In questo articolo della nostra Rubrica WiFI parleremo dell’’implementazione di un sistema di autenticazione AAA come il captive portal:
Authentication: Processo di registrazione che di solito avviene attraverso l’inserimento delle proprie generalità (ad es. il nome utente) e la validazione di queste tramite tecniche che ne consentono la verifica (come per esempio, SMS, validazione mail, carta di credito, etc…)
Authorization: L’autorizzazione si riferisce alla concessione di privilegi specifici ad un’entità o ad un utente, in base al profilo autenticato, ai privilegi richiesti, allo stato corrente del sistema. Le autorizzazioni possono anche essere basate su restrizioni di tipo temporale, di tipo geografico o sul divieto di accessi multipli simultanei da parte dello stesso utente. Nella maggior parte dei casi il privilegio concesso consiste nell’utilizzo di un determinato tipo di servizio.
Accounting:Il termine Accounting si riferisce alle statistiche e informazioni di utilizzo della rete da parte degli utenti. Tale attività è finalizzata a tenere traccia delle seguenti informazioni riguardante l’utente
Da dove si è collegato
Quando e per quanto tempo
Dispositivo utilizzato
Traffico effettuato
Etc..
Abbinata a un captive portal rappresenta il primo livello di controllo per una rete WiFi aperta. Questo approccio consente di gestire in modo sicuro l’accesso degli utenti, stabilire regole di navigazione e monitorare l’utilizzo della rete.
Quando il client si collega ad una rete con Captive Portal il Network Access Controller (NAC), verifica se l’utente fa parte di quelli autenticati o con permessi alla navigazione. Se è così il client può navigare, altrimenti avviene il redirect dell’utente verso il captive portal come descritto in calce.
1) Presentazione Captive porta
Quando il client effettua una richiesta Http, ovvero cerca di aprire un sito web
Il NAC risponde con un 302 redirect, reindirizzando il Client verso la pagina del captive portal. In questa fase il NC aggiunge nella querystring le informazioni utili per identificare e gestire in modo dettagliato e specifico le richieste. Esempi di variabili:
NAC ID: permette al Captive di capire da dove viene la richiesta
IP+MAC Client: Server per identificare il dispositivo del Client
Informazioni Aggiuntive: Oltre a quelle sopra citate possono essere passate diverse informazioni utili per gestire a 360 l’autenticazione. Tra queste per esempio può esserci anche la url richiesta all’inizio dal client per riportarla alla pagina richiesta in partenza una volta autenticato
Una volta ricevuta la richiesta il captive verifica le variabili ed in base alle policy risponde al cliente con la pagina di login contenente anche il form di registrazione
Il Client compila il form di registrazione ed invia una richiesta di creazione account al Captive Portal
Il Captive procede con la creazione dell’account, includendo informazioni come:
Tipo Utente: il tipo di account , utile per esempio per definire diverse tipologie o gruppi di account. Di solito utilizzato per preimpostare le policy e per definire le location in cui può essere usato. Inoltre serve anche per definire dettagli come:
Hard Timeout: il tempo massimo di durata di una sessione al termine della quale il Client deve effettuare nuovamente il login
Idle Timeout: Tempo di inattività finito, che definisce che se il Client non effettua traffico per un determinato tempo viene effettuato un logout.
Policy: Le regole con cui l’account può navigare su internet, per esempio può definire limiti giornalieri, mensili e/o totali di:
Ore massime di navigazione
Limiti di velocità
Traffico Internet
Numero dispositivi
etc…
NAC ID: che permette per esempio di identificare la location da dove si è registrato il Client
IP+MAC Client: Server per identificare il dispositivo del Client
ETC…
La procedura di registrazione restituisce al Captive le credenziali (username e password) dell’account appena creato
Queste poi vengono restituite al Client. Importante che la comunicazione avvenga in modo sicuro e criptato.
