Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

AAA + Captive Portal: La combo perfetta per una rete WiFi a prova di attacco

RedWave Team : 4 Giugno 2025 17:36

In questo articolo della nostra Rubrica WiFI parleremo dell’’implementazione di un sistema di autenticazione AAA come il captive portal

  • Authentication: Processo di registrazione che di solito avviene attraverso l’inserimento delle proprie generalità (ad es. il nome utente) e la validazione di queste tramite tecniche che ne consentono la verifica (come per esempio, SMS, validazione mail, carta di credito, etc…)
  • Authorization: L’autorizzazione si riferisce alla concessione di privilegi specifici ad un’entità o ad un utente, in base al profilo autenticato, ai privilegi richiesti, allo stato corrente del sistema. Le autorizzazioni possono anche essere basate su restrizioni di tipo temporale, di tipo geografico o sul divieto di accessi multipli simultanei da parte dello stesso utente. Nella maggior parte dei casi il privilegio concesso consiste nell’utilizzo di un determinato tipo di servizio. 
  • Accounting:Il termine Accounting si riferisce alle statistiche e  informazioni di utilizzo della rete da parte degli utenti. Tale attività è finalizzata a tenere traccia delle seguenti informazioni riguardante l’utente
    • Da dove si è collegato
    • Quando e per quanto tempo
    • Dispositivo utilizzato
    • Traffico effettuato
    • Etc.. 

Abbinata a un captive portal rappresenta il primo livello di controllo per una rete WiFi aperta. Questo approccio consente di gestire in modo sicuro l’accesso degli utenti, stabilire regole di navigazione e monitorare l’utilizzo della rete.

Come funziona nel dettaglio

Quando il client si collega ad una rete con Captive Portal il Network Access Controller (NAC), verifica se l’utente fa parte di quelli autenticati o con permessi alla navigazione. Se è così il client può navigare, altrimenti avviene il redirect dell’utente verso il captive portal come descritto in calce.

1) Presentazione Captive porta

  • Quando il client effettua una richiesta Http, ovvero cerca di aprire un sito web
  • Il NAC risponde con un 302 redirect, reindirizzando il Client verso la pagina del captive portal. In questa fase il NC aggiunge nella querystring le informazioni utili per identificare e gestire in modo dettagliato e specifico le richieste. Esempi di variabili:
    1. NAC ID: permette al Captive di capire da dove viene la richiesta
    2. IP+MAC Client: Server per identificare il dispositivo del Client
    3. Informazioni Aggiuntive: Oltre a quelle sopra citate possono essere passate diverse informazioni utili per gestire a 360 l’autenticazione. Tra queste per esempio può esserci anche la url richiesta all’inizio dal client per riportarla alla pagina richiesta in partenza una volta autenticato
    4. Una volta ricevuta la richiesta il captive verifica le variabili ed in base alle policy risponde al cliente con la pagina di login contenente anche il form di registrazione

2) Registrazione & Creazione Account (Authentication)

  • Il Client compila il form di registrazione ed invia una richiesta di creazione account al Captive Portal
  • Il Captive procede con la creazione dell’account, includendo informazioni come:
    1. Tipo Utente: il tipo di account , utile per esempio per definire diverse tipologie o gruppi di account. Di solito utilizzato per preimpostare le policy e per definire le location in cui può essere usato. Inoltre serve anche per definire dettagli come:
      • Hard Timeout: il tempo massimo di durata di una sessione al termine della quale il Client deve effettuare nuovamente il login
      • Idle Timeout: Tempo di inattività finito, che definisce che se il Client non effettua traffico per un determinato tempo viene effettuato un logout.
    2. Policy: Le regole con cui l’account può navigare su internet, per esempio può definire limiti giornalieri, mensili e/o totali di:
      • Ore massime di navigazione
      • Limiti di velocità
      • Traffico Internet
      • Numero dispositivi
      • etc…
    3. NAC ID: che permette per esempio di identificare la location da dove si è registrato il Client
    4. IP+MAC Client: Server per identificare il dispositivo del Client
    5. ETC
  • La procedura di registrazione restituisce al Captive le credenziali (username e password) dell’account appena creato
  • Queste poi vengono restituite al Client. Importante che la comunicazione avvenga in modo sicuro e criptato.

