読者です 読者をやめる 読者になる 読者になる

Captive Portal Problem Statementについて

Captive Portalについて議論を行うcapport wgが出来、IETF95で初めてのミーティングが行なわれます。


Captive Portalとは、よくWi-Fi接続後にブラウザでWebベースの認証が別途要求されるアレです。このCaptive Portalが引き起こす問題について議論をするために、Problem Statementである「Before You Log In, Here's A Brief Message From Our Sponsors!」というI-Dが提出されている。


このI-DではCaptive Portalの定義、及びCaptive Portalの問題、OS・ブラウザなどのCaptive Portal検出機能によって引き起こされる問題について記述されている。


ざっとメモ(割と適当)。

主なCaptive Portalのしよう理由

  • "認証" ユーザのネットワークアクセスを認可する前にユーザのクレデンシャルを取得する
  • "課金" ネットワークの使用に対して課金を行う
  • "情報" ユーザに情報を提供する。これは法的な通知、ネットワーク提供者やその所在、広告など
  • "通知" captive portalと同様の仕組みでユーザにアカウントのステータス、ネットワークダウンタイム、緊急のアラートなどを通知する

Captive Portalが引き起こす問題

偽陰性

Captive Portalの検出に幾つかの異なった手法が使用されるため、実際にはCaptive Portalがあるにもかかわらず、OSやブラウザはオープンなネットワークだと考えてしまうことは普通に起こりえる。

コネクションの寿命

しばしば、タイムアウトのおかげで繰り返しCaptive Portalにログインする必要があります。これは、タスクを完了することができないことへの不快感となります。

相互接続性の問題

Captive PortalはOSやブラウザの能力や振る舞いに依存します。そういった癖を知らないクライアントシステムはCaptive Portalに接続が困難になります。

混乱

Captive Portalは事実上の中間者攻撃であるため、ユーザやユーザエージェントを混乱させます。たとえばCaptive PortalTLS証明書が要求されたサイトとマッチしなかったり、Captive Portalのfaivicon.icoがもともと要求したサイトのものとして使用された時です。

dns/dnssec

Captive PortalDNSアンサを返した時、DNSゾルバや、ホスト検証を行うDNSSECのリゾルバやアプリケーションを混乱させます。

TLS

Captive Portalは、TLSセッション(HTTPS/IMAPといった)を仲介しようとしますが、それはクライアント上での証明書エラーをひきおこし、そのようなエラーでもクリックするような悪い習慣づけてしまいます。

期待されない設定

幾つかのCaptive Portalはユーザの通信をCaptive Portalに向けるためにDNS通信への割り込みを行います。しかし、ユーザが自信でDNSなどをサーバを設定していた場合はうまく動作しません。

なりすまし

Captive PortalはユーザとMACアドレスを紐付けるため、攻撃者に認証されたクライアントへのなりすましを可能にします。

特権情報へのアクセス

たとえばソーシャルメディアへのログイン情報や、広告のターゲティング・トラッキング情報といったユーザの外部情報を利用しようとするCaptive Portalもあります。
Captive Portalは事実上中間者攻撃を行うため、これらの機能がユーザのリスクとなりえます。

非ブラウザクライアント

"Internet of Things"により、ブラウザを実行できないインターネットデバイスは一般的になっていきます。これらのデバイスは、Captive Portalによって制限されたネットワークを利用するのは困難です。

接続の切断

例えばWiFiとcellular といった複数のネットワークインターフェースを持つデバイスは、どちらかのインターフェースでネットワークに接続すると接続が失敗するようになるかもしれない。これらのデバイスがCaptive Portalに接続すると、Captive Portalの要求が満たされるまでネットワーク接続が失われます。

Captive Portalの検出が引き起こす問題

Captive Portalのネットワーク内にいる際、多くのOSはそれを検出しようとします。検出はいくつかの方法でCaptive Portalによる影響を最小化するために行われます。幾つかのネットワークではCaptive Portalの検出が問題を引き起こします。

偽陽性

幾つかのネットワークはログインするためにWebブラウザを使用しません。ネットワークにアクセスするためにVPNを要求した場合、HTTPに依存するCaptive Portal検出は逆効果となってしまいます。

非インターネット・ネットワーク

幾つかのアプリケーションやネットワークはインターネットアクセスを仮定しません。しかし、Captive Portal検出はしばしばインターネットアクセスをネットワークアクセスを同じものとして考えます。

サンドボックス

Captive Portalが検出されると、幾つかのOSはサンドボックス環境でCaptive Portalへのアクセスを行います。これは機能を低下させ、ブラウザのAPIへのアクセスを制限します。加えて、この環境はユーザの一般的なブラウザアクセスと分けられており、それゆえステートを持つことが出来ません。