3) Login del Client (Authorization)
Una volta ottenuto le credenziali di accesso il client può quindi procedere con l’autenticazione del dispositivo inserendo le credenziali nella pagina del Captive
Il Captive, verifica le credenziali e restituisce il modulo di accesso appropriato che il client deve inviare al NAC
Il Client analizza la risposta e invia la richiesta di accesso al NAC.
Il NAC analizza, gestisce la richiesta e crea una richiesta di accesso RADIUS utilizzando le credenziali ricevute dal Client.
Il servizio Radius invia una richiesta di controllo dell’account al servizio di registrazione per verificare se le credenziali inviate sono valide per l’autenticazione.
Se le credenziali sono valide, la registrazione restituisce le informazioni sulla sessione al servizio Radius.
Il servizio Radius utilizza le informazioni della sessione per costruire una risposta di tipo RADIUS Access-Response, che viene inviata al NAC
Il NAC riceve la risposta e quindi apre il firewall e invia una risposta di successo al client. Inoltre potremmo permettere al Client la navigazione già da questo momento.
4) Inizio Sessione (Accounting)
Il NAC invia una richiesta di tipo RADIUS Account-Request con Acct-Status-Type=start al servizio Radius per avviare la sessione di accounting.
Il servizio Registration aggiorna la sessione creata in precedenza.
Il servizio Radius restituisce una risposta di Accounting RADIUS.
Il servizio Radius invia una richiesta di avvio sessione al servizio Registration.
5) Stop Session (Accounting)
Il NAC invia una richiesta di tipo RADIUS Account-Request con Acct-Status-Type=stop al servizio Radius per aggiornare la sessione.
Il servizio Radius invia una richiesta di arresto della sessione al servizio Registration.
Il servizio Registration aggiorna la sessione e la memorizza su uno storage per tenerne traccia si per fini statistici che di normativa/sicurezza
Il servizio Radius restituisce una risposta al NAC che blocca le regole del firewall ed inibisce la navigazione al Client
Benefici dell’Autenticazione AAA con Captive Portal
Controllo degli Accessi
CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce.
Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.
Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Consente di stabilire chi può accedere alla rete e con quali permessi. Gli utenti devono identificarsi tramite credenziali, social login, o registrazione, limitando così l’accesso a utenti autorizzati.
Questo di fatto permette di
Evitare Connessioni Anonime e Non Autorizzate
L’accesso è riservato a utenti identificati, riducendo il rischio di utilizzo improprio della rete.
Previene l’abuso da parte di attaccanti o utenti non autorizzati.
Creazione di Profili Personalizzati
Permette di configurare profili con permessi specifici, adattati alle esigenze degli utenti o dell’organizzazione. Come per esempio
Limitazioni in fasce orarie: L’accesso è consentito solo in determinati orari (es. durante l’orario di lavoro).
Tempo massimo di connessione: Disconnessione automatica dopo un tempo prestabilito.
Velocità massima per utente: Controllo della banda disponibile per evitare che un singolo utente monopolizzi le risorse.
Traffico massimo giornaliero: Limiti al volume di dati trasferiti per ogni utente.
Gestione Centralizzata degli Utenti
Consente di disconnettere o disabilitare specifici account in caso di utilizzo improprio.
Funzionalità per disabilitare in modo massivo gli account in caso di emergenza o al termine di un evento.
Tracciabilità completa per monitorare attività e prevenire comportamenti indesiderati.
Tracciabilità
Le sessioni degli utenti vengono registrate e tracciate, permettendo di mantenere un registro dettagliato delle attività di rete. Questo include dati come:
Orari di connessione e disconnessione.
Indirizzi IP assegnati e dispositivi utilizzati.
Siti visitati e volumi di traffico generati.
La tracciabilità delle sessioni non è solo una pratica di sicurezza, ma anche un requisito essenziale per garantire conformità normativa e supportare le indagini in caso di necessità.
