ZeroShell    Forum
   Feed Feed
EnglishEnglish     ItalianoItaliano     French     Spanish                Facebook      Twitter

Valid HTML 4.01 Transitional


      ¿Qué es esto?
      Imágenes
      Licencia
      Anuncios
      Lista de correo
      Forum
      Documentación
      FAQ
      Hardware
      Download
      Actualización on-line
      Kerberos Tutorial  
      Aviso legal
      Contacto


  Más detalladamente:
      Gráficos
      Net Balancer
      Router UMTS
      Antivirus proxy
      Punto de acceso WiFi
      OpenVPN cliente
      Servidor OpenVPN
      QoS
      OpenDNS
      Kerberos 5
      NIS y LDAP
      Certificados X.509
      RADIUS
      Portal Cautivo
      VPN
      Firewall





Captive Portal para la autenticación de HotSpot

En algunas circunstancias, los protocolos para proteger el capa 2 de la red inalámbrica, como WPA o WPA2 no son aplicables porque no son fáciles de configurar para los usuarios finales si el servicio de ayuda está disponible. Por otra parte, puede utilizar estos protocolos sólo si el hardware (puntos de acceso y tarjetas de red) y los sistemas operativos de apoyo. En otros casos, es necesario proteger no sólo los accesos móviles, pero los cables también. La solución a estos problemas se pueden mover el control de los accesos de la Capa 2 (Capa de enlace de datos) y Capa 3 de la red, por ejemplo, mediante un Portal Cautivo. Con esta técnica el usuario tiene que introducir sus credenciales (usuario y contraseña o certificado electrónico) en su navegador para ser autorizados a utilizar la red.

Portal Cautivo consiste en una puerta de enlace que es el router por defecto para la subred de proteger. Tales bloques de puerta de enlace IP de los paquetes destinados hacia el exterior y captura las peticiones http y https en los puertos TCP 80 y 443 a volver a dirigir a un servidor web (denominado servidor de autenticación) que muestran al usuario una página de autenticación. Si el usuario introduzca las credenciales correctas, se comunica el servidor de autenticación para la puerta de entrada que el host del usuario está autorizado y la puerta de entrada hacia delante los paquetes fuera de la red de protección. ZeroShell implementa un captive portal en forma nativa, sin necesidad de utilizar otros programas como NoCatAuth, NoCatSplash o Chillispot. Las principales características del portal cautivo de ZeroShell se describen a continuación:

  • Que permite hacer una estructura multigateway en el que un único servidor de autenticación puede proporcionar autenticación weblogin a más de puerta de enlace. El servidor de autenticación y la puerta de enlace pueden coexistir en el mismo equipo;
  • La puerta de enlace pueden trabajar ya sea en modo enrutado o en el modo de bridge (o modo transparente):
    • En modo enrutado la puerta de enlace debe ser necesariamente el router por defecto para la subred protegida por el portal cautivo. De esta manera solo los paquetes IP pueden ser enviados desde una red a la otra si la autenticación ocurre correctamente, mientras que los otros protocolos que se encapsulan directamente en la capa 2, como IPX, AppleTalk, NetBEUI y el nivel 2 de broadcast quedan aislados;
    • En modo Bridge en su lugar, la puerta de enlace en cautividad funciona como bridge entre dos o más interfaces (también VPN sitio a sitio) de los cuales uno protegerse de weblogin. Con esta modalidad cualquier tipo de protocolo y de difusión de la lata se transmitirá cuando la autenticación se realiza correctamente. En el modo bridge (o modo transparente) de la red protegida se puede compartir con el resto de la LAN de la subred, el router por defecto y el servidor de DHCP que permite que un cliente tenga siempre la misma dirección IP en el área protegida y en la red sin protección;
  • El portal cautivo puede ser activado para proteger también 802.1Q VLAN vez que una interfaz de red completa;
  • Todas las interacciones entre el navegador web del usuario y el servidor de autenticación se cifran https utilizando para evitar que las credenciales se pueden capturar en la red;
  • Los clientes son identificados por sus direcciones IP y MAC. Sin embargo, estos dos parámetros pueden ser fácilmente falsificados. Con el fin de resolver el problema más tarde, la puerta de enlace en cautividad requiere que el navegador web del usuario tienen un autenticador , que es un mensaje cifrado generada por el servidor de autenticación y que periódicamente tiene que ser renovado y se envía a la pasarela. El autenticador se cifra utilizando el algoritmo de cifrado AES256 y no pueden ser fácilmente falsificados antes de su expiración. La validez del autenticador se puede configurar por el administrador. Tenga en cuenta que la gestión del autenticador es transparente para el usuario final del portal cautivo que podía pasar por alto su presencia.
  • La autenticación del servidor es capaz de validar las credenciales de los usuarios que utilizan la base de datos local de Kerberos 5, un externo KDC Kerberos 5 y cruzar la autenticación entre los dominios Kerberos V. Tenga en cuenta que, de dominio de Windows los usuarios de Active Directory se Kerberos 5 autenticado y por lo tanto se puede autorizar a utilizar la red con web de inicio de sesión autenticado con el KDC de Active Directory.
    El usuario tiene la posibilidad de elegir el dominio correcto (o reino) seleccionándolo de una lista en la página de acceso web, o usando un nombre de usuario de la forma usuario@dominio.
    Partir de la versión 1.0.beta6 de ZeroShell, el Portal Cautivo es capaz de autenticar a los usuarios mediante el uso de servidores RADIUS externos y certificados X.509. La última característica permite utilizar las SmartCard para el inicio de sesión de red con Portal Cautivo.
  • Es posible declarar una lista de clientes libres para los que no se requiere autenticación;
  • Es posible definir una lista de servicios gratuitos proporcionados por servidores externos que los clientes pueden utilizar sin necesidad de autenticación;
  • La página de acceso web y el lenguaje a utilizar durante la fase de autenticación se puede configurar por el administrador;
  • Después de la autenticación, aparece una ventana emergente al usuario para garantizar la renovación del autenticador y le permitan obligar a una solicitud de desconexión haciendo clic en un botón. ZeroShell utiliza técnicas especiales para evitar que los sistemas anti-popup, que están presentes en la mayoría de los navegadores, bloque de esta ventana que causa una desconexión prematura debido a la expiración del autenticador;
En las próximas versiones de la contabilidad (accounting) será administrado y permitirá conocer la duración y el tráfico de la conexión de un usuario.



    Copyright (C) 2005-2012 by Fulvio Ricciardi