3) Login del Client (Authorization)

  • Una volta ottenuto le credenziali di accesso il client può quindi procedere con l’autenticazione del dispositivo inserendo le credenziali nella pagina del Captive
  • Il Captive, verifica le credenziali e restituisce il modulo di accesso appropriato che il client deve inviare al NAC
  • Il Client analizza la risposta e invia la richiesta di accesso al NAC.
  • Il NAC analizza, gestisce la richiesta e crea una richiesta di accesso RADIUS utilizzando le credenziali ricevute dal Client.
  • Il servizio Radius invia una richiesta di controllo dell’account al servizio di registrazione per verificare se le credenziali inviate sono valide per l’autenticazione.
  • Se le credenziali sono valide, la registrazione restituisce le informazioni sulla sessione al servizio Radius.
  • Il servizio Radius utilizza le informazioni della sessione per costruire una risposta di tipo RADIUS Access-Response, che viene inviata al NAC
  • Il NAC riceve la risposta e quindi apre il firewall e invia una risposta di successo al client. Inoltre potremmo permettere al Client la navigazione già da questo momento.

4) Inizio Sessione (Accounting)

  • Il NAC invia una richiesta di tipo RADIUS Account-Request con Acct-Status-Type=start al servizio Radius per avviare la sessione di accounting.
  • Il servizio Registration aggiorna la sessione creata in precedenza.
  • Il servizio Radius restituisce una risposta di Accounting RADIUS.
  • Il servizio Radius invia una richiesta di avvio sessione al servizio Registration.

5) Stop Session (Accounting)

  • Il NAC invia una richiesta di tipo RADIUS Account-Request con Acct-Status-Type=stop al servizio Radius per aggiornare la sessione.
  • Il servizio Radius invia una richiesta di arresto della sessione al servizio Registration.
  • Il servizio Registration aggiorna la sessione e la memorizza su uno storage per tenerne traccia si per fini statistici che di normativa/sicurezza
  • Il servizio Radius restituisce una risposta al NAC che blocca le regole del firewall ed inibisce la navigazione al Client

Benefici dell’Autenticazione AAA con Captive Portal

Controllo degli Accessi

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Consente di stabilire chi può accedere alla rete e con quali permessi. Gli utenti devono identificarsi tramite credenziali, social login, o registrazione, limitando così l’accesso a utenti autorizzati.

Questo di fatto permette di

  • Evitare Connessioni Anonime e Non Autorizzate
    • L’accesso è riservato a utenti identificati, riducendo il rischio di utilizzo improprio della rete.
    • Previene l’abuso da parte di attaccanti o utenti non autorizzati.
  • Creazione di Profili Personalizzati
    • Permette di configurare profili con permessi specifici, adattati alle esigenze degli utenti o dell’organizzazione. Come per esempio
      • Limitazioni in fasce orarie: L’accesso è consentito solo in determinati orari (es. durante l’orario di lavoro).
      • Tempo massimo di connessione: Disconnessione automatica dopo un tempo prestabilito.
      • Velocità massima per utente: Controllo della banda disponibile per evitare che un singolo utente monopolizzi le risorse.
      • Traffico massimo giornaliero: Limiti al volume di dati trasferiti per ogni utente.
  • Gestione Centralizzata degli Utenti
  • Consente di disconnettere o disabilitare specifici account in caso di utilizzo improprio.
  • Funzionalità per disabilitare in modo massivo gli account in caso di emergenza o al termine di un evento.
  • Tracciabilità completa per monitorare attività e prevenire comportamenti indesiderati.

Tracciabilità

Le sessioni degli utenti vengono registrate e tracciate, permettendo di mantenere un registro dettagliato delle attività di rete. Questo include dati come:

  • Orari di connessione e disconnessione.
  • Indirizzi IP assegnati e dispositivi utilizzati.
  • Siti visitati e volumi di traffico generati.

La tracciabilità delle sessioni non è solo una pratica di sicurezza, ma anche un requisito essenziale per garantire conformità normativa e supportare le indagini in caso di necessità. 

