BSI(ドイツ連邦政府の情報通信・セキュリティを取り扱う部門)の方から，Carrier Grade Captive Portalの話があったので書き留めておきます．一般的にCaptive Portalは公衆無線LANにおけるケースが広く認知されているので，それと区別をつけるため，「Carrier Grade」と言っていると思われます．

ドイツ国内でのbotnet感染

 BSIが国内のISPに対し，botnetの一部になっているユーザーのIPアドレス，タイムスタンプ，その他ユーザー情報を報告しました.(BSIにとってISPの力を借りなければ，動的アドレスを持つユーザー個人に接触することが難しいからです)

この時，ISPはユーザーに感染を通知するための手段として，メール，郵便またはCarrier Grade Captive Portalの3つを持っていました．この状況下で最も効率的にユーザーに感染を通知し，システムをクリーンにしてもらう方法はCaptive Portalだったそうです．

NetCologne社の"ForcedPortal"

上記のような事態に対し，ドイツのISPのうちの一つであるNetCologneは以下のような「Forced Portal」を設けました．これは以下のような動作をします．

1. 管理システムがユーザーの感染を検知すると，CPE顧客ルーターの接続(PPPOE接続)が切断され，すぐに新たなPPPOE接続が開始されます．
2. 新たなPPOE接続と共に，CPE顧客ルーターは新たなDNSサーバーのアドレス，ゲートウェイを取得し，Carrier Grade Captive Portalに接続します．
3. この新たな接続ネットワーク内では，全てのトラフィックはHTTP/HTTPS proxyでCaptive Portalへ向けられます．Captive Portalはインフォメーションページとして機能し，今回の場合では，感染の状況やシステムをどのようにクリーンするかの説明が，Captive Portalに誘導された顧客に対し表示されます． 

# ComcastのCaptive Portalと似たタイプのCaptive Portalかも？(IETF97におけるプレゼン参照)

問題

 HTTP接続はだいたい問題ありませんが，HTTPS接続時に問題があるそうで，特にGoogle Chromeにおいて，顧客がHSTSまたはHSTSプリロードでドメイン名へ接続しようとした際に，最初のHTTP接続がされないそうです． HTTPS接続をする際，ブラウザがMITM(中間者攻撃)を検知し，顧客向けの情報ページが表示されず，顧客にエラーページが表示されることもなく，代わりにカスタマーサポートセンターへ大量のCallがかかってくるという事態に...

 また，各OSベンダーによるDetection StrategyはCarrier Grade Captive Portalでは全く機能しないとのことです．なぜなら，公衆無線LANなどとは違い，上記の状況下では，CPE顧客ルーターが新たなPPPOE接続を開始した時に，インターネットへの全ての接続がルーターにより切断されているため，クライアントによるCaptive Portalの検知機能が動かないそうです．

以上，事件簿みたいになっちゃいましたが，公衆無線LAN以外の場面でも使われているCaptive Portalがあるということを知っていただけるといいかな，と思い書きました．

もう何回も読んでるI-Dだけどブログで改めてまとめてみる。

I-D : Captive Portal Problem Statement(draft-nottingham-capport-problem-01)

Author : M.Nottingham(Akamai)

この方はIETFだけでなくW3C界隈などでも非常に有名。HTTP WGで活発に活動されている方で、Captive Portalのためのステータスコード511の提案をしたお方でもあります。最近はQUIC WGが忙しいようでcapportにはあまり顔を出してくれない。。orz

タイトルは”Captive Portal Problem Statement”なんてかっこいい横文字を書きましたが、つまりcapport WGにて「Captive Portalの問題点はどう定義されてるの？」って話をします。 前置き的な話はこちらやこちらでしています。

実は私が以前IETF報告会で発表した資料もありまして、今回の内容はそれと被りますのでご了承を。

0 : 問題の概要

まずCaptive Portalで、一番問題とされているのが、ユーザーの通信に割り込み認証ページに強制的に誘導することです。実質ブラウザのHTTPセッションを横取りし、強制的にWebページにリダイレクトさせるという挙動はMan-in-the-middle-attack(MITM/中間者攻撃)と大差がなく、ユーザーエクスペリエンスが損なわれると言えます。

そこでcapport WGの目的は以下のようになっています。

• Captive Portalとユーザーデバイスのブラウザ間とのやりとりをシンプルにする
• できるだけCaptive Portalと人とのやりとりを少なくする(やりとりが多くなるとユーザーにとって混乱の原因となるから)

1 : 現在定義されている問題点

• False Negatives(偽陰性) : Captive Portalの検知にはOSによって様々な方法が使われているが、検知に失敗することがよくある。その場合、Captive Portalがあるにも関わらず、OSのブラウザは今接続しているネットワークがOpenなネットワークだと捉えてしまうため、そもそもCaptive Portalにアクセスできない

• Longevity(コネクションのタイムアウト) : 大抵のCaptive Portalには「1回30分、1日3回まで」とアクセス回数や時間の制限がついていることが多い。作業途中であっても突然タイムアウトになってしまい、一度ネットワーク接続は切断され、ネットワークに再度ログインしなければならない。

• Interoerability Issue(相互接続性) : Captive Portalは特定のOSやブラウザの性能や挙動に依存することがある。しかし、各OSやブラウザ間でそういった挙動の共有等はされていないため、特定のOSでは検知されるが、他のOSでは検知されない、といった挙動の違いが出てしまう。

• Confusion(混乱) : Captive Portalの挙動は中間者攻撃と大差ないため、ユーザーやユーザーエージェントを混乱させることがある。

• DNS/DNSSEC : Captive PortalのDNSリクエストが偽装された場合 、DNSリゾルバ、DNSSECリゾルバやアプリケーションを混乱させる。