In calce un elenco dei vantaggi che la tracciabilità ci può portare:
Risposta a Eventuali Abusi e Supporto alle Forze dell’Ordine
La tracciabilità permette di identificare comportamenti illeciti o attività sospette.
I log dettagliati possono essere forniti alla polizia postale o ad altre autorità competenti per supportare indagini su abusi o crimini informatici.
Responsabilità e Conformità Normativa
Tutto il traffico generato dalla rete ricade sotto la responsabilità del proprietario della connessione. Ciò significa che, in caso di attività illecite (come accesso a contenuti illegali, invio di spam o crimini informatici), il proprietario potrebbe essere chiamato a rispondere in prima istanza. L’amministratore della rete deve essere in grado di dimostrare che ha messo in atto tutte le misure possibili per prevenire tali abusi, fornendo dati che identificano l’utente responsabile.
Facilità di Analisi Post-Incidente
I registri delle attività consentono una rapida analisi di eventuali incidenti di sicurezza, come violazioni o accessi non autorizzati.
Permettono di individuare comportamenti sospetti e adottare misure correttive per prevenire futuri abusi.
Disclaimer e Responsabilità
In fase di login e/o registrazione, il captive portal può essere configurato per mostrare disclaimer e informative legali agli utenti che desiderano accedere alla rete. Questo passaggio è cruciale per definire chiaramente le regole di utilizzo della rete e per garantire conformità alle normative vigenti.
L’uso di disclaimer e informative legali non solo protegge il gestore della rete, ma garantisce una maggiore consapevolezza da parte degli utenti e conformità alle normative. Questo semplice passaggio aggiunge un livello essenziale di trasparenza e responsabilità per entrambe le parti.
Possiamo quindi affermare che l’utilizzo di disclaimer:
Chiarisce le Regole e i Limiti di Utilizzo
Gli utenti vengono informati delle condizioni d’uso, inclusi divieti specifici, come l’accesso a contenuti illegali o il lancio di attività dannose.
Aiuta a educare gli utenti sulle responsabilità e sulle conseguenze di un uso improprio della rete.
Protegge il Gestore della Rete da Responsabilità Legali
Dichiarare in modo esplicito che gli utenti sono responsabili delle attività svolte sulla rete aiuta a sollevare il gestore da potenziali implicazioni legali.
In caso di abusi, le autorità possono fare riferimento ai log delle connessioni e alle informative accettate dagli utenti.
Assicura Conformità Normativa
Le normative come il GDPR richiedono di informare gli utenti sulla raccolta e sul trattamento dei loro dati personali. Il captive portal diventa quindi uno strumento per:
Comunicare in modo trasparente quali dati vengono raccolti e come saranno utilizzati.
Ottenere il consenso esplicito per il trattamento dei dati, ove necessario.
Contro dell’Autenticazione AAA con Captive Portal
Sebbene l’Autenticazione AAA con Captive Portal offra numerosi vantaggi, presenta anche alcune limitazioni e problematiche che devono essere prese in considerazione durante la sua implementazione. Di seguito un’analisi dei principali svantaggi:
Difficoltà nella Gestione delle Richieste Iniziali in HTTPS
Le pratiche di sicurezza dei browser e il diffuso utilizzo di HTTPS possono creare difficoltà nella prima fase di presentazione del captive portal. Questa situazione si verifica perché il captive portal, per sua natura, introduce un’interruzione nella connessione end-to-end prevista dal protocollo HTTPS, che può essere percepita come una sorta di attacco man-in-the-middle. HTTPS è progettato per garantire connessioni sicure e dirette tra client e server, ma l’intervento del captive portal con un reindirizzamento (HTTP 302 redirect) può causare una serie di problemi, tra cui:
Errore Certificato SSL non validi: Durante il reindirizzamento, l’utente potrebbe ricevere un avviso sul browser a causa di certificati non corrispondenti, generando confusione o sfiducia.
