O que é portal cativo (captive portal)

Um portal cativo é a página web que redes Wi-Fi de hotel, aeroporto, café e conferência apresentam antes de deixar você alcançar a internet aberta. Você conecta no SSID, abre um navegador, e a rede te redireciona pra um formulário de login, página de termos de serviço ou gateway de acesso pago. Até você submeter, a rede recusa encaminhar seus pacotes.

A técnica é definida vagamente em RFC 8908 e RFC 8910, que padronizam como a rede pode anunciar a URL do portal via opção DHCP 114 ou Router Advertisements IPv6. A maioria dos portais legados antecedem essas RFCs e dependem de interceptação de tráfego.

Como a interceptação funciona

Dois mecanismos são comuns.

Redirecionamento HTTP. O gateway roteia todo tráfego na porta TCP 80 pro seu próprio servidor web, independente do IP de destino. Seu navegador pede http://example.com, o gateway responde com 302 Found pra URL do portal. Isso só funciona pra HTTP puro. Sites HTTPS não podem ser redirecionados assim sem disparar aviso de certificado, por isso sistemas operacionais sondam endpoints HTTP conhecidos (Apple usa captive.apple.com, Microsoft usa www.msftconnecttest.com, Android usa connectivitycheck.gstatic.com) pra detectar um portal antes de abrir uma aba do navegador.

Interceptação DNS. O gateway retorna seu próprio IP pra toda query DNS, então qualquer hostname resolve pro portal. Isso é mais agressivo, quebra DNSSEC e tropeça clientes de DNS criptografado (DoH/DoT) em modos de falha. Redes que interceptam DNS frequentemente também bloqueiam UDP/53 pra resolvers upstream.

Uma vez autenticado, o gateway adiciona seu endereço MAC (ou fingerprint do dispositivo) numa allow-list e para de interceptar seu tráfego.

Por que portais cativos quebram VPNs

Um túnel VPN precisa alcançar seu servidor. Se o portal cativo está interceptando todo tráfego, o túnel não consegue estabelecer: o gateway do portal responde ao handshake VPN em vez de encaminhar. Qualquer kill switch configurado pra bloquear tráfego não-VPN vai bloquear a página do portal em si, deixando você travado.

O problema do ovo e da galinha: você não consegue conectar a VPN até terminar o portal, mas um kill switch pode bloquear o portal até você conectar a VPN. A maioria dos clientes VPN resolve isso detectando a resposta da sondagem de portal cativo e relaxando temporariamente o kill switch num "modo portal cativo" até a autenticação ter sucesso.

Considerações de segurança

A página do portal em si é servida pelo operador da rede, frequentemente sobre HTTP puro. Isso dá ao operador (ou qualquer um próximo da infraestrutura do operador) a habilidade de injetar scripts na página. A mesma suposição de confiança se aplica ao resolver DNS do operador, manipulação de certificado pra qualquer HTTPS que o portal usa, e a camada WPA2/WPA3 por baixo.

Três riscos são práticos:

• Exposição pré-VPN. Qualquer tráfego que seu dispositivo manda entre entrar no SSID e finalizar o portal é visível pro operador. macOS e iOS abrem o navegador do portal cativo numa view sandboxed que não compartilha cookies com o Safari, o que limita o blast radius. Versões antigas de Windows e maioria do Android usam o navegador padrão e sessão completa.
• Portais falsificados. Um access point malicioso pode imitar o SSID de um hotel e servir um portal falso que coleta números de cartão de crédito ou logins sociais.
• Injeção persistente de script. Algumas redes de hotel injetam ads ou scripts de tracking em páginas HTTP mesmo após autenticação. Navegação só HTTPS derrota isso.

Orientação prática

Conecte na rede. Deixe o SO detectar o portal e abri-lo. Complete o portal na aba do navegador fornecida pelo SO se disponível. Aí inicie a VPN. Evite logar em email, banco ou qualquer coisa sensível entre entrar no SSID e conectar a VPN. Se o cliente VPN oferecer um prompt "portal cativo detectado", prefira esse fluxo a desabilitar manualmente o kill switch.