Inleiding
In dit document worden interacties tussen interne portalen en de Umbrella-roamingclient beschreven.
Overzicht
Captive portals zijn de algemene naam voor openbare of "as-a-service" internetverbindingen waarvoor betaling, authenticatie of acceptatie van de servicevoorwaarden / het beleid voor acceptabel gebruik (TOS / AUP) vereist is voordat connectiviteit met een apparaat wordt toegestaan.
Captive portals worden meestal gezien in luchthavens, hotels, coffeeshops of echt overal waar gratis of betaalde wifi wordt aangeboden. U kunt ze ook zien in wifi-netwerken van gasten in bedrijfs- of schoolomgevingen.
Een captive portal presenteert zich meestal als een "gate" of pop-up in de browser waarbij de eindgebruiker actie moet ondernemen om inloggegevens te verstrekken, te betalen of de servicevoorwaarden te accepteren om het internet te bereiken. Totdat de captive portal is gewist, kan de gebruiker niet bladeren door andere bronnen dan die binnen het subnet waarin de portal bestaat.
Verwacht gedrag en scenario's
De meeste captive portals leiden alle browserverzoeken (HTTP / HTTPS) door naar het lokale webportaal. Het lokale webportaal is meestal IP-gebaseerd en niet op DNS. Dit betekent dat er geen gedragsproblemen worden veroorzaakt bij het gebruik van de Umbrella-roamingclient op een computer die verbinding maakt met een intern portaal.
In het zeldzame geval dat een captive portal DNS op de een of andere manier gebruikt om zijn service te vergemakkelijken, treedt dit gedrag op voordat de vereisten van het captive portal zijn voltooid (betaling, TOS / AUP-acceptatie, enz.).
DNS-gebaseerde captive portals kunnen mogelijk alleen HTTP-query's omleiden zonder fouten. Moderne browsers behandelen automatisch bekende verzoeken zoals google.com om https://www.google.com/ te zijn, wat sommige captive portals zou kunnen breken. Probeer de interne portaalcontrolesite van Apple te gebruiken om toegang te krijgen tot de inlogpagina van het interne portaal, die alleen http is. Ga hiervoor naar http://captive.apple.com.
Cisco Security Connector (CSC)
Net als de roamingclient blijft de CSC beveiligd en gecodeerd als UDP 443 is toegestaan achter een captive portal. Dit leidt ertoe dat lokale DNS naar het captive-portaal niet wordt opgelost naar het lokale resultaat. Om toegang te krijgen tot de captive portal, moet een domein op de interne domeinlijst worden bezocht voor deze semi-captive portals.
Zo kan de automatische detectie van de iOS-portal in gevangenschap functioneren:
- Voeg deze toe aan de lijst met interne domeinen
DNS van derden geblokkeerd
Als het interne portaal DNS-verzoeken blokkeert die bestemd zijn voor Umbrella, wordt de DNS-connectiviteit gedurende ongeveer zes seconden geblokkeerd door de Umbrella-roamingclient. Na zes seconden gaat de Umbrella-roamingclient over naar de status Onbeschermd/Niet-versleuteld totdat deze opnieuw kan communiceren met Umbrella.
DNS-redirected van derden
Als het interne portaal DNS-verzoeken omleidt die bestemd zijn voor Umbrella, wordt de DNS-connectiviteit gedurende ongeveer twee tot zes seconden geblokkeerd door de Umbrella-roamingclient. Na deze tijd gaat de Umbrella-roamingclient over naar de status Onbeschermd/Niet-versleuteld totdat deze opnieuw kan communiceren met Umbrella.
DNS van derden toegestaan
Als het interne portaal geen DNS-verzoeken voor Umbrella manipuleert of blokkeert, werkt de Umbrella-roamingclient zoals bedoeld en kan dit ertoe leiden dat het inloggedeelte van het interne portaal volledig wordt omzeild.
Oplossing: bezoek een domein in uw lijst met interne domeinen. Dit maakt het mogelijk om de portaalsite te omleiden, zelfs als DNS van derden is toegestaan. Doe dit wanneer de roamingclient zich in een beschermde staat achter een intern portaal bevindt.
Feedback