Captive portal nedir

Captive portal, otel, havalimanı, kafe ve konferans Wi-Fi ağlarının açık internete ulaşmadan önce sunduğu web sayfası. SSID'ye bağlanırsın, tarayıcı açarsın ve ağ seni giriş formuna, hizmet şartları sayfasına veya ücretli erişim kapısına yönlendirir. Gönderene kadar ağ paketlerini iletmeyi reddeder.

Teknik RFC 8908 ve RFC 8910'da gevşek tanımlı, bunlar ağın portal URL'sini DHCP option 114 veya IPv6 Router Advertisement'lar üzerinden nasıl reklam edebileceğini standartlaştırır. Çoğu eski portal bu RFC'lerden öncesine dayanır ve trafik kesmeye güvenir.

Kesme nasıl çalışır

İki mekanizma yaygın.

HTTP yönlendirme. Geçit, hedef IP ne olursa olsun TCP port 80 üzerindeki tüm trafiği kendi web sunucusuna yönlendirir. Tarayıcın http://example.com ister, geçit 302 Found ile portal URL'sine yanıt verir. Bu sadece düz HTTP için çalışır. HTTPS siteleri sertifika uyarısı tetiklemeden bu şekilde yönlendirilemez, bu yüzden işletim sistemleri portal'ı tarayıcı sekmesi açmadan önce tespit etmek için spesifik bilinen HTTP endpoint'lerini probe eder (Apple captive.apple.com, Microsoft www.msftconnecttest.com, Android connectivitycheck.gstatic.com kullanır).

DNS kesme. Geçit her DNS sorgusuna kendi IP'sini döndürür, böylece herhangi bir hostname portal'a çözülür. Bu daha agresif, DNSSEC'i bozar ve şifreli DNS istemcilerini (DoH/DoT) başarısızlık modlarına düşürür. DNS'i kesen ağlar genellikle yukarı resolver'lara UDP/53'ü de engeller.

Doğruladıktan sonra geçit MAC adresini (veya cihaz parmak izini) izin listesine ekler ve trafiğini kesmeyi durdurur.

Captive portal'lar VPN'leri neden bozar

VPN tüneli sunucusuna ulaşmaya ihtiyaç duyar. Captive portal tüm trafiği kesiyorsa tünel kurulamaz: portal'ın geçidi VPN handshake'ini iletmek yerine kendisi yanıtlar. VPN dışı trafiği engellemek için yapılandırılmış herhangi bir kill switch sonra portal sayfasının kendisini engelleyecek ve kullanıcıyı tıkanmış bırakacak.

Tavuk-yumurta sorunu: portal'ı bitirmeden VPN'i bağlayamazsın, ama kill switch portal'ı VPN'i bağlayana kadar engelleyebilir. Çoğu VPN istemcisi bunu, captive-portal probe yanıtını tespit edip doğrulama başarılı olana kadar "captive portal modu"nda kill switch'i geçici olarak gevşeterek çözer.

Güvenlik düşünceleri

Portal sayfasının kendisi ağ operatörü tarafından sunulur, çoğu zaman düz HTTP üzerinden. Bu operatöre (veya operatörün altyapısına yakın herkese) sayfaya script enjekte etme yeteneği verir. Aynı güven varsayımı operatörün DNS resolver'ı, portal'ın kullandığı HTTPS'in sertifika işlemesi ve altta yatan WPA2/WPA3 katmanı için geçerli.

Üç pratik risk:

• VPN-öncesi maruziyet. Cihazın SSID'ye katılma ile portal'ı bitirme arasında gönderdiği herhangi bir trafik operatöre görünür. macOS ve iOS captive-portal tarayıcıyı Safari ile çerez paylaşmayan sandbox'lı bir görünümde başlatır, bu blast radius'u sınırlar. Eski Windows ve çoğu Android sürümü varsayılan tarayıcıyı ve tam oturumu kullanır.
• Sahte portal'lar. Sahte erişim noktası bir otelin SSID'sini taklit edip kredi kartı numaralarını veya social login'i toplayan sahte portal sunabilir.
• Kalıcı script enjeksiyonu. Bazı otel ağları doğrulamadan sonra bile HTTP sayfalarına reklam veya izleme script'leri enjekte eder. Yalnız-HTTPS gezinti bunu yener.

Pratik rehberlik

Ağa bağlan. OS'in portal'ı tespit edip açmasına izin ver. Mevcutsa OS-sağlanan tarayıcı sekmesinde portal'ı tamamla. Sonra VPN'i başlat. SSID'ye katılma ile VPN'i bağlama arasında e-posta, banka veya hassas herhangi bir şeye giriş yapmaktan kaçın. VPN istemcisi "captive portal tespit edildi" istemi sunuyorsa, kill switch'i manuel olarak kapatmak yerine o akışı tercih et.