In calce un elenco dei vantaggi che la tracciabilità ci può portare:

  • Risposta a Eventuali Abusi e Supporto alle Forze dell’Ordine
    • La tracciabilità permette di identificare comportamenti illeciti o attività sospette.
    • I log dettagliati possono essere forniti alla polizia postale o ad altre autorità competenti per supportare indagini su abusi o crimini informatici.
  • Responsabilità e Conformità Normativa
    • Tutto il traffico generato dalla rete ricade sotto la responsabilità del proprietario della connessione. Ciò significa che, in caso di attività illecite (come accesso a contenuti illegali, invio di spam o crimini informatici), il proprietario potrebbe essere chiamato a rispondere in prima istanza. L’amministratore della rete deve essere in grado di dimostrare che ha messo in atto tutte le misure possibili per prevenire tali abusi, fornendo dati che identificano l’utente responsabile.
  • Facilità di Analisi Post-Incidente
    • I registri delle attività consentono una rapida analisi di eventuali incidenti di sicurezza, come violazioni o accessi non autorizzati.
    • Permettono di individuare comportamenti sospetti e adottare misure correttive per prevenire futuri abusi.

Disclaimer e Responsabilità

In fase di login e/o registrazione, il captive portal può essere configurato per mostrare disclaimer e informative legali agli utenti che desiderano accedere alla rete. Questo passaggio è cruciale per definire chiaramente le regole di utilizzo della rete e per garantire conformità alle normative vigenti.

L’uso di disclaimer e informative legali non solo protegge il gestore della rete, ma garantisce una maggiore consapevolezza da parte degli utenti e conformità alle normative. Questo semplice passaggio aggiunge un livello essenziale di trasparenza e responsabilità per entrambe le parti.

Possiamo quindi affermare che l’utilizzo di disclaimer:

  • Chiarisce le Regole e i Limiti di Utilizzo
    • Gli utenti vengono informati delle condizioni d’uso, inclusi divieti specifici, come l’accesso a contenuti illegali o il lancio di attività dannose.
    • Aiuta a educare gli utenti sulle responsabilità e sulle conseguenze di un uso improprio della rete.
  • Protegge il Gestore della Rete da Responsabilità Legali
    • Dichiarare in modo esplicito che gli utenti sono responsabili delle attività svolte sulla rete aiuta a sollevare il gestore da potenziali implicazioni legali.
    • In caso di abusi, le autorità possono fare riferimento ai log delle connessioni e alle informative accettate dagli utenti.
  • Assicura Conformità Normativa
    • Le normative come il GDPR richiedono di informare gli utenti sulla raccolta e sul trattamento dei loro dati personali. Il captive portal diventa quindi uno strumento per:
      • Comunicare in modo trasparente quali dati vengono raccolti e come saranno utilizzati.
      • Ottenere il consenso esplicito per il trattamento dei dati, ove necessario.

Contro dell’Autenticazione AAA con Captive Portal

Sebbene l’Autenticazione AAA con Captive Portal offra numerosi vantaggi, presenta anche alcune limitazioni e problematiche che devono essere prese in considerazione durante la sua implementazione. Di seguito un’analisi dei principali svantaggi:

Difficoltà nella Gestione delle Richieste Iniziali in HTTPS

Le pratiche di sicurezza dei browser e il diffuso utilizzo di HTTPS possono creare difficoltà nella prima fase di presentazione del captive portal. Questa situazione si verifica perché il captive portal, per sua natura, introduce un’interruzione nella connessione end-to-end prevista dal protocollo HTTPS, che può essere percepita come una sorta di attacco man-in-the-middle. HTTPS è progettato per garantire connessioni sicure e dirette tra client e server, ma l’intervento del captive portal con un reindirizzamento (HTTP 302 redirect) può causare una serie di problemi, tra cui:

  • Errore Certificato SSL non validi: Durante il reindirizzamento, l’utente potrebbe ricevere un avviso sul browser a causa di certificati non corrispondenti, generando confusione o sfiducia.
  • Mancata apertura automatica del Captive Portal: Alcuni dispositivi non mostrano automaticamente la pagina di login, costringendo l’utente a inserire manualmente un URL, con un’esperienza utente meno intuitiva.
  • Incompatibilità con alcune applicazioni: Alcuni servizi o app (come per esempio le VPN) non funzionano finchè non si effettua il login.

