IETF95 報告会capport WG

May 10, 2016

aoMariko Kobayashi

Keio Univ. SFC1

自己紹介

ao( あお ) - 大学四年生 ( 卒論・・・ )　 - Keio Univ. SFC( 強力 Wi-Fi が飛んでいる森 )　 - 村井研究室 (2 年〜 )/WIDE - Wi-Fi 認証に関する研究→ Captive Portal への興味

好きな WG: capport 気になる WG: webpush, oauth, homenet, radext, 5GANGIP など

IETF 歴 : IETF94 横浜 IETF95 remote participation

駆け出しです ~( ・ - ・ )~ 　 まだまだお勉強中・・・ 2

本日のお品書き

Captive Portal とは？ capport WG とは？

Problem Statement についての説明

COMCAST での Captive Portal 運用話

Agenda 外で活発だった議論

1

2

3

4

3

- Hotspot 2.0, HTTP/HTTPS, ユーザー視点に関する議論

What’s capport??

4

Captive Portal とは

空港やホテルの Wi-Fi につないだ時によく見るアノ技術

5

Captive Portal の仕組み

ユーザーがインターネットに接続する前に特定のWeb ページに飛ばされる - 認証ページ , ポリシー同意ページ etc.

6

Why capport??

7

Captive Portal の役割

• 認証 : 認可する前に user credential とる• 課金 : ネットワーク使用にあたる課金• 情報 : 注意、同意、広告、プロバイダー情報• 通知 : ユーザーのステータスやアラート [RFC6108]

Web ブラウザを用いるメリット :

必要に応じてネットワークをユーザーのインターフェースや UX に合わせることが可能になる

課金や広告、認証等様々なサービスを一本化できる8

SoWhat’s capport WG?

9

capport WGSince : IETF93 BoF CAPtive PORTal interaction(CAPPORT)

Chair: Warren Kumari(Google) Martin Thomson(Mozilla)

参加者の主な所属 : Huawei, cisco, Google, akamai, comcast, Microsoft, Mozilla, AT&T, Orange, Apple etc.

メーリス : 月に1-2 回ザワザワするくらい → 試しに入ってみましょう

Recent Draft: draft-nottingham-capport-problem-01https://datatracker.ietf.org/doc/draft-nottingham-capport-problem/

by Mark Nottingham(Akamai)

10

やろうとしていること

• Captive Portal の定義をしよう - What’s ? Why?

• Captive Portal 産業界におけるサーベイ

• 新しい capport のプロトコルをデザイン、RFC を publish しよう

11

今後定義したい項目From the Charter

Allow endpoints to discover that they are in this sort of limited environment 

 Provide a URL to interact with the Captive Portal 

Allow endpoints to learn about the parameters of their confinement 

Interact with the Captive Portal to obtain information such as status and remaining access time

 (Optional) Advertise a service whereby devices can enable or disable access to the Internet without human interaction

12

capport WG AgendaCaptive Portal とは？ capport WG とは？

Problem Statement について説明

COMCAST での Captive Portal 運用話

オープンマイク・まとめ

1

2

3

4

13

- Hotspot 2.0, HTTP 等に関する議論

Captive PortalProblemStatement

14

Captive Portal の問題点❶ False Negatives popup windowでてこない cache「captiveじゃないよ」 #繫がると思ったら繫がらない　 https://discussions.apple.com/thread/6251349

Longevity　 タイムアウト→繰り返しログインする必要あり 「作業中にイライラ 」😩 　https://community.aerohive.com/aerohive/topics/ios_7_captive_portal_issues

Interoperability Issue　　 OSやブラウザに依存　「 capport変な動作が起こることが 」😓

15

Captive Portal の問題点❷ Confusion　 中間者攻撃→ユーザー・管理者混乱 (e.g., portal の TLS certification がリクエスト先と一致しない

DNS/DNSSEC　 ポータルが偽の DNS パケットを受け取った時、 DNS resolver/DNSSEC resolver 狂わす

TLS interception 証明書エラーメッセージ → ユーザーにこのようなエラーメッセージ　 に対し [ok] をクリックさせてしまう　 悪い習慣をつけてしまう

16

Captive Portal の問題点❸ Unexpected Configuration ユーザーの設定が想定外の時　　→capport動かない時あり　 （固定IP・カスタムDNSサーバー・HTTPプロキシ等）

Stealing Access capportはユーザーのMACアドレスと紐付いている　 →攻撃者: 認証済みクライアントになりすますことが可能 (オープンなネットワークのみ)

