Consideração de solução 4min de Leitura - 08 de março de 2018

Portal Cativo: como superar os desafios de auditoria em dispositivos móveis

mãos e antebraços masculinos segurando um tablet

This post is also available in: Português English Español

É muito comum, nos dias de hoje, que ambientes públicos e privados possibilitem o uso da internet à visitantes, desde que passem por um processo de autenticação. O Portal Cativo, nome dado a esse procedimento, é um recurso extremamente valioso, e segue diretrizes do Marco Civil da Internet, que visa aprimorar a segurança digital.

No entanto, um grande desafio nessa questão é a realização de um controle dos acessos efetuados pelo usuário – semelhante ao que é feito no serviço de proxy web. Quando um portal cativo está em funcionamento, esse acesso não passa por um filtro de conteúdo, por exemplo. Pelo contrário: ao realizar a autenticação, o acesso do equipamento ficará totalmente liberado por um período pré-estabelecido pela empresa provedora do serviço.

Por se tratar de acessos que, em sua maioria, serão de sites HTTPS (que trabalham com criptografia), não é possível redirecionar a conexão ao firewall de forma automática, justamente pelo fato de se utilizar uma criptografia para proteger o acesso efetuado.

Assim, é necessário utilizar algumas alternativas para que o controle seja possível. Para conhecer essas opções e superar alguns desafios de auditoria com o Portal Cativo em dispositivos móveis, continue a leitura desse blog post.

Alternativa para controle de acessos

Utilizar o protocolo de descobrimento automático de proxy (WPAD) pode ser uma solução para fazer com que os acessos realizados pelos usuários passem pelo serviço de proxy do servidor automaticamente. Porém, para que funcione, são necessárias algumas configurações no equipamento do usuário, gerando uma intervenção manual nele.

O grande desafio disso é que, por ser uma rede de visitantes onde não se sabe quais equipamentos irão conectar, fica difícil garantir que as configurações nos dispositivos dos usuários sejam adequadas, possibilitando que o WPAD funcione corretamente. Uma observação importante a ser feita, com relação ao uso do WPAD para dispositivos móveis, é que o recurso está presente apenas em smartphones mais recentes (com as últimas versões dos seus sistemas operacionais). Em sua maioria, os dispositivos não costumam suportar a funcionalidade, gerando uma limitação técnica para a aplicação de controles sobre a navegação dos usuários conectados através do portal cativo.

Uma outra alternativa seria, de fato, trabalhar utilizando uma configuração para uso de proxy manual nos equipamentos dos clientes/visitantes. Com a configuração manual, o controle pode ser feito através de regras de proxy internas sem nenhum problema.

A única questão com relação a isso é que esse processo acaba se tornando muitas vezes insustentável, em virtude das necessidades de ser feito a intervenção manual nos dispositivos para realizar tal configuração.

Para amenizar o problema associado ao controle sobre a navegação dos usuários, alguns fornecedores permitem que as conexões sejam realizadas, e na sequência analisam o cabeçalho SSL/TSL da requisição, fazendo a análise do hostname pelo cliente no Server Name Indication (SNI) – ou no nome do certificado informado pelo servidor.

Vale ressaltar, que a aplicação desta técnica possui limitações. Nestas situações não é possível identificar exatamente o que o usuário tentou acessar dentro de um domínio específico. Por exemplo, é possível identificar acessos a www.facebook.com, contudo não é possível concluir se o mesmo acessou www.facebook.com/chat.

Orientações para melhor uso do Portal Cativo

A questão associada ao controle dos acessos dos usuários conectados ao portal cativo é uma limitação tecnológica, presente em todas as soluções existentes no mercado. No entanto, podemos dar algumas orientações para melhorar o uso dele.

Isolar a rede do portal

Seja através de uma VLAN ou algum segmento físico separado, é muito importante que essa rede não tenha comunicação com as demais redes locais da empresa. Por se tratar de acessos realizados por equipamentos diversos, os quais não se tem controle, isso é algo extremamente interessante de se aplicar.

Trabalhar nessa rede utilizando um controle de Banda

Outro ponto importante a ser validado e que pode ser aplicado na rede do portal, é estar trabalhando com alguma ferramenta para controle de banda, de forma a não permitir que essa rede consiga utilizar todo o link disponível da organização. Mesmo não conseguindo auditar os acessos efetuados, esse tipo de controle (a nível de banda disponível do link) pode e deve ser realizado sempre que necessário. Algumas empresas, inclusive, optam por dedicar um link de internet exclusivamente para a rede visitantes.

Ter uma política clara de uso dos acessos ao portal

A empresa precisa saber claramente a maneira como o portal cativo deve funcionar: se será habilitada a opção de autenticação de mais de um dispositivo por usuário simultaneamente (notebook e celular, por exemplo). Se os usuários terão a possibilidade de auto-cadastro, através de formulário web, ou integrados com redes sociais. As soluções de mercado também possibilitam impressão de vouchers para entrega aos usuários interessados no uso da internet, que podem ficar disponíveis na recepção da empresa, ou em outro local adequado.

O tempo de desconexão dos usuários inativos também é um item de grande importância e que normalmente pode ser configurado na solução responsável pela gestão do portal cativo. Desta forma – e com base nessas configurações – pode se ter a diminuição dos acessos realizados de forma indevida nessa rede.

Agora que você já sabe contornar esses desafios de autoria por meio de potenciais alternativas, pode usufruir dos benefícios do Portal Cativo. Se você tiver interesse, sugerimos a leitura do blog post “Captive portal, disponibilize acesso wifi para clientes e fornecedores”. Este conteúdo traz os itens fundamentais que devem ser avaliados antes da implementação do Portal Cativo, para gestão da rede de visitantes.

This post is also available in: Português English Español