Complessità di Configurazione e Gestione

Implementare e mantenere un sistema di autenticazione con Captive Portal richiede risorse significative, sia in termini di competenze tecniche che di infrastruttura. Le principali sfide comprendono:

  • Configurazione iniziale complessa: La messa in opera di un captive portal richiede conoscenze avanzate per configurare server, certificati SSL/TLS, regole di rete e sistemi di autenticazione. In particolare:
    • Certificati SSL/TLS: È necessario configurare correttamente certificati validi per garantire connessioni sicure, evitando errori di certificato che possono compromettere la fiducia degli utenti.
    • Criptaggio dei dati: L’intero processo deve garantire che le credenziali degli utenti e altri dati sensibili siano crittografati sia in transito che a riposo, per prevenire intercettazioni o furti di informazioni da parte di attaccanti.
  • Manutenzione continua: Gli aggiornamenti normativi e tecnologici richiedono costanti interventi per mantenere il sistema aggiornato e sicuro:
    • Conformità normativa: Regolamenti e normative vigenti obbligano il gestore a implementare misure di sicurezza adeguate per il trattamento e la protezione dei dati personali.
    • Aggiornamenti di sicurezza: La crescente sofisticazione delle minacce richiede l’applicazione regolare di patch e aggiornamenti software per evitare vulnerabilità sfruttabili da attaccanti.
    • Sicurezza delle comunicazioni: È fondamentale garantire che le comunicazioni tra il captive portal e i server di backend siano crittografate, utilizzando protocolli sicuri come HTTPS e TLS moderni.
  • Gestione degli account utente: La gestione delle identità se ben fatta, può rappresentare una sfida significativa:
    • Creazione e aggiornamento degli account: Il processo di gestione delle credenziali deve essere sicuro e automatizzato, per evitare errori umani e ridurre i rischi di compromissione.
    • Revoca e controllo degli accessi: È necessario garantire la possibilità di disattivare rapidamente gli account in caso di comportamenti anomali o di violazioni, mantenendo al contempo un registro dettagliato delle attività per eventuali analisi post-incidente.
    • Gestione centralizzata: L’implementazione di sistemi di gestione centralizzata come RADIUS o altri strumenti AAA (Authentication, Authorization, Accounting) può complicare ulteriormente l’infrastruttura, ma è essenziale per garantire un controllo capillare e sicuro degli accessi.

In conclusione, la configurazione e la gestione di un captive portal non sono solo una questione di usabilità o funzionalità, ma richiedono un focus continuo sulla sicurezza, dalla protezione delle comunicazioni alla conformità normativa, per garantire un sistema robusto e affidabile.

Impatti sull’Esperienza Utente

L’esperienza dell’utente finale è un elemento cruciale da considerare durante la progettazione e l’implementazione di un sistema di autenticazione con Captive Portal. Scelte errate o implementazioni poco curate possono infatti compromettere l’usabilità e creare frustrazione. Ecco alcune problematiche comuni e le relative considerazioni:

  • Accesso difficoltoso: Il processo di registrazione e autenticazione introduce un passaggio aggiuntivo rispetto alla connessione immediata, che può essere percepito come un ostacolo. È fondamentale trovare un equilibrio tra sicurezza e semplicità, implementando un’interfaccia intuitiva e procedure snelle per ridurre i tempi di accesso senza rinunciare alla sicurezza.
  • Problemi di compatibilità con i dispositivi IoT: Molti dispositivi IoT non sono progettati per interagire con sistemi di Captive Portal, risultando incapaci di completare i processi di login. Questo richiede:
    • Soluzioni personalizzate: Configurazioni dedicate per gestire l’accesso dei dispositivi IoT, come whitelist di MAC address o autenticazione semplificata.
    • Automazione del processo di connessione: Sistemi che rilevino e autorizzino automaticamente dispositivi specifici, riducendo al minimo l’intervento manuale.
  • Frustrazione dell’utente: La necessità di autenticarsi frequentemente, in particolare per sessioni brevi, può risultare irritante e compromettere l’esperienza complessiva. Per mitigare questo problema, è possibile adottare le seguenti soluzioni:
    • Riconoscimento automatico del dispositivo: Implementare una funzionalità che identifica e autentica automaticamente i dispositivi precedentemente registrati, eliminando la necessità per l’utente di ripetere il processo di login.
    • Persistenza della sessione: Estendere la durata delle sessioni attive (quelle definite come Hard Timeout precedentemente) per evitare disconnessioni frequenti, garantendo comunque un adeguato livello di sicurezza. Al contempo, è consigliabile mantenere brevi le sessioni di inattività (Idle timeout), così da assicurare una visibilità chiara e puntuale dei dispositivi effettivamente collegati in un dato momento.

