access point in tutti i 150 punti vendita, completamente isolata dalla VLAN dei POS aziendali (VLAN 10) tramite ACL del firewall. 2. Abilitare il reindirizzamento al captive portal sull'SSID ospiti, indirizzando l'URL di reindirizzamento alla splash page sicura ospitata in cloud di Purple. 3. Configurare il gateway di rete per limitare tutto il traffico pre-autenticato sulla VLAN 50, consentendo l'accesso solo a DNS, DHCP e ai domini del Walled Garden di Purple. 4. Utilizzare l'integrazione di Purple con il controller wireless per autenticare gli ospiti tramite RADIUS, concedendo l'accesso a Internet solo dopo che l'ospite ha fornito un indirizzo e-mail verificato e ha accettato i termini di servizio sulla splash page.
Commento dell'esaminatore: Questa architettura raggiunge il duplice obiettivo di marketing e sicurezza. Separando i livelli di rete (segmentazione VLAN al Livello 2/3) dal livello applicativo (acquisizione e-mail sulla splash page al Livello 7), la catena retail garantisce la conformità PCI-DSS per i propri sistemi POS massimizzando al contempo l'acquisizione dei dati di marketing.

Uno stadio sportivo da 50.000 posti vuole offrire il WiFi gratuito durante gli eventi. Il team operativo desidera un'esperienza di accesso fluida per evitare la congestione della rete all'inizio delle partite, mentre il team di marketing vuole mostrare annunci video degli sponsor sulla splash page. Come si bilanciano questi requisiti?

  1. Distribuire access point ad alta densità e configurare un captive portal con MAC Address Bypass (MAB) impostato su 30 giorni, in modo che i tifosi che ritornano non debbano visualizzare la splash page a ogni visita. 2. Per le nuove connessioni, progettare una splash page estremamente leggera e ottimizzata per un caricamento rapido sui dispositivi mobili. 3. Incorporare un breve annuncio video dello sponsor di 5 secondi che venga riprodotto direttamente sulla splash page, con un pulsante "Salta e Connetti" che avvii immediatamente l'autenticazione del captive portal. 4. Configurare il captive portal per allocare un profilo di banda generoso (ad es. 10 Mbps) per utente per garantire uno streaming video e una navigazione web fluidi.
Commento dell'esaminatore: Negli ambienti ad alta densità, le prestazioni sono fondamentali. L'uso del MAB per i tifosi che ritornano riduce drasticamente il carico sul captive portal e sui server RADIUS durante le ore di punta. Il design leggero della splash page e il breve annuncio video assicurano che il team di marketing raggiunga i propri obiettivi di sponsorizzazione senza causare frustrazione nella navigazione o ritardi nella connessione.

Un grande ospedale pubblico desidera fornire il WiFi per ospiti a pazienti e visitatori. Il team di conformità richiede che la rete sia conforme agli standard di privacy dei dati sanitari e che i pazienti non possano accedere a contenuti web dannosi o inappropriati. Qual è la strategia di implementazione consigliata?

  1. Configurare il captive portal per reindirizzare gli utenti a una splash page che contenga un'informativa sulla privacy specifica per il settore sanitario e i termini di servizio. 2. Integrare il gateway del captive portal con un servizio di filtraggio DNS basato su cloud (come Cisco Umbrella o Webroot) per bloccare automaticamente l'accesso a contenuti per adulti, malware e siti di phishing. 3. Disabilitare le opzioni di social login per evitare la raccolta di dati personali non necessari, affidandosi invece a un semplice pulsante "Accetta e Connetti" o a un modulo di verifica e-mail di base. 4. Applicare un controllo rigoroso della larghezza di banda sul captive portal per dare priorità alle applicazioni cliniche e ai dispositivi IoT dell'ospedale rispetto al traffico di streaming degli ospiti.
Commento dell'esaminatore: Gli ambienti sanitari richiedono un approccio prudente alla privacy dei dati e al filtraggio dei contenuti. Evitando il social login, l'ospedale riduce al minimo il proprio impatto di conformità rispetto alle normative sui dati sanitari. L'integrazione del filtraggio DNS direttamente sul gateway del captive portal garantisce l'applicazione delle policy sui contenuti a livello di intera rete, indipendentemente dalle azioni dell'utente sulla splash page.

