Comments
Description
Transcript
Why capport??
IETF95報告会 capport WG May 10, 2016 ao Mariko Kobayashi Keio Univ. SFC 1 自己紹介 ² ao(あお) ‒ 小林茉莉子 - 大学四年生(卒論・・・) - Keio Univ. SFC(強力Wi-Fiが飛んでいる森) - 村井研究室(2年∼)/WIDE - Wi-Fi認証に関する研究→Captive Portalへの興味 ² 好きなWG: capport ² 気になるWG: webpush, oauth, homenet, radext, 5GANGIPなど ² IETF歴: IETF94 横浜 IETF95 remote participation 駆け出しです (・-・) まだまだお勉強中・・・ 2 本日のお品書き 1 Captive Portalとは? capport WGとは? 2 Problem Statementについての説明 3 COMCASTでのCaptive Portal運用話 4 Agenda外で活発だった議論 - Hotspot 2.0, HTTP/HTTPS, ユーザー視点に関する議論 3 What’s capport?? 4 Captive Portalとは 空港やホテルのWi-Fiにつないだ時に よく見るアノ技術 5 Captive Portalの仕組み ユーザーがインターネットに接続する前に特定の Webページに飛ばされる - 認証ページ, ポリシー同意ページetc. 6 Why capport?? 7 Captive Portalの役割 • • • • 認証 課金 情報 通知 : : : : 認可する前にuser credentialとる ネットワーク使用にあたる課金 注意、同意、広告、プロバイダー情報 ユーザーのステータスやアラート[RFC6108] Webブラウザを用いるメリット: ü 必要に応じてネットワークをユーザーのインターフェースや UXに合わせることが可能になる ü 課金や広告、認証等様々なサービスを一本化できる 8 So What’s capport WG? 9 capport WG u Since : IETF93 BoF CAPtive PORTal interaction(CAPPORT) u Chair: Warren Kumari(Google) Martin Thomson(Mozilla) u 参加者の主な所属 : Huawei, cisco, Google, akamai, comcast, Microsoft, Mozilla, AT&T, Orange, Apple etc. u メーリス: 月に1-2回ザワザワするくらい →試しに入ってみましょうJ u Recent Draft: draft-nottingham-capport-problem-01 https://datatracker.ietf.org/doc/draft-nottingham-capport-problem/ by Mark Nottingham(Akamai) 10 やろうとしていること • Captive Portalの定義をしよう - What s ? Why? • Captive Portal 産業界におけるサーベイ • 新しいcapportのプロトコルをデザイン、 RFCをpublishしよう 11 今後定義したい項目 From the Charter ü Allow endpoints to discover that they are in this sort of limited environment ü Provide a URL to interact with the Captive Portal ü Allow endpoints to learn about the parameters of their confinement ü Interact with the Captive Portal to obtain information such as status and remaining access time ü (Optional) Advertise a service whereby devices can enable or disable access to the Internet without human interaction 12 capport WG Agenda 1 Captive Portalとは? capport WGとは? 2 Problem Statementについて説明 3 COMCASTでのCaptive Portal運用話 4 オープンマイク・まとめ - Hotspot 2.0, HTTP等に関する議論 13 Captive Portal Problem Statement 14 Captive Portalの問題点❶ p False Negatives popup windowでてこない cache「captiveじゃないよ」 #繫がると思ったら繫がらない https://discussions.apple.com/thread/6251349 p Longevity タイムアウト→繰り返しログインする必要あり 「作業中にイライラ😩」 https://community.aerohive.com/aerohive/topics/ios_7_captive_portal_issues p Interoperability Issue OSやブラウザに依存 「capport変な動作が起こることが😓」 15 Captive Portalの問題点❷ p Confusion 中間者攻撃→ユーザー・管理者混乱 (e.g., portalのTLS certificationがリクエスト先と一致しない p DNS/DNSSEC ポータルが偽のDNSパケットを受け取った時、 DNS resolver/DNSSEC resolver狂わす p TLS interception 証明書エラーメッセージ →ユーザーにこのようなエラーメッセージ に対し [ok]をクリックさせてしまう 悪い習慣をつけてしまう 16 Captive Portalの問題点❸ p Unexpected