Évaluation des menaces pour un portail captif
Je suis intéressé par la mise en place d'un portail captif sur un réseau sans fil.
D'après ce que je comprends, je le ferais d'avoir initialement tous les invités dans un VLAN temporaire, les déplaçant vers le véritable VLAN lorsqu'il est authentifié ou contre d'autres critères.
Quelles menaces devrais-je rechercher que les gens peuvent être capables de contourner le portail captif et d'accéder au réseau?
Si les attaques contre le serveur Web servent-elles mon principal sujet de préoccupation ou y a-t-il des attaques de niveau de réseau que je devrais aussi rechercher?
Il existe deux façons différentes des portails et des points chauds sont contournés:
Soit utilisation de tunneling d'une sorte, en utilisant généralement le protocole DNS, car les clients disposent du port sortant 53 ouvert, ou via HTTP/HTTPS, ou via ICMP sur un tunnel ou d'autres wats similaires. @Ori a fourni des exemples de cela.
Une autre façon est de contourner directement le mécanisme d'authentification: finalement tous les points chauds doivent authentifier un client, ce qui est (généralement) effectué via l'adresse Mac ou IP ou des cookies. À certaines occasions, ils peuvent être spoofés ou reniflés pour obtenir une session déjà authentifiée par l'impersonnation. Il peut même être configuré certains périphériques dans le réseau, avec une adresse IP codée en papier ou une adresse IP pré-authentifiée, par exemple. imprimantes, et vous pouvez prendre leur adresse.
À partir des implémentations de portail captives que j'ai constatées, après association à l'AP et d'accepter/authentifier via le portail captif, l'adresse MAC est le dénominateur est une liste de tri.
Le meilleur scénario est s'il existe une liste blanche pour des utilisateurs spécifiques pour ne pas avoir à traverser le portail captif. Si vous remarquez que quelqu'un n'est pas en boite de sable par le portail, spoof Spooft son adresse MAC et il est très probable que vous soyez automatiquement mélangé dans un VLAN actif ou supprimé du groupe en boîte de sable qui serait autrement contraint.
Outre ce qui précède, ce qui est une possibilité distante, la perspective NSTX et ICMPTX présentée par @ori est une excellente idée.
Je n'ai jamais rencontré un portail captif qui a réussi à empêcher la transmission de la circulation par quelqu'un. Outre la technique d'avoir un hôte externe complice pour transmettre vos données via des tunnels DNS et ICMP, changez votre adresse MAC pour refléter l'adresse de quelqu'un d'autre vous traitera d'une connexion.
Je crois que le seul moyen de contrôler cela est de demander une connexion VPN à établir. Je présume que nous ne voyons pas que dans la pratique, car c'est une nuisance pour l'utilisateur final de configurer et présente une perte limitée aux frais d'accès. Comparé aux clients qui choisissent de ne pas payer pour une connexion en raison des tracas de la configuration sécurisée, cela est généralement considéré comme une perte acceptable.