Domande di esercitazione

Q1. Un IT manager nota che gli ospiti si connettono al SSID del WiFi ospiti, ma la splash page personalizzata non appare e gli utenti non possono accedere a internet. Qual è la causa tecnica più probabile di questo problema e come dovrebbe essere diagnosticata?

Suggerimento: Considera il ruolo del DNS nel processo di reindirizzamento del captive portal.

Visualizza risposta modello

La causa più probabile è un errore nel processo di risoluzione DNS. Quando un dispositivo si connette, deve risolvere il nome di dominio della splash page per caricare la schermata di benvenuto. Se il server DNS assegnato alla VLAN degli ospiti è inattivo, configurato in modo errato o bloccato dalle regole firewall di pre-autenticazione del gateway, il dispositivo non può risolvere il dominio e il reindirizzamento fallirà. Per diagnosticare, connetti un dispositivo di test al SSID, verifica che riceva un IP valido e l'indirizzo del server DNS tramite DHCP, e prova a effettuare un ping o a risolvere un dominio pubblico. Se il DNS fallisce, controlla lo stato del server DNS e assicurati che il traffico DNS (porta UDP 53) sia consentito nell'ACL di pre-autenticazione del gateway.

Q2. Un punto vendita desidera consentire agli ospiti di accedere utilizzando i propri account Facebook. Tuttavia, quando gli utenti fanno clic sul pulsante di login di Facebook sulla splash page, ricevono un errore "Connessione rifiutata". Il resto della splash page si carica perfettamente. Qual è il problema e come lo risolvi?

Suggerimento: Pensa a quali risorse esterne è consentito l'accesso a un dispositivo non ancora autenticato.

Visualizza risposta modello

Il problema è che i domini di autenticazione di Facebook non sono inclusi nella Walled Garden Access Control List (ACL) di pre-autenticazione del gateway. Poiché l'utente non è ancora autenticato, il captive portal blocca tutto il traffico esterno. Quando l'utente fa clic sul pulsante di Facebook, il browser tenta di raggiungere i server OAuth di Facebook, operazione che viene bloccata dal gateway. Per risolvere il problema, il team IT deve aggiungere i domini OAuth di Facebook richiesti (ad es. *.facebook.com, *.facebook.net) alla Walled Garden ACL sul controller wireless o sul gateway.

Q3. Una struttura ricettiva ha distribuito una rete WiFi per gli ospiti. Il team di marketing desidera raccogliere gli indirizzi email degli ospiti e inviare immediatamente una newsletter di benvenuto. Tuttavia, il team legale è preoccupato per la conformità al GDPR in materia di consenso. Come devono essere configurati la splash page e il captive portal per soddisfare entrambi i team?

Suggerimento: Il GDPR richiede che il consenso per il marketing sia prestato liberamente e non sia una condizione per l'erogazione del servizio.

Visualizza risposta modello

Per soddisfare sia il team di marketing che quello legale ai sensi del GDPR: 1. La splash page deve presentare una casella di controllo deselezionata e chiara per l'adesione al marketing ("Acconsento a ricevere email di marketing"). 2. L'accettazione dei Termini di Servizio e dell'Informativa sulla Privacy deve essere una casella di controllo separata o chiaramente indicata come condizione per l'utilizzo della rete gratuita. 3. Il captive portal e il sistema di splash page sottostanti devono essere configurati per concedere l'accesso a Internet indipendentemente dal fatto che la casella di controllo del marketing sia selezionata o meno. Se un utente lascia deselezionata la casella del marketing ma accetta i Termini di Servizio, il sistema deve comunque inviare un pacchetto Access-Accept al controller di rete. Ciò garantisce che il consenso sia prestato liberamente, soddisfacendo il GDPR, consentendo al contempo al marketing di raccogliere le email degli utenti che scelgono di registrarsi.