ietf95 capport
TRANSCRIPT
IETF95 報告会capport WG
May 10, 2016
aoMariko Kobayashi
Keio Univ. SFC1
自己紹介
ao( あお ) - 大学四年生 ( 卒論・・・ ) - Keio Univ. SFC( 強力 Wi-Fi が飛んでいる森 ) - 村井研究室 (2 年〜 )/WIDE - Wi-Fi 認証に関する研究→ Captive Portal への興味
好きな WG: capport 気になる WG: webpush, oauth, homenet, radext, 5GANGIP など
IETF 歴 : IETF94 横浜 IETF95 remote participation
駆け出しです ~( ・ - ・ )~ まだまだお勉強中・・・ 2
本日のお品書き
Captive Portal とは? capport WG とは?
Problem Statement についての説明
COMCAST での Captive Portal 運用話
Agenda 外で活発だった議論
1
2
3
4
3
- Hotspot 2.0, HTTP/HTTPS, ユーザー視点に関する議論
What’s capport??
4
Captive Portal とは
空港やホテルの Wi-Fi につないだ時によく見るアノ技術
5
Captive Portal の仕組み
ユーザーがインターネットに接続する前に特定のWeb ページに飛ばされる - 認証ページ , ポリシー同意ページ etc.
6
Why capport??
7
Captive Portal の役割
• 認証 : 認可する前に user credential とる• 課金 : ネットワーク使用にあたる課金• 情報 : 注意、同意、広告、プロバイダー情報• 通知 : ユーザーのステータスやアラート [RFC6108]
Web ブラウザを用いるメリット :
必要に応じてネットワークをユーザーのインターフェースや UX に合わせることが可能になる
課金や広告、認証等様々なサービスを一本化できる8
SoWhat’s capport WG?
9
capport WGSince : IETF93 BoF CAPtive PORTal interaction(CAPPORT)
Chair: Warren Kumari(Google) Martin Thomson(Mozilla)
参加者の主な所属 : Huawei, cisco, Google, akamai, comcast, Microsoft, Mozilla, AT&T, Orange, Apple etc.
メーリス : 月に1-2 回ザワザワするくらい → 試しに入ってみましょう
Recent Draft: draft-nottingham-capport-problem-01https://datatracker.ietf.org/doc/draft-nottingham-capport-problem/
by Mark Nottingham(Akamai)
10
やろうとしていること
• Captive Portal の定義をしよう - What’s ? Why?
• Captive Portal 産業界におけるサーベイ
• 新しい capport のプロトコルをデザイン、RFC を publish しよう
11
今後定義したい項目From the Charter
Allow endpoints to discover that they are in this sort of limited environment
Provide a URL to interact with the Captive Portal
Allow endpoints to learn about the parameters of their confinement
Interact with the Captive Portal to obtain information such as status and remaining access time
(Optional) Advertise a service whereby devices can enable or disable access to the Internet without human interaction
12
capport WG AgendaCaptive Portal とは? capport WG とは?
Problem Statement について説明
COMCAST での Captive Portal 運用話
オープンマイク・まとめ
1
2
3
4
13
- Hotspot 2.0, HTTP 等に関する議論
Captive PortalProblemStatement
14
Captive Portal の問題点❶ False Negatives popup windowでてこない cache「captiveじゃないよ」 #繫がると思ったら繫がらない https://discussions.apple.com/thread/6251349
Longevity タイムアウト→繰り返しログインする必要あり 「作業中にイライラ 」😩 https://community.aerohive.com/aerohive/topics/ios_7_captive_portal_issues
Interoperability Issue OSやブラウザに依存 「 capport変な動作が起こることが 」😓
15
Captive Portal の問題点❷ Confusion 中間者攻撃→ユーザー・管理者混乱 (e.g., portal の TLS certification がリクエスト先と一致しない
DNS/DNSSEC ポータルが偽の DNS パケットを受け取った時、 DNS resolver/DNSSEC resolver 狂わす
TLS interception 証明書エラーメッセージ → ユーザーにこのようなエラーメッセージ に対し [ok] をクリックさせてしまう 悪い習慣をつけてしまう
16