Configuration ユーザーの設定が想定外の時 →capport動かない時あり (固定IP・カスタムDNSサーバー・HTTPプロキシ等) p Stealing Access capportはユーザーのMACアドレスと紐付いている →攻撃者: 認証済みクライアントになりすますことが可能 (オープンなネットワークのみ) 解決策 : セキュアなネットワーク? →セキュナなネットワーク: 大抵複雑 →しかしcapport : 複雑なネットワーク苦手 17 Captive Portalの問題点❹ p Non-Browser Clients IoT: 様々なデバイス登場 画面のないデバイス →ブラウザ開けない →capport使えない p Connectivity Interruption Wi-Fi・cellular等の様々なネットワークインターフェー スを持つデバイスの場合: capportの条件を満たすまでネットワークの接続が 失われる可能性あり 18 Captive Portal Detectionとは <HTML><HEAD><TITLE>Success</TITLE></ HEAD><BODY>Success</BODY></HTML> • 重要度の高い問題 • OSがcapportを検出 - capportによるネガティブな影響を最小限にするため (ex. AppleのCapttive Portal Assistant http://captive.apple.com/hotspot-detect.html →しかしこれが別の問題も引き起こしてしまう 19 Captive Portal Detectionの問題点❶ p False Positives Webブラウザを使わないネットワークもある - アクセスにVPN必要 - Captive Network Assisntant (MacOSX Lion) - Captive Portal DetectionはHTTP依存 →そもそも無意味 HTTP 以外でアクセスしても無意味 #繫がらないと思ったら繋がった 20 Captive Portal Detectionの問題点❷ p Non-Internet Networks 社内ネットワークのように外に出ることのできない 非インターネットネットワークの場合 : デバイスがcapportの認証を通ったことを知る術なし →インターネットに接続できないまま 21 Captive Portal Detectionの問題点❸ p Sandboxing OSがcapport検出→サンドボックス化 UX損なわれる(API制限等) 具体的には : popoup window使えない - cookie利用できないため 22 Captive Portal in COMCAST 23 capport in COMCAST 趣旨 : 実際にCaptive Portal運用している人 (オペレーター)の意見や事例をきこう! • COMCASTでは 無線LANの認証のため ブラウザ上でユーザーにサービス に関する通知・警告をするため 24 伝統的なCaptive Portalの例 例) • サービスアクティベーション • 無課金 • 不正使用 • Wi-Fiローミングアクティベーション • Wi-Fi day pass ゴール ü 有線無線関係なく動くこと ü どんなブラウザであっても動くこと (PC/mobile/tablet..) 25 Non-Service-‐‑‒Interrupting Notificationの例例 例) • マルウェアのアラート • DPEアラート • CASアラート • 請求アラート もし3カ月お金払っていない場合 →capportが警告「あなたは3カ月未払いです」 ゴール ü ブラウザのないデバイスを混乱させない ü capport自身がなるべく邪魔にならない 26 COMCAST 議論 p オプトイン/オプトアウト ユーザーが携帯番号/メールを⼊入⼒力力しない形で ユーザーにコンタクトする術必要では? IP basedな解決策必要? p OSSのCaptive Portal: メンテがされておらず、使う側・ユーザーにとって不安 (ex : Coova Chilli : FounderがGoogleに転職してから メンテがおろそかに… →メンテナンス大事 p Captive Portalの定義広い、どう決めていくのか? p 様々なデバイス・ソフトウェアクライアント上で動かす ブラウザ使えないデバイスにも/HTTPベースに限るのではなく 27 Highlight Discussion 28 議論❶ Hotspot 2.0 p Hotspot2.0が世界のcapportの問題を解決 できない現状 →Why? How? 問題 : non-service-interrupting-messaging HTTP WG, WiFIアライアンスや産業グループ 等と協力していくべき coorperating = 協力 議論中何回も繰り返された言葉 29 議論❷ HTTP/HTTPS p capportのオペレーター達 協力したがっている →もしSign in のメカニズムを明確にできればHTTPS を妨害する必要なくなる 余談:HTTP Webページ : だんだんなくなってきている →HTTPをcapportのdetectionプロトコルにしたら? 一同「笑」 30 議論❸ ユーザー視点 p capportでのメールアドレス入力について ü メールボックスにメッセージ・広告くるのやだ ü ユーザーが望まないものは見せない capportや広告を見ても気にならないようなバランス◎ →ユーザーになんらかのインセンティブがあれば メールアドレス入れてもいい?広告見てもいい? 31 振り返り p はじめての本格的なミーティング →全体的に手探り、まず「Captive Portal」とは何か? という説明が丁寧に扱われていた印象 →議論が活発 : みんな疑問や問題点多く感じている現状 →今回は現状の問題点挙げるだけ、という印象が強い p ベンダーだけでなく、ホテルでCaptive Portal運用している 人も参加 →ちょっと珍しい? =Captive Portalは人々の生活と密接に関わるものである 32 ThanksJ ao[at]sfc.wide.ad.jp 33