XÁC THỰC TRONG WLAN
3.7. Công nghệ Captive Portal là gì?
Chúng ta sẽ tìm hiểu khái niệm Captive Portal (viết tắt là CP) thông qua cách
thức hoạt động của chúng.
Công nghệ CP sẽ bắt buộc một máy muốn sử dụng Internet trong mạng thì
trước tiên phải sử dụng trình duyệt để “được” tới một trang đặc biệt (thường dùng cho
mục đích xác thực). CP sẽ chuyển hướng trình duyệt tới thiết bị xác thực an ninh. Điều này được thực hiện bằng cách bắt tất cả các gói tin, kể cả địa chỉ và cổng, đến khi người dùng mở một trình duyệt và thử truy cập Internet. Tại thời điểm đó, trình duyệt
sẽ được chuyển hướng tới trang web đặc biệt yêu cầu xác thực (đăng nhập) hoặc thanh toán, hoặc đơn giản chỉ là hiện một bảng thông báo về các quy định mà người dùng sẽ phải tuân theo và yêu cầu người dùng phải chấp nhận các quy định đó trước khi truy cập Internet. CP thường được triển khai ở hầu hết các điểm truy nhập WiFi và nó cũng có thể được dùng để điều khiển mạng có dây.
Do trang web đăng nhập phải truy cập được từ trình duyệt của máy khách, do đó trang web này cần phải đặt ngay trên gateway hoặc trên một web server nằm trong “danh sách trắng” nghĩa là có thể truy cập mà không cần quá trình xác thực. Ngoài việc có danh sách trắng của các địa chỉ URL, một vài loại gateway còn có danh sách trắng đối với một vài công TCP.
3.1.1. Các cách triển triển khai
a. Chuyển hướng bằng HTTP (Hypertext Transfer Protocol)
Nếu một máy khách chưa xác thực truy cập đến một website, trình duyệt sẽ yêu
cầu địa chỉ IP tương ứng với tên miền từ máy chủ DNS và nhận được thông tin này như bình thường. Tiếp đó trình duyệt sẽ gửi một yêu cầu HTTP đến địa chỉ IP đó. Tuy nhiên yêu cầu này sẽ bị firewall chặn lại và chuyên tiếp tới một máy chủ chuyên tiếp. Máy chủ chuyển tiếp này phản hồi với một trả lời HTTP thông thường, trong đó gồm mã trạng thái HTTP 302 để chuyển hướng máy khách tới CP. Đối với máy khách thì quá trình này hoàn toàn “trong suốt”. Máy khách sẽ tưởng rằng website đó đã thực sự trả lời với yêu cầu đầu tiên và gửi thông tin chuyền hướng.
b. Chuyển hướng bằng DNS
Nếu một máy khách chưa xác thực truy cập đến một website, trình duyệt sẽ yêu cầu địa chỉ IP tương ứng với tên miền từ máy chủ DNS. Thay vì trả về IP chính xác của tên miền website đó, máy chủ DNS sẽ trả về IP của CP.
Nếu quản trị mạng không có hành động ngăn ngừa thì cách thức này có thể dễ dàng bị vượt qua bằng cách sử dụng một máy chủ DNS khác tại máy khách.
3.1.3. Giới thiệu một số phần mềm sử dụng công nghệ Captive
Portal
a. Dành cho FreeBSD/OpenBSD
PfSense
pfSense là một phiên bản phần mềm tường lửa được tách ra từ phần mềm tường lửa mã nguồn mở m0n0wall phát triển trên nền hệ điều hành FreeBSD. Gói phần mềm bao gồm hệ hiều hành Unix FreeBSD và các gói dịch tích hợp có chức năng router, tường lửa, máy chủ VPN, và một số dịch khác. Với mục tiêu là các hệ thống PC nhúng, gói phần mềm được thiết kế nhỏ gọn, dễ dàng cài đặt thông qua giao điện web và đặc biệt là có khả năng cài đặt thêm gói dịch vụ để mở rộng tính năng. Trang web chính thức của pfSense là www.pfSense.com, Để có thê tiếp tục thao tác như trong bài viết, các bạn vào mục downloads trên website, chọn download phiên bản iso LiveCD
và ghi ra đĩa CD tập tin ¡so này.
Uu điễm
-_ Miễn phí.
- Có khả năng bổ sung thêm tính năng bằng gói dịch vụ cộng thêm.