Captive Portal の問題点❸ Unexpected Configuration ユーザーの設定が想定外の時 →capport動かない時あり (固定IP・カスタムDNSサーバー・HTTPプロキシ等)
Stealing Access capportはユーザーのMACアドレスと紐付いている →攻撃者: 認証済みクライアントになりすますことが可能 (オープンなネットワークのみ)
解決策 : セキュアなネットワーク? →セキュナなネットワーク: 大抵複雑 →しかしcapport : 複雑なネットワーク苦手
17
Captive Portal の問題点❹ Non-Browser Clients IoT: 様々なデバイス登場 画面のないデバイス →ブラウザ開けない →capport 使えない
Connectivity InterruptionWi-Fi ・ cellular 等の様々なネットワークインターフェースを持つデバイスの場合 :
capport の条件を満たすまでネットワークの接続が 失われる可能性あり
18
Captive Portal Detection とは
• 重要度の高い問題• OS が capport を検出 - capport によるネガティブな影響を最小限にするため
(ex. Apple の Capttive Portal Assistant http://captive.apple.com/hotspot-detect.html
→ しかしこれが別の問題も引き起こしてしまう 19
<HTML><HEAD><TITLE>Success</TITLE></HEAD><BODY>Success</BODY></HTML>
Captive Portal Detection の問題点❶False Positives Web ブラウザを使わないネットワークもある - アクセスに VPN 必要 - Captive Network Assisntant (MacOSX Lion) - Captive Portal Detection は HTTP 依存 →そもそも無意味 HTTP 以外でアクセスしても無意味 # 繫がらないと思ったら繋がった
20
Captive Portal Detection の問題点❷
Non-Internet Networks
社内ネットワークのように外に出ることのできない 非インターネットネットワークの場合 : デバイスが capport の認証を通ったことを知る術なし →インターネットに接続できないまま 21
Captive Portal Detection の問題点❸Sandboxing
OS が capport検出→サンドボックス化UX損なわれる (API制限等 )
具体的には :popoup window 使えない - cookie利用できないため
22
Captive Portalin COMCAST 23
capport in COMCAST趣旨 : 実際に Captive Portal 運用している人 ( オペレーター ) の意見や事例をきこう!
• COMCAST では 無線 LAN の認証のため ブラウザ上でユーザーにサービス に関する通知・警告をするため
24
伝統的な Captive Portal の例
例 )• サービスアクティベーション• 無課金• 不正使用• Wi-Fi ローミングアクティベーション• Wi-Fi day pass
ゴール有線無線関係なく動くこと どんなブラウザであっても動くこと (PC/mobile/tablet..)
25
Non-Service-Interrupting Notification の例
例 )• マルウェアのアラート• DPE アラート• CAS アラート• 請求アラート もし 3 カ月お金払っていない場合 →capport が警告「あなたは 3 カ月未払いです」
ゴール ブラウザのないデバイスを混乱させない capport 自身がなるべく邪魔にならない
26
COMCAST 議論
オプトイン / オプトアウト ユーザーが携帯番号 / メールを入力しない形で ユーザーにコンタクトする術必要では? IP based な解決策必要?
OSSの Captive Portal: メンテがされておらず、使う側・ユーザーにとって不安 (ex : Coova Chilli : Founder が Google に転職してから メンテがおろそかに… → メンテナンス大事
Captive Portalの定義広い、どう決めていくのか?
様々なデバイス・ソフトウェアクライアント上で動かす ブラウザ使えないデバイスにも /HTTP ベースに限るのではなく
27
HighlightDiscussion
28
議論 ❶ Hotspot 2.0Hotspot2.0 が世界の capport の問題を解決できない現状 →Why? How ? 問題 : non-service-interrupting-messaging
HTTP WG, WiFI アライアンスや産業グループ 等と協力していくべき “ coorperating” = 協力 議論中何回も繰り返された言葉
29
議論 ❷ HTTP/HTTPS capport のオペレーター達 協力したがっている →もし Sign in のメカニズムを明確にできれば HTTPS を妨害する必要なくなる
余談: HTTP Web ページ : だんだんなくなってきている →HTTP を capport の detection プロトコルにしたら? 一同「笑」
30
議論 ユーザー視点❸capport でのメールアドレス入力について
メールボックスにメッセージ・広告くるのやだ ユーザーが望まないものは見せない
capport や広告を見ても気にならないようなバランス◎
→ ユーザーになんらかのインセンティブがあれば メールアドレス入れてもいい?広告見てもいい?
31
振り返り
はじめての本格的なミーティング
→全体的に手探り、まず「 Captive Portal 」とは何か? という説明が丁寧に扱われていた印象
→ 議論が活発 : みんな疑問や問題点多く感じている現状
→ 今回は現状の問題点挙げるだけ、という印象が強い
ベンダーだけでなく、ホテルで Captive Portal 運用している人も参加
→ちょっと珍しい?= Captive Portal は人々の生活と密接に関わるものである 32
Thanks33