Captive Portal Nedir?
Captive portal, Wi-Fi ya da kablolu bir ağa bağlanan yeni bir kullanıcının ağ kaynaklarına daha fazla erişimi olmadan önce bir web tarayıcısı ile görüntüleyebildiği bir web sayfasıdır. Captive Portal uygulamaları, çoğunlukla parola korumalı olmayan uygulamalardır. Bu uygulamalarda taslak bir karşılama mesajının görüntülendiği ve kullanıcıyı erişim koşulları (izin verilen bağlantı noktaları, sorumluluklar) vb. hakkında bilgilendiren genel kablosuz ağlar yer alır. Yöneticiler, kullanıcılarını eylemlerinden sorumlu tutmak ve yasa dışı eylemlerden kaçınmak için bunu yaparak güvenliği sağlar.
Sabit portal tekniği, HTTP (Köprü Metni Aktarım Protokolü) istemcisini, İnternet’i normal şekilde kullanmadan önce ilk olarak ağdaki yer alan belli bir web sayfasını görüntülemeye yönlendirir. Sınırlı Ağ Geçidi Web tarayıcısını bir kimlik doğrulama aracına dönüştürür. Bu, kullanıcı bir tarayıcı açıp İnternet’e erişmeye çalışana kadar bağlantı noktası ya da adresinden bağımsız şekilde tüm paketleri bloke ederek gerçekleşir.
Yani tarayıcı, kimlik belgenizi doğrulama ve ödeme için ya da yalnızca uygun olan kullanım politikasını görüntülemeye izin verir. Bundan dolayı da kullanıcıyı onaylamak için internet sitesine yönlendirir. Kısıtlı ağ geçidi uygulamaları en yaygın haliyle Wi-Fi erişim noktalarında (Wireless Fidelity) kullanılır. Ayrıca kablolu kullanımı kontrol altına almak için de kullanılabilir. Örnek olarak (otel odası, alışveriş merkezi vb.)
Oturum açma sayfasında müşteriye gösterilmesi gerektiğinden, yerel olarak ağ geçidinde saklanmalı veya sayfaya hizmet veren web sunucusu, kimlik doğrulama sürecini atlamak için “Walled Garden” tarafından yetkilendirilir. Web sunucusu için Tekdüzen Kaynak Bulucu’yu (URL) etkinleştirmenin yanı sıra, ayrıca bazı varsayılan ağ geçitleri de yer alır. Bu noktada Aktarım Kontrol Protokolü (TCP) bağlantı noktalarına da izin verebilir. Bağlı istemcilerin MAC (Medya Erişim Kontrolü) adresleri de kimlik doğrulama aşamasını atlayacak şekilde ayarlanabilir.
Captive Portal Nasıl Çalışır?
Sabit port uygulamaları temel olarak tetikleme tabanlıdır. Bu, ağa bağlı cihazlardan gönderilen istekleri analiz eder ve Captive Portal uygulamasının tetiklenmesini içerir. Bu çerçevede, istemci cihazda sabit bir bağlantı noktası iki ayrı şekilde etkinleştirilebilir.
DNS iletme, kullanıcılardan tüm DNS sorgularını alıp çözmeye ve Captive Portal uygulamasının oturum açma sayfasını görüntülemeye dayalı bir yöntemdir. Ancak, HSTS başlık bilgilerinin uygulanmasıyla kapsamlılığını kaybetmiştir. Açılış sayfası olarak bilinen sayfa, bir istemci cihaz tarafından bir kablosuz ağa bağlanır. Cihazın internete erişim yetkisi yoksa, Captive Portal uygulamasının web sayfasını gösteren bir ekran otomatik olarak açılır.
Bu şekilde yalnızca HSTS başlık bilgilerinin kullanımıyla ilgili güvenlik yöntemini atlamakla kalmaz, aynı zamanda işletim sistemine özel özel oturum açma sayfalarının görüntülenmesini de sağlar. Basitçe, bu yöntem otomatik olarak giriş sayfasını açacaktır. DNS yönlendirme tabanlı yöntem, kullanıcının web sitesini manuel olarak açmasını gerektirse de.
Tüm bu sistemlerin çalışma şeklinde, genel ağa bağlı kullanıcıların HTTP/HTTPS oturumunun yetkilendirme amacıyla harici bir ağ sunucusuna (RADIUS) yönlendirilmesi yer alır. Kullanıcılar daha sonra SMS ile veya cep telefonundan geri aranarak yetkilendirilir. Yetkilendirme aşamasını tamamlayan kullanıcılar internete erişebilirler. Bu bir nevi güvenlik duvarı olarak tanımlanır.
Sabit kapı; Kaynak tahsisi (provizyon), bağlantı süresi limiti (oturum zaman aşımı), hız, trafik, kaynak tüketimi kontrolü (yük) için kullanılan RADIUS sunucusuna erişim sağlar.
AAA ve RADIUS kullanan popüler erişim inceleme yöntemi olan Evrensel Erişim Yöntemi (UAM) kullanan sabit portal kullanılır. Bu hizmet üçüncü taraf şirketler aracılığıyla sağlanmaktadır. Keenetic, sabit kapının müşterisi olarak düşünülmelidir.
Keenetic cihazlardaki Captive Portal uygulaması, açık kaynaklı hizmeti Coova-Chilli’ye dayanır. Keenetic, çoğu sabit kapı sağlayıcısıyla göre başarılı bir şekilde çalışır. Kullanıcı kolaylığı için en popüler sabit kapı sağlayıcılarının profilleri eklenmiştir. Bu firmalar da kendi bakış açılarından testler yapmakta ve sabit kapının kendi uygulamaları ile iyi çalıştığını onaylamaktadır. Yapılandırmak için açılır listeden bir profil seçin ve hizmet sağlayıcının web sitesindeki kişisel bir hesaptan gerekli bağlantı parametrelerini belirtin.
