...

Why capport??

by user

on
Category: Documents
14

views

Report

Comments

Transcript

Why capport??
IETF95報告会
capport WG
May 10, 2016
ao
Mariko Kobayashi
Keio Univ. SFC
1
自己紹介
²  ao(あお) ‒ 小林茉莉子
- 大学四年生(卒論・・・)
- Keio Univ. SFC(強力Wi-Fiが飛んでいる森)
- 村井研究室(2年∼)/WIDE
- Wi-Fi認証に関する研究→Captive Portalへの興味
²  好きなWG: capport
²  気になるWG: webpush, oauth, homenet, radext, 5GANGIPなど
²  IETF歴:
IETF94 横浜
IETF95 remote participation
駆け出しです (・-・)
まだまだお勉強中・・・
2
本日のお品書き
1
Captive Portalとは? capport WGとは?
2
Problem Statementについての説明
3
COMCASTでのCaptive Portal運用話
4
Agenda外で活発だった議論
- Hotspot 2.0, HTTP/HTTPS, ユーザー視点に関する議論
3
What’s
capport??
4
Captive Portalとは
空港やホテルのWi-Fiにつないだ時に
よく見るアノ技術
5
Captive Portalの仕組み
ユーザーがインターネットに接続する前に特定の
Webページに飛ばされる
- 認証ページ, ポリシー同意ページetc.
6
Why
capport??
7
Captive Portalの役割
• 
• 
• 
• 
認証
課金
情報
通知
:
:
:
:
認可する前にuser credentialとる
ネットワーク使用にあたる課金
注意、同意、広告、プロバイダー情報
ユーザーのステータスやアラート[RFC6108]
Webブラウザを用いるメリット:
ü  必要に応じてネットワークをユーザーのインターフェースや
UXに合わせることが可能になる
ü  課金や広告、認証等様々なサービスを一本化できる
8
So
What’s
capport
WG?
9
capport WG
u Since : IETF93 BoF CAPtive PORTal interaction(CAPPORT)
u Chair: Warren Kumari(Google)
Martin Thomson(Mozilla)
u 参加者の主な所属 : Huawei, cisco, Google, akamai,
comcast, Microsoft, Mozilla, AT&T, Orange, Apple
etc.
u メーリス: 月に1-2回ザワザワするくらい
→試しに入ってみましょうJ
u Recent Draft: draft-nottingham-capport-problem-01
https://datatracker.ietf.org/doc/draft-nottingham-capport-problem/
by Mark Nottingham(Akamai)
10
やろうとしていること
•  Captive Portalの定義をしよう
- What s ? Why?
•  Captive Portal 産業界におけるサーベイ
•  新しいcapportのプロトコルをデザイン、
RFCをpublishしよう
11
今後定義したい項目
From the Charter
ü  Allow endpoints to discover that they are in this sort of limited
environment
ü  Provide a URL to interact with the Captive Portal
ü  Allow endpoints to learn about the parameters of their confinement
ü  Interact with the Captive Portal to obtain information such as status
and remaining access time
ü  (Optional) Advertise a service whereby devices can enable or
disable access to the Internet without human interaction
12
capport WG Agenda
1
Captive Portalとは? capport WGとは?
2
Problem Statementについて説明
3
COMCASTでのCaptive Portal運用話
4
オープンマイク・まとめ
- Hotspot 2.0, HTTP等に関する議論
13
Captive
Portal
Problem
Statement
14
Captive Portalの問題点❶
p  False Negatives
popup windowでてこない
cache「captiveじゃないよ」
#繫がると思ったら繫がらない
https://discussions.apple.com/thread/6251349
p  Longevity
タイムアウト→繰り返しログインする必要あり
「作業中にイライラ😩」
https://community.aerohive.com/aerohive/topics/ios_7_captive_portal_issues
p  Interoperability Issue
OSやブラウザに依存
「capport変な動作が起こることが😓」
15
Captive Portalの問題点❷
p  Confusion
中間者攻撃→ユーザー・管理者混乱
(e.g., portalのTLS certificationがリクエスト先と一致しない
p  DNS/DNSSEC
ポータルが偽のDNSパケットを受け取った時、
DNS resolver/DNSSEC resolver狂わす
p  TLS interception
証明書エラーメッセージ
→ユーザーにこのようなエラーメッセージ
に対し [ok]をクリックさせてしまう
悪い習慣をつけてしまう
16
Captive Portalの問題点❸
