Seguridad perimetral 4min de Leitura - 08 de marzo de 2018

Portal Cautivo: cómo superar los desafíos de auditoría en dispositivos móviles

mãos e antebraços masculinos segurando um tablet

This post is also available in: Português English Español

Es muy común, en los días de hoy, que ambientes públicos y privados posibiliten el uso de internet a los visitantes, siempre que pasen por un proceso de autenticación. El Portal Cautivo, nombre dado a este procedimiento, es un recurso extremadamente valioso.

Sin embargo, un gran desafío en esta cuestión es la realización de un control de los accesos hechos por el usuario – semejante al que se hace en el servicio de proxy web. Cuando un portal cautivo está en funcionamiento, este acceso no pasa por un filtro de contenido, por ejemplo. Por el contrario: al realizar la autenticación, el acceso del equipo quedará totalmente liberado por un período preestablecido por la empresa proveedora del servicio.

Por tratarse de accesos que, en su mayoría, serán de sitios HTTPS (que trabajan con encriptación), no es posible redirigir la conexión al firewall de forma automática, justamente por el hecho de utilizar una encriptación para proteger el acceso.

Por lo tanto, es necesario utilizar algunas alternativas para que el control sea posible. Para conocer estas opciones y superar algunos desafíos de auditoría con el Portal Cautivo en dispositivos móviles, continúe leyendo este blog post.

Alternativa para el control de accesos

El uso del Protocolo de Autodescubrimiento de Proxy Web (en inglés WPAD) puede ser una solución para hacer que los accesos realizados por los usuarios pasen por el servicio de proxy del servidor automáticamente. Sin embargo, para que funcione, son necesarias algunas configuraciones en el equipo del usuario, generando una intervención manual.

El gran desafío es que, por ser una red de visitantes donde no se sabe qué equipos se van a conectar, es difícil garantizar que las configuraciones en los dispositivos de los usuarios sean adecuadas, posibilitando que el WPAD funcione correctamente. Una observación importante que se debe hacer con respecto al uso del WPAD para dispositivos móviles, es que el recurso sólo está presente en los últimos smartphones (con las últimas versiones de sus sistemas operativos). En su mayoría, los dispositivos no suelen soportar la funcionalidad, generando una limitación técnica para la aplicación de controles sobre la navegación de los usuarios conectados a través del portal cautivo.

Otra alternativa sería, de hecho, trabajar utilizando una configuración para uso de proxy manual en los equipos de los clientes/visitantes. Con la configuración manual, el control se puede hacer a través de reglas de proxy internas sin ningún problema.

La única cuestión es que este proceso se acaba a menudo insostenible, en virtud de las necesidades de hacer la intervención manual en los dispositivos para realizar tal configuración.

Para atenuar el problema asociado al control sobre la navegación de los usuarios, algunos proveedores permiten que las conexiones se hagan, y en la secuencia analizan el encabezado SSL/TSL de la petición, haciendo el análisis del hostname por el cliente en la indicación de servidor (SNI) – o en el nombre del certificado informado por el servidor.

Es importante resaltar, que la aplicación de esta técnica tiene limitaciones. En estas situaciones no es posible identificar exactamente lo que el usuario intentó acceder dentro de un dominio específico. Por ejemplo, es posible identificar accesos a www.facebook.com, sin embargo, no es posible concluir si el usuario accedió a www.facebook.com/chat.

Orientaciones para el mejor uso del Portal Cativo

La cuestión asociada al control de accesos de los usuarios conectados al portal cautivo es una limitación tecnológica, presente en todas las soluciones existentes en el mercado. Sin embargo, podemos dar algunas orientaciones para mejorar su uso.

Aislar la red del portal

Ya sea a través de una VLAN o algún segmento físico separado, es muy importante que esa red no tenga comunicación con las demás redes locales de la empresa. Por tratarse de accesos realizados por equipos diversos, sobre los cuales no se tiene control, eso es algo extremadamente interesante de aplicarse.

Trabajar en esa red utilizando un control de Banda

Otro punto importante a ser validado y que puede ser aplicado en la red del portal, es estar trabajando con alguna herramienta para control de banda, de forma que no permita que esa red pueda utilizar todo el enlace disponible de la organización. Aunque no puede auditar los accesos efectuados, este tipo de control (a nivel de banda disponible del enlace) puede y debe realizarse siempre que sea necesario. Algunas empresas, incluso, optan por dedicar un enlace de internet exclusivamente a la red visitantes.

Tener una política clara de uso de los accesos al portal

La empresa necesita saber claramente la forma en que el portal cautivo debe funcionar: si se habilita la opción de autenticación de más de un dispositivo por usuario simultáneamente (laptop y móvil, por ejemplo). Si los usuarios tendrán la posibilidad de auto-registro, a través de formulario web, o integrados con redes sociales. Las soluciones de mercado también posibilitan la impresión de vouchers para la entrega a los usuarios interesados en el uso de Internet, que pueden estar disponibles en la recepción de la empresa, o en otro lugar adecuado.

El tiempo de desconexión de los usuarios inactivos también es un elemento de gran importancia y que normalmente puede ser configurado en la solución responsable de la gestión del portal cautivo. De esta forma – y con base en esas configuraciones – se puede tener la disminución de los accesos realizados de forma indebida en esa red.

Ahora que usted ya sabe eludir estos desafíos de autoría a través de potenciales alternativas, puede gozar de los beneficios del Portal Cautivo. Si tienes interés, sugerimos la lectura del blog post «Captive portal, ponga a disposición acceso wifi para clientes y proveedores». Este contenido trae los elementos fundamentales que deben ser evaluados antes de la implementación del Portal Cautivo, para gestión de la red de visitantes.

Continúe leyendo

[latest_post type=’boxes’ number_of_posts=’3′ number_of_colums=’3′ order_by=’date’ order=’ASC’ category=’aprendizaje-descubrimiento’ text_length=’100′ title_tag=’h4′ display_category=’0′ display_time=’0′ display_comments=’0′ display_like=’0′ display_share=’0′]

 

This post is also available in: Português English Español