Artık Keenetic uyumlu servis sağlayıcıları sabit ağ geçidi menüsünün profil bölümünde görüntüleyebilirsiniz. Bu, profildeki tüm hizmet sağlayıcılar için sunulan bulut hizmetlerdir. Firmaların sunucularında uzaktan yetkilendirme yapılmaktadır. Ayrıca müşteri sunucularına yazılımların yüklenmesini sağlayan çözüm sağlayıcılar da bulunmaktadır. Bu şekilde, müşteri tüm yetkilendirme sistemi üzerinde tam kontrole sahip olabilir.
Uygulama Türleri Nedir?
Sınırlı portal uygulamasının çeşitli yönleri de bulunur. Bunları şu şekilde sıralamak mümkündür:
HTTP’den yönlendirme
Güvenilmeyen bir kullanıcı siteyi talep ederse, DNS (Alan Adı Sistemi) tarayıcı tarafından sorgulanır ve uygun IP adresi her zamanki gibi çözümlenir. Tarayıcı daha sonra istenilen IP adresine bir HTTP isteği gönderir. Ancak, bu istek güvenlik duvarı tarafından fark edilir ve yönlendirme sunucusuna iletilir. Bu yeniden yönlendirme sunucusu, istemciyi sınırlı bir bağlantı noktasına yönlendirmek için ek bir 302 durum kodu ile birlikte normal bir HTTP yanıtı döndürür. Bu işlem müşteri tarafından görülmez. İstemci, sitenin gerçekten başlatma ve yeniden yönlendirme isteğine yanıt verdiğini varsayar.
IP yönlendirme
İstemci trafiği, Katman 3 IP yönlendirme kullanılarak da aktarılabilir, ancak bu yaklaşımın dezavantajı, istemciye sağlanan içeriğin URL ile eşleşmemesidir.
DNS’den geçiş yaparak yönlendirme
Bir istemci bir web sayfası istediğinde DNS tarayıcı tarafından sorgulanır. Güvenlik duvarı, güvenilmeyen istemcilerin yalnızca Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) tarafından belirtilen DNS sunucularını kullanabilmesini sağlar. Varsayılan olarak bu DNS sunucusu, tüm DNS sorguları için Kısıtlı Ağ Geçidi sitesinin IP adresini döndürür.
Bazı deneyimsiz uygulamalarda, istemciden gelen DNS istekleri engellenmez, bu da göz ardı edilmesi kolaydır; kullanıcıların bilgisayarlarını farklı bir genel DNS sunucusu kullanacak şekilde yapılandırması yeterlidir. Bu nedenle, hiçbir dahili istemcinin harici DNS sunucusunu kullanamaması için güvenlik duvarını veya ACL’yi (Erişim Kontrol Listesi) yapılandırmak çok önemlidir.
PfSense ile Uygulaması
Aşağıda, sınırlı portal yazılımlarından biri olan PfSense’in bir uygulaması bulunmaktadır.
PfSense’in kurulu olduğu makinenin LAN (Yerel Alan Ağı – Yerel Bağlantı) arayüzüne atanan IP adresi, tarayıcının adres çubuğuna girilir ve PfSense yönetim sayfasına bağlanır. Ana sayfadan “Servisler -> Sabit Portlar” üzerinden PfSense kısıtlı port yönetimi sayfası açılacaktır.
Arayüz: Bu bölümde kısıtlanmış portun çalışacağı arayüz seçilir. (LAN vb.)
Maksimum eşzamanlı bağlantı: Bu seçenek, portal sayfasını aynı anda kaç kişinin açabileceğini belirler.
Boşta Zaman Aşımı: Belirli bir süre işlem yapılmadığında istemcinin bağlantısı kesilir. Gerekirse anında yeniden bağlanabilirler.
Zaman Aşımı: Belirtilen zaman aşımından sonra herhangi bir aktiviteden bağımsız olarak istemcinin bağlantısı kesilir. Gerekirse anında yeniden bağlanabilirler. (ID bitiş tarihi belirtilmemişse kullanılmamalıdır.)
Çıkış açılır penceresi: Açılır pencere etkinleştirildiğinde görünür ve kullanıcı sabit bağlantı noktası üzerinden yetkilendirilir.
Yönlendirme URL’si: Bu kutuya bir URL girilirse, müşteriler doğrulama sonrasında erişmeye çalıştıkları URL yerine bu URL’ye yönlendirilir.
Eşzamanlı kullanıcı girişi: Kalın yazının yanındaki kutucuk işaretli ise kullanıcı birden fazla bilgisayardan giriş yapamaz. Son girilen bilgisayarlar dışındaki bilgisayarlar sistemden kaldırılacaktır.
MAC Filtreleme: Bu seçenek seçilirse, kullanıcının MAC adresinin sabit kaldığını doğrulamak için hiçbir girişimde bulunulmaz. Bu seçenek, istemcinin MAC adresi belirlenemediğinde gereklidir. Etkinleştirildiğinde, “RADIUS MAC Kimlik Doğrulaması” seçeneği kullanılamaz.
Kullanıcı Başına Bant Genişliği Limiti: Bu bölümdeki download ve upload kutularına istenilen değerler girilerek belirtilen limit sağlanması sağlanacaktır.
İlginizi Çekebilir: Azure Portal Dashboard Yönetimi Nasıl Yapılır?