Mancata apertura automatica del Captive Portal: Alcuni dispositivi non mostrano automaticamente la pagina di login, costringendo l’utente a inserire manualmente un URL, con un’esperienza utente meno intuitiva.
Incompatibilità con alcune applicazioni: Alcuni servizi o app (come per esempio le VPN) non funzionano finchè non si effettua il login.
Complessità di Configurazione e Gestione
Implementare e mantenere un sistema di autenticazione con Captive Portal richiede risorse significative, sia in termini di competenze tecniche che di infrastruttura. Le principali sfide comprendono:
Configurazione iniziale complessa: La messa in opera di un captive portal richiede conoscenze avanzate per configurare server, certificati SSL/TLS, regole di rete e sistemi di autenticazione. In particolare:
Certificati SSL/TLS: È necessario configurare correttamente certificati validi per garantire connessioni sicure, evitando errori di certificato che possono compromettere la fiducia degli utenti.
Criptaggio dei dati: L’intero processo deve garantire che le credenziali degli utenti e altri dati sensibili siano crittografati sia in transito che a riposo, per prevenire intercettazioni o furti di informazioni da parte di attaccanti.
Manutenzione continua: Gli aggiornamenti normativi e tecnologici richiedono costanti interventi per mantenere il sistema aggiornato e sicuro:
Conformità normativa: Regolamenti e normative vigenti obbligano il gestore a implementare misure di sicurezza adeguate per il trattamento e la protezione dei dati personali.
Aggiornamenti di sicurezza: La crescente sofisticazione delle minacce richiede l’applicazione regolare di patch e aggiornamenti software per evitare vulnerabilità sfruttabili da attaccanti.
Sicurezza delle comunicazioni: È fondamentale garantire che le comunicazioni tra il captive portal e i server di backend siano crittografate, utilizzando protocolli sicuri come HTTPS e TLS moderni.
Gestione degli account utente: La gestione delle identità se ben fatta, può rappresentare una sfida significativa:
Creazione e aggiornamento degli account: Il processo di gestione delle credenziali deve essere sicuro e automatizzato, per evitare errori umani e ridurre i rischi di compromissione.
Revoca e controllo degli accessi: È necessario garantire la possibilità di disattivare rapidamente gli account in caso di comportamenti anomali o di violazioni, mantenendo al contempo un registro dettagliato delle attività per eventuali analisi post-incidente.
Gestione centralizzata: L’implementazione di sistemi di gestione centralizzata come RADIUS o altri strumenti AAA (Authentication, Authorization, Accounting) può complicare ulteriormente l’infrastruttura, ma è essenziale per garantire un controllo capillare e sicuro degli accessi.
In conclusione, la configurazione e la gestione di un captive portal non sono solo una questione di usabilità o funzionalità, ma richiedono un focus continuo sulla sicurezza, dalla protezione delle comunicazioni alla conformità normativa, per garantire un sistema robusto e affidabile.
Impatti sull’Esperienza Utente
L’esperienza dell’utente finale è un elemento cruciale da considerare durante la progettazione e l’implementazione di un sistema di autenticazione con Captive Portal. Scelte errate o implementazioni poco curate possono infatti compromettere l’usabilità e creare frustrazione. Ecco alcune problematiche comuni e le relative considerazioni:
Accesso difficoltoso: Il processo di registrazione e autenticazione introduce un passaggio aggiuntivo rispetto alla connessione immediata, che può essere percepito come un ostacolo. È fondamentale trovare un equilibrio tra sicurezza e semplicità, implementando un’interfaccia intuitiva e procedure snelle per ridurre i tempi di accesso senza rinunciare alla sicurezza.
Problemi di compatibilità con i dispositivi IoT: Molti dispositivi IoT non sono progettati per interagire con sistemi di Captive Portal, risultando incapaci di completare i processi di login. Questo richiede:
Soluzioni personalizzate: Configurazioni dedicate per gestire l’accesso dei dispositivi IoT, come whitelist di MAC address o autenticazione semplificata.