解決策 : セキュアなネットワーク？　　→セキュナなネットワーク: 大抵複雑 →しかしcapport : 複雑なネットワーク苦手

17

Captive Portal の問題点❹ Non-Browser Clients IoT: 様々なデバイス登場　 画面のないデバイス　 →ブラウザ開けない →capport 使えない

Connectivity InterruptionWi-Fi ・ cellular 等の様々なネットワークインターフェースを持つデバイスの場合 :

capport の条件を満たすまでネットワークの接続が 失われる可能性あり

18

Captive Portal Detection とは

• 重要度の高い問題• OS が capport を検出 - capport によるネガティブな影響を最小限にするため

(ex. Apple の Capttive Portal Assistant http://captive.apple.com/hotspot-detect.html

→ しかしこれが別の問題も引き起こしてしまう 19

<HTML><HEAD><TITLE>Success</TITLE></HEAD><BODY>Success</BODY></HTML>

　　 Captive Portal Detection の問題点❶False Positives Web ブラウザを使わないネットワークもある - アクセスに VPN 必要 - Captive Network Assisntant　　 (MacOSX Lion) - Captive Portal Detection は HTTP 依存　　 →そもそも無意味　　 HTTP 以外でアクセスしても無意味　　 # 繫がらないと思ったら繋がった

20

　　 Captive Portal Detection の問題点❷

Non-Internet Networks

　社内ネットワークのように外に出ることのできない　非インターネットネットワークの場合 :　デバイスが capport の認証を通ったことを知る術なし　→インターネットに接続できないまま 21

　　 Captive Portal Detection の問題点❸Sandboxing

OS が capport検出→サンドボックス化UX損なわれる (API制限等 )

具体的には :popoup window 使えない - cookie利用できないため

22

Captive Portalin COMCAST 23

capport in COMCAST趣旨 : 実際に Captive Portal 運用している人　　　 ( オペレーター ) の意見や事例をきこう！

• COMCAST では　無線 LAN の認証のため　ブラウザ上でユーザーにサービス　に関する通知・警告をするため

24

伝統的な Captive Portal の例

例 )• サービスアクティベーション• 無課金• 不正使用• Wi-Fi ローミングアクティベーション• Wi-Fi day pass

ゴール有線無線関係なく動くこと どんなブラウザであっても動くこと (PC/mobile/tablet..)

25

Non-Service-Interrupting Notification の例

例 )• マルウェアのアラート• DPE アラート• CAS アラート• 請求アラート もし 3 カ月お金払っていない場合 →capport が警告「あなたは 3 カ月未払いです」

ゴール ブラウザのないデバイスを混乱させない capport 自身がなるべく邪魔にならない

26

COMCAST 議論

オプトイン / オプトアウト　 ユーザーが携帯番号 / メールを入力しない形で ユーザーにコンタクトする術必要では？ IP based な解決策必要？

OSSの Captive Portal: メンテがされておらず、使う側・ユーザーにとって不安　 (ex : Coova Chilli : Founder が Google に転職してから メンテがおろそかに… → メンテナンス大事

Captive Portalの定義広い、どう決めていくのか？

様々なデバイス・ソフトウェアクライアント上で動かす　 ブラウザ使えないデバイスにも /HTTP ベースに限るのではなく

27

HighlightDiscussion

28

議論 ❶ Hotspot 2.0Hotspot2.0 が世界の capport の問題を解決できない現状 →Why? 　 How ？　　問題 : non-service-interrupting-messaging

　 HTTP WG, WiFI アライアンスや産業グループ　等と協力していくべき　“ coorperating” = 協力　議論中何回も繰り返された言葉

29

議論 ❷ HTTP/HTTPS capport のオペレーター達 協力したがっている →もし Sign in のメカニズムを明確にできれば HTTPS　　を妨害する必要なくなる

　余談： HTTP Web ページ : だんだんなくなってきている →HTTP を capport の detection プロトコルにしたら？　　一同「笑」

30

議論 ユーザー視点❸capport でのメールアドレス入力について

メールボックスにメッセージ・広告くるのやだ ユーザーが望まないものは見せない

capport や広告を見ても気にならないようなバランス◎

→ ユーザーになんらかのインセンティブがあれば　メールアドレス入れてもいい？広告見てもいい？

31

振り返り

はじめての本格的なミーティング

→全体的に手探り、まず「 Captive Portal 」とは何か？　という説明が丁寧に扱われていた印象

→ 議論が活発 : みんな疑問や問題点多く感じている現状

→ 今回は現状の問題点挙げるだけ、という印象が強い

ベンダーだけでなく、ホテルで Captive Portal 運用している人も参加

→ちょっと珍しい？＝ Captive Portal は人々の生活と密接に関わるものである 32

Thanks33