p Unexpected Configuration
ユーザーの設定が想定外の時
→capport動かない時あり
(固定IP・カスタムDNSサーバー・HTTPプロキシ等)
p Stealing Access
capportはユーザーのMACアドレスと紐付いている
→攻撃者: 認証済みクライアントになりすますことが可能
(オープンなネットワークのみ)
解決策 : セキュアなネットワーク?
→セキュナなネットワーク: 大抵複雑
→しかしcapport : 複雑なネットワーク苦手
17
Captive Portalの問題点❹
p Non-Browser Clients
IoT: 様々なデバイス登場
画面のないデバイス
→ブラウザ開けない
→capport使えない
p Connectivity Interruption
Wi-Fi・cellular等の様々なネットワークインターフェー
スを持つデバイスの場合:
capportの条件を満たすまでネットワークの接続が
失われる可能性あり
18
Captive Portal Detectionとは
<HTML><HEAD><TITLE>Success</TITLE></
HEAD><BODY>Success</BODY></HTML>
•  重要度の高い問題
•  OSがcapportを検出
- capportによるネガティブな影響を最小限にするため
(ex. AppleのCapttive Portal Assistant
http://captive.apple.com/hotspot-detect.html
→しかしこれが別の問題も引き起こしてしまう
19
Captive Portal Detectionの問題点❶
p False Positives
Webブラウザを使わないネットワークもある
- アクセスにVPN必要
- Captive Network Assisntant
(MacOSX Lion)
- Captive Portal DetectionはHTTP依存
→そもそも無意味
HTTP 以外でアクセスしても無意味
#繫がらないと思ったら繋がった
20
Captive Portal Detectionの問題点❷
p Non-Internet Networks
社内ネットワークのように外に出ることのできない
非インターネットネットワークの場合 :
デバイスがcapportの認証を通ったことを知る術なし
→インターネットに接続できないまま
21
Captive Portal Detectionの問題点❸
p Sandboxing
OSがcapport検出→サンドボックス化
UX損なわれる(API制限等)
具体的には :
popoup window使えない
- cookie利用できないため
22
Captive
Portal
in COMCAST
23
capport in COMCAST
趣旨 : 実際にCaptive Portal運用している人
(オペレーター)の意見や事例をきこう!
•  COMCASTでは
無線LANの認証のため
ブラウザ上でユーザーにサービス
に関する通知・警告をするため
24
伝統的なCaptive Portalの例
例)
•  サービスアクティベーション
•  無課金
•  不正使用
•  Wi-Fiローミングアクティベーション
•  Wi-Fi day pass
ゴール
ü  有線無線関係なく動くこと
ü  どんなブラウザであっても動くこと
(PC/mobile/tablet..)
25
Non-Service-‐‑‒Interrupting
Notificationの例例
例)
•  マルウェアのアラート
•  DPEアラート
•  CASアラート
•  請求アラート
もし3カ月お金払っていない場合
→capportが警告「あなたは3カ月未払いです」
ゴール
ü  ブラウザのないデバイスを混乱させない
ü  capport自身がなるべく邪魔にならない
26
COMCAST 議論
p  オプトイン/オプトアウト
ユーザーが携帯番号/メールを⼊入⼒力力しない形で ユーザーにコンタクトする術必要では? IP basedな解決策必要?
p  OSSのCaptive Portal:
メンテがされておらず、使う側・ユーザーにとって不安
(ex : Coova Chilli : FounderがGoogleに転職してから
メンテがおろそかに…
→メンテナンス大事
p  Captive Portalの定義広い、どう決めていくのか?
p  様々なデバイス・ソフトウェアクライアント上で動かす
ブラウザ使えないデバイスにも/HTTPベースに限るのではなく
27
Highlight
Discussion
28
議論❶ Hotspot 2.0
p Hotspot2.0が世界のcapportの問題を解決
できない現状
→Why? How?
問題 : non-service-interrupting-messaging
HTTP WG, WiFIアライアンスや産業グループ
等と協力していくべき
coorperating = 協力
議論中何回も繰り返された言葉
29
議論❷ HTTP/HTTPS
p capportのオペレーター達 協力したがっている
→もしSign in のメカニズムを明確にできればHTTPS
を妨害する必要なくなる
余談:HTTP Webページ : だんだんなくなってきている
→HTTPをcapportのdetectionプロトコルにしたら?
一同「笑」
30
議論❸ ユーザー視点
p capportでのメールアドレス入力について
ü  メールボックスにメッセージ・広告くるのやだ
ü 
ユーザーが望まないものは見せない
capportや広告を見ても気にならないようなバランス◎
→ユーザーになんらかのインセンティブがあれば
メールアドレス入れてもいい?広告見てもいい?
31
振り返り
p  はじめての本格的なミーティング
→全体的に手探り、まず「Captive Portal」とは何か?
という説明が丁寧に扱われていた印象
→議論が活発 : みんな疑問や問題点多く感じている現状
→今回は現状の問題点挙げるだけ、という印象が強い
p  ベンダーだけでなく、ホテルでCaptive Portal運用している
人も参加
→ちょっと珍しい?
=Captive Portalは人々の生活と密接に関わるものである
32
ThanksJ
ao[at]sfc.wide.ad.jp
33
Fly UP