Automazione del processo di connessione: Sistemi che rilevino e autorizzino automaticamente dispositivi specifici, riducendo al minimo l’intervento manuale.
Frustrazione dell’utente: La necessità di autenticarsi frequentemente, in particolare per sessioni brevi, può risultare irritante e compromettere l’esperienza complessiva. Per mitigare questo problema, è possibile adottare le seguenti soluzioni:
Riconoscimento automatico del dispositivo: Implementare una funzionalità che identifica e autentica automaticamente i dispositivi precedentemente registrati, eliminando la necessità per l’utente di ripetere il processo di login.
Persistenza della sessione: Estendere la durata delle sessioni attive (quelle definite come Hard Timeout precedentemente) per evitare disconnessioni frequenti, garantendo comunque un adeguato livello di sicurezza. Al contempo, è consigliabile mantenere brevi le sessioni di inattività (Idle timeout), così da assicurare una visibilità chiara e puntuale dei dispositivi effettivamente collegati in un dato momento.
Con un’attenzione mirata a questi aspetti, è possibile migliorare l’esperienza dell’utente finale, riducendo la frustrazione e favorendo l’adozione del sistema senza compromettere la sicurezza.
Conclusione
L’adozione di sistemi AAA (Authentication, Authorization, Accounting) unitamente a un captive portal rappresenta un approccio valido per garantire un accesso sicuro e regolamentato alle reti Wi-Fi, offrendo al contempo strumenti di monitoraggio e gestione della navigazione degli utenti. Questa combinazione permette di conciliare accessibilità e protezione, risultando particolarmente utile in contesti caratterizzati da hotspot aperti.
Tuttavia, è fondamentale riconoscere che l’implementazione di un captive portal comporta complessità tecniche e possibili ripercussioni sull’esperienza dell’utente. Un captive portal mal configurato o non integrato con altre misure di sicurezza rischia di trasformarsi in una vulnerabilità anziché in un beneficio. Proprio per questo, scegliere il fornitore IT e il servizio giusto diventa cruciale: come abbiamo visto nel nostro articolo “Hotel da sogno, Wi-Fi da incubo: l’importanza del giusto fornitore IT”, affidarsi a partner in grado di offrire competenze, aggiornamenti costanti e garanzie di sicurezza è l’unico modo per evitare spiacevoli sorprese e proteggere davvero la propria infrastruttura.
Nei prossimi articoli esploreremo altre contromisure fondamentali, a cominciare dall’isolamento del traffico, per rendere le reti wifi aperte ancora più resilienti. Se sei un utente o un amministratore di rete, non perderti questi consigli: l’intero RedWave Team condividerà con te tutta la sua esperienza per guidarti nella valutazione e nella prevenzione, in perfetto stile RedHotCyber.
Secondo diverse indiscrezioni, il proprietario di Pornhub, Redtube e YouPorn ha intenzione di interrompere il servizio agli utenti francesi già mercoledì pomeriggio per protestare contro le ...
Gli hacker di NoName057(16) riavviano le loro attività ostili contro diversi obiettivi italiani, attraverso attacchi di Distributed Denial-of-Service (DDoS). NoName057(16) &#x...
Google ha pubblicato un aggiornamento di sicurezza urgente per il browser Chrome, a seguito della conferma che una pericolosa vulnerabilità zero-day è attualmente oggetto di attacchi attivi ...
Una campagna malware altamente sofisticata sta prendendo di mira client SSH legittimi, tra cui la nota applicazione PuTTY e l’implementazione OpenSSH integrata nei sistemi Windows, con l’...
Il giorno 10 Maggio 2025 il comune di Pisa ha subito un attacco Ransomware all’interno dei loro sistemi informatici. Il giorno dopo Nova ha rivendicato l’attacco ed il 21 dello stesso me...