Con un’attenzione mirata a questi aspetti, è possibile migliorare l’esperienza dell’utente finale, riducendo la frustrazione e favorendo l’adozione del sistema senza compromettere la sicurezza.

Conclusione

L’adozione di sistemi AAA (Authentication, Authorization, Accounting) unitamente a un captive portal rappresenta un approccio valido per garantire un accesso sicuro e regolamentato alle reti Wi-Fi, offrendo al contempo strumenti di monitoraggio e gestione della navigazione degli utenti. Questa combinazione permette di conciliare accessibilità e protezione, risultando particolarmente utile in contesti caratterizzati da hotspot aperti.

Tuttavia, è fondamentale riconoscere che l’implementazione di un captive portal comporta complessità tecniche e possibili ripercussioni sull’esperienza dell’utente. Un captive portal mal configurato o non integrato con altre misure di sicurezza rischia di trasformarsi in una vulnerabilità anziché in un beneficio. Proprio per questo, scegliere il fornitore IT e il servizio giusto diventa cruciale: come abbiamo visto nel nostro articolo “Hotel da sogno, Wi-Fi da incubo: l’importanza del giusto fornitore IT”, affidarsi a partner in grado di offrire competenze, aggiornamenti costanti e garanzie di sicurezza è l’unico modo per evitare spiacevoli sorprese e proteggere davvero la propria infrastruttura.

Nei prossimi articoli esploreremo altre contromisure fondamentali, a cominciare dall’isolamento del traffico, per rendere le reti wifi aperte ancora più resilienti. Se sei un utente o un amministratore di rete, non perderti questi consigli: l’intero RedWave Team condividerà con te tutta la sua esperienza per guidarti nella valutazione e nella prevenzione, in perfetto stile RedHotCyber.

RedWave Team
RedWave Team è un gruppo di esperti in cybersecurity e reti WiFi della community di Red Hot Cyber, con competenze sia offensive che defensive. Offre una visione completa e multidisciplinare del panorama della sicurezza informatica. Coordinato da Roland Kapidani, Il gruppo è composto da Cristiano Giannini, Francesco Demarcus, Manuel Roccon, Marco Mazzola, Matteo Brandi, Mattia Morini, Vincenzo Miccoli, Pietro Melillo.

Lista degli articoli

Articoli in evidenza

Pornhub, Redtube e YouPorn si ritirano dalla Francia per colpa della legge sulla verifica dell’età

Secondo diverse indiscrezioni, il proprietario di Pornhub, Redtube e YouPorn ha intenzione di interrompere il servizio agli utenti francesi già mercoledì pomeriggio per protestare contro le ...

Gli hacktivisti filorussi di NoName057(16), rivendicano nuovi attacchi alle infrastrutture italiane

Gli hacker di NoName057(16) riavviano le loro attività ostili contro diversi obiettivi italiani, attraverso attacchi di Distributed Denial-of-Service (DDoS). NoName057(16) &#x...

Chrome sotto attacco! Scoperta una pericolosa vulnerabilità zero-day attivamente sfruttata

Google ha pubblicato un aggiornamento di sicurezza urgente per il browser Chrome, a seguito della conferma che una pericolosa vulnerabilità zero-day è attualmente oggetto di attacchi attivi ...

Quando gli hacker entrano dalla porta di servizio! PuTTY e SSH abusati per accedere alle reti

Una campagna malware altamente sofisticata sta prendendo di mira client SSH legittimi, tra cui la nota applicazione PuTTY e l’implementazione OpenSSH integrata nei sistemi Windows, con l’...

RHC effettua una BlackView con NOVA ransomware: “Aspettatevi attacchi pericolosi”

Il giorno 10 Maggio 2025 il comune di Pisa ha subito un attacco Ransomware all’interno dei loro sistemi informatici. Il giorno dopo Nova ha rivendicato l’attacco ed il 21 dello stesso me...