• TLS : Captive PortalがTLSセッション(HTTPSやIMAPS等)に割り込もうとすると、証明書エラーが発生してしまう。このようなエラーの許諾をクリックしてしまうという悪い習慣をユーザーにつけてしまう。

• Unexpected Configuration(予想外の設定) : クライアント側でCaptive Portalにとって予想外な設定(固定IPアドレス/DNSサーバー/HTTPプロキシ等)をしていた場合、正しく動かない場合がある。例えば、通常Captive Portalでは、DNSサーバーはDHCPを用いて動的に設定されることが予想されているが、あらかじめクライアント側で特定のサーバーを静的に指定していた場合は動かないことがある。

• Stealing Access(なりすまし) : Captive Portalのようなオープンなネットワークでは安全なネットワークを設定することが難しい。このような安全な通信が保証されていない状況下で攻撃者が認可されたユーザーのフリをすることも可能である。(Captive PortalはユーザーのMACアドレスをひも付けて認証することがあるため) 

• Connectivity Interruption(接続中断) : CelluarとWi-Fiなど複数のネットワークインタフェースを持つデバイスの場合、片方がCaptive Portalのネットワークに繋ぐため、もう片方のインタフェースを落としてしまうことがある。この場合、Captive Portal Login Processを終えるまでインターネットへの接続が得られない。

 これに補足、というわけではないのですが、スマートフォンブラウザでCaptive Portalが認証なしでインターネットへの接続が成功してしまうといった問題のある挙動も観測されています。

2 : Captive Portal Detectionによって生じる問題点

• False Positives(偽陽性) :ログインするためにWebブラウザを用いないネットワークもあり、ネットワークにアクセスするためにVPNが必要となるケースがある。この場合、現在主流となっている、HTTP redirectionに依存したCaptive Portalの検知は逆効果である。

• Non-Internet Networks(非インターネットネットワーク) : 社内ネットワークのような外に出ることがでいない非インターネットネットワークの場合、ユーザーデバイスにCaptive Portalの認証を通過したことを知らせる術がない。よって、認証・認可されたとしてもインターネットに接続できない状況が続いてしまう。

• Sandboxing(サンドボックス) : Captive Portalを検知した際に、サンドボックス化されたブラウザで開くOSもある(Captive Portal Detection)。これはユーザーのプライバシーを保護するための機能でもあるが、実際この環境下では以下のような問題もある。(通常のブラウザとは別に開かれるこんな画面↓)

1. APIへの限られたアクセス
2. 完全に孤立したブラウザのため、ユーザーがステートを持つことができない
3. Captitve Portalは様々なプラットフォーム上でアドホックに実装されているため、挙動にバラツキがある。
4. 上記のようなUXを損なう問題を避けるために、Captive Portalのオペレーター側が、Captive Portal Detectionを回避するようCaptive Portalに設定することもある。

3 : Captive Portal Detectionを回避することで起こる問題

•  Captive Portal Detectionを回避することでSection 2にあるような問題を起こしてしまう・・・というようににわたま問題感があります。例えば、回避の方法として、Captive Portalの設定で、検知に使用されるURLをCaptive Network下でもアクセス可能なホワイトリストに入れておくという手法があります。しかし、これはOSにとってCaptive Portalをオープンなネットワークだと認識させてしまうので、Section 2のFalse Negativesのような問題にもなってしまうのです。

Captive Portalとは

「キャプティブポータル」と読みます。

某コーヒーショップや空港などの無線LAN認証時によく見かけるコレです。

ユーザーのブラウザのHTTPセッションを横取りして、特定のWebページ(だいたい認証や同意ページ、時々課金など)に強制的に誘導する仕組みです。
無線LANのユーザーのアクセスコントロールによく使われています。

具体的な挙動としては、

1. 自分のデバイスでSSIDを選択
2. Wi-Fiネットワークに接続
3. ブラウザを開いて、適当にapple.comとかを検索すると認証ページにリダイレクトされます。
4. メールアドレスを登録したり、SNSでOAuth認証する
5. 完全なインターネットコネクションを得ることができます。

自分は、このCaptive Portalの一連の流れを ”Captive Portal Login Process”と勝手に名前をつけて呼んでいます。基本的にこのプロセスを全て終えないと、自由にインターネットを使うことができません。 

ちなみに3の時点では限られたWebページやドメイン下にしかアクセスできません。

例えば、一番有名なオープンソースのCaptive Portal 「Coova Chilli」ではFacebookのアカウントで認証させたい時はそのドメインへのアクセスはホワイトリストに入れ、アクセス可能にしたり...といった設定が可能です。(ただ、これは一例でそれぞれの仕様によると思います)

一般的に広く使われているCaptive Portalですが、実は「様々な技術を無理やり詰め合わせた」みたいなものなので、実装や設計に問題があり、ユーザービリティやセキュリティに悪影響を与えることも多いと言われています。実際、Captive Portalを排除しようという動きもあり、そういったコミュニティが次世代ホットスポットとしてNext Generation Hotspot(NGH)を提案したりしています。

しかし、Captive Portalは広告やユーザーの情報を得ることができるというマーケティング的な役割も持っているため、ビジネス界としてはまだまだ手放したくないようです。

最近では、インターネット技術の任意標準化団体のIETFで、Captive Portalのユーザーインテラクションを改善するためのワーキンググループ capport WG が作られ、議論が行われています。興味のある人はチラ見してみるといいかも。

Captive Portal Interaction (capport) -

具体的なCaptive Portalの問題点は次回触れたいと思います。

今日はここまで\(・-・)/